Brief van minister Kamp (Economische Zaken) aan de Tweede Kamer over het feit dat op 20 mei jl. de openbare consultatie start van het wetsvoorstel waarmee artikel 11.7a van de Telecommunicatiewet (de zogenoemde cookiebepaling) wordt gewijzigd, Kamerstukken II, 2012-2013, DGETM-TM / 13087300 , (Kamerstukken II 24 095, nr. 344)

In navolging van de eerdere brieven IT 994 en IT 1027.

Hierbij informeer ik uw Kamer over het feit dat op 20 mei jl. de openbare consultatie start van het wetsvoorstel waarmee artikel 11.7a van de Telecommunicatiewet (de zogenoemde cookiebepaling) wordt gewijzigd. Ook zal ik hieronder een tweetal vragen beantwoorden die in het Algemeen Overleg van 13 februari zijn gesteld door het lid De Liefde over de reclame-inkomsten van de publieke omroep en over de wijze waarop de Autoriteit Consument & Markt (ACM) in het licht van de cookiebepaling omgaat met omgaat met buitenlandse websites.

(...)

Zoals ik de Kamer al heb laten weten bij brieven van 20 december 2012 en 5 februari 2013, ben ik het met de Kamer eens dat het gezien de doelstelling van de cookiebepaling, bescherming van de privacy, niet nodig zou moeten zijn om
voor het plaatsen en lezen van analytic cookies toestemming te vragen. Ik heb daarom met ACM-voorganger OPTA gekeken naar mogelijkheden om analytic cookies uit te zonderen. Daarbij kwamen wij tot de conclusie dat de bestaande
wettelijke uitzonderingen opgenomen in het derde lid van artikel 11.7a geen ruimte bieden om analytic cookies uit te zonderen. De enige mogelijkheid binnen de huidige wet was dat OPTA het gebruik van dit type cookies zou gedogen.
Websitehouders en internetgebruikers zijn echter naar mijn overtuiging beter geholpen met een meer structurele, rechtszekere en toekomstbestendige oplossing, en daarvoor is het nodig om de wet te wijzigen. Tegen deze achtergrond heb ik een concept wetsvoorstel opgesteld.Cookies onder de nieuwe uitzondering

In de memorie van toelichting bij het concept wetsvoorstel worden voorbeelden genoemd van cookies die worden gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij en die -onder bepaalde voorwaarden- geen of slechts geringe gevolgen hebben voor de privacy en dus onder de uitzondering zullen vallen. Over het gebruik van deze cookies hoeft niet te worden geïnformeerd en voor het plaatsen en lezen hoeft geen toestemming meer te worden gevraagd. Uiteraard geldt dit op de eerste plaats voor de analytic cookies. Deze worden gebruikt om informatie te verkrijgen over de kwaliteit of effectiviteit van een dienst van de informatiemaatschappij (de website). Als analytic cookies alleen worden gebruikt om het gebruik van de website in kaart te brengen en te analyseren zijn de privacygevolgen gering. Dan hoeft hierover niet te worden geïnformeerd en hoeft geen toestemming worden gevraagd. Dit geldt voor zowel first party analytic cookies als third party analytic cookies: beiden kunnen onder de uitzondering vallen. Daarvoor is het wel noodzakelijk dat deze cookies, of de daarmee gegenereerde gegevens, niet ook - door de websitehouder of de derde - worden gebruikt voor andere doeleinden die wel meer dan geringe gevolgen voor de privacy hebben, zoals het opstellen van profielen.

(...)

Naast analytic cookies gaat de toelichting ook in op de zogenoemde A/B testing cookies en affiliate cookies. Bij A/B testing cookies worden cookies geplaatst en gelezen om te kijken welke versie van een bepaalde reclame of website (versie A of B), beiden een dienst van de informatiemaatschappij, het beste door het publiek wordt gewaardeerd, en dus het effectiefst zijn. Affiliate cookies, ook wel performance cookies genoemd, worden gebruikt om bij te houden welke
advertentie leidt tot een aankoop, zodat degene die deze advertentie heeft getoond (de affiliate), hiervoor een beloning kan ontvangen. Dit type cookies kan worden geplaatst bij vertoning een advertentie voor een bepaald product. Op het moment dat een bezoeker via een webwinkel dit product heeft aangeschaft, wordt bekeken of de bezoeker tot deze aankoop is overgegaan na het zien van de advertentie waarbij de affiliate cookie is geplaatst. Indien dit het geval is, en de
advertentie dus effectief is geweest, ontvangt de partij die de advertentie heeft vertoond een commissie van de verkoper van het product.

Toestemming

(...)

Volgens de Artikel 29-werkgroep moet uit het woord ‘uiting waarmee de betrokkene aanvaardt’ (in het Engels: indication by which the data subject signifies his agreement) worden afgeleid dat het moet gaan om een handeling, en kan toestemming niet worden afgeleid uit het uitblijven van een handeling. Binnen de definitie van ‘toestemming’ (zonder de toevoeging ondubbelzinnig of uitdrukkelijk, die in de Wet bescherming persoonsgegevens worden gebruikt) is
het niet noodzakelijk dat deze handeling expliciet uiting geeft aan de wens om het gebruik van cookies te aanvaarden, zoals het klikken op een button ‘ik geef toestemming’ in een pop-up. Dit kan ook blijken uit minder expliciete handelingen. De werkgroep noemt in haar Opinie1 het voorbeeld van een weersinformatiedienst die gebruik maakt van locatiegegevens van de beller. Indien de beller vooraf volledige informatie heeft verkregen over de verwerking van locatiegegevens door de weersinformatiedienst, kan de handeling bestaand uit het bellen van het nummer van die dienst worden opgevat als toestemming voor het verwerken van de betreffende locatiegegevens.

