Internet  

Brief aan de Voorzitter van de Tweede Kamer der Staten-Generaal, Kamerstukken II 2013-2014, 26 643, nr. 320.
Tijdens het algemeen overleg Cybersecurity van 27 maart jongstleden (Kamerstuk 26 643, nr. 312) is een aantal vragen gesteld over de aanpak van botnets in Nederland. Deze vragen hebben betrekking op de verantwoordelijkheidsverdeling en de samenhang van de activiteiten van de private en publieke organisaties die betrokken zijn bij de aanpak van botnets, alsmede op aspecten als privacy en aansprakelijkheid. Met deze brief voldoe ik, mede namens mijn ambtgenoot van Economische Zaken, aan de toezegging uw Kamer voor de zomer te informeren over de aanpak van botnets in Nederland.

Met enige regelmaat worden burgers het slachtoffer van cybercriminaliteit. Daarbij maken criminelen geregeld gebruik van botnets. Een botnet is een netwerk van samenwerkende apparaten, meestal privé- of bedrijfscomputers, de zogeheten «bots», die met dezelfde malware zijn besmet. Criminelen kunnen een botnet centraal aansturen om de bots voor eigen doeleinden in te zetten. Deze problematiek is door het NCSC in de opeenvolgende Cyber Security Beelden Nederland geschetst.

De dreiging die uitgaat van botnets neemt het kabinet serieus. De aanpak van deze dreiging vraagt inzet van overheid, bedrijfsleven en burgers. De overheid handelt daarbij op verschillende vlakken en vanuit verschillende rollen, zoals hieronder wordt geschetst. Vanuit het bedrijfsleven pakken de Internet Service Providers een actieve rol in de bestrijding van botnets en geven daarbij invulling aan de in de tweede Nationale Cyber Security Strategie (NCSS 2)1 beschreven zorgplicht die leveranciers jegens hun klanten hebben. Daarnaast ligt er voor burgers in de rol als eindgebruiker een belangrijke rol in het verbeteren van de eigen cyberhygiëne.

Bij het bestrijden van botnets is het van belang dat genoemde partijen de volgende maatregelen nemen: het verhogen van veiligheidsbewustzijn en het tegengaan van besmettingen, het actief bestrijden van besmettingen, het opsporen en vervolgen van beheerders van botnets en het verstoren van de werking van botnets.


Verhogen van veiligheidsbewustzijn en het tegengaan van besmettingen
De eigenaar van een computer is zelf verantwoordelijk voor de eigen informatiebeveiliging en heeft daarmee de taak om voldoende maatregelen te nemen om zijn of haar computer vrij te houden van malware. De samenleving dient zich daarom in toenemende mate bewust te zijn van de dreigingen en daarbij bekwaam te handelen. Hiertoe zet de overheid vanuit de NCSS-2 actief in op het verhogen van dit bewustzijn en het versterken van de bekwaamheid. Van 27 oktober tot 6 november 2014 zal voor de derde keer de awareness-campagne Alert Online worden gehouden. Deze draagt bij aan de bewustwording van iedereen in de samenleving om veilig om te gaan met computers. Ook werkt het Ministerie van Economische Zaken samen met het Ministerie van Veiligheid en Justitie en ECP, platform voor de informatiesamenleving, aan een nieuwe informatiebron voor burgers, veiliginternetten.nl. Deze zal in het najaar tijdens de campagne Alert Online worden gelanceerd.

Bestrijden van besmettingen
Bij brief van 17 mei 2011 is uw Kamer geïnformeerd over de Digitale Agenda Nederland2. Hierin is de actielijn Schone computers door aanpak van Botnets opgenomen. Uit deze actielijn is met eenmalige steun van het Ministerie van Economische Zaken het private initiatief van de vereniging Abuse Information Exchange ontstaan. Deze vereniging van internet service providers heeft recent een centrum (Abuse HUB) opgericht dat centraal informatie over botnetbesmettingen verzamelt en verwerkt. Deze informatie wordt ter beschikking gesteld aan leden van de vereniging. Zij kunnen zo besmette computers sneller opmerken en hun klanten beter helpen bij de ontsmetting van hun computers. Bij Abuse Information Exchange zijn de meeste nationale internetproviders aangesloten, samen goed voor meer dan 90% van de vaste internettoegangsmarkt. Het Ministerie van Economische Zaken doet in 2014 onderzoek naar de vraag of botnetbesmettingen bij eindgebruikers in Nederland zijn afgenomen ten opzichte van landen die geen vergelijkbare initiatieven als Abuse Information Exchange hebben ontplooid. Eind 2014 zullen de uitkomsten daarvan beschikbaar zijn. Deze kunnen bruikbaar zijn voor de verbetering van de werking van Abuse HUB en van de aanpak van botnets in Nederland in het algemeen.

