College van Beroep voor het bedrijfsleven 1 februari 2012, LJN BV2285 (1. UPC Nederland B.V., 2. bbned c.s. tegen OPTA)

Artt. 15 en 16 van Richtlijn 2002/21/EG, verplichtingen zoals bedoeld in hoofdstuk 6a Telecommunicatiewet, analyse wholesalemarkt voor transitgespreksdoorgifte, beroep ongegrond.

3.4 De vraag die nu allereerst voorligt is of OPTA terecht tot het oordeel gekomen is, dat er aanleiding was om de markt ten opzichte van de vorige reguleringsperiode gewijzigd af te bakenen in die zin dat directe interconnetie tot de transitmarkt gerekend wordt.

Het College gaat, evenals OPTA, uit van de door de Commissie in de toelichting op de beide Aanbevelingen opgenomen bepaling van het begrip gespreksdoorgifte, als hetgeen ligt tussen gespreksopbouw en gespreksafgifte. Tussen de drie genoemde diensten bestaat geen overlap.

Gelet op het feit, dat de Commissie in het dictum van de Aanbeveling bij de omschrijving van de markten voor gespreksopbouw en gespreksafgifte uitdrukkelijk accepteert, dat doorgifte (geheel of gedeeltelijk) tot gespreksopbouw dan wel tot gespreksafgifte gerekend wordt, mits die doorgifte maar zodanig wordt begrensd dat zij in een nationale context consistent is met de afgesproken grenzen van de drie markten voor opbouw, doorgifte en afgifte, begrijpt het College deze opdracht aldus dat van ieder element, dat binnen de reeks opbouw, doorgifte, afgifte onderscheiden kan worden, duidelijk moet zijn in welke van de drie begrippen, en daarmee in welke van de drie markten, het wordt ondergebracht.

Het College heeft in het licht hiervan in de heropeningsbeschikking van 12 januari 2011 de vraag aan de orde gesteld wat het voor de marktafbakening betekent dat OPTA zowel in de eerste reguleringsperiode van 2006 tot en met 2008, als in de huidige reguleringsperiode van 2009 tot en met 2011 aan de aanbieders van vaste en mobiele gespreksafgifte een toegangsverplichting heeft opgelegd, die onder andere de verplichting inhoudt om non-discriminatoir te voorzien in directe interconnectie op verzoek van toegangvragende partijen, terwijl directe interconnectie eerst niet, maar in het bestreden besluit wel wordt ingedeeld in de doorgiftemarkt.

Daarmee, zo heeft het College geformuleerd, lijkt OPTA een niet-hanteerbare vorm van overlap tussen de doorgifte- en de afgiftemarkten te hebben gecreëerd, waardoor de kans zou bestaan dat OPTA een scherp zicht op de marktverhoudingen in die markten zou verliezen.

OPTA heeft in reactie op de door het College opgeworpen vraag aangevoerd, dat niet uitgegaan mag worden van de gedachte dat een product of dienst slechts tot één markt tegelijk kan behoren. De marktafbakening in het mededingingsrecht is altijd afhankelijk van het mededingingsprobleem, dat men wil onderzoeken en dan kan blijken dat een asymmetrische afbakening van de markt de juiste benadering vormt. OPTA stelt zich op het standpunt dat een dienst weliswaar slechts in één markt gereguleerd kan worden, maar wel in verschillende markten in de analyse betrokken kan worden.

Het College geeft OPTA bij nader inzien toe, dat als bij analyse van de ingevolge artikel 6a.1 en 6a.4 Tw te analyseren markt voor gespreksdoorgifte blijkt, dat marktpartijen, anders dan voorheen, directe interconnectie als een substituut voor afname van een doorgiftedienst beschouwen, OPTA niet anders kan dan zulks in haar analyse betrekken en dus de markt mede op basis van dat gegeven afbakenen.

Gelet daarop komt het College toe aan beantwoording van de vraag of OPTA terecht geoordeeld heeft dat directe interconnectie, als vraagsubstituut voor transit, deel uitmaakt van de doorgiftemarkt.

UPC beantwoordt die vraag ontkennend en heeft in verband daarmee allereerst aangevoerd, dat transit en directe interconnectie van elkaar verschillen qua functionaliteit, benodigde investeringen, realisatietijd en flexibiliteit.

Geen van de door UPC aangewezen verschillen kan echter op zichzelf de conclusie dragen, dat directe interconnectie geen vraagsubstituut voor transit is. Om tot die conclusie te komen, moet allereerst worden vastgesteld of directe interconnectie voor de aanbieder die verkeer vervoerd wil zien naar de centrale van het netwerk waarop afgifte dient plaats te vinden, bij een kleine, maar significante en duurzame prijsverhoging van transit, een reëel alternatief zou vormen voor afname van transit.

Het College acht het op zichzelf zonder meer aannemelijk dat, als directe interconnectie binnen afzienbare tijd tegen een aanvaardbare prijs verwezenlijkt kan worden, het een alternatief, dus een substituut, voor afname van transit kan vormen. Daaraan kan ook de, op zichzelf juiste, tegenwerping dat er bij interconnectie in technische zin geen sprake is van doorgifte of een doorgiftedienst, niet afdoen. Zoals in andere marktanalyses interne leveringen binnen een verticaal geïntegreerde onderneming in de markt betrokken worden, om een juist beeld van de feitelijke machtsverhoudingen op die markt te kunnen vormen, moet hier geaccepteerd worden, dat het (door directe interconnectie) zelf voorzien in de behoefte aan transport van verkeer van de centrale van een originerend netwerk, naar de centrale van het terminerend netwerk tot de relevante markt wordt gerekend.

Wat betreft de prijs die bij een keuze voor directe interconnectie betaald moet worden en de tijd die met het totstandbrengen ervan gemoeid is, wijst UPC erop, dat marktpartijen in de afgelopen jaren op problemen gestuit zijn als zij directe interconnecties tot stand wilden brengen. Met name mobiele aanbieders wierpen effectieve kostendrempels op.

