Internet  

Met commentaar in't kort van Walter van Holst, Mitopics.

Onlangs liet parlementslid Pierre Heijnen zich ontvallen dat de tijd wellicht rijp is voor een vorm van klokkeluidersbescherming voor hackers die misstanden in informatiebeveiliging aan het licht brengen. Dat werd verwelkomd door een open brief vanuit die gemeenschap, maar ook met kritiek ontvangen door rechtswetenschappers (Oerlemans en praktijkadvocaten (SOLV). Daarbij slaagde men er niet in om een aantal voor de hand liggende drogredeneringen te vermijden. In dit blog wat nuance, zowel voor als tegen.

Als eerste valt een zekere angstreflex voor misbruik op. Terwijl de huidige situatie eveneens evident tot misbruik leidt, maar dan van misbruik van de wet computercriminaliteit tegen boodschappers van slecht nieuws. Zowel in binnen- als buitenland komt het (te vaak) voor dat exploitanten of uitgevers van slecht beveiligde systemen of software een strafvervolging initiëren om critici de mond te snoeren. Het recente voorbeeld in Nederland is uiteraard TransLink Systems (TLS) dat aangifte deed tegen Brenno de Winter. Minder bekend in Nederland is dat de het Duitse Magix een Zweedse hacker met strafvervolging bedreigde omdat deze een lek in de door Magix uitgegeven muzieksoftware wilde publiceren. Eveneens onbekend is de Duitse zaak van Thomas Roth die zelfs een huiszoeking te verduren kreeg omdat hij op het punt stond een kraakmethode voor een cryptografisch algoritme te publiceren.

Bron van dit ‘gemak’ om eigen incompetentie op beveiligingsvlak af te wentelen op boodschappers van het slechte nieuws is toch vooral het Cybercrimeverdrag. Dat heeft in Nederland er toe geleid dat zelfs het criterium van een doorbreken van een beveiliging is geschrapt uit ons wetboek van strafrecht. Het onbevoegd toegang hebben tot een geautomatiseerd werk is daarmee op zichzelf al een misdrijf geworden, ongeacht of er sprake is van wetenschap van dit gebrek aan bevoegdheid of dat er sprake is van een kwaad opzet of niet. En daarmee is de gevleugelde kreet ‘wat offline geldt moet ook online gelden’ een holle frase geworden. Immers, bij de huis- en erfvredebreuk, waar het delict computervredebreuk schijnbaar bij aan zou sluiten, is er nog sprake van een vereiste van een sommatie om zich uit de voeten te maken alvorens er sprake is van een strafbaar feit. Een dergelijk geobjectiveerd criterium ontbreekt bij de computervredebreuk, wat het tot een aantrekkelijke stok maakt om iedere hond die constateert dat men zijn beveiliging niet op orde heeft te slaan. En aan dit gemak mag, gezien het toenemend maatschappelijk belang bij informatiebeveiliging, best wat gedaan worden.

Wat critici van de gedachte van Heijne uit het oog lijken te verliezen is dat het strafvorderlijk optreden bij verdenkingen van computercriminaliteit een bepaald hoge impact kan hebben. Zeker in het geval van een journalist of een beveiligingsonderzoeker kan dit al snel resulteren in een situatie waarin er een de facto Berufsverbot voor de duur van het strafvorderlijk onderzoek wordt gegeven. Bij een vervolging wegens huisvredebreuk of zelfs diefstal zullen niet snel alle informatiedragers in een huishouden in het strafvorderlijk onderzoek betrokken worden. Een louter vertrouwen op het opportuniteitsbeginsel, ook al lijkt dit redelijk goed te functioneren, is niet voldoende. Hoewel het Openbaar Ministerie zichtbaar groeiende is in haar rol bij het bestrijden van computercriminaliteit is het risico van een disproportionele aanpak in de praktijk te groot gebleken. In de al veel aangehaalde zaak rond de e-mail van Jack de Vries had de telastelegging nog wel een paar onsjes meer gekund, men had immers computervirussen verspreid om een ‘botnet’ op te bouwen. In het geval TLS had het sepot in een veel eerder stadium plaats kunnen vinden, de door Brenno de Winter zelf gepubliceerde verslagen van zijn onderzoeksmethoden hadden het OM al van voldoende aanknopingspunten kunnen voorzien om een afweging te maken.

Waar met name Oerlemans aan voorbijgaat is dat invoering van een expliciete strafuitsluitingsgrond helemaal geen vrijbrief biedt, het is uiteindelijk aan de rechter om een beroep op een dergelijke strafuitsluitingsgrond te honoreren. Daarbij is een proportionaliteitstoets nog steeds heel wel denkbaar, en de strafrechtklassiekers van de Huizense veearts (HR 27-06-1932 NJ 1933, 60 enHR 20-02-1933, NJ 1933, 918) indachtig hebben we het in de kern over een concrete uitwerking van het ontbreken van de materiële wederrechtelijkheid. Hoe in een geval als dat van Nieuwe Revu een beroep op een (geconcretiseerde) materiële wederrechtelijkheid zou kunnen slagen is mij een raadsel.

