Advies Afdeling advisering Raad van State en Nader rapport inzake de effecten van digitalisering voor de rechtsstatelijke verhoudingen
De samenleving is zich op alle mogelijke manieren aan het instellen op een wereld van digitale communicatie en gegevensverwerking; de zogenaamde iSamenleving. De overheid gaat daar volop in mee; zij heeft de ambitie een iOverheid te worden. Vooralsnog geschiedt dat echter niet op een gecoördineerde wijze. Het gemak van het functioneren van de overheid staat voorop. Bij de implicaties daarvan voor de verhouding tussen overheid en burger wordt onvoldoende stilgestaan. Dit advies van de Afdeling advisering van de Raad van State gaat in op de effecten van de digitalisering voor de rechtsstatelijke verhoudingen. Het richt zich daarbij meer specifiek op de positie en de bescherming van de burger. Lees het volledige advies hier.
Uitspraak ingezonden door Hanneke Slager en Gwendolin van Rooy, Cordemeyer & Slager / Advocaten
Motiv niet aansprakelijk want de tokens zelf zijn niet gebrekkig geworden door de hack
Hof Arnhem-Leeuwarden 4 september 2018, IEF 17959; IT 2630 (Politie tegen Motiv It Masters) Contractenrecht. Hacking. Cryptobeveiliging. De politie en RSA hebben een overeenkomst gesloten over de afname van een digitaal beveiligingsproduct. Daarnaast heeft de politie een raamovereenkomst gesloten met Motiv. De Politie stelt dat na de digitale inbraak bij RSA de beveiligingstokens - geleverd door Motiv - niet meer voldeden aan wat zij daarvan mocht verwachten, namelijk gedurende drie of vier jaar zeer sterke cryptografische bescherming. De politie vordert een verklaring voor recht dat Motiv toerekenbaar tekort is geschoten in de nakoming van de Raamovereenkomst en een schadevergoeding van €1.166.235,85. De rechtbank [IT 2031] oordeelde dat de RSA-software niet onder de voorwaarden van de Raamovereenkomst valt en verwerpt de vorderingen. In hoger beroep vordert de politie dat Motiv tekort is geschoten in de nakoming. Het is van belang dat De Politie het bewuste beveiligingssysteem zelf, zonder bemoeienis of advies van Motiv, heeft uitgekozen en dat de tokens ten tijde van de levering in ieder geval wel aan de overeenkomst beantwoordden. Dat later een gebrek in de tokens is ontstaan, is toe te schrijven aan omstandigheden die zich geheel in de risicosfeer van RSA bevonden (te weten de hack en het feit dat er kennelijk steeds zijn bewaard, waardoor die konden worden gekopieerd) en die Motiv niet kon beïnvloeden of voorkomen. Daar komt dan nog bij dat ieder computersysteem uiteindelijk kan worden gehackt, zodat De Politie ook geen volledig hackfree systeem mocht verwachten. Motiv hoeft niet in te staan voor de gevolgen van het later opgetreden gebrek in de tokens. Het Hof bevestigt de uitspraak van de rechtbank.
Gunningsvoornemen Regio College hoeft niet ingetrokken te worden want beoordeling is volgens beoordelingssystematiek
Vzr. Rechtbank Den Haag 2 februari 2018, IT 2629; ECLI:NL:RBDHA:2018:10390 (Operator Groep tegen Stichting Regio College voor Beroepsonderwijs en Educatie) Aanbestedingrecht. Inkoop IT-beheer. Regio College heeft een niet-openbare Europese aanbestedingsprocedure georganiseerd voor de inkoop van IT-beheer en service-integratie. OGD heeft, nadat zij door Regio College was geselecteerd, tijdig ingeschreven op de onderhavige aanbesteding. Regio College heeft OGD bij brief van 7 november 2017 bericht dat haar inschrijving niet is aangemerkt als de economisch meest voordelige inschrijving en dat haar inschrijving terzijde is gelegd vanwege het niet voldoen aan de drempelscore op de kwalitatieve subgunningscriteria Beheerplan en Plan van Aanpak SIAM. Regio College heeft hierbij te kennen gegeven dat zij voornemens is de opdracht te gunnen aan de IT-Workz B.V. Regio College heeft bij brief aan OGD van 21 december 2017 benadrukt dat zij de inschrijving van OGD terzijde heeft gelegd vanwege het feit dat op de subgunningscriteria Beheerplan en Plan van Aanpak SIAM niet de vereiste minimumscore van 50% is behaald en niet vanwege een geconstateerde overtreding van het in de Gunningsleidraad neergelegde contactverbod. OGD vordert dat Regio College het gunningsvoornemen intrekt en dat ze overgaan tot een herbeoordeling. De rechter constateert dat Regio College de uitsluiting van OGD uitsluitend heeft gebaseerd op het niet-voldoen van de drempelscores en niet om het contactverbod. Het is onvoldoende aannemelijk geworden dat Regio College de inschrijving van OGD niet overeenkomstig de beoordelingssystematiek heeft beoordeeld, terwijl naar het voorlopig oordeel van de voorzieningenrechter evenmin is gebleken van een onbegrijpelijke beoordeling dan wel van evidente inhoudelijke onjuistheden in die beoordeling. De vordering wordt afgewezen.