Verdere procedure

De consultatie van het wetsvoorstel tot aanpassing van de cookiewet wordt gehouden via het internet. Een ieder die dat wenst kan binnen een periode van zes weken reageren op het concept wetsvoorstel. Na afloop van die periode zullen
de reacties op het wetsvoorstel worden verwerkt. Daarna zal zowel aan ACM als het College bescherming persoonsgegevens (CBP) gevraagd worden advies uit te brengen over het wetsontwerp. Hierna volgt advisering door de Raad van State. Ik verwacht dat het wetsontwerp in het najaar bij de Kamer kan worden ingediend.

Op andere blogs:
Webwereld, Kabinet schaft expliciete toestemming cookies af
Cookierecht, De cookiewet wordt gewijzigd

Filip van Eeckhoutte, SIDN de papieren tijger, IE-Forum.nl IT 1149
Een bijdrage van Filip van Eeckhoutte, Van Eeckhoutte Advocaten

De Registry SIDN

Wie wil weten wie de houder van een domeinnaam is, raadpleegt de WhoIs, een register dat wordt bijgehouden door de registry. Een domeinnaam is een naam in het Domain Name System (DNS), het naamgevingssysteem op internet waarmee onder andere webservers, mailservers en andere toepassingen worden geïdentificeerd en wordt uitgegeven door landelijke of regionale registry’s. Alle registry’s vallen onder de vlag van de Internet Assigned Numbers Authority (IANA). De registry voor Nederland c.q..nl-domeinnamen is SIDN, de Stichting Internet Domeinregistratie Nederland. De SIDN beheert anno 2013 ruim 5,3 miljoen registraties van domeinnamen onder het top level domain .nl.

SIDN registreert slechts wie op grond van de door haar ingerichte procedures houder van een domeinnaam is en daarmee haar contractuele wederpartij met betrekking tot een domeinnaam, met andere woorden wie met betrekking tot een bepaalde domeinnaam rechten (op grond van de algemene voorwaarden) ten opzichte van SIDN kan uitoefenen.

Dit artikel is sterk ingekort, lees de opgemaakte versie hier.

SIDN bepaalt niet wie (het meeste) recht op een domeinnaam heeft en toetst voorafgaand aan de uitgifte van een domeinnaam niet of de domeinnaamhouder (in spe) daarmee inbreuk maakt op (intellectuele) rechten van derden, bijvoorbeeld merk- of handelsnaamhouders. Het register geeft niet weer wie het meeste recht op een domeinnaam heeft. Wie schade ondervindt van een (.nl-)domeinnaamregistratie kan zich tot een arbiter, rechter of College voor Klachten en Beroep voor .nl-domeinnamen wenden. Behoudens tegenbewijs is voor SIDN bij het vaststellen van het houderschap de administratie van SIDN leidend.

Papieren tijger

De nadruk in de voorwaarden en regeling van SIDN op openbaarmaking van correcte WhoIs-gegevens blijkt in de praktijk slechts een papieren tijger te zijn.

SIDN voert geen pro-actieve controle uit op de input op haar register, maar verlaat zich op commentaar van derden die vraagtekens plaatsen bij bepaalde input. Sterker nog, de SIDN gedoogt inschrijving van domeinnaamhouders waarvan aangetoond dan wel op zijn minst aannemelijk is dat die in geen relatie (meer) staan tot de betrokken domeinnaam.

Bureaucratie

Het bureaucratische beleid binnen SIDN in combinatie met zijn incorrecte en dus onbetrouwbare register kan tot gevolg hebben dat verkeerde personen in rechte worden aangesproken.

Langs de andere kant stelt SIDN zich weer formeel en onbuigzaam op indien een actie van haar kant wordt verlangd. Zo weigert de SIDN beslagen te registreren als de naam van een domeinnaamhouder niet precies overeenstemt met de naam in het beslagrekest. Een beslag op een .nl-domeinnaam kan dus op de klippen lopen omdat in het beslagrekest de meisjesnaam wordt gebruikt, terwijl in de houderinschrijving bijvoorbeeld maar een halve naam, alias of de naam van de echtgenoot wordt gebruikt of doordat de nieuwe houder zijn naam niet heeft ingeschreven, maar de oude domeinnaamhouder heeft laten staan.

Bij SIDN is bekend de casus “ILoveSu”, waarbij de .nl-domeinnaam ten onrechte was blijven staan op de naam van de vorige houder. De nieuwe houder was van registrar gewisseld, maar had het houderschap niet gewijzigd. De naam van de vorige houder bleef dus staan. De vorige houder kon niet bij het control panel omwille van de registrar-wisseling. Hoewel SIDN een toelichting van de vorige houder ontving, reageerde SIDN als volgt: “In lijn met het voorgaande registreren wij slechts beslagen en beperken wij de contractuele rechten van de houder slechts als het beslag is gelegd onder de houder. Daar is in het geval van het door uw cliënte gelegde beslag op de domeinnaam ilovesu.nl geen sprake van. Het beslag is - naar wij nu opmaken - kennelijk onder een gebruiker van de domeinnaam gelegd en, los van de vraag of het daarmee juridisch stand houdt hetgeen kan worden betwijfeld, is er daarmee geen aanleiding voor SIDN om het beslag te registreren, noch om de contractuele rechten van de houder te beperken.”
De toelichting van de vorige houder was dus aan dovemansoren gericht. Ondanks rechterlijk verlof daartoe weigerde SIDN de desbetreffende naam te bevriezen en ondernam – in tegenstelling tot haar eigen voorwaarden – geen enkele actie tegenover de feitelijke houder of diens registrar.