OPTA’s reactie van 22 februari 2011 komt erop neer, dat de bedragen, die in verband met het totstandbrengen van directe interconnectie gerekend worden, de keuze voor deze vorm van doorgifte wel negatief beïnvloeden, maar niet in die mate, dat niet meer van prijsdruk op transit gesproken kan worden. Uit de antwoorden op de door haar in verband met de marktanalyse aan marktdeelnemers voorgelegde vragenlijsten maakt OPTA op, dat directe interconnectie bij een verkeersstroom vanaf 1.000.000 belminuten loont. Bij mobiele aanbieders ligt de drempel wel hoger, maar ook daar is de keuze voor directe interconnectie in een behoorlijk aantal gevallen lonend. OPTA wijst erop dat de door de mobiele aanbieders te hanteren tarieven gebonden zijn aan een redelijkheidsnorm, die neergelegd is in het marktanalysebesluit met betrekking tot de gespreksafgifte en dat zonodig in een nieuw marktanalysebesluit de regulering aangescherpt kan worden.

Bij afbakening van de markt speelt de zogenaamde SSNIP-test een belangrijke rol. Die test komt erop neer dat geverifieerd wordt of voor een bepaald product een substituut bestaat, door uitgaande van de hypothese, dat op een markt waarop uitsluitend dat product wordt aangeboden, een monopolist bestaat, te onderzoeken of deze zijn prijs met 10% zou kunnen verhogen, zonder dat zoveel klanten de afname staken, dat de prijsverhoging niet meer profijtelijk zou zijn. Bij toepassing van die test in dit geval gaat het dan om de vraag of zoveel afnemers zouden kiezen voor het totstandbrengen van directe interconnectie, dat die hypothetische monopolist van zo’n verhoging zou moeten afzien.

OPTA verklaart dat een kleine minderheid van de door haar ondervraagde bedrijven te kennen heeft gegeven in geval van een verhoging van de prijs met 5 à 10 % op directe interconnectie te zullen overstappen.

UPC heeft daarover aangevoerd, dat niet duidelijk is of deze respondenten representatief zijn voor alle afnemers. Het College kan, na kennisname van de vertrouwelijke versie van het marktanalysebesluit, waaruit blijkt welke respondenten de vraag bevestigend beantwoord hebben, UPC’s voorbehoud met betrekking tot deze conclusie niet onderschrijven. Het gaat overigens niet om een kwestie van representativiteit; de verklaringen van die respondenten worden uitsluitend voor die respondenten zelf in de beschouwing betrokken.

UPC stelt vervolgens dat het zeer moeilijk zal zijn om voor verkeersstromen naar alle bestemmingsnetwerken een directe interconnectie tot stand te brengen en dat aanbieders aarzelen om erin te investeren om sommige verkeersstromen via directe interconnectie te laten lopen omdat zij vrezen dat KPN wegens de dalende omzet de kosten van transit naar de overige netwerken zal verhogen. Dat gevaar wordt extra groot, als KPN ten aanzien van transit niet meer gereguleerd is en dus de mogelijkheid heeft gedifferentieerde prijzen te hanteren.

OPTA wijst er echter op dat zij die terughoudendheid in de markt niet gezien heeft maar een gestage ontwikkeling in het gebruik van directe interconnectie waarneemt.

UPC heeft ook aangevoerd, dat naar haar indruk een prijsverhoging voor transit van 10% economisch wel degelijk lonend zou zijn, nu de huidige prijs tamelijk laag is en er weinig variabele kosten zijn. KPN heeft daar tegenover benadrukt, dat de situatie op de markt niet toelaat dat zij haar transitprijzen verhoogt en dat zij die prijzen ook nooit verhoogd heeft.

Bbned c.s hebben er echter op gewezen, dat bij afwezigheid van AMM-regulering een hypothetische monopolist niet meer onder een discriminatieverbod valt en dus gedifferentieerde prijzen en staffelkortingen kan hanteren, waardoor niet alle afnemers meer kunnen profiteren van de druk, die enkele machtige afnemers op de prijs uitoefenen.

OPTA wijst erop, dat KPN bij de regulering van wholesalediensten, zoals transit, op grond van het WPC-besluit van 27 september 2006 een rendement van 7,60 tot 9,26% mocht maken. Ervan uit gaande dat KPN feitelijk tenminste een dergelijk rendement haalt en dat de marginale kosten laag zijn, kan het critical losspercentage niet heel hoog zijn.

Het College tekent aan, dat bij een SSNIP-test op basis van een gereguleerde prijs de waarde van die test voor afbakening van de markt enigszins gerelativeerd moet worden, maar kan voor het overige deze laatste redenering van OPTA volgen. Het voegt daaraan toe, dat een hypothetische monopolist aanbieders als zij eenmaal een directe interconnectie zijn aangegaan, nauwelijks meer terug zal kunnen winnen voor de afname van transit op dat traject. Aangenomen moet dus worden dat een verlies van omzet in transit wegens een overstap naar directe interconnectie in beginsel blijvend is. Bovendien betekent iedere nieuwe directe interconnectie ook de mogelijkheid van een nieuw aanbod van transit daarover op de markt. Mede gelet daarop moet aangenomen worden dat een hypothetische monopolist op de markt voor transitdiensten van een relevante prijsverhoging zal moeten afzien.

Gelet op al het vorengaande kan het College niet tot de conclusie komen, dat OPTA ten onrechte directe interconnectie als behorend tot de markt voor transit heeft aangemerkt.

3.5 Vervolgens komt dan de vraag aan de orde of OPTA terecht geoordeeld heeft, dat de markt van transit en directe interconnectie daadwerkelijk concurrerend is. Een markt is daadwerkelijk concurrerend als daarop geen aanbieder of aanbieders met aanmerkelijke marktmacht vallen aan te wijzen. Op deze markt heeft KPN een marktaandeel van 40-50% en OPTA verwacht dat dat aandeel stabiel zal blijven of licht kan stijgen (maar niet tot meer dan 50%), als zij de vrijheid zou krijgen tot tariefdifferentiatie.

Een factor daarin is dat het marktaandeel van KPN op de retailmarkten voor vaste telefonie naar OPTA’s verwachting een dalende tendens zal vertonen. KPN heeft voorts weliswaar voordelen van schaal en verticale integratie, maar die zijn op deze markt niet van groot belang.

Bij de huidige prijzen verwacht OPTA geen nieuwe transitaanbieders op de markt, doch bij stijgende prijzen zou dat kunnen veranderen. Er is enige mate van kopersmacht, voorzover kopers kunnen kiezen voor het alternatief van directe interconnectie.

De discussie tussen partijen spitst zich voornamelijk toe op de vraag welke betekenis toekomt aan de verklaringen van T-Mobile en BT over het terugtrekken van hun transitaanbod, nu OPTA de regulering van de transitmarkt heeft laten vervallen en op de vraag welke andere aanbieders van transitdiensten er daarnaast op de markt functioneren.

