Artikel "Exhaustion and Software Resale Rights" uit Computer Law Review International, van Tjeerd Overdijk, Polo van der Putt en Eva de Vries (Vondst Advocaten) en Thomas Schafft (HK Krüger Rechtsanwälte).

"The previous year saw some interesting developments with regard to the resale of (used) software licenses. In the U.S. the position of software vendors to control distribution seems to be strengthened. In Europe, on the other hand, the position of software vendors might be weakened."

"A Dutch court found that a purchaser of used software does not need a license from the software vendor. In Germany, the highest civil court referred questions to the CJEU with respect to resale of downloaded software. Market players will have to cope with diverging approaches in their markets and ongoing legal uncertainty."

U kunt het artikel hier downloaden.

Met dank aan Computer Law Review International (CRi) voor het geven van toestemming voor deze herpublicatie. Meer informatie over CRi vindt u hier.

Op basis van de Wet implementatie rechtsbeschermingsrichtlijnen aanbesteden (Wira) is de NMa gehouden om in specifieke gevallen een aanbestedende dienst een bestuurlijke boete op te leggen. Indien de rechter een onwettig gesloten overeenkomst niet of slechts gedeeltelijk heeft vernietigd vanwege dwingende redenen van algemeen belang, en het vonnis heeft kracht van gewijsde gekregen, dan stelt de NMa op basis van de feiten zoals de rechter deze heeft vastgesteld de hoogte van de bestuurlijke boete vast (maximaal 15 procent van de opdrachtwaarde). De NMa heeft geen verdere bevoegdheden ten aanzien van de handhaving van de aanbestedingswetgeving. Bij een vermoeden van nietnaleven van de aanbestedingswetgeving kan een gedupeerde partij de zaak bij de burgerlijke rechter aanbrengen.

Lees meer hier (link)

Rechtbank Amsterdam 13 april 2011, LJN BQ7598 ([A] tegen ABN AMRO N.V.)

Tradeboxovereenkomst. Algemene voorwaarden langs elektronische weg; storing in systemen van de bank, waardoor de bank aansprakelijk is voor beleggingsschade klant. Uitsluiting aansprakelijkheid in algemene voorwaarden, strijd met 6:234 lid 2 BW (oud). Langs elektronische weg ter beschikking gesteld, zonder mogelijkheid op te slaan. Voorwaarden via site/link beschikbaar of nu in email met geen integrale tekst/ link, maakt niet anders. Vernietiging overeenkomst. Berekening schade: vergelijken twee situaties: met én zonder uitblijven van werking van tradebox.

4.4.  Voor de schade van [A] voor het vanwege de blokkade in de systemen van ABN Amro, waaronder in TradeBox, lange tijd niet kunnen handelen met betrekking tot de onder 4.3 genoemde contracten, is ABN Amro als effectendienstverlener van [A] in principe jegens [A] aansprakelijk. Het feit dat die blokkade werd veroorzaakt door een storing bij een door ABN Amro ter uitvoering van die dienstverlening (via TradeBox) ingeschakelde externe broker, regardeert [A] niet en doet, gelet op artikel 6:76 Burgerlijk Wetboek (BW), aan de aansprakelijkheid van ABN Amro in beginsel niet af.