Tweede Kamer publiceert technische informatie over de publicatie Nederlandse Digitaliseringsstrategie
Digitalisering transformeert wereldwijd economieën en maatschappijen in een razendsnel tempo. Nederland heeft een goede uitgangspositie om de economische en maatschappelijke kansen van digitalisering te verzilveren. De digitale infrastructuur is van wereldklasse, de beroepsbevolking is goed opgeleid en we hebben een traditie van samenwerking, bijvoorbeeld tussen bedrijfsleven, kennisinstellingen en overheid. Tegelijkertijd roept digitalisering ook nieuwe, fundamentele vragen op. Bijvoorbeeld over de bescherming van onze privacy en de toekomst van onze banen. Om de kansen van digitalisering te benutten en antwoorden te geven op deze vragen moet Nederland voorop lopen met digitalisering. Met onderzoek, met experimenten en met het toepassen van nieuwe technologie. Op die manier versterken we het Nederlands verdienvermogen, kunnen we beter richting geven aan technologische ontwikkelingen en zetten we vol in op de economische en maatschappelijke kansen van digitalisering. Om voorop te kunnen lopen moeten we ook het vertrouwen van burgers en bedrijven vergroten. Daarom versterken we het fundament – o.a. privacybescherming, cybersecurity, digitale vaardigheden en eerlijke concurrentie - voor digitalisering. De uitdaging bij deze transformatie is om iedereen binnen boord te krijgen én te houden. Op de arbeidsmarkt, maar ook in de samenleving als geheel. Het kabinet zet daarom in op een aanpak met twee sporen:
1. Maatschappelijke en economische kansen benutten (versnellen)
2. Versterken van het fundament (basisvoorwaarden)
Lees hier het volledige rapport.
Tweede Kamer publiceert technische informatie over de publicatie Algoritmes en grondrechten
Het rapport bestaat uit een ‘quick-scan’ waarin de (potentiële) impact wordt beschreven die Big Data, het IoT en KI op grondrechten in Nederland kan hebben. In het onderzoek wordt per technologische toepassing beschreven hoe deze werkt en op welke wijze(n) te verwachten valt dat de werking van die toepassing effecten heeft voor de uitoefening van een grondrecht. Daarbij wordt centrale aandacht besteed aan de grondrechtelijke implicaties van de gemeenschappelijke deler van deze technologieën: het gebruik van slimme algoritmes
Verdachte wordt veroordeeld tot 3 jaar cel voor hacken, identiteitsfraude en bezit van kinderporno
Rechtbank Amsterdam 8 augustus 2018, IT 2626; ECLI:NL:RBAMS:2018:5745. Computervredebreuk. Identiteitsfraude. Kinderpornografie. De verdachte wordt onder andere verdacht van medeplegen van vernieling van computergegevens, computervredebreuk, identiteitsfraude en het bezit van kinderporno. Er is onder andere een computer, vier filmcamera's, iPhone en een USB-stick in beslag genomen. Daaruit is gebleken dat hij e-mails heeft verstuurd met het doel om zich voor te doen als fotograaf waarop hij hoopte dat de aangeefster pikante foto's zou sturen. Daarnaast is in de woning een groot aantal digitale gegevensdragers in beslag genomen. Op zijn computer, twee harde schijven en een aantal CD’s en DVD’s is kinderporno grafisch materiaal aangetroffen. Nu er in totaal meer dan 130.000 kinderporno grafische bestanden zijn aangetroffen54, acht de rechtbank niet aannemelijk dat deze bestanden slechts ‘bijvangst’ waren, waarvan verdachte niet op de hoogte was. Op de computer van verdachte is informatie aangetroffen met betrekking tot inloggen en downloaden van gegevens van 524 iCloudaccounts. Hierbij is het softwareprogramma Elcomsoft Phone Breaker gevonden. Wanneer het e-mailadres van een slachtoffer hierin voorkomt is er daadwerkelijk op de iCloud van het slachtoffer ingelogd. Met behulp van dit softwareprogramma zijn gegevens uit de iCloud van aangeefsters gedownload. De verdachte wordt veroordeeld tot een gevangenisstraf van 36 maanden.
