Met dank aan Wanda van Kerkvoorden, SOLV.

Gisteren is - gezien de ontwikkelingen van de afgelopen weken uiteraard niet onverwacht - het faillissement van DigiNotar door de Rechtbank te Haarlem uitgesproken. Het Amerikaanse moederbedrijf Vasco Data Security International Inc heeft in een verklaring aangegeven dat DigiNotar zelf de faillissementsaanvraag heeft ingediend.

Vasco's CEO T. Kendall Hunt stelt het faillissement en met name de aanleiding daarvan te betreuren, maar haast zich om in dezelfde zin de klanten gerust te stellen: "we would like to remind our customers and investors that the incident at DigiNotar has no impact on VASCO's core authentication technology. The technological infrastructures of VASCO and DigiNotar remain completely separated, meaning that there is no risk for infection of VASCO’s strong authentication business."

Een verklaring van Vasco's President Jan Valcke in hetzelfde statement vind ik dan weer wat onhandig.  “While we do not plan to re-enter the certificate authority business in the near future, we expect that we will be able to integrate the PKI/identity verification technology acquired from DigiNotar into our core authentication platform.  As a result, we expect to be able to offer a stronger authentication product line in the coming year to our traditional customers.” Nu de naam van DigiNotar, voorzichtig uitgedrukt, besmet is, vraag ik me af waarom je als Vasco juist nu zou moeten mededelen dat je alsnog hun technologie gaat integreren.

Daarnaast zet ik hier vanuit juridisch opzicht  vraagtekens bij. Om de technologie van DigiNotar te integreren zal Vasco over de intellectuele eigendomsrechten moeten beschikken. Voorzover deze al voor datum faillissement aan Vasco zijn overgedragen, kan de curator zich op het standpunt stellen dat het om een paulianeuze overdracht gaat. Vasco is pas sinds januari van dit jaar eigenaar van DigiNotar dus als er al overdracht van rechten heeft plaatsgevonden, dan zal dat kort geleden gebeurd zijn en zou de curator of een van de schuldeisers mijns inziens zeer goed kunnen aanvoeren dat deze rechtshandeling onverplicht was. De schuldeisers worden benadeeld want het actief (de rechten) zitten niet meer in de boedel en het betreft ook nog eens het handelen met een gelieerde onderneming, het moederbedrijf, waarbij het me sterk lijkt dat  Vasco de marktprijs voor de technologie heeft betaald. Kortom, ook over dit aspect van de DigiNotar-nasleep zal nog wel het nodige te doen zijn. Vasco heeft verklaard alle medewerking aan zowel de curator als de Nederlandse overheid te zullen verlenen, dus onderzoek naar deze rechtshandeling zal, als Vasco haar toezegging gestand doet, mijns inziens snel tot resultaat kunnen leiden.

Lees hier de verklaring van Vasco.

Vzr. Rechtbank ’s-Gravenhage 6 september 2011, KG ZA 11-849 (Itelligence / ID College)

Met dank aan Wim Maas, Deterink.

ICT Aanbesteding. Toelichting in Programma van Eisen en Wensen (PvE) op antwoord 'ja' kan worden aangemerkt als voorwaarden of aannames.

ID College heeft een niet-openbare aanbestedingsprocedure uitgeschreven voor twee percelen: levering software Kernregistratie Deelnemersgegevens en levering omtrent onderwijscatalogus. Itelligence heeft zich ingeschreven voor beide percelen. Inschrijvingen worden beoordeeld aan de hand van het criterium "economisch meest voordelige inschrijving".

Het PvE bestaat uit een lijst met vragen die met "ja" beantwoord dienen te worden. Itelligence heeft alle vragen met "ja" beantwoord. Op enkele vragen heeft zij een nadere toelichting gegeven. Itelligence wordt de percelen niet gegund, nu minder punten zijn toegekend voor de antwoorden die zij nader heeft toegelicht. Het binaire karakter van de antwoorden wordt als voorwaardelijk gezien. Itelligence stelt zich op het standpunt dat de opdracht haar ten onrechte niet is gegund, nu zij de volledige punten voor de betreffende vragen had dienen te krijgen.

Itelligence vordert onder meer intrekking van de voorlopige gunningsbeslissing en gunning aan Itelligence, althans herbeoordeling van de inschrijving van Itelligence, althans heraanbesteding.

ID College voert verweer en stelt onder meer dat de zij uit de nadere toelichting heeft mogen begrijpen dat slechts onder voorwaarden aan de wensen voldaan kon worden. De Voorzieningenrechter wijst de vorderingen van Itelligence af en motiveert een en ander als volgt:

4.4 [..] Het voorgaande leidt tot de slotsom dat het ID College uit de toelichting van Itelligence op de vragen uit het PvE, mede gelet op de door Itelligence op 10 en 17 juni gegeven nadere onderbouwing, heeft mogen begrijpen dat het antwoord 'ja' feitelijk geen onvoorwaardelijk en ondubbelzinnig 'ja' betrof. Zij heeft Itelligence daarom op goede gronden ter zake van die vragen een score van 0 punten toegekend. Hetgeen in het door Itelligence overgelegde deskundigenrapport is vermeld, doet aan het voorgaande niet af, nu door Itelligence na de inschrijving verstrekte gegevens niet kunnen en mogen dienen ter onderbouwing van haar standpunt dat haar ter zake van de wensen de maximale scores hadden moeten worden toegekend. Zulks zou immers in strijd zijn met het gelijkheidsbeginsel.