Opsporen en vervolgen van botnetbeheerders
Het creëren en gebruiken van een botnet is in Nederland strafbaar. De politie is belast met de opsporing, het Openbaar Ministerie is belast met de vervolging en heeft de leiding bij opsporingsonderzoeken. Botnets zijn een prioriteit voor het Team High Tech Crime (THTC) van de politie. Het THTC heeft in 2013 15 grote onderzoeken uitgevoerd. Bij het merendeel van die onderzoeken maakte een botnet deel uit van de werkwijze van de criminelen. Ook wordt door de politie bijgedragen aan gecoördineerde internationale acties tegen botnets. Botnets worden vaak aangestuurd via computers uit het buitenland. Het is mede daarom vaak lastig de identiteit en locatie van de desbetreffende crimineel te achterhalen. Indien het land waar de crimineel zich bevindt bekend is, dan kan een rechtshulpverzoek worden gedaan of kan de opsporing gezamenlijk ter hand worden genomen. Het is van belang dat het creëren en gebruiken van botnets ook in dat land strafbaar is en dat de autoriteiten voldoende capaciteit en expertise beschikbaar hebben om op te treden. Dat is helaas niet altijd het geval. Het kabinet zet daarom in op het versterken van de internationale samenwerking en het harmoniseren van de (straf)wetgeving. Richtlijn 2013/40 van de Europese Unie over aanvallen tegen informatiesystemen verplicht lidstaten onder meer het stellen van een bepaalde maximumstraf voor het gebruik van botnets bij bepaalde vormen van cybercrime in de strafwetgeving op te nemen. Ik heb een wetsvoorstel in procedure gebracht om de Nederlandse wetgeving in overeenstemming te brengen met deze richtlijn. Dit wetsvoorstel is thans aanhangig bij de afdeling advisering van de Raad van State.

Verstoren van de werking van botnets
Naast op het opsporen van daders, wordt ingezet op het effectief verstoren van botnets zodat burgers en bedrijven die als gevolg van een besmetting onderdeel zijn van een botnet, niet langer bloot staan aan de kwaadaardige invloed van de comman and control server (de centrale computer waarmee een botnet wordt aangestuurd). Bij het verstoren wordt veelal op vordering van het Openbaar Ministerie het dataverkeer van deze command and control server uitgeschakeld door de betrokken provider en worden de voor de opsporing relevante gegevens zeker gesteld. Verder vraagt het NCSC met enige regelmaat, bij gebleken aanwijzingen voor een botnet, nadrukkelijke aandacht hiervoor van de providers. Soms is er sprake van zogenoemde bad hosters. Dat zijn providers die bewust of onbewust een platform bieden aan bad hosting, het aanbieden van servers die onder meer gebruikt worden in botnets. In het najaar zullen politie en OM een pilot starten om bad hosters effectief aan te kunnen pakken. De pilot bestaat uit een samenwerking met de TU Delft om de omvang van bad hosting in kaart te brengen. Daarnaast worden publieke en private partners bij elkaar gebracht om tot een gezamenlijke aanpak van bad hosters te komen.

Rol van het NCSC
Het NCSC, als onderdeel van de NCTV van het Ministerie van Veiligheid en Justitie, vervult zijn taken ter voorkoming en beperking van verstoringen in het digitale domein in het belang van de nationale veiligheid. Het NCSC richt zich daarom op de (rijks)overheid en vitale sectoren. Als spin in het web heeft het centrum toegang tot een veelheid aan informatie over ICT-gerelateerde kwetsbaarheden en dreigingen, waaronder botnets. Wanneer het NCSC, zoals reeds geschetst in mijn brief d.d. 18 maart 20133 over de aanpak van het Pobelka-botnet, de beschikking krijgt over IP-adressen van computers die deel uit maken van een botnet, dan streeft het NCSC ernaar de eigenaar hiervan zo mogelijk op de hoogte te stellen. Bij vitale organisaties en (rijks)overheid gebeurt dat in de regel rechtstreeks. In andere gevallen wordt zo mogelijk samengewerkt met organisaties die op hun beurt de eigenaar op de hoogte stellen. In geval van een grootschalig cyberincident waar botnets bij betrokken zijn en dat kan leiden tot maatschappelijke ontwrichting zal het NCSC conform haar rol, met inachtneming van de bestaande publiek-private contacten en crisismanagementstructuren, de coördinatie op zich nemen voor een gezamenlijke respons. Daarbij voert het NCSC, in samenspraak met andere betrokken overheidspartijen, de eerste analyse uit van de aard van de verstoring en geeft een inschatting van de potentiële maatschappelijke gevolgen. Dit is bijvoorbeeld gebeurd bij het onderzoek naar het Pobelka botnet in het voorjaar van 2013, waarover ik uw Kamer per brief heb geïnformeerd.

Privacybescherming
Bij de activiteiten die worden ondernomen op het gebied van botnetbestrijding is het van belang om zorgvuldig om te gaan met informatiestromen, in het bijzonder daar waar het persoonsgegevens betreft. Bedrijven en overheden die persoonsgegevens verwerken moeten in beginsel aan de eisen van de Wet bescherming persoonsgegevens voldoen. Dit betekent onder meer het nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek en afgezet tegen de risico’s die met de specifieke gegevensverwerking(en) zijn gemoeid. In specifieke gevallen kan in aanvulling hierop sectorale wet- en regelgeving van toepassing zijn. De politie verwerkt (persoons)gegevens op basis van een specifieke wet, te weten de Wet politiegegevens (Wpg). Het College bescherming persoonsgegevens is met het toezicht op de naleving en de handhaving van de Wbp en de Wpg belast.

