Rechtbank Rotterdam 16 mei 2013, LJN CA1010 (curator Diginotar tegen Autoriteit Consument en Markt, voorheen OPTA)
Rechtspraak.nl: Besluit van de Autoriteit Consument en Markt (voorheen: Opta) van 13 september 2011 waarbij de registratie van Diginotar als certificatiedienstverlener (CSP) per 14 september 2011 om 12.00 uur is beëindigd. Verweerder heeft zich gebaseerd op onderzoek verricht door Fox-IT. Eiser heeft niet betwist dat Fox-IT over een bijzondere deskundigheid op het vlak van IT veiligheid beschikt om een onderzoek uit te voeren naar aanleiding van het beveiligingsincident bij Diginotar. Voorts bestaat er voor de rechtbank geen aanleiding om te veronderstellen dat Fox-IT in haar onderzoek of rapportage niet onafhankelijk zou hebben gehandeld. Gelet op de situatie ten tijde van het primaire en het betreden besluit was het interim-rapport van Fox-IT in dit kader goed bruikbaar. Uit het door verweerder verrichte onderzoek is genoegzaam gebleken dat het netwerk dat door Diginotar werd gebruikt voor de uitgifte van gekwalificeerde certificaten door een hack van het systeem ernstig was gecompromitteerd.

Bijgevolg was, mede doordat achteraf niet te achterhalen is wat de hacker precies heeft gedaan, de betrouwbaarheid van de gekwalificeerde certificaten die via deze servers werden gegenereerd, niet langer te garanderen. Een nader onderzoek of daadwerkelijk misbruik van gekwalificeerde certificaten heeft plaatsgevonden is niet relevant. Bij Diginotar bestond geen adequate beveiliging (meer) tegen het vervalsen van gekwalificeerde certificaten. Diginotar voldeed niet (meer) aan de belangrijke verplichtingen als bedoeld in artikel 2, eerste lid, aanhef en onder c en d, van het Besluit electronische handtekeningen. Uit de wetsgeschiedenis bij artikel 2.2, vierde lid, aanhef en onder c, van de Telecommunicatiewet blijkt dat de bevoegdheid van verweerder om een herstelmogelijkheid te bieden uitsluitend bedoeld is voor gevallen waarin geen sprake is van twijfels over de betrouwbaarheid van de gekwalificeerde certificaten. De rechtbank is van oordeel dat verweerder in het onderhavige geval terecht op grond van artikel 2.2, vierde lid, aanhef en onder b, van de Tw, zonder hersteltermijn, tot beëindiging van de registratie van Diginotar als CSP is overgegaan. Het beroep dient daarom ongegrond te worden verklaard.

7.2  Ook op basis van het onderzoek van Hoffmann kan niet worden uitgesloten dat frauduleuze gekwalificeerde certificaten zijn uitgegeven. Hoffmann stelt voorts in haar contra-expertise dat de hacker bestaande certificaten en certificaatdiensten (CRL’s) heeft gemanipuleerd, hetgeen is aan te merken als een overtreding van artikel 2, eerste lid, aanhef en onder m, van het Beh. Als gevolg daarvan was het voor de hacker niet alleen mogelijk om nieuwe gekwalificeerde certificaten aan te maken met een inhoud die door hem zelf kon worden vastgesteld, maar was het voor de hacker ook mogelijk om certificaten die de rechtmatige gebruiker heeft laten intrekken opnieuw uit te geven en te misbruiken.

Met deze na het bestreden besluit vastgestelde rapportages wordt naar het oordeel van de rechtbank de juistheid van de door verweerder in aanmerking genomen bevindingen in het interim-rapport van Fox-IT niet ontkracht.

8.   Volgens eiser is het uiterst onwaarschijnlijk dat de gekwalificeerde certificaten werkelijk gecompromitteerd waren. Eiser stelt zich dan ook op het standpunt dat, als er al sprake was van een beëindigingsgrond, het in de rede zou hebben gelegen dat verweerder artikel 2.2, vierde lid, aanhef en onder c, van de Tw zou hebben toegepast en Diginotar in de gelegenheid zou hebben gesteld om eventuele geconstateerde gebreken te herstellen.
Eiser betwist in dit verband de stelling van verweerder dat, indien de betrouwbaarheid van (het uitgifteproces) van de gekwalificeerde certificaten niet langer kan worden gewaarborgd, de Tw geen andere mogelijkheid biedt dan (onmiddellijk) de registratie te beëindigen omdat van enige discretionaire ruimte geen sprake zou zijn. Volgens eiser staat dat niet in de wet en gaat de Tw en de wetsgeschiedenis uit van een te stellen termijn, indien na onderzoek geconstateerd wordt dat niet aan bepaalde eisen is voldaan. Ter zitting heeft eiser er nadrukkelijk op gewezen dat het bestreden besluit enkel op het Beh is gebaseerd. Met name in het geval hieraan (en met de eisen bedoeld in artikel 18.15, eerste en tweede lid, van de Tw) niet wordt voldaan, is de c-grond destijds in 2003 aan artikel 2.2, vierde lid, van de Tw toegevoegd, teneinde de CSP-er de mogelijkheid te bieden om gebreken te herstellen. De zogenoemde b-grond dateert al uit 1998 en ziet meer op registraties in het algemeen.

