Uit het persbericht: Het College bescherming persoonsgegevens (CBP) zet vraagtekens bij het wetsvoorstel waarin wordt geregeld dat de privacytoezichthouder een bestuurlijke boete voor overtredingen van de privacywetgeving kan opleggen. Dit wetsvoorstel is vandaag door de staatssecretaris van Veiligheid en Justitie aan de Tweede Kamer gezonden.

Het CBP pleit al langere tijd voor een boetebevoegdheid. De verwachting is dat een boetebevoegdheid bedrijven en overheden zal stimuleren om aan de bestuurstafel na te denken over de bescherming van persoonsgegevens.

De voorgestelde werkwijze in het wetsvoorstel maakt echter dat het CBP niet snel en effectief zal kunnen optreden tegen grove schendingen van de privacywetgeving. “Dit wetsvoorstel leidt niet tot een betere naleving van de Wet bescherming persoonsgegevens”, aldus de voorzitter van het CBP Jacob Kohnstamm. “De roep in de samenleving is om een waakhond met tanden. Nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven."

Met samenvatting van Bartosz Sujecki, Bavelaar & Bavelaar. Uit het persbericht: BGH stelt prejudiciële vragen aan het Hof van Justitie over de uitleg van de EU-privacyrichtlijn. In deze procedure gaat het om het opslaan van dynamieke IP-adressen. Daarbij gaat het om IP-adressen die bij een bezoek van een website door de website zelf worden opgeslagen. In deze procedure worden de IP-adressen op websites van de Duitse overheid opgeslagen. Met zijn prejudiciële vragen wil de BGH weten, of IP-adressen als persoonsgebonden gegevens moeten worden beschouwd.

Het BGH heeft twijfels of dit het geval is, omdat hiermee geen rechtstreekse identificatie van een persoon mogelijk is en bovendien de ISP geen informatie omtrent de indentiteit van de gebruiker aan de bevoegde instanties mocht verstrekken. Indien het Hof van oordeel is dat het bij IP-adressen om persoonsgebonden gegevens gaat, wil de BGH van het Hof weten of het op grond van de EU-privacyrichtlijn mogelijk is om een bepaling in de nationale wetgeving op te nemen, waarmee het opslaan van een IP-adres mogelijk is, indien dit noodzakelijk is voor het gebruik van de website. In dit geval mag het opslaan niet langer duren dan het bezoek van de website.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft kennis genomen van de reactie van het kabinet op de uitspraak van het Europees Hof van Justitie over de bewaarplicht verkeersgegevens. Het Hof bepaalde in mei van dit jaar dat een algemene bewaarplicht van verkeersgegevens in strijd is met het fundamentele recht op de bescherming van persoonsgegevens zoals dat is verankerd in Europees recht. Uit een brief die gisteren aan de Tweede Kamer is gezonden blijkt dat het kabinet voor Nederland desalniettemin vasthoudt aan de opslag van verkeersgegevens. Het CBP zal de kabinetsreactie en het bijbehorende in consultatie gegeven wetsvoorstel zorgvuldig bestuderen. In eerdere adviezen benadrukte het CBP een aantal keer dat aangetoond moet worden waarom het bewaren van deze gegevens noodzakelijk zou zijn.
Lees verder

Uit het persbericht: Onlangs is ISO 37500:2014 ‘Richtlijn bij outsourcing’ verschenen. Deze richtlijn behandelt de belangrijkste fasen, processen en ‘governance’-aspecten van outsourcing. De richtlijn is toepasbaar voor alle typen organisaties en sectoren van elke grootte en biedt ondernemingen en overheidsdiensten een goede basis om op succesvolle wijze te outsourcen en het proces te optimaliseren gedurende de hele contractperiode.
Lees verder

RCC 4 november 2014, IT 1636 (Layered Voice Analysis)
Aanbeveling. Misleiding. Voornaamste kenmerken product. De uiting: Het betreft een uiting op https://tinyurl.com/kbuesc7. Daarin staat onder meer: “Onze state-of-the-art stemanalyse-oplossingen leiden tot aansprekende resultaten op het gebied van onder meer fraudedetectie en –preventie. De unieke en gepatenteerde ‘Layered Voice Analysis (LVA)’-technologie vormt hiervoor de basis”. De klacht: De bewering is misleidend. De wetenschappelijke literatuur is helder over de ineffectiviteit van LVA om frauduleuze meldingen en aanverwante vormen van deceptie op te sporen.

