Voor verkoopinspanning is woonwijk-domeinnaam van groot belang
SGOA arbitraal kort geding 29 oktober 2013, IT 1910 (woonwijkdomein)
Arbitraal vonnis ingezonden door Heleen van Beugen, SGOA. Arbitrage. Partijen zijn in onderhandeling over het leveren van een website ten behoeve van een nieuwbouwproject dat [afnemer] wilde bouwen in een woonwijk. Over de website is afnemer ontevreden en heeft deze door een ander aan haar wensen laten aanpassen. Voor de verkoopinspanningen is de website www.[woonwijk].com van groot belang. Afnemer vordert met succes de overdracht van de onderwerpelijke domeinnaam. Voor de betaling van een voorschot ad €25.000 wegens schadevergoeding, verwijst de arbiter de partijen naar de gewone arbitrale procedure.
5.4. [leverancier] ontkent, kort gezegd, wanprestatie te hebben geleverd. Hij betwist de spoedeisendheid en de gegrondheid van de vordering tot overdracht van de domeinnaam. In verband met de domeinnaam heeft [leverancier] gesteld dat [afnemer] van de website gebruik kan maken, zij het met enige beperking zolang de domeinnaam niet op haar naam staat, maar op de zijne. Niettemin heeft [leverancier] gesteld bereid te zijn tot overdracht van de domeinnaam, maar er moet, kort gezegd, eerst een eindafrekening komen.
5.5. Gelet op het vorenstaande heeft [afnemer] naar het oordeel van de arbiter voldoende spoedeisend belang bij haar vordering tot overdracht van de domeinnaam, reeds op de grond dat zij als gevolg van overdracht de vrije en onbeperkte beschikking zal kunnen hebben over haar eigen website, die onbetwist voor haar een belangrijk verkoopinstrument is.
Safe Harbor Briefing, your Qestions answered by the EU Data Protection Supervisor
Since the Safe Harbor framework was declared invalid, data transfers between the US and EU have been in a state of suspense. Achieving clarity around which alternative mechanisms organisations must now adopt, is critical.
As EDPS, Mr Buttarelli is devoted to protecting personal data and privacy and promoting good practice, placing him at the centre of global discussions on the future of data transfers.
Nike past hardloop-app aan na onderzoek CBP
CBP november 2015, IT 1917, z2014-00859 (Nike+ Running app)
Uit het persbericht: Nike informeert de gebruikers van de Nike+ Running app onvoldoende over de verwerking van hun gezondheidsgegevens. Nike verkrijgt daardoor ook niet de vereiste uitdrukkelijke toestemming van de app-gebruikers. Dit concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. Nike heeft naar aanleiding van het onderzoek maatregelen getroffen en meer acties in het vooruitzicht gesteld. Het CBP zal de komende tijd controleren of Nike hiermee de geconstateerde overtredingen beëindigt.
Lees verder>
Deskundige benoemen in mislukt complex ICT-opdracht van ziekenhuis
Hof 's-Hertogenbosch 3 november 2015, IT 1916; ECLI:NL:GHSHE:2015:4428 (Tweesteden Ziekenhuis tegen Alert c.s.)
Mislukte complexe ICT-opdracht van een ziekenhuis. Tussenuitspraak met afbakening van de geschillen en een voornemen tot deskundigenonderzoek. In het najaar van 2007 neemt TsZ het besluit om het bestaande ICT-systeem van het ziekenhuis te gaan vervangen door een modern, ‘3e generatie’ Elektronisch Patiënten Dossier (EPD). In deze zaak gaat het, kort gezegd, om een mislukt project inzake de levering en implementatie door Alert c.s. van een ziekenhuisinformatiesysteem en elektronisch patiëntendossier (EPD).