8.1   Naar het oordeel van de rechtbank kan dit betoog van eiser niet slagen. Uit hetgeen hiervoor is overwogen volgt dat niet is uit te sluiten dat de gekwalificeerde certificaten zijn gecompromitteerd. Voorts bepaalt het vierde lid van artikel 2.2, aanhef en onder b, van de Tw, dat verweerder de registratie beëindigt indien een certificatiedienstverlener activiteiten of diensten verricht in strijd met het bepaalde bij of krachtens deze wet. Deze b-grond ziet dus op zowel artikel 18.15 van deze wet als op het Beh en is eveneens bedoeld voor certificatiedienstverleners. De c-grond is destijds met name aan het vierde lid van artikel 2.2 van de Tw toegevoegd in verband met een vrijwillige accreditatieregeling voor de CSP-er ter verbetering van certificatiedienstverlening. Op het moment dat een aangewezen certificatie-instelling twijfelt of een CSP-er aan de eisen van het Beh voldoet en verweerder hiervan in kennis stelt, kan verweerder aan de CSP-er een termijn stellen om een en ander te laten herstellen.

8.2  De rechtbank wijst in dit verband op de wetsgeschiedenis bij artikel 2.2, vierde lid, aanhef en onder c, van de Tw (Kamerstukken II 2000/2001, 27 743, nr. 3, p. 21), waaruit blijkt dat de bevoegdheid van verweerder om een herstelmogelijkheid te bieden uitsluitend bedoeld is voor gevallen waarin geen sprake is van twijfels over de betrouwbaarheid van de gekwalificeerde certificaten:
“Het stellen van een termijn wordt noodzakelijk geacht in verband met de mogelijke niet naleving van bepaalde vereisten die de betrouwbaarheid van een gekwalificeerd certificaat niet direct in twijfel trekken.”

Die twijfels waren er in het onderhavige geval wel. Er is vastgesteld dat bij Diginotar sprake is geweest van een ernstige inbraak en compromittering van de systemen die werden gebruik voor de aanmaak van gekwalificeerde certificaten, waardoor de betrouwbaarheid van de door Diginotar uitgegeven certificaten ter discussie stond. Gezien het feit dat de gevolgen van de compromittering van de servers niet meer ongedaan konden worden gemaakt en er activiteiten dan wel diensten zijn verricht die in strijd zijn met het bepaalde bij of krachtens de Tw, had verweerder naar het oordeel van de rechtbank geen andere keus dan op grond van artikel 2.2, vierde lid, aanhef en onder b, van de Tw, zonder hersteltermijn, tot beëindiging van de registratie van Diginotar als CSP over te gaan. Dat verweerder, aldus eiser, bij een incident met een hacker bij KPN niet tot prompte beëindiging heeft besloten, ziet op het feit dat er bij verweerder in dat geval geen sprake was van enige twijfel over de betrouwbaarheid van gekwalificeerde certificaten. Die twijfels waren er in dit geval wel.

9.   Het betoog van eiser dat verweerder ten onrechte geen belangen heeft afgewogen, kan evenmin slagen. Hoewel artikel 2.2, vierde lid, aanhef en onder b, van de Tw geen ruimte biedt voor een belangenafweging, heeft verweerder zich bij het besluit tot beëindiging van de registratie van Diginotar wel degelijk rekenschap gegeven van de gevolgen die deze beëindiging voor Diginotar zou kunnen hebben. Dit blijkt uit het feit dat verweerder Diginotar niet heeft gedwongen om direct de reeds uitgegeven gekwalificeerde certificaten in te trekken, maar haar daarvoor een termijn van twee weken heeft gegeven.

De niet-ontvankelijkverklaring bij het bestreden besluit dient, zo heeft verweerder ter zitting nader uiteen gezet, in het licht te worden gezien van de discussie die is ontstaan over de begeleidende brief bij het primaire besluit. Naar het oordeel van de rechtbank heeft verweerder toereikend gemotiveerd dat hij daarmee alleen heeft bedoeld aan te geven dat Diginotar bij de begeleidende brief slechts is gewezen op de wettelijke verplichtingen die volgen uit artikel 2 van het Beh, terwijl er voor verweerder in beginsel geen ruimte is voor enige belangenafweging.

10.   Gelet op hetgeen hiervoor is overwogen is de rechtbank van oordeel dat verweerder terecht op grond van artikel 2.2, vierde lid, aanhef en onder b, van de Tw, zonder hersteltermijn, tot beëindiging van de registratie van Diginotar als CSP is overgegaan. Het beroep dient daarom ongegrond te worden verklaard.

Vzr. Rechtbank Midden-Nederland 24 mei 2013, zaaknr. C/16/340095 / KG ZA 13-191 (Corendon tegen Klachtenradar.nl)
Uitspraak ingezonden door Wouter Dammers, ICTRecht.
Klachtenradar exploiteert de website KLACHT.nl. Bedrijven kunnen zich vrijwillig aanmelden en hebben de keuze tussen twee pakketten waarbij zij in ieder geval de status van een klacht kunnen wijzigen in 'in behandeling' of 'opgelost'. Een klager kan tegen elk willekeurig bedrijf een klacht indienen.

Corendon is vanaf november 2009 aangesloten bij de website. Klachtenradar heeft laten weten dat zij niet akkoord is met de wijze waarop de weergegeven oplossing is beschreven en blokkeert (na aankondiging) het bedrijfsaccount. Corendon c.s. sommeert Klachtenradar om te vermelden "Let op! Corendon is niet aangesloten bij klacht.nl en kan uw klacht dan ook niet in behandeling nemen". Corendon c.s. legt aan haar vordering ten grondslag dat door de wijze waarop Klachtenradar haar website inricht en zich presenteert, het publiek misleid wordt.

Klachtenradar suggereert, aldus de voorzieningenrechter, met de aangeboden dienst vervat in de bewoordingen "KLACHT.nl - helpt klachten oplossen" niet dat klachten daadwerkelijk worden opgelost. De voorzieningenrechter is van oordeel dat Corendon c.s. onvoldoende aannemelijk heeft gemaakt dat Klachtenradar door middel van de tekst die zij heeft geplaatst op haar website klagers misleidt.

