HR 20 januari 2012, LJN BU3162 (Agfa/Foto Noort)

Als onderdeel van veel IT-dienstcontracten worden leasecontracten gesloten. De IT-dienstverlener levert dan de IT-diensten, een dochterondernemer of bank least de betrokken hardware aan de klant. Een scherpe IT-jurist koppelt deze contracten natuurlijk al aan elkaar. Als de dienstverlening faalt, moet de klant ook van de lease af kunnen. Daar zul je doorgaans een apart artikel voor moeten opnemen in het leasecontract, want standaard zul je ze niet aantreffen. De HR komt de klant die niet zo'n bepaling heeft bedongen te hulp.

Met dank aan Polo van der Putt, Vondst Advocaten. 

In onderhavige zaak ging het om een filmlaboratorium terzake waarvan Agfa Europe diensten zou verrichten aan de klant (de hoofdovereenkomst, een huurkoopovereenkomst). Samenhangend met deze overeenkomst sloot de klant een leaseovereenkomst met Agfa Finance. De feiten in deze zaak zijn voor het overige erg specifiek. De algemene rechtsregel die de HR geeft, lijkt echter generiek toe te passen:

"In cassatie is niet bestreden dat AgfaPhoto Netherlands is tekortgeschoten in de nakoming van haar verplichtingen uit de huurkoopovereenkomst jegens Foto Noort c.s. en dat die tekortkoming zo ernstig is dat zij ontbinding van deze overeenkomst kan rechtvaardigen (zie de onbestreden rov. 4.5.1-4.5.5). Het oordeel van het hof moet aldus worden verstaan dat, gelet op de nauwe feitelijk-economische samenhang tussen de huurkoopovereenkomst en de financieringsovereenkomst, de tekortkoming in de huurkoopovereenkomst naar redelijkheid en billijkheid de door Foto Noort c.s. gevorderde ontbinding van de financieringsovereenkomst rechtvaardigt". [r.o. 3.5.3.]

Deze rechtsregel komt mij alleszins redelijk voor. Een leaseovereenkomst die samen met een hoofdovereenkomst wordt gesloten, zal ontbonden mogen worden als de hoofdovereenkomst ontbonden kan worden.

Op andere blogs:
Dirkzwagerieit (Hoge Raad: wanprestatie bij it-overeenkomst leidt ook tot ontbinding samenhangende financieringsovereenkomst)

Link
De Vereniging voor Media- en Communicatierecht (VMC) en de Vereniging voor Auteursrecht (VVA) organiseren een gezamenlijke studiemiddag over de Brein/Ziggo-zaak en het Europese perspectief zoals dat gevormd wordt door onder meer de uitspraak van het Europese Hof van Justitie in Scarlet/Sabam. Vooraanstaande sprekers (prof. mr. Egbert. Dommering, prof. mr. Arno Lodder en prof. mr. Dirk Visser) verzorgen inleidingen, die gevolgd worden door een discussie

Inschrijven: studiemiddag@mediaforum.nl
Waar Het Trippenhuis, Kloveniersburgwal 29, 1011 JV Amsterdam
Wanneer woensdag 22 februari 2012
Prijs Toegang is voor leden gratis. Niet-leden betalen Euro 20,=.
Bijlage: pdf

Programma
14.00-14.30 uur inloop (koffie/thee)
14.30-14.50 uur Prof. mr. Egbert Dommering
14.50-15.10 uur Prof. mr. Arno Lodder
15.20-15.40 uur Prof. mr. Dirk Visser
15.40-16.00 uur Pauze
16.00-17.15 uur debat
17.15 borrel

HR 20 januari 2012, LJN BT7496

Veel IT-leveranciers bedienen zich van onderaannemers, bijvoorbeeld voor hosting. Als die onderaannemer te kort schiet, heeft de klant twee routes om schade te verhalen. Het meest voor de hand ligt het aanspreken van de hoofdaannemer. Daarnaast kan het handelen van de onderaannemer jegens de klant onrechtmatig zijn. Is dat het geval, dan kan de klant de onderaannemer rechtstreeks aanspreken. In de praktijk wordt die route bij mijn weten niet of nauwelijks gevolgd. De HR lijkt de deur naar de onderaannemer echter open te zetten.

Met dank aan Polo van der Putt, Vondst Advocaten. 

De onderhavige zaal betreft aanneming van werk. Onderwerp van geschil betreft de bouw van een dak, uit te voeren door de onderaannemer. De onderaannemer levert geen goed werk. De HR (r.o. 3.2.1):

"Het dak lekte, de leien verschilden van kleur, de leien waren niet naar behoren gelegd, de leien vervormden althans waren krom, een folie onder de leien ontbrak en de dakgoten lekten. In opdracht van [eiser] heeft ir. F.A. van de Kant het dak onderzocht. In zijn rapport van 2 juli 2005 heeft Van de Kant de klachten van [eiser] onderschreven. Volgens het rapport heeft [verweerder] bovendien ernstig gefaald in het bevorderen van het herstel van het dak."