4.5 Tegenover het standpunt van Itelligence dat ter zake van de vragen uit het PvE niet is vermeld in welke mate eraan tegemoet moet worden gekomen om voor een score in aanmerking te komen en dat zij derhalve heeft mogen begrijpen dat het geringste 'ja' tot een score zou leiden, heeft het ID College voldoende aannemelijk gemaakt dat Itelligence haar bezwaren op dit punt noch voor de inschrijving,noch nadat haar op 6 juni en 16 juni 2011 om een nadere onderbouwing van haar antwoorden is gevraagd, aan het ID College kenbaar heeft gemaakt. Gelet op de tekst van het Aanbestedingsdocument (paragraag 2.4.1 en 4.3.12) en het antwoord op vraag 154 in de derde Nota van Inlichtingen had het voor Itelligence als behoorlijk geïnfomeerde en normaal oplettende inschrijver duidelijk moeten zijn dat het antwoord 'ja' onvoorwaardelijk en zonder aannames diende te zijn. Anders dan Itelligence heeft gesteld, heeft zij dan ook niet mogen begrijpen dat ieder antwoord op de vraag dat enigszins aan de wens tegemoet komt zonder meer tot een toekenning van punten zou leiden. Aan deze stelling van Itelligence wordt daarom voorbij gegaan.

[..]

4.9 Meer subsidiair heeft Itelligence gevorderd het ID College te veroordelen tot een heraanbesteding van de Opdracht over te gaan. Dienaangaande wordt het volgende overwogen. Aan haar vordering heeft Itelligence ten grondslag gelegd dat het ID college ten onrechte heeft nagelaten om aan te geven aan de hand van welke maatstaf de inschrijvingen zouden worden beoordeeld, zodat de inschrijvers hebben mogen veronderstellen dat zij voor het scoren van punten een antwoord op de vragen uit het PvE moesten geven dat in enige mate tegemoet kwam aan de wensen. Echter, zoals hiervoor onder 4.5 reeds is overwogen moest het gelet op het Aanbestedingsdocument en de derde Nota van Inlichtingen voor een behoorlijk geïnformeerde en normaal oplettende inschrijver duidelijk zijn dat het antwoord op de vragen geen voorwaarden of aannames mocht bevatten. Dat de (her-)beoordeling door het ID College in strijd met de voor de inschrijving kenbaar gemaakte beoordelingssystematiek heeft plaatsgevonden en dat daarbij andere maatstaven zijn gehanteerd dan op grond van de aanbestedingsstukken voor de inschrijvers te verwachten was, in naar voorlopig oordeel dan ook niet gebleken. De meer subsidiaire vordering wordt daarom afgewezen.

met dank aan Rob van den Hoven van Genderen en Walter van Holst, Mitopics.

Na een golf van berichten over Diginotar, tot en de faillietverklaring van DigiNotar van vandaag blijven er toch wel een behoorlijk aantal eindjes open. In dit blog van Rob van den Hoven van Genderen en Walter van Holst een aantal invalshoeken.Twee weken geleden werd bekend dat (vermoedelijk) Iraanse hackers bij het Beverwijkse bedrijf Diginotar hebben ingebroken en via de vervalste Diginotar veiligheidscertificaten Iraans Google Mail-verkeer hadden afgetapt. De aansprakelijkheidsvraag voor deze inbraak werd in eerste instantie impliciet bij DigiNotar gelegd door minister Donner. Ook werd DigiNotar geacht het slachtoffer van criminelen te zijn, te weten de Iraanse overheid en sympathiserende hackers.  Online overheidsdiensten zoals DigiD, eveneens beveiligd via een (gekwalificeerd) certificaat van Diginotar, zouden geen gevaar lopen. Er werd in eerste instantie door de minister er vanuit gegaan dat de gescheiden omgeving voor gekwalificeerde certificaten ook daadwerkelijk gescheiden was. Dat wil zeggen tot vrijdag 3 september. Toen gaf browsermaker Mozilla aan DigiNotar niet meer te vertrouwen, gevolgd door de minister van BZK in een nachtelijke persconferentie. Uit onderzoek van Fox IT bleek namelijk dat het bij DigiNotar zelfs aan de meest elementaire maatregelen tot beveiliging ontbrak. Wat terecht al tijdens de persconferentie de vraag opriep of DigiNotar niet aansprakelijk te houden was.

Hoewel het systeem van gekwalificeerde certificaten niet tot onder de algemene kennis juristen, zelfs van IT-juristen, pleegt te vallen zijn er meerdere rechtsgebieden die in beeld komen:

• Strafrechtelijk: kan DigiNotar strafrechtelijk vervolgd worden voor lekken bij derden die ontstaan zijn door de zeer late melding van hun eigen probleem?

• Privaatrechtelijk: kan DigiNotar aansprakelijk gesteld worden voor de geleden schade?

• Bestuursrechtelijk: hoe rechtsgeldig zijn de bestuurshandelingen die verricht zijn met, inmiddels ongeldige, certificaten van DigiNotar als authenticatiemiddel?

Strafrechtelijke vervolgbaarheid
Bij een hypothetisch strafrechtelijk onderzoek dient op na het feitenonderzoek de vraag te worden beantwoord of hier sprake is van een strafbaar feit, bijvoorbeeld op grond van het voldoen aan de delictsomschrijving van artikel 161septies wetboek van strafrecht.

Of zijn zij medeschuldig aan computervredebreuk (naast natuurlijk de hackers)? . Is er sprake van voorwaardelijke opzet? van DigiNotar of van een falende controlerende overheid? Er lijkt op zijn minst gelegenheid te zijn geboden door de kans op opzettelijk misbruik aanzienlijk te vergroten, maar dat als verwijtbaar in deze zin aanmerken zou een strafrechtelijk novum zijn.Wel zou de nalatigheid van DigiNotar in beeld kunnen komen voorzover er sprake is van computervredebreuk in andere systemen, zoals dat van Google Mail, door (waarschijnlijk) de Iraanse overheid. We komen dan al snel in moeilijke discussies over rechstmacht (tenzij het om het Google rekencentrum in Nederland zou gaan).De strafrechtelijke vervolgbaarheid lijkt daarom vooralsnog een moeilijke.

