Rechtbank Utrecht 8 december 2010, 16-711232-10 (LJN: BO6723). Verdachte heeft zich schuldig gemaakt aan computervredebreuk, het opzettelijk vervalsen van OV-chipkaarten en het voorhanden hebben van computerapparatuur en software om de OV-chipkaarten te vervalsen. Hiervoor is hij veroordeeld tot een werkstraf van zestig uur en een voorwaardelijke gevangenisstraf van één maand.

Verdachte heeft meerdere OV-chipkaarten vervalst. Uit het vonnis blijkt dat verdachte voor € 30 een kaartlezer heeft aangeschaft en de benodigde hacksoftware via het internet heeft gedownload. De verdachte stelt bij de rechter dat hij vanuit idealen heeft gehandeld:

"Verdachte heeft met zijn handelwijze willen aantonen dat de beveiliging van de OV-chipkaart zo lek als een mandje is."

Uit het vonnis blijken echter de volgende feiten:

"Nader onderzoek door de politie wijst een veelvuldig terugkerende reisbeweging tussen Leiden CS en Schiphol uit op meerdere gehackte kaarten en daarnaast op meerdere andere reisbewegingen. Uiteindelijk wordt verdachte door de politie aangehouden. Bij de doorzoeking in de kamer van verdachte te Leiden wordt door de politie onder meer een kaartlezer, een computer en elf OV-chipkaarten in beslaggenomen. [...] Verdachte bekent bovendien dat hij aan vier van zijn collega’s een gehackte kaart heeft verschaft en aan een van hen zelfs meerdere gehackte kaarten."

De verdachte beroept zich op de vrijheid van meningsuiting, artikel 10 EVRM.

"Volgens verdachte heeft hij zelf echter nooit voordeel gehad van de vervalste passen, omdat hij zelf altijd een regulier vervoersbewijs gebruikte naast de gehackte pas en hij de passen aan zijn collega’s heeft verstrekt tegen de kostprijs van een anonieme OV-chipkaart. Zijn oogmerk was slechts het aantonen dat de beveiliging van de OV-chipkaart niet deugde en in strijd was met het belang van privacy. [...] De raadsman heeft aangevoerd dat het feit niet strafbaar is, omdat verdachte op grond van artikel 10 van het Verdrag van de Rechten van de Mens en Fundamentele Vrijheden (EVRM) het recht heeft op vrije meningsuiting en het hacken van de OV-chipkaart voor hem een onderzoek betrof om zijn mening dat de OV-chipkaart onvoldoende beveiligd was te onderbouwen met feitelijke gegevens."

De rechtbank maakt daar korte metten mee:

"De rechtbank acht het verweer van verdachte dat hij slechts bezig was om zijn standpunt ten aanzien van de beveiliging van de OV-chipkaart te onderbouwen met feitelijke gegevens niet aannemelijk. De door de raadsman aangehaalde jurisprudentie heeft betrekking op met deze zaak onvergelijkbare zaken. Uit niets blijkt dat verdachte contact heeft gezocht met de media of met [bedrijf 1] om zijn standpunt met betrekking tot de beveiliging van de OV-chipkaart weer te geven. Verdachte heeft weliswaar verklaard dat zijn onderzoek nog niet was afgerond, maar op het moment van zijn aanhouding had hij al 26 OV-chipkaarten vervalst en uit niets blijkt dat verdachte van plan was hiermee op korte termijn te stoppen. De rechtbank is dan ook van oordeel dat onder deze omstandigheden het beroep van verdachte op artikel 10 van het EVRM niet kan slagen. 

Verdachte is OV-chipkaarten binnengedrongen die eigendom zijn van [bedrijf 1] en heeft daarbij, door onder meer speciaal daarvoor aangeschafte computerapparatuur, de beveiliging doorbroken. Dit zijn ernstige strafbare feiten. Het is van groot economisch en maatschappelijk belang dat consumenten vertrouwen moeten kunnen hebben in waardekaarten zoals de OV-chipkaart. Door de computervredebreuk en vervolgens het vervalsen van OV-chipkaarten is een ernstige inbreuk gemaakt op het vertrouwen van de consument in de OV-chipkaart. Wanneer dit vertrouwen niet meer aanwezig is, bestaat het risico van ontwrichting van het openbaar vervoer. Dit kan tevens leiden tot grote schade voor de eigenaar van de OV-chipkaart, Aan verdachte dient dan ook een straf te worden opgelegd."