Op het oog een huis-tuin-en-keuken tekortkoming, zoals er zo velen zijn. Ieder IT-project van enige omvang heeft er wel een paar van. Ik teken wel aan dat hier sprake was van de verzwarende omstandigheid dat de onderaannemer ernstig gefaald heeft bij het bevorderen van het herstel. De HR oordeelt eerst in het algemeen over het rekening houden met belangen van derden:

"3.4.2 Bij de beoordeling van het middel wordt het volgende vooropgesteld. Wanneer iemand zich contractueel heeft gebonden, waardoor de contractverhouding waarbij hij partij is in het rechtsverkeer een schakel is gaan vormen waarmee de belangen van derden, die aan dit verkeer deelnemen, in allerlei vormen kunnen worden verbonden, staat het hem niet onder alle omstandigheden vrij de belangen te verwaarlozen die derden bij de behoorlijke nakoming van het contract kunnen hebben. Indien de belangen van een derde zo nauw zijn betrokken bij de behoorlijke uitvoering van de overeenkomst dat hij schade of ander nadeel kan lijden als een contractant in die uitvoering tekortschiet, kunnen de normen van hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, meebrengen dat die contractant deze belangen dient te ontzien door zijn gedrag mede door die belangen te laten bepalen. Bij de beantwoording van de vraag of deze normen zulks meebrengen, zal de rechter de terzake dienende omstandigheden van het geval in zijn beoordeling dienen te betrekken, zoals de hoedanigheid van alle betrokken partijen, de aard en strekking van de desbetreffende overeenkomst, de wijze waarop de belangen van de derde daarbij zijn betrokken, de vraag of deze betrokkenheid voor de contractant kenbaar was, de vraag of de derde erop mocht vertrouwen dat zijn belangen zouden worden ontzien, de vraag in hoeverre het voor de contractant bezwaarlijk was met de belangen van de derde rekening te houden, de aard en omvang van het nadeel dat voor de derde dreigt en de vraag of van hem kon worden gevergd dat hij zich daartegen had ingedekt (HR 24 september 2004, LJN AO9069, NJ 2008/587 (Vleesmeesters/Alog))."

Heel mooi, maar heeft de falende onderaannemer nou onrechtmatig gehandeld? 

"Anders dan het middel betoogt, levert een wanprestatie van de onderaannemer jegens de hoofdaannemer op zichzelf nog geen onrechtmatige daad jegens de opdrachtgever op." [r.o. 3.4.3]

Dat wisten we natuurlijk al. Maar levert deze doorsnee tekortkoming nou toch een onrechtmatige daad op? Ja, aldus de HR:

"De hiervoor in 3.2.1 weergegeven stellingen van [eiser], waarvan het hof de juistheid in het midden heeft gelaten en die onmiskenbaar mede als feitelijke basis dienden voor diens vordering uit onrechtmatige daad, kunnen echter, in de context van de onderhavige zaak, het oordeel wettigen dat [verweerder], overeenkomstig het hiervoor in 3.4.2 overwogene, bij de uitvoering van het werk mede jegens [eiser] onzorgvuldig te werk is gegaan en aldus heeft gehandeld in strijd met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer jegens [eiser] betaamt".

Het is dus oppassen geblazen voor onderaannemers. De uitspraak leert dat onderaannemers in IT-projecten in ieder geval adequate maatregelen moeten nemen om de schade van de eindklant te beperken. Doen zij dat niet, dan zal snel sprake zijn van onrechtmatig handelen. Maar zelfs als maatregelen worden genomen, kunnen tekortkomingen wellicht toch al sneller een onrechtmatige daad opleveren dan doorgaans wordt gedacht.

De Wet bescherming persoonsgegevens (Wbp) is op een aantal punten aangepast. Het voornaamste doel hiervan is de administratieve lasten en nalevingskosten voor verantwoordelijken - bedrijven en instellingen die persoonsgegevens verwerken - te verminderen. De wet ‘Wijziging Wbp in verband met de vermindering van administratieve lasten en nalevingskosten, wijzigingen teneinde wetstechnische gebreken te herstellen en enige andere wijzigingen’ (31 841) treedt in werking op 9 februari 2012 .

Hieronder volgt een overzicht van de aanpassingen die lastenverlichting opleveren voor verantwoordelijken en van de belangrijkste overige wijzigingen. Het Wbp-artikel waarin een genoemde wijziging zich voordoet, staat tussen haakjes achter de beschrijving. Zie hier.

De Balie, Amsterdam, donderdag 12 april van 12.00 tot 15.15 uur, zie uitnodiging.

Tijdens deze bijeenkomst zullen drie sprekers, dr. Tycho de Graaf, mr. Olivier Oosterbaan en mr. Menno Weij,  belangrijke en actuele jurisprudentie de revue laten passeren.

Aan bod komen de ICT~Office en ARBIT-voorwaarden, er wordt een marktindruk rondom ‘Games’ gegeven en de IT-contractuele aspecten, rechtspraak en best practices, rondom opzegging en algemene voorwaarden worden eveneens  besproken.

In 3 uur bent u volledig op de hoogte over de actuele ontwikkelingen in de IT-rechtspraak en de markt van ‘Games’.

Kosten
Deelname € 325,- per persoon (excl. BTW).
Sponsors van onze communities betalen €285 (excl. BTW)

Hier aanmelden

Rechtbank 's-Gravenhage 23 december 2011, LJN BU9409 (OM tegen verdachte)

Een commentaar van NJB medewerker Bert-Jaap Koops, hoogleraar regulering van technologie in Tilburg, zie hier: Mag de Staat met Google Earth in je achtertuin kijken om zo bewijs voor een strafzaak te verzamelen?

Een advocaten doet privé-aankopen met valse facturen en ontduikt daarmee belasting. Voor kantoor worden twee grote gele zogenheten Bubble Cube stoelen aan van een ontwerper. Deze stoelen worden meeste in de tuin gebruikt. FIOD-opsporingsambtenaar gaat na of deze wellicht thuis in de tuin staan via Google Earth.

(...)
En dus?
Vond de rechter dat het mocht, omdat het een beperkte inbreuk op de privacy is. Google Earth is voor iedereen raadpleegbaar. De advocate krijgt een boete van 17.000 euro en 40 uur taakstraf. Ook omdat ze de advocatuur te schande maakte.

Lees de gehele bijdrage hier.

