ICT~Office start de commissie privacy om de ICT-branche op het gebied van het thema 'privacy' te organiseren en zodoende een bijdrage te leveren aan de discussie over de balans tussen ICT, innovatie en privacy. De commissie staat open voor vertegenwoordigers van lidbedrijven van ICT~Office die binnen hun organisatie op strategisch niveau verantwoordelijk zijn voor privacy en de impact van privacy op de business. Lees meer hier

Vzr. Rechtbank 's-Gravenhage 2 april 2012, LJN BW1268 (Infopact Netwerkdiensten B.V. tegen TU Delft en gevoegde: XS4ALL)

In't kort: Europese openbare aanbesteding voor internet- en telefoniediensten; ter terechtzitting is betoogd dat inschrijving niet aan de gestelde (technische) eisen voldoet; gedaagde wordt in de gelegenheid gesteld nader in te gaan op dit betoog; tussenvonnis.

In september 2011 heeft TU Delft een openbare Europese aanbesteding bekend gemaakt van de opdracht "Internet en telefoniediensten ten behoeve van medewerkers van de TU Delft". Op de opdracht is het Besluit aanbestedingsregels voor overheidsopdrachten (Bao) van toepassing. Als gunningscriterium wordt gehanteerd de economisch meest voordelige inschrijving.

4. De beoordeling van het geschil

4.1. TU Delft heeft ter zitting betoogd dat de inschrijving van Infopact niet aan de gestelde eisen voldoet. Niet alleen voldoet Infopact niet aan de in paragraaf 5.4.6.13 gestelde eis dat de modem die de inschrijver zal leveren fabrieksnieuw is, maar daarnaast voldoen de thans in gebruik zijnde modems, die Infopact niet wenst te vervangen, niet aan de daaraan gestelde technische eisen, aldus TU Delft. Ten aanzien van dit laatste punt overweegt de voorzieningenrechter als volgt.

4.2. Vaststaat dat Infopact er bij haar inschrijving van uit is gegaan dat zij bij gunning van de opdracht 20% van de thans geplaatste modems onmiddellijk zal moeten vervangen, aangezien deze niet meer aan de daaraan te stellen eisen voldoen. Vaststaat voorts dat Infopact in 2010 en 2011 modems vernieuwd heeft. Die zijn vervangen door de zogenaamde "Fritz!Box7170-modem" (hierna: de 7170-modem), die momenteel door ongeveer 80% van de gebruikers benut wordt. TU Delft heeft ter terechtzitting betoogd dat de 7170-modem niet aan de daaraan gestelde eisen voldoet. TU Delft heeft in dat kader aangevoerd dat de 7170-modem de 802.11g-standaard ondersteunt, terwijl de in paragraaf 5.4.6.9 gestelde eis vergt dat de modem 802.11n ondersteunt. TU Delft heeft verder betoogd dat de 7170-modem evenmin voldoet aan de in paragraaf 5.4.6.10 gestelde eis. De producent van de 7170-modem heeft aangegeven dat deze binnenkort niet meer geproduceerd zal worden, aangezien de hardware verouderd is en het model te weinig intern geheugen heeft, waardoor het niet meer mogelijk is firmware updates te krijgen, aldus TU Delft.

4.3. Infopact heeft ter terechtzitting betoogd dat de 7170-modem op dit moment aan de eisen voldoet. Daaruit volgt niet zonder meer dat de 7170-modem voldoet aan de nieuwe eisen. Nu TU Delft eerst ter zitting heeft aangevoerd dat de 7170-modem niet voldoet aan de in § 4.2 van het bestek genoemdetechnische specificaties ingevolge de paragrafen 5.4.6.9 en 5.4.6.10 van het bestek, heeft Infopact echter nog onvoldoende gelegenheid gehad in te gaan op dit betoog van TU Delft. De voorzieningenrechter ziet aanleiding Infopact daartoe alsnog in staat te stellen. Indien Infopact uitdrukkelijk verklaart dat met de 7170-modem aan de betreffende eisen uit het bestek is voldaan, dient zij dit te onderbouwen aan de hand van verificatoire bescheiden. Infopact wordt in de gelegenheid gesteld zich schriftelijk uit te laten, waarna de overige partijen in de gelegenheid worden gesteld hierop schriftelijk te reageren, op de wijze zoals hierna in het dictum is vermeld.