Het hof acht het gewenst vooraf op te merken dat het uit de stukken, maar ook ambtshalve, ermee bekend is dat verwante geschillen, betreffende drie andere ziekenhuizen en een ziekenhuisapotheek, aanhangig zijn gemaakt. In de zaak van de Stichting Jeroen Bosch Ziekenhuis tegen Alert c.s. heeft dit hof (in een andere samenstelling) op 17 februari 2015 een tussenarrest gewezen (IT 1704; ECLI:NL:GHSHE:2015:480). Het gaat hier niet om één opdracht van meerdere ziekenhuizen, noch om overeenkomsten met Alert c.s. die in samenhang met elkaar zijn aangegaan. Dit brengt mee dat de onderhavige zaak op haar eigen merites beoordeeld dient te worden.
3.11.3. De deskundigen zal worden gevraagd om, in acht nemende hetgeen hiervoor als beoordelingsmomenten werd aangestipt in ieder geval de volgende vragen te beantwoorden, althans gezichtspunten te geven omtrent deze kwesties:
- hoe beoordeelt u, vanuit uw eigen deskundigheid, het verloop van het project?
- wilt u aangeven wat voor u de cruciale momenten zijn geweest van het project en op welke van die momenten niet adequaat (genoeg) is gehandeld;
- is naar uw oordeel, met name door Alert c.s., voldoende voortvarend aan het project gewerkt en zo dit niet het geval was, op welke momenten had correctie dienen plaats te vinden?
- wat had moeten gebeuren om het project op het overeengekomen tijdstip Go-life te laten gaan en hoe beoordeelt u de kans dat die datum gehaald had kunnen worden?
- welke partij heeft op welke momenten ‘steken laten vallen’ en hoe cruciaal is dat geweest voor de voortgang van het project?
- in hoeverre schort het aan de benodigde samenwerking tussen partijen? Is de mogelijke vertraging in de uitvoering mede te wijten aan onvoldoende input aan de zijde van TsZ?
- de discussie tussen partijen lijkt te zijn geëscaleerd onder invloed van onenigheid over de financiering van het project (zie de feitenvaststelling onder 2.26 e.v.). Wat zijn volgens de deskundigen de gevolgen voor de voortgang van het project geweest?
- is een aangepaste medicatiemodule een vereiste voor een behoorlijk functioneren of kon worden volstaan met de bestaande functionaliteit?
- welke ter zake dienende opmerkingen kunt u nog maken?
HvJ EU: Verantwoordelijke die via duurzame vestiging een, zelfs geringe, activiteit uitoefent
HvJ EU 1 oktober 2015, IT 1915; ECLI:EU:C:2015:639; C-230/14 (Weltimmo)
Persoonsgegevens. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens - Richtlijn 95/46/EG - Artikelen 4, lid 1, en 28, leden 1, 3 en 6 - Verantwoordelijke voor de verwerking die formeel in een lidstaat is gevestigd - Schending van het recht op bescherming van de persoonsgegevens van natuurlijke personen in een andere lidstaat - Vaststelling van het toepasselijke recht en de bevoegde toezichthoudende autoriteit - Uitoefening van de bevoegdheden van de toezichthoudende autoriteit - Sanctiebevoegdheid. Het Hof (Derde kamer) verklaart voor recht:
1) Artikel 4, lid 1, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens moet aldus worden uitgelegd dat het op grond van dat artikel mogelijk is de wetgeving inzake de bescherming van persoonsgegevens van een andere lidstaat dan die waar de voor de verwerking van die gegevens verantwoordelijke is geregistreerd, toe te passen, voor zover bedoelde verantwoordelijke via een duurzame vestiging op het grondgebied van die lidstaat een, zelfs geringe, reële en daadwerkelijke activiteit uitoefent, in het kader waarvan die verwerking plaatsvindt.