Op andere blogs:
MediaReport (Met Google Earth neemt de politie een kijkje in je tuin: is dat schending van de privacy?)

College van Beroep voor het bedrijfsleven 1 februari 2012, LJN BV2285 (1. UPC Nederland B.V., 2. bbned c.s. tegen OPTA)

Artt. 15 en 16 van Richtlijn 2002/21/EG, verplichtingen zoals bedoeld in hoofdstuk 6a Telecommunicatiewet, analyse wholesalemarkt voor transitgespreksdoorgifte, beroep ongegrond.

3.4 De vraag die nu allereerst voorligt is of OPTA terecht tot het oordeel gekomen is, dat er aanleiding was om de markt ten opzichte van de vorige reguleringsperiode gewijzigd af te bakenen in die zin dat directe interconnetie tot de transitmarkt gerekend wordt.

Het College gaat, evenals OPTA, uit van de door de Commissie in de toelichting op de beide Aanbevelingen opgenomen bepaling van het begrip gespreksdoorgifte, als hetgeen ligt tussen gespreksopbouw en gespreksafgifte. Tussen de drie genoemde diensten bestaat geen overlap.

Gelet op het feit, dat de Commissie in het dictum van de Aanbeveling bij de omschrijving van de markten voor gespreksopbouw en gespreksafgifte uitdrukkelijk accepteert, dat doorgifte (geheel of gedeeltelijk) tot gespreksopbouw dan wel tot gespreksafgifte gerekend wordt, mits die doorgifte maar zodanig wordt begrensd dat zij in een nationale context consistent is met de afgesproken grenzen van de drie markten voor opbouw, doorgifte en afgifte, begrijpt het College deze opdracht aldus dat van ieder element, dat binnen de reeks opbouw, doorgifte, afgifte onderscheiden kan worden, duidelijk moet zijn in welke van de drie begrippen, en daarmee in welke van de drie markten, het wordt ondergebracht.

Het College heeft in het licht hiervan in de heropeningsbeschikking van 12 januari 2011 de vraag aan de orde gesteld wat het voor de marktafbakening betekent dat OPTA zowel in de eerste reguleringsperiode van 2006 tot en met 2008, als in de huidige reguleringsperiode van 2009 tot en met 2011 aan de aanbieders van vaste en mobiele gespreksafgifte een toegangsverplichting heeft opgelegd, die onder andere de verplichting inhoudt om non-discriminatoir te voorzien in directe interconnectie op verzoek van toegangvragende partijen, terwijl directe interconnectie eerst niet, maar in het bestreden besluit wel wordt ingedeeld in de doorgiftemarkt.

Daarmee, zo heeft het College geformuleerd, lijkt OPTA een niet-hanteerbare vorm van overlap tussen de doorgifte- en de afgiftemarkten te hebben gecreëerd, waardoor de kans zou bestaan dat OPTA een scherp zicht op de marktverhoudingen in die markten zou verliezen.

OPTA heeft in reactie op de door het College opgeworpen vraag aangevoerd, dat niet uitgegaan mag worden van de gedachte dat een product of dienst slechts tot één markt tegelijk kan behoren. De marktafbakening in het mededingingsrecht is altijd afhankelijk van het mededingingsprobleem, dat men wil onderzoeken en dan kan blijken dat een asymmetrische afbakening van de markt de juiste benadering vormt. OPTA stelt zich op het standpunt dat een dienst weliswaar slechts in één markt gereguleerd kan worden, maar wel in verschillende markten in de analyse betrokken kan worden.

Het College geeft OPTA bij nader inzien toe, dat als bij analyse van de ingevolge artikel 6a.1 en 6a.4 Tw te analyseren markt voor gespreksdoorgifte blijkt, dat marktpartijen, anders dan voorheen, directe interconnectie als een substituut voor afname van een doorgiftedienst beschouwen, OPTA niet anders kan dan zulks in haar analyse betrekken en dus de markt mede op basis van dat gegeven afbakenen.

Gelet daarop komt het College toe aan beantwoording van de vraag of OPTA terecht geoordeeld heeft dat directe interconnectie, als vraagsubstituut voor transit, deel uitmaakt van de doorgiftemarkt.

UPC beantwoordt die vraag ontkennend en heeft in verband daarmee allereerst aangevoerd, dat transit en directe interconnectie van elkaar verschillen qua functionaliteit, benodigde investeringen, realisatietijd en flexibiliteit.

Geen van de door UPC aangewezen verschillen kan echter op zichzelf de conclusie dragen, dat directe interconnectie geen vraagsubstituut voor transit is. Om tot die conclusie te komen, moet allereerst worden vastgesteld of directe interconnectie voor de aanbieder die verkeer vervoerd wil zien naar de centrale van het netwerk waarop afgifte dient plaats te vinden, bij een kleine, maar significante en duurzame prijsverhoging van transit, een reëel alternatief zou vormen voor afname van transit.

Het College acht het op zichzelf zonder meer aannemelijk dat, als directe interconnectie binnen afzienbare tijd tegen een aanvaardbare prijs verwezenlijkt kan worden, het een alternatief, dus een substituut, voor afname van transit kan vormen. Daaraan kan ook de, op zichzelf juiste, tegenwerping dat er bij interconnectie in technische zin geen sprake is van doorgifte of een doorgiftedienst, niet afdoen. Zoals in andere marktanalyses interne leveringen binnen een verticaal geïntegreerde onderneming in de markt betrokken worden, om een juist beeld van de feitelijke machtsverhoudingen op die markt te kunnen vormen, moet hier geaccepteerd worden, dat het (door directe interconnectie) zelf voorzien in de behoefte aan transport van verkeer van de centrale van een originerend netwerk, naar de centrale van het terminerend netwerk tot de relevante markt wordt gerekend.