Rechtbank Rotterdam 4 april 2012, LJN BW1371 (KPN B.V. tegen eisers)

Misbruik van niet naar behoren functionerende simkaart. Degene die betrokken is (geweest) bij het gebruik van een niet naar behoren functionerende simkaart en die weet, althans kan weten, dat door dat gebruik een derde partij inkomsten misloopt, handelt in beginsel onrechtmatig jegens die derde partij en kan als zodanig aansprake­lijk zijn voor de als gevolg van dat gebruik door die derde partij geleden schade. Voorshands voldoende bewezen dat gedaagden betrokken zijn geweest bij het misbruik van de simkaart. De rechtbank laat [eisers] toe in het kader van tegenbewijs aannemelijk te maken dat zij niet betrokken is geweest bij het misbruik van de niet naar behoren functionerende simkaart.

De vorenstaande feiten en omstandigheden in onderling verband en samenhang bezien, acht de rechtbank voorshands voldoende bewezen dat [eiser 1] en [eiser 2], als statutair directeur en enig aandeelhouder van (en derhalve financieel belanghebbende bij) [eiser 1], betrokken zijn geweest bij het misbruik van de niet naar behoren functionerende simkaart. Gelet op de hiervoor in 2.10 omschreven normale financiële afwikkeling van een telefoontje, wisten, althans konden [eiser 1] en [eiser 2] weten, dat door dat gebruik KPN inkomsten zou mislopen.

[eisers] heeft echter gemotiveerd ontkend dat zij betrokken is geweest bij het misbruik van de niet naar behoren functionerende simkaart. De rechtbank acht de bij dagvaarding als producties 11 overgelegde schriftelijke overeenkomsten en de als producties 5 bij conclusie van antwoord overgelegde facturen, zowel afzonderlijk als in onderling verband bezien, vooralsnog onvoldoende voor het verlangde tegenbewijs op dit punt.

[eisers] zal, gelet op haar bewijsaanbod, worden toegelaten om, in het kader van tegenbewijs tegen de voorshands als voldoende bewezen aangemerkte stelling dat [eisers] betrokken is geweest bij het misbruik van de niet naar behoren functionerende simkaart, aannemelijk te maken dat zij daarbij niet betrokken is geweest.

Rechtbank Arnhem 28 maart 2012, LJN BW1398 (CTA Consulting tegen Sound Sight Music)

Vervolg van tussenvonnis IT 631. Overeenkomst van opdrachten. Database gebruik hosting. De rechtbank wijst beide onderdelen (eenmalige items en gederfde winst ter zake van abonnement) toe.

Eenmalige items

2.4.  Het door CTA ter zake van de eenmalige items berekende bedrag van € 6.842,50(€ 5.750,- exclusief btw) is als volgt opgebouwd:
Gefactureerd voor eenmalige items  €  8.000,00
-/- 10 niet bestede uren aan ‘frontoffice software’     500,00
-/- ‘third party software’ die niet is ingekocht      750,00
-/- 20 niet bestede uren aan opstellen overeenkomsten  1.000,00
Besparingen op eenmalige items            2.250,00-/-
Vordering ter zake eenmalige items (excl. btw)  €  5.750,00

Gederfde winst ter zake van abonnement

2.9.  CTA heeft gesteld dat de maandelijkse vergoeding van € 340,- (exclusief hosting van € 25,- per maand) voor drie gebruikers inherent is aan haar verdienmodel en bovendien alleszins redelijk is in vergelijking tot andere dienstverleners. Haar verdienmodel is gericht op de lange termijn en zij maakt uitsluitend winst op het driejarige abonnement dat gekoppeld is aan het leveren van de website met databank. Op de onderdelen uit de itemlijst maakt zij geen winst en in veel gevallen zelfs verlies. Vergeleken met andere dienstverleners die soortgelijke diensten leveren behoort CTA met een tarief van € 340,- per maand tot de middenmoot. Er is een groot verschil in tarieven, die variëren van ongeveer € 40,- tot € 600,- per maand. Die verschillen vloeien met name voort uit de uiteenlopende verdienmodellen van de betreffende dienstverleners, aldus CTA.

