DOSSIERS
Alle dossiers

Internet  

IT 1412

Wetsvoorstel en toelichting implementatie richtlijn computercriminaliteit

Wetsvoorstel tot implementatie van richtlijn 2013/40/EU van het Europees Parlement en de Raad over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PbEU L 218/8)Memorie van Toelichting wetsvoorstel implementatie richtlijn 2013/40/EU
Dit wetsvoorstel strekt tot implementatie van de richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvullen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PbEU L218/8)(hierna: de richtlijn). De implementatietermijn van de richtlijn loopt af op 4 september 2015 (artikel 16 van de richtlijn). Vóór die datum dient de richtlijn door de lidstaten op nationaal niveau te zijn omgezet. Een transponeringstabel is in de bijlage bij deze memorie van toelichting opgenomen.

De implementatie van de richtlijn leidt tot enkele aanscherpingen van strafbaarstellingen van computercriminaliteit in het Wetboek van Strafrecht. De wijzigingen betreffen enkele verhogingen van strafmaxima en de toevoeging van een aantal strafverzwarende omstandigheden aan de computerdelicten.

De richtlijn bouwt voort op het Verdrag van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (Trb. 2002, 18; hierna: het Cybercrimeverdrag) en vervangt het bestaande kaderbesluit uit 2005 (Kaderbesluit 2005/222/JBZ van 24 februari 2005 over aanvallen op informatiesystemen; PbEU L 69/67; hierna: het kaderbesluit). De richtlijn bevat enkele aanvullingen ten opzichte van het kaderbesluit. Voor een deel zijn deze aanvullingen ontleent aan het Cybercrimeverdrag. Voor een deel zijn deze aanvullingen, ook ten opzichte van het Cybercrimeverdrag, nieuw. Het betreft met name de bepalingen over de strafmaxima en strafverzwarende omstandigheden.

Dit kabinet onderkent de toenemende risico’s van cybercriminaliteit en wil dit fenomeen krachtig aanpakken. Ik verwijs ook naar het thans aan de Raad van State ter advisering voorgelegde wetsvoorstel tot wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van cybercrime (computercriminaliteit III). De richtlijn, waarin onder meer een aantal strafmaatverhogingen is opgenomen, sluit bij deze aanpak aan.

Van cybercriminaliteit gaan grote dreigingen uit, zoals bijvoorbeeld gevaar voor maatschappelijke ontwrichting en voor het vertrouwen in het financieel-economische systeem. Dat risico is vooral aan de orde bij aanvallen via zogenoemde ‘botnets’, waarbij controle op afstand over een aanzienlijk aantal computers tot stand wordt gebracht door deze door middel van gerichte cyberaanvallen te besmetten met kwaadaardige software. Als het eenmaal tot stand is gekomen, kan het netwerk van computers dat de ‘botnet’ vormt, zonder medeweten van de gebruikers ervan, worden ingezet om een grootschalige cyberaanval uit te voeren, die ernstige schade kan veroorzaken. Grootschalige cyberaanvallen kunnen onder andere ernstige economische schade veroorzaken doordat informatiesystemen uitvallen en communicatie wordt onderbroken en doordat er commercieel vertrouwelijke of andere gegevens verloren gaan of worden gewijzigd. Ontwrichting of vernietiging van vitale infrastructuren, zoals energiecentrales, vervoersnetwerken en overheidsnetwerken, kunnen aanzienlijke gevolgen hebben. In verband met de naar zijn aard veelal grensoverschrijdende cybercriminaliteit en grensoverschrijdende gevolgen is het noodzakelijk om een gezamenlijke Europese aanpak te ontwikkelen. Dit voorkomt ‘safe havens’. Voorkomen moet worden dat personen (via computers) in landen waar bepaalde feiten niet strafbaar zijn gesteld of met een lage straf worden bedreigd, computercriminaliteit ten aanzien van de Nederlandse overheid, Nederlandse bedrijven en burgers kunnen plegen.

Om beter weerstand te kunnen bieden aan deze problematiek is er behoefte aan het verzamelen – op EU niveau – van vergelijkbare gegevens over de in de richtlijn bedoelde strafbare feiten. Met behulp van deze gegevens, zoals bijvoorbeeld over modus operandi en frequentie, kunnen dreigingsevaluaties en strategische evaluaties van cybercriminaliteit worden uitgevoerd. Op basis daarvan kan een beter inzicht ontstaan in huidige en toekomstige dreigingen en kunnen meer passende en gerichte besluiten worden genomen over het bestrijden en voorkomen van aanvallen op informatiesystemen. Het verzamelen en doorgeven van dergelijke gegevens sluiten aan bij de huidige werkzaamheden van het Team High Tech Crime (THTC) van de dienst nationale recherche van de landelijke eenheid van politie, dat nu al het 24/7 contactpunt voor andere staten is als het gaat om de bestrijding van cybercrime door Nederland en bij de huidige werkzaamheden van het nationaal cyber security centrum van de NCTV. Beide organisaties beschikken ook al over regulieren contacten met enerzijds Europol en anderzijds ENISA.
IT 1411

Lancering new gTlds: het internet wordt nooit meer hetzelfde

Bijdrage ingezonden door Theo-Willem van Leeuwen, Abcor.
Welke domeinnaam moet je als bedrijf registreren? Alleen de .NL of ook de .BIZ, .ORG, .COM etc.? Vanaf dit jaar komen er een kleine 600 nieuwe topleverldomeinnamen bij. Denk aan .CAR, .FASHION, . FINANCE, . SHOP, . RETAIL etc. Het is ondoenlijk om alle domeinnaam te registreren. Waar moet je als bedrijf rekening mee houden en hoe gaat het internet veranderen door de lancering komende drie jaar van al die nieuwe extensies.

