Internet  

CBP 7 januari 2012, Stscrt. 2013, nr. 268 (Stichting Ondernemersfederatie Rotterdam City te Rotterdam).

Winkeliers in de Rotterdamse binnenstad worden dagelijks geconfronteerd met winkeldiefstal. Om dit probleem te beheersen, wil de Stichting Ondernemersfederatie Rotterdam City (OFRC) het mogelijk maken om online aangifte te doen van winkeldiefstal. Het College bescherming persoonsgegevens (CBP) heeft het protocol beoordeeld dat het verwerken van persoonsgegevens bij online aangifte regelt. Het protocol is in overeenstemming met de eisen van de Wet bescherming persoonsgegevens bevonden.

Doel online aangifte winkeldiefstal
De leden van de OFRC kunnen nu aangifte van winkeldiefstal doen bij de politie volgens de reguliere werkwijze. Dit middel is echter naar het oordeel van de OFRC onvoldoende effectief gebleken. Een reden daarvoor is dat de leden ervoor kiezen geen aangifte te doen, omdat dit relatief veel tijd kost.
De doelstellingen van het verwerken van persoonsgegevens voor online aangifte zijn volgens het protocol:

• de veiligheid in de Rotterdamse binnenstad verbeteren;
• op eenvoudiger wijze aangifte doen van winkeldiefstal;
• betere bedrijfsbeveiliging;
• een collectieve winkelontzegging kunnen opleggen, waartoe de persoonsgegevens van de online aangifte worden gedeeld met de andere deelnemers aan het protocol. Voor meer informatie hierover, zie: Zwarte lijst overlastveroorzakers winkels Rotterdam Centrum.

EHRM 18 december 2012, applicatienr. 3111/10 (Yıldırım tegen Turkije)

Met een samenvatting van Willem de Vos, Sirius Legal.

Beperking internettoegang. Vrijheid van meningsuiting en van informatie. Censuur.

De heer Ahmet Yildirim, een Turk wonende in Istanbul, is de eigenaar en beheerder van een website die gehost wordt via ‘Google Sites’, een module waarmee je zelf websites kan bouwen. Op deze website publiceert hij academische werkstukken en opiniestukken over allerlei onderwerpen.

Op 23 juni 2009 beval de strafrechtbank van Denizli bij wijze van preventieve maatregel de blokkering van een website van wie de eigenaar werd beschuldigd van het beledigen van de nagedachtenis van Atatürk. Het Turkse overheidsorgaan bevoegd voor Telecommunicatie (TIB) ging hierop over tot de blokkering van de toegang tot “Google Sites” die, naast de website van de heer Yildirim, ook de website in kwestie hoste. Dit was volgens het TIB de enige mogelijke technische maatregel vermits de eigenaar van de beledigende website in het buitenland leefde. De blokkering van ‘Google Sites’ heeft als gevolg dat de heer Yildirim geen toegang meer heeft tot zijn website.

Bij verzoekschrift van 12 januari 2010 maakt de heer Yildirim deze zaak aanhangig bij het EHRM en stelt hij o.a. dat zijn recht van meningsuiting en van informatie (art. 10 EVRM) is geschonden aangezien hij geen toegang tot zijn website heeft door een maatregel genomen in een strafprocedure waarin noch hij noch zijn website betrokken is. Deze maatregel maakt een inbreuk op zijn vrijheid om informatie en ideeën te delen.

Bij arrest van 18 december veroordeelt het Europees Hof voor de Rechten van de Mens (EHRM) Turkije tot betaling van een morele schadevergoeding (7.500 euro) en tot de procedurekosten (1.000 euro) wegens schending van artikel 10 EVRM. Volgens het Hof maakt de blokkering van ‘Google Sites’ een schending uit van de vrijheid van meningsuiting en van informatie omdat enerzijds de Turkse wettelijke basis voor een dergelijke maatregel te breed geformuleerd is zodat de gevolgen ervan voor rechtsonderhorigen onvoorzienbaar zijn (§§63-66). Anderzijds merkt het op dat in dit geval – ondanks de ruime formulering van de wet – een algemene blokkering van ‘Google Sites’ onverenigbaar is met het toepassingsgebied de wettelijke basis (§61). Evenmin waren de heer Yildirim of zijn website betrokken bij een strafrechtelijke procedure zoals vereist is (§62). Daarnaast is een dergelijke blokkering ook disproportioneel gezien de belangen van andere – niet betrokken internetgebruikers – worden getroffen (§ 66 in fine).