Privaatrechtelijke aansprakelijkheid

Allereerst zijn we het niet eens met Arnoud Engelfriet zijn constatering dat het lastig zal zijn om schade op DigiNotar te verhalen. Waarbij overigens opgemerkt moet worden dat Arnoud zijn blog schreef op een moment toen de omvang van het probleem veel kleiner leek dan nu is gebleken. Er zijn namelijk meerdere rollen van DigiNotar:

• DigiNotar als uitgever van gekwalificeerde certificaten (die dezelfde waarde aan een elektronische handtekening geven als een klassieke handtekening); en

• DigiNotar als uitgever van de (ongereguleerde) reguliere SSL-certificaten.

Verder is het ook de vraag tegenover wie:

• Alle (vooral) Nederlandse (overheids)partijen die nu inderhaast certificaten hebben moeten vervangen en geconfronteerd zijn met verstoringen van processen als gevolg hiervan of het inmiddels niet meer erkend worden van oude certificaten door o.a. Microsoft?

• De partijen waar de certificaten onterecht aan werden toegeschreven, zoals Google, Microsoft?

• Iraanse dissidenten die het slachtoffer zijn geworden van de afluisterpraktijken die mogelijk waren door nalatigheid van DigiNotar?

Initieel leek het er op dat alleen DigiNotar’s omgeving voor reguliere SSL-certificaten gecompromitteerd was. Wat in dit geval wel heel ernstig is, is dat DigiNotar niet zelf naar buiten is getreden toen geconstateerd is dat buitenstaanders zich toegang hadden verschaft. Nog erger is dat DigiNotar naar het zich laat aanzien maar heel beperkt onderzocht heeft hoe groot het probleem nu werkelijk was. Daarmee is kostbare tijd verloren voor derden om maatregelen te kunnen treffen.

Wrang is dat  degenen die de meeste schade geleden hebben waarschijnlijk het minste in een positie zijn om de inmiddels failliete boedel van DigiNotar aan te spreken, zelfs maar hypothetisch. Dat zijn waarschijnlijk Iraanse dissidenten die voor hun leven moeten vrezen. Los van de praktische onmogelijkheid om DigiNotar aan te spreken vanuit een martelcel in Teheran zal aangetoond moeten worden dat het voor DigiNotar voorzienbaar was dat zij deze schade zouden kunnen leiden en dat DigiNotar derhalve een zorgplicht jegens hen had. Met wederom het vraagstuk van de rechtsmacht.

Voor partijen als Google en Microsoft waarvan certificaten waren vervalst zal het lastig zijn om concrete schade (enigszins overgesimplificeerd: concrete uitgaven om schade te herstellen of te voorkomen) aan te tonen, waarbij ze ook nog de hoge drempel over moeten bij het aantonen dat DigiNotar een zorgplicht jegens hen had die geschonden is. Die concrete schade zal vrijwel niet aantoonbaar zijn. Ook lastig is dat een aanspraak op grond van onrechtmatige daad gedaan zou worden, en niet op grond van een toerekenbare tekortkoming (wanprestatie).

Resteren de getroffen overheden en andere afnemers van gekwalificeerde certificaten. Die hebben veelal overuren en kosten moeten maken om in allerijl certificaten te organiseren van wél betrouwbare certificatenleveranciers. Dat is concrete schade, schade die waarschijnlijk kleiner was geweest als DigiNotar de inbraak wél adequaat had onderzocht en haar klanten tijdig had geïnformeerd. Waarbij nog komt dat een zorgplicht van DigiNotar veel makkelijker aangenomen zal worden omdat er nu eenmaal een overeenkomst bestond tussen partijen.

Bestuursrechtelijke dimensie

Een nog nauwelijks besproken dimensie is de bestuursrechtelijke. Veel overheden gebruikten gekwalificeerde certificaten van DigiNotar om communicatie rondom elektronisch bestuurlijk verkeer te authenticeren. De Algemene wet bestuursrecht (Awb) luidt op dit punt als volgt:

Nu bleek dat de omgeving waarin DigiNotar de gekwalificeerde certificaten aanmaakte en beheerde gecompromitteerd was rijst de vraag of DigiNotar certificaten niet vanaf het moment van inbraak niet langer aan deze eis voldeden. Wat met terugwerkende kracht zou betekenen duizenden beschikkingen van o.a. de Belastingdienst, de RDW en honderden gemeenten niet aan dit elementaire vormvoorschrift voldoen. In dat licht is het dan ook vreemd dat omwille van de stabiliteit van de overheidsdienstverlening ontraden werd om automatische updates van Microsoft software uit te rollen. Die overheidsdienstverlening had met evenveel recht net zo goed stilgelegd kunnen worden. Want als we de de memorie van toelichting van dit wetsartikel er bij pakken, dan zien we op pagina 15 dat er met voldoende betrouwbaar o.a. het volgende bedoeld wordt:

 De subnormen authenticiteit en integriteit zijn nadrukkelijk in het geding. Het zal hier echter vooral afhangen of er burgers of bedrijven zijn die dit argument gaan gebruiken. Het wachten is dus op bijvoorbeeld een slimme fiscalist die een elektronische beschikking van de Belastingdienst aanvecht op deze gronden. Zeker in die situaties waarin een bestuursorgaan binnen een bepaalde termijn zal moeten beslissen kan dit een interessante situatie opleveren. Wordt ongetwijfeld nog vervolgd.

Rechtbank Amsterdam 15 september 2011, LJN BS8892 (Duizend jaar Kruiden B.V. tegen gedaagde en Synnray)

Vordering tot het verwijderen van een uitlating op een discussieplatform op internet afgewezen. De voorzieningenrechter oordeelt dat de uitlating binnen de grenzen van de vrijheid van meningsuiting valt. Vorderingen afgewezen, Proceskostenveroordeling.

