De Europese Commissie is van plan om de Europese privacyregelgeving te herzien. Lees de mededeling hier. De Commissie is van oordeel dat de huidige regelgeving onvoldoende kan worden toegepast op nieuwe technologieën. Ook merkt de Commissie op dat de verschillen in nationale wetgeving binnen Europa te groot zijn. Internationale doorgfite van gegevens moet volgende de Commisie worden vereenvoudigd. De Commissie is voorts van oordeel dat privacytoezicht meer tanden moet krijgen. Door Polo van der Putt, Vondst Advocaten.

Het College bescherming persoonsgegevens (Cbp) heeft verheugd gereageerd. Het Cbp merkt het volgende op:

"Het CBP onderschrijft de ambitie om het privacyrecht waar mogelijk te vereenvoudigen, de administratieve lasten te verlagen en meer harmonisatie in de Europese landen te bereiken. Ook het streven naar een hoog beschermingsniveau voor burgers en versterking van hun rechten zodat zij deze ook daadwerkelijk kunnen doen gelden, is een noodzakelijke stap voorwaarts."

Uit dit citaat blijkt precies het krachtenveld dat de nieuwe regelgeving zal bepalen. Aan de ene kant is er de roep uit met name het bedrijfsleven om vereenvoudiging en lastenverlichting. Aan de andere kant staan de privacyhoeders, met name de toezichthouders, die opmerken dat burgers zich niet genoeg bewust zijn van hun rechten en dat toezichthouders meer macht moeten krijgen.

Tja. Respect krijg je, maar laat zich moeilijk afdwingen. De bescherming van privacy is een groot goed. Daarom moet je er ook voorzichting mee om gaan. Als je het opblaast en contact met de realiteit verliest, zou er wel eens een anti-privacy gevoel kunnen ontstaan. De vraag is of het helpt om de burgers een privacycomplex aan te praten en met strenge straffen respect af te dwingen. Er zal ongetwijfeld een interessante discussie volgen binnen Europa.

Antwoord vragen Heijnen en Bouwmeester over het stopzetten van een informatiseringsproject van de Dienst Justitiële Inrichtingen (DJI). "Justitie staakt duur ICT-project" kopte Trouw onlangs. Ondanks het feit dat al 11.9 miljoen was uitgegeven, werd een door de interne ICT-uitvoeringsinstantie uitgevoerd project afgeblazen. Kamervragen en antwoorden hier.

Volgende week mogelijk meer helderheid over de samenhang tussen de informatieverplichtingen uit de Dienstenrichtlijn en de wetgeving over terhandstelling van algemene voorwaarden (zie dit eerdere bericht). Uit het beknopt verslag van de commissie van Justitie van de Eerste Kamer:

Het lid Duthler zal de commissie op beknopte wijze informeren over onder meer de verhouding tussen het op 22 december 2009 aanvaarde wetsvoorstel 31859 (Aanpassingswet Dienstenrichtlijn) en het op 16 februari 2010 aanvaarde wetsvoorstel 31358 (Wijziging van enige bepalingen van het Wetboek van Burgerlijke Rechtsvordering en het Burgerlijk Wetboek teneinde naast het in deze bepalingen gestelde vereiste van schriftelijkheid ook ruimte te bieden aan de ontwikkelingen op het gebied van het elektronisch verkeer) aangaande de redactie van artikel 6:234 BW . Volgende week zal het artikel opnieuw ter bespreking worden geagendeerd. Ook zal dan worden besproken op welke wijze de commissie - als zij daarvoor kiest - in contact wenst te treden met de regering.

Voorzieningenrechter Rechtbank Arnhem 24 juni 2010 (Stichting Global Education/Itec), zaaknummer / rolnummer: 201140 / KG ZA 10-357 (LJN: BN2291). Itec heeft printers geleverd aan de Stichting en partijen zijn een onderhoudsovereenkomst aangegaan. De Stichting print veel in kleur, terwijl de prijs per print volgens Itec is gebaseerd op zwart/wit. Itec stelt €50.000 verlies te maken en wil van het contract af. De voorzieningenrechter is van oordeel dat deze omstandigheid tot het normaal ondernemersrisico behoort. Met dank aan Polo van der Putt, Vondst Advocaten.