Rechtbank 's-Gravenhage 19 december 2012, zaaknr. 407402 / HA ZA 11-2675 (Vereniging BUMA-Stichting Stemra tegen Souren)

Uitspraak ingezonden door Anneke Stekelenburg en Jacqueline Seignette, Höcker Advocaten.

Auteursrecht. Openbaarmakingsbegrip. De interventie gaat verder dan het enkel aanbieden van hyperlinks. Souren exploiteert de website met radioportals Nederland.fm en op.fm. Een radioportal is een website waarop hyperlinks naar uitzendingen van diverse radiostations op internet worden aangeboden. Buma/Stemra vordert een verbod op openbaarmaking van de muziekwerken op de radioportals, Souren stelt internetgebruikers in staat om naar radiostreams te luisteren en heeft hij verveelvoudigingen op zijn servers staan. De uitleg die Buma/Stemra heeft gegeven aan de werking van de websites, komt niet overeen met de uitleg die Souren heeft gegeven.

De interventie van Souren betekent dat de radiostreams worden gepresenteerd op de websites van Souren en dat daarmee de muziekwerken voor een ander publiek toegankelijk zijn dan het publiek dat Buma/Stemra voor ogen had toen zij toestemming verleende voor het gebruik van de muziekwerken door de radiostations.

4.5. (...) De websites van Souren zijn namelijk andere audiovisuele producten dan de websites van de radiostations. Zij hebben daarom een ander publiek. Daarbij staat vast dat Buma/Stemra niet de bezoekers van de websites van Souren voor ogen heeft gehad, toen zij toestemming verleende voor de openbaarmaking van de muziekwerken door de radiostations. Buma/Stemra heeft uitdrukkelijk aangevoerd dat de licentie die zij de radiostations heeft verleend, geen toestemming inhoudt voor gebruik van de radiostreams in het kader van de websites van derden.

Doordat de radiostreams worden gepresenteerd op een eigen website is auteursrechtelijk relevant omdat op die manier de mogelijk er is om zelf profijt te trekken uit de radiostreams. In feite eigent Souren zich door deze handelswijze de mogelijkheid toe om de muziekwerken te exploiteren. Het enkele feit dat de radiostreams door de browser van de bezoeker rechtstreeks van de mediaservers van de radiostations worden gehaald, kan niet tot en ander oordeel leiden.

De rechtspraak dat hyperlinken als zodanig niet kan worden aangemerkt als een openbaarmaking kan onbesproken blijven, omdat de interventie van Souren verder gaat dan het enkel aanbieden van hyperlinks. De vorderingen die betrekking hebben op de buitenlandse radioportals worden afgewezen. Het betoog dat deze portal gericht zijn op Nederland wordt verworpen, omdat de sites zijn gesteld in de taal van het land waarop de site zich richt, evenals de (top level) domeinnaam is niet-Nederlands. Souren dient in een maand de website te staken, schriftelijke opgave van inkomsten te doen en winst af te dragen.

4.14. De Rechtbank is zich ervan bewust dat de auteursrechtelijke kwalificatie van de handelswijze van Souren vragen oproept over de uitleg van het begrip "Mededeling aan het publiek" in de zin van artikel 3 van de Auteursrechtrichtlijn (richtlijn 2001/29/EG). Desgevraagd heeft Soure ter comparitie laten weten dat hij daarom zou willen dat de rechtbank prejuciële vragen stelt aan het Hof van Justitie. Dat zal de rechtbank in dit geval niet doen en de rechtbank heeft besloten ook niet te wachten op antwoorden van het Hof op de vragen die een Zweeds gerechtshof (Svea Hovrätt)  recentelijk heeft gesteld in een op onderdelen vergelijkbaar geval (verzoek om een prejudiciële beslissing van 18 september 2012, C-466/12, Svenson e.a. - Retriever Sverige).