Het is een gotspe dat het SIDN weigert mee te werken, zelfs al toont de beslaglegger aan dat de domeinnaamhouderinschrijving onjuist of onvolledig is en er kennelijk sprake is van een opzetje om de domeinnaam buiten beslag te houden. SIDN kijkt niet naar de feitelijke status omtrent het houderschap, maar louter naar de vraag of de houder bestaat. Zolang de houder bestaat is in beginsel voor SIDN de kous af.

Bij nader inzien lijkt uit de considerans van de Algemene voorwaarden voor .nl-domeinnaamhouders ook te volgen dat SIDN gedoogt dat registrars de domeinnaam op hun eigen naam zetten, in plaats van hun klant.  

Het verbergen van de ware houder is trouwens geen louter Nederlands fenomeen. Bij veel Chinese websites die inbreuk maken op intellectuele rechten (zgn. counterfeit websites) valt de registrant niet te achterhalen uit de whois-gegevens, omdat deze gebruik maakt van een dienstverlener die het mogelijk maakt om een domeinnaam te gebruiken zonder de eigen identiteit prijs te geven, zoals Privacyprotect.org, Protected Domain Services, WhoisGuard en Private Whois (hierna ook wel “anonimiteitsdiensten”). Tevens lijkt in bepaalde gevallen sprake te zijn van onjuiste contactgegevens.  

De voorwaarden en regelingen van SIDN kunnen in combinatie met de juridische implicaties van haar register, niet anders worden opgevat dan dat SIDN in uitvoering van haar publieke taak actief dient zorg te dragen voor een up-to-date en waarheidsgetrouw WhoIs-register waar gebruikers, zoals advocaten, van op aan kunnen. Het vorenstaande leidt echter tot de conclusie dat SIDN anno 2013 haar register niet op orde heeft en een beleid voert dat linea recta indruist tegen haar eigen voorwaarden en regelingen. Als gevolg daarvan worden gelaedeerden opgezadeld met bijkomende obstakels in het proces om inbreukmakend gedrag te laten staken; obstakels die volstrekt overbodig worden opgeworpen en die slechts met (aanzienlijke) moeite kunnen worden overwonnen.

Prejudiciële vragen aan HvJ EU 24 januari 2013, zaaknr. C-156/13 (Digibet tegen Westdeutsche Lotterie GmbH & Co. oHG)
Prejudiciële vragen gesteld door het Bundesgerichtshof, Duitsland.
Kansspelen. Artikel 56 VWEU vrij verkeer diensten. Verzoeksters zijn kansspelbedrijven gevestigd op Gibraltar. Zij bieden via websites in het Duits kansspelen en weddenschappen tegen inzet aan. Verweerster (Westdeutsche Lotterie GmbH, Nordrhein-Westfalen) stelt dat verzoeksters de mededinging verstoren omdat zij niet alle regels van zowel de kansspelwetgeving als strafrecht respecteren. Verzoeksters wordt verboden via internet diensten aan te bieden voor kansspelen. Zij krijgen ook een schadevergoeding opgelegd. In hoger beroep wordt het eerdere oordeel bevestigd waarop verzoeksters herziening aanvragen.

De verwijzende Duitse rechter stelt vast dat de nationale wetgeving sinds begin 2012 is gewijzigd door achtereenvolgens het aflopen van het “Staatsverdrag inzake kansspelen” en de liberalisering van het kansspelrecht in Schleswig-Holstein. Het laatste heeft daar de weg vrijgemaakt voor reclame op radio, tv, internet en ook het organiseren van kansspelen op internet is in genoemd land niet meer verboden. In de overige Landen is een nieuw Glücksspielstaatsvertrag van kracht waarbij het in beginsel verboden blijft internet voor (reclame voor) kansspelen te gebruiken. Maar de rechter vraagt zich af hoe deelname aan kansspelen tot Schleswig-Holstein beperkt kan worden. Uit eerdere jurisprudentie van het HvJEU blijkt dat de Landen onderling hun beleid inzake kansspelen op elkaar moeten afstemmen om aan de Europeesrechtelijke verplichtingen te voldoen, met name de vrijheid van dienstverrichting.

Hij stelt het HvJEU de volgende vragen:

1. Is een beperking van de kansspelsector incoherent, - indien enerzijds in een lidstaat met een federale structuur de organisatie van publieke kansspelen op het internet en het optreden als tussenpersoon daarbij krachtens het in de meerderheid van de deelstaten geldende recht in beginsel zijn verboden en – zonder dat daarop een afdwingbaar recht bestaat – enkel voor loterijen en sportweddenschappen bij wijze van uitzondering kunnen worden toegelaten om een geschikt alternatief te bieden voor het illegale kansspelaanbod en de ontwikkeling en uitbreiding daarvan tegen te gaan, - terwijl anderzijds in één deelstaat van deze lidstaat volgens het daar geldende recht onder nader bepaalde objectieve voorwaarden aan elke burger van de Unie en elke daarmee gelijkgestelde rechtspersoon een vergunning voor het aanbieden van sportweddenschappen op het internet moet worden verleend, zodat mogelijk afbreuk wordt gedaan aan de geschiktheid van de in de rest van de federale staat geldende beperking van het kansspelaanbod op het internet om de daarmee nagestreefde rechtmatige doelstellingen van algemeen belang te verwezenlijken?

2. Hangt het antwoord op de eerste vraag af van de vraag of de afwijkende rechtstoestand in een van de deelstaten de geschiktheid van de in de andere deelstaten geldende kansspelbeperkingen om de daarmee nagestreefde rechtmatige doelstellingen van algemeen belang te verwezenlijken, tenietdoet of daaraan aanzienlijk afbreuk doet?

