Blog van Mark Jansen. De rechtbank Utrecht heeft op 29 november drie interessante uitspraken gewezen waarin zij de grenzen aangeeft van het inzagerecht dat op grond van het privacyrecht bestaat.

Ruim inzagerecht

Op grond van artikel 35 Wet bescherming persoonsgegevens (WBP) heeft iedereen van wie persoonsgegevens worden verwerkt het recht op inzage welke gegevens worden verwerkt. De Hoge Raad heeft enkele jaren geleden al uitgemaakt dat wie een dergelijk verzoek doet dit niet hoeft te motiveren maar kan “volstaan met een verwijzing naar art. 35 Wbp” en dat hij mag verwachten dat “de vervolgens aan te reiken informatie transparant en volledig zal zijn“. Dat sluit ook aan bij de opmerkingen uit de wetsgeschiedenis dat het inzagerecht samenhangt met het transparantiebeginsel: een ieder moet in beginsel in de gelegenheid zijn om na te kunnen gaan of zijn gegevens worden verwerkt.

Uitzonderingen

Er zijn echter ook grenzen aan het inzagerecht. Op grond van artikel 43 WBP mag een inzageverzoek worden geweigerd voor zover dit noodzakelijk is in het belang van “de bescherming van de betrokkene of van de rechten en vrijheden van anderen“. In twee van de drie hierna te bespreken zaken doet deze uitzondering zich voor.

Verder is van belang te onthouden dat het inzagerecht alleen bestaat wanneer de Wet bescherming persoonsgegevens van toepassing is. Dat lijkt evident, maar zoals hierna zal blijken kan een verzoek op grond van artikel 35 WBP ook daarop stranden (zie de 3e kwestie).

Gegevens uit meldingsysteem ziekenhuis niet ter inzage voor betrokkene

De eerste uitspraak van de rechtbank Utrecht zag op een geschil tussen een (voormalig) patiënte en een ziekenhuis. De patiënte was in het verleden geopereerd en daarbij was – zo bleek later – een spons in de buik van de vrouw achtergebleven. Dit incident is intern in het ziekenhuis gemeld in haar meldingssysteem. Dat systeem is door het ziekenhuis opgesteld in het kader van haar kwaliteitsbeleid en met als bedoeling dat personeel zonder angst voor repercussies incidenten vertrouwelijk kan melden.

In het kader van het verhalen van de schade op het ziekenhuis, heeft de vrouw bij het ziekenhuis met een beroep op artikel 35 WBP zowel afschrift van haar medische dossier als van deze melding in het meldingssysteem opgevraagd. Afschrift van het dossier is door het ziekenhuis verschaft, maar afschrift van de melding is door het ziekenhuis geweigerd. De vrouw verzoekt nu aan de rechtbank het ziekenhuis te bevelen ook deze gegevens te verschaffen.

De rechtbank wijst dit verzoek echter af. De rechtbank volgt het verweer van het ziekenhuis dat “voor het goed functioneren van het meldingssysteem vertrouwelijkheid gegarandeerd moet zijn“. Dat rechtvaardigt volgens de rechtbank ook dat artikel 35 WBP buiten toepassing blijft. Ik kan mij goed vinden in deze overweging.

De rechtbank overweegt ook nog (ten overvloede) dat gegevens in het meldingsysteem niet bestaan uit “persoonsgegevens in de zin van de Wbp“. Gezien de ruime definitie van persoonsgegevens en de ruime uitleg die de gezamenlijke privacytoezichthouders aan dit begrip geven is maar de vraag of die constatering helemaal juist is.

Advies van medisch adviseur verzekraar niet ter inzage voor betrokkene

In de tweede uitspraak gaat het ook om een kwestie over medische aansprakelijkheid. Een vrouw was enkele jaren geleden foutief door een ziekenhuis behandeld. Zij stelt het ziekenhuis aansprakelijk voor deze fout en de dientengevolge geleden schade.

In het kader van deze aansprakelijkheidsstelling heeft zij bij de verzekeraar van het ziekenhuis een kopie opgevraagd van (1) de medische informatie die zij over haar heeft en (2) van het medisch advies dat deze verzekeraar over deze kwestie heeft ontvangen. De kopie van de medische gegevens is aan haar verschaft, het verschaffen van de kopie van het (voor intern gebruik bedoelde) medische advies is echter geweigerd. Tegen deze weigering komt de vrouw nu bij de rechtbank op.

