​Persbericht van het College Bescherming Persoonsgegevens 28 januari 2013

Uit 't persbericht: Het College bescherming persoonsgegevens (CBP) heeft vandaag samen met de Canadese privacytoezichthouder (Office of the Privacy Commissioner [OPC]) het rapport met de bevindingen gepubliceerd van het gezamenlijke onderzoek naar de verwerking van persoonsgegevens door WhatsApp, de ontwikkelaar van de populaire mobiele app whatsapp.  Na aanvang van het onderzoek constateerden de privacytoezichthouders verschillende overtredingen van de privacywetten. WhatsApp heeft enkele daarvan inmiddels beëindigd en stappen ondernomen om de app uit privacy-oogpunt beter te beveiligen. Een aantal overtredingen duurt op dit moment nog voort.

Het is de eerste keer dat twee nationale privacytoezichthouders van beide zijden van de oceaan gezamenlijk onderzoek doen naar de naleving van privacywetgeving door een in de Verenigde Staten gevestigd bedrijf met wereldwijd honderden miljoenen klanten. Het is een mijlpaal binnen de mondiale privacybescherming. “Wij zijn heel trots dat wij dit belangrijke moment markeren samen met onze Nederlandse counterparts, vooral in het licht van de in toenemende mate online en mobiele wereld die geen grenzen kent”, aldus Jennifer Stoddart, voorzitter van de Canadese privacytoezichthouder. “Ons onderzoek heeft ertoe geleid dat WhatsApp verbeteringen heeft aangebracht en toegezegd heeft verdere veranderingen te zullen doorvoeren die leiden tot een betere bescherming van persoonsgegevens van hun klanten.”

De voorzitter van het CBP, Jacob Kohnstamm, voegt daaraan toe: “Maar we zijn er nog niet. Het onderzoek wijst uit dat gebruikers van WhatsApp – behalve iPhone-bezitters met besturingssysteem iOS 6 – verplicht zijn toegang te geven tot hun volledige elektronische adresboek. Hierin staan ook telefoonnummers van contacten die de app niet gebruiken. Dit is in strijd met Canadees en Nederlands privacyrecht. Zowel gebruikers als niet-gebruikers van de app moeten zeggenschap hebben over hun eigen persoonsgegevens. Dat betekent in ieder geval dat gebruikers van de app vrijelijk moeten kunnen beslissen welke contactgegevens zij willen delen met WhatsApp.”

Op andere blogs:
SOLV (Whatsapp schendt privacy)

M.G. Schrijvers, Tweedehands digitale muziek. Oracle/UsedSoft: Koninginnedag op internet?, d.d. 29 januari 2013.

Een bijdrage van Marlous Schrijvers, NautaDutilh.

Met een verwijzing naar IE-Forum: IEF 11877 (Anke Verhoeven, Maakt het doorverkopen van muziekbestanden inbreuk op auteursrechten?) en Oracle/UsedSoft, IEF 11521.

In de (digitale) nieuwsmedia is recentelijk aangekondigd dat ReDigi, een Amerikaanse resale site voor gebruikte (i.e. eerder aangeschafte) digitale muziekbestanden (te vinden op https://www.redigi.com), zich aan het voorbereiden is op de lancering van haar service in Europa. De gedachte achter deze marktplaats voor gebruikte digitale liedjes is de volgende:

"[M]ost lawful users of music and books have hundreds of dollars of lawfully obtained things on their computers and right now the value of that is zero dollars." (quote van ReDigi's CEO op Techdirt)

(...) De prijs voor een liedje op ReDigi is naar verluidt gemiddeld twee-derde minder dan voor een liedje op iTunes moet worden betaald. De bedoeling van ReDigi is om naast tweedehands muziekbestanden onder meer ook gebruikte e-books aan te gaan bieden.

(...) Zit ReDigi in Europa dan wel veilig? Er valt op zich wel wat voor te zeggen natuurlijk, dat men in staat zou moeten zijn om zijn (rechtmatig verkregen) tracks die allang niet meer worden beluisterd tegen een vergoeding van de hand te kunnen doen. Tweedehands CD's kan men immers ook gewoon kwijt (bv. via Bol.com of andere kanalen). Maar werkt het (juridisch gezien) wel net zo met digitale muziekbestanden als met muziek die op een tastbare gegevensdrager, zoals een CD, is aangekocht? Sommige auteurs lijken van mening dat het antwoord hierop positief is, onder meer vanwege het (redelijk) recente arrest Oracle/Usedsoft van het Hof van Justitie (nr. C128/11 van 3 juli 2012). Ik heb daar echter mijn twijfels bij die ik in deze bijdrage uiteen zal zetten.