Lees het vonnis hier.

Voorzieningenrechter Rechtbank te ’s-Gravenhage, vonnis in kort geding d.d. 8 december 2010, X en Playseats B.V. tegen Y c.s. (KG ZA 10-1207). Van voldoende gerichtheid op Nederland is naar voorlopig oordeel geen sprake op grond van het enkele gegeven dat eBay ook het aanbod van buitenlandse aanbieders op buitenlandse versies van eBay weergeeft. Ook het opnemen van een standaard Google vertaalmodule (mede voor de Nederlandse taal) levert geen gerichtheid op Nederland op. Met dank aan Hidde Koenraad, Vondst Advocaten. 

Het geschil betreft de vraag of sprake is van merkgebruik in Nederland door gebruik van het merk Playseats op diverse websites. Daarnaasts speelt de vraag of een buitenlandse advertentie die opduikt op de Nederlandse ebay-site, merkgebruik in Nederland oplevert.

Van voldoende gerichtheid op Nederland is naar voorlopig oordeel geen sprake op grond van het enkele gegeven dat eBay zijn buitenlandse databases met elkaar in verbinding heeft gebracht en aldus via <ebay.nl> ook het aanbod van buitenlandse aanbieders op buitenlandse versies van eBay weergeeft. Ook het opnemen van een standaard Google vertaalmodule (mede voor de Nederlandse taal) in de heading van een op Duitland gerichte website wordt in casu naar voorlopig oordeel niet genoegzaam geacht om van gerichtheid op Nederland te kunnen spreken:

"4.9. De tweede grondslag [voor merkinbreuk, red.] is het aanbieden door Y. c.s. middels eBay.nl. Y c.s. weerspreekt ook hier naar voorlopig oordeel terecht dat sprake is van voldoende gerichtheid op Nederland. De betreffende webshop van Y en Playseat GmbH is opgezet in het Duits voor Duitsland en door de uitbater van eBay gekoppeld, zodat deze Duitse webwinkel met zekere Nederlandse standaardteksten opduikt op eBay.nl. Het enkele gegeven dat eBay zijn buitenlandse database met elkaar in verbinding heeft gebracht en aldus via <ebay.nl> ook het aanbod van buitenlandse aanbieders op buitenlandse (bijvoorbeeld, zoals in het onderhavige geval: Duitse) versies van eBay weergeeft, levert naar voorlopig oordeel geen voldoende gerichtheid op Nederland op in de zin van de vaste rechtspraak terzake. Dit is naar voorlopig oordeel namelijk op een lijn te stellen met de omstandigheid dat buitenlandse websites vanuit Nederland ook bereikbaar zijn, maar daarmee is naar vaste rechtspraak nog geen sprake van gerichtheid op Nederland in de thans aan de orde zijnde zin.

4.10 De “Nederlandse taal” component uit de op Duitsland gerichte website www.race-star.de betreft een standaard Google vertaalmodule in de heading van deze website (die overigens thans niet meer wordt gevoerd door Y c.s.), die aangeklikt kan worden en vervolgens zorgt voor een (rudimentaire) zogenoemde machinevertaling in (onder meer) het Nederlands. Ook dat ik naar voorlopig oordeel niet genoegzaam om gerichtheid op Nederland te kunnen spreken – zo op deze forum-achtige website überhaupt als sprake zou zijn van aanbieden, wat X c.s. wel stelt, maar Y c.s. bestrijdt. […]."

Lees het vonnis hier.

Voor een eerder discussie over gerichtheid van websites, zie hier en hier.

Volgens de Europese Commissie bestaan er binnen Europa te veel belemmeringen voor elektronisch factureren. De Commissie heeft onder meer aangekondigd om het raamwerk voor elektronische handtekeningen aan te passen om zo het gebruik van elektronisch factureren te bevorderen. Lees de mededeling over elektronisch factureren hier.