Ook de door SOLV geuite vrees dat de door de rechtbank Utrecht veroordeelde vervalser van OV-chipkaarten niet vervolgd had kunnen worden lijkt mij onterecht. Om te beginnen was het inzetten van de wet computercriminaliteit in dit geval al het gebruik van een kanon om een mug te beschieten (zie ook IT 183) die voorbij ging aan de kern van het misdrijf: het vervalsen van waardekaarten (art. 232 Sr). Daarnaast is het heel wel mogelijk een aantal critieria te formuleren om een dergelijk beroep kans van slagen te geven. Men kan denken aan cumulatieve eisen als:

En hoewel een dergelijke strafuitsluitingsgrond een stap in de goede richting zou zijn, zijn andere manieren om een dergelijke ‘klokkeluidersbescherming’ in te voeren denkbaar. Mijn voorkeur zou uitgaan naar een grondige herziening van het wetboek van strafrecht en de delictsomschrijving van de computervredebreuk meer in lijn te brengen met die van de huisvredebreuk. Een minder optimale weg is het door de Minister van Justitie uitvaardigen van richtlijnen voor het Openbaar Ministerie die hetzelfde zouden behelzen als de hierbovengenoemde criteria.

Oerlemans en SOLV vinden dat de afweging van algemeen belang tegenover het al dan niet ongeautoriseerd toegang hebben tot een computersysteem per definitie in handen van de rechter moet blijven. Voor mij is de gedachte dat degenen die de kwaliteit van de informatiebeveiliging in de praktijk beter blijken te kunnen beoordelen dan de systeemeigenaar daarbij ook enige ruimte krijgen om een meer ethische afweging temaken bepaald minder vreeswekkend dan de gedachte dat omwille van het rechtsmonopolie van de rechter beveiligingslekken vooral geconstateerd zullen worden door beveiligingsbedrijven en de echte kwaadwillenden. Waarbij ik de beveiligingsbedrijven zeker geen kwaad hart toedraag, het zijn er alleen zo weinig in verhouding tot de echte kwaadwillenden.

Walter van Holst

HvJ EU 15 september 2011, zaak C-347/09 (Jochen Dickinger en  Frans Ömer)

prejudiciële vragen gesteld door Bezirksgericht Linz, Oostenrijk

Een monopolie op het bedrijfsmatig voeren van een internetcasino is te rechtvaardigen alleen wanneer er coherent en stelselmatig risico's die gepaard gaan met zulke spelen bestrijd. In het kader van proportionaliteitstoetsing hoeven nationale gerechten monitoring en controle systemen van bedrijven gevestigd in andere lidstaten niet in ogenschouw te nemen.

56      In deze context moet er in het bijzonder aan worden herinnerd dat een nationale wettelijke regeling slechts geschikt is om de aangevoerde doelstelling te verwezenlijken, wanneer deze verwezenlijking coherent en stelselmatig wordt nagestreefd. De verwijzende rechter dient zich er dus van te vergewissen dat de betrokken beperkende regeling, met name gelet op de concrete wijze waarop zij wordt toegepast, daadwerkelijk beantwoordt aan de bekommernis de gelegenheden tot gokken te verminderen en de activiteiten op dit gebied op samenhangende en stelselmatige wijze te beperken (zie in die zin arrest Stoß e.a., reeds aangehaald, punten 88, 97 en 98).

Het Hof (Vierde kamer) verklaart voor recht:

1)      Het Unierecht, en in het bijzonder artikel 49 EG, verzet zich ertegen dat een inbreuk op een monopolie voor de exploitatie van kansspelen, zoals het monopolie voor de exploitatie van onlinekansspelen waarin de in het hoofdgeding aan de orde zijnde nationale regeling voorziet, strafrechtelijk wordt bestraft indien een dergelijke regeling met dit recht in strijd is.

2)      Artikel 49 EG moet aldus worden uitgelegd dat het van toepassing is op onlinekansspelen die in de lidstaat van ontvangst door een in een andere lidstaat gevestigde marktdeelnemer worden aangeboden, hoewel deze marktdeelnemer:
– in de lidstaat van ontvangst bepaalde informatica-infrastructuur, zoals een server, heeft geïnstalleerd, en
– een beroep doet op ondersteunende informaticadiensten van een in de lidstaat van ontvangst gevestigde dienstverrichter, teneinde voor eveneens in deze lidstaat gevestigde consumenten diensten te verrichten.

3) Artikel 49 EG moet aldus worden uitgelegd dat:
a) een lidstaat die in de kansspelsector een bijzonder hoog niveau van consumentenbescherming wil garanderen, op goede gronden van mening kan zijn dat alleen de verlening van een monopolie aan een enkele organisatie die onder nauw overheidstoezicht staat, een doeltreffend middel is om de aan deze sector verbonden criminaliteit te beheersen, aansporing tot geldverkwisting door gokken te voorkomen en gokverslaving afdoende te bestrijden;
b) een nationale regeling die op het gebied van kansspelen een monopolie instelt, op grond waarvan de monopolist een expansionistisch beleid kan voeren, slechts coherent is met de doelstelling de criminaliteit te bestrijden en de gelegenheden tot gokken te beperken indien:
–  zij is gesteund op de vaststelling dat de aan kansspelen verbonden criminele en frauduleuze activiteiten en de gokverslaving in de betrokken lidstaat een probleem vormen, dat door een uitbreiding van de legale en gereglementeerde activiteiten kan worden opgelost, en
–  zij enkel gematigde reclame toestaat, die strikt beperkt is tot hetgeen nodig is om de consument in de richting van gecontroleerde kansspelcircuits te leiden;