Voor bedrijven is het zoeken van een juiste naam voor het bedrijf of een product een ware bevalling. Als er een naam bedacht is, zijn er nog wat hordes te nemen. Is de naam wel te gebruiken in verband met oudere overeenstemmende merken of handelsnamen? En voor de dagelijkse praktijk heel belangrijk: is de domeinnaam nog wel beschikbaar? Helaas is dat vaak niet het geval.

Een domeinnaam is een vestigingsadres op het internet zodat een website van een bedrijf simpel te vinden is. Dat adres is gekoppeld aan een landcode (zoals .NL) of een generieke code (zoals .BIZ). Nederlandse bedrijven maken vaak gebruik van de Nederlandse extensie .NL. In Nederland zijn ruim vijf miljoen domeinnamen geregistreerd. Hiermee staat Nederland in de top vijf van landen met de meeste domeinnamen. Het nadeel hiervan is, dat bij de lancering van een nieuw bedrijf, de daarbij behorende domeinnaam al vaak is geregistreerd.

Stel het bedrijf heet ALEX en verkoopt herenmode. De domeinnaam www.alex.nl is al geregistreerd door een bank, dus die kan niet gebruikt worden. Aan de domeinnaam kan dan iets worden toegevoegd (bijvoorbeeld www.alexherenkleding.nl) maar dat is niet aantrekkelijk. Een korte naam heeft twee voordelen. De consument onthoudt het makkelijker en hoe korter de domeinnaam, des te minder tikfouten worden er gemaakt (dus meer bezoek). Als alternatief kan er een generieke extensie gebruikt worden zoals .BIZ of .ORG. Dit is in Nederland ook niet aantrekkelijk omdat de gemiddelde consument ervan uitgaat dat er een .NL domeinnaam wordt gebruikt.

Het probleem dat een naam maar een keer vergeven kan worden, is niet typisch Nederlands. Wereldwijd speelt dit al jaren. Om die reden is besloten om naast de landenextensies heel veel nieuwe generieke extensies toe te laten op het internet. Bedrijven die hier brood in zagen, konden zich hiervoor inschrijven. Gevolg: er worden komende jaren ca zeshonderd nieuwe generieke extensies gelanceerd. De verwachting is dat de eerste nieuwe extensies dit jaar actief worden. Voor accountants bedrijven komt er een .ACCOUNTANT , voor bijvoorbeeld kledingzaken de .FASHION. Voor vrijwel iedere branche komt er een nieuwe extensie. Ook al heeft een bedrijf al een .NL domeinnaam, dan is het toch verstandig deze nieuwe branchegerelateerde domeinnaam te registreren.

Een aantal grote bedrijven (waaronder Google) heeft massaal nieuwe extensies aangevraagd. De verwachting is, dat door de nieuwe extensies de vindbaarheid van websites sterk zal wijzigen. Belangrijk voor de ranking (o.a. bij Google), is onder andere de juiste domeinnaam. Waarschijnlijk krijgen domeinnamen die gekoppeld zijn aan de extensie van een branche een hogere waardering (zeker door Google want die moet haar geld terugverdienen). Alex herenmode, krijgt dus een hogere positie als die gebruik maakt van de domeinnaam www.alex.fashion in plaats van www.alex.nl. Omdat ook hier een domeinnaam maar een keer vergeven kan worden, moeten bedrijven hier wel tijdig op inspelen. Bedrijven die een merk hebben, kunnen gebruik maken van een speciale procedure om met voorrang een domeinnaam te claimen. Anticipeer daarom nu, want na 2015 wordt het internet nooit meer hetzelfde. Laat de belangrijkste namen registreren als merk en laat die merken inschrijven in de Trademark Clearinghouse.

Theo-Willem van Leeuwen

IT 1407

Aanbieding vierde editie van de i-NUPdate

Aanbieding vierde editie van de i-NUPdate, bijlage bij Kamerstuk 26643 nr. 304
In deze uitgave leest u o.a. een interview met de Rotterdamse wethouder Richard Moti over digitalisering en decentralisaties, een artikel over de voordelen bij het gebruik van de Basisregistratie Grootschalige Topografie en wat de ingebruikname van de Berichtenbox de gemeente Eindhoven oplevert.
Doel van deze digitale krant, die ook een beperkte papieren oplage heeft, is het inspireren en motiveren van alle organisaties, die samenwerken aan het i-NUP. Met het programma i-NUP werkt de overheid aan één digitale overheid: betere service, meer gemak.

Lees verder

IT 1394

OM niet-ontvankelijk in vervolging uploader 5000 e-books

Hof Den Haag 27 januari 2014, ECLI:NL:GHDHA:2014:84 (Geen vervolging 5.000 e-books)
Strafrecht. Het Gerechtshof verklaart het openbaar ministerie niet-ontvankelijk in de vervolging van een 23-jarige man uit Goudswaard. Deze had via de website van thepiratebay bijna 5.000 e-books ter beschikking gesteld om door anderen te worden gedownload.