Met betrekking tot de eerstgenoemde vraag merkt het College allereerst op, dat voor discussie vatbaar is, hoe een mededeling van een aanbieder over zijn handelen op de markt na een toekomstig besluit van OPTA in de besluitvorming gewogen moet worden. Enerzijds baseert OPTA zijn besluit op een analyse over de toekomstige ontwikkeling op de markt, zodat met alle signalen, waaronder uitspraken van marktdeelnemers, over die toekomst rekening gehouden moet worden. Anderzijds kunnen aanbieders dergelijke uitspraken gebruiken om OPTA’s besluitvorming te beïnvloeden, terwijl zijzelf aan die uitspraken over het algemeen niet gebonden zijn.

Van belang is in elk geval wel, dat T-Mobile en BT verklaren, dat hun positie als transitaanbieder op de markt alleen houdbaar is, als KPN als grootste speler op die markt aan specifieke regulering is onderworpen. Met name gaat het daarbij om een verbod op prijsdiscriminatie. Waar naast KPN geen enkele andere telefonieaanbieder met alle andere aanbieders directe interconnectie heeft, is iedere aanbieder immers verplicht in meerdere of mindere mate transitdiensten van KPN af te nemen, hetgeen KPN op de markt voor die diensten grote mogelijkheden biedt.

Ter zitting heeft OPTA verklaard, dat zij feitelijk in de markt niet heeft waargenomen, dat T-Mobile en BT het verlenen van transitdiensten geheel beëindigd hebben. Ook als dat anders zou zijn, geldt dat zij zelf hun verkeer over de tot stand gebrachte interconnecties blijven afwikkelen, zodat het feitelijk verschil dat daardoor in de markt gemaakt wordt, niet zeer groot is. Tele2 en Verizon vervullen daarnaast ook nog een rol in de transitdienstverlening.

UPC en bbned hebben verklaard, dat hun van een zelfstandig aanbod van beide laatstgenoemde spelers op de markt niets bekend is; zij verlenen slechts transit in het kader van andere dienstverlening.

Het College overweegt, dat het op basis van kennisname van de vertrouwelijke stukken slechts kan vaststellen, dat de genoemde aanbieders een rol van enige betekenis spelen in de transitdienstverlening. Ook als die transit verschaft wordt in het kader van andere dienstverlening, is zulks bij een beoordeling van de situatie en de concurrentiemogelijkheden op de markt als geheel van belang.

Het College constateert, dat op de afgebakende markt voor gespreksdoorgifte het aandeel van transitaanbieders geleidelijk daalt, terwijl er aanwijzingen zijn dat het aandeel van KPN binnen het transitaanbod weliswaar op korte termijn in beperkte mate kan stijgen, maar op langere termijn bij een (potentiële) verdere stijging van het gebruik van directe interconnectie weer zal dalen. Op basis van de vertrouwelijke stukken, zo voegt het College hier nog aan toe, komt het beeld naar voren, dat een aanzienlijke meerderheid van de grotere aanbieders voor de grotere verkeersstromen over directe interconnectieverbindingen kan beschikken. Zij zijn slechts voor kleinere verkeersstromen op transit aangewezen, terwijl de minder grote aanbieders voor een groter deel van hun verkeersstromen van transit gebruik moeten maken. Over de afgebakende markt als geheel gezien constateert OPTA terecht dat KPN niet de mogelijkheid heeft zich onafhankelijk van haar concurrenten en klanten te gedragen. Niet uit te sluiten is dat appellanten terecht stellen, dat KPN als zij haar aanbod mag differentiëren ten opzichte van aanbieders die in grotere mate op transitdienstverlening zijn aangewezen, meer bewegingsruimte zou hebben. De Tw noch de Kaderrichtlijn bieden OPTA echter de mogelijkheid om bij de marktafbakening of de dominantieanalyse met dat aspect rekening te houden.

3.6 Bij gebreke van een aanbieder met aanwijsbare aanmerkelijke marktmacht op de afgebakende markt heeft OPTA terecht geoordeeld, dat de markt daadwerkelijk concurrerend is, zodat de eerder aan KPN opgelegde verplichtingen moeten worden ingetrokken.

De beroepen zijn dan ook ongegrond

Met dank aan Jan-Jaap Oerlemans, promovendus Universiteit Leiden en juridisch adviseur Fox-IT.

Tot en met 29 februari 2012 wordt een wijzigingswet van de Wet bescherming persoonsgegevens (Wbp) ter consultatie gegeven. In het concept van de wijzigingswet wordt onder andere ingegaan op de algemene meldplicht datalekken. Tegelijkertijd bestaan er nog een aantal sectorspecifieke meldplichten. In dit bericht wil ik overzicht geven van de meldplichten die al bestaan en nog in de maak zijn.

Meldplicht datalekken I
Bij de Eerste Kamer ligt nu een voorstel voor een meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten (denk aan telefoniebedrijven en internet service providers) dat betrekking heeft tot beveiligingsincidenten die nadelige gevolgen hebben voor de privacy van de betrokkenen. De meldplicht wordt geïmplementeerd naar aanleiding van Europese richtlijnen die wij inmiddels al in onze nationale wetgeving geïmplementeerd hadden moeten hebben.

Betrokkenen hoeven niet geïnformeerd te worden wanneer naar het oordeel van het College (hier nog de OPTA) gepaste technische maatregelen zijn genomen, waardoor geen toegang kan worden verschaft tot de persoonsgegevens. De OPTA moet dus wel in kennis worden gesteld, maar de melding aan de betrokkenen kan eventueel achterwege blijven. De OPTA heeft hierbij het laatste woord.

Daarnaast komt er een meldplicht voor ‘veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Die melding moet (hoogstwaarschijnlijk?) worden gedaan aan het Agentschap Telecom. Een meldpunt zou ervoor moeten zorgen dat geen overlap of onduidelijkheid optreed bij welke instantie nu een melding moet worden gedaan als het incident zowel gevolgen heeft voor zowel de bescherming van persoonsgegevens als de integriteit van het netwerk. Zie over deze meldplicht dit verhelderende artikel in het tijdschrift Computerrecht van Frederik Borgesius (UvA).