Voor de aangekondigde verandering van het raamwerk voor elektronische handtekeningen zie blz. 7:

"Some e-invoicing solutions make use of electronic signatures (e-signatures). However, the diversity of legal requirements among Member States for e-signatures have led to cross border interoperability problems which contributed to slow down the uptake of cross-border e-invoicing solutions in so far as they make use of e-signatures. Despite the positive impact of existing legal provisions on the use of e-signatures and the political commitments taken by the Member States and the Commission, a more coordinated and comprehensive approach is needed to facilitate the EU-wide cross-border interoperability of e-signatures. To this end in the framework of the Digital Agenda, the Commission proposed to revise the current Directive 1999/93/EC on e-signatures."

Op 2 december 2010 droeg Willem Hoorneman bij gelegenheid van de lancering en presentatie van het boek Softwarerecht  (met een knipoog naar 5 december) een verhaal voor over de octrooirechtelijke bescherming van software gerelateerde uitvindingen. Lees hier de volledige tekst van dit sinterklaasverhaal voor technologiejuristen. Met dank aan Willem Hoorneman, CMS Derks Star Busmann.

Kluwer kondigde het al een tijd geleden aan, maar nu is het echt zo ver. Op 2 december presenteerden Hendrik Struik, Willem Hoorneman en Peter van Schelven hun nieuwe boek "Softwarerecht". Het boek is de "tweede en geheel herziene druk" van het gelijkbnamige boek uit 1995.

De bewering dat het boek "geheel herzien" is, lijkt beslist niet te zijn overdreven. Het boek is met ruim 700 pagina's enkele malen dikker dan de eerste druk. Verder bevat het niet alleen een "update" en uitbreiding van de onderwerpen uit de eerste druk, maar bevat het boek ook een geheel nieuw deel dat is gewijd aan software octrooien.

Softwarerecht is verschenen in de serie Recht & Praktijk van Kluwer; lees hier de informatie van de uitgever.

Hof van Justitie van de Europese Unie, 2 december 2010 (Ker-Optika), C-108/09. De Hongaarse wet verbiedt de online verkoop van contactlenzen om de gezondheid van contactlensdragers te beschermen. Doel van de wet is om oogaandoeningen en chronische gezichtsgebreken tegen te gaan. Het HvJ acht de wet daartoe inderdaad geschikt, maar tegelijkertijd oordeelt het Hof dat de wet verder gaat dan noodzakelijk is om het doel te bereiken. "De artikelen 34 VWEU en 36 VWEU alsook richtlijn 2000/31 moeten aldus worden uitgelegd dat zij zich verzetten tegen een nationale regeling volgens welke contactlenzen uitsluitend in speciaalzaken voor medische hulpmiddelen mogen worden verkocht."

Het Hof vat eerst samen onder welke omstandigheden een nationale wet het vrije verkeer van goederen opzij kan zetten:

"57 Volgens vaste rechtspraak kan een belemmering van het vrije verkeer van goederen worden gerechtvaardigd door een van de in artikel 36 VWEU omschreven redenen van algemeen belang of op grond van dwingende vereisten. In beide gevallen dient de nationale maatregel geschikt te zijn om de verwezenlijking van het nagestreefde doel te waarborgen en mag hij niet verder gaan dan noodzakelijk is om dat doel te bereiken (zie met name arrest Commissie/Italië, reeds aangehaald, punt 59 en aldaar aangehaalde rechtspraak).

58 Bij een maatregel inzake volksgezondheid moet ermee rekening worden gehouden dat de gezondheid en het leven van personen de eerste plaats innemen onder de goederen en belangen die door het Verdrag worden beschermd, en dat het de taak van de lidstaten is om te beslissen op welk niveau zij de bescherming van de volksgezondheid wensen te verzekeren en hoe dit dient te gebeuren. Aangezien dit niveau per lidstaat kan verschillen, beschikken de lidstaten over een beoordelingsmarge (zie arrest van 1 juni 2010, Blanco Pérez en Chao Gómez, C‑570/07 en C‑571/07, nog niet gepubliceerd in de Jurisprudentie, punt 44 en aldaar aangehaalde rechtspraak)."