Het openbaar ministerie is niet-ontvankelijk verklaard, omdat het naar het oordeel van het hof heeft gehandeld in strijd met de door het College van Procureurs-Generaal (de landelijke leiding van het openbaar ministerie) vastgestelde Aanwijzing intellectuele eigendomsfraude. Die Aanwijzing regelt het vervolgingsbeleid van het openbaar ministerie bij de bestrijding van inbreuken op door intellectuele eigendomsrechten beschermde werken. Uitgangspunt vormt daarbij civielrechtelijke handhaving door de rechthebbenden. Daarvan kan worden afgeweken als het algemeen belang dat vereist.

Omdat er bij de man geen sprake was van winstoogmerk, beroepsmatig handelen, betrokkenheid van een criminele organisatie of relevante recidive, is volgens het hof het algemeen belang niet aan de orde. Van civielrechtelijke acties tegen de verdachte is niet gebleken. Het standpunt van de advocaat-generaal dat van dergelijke acties bij voorbaat niet veel effect zou kunnen worden verwacht, acht het hof onvoldoende onderbouwd. Volgens het hof heeft het openbaar ministerie derhalve niet in redelijkheid tot zijn vervolgingsbeslissing kunnen komen. Door niettemin tot strafrechtelijke handhaving over te gaan zijn de beginselen van een behoorlijke procesorde geschonden.

IT 1391

Geen kosten bij beëindiging onderneming

Hof 's-Hertogenbosch 14 januari 2014, ECLI:NL:GHSHE:2014:22 (Proximedia tegen Just M&E)
Bewijsrecht. Getuigenverklaring. Winkelier (eenmanszaak) wordt benaderd door een vertegenwoordiger van een bedrijf en sluit met dat bedrijf een “overeenkomst voor informaticaprestaties” met een looptijd van vier jaar, waarin een ontbindingsvergoeding ad 60% van de nog niet vervallen maandelijkse betalingen is opgenomen. De winkelier krijgt opdracht te bewijzen dat hem bij het aangaan van de overeenkomst namens het bedrijf is toegezegd dat hij bij beëindiging van zijn onderneming ook zonder verdere verplichtingen de overeenkomst zou kunnen beëindigen. De winkelier wordt geslaagd geacht in de bewijsopdracht en de vordering van het bedrijf tot betaling van de ontbindingsvergoeding wordt afgewezen.

4.8.
Met grief 1 klaagt Proximedia erover dat de kantonrechter ten onrechte niet ook getuige [voormalig werkneemster van geintimeerde] als partijgetuige heeft aangemerkt.
Grief 2 houdt in dat de kantonrechter ten onrechte [geïntimeerde] in haar bewijsopdracht geslaagd heeft geacht.
Met de grieven 3 en 4 komt Proximedia op tegen de afwijzing van haar vordering en de veroordeling van haar in de proceskosten.

4.10.
Met de kantonrechter is het hof van oordeel dat [geïntimeerde] geslaagd is in haar bewijsopdracht. Anders dan [voormalig werkneemster van geintimeerde] is [geïntimeerde] wel partijgetuige. De door haar als getuige afgelegde verklaring kan daarom alleen bewijs in haar voordeel opleveren, indien aanvullend bewijs voorhanden is dat zodanig sterk is en zulke essentiële punten betreft dat het haar verklaring voldoende geloofwaardig maakt.
Partijgetuige [geïntimeerde] wordt in haar verklaring, dat [commercieel afgevaardigde] als vertegenwoordiger van Proximedia vóórdat partijen de overeenkomst sloten aan [geïntimeerde] heeft meegedeeld dat aan [geïntimeerde] geen kosten in rekening zouden worden gebracht wanneer zij haar bedrijf Just M&E vóór het einde van de looptijd van de overeenkomst zou beëindigen, in voldoende mate gesteund door de verklaring van [voormalig werkneemster van geintimeerde], die heeft verklaard dat [commercieel afgevaardigde] uitdrukkelijk heeft gezegd dat er geen kosten zouden zijn als de winkel zou ophouden voor het einde van de contractsperiode. De verklaring van [voormalig werkneemster van geintimeerde] acht het hof geloofwaardig, nu het hof aannemelijk acht dat [voormalig werkneemster van geintimeerde] zich de situatie, die voor haar bijzonder was, nog kan herinneren, en [voormalig werkneemster van geintimeerde] ook heeft verklaard dat zij de kwestie aandachtig heeft gevolgd. Ook de verklaring van [commercieel afgevaardigde] in de contra-enquête biedt enige steun aan de door [geïntimeerde] te bewijzen stelling. Weliswaar heeft deze getuige in zijn verklaring betwist dat hij voornoemde mededeling aan [geïntimeerde] heeft gedaan, maar hij verklaart wel dat hij [geïntimeerde] niet heeft gewezen op de "60 procents bepaling", waarmee de getuige kennelijk doelt op het hiervoor in r.o. 4.1.2 weergegeven artikel 7.1 van de overeenkomst, dat Proximedia aan een deel van haar vordering ten grondslag heeft gelegd. Evenals de kantonrechter is het hof van oordeel dat aan de betwisting van de toezegging door [commercieel afgevaardigde] maar beperkte waarde kan worden toegekend, nu het contact met [geïntimeerde] voor [commercieel afgevaardigde] een van de vele contacten was die hij als vertegenwoordiger had, zodat aannemelijk is dat hij zich niet meer alles precies kan herinneren. Dat blijkt ook wel uit het feit dat hij niet meer wist hoe vaak hij bij [geïntimeerde] was geweest.
Op grond van deze drie verklaringen, in onderling verband en samenhang beschouwd, acht het hof bewezen dat [commercieel afgevaardigde] [geïntimeerde], voordat partijen de overeenkomst sloten, heeft toegezegd dat zij bij beëindiging van haar bedrijf voor het verstrijken van de looptijd van 48 maanden aan Proxima geen kosten in verband met de voortijdige beëindiging van de overeenkomst verschuldigd zou zijn.
Bespreking van de vraag of de verklaring van [geïntimeerde] als getuige, dat zij de overeenkomst voor het sluiten van de overeenkomst niet heeft doorgelezen omdat zij klanten moest helpen, juist is, kan achterwege blijven, reeds omdat bewezen is dat [commercieel afgevaardigde] haar voor de ondertekening heeft meegedeeld dat zij zonder beëindigingskosten de overeenkomst tussentijds kon opzeggen. Ook de vraag of de kantonrechter terecht heeft overwogen dat de winkelruimte kennelijk niet bijzonder groot was, kan in het licht van het voorgaande in het midden blijven.