Aansprakelijkheid
Op het punt van civielrechtelijke aansprakelijkheid geldt als uitgangspunt dat wanneer iemand als gevolg van handelen door de overheid of private partijen schade lijdt, ook als dat handelen plaatsvindt in het kader van de aanpak van botnets, in voorkomende gevallen een actie uit onrechtmatige daad kan worden gestart.

Ter afsluiting
Uit het bovenstaande wordt duidelijk dat de aanpak van botnets een samenspel van activiteiten van private en publieke partners vormt. Op 20 juni jongstleden heeft op initiatief van de Ministeries van Veiligheid en Justitie en Economische Zaken en ECP, een publiek-private bijeenkomst plaats gevonden om de aanpak van botnets te bespreken. Naar aanleiding van deze bijeenkomst is besloten tot het instellen een publiek-private botnetwerkgroep, waarin sleutelorganisaties bij botnetaanpak in Nederland vertegenwoordigd zullen zijn. ECP zal het secretariaat van deze werkgroep verzorgen. De werkgroep start na de zomer en zal voor afstemming en regie zorgen op de botnetaanpak in Nederland, kennis en informatie uitwisselen en nieuwe initiatieven ontwikkelen en aanjagen.
Hiermee is het kabinet van mening dat er een samenhangende, brede aanpak van botnets bestaat, die verder wordt uitgebouwd en verdiept. Een veiliger internet door minder botnets versterkt het vertrouwen van eindgebruikers bij het internetgebruik, geeft een impuls voor de ontwikkeling van meer online diensten en leidt tot meer economische groei. Zo wordt een bijdrage geleverd aan een samenleving waarin de kansen die digitalisering ons biedt volop worden benut, dreigingen het hoofd worden geboden en fundamentele rechten en waarden worden beschermd.

De Minister van Veiligheid en Justitie,
I.W. Opstelten

CBP adviseert over 'hackbevoegdheid' politie en opsporingsdiensten, CBPweb.nl 17 februari 2014
Uit de mededeling: Op verzoek van de minister van Veiligheid en Justitie heeft het College bescherming persoonsgegevens (CBP) geadviseerd over het conceptwetsvoorstel Computercriminaliteit III. Hierin worden onder meer nieuwe bevoegdheden voorgesteld om de opsporing en vervolging van computercriminaliteit te verbeteren. Het CBP adviseert het voorstel niet aldus in te dienen.

​In zijn advies bespreekt het CBP de voorgestelde bevoegdheid voor de politie en opsporingsdiensten tot zogeheten 'onderzoek in een geautomatiseerd werk', ook wel aangeduid als 'hackbevoegdheid'. Volgens het CBP wordt onvoldoende onderkend dat deze nieuwe bevoegdheid een ongekend verreikend karakter heeft. Het gaat namelijk om zeer veel gegevens van een uitgebreide kring mensen.
 
De 'hackbevoegdheid' maakt onder meer volledige toegang mogelijk tot alle historische - en ook toekomstige - gegevens opgeslagen op randapparatuur en uitgewisseld met alle hiermee verbonden communicatiekanalen. Dit zijn niet alleen gegevens die de verdachte zelf betreffen, maar ook gegevens van iedereen die in documenten voorkomt of met wie er digitaal contact is geweest. Daarmee raakt de toepassing van deze bevoegdheid een grote groep mensen die geen verdachten zijn.
 
Daarom moet het wetsvoorstel blijk geven van een zorgvuldige afweging binnen de grondrechtelijke kaders van het recht op eerbiediging van de persoonlijke levenssfeer, aldus het CBP. Dit recht is vastgelegd in artikel 10 van de Grondwet en artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM).
 
Inbreuken op grondrechten zijn alleen rechtmatig als wordt voldaan aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Uit de toelichting op het wetsvoorstel blijken echter onvoldoende de gronden en overwegingen die de noodzaak van invoering van een zo ingrijpende bevoegdheid kunnen rechtvaardigen. Het CBP adviseert daarom het wetsvoorstel beter te onderbouwen.
 

Hof Arnhem-Leeuwarden 29 Juli 2014, IT 1574 (Proximedia tegen geïntimeerde)
Bewijs. In navolging van het tussenarrest IT 1333 heeft geïntimeerde bewijs geleverd van feiten en omstandigheden waaruit moest blijken dat de medewerker van Proximedia, voorafgaand aan het sluiten van de overeenkomst aan geïntimeerde heeft meegedeeld dat de maandelijkse aflossing € 5,61 zou bedragen, naast een eenmalige betaling van € 90,-. Proximedia stelt dat de akte waarin de overeenkomst is vervat dwingend bewijs oplevert van de juistheid van hetgeen daarin is opgenomen waaronder ook de prijs van € 201,11 per maand, echter staat tegenbewijs hier volgens het hof open. Het hof acht het geleverde bewijs voldoende en bekrachtigt het vonnis van de rechtbank. (ECLI:NL:RBLEE:2011:BQ6203)