2.14.  Anders dan Sound Sight, vergelijkt de rechtbank het bedrag van € 22.640,- niet met het gemiddelde van de aanbiedingen van Websols, Danda en Vanderwest voor de eenmalige items. Het moge zo zijn dat deze aanbieders uitgaan van een verdienmodel dat gebaseerd is op een totale projectsom zonder verplicht abonnement, maar zoals in het tussenvonnis is overwogen omvat de overeenkomst die Sound Sight met CTA is aangegaan een abonnement voor drie jaar. Een redelijke vergelijking noopt dan ook tot het optellen van de door deze aanbieders gehanteerde tarieven voor support en hosting bij de totale projectsom. Aldus kan worden geconcludeerd dat het gemiddelde van de totale vergoeding van de drie andere dienstverleners € 17.663,- bedraagt. Indien hierop in mindering wordt gebracht de door CTA geoffreerde vergoeding van € 9.500,- voor de eenmalige items, resteert een bedrag van € 8.163,- voor een abonnement van drie jaar. Nu CTA geen andere aanknopingspunten heeft aangereikt terwijl zij daartoe wel in de gelegenheid is geweest, moet het ervoor worden gehouden dat dit bedrag van € 8.163,- als een redelijke vergoeding voor het door CTA aangeboden abonnement kan worden aangemerkt. Van dit bedrag dienen de besparingen van CTA te worden afgetrokken die het gevolg zijn van de voortijdige beëindiging van de overeenkomst. Zoals hiervoor is aangegeven, heeft CTA onderbouwd gesteld dat haar besparingen maandelijks € 65,47 bedragen, wat over een periode van drie jaar resulteert in een totale besparing ter zake van het abonnement van € 2.356,92. De stelling van Sound Sight dat deze besparingen onaannemelijk zijn en dat CTA hiervoor geen representatief bewijs heeft geleverd is zonder nadere toelichting, die ontbreekt, niet begrijpelijk en in ieder geval onvoldoende gemotiveerd. Ter staving van de besparingen op licentiekosten en telefoonkosten heeft CTA facturen overgelegd. De rechtbank ziet dan ook geen aanleiding om van een ander bedrag aan besparingen uit te gaan. Zij komt volgens deze berekening op een bedrag aan gederfde winst ter zake van het abonnement van € 5.806,08 (€ 8.163,00 -/- € 2.356,92) exclusief btw en € 6.909,22 inclusief btw.

2.15.  Op basis van het voorgaande is toewijsbaar:
-  ter zake van de eenmalige items     6.842,50
-  ter zake van het abonnement       6.909,22
Totaal hoofdsom        13.751,72

Rechtbank ’s-Gravenhage 15 maart 2012, LJN BV9594 / LJN BV9587

Met samenvatting van Hanneke van Lith, masterstudent IVIR.

Vergelijkbaar met IT 660: Phishing en incidentenregister. Twee beschikkingen. Wbp. Incidentenregister. Phishing.

Het verzoek van de ouders om de persoonsgegevens van hun kind bij de Stichting CIS en van het incidentenregister van de ING te verwijderen is afgewezen.

De rechtbank geeft in beide zaken te kennen dat onbetwist vast staat dat de pinpas en pincode van de minderjarige zijn gebruikt bij zogenaamde ‘phishing-fraude’. Het kind heeft namelijk verklaard dat hij vrijwillig zijn pinpas en pincode heeft afgegeven, om makkelijk geld te verdienen. Door de ouders van het kind wordt echter aangevoerd dat hun kind onder valse voorwendselen is overgehaald zijn/haar pinpas en pincode te verstrekken aan een derde. De rechtbank geeft de ouders de mogelijkheid dit te bewijzen door middel van getuigenverklaringen.

Tot die tijd heeft de rechtbank bepaalt dat de persoonsgegevens van het kind niet hoeven te worden verwijderd door de ING.