4.11 (...) Hieraan kan niet afdoen dat, zoals Proximedia heeft aangevoerd, haar vertegenwoordigers niet bevoegd zijn om van de tekst van de overeenkomst afwijkende toezeggingen aan (potentiële) afnemers van haar diensten te doen. Wat er verder zij van die stelling van Proximedia, het ontbreken van die bevoegdheid betekent niet zonder meer dat haar vertegenwoordigers niet toch feitelijk dergelijke toezeggingen (kunnen) doen. Het hof is van oordeel dat een wederpartij op een toezegging van een vertegenwoordiger mag afgaan, tenzij sprake is van bijzondere omstandigheden, in die zin dat de wederpartij moet begrijpen dat een vertegenwoordiger zijn volmacht te buiten gaat. Een dergelijke bijzondere omstandigheid doet zich hier niet voor. (...)
IT 1371

Aansprakelijk voor exorbitant hoog dataverbruik gestolen telefoon

Rechtbank Amsterdam 20 november 2013, ECLI:NL:RBAMS:2013:8994 (Intrum Justitia Nederland B.V. tegen gedaagde)
Gedaagde is jegens haar provider aansprakelijk voor de kosten die voortvloeien uit exorbitant dataverbruik met haar telefoon. Gedaagde heeft tot verweer tegen de vordering aangevoerd dat de gefactureerde kosten haar niet kunnen worden toegerekend, aangezien de telefoon in de zomer van 2009 bij een inbraak is gestolen, hetgeen een dag na de inbraak door haar zoon bij Vodafone is gemeld met het verzoek het abonnement stop te zetten. Nu Vodafone dat niet heeft gedaan, moeten de kosten voor rekening van Vodafone/Intrum Justitia blijven.

De dader van de inbraak zou een haar bekende man zijn die reeds door de strafrechter is veroordeeld voor het plegen van de diefstal, aldus - steeds - gedaagde. Gedaagde heeft gesteld dat zij thuis over een vrijwel volledig dossier beschikt waarmee zij dit een en ander zou kunnen aantonen. Echter heeft dit niet in deze procedure overlegt.

Het verweer van gedaagde dat de telefoon zou zijn gestolen wordt verworpen, nu gedaagde dit, ondanks dat haar daartoe gelegenheid is geboden, niet heeft weten te onderbouwen.

[gedaagde] heeft bij overeenkomst van 10 april 2009 een mobiele telefonie abonnement afgesloten bij Vodafone Libertel B.V.. Indien Vodafone de verschuldigde betaling niet binnen de termijn genoemd in artikel 10.5 heeft ontvangen, is Contractant (lees: [gedaagde], kantonrechter) zonder nadere ingebrekestelling in verzuim. Vanaf dat moment mag Vodafone wettelijke rente in rekening brengen. Indien ter verkrijging van voldoening van het verschuldigde bedrag een incassoprocedure noodzakelijk is, zijn alle daaraan verbonden kosten (volgens het algemeen erkende deurwaarderstarief) voor rekening van Contractant.

4. [gedaagde] heeft tot verweer tegen de vordering aangevoerd dat de gefactureerde kosten haar niet kunnen worden toegerekend, aangezien de telefoon in de zomer van 2009 bij een inbraak is gestolen, hetgeen een dag na de inbraak door haar zoon bij Vodafone is gemeld met het verzoek het abonnement stop te zetten. Nu Vodafone dat niet heeft gedaan, moeten de kosten voor rekening van Vodafone/Intrum Justitia blijven.


6. (...) De dader van de inbraak zou een haar bekende man zijn met de naam [naam]. Deze persoon zou ten tijde van de comparitiezitting reeds door de strafrechter zijn veroordeeld voor het plegen van de diefstal, aldus - steeds - [gedaagde]. [gedaagde] heeft gesteld dat zij thuis over een vrijwel volledig dossier beschikt waarmee zij dit een en ander zou kunnen aantonen.

7. Voorop staat dat [gedaagde] met het vorenstaande een bevrijdend verweer heeft gevoerd, waarvan zij in beginsel de stelplicht en (bij betwisting) de bewijslast draagt. Dit houdt mede in dat [gedaagde] bij betwisting, haar stellingen eerst in voldoende mate moet onderbouwen.