2.7. Het hof stelt voorop dat ingevolge artikel 164 lid 2 Rv de verklaring van [geïntimeerde] omtrent de door haar te bewijzen feiten geen bewijs in haar voordeel kan opleveren, tenzij haar verklaring strekt ter aanvulling van onvolledig bewijs. De beperking van de bewijskracht van de verklaring van de partijgetuige geldt niet als er aanvullende bewijzen voorhanden zijn die zodanig sterk zijn en zodanig essentiële punten betreffen, dat zij de verklaring van de partijgetuige voldoende geloofwaardig maken (Hoge Raad, 31 maart 1995, ECLI:NL:HR:1995:ZC1688). Dit aanvullende bewijs kan naar het oordeel van het hof worden gevonden in de verklaringen van de getuigen [dochter van geïntimeerde] en [medewerker van appellante]. Beide getuigen hebben immers verklaard dat [medewerker van appellante] tijdens het bezoek aan [geïntimeerde] heeft gesproken over een bedrag van € 5,61 of € 5,63. Dat de getuigenis van [dochter van geïntimeerde] uit de aard van haar relatie met [geïntimeerde] - zij is de dochter van [geïntimeerde] - met enige voorzichtigheid moet worden behandeld, is hier niet relevant nu de verklaring van [dochter van geïntimeerde] op dit punt overeenstemt met de verklaring van [medewerker van appellante].

2.10. Op zich is juist dat deze akte dwingend bewijs oplevert dat partijen het over een dergelijk bedrag eens zijn geworden, doch ook tegen een dergelijke akte staat tegenbewijs open (vgl. HR 16 maart 2007, ECLI:NL:HR:2007: AZ0613 en HR 22 oktober 2010, ECLI:NL:HR:2010:BM8933). Dit tegenbewijs is geleverd indien het in de akte vervatte bewijsmiddel is ontzenuwd, terwijl het tegenbewijs, gelet op de toepasselijke Haviltex-maatstaf, op alle omstandigheden van het geval betrekking heeft. Het hof acht het geleverde bewijs, onder verwijzing naar hetgeen hiervoor is overwogen, dusdanig sterk dat het de akte waarop Proximedia zich beroept, voldoende heeft ontzenuwd. Onder de gegeven omstandigheden mocht Proximedia er niet vanuit gaan dat [geïntimeerde] de overeenkomst had willen sluiten indien de vergoeding € 201,11 per maand bedroeg.

Vzr. Rechtbank Midden-Nederland 30 juli 2014, IT 1572 (ING tegen AFAS Software)
Software. Internetbankieren. ING-betaalrekeninghouders kunnen internetbankieren via Mijn ING. Via het onlineplatform AFAS Personal biedt AFAS aan particuliere klanten een online huishoudboekje aan om beter inzicht te krijgen in hun geldzaken. AFAS introduceert een nieuwe functionaliteit waarbij transactiegegevens automatisch worden gesynchroniseerd in AFAS Personal. Hiervoor moeten particuliere betaalrekening-houders hun persoonlijke gebruikersnaam en wachtwoord invoeren in AFAS Personal. Daarnaast maakt AFAS Personal gebruik van het ING-beeldmerk en ING-logo. Het verbod om deze functionaliteit aan te bieden wordt toegewezen. Staking van merk- en auteursrechtinbreuk wordt afgewezen.

4.8. (…) Vaststaat dat de NVB, De Nederlandsche Bank (DNB) en de individuele grootbanken, waaronder ING, sinds 2007 diverse inspanningen verrichten om (schade door) fraude met internetbankieren terug te dringen. Dit onder meer door particuliere betaalrekeninghouders bewust te maken van de gevaren en risico’s die kleven aan het onjuiste gebruik van persoonlijke authenticatiemiddelen als inlognaam en wachtwoord. De gezamenlijke boodschap is dat dergelijke persoonlijke authenticatie-middelen geheim moeten worden gehouden. In dat licht heeft ING in haar algemene voorwaarden opgenomen dat persoonlijke inloggegevens niet op een andere site dan die 
van ING mogen worden ingevoerd. Indien de particuliere betaalrekeninghouder zich aan deze en de andere in de voorwaarden genoemde veiligheidsregels houdt, dient ING hem te compenseren voor het geval hij niet met een betaling heeft ingestemd (zie artikel 79 Voorwaarden Betaalrekening en de Voorwaarden Mijn ING). AFAS is van dit alles op de hoogte. ING heeft AFAS daar in het kader van de gesprekken over een mogelijke samenwerking immers op gewezen. Door het aanbieden van de automatische updatefunctie zet AFAS de particuliere ING-betaalrekeninghouders desondanks aan tot het – in strijd met hun verplichtingen jegens ING – invoeren van hun persoonlijke inloggegevens op een andere site dan Mijn ING. Weliswaar biedt AFAS gebruikers van het online huishoudboekje nog steeds de mogelijkheid om transactiegegevens handmatig naar AFAS Personal te uploaden, maar deze optie wordt door AFAS ontmoedigd. Bij de vraag “Hoe wil je je ING rekening toevoegen?” in AFAS Personal wordt vermeld dat de automatische koppeling – aangeduid met een afbeelding van een haas – wordt aanbevolen en dat de gegevens via deze methode het snelste en beste worden bijgewerkt. Bij de handmatige koppeling, die wordt aangeduid met een afbeelding van een schildpad, wordt vermeld “lastig en tijdrovend” (productie 4 van AFAS). Door deze handelwijze ondermijnt AFAS het hiervoor geschetste veiligheidsbeleid van (onder meer) ING. Dat klemt te meer nu door het gebruik van het ING-beeldmerk ten onrechte wordt gesuggereerd dat ING tegen de automatische koppeling geen bezwaar heeft. Hoewel aan AFAS moet worden toegegeven dat in de “FAQ” op AFAS Personal is opgenomen dat ING geen voorstander is van het invullen van inloggegevens op de site van een derde partij zoals AFAS Personal, wordt daarbij niet vermeld dat een dergelijke handeling in strijd is met de algemene voorwaarden van ING. Evenmin wordt vermeld wat de gevolgen daarvan kunnen zijn voor de particuliere ING-betaalrekening-houder.