Indien de eerste vraag bevestigend wordt beantwoord:
3. Wordt de incoherentie verholpen wanneer de deelstaat met de afwijkende regeling de in de andere deelstaten geldende kansspelbeperkingen overneemt, ook indien de bestaande ruimere regelingen van kansspelen op het internet in die deelstaat met betrekking tot de daar reeds verleende concessies nog voor een overgangsperiode van meerdere jaren blijven gelden, omdat deze vergunningen niet of slechts tegen voor die deelstaat uiterst belastende schadevergoedingen weer kunnen worden ingetrokken?

4. Is het voor het antwoord op de derde vraag van belang of tijdens de overgangsperiode van meerdere jaren de geschiktheid van de in de andere deelstaten geldende kansspelbeperkingen teniet wordt gedaan of daaraan aanzienlijk afbreuk wordt gedaan?

Vzr. Rechtbank Amsterdam 8 mei 2013, LJN CA0023 (HOTEL CONTACT B.V. tegen Angry Nerds en ST.28 Ltd.)
Uitspraak mede ingezonden door Bert Gravendeel, Gravendeel Advocaten.
Auteursrecht. Contractenrecht. Wijziging van eigen logo in video is geen inbreuk persoonlijkheidrechten. Geen databankinbreuk gezien de contractuele relatie.

Angry Nerds heeft op grond van een overeenkomst met Hotel Contact promotievideo's gemaakt voor accommodaties. Nadien ontstaat een geschil over de auteursrechten op die video's die op het YouTubekanaal zijn geplaatst.

Hotel Contact heeft de overeenkomst in redelijkheid zo mogen begrijpen dat zij met het eigendomsrecht van de video’s ook het recht zou krijgen om deze te bewerken, met inachtneming van eventuele persoonlijkheidsrechten. Deze uitleg is naar het oordeel van de voorzieningenrechter niet strijdig met de uitleg van Angry Nerds dat zij na plaatsing van de accommodatievideo’s op het YouTubekanaal nog in aanmerking wil kunnen komen voor het verkrijgen van vervolgopdrachten als bedoeld in de overeenkomst. De voorzieningenrechter is van oordeel dat Hotel Contact over de mogelijkheid moet beschikken om de accommodatievideo’s die reeds zijn geplaatst op het YouTubekanaal nadien te kunnen wijzigen, zonder dat hiervoor de medewerking van Angry Nerds is vereist en zonder dat Angry Nerds hiervoor een vergoeding kan vragen.

De beoogde wijzigingen in de video’s behelzen met name het wijzigen van een logo en van een hotelnaam en vormen geen inbreuken op persoonlijkheidsrechten ex 25 Aw. Gezien de contractuele relatie tussen partijen is van een inbreuk op de Databankwet geen sprake.

De voorzieningenrechter legt de overeenkomst tussen partijen zo uit dat die rechten toekomen aan Hotel Contact. Hotel Contact dient in staat te worden gesteld wijzigingen aan te brengen in de video's.

3.3 (...) Verder voert Angry Nerds aan dat op grond van artikel 2 lid 2 van de Auteurswet auteursrechten alleen schriftelijk kunnen worden overgedragen en dat die overdracht voldoende specifiek moet zijn, hetgeen hier niet het geval is. Bij de uitleg van de overeenkomst verwijst Angry Nerds met name naar de artikelen 2, 3 en 21 daarvan. Hieruit volgt dat Angry Nerds het ruwe materiaal onder zich moet houden voor eventuele vervolgopdrachten. Mogelijke vervolgopdrachten waren voor Angry Nerds essentieel bij het sluiten van de overeenkomst. Angry Nerds zou pas winst maken indien zij vervolgopdrachten zou krijgen. De prijs van € 80,- per video is immers een stuk lager dan de commerciële prijs van € 140,-. Daarnaast doet Angry Nerds een beroep op haar persoonlijkheidsrechten zoals bedoeld in artikel 25 van de Auteurswet en op haar databankrechten, zoals bedoeld in de Databankwet. Tot slot maakt zij aanspraak op een volledige proceskostenveroordeling als bedoeld in artikel 1019h Rv. Zij heeft een specificatie van haar raadsman ingediend waaruit volgt dat zij (inclusief griffierechten en btw) € 6.327,90 aan kosten heeft gemaakt.

5.4.  Op grond daarvan is de voorzieningenrechter voorshands van oordeel dat Hotel Contact over de mogelijkheid moet beschikken om de accommodatievideo’s die reeds zijn geplaatst op het YouTubekanaal nadien te wijzigen, zonder dat hiervoor de medewerking van Angry Nerds is vereist (en zonder dat Angry Nerds hiervoor een vergoeding kan vragen). De bepalingen die zien op de overdracht van rechten, met name artikel 20 van de overeenkomst, en de bepalingen die zien op overdracht van (video)bestanden dienen in deze zin te worden uitgelegd. In artikel 20 is immers bepaald dat “Het eigendom en alle rechten van de accommodatie video worden overgedragen”. Hierbij is van belang dat de tekst van de overeenkomst is opgesteld door Angry Nerds en Hotel Contact niet beschikt over gespecialiseerde kennis van filmmateriaal. Hotel Contact heeft de overeenkomst, en met name artikel 20, in redelijkheid zo mogen begrijpen dat zij met het eigendomsrecht van de video’s ook het recht zou krijgen om deze te bewerken (met inachtneming van eventuele persoonlijkheidsrechten, waarover hierna meer). Deze uitleg is naar het oordeel van de voorzieningenrechter niet strijdig met de uitleg van Angry Nerds dat zij na plaatsing van de accommodatievideo’s op het YouTubekanaal nog in aanmerking wil kunnen komen voor het verkrijgen van vervolgopdrachten als bedoeld in artikel 3 van de overeenkomst. Dat Angry Nerds met betrekking tot mogelijke vervolgopdrachten “ruw materiaal” onder zich wenst te houden, sluit niet uit dat ook Hotel Contact over de mogelijkheid moet kunnen beschikken om wijzigingen in de reeds gemonteerde accommodatievideo’s aan te brengen. Ter zitting is overigens ook door Hotel Contact verklaard dat zij enkel de reeds gemonteerde accommodatievideo’s (van ongeveer één minuut per video) wil kunnen wijzigen; zij is niet van plan om opnames van Angry Nerds die niet zijn gebruikt bij het monteren alsnog te gaan gebruiken.