Itec wringt zich in duizenden bochten om van het contract af te komen, waarbij allerlei beëindigingsgronden door elkaar heen worden gebruikt. Zo stelt Itec ongemotiveerd dat zij opzegt op basis van de contractuele ontbindingsregeling van art. 9.1 (die voorziet in ontbinding bij wanprestatie, faillissement, etc.). De rechter overweegt:

"4.5 [...] De stelling van de Stichting dat geen sprake is van één van de situaties genoemd in artikel 9.1 onder a tot en met g, is door Itec niet weersproken, zodat voorshands van de juistheid van die stelling moet worden uitgegaan. Hieruit volgt dat Itec de overeenkomst niet heeft kunnen opzeggen met een beroep op artikel 9.1 van de toepasselijke algemene voorwaarden."

Ook beroept Itec zich op dwaling. Ook daar maakt de voorzieningenrechter korte metten mee:

"4.8.   Nog daargelaten dat Itec de overeenkomst niet heeft vernietigd maar heeft opgezegd, is naar het voorlopig oordeel van de voorzieningenrechter geen sprake van een dwaling als bedoeld in art. 6:228 BW. De Stichting heeft ter zitting gesteld dat zij in de gesprekken met HOG heeft uitgesproken dat zij veel kleurenprints zou maken, dat een vlakdekking van 90% zou worden gehanteerd en dat ook in de testfase in het bijzijn van een monteur van Itec is geprint met een vlakdekking van 90%. Bovendien heeft Itec zelf in haar e-mails aan de Stichting van 29 juni 2009 en 21 augustus 2009 geschreven dat de prijs per afdruk, ongeacht het tonerverbruik, € 0,10 zou bedragen. Itec heeft ter zitting erkend dat er gesproken is over de vlakdekkingsgraad, maar stelt dat zij zich niet heeft gerealiseerd dat zo’n groot gedeelte van de prints van de Stichting met die dekkingsgraad zou worden geprint. Naar het voorlopig oordeel van de voorzieningenrechter behoort echter onder voornoemde omstandigheden de onjuiste voorstelling van zaken aan de zijde van Itec voor haar rekening en risico te blijven." 

Had Itec wellicht bedoeld zich te beroepen op art. 7:408 BW, zo vraagt de Voorzieningenrechter zich nog af:

"4.9.  Voor zover Itec zich niet heeft willen beroepen op dwaling maar heeft bedoeld te betogen dat zij de overeenkomst heeft opgezegd en dat zij dit vanwege de verliezen die Itec daarop leed mocht doen, overweegt de voorzieningenrechter als volgt. Tussen de Stichting en Itec is sprake van een overeenkomst van opdracht. Op grond van art. 7:408 lid 2 BW heeft Itec als opdrachtnemer slechts de mogelijkheid de overeenkomst op te zeggen indien sprake is van gewichtige redenen. De Stichting betwist dat sprake is van een gewichtige reden voor opzegging van de overeenkomst. Itec heeft ter onderbouwing van haar opzegging slechts aangevoerd dat zij verlies maakt op de overeenkomst. Naar het voorlopig oordeel van de voorzieningenrechter behoort deze omstandigheid tot het normaal ondernemersrisico en is deze van onvoldoende gewicht om de opzegging te rechtvaardigen. Daarbij merkt de voorzieningenrechter op dat ook namens Itec ter zitting is verklaard dat de prijs per afdruk wordt afgestemd op een gemiddelde verbruiksverwachting, waarbij eventueel bovengemiddeld verbruik op de koop toe wordt genomen."

Kortom, Itec zit vast aan het contract en zal het moeten uitdienen. De Stichting zit voor een dubbeltje op de eerste rang en mag daar dus blijven zitten.

Lees het vonnis hier.

Blog op ICTRecht (nee, niet te verwarren met IT en Recht) van Matthijs van Bergen. "Hostingpartijen zouden er goed aan doen zich net zo boos te maken als de hotels en luid en duidelijk bezwaar te maken tegen de rekeningen en verplichtingen die het gevolg zijn van registratie bij de OPTA. Deze rekeningen en verplichtingen zijn niet voor de hosters bedoeld en hosters zijn niet gehouden om daaraan te voldoen."

weblog.ictrecht.nl/internet-service-providers/opta-toont-nog-steeds-geen-visie-na-de-hotels-de-hosters-graag/Tweakers.net en nu.nl berichtten gisteren dat OPTA het merendeel van de ‘hotelproviders’ – hotels die volgens OPTA mogelijk als telecomaanbieder registratieplichtig zouden zijn – geen aanbieders vindt in de zin van de Telecomwet. Boos worden helpt, zo blijkt.