Lees het afschrift HA ZA 11-2675, en hier de 'schone versie' HA ZA 11-2675.

Vz RCC 6 december 2012, dossiernr.2012/00588-I (SMS 8258)

Als randvermelding. Betreft de op klagers mobiele telefoon (mobiele) website met de aanhef: “Gefeliciteerd Winnaar! U heeft zojuist won een iPad2 direct!” In het door klager ontvangen bericht wordt zonder voorbehoud meegedeeld dat klager de winnaar is van een iPad2. Bij het doorklikken kom je op een webpagina waaruit blijkt dat je bij het abonneren op een betaalde dienst en door het beantwoorden van een vraag slechts "kans maakt" op een iPad2.

Klager acht de uiting misleidend. MundoMedia betreurt de gang van zaken van haar affiliate Sam Media en zal haar best doen om ervoor te zorgen dat dit niet meer gebeurt. De Voorzitter oordeelt dat de Mundo Media verantwoordelijk gehouden wordt voor de overtredingen van Sam Media. Nu Mundo Media niet heeft gereageerd op het uitdrukkelijke verzoek de gegevens van de betreffende affiliate te verstrekken, is niet aannemelijk gemaakt dat Mundo Media heeft voldaan aan de verplichtingen om de maximale inspanning te verrichten om ervoor te zorgen dat de affiliate (Sam Media) de regels naleeft. De Voorzitter doet een aanbeveling.

2. In dossier 2012/00588 heeft de voorzitter beslist dat Sam Media, de aanbieder van de SMS-dienst, niet voor de hiervoor geconstateerde overtredingen van de regelgeving verantwoordelijk kan worden gehouden. De voorzitter is van oordeel dat Mundo Media wel als verantwoordelijke voor de overtredingen kan worden aangemerkt. Analoog aan de bepalingen betreffende marketing door aanbieders van SMS-diensten met behulp van affiliates in artikel 10 van de Reclamecode SMS-Dienstverlening wordt ook Mundo Media geacht te zijn gehouden om actief op te treden tegen overtredingen van de relevante wet- en regelgeving door de afzonderlijke bij haar aangesloten affiliates en zich in te spannen om mogelijke overtredingen door deze affiliates te voorkomen. Nu Mundo Media niet heeft gereageerd op het uitdrukkelijke verzoek de gegevens van de betreffende affiliate te verstrekken, is niet aannemelijk gemaakt dat Mundo Media heeft voldaan aan de verplichtingen uit hoofde van artikel 10 van de Reclamecode SMS-Dienstverlening en de redelijkerwijs te verwachten maximale inspanning heeft verricht om ervoor te zorgen dat de affiliate de regels naleeft.

 3. Gelet op het vorenstaande wordt Mundo Media verantwoordelijk gehouden voor de onder 1 geconstateerde overtredingen van de Reclamecode SMS-Dienstverlening en de NRC, en wordt als volgt beslist.

De voorzitter acht de bestreden uiting in strijd met het bepaalde in de artikelen 3.1 en 3.4 van de Reclamecode SMS-Dienstverlening en de artikelen 2 en 7 NRC. Hij beveelt Mundo Media aan om voortaan niet meer op een dergelijke wijze reclame te (laten) maken.

Vz. RCC 27 november 2012, Dossiernr. 2012/00967 (Snelheid van XS4all)

Het betreft een uiting van xs4all.nl, in de uiting staat: “Tot 8 Mb/s Download snelheid”. Klager verwachtte door de reclame-uiting dat hij niet altijd, maar toch in overwegende mate zou kunnen internetten met een downloadsnelheid van 8 Mb/s. Deze snelheid werd ook genoemd in de postcodecheck die klager heeft gedaan. In de praktijk haalt klager nauwelijks de helft van de snelheid. Volgens klager is er sprake van misleiding. Klager verwijst naar afspraken  die providers hebben gemaakt om realistische download snelheden te zullen aanbieden. Volgens XS4All heeft klager gebruik gemaakt van een onbetrouwbare speedtester en de me­ting is slechts een momentopname. Niet in geschil is dat de reclame-uiting downloadsnelheid geen gegarandeerde snelheid is, maar de hoogst mogelijke snelheid die het des­betreffende abonnement kan bieden. Dit profiel ligt volgens adverteerder tussen 1 Mb/s en 8 Mb/s.