c)      het feit dat de ene lidstaat voor een ander beschermingsstelsel heeft gekozen dan een andere lidstaat, geen invloed kan hebben op de beoordeling van de noodzaak en de evenredigheid van de ter zake getroffen regelingen. Deze dienen immers enkel te worden getoetst aan de door de bevoegde autoriteiten van de betrokken lidstaat nagestreefde doelstellingen en aan het niveau van bescherming dat zij willen waarborgen.

Met dank aan Wanda van Kerkvoorden, SOLV.

Gisteren is - gezien de ontwikkelingen van de afgelopen weken uiteraard niet onverwacht - het faillissement van DigiNotar door de Rechtbank te Haarlem uitgesproken. Het Amerikaanse moederbedrijf Vasco Data Security International Inc heeft in een verklaring aangegeven dat DigiNotar zelf de faillissementsaanvraag heeft ingediend.

Vasco's CEO T. Kendall Hunt stelt het faillissement en met name de aanleiding daarvan te betreuren, maar haast zich om in dezelfde zin de klanten gerust te stellen: "we would like to remind our customers and investors that the incident at DigiNotar has no impact on VASCO's core authentication technology. The technological infrastructures of VASCO and DigiNotar remain completely separated, meaning that there is no risk for infection of VASCO’s strong authentication business."

Een verklaring van Vasco's President Jan Valcke in hetzelfde statement vind ik dan weer wat onhandig.  “While we do not plan to re-enter the certificate authority business in the near future, we expect that we will be able to integrate the PKI/identity verification technology acquired from DigiNotar into our core authentication platform.  As a result, we expect to be able to offer a stronger authentication product line in the coming year to our traditional customers.” Nu de naam van DigiNotar, voorzichtig uitgedrukt, besmet is, vraag ik me af waarom je als Vasco juist nu zou moeten mededelen dat je alsnog hun technologie gaat integreren.

Daarnaast zet ik hier vanuit juridisch opzicht  vraagtekens bij. Om de technologie van DigiNotar te integreren zal Vasco over de intellectuele eigendomsrechten moeten beschikken. Voorzover deze al voor datum faillissement aan Vasco zijn overgedragen, kan de curator zich op het standpunt stellen dat het om een paulianeuze overdracht gaat. Vasco is pas sinds januari van dit jaar eigenaar van DigiNotar dus als er al overdracht van rechten heeft plaatsgevonden, dan zal dat kort geleden gebeurd zijn en zou de curator of een van de schuldeisers mijns inziens zeer goed kunnen aanvoeren dat deze rechtshandeling onverplicht was. De schuldeisers worden benadeeld want het actief (de rechten) zitten niet meer in de boedel en het betreft ook nog eens het handelen met een gelieerde onderneming, het moederbedrijf, waarbij het me sterk lijkt dat  Vasco de marktprijs voor de technologie heeft betaald. Kortom, ook over dit aspect van de DigiNotar-nasleep zal nog wel het nodige te doen zijn. Vasco heeft verklaard alle medewerking aan zowel de curator als de Nederlandse overheid te zullen verlenen, dus onderzoek naar deze rechtshandeling zal, als Vasco haar toezegging gestand doet, mijns inziens snel tot resultaat kunnen leiden.

Lees hier de verklaring van Vasco.

Rechtbank Amsterdam 15 september 2011, LJN BS8892 (Duizend jaar Kruiden B.V. tegen gedaagde en Synnray)

Vordering tot het verwijderen van een uitlating op een discussieplatform op internet afgewezen. De voorzieningenrechter oordeelt dat de uitlating binnen de grenzen van de vrijheid van meningsuiting valt. Vorderingen afgewezen, Proceskostenveroordeling.

4.2.  Uitgangspunt is dat toewijzing van de vorderingen van Duizend Jaar Kruiden een beperking zou inhouden van het in artikel 10 lid 1 van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) neergelegde grondrecht van gedaagden op vrijheid van meningsuiting. Een dergelijk recht kan slechts worden beperkt indien dit bij wet is voorzien en noodzakelijk is in een democratische samenleving, bijvoorbeeld ter bescherming van de goede naam en de rechten van anderen (artikel 10 lid 2 EVRM). Daarnaast dient een dergelijke beperking proportioneel te zijn. Van een beperking die bij de wet is voorzien is sprake, wanneer de uitlatingen van gedaagden onrechtmatig zijn in de zin van artikel 6:162 van het Burgerlijk Wetboek (BW). Voor het antwoord op de vraag of dit het geval is, dienen alle omstandigheden van het betrokken geval in ogenschouw te worden genomen.

