Uit't persbericht: Mylex lanceert ‘CookieLaw’, een Europese mobiele applicatie voor iOS (iPhone) en Android. De app is gericht naar agencies, webontwikkelaars, webwinkels en bedrijfsjuristen. Voor de Nederlandse markt werd beroep gedaan op de juridische expertise van ICTRecht.nl.

De nieuwe cookiewetgeving is ondertussen al even in het land. De Europese wetgeving werd op 5 juni omgezet via de Telecommunicatiewet (Wet van 19 oktober 1998 houdende regels inzake de telecommunicatie). Verwarring alom bij webwinkels, digitale agencies, webbedrijven en bedrijfsjuristen. Hoe de ‘cookiewet’ precies moet worden toegepast, lijkt niemand echt goed te weten. En hoe springt de online consument om met de cookie-­‐ informatie?

‘Cookies’ zijn kleine tekstbestanden die lokaal worden opgeslagen op de computer van de bezoeker. Ze worden gebruikt voor tal van doeleinden: het onthouden van instellingen (zoals bijvoorbeeld een taalkeuze), het vergaren van informatie, en het bezoekgedrag van de consument bijhouden (tracking cookies). Minder tevreden over dergelijke cookies was de Europese Unie, die al in 2009 besliste dat ‘toestemming’ een cruciale factor moest worden in de privacybescherming van de consument.

Laat dat begrip ‘toestemming’ nu net het grote struikelblok vormen. De Europese e-­‐Privacy Directive – niet meteen het beste voorbeeld van een duidelijke juridische tekst – laat de invulling over aan de lidstaten zelf. En net precies die vrijheid leidt tot tal van praktische-­‐ en interpretatieproblemen, overal in Europa. Neelie Kroes, Eurocommissaris, zette al eerder vraagtekens bij dit fenomeen. In een interview stelt ze: "Mijn ideaal is natuurlijk dat we in alle 27 lidstaten dezelfde interpretatie hebben van een voorstel. Ik kan niet uitleggen aan buitenlandse, potentieel geïnteresseerden in Europa dat je in het ene land anders behandeld wordt dan in het andere land".

“Nochtans is dit vandaag weldegelijk het geval”, stelt Ellen Bruwiere, marketing manager bij mylex. “Bij de creatie van de applicatie zagen we grote verschillen tussen de Europese lidstaten, maar evengoed tal van subtiele afwijkingen in interpretatie. Die interpretatieverschillen mogen dan juridisch als subtiel worden uitgelegd, in de praktijk leveren ze voor cross-­‐border handel grote moeilijkheden op.”

‘CookieLaw’, de mobiele applicatie, gidst de gebruiker door de verschillende Europese lidstaten, en geeft zowel een snel overzicht weer (“Quick overview”), als telkens de volledige wettekst (“Legal text”). Ook officiële ‘Cookie Guidances’ en video’s werden opgenomen in de applicatie.

De applicatie is Engelstalig, en is duidelijk geschikt voor een Europees nichepubliek. Maar weet de consument het eigenlijk wel? Onderzoek bij Nederlandse consumenten, uitgevoerd door GFK Retail, toont aan dat 63% van de consumenten weet wat een cookie is (of denkt te weten), 56% voor wat een cookie dient en 47% weet hoe de cookies te verwijderen.

Minder goed nieuws bij ‘third party’-­‐cookies. Daar weet 61% (en 74% van de vrouwen tegenover 48% mannen) niet wat dit inhoudt. Op de vraag of ze het bezwaarlijk vinden dat er gegevens worden bewaard via cookies, antwoordt 82% volmondig ja. Afsluitend: 90% van de respondenten geeft aan geïnformeerd te willen worden over cookies die een website of webshop bezoekt (BRON: Consumentenonderzoek Cookies, uitgevoerd door GfK Retail in opdracht van IMNetworks, https://spijkermat.nl/wp-­‐ content/uploads/SPKRMT_IMNetworks_cookies.jpg). Werk aan de winkel dus.

Waarom dit bundelen in een mobiele applicatie? “Er zijn tal van voordelen verbonden aan een mobiele applicatie, versus de klassieke website”, vervolgt Bruwiere. Het belangrijkste argument, naast de onmiddellijke beschikbaarheid van de informatie en de interactiviteit die alleen een applicatie kan bieden, is echter de ‘push’-­‐functie. Gebruikers worden immers automatisch en real-­‐ time op de hoogte gehouden: lidstaten die de Europese wetgeving omzetten, een nieuwe interpretatie of cookie-­‐gids, of een wijziging van de huidige implementatiewijze. De applicatie kan onmiddellijk aangepast worden, middels een achterliggend CMS of content management system. Zo krijgt de gebruiker altijd de meest actuele stand, zonder dat hij hiervoor telkens een nieuwsbrief moet ontvangen, of een duur juridisch abonnement moet afsluiten”.