4.7.  Op de voet van artikel 6:234 lid 2 BW (oud) kunnen de algemene voorwaarden vóór of bij het sluiten van de overeenkomst aan de wederpartij ook langs elektronische weg ter beschikking worden gesteld. Voorwaarde is dan wel dat dit geschiedt op zodanige wijze dat de voorwaarden door de wederpartij kunnen worden opgeslagen en voor hem toegankelijk zijn ten behoeve van latere kennisneming. In onderhavig geval is dat naar het oordeel van de rechtbank niet gebeurd. Weliswaar is ter comparitie verklaard dat (thans) bij de aanvraag van TradeBox een vinkje moet worden geplaatst dat de algemene voorwaarden TradeBox bekend zijn, maar dat is, nog daargelaten of dat ook ten tijde van [A]’ aanvraag gold, in het licht van de betwisting van kennisneming onvoldoende om te kunnen concluderen dat de voorwaarden ter beschikking zijn gesteld en ook nog eenvoudig konden worden opgeslagen. Dat de voorwaarden op de website van ABN Amro en/of via een link zijn te raadplegen maakt dit niet anders nu bij de bevestigingse-mail TradeBox aan [A] volstaan is met de opmerking dat de voorwaarden van toepassing zijn, terwijl die e-mail een integrale tekst van die voorwaarden dan wel een directe (internet)koppeling naar die tekst ontbeert. Van een bestendige relatie tussen partijen, waarbij de voorwaarden al eerder werden overhandigd is bij de TradeBoxovereenkomst geen sprake. Het beroep op vernietiging van artikel 12 lid 3 van de voorwaarden TradeBox slaagt dan ook. Dit betekent dat ABN Amro de uitsluiting van artikel 12 lid 3 van de voorwaarden TradeBox niet aan [A] kan tegenwerpen. Hetzelfde geldt ten aanzien van de uitsluiting van artikel 12 lid 1 van de voorwaarden TradeBox, voor zover ABN Amro hierop eveneens een beroep mocht hebben willen doen.

4.12.  De rechtbank stelt voorop dat indien de blokkade in de systemen van ABN Amro, waaronder TradeBox, was uitgebleven, [A] zijn onderhavige optieposities niet gedwongen had hoeven sluiten. Met betrekking tot de vaststelling van de schade die [A] tengevolge van dit sluiten van zijn posities heeft geleden, dienen naar het oordeel van de rechtbank twee situaties met elkaar te worden vergeleken. Enerzijds betreft dit de situatie waarin [A] verkeert in verband met het gegeven dat hij in de middag van 29 september 2008 tengevolge van een blokkade van zijn posities, deze gedwongen zou hebben moeten sluiten tegen betaling van een bedrag van EUR 137.700,- en anderzijds de (hypothetische) situatie waarin [A] zou hebben verkeerd indien die blokkade op de 29e achterwege zou zijn gebleven.

Link uitspraak (voortaan bovenaan)

Rechtbank 's-Gravenhage 1 juni 2011, LJN BQ6916 (Construcciones y Auxiliar de Ferrocarriles S.A. tegen HTM Personenvervoer N.V.)

Met dank aan Anke Verhoeven en Menno Weij, SOLV.

In navolging van IT 384. Nog een uitspraak over de Alcatel-termijn in aanbestedingsprocedures. Meer uitgebreid gaat de rechter echter in op de motivering van gunningsbeslissing en de transparantie van gunningscriteria en wegingsfactoren. Het betreft een aanbesteding, uitgeschreven door het Haagse HTM, voor de levering van tramvoertuigen. Siemens en CAF hebben ingeschreven op de aanbesteding. HTM besluit voorlopig te gunnen aan Siemens, tegen welk besluit CAF in een kort geding haar bezwaren uit. Deze bezwaren betreffen, kort gezegd, de transparantie van de gunningscriteria en de motivering van de gunningsbeslissing.

Transparantie van gunningscriteria en wegingsfactoren
Zowel artikel 56 lid 2 Bass als het algemene beginsel van transparantie en het Succhi di Frutta-arrest brengen met zich mee dat de aanbestedende dienst verplicht is om de gunningscriteria vooraf bekend te maken, evenals het relatieve gewicht dat aan elk van die criteria wordt toegekend. Ook moeten die gunningscriteria voldoende gespecificeerd en volledig bekend gemaakt te worden.

HTM had wel de gunningscriteria en subcriteria bekend gemaakt, maar niet de wegingsfactoren die daaraan gekoppeld waren. Deze wegingsfactoren had HTM bij een notaris gedeponeerd in  een niet openbaar stuk. De rechter oordeelt dat, hoewel de deponering bij de notaris wel de objectiviteit kan waarborgen, dit niet leidt tot de vereiste transparantie. De inschrijvers zijn namelijk niet in staat om bij het opstellen van hun aanbiedingen rekening te houden met het volledige beoordelingskader.