De verzekeraar had (kort samengevat) betoogd dat zij vertrouwelijk met haar adviseur moet kunnen overleggen over lopende aansprakelijkheidskwesties. De rechtbank volgt haar daarin: ” Het zou de ongestoorde gedachtewisseling van de aangesproken persoon – in dit geval de verzekeraar – om te kunnen komen tot een standpunt naar aanleiding van de aansprakelijkstelling en zijn positie ten opzichte van de wederpartij in een eventuele procedure te zeer (kunnen) schaden als van de inhoud van de adviezen van de medisch adviseur aan de betrokkene/wederpartij mededeling zou moeten worden gedaan in de zin van artikel 35 Wbp.”.

Ook in deze uitspraak kan ik me vinden. Soortgelijke kwesties doen zich bijvoorbeeld ook bij advocaten voor. Het zou het beroepsgeheim van advocaten geweld aandoen wanneer betrokkenen met een beroep op de WBP inzage in vertrouwelijke correspondentie zouden kunnen opeisen. De zaak doet wat dat betreft denken aan een eerdere uitspraak van de rechtbank Zutphen waarover ik geblogd heb en waarin uitdrukkelijk is bepaald dat inzage in de correspondentie met de advocaat niet onder het inzagerecht valt.

Klachtdossier seksuele intimidatie valt niet onder de WBP

De derde kwestie handelt over een klacht over seksuele intimidatie die was ingediend bij de klachtcommissie van de betreffende onderneming. Nadat de klachtcommissie uitspraak had gedaan, heeft de klagende vrouw een kopie van het klachtdossier verzocht. Deze kopie is haar geweigerd. Tegen deze weigering komt ze nu op bij de rechtbank.

De rechtbank weigert het verzoek echter, omdat volgens haar de WBP in dit geval niet van toepassing is. Het betreft hier een papieren dossier en voor toepasselijkheid van de wet is in dat geval vereist dat sprake is van een “bestand” in de zin van de WBP. Volgens de rechtbank is het “door de COO aangelegde klachtdossier is niet te kwalificeren als een dergelijk “bestand”. Het heeft immers uitsluitend betrekking op de door [verzoekster] ingediende klachten en bevat geen (vergelijkbare) persoonsgegevens van anderen.“.

Ik vraag me af of de rechtbank de wet hier niet te eng uitlegt. Er mag weliswaar in dit geval sprake zijn van slechts een enkel klachtdossier, ik kan me niet voorstellen dat een commissie die nota bene is aangesteld om klachten te behandelen die klachten niet op gestructureerde wijze bewaart. De redenering van de rechtbank zou bovendien tot de wat wonderlijke consequentie kunnen leiden dat de eerste klager bij een dergelijke commissie geen inzage in het dossier heeft, maar dat zodra de commissie meer klachten heeft behandeld alle individuele klagers opeens wel inzage in hun dossier zouden kunnen krijgen.

Vergelijk in dat kader ook de opinie van de gezamenlijke privacytoezichthouders over personeelsdossiers: “Not all manual records necessarily fall within the Directive’s scope. They only do so if they form part of a ‘personal data filing system’. This is defined as any structured set of personal data, which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis. Most employment records are likely to fall within this definition. However, in some countries, the implementing measures may exclude some hand-written notes retained outside any form of filing system but given the necessarily structured nature of employment records will include most information kept about workers whether centrally or by line managers.”

Het zou wat mij betreft overtuigender zijn geweest wanneer de rechtbank ook deze kwestie met een beroep op de uitzondering van artikel 43 WBP zou hebben afgedaan. Klachtencommissies voor seksuele intimidatie kunnen vermoedelijk alleen goed functioneren wanneer zij in vertrouwen alle personen kunnen horen die (al dan niet zijdelings) bij de klacht betrokken zijn en/of die de commissie van informatie kunnen voorzien over de klager en/of de beklaagde. Er zijn waarschijnlijk niet veel mensen bereid mee te werken aan onderzoeken van de klachtencommissie wanneer de klagende partij de volledige inhoud van het betreffende klachtdossier – met daarin o.a. verklaringen van de personen die door de commissie gehoord zijn – eenvoudig met een beroep op artikel 35 WBP kan opvragen. Juist omdat transparantie het functioneren van dergelijke commissies ondergraaft, zou wat mij betreft ook hier een beroep op artikel 43 WBP gerechtvaardigd zijn.