Rechtzaak in Amerika
Oracle/Usedsoft
Deur op een kier?
Praktisch
Conclusie

[bijdrage is ingekort, lees de gehele bijdrage hier]

Kortom, genoeg stof tot nadenken. Mijn eerste inschatting is dat ReDigi zich niet zo comfortabel kan voelen als sommige andere juristen wel menen. In een steeds wijzigend downloadlandschap met een bijbehorende andere kijk op (de exploitatie van) auteursrechten in het algemeen, en digitale muziek, films en e-books in het bijzonder is het laatste woord hier vast nog niet over gezegd. Wellicht is het mededelingsrecht zoals verwoord in de Auteursrechtrichtlijn wel enigszins achterhaald daar waar het dit specifieke geval betreft? Wie zal het zeggen. Wat mij betreft is het zeker de moeite waard om deze ontwikkeling nauwlettend te volgen, al is het maar omdat ik nog steeds de hoop koester ooit nog iemand blij te kunnen maken met diverse MB's aan (rechtmatig verkregen) jeugdherinneringen op een digitale Koninginnedag (of vanaf 2014, Koningsdag)…

Today, January 28, is Data Privacy Day, when the world recognizes the importance of preserving your online privacy and security.

If it’s like most other days, Google—like many companies that provide online services to users—will receive dozens of letters, faxes and emails from government agencies and courts around the world requesting access to our users’ private account information. Typically this happens in connection with government investigations.

It’s important for law enforcement agencies to pursue illegal activity and keep the public safe. We’re a law-abiding company, and we don’t want our services to be used in harmful ways. But it’s just as important that laws protect you against overly broad requests for your personal information.

To strike this balance, we’re focused on three initiatives that I’d like to share, so you know what Google is doing to protect your privacy and security.

Lees het gehele artikel hier: Googleblog.blogspot.nl

Hof 's-Hertogenbosch 22 januari 2013, LJN BY9487 (Decon Systems B.V. tegen GSD Software)

Fatale termijn volgt niet uit de aard van de overeenkomst tussen partijen. Verzuim opdrachtnemer bij het ontwikkelen van een computerprogramma?

Decon, producent van o.a. beveiligings- en parkeerautomaten, heeft aan GSD Software, opdracht gegeven tot het ontwikkelen van een computerprogramma, door partijen aangeduid als het ERP-systeem. Kernpunt van het geschil tussen partijen is dat zij het oneens zijn over de inhoud van de tussen hen gesloten overeenkomst en – in samenhang hiermee – over de vraag of GSD Software al dan niet is tekort geschoten in de nakoming van zijn verplichtingen uit deze overeenkomst.

Voor zover Decon heeft gesteld dat de fatale termijn volgt uit de aard van de tussen partijen gesloten overeenkomst, wordt ook die stelling als onvoldoende onderbouwd verworpen. Er zijn door haar geen feiten of omstandigheden aangevoerd die tot de conclusie zouden kunnen leiden dat het voor de bedrijfsvoering van Decon of anderszins noodzakelijk was dat het ERP-systeem uiterlijk op 1 januari 2009 beschikbaar was en dat [geintimeerde] dat heeft moeten begrijpen. 

Decon stelt subsidiair dat geïntimeerde in verzuim is geraakt doordat hij is tekortgeschoten in zijn verplichting om (zijn aandeel in) het ERP-systeem op te leveren en dat hij door Decon op dit punt in gebreke is gesteld, namelijk bij e-mail van 19 januari 2009. Echter de e-mail kan niet als een deugdelijke inbrekestelling worden aangemerkt. Decon stelt meer subsidiair dat het beroep van geïntimeerde op het ontbreken van een ingebrekestelling in strijd met de redelijkheid en billijkheid is, dat wordt ook afgewezen.

Het hof verklaart Decon niet-ontvankelijk in haar hoger beroep tegen het tussenvonnis van 9 juni 2010 en bekrachtigt het eindvonnis waarvan beroep van 9 maart 2011.

4.7. Decon stelt dat partijen voor het beschikbaar komen van het ERP-systeem een fatale termijn, namelijk uiterlijk 1 januari 2009, zijn overeengekomen. [geintimeerde] betwist dit.

Decon verwijst ter onderbouwing van haar stelling naar de gespreksverslagen die zijn gemaakt van de besprekingen tussen partijen op 6 augustus 2008 en 1 september 2008 (productie 3 bij de inleidende dagvaarding) en naar de e-mailwisseling tussen partijen op 2 september 2008 (productie 4 bij de inleidende dagvaarding). Die gespreksverslagen bevatten echter slechts in algemene zin informatie over het doel van de (voorgenomen) samenwerking tussen partijen en in de e-mails van 2 september 2008 staan slechts afspraken over de financiële vergoeding aan [geintimeerde]. Weliswaar zijn die financiële afspraken beperkt tot de periode september t/m december 2008, maar naar het oordeel van het hof valt nóch aan de inhoud van deze e-mails, nóch aan de voornoemde gespreksverslagen redelijkerwijs een aanknopingspunt te ontlenen voor de stelling van Decon dat het ERP-systeem uiterlijk 1 januari 2009 beschikbaar diende te zijn. (...)

4.8. Voor zover Decon bedoeld heeft te stellen dat de fatale termijn volgt uit de aard van de tussen partijen gesloten overeenkomst, wordt ook die stelling als onvoldoende onderbouwd verworpen; er zijn door haar geen feiten of omstandigheden aangevoerd die tot de conclusie zouden kunnen leiden dat het voor de bedrijfsvoering van Decon of anderszins noodzakelijk was dat het ERP-systeem uiterlijk op 1 januari 2009 beschikbaar was en dat [geintimeerde] dat heeft moeten begrijpen.