    Klagers hebben de juistheid van de mededeling “De oplossing (….) is 85 tot 90% nauwkeurig” gemotiveerd weersproken, onder verwijzing naar diverse met name genoemde onderzoeken en de vindplaatsen daarvan. In reactie hierop heeft adverteerder de juistheid van voornoemde mededeling niet, althans onvoldoende aannemelijk gemaakt; adverteerder heeft volstaan met de stelling dat “tal van onderzoeken” het tegendeel bewijzen van klagers stellingen en dat -samengevat- de ervaringen van adverteerders klanten in de praktijk bij deze onderzoeken aansluiten. Adverteerder heeft bedoelde onderzoeken niet nader genoemd noch toegelicht.

    Gelet op het voorgaande is de Commissie van oordeel dat de bestreden reclame gepaard gaat met onjuiste informatie ten aanzien van de van het gebruik van het product te verwachten resultaten als bedoeld in artikel 8.2 aanhef en onder b van de Nederlandse Reclame Code (NRC). Nu de gemiddelde consument er bovendien toe kan worden gebracht een besluit over een transactie te nemen dat hij anders niet had genomen, is de uiting misleidend en daardoor oneerlijk in de zin van artikel 7 NRC.

CBb 10 november 2014, IT 1635 (Adaptive and Mobile tegen Minister EZ)
Afwijzing aanvraag subsidie op grond van de Subsidieregeling innoveren (Regeling) op de grond dat appellante niet aannemelijk heeft gemaakt dat het (ICT) project 'Digeketen' waarvoor subsidie is aangevraagd een technisch ontwikkelingsproject is als bedoeld in artikel 3.1 van de Regeling.

4.5.3. Na de hoorzitting is appellante door verweerder in de gelegenheid gesteld om nadere informatie over onder meer de technische risico’s te verstrekken. In een brief van 27 september 2012 met bijlagen heeft appellante de technische risico’s van het project als volgt omschreven:
“Hierdoor ontstaan twee resterende knelpunten. Als er duizenden functionaliteiten in zijn hoe weet je dat die er zijn (door de bomen het bos niet meer zien). Naast de hoeveelheid functionaliteiten speelt het probleem hoe breng je technische functionaliteiten over naar gebruikerstermen. Voor het oplossen bij het laatste probleem denken we aan het verbinden van sleutelwoorden aan de technische termen en het realiseren van een woordenboek of het groeperen via relevante contexten. Maar gezien het snel groeiende aantal functionaliteiten in de softwarewereld loop je snel achter de feiten aan. Mogelijke oplossing waaraan gedacht wordt zijn 3-D technieken (..) Het risico is dat we geen vertaalmiddel vinden van de apps naar het 3-D visuele programma. Een andere oplossing is het zoeken en filteren naar gewenste functionaliteiten volgens een bedrijfsmodel waarin je volgens logische stappen en structuren stapsgewijs filtert en zo een overzichtelijk aantal functionaliteiten overhoudt en kan doen wat je wilt. Een andere optie is het stroomschema waar je via zogenaamde schakelingen toewerkt naar wat je nodig hebt.”
4.5.4. Naar het oordeel van het College heeft verweerder deze informatie in redelijkheid onvoldoende kunnen achten om zijn oordeel dat niet is gebleken dat sprake is van een technisch ontwikkelingsproject, te herzien. Niet gebleken is dat verweerder de door appellante verstrekte informatie niet goed zou hebben gelezen, zoals appellante stelt. Uit de stukken volgt dat verweerder steeds voldoende moeite heeft gedaan om uit de door appellante verstrekte gegevens de benodigde - technische - informatie te halen.

4.6. Dit leidt tot de conclusie dat verweerder het project in redelijkheid kon aanmerken als niet zijnde een technisch ontwikkelingsproject. Wat partijen hebben aangevoerd met betrekking tot de subsidiaire afwijzingsgronden behoeft derhalve geen bespreking.