Meldplicht datalekken II
Het kabinet wil de voorgestelde meldplicht uit de Telecommunicatiewet blijkbaar nú al wijzigen. In het conceptwetsvoorstel (.pdf) voor wijziging van de Wet bescherming persoonsgegevens wordt namelijk een meldplicht voorgesteld die zeer vergelijkbaar is met die uit de Telecommunicatiewet, maar die nu aan College Bescherming Persoonsgegevens moet worden gedaan. Op zich wordt een wirwar aan instanties voor dezelfde meldplicht (m.b.t. persoonsgegevens) deels voorkomen door het CBP als instantie voor te wijzen, maar de toezicht zou nog steeds moeten liggen bij de OPTA. Bovendien is het onduidelijk wat nu de bedoeling is met dat meldpunt waar in de toelichting van de wijzigingswet voor de Telecommunicatiewet over wordt gesproken.

In het conceptwetsvoorstel wordt van een algemene meldplicht uitgegaan voor zowel private als publieke partijen. Dat is een discrepantie met het regeerakkoord waar slechts werd gesproken over een meldplicht voor verlies bij persoonsgegevens voor ‘diensten in de informatiemaatschappij’. Bij dit begrip moet vooral gedacht worden aan webwinkels en hosting providers.

Betrokken moeten alleen worden geïnformeerd indien het incident heeft geleid tot een ‘aanmerkelijk risico dat het incident leidt tot verlies of de onrechtmatige verwerking van persoonsgegevens’. De verantwoordelijke in de zin van de Wbp moet de melding doen en betrokkenen inlichten. Hoe deze melding precies moet plaatsvinden is afhankelijk van het aantal betrokkenen bij het beveiligingsincident. Een kleine kring betrokkenen kan volgens de toelichting op het voorstel persoonlijk worden ingelicht en anders kan met een advertentie in een dagblad worden volstaan. Het verbaast mij dat e-mail niet expliciet als voorbeeld wordt genoemd.

Het blijft natuurlijk vaag wanneer precies zo’n melding moet worden gedaan aan betrokkenen. Eventueel kan de toezichthouder hier in beleidsregels duidelijkheid over geven. Versleuteling wordt als voorbeeld gegeven dat zo’n meldplicht aan betrokkenen (niet de toezichthouder) kan worden voorkomen. Echter, als een bedrijf echt goed gehackt wordt kan wellicht ook toegang worden verschaft tot de versleutelde bestanden.

Zie ook dit blogbericht van Dirkzwager Advocaten over het conceptvoorstel en de algemene meldplicht. 

Meldplicht voor financiële instellingen
In het conceptwetsvoorstel wordt uitgebreid ingegaan op meldplichten voor financiële instellingen. Het komt er op neer dat zij ook een soort meldplicht hebben, maar dan op grond van de artikelen 3:10 lid 3 en 4:11 lid 4 Wet op het financieel toezicht (Wft). Zij zijn verplicht informatie te verstrekken aan De Nederlandsche Bank (DNB en de Autoriteit Financiële Markten (AFM) over ‘incidenten die betrekking hebben op de integere bedrijfsvoering’. Skimmingspraktijken worden als voorbeeld genoemd als een incident dat valt onder de meldplicht. Financiële instellingen moeten hun cliënten informeren over het incident en als daartoe aanleiding bestaat schadeloos stellen. Indien nodig kan de DNB of AFM interveniëren bij de onderneming.

Let op: een openbare kennisgeving van het beveiligingsincident zoals voorgesteld in de Wbp is voor de financiële instellingen niet van toepassing. Door de informeringsplicht aan de cliënten van de banken en eventuele schadeloosstelling is volgens het conceptwetsvoorstel de bescherming van persoonsgegevens voldoende gewaarborgd. Voorkomen wordt dus dat nog een extra meldplicht aan de financiële instellingen wordt opgelegd. Opgemerkt wordt nog:

“Dergelijke openbare kennisgevingen in de financiële sector zijn - mede tegen de achtergrond van de financiële crisis – te risicovol om dwingend te worden voorgeschreven. Onvoorspelbaar is of een openbare kennisgeving kan leiden tot het ontstaan van geruchten die niet meer op zakelijke wijze ontzenuwd kunnen worden en die daardoor nodeloos aanleiding geven tot vermindering van vertrouwen van het publieke of de relevante markt.”

Daar kan ik mij op zich wel wat bij voorstellen, maar het is de vraag of de Kamerleden het ook voldoende vinden.

Meldplicht beveiligingslekken?
Kamerlid Jeanine Hennis-Plasschaert heeft tenslotte een motie voorgesteld (Kamerstukken II 2011/12, 26 643, nr. 202) die is aangenomen over de meldplicht voor inbreuken bij organisaties die zijn betrokken bij vitale informatiesystemen. Deze meldplicht is aangenomen in de tijd van het Diginotar-incident. Het is bedoeling dat het Nationaal Cyber Security Centrum daar dan over wordt ingelicht en er eventueel naar handelt. Opstelten heeft in zijn Kamerbrief over cybersecurity aangegeven dat hij vóór het zomerreces van 2012 laat weten of en op welke manier aan de motie uitvoer wordt gegeven.

Conclusie
Ik heb er niet zoveel ideeën over of de invoering van nieuwe meldplichten nu wel of niet verstandig is. Helemaal nieuw zijn ze niet, want voor beursgenoteerde bedrijven bestaat al een meldplicht bij incidenten die van invloed kunnen zijn op de koers en daarnaast bestaat er al een meldplicht voor het lekken van staatsgeheimen. Tenslotte kan een meldplicht ook contractueel overeen worden gekomen tussen partijen. Duidelijk is wel dat ook met het conceptwetsvoorstel bedrijven met verschillende instanties te maken kunnen hebben die toezien op de meldplichten. Dat maakt het wel allemaal wel ingewikkeld en bureaucratisch. Positief is dat bedrijven onder dreiging van een boete van 200.000 euro de beveiligingsplicht voor persoonsgegevens (zoals vastgelegd in artikel 13 Wbp) in de toekomst wellicht (nog) serieuzer zullen nemen.

College van Beroep voor het bedrijfsleven 6 februari 2012 (KPN/OPTA), LJN: BV2871

Volgende stap in de strijd tussen Tele2 en KPN over de aanbesteding van vaste telefoniediensten door de Nederlandse Staat. Het College oordeelt dat OPTA bevoegd is om tegen de overtreding van KPN op te treden. Door de niet gelijktijdige bekendmaking van haar vrlaagde prijzen verkreeg KPN een informatievoorsprong. Dat heeft ervoor gezorgd dat de mogelijkheden van KPN en Tele2 bij het uitbrengen van een bod niet gelijk waren. KPN moet haar deelname aan de lopende aanbestedingsprocedure eindigen. Zie ook IT 319,  IT 172 en IT 208.

