Rechtbank Amsterdam 13 november 2014, IT 1639 (Eiser tegen ING)
Beschikking. Wbp. Incidentenregister. Eiser heeft een zakelijke rekening bij ING. ING heeft eiser geregistreerd in het Incidentenregister. Reden hiervoor is de verdenking van het schuldwitwassen in de zin van artikel 420quater sub b Sr. Eiser betwist dat hij zich schuldig heeft gemaakt aan fraude, omdat het gebruik van zijn bankpas nog geen bewijs voor betrokkenheid vormt. Volgens eiser is daarom niet voldaan aan het proportionaliteitsvereiste. De rechtbank wijst het verzoek af.

4.6. Voor deze sterk van het normale patroon afwijkende pinbetalingen heeft [eiser] geen plausibele verklaring gegeven. Met betrekking tot de bedragen € 1.100,00 en € 1.400,00, € 2.260,00 en € 7.000,00 die op respectievelijk 26 september 2013, 16 oktober 2013 en 7 november 2013 zijn afgerekend heeft [eiser] slechts verklaard dat hij over een periode van een kleine anderhalve maand goede klandizie had van een klant met een busje, waarvan hij de naam niet kent, die beweerde dat hij een cateringbedrijf had. Daarbij zou de betaling van € 7.000,00 een betaling zijn voor een viertal aankopen waarvan drie eerder op krediet. Met betrekking tot de overige frauduleuze pintransacties heeft [eiser] in het geheel geen verdere toelichting gegeven. Terecht wijst ING in dit verband op de volgende pintransacties; € 5.000,00 op 22 februari 2013 (19:14 uur), twee betalingen met dezelfde ABN AMRO-betaalpas op 1 en 2 augustus 2013 van € 2.495,00 (19:24 uur) en € 2.493,00 (0:05 uur!); € 7.000,00 op 18 september 2013 (18:52 uur) en € 7.000,00 op 4 oktober 2013 (21:23 uur). Ter gelegenheid van de mondelinge behandeling heeft [eiser] op de vraag of hij ook maar een persoon kent of kan noemen die verantwoordelijk is geweest voor de 35 verdachte pintransacties, geantwoord dat hij die personen kent als hij ze ziet maar dat hij niet weet hoe ze heten of waar ze wonen. Hoewel de rechtbank, bij een bedrijf zoals door [eiser] wordt gevoerd, er begrip voor heeft dat leveringen ook op basis vertrouwen (lees: op krediet) plaatsvinden, acht zij het – zonder nadere toelichting die [eiser] niet heeft gegeven – onbegrijpelijk dat leveringen op krediet plaatsvinden aan iemand die je niet kent en waarvan je niet eens de (voor)naam weet of de naam van zijn bedrijf. Dit brengt met zich dat de rechtbank aan deze “verklaring” van [eiser] in het geheel geen waarde toekent.