Het feit dat HTM niet heeft voldaan aan de eis van voldoende transparantie zou in beginsel leiden tot ongeldigheid van de aanbesteding en, indien HTM nog steeds wenst te gunnen, tot heraanbesteding. CAF heeft daarop echter geen vordering gericht, zodat de rechter deze conclusie buiten beschouwing laat.

Wijziging van gunningscriteria en wegingsfactoren
CAF heeft echter nog meer bezwaren tegen de gunning. Daar gaat de rechter dan ook verder op in. Belangrijkste bezwaar van CAF betreft wijzigingen in de bekendgemaakte gunningscriteria. HTM heeft in totaal 16 wijzigingen aangebracht in de vooraf bekendgemaakte subcriteria, in die zin dat zij de weging van die criteria op factor 0 heeft gezet. Het is vaste jurisprudentie dat tussentijdse wijziging van de gunningscriteria of de wegingsfactoren niet toegestaan is. De rechter concludeert dat HTM de inschrijvingen van CAF en Siemens opnieuw dient te beoordelen op grond van de eerder bekend gemaakte gunningscriteria.

Nieuwe gunningsbeslissing: deugdelijk gemotiveerd en met Alcatel-termijn
De nieuwe voorlopige gunningsbeslissing die daaruit voortvloeit dient beter gemotiveerd te worden. De rechter stelt namelijk vast dat de eerdere gunningsbeslissing niet deugdelijk gemotiveerd was, omdat daarin slechts de totaalscores per hoofdstuk werden aangegeven en niet de specifieke scores per sub-criterium. Het feit dat het weergeven van alle sub-scores vele tientallen pagina’s zou beslaan, doet daar niet aan af.

Omdat er sprake is van een nieuwe gunningsbeslissing, begint ook de Alcatel-termijn opnieuw te lopen. De rechter legt die termijn uitdrukkelijk aan HTM op, zodat HTM pas na verloop van de termijn van minimaal 15 dagen na verzending van de nieuwe voorlopige gunningsbeslissing een overeenkomst mag sluiten met de partij waaraan zij besluit te gunnen. Dat lijkt mij in deze ook logisch, aangezien de eerdere gunningsbeslissing kennelijk onvoldoende gemotiveerd was.
De Alcatel-termijn heeft als doel dat de teleurgestelde inschrijver de tijd krijgt om zijn bezwaren tegen de voorlopige gunningsbeslissing te uiten voordat een definitieve gunning plaatsvindt. Indien de voorlopige gunningsbeslissing onvoldoende gemotiveerd is begint de Alcatel-termijn op basis van de Memorie van Toelichting bij het BAO daarom nog niet te lopen. Het zou namelijk onredelijk zijn wanneer de inschrijver (een groot deel van) de termijn moet laten verlopen terwijl hij meer informatie inwint over de gronden van de gunningsbeslissing.

Omdat de rechter in deze zaak tot de conclusie komt dat HTM de gunningsbeslissing onvoldoende gemotiveerd heeft, zou het onredelijk zijn indien na de nieuwe gunningsbeslissing geen nieuwe Alcatel-termijn zou gaan lopen. HTM kan dan meteen een overeenkomst sluiten met de winnaar van de nieuwe gunningsbeslissing, zodat de teleurgestelde partij geen termijn krijgt om te kunnen klagen indien HTM een deugdelijk gemotiveerde, maar overigens onrechtmatige nieuwe gunningsbeslissing neemt.

Zie IT 384 voor een vonnis waarin de rechtbank de mogelijkheid openlaat om een contractuele Alcatel-termijn te verlengen.

Vzr. Rechtbank Amsterdam 7 juni 2011, KG ZA 11-622 (Cleonice & Stichting Webshop Keurmerk (SWK) tegen Stichting Digikeur)

Met dank aan Katelijn van Voorst, Certa Legal.