11.
Nu [gedaagde] aldus, ondanks dat zij daartoe aanbod heeft gedaan en ondanks dat haar daartoe de mogelijkheden zijn geboden, heeft nagelaten haar verweer met behulp van concrete bewijsstukken te onderbouwen, wordt dit als onvoldoende gemotiveerd gepasseerd.

12.
Aangezien [gedaagde] verder geen concrete feiten of omstandigheden heeft aangevoerd die maken dat de kosten voor het gebruik van de telefoon haar niet kunnen worden toegerekend, blijft zij daarvoor aansprakelijk. Tussen partijen staat niet ter discussie dat de gevolgtrekking alsdan moet zijn dat [gedaagde] met die betaling in verzuim is en dat Vodafone het contract op grond van de algemene voorwaarden en de wet op 10 maart 2010 terecht heeft mogen ontbinden. De kantonrechter zal dan ook in dezelfde zin beslissen.

13.
De ontbinding van de overeenkomst heeft tot gevolg dat Vodafone (en thans na overname van de vorderingen Intrum Justitia) recht op vergoeding van de schade die aan de zijde van de provider is geleden doordat [gedaagde] haar verplichtingen uit de overeenkomst niet is nagekomen. Die schade bestaat er in dit geval in dat de drie genoemde facturen voor geleverde diensten in de periode december 2009 - maart 2010 onbetaald zijn gebleven. [gedaagde] zal dan ook worden veroordeeld tot betaling van het daaruit nog verschuldigde bedrag, alsmede tot betaling van de (gevorderde) wettelijke rente die over elk van de openstaande factuurbedragen verschuldigd is vanaf de 15e dag na de factuurdatum. Niet weersproken is dat de daarover verschuldigde rente tot 10 januari 2013 in totaal € 762,64 bedraagt.

De kantonrechter:
veroordeelt [gedaagde] tot betaling aan Intrum Justitia van een bedrag van € 8.459,51 (achtduizend vierhonderd negenenvijftig euro en eenenvijftig eurocent), te vermeerderen met de wettelijke rente over een bedrag van € 7.696,87 vanaf 10 januari 2013 tot aan de dag van algehele voldoening;
IT 1369

Welke privacyrechtelijke normen moeten van toepassing zijn op Apps?

SMART Privacy - Actualiteiten internetrecht 28 november 2013
Paper ingezonden door Lars Leemeijer en Robert Kreuger, Vrije Universiteit Amsterdam.
SMART devices verzamelen een enorme hoeveelheid data waaronder het e-mailadres van de gebruiker, locatiegegevens, contactlijsten, agenda en foto’s. Deze gegevens worden gekoppeld aan een uniek ID nummer van het SMART device. Tegelijkertijd is sprake van een ontwikkeling waarbij (persoonlijke) data wordt prijsgegeven in ruil voor (gratis) diensten. Het behoeft weinig uitleg dat dit privacyrechtelijke problemen met zich meebrengt.

In deze paper staat de impact van SMART devices op de persoonlijke levenssfeer centraal. De volgende hoofdvraag wordt beantwoord: Welke privacyrechtelijke normen moeten van toepassing zijn op Apps? Doel is te komen tot een global approach. Om de centrale probleemstelling te beantwoorden wordt in paragraaf 1 het begrip privacy uitgelicht. Vervolgens wordt in paragraaf 2 de ontwikkeling rondom SMART devices beschreven. In paragraaf 3 wordt een aanzet gedaan tot een global approach.

Lees hier de volledige versie.

IT 1368

Schorsing MBO- er in verband met DDos-aanval op netwerk van de school te vergaande sanctie

Vzr. Rechtbank Zeeland-West-Brabant 20 december 2013 (wettelijk vertegenwoordigster zoon tegen ROC West-Brabant)
Op 25 september 2013 is zoon op gesprek geweest directie van ROC West-Brabant. Zoon heeft toen verklaard dat hij niet degene was die met DDos-aanvallen het netwerk langere tijd onbruikbaar had gemaakt. Hij heeft wel bekend dat hij een DDos-aanval op het netwerk van gedaagde heeft uitgevoerd.

Bij brief heeft ROC West-Brabant besloten om met directe ingang de toegang tot de school te ontzeggen c.q. te schorsen in afwachting van definitieve verwijdering. Reden voor de schorsing is het plegen van minimaal drie DDos-aanvallen op het netwerk van ROC West-Brabant.

De zoon heeft verklaard een eigen bedrijf te hebben met een eigen website. Om te testen of zijn website tegen DDos-aanvallen bestand is, voert hij soms met behulp van DDos-aanvalaccount gecontroleerde DDos-aanvallen op zijn eigen website uit. Uit interesse heeft hij een DDos-aanval op het netwerk van gedaagde uitgevoerd, toen de (tweede) aanval een trager netwerk opleverd, heeft hij enige seconden later de aanval gestopt. Niet gebleken is dat de zoon eerder laakbaar gedrag heeft vertoond, dat er enige schade is noch dat er medeleerlingen zijn aangezet tot het uitvoeren van een DDos-aanval. Omdat eiser zijn volledige medewerking heeft verleend, is de voorzieningenrechter overtuigd dat een minder vergaande sanctie dan een langdurige schorsing in afwijzing van verwijdering ook het belang van gedaagde gediend zou worden.