Leestips, rechtsoverwegingen 4.5 - 4.9.

Emerce (Corendon verliest kort geding tegen Klacht.nl (update))
MediaReport (Rechter wijst klacht van Corendon tegen Klacht.nl van de hand)

Uitnodiging donderdag 6 juni 2013 - 16:00 - 18:00, DTW-café te Eindhoven.
Uit't persbericht: In Brainport Eindhoven is een nieuw expertisecentrum voor technologie en recht in het leven geroepen. Het centrum is bedoeld als ontmoetingsplaats en verbinding van techniek, innovatie en onderneming met het recht. Ook kan het centrum dienen als spreekbuis om wenselijke wijzigingen in wet- en regelgeving te signaleren richting de overheid.
(...)
Daarnaast wordt in de loop van dit jaar een arbitrageinstituut opgezet onder de naam Brainport Technology Arbitration Institute. De doelstelling van dat instituut is om ter zake kundig te voorzien in bemiddeling en arbitrage in technologiegeschillen.

Maak kennis met dit nieuwe platform waar technologie en recht samenkomen en waar uitwisseling van kennis leidt tot het faciliteren van innovatieve ontwikkelingen. En hoor tevens de aanpak om te komen tot een arbitrageinstituut voor technologiegeschillen.

Donderdag 6 juni 2013 16.00-18.00 uur
DtW café (Schellensfabriek), Vestdijk 280, Eindhoven
Voor het programma en aanmelden: www.brainporttechlaw.nl

Rechtbank Overijssel 4 april 2013, KG ZA 13-11 (afnemer C. B.V. tegen leverancier N. B.V.)
Uitspraak en samenvatting ingezonden door Mirjam Elferink en Martijn Kortier, KienhuisHoving Advocaten en Notarissen.

5.8. Gelet op de gemotiveerde stellingen die partijen over en weer hebben aangevoerd en de ter ondersteuning daarvan overlegde stukken, kan niet zonder nadere instructie - waarvoor in dit kort geding geen plaats is - worden vastgesteld welke lezing de juiste is en kan dus ook geen zinvolle prognose worden gegeven hoe de bodemrechter zal beslissen.

5.9. Nu derhalve in deze procedure niet kan worden vastgesteld wat partijen onderling exact zijn overeengekomen, kan evenmin worden vastgesteld welke concrete en specifieke verplichtingen daaruit voor N. voortvloeien. De vraag of N. gehouden is tot het herstel c.q. het oplossen van de door C. gestelde gebreken kan derhalve - bij deze stand van zaken - in de onderhavige procedure niet worden beantwoord.

5.10. Het is, tot slot, aan C. , als eisende partij in dit kort geding, om voldoende concrete feiten en omstandigheden te stellen die haar vordering voldoende aannemelijk maken, waarbij zij de stellingen van N. die een deugdelijke betwisting opleveren pareert. Daarin is ze met haar stelingen niet geslaagd.

Brief van minister Kamp (Economische Zaken) aan de Tweede Kamer over het feit dat op 20 mei jl. de openbare consultatie start van het wetsvoorstel waarmee artikel 11.7a van de Telecommunicatiewet (de zogenoemde cookiebepaling) wordt gewijzigd, Kamerstukken II, 2012-2013, DGETM-TM / 13087300 , (Kamerstukken II 24 095, nr. 344)

In navolging van de eerdere brieven IT 994 en IT 1027.

Hierbij informeer ik uw Kamer over het feit dat op 20 mei jl. de openbare consultatie start van het wetsvoorstel waarmee artikel 11.7a van de Telecommunicatiewet (de zogenoemde cookiebepaling) wordt gewijzigd. Ook zal ik hieronder een tweetal vragen beantwoorden die in het Algemeen Overleg van 13 februari zijn gesteld door het lid De Liefde over de reclame-inkomsten van de publieke omroep en over de wijze waarop de Autoriteit Consument & Markt (ACM) in het licht van de cookiebepaling omgaat met omgaat met buitenlandse websites.

(...)

Zoals ik de Kamer al heb laten weten bij brieven van 20 december 2012 en 5 februari 2013, ben ik het met de Kamer eens dat het gezien de doelstelling van de cookiebepaling, bescherming van de privacy, niet nodig zou moeten zijn om
voor het plaatsen en lezen van analytic cookies toestemming te vragen. Ik heb daarom met ACM-voorganger OPTA gekeken naar mogelijkheden om analytic cookies uit te zonderen. Daarbij kwamen wij tot de conclusie dat de bestaande
wettelijke uitzonderingen opgenomen in het derde lid van artikel 11.7a geen ruimte bieden om analytic cookies uit te zonderen. De enige mogelijkheid binnen de huidige wet was dat OPTA het gebruik van dit type cookies zou gedogen.
Websitehouders en internetgebruikers zijn echter naar mijn overtuiging beter geholpen met een meer structurele, rechtszekere en toekomstbestendige oplossing, en daarvoor is het nodig om de wet te wijzigen. Tegen deze achtergrond heb ik een concept wetsvoorstel opgesteld.Cookies onder de nieuwe uitzondering

In de memorie van toelichting bij het concept wetsvoorstel worden voorbeelden genoemd van cookies die worden gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij en die -onder bepaalde voorwaarden- geen of slechts geringe gevolgen hebben voor de privacy en dus onder de uitzondering zullen vallen. Over het gebruik van deze cookies hoeft niet te worden geïnformeerd en voor het plaatsen en lezen hoeft geen toestemming meer te worden gevraagd. Uiteraard geldt dit op de eerste plaats voor de analytic cookies. Deze worden gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van een dienst van de informatiemaatschappij (de website). Als analytic cookies alleen worden gebruikt om het gebruik van de website in kaart te brengen en te analyseren zijn de privacygevolgen gering. Dan hoeft hierover niet te worden geïnformeerd en hoeft geen toestemming worden gevraagd. Dit geldt voor zowel first party analytic cookies als third party analytic cookies: beiden kunnen onder de uitzondering vallen. Daarvoor is het wel noodzakelijk dat deze cookies, of de daarmee gegenereerde gegevens, niet ook - door de websitehouder of de derde - worden gebruikt voor andere doeleinden die wel meer dan geringe gevolgen voor de privacy hebben, zoals het opstellen van profielen.