Rechtbank Noord-Holland 5 november 2014, IT 1634 (Complan tegen Qsinc c.s.)
Uitspraak en samenvatting ingezonden door Mark Jansen, Dirkzwager. Voormalige medewerker van (en later freelancer voor) Complan, en later Digipractice. Complan beschuldigt medewerker en Digipractice (als leveranciers) en SKU (als gebruiker) van auteursrechtinbreuk op tandheelkundige software die door SKU wordt gebruikt. Complan wordt aangemerkt als auteursrechthebbende op de grafische gebruikersinterface (5.4), maar niet op de iconen (5.3) en de databasestructuur (5.5).  Van inbreuk op de broncodes op de gebruiksinterface is geen sprake, aangezien daarvoor te weinig is gesteld (5.7-5.15). Van inbreuk op de grafische interface is ook geen sprake, aangezien de verschillen te groot zijn, te weinig is onderbouwd of de overeenstemming functioneel van aard is (5.16-5.22).

Het beroep op rechtsverwerking c.q. het bestaan van een vaststellingsovereenkomst wordt door de rechtbank gelet o het voorgaande in het geheel niet meer behandeld (5.23). Partijen hadden in het verleden namelijk reeds een (uitvoerige) discussie over deze kwestie gevoerd, naar aanleiding waarvan in 2008 een deskundigenbericht was uitgebracht (zie r/o 2.6 e.v.).
De rechtbank doet deze zaak – met voorafgaand bewijsbeslag, provisionele vordering tot inzage met tussenvonnis en twee schriftelijke rondes – vervolgens qua proceskosten af als eenvoudige zaak (5.25). Volgens de rechtbank is over de proceskosten geen BTW verschuldigd (ook al kan SKU deze niet verrekenen).

Brief versterking van DigiD, kamerstukken II 2014-2015, 26 643, nr. 332 - lijst vragen/antwoorden nr. 333
Naar aanleiding van berichtgeving rondom de veiligheid van DigiD in een tv-uitzending van Opgelicht! op 18 oktober 2014 hebben de regering en minister de Tweede Kamer als volgt geïnformeerd:

2. Recent doorgevoerde maatregelen
– Er worden voortaan e-mails verstuurd aan burgers bij belangrijke wijzigingen aan hun DigiD, zoals bij het wijzigen van een wachtwoord. Op die manier wordt het makkelijker voor burgers om misbruik van hun DigiD te herkennen.
– Op dit moment worden DigiD activeringscodes in kwetsbare postcodegebieden thuisbezorgd. In totaal zijn in 2014 ca. 7500 brieven thuisbezorgd per koerier.
– Er zijn maatregelen tegen DDoS-aanvallen genomen. Dit is belangrijk voor de beschikbaarheid en continuïteit van DigiD maar ook voor de veiligheid.
– Onlangs is DigiD beveiligd om het mogelijk te maken beter de integriteit en authenticiteit van de website te controleren en phishing te bemoeilijken.

3. Nog door te voeren maatregelen ter versterking van DigiD

Het komend jaar wordt er naar alternatieven voor de bestaande twee-factor authenticatie met SMS (DigiD Midden) gekeken, die tegen lagere kosten op grote schaal kunnen worden toegepast. Dit kan bijvoorbeeld een app zijn waarmee een extra verificatiecode op smartphone of tablet kan worden ontvangen. De eerste pilots starten naar verwachting medio 2015.
Om een nog grotere mate van zekerheid over iemands identiteit te verkrijgen bij het inloggen t.o.v. DigiD Midden met SMS, wordt er een aantal mogelijkheden onderzocht waarbij er een extra controle plaatsvindt, nadat iemand is ingelogd met DigiD, door het uitlezen van gegevens op de chip van een wettelijk identiteitsdocument (bv identiteitskaart, rijbewijs). Die gegevens worden vervolgens geverifieerd aan de hand van de betreffende documentregisters. Hiermee wordt het mogelijk om digitaal diensten aan te bieden die dat hogere betrouwbaarheidsniveau vereisen.

Mede naar aanleiding van de aanbeveling van de Algemene Rekenkamer, wordt ook uitvoering gegeven aan een Actieplan voor het oplossen van de bevindingen op DigiD. Hiermee zal de robuustheid van DigiD verder toenemen. Inmiddels zijn enkele van de bevindingen opgelost. Zoals eerder gemeld wordt er naar gestreefd ook de overige bevindingen vóór het einde van het jaar op te lossen.