Maar kennelijk zijn er nog niet genoeg mensen boos genoeg, want terwijl de OPTA inmiddels nog maar 3 van de 15 hotels (mogelijk) wil opzadelen met registratieplichten, aftapplichten en bewaarplichten, is nog onvoldoende duidelijk of de OPTA het telecomtoezicht niet toch buiten de grenzen van de wet en de redelijkheid aan het brengen is. Webwereld gaf aan dat “Onderzocht wordt of zij open communicatie aanbieden die niet alleen toegankelijk is voor klanten maar voor iedereen. Zoals bijvoorbeeld het geval kan zijn bij een open staand wifi-netwerk”. Nu moet dus iedereen die zijn internetverbinding niet bewust afsluit voor anderen zich gaan registreren?

Het wordt echt tijd dat OPTA eens vooraf goed gaat nadenken over de criteria die in de wet staan en welke uitleg daaraan behoort te worden gegeven. Besluiten van OPTA worden voor de rechter nogal eens neergesabeld door de marktpartijen die in staat zijn aan te tonen dat OPTA haar besluiten onvoldoende motiveert en/of de wet verkeerd interpreteert. OPTA kan helpen dit te voorkomen door strakker naar de wet te kijken en vooraf duidelijke richtlijnen op te stellen die haar leiden tot een uniforme, consequente en consistente toepassing van de wet.

Voordat OPTA weer bij de rechter op haar neus gaat vallen, na al de mist in te zijn gegaan op het criterium ‘openbaarheid’, zou zij er verstandig aan doen het wettelijke vereiste dat het moet gaan om een “dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische communicatienetwerken” niet uit het oog te verliezen en goed na te denken over hoe dit in de praktijk moet worden toegepast.

Ten eerste is het draaien en beschikbaar stellen van een mailserver, webserver, of wat voor server dan ook die een applicatie óver een netwerk aanbiedt, niet een dienst die geheel of hoofdzakelijk bestaat uit het overbrengen van signalen over een netwerk en valt dit niet onder de Tw. Deze diensten bestaan uit het genereren en/of verwerken van gegevens die bestemd zijn voor overdracht door anderen. OPTA dient duidelijkheid te verschaffen en dit te onderkennen. Als dit anders zou worden geacht, wat onjuist zou zijn, dan zou iedere computerapplicatie waarbij gegevens worden verstuurd via internet een elektronische communicatiedienst zijn. Iedere hostingprovider en iedere SaaS-provider zou dan onder het toezicht vallen, terwijl dit toezicht is bedoeld voor de KPN’s en UPC’s van deze wereld. Terwijl OPTA, zoals vermeld in mijn vorige bericht, heeft aangegeven dat de informatie hier niet van haar afkomstig is, heb ik OPTA nog niet uitdrukkelijk horen toegeven dat het onjuist is dat iedere hostingaanbieder die een mailserver draait, onder het toezicht (en de bewaarplicht) zou vallen. Hostingpartijen zouden er goed aan doen zich net zo boos te maken als de hotels en luid en duidelijk bezwaar te maken tegen de rekeningen en verplichtingen die het gevolg zijn van registratie bij de OPTA. Deze rekeningen en verplichtingen zijn niet voor de hosters bedoeld en hosters zijn niet gehouden om daaraan te voldoen.

Ten tweede moet OPTA nadenken over de vereiste schaal van het netwerk waar signalen over worden getransporteerd. Ieder thuisnetwerk achter een router is een netwerk en als dat netwerk aan eenieder die wil, als hoofdzakelijk onderdeel van een dienst, beschikbaar wordt gesteld, dan is in beginsel voldaan aan de wettelijke criteria. Dat het niet de bedoeling kan zijn dat het telecom toezicht zich daarover uitstrekt, moge evident zijn. Tegelijkertijd lijkt OPTA nu te beweren, of tenminste te impliceren, dat het niet dichttimmeren van een wifi-netwerk neerkomt op het aanbieden van telecomdiensten. Zo valt volgens OPTA de student die zijn draadloos internet, al dan niet tegen betaling, aan zijn huisgenoot beschikbaar stelt straks ook onder het toezicht. Of gaat OPTA tenminste een onderzoek starten in studentenhuizen als een ISP gaat klagen dat er concurrentievervalsing plaatsvindt.