4.2.  Uitgangspunt is dat toewijzing van de vorderingen van Duizend Jaar Kruiden een beperking zou inhouden van het in artikel 10 lid 1 van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) neergelegde grondrecht van gedaagden op vrijheid van meningsuiting. Een dergelijk recht kan slechts worden beperkt indien dit bij wet is voorzien en noodzakelijk is in een democratische samenleving, bijvoorbeeld ter bescherming van de goede naam en de rechten van anderen (artikel 10 lid 2 EVRM). Daarnaast dient een dergelijke beperking proportioneel te zijn. Van een beperking die bij de wet is voorzien is sprake, wanneer de uitlatingen van gedaagden onrechtmatig zijn in de zin van artikel 6:162 van het Burgerlijk Wetboek (BW). Voor het antwoord op de vraag of dit het geval is, dienen alle omstandigheden van het betrokken geval in ogenschouw te worden genomen.

4.4.  Bij het oordeel dat [gedaagde 1] is gebleven binnen de grenzen van het recht op vrijheid van meningsuiting, is van belang dat in dit kort geding niet kan worden vastgesteld wat de betekenis is van het woord nima waarvan [gedaagde 1] veelvuldig gebruik heeft gemaakt. Volgens de door Duizend Jaar Kruiden ingeschakelde vertaler (L.M. Petit) betekent nima “fuck your mother”. Duizend Jaar Kruiden heeft daaraan de conclusie verbonden dat dit woord, met name in de Chinese cultuur, een uiterst beledigend scheldwoord is. Daarentegen zijn door gedaagden twee andere verklaringen in het geding gebracht van M.S. Lee en P.N. Kuiper, beiden net als Petit beëdigd vertalers. Uit de verklaring van Kuiper blijkt dat nima een versluierde uitdrukking is, populair onder jongeren op het internet, die letterlijk “jouw moeder” kan betekenen en waarmee een op dubbelzinnigheid gericht komisch effect wordt beoogd (vergelijkbaar met het Nederlandse “potdorie”). Uit de verklaring van Lee blijkt eveneens dat nima op dit moment een populair woord is dat door jongeren op het internet wordt gebruikt. Het woord kent heel veel betekenissen, aldus Lee. Nima zal volgens Lee op de langere termijn in de vergetelheid raken. Ook hij wijst op het komisch effect van het woord en hij vergelijkt het met het Nederlandse woord “jeetje”. Gezien de tegenstrijdige vertalingen/verklaringen kan op voorhand niet worden gezegd dat de betekenis van het woord nima dermate grievend of beledigend zou zijn, dat dit de uitlatingen van [gedaagde 1] onrechtmatig zou maken. Derhalve kunnen ook op deze grond de vorderingen jegens [gedaagde 1] niet worden toegewezen.

4.5.  Ook het beroep van Duizend Jaar Kruiden op de Non-disclosure bepaling uit de overeenkomst (zie 2.1) faalt. De informatie die [gedaagde 1] op het internet heeft prijsgegeven kan voorshands niet worden aangemerkt als “any information of a confidential nature concerning the Employer”, zoals de desbetreffende bepaling voorschrijft. [gedaagde 1] deelt haar persoonlijke ervaringen met anderen. Het is niet zo dat zij vertrouwelijke of concurrentiegevoelige informatie van of over Duizend Jaar Kruiden openbaar heeft gemaakt. De voorzieningenrechter is bovendien van oordeel dat het belang van Duizend Jaar Kruiden dat andere potentiële werknemers zich niet laten afschrikken door de ervaringen van [gedaagde 1], in de gegeven omstandigheden minder zwaar dient te wegen dan de vrijheid van meningsuiting van [gedaagde 1].

4.7.  Tot slot heeft Duizend Jaar Kruiden nog bezwaar gemaakt tegen de foto’s van haar bedrijfsruimte op gogodutch. Onduidelijk is echter wie die foto’s (die overigens een neutraal karakter hebben) heeft geplaatst en – mocht op die foto’s auteursrecht rusten – wie de maker van die foto’s is. Dit bezwaar van Duizend Jaar Kruiden dan derhalve niet bijdragen tot het toewijzen van (een van) de vorderingen.

4.8.  Nu de vorderingen worden afgewezen, zal Duizend Jaar Kruiden in de proceskosten worden veroordeeld. Deze kosten worden aan de zijde van [gedaagde 1] begroot op € 71,- aan griffierecht en € 816,- aan salaris advocaat. Aan de zijde van Synnray worden de kosten begroot op € 568,- aan griffierecht en op € 816,- aan salaris advocaat.

Disclaimer: de redactie heeft deze bijdrage niet inhoudelijk kunnen beoordelen, omdat zij (nog) niet over de uitspraak zelf beschikt. Tipt u de redactie?

Vzr. Rb. ’s-Gravenhage, 14 september, 399274/KG ZA 11-883 (Scholten Awater / Staat der Nederlanden)

Met bijdrage van Anke Stellingwerff Beintema, Loyens & Loeff N.V.

De Staat (EASI2010) heeft een openbare Europese aanbesteding gehouden voor de levering van ICT-werkplekapparatuur. De Staat wenst de opdracht te gunnen aan Fujitsu. De Staat heeft de inschrijving van SA niet besteksconform (ongeldig) verklaard. SA is van mening dat Fujitsu noch de andere inschrijvers besteksconform (geldig) kunnen hebben ingeschreven. SA vordert heraanbesteding. De voorzieningenrechter wijst de vordering af.

Belang bij vordering (ex 3:303 BW)
De Staat en Fujitsu hebben aangevoerd dat SA ongeldig heeft ingeschreven, en dus niet ontvankelijk is in haar vorderingen. De voorzieningenrechter is het hier niet mee eens:
-    Stelling van SA is, dat alle inschrijvers ongeldig hebben ingeschreven;
-    Is dat het geval, dan zou de Staat de opdracht kunnen heraanbesteden;
-    SA heeft belang bij heraanbesteding, omdat dat ook voor haar nieuwe kansen biedt.