Lees de originele blog hier.

Op welk land richt een website zich? Blog van Arnoud Engelfriet sluit mooi aan bij IT 179, 162 en 161. Wanneer richt een website zich op een bepaald land? Een ontzettend lastige vraag, maar het Europese Hof van Justitie ontkwam er niet aan deze te beantwoorden. In twee arresten (C‑585/08 en C‑144/09) komt ze met een mooi genuanceerd antwoord: een website alleen is niet genoeg, maar geografisch getargete advertenties of taalkeuzes kunnen dat wel zijn.

In beide zaken ging het om een consument die een overeenkomst sloot met een bedrijf dat in een ander Europees land gevestigd was. (In de eerste zaak was het een pakketreis (vervoer en verblijf), in de tweede een geboekte hotelkamer.) Beide consumenten hadden ruzie met het bedrijf over de uitvoering van de overeenkomst, en in beide gevallen betwistte het bedrijf dat de rechtbank bevoegd was omdat zij in een ander land gevestigd was. Omdat het hier ging om bestellingen via internet, iets waar nog geen jurisprudentie over is, besloten de rechtbanken de vraag voor te leggen aan het Europese Hof van Justitie.

Europese regels, met name Verordening 593/2008 (toepasselijk recht) en Verordening 44/2001 (bevoegde rechtbank) zijn niet heel duidelijk, zoals ik in mei al besprak. Het criterium is grofweg of je je als bedrijf “richt op het land” waar de consument woont. In dat geval is de rechtbank van dat land bevoegd, ongeacht waar het bedrijf gevestigd is.

Het Hof worstelt met dat criterium, maar vindt dan aan aanknopingspunt bij de reclame-uitingen van de ondernemer. Bij traditionele reclame is dit immers doorslaggevend: wie in een Duitse krant adverteert, wil kennelijk in Duitsland zaken doen en valt dan onder Duits recht. Logisch.

Maar bij internetreclame is dat een heel stuk lastiger. Websites en banners verschijnen door de hele Europese Unie, maar om daar nu uit te concluderen dat je je dus op elk land in de EU wil richten, gaat het Hof te ver. In dat geval had de wetgever dat maar expliciet moeten opschrijven. Sterker nog, bij de totstandkoming van verordening 44/2001 is een tekst met die strekking geschrapt voordat deze van kracht werd.

Een website is dus niet genoeg, of in de woorden van het Hof:

De wetgever van de Unie wenst weliswaar de consument beter te beschermen, maar is niet zo ver gegaan te bepalen dat het loutere gebruik van een internetsite, dat een gebruikelijk middel is geworden om handel te drijven, ongeacht het geviseerde grondgebied, een activiteit is die „gericht is op” andere lidstaten en de toepassing meebrengt van de beschermende bevoegdheidsregel van artikel 15, lid 1, sub c, van verordening nr. 44/2001.

Je moet dus op zoek naar méér: waaruit kun je halen dat de ondernemer van plan was om handel te drijven met consumenten uit bepaalde andere landen? Wat het Hof noemt “elke duidelijke uitdrukking van de wil om de consumenten in deze lidstaat als klanten te winnen”.

Een negatieve aanwijzing is een e-mailadres, postadres of telefoonnummer - in ieder geval zonder internationaal kengetal. Die gegevens moet iedere onderneming verplicht op zijn site hebben, dus daar kun je niet uit afleiden dat men internationaal bezig wil zijn.

Positieve aanwijzingen zijn daarentegen:

• Met naam één of meerdere landen noemen waar je bereid bent zaken te doen. Ik denk dat die standaard dropdown met alle landen ter wereld niet genoeg is, maar een zelfgemaakte landenlijst bij je bestelformulier zou dus genoeg moeten zijn. (Waarom gebruiken mensen die giga-dropdown eigenlijk? Hoe veel klanten komen er uit Samoa of Antigua?)

• Adverteren bij een zoekmachine en die advertentie geografisch targeten op dat land. Dat is dus in feite het traditionele criterium van reclame in een land. Hoe je dit bewijst, is me niet duidelijk.

• Een combinatie van secundaire factoren als een telefoonnummer met internationaal kengetal, een niet-landgebonden topleveldomeinnaam, routebeschrijvingen die in dat andere land beginnen of testimonials van internationale klanten. Elk van die dingen is op zich misschien niet genoeg, maar bij elkaar waarschijnlijk wel.