4.7. [eiser] stelt in zijn aanvulling op het verzoek, althans zo begrijpt de rechtbank, dat hem geen verwijt kan worden gemaakt, omdat tegenover de frauduleuze pintransacties daadwerkelijk leveringen hebben gestaan. Ter onderbouwing van deze stelling heeft [eiser], thans voor het eerst, een rapport van 22 augustus 2014 van [naam 3] (zie hiervoor onder 2.14) overgelegd. Het rapport concludeert dat de gestelde frauduleuze pintransacties het resultaat zijn van daadwerkelijke leveringen. Het rapport is evenwel, volgens de ter gelegenheid van de mondelinge behandeling afgelegde verklaring van [naam 3], slechts deels gebaseerd op de werkelijke inkoopcijfers zoals die uit de door [eiser] verstrekte administratie blijken maar voor het overige op veronderstellingen en schattingen. Zo heeft [naam 3] tijdens de mondelinge behandeling verklaard dat hij steekproefsgewijze de omvang van de voorraad heeft vastgesteld. Bovendien zijn de werkelijke inkoopcijfers niet door een accountant gecontroleerd. Echter, zelfs als [eiser] voor de frauduleuze pintransacties daadwerkelijk levensmiddelen heeft geleverd, heeft ING terecht kunnen concluderen dat sprake is van schuldwitwassen. Naar het oordeel van de rechtbank had [eiser], gelet op hetgeen hiervoor onder 4.5. is overwogen, moeten begrijpen dat er iets niet in de haak was. De rechtbank wijst in dit verband ook op de door ING als productie 5 overgelegde lijst met frauduleuzepintransacties waaruit blijkt dat bijvoorbeeld op 26 september 2013 de pinbedragen steeds kleiner worden als blijkt dat de pintransacties niet lukken. De rechtbank is dan ook van oordeel dat, nu vaststaat dat (i) via de betaalautomaat van [eiser] frauduleuze transacties zijn verricht, (ii) [eiser] als enige de betaalautomaat bediende, (iii) alle grote pintransacties frauduleuze pintransacties betreffen die afwijken van de normale bedrijfsvoering van de winkel en (iv) [eiser] geen enkele plausibele verklaring heeft gegeven voor deze transacties, ING terecht heeft concluderen dat sprake is van een zwaardere verdenking dan een redelijk vermoeden van schuld van betrokkenheid bij in elk geval (schuld)witwassen.

4.8. Tot slot dient de rechtbank een belangenafweging te maken en te beoordelen of voldaan is aan de proportionaliteitsvereiste. De persoonsgegevens van [eiser] zijn voor de duur van acht jaar opgenomen in de betreffende registers. Ter gelegenheid van de mondelinge behandeling heeft ING toegelicht dat de persoonsgegevens bij fraude in beginsel altijd voor de duur van acht jaar worden opgenomen, tenzij sprake is van verzachtende omstandigheden. Daarbij moet worden gedacht aan persoonlijke omstandigheden zoals een jeugdige leeftijd en de omvang van de gepleegde fraude. Het is begrijpelijk, zoals ING ook heeft aangegeven, dat [eiser] nadeel ondervindt van de opname in de registers en met name dat hij in de winkel geen gebruik meer kan maken van een betaalautomaat. Hier staat tegenover dat slechts 1/3 deel van alle betalingen via de pin verliepen en dus niet zijn hele inkomen is komen te ontvallen. Daar komt bij dat [eiser] tijdens de mondelinge behandeling wel heeft verklaard dat het slechter gaat met de winkel, maar dat hij van die stelling geen enkel bewijs heeft overgelegd. De omstandigheid dat het (mogelijk) enigszins slechter gaat met de zaak weegt overigens niet op tegen het belang van ING en de overige banken dat betaalautomaten niet worden gebruikt voor fraude.

Rechtbank Gelderland 19 november 2014, IT 1638 (Spitters Elektrotechniek tegen Electel e.a.)
Koopovereenkomst. Koop van standaard softwareapplicaties waarvan de samenstelling van onderdelen op de wensen van koper (eiseres) is afgestemd. Eiseres heeft onvoldoende gesteld voor de conclusie dat gedaagde is tekortgeschoten in de nakoming en dat dit grond was voor ontbinding. Niet gebleken van tijdige en concrete klachten over het geleverde. Geen verzuim. De rechtbank wijst de vorderingen af.

5.3  (...) Ook als het gaat om koop, mag in het geval dat het om software gaat, worden aangenomen dat de vraag of een beroep op een gebrek in de software tijdig gedaan is, onder meer afhangt van het antwoord op de vraag wanneer de koper, mede gelet op de belangen van de verkoper, redelijkerwijs kennis heeft kunnen nemen van het functioneren van de software.

5.4. Niet is gesteld of gebleken, terwijl het van de zijde van Electel betwist wordt, dat op de levering van de gekochte software tijdig een klacht is gevolgd. Onduidelijk is namelijk gebleven welke klacht dat zou zijn en wanneer er zou zijn geklaagd.