Werknemers hebben recht op inzage van eigen personeelsdossier
Rechtbank Midden-Nederland 25 augustus 2018, IEF 17941; IT 2624; ECLI:NL:RBMNE:2018:3624 (Werknemer tegen werkgever) Inzage personeelsdossier. Persoonsgegevens. AVG. De werknemer, die op 11 februari 2002 in dienst is getreden, heeft zich op 5 maart 2018 ziekgemeld. Nog geen twee maanden later informeerde de werkgever hem dat hij de auto en telefoon die hij heeft gekregen, op grond van zijn arbeidsovereenkomst dient terug te geven. De werkgever heeft de auto dringend nodig en de werknemer heeft deze, vanwege zijn arbeidsongeschiktheid, niet meer nodig voor zijn werkzaamheden, aldus de werkgever. Dit heeft de werknemer niet gedaan, waarop de werkgever de kosten voor het huren van een vervangende auto heeft ingehouden op het salaris. Werknemer vordert onder andere afgifte van zijn volledige personeelsdossier. Ook als het personeelsdossier door de werkgever niet geautomatiseerd wordt verwerkt, is de rechter van oordeel dat een personeelsdossier meerdere kenmerken bevat die zodanig met elkaar samenhangen dat al die gegevens naar de werknemer zijn te herleiden. Het personeelsdossier is in dat geval aan te merken als bestand in de zin van de AVG. De vordering wordt toegewezen.
Conclusie AG: Unierecht staat niet in de weg aan Sloveense wetgeving over toegang tot overheidsinformatie
Conclusie AG HvJ EU 5 september 2018, IEF 17929; IT 2621; IEFbe 2722; C‑215/17 (NKBM tegen Slovenie) Auteursrecht. NKBM is een Sloveense bank. Een journaliste heeft die bank verzocht om toegang tot een lijst met bepaalde informatie over overeenkomsten die de NKBM had gesloten met consultancyfirma’s, advocatenkantoren en bedrijven die diensten van intellectuele aard verrichten. Dat verzoek werd ingediend krachtens de Sloveense regels over toegang tot documenten. Ten tijde van het verzoek was de Republiek Slovenië meerderheidsaandeelhouder van de NKBM. De Staat had de bank ook geherkapitaliseerd. Daarom was de nationale wettelijke regeling over toegang tot documenten op dat moment van toepassing op de bank en kennelijk had de door de journaliste opgevraagde informatie volgens het nationale recht moeten worden verstrekt. De NKBM weigerde het verzoek van de journaliste in te willigen. De journaliste diende tegen die weigering een klacht in bij de Sloveense toezichthouder op de informatie. De toezichthouder stelde de journaliste in het gelijk en beval de NKBM om de opgevraagde gegevens aan de journaliste te verstrekken. De NKBM stelde beroep in tegen die beslissing, maar dit werd door de rechtbank van eerste aanleg verworpen. De NKBM stelde vervolgens cassatieberoep in betreffende een rechtsvraag. Voor die rechter betoogde de NKBM dat de ZDIJZ (Sloveense wetgeving) inbreuk maakt op de grondwettelijke rechten en dat die wet onverenigbaar is met het Unierecht. De rechter heeft daarover Prejudiciële vragen gesteld. De AG is van mening het Unierecht niet in de weg staat aan de wettelijke regelgeving die in het hoofdgeding aan de orde is.