• Taal of munteenheid, mits die niet ook in je eigen land gebruikelijk zijn (Nederlandse ondernemers richten zich dus niet automatisch op België, maar met Noorse tekst en prijzen in kroner richt je je als Nederlander wel op Noorwegen)

Ook leuk kan het worden als je met tussenpersonen werkt: als die jou vertegenwoordigen, dan wordt de beoordeling van hun websites aan jou toegerekend. Denk je dus alleen aan Nederlanders te leveren maar gaan je agenten in het Duits reclame maken, dan vallen boekingen van Duitsers onder Duits recht.

Wat zouden nog meer handige criteria kunnen zijn? Wat zijn op internet “duidelijke uitdrukkingen van de wil” om klanten uit een bepaald land binnen te halen?

Lees de blog en reacties hier.

Blog Menno Weij (SOLV): door slechts een gedeelte van gesprekken vast te leggen, namelijk voor zover zij bewijs kunnen leveren van de totstandkoming van een overeenkomst tot plaatsing bedrijfsgegevens op internetsite, dus in haar eigen voordeel, heeft [eiseres] [gedaagde] de mogelijkheid ontnomen aan te tonen dat hem is meegedeeld dat hij kon afzien van de totstandkoming van een overeenkomst.

Velen hebben er wellicht al mee te maken gehad (ik wel althans): een telefonische benadering voor het plaatsen van je bedrijfsgegevens op een internetsite. En voordat je het weet, heb je een factuur op de mat liggen. Zo ook in deze zaak (en deze zaak is bepaald niet de enige trouwens).

Een geanonimiseerde gedaagde wordt voor de kantonrechter in Den Bosch gesleept, omdat hij telefonisch een overeenkomst zou hebben gesloten met een exploitant van een bedrijveninformatie-website. Ter onderbouwing van haar stelling, legt de exploitant een gedeelte van het gevoerde telefoongesprek als bewijs over. (De zaak gaat trouwens niet in op de toelaatbaarheid daarvan.)

De geanonimiseerde gedaagde verklaart echter dat hem buiten de opname om, is meegedeeld dat hij binnen een bepaalde tijd kon annuleren, en dat hij ook daadwerkelijk heeft teruggebeld. Daarover kon de exploitant echter geen nadere inlichtingen verstrekken.

De rechter straft de exploitant af: "door slechts een gedeelte van gesprekken vast te leggen, namelijk voor zover zij bewijs kunnen leveren van de totstandkoming van een overeenkomst, dus in haar eigen voordeel, heeft Uitgeverij SN [gedaagde] de mogelijkheid ontnomen aan te tonen dat hem is meegedeeld dat hij kon afzien van de totstandkoming van een overeenkomst. De door [gedaagde] afgelegde verklaring dat hij nadien telefonisch contact heeft gehad is wel geloofwaardig. Op grond van het hiervoor overwogene is de kantonrechter van oordeel dat voldoende aannemelijk is dat er uiteindelijk geen overeenkomst tot stand is gekomen tussen partijen."

Lees hier de uitspraak.

De rechtbank Utrecht is in de strafzaak tegen de ‘OV-chipkaarthacker’ op een aantal opmerkelijke gronden tot uitspraak gekomen. Hoewel de strafrechtelijke veroordeling op zich en de toegemeten strafmaat niet onmiddellijk tegen het rechtsgevoel stuiten, is de invulling van het begrip computervredebreuk op zijn minst verrassend en doet op een hoger beroep hopen. Kort gezegd: de OV-chipkaart is als een computersysteem gekwalificeerd en omdat de juridische eigendom bij TransLink Systems (TLS), de partij die uitgifte van de OV-chipkaart verzorgt, zou het uitlezen en/of bewerken van gegevens op de kaarten computervredebreuk zijn. Met dank aan: Walter van Holst, Mitopics.