Wat betreft de prijs die bij een keuze voor directe interconnectie betaald moet worden en de tijd die met het totstandbrengen ervan gemoeid is, wijst UPC erop, dat marktpartijen in de afgelopen jaren op problemen gestuit zijn als zij directe interconnecties tot stand wilden brengen. Met name mobiele aanbieders wierpen effectieve kostendrempels op.

OPTA’s reactie van 22 februari 2011 komt erop neer, dat de bedragen, die in verband met het totstandbrengen van directe interconnectie gerekend worden, de keuze voor deze vorm van doorgifte wel negatief beïnvloeden, maar niet in die mate, dat niet meer van prijsdruk op transit gesproken kan worden. Uit de antwoorden op de door haar in verband met de marktanalyse aan marktdeelnemers voorgelegde vragenlijsten maakt OPTA op, dat directe interconnectie bij een verkeersstroom vanaf 1.000.000 belminuten loont. Bij mobiele aanbieders ligt de drempel wel hoger, maar ook daar is de keuze voor directe interconnectie in een behoorlijk aantal gevallen lonend. OPTA wijst erop dat de door de mobiele aanbieders te hanteren tarieven gebonden zijn aan een redelijkheidsnorm, die neergelegd is in het marktanalysebesluit met betrekking tot de gespreksafgifte en dat zonodig in een nieuw marktanalysebesluit de regulering aangescherpt kan worden.

Bij afbakening van de markt speelt de zogenaamde SSNIP-test een belangrijke rol. Die test komt erop neer dat geverifieerd wordt of voor een bepaald product een substituut bestaat, door uitgaande van de hypothese, dat op een markt waarop uitsluitend dat product wordt aangeboden, een monopolist bestaat, te onderzoeken of deze zijn prijs met 10% zou kunnen verhogen, zonder dat zoveel klanten de afname staken, dat de prijsverhoging niet meer profijtelijk zou zijn. Bij toepassing van die test in dit geval gaat het dan om de vraag of zoveel afnemers zouden kiezen voor het totstandbrengen van directe interconnectie, dat die hypothetische monopolist van zo’n verhoging zou moeten afzien.

OPTA verklaart dat een kleine minderheid van de door haar ondervraagde bedrijven te kennen heeft gegeven in geval van een verhoging van de prijs met 5 à 10 % op directe interconnectie te zullen overstappen.

UPC heeft daarover aangevoerd, dat niet duidelijk is of deze respondenten representatief zijn voor alle afnemers. Het College kan, na kennisname van de vertrouwelijke versie van het marktanalysebesluit, waaruit blijkt welke respondenten de vraag bevestigend beantwoord hebben, UPC’s voorbehoud met betrekking tot deze conclusie niet onderschrijven. Het gaat overigens niet om een kwestie van representativiteit; de verklaringen van die respondenten worden uitsluitend voor die respondenten zelf in de beschouwing betrokken.

UPC stelt vervolgens dat het zeer moeilijk zal zijn om voor verkeersstromen naar alle bestemmingsnetwerken een directe interconnectie tot stand te brengen en dat aanbieders aarzelen om erin te investeren om sommige verkeersstromen via directe interconnectie te laten lopen omdat zij vrezen dat KPN wegens de dalende omzet de kosten van transit naar de overige netwerken zal verhogen. Dat gevaar wordt extra groot, als KPN ten aanzien van transit niet meer gereguleerd is en dus de mogelijkheid heeft gedifferentieerde prijzen te hanteren.

OPTA wijst er echter op dat zij die terughoudendheid in de markt niet gezien heeft maar een gestage ontwikkeling in het gebruik van directe interconnectie waarneemt.

UPC heeft ook aangevoerd, dat naar haar indruk een prijsverhoging voor transit van 10% economisch wel degelijk lonend zou zijn, nu de huidige prijs tamelijk laag is en er weinig variabele kosten zijn. KPN heeft daar tegenover benadrukt, dat de situatie op de markt niet toelaat dat zij haar transitprijzen verhoogt en dat zij die prijzen ook nooit verhoogd heeft.

Bbned c.s hebben er echter op gewezen, dat bij afwezigheid van AMM-regulering een hypothetische monopolist niet meer onder een discriminatieverbod valt en dus gedifferentieerde prijzen en staffelkortingen kan hanteren, waardoor niet alle afnemers meer kunnen profiteren van de druk, die enkele machtige afnemers op de prijs uitoefenen.

OPTA wijst erop, dat KPN bij de regulering van wholesalediensten, zoals transit, op grond van het WPC-besluit van 27 september 2006 een rendement van 7,60 tot 9,26% mocht maken. Ervan uit gaande dat KPN feitelijk tenminste een dergelijk rendement haalt en dat de marginale kosten laag zijn, kan het critical losspercentage niet heel hoog zijn.

Het College tekent aan, dat bij een SSNIP-test op basis van een gereguleerde prijs de waarde van die test voor afbakening van de markt enigszins gerelativeerd moet worden, maar kan voor het overige deze laatste redenering van OPTA volgen. Het voegt daaraan toe, dat een hypothetische monopolist aanbieders als zij eenmaal een directe interconnectie zijn aangegaan, nauwelijks meer terug zal kunnen winnen voor de afname van transit op dat traject. Aangenomen moet dus worden dat een verlies van omzet in transit wegens een overstap naar directe interconnectie in beginsel blijvend is. Bovendien betekent iedere nieuwe directe interconnectie ook de mogelijkheid van een nieuw aanbod van transit daarover op de markt. Mede gelet daarop moet aangenomen worden dat een hypothetische monopolist op de markt voor transitdiensten van een relevante prijsverhoging zal moeten afzien.