Voor de Nederlandse informatie werd beroep gedaan op de expertise van het bureau ICTRecht.nl, gespecialiseerd in internetrecht. Wouter Dammers voorzag zijn commentaar in de applicatie.

De applicatie is gratis, en te downloaden in de App Store (Apple) of Google Play (Android). De iPhone-­‐versie werd geoptimaliseerd voor iOS6 en iPhone 5. De versie voor Android-­‐toestellen wordt binnen enkele weken gefinaliseerd. Downloaden – of inschrijven voor de Android-­‐versie – kan via https://cookieapp.eu.

Rechtbank 's-Gravenhage 14 november 2012, LJN BY3967 (Oracle tegen Staat der Nederlanden)

De Staat heeft als aanbestedende dienst een ruime beleidsvrijheid om de inhoud van de opdracht (uitvraag) en de reikwijdte daarvan te bepalen. De Staat moet voorts als één aanbestedende dienst worden aangemerkt; de afzonderlijke ministeries zijn geen zelfstandige aanbestedende diensten, enkel omdat zij in de praktijk als zodanig opereren. Het feit dat de afzonderlijke ministeries FIN en VWS hebben aangehaakt aan het SAP-systeem van SZW en met de inkoop van het SAP-systeem een (voor hen) geheel nieuw financieel-administratief systeem hebben verworven, leidt op zichzelf niet tot een schending van de aanbestedingsregels. Niet is gebleken dat door het inhuren van ICT-personeel voor het uitvoeren van de in de uitvraag beschreven werkzaamheden– in technisch opzicht – een geheel nieuw ICT-systeem ontstaat. De Staat heeft zich voorts – terecht – beroepen op de in artikel 23 lid 11 van het Bao opgenomen rechtvaardigingsgrond (noemen van bepaald merk of fabrikaat).

4.1. Vooropgesteld moet worden dat de Staat als aanbestedende dienst een ruime beleidsvrijheid heeft om te bepalen wat de inhoud van de aan te besteden opdracht (lees: de uitvraag) en de reikwijdte daarvan zijn. In die zin dient de (burgerlijke) rechter zich terughoudend op te stellen, teneinde te voorkomen dat hij - als het gaat om de keuze van de overheidsinkoop - "op de stoel van de Staat gaat zitten". (...)

4.3. Bij de beoordeling staat voorts voorop dat de Staat als één aanbestedende dienst moet worden aangemerkt. Anders dan Oracle betoogt, zijn de afzonderlijk ministeries geen zelfstandige aanbestedende diensten, enkel omdat zij in de praktijk als zodanig opereren. De Staat heeft in dit verband toegelicht dat het begrip "zelfstandige eenheid" binnen één aanbestedende dienst alleen betekenis heeft voor de manier waarop de opdrachten worden geraamd: opdrachten binnen één aanbestedende dienst moeten in beginsel bij elkaar worden opgeteld. De rechtbank overweegt dat in de Algemene Richtlijn 2004/18/EG en artikel 1 aanhef en onder r van het Bao, slechts de Staat als aanbestedende dienst wordt aangemerkt, en niet de afzonderlijke ministeries die met de uitvoering van taken en het beleid van de Staat zijn belast. Oracle heeft geen verdere argumenten aangevoerd op grond waarvan in dit geval een dergelijk onderscheid wél zou moeten worden gemaakt.

Perceel 1
4.6. Kern van het geschil tussen partijen op dit punt betreft de vraag of (a) de desbetreffende "verbouw" van het bestaande SAP-systeem van SZW in feite (qua omvang en kosten) neerkomt op het bouwen van een geheel nieuw ICT-systeem, dat functioneel en non-discriminatoir - zonder het noemen van SAP-vereisten - had moeten worden aanbesteed (standpunt Oracle), of dat (b) het slechts gaat om het inhuren van ICT-personeel dat nodig is voor het verbouwen of aanpassen van het bestaande SAP-systeem van SZW, waarbij op grond van artikel 23 lid 11 van het Bao in de technische specificaties melding mocht worden gemaakt van het merk SAP (standpunt de Staat).