OPTA dient dit soort flaters te voorkomen en vóóraf duidelijk te maken wat haar visie is. Nu doet zij onnodig geheimzinnig over lopende onderzoeken, wekt zij onzekerheid over toepasselijke criteria en de uitkomst daarvan en stelt zij pas ná een onderzoek de criteria vast die gelden bij de beoordeling. Daarmee handelt zij in strijd met het rechtszekerheidbeginsel.

De schijnbare toezichtsdrift van OPTA is des te opmerkelijker in het licht van de verklaring die OPTA aan mij gaf voor het feit dat zij te werk gaat zonder zelfs maar richtlijnen te hebben opgesteld over de criteria waaraan moet zijn voldaan. Er werd toegegeven dat in een betere wereld heldere, consistente richtlijnen met vooraf vastgestelde criteria die tot wenselijke en redelijke resultaten leiden, hadden kunnen zijn opgesteld, maar dat OPTA helaas maar een kleine authoriteit is met beperkte mankracht en dat men er niet de capaciteit/mankracht voor heeft gehad om richtlijnen op te stellen. Ik zou juist zeggen: juist als de capaciteit beperkt is, moet je goed nadenken over de grenzen van het toezicht en moet je deze grenzen niet onnodig ruim leggen.

In dit kader zou het mij redelijk lijken om het toezicht wat internetaanbieders betreft te beperken tot aanbieders die signalen overbrengen over netwerken die rechtstreeks zijn aangesloten op de backbone, of ten minste een regionale dekking of reikwijdte hebben. Dan is tenminste vooraf duidelijk dat niet ieder terras op de hoek en iedere student met open wifi onder toezicht zal worden geplaatst, bespaart OPTA zich de nodige negatieve publiciteit voordat het tot een rechtszaak komt en hoeft zij niet opnieuw bij de rechter het onderspit te delven.

En hosters zonder eigen (grootschalig) netwerk die gevraagd worden zich te registreren, laat je horen dat dat niet deugt!

Lees de originle blog hier.

Van 27 tot en met 29 oktober vond het jaarlijkse Europese ITechLaw congres plaats. Inhoudelijk lijkt het programma ieder jaar sterker te worden, ondanks het feit dat sprekers vaak nog steeds gekozen worden uit het "ITechLaw old boys network" of uit sponsors. Zo waren er onder meer interessante presentaties over agile contracting, software-octrooien en gebruiksbeperkingen in softwarelicenties. Er kwamen enkele zeer fundamentele vragen aan de orde, zoals de vraag of er auteursrechten kunnen rusten op computer generated software. Wij hopen de komende periode enkele van de presentaties te publiceren. Tot die tijd alvast een cartoon die in 2 verschillene presentaties werd gebruikt, en die treffende weergeeft hoe het vaak misgaat bij IT-projecten.

De organisatie Statewatch heeft een gelekt concept van een van de eerste officiële documenten in verband met de update van de Privacyrichtlijn gepubliceerd: A Comprehensive Strategy on Data Protection in the European Union. Deze ‘Communication’ spreekt over twee doelen: ten eerste het veiligstellen van het vrije (internationale) verkeer van persoonsgegevens, en ten tweede het veiligstellen van fundamentele rechten, waaronder het recht op bescherming van persoonsgegevens. De Commissie noemt vijf zaken die speciale aandacht verdienen, waarvan de eerste ziet op technologische ontwikkelingen. In dit kader wijst de Commissie meteen op de eerste pagina expliciet op cloud computing, social networks, cookies en locatiegegevens van bijvoorbeeld smart phones. Zie de SOLV blog (via Wouter Dammers van SOLV).

Enkele citaten:

“Fifteen years later, this twofold objective is still valid and the principles enshrined in the Directive remain sound. However, rapid technological developments and globalisation have profoundly changed the world around us, and brought new challenges to the protection of personal data.

Indeed technology nowadays allows individuals to disseminate information about their behaviour and preferences easily and make it publicly and globally available on an unprecedented scale. Social networking sites, with hundreds of millions of members spread across the globe, are perhaps the most evident, but not unique, example of this phenomenon.