4.10 Decon stelt subsidiair dat [geintimeerde] in verzuim is geraakt doordat hij is tekortgeschoten in zijn verplichting om (zijn aandeel in) het ERP-systeem op te leveren en dat hij door Decon op dit punt in gebreke is gesteld, namelijk bij e-mail van 19 januari 2009 (productie 10 CvA), inhoudende: “Zoals vrijdag besproken, hebben wij geen enkele afspraak van je zien nakomen. Wij vinden het niet meer dan redelijk dat je levert wat je afspreekt. Daarnaast zeg je te communiceren en vooraf vast te leggen wat je aan werkzaamheden verricht. Nog het eerste nog het tweede zien we van je en wachten daarom op een produkt of wij verwachten dat je de reeds uitgevoerde betalingen retourneert. Gaarne een constructieve reactie.”.

Dit subsidiaire standpunt van Decon kan alleen al niet worden aanvaard omdat de e-mail van 19 januari 2009 niet als een deugdelijke ingebrekestelling kan worden aangemerkt. Ingevolge artikel 6:82 BW dient een ingebrekestelling een omschrijving te bevatten van de prestatie die van de schuldenaar wordt verlangd en een redelijke termijn waarbinnen de schuldenaar zijn verplichting alsnog dient na te komen, alsmede een aansprakelijkstelling voor het geval nakoming binnen de gestelde termijn achterwege blijft. Genoemde e-mail van 19 januari 2009 waarnaar Decon verwijst voldoet aan geen van deze vereisten.

4.11. Meer subsidiair stelt Decon zich op het standpunt dat het beroep van [geintimeerde] op het ontbreken van een ingebrekestelling in strijd met de redelijkheid en billijkheid is.

Hieromtrent overweegt het hof dat onder omstandigheden op grond van de redelijkheid en billijkheid een ingebrekestelling achterwege kan blijven en de schuldenaar in verzuim is zonder ingebrekestelling (vergelijk HR 28 november 2003, NJ 2004, 237) maar naar het oordeel van het hof doen zich in de onderhavige zaak geen feiten of omstandigheden voor die verzuim zonder ingebrekestelling rechtvaardigen. De e-mailwisseling die in november 2008 tussen partijen heeft plaatsgevonden waaruit blijkt dat Decon ontevreden was over de prestaties van [geintimeerde] acht het hof in dit verband ontoereikend.

Evenmin is gebleken van feiten of omstandigheden die het beroep van [geintimeerde] op het ontbreken van een ingebrekestelling naar maatstaven van redelijkheid en billijkheid onaanvaardbaar doen zijn.

Nieuwsbericht Ministerie van Financiën dat doet denken aan IT 960 (Rb Haarlem, een iPad is een computer).

De Belastingdienst heeft het afgelopen jaar een deel van zijn medewerkers voorzien van een iPad voor hun werkzaamheden.

iPads zijn een goed middel om goedkoper en effectiever te kunnen werken. Met behulp van iPads wordt de papierstroom teruggedrongen en wordt plaats- en tijdonafhankelijk werken veel beter mogelijk. Niet alleen op de kantoren, maar bijvoorbeeld ook buiten de deur. Bijvoorbeeld de buitencontrole en de invordering door deurwaarders. Het inzetten van iPads werpt hier vruchten af.

Naast het zakelijke gebruik kan de iPad ook voor privédoeleinden worden gebruikt. Net zoals voor iedere andere werkgever heeft dat ook voor de Belastingdienst als werkgever fiscale consequenties. Het ministerie van Financiën, waar de Belastingdienst onderdeel van is, past sinds 2012 de werkkostenregeling toe. Door deze regeling kan een werkgever maximaal 1,4% (2012) van de totale loonsom (de 'vrije ruimte') besteden aan vergoedingen en verstrekkingen voor werknemers. Als die vrije ruimte overschreden wordt is de werkgever het wettelijke eindheffingstarief aan loonheffing verschuldigd. Onder deze verstrekkingen vallen dus ook de als belast loon ter beschikking gestelde iPads.

HvJ EU 24 januari 2013, gevoegde zaken C-186/11 en C-209/11 (Stanleybet e.a. tegen OPAP) - dossier - persbericht

Zie eerder de conclusie A-G IT 873. Nationale regeling die uitsluitend recht voor uitwerking, beheer, organisatie en exploitatie van kansspelen verleent aan een enkele onderneming met rechtsvorm van beursgenoteerde naamloze vennootschap. Reclame voor kansspelen en uitbreiding in andere lidstaten van Europese Unie.

Het Hof (Vierde kamer) verklaart voor recht:

1) De artikelen 43 EG en 49 EG moeten aldus worden uitgelegd dat zij zich verzetten tegen een nationale regeling zoals die in het hoofdgeding, die het uitsluitende recht om kansspelen uit te werken, te beheren, te organiseren en te exploiteren aan een enkele instelling verleent, enerzijds, wanneer die regeling niet daadwerkelijk ertoe strekt de gelegenheden tot spelen te verminderen en de activiteiten op dit gebied op samenhangende en stelselmatige wijze te beperken en, anderzijds, wanneer een strikt toezicht door de publieke autoriteiten op de expansie van de kansspelsector, voor zover deze noodzakelijk is voor de bestrijding van aan die spelen verbonden criminaliteit, niet wordt gewaarborgd. Het staat aan de verwijzende rechter na te gaan of dit het geval is.