Merkenrecht. Collectief ingeschreven beeldmerk. Exclusieve licentie keurmerk voor webshops. Benadering van klanten van SWK door Digikeur om eigen keurmerk aan te prijzen, bericht op site: Digikeur vervangt het Webshop Keurmerk bij haar leden. Status (voorlopige weigering) BBIE merkinschrijving is te onzeker om in deze procedure op woordmerk te beroepen. Logo Digikeur is aangepast, nieuw teken wijkt voldoende af.

Vordering inbreuk IE-rechten en onrechtmatig handelen te ruim geformuleerd. Toegewezen: Door registeraccountant gecontroleerde en gewaarmerkte opgave van alle rechtspersonen aan wie berichten zijn verstuurd en aangesloten webwinkels. Rectificatie toegewezen met wijziging, immers rechtbank kan geen veroordeling tot "betreuring van de gang van zaken" geven. Rectificatie per email. Genoemd bericht in archief en verwijzingen naar Webshop Keurmerk verwijderen.

4.4. De voorzieningenrechter gaat aan deze stelling voorbij en is van oordeel dat nu het BBIE voornemens is de inschrijving te weigeren op absolute gronden, de status van die inschrijving te onzeker is om te oordelen dat Cleonice c.s. zich in deze procedure op een woordmerk kan beroepen. Het voorlopig karakter van de weigering ziet op de mogelijkheid voor de deposant om binnen een bepaalde termijn de bezwaren tegen de inschrijving weg te nemen (artikel 2.11, lid 3 en 4 BVIE). Hoewel niet is uitgesloten dat Cleonice c.s. er in de toekomst in zal slagen de gronden voor weigering van de inschrijving weg te nemen door aan te tonen dat het Webshop Keurmerk is ingeburgerd als merk, kan dit op basis van het thans voorliggende materiaal niet voor voldoende zeker worden gehouden en vergt dit een nader onderzoek, waarvoor het kort geding zicht niet leent.

4.8. De voorzieningenrechter is van oordeel dat Digikeur zich met de wijze waarop zij de woorden 'het Webshop Keurmerk' als weergegeven onder 2.6, 2.7 en 2.8 (heeft) gebruikt onrechtmatig gedraagt jegens Cleonice c.s. Daarbij is het volgende van belang. Digikeur heeft erkend dat zij de e-mailberichten als genoemd onder 2.6 en 2.7 heeft verstuurd aan enkele duizenden webwinkels die een keurmerk voor webwinkels voeren, waaronder alle klanten van SWK.  Het enkele benaderen van klanten van een concurrerend bedrijf hoeft niet onrechtmatig te zijn, ook niet als die concurrent daarmee benadeeld wordt, maar de wijze waarop Digikeur dat heeft gedaan in haar e-mailberichten en op haar website wordt misleidend en daarmee onrechtmatig geacht. Digikeur creëert in haar berichten onduidelijkheid over aard en herkomst van het door haar aangeboden keurmerk voor webshops, haakt daarmee aan bij de bekendheid die het keurmerk van SWK gezien het aantal aangesloten winkels heeft verkregen en probeert daarvan profijt te trekken.

4.9. Digikeur gebruikt de woorden Webshop Keurmerk immers met hoofdletters en voorafgegaan door 'het' en verwijst daarmee naar een specifiek keurmerk, namelijk het Webshop Keurmerk van SWK. Op haar website (zie 2.10) staat bovenaan in grote (hoofd)letters Webshop Keurmerk, en daaronder in kleinere letters 'door Stichting Digikeur'. Weliswaar heeft zijn in haar e-mailberichten en met het bericht genoemd onder 2.8 op haar website ook de naam Digikeur genoemd, maar gelet op de frequentie waarin de woorden 'het Webshop Keurmerk' in die berichten, en ook op de website voorkomen is dat voorzieningenrechter van oordeel dat hiermee bij het publiek de indruk wordt gewekt dat het bestaande keurmerk van SWK wordt vervangen, of wordt overgenomen door een andere uitgever, die precies hetzelfde keurmerk aanbiedt voor een lagere prijs. (€29,- per kwartaal, in plaats van €195,- per jaar, zoals SWK vraagt). Tevens wordt van belang geacht dat Digikeur ook andere mogelijkheden had om haar dienst aan te duiden. Zij was niet - zoals zij heeft gesteld - genoodzaakt de woorden webshop en keurmerk te gebruiken omdat het beschrijvende woorden zijn voor de dienst die zij aanbiedt, althans zij was niet genoodzaakt tot het gebruik van deze combinatie van woorden, laat staan dat zij genoodzaakt was die woorden te gebruiken met hoofdletters en voorafgegaan door 'het'. Voor een internetwinkel zijn, zoals Cleonice c.s. ook heeft gesteld, vele benamingen mogelijk, zoals online winkel, e-winkel, thuiswinkel, webwinkel, online shop, e-shop, thuisshop etc. en ook had Digikeur ervoor kunnen kiezen haar handelsnaam 'Digikeur' of een ander woord aan de naam van haar keurmerk toe te voegen. Al het voorgaande leidt tot de conclusie dat sprake is van oneerlijke mededinging, zodat Digikeur onrechtmatig handelt jegens Cleonice c.s. De vorderingen zijn daarom (gedeeltelijk) toewijsbaar.