5.7.  Een beroep van Angry Nerds op haar persoonlijkheidsrechten als bedoeld in artikel 25 Auteurswet staat niet aan toewijzing van de vordering zoals hiervoor bedoeld in de weg. De door Hotel Contact beoogde wijzigingen in de video’s behelzen met name het wijzigen van een logo en van een hotelnaam etc. Met wijzigingen van deze aard worden voorshands geen inbreuken gemaakt op persoonlijkheidsrechten als bedoeld in artikel 25 Auteurswet.

5.8.  Gezien de contractuele relatie tussen partijen, die zoals hiervoor overwogen meebrengt dat Hotel Contact in de gelegenheid moet worden gesteld wijzigingen in de video’s aan te brengen, is van een inbreuk op de Databankwet, zoals Angry Nerds nog heeft aangevoerd, geen sprake.

7.1.  veroordeelt gedaagden hoofdelijk om binnen zeven werkdagen na betekening van dit vonnis hun onvoorwaardelijke medewerking te verlenen aan de overdracht van het auteursrecht op de 276 accommodatievideo’s die door gedaagden op het YouTubekanaal van Worldmeetings zijn geplaatst, conform de als productie 16 bij de dagvaarding overgelegde concept-leveringsakte, op straffe van een dwangsom van € 500,- per dag dat de overdracht na de genoemde termijn niet heeft plaatsgevonden, met een maximum van € 15.000,-, en bepaalt daarbij dat de levering van de auteursrechten niet in de weg mag staan aan het uitvoeren door gedaagden van vervolgopdrachten op grond van artikel 3 en 21 van de overeenkomst,

Lees de uitspraak LJN CA0023 (pdf)

CBP, Advies concept wetsvoorstel Basisregistratie Ondergrond, z2012-00836, CBPWeb.nl
Uit't persbericht: Het ministerie van Infrastructuur en Milieu heeft het College bescherming persoonsgegevens (CBP) om advies gevraagd over het conceptwetsvoorstel betreffende de basisregistratie ondergrond. In deze registratie staan gegevens over de geologische en bodemkundige opbouw van de ondergrond, de ondergrondse infrastructuur en de gebruiksrechten in relatie tot de ondergrond. Een aantal van deze gegevens zijn persoonsgegevens, zoals de gegevens van een natuurlijke vergunninghouder van gebruiksrechten. Het CBP heeft enkele opmerkingen bij het conceptwetsvoorstel en adviseert de minister daaraan op passende wijze aandacht te schenken.

Doel en verstrekking van gegevens
Het CBP adviseert onder meer om de twee doelomschrijvingen van de basisregistratie ondergrond aan te passen. Persoonsgegevens mogen alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.

Invoering basisregistratie ondergrond
Met het oog op een doelmatige informatievoorziening in de publieke sector werkt de overheid aan een stelsel van basisregistraties. Een basisregistratie fungeert voor bestuursorganen als unieke bron van essentiële gegevens. Het kabinet heeft op 12 december 2008 besloten tot de invoering van de basisregistratie ondergrond. Deze basisregistratie wordt samengesteld uit reeds bestaande registraties.

Verwerking en bescherming persoonsgegevens; Brief regering; Rapportage 1e kwartaal 2013 EU-regelgeving gegevensbescherming, Kamerstukken II 2012/13, 32 761, nr. 48.
Een artikelsgewijze bespreking van en de Nederlandse standpunten op diverse bepalingen rondom het toezichthouderschap, bestuursrechtelijke boete (artikel 79) en de bepalingen over de bijzondere gegevensverwerkingen (artikelen 80 tot en met 85), en geclusterd: het klachtrecht, het aansprakelijkheidsrecht en de sanctionering; uitwerking door de Raadswerkgroep van het thema "risico-georiënteerde benadering". Een vergadering over het thema "flexibiliteit voor gegevensverwerking in de publieke sector".

Een selectie: Artikel 46 voorziet in de verplichting van de lidstaten om een onafhankelijke toezichthouder in te stellen. Nederland stelt daarbij de vraag of dit artikel uitsluit dat meer dan één toezichthouder kan worden ingesteld, zodat de bestaande situatie kan worden gehandhaafd, waarbij het College bescherming persoonsgegevens (Cbp) en de Onafhankelijke Post- en Telecommunicatieautoriteit (OPTA) beiden taken vervullen voor de handhaving van de bescherming van persoonsgegevens. De verordening sluit dat niet uit, zo blijkt uit de behandeling.

In artikel 47 is de onafhankelijke positie van de toezichthouder gegarandeerd. Inzake art. 47, lid 5, spreekt het wat Nederland betreft voor zich dat elke lidstaat gehouden is de toezichthouder op redelijke en evenredige wijze in staat te stellen zijn taken en bevoegdheden onder de verordening en nationaal recht uit te kunnen oefenen. Nederland komt die verplichting na.

Artikel 48 bevat de algemene bepalingen voor de benoeming van leden van de toezichthouders. Nederland acht artikel 48, lid 2, dat kwaliteitseisen bevat voor deze leden te onbepaald.

De artikelen 49 en 50 bevatten bepalingen over, respectievelijk, de inrichting van de nationale instellingswet en het ambtsgeheim voor de toezichthouder. Deze bepalingen gaven geen aanleiding voor een interventie.