Update 7 februari 2012: KPN trekt bod in, zie Computable.

Brief regering betreffende de ICT-beveiligingsassessments DigiD gebruikende organisaties, Kamerstukken II, 26 643, nr. 224.

In deze brief ga ik in op de inzet van een aantal specifieke maatregelen zoals aangekondigd in de brief van 11 oktober 2011 met onderwerp: “Lekken in aantal gemeentelijke websites”. Daarin is u gemeld dat organisaties die gebruik maken van DigiD jaarlijks hun ICT-beveiliging, voor zover deze DigiD raakt, dienen te toetsen op basis van een ICT-beveiligingassessment.

Inhoudsopgave [red.]:
De norm voor ICT beveiliging
Uitvoeren ICT beveiligingassessments
Gefaseerdde aanpak
Grootgebruikers
Gemeenten, Provincies en Unie van Waterschappen.
Uitvoeren ‘hack’-testen
Communicatie richting organisaties
Tot slot

De norm voor ICT beveiliging
De ICT-beveiligingassessments worden uitgevoerd met de ICTBeveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC,voorheen GOVCERT.NL) als basis. Deze beveiligingsrichtlijnen bevatten maatregelen op het gebied van netwerkveiligheid, besturingssysteem, basisbeveiliging (virusscanner, firewall) en
applicatiebeveiliging. Ook een ‘hack’-test ofwel een zogenaamde penetratietest maakt deel uit van de richtlijnen. De beveiligingsrichtlijnen zijn opgesteld in samenspraak met een aantal publieke en private partijen, waaronder beveiligingsexperts. De richtlijnen worden gepubliceerd op de website van het NCSC. Bij nieuwe dreigingen stelt het NCSC de beveiligingsrichtlijnen bij. De normstelling voor de assessments wordt bepaald door de belangrijkste elementen van de bovengenoemde richtlijnen. Met deze normstelling wordt een forse impuls gegeven aan de verdere kwaliteitsverhoging van de ICTbeveiliging bij de overheid.

Uitvoeren ICT beveiligingassessments Allereerst zullen de organisaties die DigiD gebruiken, geïnformeerd worden over de bovengenoemde normstelling. Op deze wijze kunnen de DigiD gebruikende organisaties de benodigde aanpassingen in hun organisaties treffen en zich adequaat voorbereiden op de ICT-beveiligingsassessments. Daarnaast dienen zij de ICT-beveiligingassessments te laten uitvoeren onder verantwoordelijkheid van een Register EDP-auditor.1 Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties die een Register EDP-auditor in dienst hebben, kunnen desgewenst een zogeheten self-assessment uitvoeren. Vervolgens dienen de conclusies van de ICT-beveiligingsassessments in de vorm van een rapportage door de gebruikende organisaties aan Logius2 te worden opgeleverd.

De Register EDP-auditors die in het register van de NOREA zijn ingeschreven, zijn onderworpen aan internationale regelgeving op het terrein van audit en assurance, waaronder de ‘Code of Ethics’ en de Richtlijn ‘Assurance Opdrachten’.

Gefaseerde aanpak
In de brief van mijn voorganger van 11 oktober jl. is aangegeven dat alle organisaties voor 1 april 2012 de ICT-beveiligingsassessments moesten hebben doorlopen. Omdat het belangrijk is te komen tot een duurzame richtlijn heeft dit zijn tijd gekost. Verder heeft nader onderzoek laten zien dat de markt op deze termijn niet kan voldoen aan de benodigde expertise met betrekking tot de assessments en penetratietesten. Ook zijn er signalen van DigiD gebruikende organisaties, waaronder VNG en KING3, dat de benodigde aanpassingen en de doorlooptijd niet onderschat moet worden. Naast de huidige aanpak waarbij ingeval van signalen altijd nader onderzoek plaatsvindt en ingeval van inbraak onverwijld wordt afgesloten van DigiD, heb ik gekozen voor een gefaseerde aanpak met betrekking tot de beveiligingsassessments. Daarbij wordt ingezet op prioriteiten als het gaat om type organisatie en het belang voor de burger. Grootgebruikers van DigiD dienen voor het eind van het jaar het ICTbeveiligingsassessment te hebben uitgevoerd. Overige organisaties dienen het assessment uiterlijk een jaar later uitgevoerd te hebben.

Grootgebruikers
Logius start per direct een samenwerkingstraject met de grootgebruikers van DigiD omdat deze cruciaal zijn voor de overheidsdienstverlening. Organisaties als de Belastingdienst, DUO en de UWV behoren daartoe. Het is ons streven om te komen tot een spoedige afronding van de assessments bij deze organisaties. Andere organisaties kunnen vanzelfsprekend daarop aansluiten. Logius biedt daarnaast ondersteuning aan organisaties (niet gemeenten) door voorlichting en het delen van best practices. Bij de vormgeving van het traject voor deze organisaties zal gebruik worden gemaakt van de ervaringen die bij de grootverbruikers zijn opgedaan, alsmede de impactanalyse bij een aantal gemeenten.

1 Electronic Data Processing auditor.
2 Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
3 Kwaliteits Instituut Nederlandse Gemeenten

Gemeenten, Provincies en Unie van Waterschappen.      VNG start, ondersteund door KING, per direct een samenwerkingstraject meteen vertegenwoordiging van auditors en ICT-leveranciers van gemeenten overde aanpak van de ICT-beveiligingassessments bij gemeenten. Dit traject heeftals doel om een efficiënte uitvoering en eenduidige toepassing van de ICTbeveiligingsrichtlijnen bij gemeenten te bewerkstellingen. Dit doel wordt versterkt door het feit dat bepaalde auditors en ICT-leveranciers in opdrachtvan meerdere gemeenten werken. In dit traject kunnen desgewenst ook het Interprovinciaal Overleg en de Unie van Waterschappen worden betrokken.

KING voert de eerste helft van dit jaar bij een aantal gemeenten, waaronder kleine, middelgrote en grote gemeenten, een impactanalyse uit. De uitkomsten hiervan bieden input voor een gestandaardiseerde aanpak voor het uitvoeren van de ICT-beveiligingassessment bij gemeenten. Dit mede met het oog op het beperken van de uitvoeringslasten.