2) Indien de nationale regeling inzake de organisatie van kansspelen onverenigbaar is met de Verdragsbepalingen over de vrijheid van dienstverrichting en de vrijheid van vestiging, mogen de nationale autoriteiten zich tijdens een overgangsperiode niet onthouden van de behandeling van vergunningaanvragen in de kansspelsector zoals die welke aan de orde zijn in het hoofdgeding.

3) In omstandigheden zoals die in het hoofdgeding mogen de bevoegde nationale autoriteiten de vergunningaanvragen voor de organisatie van kansspelen die bij hen worden ingediend, beoordelen op grond van het niveau van bescherming van de consument en van de maatschappelijke orde dat zij willen waarborgen, maar moeten zij dat doen aan de hand van objectieve en niet-discriminerende criteria.

Vragen:

1. Is een nationale regeling waarbij, met het doel het aanbod van kansspelen te beperken, het uitsluitende recht tot de uitvoering, het beheer, de organisatie en de exploitatie van kansspelen wordt verleend aan een enkele onderneming, die de vorm heeft van een ter beurze genoteerde naamloze vennootschap, verenigbaar met de artikelen 43 en 49 EG, wanneer deze onderneming bovendien reclame maakt voor de door haar georganiseerde kansspelen, haar activiteiten uitbreidt naar het buitenland, de spelers onbelemmerd deelnemen en de maximaal toegestane inzet en winst zijn bepaald per deelnameformulier en niet per speler?

2. Zo neen, is een nationale regeling die als zodanig gericht is op de bestrijding van criminaliteit door de uitoefening van controle op de in de betrokken sector actieve ondernemingen om te verzekeren dat de betrokken activiteiten enkel worden uitgeoefend binnen aan deze controle onderworpen circuits, en daartoe het uitsluitende recht tot de uitvoering, het beheer, de organisatie en de exploitatie van kansspelen verleent aan een enkele onderneming, ook dan verenigbaar met de artikelen 43 en 49 EG wanneer deze verlening een ongebreidelde uitbreiding van het aanbod daarvan tot gevolg heeft? Of dient, teneinde de betrokken beperking als ter verwezenlijking van het doel van bestrijding van de criminaliteit geschikt te kunnen beschouwen, de uitbreiding van het aanbod in ieder geval gecontroleerd te zijn, zodat zij binnen de grenzen blijft van hetgeen ter bereiking van dat doel noodzakelijk is? Indien de uitbreiding van het aanbod hoe dan ook gecontroleerd dient te worden, kan dan van een gecontroleerde uitbreiding worden gesproken wanneer een uitsluitend recht in de betrokken sector wordt verleend aan een lichaam met de in de eerste prejudiciële vraag vermelde kenmerken? En tenslotte, indien de verlening van genoemd uitsluitend recht geacht wordt te leiden tot een gecontroleerde uitbreiding van het kansspelaanbod, gaat de verlening ervan aan een enkele onderneming dan verder dan noodzakelijk is, in die zin dat hetzelfde doel eveneens op vruchtbare wijze kan worden gediend door de verlening van dat recht aan meer dan één onderneming?

3. Indien het antwoord op de twee voorgaande prejudiciële vragen zou luiden dat de onderhavige litigieuze nationale bepalingen inzake de verlening van een uitsluitend recht op de uitvoering, het beheer, de organisatie en de exploitatie van kansspelen niet verenigbaar is met de artikelen 43 en 49 EG: a) is het dan in het licht van de genoemde bepalingen van het Verdrag aanvaardbaar dat de nationale autoriteiten gedurende een overgangsperiode die noodzakelijk is om met het Verdrag verenigbare regels vast te stellen, niet beslissen op aanvragen voor de uitoefening van de activiteiten in kwestie die worden ingediend door rechtmatig in andere lidstaten gevestigde personen? b) Zo ja, op grond van welke criteria wordt dan de duur van deze overgangsperiode vastgesteld? c) Indien geen overgangsperiode is toegestaan, op grond van welke criteria moeten de desbetreffende aanvragen dan door de nationale autoriteiten worden beoordeeld?

Vzr. Rechtbank Amsterdam 4 december 2012, LJN BY9149 (M tegen H)

Sociale media-profielen. Onrechtmatige publicaties. Lijfsdwang toegepast in civielrechtelijke verhouding.

M. vordert dat de voorzieningenrechter H verbiedt om voor een periode van één jaar gebruiker/beheerder van een social media profiel te zijn en dat dit vonnis in de plaats zal treden van alle handelingen van H die noodzakelijk zijn voor het doen verwijderen van al zijn social media profielen, waaronder die op Hyves en Facebook. Ook vordert M het gevorderde middels lijfsdwang ten uitvoer te leggen en H te gijzelen totdat de teksten en afbeeldingen op de profielen zijn verwijderd.