4.11. Uit het hiervoor overwogene volgt dat ING een spoedeisend belang heeft bij het onder I gevorderde verbod. Door het onrechtmatig handelen van AFAS wordt immers de veiligheid van het internetbankieren, waarin ING aanzienlijk investeert, in gevaar gebracht. Voldoende aannemelijk is dat ING als gevolg van fraude met internetbankieren schade lijdt. De voorzieningenrechter is daarom van oordeel dat het belang van ING bij toewijzing van het verbod dient te prevaleren boven het belang van AFAS bij afwijzing daarvan. Daarbij wordt mede in aanmerking genomen dat AFAS haar diensten ook kan aanbieden zonder automatische koppeling. Dat het handmatig downloaden en uploaden van transactie-gegevens omslachtig is, is onvoldoende zwaarwegend om tot een ander oordeel te komen.

Merken en logo
4.15. Hiervoor is overwogen dat AFAS de huidige automatische updatefunctie niet meer mag aanbieden. Indien deze functie niet meer wordt gebruikt, wordt ook geen gebruik meer gemaakt van het ING-beeldmerk en ING-logo in dat verband. Dit brengt mee dat ING c.s. geen belang heeft bij de vorderingen onder II en III. De voorzieningenrechter neemt daarbij in aanmerking dat ING c.s. heeft gesteld dat ING Groep geen moeite had met de oude propositie van AFAS en daarom het gebruik van haar beeldmerk en logo door AFAS toestond. Bovengenoemde vorderingen zullen dan ook worden afgewezen. Of er een zelfstandige grondslag bestaat voor deze vorderingen kan derhalve in het midden blijven.

Andere blogs:
SOLV

Vzr. Rechtbank Midden-Nederland 11 juli 2014, IT 1567 (eiseres tegen gedaagden)
Ontbinding koopovereenkomst. Ontvangsttheorie. Eiseres en gedaagden hebben een koopovereenkomst gesloten met betrekking tot een woning. In de koopovereenkomst is een ontbindende voorwaarde opgenomen, wanneer de bank weigert de hypotheek te royeren. Gedaagden beroepen zich op de ontbindende voorwaarde en hebben hiertoe een e-mail verzonden naar eiseres. Eiseres stelt dat gedaagden tekort zijn gekomen in de nakoming van hun verplichtingen uit hoofde van de koopovereenkomst door de woning niet te leveren en vordert nakoming. Tevens betwist zij de ontvangst van de e-mail. Er kan geen beroep worden gedaan op de ontbindende voorwaarde op grond van de ontvangsttheorie.

4.5. Nog daargelaten of de inhoud van de e-mail van 9 mei 2014 van 15:28:03 uur voldoet aan hetgeen is bepaald in artikel 23 jo artikel 16.3. van de koopovereenkomst kan er voorshands niet van worden uit gegaan dat deze e-mail [eiseres] heeft bereikt. [eiseres] heeft de ontvangst van deze e-mail betwist. De voorzieningenrechter is van oordeel dat ingevolge artikel 3:37 BW de zogenaamde ontvangsttheorie dient te gelden, hetgeen betekent dat een tot een bepaalde persoon gerichte verklaring (in dit geval het beroep op artikel 23 van de koopovereenkomst richting [eiseres]) pas zijn werking heeft als de verklaring die persoon heeft bereikt. Verzending alleen is niet voldoende. Een verklaring die de geadresseerde niet bereikt heeft geen werking. De bewijslast ligt op degene die zich op de gevolgen van de mededeling – in casu ontbinding van de koopovereenkomst – beroept. Het is aan [gedaagde 1] en [gedaagde 2] om aan te tonen dat de e-mail van 9 mei 2014 van 15:28:03 uur [eiseres] ook heeft bereikt. Nu deze e-mail zonder ontvangstbevestiging is verstuurd, kan van de ontvangst niet worden uitgegaan. Het aanbod ter zitting van [gedaagde 1] en [gedaagde 2] om bij Google te laten onderzoeken of de e-mail daadwerkelijk is verstuurd, wordt gepasseerd nu voor nadere bewijslevering in het kader van dit kort geding geen plaats is.