Daarnaast onderzoeken VNG en KING hoe zij gemeenten structureel op het terrein van ICT-beveiliging kunnen ondersteunen. Afhankelijk van de uitkomsten van deze onderzoeken bepalen VNG en KING hoe zij gemeenten
ondersteunen bij de assessments (te denken valt aan het inrichten van een helpdesk).

Tevens zal ik het onderwerp ICT-beveliging agenderen in mijn eerstvolgende overleg met de mede-overheden, en bezien of nadere bestuursafspraken nodig zijn.

Uitvoeren ‘hack’-testen
In het kader van de jaarlijkse ICT-beveiligingsassessments heeft Logius de mogelijkheid om enkele betrouwbare marktpartijen opdracht te geven tot het kraken van de ICT-beveiliging van gebruikende organisaties. Deze mogelijkheid staat los van de ‘hack’-testen of zogenaamde penetratietesten die Logius zelf jaarlijks laat uitvoeren op DigiD. Communicatie richting organisaties In de afgelopen periode is het effectief gebleken de communicatie te stroomlijnen. Daarom zijn er afspraken gemaakt over wie de aanspreekpunten zullen zijn. Voor vragen over het proces, kunnen organisaties bij Logius terecht. VNG is aanspreekpunt voor gemeenten. NCSC levert informatie over de beveiligingsrichtlijn. EDP-auditors kunnen met vragen bij NOREA terecht.

Tot slot
Hoewel 100% veiligheid nooit te garanderen is, wordt met deze samenwerking een belangrijke en haalbare impuls gegeven aan de kwaliteitsverbetering van ICT- beveiliging bij de overheid. In het derde kwartaal van 2012 zal ik u informeren over de stand van zaken met betrekking tot de genomen kwaliteitsmaatregelen.

De minister van Binnenlandse Zaken en Koninkrijksrelaties,
J.W.E. Spies

CBP geeft eerste reactie op nieuwe Europese privacyregelgeving Algemene privacyverordening en privacyrichtlijn voor politie en justitie bieden kansen voor betere bescherming persoonsgegevens

Uit't persbericht. Het College bescherming persoonsgegevens (CBP) is in zijn eerste reactie positief over de kansen voor betere bescherming van persoonsgegevens die het voorstel voor een nieuw Europees juridisch raamwerk voor dataprotectie biedt. “Het CBP heeft bepleit dat de positie van burgers wordt versterkt, dat bedrijven en organisaties die persoonsgegevens verwerken hun verantwoordelijkheid nemen en dat de privacytoezichthouders als dat nodig is boetes kunnen opleggen. Het feit dat deze elementen nu zijn opgenomen in het voorstel van de Europese Commissie voor een nieuwe privacyverordening is een belangrijke stap voorwaarts”, aldus Jacob Kohnstamm, voorzitter van het CBP. Kohnstamm stelt dan ook dat de verordening een goede basis vormt voor de komende besprekingen in de Raad van Ministers en het Europees Parlement.

De Europese Commissie presenteerde op woensdag 25 januari 2012 naast de nieuwe Europese verordening voor de verwerking van persoonsgegevens ook de concept-privacyrichtlijn voor gegevensverwerking door politie en justitie. Deze richtlijn betreft de uitwisseling van onder meer politie- en justitiegegevens. Het CBP is teleurgesteld over het lage ambitieniveau van de door de Europese Commissie voorgestelde richtlijn. Jacob Kohnstamm roept de Raad van Ministers en de leden van het Europees Parlement op de komende besprekingen over de twee voorstellen aan te grijpen om de teksten zodanig te wijzigen dat de bescherming van persoonsgegevens als fundamenteel recht in de EU daadwerkelijk wordt verstevigd.

Lees hier verder

Rapport Staatscommissie Grondwet, bijlage bij kamerstuk 31 570 nr. A.

Als randvermelding. Grondrechtendiscussie. Beperkte informatie- en communicatiemiddelen in artikel 7 Gw. Staatscommissieleden stellen ter discussie een aanvullend nieuw grondrecht op toegang tot documenten in het digitale tijdperk ter bevordering van openbaarheid bestuur ex 110 Gw/ en (elektronische) communicatie-infrastructuur.

Uit de samenvatting, p.9. In hoofdstuk 8 gaat de Staatscommissie in op de wenselijkheid grondrechten aan te passen in het licht van de digitalisering van de samenleving. Deze digitalisering roept vragen op over de grondwettelijke bescherming van onder meer de vrije ontvangst van informatie en het gebruik van elektronische middelen zoals internet, nieuwe mediavormen en -diensten, de vertrouwelijkheid van communicatie en de bescherming van persoonsgegevens. In dit verband heeft de Staatscommissie vooral de artikelen 7, 10 en 13 van de Grondwet in ogenschouw genomen.

Artikel 7 Grondwet, dat de vrijheid van meningsuiting beschermt, dient om verschillende redenen te worden aangepast.16 Het verbod van voorafgaand verlof in het eerste lid is beperkt tot de drukpers. De Staatscommissie stelt voor dit verbod te handhaven, maar de beperking tot de drukpers te laten vervallen. Het verbod van voorafgaand verlof strekt zich dan uit tot alle vormen van meningsuiting. Verder stelt de Staatscommissie voor het begrip gevoelens te vervangen door meningen. Daarnaast doet de Staatscommissie de aanbeveling de vrije ontvangst van informatie in de Grondwet te garanderen. Omdat in een democratische samenleving de pluriformiteit van de pers van groot belang is, adviseert de Staatscommissie een bepaling op te nemen, luidende dat de overheid de pluriformiteit van de media eerbiedigt.

p.67. 8.2 Ontwikkelingen in digitalisering en recht:
Er is ook een toenemend besef van ongewenste vormen van internetgebruik. Daarbij gaat het in het bijzonder om schendingen van auteursrecht, hate speech (bijvoorbeeld in de vorm van discriminerende uitlatingen op internetfora), kinderporno en andere vormen van cybercrime.