Argumenten SA
SA heeft aangevoerd, dat de door Fujitsu aangeboden monitor (L20T-3-LED) niet voldoet aan de daartoe in het bestek gestelde eisen:
-    De L20T-3-LED is niet terug te vinden op internet noch op enige andere wijze;
-    De L20T-3-LED is ook bij andere marktpartijen onbekend;
-    Fujitsu heeft de bij inschrijving ingediende datascheet gemanipuleerd. Als men op internet zoekt naar de L20T-3-LED, dan vindt men een andere datasheet dan bij inschrijving is ingediend.
-    De monitor op deze datasheet heeft geen draaibare voet en is niet in hoogte verstelbaar. Dit vereist de Staat wel;
-    De afbeelding van de monitor wijkt af;
-    Bij beide datasheets wordt hetzelfde zogenaamde EAN-nummer gebruikt (4049699453144), terwijl dit nummer uniek moet zijn en slechts betrekking kan hebben op één product;
-    De door Fujitsu gehanteerde CEMEA-prijslijst is, in weerwil van de bestekseisen, niet openbaar voor willekeurige bedrijven.
-    De monitor heeft op de door Fujitsu ingediende prijslijst een artikelnummer BDL:TOP-L20T-3-LED, terwijl op alle andere door Fujitsu aangeboden monitoren een ander structuurnummer hebben;
-    De prijzen zijn weggelaten van alle producten die zijn voorzien van een BDL:TOP artikelnummer;
-    Volgens contentleverancier ICEcat was de L20T-3-LED voor het eerst leverbaar op 24 april 2011, terwijl de prijslijst ingevolge het bestek actueel moest zijn op 28 maart 2011.

Ongeldigheid Fujitsu is niet aannemelijk gemaakt
De voorzieningenrechter is van oordeel dat SA niet voldoende aannemelijk heeft gemaakt, dat Fujitsu niet zou hebben voldaan aan de bestekseisen:
-    De Staat en Fujitsu hebben terecht betoogd, dat in het bestek niet wordt geëist dat het geoffreerde product wordt vermeld op de website van de desbetreffende leverancier;
-    Aan de vergeefse pogingen van SA om de L20T-3-LED op het internet op te sporen kan daarom op zichzelf genomen niet de conclusie worden verbonden dat Fujitsu bij de inschrijving heeft gemanipuleerd of dat de L20T-3-LED niet bestaat;
-    Ook de door SA gedane navraag bij marktpartijen en distributeurs legt onvoldoende gewicht in de schaal om te kunnen concluderen dat de L20T-3-LED niet voldoet. Niet valt uit te sluiten dat de vraagstelling die SA jegens deze marktpartijen dan wel distributeurs heeft gehanteerd onvoldoende doeltreffend dan wel ontoereikend was voor het verkrijgen van de juiste informatie;
-    Fujitsu heeft aangevoerd, dat de L20T-3-LED niet op de Nederlandse prijslijst voorkomt, zodat deze ook niet te vinden is in de door SA genoemde ICEcat (openbare catalogus/database op internet);
-    De reden om de L20T-3-LED niet op internet te tonen is volgens Fujitsu dat het een zogenaamd BDL-product is, dan wel zeggen een bundel dan wel een samengesteld product;
-    Het verweer van Fujitsu dat een dergelijk product om verklaarbare redenen minder gepromoot wordt, en dat dit een keuze is van de afdeling Product Marketing van Fujitsu heeft SA niet gemotiveerd betwist.
-    Overigens is gesteld noch gebleken dat SA op de juiste wijze en via de juiste kanalen haar onderzoek heeft verricht bij Fujitsu zelf.
-    De stelling van SA, dat het hanteren door Fujitsu van hetzelfde EAN nummer voor twee verschillende producten wijst op manipulatief inschrijven, gaat eraan voorbij dat de bedrijfsvoering bij Fujitsu anders is ingericht dan bij SA.
-    Dat een ander gebruik van EAN nummers in de weg staat aan het voldoen aan de bestekseisen door Fujitsu is voorshands niet gebleken;
-    Op de zitting heeft Fujitsu de door haar gehanteerde CEMEA prijslijst getoond, waarbij op p. 408 melding wordt gemaakt van de L20T-3-LED met nummer BDL: TOP-L20T-3-LED voor een prijs van € 145. Daarnaast heeft Fujitsu de door haar gebruikte HQ CEMEA prijslijst van 22 februari 2011 getoond waarbij op p. 374 de L20T-3-LED staat vermeld voor een prijs van € 149.
-    De omstandigheid dat SA hierna nog twijfels houdt over de echtheid van de L20T-3-LED en zich afvraagt waarom Fujitsu deze niet in werkelijkheid toont, dient voor rekening van SA te blijven.
-    Van belang is dat de accountant van Fujitsu, KMPG, met het oog op het afgeven van een accountantsverklaring in het kader van de onderhavige aanbestedingsprocedure de aanbieding van Fujitsu heeft moeten doorlichten en daarbij de geoffreerde productcodes heeft moeten controleren.

Commentaar
De Staat en Fujitsu hebben allereerst een niet-ontvankelijkheidsverweer gevoerd. De voorzieningenrechter gaat hier terecht aan voorbij.

Uit de jurisprudentie volgt, dat een inschrijver die ongeldig heeft ingeschreven wel ontvankelijk is in zijn vorderingen, als hij betoogt dat:
-    alle inschrijvingen ongeldig zijn en als dit de grondslag is van zijn vordering tot heraanbesteding;
-    de betreffende eis die tot de ongeldigheid heeft geleid strijdig is met het aanbestedingsrecht.