"Cloud computing" - i.e., Internet-based computing whereby software, shared resources and information are on remote servers ("in the cloud") - also poses challenges to data protection, as it involves the loss of individuals' control over their potentially sensitive information when they store their data with programs hosted on someone else's hardware. A recent study confirmed that there seems to be a convergence of views – of Data Protection Authorities, business associations and consumers' organisations – that risks to privacy and the protection of personal data associated with online activity are increasing.

At the same time, the means of collecting personal data have become increasingly sophisticated and less easily detectable: for example, the use of cookies allows economic operators to better target individuals online with advertisements, thanks to the monitoring of their web browsing (so-called "behavioural advertising") and the growing use of geo-location devices makes it easy to determine the location of individuals simply because they possess a

mobile phone. Public authorities also use more and more personal data for various purposes, such as tracing individuals in the event of an outbreak of a communicable disease, for preventing and fighting terrorism and crime more effectively, to administer social security schemes or for taxation purposes, in the framework of their e-government applications etc.”

“All this inevitably raises the question whether existing EU data protection legislation can still fully and effectively cope with these challenges. In order to address this question, the Commission launched a process of review of the current legal framework, which started with a high level conference in May 2009, followed by a public consultation until the end of 20093 and by more targeted stakeholders' consultations throughout 2010. A number of studies were also launched. The results of this process confirmed that the core principles of the Directive are still valid and that its technologically neutral character should be preserved. However, several issues have been identified as being problematic and posing specific challenges. These include:

• Addressing the impact of new technologies

Responses to the consultations, both from private individuals and organisations, have confirmed the need to clarify and specify the application of data protection principles to new technologies, in order to ensure that individuals' personal data are actually effectively protected, whatever the technology used to process their data, and that data controllers are fully aware of the implications of new technologies on data protection. It is to be noted that, in

the electronic communication sector, this has been addressed by Directive 2002/58/EC (socalled "e-Privacy" Directive), which particularises and complements the general Data Protection Directive.”

“Complexity is also growing due to globalisation and the development of technologies:

data controllers are increasingly operating in different Member States and jurisdictions, providing services and assistance around-the-clock. The Internet makes it much easier for data controllers established outside the European Economic Area (EEA) to provide services from a distance and to process personal data in a virtual environment; and cloud computing makes it difficult to determine the location of personal data and of equipments used at any given time.

However, the Commission considers that the fact that the processing of personal data is carried out by a data controller established in a third country should not deprive individuals of the protection to which they are entitled under the EU Charter of Fundamental Rights and EU data protection legislation.”

Lees hier het gehele document.

Richard Susskind voorspelde al de opkomst van contractengeneratoren en het gratis worden van standaardadviezen en -contracten, onder meer in The End of Lawyers, misschien wel zijn bekendste boek. Op het internet zijn diverse contractengeneratoren te vinden. De meeste zijn echter niet gratis. ICTRecht (niet te verwarren met IT en Recht) heeft nu een gratis disclaimergenerator gelanceerd. Arnoud Engelfriet, een van de mensen achter ICTRecht, merkt op dat dit smaakt naar meer en nieuwe generatoren zullen volgen. Wie pakt de handschoen op en volgt?

Uit AG nr. 42, 22 oktober 2010. Overheidsinstellingen bezitten grote hoeveelheden belangrijke data. In deze tijd van bezuinigingen is het verleidelijk daar commerciële activiteiten mee te ontplooien. Mogen zij dat? Is er sprake van valse concurrentie? Volgens Louise de Gier en Joost Gerritsen zijn de grenzen niet duidelijk. Met alle gevolgen van dien.

Lees het artikel hier.

Op de agenda van dinsdag 26 oktober van de vaste kamercommissie voor Justitie van de Eerste Kamer staat het artikel "Wet niet helder over algemene voorwaarden" uit het Financieel Dagblad van 14 oktober 2010 van Dirkzwager advocaat Mark Jansen.

In dit artikel wordt, evenals in het artikel van Coen Drion van 18 oktober 2010, de problematiek aangesneden van de vele wijzigingen van artikel 6:234 BW in korte tijd. Daarmee is onduidelijk geworden of een "dienstverrichter" nu wel of niet algemene voorwaarden ter hand mag stellen door enkel te verwijzen naar zijn website.

Mogelijk leidt dit agendapunt (indirect) tot snelle duidelijkheid over deze problematiek.