De school had in redelijkheid niet tot dit besluit kunnen komen de toegang te ontzeggen c.q. te schorsen. Alle feiten en omstandigheden in onderlinge samenhang bezien rechtvaardigen geen ontbinding van de onderwijsovereenkomst door gedaagde. Gedaagde dient per direct toe te laten tot het volgen van zijn schoolopleiding.

3.6. Ter zitting heeft [naam zoon] daarover het volgende verklaard.
Hij heeft een account op de betreffende website, omdat hij een eigen bedrijf met een eigen website heeft. Om te testen of zijn website tegen DDos-aanvallen bestand is, voert hij soms met behulp van voormelde account gecontroleerde DDos-aanvallen op zijn eigen website uit. Toen hij hoorde van de DDos-aanvallen op het netwerk van gedaagde heeft hij uit interesse onderzocht of het netwerk van gedaagde tegen DDos-aanvallen die vanuit zijn account werden uitgevoerd, bestand was. De eerste DDos-aanval op het netwerk van gedaagde heeft geen enkel effect gehad. De tweede aanval, waartoe [naam zoon] een paar minuten opdracht heeft gegeven, heeft wel invloed gehad op de werking van het netwerk. Zodra hij bemerkte dat de aanval bewerkstelligde dat het netwerk trager werd, heeft hij, enige seconden later, de aanval gestopt. Uitsluitend vanwege het feit dat hij het programma toen niet heeft afgesloten, maar heeft “weggeklikt”, heeft het kunnen gebeuren dat bij het opstarten van zijn laptop op 18 september 2013 een opdracht tot een DDos-aanval op het netwerk van gedaagde verzonden werd. Hij heeft die aanval meteen gestopt, zodat deze geen effect heeft gehad.
3.7. In dit kort geding is niet komen vast te staan dat [naam zoon] andere handelingen kunnen worden verweten dan de handelingen waarover hij ter zitting heeft verklaard. Zo is niet komen vast te staan dat [naam zoon] verantwoordelijk is voor de DDos-aanvallen op het netwerk van ROC West-Brabant vanaf begin september 2013 en waardoor het netwerk dagen onbruikbaar is geweest. Gedaagde heeft in dit kader ook erkend dat er ten tijde van het gesprek van [naam zoon] met IT Workz BV op 25 september 2013 een DDos-aanval op het netwerk van gedaagde gaande was.
Dat de handelwijze van [naam zoon] ertoe heeft geleid dat het netwerk van gedaagde onbruikbaar is geworden en tot grote schade heeft geleid, zoals gedaagde heeft betoogd, is dan ook niet aannemelijk geworden.
3.8. De voorzieningenrechter stelt vast de genoemde handelwijze zonder meer als ongeoorloofd en als wangedrag kan worden geduid maar de vraag die partijen verdeeld houdt is of deze handelwijze dusdanig ongeoorloofd is dat gedaagde in redelijkheid kon komen tot de beslissing dat [naam zoon] in afwachting van zijn verwijdering van de school moest worden geschorst. Bij de beoordeling neemt de voorzieningenrechter het volgende in aanmerking.

3.9. Niet gesteld en niet gebleken is dat [naam zoon] eerder laakbaar gedrag heeft vertoond.
Niet aannemelijk is geworden dat [naam zoon] anders dan uitsluitend vanwege pure interesse is overgegaan tot een DDos-aanval op het netwerk van gedaagde. Hij heeft de aanval gestopt zodra hij zag dat de aanval het netwerk vertraagde. Dat de school van zijn handelingen enige schade heeft ondervonden, is niet komen vast te staan. Evenmin is gebleken dat sprake is geweest van een collectieve actie, waarbij [naam zoon] medeleerlingen heeft aangezet tot het uitvoeren van DDos-aanvallen op het netwerk van gedaagde.
Vaststaat dat [naam zoon] zijn volledige medewerking heeft verleend aan het onderzoek naar de DDos-aanvallen door IT Workz BV. [naam zoon] geeft aan te begrijpen dat zijn gedrag niet acceptabel is; hij heeft spijt betuigd. [naam zoon] is zich er ook van bewust dat een sanctie moet volgen maar is van oordeel dat hij een verwijdering na de opgelegde periode van schorsing te zwaar is.
De voorzieningenrechter acht de stelling van eiseres dat [naam zoon] de gevolgen van zijn gedraging niet heeft overzien, aannemelijk. Niet te verwachten is derhalve dat [naam zoon] de gewraakte handeling nog zal herhalen.