De kwalificatie van de OV-chipkaart als computersysteem komt mij niet onjuist voor, zeker in het licht van het feit dat dit soort ‘embedded systems’in rekenkracht en opslagcapaciteit niet onderdoen voor wat ten tijde van de eerste Wet Computercriminaliteit nog als tamelijk gangbaar werd gezien. Maar in diezelfde Wet Computercriminaliteit wordthet vraagstuk van de juridische eigendom van een dergelijk computersysteem helemaal niet als relevant benoemd voor het van toepassing zijn van de strafbepaling van artikel 138ab Sr. Het gaat immers om het ‘opzettelijk en wederrechtelijk binnendringen van een geautomatiseerd werk’. Kennelijk heeft men de eigendom van de OV-chipkaart als relevant beschouwd voor het ‘wederrechtelijk’ zijn van het binnendringen. Dit zou onbedoeld de deur openen voor discussies over het gebruik van in bruikleen verworven computersystemen. Uit de redenering van de rechtbank, en dat is toch hoogst opmerkelijk gezien het inquisitoire karakter van het strafprocesrecht, valt op geen enkele manier op te maken hoe de rechter tot de conclusie heeft kunnen komen dat het uitlezen of het beschrijven van de OV-chipkaart, hoewel deze op rechtmatige wijze in de feitelijke macht van de verdachte was gekomen, een wederrechtelijke handeling was. De rechter lijkt het binnendringen op zich van een geautomatiseerd werk wat eigendom van een ander is, op zichzelf voldoende te vinden.
Bovendien is het helemaal niet zo vanzelfsprekend dat de juridische eigendom bij TLS was gebleven. Wie de algemene voorwaarden van TLS er bij pakt ziet in artikel 7 dat de eigendom voor wordt behouden door TLS, maar wordt elders structureel gesproken van ‘Verkoop- en Informatiepunten’. In hoeverre deze, zeker voor consumenten, verwarrende tekst nu stand zou houden indien er een beroep zou worden gedaan op artikel 6:233 BW valt te betwijfelen. Overigens bevatten de algemene voorwaarden van TLS wel meer bepalingen die op zijn minst als merkwaardig aangeduid kunnen worden, zoals artikel 10.
Hoe dan ook, computervredebreuk als middel om een vervalser van OV-chipkaarten aan te pakken komt als een disproportioneel middel voor. Het probleem zit er waarschijnlijk dat het OM niet kon bewijzen dat veroordeelde ook daadwerkelijk met de vervalste OV-chipkaarten had gereisd. De consequentie van deze veroordeling is namelijk dat een OV-chipkaart-gebruiker die zijn of haar OV-chipkaart in een magnetron vernielt strafbaar zou zijn onder artikel 350a Sr. Wat bepaald meer indruist tegen het rechtsgevoel dan de werkstraf voor de ‘OV-chipkaarthacker’. Het vonnis komt dan ook gebrekkig gemotiveerd over. Het moge dan ook duidelijk zijn dat hier nog kansen liggen voor de verdediging om in hoger beroep alsnog een vrijspraak te bemachtigen.

Blog Menno Weij (SOLV): MTV en Adlink hebben in 2 instanties een geschil uitgevochten, over de vraag of Adlink gehouden was aan een minimum garantie. Ondanks een "subject-to-board-approval" argument, gaat Adlink nat. Eigenlijk omdat uit één mail, door rechtbank en hof wordt afgeleid dat de vereiste board approval is gegeven.

MTV en Adlink zijn vanaf 1 juni 2007 een samenwerkingsverband aangegaan. Adlink verbond zich om zorg te dragen voor de verkoop van advertentieruimte op de Nederlandse websites van MTV. MTV verleende Adlink exclusiviteit. Gedurende de maanden die voorafgingen aan 1 juni 2007 hebben partijen van gedachten gewisseld over de ten behoeve van die samenwerking te maken afspraken. Cruciale kwesties waren de mate van exclusiviteit, de aantallen unieke bezoekers van de websites (en/of zogenoemde impressies) waarop Adlink zou kunnen rekenen en de advertentieomzet waarop MTV zou kunnen rekenen. 

In een powerpoint meldt Adlink dat voor de minimumgaranties over 2007 en 2008 een 'board approval' is vereist. In een daaropvolgende mail stelt Adlink echter dat "via deze weg onze bevestiging van de board approval die wij zojuist op de samenwerking hebben gekregen. Wat ons betreft het groene licht om te starten! Dat betekent ook dat we een start zullen maken met het contract. " Deze mail wordt Adlink uiteindelijk fataal.

De advertenties blijven achter. Adlink betaalt over 2007 het verschil ten opzichte van de minimumgarantie 2007. Over 2008 meent Adlink dat er geen board approval is gegeven voor de minimumgarantie 2008. MTV houdt Adlink echter aan dat minimum en claimt € 643.615,-.