In artikel 51 is de belangrijke regeling van de bevoegdheid van toezichthouders in de EU neergelegd. Hoofdregel is dat de toezichthouder op het eigen territoir de bevoegdheden uitoefent, maar dat bij grensoverschrijdende aspecten de toezichthouder bevoegd is van de lidstaat waar de hoofdvestiging van de verantwoordelijke is gevestigd. Deze bepaling is in het concept van de verordening zeer belangrijk. De bepaling geeft echter ook aanleiding tot zeer veel vragen. Nederland stemt in met het one stop shop-principe, maar heeft nog wel de nodige vragen bij de invulling daarvan.

De eerste vraag van Nederland bij art. 51, lid 2, is wat het verwerken van persoonsgegevens in het kader van een vestiging betekent. De vraag is dus of er ook verwerkingen buiten het kader van een vestiging kunnen worden verricht. Het is immers zo dat iedereen uiteindelijk wel ergens gevestigd is, ook al worden data door de verantwoordelijke feitelijk mobiel verwerkt. De tweede vraag van Nederland is of het criterium van de hoofdvestiging dat gedefinieerd is in artikel 4, onder 13, van de verordening in de praktijk niet voor bijzonder veel interpretatieproblemen kan zorgen. Wanneer de plaats waar de beslissingen worden genomen verschilt van de plaats waar een eventuele centrale verwerking plaatsvindt, kan dat lastig te bepalen zijn. De derde vraag van Nederland is of de keuze van de hoofdvestigingsregel niet voor nodeloos veel problemen zal zorgen. Het is ogenschijnlijk aantrekkelijk voor bedrijven, die met één vaste toezichthouder te maken hebben, maar onaantrekkelijk voor betrokkenen die zich tot een buitenlandse toezichthouder moeten richten, als ze feitelijk al kunnen begrijpen dat dit de bedoeling is. Daarin ligt het gevaar dat dit leidt tot een overvraging van de nationale toezichthouder waartoe betrokkenen zich dan zullen moeten richten.

Verder is het een redelijk belang van de toezichthouders om zonder middeling van de EDPB te kunnen zien wat zich aan gegevensbeschermingszaken op het eigen grondgebied afspeelt. Een alternatief is dan om de nationale toezichthouder algemeen bevoegd te maken voor elke verwerking die op het grondgebied van de nationale staat plaatsvindt te regelen, waarna bij bestaande grensoverschrijdende aspecten het consistency mechanisme moet worden geadresseerd met het doel een "lead authority" aan te wijzen die in het vervolg als enig contactpunt voor verantwoordelijke en betrokkenen kan fungeren, zo hebben vele lidstaten, en ook Nederland, voorgesteld. In dit verband verdient ook artikel 73 aandacht, omdat het om dezelfde redenen niet wenselijk is dat elke betrokkene in elke lidstaat naar elke toezichthouder mag gaan om daar elke klacht in te dienen.

Internetconsultatie wetsvoorstel computercriminaliteit III - Concept regeling en de ontwerp toelichting
Het wetsvoorstel voorziet in de mogelijkheid tot het binnendringen in geautomatiseerd werken met het oog op bepaalde doelen op het gebied van de opsporing. Publicatiedatum 13-05-2013; Einddatum consultatie 01-07-2013.

Het wetsvoorstel regelt vier onderwerpen:
1. Onderzoek in een geautomatiseerd werk ingeval van verdenking van een ernstig strafbaar feit, ten behoeve van bepaalde doelen op het gebied van de opsporing.
2. Herziening van de bestaande regeling van artikel 54a Sr over het ontoegankelijk maken van gegevens.
3. Het decryptiebevel aan de verdachte ingeval van verdenking van bepaalde zeer ernstige strafbare feiten.
4. Strafbaarstelling van het wederrechtelijk overnemen en 'helen' van gegevens.

Doelgroepen die door de regeling worden geraakt
Verdachten van ernstige strafbare feiten.

Verwachte effecten van de regeling
Verbetering en versterking van de opsporing van ernstige vormen van computercriminaliteit.

Doel van de consultatie
Informeren en verkrijgen van reacties.

Op welke onderdelen van de regeling wordt een reactie gevraagd
In beginsel is een reactie mogelijk op alle onderdelen van het wetsvoorstel. De onderdelen betreffende de herziening van de regeling van de ontoegankelijkmaking van gegevens en de strafbaarstelling van het wederrechtelijk overnemen en 'helen' van gegevens zijn eerder in consultatie gegeven, in het kader van het toenmalige wetsvoorstel versterking cybercrime. Bij de behandeling van de op de voorliggende consultatie ingekomen adviezen zal het resultaat van de eerdere internetconsultatie over de voornoemde onderdelen worden betrokken.

Publicatie reacties
Reacties worden gepubliceerd nadat de consultatie is gesloten. Alleen die reacties worden gepubliceerd waarvan is aangeven, door de inzender, dat deze openbaar mogen zijn.

Rechtbank Overijssel 8 mei 2013, LJN CA0002 (Stratech Automatisering B.V. tegen X)
Rechtspraak.nl: Verkoop, ontwikkeling en bouw van administratief/financiële softwareapplicatie voor de recreatiebranche; vastgelopen IT-traject.

Software-ontwikkelaar en opdrachtgever sluiten een 'samenwerkingsovereenkomst' met een looptijd van 10 jaar (van 2006 tot 2016). Opdrachtgever koopt daarbij (na eigen onderzoek van die applicatie) een 'standaard-pakket' voor de gecentraliseerde administratieve en financiële verwerking van via internet gemaakte boekingen van vakantieaccomodatie op verschillende aangesloten bungalowparken. In de loop van de contractsperiode zal het pakket worden aangevuld met verscheidene uitbreidingsmodules overeenkomstig specifieke behoeften van deze opdrachtgever. Ongeveer drie tot vier jaar na het sluiten van het contract ontbindt de opdrachtgever de overeenkomst op grond van het uitblijven van stabiele en betrouwbaar functionerende software. De ontwikkelaar vordert in conventie betaling van de overeengekomen bedragen over de resterende looptijd van de samenwerkingsovereenkomst.