(...)

Naast analytic cookies gaat de toelichting ook in op de zogenoemde A/B testing cookies en affiliate cookies. Bij A/B testing cookies worden cookies geplaatst en gelezen om te kijken welke versie van een bepaalde reclame of website (versie A of B), beiden een dienst van de informatiemaatschappij, het beste door het publiek wordt gewaardeerd, en dus het effectiefst zijn. Affiliate cookies, ook wel performance cookies genoemd, worden gebruikt om bij te houden welke
advertentie leidt tot een aankoop, zodat degene die deze advertentie heeft getoond (de affiliate), hiervoor een beloning kan ontvangen. Dit type cookies kan worden geplaatst bij vertoning een advertentie voor een bepaald product. Op het moment dat een bezoeker via een webwinkel dit product heeft aangeschaft, wordt bekeken of de bezoeker tot deze aankoop is overgegaan na het zien van de advertentie waarbij de affiliate cookie is geplaatst. Indien dit het geval is, en de
advertentie dus effectief is geweest, ontvangt de partij die de advertentie heeft vertoond een commissie van de verkoper van het product.

Toestemming

(...)

Volgens de Artikel 29-werkgroep moet uit het woord ‘uiting waarmee de betrokkene aanvaardt’ (in het Engels: indication by which the data subject signifies his agreement) worden afgeleid dat het moet gaan om een handeling, en kan toestemming niet worden afgeleid uit het uitblijven van een handeling. Binnen de definitie van ‘toestemming’ (zonder de toevoeging ondubbelzinnig of uitdrukkelijk, die in de Wet bescherming persoonsgegevens worden gebruikt) is
het niet noodzakelijk dat deze handeling expliciet uiting geeft aan de wens om het gebruik van cookies te aanvaarden, zoals het klikken op een button ‘ik geef toestemming’ in een pop-up. Dit kan ook blijken uit minder expliciete handelingen. De werkgroep noemt in haar Opinie1 het voorbeeld van een weersinformatiedienst die gebruik maakt van locatiegegevens van de beller. Indien de beller vooraf volledige informatie heeft verkregen over de verwerking van locatiegegevens door de weersinformatiedienst, kan de handeling bestaand uit het bellen van het nummer van die dienst worden opgevat als toestemming voor het verwerken van de betreffende locatiegegevens.

Verdere procedure

De consultatie van het wetsvoorstel tot aanpassing van de cookiewet wordt gehouden via het internet. Een ieder die dat wenst kan binnen een periode van zes weken reageren op het concept wetsvoorstel. Na afloop van die periode zullen
de reacties op het wetsvoorstel worden verwerkt. Daarna zal zowel aan ACM als het College bescherming persoonsgegevens (CBP) gevraagd worden advies uit te brengen over het wetsontwerp. Hierna volgt advisering door de Raad van State. Ik verwacht dat het wetsontwerp in het najaar bij de Kamer kan worden ingediend.

Op andere blogs:
Webwereld, Kabinet schaft expliciete toestemming cookies af
Cookierecht, De cookiewet wordt gewijzigd

Filip van Eeckhoutte, SIDN de papieren tijger, IE-Forum.nl IT 1149
Een bijdrage van Filip van Eeckhoutte, Van Eeckhoutte Advocaten

De Registry SIDN

Wie wil weten wie de houder van een domeinnaam is, raadpleegt de WhoIs, een register dat wordt bijgehouden door de registry. Een domeinnaam is een naam in het Domain Name System (DNS), het naamgevingssysteem op internet waarmee onder andere webservers, mailservers en andere toepassingen worden geïdentificeerd en wordt uitgegeven door landelijke of regionale registry’s. Alle registry’s vallen onder de vlag van de Internet Assigned Numbers Authority (IANA). De registry voor Nederland c.q..nl-domeinnamen is SIDN, de Stichting Internet Domeinregistratie Nederland. De SIDN beheert anno 2013 ruim 5,3 miljoen registraties van domeinnamen onder het top level domain .nl.

SIDN registreert slechts wie op grond van de door haar ingerichte procedures houder van een domeinnaam is en daarmee haar contractuele wederpartij met betrekking tot een domeinnaam, met andere woorden wie met betrekking tot een bepaalde domeinnaam rechten (op grond van de algemene voorwaarden) ten opzichte van SIDN kan uitoefenen.

Dit artikel is sterk ingekort, lees de opgemaakte versie hier.

SIDN bepaalt niet wie (het meeste) recht op een domeinnaam heeft en toetst voorafgaand aan de uitgifte van een domeinnaam niet of de domeinnaamhouder (in spe) daarmee inbreuk maakt op (intellectuele) rechten van derden, bijvoorbeeld merk- of handelsnaamhouders. Het register geeft niet weer wie het meeste recht op een domeinnaam heeft. Wie schade ondervindt van een (.nl-)domeinnaamregistratie kan zich tot een arbiter, rechter of College voor Klachten en Beroep voor .nl-domeinnamen wenden. Behoudens tegenbewijs is voor SIDN bij het vaststellen van het houderschap de administratie van SIDN leidend.

Papieren tijger

De nadruk in de voorwaarden en regeling van SIDN op openbaarmaking van correcte WhoIs-gegevens blijkt in de praktijk slechts een papieren tijger te zijn.