XS4all had dienen te vermelden dat zij ook bij wezenlijk lagere snelheden voldoet aan de verplichtingen die voor haar als dienstverlener uit het aangeprezen abonnement volgen. De gemiddelde consument kan niet bekend worden verondersteld met de bijzondere invulling die adverteerder geeft aan de woorden “Tot 8 Mb/s Download snelheid”, en zal dus niet verwachten dat ook bij een aanzienlijk lagere snelheid (vanaf 1 Mb/s) wordt voldaan aan het “profiel” van de aangeprezen dienst. De voorzitter beveelt adverteerder aan om niet meer op een dergelijke wijze reclame te maken.

2)  Niet in geschil is dat de door adverteerder in de reclame-uiting genoemde download snelheid geen gegarandeerde snelheid is, maar de hoogst mogelijke snelheid die het des­betreffende abonnement kan bieden. Klager stelt dat hij op grond van de uiting ervan mocht uitgaan dat hij weliswaar niet altijd, maar toch “in overwegende mate” zou kunnen internetten met een download snelheid van 8 Mb/s. In de praktijk blijkt de snelheid wezenlijk lager. Deze ligt tussen de 3,9 Mb/s (volgens klager) en 5 Mb/s (volgens adverteerder). De voorzitter laat in het middel welke snelheid juist is. Uit de stellingen van adverteerder blijkt immers dat in beide gevallen wordt voldaan aan het “profiel” van de dienst die klager afneemt. Dit profiel ligt volgens adverteerder tussen 1 Mb/s en 8 Mb/s.

(...)De gemiddelde con­su­ment kan niet bekend worden ver­on­dersteld met de bijzondere invulling die adver­teer­der geeft aan de woorden “Tot 8 Mb/s Download snelheid”, en zal daarom niet verwachten dat ook bij een aanzienlijk lagere snelheid (vanaf 1 Mb/s) wordt voldaan aan het “profiel” van de aangeprezen dienst. De voorzitter acht deze informatie essentieel. De snelheid van het in­ter­net­ten is immers voor de consument een belangrijke factor bij het te kiezen abonne­ment. Nu in de uiting, waarin sprake is van een uitnodi­ging tot aankoop, geen duidelijke in­vulling aan de woorden “Tot 8 Mb/s Download snelheid” wordt gegeven, is sprake van een omissie als be­doeld in artikel 8.3 aan­hef en onder c van de Neder­landse Reclame Code (NRC). Om die reden is de uiting misleidend en daardoor oneerlijk in de zin van artikel 7 NRC.

 De beslissing van de voorzitter

Op grond van hetgeen hiervoor is vermeld, acht de voorzitter de gewraakte reclame-uitingen in strijd met het bepaalde in artikel 7 NRC. De voorzitter beveelt adverteerder aan om niet meer op een dergelijke wijze reclame te maken.

Rechtbank Utrecht 5 december 2012, LJN BY5792 (Koeka tegen ItsuitsIT)

ICT-recht. Mislukte automatisering. Crediteursverzuim.

Koeka (verkoper en ontwerper in o.a. babykleding) stelt dat zij met ItsuitsIT (leverancier van computerapparatuur) een overeenkomst heeft gesloten ter ontwikkeling van een webshop. Koeka stelt dat ItsuitsIT haar webshop niet tijdig juist heeft geleverd en heeft ItsuitsIT ingebreke is gesteld. ItsuitIT stelt op zijn beurt dat Koeka de belangrijkste verplichting in de overeenkomst niet is nagekomen. Koeka is toerekenbaar tekort is geschoten en heeft onrechtmatig heeft gehandeld, zodat de schade dient te vergoeden.