4.12. Oracle heeft zich nog op het standpunt gesteld dat de Staat in strijd heeft gehandeld met artikel 23 van het Bao door in het Beschrijvend Document de eis te stellen dat het beoogde ICT-personeel expertise moet hebben met SAP-software. De Staat heeft in dit verband aangevoerd dat in Perceel 1 geen producten zijn uitgevraagd, maar ICT-diensten, zodat in dat perceel geen sprake is van het opnemen van "technische specificaties". De Staat heeft zich voorts - terecht - beroepen op de in artikel 23 lid 11 van het Bao opgenomen rechtvaardigingsgrond, waarin - kortweg - is bepaald dat de aanbestedende dienst geen melding maakt van een bepaald fabrikaat of verwijzing naar een merk, waardoor bepaalde ondernemingen of bepaalde producten worden bevoordeeld of geëlimineerd, tenzij dit door het voorwerp van de overheidsopdracht gerechtvaardigd wordt. Oracle heeft niet weersproken dat de gevraagde ervaring relevant is voor het uitvoeren van de desbetreffende implementatiewerkzaamheden. Die expertise is immers onontbeerlijk voor de verbouwing van het op SAP-software gebaseerde SZW-systeem. De rechtbank constateert dat Oracle ook hier (opnieuw) slechts stelt dat de Staat het voorwerp van de 3F-aanbesteding functioneel had moeten beschrijven. Zoals gezegd, deelt de rechtbank dit standpunt niet.

Perceel 2
4.13. Hetzelfde geldt voor de in Perceel 2 uitgevraagde "Levering, onderhoud en support van SAP licenties". De objectieve rechtvaardiging van het vragen naar SAP-licenties vloeit voort uit de afhankelijkheid van de Staat van SAP als leverancier van Sap Business Suite. Door de ingebruikneming van het "verbouwde" systeem ontstaat de behoefte aan de levering, onderhoud en support van (uitsluitend) SAP-licenties, omdat andere (merk)licenties onverenigbaar zijn met het SAP-softwaresysteem.

HvJ EU 22 november 2012, zaak C-136/11 (Westbahn Management GmbH tegen ÖBB-Infrastruktur AG)

Verplichting van spoorweginfrastructuurbeheerder tot verstrekking aan spoorwegondernemingen van alle realtimegegevens betreffende treinverkeer, met name gegevens inzake eventuele vertragingen van aansluitende treindiensten:

1) Artikel 8, lid 2, juncto bijlage II, deel II, van verordening (EG) nr. 1371/2007 van het Europees Parlement en de Raad van 23 oktober 2007 betreffende de rechten en verplichtingen van reizigers in het treinverkeer, moet aldus worden uitgelegd dat de informatie over de belangrijkste aansluitende diensten, naast de normale vertrektijden, ook de vertragingen of het uitvallen van deze aansluitende treinen dient te omvatten, ongeacht de spoorwegonderneming die deze diensten verstrekt.

2) Artikel 8, lid 2, juncto bijlage II, deel II, van verordening nr. 1371/2007 en artikel 5 juncto bijlage II van richtlijn 2001/14/EG van het Europees Parlement en de Raad van 26 februari 2001 inzake de toewijzing van spoorweginfrastructuurcapaciteit en de heffing van rechten voor het gebruik van spoorweginfrastructuur alsmede inzake veiligheidscertificering, dienen aldus te worden uitgelegd dat de infrastructuurbeheerder de spoorwegondernemingen zonder discriminatie de realtimegegevens betreffende de treinen van andere spoorwegondernemingen ter beschikking moet stellen, wanneer het bij deze treinen gaat om de belangrijkste aansluitende diensten in de zin van bijlage II, deel II, van verordening nr. 1371/2007.

Vragen:

1) Dient artikel 8, lid 2, juncto bijlage II, deel II, van verordening [nr. 1371/2007] aldus te worden uitgelegd dat de informatie over de belangrijkste aansluitende diensten naast de in de dienstregeling vermelde vertrektijden ook de aankondiging van vertragingen en het uitvallen van die aansluitende treinen moet omvatten?

2) Indien de eerste vraag bevestigend wordt beantwoord:
Dient artikel 5 juncto bijlage II van richtlijn [2001/14], in het licht van artikel 8, lid 2, juncto bijlage II, deel II, van verordening nr. 1371/2007, aldus te worden uitgelegd dat de infrastructuurbeheerder verplicht is de spoorwegonderneming zonder discriminatie realtimegegevens over de treinen van andere spoorwegondernemingen ter beschikking te stellen, voor zover het bij deze treinen gaat om de belangrijkste aansluitende diensten in de zin van bijlage II, deel II, bij verordening nr. 1371/2007?

Vzr. Rechtbank Groningen 12 oktober 2012, LJN BY3312 (Scholten Awater tegen Rijksuniversiteit Groningen/Bossers&Cnossen)

Met samenvatting door Natalie Kolthof en Leyla Bozkurt, Ploum Lodder Princen.

Aanbestedingsrecht. Europese openbare aanbestedingsprocedure. Offerte met symbolische prijzen. Succesvol Grossmann-verweer.