Het is gegeven deze ontwikkelingen de vraag of de Grondwet, in het bijzonder de grondrechtenbescherming, nog wel ‘bij de tijd’ is. Die vraag is bijvoorbeeld relevant op het terrein van communicatie. De Grondwet noemt nu alleen traditionele informatie- en communicatiemiddelen, zoals de ‘drukpers’, ‘radio en televisie’, ‘brief’, ‘telefoon’ en ‘telegraaf’. De vraag rijst in hoeverre de bescherming van grondrechten in de Grondwet ook op nieuwe informatie- en communicatietechnieken van toepassing is.

p. 69. Een aantal leden123 betreurt deze beperking in het bijzonder waar het gaat om de opneming in de Grondwet van een nieuw grondrecht op toegang tot documenten.
Een kenmerk van het digitale tijdperk is dat de betekenis van informatie(grond)rechten toeneemt. Vandaar het bijzondere belang dat volgens deze leden deze in onderling verband op evenwichtige wijze geborgd zijn. Dat geldt volgens hen in het bijzonder voor grondrechtelijke aanspraken op privacy en openbaarheid. Om deze reden hebben deze leden een aanvullend voorstel gedaan tot opneming van een nieuw grondrecht op toegang tot documenten (openbaarheid van bestuur). (...) Een van deze leden124 betreurt de beperking van de opdracht temeer omdat zij van oordeel is dat er, gezien de ontwikkeling van de informatietechnologie en daarop gebaseerde producten en diensten, belangrijke redenen zijn om de artikelen 5, 11 en 12 Grondwet opnieuw op inhoud en formulering te bezien.
Tevens dringt de vraag zich op of het wenselijk is om in de Grondwet een grondrecht op toegang tot de (elektronische) communicatie-infrastructuur - in het bijzonder internet - op te nemen. In dit verband behoeven volgens dit lid ook de grondrechtelijke consequenties van nieuwe methodes van bestrijding van cybercrime via surveilleren en opsporing, toezicht en handhaving op internet aandacht, in het bijzonder de duiding en regulering van filtering/afsluiting en blokkering van informatie (internetcensuur).

p.91. het volgende grondrecht op te nemen na artikel 7 Grondwet:

Ieder heeft recht op toegang tot bestuurlijke documenten onder bij wet te stellen beperkingen.

Een belangrijk motief om dit grondrecht in de Grondwet op te nemen is het evenwicht in het stelsel van grondwettelijke informatierechten, in het bijzonder bij de belangenafweging van – botsende - openbaarheidsaanspraken en de grondrechten op eerbiediging van de persoonlijke levenssfeer en op de bescherming van persoonsgegevens.167 Naast de grondrechtelijke verankering van de Wob en andere openbaarheidsregelingen, vervult dit grondrecht tevens een complementaire functie in relatie tot de vrijheid van meningsuiting. In de visie van deze leden betekent de opneming van een dergelijk grondrecht niet dat artikel 110 Grondwet zou moeten vervallen. Als instructienorm blijft artikel 110 Grondwet
van waarde, in het bijzonder waar het gaat om het bevorderen van openbaarheid op initiatief van de overheid (actieve openbaarmaking) alsook de zorg voor de toegankelijkheid van bij de overheid aanwezige informatie.

Rechtbank Utrecht 7 december 2011, LJN BV0798 (Proximedia tegen handelsnaam PC 11 Ingenieursburo)
Hof Amsterdam, nevenzittingsplaats Arnhem 11 oktober 2011, LJN BU3275 (Proximedia tegen X)

Proximedia biedt informaticaprestaties aan. Zij richt zich hierbij met name op de kleine ondernemer. Vergelijkbaar met IT 665: reflexwerking colportagewet, echter bij arrest is geoordeeld dat er geen ruimte bestaat om reflexwerking toe te kennen, de partijen zullen in de gelegenheid worden gesteld zich bij akte uit te laten en hun stelling aan te passen.

Rechtbank Utrecht 16 november 2011, LJN BV0794 (eenmanszaak Porselein & Zo tegen Proximedia)

Proximedia biedt informaticaprestaties aan. Zij richt zich hierbij met name op de kleine ondernemer. Reflexwerking van Colportagewet niet na 2,5 jaar. Een beroep op dwaling slaagt evenmin, nu meer dan ruim 2 jaar later nadat zijn eiser zijn onderneming heeft gestaakt een beroep op dwaling wordt gedaan, komt voor rekening van de dwalende. Uitgebreid worden het kernbeding vs grijze lijst en onredelijke bezwarend beding besproken aan de hand van de gegeven casuïstiek (r.o. 4.11-4.15). Alle vorderingen worden afgewezen, in reconventie volgt een toewijzing van schadevergoeding vermeerderd met een contractuele rente van 8%.

4.3.  Vast staat dat [eiser] zich eerst bij brief van 28 oktober 2010 augustus 2010, derhalve ruim twee en half jaar na sluiting van de overeenkomst, beroept op de nietigheid van de overeenkomst op grond van de Colportagewet. Voorts staat vast dat partijen in de jaren 2008 en 2009 uitvoering hebben gegeven aan de overeenkomst zonder dat [eiser] enig signaal heeft gegeven dat er bij het sluiten van de overeenkomst iets niet goed zou zijn gegaan en dat hij zich overvallen heeft gevoeld door de vertegenwoordiger van Proximedia. Zelfs indien er veronderstellenderwijs vanuit wordt gegaan dat [eiser] dient te worden aangemerkt als een kleine - met een consument gelijk te stellen - ondernemer, kan in dit geval een beroep op de Colportagewet hem gelet op het vorenstaande reeds wegens tijdsverloop niet baten, zodat dit wordt afgewezen.

4.9.  [eiser] heeft ter comparitie van partijen verklaard dat hij de overeenkomst bij ondertekening vluchtig heeft doorgelezen en dat hij heeft gezien dat de duur van de overeenkomst vier jaar bedroeg. [eiser] verklaarde voorts dat hij de overeenkomst pas de avond na ondertekening goed heeft doorgelezen. In deze overeenkomst staat ook vermeld dat de laptop eigendom van Proximedia blijft alsmede dat een maandelijkse vergoeding verschuldigd was voor, onder meer, een website.
Voorts staat vast dat sindsdien door partijen uitvoering is gegeven aan de overeenkomst, en dat [eiser] eerst op 28 oktober 2010, derhalve meer dan ruim 2 jaar later en nadat hij zijn onderneming heeft gestaakt, een beroep op dwaling heeft gedaan. Gelet op deze omstandigheden dient de dwaling – indien er voor zover daarvan sprake is geweest – voor rekening van de dwalende te blijven.