H heeft zich niet gehouden aan een eerder vonnis van 2 augustus 2012 (LJN BY9146) op grond waarvan hij de onrechtmatige teksten diende te verwijderen. Ook in deze teksten wordt M in verband gebracht met prostitutie, pedofilie, seksueel misbruik en kindermisbruik. De teksten zijn onrechtmatig, maar de veroordeling wordt niet opgevolgd, zelfs niet onder last van een dwangsom. Na overweging wijst de voorzieningenrechter lijfsdwang toe van ten hoogste drie dagen bij iedere overtreding van het verbod en gebiedt H om zijn sociale mediaprofielen op Hyves, Facebook en blogspot verwijderen en verbiedt H om voor één jaar de beheerder/gebruiker van een sociaal mediaprofiel te zijn.

4.4. (...) Lijfsdwang betekent beneming van de persoonlijke vrijheid van H en mag ingevolge artikel 587 Rv slechts worden toegepast indien aannemelijk is dat de toepassing van een ander dwangmiddel onvoldoende uitkomst biedt en het belang van M toepassing van lijfsdwang rechtvaardigt. Nu is gebleken dat bij het vonnis (...) opgelegde dwangsom niet voldoende effect sorteert, is lijfsdwang op zijn plaats. Nu lijfsdwang als uiterst en zeer ingrijpend dwangmiddel moet worden beschouwd, zal de toepassing daarvan worden beperkt tot een periode van, bij iedere overtreding, ten hoogste drie dagen.

4.5. Ter zake van het verweer van H. dat de gevorderde veroordelingen buitenproportioneel zijn overweegt de voorzieningenrechter dat H niet heeft onderbouwd waarom dit het geval zou zijn. H heeft volstaan met de enkele mededeling dat de gevorderde veroordelingen buitenproportioneel zijn, zonder daarvoor redenen aan te voeren.

Hof Amsterdam 8 januari 2013, LJN BY8738 (Sywan Solutions B.V. tegen DM Consultants B.V.)

Non-concurrentiebeding. Verwachting van overeenkomst.

Sywan Solutions is een dienstverlener op het gebied van informatietechnologie en communicatie. DM Consultants houdt zich onder meer bezig met advieswerkzaamheden op het gebied van ICT. Partijen hebben een “Basisovereenkomst betreffende de inzet van DM-Consultants B.V. medewerkers” (verder ook: de basisovereenkomst) gesloten. Het incidenteel hoger beroep richt zich voornamelijk tegen het oordeel van de rechtbank in het tussenvonnis dat het non-concurrentiebeding van toepassing is. Met het oog op de uitleg van artikel 10.1 van de basisovereenkomst, waarin het non-concurrentiebeding is vervat, moet worden gekeken naar de zin die partijen in de gegeven omstandigheden over en weer redelijkerwijs aan deze bepaling mochten toekennen en hetgeen zij redelijkerwijs van elkaar mochten verwachten.

In artikel 10.1 van de basisovereenkomst wordt verwezen naar “de overeenkomstig artikel 3 gespecificeerde werkzaamheden” en naar “de in artikel 3.9 genoemde opdrachtgever”. Tegen deze achtergrond heeft Sywan onvoldoende concrete feiten en omstandigheden gesteld die zouden kunnen leiden tot het oordeel dat DM consultants wist of behoorde te begrijpen dat het de bedoeling van Sywan was dat, ondanks het feit dat ten aanzien van hem geen deelovereenkomst was gesloten, het verbod van art. 10.1 ten aanzien van [ A ] zou gelden, of op welke werkzaamheden het verbod betrekking had. De enkele (door Sywan gestelde) omstandigheden dat het DM Consultants ten tijde van het sluiten van de basisovereenkomst bekend was dat [ A ] via Sywan aan Getronics werd uitgeleend, is daartoe onvoldoende.

De conclusie is dat de rechtbank ten onrechte heeft geoordeeld dat artikel 10.1 in deze zaak toepasselijk is. De vordering van Sywan, die strekt tot betaling van contractuele boetes en niet tot schadevergoeding wegens een door DM Consultants begane onrechtmatige daad, stuit af. Sywan zal, als de in het ongelijk gestelde partij, worden verwezen in de kosten van het principaal hoger beroep. Tot een kostenveroordeling in het incidenteel hoger beroep bestaat geen aanleiding. Het hof bekrachtigt het bestreden eindvonnis.