Die vordering wordt afgewezen, omdat uit zowel overgelegde notulen van vergaderingen en e-mailverkeer betreffende de voortgang van de samenwerking als door beide partijen overgelegde technische rapportages van deskundigen duidelijk genoeg naar voren komt, dat de opdrachtgever de overeenkomst niet ten onrechte heeft ontbonden. De software-ontwikkelaar is in verzuim geraakt, nadat de opdrachtgever de wederpartij op correcte wijze in gebreke had gesteld en een termijn had gesteld, waarbinnen niet alsnog deugdelijk werd gepresteerd. De opdrachtgever maakt in reconventie aanspraak op schadevergoeding wegens het uitblijven van stabiele en betrouwbare software, met onder meer als gevolg het missen van grote aantallen boekingen. De eis tot vergoeding van schade wordt (grotendeels) niet toewijsbaar geacht wegens een succesvol beroep van de software-ontwikkelaar op diens exoneratieclausules.

Het beroep op contractuele exoneratiebepalingen zou slechts ontoelaatbaar zijn, als de software-ontwikkelaar zich welbewust op zodanig onzorgvuldige wijze jegens opdrachtgever zou hebben gedragen dat het naar maatstaven van redelijkheid en billijkheid onaanvaardbaar zou zijn als zij zich op die bepalingen zou mogen beroepen (vgl. HR 5 september 2008, LJN: BD2984, Telfort / Scaramea). Uit de in dit geding over en weer gestelde feiten blijkt echter niet van zulk ‘welbewust onzorgvuldig’ handelen.

Column ingezonden door Menno Weij, SOLV.

Waarom de politieke vrees voor de Patriot Act ongegrond is.

Recent was er weer politieke ophef over de Amerikaanse Patriot Act en het, als gevolg van die Act, door de Amerikaanse overheid – beweerdelijk! – kunnen graaien naar data en persoonsgegevens van Nederlanders.

Ditmaal ontstond de ophef in het kader van eID, de nieuwe elektronische identiteitskaart die DigiD moet gaan opvolgen. De Tweede Kamer had tijdens een debat over eID aan Minister Plasterk gevraagd te onderzoeken of de Rijksoverheid Amerikaanse bedrijven mag uitsluiten van aanbestedingen. Met name D66 wees er in dat verband op dat er geen privégegevens van Nederlanders zouden mogen weglekken naar de Verenigde Staten.

Tijdens het debat werd (weer) duidelijk: politiek Den Haag vreest de Patriot Act, want die zou opsporingsdiensten carte blanche geven om vrijelijk naar u en mijn data te graaien. Minister Plasterk vroeg de landsadvocaat vervolgens om een spoedadvies, namelijk mag de Staat bij een Europese aanbestedingsprocedure een bedrijf uitsluiten om de enkele reden dat het een Amerikaanse onderneming betreft.

Het antwoord van de landsadvocaat (brief van 15 april jl.) laat zich natuurlijk raden. Nee, de Staat kan een bedrijf niet zomaar uitsluiten om de enkele reden dat het een Amerikaan is. Belangrijkste argumenten daarvoor zijn dat Nederland en de VS beide (i) lid zijn van de Wereldhandelsorganisatie (WTO), en (ii) partij zijn bij de WTO-overeenkomst inzake overheidsovereenkomsten (de zogenaamde Agreement on Government Procurement (“GPA”)).

De GPA stelt met zoveel woorden dat alle bij de overeenkomst betrokken landen, op dezelfde wijze deel dienen kunnen te nemen aan aanbestedingen wanneer de desbetreffende aanbesteding onder de reikwijdte van de GPA valt (voor de liefhebber: zie in dat verband overweging 7 bij Richtlijn 2004/18/EG). De landsadvocaat geeft daarbij aan dat de GPA niet alleen geldt voor zuiver Amerikaanse bedrijven, maar ook voor Europese bedrijven met een Amerikaanse aandeelhouder. Kortom, een Amerikaanse (dochter-)onderneming moet dus op gelijke voet worden behandeld.

Er is overigens meer aan te voeren tegen het uitsluiten van Amerikaanse bedrijven bij aanbestedingen. In mijn optiek zou het algemene non-discriminatieverbod eraan in de weg kunnen staan. Ook maakt Nederland gebruik van het zogenaamde gesloten stelsel van uitsluitingsgronden, en dit stelsel laat zich hiermee ook niet al te gemakkelijk verenigen. De Staat mag trouwens wel typisch “Nederlandse” eisen stellen aan de aanbesteding van eID, zoals de eis van Nederlandstalige gebruiksdocumentatie en de eis dat de helpdesk de Nederlandse taal spreekt.

Het is mij onduidelijk waar de politieke vrees voor de Patriot Act en het fenomeen datagraaien vandaan komt in het licht van eID. Toegegeven, de precieze reikwijdte van de Patriot Act is nog niet geheel duidelijk (zie daarvoor ook mijn vorige column), maar er moet wel iets serieus aan de hand zijn wil de Amerikaanse overheid gegevens kunnen opvragen onder de Patriot Act. Het beeld dat er maar vrijelijk in gegevens kan worden gesnuffeld door Amerikaanse opsporingsinstanties, is dus onjuist.(En laten we niet vergeten dat Nederland op dit punt ook een flinke reputatie heeft opgebouwd, onder andere als koploper heimelijk aftappen.)