20 Wat gaat u doen om de slachtoffers te helpen die er nu al zijn in verband met ongeautoriseerde toegang tot DigiD?
21 Bent u voornemens een afdeling op te zetten die casus van benadeelden beoordeeld? Zo ja, hoe wordt die vormgegeven? Of ligt die bevoegdheid, of blijft die bevoegdheid liggen, bij respectievelijk Logius en de afnemers? Welk risico houdt dat in voor het afschuiven van problemen binnen de keten?
22 Vindt u het terecht dat mensen, die buiten hun eigen schuld slachtoffer worden van veiligheids-problemen rond DigiD, bijvoorbeeld door uit de brievenbus geviste brieven, geld, dat ze nooit hebben aangevraagd en nooit hebben ontvangen, moeten terugbetalen aan de overheid?
In de uitzending kwamen enkele slachtoffers van fraude via DigiD aan het woord. Deze fraudegevallen staan overigens los van de betreffende kwetsbaarheid.
De inzet van de overheid is slachtoffers snel te helpen en schadeloos te (doen) stellen. Slachtoffers van identiteitsfraude kunnen ook altijd bij het Centraal Meldpunt Identiteitsfraude terecht. Bij vastgestelde fraude wordt altijd aangifte gedaan. Wel blijkt zorgvuldig onderzoek van groot belang omdat helaas blijkt dat niet altijd op voorhand eenvoudig vast te stellen is wat er precies gebeurd is en daders en slachtoffers niet altijd eenduidig te onderscheiden zijn. De zaken van de in uitzending aan het woord gekomen slachtoffers worden nader onderzocht.

Hof Arnhem-Leeuwarden 7 november 2014, IT 1632 (Appellant tegen SNS Reaal)
Privacy. Bescherming persoonsgegevens. Verzoek tot verwijdering van persoonsgegevens op grond van art. 46 Wet bescherming persoonsgegevens (Wbp). Fiscaal jurist en registeraccountant verrichten werkzaamheden bij financiële dienstverlener en worden wegens o.m. het voorhanden hebben en opmaken van valse facturen geregistreerd in het interbancaire waarschuwingssysteem. In casu toetsing aan Protocol Incidentenwaarschuwingssysteem financiële instellingen. Voor registratie bestaat voldoende feitelijke grond, de duur van de interbancaire registratie (acht jaren) is in dit geval echter niet proportioneel. Het hof neemt daarbij in aanmerking dat de registratie voor verzoekers feitelijk op een vrijwel volledige uitsluiting om hun beroep uit te oefenen neerkomt. Het hof acht, alles afwegend, een termijn van drie jaren op zijn plaats.