SIDN voert geen pro-actieve controle uit op de input op haar register, maar verlaat zich op commentaar van derden die vraagtekens plaatsen bij bepaalde input. Sterker nog, de SIDN gedoogt inschrijving van domeinnaamhouders waarvan aangetoond dan wel op zijn minst aannemelijk is dat die in geen relatie (meer) staan tot de betrokken domeinnaam.

Bureaucratie

Het bureaucratische beleid binnen SIDN in combinatie met zijn incorrecte en dus onbetrouwbare register kan tot gevolg hebben dat verkeerde personen in rechte worden aangesproken.

Langs de andere kant stelt SIDN zich weer formeel en onbuigzaam op indien een actie van haar kant wordt verlangd. Zo weigert de SIDN beslagen te registreren als de naam van een domeinnaamhouder niet precies overeenstemt met de naam in het beslagrekest. Een beslag op een .nl-domeinnaam kan dus op de klippen lopen omdat in het beslagrekest de meisjesnaam wordt gebruikt, terwijl in de houderinschrijving bijvoorbeeld maar een halve naam, alias of de naam van de echtgenoot wordt gebruikt of doordat de nieuwe houder zijn naam niet heeft ingeschreven, maar de oude domeinnaamhouder heeft laten staan.

Bij SIDN is bekend de casus “ILoveSu”, waarbij de .nl-domeinnaam ten onrechte was blijven staan op de naam van de vorige houder. De nieuwe houder was van registrar gewisseld, maar had het houderschap niet gewijzigd. De naam van de vorige houder bleef dus staan. De vorige houder kon niet bij het control panel omwille van de registrar-wisseling. Hoewel SIDN een toelichting van de vorige houder ontving, reageerde SIDN als volgt: “In lijn met het voorgaande registreren wij slechts beslagen en beperken wij de contractuele rechten van de houder slechts als het beslag is gelegd onder de houder. Daar is in het geval van het door uw cliënte gelegde beslag op de domeinnaam ilovesu.nl geen sprake van. Het beslag is - naar wij nu opmaken - kennelijk onder een gebruiker van de domeinnaam gelegd en, los van de vraag of het daarmee juridisch stand houdt hetgeen kan worden betwijfeld, is er daarmee geen aanleiding voor SIDN om het beslag te registreren, noch om de contractuele rechten van de houder te beperken.”
De toelichting van de vorige houder was dus aan dovemansoren gericht. Ondanks rechterlijk verlof daartoe weigerde SIDN de desbetreffende naam te bevriezen en ondernam – in tegenstelling tot haar eigen voorwaarden – geen enkele actie tegenover de feitelijke houder of diens registrar.

Het is een gotspe dat het SIDN weigert mee te werken, zelfs al toont de beslaglegger aan dat de domeinnaamhouderinschrijving onjuist of onvolledig is en er kennelijk sprake is van een opzetje om de domeinnaam buiten beslag te houden. SIDN kijkt niet naar de feitelijke status omtrent het houderschap, maar louter naar de vraag of de houder bestaat. Zolang de houder bestaat is in beginsel voor SIDN de kous af.

Bij nader inzien lijkt uit de considerans van de Algemene voorwaarden voor .nl-domeinnaamhouders ook te volgen dat SIDN gedoogt dat registrars de domeinnaam op hun eigen naam zetten, in plaats van hun klant.  

Het verbergen van de ware houder is trouwens geen louter Nederlands fenomeen. Bij veel Chinese websites die inbreuk maken op intellectuele rechten (zgn. counterfeit websites) valt de registrant niet te achterhalen uit de whois-gegevens, omdat deze gebruik maakt van een dienstverlener die het mogelijk maakt om een domeinnaam te gebruiken zonder de eigen identiteit prijs te geven, zoals Privacyprotect.org, Protected Domain Services, WhoisGuard en Private Whois (hierna ook wel “anonimiteitsdiensten”). Tevens lijkt in bepaalde gevallen sprake te zijn van onjuiste contactgegevens.  

De voorwaarden en regelingen van SIDN kunnen in combinatie met de juridische implicaties van haar register, niet anders worden opgevat dan dat SIDN in uitvoering van haar publieke taak actief dient zorg te dragen voor een up-to-date en waarheidsgetrouw WhoIs-register waar gebruikers, zoals advocaten, van op aan kunnen. Het vorenstaande leidt echter tot de conclusie dat SIDN anno 2013 haar register niet op orde heeft en een beleid voert dat linea recta indruist tegen haar eigen voorwaarden en regelingen. Als gevolg daarvan worden gelaedeerden opgezadeld met bijkomende obstakels in het proces om inbreukmakend gedrag te laten staken; obstakels die volstrekt overbodig worden opgeworpen en die slechts met (aanzienlijke) moeite kunnen worden overwonnen.

Prejudiciële vragen aan HvJ EU 24 januari 2013, zaaknr. C-156/13 (Digibet tegen Westdeutsche Lotterie GmbH & Co. oHG)
Prejudiciële vragen gesteld door het Bundesgerichtshof, Duitsland.
Kansspelen. Artikel 56 VWEU vrij verkeer diensten. Verzoeksters zijn kansspelbedrijven gevestigd op Gibraltar. Zij bieden via websites in het Duits kansspelen en weddenschappen tegen inzet aan. Verweerster (Westdeutsche Lotterie GmbH, Nordrhein-Westfalen) stelt dat verzoeksters de mededinging verstoren omdat zij niet alle regels van zowel de kansspelwetgeving als strafrecht respecteren. Verzoeksters wordt verboden via internet diensten aan te bieden voor kansspelen. Zij krijgen ook een schadevergoeding opgelegd. In hoger beroep wordt het eerdere oordeel bevestigd waarop verzoeksters herziening aanvragen.