4.11. Tussen partijen is niet in geschil dat de betaalrekening van [kind van verzoekers] is gebruikt voor frauduleuze transacties. Gezien de verklaring van [kind van verzoekers] tegenover de politie is vast komen te staan dat [kind van verzoekers] daarbij betrokken was. Hij heeft in zijn verklaring toegegeven dat hij met het oog op een snelle verdienste van wel een paar honderd euro zijn pas en pincode aan een derde heeft afgegeven, zodat die zijn rekening zou kunnen gebruiken. Hij kwam zelf tot het besef dat een en ander niet klopte. Dat [kind van verzoekers] er daarom spijt van kreeg en zijn moeder informeerde en vervolgens openheid van zaken heeft gegeven bij de politie, doet op zich aan zijn betrokkenheid bij de fraude niet af. In de gegeven omstandigheden is naar het oordeel van de rechtbank aan de criteria voor opneming in het incidentenregister en het daaraan gekoppelde EVR voldaan en had ING derhalve een gerechtvaardigd belang de persoonsgegevens van [kind van verzoekers] daarin op te nemen.

4.12. Tegenover dit belang van ING staan de mogelijke nadelige gevolgen voor [kind van verzoekers] als gevolg van opnemen van zijn persoonsgegevens in de registers. De afweging van deze belangen valt in het nadeel van [kind van verzoekers] uit. De rechtbank heeft daarbij in aanmerking genomen dat [kind van verzoekers] nog wel kan bankieren. Weliswaar is de zogenaamde convenantenrekening - een basale bancaire rekening waarop betalingen kunnen worden ontvangen en waarvan betalingen kunnen worden verricht - alleen te openen door meerderjarigen, maar ter zitting heeft ING aangegeven bereid te zijn een rekening voor [kind van verzoekers] te openen die identiek is aan de convenantenrekening. Bovendien is de opname in verband met de leeftijd van [kind van verzoekers] beperkt tot vier jaar.

Vzr. Rechtbank Utrecht 21 maart 2012, LJN BW1070 (eiser tegen NS Groep)

Rechtspraak.nl: Kort geding. Geschil draait om vraag of er voor een student die met de trein wil reizen in de zogenaamde vrij reizen periode een verplichting bestaat tot het in- en uitchecken met zijn (persoonlijke) OV-chipkaart (althans dat alleen aldus een geldig elektronisch vervoersbewijs wordt verkregen) en zo ja, of deze verplichting in strijd is met de Wet bescherming persoonsgegevens. Voldoende aannemelijk is dat er een contractuele grondslag bestaat voor de (invoering van de) verplichting tot inchecken op basis van artikel 18.2 van de geldende Algemene Voorwaarden (AVR-NS). Geen nietigheid van deze bepaling op grond van artikel 3:40 BW, want geen strijd met artikel 5 Besluit Personenvervoer. Tevens is voldoende aannemelijk dat de gegevensverwerking die plaatsvindt bij het in- en uitchecken noodzakelijk is voor de uitvoering van de vervoersovereenkomst tussen NS en reiziger (artikel 8 onder b Wet bescherming persoonsgegevens). De op basis van artikel 18.2 AVR-NS ingevoerde verplichting tot in- en uitchecken is immers een vereiste geworden voor het hebben van een geldig vervoersbewijs (artikel 8.7 AVR-NS).

D. Wright, P. de Hert (red.), Law, Governance and Technology #6: Privacy Impact Assessment, Springer  2012.

This book examines the use of privacy impact assessments (PIAs) with a view to extracting the best elements and advocating a model that will serve to engage stakeholders in protecting privacy. It advocates making PIAs mandatory.

Virtually all organisations collect, use, process and share personal data from their employees, customers and/or citizens. In doing so, they may be exposing themselves to risks, from threats and vulnerabilities, of that data being breached or compromised by negligent or wayward employees, hackers, the police, intelligence agencies or third-party service providers. A recent study by the Ponemon Institute found that 70 per cent of organisations surveyed had suffered a data breach in the previous year. Privacy impact assessment is a tool, a process, a methodology to identify, assess, mitigate or avoid privacy risks and, in collaboration with stakeholders, to identify solutions.