Een inschrijver die ongeldig heeft ingeschreven is daarentegen volgens vaste jurisprudentie niet ontvankelijk in zijn vorderingen, als hij wil opkomen tegen:
-    de geldigheid van de winnende inschrijving;
-    de intransparantie, ondeugdelijkheid of onjuiste toepassing van de beoordelingssystematiek;
-    discriminatoire eisen in het bestek.

De voorzieningenrechter volgt het inhoudelijke verweer van de Staat en Fujitsu. Het is de klagende inschrijver, die aannemelijk moet maken dat de inschrijving van de winnende inschrijver ongeldig is. Dit is, zo blijkt uit de jurisprudentie, vaak een zeer moeilijke opgave, zo ook in de onderhavige zaak.

De interpretatie en toepassing van telemarketingregels, waarvoor de OPTA verantwoordelijkheid draagt, worden door haar uitgelegd vanuit de (handhavings)praktijk. Zie hier, eerdere standpunte werd in 2006 ingenomen, zie hier

Kantonrechter Rechtbank Arnhem 12 september 2011, LJN BT1844 (Tele2 Nederland B.V. voorheen Versatel tegen abonnee)

E-Commerce. Mondelijke klachten kunnen gelden als schriftelijke ingebrekestelling in de zin van artikel 6:82 BW en mededelingen van medewerkers waaruit blijkt dat de overeenkomst niet wordt nagekomen, mag de klant opvatten als mededeling van het bedrijf (6:83 onder c BW).

Rechtspraak.nl: Provider biedt klanten alleen mogelijkheid om via e-mail, telefonische helpdesk of website contact op te nemen. Op gemotiveerde klachten komen soms nietszeggende standaardantwoorden vanaf no reply afzender of er wordt telefonisch contact opgenomen met klant vanaf afdeling die niet kan worden teruggebeld. Provider moet aanvaarden dat (mondelinge) klachten via deze kanalen gelijk worden gesteld met schriftelijke ingebrekestelling (6:82 BW). Mededelingen van medewerkers mag de klant opvatten als mededelingen van het bedrijf, waaruit klant mag afleiden dat bedrijf de overeenkomst niet zal nakomen. (6:83, c BW) Regelmatige buitengerechtelijke ontbinding met terugwerkende kracht tot de eerste dag van niet nakoming van de overeenkomst door provider. Schadevergoeding aan klant wegens ontbreken internetverbinding.

7. De zakelijke aanbieder van diensten die kiest voor deze wijze van communiceren met haar particuliere klanten – consumenten – moet aanvaarden dat klachten die haar via haar telefonische helpdesks, e-mailadressen of website bereiken gelijk worden gesteld met een schriftelijke ingebrekestelling als bedoeld in artikel 6:83 BW.

 

8. In het onderhavig geval heeft [abonnee] met de telefonische helpdesk van Tele2 afgesproken dat – na een eerdere mislukte afspraak voor aansluiting op 1 februari 2009 - hij per 9 maart 2009 zou worden aangesloten. Toen dat weer niet gebeurde, is [abonnee] van het kastje naar de muur gestuurd – zoals hierboven onder de feiten is beschreven. Uit de mededelingen van de telkens verschillende medewerkers van Tele2 die hij aan de lijn kreeg, heeft [abonnee] mogen afleiden dat Tele2 haar verplichting uit de overeenkomst - levering van een internetverbinding op het nieuwe adres – niet zou nakomen. [abonnee] mocht de mededelingen van deze medewerkers aan Tele2 toerekenen, omdat hij, ondanks zijn serieuze poging daartoe, geen inhoudelijke reactie van Tele2 ontving, welke inging op zijn gemotiveerde klachten en Tele2 hem geen andere communicatiemogelijkheden bood. Bijgevolg kon [abonnee] de overeenkomst op 30 maart 2009 buitengerechtelijk ontbinden.

 
Lees het vonnis hier (LJN / pdf)

Exploot van betekening, mét renteberekening 7 juli 2011
Hof Amsterdam 25 januari 2011, zaak 106.001.132/01 (Acanthis Information Systems B.V. tegen Virage B.V.)
Hof Amsterdam 16 februari 2010, zaak 106.001.132/01
Hof Amsterdam 10 april 2008, zaak 106.001.132
Hof Amsterdam 5 juli 2007, rolnr 1783-03
Hof Amsterdam 28 september 2006, rolnr 1783-03

Met dank aan Nanda Ruyters, BRight advocaten

Na een viertal tussenarresten is er een eindarrest gewezen door het Hof Amsterdam in navolging van een vonnis Rechtbank Haarlem 27 augustus 2003, HA ZA 03-49.

Uitgebreide bespreking van de feiten en grieven: Virage heeft van Acanthis het programma DocBase C/S gekocht en specifiek de versie 5.1.c hiervan, versie 5.1.d en 5.1.e zijn tevens bij Virage geïnstalleerd. Acanthis vordert €25.603,38 met (contractuele) rente en kosten, in reconventie vordert Virage ontbinding van de overeenkomst en €11,134 als schadevergoeding.

Acanthis verweert zich, niet-succesvol, door te stellen dat Virage haar niet tijdig, binnen 30 dagen, in kennis heeft gesteld. De termijn die Virage heeft aangegeven ter reparatie zijn redelijk, de facturen hoeven naar maatstaven van redelijkheid en billijkheid niet te worden voldoen dan nadat voldoende zeker was dat haar een deugdelijk software-product is geleverd. Bewijsopdracht betreft de ondeugdelijkheid (Hof 28 september 2006).

Getuigenverhoor is wenselijk om dit te bewijzen, Acanthis acht het zinloos, maar gaat uiteindelijk om. Eén deskundige wordt gekozen, waarvan akte moet worden genomen (Hof 5 juli 2007). Die akte wordt niet genomen door Acanthis en Hof benoemd andere deskundige waartegen geen bezwaar is gemaakt en formuleerd de gestelde vragen (Hof 10 april 2008). Hof oordeelt, nadat deskundige heeft aangegeven de gestelde vragen niet te kunnen beantwoorden, dat Virage de mogelijkheid moet worden geboden om bewijs te leveren middels getuigen.