In r.o. 59-64 concludeert het Hof dat de Hongaarse wet geschikt is om het nagestreefde doel (tegengaan oogaandoeningen en chronische gezichtsgebreken) te bereiken. Vervolgens komt het Hof echter tot de conclusie dat de regeling te ver gaat:

"68 Elke gebruiker van contactlenzen kiest dus vrij voor een dergelijk onderzoek en consult, zodat het hoofdzakelijk zijn beslissing is, waarbij de opticien hem adviseert.

69 De klant kan bij internetverkoop op dezelfde wijze vóór de levering van de contactlenzen worden geadviseerd met interactieve gegevens op de betrokken website die de klant vóór aankoop van dergelijke lenzen moet gebruiken (zie in die zin wat internetverkoop van geneesmiddelen betreft, arrest Deutscher Apothekerverband, reeds aangehaald, punt 114).

70 In de tweede plaats kan de lidstaat – zoals is vastgesteld in punt 63 van het onderhavige arrest – zeker eisen dat een opticien de geschiktste soort contactlenzen bepaalt, waarbij hij moet controleren of de klant de lenzen juist op zijn ogen aanbrengt en hem moet adviseren over het correcte gebruik en onderhoud ervan.

71 Deze diensten zijn in beginsel evenwel alleen bij de eerste levering van contactlenzen vereist. Latere leveringen vereisen in de regel namelijk geen dergelijke diensten aan de klant. De klant hoeft de verkoper alleen mee te delen welk soort lenzen hij bij de eerste levering heeft gekregen, waarbij in voorkomend geval de eigenschappen van deze lenzen bij een nieuw voorschrift van een oogarts aan het gewijzigde gezichtsvermogen van de klant worden aangepast.

72 In de derde plaats kan de klant, wanneer langdurig gebruik van de contactlenzen extra inlichtingen en advies vereist, deze informatie krijgen via interactieve gegevens op de website van de leverancier.

73 Bovendien kan een lidstaat de betrokken marktdeelnemers ertoe verplichten een beroep te doen op een geschoold opticien die de klant op afstand geïndividualiseerde inlichtingen en geïndividualiseerd advies voor gebruik en onderhoud van de contactlenzen verstrekt. Wanneer inlichtingen en advies op afstand worden verstrekt, kan dit overigens voordelen bieden daar de contactlensdrager zonder verplaatsing zijn vragen weloverwogen en doelgericht kan stellen (zie in die zin wat internetverkoop van geneesmiddelen betreft, arrest Deutscher Apothekerverband, reeds aangehaald, punt 113).

74 Derhalve kan het doel de gezondheid van de contactlensdragers te beschermen worden bereikt met minder restrictieve maatregelen dan die krachtens de regeling in het hoofdgeding, wanneer alleen de eerste levering van lenzen aan bepaalde beperkingen wordt onderworpen en de betrokken marktdeelnemers ertoe worden verplicht, een geschoold opticien ter beschikking van de klant te stellen."

Lees het arrest hier.

De laatste tijd is er in IT-land veel te doen om de open-source software Firesheep. Met deze software is het heel eenvoudig het acccount van een ander op een website over te nemen. De betreffende websites schenden hiermee de verplichting tot het garanderen van een passend niveau van beveiliging. Gebruikmaken van de software is echter ook niet zonder risico.

Met dank aan Mark Jansen, Dirkzwager advocaten & notarissen

Werking software Firesheep

De software Firesheep maakt gebruik van het volgende principe. Op moderne “web 2.0″ websites moet je veelal inloggen om de (volledige) functionaliteit van de website te kunnen gebruiken (sites als Facebook, Hotmail, Hyves, etc.). Na succesvol inloggen wordt meestal een cookie teruggezonden aan de bezoeker, zodat deze bij een volgend bezoek eenvoudig herkend kan worden. Die cookie wordt vaak onversleuteld verzonden en is dus – bijvoorbeeld bij gebruik van draadloos internet – door iedereen af te vangen. Firesheep detecteert dergelijke onbeveiligd verzonden cookies automatisch op ieder draadloos netwerk in de buurt. Na afvangen van de betreffende cookie kan eenvoudig worden ingelogd op de website onder de naam van degene wiens cookie is afgevangen.