3.4. In artikel 10.1 van de basisovereenkomst wordt verwezen naar “de overeenkomstig artikel 3 gespecificeerde werkzaamheden” en naar “de in artikel 3.9 genoemde opdrachtgever”. Omdat vaststaat dat met betrekking tot [ A ] geen deelovereenkomst als bedoeld in artikel 3 van de basisovereenkomst is gesloten, is deze verwijzing voor wat betreft [ A ] zinledig. Tegen deze achtergrond heeft Sywan, mede in aanmerking genomen dat op overtreding van artikel 10.1 een (forse) boete is gesteld en [ A ] ten tijde van het sluiten van de basisovereenkomst nog niet bij DM Consultants in dienst was, onvoldoende concrete feiten en omstandigheden gesteld die zouden kunnen leiden tot het oordeel i) dat DM consultants wist of behoorde te begrijpen dat het de bedoelingvan Sywan was dat ondanks het feit dat ten aanzien van hem geen deelovereenkomst was gesloten het verbod van art. 10.1 ten aanzien van [ A ] zou gelden, indien deze bij DM Consultants in dienst zou treden en ii) dat het DM Consultants bovendien duidelijk was althans behoorde te zijn op welke werkzaamheden van [ A ] het in artikel 10.1 bedoelde verbod betrekking had. De enkele (door Sywan gestelde) omstandigheden dat het DM Consultants ten tijde van het sluiten van de basisovereenkomst bekend was dat [ A ]via Sywan aan Getronics werd uitgeleend, is daartoe onvoldoende. De conclusie is dan ook dat de rechtbank ten onrechte heeft geoordeeld dat artikel 10.1 in deze zaak toepasselijk is. De onderhavige grieven zijn gegrond.

3.5. Op het voorgaande stuit de vordering van Sywan – die strekt tot betaling van contractuele boetes en niet tot schadevergoeding wegens een door DM Consultants begane onrechtmatige daad - al af, reden waarom het eindvonnis, wat er zij van de motivering daarvan, moet worden bekrachtigden alle overige grieven geen bespreking meer behoeven. Bij deze stand van zaken heeft DM Consultants geen belang bij vernietiging van het tussenvonnis, hoewel de daarbij gegeven bewijsopdracht achterwege had moeten blijven. Tot een bekrachtiging van dat vonnis bestaat echter evenmin aanleiding. Het bewijsaanbod van Sywan wordt als niet ter zake dienend verworpen. Sywan zal, als de in het ongelijk gestelde partij, worden verwezen in de kosten van het principaal hoger beroep. Tot een kostenveroordeling in het (onnodige maar om begrijpelijke redenen ingestelde) incidenteel hoger beroep bestaat, gelet op de vaste jurisprudentie van de Hoge Raad in dit soort gevallen, geen aanleiding.

Een commentaar in't kort van Polo van der Putt, Vondst Advocaten.

Opvraging en hergebruik (uploads), databankenrecht en IPR. Alweer enige tijd terug wees het Europese Hof arrest in de Dataco-zaak (IT 1012), waar IT en Recht, toen de zaak alleen nog maar in Engeland speelde, al eerder over berichtte (IT 161). De zaak gaat om de vraag waar websites geacht moeten worden hun content aan te bieden. Het Hof neemt als uitgangspunt dat websites hun informatie verstrekken in het land van de bezoekers van de website. Websites kunnen daarom al snel geacht worden binnen de rechtssfeer te vallen van een andere lidstaat.

Het Hof gaat er van uit dat een website “actief” is, zij het getrapt. Allereerst neemt het Hof als uitgangspunt dat een website waar informatie wordt opgevraagd deze informatie verzendt:

21. Onder dat begrip valt de handeling die, zoals in het hoofdgeding, erin bestaat dat een persoon gegevens die eerder uit een door het recht sui generis beschermde databank zijn opgevraagd, via zijn webserver naar de computer van een andere persoon op diens verzoek verzendt. Door een dergelijke verzending worden deze gegevens immers beschikbaar gesteld aan een lid van het publiek.

In het verleden werd door juristen wel betoogd dat websites passief zijn, slechts informatie beschikbaar stellen en het de bezoeker is die de informatie “haalt”, maar die argumentatie lijkt niet langer meer te handhaven. Is een website dan actief in alle landen waar zij kan worden opgeroepen? Dat zou de logische consequentie zijn van de stellingname van het Hof. Zo ver wil het Hof echter niet gaan (alles in de sleutel van het databankenrecht):

35 Daarnaast moet echter ook rekening worden gehouden met de omstandigheid dat een dergelijke beschikbaarstelling aan het publiek in beginsel is te onderscheiden van traditionele wijzen van verspreiding doordat de content van een website altijd en overal toegankelijk is, aangezien deze content door een onbepaald aantal internetgebruikers overal ter wereld onmiddellijk kan worden geraadpleegd, ongeacht of de exploitant van die website de bedoeling heeft dat deze buiten zijn lidstaat van vestiging beschikbaar is en zonder dat hij daar invloed op heeft (zie in die zin arresten van 7 december 2010, Pammer en Hotel Alpenhof, C 585/08 en C 144/09, Jurispr. blz. I 12527, punt 68, en 25 oktober 2011, eDate Advertising en Martinez, C 509/09 en C 161/10, nog niet gepubliceerd in de Jurisprudentie, punt 45).

36 Het volstaat dus niet dat de website met de betrokken gegevens vanaf een bepaald nationaal grondgebied toegankelijk is om te concluderen dat sprake is van hergebruik, door de exploitant van die website, dat onder het aldaar geldende nationale recht inzake bescherming door het recht sui generis valt (zie naar analogie arrest Pammer en Hotel Alpenhof, reeds aangehaald, punt 69, en 12 juli 2011, L’Oréal e.a., C 324/09, nog niet gepubliceerd in de Jurisprudentie, punt 64).