Om in omstandigheden als die van het hoofdgeding vast te stellen of daarvan sprake is, kan de verwijzende rechter met name rekening houden met het feit dat de activiteit van de verantwoordelijke voor de verwerking, in het kader waarvan deze verwerking plaatsvindt, bestaat in de exploitatie van vastgoedsites voor onroerend goed dat is gelegen op het grondgebied van die lidstaat, die in de taal van die lidstaat zijn gesteld, en dat deze activiteit dientengevolge hoofdzakelijk, zo niet volledig, op bedoelde lidstaat is gericht, en voorts met het feit dat deze verantwoordelijke in die lidstaat over een vertegenwoordiger beschikt die is belast met het innen van de uit die activiteit resulterende openstaande rekeningen en de vertegenwoordiging van hem in bestuurlijke en juridische procedures met betrekking tot de verwerking van de betrokken gegevens.
De nationaliteit van degenen wier gegevens aldus worden verwerkt, is daarentegen irrelevant.
2) In het geval dat de toezichthoudende autoriteit van een lidstaat waarbij klachten zijn ingediend in overeenstemming met artikel 28, lid 4, van richtlijn 95/46, tot de conclusie komt dat het recht dat van toepassing is op de verwerking van de betrokken persoonsgegevens niet het nationale recht van die lidstaat is, maar dat van een andere lidstaat, moet artikel 28, leden 1, 3 en 6, van die richtlijn aldus worden uitgelegd dat die toezichthoudende autoriteit de werkelijke bevoegdheden om in te grijpen die haar in overeenstemming met artikel 28, lid 3, van voornoemde richtlijn zijn toegekend slechts op het grondgebied van de lidstaat waartoe zij behoort, zou kunnen uitoefenen. Bijgevolg kan zij op grond van het recht van die lidstaat geen sancties opleggen aan een verantwoordelijke voor de verwerking van die gegevens die niet op dat grondgebied is gevestigd, maar zou zij ingevolge artikel 28, lid 6, van die richtlijn aan de toezichthoudende autoriteit van de lidstaat waarvan het recht van toepassing is, moeten vragen om in te grijpen.
3) Richtlijn 95/46 moet aldus worden uitgelegd, dat het begrip „adatfeldolgozás” (technische bewerking van gegevens), dat wordt gebezigd in de Hongaarse taalversie van deze richtlijn, in het bijzonder in de artikelen 4, lid 1, onder a), en 28, lid 6, ervan, in dezelfde zin moet worden opgevat als de term „adatkezelés” (gegevensverwerking).
Gestelde vragen [IT 1571]:
1) Moet artikel 28, lid 1, van richtlijn 95/46 aldus worden uitgelegd dat de nationale regeling van een lidstaat op diens grondgebied van toepassing is op een voor de gegevensverwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd en een vastgoedsite beheert waarop hij ook advertenties plaatst voor in de eerstbedoelde lidstaat gelegen onroerend goed, waarvan de eigenaren de persoonsgegevens die daarop betrekking hebben naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?
2) Moet artikel 4, lid 1, onder a), van richtlijn 95/46, junctis de achttiende tot en met twintigste overweging en de artikelen 1, lid 2, en 28, lid 1, ervan, aldus worden uitgelegd dat de Hongaarse toezichthoudende autoriteit de Hongaarse wet inzake gegevensbescherming als nationaal recht niet kan toepassen op een uitsluitend in een andere lidstaat gevestigde beheerder van een vastgoedsite, ook al publiceert hij daarop ook advertenties voor in Hongarije gelegen onroerend goed, waarvan de eigenaren de desbetreffende gegevens waarschijnlijk vanaf Hongaars grondgebied naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?
3) Is het voor uitleggingsdoeleinden relevant dat de dienst die wordt verricht door de voor de gegevensverwerking verantwoordelijke, die de website beheert, is gericht op het grondgebied van een andere lidstaat?
4) Is het voor uitleggingsdoeleinden relevant dat de gegevens betreffende in de andere lidstaat gelegen onroerend goed en de persoonsgegevens van de eigenaren ervan daadwerkelijk zijn ingevoerd vanop het grondgebied van die andere lidstaat?