De RUG heeft een Europese openbare aanbestedingsprocedure gehouden voor de levering van werkplekapparatuur en aanverwante dienstverlening. In het bestek en de nota van inlichtingen heeft zij uitdrukkelijk opgenomen dat reëel en transparant ingeschreven moet worden. Een prijs van nul euro, negatieve prijzen, maar ook symbolische prijzen voor de diverse onderdelen acht de RUG niet reëel en transparant. Scholten Awater heeft ingeschreven op de aanbesteding waarbij ze voor onderdeel G1.1 een opslagpercentage van 0,1% heeft geoffreerd en voor ieder afzonderlijk onderdeel van G1.2 een prijs van € 0,01. De RUG oordeelt dat Scholten Awater symbolisch heeft ingeschreven en sluit haar uit van verdere deelname aan de aanbestedingsprocedure.

Awater betwist dat zij symbolische prijzen heeft aangeboden en stelt dat RUG onvoldoende transparant is geweest in de aanbestedingsdocumenten, nu zij ook na een verzoek daartoe, het begrip “symbolische prijzen” niet nader heeft gedefinieerd. De RUG voert hiertoe aan dat Awater haar recht heeft verwerkt om zich alsnog op vermeende onregelmatigheden in de aanbestedingsprocedure te beroepen nu zij na de nota van inlichtingen geen bezwaar heeft gemaakt en een inschrijving heeft uitgebracht. De voorzieningenrechter volgt deze redenering:

4.4 Weliswaar is gebleken dat Scholten Awater een vraag (58) heeft gesteld omtrent de betekenis van 'symbolische prijs', doch waar voor Scholten Awater zich kennelijk - gelet ook op de in het onderhavige kort geding aan de orde gestelde punten - nog steeds onduidelijkheden voordeden, ondanks de door de RUG gegeven antwoorden, had het op de weg van Scholten Awater gelegen in een eerder stadium, te weten vóór de inschrijving, nadere actie te ondernemen. Scholten Awater heeft echter na de eerste nota van inlichtingen en vóór de inschrijving geen aanvullende vragen gesteld, geen nadere bezwaren aangevoerd en geen kort geding aanhangig gemaakt. Evenmin is gesteld of gebleken dat Scholten Awater haar inschrijving onder protest en/of voorbehoud heeft gedaan.

4.5 Indien over de betekenis van 'symbolische prijs' (nog) onduidelijkheid bestond voor Scholten Awater had het in het licht van het vorenoverwogene op haar weg gelegen vóór de inschrijving nadere actie te ondernemen.

4.6 Onder deze omstandigheden heeft Scholten Awater naar het oordeel van de voorzieningenrechter haar recht verwerkt om over de door haar aangevoerde punten ná inschrijving alsnog te klagen.

Ten overvloede, maar volledigheidshalve, merkt de rechter nog op dat Scholten Awater “gelet op het algemeen taalgebruik” een symbolische prijs heeft geoffreerd door in te schrijven met de laagst mogelijke prijs boven nul.

Tot slot gaat de rechter nog in op het verweer van Scholten Awater dat RUG op grond van artikel 56 BAO (abnormaal lage inschrijving) de plicht had om het een en ander te verifiëren bij Scholten Awater. Aangezien niet aan de orde is of Scholten Awater de opdracht zou uitvoeren voor het geoffreerde bedrag –dit zou zij doen gelet op de toelichting bij haar inschrijving– en dit juist de strekking is van artikel 56 BAO, oordeelt de recht dat dit verweer niet opgaat. De rechter wijst de vorderingen van Scholten Awater af.

Deze uitspraak bevestigt de trend die met de Grossmann-uitspraak is gestart: een inschrijver dient pro-actief te handelen in een zo vroeg mogelijk stadium van de aanbesteding en dient dit gedurende de procedure ook te blijven doen. Dit houdt in dat indien een marktpartij niet kan instemmen met bepaalde eisen in het bestek, zij hierover vragen dient te stellen voor de nota van inlichtingen. Indien de aanbestedende dienst in de nota van inlichtingen bij haar standpunt blijft, wordt van de marktpartij verwacht bezwaar te maken bij de aanbestedende dienst nog voordat zij een inschrijving uitbrengt. Dit bezwaar kan worden geuit door aanvullende vragen te stellen, nadere bezwaren aan te voeren of een kort geding aanhangig te maken. Indien zij dit niet doet, maar een inschrijving uitbrengt en na uitsluiting pas middels een kort geding bezwaar maakt, heeft zij haar recht verwerkt om op het betreffende geschilpunt een beroep te doen. Voor Scholten Awater is dit inmiddels een harde les geweest.