5.12. De rechtbank verwerpt het standpunt van Spitters dat Electel de door Spitters gestelde tekortkomingen erkende en reeds daarom zonder ingebrekestelling in verzuim was. De rechtbank komt in de eerste plaats tot dit oordeel op grond van wat zij onder 5.11 heeft overwogen. In de tweede plaats blijkt niet dat Electel, voor zover zij al instemde met de noodzaak de software nader aan te passen, hiermee door Spitters naar voren gebrachte klachten en/of bezwaren integraal erkende – zulks stelt Spitters ook niet –, en in de derde plaats blijkt niet dat Electel herstel c.q. aanpassing geweigerd heeft.

5.20. (...) Wat er ook zij van de constatering van beide partijen dat bij de uitvoering van tenminste een van de projecten waarin software die Electel geleverd had, moest worden toegepast, er aanpassingen nodig waren, het oordeel van de rechtbank luidt dat Spitters onvoldoende heeft gesteld om haar conclusies te kunnen dragen dat Electel tekortgeschoten is in de nakoming van de overeenkomst en dat dit ontbinding van de overeenkomst heeft gerechtvaardigd.

5.21. Samengevat ligt aan dit oordeel ten grondslag dat Spitters’ betoog dat er door Electel software ontwikkeld is, is verworpen en dat van tijdige en concrete klachten over hetzij het gekochte hetzij daaraan verrichte aanpassingswerkzaamheden niet gebleken is. Er is daarmee geen moment aanwijsbaar waarop Electel in verzuim verkeerde en ontbinding van de overeenkomst gerechtvaardigd was. Hiermee is de grondslag van Spitters’ vordering verworpen.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) zet vraagtekens bij het wetsvoorstel waarin wordt geregeld dat de privacytoezichthouder een bestuurlijke boete voor overtredingen van de privacywetgeving kan opleggen. Dit wetsvoorstel is vandaag door de staatssecretaris van Veiligheid en Justitie aan de Tweede Kamer gezonden.

Het CBP pleit al langere tijd voor een boetebevoegdheid. De verwachting is dat een boetebevoegdheid bedrijven en overheden zal stimuleren om aan de bestuurstafel na te denken over de bescherming van persoonsgegevens.

De voorgestelde werkwijze in het wetsvoorstel maakt echter dat het CBP niet snel en effectief zal kunnen optreden tegen grove schendingen van de privacywetgeving. “Dit wetsvoorstel leidt niet tot een betere naleving van de Wet bescherming persoonsgegevens”, aldus de voorzitter van het CBP Jacob Kohnstamm. “De roep in de samenleving is om een waakhond met tanden. Nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven."

Met samenvatting van Bartosz Sujecki, Bavelaar & Bavelaar. Uit het persbericht: BGH stelt prejudiciële vragen aan het Hof van Justitie over de uitleg van de EU-privacyrichtlijn. In deze procedure gaat het om het opslaan van dynamieke IP-adressen. Daarbij gaat het om IP-adressen die bij een bezoek van een website door de website zelf worden opgeslagen. In deze procedure worden de IP-adressen op websites van de Duitse overheid opgeslagen. Met zijn prejudiciële vragen wil de BGH weten, of IP-adressen als persoonsgebonden gegevens moeten worden beschouwd.

Het BGH heeft twijfels of dit het geval is, omdat hiermee geen rechtstreekse identificatie van een persoon mogelijk is en bovendien de ISP geen informatie omtrent de indentiteit van de gebruiker aan de bevoegde instanties mocht verstrekken. Indien het Hof van oordeel is dat het bij IP-adressen om persoonsgebonden gegevens gaat, wil de BGH van het Hof weten of het op grond van de EU-privacyrichtlijn mogelijk is om een bepaling in de nationale wetgeving op te nemen, waarmee het opslaan van een IP-adres mogelijk is, indien dit noodzakelijk is voor het gebruik van de website. In dit geval mag het opslaan niet langer duren dan het bezoek van de website.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft kennis genomen van de reactie van het kabinet op de uitspraak van het Europees Hof van Justitie over de bewaarplicht verkeersgegevens. Het Hof bepaalde in mei van dit jaar dat een algemene bewaarplicht van verkeersgegevens in strijd is met het fundamentele recht op de bescherming van persoonsgegevens zoals dat is verankerd in Europees recht. Uit een brief die gisteren aan de Tweede Kamer is gezonden blijkt dat het kabinet voor Nederland desalniettemin vasthoudt aan de opslag van verkeersgegevens. Het CBP zal de kabinetsreactie en het bijbehorende in consultatie gegeven wetsvoorstel zorgvuldig bestuderen. In eerdere adviezen benadrukte het CBP een aantal keer dat aangetoond moet worden waarom het bewaren van deze gegevens noodzakelijk zou zijn.
Lees verder