Gelet op al het vorengaande kan het College niet tot de conclusie komen, dat OPTA ten onrechte directe interconnectie als behorend tot de markt voor transit heeft aangemerkt.

3.5 Vervolgens komt dan de vraag aan de orde of OPTA terecht geoordeeld heeft, dat de markt van transit en directe interconnectie daadwerkelijk concurrerend is. Een markt is daadwerkelijk concurrerend als daarop geen aanbieder of aanbieders met aanmerkelijke marktmacht vallen aan te wijzen. Op deze markt heeft KPN een marktaandeel van 40-50% en OPTA verwacht dat dat aandeel stabiel zal blijven of licht kan stijgen (maar niet tot meer dan 50%), als zij de vrijheid zou krijgen tot tariefdifferentiatie.

Een factor daarin is dat het marktaandeel van KPN op de retailmarkten voor vaste telefonie naar OPTA’s verwachting een dalende tendens zal vertonen. KPN heeft voorts weliswaar voordelen van schaal en verticale integratie, maar die zijn op deze markt niet van groot belang.

Bij de huidige prijzen verwacht OPTA geen nieuwe transitaanbieders op de markt, doch bij stijgende prijzen zou dat kunnen veranderen. Er is enige mate van kopersmacht, voorzover kopers kunnen kiezen voor het alternatief van directe interconnectie.

De discussie tussen partijen spitst zich voornamelijk toe op de vraag welke betekenis toekomt aan de verklaringen van T-Mobile en BT over het terugtrekken van hun transitaanbod, nu OPTA de regulering van de transitmarkt heeft laten vervallen en op de vraag welke andere aanbieders van transitdiensten er daarnaast op de markt functioneren.

Met betrekking tot de eerstgenoemde vraag merkt het College allereerst op, dat voor discussie vatbaar is, hoe een mededeling van een aanbieder over zijn handelen op de markt na een toekomstig besluit van OPTA in de besluitvorming gewogen moet worden. Enerzijds baseert OPTA zijn besluit op een analyse over de toekomstige ontwikkeling op de markt, zodat met alle signalen, waaronder uitspraken van marktdeelnemers, over die toekomst rekening gehouden moet worden. Anderzijds kunnen aanbieders dergelijke uitspraken gebruiken om OPTA’s besluitvorming te beïnvloeden, terwijl zijzelf aan die uitspraken over het algemeen niet gebonden zijn.

Van belang is in elk geval wel, dat T-Mobile en BT verklaren, dat hun positie als transitaanbieder op de markt alleen houdbaar is, als KPN als grootste speler op die markt aan specifieke regulering is onderworpen. Met name gaat het daarbij om een verbod op prijsdiscriminatie. Waar naast KPN geen enkele andere telefonieaanbieder met alle andere aanbieders directe interconnectie heeft, is iedere aanbieder immers verplicht in meerdere of mindere mate transitdiensten van KPN af te nemen, hetgeen KPN op de markt voor die diensten grote mogelijkheden biedt.

Ter zitting heeft OPTA verklaard, dat zij feitelijk in de markt niet heeft waargenomen, dat T-Mobile en BT het verlenen van transitdiensten geheel beëindigd hebben. Ook als dat anders zou zijn, geldt dat zij zelf hun verkeer over de tot stand gebrachte interconnecties blijven afwikkelen, zodat het feitelijk verschil dat daardoor in de markt gemaakt wordt, niet zeer groot is. Tele2 en Verizon vervullen daarnaast ook nog een rol in de transitdienstverlening.

UPC en bbned hebben verklaard, dat hun van een zelfstandig aanbod van beide laatstgenoemde spelers op de markt niets bekend is; zij verlenen slechts transit in het kader van andere dienstverlening.

Het College overweegt, dat het op basis van kennisname van de vertrouwelijke stukken slechts kan vaststellen, dat de genoemde aanbieders een rol van enige betekenis spelen in de transitdienstverlening. Ook als die transit verschaft wordt in het kader van andere dienstverlening, is zulks bij een beoordeling van de situatie en de concurrentiemogelijkheden op de markt als geheel van belang.

Het College constateert, dat op de afgebakende markt voor gespreksdoorgifte het aandeel van transitaanbieders geleidelijk daalt, terwijl er aanwijzingen zijn dat het aandeel van KPN binnen het transitaanbod weliswaar op korte termijn in beperkte mate kan stijgen, maar op langere termijn bij een (potentiële) verdere stijging van het gebruik van directe interconnectie weer zal dalen. Op basis van de vertrouwelijke stukken, zo voegt het College hier nog aan toe, komt het beeld naar voren, dat een aanzienlijke meerderheid van de grotere aanbieders voor de grotere verkeersstromen over directe interconnectieverbindingen kan beschikken. Zij zijn slechts voor kleinere verkeersstromen op transit aangewezen, terwijl de minder grote aanbieders voor een groter deel van hun verkeersstromen van transit gebruik moeten maken. Over de afgebakende markt als geheel gezien constateert OPTA terecht dat KPN niet de mogelijkheid heeft zich onafhankelijk van haar concurrenten en klanten te gedragen. Niet uit te sluiten is dat appellanten terecht stellen, dat KPN als zij haar aanbod mag differentiëren ten opzichte van aanbieders die in grotere mate op transitdienstverlening zijn aangewezen, meer bewegingsruimte zou hebben. De Tw noch de Kaderrichtlijn bieden OPTA echter de mogelijkheid om bij de marktafbakening of de dominantieanalyse met dat aspect rekening te houden.

3.6 Bij gebreke van een aanbieder met aanwijsbare aanmerkelijke marktmacht op de afgebakende markt heeft OPTA terecht geoordeeld, dat de markt daadwerkelijk concurrerend is, zodat de eerder aan KPN opgelegde verplichtingen moeten worden ingetrokken.