4.4.  Bij het oordeel dat [gedaagde 1] is gebleven binnen de grenzen van het recht op vrijheid van meningsuiting, is van belang dat in dit kort geding niet kan worden vastgesteld wat de betekenis is van het woord nima waarvan [gedaagde 1] veelvuldig gebruik heeft gemaakt. Volgens de door Duizend Jaar Kruiden ingeschakelde vertaler (L.M. Petit) betekent nima “fuck your mother”. Duizend Jaar Kruiden heeft daaraan de conclusie verbonden dat dit woord, met name in de Chinese cultuur, een uiterst beledigend scheldwoord is. Daarentegen zijn door gedaagden twee andere verklaringen in het geding gebracht van M.S. Lee en P.N. Kuiper, beiden net als Petit beëdigd vertalers. Uit de verklaring van Kuiper blijkt dat nima een versluierde uitdrukking is, populair onder jongeren op het internet, die letterlijk “jouw moeder” kan betekenen en waarmee een op dubbelzinnigheid gericht komisch effect wordt beoogd (vergelijkbaar met het Nederlandse “potdorie”). Uit de verklaring van Lee blijkt eveneens dat nima op dit moment een populair woord is dat door jongeren op het internet wordt gebruikt. Het woord kent heel veel betekenissen, aldus Lee. Nima zal volgens Lee op de langere termijn in de vergetelheid raken. Ook hij wijst op het komisch effect van het woord en hij vergelijkt het met het Nederlandse woord “jeetje”. Gezien de tegenstrijdige vertalingen/verklaringen kan op voorhand niet worden gezegd dat de betekenis van het woord nima dermate grievend of beledigend zou zijn, dat dit de uitlatingen van [gedaagde 1] onrechtmatig zou maken. Derhalve kunnen ook op deze grond de vorderingen jegens [gedaagde 1] niet worden toegewezen.

4.5.  Ook het beroep van Duizend Jaar Kruiden op de Non-disclosure bepaling uit de overeenkomst (zie 2.1) faalt. De informatie die [gedaagde 1] op het internet heeft prijsgegeven kan voorshands niet worden aangemerkt als “any information of a confidential nature concerning the Employer”, zoals de desbetreffende bepaling voorschrijft. [gedaagde 1] deelt haar persoonlijke ervaringen met anderen. Het is niet zo dat zij vertrouwelijke of concurrentiegevoelige informatie van of over Duizend Jaar Kruiden openbaar heeft gemaakt. De voorzieningenrechter is bovendien van oordeel dat het belang van Duizend Jaar Kruiden dat andere potentiële werknemers zich niet laten afschrikken door de ervaringen van [gedaagde 1], in de gegeven omstandigheden minder zwaar dient te wegen dan de vrijheid van meningsuiting van [gedaagde 1].

4.7.  Tot slot heeft Duizend Jaar Kruiden nog bezwaar gemaakt tegen de foto’s van haar bedrijfsruimte op gogodutch. Onduidelijk is echter wie die foto’s (die overigens een neutraal karakter hebben) heeft geplaatst en – mocht op die foto’s auteursrecht rusten – wie de maker van die foto’s is. Dit bezwaar van Duizend Jaar Kruiden dan derhalve niet bijdragen tot het toewijzen van (een van) de vorderingen.

4.8.  Nu de vorderingen worden afgewezen, zal Duizend Jaar Kruiden in de proceskosten worden veroordeeld. Deze kosten worden aan de zijde van [gedaagde 1] begroot op € 71,- aan griffierecht en € 816,- aan salaris advocaat. Aan de zijde van Synnray worden de kosten begroot op € 568,- aan griffierecht en op € 816,- aan salaris advocaat.

Exploot van betekening, mét renteberekening 7 juli 2011
Hof Amsterdam 25 januari 2011, zaak 106.001.132/01 (Acanthis Information Systems B.V. tegen Virage B.V.)
Hof Amsterdam 16 februari 2010, zaak 106.001.132/01
Hof Amsterdam 10 april 2008, zaak 106.001.132
Hof Amsterdam 5 juli 2007, rolnr 1783-03
Hof Amsterdam 28 september 2006, rolnr 1783-03

Met dank aan Nanda Ruyters, BRight advocaten

Na een viertal tussenarresten is er een eindarrest gewezen door het Hof Amsterdam in navolging van een vonnis Rechtbank Haarlem 27 augustus 2003, HA ZA 03-49.

Uitgebreide bespreking van de feiten en grieven: Virage heeft van Acanthis het programma DocBase C/S gekocht en specifiek de versie 5.1.c hiervan, versie 5.1.d en 5.1.e zijn tevens bij Virage geïnstalleerd. Acanthis vordert €25.603,38 met (contractuele) rente en kosten, in reconventie vordert Virage ontbinding van de overeenkomst en €11,134 als schadevergoeding.

Acanthis verweert zich, niet-succesvol, door te stellen dat Virage haar niet tijdig, binnen 30 dagen, in kennis heeft gesteld. De termijn die Virage heeft aangegeven ter reparatie zijn redelijk, de facturen hoeven naar maatstaven van redelijkheid en billijkheid niet te worden voldoen dan nadat voldoende zeker was dat haar een deugdelijk software-product is geleverd. Bewijsopdracht betreft de ondeugdelijkheid (Hof 28 september 2006).