Tijdens het symposium "Auteursrechthandhaving op Internet" in Felix Meritis, Amsterdam is de Internet Scriptieprijs 2012 uitgereikt aan:

Emre Yildirim van de Universiteit van Amsterdam, hij schreef de scriptie Mobile privacy: is there an app for that? over privacy op mobiele devices en apps.

Daarnaast kwamen interessante sprekers aan het woord; Ot van Daalen (directeur Bits of Freedom), Joost Poort (senior economisch onderzoeker bij het Instituut voor Informatierecht, UvA) en Marietje Schaake (per video, Europarlementariër D66) en Okke Delfos Visser (deputy general counsel bij The Motion Picture Association of America).

Uit't persbericht van het CBP: Het College bescherming persoonsgegevens (CBP) heeft contact opgenomen met het Openbaar Ministerie (OM) naar aanleiding van berichtgeving in de media over het op internet plaatsen van beelden van getuigen van een misdrijf. Het OM heeft aangegeven in beginsel geen beelden van getuigen meer te publiceren. De Aanwijzing Opsporingsberichtgeving bevat regels voor de opsporingsberichtgeving van het OM. Het gaat daarbij primair om het opsporen van verdachten. Het publiceren van beelden van (toevallige) getuigen raakt aan hun persoonlijke levenssfeer terwijl zij op het plaatsen van de beelden geen invloed hebben. De risico’s en nadelen van publicatie kunnen voor de getuige buitengewoon groot zijn. Dit dient zeer zwaar te wegen bij de zorgvuldige afweging die moet plaatsvinden tussen het algemeen (opsporings)belang en het belang van de getuige.

SOLV-blog: Politie stopt met plaatsen foto's getuigen

Opinion of the European Data Protection Supervisor on the Commission's Communication on "Unleashing the potential of Cloud Computing in Europe".

121. As described in the Communication, cloud computing offers many new opportunities to businesses, consumers, and the public sector for the management of data through the use of remote external IT resources. At the same time, it presents many challenges in particular as to the appropriate level of data protection offered to data processed therein.

122. The use of cloud computing services raises a major risk of seeing responsibility evaporating in relation to processing operations carried out by cloud service providers, if the criteria for applicability of EU data protection law are not sufficiently clear and if the role and the responsibility of cloud service providers are defined or understood too narrowly, or are not implemented effectively. The EDPS emphasizes that the use of cloud computing services cannot justify a lowering of data protection standards as compared to those applicable to conventional data processing operations.

123. In this respect, the proposed Data Protection Regulation, as it has been put forward, would provide many clarifications and tools that would help ensure that a satisfactory level of data protection is complied with by cloud service providers offering their services to clients based in Europe, in particular:

- Article 3 would clarify the territorial scope of the EU data protection rules and broaden its scope so that cloud computing services would be covered;
- Article 4(5) would introduce a new element of controllership, that is "conditions". This would be in line with the developing trend according to which, in view of the technical IT complexity underlying the provision of cloud computing services, it is necessary to expand the circumstances in which a cloud service provider may be qualified as the controller. This would better reflect the real level of influence on the processing operations;
- the proposed Regulation would increase the responsibility and accountability of data controllers and processors, by introducing specific obligations such as data protection by design and by default (Article 23), data security breach notifications (Articles 31 and 32), and data protection impact assessments (Article 33). Furthermore, it would require controllers and processors to implement mechanisms to demonstrate the effectiveness of the data protection measures implemented (Article 22);
- Articles 42 and 43 of the proposed Regulation would allow a more flexible use of international data transfer mechanisms, to help cloud clients and cloud service providers adduce appropriate data protection safeguards for the
transfers of personal data to data centres or servers located in third countries;
- Articles 30, 31 and 32 of the proposed Regulation would clarify the obligations of controllers and processors regarding the security of processing and information requirements in case of data breaches, laying the basis for a comprehensive and cooperative approach to the management of security between the different actors in a cloud environment;
- Articles 55 to 63 of the proposed Regulation would reinforce cooperation of supervisory authorities and their coordinated supervision over cross-border processing operations, which is particular crucial in an environment such as cloud computing.

124. The EDPS nonetheless suggests that, after having taken into account the specificities of cloud computing services, further clarifications be made in the proposed Regulation on the following aspects:
- as concerns the territorial scope of the proposed Regulation, to amend Article 3(2)(a) to read "the offering of goods or services involving processing of personal data of such data subjects in the Union", or alternatively to add a new recital specifying that the processing of personal data of data subjects in the Union by non-EU based controllers offering services to EU based legal persons also falls within the territorial scope of the proposed Regulation;
- to add a clear definition of the notion of 'transfer', as stated in his Opinion on the Data Protection Reform package;
- to add a specific provision to clarify the conditions under which access to data stored in cloud computing services by non-EEA countries law enforcement bodies could be allowed. Such provision may also include the obligation for
the recipient of the request to inform and consult the competent supervisory authority in the EU in specific cases.