Contributors to this book - privacy commissioners, academics, consultants, practitioners, industry representatives - are among the world's leading PIA experts. They share their experience and offer their insights to the reader in the policy and practice of PIA in Australia, Canada, New Zealand, the United Kingdom, the United States and elsewhere. This book, the first such on privacy impact assessment, will be of interest to any organisation that collects or uses personal data and, in particular, to regulators, policy-makers, privacy professionals, including privacy, security and information officials, consultants, system architects, engineers and integrators, compliance lawyers and marketing professionals. In his Foreword, leading surveillance studies and privacy scholar Gary T. Marx says, "This state-of-the-art book describes the most comprehensive tool yet available for policy-makers to evaluate new personal data information technologies before they are introduced." This book could save your organisation many thousands or even millions of euros (or dollars) and the damage to your organisation's reputation and to the trust of employees, customers or citizens if it suffers a data breach that could have been avoided if only it had performed a privacy impact assessment before deploying a new technology, product, service or other initiative involving personal data.

Uit't persbericht: Houthoff Buruma heeft met ingang van 1 april 2012 Thomas de Weerd benoemd tot partner Thomas de Weerd is sinds 2002 verbonden aan Houthoff Buruma. Hij maakt deel uit van de praktijkgroep Intellectuele Eigendom en IT en is gespecialiseerd in outsourcing transacties, IT, e-business, technologieovereenkomsten en intellectuele eigendom. Tevens maakt hij deel uit van het gespecialiseerde privacy team van Houthoff Buruma. (red. Thomas is eveneens lid van de redactie van deze site)

Ex parte beschikking Rechtbank 's-Gravenhage 20 maart 2012, KG RK 12-609 (Stichting BREIN tegen gerekwestreerde)

Tussenpersoon. Proxy service. Auteursrecht. Verzoek ziet op de onmiddelijke voorziening tegen gerekwestreerden, die een zogenaamde reverse proxydienst aanbiedt waarmee via een server de website The Pirate Bay wordt doorgegeven. Hierdoor kunnen abonnees van Ziggo en XS4All deze site bezoeken zonder dat zij worden tegengehouden door de IP- en DNS-blokkade [IEF 10763].

De voorzieningenrechter beveelt gerekwestreerde binnen zes uur na betekenis van deze beschikking de dienst te staken en gestaakt te houden en het ter beschikking stellen van The Pirate Bay, al dan niet via het subdomein tpb.dehomies.nl te staken en gestaakt te houden.

Uit het verzoekschrift van stichting BREIN:

40. Als gevolg van het vonnis d.d. 11 januari 2012 van de 'Haagste rechtbank is TBP niet meer toegankelijk voor abonnees van Ziggo en XS4ALL. Met zijn reverse proxy geeft Gerekwestreerde eenieder, waaronder abonnees van Ziggo en XS4ALL, de mogelijkheid één op één gebruik te maken van TPB. Daarmee saboteert hij het door de Rechtbank zorgvuldig afgewogen verbod.

41. De handelingen van de gebruikers van de reverse proxy tpb.dehomies.nl/The Pirate Bay kwalificeren als (zelfstandige, ongeautoriseerde openbaarmakingen en ter beschikking stellingen in de zin van art. 12 Aw resp. art. 2 lid I sub d, 6 lid 1 sub c, 7a lid 1 sub c Wnr.

42. Gerekwestreerde en zijn dienst moet worden beschouwd als "tussenpersoon" wiens dienst wordt gebruik door derden om inbreuk te maken, als bedoeld in art. 26d Aw en art 15e Wnr. Gerekwestreerde faciliteert deze inbreuken, met name voor abonnees van Ziggo en XS4ALL, heeft hier wetenschap van en is er bovendien actief bij betrokken. Op grond van artikel 26d Aw en 15e Wnr kan het Gerekwestreerde verboden worden The Pirate Bay nog langer ter beschikking te stellen.

Op andere blogs
SOLV (ex parte bevel van BREIN tegen proxy The Pirate Bay had nooit mogen worden gegeven)

Een bijdrage van ICT~Office

De gezamenlijke ICT-, telecommunicatie- en consumentenelektronica-industrie, alsook blanco informatiedragers betreuren ten zeerste de uitspraak van het Hof die het mogelijk maakt op korte termijn een heffing te introduceren op alle mogelijke muziekdragers [IEF 11110]. "De rechter gaat hiermee op de stoel van de politiek zitten: bevriezing was nodig om tot een fundamentele herziening van het stelsel te komen, omdat er geen sprake was van een functionerend systeem. De politiek is nu meer dan ooit aan zet", aldus Leon Rijnbeek, voorzitter van STOBI.

Lees verder hier.