3.14. De voorzieningenrechter heeft de overtuiging dat het hiervoor door gedaagde aangegeven belang ook gediend zou worden indien een minder vergaande sanctie dan een langdurige schorsing in afwachting van verwijdering zou zijn opgelegd. Gedaagde heeft ter zitting niet kunnen aangeven waarom zij niet voor een minder zware sanctie, zoals een schorsing voor een bepaalde periode, heeft gekozen. Ter zitting heeft zij verklaard dat het ook in het belang van [naam zoon] is om op een andere locatie zijn opleiding te vervolgen, omdat [naam zoon] bij een terugkeer op school mogelijk te maken krijgt met boze leerlingen die getroffen zouden zijn door de DDos-aanvallen. Wanneer dit belang evenwel doorslaggevend zou zijn dan is het primair aan [naam zoon] om daarin een afweging te maken. [naam zoon] wenst uitdrukkelijk op de school van gedaagde zijn opleiding te vervolgen. Bovendien heeft [naam zoon] nog enige tijd zijn opleiding mogen vervolgen nadat zijn laakbaar gedrag aan gedaagde bekend was geworden. Door op dat moment geen ordemaatregel op te leggen, is bij [naam zoon] vertrouwen gewekt in die zin dat een sanctie zoals nu aan de orde niet zou gaan volgen. Overigens is gesteld noch gebleken dat in deze periode van ongeveer 4 weken zich omstandigheden hebben voorgedaan die het door gedaagde gestelde belang van [naam zoon] bij verwijdering zouden onderschrijven of omstandigheden die de orde en rust op school hebben verstoord.
In het licht van hetgeen hiervoor is geoordeeld, heeft gedaagde naar het oordeel van de voorzieningenrechter onvoldoende belang om [naam zoon] nu niet toe te laten tot het volgen van onderwijs en alle daarbij behorende activiteiten, zulks afwegend tegen het belang van [naam zoon] om zijn opleiding voort te zetten op de school van gedaagde.

3.15. Op grond van het vorenstaande komt de voorzieningenrechter tot de conclusie dat
gedaagde in redelijkheid niet tot het besluit heeft kunnen komen om [naam zoon] nu nog de toegang tot de school te ontzeggen c.q. te schorsen. Alle feiten en omstandigheden in onderlinge samenhang bezien rechtvaardigen geen ontbinding van de onderwijsovereenkomst door gedaagde. Dit betekent dat de gevraagde voorziening wordt toegewezen in die zin, dat gedaagde [naam zoon] behoort toe te laten tot het volgen van onderwijs en alle daarbij behorende activiteiten. Deze maatregel geldt zolang zich er geen andere dan de hier in het geding vastgestelde feiten of omstandigheden voordoen die gedaagde grond geven [naam zoon] niet meer toe te laten tot de lessen op school.
IT 1367

Maandelijkse betalingsverplichting ICT-structuur blijft bestaan

Rechtbank Amsterdam 27 november 2013, ECLI:NL:RBAMS:2013:8251 (Multrix Benelux tegen Simadan)
Overeenkomst strekkende tot implementatie van een ‘hosted desktop’ (‘cloud computing’). De maandelijkse betalingsverplichting van de klant aan de ict-leverancier gaat in op het moment van oplevering van de ict-structuur. Na oplevering heeft de klant de ict-structuur echter niet getest en niet daadwerkelijk in gebruik genomen. De maandelijkse betalingsverplichting blijft daarmee echter bestaan. De vordering van de ict-leverancier tot betaling van de maandelijkse facturen wordt toegewezen.

4.3. Vanaf het moment van oplevering, 7 november 2011, heeft Simadan de Hosted Desktop niet getest. Simadan stelt wel dat de Hosted Desktop volgens haar niet naar behoren werkt, maar gesteld noch gebleken is dat Simadan, na de afsluitende werkzaamheden van Multrix eind oktober / begin november 2011, de Hosted Desktop daadwerkelijk heeft getest, hetgeen volgens de overeenkomst wel haar verantwoordelijkheid was: een door (de randvoorwaarden van) de overeenkomst vereist acceptatietestrapport is niet voorhanden. Dat het Simadan in juni 2012 niet lukte om een test te doen omdat bepaalde gegevens niet voorhanden waren, is door Multrix betwist. Zelfs als met Simadan wordt aangenomen dat zij nog een aantal gegevens (wachtwoorden, inlogcodes en dergelijke) van Multrix nodig had, kan hiermee niet worden gezegd dat Multrix aan het testen in de weg heeft gestaan: op 13, 14 juni 2012 is er kennelijk een server moeten worden ge-reset, waardoor moet worden aangenomen dat Multrix, de beheerder van de servers immers, dus haar medewerking heeft verleend; dat Multrix op of vlak na 18 juli 2012 niet heeft voldaan aan een verzoek om gegevens te verstrekken is door Simadan niet gesteld. De test- en acceptatiefase loopt op dit moment derhalve nog steeds – tenzij de overeenkomst op enig moment moet worden geacht te zijn ontbonden waarover hierna bij r.o. 4.5.

4.4. Het voorgaande betekent dat Simadan de maandelijkse termijnen in beginsel is verschuldigd vanaf 7 november 2011. Simadan heeft het verweer gevoerd dat zij de maandelijkse termijnen eerst behoeft te betalen indien de Hosted Desktop werkt en haar werknemers van de omgeving gebruik maken, en dat het in strijd met de redelijkheid en billijkheid is om Simadan te laten betalen terwijl van de Hosted Desktop geen gebruik kan worden gemaakt. Dit verweer slaagt niet omdat vaststaat dat het moment van oplevering bepalend is voor het verschuldigd worden van de maandelijkse termijnen, terwijl reeds bij gebreke van een test niet kan worden gezegd dat Simadan van de Hosted Desktop geen gebruik kan maken. Vanaf 7 november 2011 ligt de bal bij Simadan, die dient te testen, terwijl Multrix in dit geding onvoldoende betwist heeft gesteld dat van de Hosted Desktop aldoor gebruik kon worden gemaakt, en, zo is van de zijde van Multrix ter comparitie medegedeeld, nu nog steeds.
IT 1366