125. The EDPS also underlines that further guidance will be necessary from the Commission and/or from supervisory authorities (in particular through the future European Data Protection Board) on the following aspects:
- to clarify which mechanisms should be put in place to ensure verification of the effectiveness of the data protection measures in practice;
- to assist processors with the use of BCRs and how they can comply with applicable requirements;
- to provide best practices on issues such as controller/processor's responsibility, the appropriate retention of data in the cloud environment, data portability, and the exercise of data subjects' rights.

126. Furthermore, the EDPS acknowledges that codes of conduct drawn up by the industry and approved by the relevant supervisory authorities could be a useful tool to enhance compliance as well as trust among the various players.

127. The EDPS supports the development by the Commission, in consultation with supervisory authorities, of standard contractual terms for the provision of cloud computing services that respect data protection requirements, in particular:
- to develop model contractual terms and conditions to be included in the commercial terms of cloud computing service offerings;
- to develop common procurement terms and requirements for the public sector, taking into account the sensitivity of the data processed;
- to further tailor international data transfer mechanisms to the cloud computing environment, in particular by updating the current standard contractual clauses and by putting forward standard contractual clauses for the transfer of data from processors based in the EU to processors located outside the EU.

128. The EDPS underlines that appropriate consideration must be given to data protection requirements in the development of standards and certification schemes, in particular:
- to apply the principles of privacy by design and privacy by default in the development of the standards;
- to integrate data protection requirements such as purpose limitation and storage limitation in the standards' design;
- the obligations of providers to provide their clients with the information necessary to perform a valid risk assessment and the security measures they implemented, as well as alerts about security incidents.

129. Finally, the EDPS stresses the need to address the challenges raised by cloud computing at an international level. He encourages the Commission to engage in an international dialogue on the issues raised by cloud computing, including jurisdiction and access by law enforcement, and suggests that many of these issues could be addressed in different international or bilateral agreements, such as Mutual Assistance Agreements and also trade agreements. Global standards should be developed at international level to set forth minimum conditions and principles regarding the access to data by law enforcement bodies. He also supports the development by the supervisory authorities of effective international cooperation mechanisms, in particular as relates to cloud computing issues. 

HvJ EU 22 november 2012, Gevoegde zaken C-320/11, C-330/11, C-382/11 en C-383/11 (DIGITALNET, Tsifrova kompania, M SAT CABLE, DIGITALNET)

Prejudiciële vragen gesteld door Administrativen Sad Varna, Bulgarije.

Als randvermelding. Uitlegging van verordening (EEG) nr. 2658/87 van de Raad van 23 juli 1987 met betrekking tot de tarief en statistieknomenclatuur en het gemeenschappelijk douanetarief (...). Postonderverdeling nr. 8528 71 13 van de gecombineerde nomenclatuur (toestellen gestuurd door een microprocessor, uitgerust met een ingebouwde modem voor toegang tot het internet, een functie voor interactieve informatie-uitwisseling en de mogelijkheid tot ontvangst van televisiesignalen [„settopboxen met communicatiefunctie”]) of nr. 8521 90 00 (Andere video-opname en videoweergaveapparaten, ook indien met ingebouwde videotune) – Apparaat dat televisiesignalen kan ontvangen of als modem voor toegang tot het internet met de functie van interactieve informatie-uitwisseling kan dienen – Betekenis van de begrippen „internet”, „modem” en „modulatie en demodulatie” in de zin van de toelichtingen bij de gecombineerde nomenclatuur.

Het Hof verklaart voor recht:

1) De gecombineerde nomenclatuur die is opgenomen in bijlage I bij verordening (EEG) nr. 2658/87 van de Raad van 23 juli 1987 met betrekking tot de tarief- en statistieknomenclatuur en het gemeenschappelijk douanetarief, zoals gewijzigd bij verordeningen (EG) van de Commissie nr. 1214/2007 van 20 september 2007, nr. 1031/2008 van 19 september 2008 en nr. 948/2009 van 30 september 2009, moet aldus worden uitgelegd dat een modem voor toegang tot het internet in het kader van de indeling van een goed onder postonderverdeling 8528 71 13 moet worden begrepen als een toestel dat alleen en zonder gebruikmaking van een ander toestel of mechanisme toegang tot het internet kan verschaffen en interactiviteit en tweerichtingscommunicatie tot stand kan brengen. Enkel de geschiktheid van het toestel om toegang tot het internet te verschaffen en niet de daartoe aangewende techniek is relevant voor de indeling onder die postonderverdeling.