Uit het persbericht: Onlangs is ISO 37500:2014 ‘Richtlijn bij outsourcing’ verschenen. Deze richtlijn behandelt de belangrijkste fasen, processen en ‘governance’-aspecten van outsourcing. De richtlijn is toepasbaar voor alle typen organisaties en sectoren van elke grootte en biedt ondernemingen en overheidsdiensten een goede basis om op succesvolle wijze te outsourcen en het proces te optimaliseren gedurende de hele contractperiode.
Lees verder

RCC 4 november 2014, IT 1636 (Layered Voice Analysis)
Aanbeveling. Misleiding. Voornaamste kenmerken product. De uiting: Het betreft een uiting op https://tinyurl.com/kbuesc7. Daarin staat onder meer: “Onze state-of-the-art stemanalyse-oplossingen leiden tot aansprekende resultaten op het gebied van onder meer fraudedetectie en –preventie. De unieke en gepatenteerde ‘Layered Voice Analysis (LVA)’-technologie vormt hiervoor de basis”. De klacht: De bewering is misleidend. De wetenschappelijke literatuur is helder over de ineffectiviteit van LVA om frauduleuze meldingen en aanverwante vormen van deceptie op te sporen.

    Klagers hebben de juistheid van de mededeling “De oplossing (….) is 85 tot 90% nauwkeurig” gemotiveerd weersproken, onder verwijzing naar diverse met name genoemde onderzoeken en de vindplaatsen daarvan. In reactie hierop heeft adverteerder de juistheid van voornoemde mededeling niet, althans onvoldoende aannemelijk gemaakt; adverteerder heeft volstaan met de stelling dat “tal van onderzoeken” het tegendeel bewijzen van klagers stellingen en dat -samengevat- de ervaringen van adverteerders klanten in de praktijk bij deze onderzoeken aansluiten. Adverteerder heeft bedoelde onderzoeken niet nader genoemd noch toegelicht.

    Gelet op het voorgaande is de Commissie van oordeel dat de bestreden reclame gepaard gaat met onjuiste informatie ten aanzien van de van het gebruik van het product te verwachten resultaten als bedoeld in artikel 8.2 aanhef en onder b van de Nederlandse Reclame Code (NRC). Nu de gemiddelde consument er bovendien toe kan worden gebracht een besluit over een transactie te nemen dat hij anders niet had genomen, is de uiting misleidend en daardoor oneerlijk in de zin van artikel 7 NRC.

CBb 10 november 2014, IT 1635 (Adaptive and Mobile tegen Minister EZ)
Afwijzing aanvraag subsidie op grond van de Subsidieregeling innoveren (Regeling) op de grond dat appellante niet aannemelijk heeft gemaakt dat het (ICT) project 'Digeketen' waarvoor subsidie is aangevraagd een technisch ontwikkelingsproject is als bedoeld in artikel 3.1 van de Regeling.