Rechtbank en hof wijzen de vorderingen toe. De belangrijkste overwegingen luiden:

"Bij de bespreking van deze grieven stelt het hof voorop dat MTV en Adlink in 2008 hun samenwerking hebben voortgezet, een samenwerking die door de board van Adlink was goedgekeurd in de hiervoor weergegeven e-mail van 25 mei 2007. Gesteld noch gebleken is dat zij de condities waaronder zij in 2007 hebben samengewerkt begin 2008 hebben veranderd. In tegendeel, Adlink heeft zich erop beroepen dat in 2008 aan hun samenwerking de inhoud van de propositie van 22 mei 2007 ten grondslag lag, hetgeen door MTV niet is bestreden. Dat nu levert op zichzelf een belangrijke aanwijzing op dat MTV gerechtvaardigd erop mocht vertrouwen dat de eind mei 2007 op genoemde propositie gegeven board approval nog steeds gold, in het bijzonder ook met betrekking tot de minimum garantie-regeling waarin de propositie van 22 mei 2007 voorzag."

En ten aanzien van het fatale mailbericht, overweegt het hof: "het e-mailbericht van 25 mei 2007 wijst echter veeleer op het tegendeel, omdat de board blijkens dat bericht nu juist de samenwerking al reeds had goedgekeurd, zonder dat Adlink daarbij nog enig voorbehoud had gemaakt."

Lees hier de volledige uitspraak

Het College Bescherming Persoonsgegevens (CBP) heeft onderzoek gedaan naar de verwerking van persoonsgegevens door OV-bedrijven bij (o.a.) het in- en uitchecken met de studenten OV-chipkaart. Het College acht de verwerking op verschillende punten in strijd met de Wet bescherming persoonsgegevens. Gegevens worden te lang bewaard, er is geen verantwoord beleid voor bewaartermijnen en studenten worden vooraf niet goed geïnformeerd. Met dank aan Silvia van Schaik, CMS Derks Star Busmann

De bedrijven RET, GVB en TLS bewaren herleidbare reisgegevens langer dan noodzakelijk en hebben geen verantwoord beleid voor bewaartermijnen. Het is niet de eerste keer dat het CBP heeft gewezen op de wettelijke eisen met betrekking tot bewaartermijnen in het kader van de OV-chipkaart. Zo heeft het CBP al in 2005  - vóórdat het OV-chipkaartsysteem in de lucht was – gewaarschuwd dat OV-bedrijven voorzieningen moeten treffen om onnodige verwerkingen van persoonsgegevens en misbruik te voorkomen. Een van die voorzieningen bestaat eruit dat bedrijven ervoor zorgen dat gegevens worden vernietigd op het moment dat zij niet meer noodzakelijk zijn voor het gestelde doel. Nu blijkt – sinds de inwerkingtreding van de OV-chipkaart in januari en augustus 2009 – dat de bedrijven hiervan geen werk hebben gemaakt waardoor zij de Wet bescherming persoonsgegevens overtreden.

NS informeert studenten niet voldoende over het feit dat in- en uitchecken niet verplicht is bij treinreizen met een studenten OV-chipkaart. Die informatie wordt bijvoorbeeld niet gegeven bij de uitgifte van de kaart. Op de stations en in de treinen worden alle reizigers opgeroepen om niet te vergeten in- en uit te checken. Studenten worden hierdoor mogelijk op het verkeerde been gezet. NS geeft vervolgens onvoldoende informatie over wat er gebeurt met de reisgegevens van studenten als zij wel in- en uitchecken.

Lees het  persbericht hier.

Voor de volledige onderzoeksrapporten, zie:

GVB;

NS;

RET;

Trans Link,

Lees het rapport m.b.t. het onderzoek bij

Rechtbank Utrecht 8 december 2010, 16-711232-10 (LJN: BO6723). Verdachte heeft zich schuldig gemaakt aan computervredebreuk, het opzettelijk vervalsen van OV-chipkaarten en het voorhanden hebben van computerapparatuur en software om de OV-chipkaarten te vervalsen. Hiervoor is hij veroordeeld tot een werkstraf van zestig uur en een voorwaardelijke gevangenisstraf van één maand.