Getuigenverhoor is wenselijk om dit te bewijzen, Acanthis acht het zinloos, maar gaat uiteindelijk om. Eén deskundige wordt gekozen, waarvan akte moet worden genomen (Hof 5 juli 2007). Die akte wordt niet genomen door Acanthis en Hof benoemd andere deskundige waartegen geen bezwaar is gemaakt en formuleerd de gestelde vragen (Hof 10 april 2008). Hof oordeelt, nadat deskundige heeft aangegeven de gestelde vragen niet te kunnen beantwoorden, dat Virage de mogelijkheid moet worden geboden om bewijs te leveren middels getuigen.

Inhoudelijk: verklaringen leveren bewijs dat niet het resultaat dat men ervan verwachtte, maar geen oorzaak in gebreken aan de software. Overeenkomst en de voortvloeiende verplichtingen dient Virage na te komen. In conventie: betaling van €26.601,38 echter wel vermeerderd met de contractuele rente (á 2% per maand). Dit heeft tot een grote exponentiële gegroeide som geleid, van de hoofdsom á €26.601,38 naar €263.537,84 na berekening van de contractuele rente.

2.6.1 Weliswaar verklaren deze getuigen dat de door Acanthis geleverde software niet deed wat die behoorde te doen, maar geen van de getuigen heeft iets kunnen verklaren over de oorzaak van de problemen, zodat niet als vaststaand kan worden aangenomen dat de oorzaak van een en ander gelegen is in gebrekkigheid van de geleverde software.

2.7. Op grond van het vorenstaande moet worden geconcludeerd dat Virage wel geslaagd is in het bewijs dat het werken door haar met de Acanthis geleverde software niet het resultaat had dat men ervan verwachtte, maar niet in het bewijs dat de oorzaak daarvan lag in gebreken aan die software, hetgeen Acanthis steeds gemotiveerd heeft betwist, waartoe zij onder meer heeft aangevoerd dat de oorzaak van de problemen ligt in het verkeerd gebruik door Virage van DocBase.

Drie maal Antwoord op kamervragen van Minister Opstelten (Veiligheid en Justitie) inzake Amerikaanse bedrijven die in Europese clouddata kan meekijken
Aanhangelsen II, 3514, vergaderjaar 2010–2011, nr. 3178 
Aanhangelsen II, 3515, vergaderjaar 2010–2011, nr. 3180
Aanhangelsen II, 3516, vergaderjaar 2010–2011, nr. 3182

Een selectie uit nr. 3182
Vraag 3 Wordt er door de Nederlandse overheid, door Nederlandse agentschappen of door Nederlandse instellingen behorende tot de semi-overheid data opgeslagen door (of in samenwerking met) een Amerikaans bedrijf (of meerdere Amerikaanse bedrijven)? Zo ja, welke onderdelen van de (semi-)overheid of welke agentschappen zijn dit?

Antwoord 3 Ja, enkele onderdelen van de Rijksdienst experimenteren met Google Docs en Dropbox. Voor de Rijksdienst is uit een inventarisatie gebleken, dat de datacentra van de Rijksdienst zich op Nederlands grondgebied bevinden. Het is op dit moment niet bekend welke van deze datacentra (mede) worden beheerd door Amerikaanse bedrijven. Dit wordt op korte termijn uitgezocht.
Voorts kan gezien de omvang van de rest van de overheid en de semi-overheid ook niet worden uitgesloten dat overheidsinformatie is opgeslagen door of in samenwerking met een Amerikaans bedrijf.

Vraag 6 Is er beleid ontwikkeld om te voorkomen dat de Nederlandse overheid gegevens beheert of gaat/laat beheren op dusdanige wijze dat vreemde mogendheden (op basis van welke vorm van wetgeving dan ook) zonder nadrukkelijke toestemming van de Nederlandse overheid bij deze gegevens kunnen komen? Zo nee, waarom niet en bent u voornemens dat alsnog te ontwikkelen? Gaat de Nederlandse overheid bedrijven of instellingen waarschuwen voor het gebruik van cloud-data vanuit het perspectief van bijvoorbeeld bedrijfsspionage? Zo nee, waarom niet?

Antwoord 6 Er is nog geen beleid ontwikkeld dat specifiek gericht is op de mogelijke gevolgen van de toepassing van buitenlandse wetgeving. Wel houdt de Minister van Binnenlandse Zaken en Koninkrijksrelaties in het beleid rekening met de mogelijke consequenties van de toepassing van buitenlandse wetgeving.
Aan uw Kamer is toegezegd dat gegevens van de overheid binnen de grenzen van Nederland moeten worden opgeslagen, en dat de Rijksdienst van een gesloten Rijkscloud gebruik zal maken.
Om te voorkomen, dat gegevens van de overheid (ook over burgers) in het kader van de Patriot Wet door de Verenigde Staten kunnen worden opgevraagd kan bij uitbesteding van rekencentra in het programma van eisen een eis worden opgenomen, dat het de leverancier nooit is toegestaan gegevens van de overheid (ook over Burgers) in het kader van de Patriot Wet aan de Verenigde Staten te leveren. Dit betekent feitelijk, dat bedrijven uit de Verenigde Staten bij dergelijke aanbestedingen en opdrachten worden uitgesloten.
Wat betreft bedrijfsspionage heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties in 2010 brochures uitgebracht om instellingen en bedrijven hiervoor te waarschuwen.