De rechter oordeelt dat de stelling van Koeka dat de webshop gebrekkig is, niet beantwoord hoeft te worden omdat de vorderingen niet op gebreken gebaseerd zijn maar op de niet-tijdige levering van ItsuitIT. Bovendien kan, voordat de acceptatietest is uitgevoerd door Koeka, niet van fouten worden gesproken, een beroep op de gebreken van de webshop is te vroeg. Voor zover besproken leveringstermijnen fatale termijnen zijn, is het fatale karakter ervan komen te vervallen. Er is niets besproken bij het vaststellen van opleverdata en Koeka heeft geen voorbehoud gemaakt. Onder deze omstandigheden is niet in te zien dat het niet halen van die termijnen een tekortkoming aan de zijde van ItSuitsIT c.s. oplevert. Eiseres wordt in de gelegenheid gesteld te reageren op het verweer dat de ingebrekestellingstermijn onredelijk kort is door ItsuitsIT en dat ItsuitsIT de gestelde schade nader zal moeten onderbouwen.

4.9.  Met betrekking tot het verwijt dat ItSuitsIT c.s. oplevertermijnen niet heeft gehaald, stelt ItsuitsIT zich op het standpunt dat nimmer harde opleverdata zijn afgesproken, waarbij zij verwijst naar artikel 10 lid 1 van haar algemene voorwaarden. Dit artikellid luidt, voor zover van belang:Alle door leverancier genoemde of overeengekomen (leverings)termijnen en (oplever)data zijn naar beste weten vastgesteld op grond van de gegevens die hem bij het aangaan van de overeenkomst bekend waren. Door leverancier genoemde of tussen partijen overeengekomen tussentijdse (oplever)data, gelden steeds als streefdata, binden de leverancier niet en hebben steeds een indicatief karakter. (…) Evenmin is leverancier gebonden aan een al dan niet uiterste (oplever)datum of (leverings)termijn als partijen een wijziging van de inhoud of omvang van de overeenkomst (meerwerk, wijziging van specificaties etc.) of een wijziging van de aanpak van de uitvoering van de overeenkomst zijn overeengekomen.

Verder voert ItsuitsIT aan dat er bij Koeka een “wildgroei” aan wensen was, in die zin dat zij lopende het project telkens met nieuwe eisen en wensen kwam. Ter onderbouwing hiervan verwijst zij onder meer naar het mailbericht van [D] van 29 oktober 2010 (zie r.o. 2.6) en naar hetgeen zij tijdens het kort geding naar voren heeft gebracht. Kennelijk bedoelt zij hiermee te zeggen dat deze gewijzigde wensen de oorzaak zijn van het niet halen van geplande opleverdata.

Tot slot stelt ItsuitsIT zich op het standpunt dat Koeka “te vroeg de stekker uit het project heeft getrokken”. Tijdens de comparitie heeft zij, met verwijzing naar versie 2 van het plan van aanpak (zie r.o. 2.7), toegelicht dat de webshop in de periode van 29 april tot en met 2 mei 2011 intern door MSH zou worden getest, waarna deze voor testdoeleinden aan Koeka ter beschikking gesteld zou worden. De door Koeka uit te voeren test zou in de periode van 3 tot en met 5 mei 2011 plaatsvinden. Tot haar grote verrassing beëindigde Koeka het project niettemin al op 29 april 2011, aldus ItsuitsIT. De interne test is daarom afgebroken, zodat de webshop ook niet voor testdoeleinden aan Koeka ter beschikking is gesteld. Door zo te handelen is Koeka in crediteursverzuim komen te verkeren, aldus nog steeds ItsuitsIT.

4.12.  Vaststaat dat ItsuitsIT de in de ingebrekestelling genoemde termijn ongebruikt heeft gelaten. Koeka verbindt hieraan de conclusie dat ItsuitsIT in verzuim is komen te verkeren.
Tijdens de zitting heeft ItsuitsIT betoogd dat zij samen met externen bezig was met het testen van de webshop toen Koeka de stekker uit het project trok. De interne test is daarom afgebroken en de bij deze test betrokken personen zijn elders ingezet. De nadien gegeven ingebrekestellingstermijn van vijf dagen is te kort voor het oproepen van deze personen, het opnieuw opstarten en afronden van de interne test, aldus ItsuitsIT. Hiermee bedoelt zij kennelijk te zeggen dat de ingebrekestellingstermijn in de gegeven omstandigheden onredelijk kort is, zodat zij ingevolge artikel 6:82 BW niet in verzuim is komen te verkeren en daarom op grond van artikel 6:74 lid 2 BW niet aansprakelijk is voor de gestelde schade.