De verwijzende Duitse rechter stelt vast dat de nationale wetgeving sinds begin 2012 is gewijzigd door achtereenvolgens het aflopen van het “Staatsverdrag inzake kansspelen” en de liberalisering van het kansspelrecht in Schleswig-Holstein. Het laatste heeft daar de weg vrijgemaakt voor reclame op radio, tv, internet en ook het organiseren van kansspelen op internet is in genoemd land niet meer verboden. In de overige Landen is een nieuw Glücksspielstaatsvertrag van kracht waarbij het in beginsel verboden blijft internet voor (reclame voor) kansspelen te gebruiken. Maar de rechter vraagt zich af hoe deelname aan kansspelen tot Schleswig-Holstein beperkt kan worden. Uit eerdere jurisprudentie van het HvJEU blijkt dat de Landen onderling hun beleid inzake kansspelen op elkaar moeten afstemmen om aan de Europeesrechtelijke verplichtingen te voldoen, met name de vrijheid van dienstverrichting.

Hij stelt het HvJEU de volgende vragen:

1. Is een beperking van de kansspelsector incoherent, - indien enerzijds in een lidstaat met een federale structuur de organisatie van publieke kansspelen op het internet en het optreden als tussenpersoon daarbij krachtens het in de meerderheid van de deelstaten geldende recht in beginsel zijn verboden en – zonder dat daarop een afdwingbaar recht bestaat – enkel voor loterijen en sportweddenschappen bij wijze van uitzondering kunnen worden toegelaten om een geschikt alternatief te bieden voor het illegale kansspelaanbod en de ontwikkeling en uitbreiding daarvan tegen te gaan, - terwijl anderzijds in één deelstaat van deze lidstaat volgens het daar geldende recht onder nader bepaalde objectieve voorwaarden aan elke burger van de Unie en elke daarmee gelijkgestelde rechtspersoon een vergunning voor het aanbieden van sportweddenschappen op het internet moet worden verleend, zodat mogelijk afbreuk wordt gedaan aan de geschiktheid van de in de rest van de federale staat geldende beperking van het kansspelaanbod op het internet om de daarmee nagestreefde rechtmatige doelstellingen van algemeen belang te verwezenlijken?

2. Hangt het antwoord op de eerste vraag af van de vraag of de afwijkende rechtstoestand in een van de deelstaten de geschiktheid van de in de andere deelstaten geldende kansspelbeperkingen om de daarmee nagestreefde rechtmatige doelstellingen van algemeen belang te verwezenlijken, tenietdoet of daaraan aanzienlijk afbreuk doet?

Indien de eerste vraag bevestigend wordt beantwoord:
3. Wordt de incoherentie verholpen wanneer de deelstaat met de afwijkende regeling de in de andere deelstaten geldende kansspelbeperkingen overneemt, ook indien de bestaande ruimere regelingen van kansspelen op het internet in die deelstaat met betrekking tot de daar reeds verleende concessies nog voor een overgangsperiode van meerdere jaren blijven gelden, omdat deze vergunningen niet of slechts tegen voor die deelstaat uiterst belastende schadevergoedingen weer kunnen worden ingetrokken?

4. Is het voor het antwoord op de derde vraag van belang of tijdens de overgangsperiode van meerdere jaren de geschiktheid van de in de andere deelstaten geldende kansspelbeperkingen teniet wordt gedaan of daaraan aanzienlijk afbreuk wordt gedaan?

Vzr. Rechtbank Amsterdam 8 mei 2013, LJN CA0023 (HOTEL CONTACT B.V. tegen Angry Nerds en ST.28 Ltd.)
Uitspraak mede ingezonden door Bert Gravendeel, Gravendeel Advocaten.
Auteursrecht. Contractenrecht. Wijziging van eigen logo in video is geen inbreuk persoonlijkheidrechten. Geen databankinbreuk gezien de contractuele relatie.

Angry Nerds heeft op grond van een overeenkomst met Hotel Contact promotievideo's gemaakt voor accommodaties. Nadien ontstaat een geschil over de auteursrechten op die video's die op het YouTubekanaal zijn geplaatst.

Hotel Contact heeft de overeenkomst in redelijkheid zo mogen begrijpen dat zij met het eigendomsrecht van de video’s ook het recht zou krijgen om deze te bewerken, met inachtneming van eventuele persoonlijkheidsrechten. Deze uitleg is naar het oordeel van de voorzieningenrechter niet strijdig met de uitleg van Angry Nerds dat zij na plaatsing van de accommodatievideo’s op het YouTubekanaal nog in aanmerking wil kunnen komen voor het verkrijgen van vervolgopdrachten als bedoeld in de overeenkomst. De voorzieningenrechter is van oordeel dat Hotel Contact over de mogelijkheid moet beschikken om de accommodatievideo’s die reeds zijn geplaatst op het YouTubekanaal nadien te kunnen wijzigen, zonder dat hiervoor de medewerking van Angry Nerds is vereist en zonder dat Angry Nerds hiervoor een vergoeding kan vragen.

De beoogde wijzigingen in de video’s behelzen met name het wijzigen van een logo en van een hotelnaam en vormen geen inbreuken op persoonlijkheidsrechten ex 25 Aw. Gezien de contractuele relatie tussen partijen is van een inbreuk op de Databankwet geen sprake.

De voorzieningenrechter legt de overeenkomst tussen partijen zo uit dat die rechten toekomen aan Hotel Contact. Hotel Contact dient in staat te worden gesteld wijzigingen aan te brengen in de video's.