Lees de beschikking hier (pdf)

Kamerbrief beleid inzake de Wet openbaarheid bestuur, 31 mei 2011, nr.2011-2000224719.

Parallel gepubliceerd van IE-Forum.nl: IEF 9761. Auteursrecht. “Hergebruik van overheidsinformatie is geregeld in hoofdstuk V-A van de Wob. Om nog bestaande knelpunten rond hergebruik weg te nemen wordt voorgesteld gebruiksbepalingen onmogelijk te maken door te bepalen dat bestuursorganen bij verzoeken om hergebruik van overheidsinformatie eventueel bij de overheid berustend auteursrecht en aanverwante rechten niet uitoefenen en slechts ten hoogste de verstrekkingskosten in rekening mogen brengen.”

Meer weten over hergebruik van overheidsdata? 
IT 296 en IT 136, Hoofdstuk V-A Wet openbaarheid bestuur

Hof Amsterdam 15 februari 2011, LJN BQ4006 (appelant tegen Nationale Postcode Loterij)

Met dank aan Herwin Roerdink, Van Doorne.

In navolging van IT 155. Verwijdering persoonsgegevens. Appelant verzocht verwijdering uit alle bestanden van de Nationale Postcode Loterij (NPL), waaronder het door de NPL aangehouden post-/mailweigeraarsbestand. Dit verzoek werd door de Rechtbank Amsterdam afgewezen. In hoger beroep bekrachtigt het hof deze beschikking. Immer om uitvoering te geven aan recht van verzet, is NPL verplicht een weigeraarsbestand aan te houden om te voorkomen dat de betrokkene (weer) wordt benaderd voor commerciële doeleinden, geen bestand zoals art. 41  Wbp.

3.4 In hoger beroep beperkt [appellant] zijn verzoek tot het mailweigeraarsbestand van NPL. Het beroep richt zich in de kern tegen het oordeel van de rechtbank dat het recht van verzet als bedoeld in artikel 41 Wbp zich niet uitstrekt tot het postweigeraarsbestand van NPL omdat dit geen commercieel doel dient. Volgens [appellant] dient het aanhouden van een weigeraarsbestand wel een commercieel doel omdat dit een instrument is waarmee het aanschrijven van non-respondenten, zijnde een verliespost, voorkomen wordt. Voorts heeft [appellant] tijdens de mondelinge behandeling aangevoerd dat gelet op de woorden “in verband met” in de tekst van artikel 41 Wbp (“Indien gegevens worden verwerkt in verband met…” ) een weigeraarsbestand hieronder valt.
Subsidiair doet [appellant] een beroep op de overige artikelen van de Wbp, meer in het bijzonder op artikel 35 juncto 36 Wbp.