4.5.3. Na de hoorzitting is appellante door verweerder in de gelegenheid gesteld om nadere informatie over onder meer de technische risico’s te verstrekken. In een brief van 27 september 2012 met bijlagen heeft appellante de technische risico’s van het project als volgt omschreven:
“Hierdoor ontstaan twee resterende knelpunten. Als er duizenden functionaliteiten in zijn hoe weet je dat die er zijn (door de bomen het bos niet meer zien). Naast de hoeveelheid functionaliteiten speelt het probleem hoe breng je technische functionaliteiten over naar gebruikerstermen. Voor het oplossen bij het laatste probleem denken we aan het verbinden van sleutelwoorden aan de technische termen en het realiseren van een woordenboek of het groeperen via relevante contexten. Maar gezien het snel groeiende aantal functionaliteiten in de softwarewereld loop je snel achter de feiten aan. Mogelijke oplossing waaraan gedacht wordt zijn 3-D technieken (..) Het risico is dat we geen vertaalmiddel vinden van de apps naar het 3-D visuele programma. Een andere oplossing is het zoeken en filteren naar gewenste functionaliteiten volgens een bedrijfsmodel waarin je volgens logische stappen en structuren stapsgewijs filtert en zo een overzichtelijk aantal functionaliteiten overhoudt en kan doen wat je wilt. Een andere optie is het stroomschema waar je via zogenaamde schakelingen toewerkt naar wat je nodig hebt.”
4.5.4. Naar het oordeel van het College heeft verweerder deze informatie in redelijkheid onvoldoende kunnen achten om zijn oordeel dat niet is gebleken dat sprake is van een technisch ontwikkelingsproject, te herzien. Niet gebleken is dat verweerder de door appellante verstrekte informatie niet goed zou hebben gelezen, zoals appellante stelt. Uit de stukken volgt dat verweerder steeds voldoende moeite heeft gedaan om uit de door appellante verstrekte gegevens de benodigde - technische - informatie te halen.

4.6. Dit leidt tot de conclusie dat verweerder het project in redelijkheid kon aanmerken als niet zijnde een technisch ontwikkelingsproject. Wat partijen hebben aangevoerd met betrekking tot de subsidiaire afwijzingsgronden behoeft derhalve geen bespreking.

Rechtbank Noord-Holland 5 november 2014, IT 1634 (Complan tegen Qsinc c.s.)
Uitspraak en samenvatting ingezonden door Mark Jansen, Dirkzwager. Voormalige medewerker van (en later freelancer voor) Complan, en later Digipractice. Complan beschuldigt medewerker en Digipractice (als leveranciers) en SKU (als gebruiker) van auteursrechtinbreuk op tandheelkundige software die door SKU wordt gebruikt. Complan wordt aangemerkt als auteursrechthebbende op de grafische gebruikersinterface (5.4), maar niet op de iconen (5.3) en de databasestructuur (5.5).  Van inbreuk op de broncodes op de gebruiksinterface is geen sprake, aangezien daarvoor te weinig is gesteld (5.7-5.15). Van inbreuk op de grafische interface is ook geen sprake, aangezien de verschillen te groot zijn, te weinig is onderbouwd of de overeenstemming functioneel van aard is (5.16-5.22).

Het beroep op rechtsverwerking c.q. het bestaan van een vaststellingsovereenkomst wordt door de rechtbank gelet o het voorgaande in het geheel niet meer behandeld (5.23). Partijen hadden in het verleden namelijk reeds een (uitvoerige) discussie over deze kwestie gevoerd, naar aanleiding waarvan in 2008 een deskundigenbericht was uitgebracht (zie r/o 2.6 e.v.).
De rechtbank doet deze zaak – met voorafgaand bewijsbeslag, provisionele vordering tot inzage met tussenvonnis en twee schriftelijke rondes – vervolgens qua proceskosten af als eenvoudige zaak (5.25). Volgens de rechtbank is over de proceskosten geen BTW verschuldigd (ook al kan SKU deze niet verrekenen).