UGC-platform met controle over algoritme is geen neutrale dienstverlener

Rechtbank Amsterdam 18 december 2013, ECLI:NL:RBAMS:2013:8642 (Cozzmos tegen De Nieuwe Krant)
Auteursrecht. Safe harbor-principe. Geen vrijwaring. Rechtspraak.nl: Cozzmoss, een onderneming die zich bezig houdt met de handhaving en exploitatie van bij haar aangesloten auteursrechthebbenden, zoals de dagbladen Trouw en de Volkskrant eist schadevergoeding van de exploitant van een website waarop artikelen uit Trouw en de Volkskrant zijn verschenen, zonder toestemming van de betreffende dagbladen. De exploitant heeft een website die dient als een ‘user-generated-content’ platform. Dat wil zeggen dat de informatie/gegevens op de website afkomstig is van gebruikers van de website, zonder dat daarop door de exploitant redactionele invloed wordt uitgeoefend.

De exploitant van de website beroept zich op vrijwaring van aansprakelijkheid omdat zij zelf geen invloed had op het verschijnen van de artikelen. De artikelen zijn geplaatst door gebruikers van de website en ze zijn vervolgens via een geautomatiseerd algoritme op de hoofpagina van de website verschenen. Nadat de exploitant daarvan op de hoogte was gesteld heeft zij de artikelen meteen verwijderd.

Ingevolge de Europese richtlijn inzake electronische handel is alleen een dienstverlener, zoals exploitant, die geen kennis heeft van of controle heeft over de gegevens (kort gezegd: een neutrale dienstverlener) gevrijwaard van aansprakelijkheid. De exploitant is niet als als zodanig aan te merken aangezien zij controle had over het algoritme. Zij heeft het algoritme bedacht en zij kon dit ook aanpassen. De exploitant is derhalve gehouden tot het betalen van schadevergoeding.

2.3. DNK heeft gesteld dat zij niet aansprakelijk is en heeft zich in dat verband beroepen op het ‘safe harbor-principe’. Zij heeft erop gewezen dat haar website een ‘user-generated-content platform’ is. DNK plaatste dus zelf geen enkel artikel, het plaatsen van artikelen gebeurde door haar gebruikers op hun eigen sublogs. Sommige van de op de sublogs geplaatste artikelen werden door een volledig geautomatiseerd algoritme (dat artikelen selecteerde op basis van populariteit en senioriteit) op de hoofdpagina van de website doorgeplaatst. DNK wist daarom niet dat de artikelen van Trouw en De Volkskrant op de hoofdpagina van haar website stonden. Er werd alleen actief door DNK ingegrepen om zaken die in strijd waren met de eigen richtlijnen aan te passen, zoals bijvoorbeeld het verwijderen van artikelen waarmee inbreuk werd gemaakt op auteursrechten. Zo is het ook gegaan met de artikelen van Trouw en De Volkskrant. Die zijn direct na de melding van de gemachtigde van Cozzmoss dat die op de website van DNK stonden verwijderd. Daarmee is voldaan aan het safe harbor-principe dat inhoudt dat een website niet verantwoordelijk kan worden gehouden voor materiaal dat gebruikers daarop zetten, als ze adequaat reageert op klachten van (auteurs)rechthebbenden, aldus steeds DNK.

2.4. Cozzmoss heeft aangevoerd dat DNK onvoldoende gemotiveerd heeft onderbouwd dat er enkel sprake was van automatisch doorplaatsen van artikelen vanaf de sublogs naar de hoofdpagina. Volgens Cozzmoss was er juist sprake van actieve bemoeienis aan de zijde van DNK. Het algoritme kon immers beïnvloed worden om ervoor te zorgen dat bepaalde artikelen wel en bepaalde artikelen niet op de hoofdpagina werden geplaatst, aldus steeds Cozzmoss.

2.7. DNK heeft gesteld dat een volledig geautomatiseerd algoritme zorgdroeg voor de selectie en doorplaatsing van de artikelen naar de hoofdpagina. Hoewel zij deze stelling niet met stukken heeft onderbouwd (hetgeen wel op haar weg had gelegen), geldt zelfs als die stelling juist is het volgende. De bestuurder van DNK ([naam 1]) heeft ter zitting gezegd dat hij het algoritme heeft bedacht. Volgens hem selecteerde het algoritme artikelen van de sublogs op basis van senioriteit en populariteit en werden artikelen die op bedrijfslogs stonden van het algoritme uitgesloten. Hij heeft ook verteld dat op verzoek van [naam 2], een klant van DNK met een eigen bedrijfslog, een aanpassing is gemaakt aan het algoritme in die zin dat de artikelen op haar bedrijfslog wel in aanmerking kwamen om door het algoritme te worden geselecteerd voor doorplaatsing. Daarbij komt dat DNK de mogelijkheid had om het algoritme zodanig aan te passen dat inbreukmakende artikelen van het algoritme werden uitgesloten, maar dat zij van deze mogelijkheid geen gebruik heeft gemaakt omdat de software daarvoor te duur was. De rechtbank is van oordeel dat DNK aldus het algoritme heeft bedacht, heeft toegepast en in staat was om dit aan te passen zodat vastgesteld kan worden dat DNK controle had over de van andere afkomstige informatie. DNK kan dus niet gezien worden als een neutrale dienstverlener in de zin van artikel 14 Reh en artikel 196c lid 4 BW.