Verdachte heeft meerdere OV-chipkaarten vervalst. Uit het vonnis blijkt dat verdachte voor € 30 een kaartlezer heeft aangeschaft en de benodigde hacksoftware via het internet heeft gedownload. De verdachte stelt bij de rechter dat hij vanuit idealen heeft gehandeld:

"Verdachte heeft met zijn handelwijze willen aantonen dat de beveiliging van de OV-chipkaart zo lek als een mandje is."

Uit het vonnis blijken echter de volgende feiten:

"Nader onderzoek door de politie wijst een veelvuldig terugkerende reisbeweging tussen Leiden CS en Schiphol uit op meerdere gehackte kaarten en daarnaast op meerdere andere reisbewegingen. Uiteindelijk wordt verdachte door de politie aangehouden. Bij de doorzoeking in de kamer van verdachte te Leiden wordt door de politie onder meer een kaartlezer, een computer en elf OV-chipkaarten in beslaggenomen. [...] Verdachte bekent bovendien dat hij aan vier van zijn collega’s een gehackte kaart heeft verschaft en aan een van hen zelfs meerdere gehackte kaarten."

De verdachte beroept zich op de vrijheid van meningsuiting, artikel 10 EVRM.

"Volgens verdachte heeft hij zelf echter nooit voordeel gehad van de vervalste passen, omdat hij zelf altijd een regulier vervoersbewijs gebruikte naast de gehackte pas en hij de passen aan zijn collega’s heeft verstrekt tegen de kostprijs van een anonieme OV-chipkaart. Zijn oogmerk was slechts het aantonen dat de beveiliging van de OV-chipkaart niet deugde en in strijd was met het belang van privacy. [...] De raadsman heeft aangevoerd dat het feit niet strafbaar is, omdat verdachte op grond van artikel 10 van het Verdrag van de Rechten van de Mens en Fundamentele Vrijheden (EVRM) het recht heeft op vrije meningsuiting en het hacken van de OV-chipkaart voor hem een onderzoek betrof om zijn mening dat de OV-chipkaart onvoldoende beveiligd was te onderbouwen met feitelijke gegevens."

De rechtbank maakt daar korte metten mee:

"De rechtbank acht het verweer van verdachte dat hij slechts bezig was om zijn standpunt ten aanzien van de beveiliging van de OV-chipkaart te onderbouwen met feitelijke gegevens niet aannemelijk. De door de raadsman aangehaalde jurisprudentie heeft betrekking op met deze zaak onvergelijkbare zaken. Uit niets blijkt dat verdachte contact heeft gezocht met de media of met [bedrijf 1] om zijn standpunt met betrekking tot de beveiliging van de OV-chipkaart weer te geven. Verdachte heeft weliswaar verklaard dat zijn onderzoek nog niet was afgerond, maar op het moment van zijn aanhouding had hij al 26 OV-chipkaarten vervalst en uit niets blijkt dat verdachte van plan was hiermee op korte termijn te stoppen. De rechtbank is dan ook van oordeel dat onder deze omstandigheden het beroep van verdachte op artikel 10 van het EVRM niet kan slagen. 

Verdachte is OV-chipkaarten binnengedrongen die eigendom zijn van [bedrijf 1] en heeft daarbij, door onder meer speciaal daarvoor aangeschafte computerapparatuur, de beveiliging doorbroken. Dit zijn ernstige strafbare feiten. Het is van groot economisch en maatschappelijk belang dat consumenten vertrouwen moeten kunnen hebben in waardekaarten zoals de OV-chipkaart. Door de computervredebreuk en vervolgens het vervalsen van OV-chipkaarten is een ernstige inbreuk gemaakt op het vertrouwen van de consument in de OV-chipkaart. Wanneer dit vertrouwen niet meer aanwezig is, bestaat het risico van ontwrichting van het openbaar vervoer. Dit kan tevens leiden tot grote schade voor de eigenaar van de OV-chipkaart, Aan verdachte dient dan ook een straf te worden opgelegd."

Lees het vonnis hier.

Voorzieningenrechter Rechtbank te ’s-Gravenhage, vonnis in kort geding d.d. 8 december 2010, X en Playseats B.V. tegen Y c.s. (KG ZA 10-1207). Van voldoende gerichtheid op Nederland is naar voorlopig oordeel geen sprake op grond van het enkele gegeven dat eBay ook het aanbod van buitenlandse aanbieders op buitenlandse versies van eBay weergeeft. Ook het opnemen van een standaard Google vertaalmodule (mede voor de Nederlandse taal) levert geen gerichtheid op Nederland op. Met dank aan Hidde Koenraad, Vondst Advocaten. 