Brief versterking van DigiD, kamerstukken II 2014-2015, 26 643, nr. 332 - lijst vragen/antwoorden nr. 333
Naar aanleiding van berichtgeving rondom de veiligheid van DigiD in een tv-uitzending van Opgelicht! op 18 oktober 2014 hebben de regering en minister de Tweede Kamer als volgt geïnformeerd:

2. Recent doorgevoerde maatregelen
– Er worden voortaan e-mails verstuurd aan burgers bij belangrijke wijzigingen aan hun DigiD, zoals bij het wijzigen van een wachtwoord. Op die manier wordt het makkelijker voor burgers om misbruik van hun DigiD te herkennen.
– Op dit moment worden DigiD activeringscodes in kwetsbare postcodegebieden thuisbezorgd. In totaal zijn in 2014 ca. 7500 brieven thuisbezorgd per koerier.
– Er zijn maatregelen tegen DDoS-aanvallen genomen. Dit is belangrijk voor de beschikbaarheid en continuïteit van DigiD maar ook voor de veiligheid.
– Onlangs is DigiD beveiligd om het mogelijk te maken beter de integriteit en authenticiteit van de website te controleren en phishing te bemoeilijken.

3. Nog door te voeren maatregelen ter versterking van DigiD

Het komend jaar wordt er naar alternatieven voor de bestaande twee-factor authenticatie met SMS (DigiD Midden) gekeken, die tegen lagere kosten op grote schaal kunnen worden toegepast. Dit kan bijvoorbeeld een app zijn waarmee een extra verificatiecode op smartphone of tablet kan worden ontvangen. De eerste pilots starten naar verwachting medio 2015.
Om een nog grotere mate van zekerheid over iemands identiteit te verkrijgen bij het inloggen t.o.v. DigiD Midden met SMS, wordt er een aantal mogelijkheden onderzocht waarbij er een extra controle plaatsvindt, nadat iemand is ingelogd met DigiD, door het uitlezen van gegevens op de chip van een wettelijk identiteitsdocument (bv identiteitskaart, rijbewijs). Die gegevens worden vervolgens geverifieerd aan de hand van de betreffende documentregisters. Hiermee wordt het mogelijk om digitaal diensten aan te bieden die dat hogere betrouwbaarheidsniveau vereisen.

Mede naar aanleiding van de aanbeveling van de Algemene Rekenkamer, wordt ook uitvoering gegeven aan een Actieplan voor het oplossen van de bevindingen op DigiD. Hiermee zal de robuustheid van DigiD verder toenemen. Inmiddels zijn enkele van de bevindingen opgelost. Zoals eerder gemeld wordt er naar gestreefd ook de overige bevindingen vóór het einde van het jaar op te lossen.

20 Wat gaat u doen om de slachtoffers te helpen die er nu al zijn in verband met ongeautoriseerde toegang tot DigiD?
21 Bent u voornemens een afdeling op te zetten die casus van benadeelden beoordeeld? Zo ja, hoe wordt die vormgegeven? Of ligt die bevoegdheid, of blijft die bevoegdheid liggen, bij respectievelijk Logius en de afnemers? Welk risico houdt dat in voor het afschuiven van problemen binnen de keten?
22 Vindt u het terecht dat mensen, die buiten hun eigen schuld slachtoffer worden van veiligheids-problemen rond DigiD, bijvoorbeeld door uit de brievenbus geviste brieven, geld, dat ze nooit hebben aangevraagd en nooit hebben ontvangen, moeten terugbetalen aan de overheid?
In de uitzending kwamen enkele slachtoffers van fraude via DigiD aan het woord. Deze fraudegevallen staan overigens los van de betreffende kwetsbaarheid.
De inzet van de overheid is slachtoffers snel te helpen en schadeloos te (doen) stellen. Slachtoffers van identiteitsfraude kunnen ook altijd bij het Centraal Meldpunt Identiteitsfraude terecht. Bij vastgestelde fraude wordt altijd aangifte gedaan. Wel blijkt zorgvuldig onderzoek van groot belang omdat helaas blijkt dat niet altijd op voorhand eenvoudig vast te stellen is wat er precies gebeurd is en daders en slachtoffers niet altijd eenduidig te onderscheiden zijn. De zaken van de in uitzending aan het woord gekomen slachtoffers worden nader onderzocht.