Selectie uit nr. 3178:
Vraag 2 Bent u op de hoogte van het feit dat de autoriteiten van de VS zich met beroep op de Patriot Act toegang verschaffen tot persoonsgegevens opgeslagen op EU-grondgebied, door bedrijven met hoofdzetel in de VS?2 3

Antwoord 2 Het kan niet worden uitgesloten dat de relevante Amerikaanse wetgeving (zoals bijvoorbeeld 18 U.S.C. § 2703) een zodanige werking heeft dat bedrijven die een (hoofd)vestiging in de Verenigde Staten hebben verplicht kunnen worden tot het verstrekken van gegevens die door hen worden verwerkt, of waarover zij anderszins de beschikking hebben, ongeacht waar die gegevens zich bevinden. De desbetreffende wetgeving bevat geen bepalingen met betrekking tot de territoriale reikwijdte. Bovendien is het bekend dat Amerikaanse wetgeving niet zelden uitgaat van een ruime opvatting over de bescherming van Amerikaanse belangen en Amerikaanse staatsburgers. Vorderingen om toegang te krijgen tot persoonsgegevens worden doorgaans uitgevaardigd in de vorm van een rechterlijk bevel, soms na toetsing door een Grand Jury. Daarbij kan ter bescherming van onderzoeksbelangen degene tot wie het bevel zich richt worden verboden daarover enige mededeling aan derden te doen. Het niet naleven van die verplichting is met straf bedreigd. Mede om die reden is mij niet bekend of en hoe vaak de Amerikaanse autoriteiten dergelijke vorderingen hebben gedaan ten aanzien van binnen de EU opgeslagen gegevens, buiten de gebieden waarvoor een specifieke regeling bestaat, zoals passagiersgegevens en gegevens over het betalingsverkeer.

Vraag 6 Welke stappen gaat u ondernemen om deze situatie te corrigeren en om juridische duidelijkheid te scheppen voor bedrijven en burgers over de bescherming van persoonsgegevens opgeslagen binnen de EU?

Antwoord 6 Het conflict van plichten dat kan ontstaan ten gevolge van de toepassing van Amerikaanse wetgeving is niet beperkt tot Nederland, maar treft alle lidstaten van de EU op vergelijkbare wijze. Het ligt daarom op de weg van de Europese Commissie om hiervoor een oplossing te vinden in overleg met de Amerikaanse autoriteiten. De Europese Commissie is van deze problematiek op de hoogte.

Brief van minister van Binnenlandse Zaken en Koninkrijkrelateis en van de Minister van Veiligheid en justitie inzake Diginotar, Kamerstukken II 2010-2011, 26 643, nr. 188.

Met daarin o.a. opgenomen: Genomen besluiten en ingezette acties (technisch en juridisch)

De volgende maatregelen zijn genomen om de ontstane situatie zo snel mogelijk te beheersen:
Technische maatregelen

– Het Kabinet heeft het vertrouwen opgezegd in het bedrijf DigiNotar en alle door hen geleverde diensten en certificaten en het operationele beheer van de systemen voor het verstrekken van certificering overgenomen. ICT-veiligheidsspecialisten worden hierbij betrokken om de overgangsfase zo snel mogelijk af te ronden.
– Er is per direct een eerste inventarisatie gemaakt van de mogelijke gevolgen en passende beheersmaatregelen.
– Alle door het bedrijf afgegeven certificaten voor publieke en semi-publieke organisaties worden vervangen door certificaten van andere certificatenleveranciers nadat is gebleken dat de certificaten en diensten van de andere certificatenleveranciers betrouwbaar zijn. Voor private partijen geldt dat zij zelf een keuze voor een leverancier moeten maken.

Juridische maatregelen

– De landsadvocaat is vanaf vrijdag 2 september 2011 betrokken.
– Het Openbaar Ministerie heeft een feitenonderzoek ingesteld.
– De OPTA is intensief betrokken.
– Het Kabinet onderzoekt wie betrokken zijn bij het hacken van DigiNotar.
– Het bedrijf DigiNotar wordt aangesproken op de verantwoordelijkheid en/of aansprakelijkheid wegens nalatigheid.

Kantonrechter Rechtbank Arnhem 22 augustus 2011, LJN BS1751 (Tom Bikes tegen gedaagde)

Vergelijkbaar met IT 493. E-Commerce. Aankoop van een fiets via internet. Fiets wordt niet opgehaald op de afgesproken datum. Koper stelt bestelling telefonisch te hebben geannuleerd. Annulering wordt schriftelijk bevestigd vijf weken na de datum waarop de fiets opgehaald had zullen worden. Artikel 7:46d BW bepaalt dat koper gedurende 7 werkdagen na de ontvangst van de gekochte zaak het recht heeft de koop te ontbinden. Die termijn wordt verlengd tot drie maanden indien verkoper niet heeft voldaan aan zijn verplichting om de informatie te verstrekken die de wet voorschrijft bij een koop op afstand. Die ontbinding kan geschieden zonder opgaaf van redenen.