4.13.  De rechtbank stelt vast dat de redelijkheid van de termijnstelling en de omstandigheid dat ItSuitsIT c.s. niet heeft gereageerd op de ingebrekestelling in onvoldoende mate onderwerp van debat tussen partijen zijn geweest. Hierom en mede gelet op de wens van partijen – als zij geen regeling kunnen bereiken – aan de hand van bindende eindbeslissingen in dit tussenvonnis schriftelijk verder te procederen, zal de rechtbank de zaak naar de rol verwijzen voor conclusie van repliek in conventie aan de zijde van Koeka. Deze conclusie dient beperkt te blijven tot het:

-  bespreken van de redelijkheid van de termijnstelling en de omstandigheid dat ItSuitsIT c.s. niet heeft gereageerd op de ingebrekestelling; en

-  nader onderbouwen van de door haar gestelde schade.
4.14.  Iedere verdere beslissing zal worden aangehouden.

M. Korpershoek, 'Privacy in de cloud', Automatiseringsgids 25 oktober 2012.

Een bijdrage van Marianne Korpershoek, Louwers IP|Technology advocaten.

Nu cloudcomputing een grote vlucht begint te nemen, krijgen ook de privacy risico’s van cloudcomputing aandacht van de Europese privacy waakhonden. Bij cloudcomputing is er immers vaak een keten van leveranciers verantwoordelijk voor het leveren van de clouddienst en is onduidelijk wie waarvoor verantwoordelijk is. Om de verantwoordelijkheid voor het verwerken van privacy gevoelige gegevens in kaart te brengen heeft in WP29 (zie kader) op 1 juli van dit jaar een advies uitgebracht. Het CPB heeft met het advies in het achterhoofd zijn Zienswijze gegeven over het inschakelen van een Amerikaanse cloudleverancier door SURFmarket.

De privacyrisico’s in de cloud volgens WP29
Wat moet een afnemer van een clouddienst doen volgens WP29
De zienswijze van het CPB
Kader artikel 29 Working Party (WP29)
Kader ‘Plannen van Neelie Kroes met cloudcomputing’ en privacy

De privacyrisico’s in de cloud volgens WP29
De WP20 onderkent dat cloudcomputing veel economische en maatschappelijke voordelen heeft, maar dat er ook een aantal grote privacy risico’s zijn, bijvoorbeeld:

• Gebrek aan controle over persoonsgegevens. Bij cloudcomputing is immers vaak sprake van een wijdvertakte keten. In een cloudketen zijn aparte partijen voor hosting, beheer en onderhoud van de hardware, gegevens en de applicaties, ter beschikking stellen van de applicatie etc. Dat betekent dat een opdrachtgever niet weet wie van zijn leveranciers en subleveranciers verantwoordelijk is. Terwijl hij daar wel toe verplicht is op grond van de WBP. Zo kunnen voor een Nederlandse clouddienst de servers in Bulgarije staan, terwijl de helpdesk in Zuid-Afrika in de gegevens kan kijken en de onderhoudspartij uit India ook toegang heeft tot gegevens omdat dat nodig is om het werk goed uit de voeren;
• Onvoldoende informatie over hoe, waar en door wie de persoonsgegevens worden verwerkt. Wanneer de verantwoordelijke voor het verzamelen van de persoonsgegevens niet weet waar en door wie de persoonsgegevens worden opgeslagen, dan kan hij ook niet doen aan zijn informatieverplichting aan de personen van wie de gegevens worden verzameld. Iedereen heeft immers op grond van de WPB het recht om te weten welke gegevens worden opgeslagen.