5) Is het voor uitleggingsdoeleinden relevant dat de met dat onroerend goed verband houdende persoonsgegevens burgers van een andere lidstaat betreffen?
6) Is het voor uitleggingsdoeleinden relevant dat de eigenaren van de in Slowakije gevestigde onderneming in Hongarije wonen?
7) Indien uit het antwoord op de vorige vragen volgt dat de Hongaarse toezichthoudende autoriteit kan optreden, maar daarbij niet het nationale recht, doch het recht van de lidstaat van vestiging moet toepassen, moet artikel 28, lid 6, van richtlijn 95/46 dan aldus worden uitgelegd dat de Hongaarse toezichthoudende autoriteit de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met het recht van de lidstaat van vestiging, en dus geen geldboete kan opleggen?
8) Mag ervan worden uitgegaan dat het begrip ‚adatfeldolgozás’ (technische bewerking van gegevens) dat zowel in artikel 4, lid 1, onder a), als in artikel 28, lid 6, van richtlijn 95/46 wordt gebruikt, in de terminologie van deze richtlijn overeenkomt met het begrip ‚adatkezelés’ (gegevensverwerking)?
Statement of the Article 29 Working Party on safe harbor ruling
Statement
Following the landmark ruling of the Court of Justice of the European Union (CJEU) of 6 October 2015 in the Maximilian Schrems v Data Protection Commissioner case (C-362-14), the EU data protection authorities assembled in the Article 29 Working Party have discussed the first consequences to be drawn at European and national level. EU data protection authorities consider that it is absolutely essential to have a robust, collective and common position on the implementation of the judgment. Moreover, the Working Party will observe closely the developments of the pending procedures before the Irish High Court.
First, the Working Party underlines that the question of massive and indiscriminate surveillance is a key element of the Court’s analysis.
Lees verder >
Tappen advocaten alleen als er onafhankelijk toezicht wordt uitgeoefend
Hof Den Haag 27 oktober 2015, IT 1913; ECLI:NL:GHDHA:2015:2881 (Staat der Nederlanden tegen NVSA)
Privacy. Uit het persbericht: Het gerechtshof Den Haag heeft in hoger beroep bepaald dat de AIVD en de MIVD geen telefoongesprekken mogen afluisteren waaraan een advocaat deelneemt. Dit tappen mag alleen indien op deze vorm van tappen onafhankelijk toezicht wordt uitgeoefend, maar dit toezicht ontbreekt op dit moment. Het hof bekrachtigt hiermee de uitspraak van de voorzieningenrechter, die eerder in gelijke zin besliste.
Dit kort geding is aanhangig gemaakt door de advocaten van het Amsterdamse advocatenkantoor Prakken d’Oliveira en de Nederlandse Vereniging van Strafrechtadvocaten tegen de Staat. Zij willen dat de AIVD (de Algemene Inlichtingen- en Veiligheidsdienst) en de MIVD (de Militaire Inlichtingen- en Veiligheidsdienst), samen: ‘de diensten’, ophouden met het afluisteren van advocaten.
Op grond van de wet (de Wet op de inlichtingen- en veiligheidsdiensten) mogen de diensten telefoongesprekken afluisteren. Aan die gesprekken kunnen ook advocaten deelnemen, hetzij omdat de advocaat zelf een ‘target’ van de diensten is (‘direct tappen’) of omdat een ‘target’ die wordt afgeluisterd een telefoongesprek voert met zijn advocaat (‘indirect tappen’). Het probleem is dat gesprekken tussen een advocaat en zijn cliënt vertrouwelijk zijn en dat daarop slechts in bijzondere gevallen inbreuk mag worden gemaakt. De huidige wet regelt echter niets over de bijzondere positie van advocaten.