Conlusie AG:Artikel 1, lid 2, onder c), derde streepje, van richtlijn 2003/98/EG van het Europees Parlement en de Raad van 17 november 2003 inzake het hergebruik van overheidsinformatie, zoals gewijzigd bij richtlijn 2013/37/EU van het Europees Parlement en de Raad van 26 juni 2013 tot wijziging van richtlijn 2003/98/EG, staat niet in de weg aan een nationale wettelijke regeling zoals die welke in het hoofdgeding aan de orde is, die – enkel ten aanzien van instellingen die onder een overheersende invloed van de Staat staan – onbeperkte (absolute) toegang toestaat tot bepaalde informatie over overeenkomsten betreffende auteursrecht of consultancy.
Verordening (EU) nr. 575/2013 van het Europees Parlement en de Raad van 26 juni 2013 betreffende prudentiële vereisten voor kredietinstellingen en beleggingsondernemingen en tot wijziging van verordening (EU) nr. 648/2012, en met name artikel 432, lid 2, daarvan, staat niet in de weg aan een nationale wettelijke regeling zoals die welke in het hoofdgeding aan de orde is, die een bank die onder de overheersende invloed van een publiekrechtelijk lichaam staat, verplicht bepaalde informatie openbaar te maken over overeenkomsten voor de verlening van consultancydiensten, advocatendiensten en andere diensten van intellectuele aard, zonder dat is voorzien in een uitzondering op die verplichting.
Uitspraak ingezonden door Anne Bekema, Le Poole Bekema
Staat aansprakelijk voor geleden schade door uitlatingen dat illegaal downloaden in Nederland was toegestaan
Rechtbank Den Haag 5 september 2018, IEF 17942; IT 2625; ECLI:NL:RBDHA:2018:10645 (SEKAM tegen NL) Onrechtmatige daad. Uit het persbericht: SEKAM is een stichting die de belangen van ruim 1400 film en televisieproducenten behartigt. De Nederlandse Staat heeft zich tien jaar lang op het standpunt gesteld dat downloaden uit illegale bron was toegestaan. Vanaf de implementatie van de auteursrechtrichtlijn in 2004 tot april 2014 heeft de Staat dit standpunt, als enige Europese land, consequent verkondigd. Hierdoor is in Nederland een klimaat ontstaan waarin iedereen er vanuit gaat dat het is toegestaan om voor eigen gebruik, zonder toestemming van en betaling aan de rechthebbenden, een televisieserie of film te downloaden. SEKAM vordert dat Nederland onrechtmatig heeft gehandeld. Het Europese Hof van Justitie heeft in april 2014 in het ACI Adam arrest al duidelijk gemaakt dat dit standpunt en het beleid van de Staat niet in lijn was met de Auteursrechtrichtlijn. Rechtbank Den Haag oordeelt vandaag dat de Staat bovendien aansprakelijk is voor de als gevolg daarvan door film- en televisieproducenten geleden schade.
Computerrecht 2018-4
160 Bijzondere zorgplichten van IT-leveranciers / p. 193
Een IT-leverancier zal minimaal moeten handelen conform de inspanningen die van een redelijk handelend vakgenoot geëist kunnen worden. Deze vorm van zorgplicht ziet primair op de wijze waarop de overeengekomen diensten worden uitgevoerd. Maar de jurisprudentie en literatuur laten een ontwikkeling zien waarin de inhoud van de zorgplicht veelomvattender wordt. In het bijzonder in de financiële sector is de afgelopen jaren het leerstuk van de bijzondere zorgplicht ontwikkeld. De strekking van die bijzondere zorgplicht is om de klant te beschermen tegen informatiescheefheid, grote risico’s en eigen lichtvaardigheid of gebrek aan inzicht. Dit legt op de leverancier een zwaardere informatie- en waarschuwingsplicht. In deze bijdrage zal worden onderzocht of en zo ja, in hoeverre binnen de IT-sector een vergelijkbare ontwikkeling heeft plaatsgevonden.
P.G. van der Putt & C.A.M. van de Bunt