3.5 Het hof oordeelt als volgt.
Artikel 41 Wbp is een uitvloeisel van de keuze van de wetgever voor een systeem waarbij degene wiens gegevens worden verwerkt met het oog op werving voor commerciële doeleinden hiertegen bezwaar kan maken. Om uitvoering te kunnen geven aan dit recht van verzet is de verantwoordelijke, zoals NPL, verplicht om een weigeraarsbestand aan te houden om te voorkomen dat de betrokkene, zoals [appellant], (weer) wordt benaderd voor commerciële doeleinden. Naar ’s hofs oordeel legt NPL conform haar wettelijke plicht terecht een weigeraarsbestand aan. Indien, zoals [appellant] betoogt, het aanhouden van een weigeraarsbestand een commercieel doel zou dienen en daartegen dus de mogelijkheid van verzet zou openstaan, zou daarmee de nakoming door NPL van haar wettelijke plicht illusoir worden. Het weigeraarsbestand kan daarom niet worden aangemerkt als een bestand als bedoeld in artikel 41 Wbp.
Ook overigens ziet het hof in de tekst van artikel 41 Wbp geen aanknopingspunten voor de door [appellant] voorgestane uitleg.

3.6 Een beroep op artikel 36 Wbp kan evenmin slagen. Dit artikel heeft betrekking op vermelding van onjuiste persoonsgegevens. Niet gesteld of gebleken is dat daarvan in dit geval sprake is. Voor zover [appellant] een beroep doet op schending door NPL van enig ander artikel uit de Wbp, faalt dit beroep bij gebreke van enige feitelijke onderbouwing.

Lees de uitspraak hier (link / pdf)

In het Rapport van VN-speciale rapporteur Frank La Rue wordt het internet als 'indispensable tool for realizing a range of human rights, combating inequality, and accelerating development and human
progress, ensuring universal access to the Internet should be a priority for all States.'

Lees het gehele rapport hier (link)

Met dank aan Mark Jansen, Dirkzwager advocaten & notarissen (zie eerder hier).

Op verzoek van de Deense gemeente Odense heeft de Deense privacytoezichthouder geoordeeld over de vraag of het gebruik van Google Apps te verenigen is met het privacyrecht. De toezichthouder concludeert dat dit niet het geval is.

De gemeente Odense wilde haar leraren gebruik laten maken van Google Apps (de verzameling van Google producten, zoals Google Docs, Google Maps, etc.) voor onder meer het registreren van lesroosters, het toetsen van leerontwikkeling van leerlingen en het communiceren met andere leraren, leerlingen en hun ouders. Hiervoor vraagt ze advies aan de Deense privacytoezichthouder: Datatilsynet.

Het oordeel van de Deense toezichthouder is interessant, omdat de Deense privacywet, net als de Nederlandse privacywetgeving, voorkomt uit dezelfde EU privacyrichtlijn. Het zou dus heel goed kunnen dat het Nederlandse College Bescherming Persoonsgegevens soortgelijk over een dergelijke kwestie oordeelt.

Datatisynet concludeert dat de privacybescherming bij gebruik van de cloud computing oplossing Google Apps onvoldoende gewaarborgd is. Meer specifiek signaleert zij de volgende vijf aandachtspunten:

1. Export van data buiten de EER;
2. Het ontbreken van een goede risico-inventarisatie;
3. Eisen die worden gesteld aan de bewerkersovereenkomst;
4. Eisen rond het verwijderen van data;
5. Overige eisen die het privacyrecht stelt.

Deze zal ik hierna kort behandelen.

1. . Export van data buiten de EER

Persoonsgegevens mogen in beginsel niet naar buiten de EER (Europese Economische Ruimte) worden geexporteerd, tenzij er sprake is van export naar een land dat een voldoende passend beschermingsniveau heeft. Datatisynet concludeert dat niet alle datacentra van Google in landen in de EER of in landen met zo’n passend beschermingsniveau staan.

The transmission of data to data centres located in other insecure third countries than the USA, may only occur if the conditions in Section 27(3) or Section 27(4) of the Act on Processing of Personal Data are met. It has not been stated whether all of Google Inc.’s data centres in Europe are located within the EU/EEA.

Based on the information presented, it must be assumed that there is not the necessary compliance with Section 27(3) to transfer data to such data centres.