Beveiligingsverplichting

Deze software roept juridisch de nodige vragen op. Websites waarop moet worden ingelogd om toegang te krijgen tot het eigen account, verwerken persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (WBP). Op grond van artikel 13 WBP moet de exploitant van de website “passende technische en organisatorische maatregelen” treffen om die gegevens te beveiligen tegen o.a. verlies. Uit de wetsgeschiedenis volgt dat dit onder andere betekent dat de beveiliging in overeenstemming moet zijn “met de stand van de techniek“.

Huidige stand van de techniek

Een korte zoektocht op internet leert dat diverse bedrijven hun beveiliging naar aanleiding van de software hebben aangepast. Ook blijkt uit onderzoek dat bij diverse websites het inlogproces niet af te luisteren is. Daarmee kan denk ik goed verdedigd worden dat, voor zover het hanteren van een versleuteld inlogproces en het versleuteld versturen van cookies niet al tot de stand van de techniek behoorde, dat thans toch in ieder geval wel de stand van de techniek is geworden.

Risico websitehouders die stand techniek niet gebruiken

Websitehouders die deze stand van de techniek niet hanteren voor hun inlogproces, schenden dus hoogstwaarschijnlijk de beveiligingsverplichting die artikel 13 WBP stelt. Het College Bescherming Persoonsgegevens zou hier tegen kunnen optreden door het opleggen van dwangsommen of boetes. Ook is denkbaar dat individuele gebruikers van wie de account gekaapt is, de websitehouder voor alle daaruit voortvloeiende schade aansprakelijk kunnen stellen.

Risico gebruikers software

Overigens is het gebruik van de Firesheep software ook niet zonder risico. Het inloggen op andermans account met gebruikmaking van afgevangen cookies valt zeer waarschijnlijk onder het delict computervredebreuk (artikel 138ab Wetboek van Strafrecht). Op dit misdrijf staat maximaal een jaar gevangenisstraf of € 19.000 boete. Die gevangenisstraf wordt verhoogd naar maximaal vier jaren wanneer na inloggen op het account gegevens worden overgenomen. Wanneer na inloggen op andermans account gegevens worden gewijzigd, is vermoedelijk sprake van het misdrijf beschreven in artikel 350a Sr. Hierop staat maximaal twee jaar gevangenisstraf en dezelfde boete.

Dit bericht is oorspronkelijk verschenen op: https://dirkzwagerieit.nl/2010/12/02/onvoldoende-beveiligde-websites-schenden-privacywetgeving/ 

De discussie over de reikwijdte van open source licenties beperkt zich niet tot software. Michel Houellebecq heeft voor zijn de veelbesproken en bekroonde nieuwe roman La carte et le territoire stukken overgenomen van Wikipedia. Volgens de Franse jurist Florent Gallaire heeft dit op grond van de Wikipedia open source licentie tot gevolg dat Houellebecq zijn boek gratis ter beschikking moet stellen. Met dank aan Tjeerd Overdijk, Vondst Advocaten.

Wikipedia hanteer de Creative Commons BY-SA 3.0. Deze licentievoorwaarden bepalen onder meer:

"Gelijk delen — Indien de gebruiker het werk bewerkt kan het daaruit ontstane werk uitsluitend krachtens dezelfde licentie als de onderhavige licentie of een gelijksoortige licentie worden verspreid."

De licentie bepaalt ook dat gebruikers het werk mogen kopiëren, verspreiden en doorgeven. Het boek vormt een bewerking, aldus Gallaire, en gebruikers mogen het dus evenzo kopiëren, verspreiden en doorgeven. Het boek is dan ook gratis te vinden op zijn site.

Lees de blog van Gallaire hier.

De kwestie is inmiddels ook al door de Nederlandse media opgepikt, zie onder meer het NRC hier. Volgens het NRC wil de uitgever een rechtzaak tegen hem beginnen. We blijven het volgen!

"KPN verliest opdracht na vals spel" kopt het Financieele Dagblad vandaag. "In juli vroeg de KPN-tak die wilde inschrijven op de aanbesteding aan het eigen netwerkbedrijf om lagere inkooptarieven, om zo de opdracht binnen te kunnen slepen. Een uur voor het sluiten van de aanbesteding maakte KPN die tarieven ook bekend aan de concurrentie. Die kon door het late tijdstip de kortingen echter niet meer verwerkingen in haar offertes aan de overheid."