Volgens het Europese Hof voor de Rechten van de Mens is het afluisteren van advocaten alleen toegestaan als bijzondere waarborgen zijn getroffen. Met name moet sprake zijn van onafhankelijk toezicht op dat afluisteren. Dat onafhankelijk toezicht ontbreekt op dit moment. De Commissie van toezicht betreffende de inlichtingen- en veiligheidsdiensten (CTIVD) heeft weliswaar een toezichthoudende functie, maar heeft geen rechtstreekse bemoeienis met de afluisterpraktijk. Nu de vereiste waarborgen ontbreken, mogen gesprekken met advocaten niet door de AIVD en de MIVD worden afgeluisterd.
De voorzieningenrechter had in zijn vonnis van 1 juli 2015 de Staat bevolen het afluisteren te staken indien niet binnen zes maanden geregeld is dat een onafhankelijk orgaan toezicht houdt op het afluisteren. Het hof verwerpt het argument van de Staat dat deze termijn te kort is om de noodzakelijke wetgeving tot stand te brengen. Volgens het hof had de Staat de uitspraak van de voorzieningenrechter al geruime tijd kunnen zien aankomen. Ook is het hof er niet van overtuigd dat het noodzakelijk is de wet te wijzigen. Een wijziging van beleid kan in beginsel ook voldoende zijn.
De voorzieningenrechter had de diensten ook verboden om informatie, die afkomstig is van afgeluisterde gesprekken waaraan een advocaat deelneemt, met het openbaar ministerie te delen. Dit verbod heeft de voorzieningenrechter onmiddellijk in werking laten treden. Ook hierin is het hof het met de voorzieningenrechter eens. Het is in strijd met het recht van de verdachte op een eerlijk proces dat de inhoud van vertrouwelijke gesprekken met zijn advocaat bij het openbaar ministerie bekend zouden kunnen worden.
Op andere blogs:
Wieringa advocaten
Deurwaarder mag executie databank met gegevens voortzetten
Vzr. Rechtbank Amsterdam 22 oktober 2015, IT 1912; ECLI:NL:RBAMS:2015:7501 (deurwaarder tegen Women Capital)
Databankenrecht. Privacy. Woman Capital is een Head Hunters bureau met een ‘Executive Search’ karakter. Het (in beslaggenomen) databestand bestaat uit informatie van circa 10.000 zogenaamde topvrouwen uit het bedrijfsleven verdeeld over circa 6.000 organisaties. De deurwaarder wordt geconfronteerd met ongeveer 40 bezwaren van in de databank opgenomen personen. Volgens Woman Capital dient het databestand te worden vernietigd vanwege de privacy van de daarin opgenomen personen en om misbruik van vertrouwelijke gegevens te voorkomen. De deurwaarder heeft in veilingvoorwaarden opgenomen dat alleen organisaties in dezelfde branche mogen bieden. Ondanks de bezwaren tegen overdracht van gegevens aan derden, staat dit de executieverkoop van het databestand niet in de weg.
3.2. De deurwaarder is onlangs geconfronteerd met (ongeveer veertig) bezwaren van personen die in het databestand zijn opgenomen. De bezwaren werden geuit tegenover Woman Capital, die zeheeft doorgezonden naar de deurwaarder. De bezwaren hadden wat betreft de inhoud een grote gelijkenis met elkaar en luidden als volgt :
“In de krant las ik dat er sprake is van een verkoop van de database van Woman Capital. Mochten er gegevens over en van mij in enige database van Woman Capital zijn opgenomen dan wil ik niet dat Woman Capital deze gegevens aan derden verstrekt, om niet of anderszins.
Kunt u mij de ontvangst van deze email bevestigen en bevestigen dat aan mijn verzoek wordt voldaan?”
Naar aanleiding van deze bezwaren heeft de deurwaarder in de veilingvoorwaarden opgenomen dat alleen organisaties die aantoonbaar in dezelfde branche als Woman Capital opereren een bod mogen uitbrengen tijdens de executieverkoop. Andere partijen zoals “sensatiebladen” en “roddeljournalistiek” zullen worden uitgesloten. Verder is het op dit moment niet mogelijk om de database te raadplegen en gegevens te verwijderen, aldus de deurwaarder.