3.3 (...) Verder voert Angry Nerds aan dat op grond van artikel 2 lid 2 van de Auteurswet auteursrechten alleen schriftelijk kunnen worden overgedragen en dat die overdracht voldoende specifiek moet zijn, hetgeen hier niet het geval is. Bij de uitleg van de overeenkomst verwijst Angry Nerds met name naar de artikelen 2, 3 en 21 daarvan. Hieruit volgt dat Angry Nerds het ruwe materiaal onder zich moet houden voor eventuele vervolgopdrachten. Mogelijke vervolgopdrachten waren voor Angry Nerds essentieel bij het sluiten van de overeenkomst. Angry Nerds zou pas winst maken indien zij vervolgopdrachten zou krijgen. De prijs van € 80,- per video is immers een stuk lager dan de commerciële prijs van € 140,-. Daarnaast doet Angry Nerds een beroep op haar persoonlijkheidsrechten zoals bedoeld in artikel 25 van de Auteurswet en op haar databankrechten, zoals bedoeld in de Databankwet. Tot slot maakt zij aanspraak op een volledige proceskostenveroordeling als bedoeld in artikel 1019h Rv. Zij heeft een specificatie van haar raadsman ingediend waaruit volgt dat zij (inclusief griffierechten en btw) € 6.327,90 aan kosten heeft gemaakt.

5.4.  Op grond daarvan is de voorzieningenrechter voorshands van oordeel dat Hotel Contact over de mogelijkheid moet beschikken om de accommodatievideo’s die reeds zijn geplaatst op het YouTubekanaal nadien te wijzigen, zonder dat hiervoor de medewerking van Angry Nerds is vereist (en zonder dat Angry Nerds hiervoor een vergoeding kan vragen). De bepalingen die zien op de overdracht van rechten, met name artikel 20 van de overeenkomst, en de bepalingen die zien op overdracht van (video)bestanden dienen in deze zin te worden uitgelegd. In artikel 20 is immers bepaald dat “Het eigendom en alle rechten van de accommodatie video worden overgedragen”. Hierbij is van belang dat de tekst van de overeenkomst is opgesteld door Angry Nerds en Hotel Contact niet beschikt over gespecialiseerde kennis van filmmateriaal. Hotel Contact heeft de overeenkomst, en met name artikel 20, in redelijkheid zo mogen begrijpen dat zij met het eigendomsrecht van de video’s ook het recht zou krijgen om deze te bewerken (met inachtneming van eventuele persoonlijkheidsrechten, waarover hierna meer). Deze uitleg is naar het oordeel van de voorzieningenrechter niet strijdig met de uitleg van Angry Nerds dat zij na plaatsing van de accommodatievideo’s op het YouTubekanaal nog in aanmerking wil kunnen komen voor het verkrijgen van vervolgopdrachten als bedoeld in artikel 3 van de overeenkomst. Dat Angry Nerds met betrekking tot mogelijke vervolgopdrachten “ruw materiaal” onder zich wenst te houden, sluit niet uit dat ook Hotel Contact over de mogelijkheid moet kunnen beschikken om wijzigingen in de reeds gemonteerde accommodatievideo’s aan te brengen. Ter zitting is overigens ook door Hotel Contact verklaard dat zij enkel de reeds gemonteerde accommodatievideo’s (van ongeveer één minuut per video) wil kunnen wijzigen; zij is niet van plan om opnames van Angry Nerds die niet zijn gebruikt bij het monteren alsnog te gaan gebruiken.

5.7.  Een beroep van Angry Nerds op haar persoonlijkheidsrechten als bedoeld in artikel 25 Auteurswet staat niet aan toewijzing van de vordering zoals hiervoor bedoeld in de weg. De door Hotel Contact beoogde wijzigingen in de video’s behelzen met name het wijzigen van een logo en van een hotelnaam etc. Met wijzigingen van deze aard worden voorshands geen inbreuken gemaakt op persoonlijkheidsrechten als bedoeld in artikel 25 Auteurswet.

5.8.  Gezien de contractuele relatie tussen partijen, die zoals hiervoor overwogen meebrengt dat Hotel Contact in de gelegenheid moet worden gesteld wijzigingen in de video’s aan te brengen, is van een inbreuk op de Databankwet, zoals Angry Nerds nog heeft aangevoerd, geen sprake.

7.1.  veroordeelt gedaagden hoofdelijk om binnen zeven werkdagen na betekening van dit vonnis hun onvoorwaardelijke medewerking te verlenen aan de overdracht van het auteursrecht op de 276 accommodatievideo’s die door gedaagden op het YouTubekanaal van Worldmeetings zijn geplaatst, conform de als productie 16 bij de dagvaarding overgelegde concept-leveringsakte, op straffe van een dwangsom van € 500,- per dag dat de overdracht na de genoemde termijn niet heeft plaatsgevonden, met een maximum van € 15.000,-, en bepaalt daarbij dat de levering van de auteursrechten niet in de weg mag staan aan het uitvoeren door gedaagden van vervolgopdrachten op grond van artikel 3 en 21 van de overeenkomst,

Lees de uitspraak LJN CA0023 (pdf)

CBP, Advies concept wetsvoorstel Basisregistratie Ondergrond, z2012-00836, CBPWeb.nl
Uit't persbericht: Het ministerie van Infrastructuur en Milieu heeft het College bescherming persoonsgegevens (CBP) om advies gevraagd over het conceptwetsvoorstel betreffende de basisregistratie ondergrond. In deze registratie staan gegevens over de geologische en bodemkundige opbouw van de ondergrond, de ondergrondse infrastructuur en de gebruiksrechten in relatie tot de ondergrond. Een aantal van deze gegevens zijn persoonsgegevens, zoals de gegevens van een natuurlijke vergunninghouder van gebruiksrechten. Het CBP heeft enkele opmerkingen bij het conceptwetsvoorstel en adviseert de minister daaraan op passende wijze aandacht te schenken.