De beroepen zijn dan ook ongegrond

Met dank aan Jan-Jaap Oerlemans, promovendus Universiteit Leiden en juridisch adviseur Fox-IT.

Tot en met 29 februari 2012 wordt een wijzigingswet van de Wet bescherming persoonsgegevens (Wbp) ter consultatie gegeven. In het concept van de wijzigingswet wordt onder andere ingegaan op de algemene meldplicht datalekken. Tegelijkertijd bestaan er nog een aantal sectorspecifieke meldplichten. In dit bericht wil ik overzicht geven van de meldplichten die al bestaan en nog in de maak zijn.

Meldplicht datalekken I
Bij de Eerste Kamer ligt nu een voorstel voor een meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten (denk aan telefoniebedrijven en internet service providers) dat betrekking heeft tot beveiligingsincidenten die nadelige gevolgen hebben voor de privacy van de betrokkenen. De meldplicht wordt geïmplementeerd naar aanleiding van Europese richtlijnen die wij inmiddels al in onze nationale wetgeving geïmplementeerd hadden moeten hebben.

Betrokkenen hoeven niet geïnformeerd te worden wanneer naar het oordeel van het College (hier nog de OPTA) gepaste technische maatregelen zijn genomen, waardoor geen toegang kan worden verschaft tot de persoonsgegevens. De OPTA moet dus wel in kennis worden gesteld, maar de melding aan de betrokkenen kan eventueel achterwege blijven. De OPTA heeft hierbij het laatste woord.

Daarnaast komt er een meldplicht voor ‘veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Die melding moet (hoogstwaarschijnlijk?) worden gedaan aan het Agentschap Telecom. Een meldpunt zou ervoor moeten zorgen dat geen overlap of onduidelijkheid optreed bij welke instantie nu een melding moet worden gedaan als het incident zowel gevolgen heeft voor zowel de bescherming van persoonsgegevens als de integriteit van het netwerk. Zie over deze meldplicht dit verhelderende artikel in het tijdschrift Computerrecht van Frederik Borgesius (UvA).

Meldplicht datalekken II
Het kabinet wil de voorgestelde meldplicht uit de Telecommunicatiewet blijkbaar nú al wijzigen. In het conceptwetsvoorstel (.pdf) voor wijziging van de Wet bescherming persoonsgegevens wordt namelijk een meldplicht voorgesteld die zeer vergelijkbaar is met die uit de Telecommunicatiewet, maar die nu aan College Bescherming Persoonsgegevens moet worden gedaan. Op zich wordt een wirwar aan instanties voor dezelfde meldplicht (m.b.t. persoonsgegevens) deels voorkomen door het CBP als instantie voor te wijzen, maar de toezicht zou nog steeds moeten liggen bij de OPTA. Bovendien is het onduidelijk wat nu de bedoeling is met dat meldpunt waar in de toelichting van de wijzigingswet voor de Telecommunicatiewet over wordt gesproken.

In het conceptwetsvoorstel wordt van een algemene meldplicht uitgegaan voor zowel private als publieke partijen. Dat is een discrepantie met het regeerakkoord waar slechts werd gesproken over een meldplicht voor verlies bij persoonsgegevens voor ‘diensten in de informatiemaatschappij’. Bij dit begrip moet vooral gedacht worden aan webwinkels en hosting providers.

Betrokken moeten alleen worden geïnformeerd indien het incident heeft geleid tot een ‘aanmerkelijk risico dat het incident leidt tot verlies of de onrechtmatige verwerking van persoonsgegevens’. De verantwoordelijke in de zin van de Wbp moet de melding doen en betrokkenen inlichten. Hoe deze melding precies moet plaatsvinden is afhankelijk van het aantal betrokkenen bij het beveiligingsincident. Een kleine kring betrokkenen kan volgens de toelichting op het voorstel persoonlijk worden ingelicht en anders kan met een advertentie in een dagblad worden volstaan. Het verbaast mij dat e-mail niet expliciet als voorbeeld wordt genoemd.

Het blijft natuurlijk vaag wanneer precies zo’n melding moet worden gedaan aan betrokkenen. Eventueel kan de toezichthouder hier in beleidsregels duidelijkheid over geven. Versleuteling wordt als voorbeeld gegeven dat zo’n meldplicht aan betrokkenen (niet de toezichthouder) kan worden voorkomen. Echter, als een bedrijf echt goed gehackt wordt kan wellicht ook toegang worden verschaft tot de versleutelde bestanden.

Zie ook dit blogbericht van Dirkzwager Advocaten over het conceptvoorstel en de algemene meldplicht. 

Meldplicht voor financiële instellingen
In het conceptwetsvoorstel wordt uitgebreid ingegaan op meldplichten voor financiële instellingen. Het komt er op neer dat zij ook een soort meldplicht hebben, maar dan op grond van de artikelen 3:10 lid 3 en 4:11 lid 4 Wet op het financieel toezicht (Wft). Zij zijn verplicht informatie te verstrekken aan De Nederlandsche Bank (DNB en de Autoriteit Financiële Markten (AFM) over ‘incidenten die betrekking hebben op de integere bedrijfsvoering’. Skimmingspraktijken worden als voorbeeld genoemd als een incident dat valt onder de meldplicht. Financiële instellingen moeten hun cliënten informeren over het incident en als daartoe aanleiding bestaat schadeloos stellen. Indien nodig kan de DNB of AFM interveniëren bij de onderneming.