37 Indien reeds uit die toegankelijkheid zou kunnen worden afgeleid dat sprake is van hergebruik, zouden websites en gegevens die, hoewel zij klaarblijkelijk voor buiten de betrokken lidstaat gevestigde personen bestemd zijn, technisch gezien vanaf het grondgebied van die lidstaat toegankelijk zijn, immers ten onrechte aan het aldaar ter zake geldende recht worden onderworpen (zie naar analogie arrest L’Oréal e.a., reeds aangehaald, punt 64).

Een website is dus wel overal actief waar haar bezoekers zich bevinden, maar of het aanbieden van de website gelijkgesteld kan worden met handelen in een specifieke lidstaat, hangt af van de vraag of de website zich op die specifieke lidstaat richt. Een redenering waarvoor je toch aardig wat rubber in je rug moet hebben.

Om te beoordelen of een website zich richt op een specifieke lidstaat, kunnen vele factoren een rol spelen (r.o. 39 :” Of hergebruik plaatsvindt op het grondgebied van de lidstaat waarnaar de betrokken gegevens worden verzonden, is afhankelijk van het bestaan van aanwijzingen dat uit de handeling blijkt dat degene die deze verricht zich op personen op dat grondgebied wil richten”). Feiten die op gerichtheid kunnen wijzen zijn de inhoud van de website (heeft die betrekking op de specifieke lidstaat), contracten met gebruikers van de website in die specifieke lidstaat en de taal van de informatie (zie nummers 40-42). Van gerichtheid kan dus al snel sprake zijn.

Het ‘klassieke internet’ lijkt hiermee weer een stukje verder te worden afgebroken. Dit arrest past ook in de trend om het plaatsen van hyperlinks, alhoewel geen auteursrechtinbreuk, toch onrechtmatig te achten (zie bijv. IT 1004). Het aanbieden van websites wordt hierdoor steeds riskanter.

Polo van der Putt

N. van Duuren en A. Ekker, '5 aandachtspunten bij bouw patiëntportaal' in Automatiseringsgids, januari 2013, p. 24-25.

Een bijdrage van Natascha van Duuren, De Clercq en Anton Ekker, eHealth Law.

Bij de implementatie van patiëntportalen komt heel wat kijken. Er moet worden voldaan aan verschillende wetten en normen. De interpretatie van dit alles roept veel vragen op. Natascha van Duuren en Anton Ekker zetten de juridische aandachtspunten op een rij. Vijf belangrijke adviezen.

De laatste jaren worden steeds meer patiëntportalen op de markt gebracht. Volgens een rapport van het Nationaal ICT Instituut in de Zorg (Nictiz) en de Nederlandse Patiënten Consumenten Federatie (NPCF) waren eind 2010 al ruim veertig patiëntportalen in de lucht. Naar verwachting zal dit aantal de komende jaren snel toenemen.

Een patiëntportaal is een online toegangspoort die de patiënt regie geeft bij het vergaren en delen van medische gegevens en overige informatie over zijn gezondheid. De aard en de opzet van deze portalen is divers. De meeste portalen bieden naast inzage in informatie over de gezondheid aanvullende functionaliteiten aan, zoals een patiëntenforum, het invoeren van zelfmetingen of alerts bij een afspraak of uitslag.

Bij de implementatie van een patiëntportaal dient rekening te worden gehouden met een complex juridisch kader. Zo dient in ieder geval te worden voldaan aan de wet op de geneeskundige behandelingsovereenkomst (WGBO) en de wet bescherming persoonsgegevens (Wbp). Indien gebruik wordt gemaakt van het BSN geldt ook de wet gebruik burgerservicenummer in de zorg (Wgbsn-z).

Daarnaast zijn er verschillende beroepsnormen en zogenaamde NEN-normen van toepassing. In de praktijk blijkt de interpretatie van dit geheel aan deels overlappende wetten en normen, veel vragen op te roepen. Vijf belangrijke adviezen.

1. Bepaal duidelijk wie de verantwoordelijke is
2. Garandeer patiëntenrechten
3. Zorg voor beveiligde toegang
4. Wees voorbereid op datalekken
5. Houd rekening met komende regelgeving

1. Bepaal duidelijk wie de verantwoordelijke is
Een van de eerste aandachtspunten betreft vaak de vraag welke partij of partijen optreden als ‘verantwoordelijke’ in de zin van de wet bescherming persoonsgegevens. De verantwoordelijke is degene die het doel en de middelen van de gegevensverwerking bepaalt. In veel gevallen worden bij de gegevensverwerking daarnaast derde partijen ingeschakeld die onder het gezag van de verantwoordelijke handelen. Het kan gaan om bijvoorbeeld een IT-leverancier of een hostingpartij. De verantwoordelijke is verplicht om met een dergelijke ‘bewerker’ contractuele afspraken te
maken, onder andere over informatiebeveiliging.

Aangezien bij een patiëntportaal vaak meerdere partijen betrokken zijn, is niet altijd duidelijk wie voor een specifieke verwerking de verantwoordelijke is. Voor het voldoen aan de Wbp en voor het uitoefenen van patiëntenrechten
is het echter wel van essentieel belang de verschillende rollen vast te stellen en deze contractueel vast te leggen.