Dat betekent dat deze data-export alleen is toegestaan onder specifieke nadere voorwaarden. Er moet een modelovereenkomst worden gesloten en er moet toestemming worden gevraagd aan de toezichthouder. Dergelijke voorwaarden gelden naar Nederlands recht ook.

If data centres in Europe – but outside of the EU/EEA – are to be used, Odense Municipality and the individual data centres may enter into an agreement based on the EU Commission’s standard contractual clauses, or Odense Municipality may grant Google Ireland Limited a clear mandate to enter into agreements, in Odense Municipality’s name and on behalf of Odense Municipality, based on the EU Commission’s standard contractual clauses with the individual data centres. In addition, it would be necessary to apply for authorisation from the Danish Data Protection Agency pursuant to Section 27(4) of the Act on Processing of Personal Data.

2.  Het ontbreken van een goede risico-inventarisatie

Naar Deens recht is het kennelijk zo dat een verantwoordelijke een inventarisatie moet maken van de veiligheidsrisico’s wanneer persoonsgegevens worden geexporteerd. Volgens Datatisynet voldoet de inventarisatie die de gemeente gemaakt heeft niet aan de eisen die de toezichthouder daar aan stelt.

Een dergelijke verplichting staat niet zo letterlijk in de Nederlandse wet, maar een verantwoordelijke is wel in het algemeen verplicht om passende beveiligingsmaatregelen te nemen die er onder meer toe bijdragen dat persoonsgegevens overeenkomstig de wet worden verwerkt (artikel 13 WBP). Dat zal in de praktijk al snel betekenen dat er ter zake een beleid moet worden geformuleerd. Uit het jaarverslag van het CBP, waar wij recent al over hebben geschreven, blijkt dat het CBP het ontbreken van dergelijk beleid al kwalificeert als een schending van de WBP.

3. Eisen die worden gesteld aan de bewerkersovereenkomst

Wanneer de verwerking van persoonsgegevens wordt uitbesteed – zoals bij de cloud – dan moet hiervoor een overeenkomst tussen de verantwoordelijke (de uitbestedene partij) en de bewerker (de uitvoerende partij) worden gesloten. Dat is naar Nederlands recht zo en dat is, kennelijk, naar Deens recht niet anders.

De bewerker moet zich daarbij richten naar de instructies van de verantwoordelijke. Volgens Datatisynet is die instructieverhouding bij Google Apps onvoldoende gewaarborgd:

If the general requirements cited by Odense Municipality are to solely comprise the processor agreement, this requirement would be described as follows: “Customer … instructs Google to provide the Services and process End User personal data in accordance with the Google Privacy Policies and Google agrees to do the same.” (cf. section 1.4 of “Google Apps General Terms”).

In the view of the Danish Data Protection Agency, this solely obliges Google Ireland Limited to process the personal data in accordance with Google Inc.’s own Privacy Policy. Thus, Odense Municipality solely instructs Google Ireland Limited to process data in accordance with the Google Inc. group’s own guidelines. The Danish Data Protection Agency finds that such instructions must be deemed devoid of content, in purely material terms.

Bovendien is de toezichthouder kritisch over het feit dat Google de betreffende voorwaarden eenzijdig kan wijzigen:

In addition, it does not appear to be out of question that Google Ireland Limited can unilaterally change the agreement terms in the company’s general terms and conditions, nor is there anything in the processor agreement that prevents Google Inc. from unilaterally changing the company’s Privacy Policy. On this basis, the Danish Data Protection Agency’s view is that Odense Municipality, in reality, has no control of how the data will be processed. The agency therefore assumes that Google Ireland Limited – and Google Inc. – decide how the data will be processed.

Naar mijn inschatting zal de Nederlandse privacytoezichthouder hier niet anders over oordelen.