Doel en verstrekking van gegevens
Het CBP adviseert onder meer om de twee doelomschrijvingen van de basisregistratie ondergrond aan te passen. Persoonsgegevens mogen alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.

Invoering basisregistratie ondergrond
Met het oog op een doelmatige informatievoorziening in de publieke sector werkt de overheid aan een stelsel van basisregistraties. Een basisregistratie fungeert voor bestuursorganen als unieke bron van essentiële gegevens. Het kabinet heeft op 12 december 2008 besloten tot de invoering van de basisregistratie ondergrond. Deze basisregistratie wordt samengesteld uit reeds bestaande registraties.

Verwerking en bescherming persoonsgegevens; Brief regering; Rapportage 1e kwartaal 2013 EU-regelgeving gegevensbescherming, Kamerstukken II 2012/13, 32 761, nr. 48.
Een artikelsgewijze bespreking van en de Nederlandse standpunten op diverse bepalingen rondom het toezichthouderschap, bestuursrechtelijke boete (artikel 79) en de bepalingen over de bijzondere gegevensverwerkingen (artikelen 80 tot en met 85), en geclusterd: het klachtrecht, het aansprakelijkheidsrecht en de sanctionering; uitwerking door de Raadswerkgroep van het thema "risico-georiënteerde benadering". Een vergadering over het thema "flexibiliteit voor gegevensverwerking in de publieke sector".

Een selectie: Artikel 46 voorziet in de verplichting van de lidstaten om een onafhankelijke toezichthouder in te stellen. Nederland stelt daarbij de vraag of dit artikel uitsluit dat meer dan één toezichthouder kan worden ingesteld, zodat de bestaande situatie kan worden gehandhaafd, waarbij het College bescherming persoonsgegevens (Cbp) en de Onafhankelijke Post- en Telecommunicatieautoriteit (OPTA) beiden taken vervullen voor de handhaving van de bescherming van persoonsgegevens. De verordening sluit dat niet uit, zo blijkt uit de behandeling.

In artikel 47 is de onafhankelijke positie van de toezichthouder gegarandeerd. Inzake art. 47, lid 5, spreekt het wat Nederland betreft voor zich dat elke lidstaat gehouden is de toezichthouder op redelijke en evenredige wijze in staat te stellen zijn taken en bevoegdheden onder de verordening en nationaal recht uit te kunnen oefenen. Nederland komt die verplichting na.

Artikel 48 bevat de algemene bepalingen voor de benoeming van leden van de toezichthouders. Nederland acht artikel 48, lid 2, dat kwaliteitseisen bevat voor deze leden te onbepaald.

De artikelen 49 en 50 bevatten bepalingen over, respectievelijk, de inrichting van de nationale instellingswet en het ambtsgeheim voor de toezichthouder. Deze bepalingen gaven geen aanleiding voor een interventie.

In artikel 51 is de belangrijke regeling van de bevoegdheid van toezichthouders in de EU neergelegd. Hoofdregel is dat de toezichthouder op het eigen territoir de bevoegdheden uitoefent, maar dat bij grensoverschrijdende aspecten de toezichthouder bevoegd is van de lidstaat waar de hoofdvestiging van de verantwoordelijke is gevestigd. Deze bepaling is in het concept van de verordening zeer belangrijk. De bepaling geeft echter ook aanleiding tot zeer veel vragen. Nederland stemt in met het one stop shop-principe, maar heeft nog wel de nodige vragen bij de invulling daarvan.

De eerste vraag van Nederland bij art. 51, lid 2, is wat het verwerken van persoonsgegevens in het kader van een vestiging betekent. De vraag is dus of er ook verwerkingen buiten het kader van een vestiging kunnen worden verricht. Het is immers zo dat iedereen uiteindelijk wel ergens gevestigd is, ook al worden data door de verantwoordelijke feitelijk mobiel verwerkt. De tweede vraag van Nederland is of het criterium van de hoofdvestiging dat gedefinieerd is in artikel 4, onder 13, van de verordening in de praktijk niet voor bijzonder veel interpretatieproblemen kan zorgen. Wanneer de plaats waar de beslissingen worden genomen verschilt van de plaats waar een eventuele centrale verwerking plaatsvindt, kan dat lastig te bepalen zijn. De derde vraag van Nederland is of de keuze van de hoofdvestigingsregel niet voor nodeloos veel problemen zal zorgen. Het is ogenschijnlijk aantrekkelijk voor bedrijven, die met één vaste toezichthouder te maken hebben, maar onaantrekkelijk voor betrokkenen die zich tot een buitenlandse toezichthouder moeten richten, als ze feitelijk al kunnen begrijpen dat dit de bedoeling is. Daarin ligt het gevaar dat dit leidt tot een overvraging van de nationale toezichthouder waartoe betrokkenen zich dan zullen moeten richten.

Verder is het een redelijk belang van de toezichthouders om zonder middeling van de EDPB te kunnen zien wat zich aan gegevensbeschermingszaken op het eigen grondgebied afspeelt. Een alternatief is dan om de nationale toezichthouder algemeen bevoegd te maken voor elke verwerking die op het grondgebied van de nationale staat plaatsvindt te regelen, waarna bij bestaande grensoverschrijdende aspecten het consistency mechanisme moet worden geadresseerd met het doel een "lead authority" aan te wijzen die in het vervolg als enig contactpunt voor verantwoordelijke en betrokkenen kan fungeren, zo hebben vele lidstaten, en ook Nederland, voorgesteld. In dit verband verdient ook artikel 73 aandacht, omdat het om dezelfde redenen niet wenselijk is dat elke betrokkene in elke lidstaat naar elke toezichthouder mag gaan om daar elke klacht in te dienen.