Woman Capital heeft het databestand gemaakt met als doel een goede match te vinden tussen werkgevers en werknemers. De personen die zich bij Woman Capital hebben aangemeld, hebben zich vrijwillig in het databestand laten opnemen. Volgens Woman Capital dient het databestand thans te worden vernietigd in verband met de privacy van de daarin opgenomen personen en om misbruik van vertrouwelijke gegevens te voorkomen. De deurwaarder heeft echter naar aanleiding van de bezwaren in de veilingvoorwaarden opgenomen dat alleen organisaties die aantoonbaar in dezelfde branche als Woman Capital opereren (arbeidsbemiddeling tussen werkgevers en werknemers) een bod mogen uitbrengen tijdens de executieverkoop op het databestand. Hieruit vloeit voort dat degenen die mogen bieden op het databestand gebonden zullen zijn aan dezelfde regelgeving met betrekking tot persoonsgegevens en privacy als Woman Capital en dezelfde discretie in acht dienen te nemen. Voldoende aannemelijk is dan ook dat de koper van het databestand dit voor hetzelfde doel als Woman Capital zal gebruiken. Hiermee zijn de gegevens van de personen die zijn opgenomen in het databestand en hun privacy vooralsnog voldoende gewaarborgd.
4.4. Op dit moment is de toegang tot het databestand geblokkeerd en kunnen er geen gegevens worden verwijderd. Indien er personen zijn die niet langer in het databestand opgenomen willen zijn wanneer de eigendom van het databestand wordt overgedragen, kunnen zij aan de koper van het databestand een verzoek doen om daaruit te worden verwijderd. De koper zal hierbij uiteindelijk ook gebaat zijn, omdat er dan een databestand zal overblijven met gegevens van personen die daadwerkelijk willen worden benaderd.
4.5. De slotsom is dat de bezwaren van Woman Capital en van de personen die in het databestand zijn opgenomen tegen overdracht van hun gegevens aan derden niet in de weg staan aan de executie van het databestand, mede gelet op het belang van Tuls Beheer.
Het is de deurwaarder dan ook toegestaan om de executie van het databestand voort te zetten.
Apple en Google bieden spellen niet langer als ‘gratis’ aan
ACM bericht: Door aanpassingen in de app-stores van Apple en Google is het risico afgenomen dat kinderen bij het spelen van games ongewenste betalingen doen. Dit is het resultaat van acties van de Autoriteit Consument & Markt (ACM) samen met andere Europese toezichthouders en de Europese Commissie. Allereerst bieden Apple en Google de games die zij als apps in hun app-stores verkopen niet langer als ‘gratis’ aan. Voordat kinderen en hun ouders een app kopen, kunnen zij nu zien of in deze app aankopen mogelijk zijn. Bijvoorbeeld voor extra ‘levens’, wapens of munten. Zij weten zo of zij extra kosten kunnen verwachten. Ook wordt de gebruiker nu expliciet gevraagd welke betaalinstelling hij wenst. Als gebruiker wordt je gevraagd of je je wachtwoord bij elke aankoop wilt invoeren of eens per 15 minuten. Dit laatste was voorheen de standaardinstelling, hetgeen een risico op ongewenste betalingen inhield.
Lees verder>
CBP: Niet-gebruikers WhatsApp beter beschermd
CBP bericht: WhatsApp biedt aanvullende bescherming aan niet-WhatsApp-gebruikers na onderzoek door het College bescherming persoonsgegevens (CBP). WhatsApp verwerkt de telefoonnummers van niet-gebruikers nu op een andere manier en heeft ook de bewaarmethode veranderd. Naar het oordeel van het CBP heeft het bedrijf hierdoor nu een wettelijke basis om deze gegevens te verwerken.
Lees verder>