5.11 Gelet op het voorgaande moet de conclusie zijn dat het er voldoende feitelijke grond bestond om [appellant 1] en [appellant 2] in het interbancaire waarschuwingssysteem te registreren. Daarmee falen de grieven 2, 3 en 4.
De vraag die vervolgens nog moet worden beantwoord, en die in grief 5 aan de orde wordt gesteld, is of die registratie ook proportioneel is (art. 5.2.1. onder c Protocol).
Het hof stelt vast dat opname in het incidentenregister, en met name in het daaraan gekoppelde EVR, verstrekkende consequenties kan hebben. Alle deelnemende banken en financiële instellingen kunnen immers door toetsing aan het EVR vaststellen dat er sprake is van opname in het incidentenregister van (een) andere deelnemer(s). Vervolgens kunnen zij nadere informatie omtrent de reden van opname opvragen. Dit kan ertoe leiden dat niet alleen de deelnemer die tot opname in het incidentenregister is overgegaan, maar ook andere deelnemers hun (financiële) diensten aan de opgenomen persoon zullen weigeren. Gelet daarop dienen hoge eisen te worden gesteld aan de grond(en) voor opname in de registers. In het voorgaande ligt besloten dat aan die gronden is voldaan. In het onderhavige geval brengt de registratie echter niet alleen een uitsluiting van financiële diensten mee, maar heeft zij ook gevolgen voor de broodwinning van de geregistreerden. [appellant 1] en [appellant 2] achten de registratie om die reden disproportioneel. Subsidiair stellen zij dat deze niet langer dan een jaar (een periode die intussen reeds is verlopen) zou mogen duren.
[appellant 1] en [appellant 2] hebben overtuigend aangevoerd dat hun opname in de registers hen tot persona non grata in de financiële wereld heeft gemaakt en het nagenoeg wegvallen van hun inkomen heeft veroorzaakt. Dat wordt door SNS Reaal op zichzelf ook niet betwist. SNS Reaal heeft aangevoerd dat van een volledige blokkade op de arbeidsmarkt geen sprake is omdat alleen de banken toegang hebben tot de registratie, zodat een dienstverband buiten de financiële sector of bij justitie of de belastingdienst gewoon tot de mogelijkheden behoort. SNS Reaal miskent daarbij echter dat de professie van [appellant 1] en [appellant 2], die respectievelijk fiscaal jurist en registeraccountant zijn, meebrengt dat zij een EVR registratie aan een eventuele toekomstige werk- of opdrachtgever hebben te melden en dat deze vervolgens minder genegen zal zijn om met hen in zee te gaan. Het is naar het oordeel van het hof dan ook voldoende aannemelijk dat de maatregel in hun geval, gelet op hun werkervaring tot nu toe, de facto op een vrijwel volledige uitsluiting om hun beroep uit te oefenen neerkomt. Die zware repercussie wordt voor een belangrijk deel gerechtvaardigd door het gegeven dat financiële integriteit in het beroep dat zij bekleden hoog in het vaandel staat en dat van hen, meer nog dan van ieder ander, op dat punt betrouwbaarheid en onkreukbaarheid mag worden verwacht. Het hof is evenwel van oordeel een registratietermijn van acht jaren in dit geval de grenzen van proportionaliteit overschrijdt. Het hof acht hier, alles afwegend, een termijn van drie jaren op zijn plaats. Dit betreft evenwel uitsluitend voor de vermelding in het EVR. De gebeurtenissenadministratie en het IVR maken deel uit van de eigen administratie van SNS Reaal en zijn als zodanig niet voor anderen toegankelijk, zodat het bezwaar van een beroepsblokkade daar niet (of in veel mindere mate) aan kleeft. Dat betekent dat grief 5 ten dele slaagt.
Uitgaande van een registratie per 2 april 2013 betekent dat dat het verzoek tot verwijdering uit het EVR met ingang van 2 april 2016 toewijsbaar is. De daaraan verbonden vordering tot het opleggen van dwangsommen is eveneens toewijsbaar, zij het dat het hof deze zal matigen en aan een maximum zal verbinden zoals hierna vermeld.

Rechtbank Amsterdam 29 september 2014, IT 1631 (Actuate tegen Delta Lloyd)
Auteursrecht. Rechtspraak.nl: Richtlijnconforme uitleg van artikel 45j Aw brengt dan mee dat verveelvoudigingen van de Software op test- en acceptatieservers die noodzakelijk zijn voor het compatibel maken van de Software met een nieuw in gebruik te nemen besturingssysteem niet kunnen worden aangemerkt als een inbreuk op het auteursrecht van de rechthebbende, terwijl een bepaling in de licentieovereenkomst die de bevoegdheid van de licentiehouder om dergelijke op compatibiliteit gerichte verveelvoudigingen te beperken niet is toegelaten. De rechtbank wijst de vordering af.

5.11. Delta Lloyd heeft onbetwist gesteld dat de verveelvoudigingen van de Software op de test- en acceptatieservers noodzakelijk zijn voor het compatibel maken van de Software met een nieuw door haar in gebruik te nemen besturingssysteem.
Richtlijnconforme uitleg van artikel 45j Aw brengt dan mee dat dergelijke verveelvoudigingen niet kunnen worden aangemerkt als een inbreuk op het auteursrecht van de rechthebbende, terwijl een bepaling in de licentieovereenkomst die de bevoegdheid van de licentiehouder om dergelijke op compatibiliteit gerichte verveelvoudigingen te beperken niet is toegelaten.

5.12. Op grond van de vorenstaande overwegingen kan worden vastgesteld dat Delta Lloyd door de Software op een testserver en op een acceptatieserver te kopiëren ten behoeve van onderzoek naar de compatibiliteit met haar nieuwe besturingssysteem noch wanprestatie heeft geleverd, noch onrechtmatig heeft gehandeld jegens Actuate.De onder 1 en 2 genoemde vorderingen van Actuate stuiten daarop af.

Op andere blogs:
Dirkzwager IE & IT