4. Eisen rond het verwijderen van data

De Deense privacywetgeving bepaalt kennelijk dat gegevensdragers die worden weggegooid en die nog persoonsgegevens bevatten, zodanig moeten worden vernietigd dat die persoonsgegevens niet langer leesbaar zijn. Datatisynet concludeert dat het niet kan verifieren of Google aan deze eis voldoet:

The Danish Data Protection Agency’s view is that, based on the information provided in this case, it is impossible to assess whether the deletion of data media at Google Ireland Limited’s and Google Inc.’s data centres is adequate. Further, the Danish Data Protection Agency finds it to be unclear whether the data are deleted in such a way that they cannot possibly be recreated from Google’s servers. On this basis, the agency finds it difficult to deem the requirements for deletion in Section 9 of Executive Order on Security and Section 5 of the Act on Processing of Personal Data as being met.

Opnieuw geldt dat een dergelijke vernietigingsplicht niet zo letterlijk in de Nederlandse wet staat, maar dat analoge toepassing hiervan goed denkbaar is. Naar Nederlands recht zijn personen die persoonsgegevens verwerken verplicht tot geheimhouding daarvan (artikel 12 lid 2 WBP) en het opzettelijk schenden hiervan vormt een misdrijf (272 Sr). Van opzet is volgens de wetsgeschiedenis (al) sprake wanneer “wordt gehandeld in strijd met een uitdrukkelijke aanwijzing van de verantwoordelijke of een waarschuwing van enige toezichthouder“. Onder omstandigheden zou het slordig omspringen met een gegevensdrager met persoonsgegevens dus strafbaar kunnen zijn. Ook is denkbaar dat dergelijk gedrag kwalificeert als een onrechtmatige daad.

5. Overige eisen die het privacyrecht stelt

De Deense toezichthouder concludeert verder dat in de Google Apps wel eens bijzondere persoonsgegevens zouden kunnen worden uitgewisseld en dat om die reden strenge eisen gesteld moeten worden aan het inlogproces (zoals het gebruik van elektronische handtekeningen). Ook is volgens Datatisynet het loggen van mislukte inlogpogingen onvoldoende gewaarborg. Ook een algemene logging lijkt te ontbreken, terwijl ook dit volgens de toezichthouder zou mogen worden verwacht:

9.3. It has not be stated whether Google Ireland Limited and Google Inc.’s data centres perform logging of uses of personal data, what information is logged, or how long the log is stored. As the case stands, the Danish Data Protection Agency does not find it to be substantiated that the municipality will be able to comply with the logging requirements in Section 19 of the Executive Order on Security.

De parallel is wederom opvallend. Soortgelijke eisen komen naar Nederlands recht naar voren in het, alweer tien jaar oude, rapport “Beveiliging van persoonsgegevens” van het College Bescherming Persoonsgegevens.

Beantwoording vragen over het bericht 'iPhone maakt elke minuut een foto van je, ook in bed' Kamerstukken II, 2010-11, nr. 2011Z08644

3.Wat is uw oordeel over het door het bedrijf Apple voor eindgebruikers en tussenhandelaren verborgen houden van deze eigenschappen van hun apparatuur?

4 Bent u bereid om de Consumentenautoriteit en het College ter Bescherming Persoonsgegevens te verzoeken om op korte termijn te adviseren over door de Regering te nemen maatregelen, opdat consumenten voortaan op tijd worden geïnformeerd en een eigen afweging kunnen maken?

Antwoord 3 en 4

Het betreft in dit geval de relatie tussen een producent en een consument. Het is niet aan mij om een oordeel uit te spreken over de invulling van die relatie. De wettelijke informatieverplichtingen zijn helder (zie mijn antwoord op vraag 2).
Verder hebben de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, in een gemeenschappelijk standpunt van 16 mei 2011 (zie https://www.cbpweb.nl/downloads_int/wp185_en.pdf) aanbevelingen omtrent het
verwerken van locatiegegevens opgesteld die een aanknopingspunt bieden voor verantwoordelijken in de zin van de Wet Bescherming Persoonsgegevens (Wbp). Voor klachten over de naleving van de wettelijke (informatie)verplichtingen
kunnen de consumenten zich wenden tot de Consumentenautoriteit en het College bescherming persoonsgegevens. Ik acht een separaat advies op dit punt niet noodzakelijk.