Bovendien, bij louter de ontwikkeling van het eID-systeem, speelt het probleem überhaupt niet. Gedurende de ontwikkeling worden er nog helemaal geen privégegevens verwerkt in eID; hooguit testdata. Het is dus wellicht de moeite waard voor de Staat om de mogelijkheid te onderzoeken om het project op te splitsen in de ontwikkeling en levering van het systeem enerzijds, en operationeel beheer, onderhoud en ondersteuning anderzijds (en ja, ik weet dat intellectuele eigendomsrechten daarbij een rol spelen).

Tenslotte kennen Nederland en Europa hun eigen privacy regime. Ook de Staat dient zich natuurlijk aan de regels omtrent verwerking van persoonsgegevens te houden. In zijn algemeenheid is er altijd de toets ‘wie verwerkt de persoonsgegevens, voor welke doeleinden en hoe lang worden gegevens bewaard’, en bovendien gelden er bijzondere, strenge regels voor de zogenaamde doorgifte van persoonsgegevens buiten Europa. De landsadvocaat lijkt hierop ook te zinspelen in zijn advies: “daarmee zeggen wij nog niets over de eventuele mogelijkheden (…) om te bereiken dat gecontracteerd wordt met een partij die de nationale en Europese privacyregels zal kunnen naleven”, maar haast zich eraan toe te voegen dat het “de rechter zal zijn die toetst of een gekozen maatregel juridisch toelaatbaar is.”

Het laatste woord over eID, privacy, datagraaien en de Patriot Act is ongetwijfeld nog niet gezegd, maar ik hoop wel dat de discussie in de juiste context zal worden gevoerd. Met name dat de politiek haar angst voor de Patriot Act en datagraaien door de Amerikaanse overheid laat varen, en kritisch kijkt naar onze eigen privacy regels.

Deze column is eerder gepubliceerd in AG.

In de Sky Lounge van Double Tree by Hilton, Amsterdam, donderdag 16 mei van 13.00 tot 17.30 uur.

Het nieuwe mediarecht omvat een breed scala aan civielrechtelijke en regulatoire vraagstukken rondom de distributie en inhoud van mediadiensten, van lasterlijke perspublicaties en bronbescherming tot toezicht op videowebsites en toegang tot elektronische programmagidsen. De snelheid van de rechtsontwikkeling in het mediarecht wordt in vergaande mate bepaald door de digitalisering: nieuwe technologieën en veranderende kijkersbehoeften leiden tot een veelheid aan nieuwe diensten, exploitatiemodellen en bijbehorende juridische vragen.

Op donderdag 16 mei van 13.00 – 17.30 organiseert eduLex, onderdeel van deLex, een congresmiddag in Double Tree by Hilton te Amsterdam. Tijdens deze bijeenkomst maken vier ervaren sprekers u wegwijs in het nieuwe mediarecht anno 2013, waarbij thematische verdieping wordt gecombineerd met een overzicht van de belangrijkste recente ontwikkelingen. Hier aanmelden

Wouter Hins zal spreken over de gevoelige verhouding tussen persvrijheid en nationale veiligheid. Aan de orde komen het verbod om staatsgeheimen te publiceren, methoden van nieuwsgaring, klokkenluiders, journalistieke bronbescherming en openbaarheid van bestuur.

Remy Chavannes bespreekt verschillende juridische aspecten van internettelevisie (IPTV), met de nadruk op auteursrecht, mediarecht en privacyrecht. Aan de orde komen o.a.:
- Jurisdictie van mediatoezichthouders over grensoverschrijdende IPTV-diensten: wie gaat waar over en hoe kunnen de betrokken aanbieders dat beïnvloeden?
- Het regelen van individuele en collectieve rechten voor IPTV-diensten: wie moet bij wie zijn en waarvoor?
- Registratie en exploitatie van kijkgegevens: tot waar en niet verder en wat als je meer wil?

Robert van den Broek bespreekt de actualiteiten op het gebied van de regelgeving voor omroepen. Zo komen de beleidsregels publieke media-instellingen aan bod, de (nieuwe) beleidsregels van reclame- en sponsoring commerciële media-instellingen en de actualiteiten met betrekking tot nevenactiviteiten. Tevens zal hij de ontwikkelingen op het gebied van het reclame- en dienstbaarheidsverbod voor de publieke omroep behandelen.

Jens van den Brink zal zowel de Nederlandse als Europese jurisprudentie bespreken. Hij zal zich concentreren op de volgende onderwerpen: Actualiteiten (on)rechtmatige publicaties – Wat mogen media wel en niet? Welke tendens is er te ontdekken in de laatste jurisprudentie over onderwerpen als wederhoor? Het portretrecht, onderzoeks- en undercoverjournalistiek, consumentenprogramma’s, overvaltechnieken en online uitingen.

Programma
12.00 – 13.00 uur Ontvangst met lunch, intekenen
13.00 – 14.00 uur prof. Wouter Hins - IViR en Universiteit Leiden
14.00 – 15.00 uur Remy Chavannes - Brinkhof
15.00 – 15.30 uur Pauze
15.30 – 16.30 uur Robert van den Broek - Van Kaam advocaten
16.30 – 17.30 uur Jens van den Brink - Kennedy Van der Laan
vanaf 17.30 Netwerkborrel
19.00 uur Einde programma

Er zijn 4 PO-punten toegekend door de Orde van Advocaten

Plaats
Double Tree by Hilton
Amsterdam, Centraal Station
Uw route plannen: hier
Parkeersuggestie: Oosterdok parking

Kosten deelname
€ 495,00 Per persoon
€ 450,00 Sponsors IE-Forum, en
€ 195,00 Rechterlijke macht/wetenschappelijk personeel (full time)
Genoemde prijzen zijn incl. lunch, koffie, thee, documentatie en borrel, excl. BTW.
Kortingen kunt u via de vernieuwde webshop zelf aangeven.

Hier aanmelden