Let op: een openbare kennisgeving van het beveiligingsincident zoals voorgesteld in de Wbp is voor de financiële instellingen niet van toepassing. Door de informeringsplicht aan de cliënten van de banken en eventuele schadeloosstelling is volgens het conceptwetsvoorstel de bescherming van persoonsgegevens voldoende gewaarborgd. Voorkomen wordt dus dat nog een extra meldplicht aan de financiële instellingen wordt opgelegd. Opgemerkt wordt nog:

“Dergelijke openbare kennisgevingen in de financiële sector zijn - mede tegen de achtergrond van de financiële crisis – te risicovol om dwingend te worden voorgeschreven. Onvoorspelbaar is of een openbare kennisgeving kan leiden tot het ontstaan van geruchten die niet meer op zakelijke wijze ontzenuwd kunnen worden en die daardoor nodeloos aanleiding geven tot vermindering van vertrouwen van het publieke of de relevante markt.”

Daar kan ik mij op zich wel wat bij voorstellen, maar het is de vraag of de Kamerleden het ook voldoende vinden.

Meldplicht beveiligingslekken?
Kamerlid Jeanine Hennis-Plasschaert heeft tenslotte een motie voorgesteld (Kamerstukken II 2011/12, 26 643, nr. 202) die is aangenomen over de meldplicht voor inbreuken bij organisaties die zijn betrokken bij vitale informatiesystemen. Deze meldplicht is aangenomen in de tijd van het Diginotar-incident. Het is bedoeling dat het Nationaal Cyber Security Centrum daar dan over wordt ingelicht en er eventueel naar handelt. Opstelten heeft in zijn Kamerbrief over cybersecurity aangegeven dat hij vóór het zomerreces van 2012 laat weten of en op welke manier aan de motie uitvoer wordt gegeven.

Conclusie
Ik heb er niet zoveel ideeën over of de invoering van nieuwe meldplichten nu wel of niet verstandig is. Helemaal nieuw zijn ze niet, want voor beursgenoteerde bedrijven bestaat al een meldplicht bij incidenten die van invloed kunnen zijn op de koers en daarnaast bestaat er al een meldplicht voor het lekken van staatsgeheimen. Tenslotte kan een meldplicht ook contractueel overeen worden gekomen tussen partijen. Duidelijk is wel dat ook met het conceptwetsvoorstel bedrijven met verschillende instanties te maken kunnen hebben die toezien op de meldplichten. Dat maakt het wel allemaal wel ingewikkeld en bureaucratisch. Positief is dat bedrijven onder dreiging van een boete van 200.000 euro de beveiligingsplicht voor persoonsgegevens (zoals vastgelegd in artikel 13 Wbp) in de toekomst wellicht (nog) serieuzer zullen nemen.

College van Beroep voor het bedrijfsleven 6 februari 2012 (KPN/OPTA), LJN: BV2871

Volgende stap in de strijd tussen Tele2 en KPN over de aanbesteding van vaste telefoniediensten door de Nederlandse Staat. Het College oordeelt dat OPTA bevoegd is om tegen de overtreding van KPN op te treden. Door de niet gelijktijdige bekendmaking van haar vrlaagde prijzen verkreeg KPN een informatievoorsprong. Dat heeft ervoor gezorgd dat de mogelijkheden van KPN en Tele2 bij het uitbrengen van een bod niet gelijk waren. KPN moet haar deelname aan de lopende aanbestedingsprocedure eindigen. Zie ook IT 319,  IT 172 en IT 208.

Update 7 februari 2012: KPN trekt bod in, zie Computable.

Brief regering betreffende de ICT-beveiligingsassessments DigiD gebruikende organisaties, Kamerstukken II, 26 643, nr. 224.

In deze brief ga ik in op de inzet van een aantal specifieke maatregelen zoals aangekondigd in de brief van 11 oktober 2011 met onderwerp: “Lekken in aantal gemeentelijke websites”. Daarin is u gemeld dat organisaties die gebruik maken van DigiD jaarlijks hun ICT-beveiliging, voor zover deze DigiD raakt, dienen te toetsen op basis van een ICT-beveiligingassessment.

Inhoudsopgave [red.]:
De norm voor ICT beveiliging
Uitvoeren ICT beveiligingassessments
Gefaseerdde aanpak
Grootgebruikers
Gemeenten, Provincies en Unie van Waterschappen.
Uitvoeren ‘hack’-testen
Communicatie richting organisaties
Tot slot

De norm voor ICT beveiliging
De ICT-beveiligingassessments worden uitgevoerd met de ICTBeveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC,voorheen GOVCERT.NL) als basis. Deze beveiligingsrichtlijnen bevatten maatregelen op het gebied van netwerkveiligheid, besturingssysteem, basisbeveiliging (virusscanner, firewall) en
applicatiebeveiliging. Ook een ‘hack’-test ofwel een zogenaamde penetratietest maakt deel uit van de richtlijnen. De beveiligingsrichtlijnen zijn opgesteld in samenspraak met een aantal publieke en private partijen, waaronder beveiligingsexperts. De richtlijnen worden gepubliceerd op de website van het NCSC. Bij nieuwe dreigingen stelt het NCSC de beveiligingsrichtlijnen bij. De normstelling voor de assessments wordt bepaald door de belangrijkste elementen van de bovengenoemde richtlijnen. Met deze normstelling wordt een forse impuls gegeven aan de verdere kwaliteitsverhoging van de ICTbeveiliging bij de overheid.