2. Garandeer patiëntenrechten
De gebruiker van een patiëntportaal heeft verschillende rechten met betrekking tot de verwerking van zijn gegevens. Zo dient de verantwoordelijke de gebruiker vooraf te informeren over het doel van het portaal en wie daarvoor verantwoordelijk is. Daarnaast is de uitdrukkelijke toestemming van de gebruiker vereist voor de verwerking van diens
patiëntgegevens. Bovendien dient de gebruiker er op te worden gewezen dat hij bezwaar kan maken tegen de verwerking van zijn gegevens en dat hij zijn toestemming op elk moment kan intrekken (en op welke wijze). Dit volgt uit zowel de Wbp als de Wgbo. Vereist is dat deze toestemming ‘uitdrukkelijk’ is gegeven. Op degene die patiëntgegevens verwerkt rust
een dubbele bewijslast: in de eerste plaats moet bij twijfel bewezen kunnen worden dat een bepaalde toestemming is verleend en waarvoor. Daarnaast zal zo nodig bewezen moeten worden dat de toestemming aan de gestelde
eisen voldoet. Het gevolg van het niet voldoen aan dit vereiste is verstrekkend: als de toestemming niet aan bovenstaande vereisten voldoet, is zij nietig en kan de informatie van de desbetreffende gebruiker dus niet via het
portaal worden verwerkt.

3. Zorg voor beveiligde toegang
Op grond van de wet bescherming persoonsgegevens (Wbp) dient de verantwoordelijke ‘passende technische en organisatorische maatregelen’ te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige
vorm van onrechtmatige verwerking. Een van die passende technische en organisatorische maatregelen is identificatie en authenticatie. Gegarandeerd dient te worden dat veilige toegang wordt geboden, middels identificatie en authenticatie (‘zeggen wie je bent’ en ‘bewijzen dat je bent wie je zegt dat je bent’). Er is momenteel nog veel onduidelijkheid over
de vraag hoe deze veilige toegang kan worden gegarandeerd. De eerste vraag die daarbij dient te worden gesteld is: welke soort informatie of diensten worden via het portaal ontsloten en welk veiligheidsniveau is daarbij vereist?
Authenticatie (‘bewijzen dat je bent wie je zegt dat je bent’) wordt op dit moment op verschillende manieren geregeld (zie kader). Voor identificatie kan gebruik worden gemaakt van het burgerservicenummer (BSN). Het gebruik van het BSN is echter uitsluitend voorbehouden aan zorgaanbieders.

4. Wees voorbereid op datalekken
De Nederlandse overheid en de Europese Commissie dienden onlangs voorstellen in voor een wettelijke meldplicht bij datalekken. Het Nederlandse wetsvoorstel zal naar verwachting als eerste in werking treden en introduceert de plicht voor bedrijven en overheden om een datalek zo snel mogelijk te melden bij het College Bescherming Persoonsgegevens.
Als een datalek niet wordt gemeld, kan het CBP de desbetreffende verantwoordelijke een boete opleggen van maximaal
200.000 euro.

Wanneer een datalek zich voordoet bij een patiëntenportaal zal de verantwoordelijke verschillende stappen moeten zetten om aan zijn wettelijke verplichtingen te voldoen. Het is daarom belangrijk om na te denken over een heldere interne procedure. Hierin kan onder andere worden geregeld wie er intern op de hoogte moet worden gesteld en hoe wordt bepaald of er een melding moet worden gedaan. Daarnaast moeten zo snel mogelijk maatregelen worden getroffen om de negatieve gevolgen van de inbreuk te beperken. Ten slotte moeten de betrokkenen snel en adequaat worden geïnformeerd. Ook voor IT-leveranciers van patiëntportalen brengt de meldplicht vergaande verplichtingen met zich mee. Zij zijn verplicht de zorgverlener of zorginstelling actief bij te staan en te waarschuwen als zij een inbreuk vaststellen.

5. Houd rekening met komende regelgeving
Er is een nieuwe Europese Privacyverordening op komst waarin strengere regels zijn opgenomen. Zo moeten betrokkenen een kopie van hun opgeslagen persoonsgegevens kunnen krijgen om deze gegevens over te kunnen dragen aan een ander (recht van gegevensoverdraagbaarheid). Bovendien krijgen betrokkenen ‘het recht om vergeten te worden’. Verantwoordelijken zullen op verzoek van betrokkenen onmiddellijk actie dienen te ondernemen om alle persoonsgegevens van betrokkenen te verwijderen. Zij moeten er daarbij voor zorgen dat ook derde partijen aan wie zij de gegevens hebben verstrekt, deze gegevens verwijderen. Deze regels leggen strenge eisen op aan de (technische) werking en inrichting van patiëntportalen. Het is de vraag of de huidige patiëntportalen, technisch gezien, al aan deze eisen kunnen voldoen. Door in een vroeg stadium rekening te houden met de genoemde aandachtspunten worden de rollen en verantwoordelijkheden van de verschillende betrokken partijen duidelijker. Daarnaast wordt de kans verkleind dat de rechten van de patiënt worden geschonden. Hiermee worden ook de aansprakelijkheidsrisico’s beperkt.