De strekking van deze regeling is de koper bescherming te bieden en de gelegenheid te geven om zich een volledig beeld te vormen zowel van de zaak als, aan de hand van de ontvangen informatie, van de rechten en verplichtingen die voor hem uit de koop voortvloeien. In dit geval is van de ontvangst van de gekochte zaak geen sprake geweest. Het recht van de koper om te annuleren geldt ongeacht de reden. Of het de juiste fiets was doet er dus niet toe. Waar de koper het recht heeft na ontvangst van een zaak te koop te annuleren, moet voorts aangenomen dat hij dat recht ook heeft nog voor de ontvangst van de zaak. Dat brengt mee dat koper de koop kon annuleren, ook als koper zich eenvoudigweg heeft bedacht en de fiets niets meer wilde. Beroep van verkoper op de toepasselijke voorwaarden waarin is opgenomen dat bestellingen uitsluitend geannuleerd kunnen worden indien dat geschiedt binnen 7 dagen na de bestelling, gaat niet op, nu van de hiervoor genoemde artikel niet ten nadele van de koper kan worden afgeweken (artikel 7:46j BW).

4.4.  In geschil is wanneer [gedaagden] hebben laten weten af te zien van de koop. De termijnen van artikel 7:46d BW rekenen vanaf de datum van in ontvangstneming. De kantonrechter zoekt aansluiting bij de termijn die geldt voor de levering van diensten. Daarvoor geldt een termijn van drie maanden (zie artikel 7:46d BW) te rekenen van het sluiten van de overeenkomst. Dan moet aangenomen worden dat [gedaagden] tijdig hebben geannuleerd. Niet in geschil is immers dat [gedaagden] in ieder geval bij e-mails van 26 en 28 oktober 2010 hebben laten weten niet langer prijs te stellen op levering van de fiets.

4.5.  Tom Bikes heeft een beroep gedaan op de toepasselijke voorwaarden waarin is opgenomen dat bestellingen uitsluitend geannuleerd kunnen worden indien dat geschiedt binnen 7 dagen na de bestelling. Dit beroep gaat niet op nu van de hiervoor genoemde artikelen niet ten nadele van de koper kan worden afgeweken (artikel 7:46j BW).

4.6.  Het voorgaande leidt tot de conclusie dat de vordering in hoofdsom moet worden afgewezen. De vordering voor zover deze betrekking heeft op de buitengerechtelijke incassokosten en de rente behoeft daarmee geen bespreking meer.
Tom Bikes wordt veroordeeld in de kosten van de procedure aan de zijde van [gedaagden]. Nu zij in persoon procederen worden deze kosten begroot op nihil.

Antwoord van staatssecretaris Teeven (Veiligheid en Justitie), AH 3519 2011Z16031

1 Kent u het artikel “Hoe LinkedIn leden en reclame linkt”?1 (www.volkskrant.nl, 4 augustus 2011) Herinnert u zich de eerdere Kamervragen over sociale netwerksites die inbreuk maken op de Wet bescherming persoonsgegevens? 2 (Aanhangsel Handelingen, vergaderjaar 2008-2009, nr. 912)

1 Antwoord Ja.

2 Is het waar dat de netwerksite LinkedIn accountinstellingen van gebruikers zo heeft veranderd dat foto's en namen van leden ongevraagd voor reclames kunnen worden gebruikt? Zo ja, acht u dit een inbreuk op de Wet bescherming persoonsgegevens? Wordt hiertegen opgetreden door het College bescherming persoonsgegevens? Wat kunnen gebruikers van LinkedIn hiertegen doen? Zo nee, waarom niet?
3 Deelt u de mening dat het automatisch toestemming geven voor het gebruik van gegevens door gebruikers van LinkedIn of andere sociale netwerken ongewenst is en dat er expliciet om toestemming zou moeten worden gevraagd? Zo ja, hoe gaat u er zorg voor dragen dat deze praktijk wordt aangepast? Zo nee, waarom niet?
4 Heeft LinkedIn naar uw mening genoeg gedaan om gebruikers te informeren over de genoemde verandering? Zo ja, waar blijkt dat uit? Zo nee, waarin is LinkedIn naar uw mening tekortgeschoten?

Antwoorden 2, 3 en 4 Uit voornoemd artikel maak ik op dat LinkedIn recent gebruikersinstellingen zou hebben gewijzigd, waardoor persoonsgegevens van gebruikers voor advertenties gebruikt konden worden. Uit diverse berichtgeving in de media nadien leid ik af dat LinkedIn te kennen gegeven heeft dat de gebruikersinstellingen inmiddels aangepast zijn, zodat geen namen en foto’s van gebruikers meer zichtbaar zijn in advertenties.

De Wet bescherming persoonsgegevens (Wbp) stelt eisen aan de verwerking van persoonsgegevens. Op grond van artikel 8 van de Wbp mogen slechts persoonsgegevens worden verwerkt als er een grond voor gegevensverwerking aanwezig is. Eén van de gronden voor rechtsgeldige gegevensverwerking is ondubbelzinnige toestemming van de betrokkene voor de gegevensverwerking. Ingevolge de artikelen 33 en 34 van de Wbp heeft de verantwoordelijke voor de gegevensverwerking een informatieverplichting richting de betrokkene. De Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, hebben in een gemeenschappelijk standpunt van 13 juli 2011 aanbevelingen opgesteld over het begrip toestemming, waarmee een verantwoordelijke voor de gegevensverwerking rekening kan houden3 (Zie https://www.cbpweb.nl/downloads_int/wp187_en.pdf). 