KPN won de opdracht. Concurrent Tele2 diende daarop een handhavingsverzoek in bij OPTA. OPTA wijst het verzoek af, maar concludeert wel:

"OPTA heeft geconstateerd dat KPN de wettelijke plicht om haar interne en externe afnemers gelijktijdig op de hoogte te stellen heeft overtreden. KPN heeft hiermee de concurrentie verstoord, meer in het bijzonder in het kader van de aanbesteding van OT2010. Deze aanbesteding vertegenwoordigt een totale omzetwaarde van circa 15-20 miljoen euro per jaar. "

Zoals we kunnen lezen in het FD heeft de overheid vervolgens de opdracht aan KPN ingetrokken en heeft zij de opdracht alsnog aan Tele2 gegund. KPN heeft een kort geding aangespannen tegen deze gunning. Het kort geding dient op 24 december 2010. Nader bericht volgt ongetwijfeld.

Lees het FD artikel hier.

Rechtbank Amsterdam, 24 november 2010, LJN BP6880, HA ZA 09-185 (Kim Holland Productions B.V. c.s. tegen 123 Video B.V.)

Op grond van art. 6:196c BW is een louter faciliterende tussenpersoon niet aansprakelijk voor eventuele inbreuken door uploaders. De rechtbank is in deze zaak echter van mening dat 123video niet slechts het uploaden van filmpjes faciliteert, maar deze zelf opnieuw publiceert. En daarbij mag ze géén beroep doen op de uitsluiting voor aansprakelijkheid voor tussenpersonen. Met dank aan Arnoud Engelfriet.

Op 123video kunnen gebruikers zelf filmpjes uploaden in diverse categorieën, waaronder "XXX - Erotiek & Sex". Eind 2007 en begin 2008 werden er filmpjes geüpload van Kim Holland, die daarvoor de site aansprakelijk stelde. De site had de
uploader in vrijwaring opgeroepen, maar dat bleek uiteindelijk geen praktisch haalbare kaart. 123video verweerde zich vervolgens zelf, met als hoofdargument dat zij niet aansprakelijk is voor auteursrechteninbreuk. 123video ziet zich als een tussenpersoon, een dienstverlener die mensen filmpjes laat uploaden maar zelf geen bemoeienis heeft met de inhoud. En volgens art. 6:196c BW is zo'n tussenpersoon niet aansprakelijk voor eventuele inbreuken door uploaders.

De rechtbank denkt daar anders over:

"123 Video komt met volledige kennis van de gevolgen van haar gedrag tussen om aan bezoekers van haar site toegang tot beschermde werken te verlenen. Zij heeft op haar website een aparte categorie voor pornovideo's aangemaakt, waardoor de op haar site geplaatste pornovideo's voor gebruikers eenvoudig toegankelijk zijn. Video's die in de categorie XXX niet thuishoren, maar daar desalniettemin zijn geplaatst, verplaatst 123 Video (al dan niet na een melding) naar een andere categorie."

Daarbij neemt de rechtbank voor onweersproken en dus waar aan dat:

"Bijna alle andere grote online pornosites hebben hetzelfde gedaan:
eerst veel materiaal naar de site laten uploaden. Dat genereert het nodige verkeer naar de site. ... Zodra er voldoende verkeer naar de site is, wordt de content gelegaliseerd. [...] De rechtbank houdt het er daarom voor dat de aanwezigheid van illegale content binnen de categorie XXX eerder regel dan uitzondering was."

123video faciliteert dus niet slechts het uploaden van filmpjes maar publiceert ze zelf opnieuw. En daarbij mag ze géén beroep doen op de uitsluiting voor aansprakelijkheid voor tussenpersonen: 123 laat zich "wel degelijk in met de van gebruikers afkomstige informatie, alsmede dat zij controle heeft over die informatie en de gebruikers van de website van 123 Video". Het beroep op 6:196c BW wordt dan ook afgewezen.

Kim Holland wordt opgeroepen nader bewijs te leveren dat zij auteursrechthebbende is op de filmpjes.

Lees de uitspraak hier.

Inmiddels ook verschenen op IEForum.