2) Deze gecombineerde nomenclatuur moet aldus worden uitgelegd dat de ontvangst van televisiesignalen en de aanwezigheid van een modem die toegang tot het internet mogelijk maakt twee gelijkwaardige functies zijn waarover de toestellen moeten beschikken om onder postonderverdeling 8528 71 13 te worden ingedeeld. Indien één van deze functies ontbreekt, moeten de toestellen worden ingedeeld onder postonderverdeling 8528 71 19.

3) Artikel 78, lid 2, van verordening (EEG) nr. 2913/92 van de Raad van 12 oktober 1992 tot vaststelling van het communautair douanewetboek, moet aldus worden uitgelegd dat de douaneautoriteiten de controle achteraf van de goederen en de daaruit voortvloeiende wijziging van de tariefindeling ervan op basis van geschreven stukken kunnen verrichten, zonder dat zij de goederen aan een fysieke controle hoeven te onderwerpen.

Gestelde vragen:

1) Wat moet worden verstaan onder ‚internet’ in de zin van de toelichtingen op de [GN] wanneer het de indeling van een goed onder [...] code 8528 71 13 betreft (eerste vraag in de zaken C‑320/11, C‑330/11 en C‑382/11)?

2) Wat moet worden verstaan onder ‚modem’ in de zin van de toelichtingen op de [GN] wanneer het de indeling van een goed onder [...] code 8528 71 13 betreft (tweede vraag in de zaken C‑320/11, C‑330/11 en C‑382/11)?

3) Wat moet worden verstaan onder ‚modulatie’ en ‚demodulatie’ in de zin van de toelichtingen op de [GN] wanneer het de indeling van een goed onder [...] code 8528 71 13 betreft (derde vraag in de zaken C‑320/11, C‑330/11 en C‑382/11)?

4) Hoe moeten de bewoordingen ‚modem’ en ‚toegang tot het internet’ als bedoeld in [GN]-postonderverdeling 8528 71 13 en in de toelichtingen erop worden uitgelegd (eerste vraag in zaak C‑383/11)?

5) Op grond van welke hoofdfunctie dient het als settopbox [...] benoemde toestel voor het douanetarief te worden ingedeeld: de ontvangst van televisiesignalen dan wel het gebruik van een modem die een interactieve informatie-uitwisseling mogelijk maakt met het oog op toegang tot het internet (vierde vraag in de zaken C‑320/11, C‑330/11 en C‑382/11 en tweede vraag in zaak C‑383/11)?

6) Indien de hoofdfunctie van het als settopbox [...] benoemde toestel bestaat in het gebruik van een modem die een interactieve informatie-uitwisseling mogelijk maakt met het oog op toegang tot het internet, zijn het type modulatie en demodulatie dat het modem teweegbrengt of het type modem dat wordt gebruikt dan relevant voor de tariefindeling, of is het voldoende dat het modem toegang tot het internet mogelijk maakt (vijfde vraag in de zaken C‑320/11, C‑330/11 en C‑382/11, en derde vraag in zaak C‑383/11)?

7) Onder welke post en onder welke code moet een toestel worden ingedeeld dat beantwoordt aan de omschrijving van set[topbox] (zesde vraag in de zaken C‑320/11 en C‑330/11, zevende vraag in zaak C‑382/11 en vijfde vraag in zaak C‑383/11)?

8) Indien een settopbox [als die in de hoofdgedingen] is ingedeeld onder [GN]-postonderverdeling [...] 8521 90 00, is de heffing van een positief bedrag aan douanerechten volgens het gemeenschapsrecht dan onrechtmatig wegens schending van de krachtens de [ITA] op de [Europese] Gemeenschap rustende verplichtingen, of leidt de indeling onder post 8521 tot de conclusie dat een settopbox [als die in de hoofdgedingen] buiten de werkingssfeer van de betrokken bepalingen van de [ITA] valt (zevende vraag in de zaken C‑320/11 en C‑330/11 en achtste vraag in zaak C‑382/11)?

9) Is het geoorloofd dat de douaneautoriteiten de tariefindeling van een bepaald goed wijzigen zonder het ingevoerde goed fysiek te controleren, en dat bij de opmaak van het deskundigenverslag uitsluitend rekening wordt gehouden met schriftelijke bewijzen, te weten de gebruikershandleiding, de technische kenmerken en het onderzoek van een toestel van dezelfde producent dat hetzelfde nummer draagt maar afkomstig is uit een andere partij ingevoerde goederen (zesde vraag in zaak C‑382/11 en vierde vraag in zaak C‑383/11)?”

HvJ EU 21 november 2012, zaak C-119/12 (Probst)

Prejudiciële vragen gesteld door Bundesgerichtshof, Duitsland.