Inhoudelijk: verklaringen leveren bewijs dat niet het resultaat dat men ervan verwachtte, maar geen oorzaak in gebreken aan de software. Overeenkomst en de voortvloeiende verplichtingen dient Virage na te komen. In conventie: betaling van €26.601,38 echter wel vermeerderd met de contractuele rente (á 2% per maand). Dit heeft tot een grote exponentiële gegroeide som geleid, van de hoofdsom á €26.601,38 naar €263.537,84 na berekening van de contractuele rente.

2.6.1 Weliswaar verklaren deze getuigen dat de door Acanthis geleverde software niet deed wat die behoorde te doen, maar geen van de getuigen heeft iets kunnen verklaren over de oorzaak van de problemen, zodat niet als vaststaand kan worden aangenomen dat de oorzaak van een en ander gelegen is in gebrekkigheid van de geleverde software.

2.7. Op grond van het vorenstaande moet worden geconcludeerd dat Virage wel geslaagd is in het bewijs dat het werken door haar met de Acanthis geleverde software niet het resultaat had dat men ervan verwachtte, maar niet in het bewijs dat de oorzaak daarvan lag in gebreken aan die software, hetgeen Acanthis steeds gemotiveerd heeft betwist, waartoe zij onder meer heeft aangevoerd dat de oorzaak van de problemen ligt in het verkeerd gebruik door Virage van DocBase.

Drie maal Antwoord op kamervragen van Minister Opstelten (Veiligheid en Justitie) inzake Amerikaanse bedrijven die in Europese clouddata kan meekijken
Aanhangelsen II, 3514, vergaderjaar 2010–2011, nr. 3178 
Aanhangelsen II, 3515, vergaderjaar 2010–2011, nr. 3180
Aanhangelsen II, 3516, vergaderjaar 2010–2011, nr. 3182

Een selectie uit nr. 3182
Vraag 3 Wordt er door de Nederlandse overheid, door Nederlandse agentschappen of door Nederlandse instellingen behorende tot de semi-overheid data opgeslagen door (of in samenwerking met) een Amerikaans bedrijf (of meerdere Amerikaanse bedrijven)? Zo ja, welke onderdelen van de (semi-)overheid of welke agentschappen zijn dit?

Antwoord 3 Ja, enkele onderdelen van de Rijksdienst experimenteren met Google Docs en Dropbox. Voor de Rijksdienst is uit een inventarisatie gebleken, dat de datacentra van de Rijksdienst zich op Nederlands grondgebied bevinden. Het is op dit moment niet bekend welke van deze datacentra (mede) worden beheerd door Amerikaanse bedrijven. Dit wordt op korte termijn uitgezocht.
Voorts kan gezien de omvang van de rest van de overheid en de semi-overheid ook niet worden uitgesloten dat overheidsinformatie is opgeslagen door of in samenwerking met een Amerikaans bedrijf.

Vraag 6 Is er beleid ontwikkeld om te voorkomen dat de Nederlandse overheid gegevens beheert of gaat/laat beheren op dusdanige wijze dat vreemde mogendheden (op basis van welke vorm van wetgeving dan ook) zonder nadrukkelijke toestemming van de Nederlandse overheid bij deze gegevens kunnen komen? Zo nee, waarom niet en bent u voornemens dat alsnog te ontwikkelen? Gaat de Nederlandse overheid bedrijven of instellingen waarschuwen voor het gebruik van cloud-data vanuit het perspectief van bijvoorbeeld bedrijfsspionage? Zo nee, waarom niet?

Antwoord 6 Er is nog geen beleid ontwikkeld dat specifiek gericht is op de mogelijke gevolgen van de toepassing van buitenlandse wetgeving. Wel houdt de Minister van Binnenlandse Zaken en Koninkrijksrelaties in het beleid rekening met de mogelijke consequenties van de toepassing van buitenlandse wetgeving.
Aan uw Kamer is toegezegd dat gegevens van de overheid binnen de grenzen van Nederland moeten worden opgeslagen, en dat de Rijksdienst van een gesloten Rijkscloud gebruik zal maken.
Om te voorkomen, dat gegevens van de overheid (ook over burgers) in het kader van de Patriot Wet door de Verenigde Staten kunnen worden opgevraagd kan bij uitbesteding van rekencentra in het programma van eisen een eis worden opgenomen, dat het de leverancier nooit is toegestaan gegevens van de overheid (ook over Burgers) in het kader van de Patriot Wet aan de Verenigde Staten te leveren. Dit betekent feitelijk, dat bedrijven uit de Verenigde Staten bij dergelijke aanbestedingen en opdrachten worden uitgesloten.
Wat betreft bedrijfsspionage heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties in 2010 brochures uitgebracht om instellingen en bedrijven hiervoor te waarschuwen.