Het geschil betreft de vraag of sprake is van merkgebruik in Nederland door gebruik van het merk Playseats op diverse websites. Daarnaasts speelt de vraag of een buitenlandse advertentie die opduikt op de Nederlandse ebay-site, merkgebruik in Nederland oplevert.

Van voldoende gerichtheid op Nederland is naar voorlopig oordeel geen sprake op grond van het enkele gegeven dat eBay zijn buitenlandse databases met elkaar in verbinding heeft gebracht en aldus via <ebay.nl> ook het aanbod van buitenlandse aanbieders op buitenlandse versies van eBay weergeeft. Ook het opnemen van een standaard Google vertaalmodule (mede voor de Nederlandse taal) in de heading van een op Duitland gerichte website wordt in casu naar voorlopig oordeel niet genoegzaam geacht om van gerichtheid op Nederland te kunnen spreken:

"4.9. De tweede grondslag [voor merkinbreuk, red.] is het aanbieden door Y. c.s. middels eBay.nl. Y c.s. weerspreekt ook hier naar voorlopig oordeel terecht dat sprake is van voldoende gerichtheid op Nederland. De betreffende webshop van Y en Playseat GmbH is opgezet in het Duits voor Duitsland en door de uitbater van eBay gekoppeld, zodat deze Duitse webwinkel met zekere Nederlandse standaardteksten opduikt op eBay.nl. Het enkele gegeven dat eBay zijn buitenlandse database met elkaar in verbinding heeft gebracht en aldus via <ebay.nl> ook het aanbod van buitenlandse aanbieders op buitenlandse (bijvoorbeeld, zoals in het onderhavige geval: Duitse) versies van eBay weergeeft, levert naar voorlopig oordeel geen voldoende gerichtheid op Nederland op in de zin van de vaste rechtspraak terzake. Dit is naar voorlopig oordeel namelijk op een lijn te stellen met de omstandigheid dat buitenlandse websites vanuit Nederland ook bereikbaar zijn, maar daarmee is naar vaste rechtspraak nog geen sprake van gerichtheid op Nederland in de thans aan de orde zijnde zin.

4.10 De “Nederlandse taal” component uit de op Duitsland gerichte website www.race-star.de betreft een standaard Google vertaalmodule in de heading van deze website (die overigens thans niet meer wordt gevoerd door Y c.s.), die aangeklikt kan worden en vervolgens zorgt voor een (rudimentaire) zogenoemde machinevertaling in (onder meer) het Nederlands. Ook dat ik naar voorlopig oordeel niet genoegzaam om gerichtheid op Nederland te kunnen spreken – zo op deze forum-achtige website überhaupt als sprake zou zijn van aanbieden, wat X c.s. wel stelt, maar Y c.s. bestrijdt. […]."

Lees het vonnis hier.

Voor een eerder discussie over gerichtheid van websites, zie hier en hier.

Volgens de Europese Commissie bestaan er binnen Europa te veel belemmeringen voor elektronisch factureren. De Commissie heeft onder meer aangekondigd om het raamwerk voor elektronische handtekeningen aan te passen om zo het gebruik van elektronisch factureren te bevorderen. Lees de mededeling over elektronisch factureren hier.

Voor de aangekondigde verandering van het raamwerk voor elektronische handtekeningen zie blz. 7:

"Some e-invoicing solutions make use of electronic signatures (e-signatures). However, the diversity of legal requirements among Member States for e-signatures have led to cross border interoperability problems which contributed to slow down the uptake of cross-border e-invoicing solutions in so far as they make use of e-signatures. Despite the positive impact of existing legal provisions on the use of e-signatures and the political commitments taken by the Member States and the Commission, a more coordinated and comprehensive approach is needed to facilitate the EU-wide cross-border interoperability of e-signatures. To this end in the framework of the Digital Agenda, the Commission proposed to revise the current Directive 1999/93/EC on e-signatures."

Op 2 december 2010 droeg Willem Hoorneman bij gelegenheid van de lancering en presentatie van het boek Softwarerecht  (met een knipoog naar 5 december) een verhaal voor over de octrooirechtelijke bescherming van software gerelateerde uitvindingen. Lees hier de volledige tekst van dit sinterklaasverhaal voor technologiejuristen. Met dank aan Willem Hoorneman, CMS Derks Star Busmann.