De voorzieningenrechter is van oordeel dat van een professionele partij, als de door [gedaagde 1] en [gedaagde 2] ingeschakelde makelaar, mag worden verwacht dat hij in het geval er sprake is van een cruciale verklaring, zoals het onderhavige beroep op een ontbindende voorwaarde, zich ervan vergewist dat deze verklaring is ontvangen door de wederpartij, door middel van het vragen van ontvangstbevestiging en/of leesbevestiging, dan wel had de makelaar in de e-mail zelf om een bevestiging van ontvangst moeten vragen of moeten verifiëren bij [eiseres] of zij de e-mail in goede orde heeft ontvangen.
De voorzieningenrechter voegt hieraan nog toe dat de door [gedaagde 1] en [gedaagde 2] overgelegde e-mail van 9 mei 2014 van 15:28:03 uur waar zij zich op beroepen niet is voorzien van een geadresseerde en dat er geen stukken van de bank zijn toegevoegd, zodat er voorshands niet vanuit kan worden gegaan dat [gedaagde 1] en [gedaagde 2] hebben voldaan aan de “documentatie-eis” van artikel 16.3. van de koopovereenkomst. De omstandigheid dat de makelaar van [gedaagde 1] en [gedaagde 2] heeft verzuimd zich overeenkomstig het bepaalde in de koopovereenkomst te beroepen op de ontbindende voorwaarde komt voor rekening en risico van [gedaagde 1] en [gedaagde 2].

4.7.
Voorgaande betekent dat de gevorderde veroordeling tot nakoming van de koopovereenkomst toewijsbaar is en dat [gedaagde 1] en [gedaagde 2] zullen worden veroordeeld om binnen vijf dagen na betekening van dit vonnis te verschijnen bij de notaris en mee te werken aan de levering van de woning. Voorts zal worden bepaald dat dit vonnis zo nodig in de plaats treedt van de (handtekening onder de) akte tot levering als bedoeld in artikel 3:300 BW, indien [gedaagde 1] en [gedaagde 2] niet verschijnen bij de notaris en de notaris bericht heeft ontvangen dat het gekochte vrij is van hypotheken en beslagen.

Rechtbank Rotterdam 17 juli 2014, (eiser tegen ACM, voorheen OPTA) ECLI:NL:RBROT:2014:5821
Persbericht: De Autoriteit Consument & Markt (ACM) -destijds OPTA- heeft in 2007 aan een overtreder van het spamverbod  een boete opgelegd van 55.000 euro. Nadat deze boete definitief was geworden wilde ACM de boete gaan invorderen. De overtreder heeft ACM verzocht de invordering van de opgelegde boete op te schorten omdat hij de boete naar eigen zeggen niet kon betalen.

ACM heeft het verzoek afgewezen, omdat de overtreder zijn verzoek onvoldoende had onderbouwd. Deze beslissing heeft de overtreder vervolgens aangevochten. In beroep oordeelt de rechtbank dat ACM de overtreder voldoende mogelijkheden heeft gegeven om  te onderbouwen waarom hij de boete niet kon betalen. In de stukken die de overtreder had overgelegd, werd onvoldoende duidelijk of de overtreder de boete wel of niet kon betalen. De rechtbank is van oordeel dat ACM voor de onderbouwing mocht vragen naar een accountantsverklaring en geen genoegen hoefde te nemen met een verklaring van een boekhouder.

Bovendien vindt de rechtbank de klacht van die de overtreder bij het Europese Hof van de Rechten van de Mens heeft ingediend geen reden om de invordering van de boete op te schorten. De boete is namelijk onherroepelijk vast komen te staan na de uitspraak van het College van Beroep voor het bedrijfsleven. Volgens de rechtbank mocht ACM in deze zaak weigeren om de invordering van de boete op te schorten.

Redactionele bijdrage ingezonden door Mark Jansen, Dirkzwager. Op diverse websites, waaronder op Tweakers, wordt op dit moment geschreven over een nieuwe techniek om internetters te kunnen volgen: canvas fingerprinting. In dit artikel sta ik kort stil bij de mogelijke juridische complicaties.

Wat is canvas fingerprinting?
Canvas fingerprinting komt, als ik het goed begrijp, in de kern neer op het volgende. Het is in moderne browsers eenvoudig mogelijk om een afbeelding door de browser te laten genereren. De afbeelding staat dan niet opgeslagen op de server van de websitehouder, maar ontstaat pas bij het bekijken van de website. De aanbieder van de website kan hiermee ruimte en bandbreedte uitsparen, maar veel interessanter: dynamische afbeeldingen maken (zoals een afbeelding met de naam van de bezoeker in beeld, of denk ook aan overtype-codes die je wel eens bij formulieren ziet staan).

De locatie op het scherm waar die afbeelding wordt gegenereerd wordt het canvas genoemd. De vingerafdruk komt vervolgens als volgt in beeld: het blijkt dat verschillende browsers op basis van dezelfde instructies, toch een verschillende afbeelding produceren. De verschillen zijn soms slechts heel miniem. Dit verschijnsel kan worden veroorzaakt door de versie van de browser, maar bijvoorbeeld ook de grafische kaart die wordt gebruikt.

De uiteindelijk gemaakte afbeelding, zegt dus iets over het apparaat waarop/waarmee deze is gemaakt. Door de gegenereerde afbeelding tot in detail te onderzoeken, ontstaat dan ook een soort vingerafdruk van het betreffende apparaat. Het lijkt in zoverre dus op een variant van het al bekende device fingerprinting.

Zijn deze handelingen toegestaan of niet?
De cookiewet (eigenlijk: artikel 11.7a Telecommunicatiewet) verbiedt – kort samengevat – om zonder toestemming van de gebruiker “toegang (…) te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens (…) op te slaan in de randapparatuur van de gebruiker“.