Selectie uit nr. 3178:
Vraag 2 Bent u op de hoogte van het feit dat de autoriteiten van de VS zich met beroep op de Patriot Act toegang verschaffen tot persoonsgegevens opgeslagen op EU-grondgebied, door bedrijven met hoofdzetel in de VS?2 3

Antwoord 2 Het kan niet worden uitgesloten dat de relevante Amerikaanse wetgeving (zoals bijvoorbeeld 18 U.S.C. § 2703) een zodanige werking heeft dat bedrijven die een (hoofd)vestiging in de Verenigde Staten hebben verplicht kunnen worden tot het verstrekken van gegevens die door hen worden verwerkt, of waarover zij anderszins de beschikking hebben, ongeacht waar die gegevens zich bevinden. De desbetreffende wetgeving bevat geen bepalingen met betrekking tot de territoriale reikwijdte. Bovendien is het bekend dat Amerikaanse wetgeving niet zelden uitgaat van een ruime opvatting over de bescherming van Amerikaanse belangen en Amerikaanse staatsburgers. Vorderingen om toegang te krijgen tot persoonsgegevens worden doorgaans uitgevaardigd in de vorm van een rechterlijk bevel, soms na toetsing door een Grand Jury. Daarbij kan ter bescherming van onderzoeksbelangen degene tot wie het bevel zich richt worden verboden daarover enige mededeling aan derden te doen. Het niet naleven van die verplichting is met straf bedreigd. Mede om die reden is mij niet bekend of en hoe vaak de Amerikaanse autoriteiten dergelijke vorderingen hebben gedaan ten aanzien van binnen de EU opgeslagen gegevens, buiten de gebieden waarvoor een specifieke regeling bestaat, zoals passagiersgegevens en gegevens over het betalingsverkeer.

Vraag 6 Welke stappen gaat u ondernemen om deze situatie te corrigeren en om juridische duidelijkheid te scheppen voor bedrijven en burgers over de bescherming van persoonsgegevens opgeslagen binnen de EU?

Antwoord 6 Het conflict van plichten dat kan ontstaan ten gevolge van de toepassing van Amerikaanse wetgeving is niet beperkt tot Nederland, maar treft alle lidstaten van de EU op vergelijkbare wijze. Het ligt daarom op de weg van de Europese Commissie om hiervoor een oplossing te vinden in overleg met de Amerikaanse autoriteiten. De Europese Commissie is van deze problematiek op de hoogte.

Kantonrechter Rechtbank Rotterdam 11 februari 2011, LJN BS1746 (Telfort tegen gedaagde - Abonnement onder bedreiging)

Overeenkomst telefoonabonnement met mobiele telefoon onder bedreiging aangegaan.

De telefoon heeft zij af moeten staan. De verschuldigde abonnementsgelden zijn door gedaagde niet voldaan. Eiseres vordert betaling van de abonnementsgelden en de door haar geleden schade. Nu de dreiging niet is uitgegaan van Telfort, maar van een derde is er geen beroep op 3:44 lid 5 BW mogelijk, zo bepleit Telfort/eiseres. Rechter: de verkoper had een onderzoeksplicht als in de geschetste omstandigheden een jonge vrouw begeleid door 3 jongemannen een duur abonnement komt afsluiten en diende gerichte vragen te stellen. Beroep op bedreiging wordt gehonoreerd en de wil was dus niet aanwezig tot het aangaan van de overeenkomst. Er is geen rechtvaardigingsgrond ex 3:35 BW hiervoor. De kantonrechter wijst de vordering af.

5.3 Dat neemt niet weg dat eerst onderzocht moet worden, nu de dreiging niet is uitgegaan van Telfort, althans van haar personeel, maar van een derde, die geen partij is bij de overeenkomst, of er op die bedreiging op grond van het bepaalde in artikel 3:44 lid 5 BW tegenover Telfort c.q. eiseres geen beroep kan worden gedaan, zoals eiseres heeft aangevoerd.
Telfort c.q. eiseres komt het verweer dat die dreiging niet vanwege haar is geuit niet toe wanneer zij reden had het bestaan van de dreiging te vermoeden.

5.7 In het licht van de overwegingen onder 5.1 en 5.2, alsmede van de door gedaagde geschetste omstandigheden - begeleiding door 3 jongemannen en een jonge vrouw – moet worden geoordeeld dat op de verkoper een onderzoeksplicht rustte. De verkoper van Telfort had gedaagde moeten vragen of zij het abonnement wel wilde sluiten en of zij inkomsten had waarvan zij het abonnement kon betalen en aldus zich de telefoon wel kon veroorloven, in ieder geval was een nader onderzoek en daarop gerichte vragen door de verkoper, onder de gegeven omstandigheden, onontbeerlijk. Eiseres heeft gesteld, noch is daarvan gebleken dat in dit geval het sluiten van het abonnement door de verkoper kritisch is begeleid. Dit valt, zoals overwogen, aan eiseres toe te rekenen.
Opvallend is in dit verband nog, dat de verkoper, die op de computer in de winkel de overeenkomst heeft ingevuld, bij geslacht ‘man’ heeft getypt. Dit is later met de pen in ‘vrouw’ gewijzigd. Daaruit kan worden afgeleid, dat de verkoper bij het opstellen van de overeenkomst er van uitgegaan is, dat de jongeman die gedaagde begeleidde de overeenkomst zou sluiten en niet gedaagde.
Dit betekent dat onder de gegeven omstandigheden de verkoper er niet zonder meer op had mogen vertrouwen dat gedaagde de wil had tot het aangaan van de overeenkomst.

5.8 Nu gedaagde bij het aangaan van de overeenkomst werd bedreigd en als hiervoor vastgesteld aan eiseres geen beroep op artikel 3:44 lid 5 BW toekomt, als ook dat bij gedaagde de wil tot het sluiten van het onderhavige abonnement ontbrak en op grond van de omstandigheden eiseres zich evenmin kan beroepen op bescherming van gerechtvaardigd vertrouwen als bedoeld in artikel 3:35 BW, moet worden geoordeeld dat de overeenkomst waarop eiseres haar vordering grondt, niet rechtsgeldig tot stand is gekomen. Eiseres kan dan ook geen aanspraak maken op uit die overeenkomst voortvloeiende betalingsverplich¬tin¬gen voor gedaagde.

5.9 Het vorenoverwogene betekent dat de vorderingen van eiseres aan haar ontzegd moeten worden wegens het ontbreken van een deugdelijke grondslag en dat zij als de in het ongelijk gestelde partij moet worden veroordeeld in de kosten van de procedure. Aan gedaagde zal wegens verletkosten een bedrag ad € 50,-- worden toegewezen.