Eerder IT 774. Uitlegging van artikel 6, leden 2 en 5, van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (PB L 201, blz. 37) – Doorzending van verkeersgegevens betreffende abonnees en gebruikers, die verwerkt en opgeslagen worden door de aanbieder van een openbaarcommunicatienetwerk – Nationale regeling die toestaat dat dergelijke gegevens worden doorgezonden aan de cessionaris van een vordering ter zake van de vergoeding voor telecommunicatiediensten, waarbij tegelijkertijd contractbepalingen zijn overeengekomen die de vertrouwelijke behandeling van de doorgezonden gegevens waarborgen, evenals de mogelijkheid voor de andere contractpartij om de eerbiediging van de bescherming van deze gegevens te controleren.

Antwoord:

Artikel 6, leden 2 en 5, van richtlijn 2002/58/EG (...) betreffende privacy en elektronische communicatie), moet aldus worden uitgelegd dat een aanbieder van openbare communicatienetwerken en openbaar beschikbare elektronische-communicatiediensten verkeersgegevens mag doorzenden aan de cessionaris van zijn vorderingen betreffende verstrekking van telecommunicatiediensten met het oog op de inning daarvan, en dat die cessionaris die gegevens mag verwerken op voorwaarde dat hij, in de eerste plaats, handelt onder het gezag van de dienstenaanbieder voor de verwerking van die gegevens en, in de tweede plaats, enkel de verkeersgegevens verwerkt die noodzakelijk zijn voor de inning van de gecedeerde vorderingen.

Ongeacht de kwalificatie van de cessieovereenkomst wordt de cessionaris geacht te handelen onder het gezag van de dienstenaanbieder in de zin van artikel 6, lid 5, van richtlijn 2002/58, wanneer hij voor de verwerking van verkeersgegevens handelt in uitsluitende opdracht en onder toezicht van die aanbieder. In het bijzonder moet hun overeenkomst bepalingen bevatten die de wettige verwerking van de verkeersgegevens door de cessionaris waarborgen en de dienstenaanbieder de mogelijkheid bieden zich op elk ogenblik ervan te vergewissen dat de betrokken cessionaris die bepalingen naleeft.

De verwijzende Duitse rechter stelt het Hof van Justitie van de Europese Unie de volgende prejudiciële vraag:

“Staat artikel 6 van richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (Pb L 201, blz. 37) toe dat door een aanbieder van diensten aan de cessionaris van een vordering ter zake van vergoedingen voor telecommunicatiediensten verkeersgegevens worden doorgezonden, wanneer voor de cessie ten behoeve van de inning van openstaande vorderingen ter zake van door de bank geweigerde betalingen, naast de algemene verplichting met betrekking tot het communicatiegeheim en de gegevensbescherming krachtens de desbetreffende wettelijke regeling, de volgende contractvoorwaarden gelden:

- De aanbieder van de diensten en de cessionaris verplichten zich ertoe de beschermde gegevens slechts in het kader van hun samenwerking en uitsluitend voor de aan de overeenkomst ten grondslag liggende doelstelling en op de telkens aangegeven wijze te verwerken en te gebruiken;

- zodra de kennisneming van de beschermde gegevens niet langer voor het bereiken van deze doelstelling noodzakelijk is, moeten alle in dit verband beschikbare beschermde gegevens onherroepelijk wordt gewist of worden teruggegeven;

- de contractpartijen hebben het recht om de naleving van de gegevens-bescherming en de beveiliging van de gegevens bij de andere contractpartij in de zin van deze overeenkomst te controleren; de toevertrouwde vertrouwelijke stukken en informatie mogen slechts toegankelijk worden gemaakt voor de medewerkers die deze voor de nakoming van de overeenkomst nodig hebben;

- de contractpartijen zullen deze medewerker conform deze overeenkomst tot geheimhouding verplichten; op verzoek, doch uiterlijk bij de beëindiging van de samenwerking tussen de contractpartijen moeten alle in dit verband beschikbare vertrouwelijke gegevens onherroepelijk worden gewist of aan de andere contractpartij worden teruggegeven?”

Walking a Thin Line: The Regulation of EPGs, B. van der Sloot, JIPITEC, 2012-2, p. 138-147.

Due Prominence in Electronic Programme Guides, B. van der Sloot, IRIS Plus, 2012-5.

Google's Dead End, or: on Street View and the Right to Data Protection: An analysis of Google Street View's compatibility with EU data protection law, B. van der Sloot & F. Zuiderveen Borgesius, Computer Law Review International, 2012-4, p. 103-109.

From Data Minimization to Data Minimummization, B. van der Sloot, in: B. Custers, T. Calders, B. Schermer & T. Zarsky (eds.), Discrimination and Privacy in the Information Society. Data Mining and Profiling in Large Databases, Springer: Heidelberg 2012, p. 273-287. ISBN: 9783642304866.