Wat moet een afnemer van een clouddienst doen volgens WP29
Om bovengenoemde problemen te tackelen stelt de WP29 voor dat iedereen die een clouddienst wil afnemen waarbij privacy gevoelige gegevens worden opgeslagen, eerst een uitgebreide en grondige risicoanalyse maakt. Cloudleveranciers op hun beurt moeten afnemers alle informatie geven die nodig is om de voors en tegens van cloudcomputing voor die betrokken afnemers af te wegen. Veiligheid, transparantie en juridische zekerheid zouden de belangrijke aspecten moeten zijn in een aanbieding voor een cloudleverancier.

De WP29 vindt dat een bedrijf dat een clouddienst afneemt garanties moet vragen van zijn cloudleverancier over het nakomen van de Europese en nationale privacyregels . Dit moet verplichtvastgelegd worden in de bewerkersovereenkomst tussen de cloudleverancier en de afnemer. Deze bewerkersovereenkomst is overigens nu al verplicht op grond van de WBP. Verder moeten er afspraken gemaakt worden over bijvoorbeeld het wissen van gegevens omdat opslag niet langer nodig is. Ten slotte moet de afnemer van de clouddienst garanties vragen van zijn leverancier dat transport van data buiten de EU volgens de strenge wetgeving verloopt.

De zienswijze van het CPB
SURFmarket had het CPB gevraagd of en onder welke voorwaarden zij gegevens van Nederlandse studenten en universitaire medewerkers mochten laten opslaan bij een Amerikaans bedrijf. Het CPB heeft deze vragen beantwoord met het advies van de WP29 in het achterhoofd. Het CPB vindt dat een bedrijf dat gebruik wil maken van een Amerikaanse cloudleverancier op de eerste plaats een risicoanalyse moet doen om vast te stellen of er in zijn specifieke situatie wel gebruikt gemaakt kan worden van cloudcomputing bij een Amerikaanse leverancier. Op de tweede plaats moet de afnemer de afspraken en de garanties van zijn cloudleverancier vastleggen in een bewerkerscontract. Op de derde plaats moeten er in het contract met de cloudleverancier afspraken gemaakt worden over aansprakelijkheid bij een inbreuk op de privacy. Artikel 49 van de WBP bepaalt dat degene die de gegevens verzamelt ook aansprakelijk is voor de schade die wordt veroorzaakt door een privacyinbreuk. Deze aansprakelijkheid moet doorgelegd kunnen worden naar de cloudleverancier, aldus het CPB. Ten slotte moet er in die bewerkers overeenkomst ook afspraken gemaakt worden over de melding van datalekken.

Wat zijn de gevolgen van dit advies?
Het advies van de WP29 is natuurlijk niet meer dan een advies en geen concrete wetgeving. Maar iedereen die zijn persoonsgegevens opslaat in de cloud zal dit advies wel ter harte moeten nemen. Voor afnemers van clouddiensten geldt dat wanneer het misgaat een rechter bij de vaststelling van de aansprakelijkheid rekening zal houden met de aanbevelingen uit dit advies. Wanneer die niet zijn nageleefd door de gebruiker van de clouddienst, dan zal dat gevolgen hebben voor zijn aansprakelijkheid voor de schade van de betrokkenen, bijvoorbeeld omdat er voordat de clouddienst werd afgenomen er geen risicoanalyse is gemaakt of omdat er geen goede bewerkersovereenkomst is, of omdat blijkt dat gegevens buiten de EU zijn getransporteerd zonder dat de wet is nageleefd.

Ook aanbieders van clouddienstverlening zullen rekening moeten houden met dit advies. Bijvoorbeeld wanneer ze nalaten hun afnemers op de hoogte te stellen van alle privacyaspecten die verbandhouden met hun diensten. Ze zullen afnemers actief op de hoogte moeten stellen wanneer servers verplaatst worden of wanneer een contract gesloten wordt met bijvoorbeeld een Indiase beheerder die toegang krijgt tot de gegevens of deze nu binnen of buiten Europa zijn opgeslagen. Niet voldoen aan informatieplichten kan ook voor de cloudleverancier tot aansprakelijkheid leiden wanneer het mis gaat.