Het College bescherming persoonsgegevens (Cbp) is belast met het toezicht op de naleving van de Wbp en kan bij een geconstateerde overtreding handhavend optreden. Het is niet aan mij om te oordelen over de vraag of in een individueel geval aan de vereisten van de Wbp wordt voldaan. Betrokkenen die van mening zijn dat er sprake is van een schending van de Wbp kunnen een klacht indienen bij het Cbp.

Kantonrechter Rechtbank Rotterdam 29 juli 2011, LJN BR6951 (eiser tegen gedaagde)

Gedaagde heeft via de website van eiseres een fiets "Redy freestyler X-ray Booster 20" besteld bij Tom Bikes en heeft bij zijn bestelling aangegeven dat hij de fiets opgestuurd wilde hebben.

Op grond van de algemene voorwaarden van eiseres dient gedaagde in dit geval de koopprijs voorafgaand aan de levering te voldoen. Gedaagde heeft bezwaar tegen voorruitbetaling van de koopprijs en heeft de factuur van eiseres onbetaald gelaten. De kantonrechter oordeelt dat van gedaagde ingevolge art. 7:26 lid 1 BW geen volledige vooruitbetaling verlangd kan worden. Eiseres kan derhalve geen beroep doen op haar algemene voorwaarden. Dit brengt met zich dat dat de vordering van eiseres slechts kan worden toegewezen indien zij reeds zelf aan haar verplichtingen heeft voldaan. De kantonrechter oordeelt dat dit niet het geval is nu eiseres de fiets nog niet heeft geleverd. Voorts oordeelt de kantonrechter dat indien eiseres nog overgaat tot levering van de fiets gedaagde, gelet op het bepaalde in art. 7:46d lid 1 BW, de overeenkomst nog kan ontbinden.

4.2 [eiseres] heeft gesteld dat [gedaagde], nu hij heeft gekozen de fiets per TNT-post te verzenden, op basis van artikel 6 van haar algemene voorwaarden gehouden is het gehele aankoop bedrag voorafgaand aan de verzending te voldoen. Ingevolge artikel 7:26 lid 1 BW mag, in geval van consumentenkoopovereenkomsten, geen volledige vooruitbetaling verlangd worden. Op grond van het bepaalde in artikel 7:6 lid 1 BW mag van voormelde regel slechts worden afgeweken bij individueel overeengekomen beding. Wordt van artikel 7:26 lid 1 BW afgeweken door middel van een beding dat is opgenomen in algemene voorwaarden, dan wordt dit beding vermoed onredelijk te bezwarend te zijn en is het beding vernietigbaar. Ter zitting heeft [gedaagde] een beroep gedaan op de vernietigbaarheid van de door [eiseres] gehanteerde algemene voorwaarden, zodat [eiseres] geen beroep toekomt op artikel 6 van haar algemene voorwaarden. Nu voorts niet is gebleken dat partijen bij individueel overeengekomen beding hebben afgeweken van artikel 7:26 lid 1 BW, wordt geoordeeld dat [eiseres] niet van [gedaagde] mocht verlangen dat hij voorafgaand aan levering van de fiets het aankoopbedrag volledig zou vooruit betalen.

4.3 Het voorgaande brengt met zich dat de vordering tot betaling van de hoofdsom slechts kan worden toegewezen indien [eiseres] zelf reeds aan haar verplichtingen heeft voldaan. Voor volledige betaling van het verschuldigde bedrag door [gedaagde] is dan ook vereist dat [eiseres] de producten aan [gedaagde] heeft geleverd. Nu vaststaat dat levering van de fiets aan [gedaagde] door Tom bikes nog niet heeft plaatsgevonden is de vordering van [eiseres] op [gedaagde] nog niet opeisbaar. Derhalve dient de vordering van [eiseres] te worden afgewezen. Dit brengt met zich dat de nevenvorderingen eveneens zullen worden afgewezen.

4.4 [gedaagde] heeft aangevoerd dat hij niet langer gebonden is aan de tussen hem en [eiseres] tot stand gekomen overeenkomst, omdat hij de bestelling van de fiets geannuleerd zou hebben. Op basis van de opgenomen bepaling in de voorwaarden van de “Klantenservice” had [gedaagde] het recht om zeven dagen na bestelling van de fiets de overeenkomst te annuleren. Uit de door partijen in het geding gebrachte stukken blijkt dat [gedaagde] niet binnen deze termijn heeft geannuleerd, zodat de overeenkomst tussen partijen nog steeds van kracht is. Het voorgaande laat echter onverlet dat [gedaagde], in het geval dat [eiseres] de fiets besluit te leveren, op grond van artikel 7:46d lid 1 BW (in ieder geval) gedurende zeven dagen na ontvangst van de fiets het recht heeft om de overeenkomst zonder opgave van redenen te ontbinden.

Zie ook NJD