Dit roept de vraag op of het analyseren van de wijze waarop een browser een afbeelding genereert, sprake is van het verkrijgen van toegang tot “gegevens die zijn opgeslagen in de randapparatuur van een gebruiker“. Daarvoor is de vraag wat is bedoeld met “opgeslagen“: de gegenereerde afbeelding staat immers niet op de harde schijf van de eindgebruiker, maar zal vermoedelijk wel ergens in het werkgeheugen worden vastgehouden (om te kunnen vertonen). Ik vraag me af of de Europese wetgever bij het opstellen van de eprivacy richtlijn ook dergelijke toegang heeft voorzien en heeft bedoeld op te nemen in de richtlijn. Gelet op punt 24 in de considerans lijkt een ruime privacybescherming bedoeld; aan de andere kant lijkt de richtlijn gelet op overweging 25 toch wel sterk op cookie toegespitst.

Toezichthouder is helder: het mag niet
De toezichthouder ACM is in ieder geval wel heel stellig. In de huidige FAQ op de cookiewet valt immers het volgende te lezen:

'Alle gegevens die na het initiële request worden geplaatst of uitgelezen vallen wel onder het bereik van artikel 11.7a Tw.'

Met andere woorden: het op enige wijze uitlezen van gegevens over de computer van de gebruiker dat niet functioneel is, vereist volgens ACM toestemming van die gebruiker. In een eerder blogbericht signaleerde ik overigens al dat dit nieuwe vragen oproept. Die vragen zullen denk ik alleen maar verder toenemen met de opkomst van technieken als responsive design en progressive enhancement.

Gelet op de (enorme) hoogte van de boetes die ACM op kan leggen, en het gegeven dat je die boete pas aan kunt vechten nadat deze (met persbericht en al) is opgelegd, doen partijen er echter verstandig aan die discussieruimte niet op te zoeken en dergelijke nieuwe technieken dus (voorlopig) niet te gebruiken.

Waarom maken we de privacywet niet duidelijker?
Uit het voorgaande volgt dat er discussie mogelijk is of dergelijke technieken wel of niet onder de specifieke “cookiewet” vallen. Vervolgens kun je nog de discussie voeren of canvas fingerprinting niet onder omstandigheden (ook) functioneel kan zijn (en daarmee toegestaan onder de cookiewet). Dergelijke discussies zijn overigens een logisch bijeffect van wetgeving die heel specifiek gedrag reguleert.

Mijn stelling is dat het zinvoller is het specifieke belang in kwestie te reguleren (bescherming van de privacy) dan een bepaalde techniek (cookies, canvas fingerprinting, een toekomstige techniek, etc.). Voor de bescherming van de privacy is er al lang wetgeving in de vorm van de Wet bescherming persoonsgegevens (zie ook onze privacycheck). Het zou m.i. veel zinvoller zijn wanneer op basis van die wet duidelijke grenzen worden gesteld aan het volgen van individueen, dan dat er middels specifieke wetgeving grenzen worden gesteld aan volgtechnieken.

In de recente opinie van de artikel 29 werkgroep over de grondslag van het gerechtvaardigd belang, wordt deze duidelijkheid in grote lijnen gegeven. De privacytoezichthouders laten namelijk weten dat in hun visie, onder de privacywetgeving, er “bijna altijd” toestemming vereist is voor het volgen van mensen:

'In this respect, it is useful to recall the Working Party’s Opinion on purpose limitation, where it is specifically stated that ‘when an organisation specifically wants to analyse or predict the personal preferences, behaviour and attitudes of individual customers, which will subsequently inform ‘measures or decisions’ that are taken with regard to those customers …. free, specific, informed and unambiguous ‘opt-in’ consent would almost always be required, otherwise further use cannot be considered compatible. Importantly, such consent should be required, for example, for tracking and profiling for purposes of direct marketing, behavioural advertisement, data-brokering, location-based advertising or tracking-based digital market research.’

Het is nu alleen nog afwachten wanneer deze redenering voor het eerst wordt toegepast. In rapportages van het CBP over YD Advertising en de cookies bij de NPO is dit al terug te zien. Het is nu wachten op de eerste last onder dwangsom of, zodra de wet daartoe is aangepast, de eerste boetes. Daarna pas kunnen we zien of de rechter het standpunt van de WP29 en het CBP in deze ook volgt. We houden u op de hoogte.

Mark Jansen

EDPS: Report of workshop on Privacy, Consumers, Competition and Big Data, 2 june 2014
In March 2014 the EDPS published a Preliminary Opinion on 'Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy'. The paper has helped stimulate discussions between policy makers, regulators and specialists across these policy areas. The EDPS hosted a workshop in Brussels on 2 June, attended by experts from the European Commission, national regulators, academics and NGOs, as well as the US Federal Trade Commission.

This report of the workshop is structured according to the five big, overlapping themes which were subject of discussions:

1. The features of the digital economy and the importance of personal data to its development
2. The aims of competition law and how those are played out in practice
3. The various ways in which the interests of the ‘consumer’ are understood in competition law and consumer protection law
4. The extent to which privacy is considered a competitive advantage in digital markets
5. Challenges for enforcement cooperation in the fields of competition, consumer protection and data protection. (...)