Uitvoeren ICT beveiligingassessments Allereerst zullen de organisaties die DigiD gebruiken, geïnformeerd worden over de bovengenoemde normstelling. Op deze wijze kunnen de DigiD gebruikende organisaties de benodigde aanpassingen in hun organisaties treffen en zich adequaat voorbereiden op de ICT-beveiligingsassessments. Daarnaast dienen zij de ICT-beveiligingassessments te laten uitvoeren onder verantwoordelijkheid van een Register EDP-auditor.1 Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties die een Register EDP-auditor in dienst hebben, kunnen desgewenst een zogeheten self-assessment uitvoeren. Vervolgens dienen de conclusies van de ICT-beveiligingsassessments in de vorm van een rapportage door de gebruikende organisaties aan Logius2 te worden opgeleverd.

De Register EDP-auditors die in het register van de NOREA zijn ingeschreven, zijn onderworpen aan internationale regelgeving op het terrein van audit en assurance, waaronder de ‘Code of Ethics’ en de Richtlijn ‘Assurance Opdrachten’.

Gefaseerde aanpak
In de brief van mijn voorganger van 11 oktober jl. is aangegeven dat alle organisaties voor 1 april 2012 de ICT-beveiligingsassessments moesten hebben doorlopen. Omdat het belangrijk is te komen tot een duurzame richtlijn heeft dit zijn tijd gekost. Verder heeft nader onderzoek laten zien dat de markt op deze termijn niet kan voldoen aan de benodigde expertise met betrekking tot de assessments en penetratietesten. Ook zijn er signalen van DigiD gebruikende organisaties, waaronder VNG en KING3, dat de benodigde aanpassingen en de doorlooptijd niet onderschat moet worden. Naast de huidige aanpak waarbij ingeval van signalen altijd nader onderzoek plaatsvindt en ingeval van inbraak onverwijld wordt afgesloten van DigiD, heb ik gekozen voor een gefaseerde aanpak met betrekking tot de beveiligingsassessments. Daarbij wordt ingezet op prioriteiten als het gaat om type organisatie en het belang voor de burger. Grootgebruikers van DigiD dienen voor het eind van het jaar het ICTbeveiligingsassessment te hebben uitgevoerd. Overige organisaties dienen het assessment uiterlijk een jaar later uitgevoerd te hebben.

Grootgebruikers
Logius start per direct een samenwerkingstraject met de grootgebruikers van DigiD omdat deze cruciaal zijn voor de overheidsdienstverlening. Organisaties als de Belastingdienst, DUO en de UWV behoren daartoe. Het is ons streven om te komen tot een spoedige afronding van de assessments bij deze organisaties. Andere organisaties kunnen vanzelfsprekend daarop aansluiten. Logius biedt daarnaast ondersteuning aan organisaties (niet gemeenten) door voorlichting en het delen van best practices. Bij de vormgeving van het traject voor deze organisaties zal gebruik worden gemaakt van de ervaringen die bij de grootverbruikers zijn opgedaan, alsmede de impactanalyse bij een aantal gemeenten.

1 Electronic Data Processing auditor.
2 Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
3 Kwaliteits Instituut Nederlandse Gemeenten

Gemeenten, Provincies en Unie van Waterschappen.      VNG start, ondersteund door KING, per direct een samenwerkingstraject meteen vertegenwoordiging van auditors en ICT-leveranciers van gemeenten overde aanpak van de ICT-beveiligingassessments bij gemeenten. Dit traject heeftals doel om een efficiënte uitvoering en eenduidige toepassing van de ICTbeveiligingsrichtlijnen bij gemeenten te bewerkstellingen. Dit doel wordt versterkt door het feit dat bepaalde auditors en ICT-leveranciers in opdrachtvan meerdere gemeenten werken. In dit traject kunnen desgewenst ook het Interprovinciaal Overleg en de Unie van Waterschappen worden betrokken.

KING voert de eerste helft van dit jaar bij een aantal gemeenten, waaronder kleine, middelgrote en grote gemeenten, een impactanalyse uit. De uitkomsten hiervan bieden input voor een gestandaardiseerde aanpak voor het uitvoeren van de ICT-beveiligingassessment bij gemeenten. Dit mede met het oog op het beperken van de uitvoeringslasten.

Daarnaast onderzoeken VNG en KING hoe zij gemeenten structureel op het terrein van ICT-beveiliging kunnen ondersteunen. Afhankelijk van de uitkomsten van deze onderzoeken bepalen VNG en KING hoe zij gemeenten
ondersteunen bij de assessments (te denken valt aan het inrichten van een helpdesk).

Tevens zal ik het onderwerp ICT-beveliging agenderen in mijn eerstvolgende overleg met de mede-overheden, en bezien of nadere bestuursafspraken nodig zijn.

Uitvoeren ‘hack’-testen
In het kader van de jaarlijkse ICT-beveiligingsassessments heeft Logius de mogelijkheid om enkele betrouwbare marktpartijen opdracht te geven tot het kraken van de ICT-beveiliging van gebruikende organisaties. Deze mogelijkheid staat los van de ‘hack’-testen of zogenaamde penetratietesten die Logius zelf jaarlijks laat uitvoeren op DigiD. Communicatie richting organisaties In de afgelopen periode is het effectief gebleken de communicatie te stroomlijnen. Daarom zijn er afspraken gemaakt over wie de aanspreekpunten zullen zijn. Voor vragen over het proces, kunnen organisaties bij Logius terecht. VNG is aanspreekpunt voor gemeenten. NCSC levert informatie over de beveiligingsrichtlijn. EDP-auditors kunnen met vragen bij NOREA terecht.

Tot slot
Hoewel 100% veiligheid nooit te garanderen is, wordt met deze samenwerking een belangrijke en haalbare impuls gegeven aan de kwaliteitsverbetering van ICT- beveiliging bij de overheid. In het derde kwartaal van 2012 zal ik u informeren over de stand van zaken met betrekking tot de genomen kwaliteitsmaatregelen.

De minister van Binnenlandse Zaken en Koninkrijksrelaties,
J.W.E. Spies