4.13. (...) Indien dit beding niet zou zijn overeengekomen zou het voor de wederpartij niet mogelijk zijn de overeenkomst tussentijds te beëindigen. In dat geval zou Proximedia in elk geval aanspraak kunnen maken op de volledige overeengekomen maandtermijnen gedurende de duur van de overeenkomst, die immers is gesloten voor de bepaalde tijd van 48 maanden. Zonder dit beding zijn de wederzijdse verbintenissen derhalve voldoende bepaald. Ook kan niet kan worden gesteld dat zonder dit beding tussen partijen geen overeenstemming bestaat over het wezen van de overeenkomst. Naar objectieve maatstaven kan daarom niet worden geoordeeld dat dit beding de kern van de prestaties aangeeft. Ook het feit dat dit beding is opgenomen in de zogenaamde grijze lijst (artikel 6:237 aanhef en onder i) vormt een aanwijzing dat geen sprake is van een kernbeding, maar van een algemene voorwaarde in de zin van artikel 6:231 aanhef en onder a BW.

Vzr. Rechtbank Rotterdam 19 januari 2012, LJN BV2482 (Joemi c.s. tegen Melenborg c.s.)

Arbeidsrechtelijke zaak, waarbij toegang tot computersysteem wordt gevorderd.
 
Tweede kort gedingprocedure tussen (o.a.) partijen. Dispuut in het kader van de beëindiging van de samenwerking tussen partijen en de ontvlechting van de wederzijdse belangen. Is sprake van een (mondelinge) overeenkomst op hoofdpunten? Voorshands geen sprake van een rechtens afdwingbare overeenkomst. Eisers zijn niet-ontvankelijk verklaard in hun vordering tot het verlenen van toegang tot het computersysteem.

Wat er van de rechtsgeldigheid van het besluit tot ontslag van [eiser 2] ook zij - dit is in dit kort geding geen onderwerp van geschil -, feit is dat [eiser 2] per 16 december 2011 is ontslagen als bestuurder van Stichting Polikliniek De Blaak. Door [eiser 2] is niet gesteld, noch is daarvan gebleken, dat tussen hem en de stichting een arbeidsovereenkomst heeft bestaan die thans nog gelding heeft. Uitgangspunt dient dus te zijn dat de rechtsverhouding tussen Stichting Polikliniek De Blaak en [eiser 2] (feitelijk) is geëindigd. Sinds 15 december 2011 is [eiser 2], vooruitlopend op het ontslag, de toegang ontzegd tot het computersysteem van Polikliniek De Blaak. Thans vragen Joemi en [eiser 2] om [gedaagde 2] te veroordelen [eiser 2] toegang te verlenen tot het computersysteem.

Ter zitting is voorshands aannemelijk geworden dat (o.a.) de administratie, de informatie- en communicatietechnologie en de eigendom van apparatuur betreffende de onderneming Polikliniek De Blaak zijn ondergebracht in Stichting Polikliniek De Blaak. Voor de hand ligt dan dat Joemi en [eiser 2] Stichting Polikliniek De Blaak hadden dienen te dagvaarden om [eiser 2] de gewenste toegang te verschaffen tot het computersysteem van Polikliniek De Blaak. De verantwoordelijkheid voor het systeem ligt immers (volgens de door Joemi en [eiser 2] niet bestreden en daarmee aannemelijk geworden stelling van Melenborg en [gedaagde 2]) bij de entiteit Stichting Polikliniek De Blaak en niet bij (één van) haar bestuurders.

Hof Amsterdam, nevenzittingsplaats Arnhem 31 januari 2012, LJN BV2565 (appellant tegen waarborgmaatschappij Medirisk)

Verwerking persoonsgegevens; inzage op grond van Wet bescherming persoonsgegevens. [appellant] heeft op verzoek van Medirisk de medisch directeur, alsmede het medisch en paramedisch personeel van het OLVG gemachtigd de bij hen berustende medische en paramedische gegevens met betrekking tot de aansprakelijkstelling over te leggen aan de medisch adviseur van Medirisk. [appellant] is er verder mee akkoord gegaan dat de medisch adviseur voor de behandeling van de schadekwestie inzage van de medische gegevens verstrekt aan en ten behoeve van bij Medirisk werkzame medewerkers en adviseurs. Medirisk dient uiteindelijk, aldus het Hof, inzage te geven in het medisch rapport van een chirurg en ten aanzien van alle stukken aan tegeven waarover het stuk handelt en om welke reden zij vn mening is dat er Wbp-uitzonderingen van toepassing zijn.

4.7 Ten aanzien van overige stukken die zich in het dossier dat Medirisk over [appellant] houdt bevinden, overweegt het hof als volgt. Medirisk heeft tot op heden geweigerd een overzicht te verstrekken van de informatie die zich in haar dossier bevindt.

Ook ten aanzien van het verzoek een overzicht te verstrekken faalt het betoog van Medirisk dat [appellant] misbruik van recht maakt. Het hof verwijst naar het hiervoor overwogene.

Zonder een nadere toelichting - die ontbreekt - valt voorts niet in te zien dat het verstrekken van een overzicht er reeds toe kan leiden dat het belang dat Medirisk heeft bij het vrijelijk kunnen voeren van overleg geschaad wordt. Om te kunnen beoordelen of het hier gegevens betreft die Medirisk op grond van artikel 2 sub a van de Wbp dan wel artikel 43 sub e van de Wbp niet aan [appellant] hoeft te verstrekken, dient Medirisk derhalve een overzicht over te leggen van de stukken, inclusief eventuele bijbehorende bijlagen, die zich in haar dossier ten aanzien van [appellant] bevinden, waarbij zij per dossierstuk beknopt dient aan te geven waarover dit stuk handelt en om welke reden zij meent dat de uitzondering als bedoeld in artikel 2 sub a van de Wbp en/of artikel 43 sub e van de Wbp op dat stuk van toepassing is.

Dictum
Het hof, beschikkende in hoger beroep:
bepaalt dat Medirisk uiterlijk twee weken nadat deze beschikking in kracht van gewijsde is gegaan aan het hof en de advocaat van de wederpartij het medisch rapport van dr. J.E.L. Cremers (chirurg) zal verstrekken;

bepaalt dat Medirisk uiterlijk twee weken nadat deze beschikking in kracht van gewijsde is gegaan aan het hof en de advocaat van de wederpartij een overzicht zal verstrekken van alle zich in het dossier ten aanzien van [appellant] bevindende stukken, inclusief eventueel daarbij behorende bijlagen, waarbij Medirisk per dossierstuk beknopt dient aan te geven waarover dit stuk handelt en om welke reden zij van mening is dat de uitzondering als bedoeld in artikel 2 sub a van de Wbp en/of artikel 43 sub e van de Wbp op dat stuk van toepassing is;

bepaalt dat van deze beschikking terstond beroep in cassatie kan worden ingesteld;