Conclusions
It was agreed that stakeholders, regulators and experts should continue to talk about how data protection principles, in particular those of purpose limitation and legitimate interest, can be applied to the digital economy, and how the various policy areas could be deployed most effectively to facilitate transparency, choice and competitiveness in privacy policies which protected the fundamental rights and interests of individuals. Data protection and competition specialists do not necessarily speak the same language. Laws may currently be applied effectively to address visible large scale abuses. But the laws seem not to cover the incremental ‘day-by-day drops into the ocean of data’ which are assembled to construct user profiles, where even seemingly innocuous data can reveal sensitive information. This process will be accelerated as more and more devices go online, which will in turn intensify the need for privacy by design, high standards of data security and data minimisation. (…)

Uit het persbericht. De ministerraad heeft ingestemd met het plan van staatssecretaris Teeven van Veiligheid en Justitie om het kansspelbeleid te hervormen. De ministerraad heeft ingestemd met toezending aan de Tweede Kamer van het wetsvoorstel Kansspelen op afstand en de visie op de toekomst van de loterijen- en casinomarkt.

Op 3 terreinen wordt het beleid gemoderniseerd. Allereerst worden online kansspelen per 2015 gereguleerd, zodat spelers veilig en verantwoord kunnen spelen bij aanbieders waarop toezicht mogelijk is. Daarnaast worden de loterijmarkt en de casinomarkt hervormd. Holland Casino wordt per 2017 geprivatiseerd. Aan aanbieders van loterijen wordt de ruimte gegeven om meer te innoveren. Ook de maatschappelijke goede doelen, die jaarlijks ruim € 580 miljoen ontvangen vanuit de loterijensector, zullen hiervan profiteren. Het belang van de samenleving bij een goed functionerend loterijstelsel is daarom groot.

Het kabinet kiest voor een systeem waarbij de doelstellingen van het kansspelbeleid (voorkomen van kansspelverslaving, consumentenbescherming en het tegengaan van fraude en overige criminaliteit) niet meer worden bereikt door het aanbod te beperken, maar door strikte vergunningsvoorwaarden en strenge handhaving door de Kansspelautoriteit (Ksa). Na de oprichting van de Ksa in 2012, is hiermee een volgende stap in de modernisering van het Nederlandse kansspelbeleid gezet.

Rechtbank Midden-Nederland 2 juli 2014, IT 1549 (KPN tegen NEC Nederland)
Voice-diensten. Hack. Partijen hebben een overeenkomst gesloten betreffende de levering van voice-diensten. Daarvoor heeft gedaagde zelf een PBX-centrale gebouwd die via een router gekoppeld werd aan het Wide Area Network. Tussen partijen staat vast dat de hack is geplaatst op de PBX-centrale van NEC (doordat een NEC PBX-toestel met een makkelijke pincode buiten het bedrijf van NEC is geraakt) en dat als gevolg daarvan frauduleus telefoonverkeer heeft plaatsgevonden op de datalijnen waaraan de PBX-centrale was gekoppeld. Hun verschil van mening betreft de gevolgen van de hack en voor wiens rekening en risico die zouden moeten komen.

4.3. NEC heeft immers gebruik gemaakt van de voicediensten met een door haar zelf gebouwde PBX-centrale die door middel van een router gekoppeld was aan het Wide Area Network (de datalijnen). NEC was derhalve zelf binnen deze branche als professional actief en deskundig. Daarom mag NEC voldoende bekend worden verondersteld met de risico’s van een hack op haar eigen PBX-centrale.  (...) Dat KPN er van uitging dat die verplichting tot monitoren bij NEC lag en dat NEC daarvan op de hoogte was, blijkt uit de e-mail van 11 februari 2011 (zie 2.3.). Het had op de weg van NEC gelegen om KPN dan op de zorgplicht te wijzen. Nu dat niet is gebeurd, ging NEC kennelijk op dat moment niet van een verplichting tot monitoren aan de zijde van KPN uit.

4.4. NEC stelt dat uit artikel 7:401 BW een (verzwaarde) zorgplicht voortvloeit voor KPN om eventuele fraude op de datalijnen te voorkomen, althans de gevolgen daarvan te beperken door afwijkend telefoonverkeer tijdig te signaleren. KPN is deze zorgplicht niet nagekomen. Hierbij verwijst NEC naar de jurisprudentie betreffende telefoonverkeer en de daarin aangenomen verplichting van KPN om telefoonverkeer adequaat en regelmatig te monitoren en op afwijkend telefoonverkeer binnen drie dagen adequaat te reageren. NEC meent dat uit artikel 4.3. van de algemene voorwaarden, waarin KPN toezegt dat zij “the reasonable care and skill of a competent and reputable provider of IT and telecommunication services” in acht zal nemen, een met artikel 7:401 BW vergelijkbare verplichting voortvloeit. Omdat het volgens NEC om een vergelijkbare zorgplicht gaat kan in het midden blijven of de algemene voorwaarden van toepassing zijn en zal beoordeeld worden of de door NEC gestelde (verzwaarde) zorgplicht uit artikel 7:401 BW voortvloeit.

4.5. Voicediensten zijn niet gelijk te stellen aan internet- of telefoondiensten.