Maar niet alleen de rechter zal naar met een schuin oog naar dit advies kijken. Dit advies zal ook een kader geven voor overheden bij aanbestedingen en voor grote en kleine organisaties die een reputatie te verliezen hebben of die het risico lopen op grote schadeclaims. Cloudleveranciers zullen daar actief op moeten inspelen door bijvoorbeeld het ter beschikking stellen van risicoanalyses, externe audits over hun beveiliging etc. om te voorkomen dat zij de boot in deze belangrijke marktmissen.

Kader artikel 29 Working Party (WP29)
In 1995 is de Europese Privacy Richtlijn vastgesteld. Deze richtlijn is bedoeld om de persoonsgegevens binnen Europa op een veilige manier te bewaren en de verwerken. De Wet Bescherming Persoonsgegevens (WBP) is een vertaling van de Privacy richtlijn in de Nederlandse wet. De richtlijn verplicht dat in iedere lidstaat van de EU een toezichthouder voor de bewaking van de privacy moest worden opgericht. In Nederland is dat het College Bescherming Persoonsgegevens (CPB). Artikel 29 van de Privacy Richtlijn bepaalt dat er een werkgroep wordt ingesteld die bestaat uit vertegenwoordigers van alle Europese privacy waakhonden. Deze WP29 adviseert de Europese Commissie over privacyissues en kan ook aanbevelingen doen hoe persoonsgegevens beter beschermd kunnen worden. In dat kader heeft de WP op 1 juli 2012 een uitgebreid advies uitgebracht over de privacyaspecten van cloudcomputing en de verplichtingen van zowel aanbieders als afnemers van clouddiensten.

Kader ‘Plannen van Neelie Kroes met cloudcomputing’ en privacy
Op 27 september 2012 heeft Neelie Kroes de nieuwe Europese strategie gepresenteerd om er voor te zorgen dat cloud computing wordt gepromoot. Met cloudcomputing hoopt de EU 2,5 miljoen nieuwe banen te creëren en verder zou het bbp daardoor jaarlijks met 160 miljard euro groeien. De strategie wil barrières voor cloudcomputing wegnemen. Neelie Kroes ziet drie belangrijke belemmeringen voor de ontwikkeling van de Europese cloudmarkt:

1. Een wildgroei aan standaarden en technische normen;
2. Problemen met contracten. Veel bedrijven en consumenten maken zich zorgen over de toegang tot data en de mogelijkheden om de data mee te nemen naar bijvoorbeeld een andere leverancier. De EU wil daarom bevorderen dat er eerlijke en uitgebalanceerde standaardovereenkomsten worden opgesteld;
3. Last but not least is er de versplinterde en versnipperde Europese cloudmarkt. Ieder land heeft immers zijn eigen regels en beleid op het gebied van contracten, consumentenbescherming, strafrecht en privacy.

Op het punt van de privacy concludeert Neelie Kroes dat verschillende wetgeving in de 27 EU landen in de weg staat aan een kosteneffectieve cloudoplossing die grenzen overschrijdt. Het advies van de WP29 krijgt daarom een belangrijke rol volgens het Strategie Document. Volgend jaar komt er een Europese privacywet die gaat gelden voor alle landen van de EU en met deze nieuwe wet zullen ook specifieke regels opgesteld worden voor privacy in de cloud, zowel voor afnemers als cloudketenpartners.

Vzr. Rechtbank Amsterdam 6 december 2012 zaaknr. 530886 / KG ZA 12-1618 SP/MV (Hearst Magazines Netherlands tegen Bouwhuis)

Uitspraak ingezonden door Christiaan Alberdingk Thijm, SOLV.

Eerder gepubliceerd als IEF 12102. Executievonnis. Gewraakt (onrechtmatig) artikel drie jaar niet opvraagbaar geweest. Technische fout. Relatief korte duur. Beperkte kring van personen. Van een (journalistiek) medium kan niet worden verlangd dat zij gepubliceerde artikelen - ook al zijn die door een rechter onrechtmatig bevonden - voor altijd uit haar archieven wist.

Quote is in een kort geding uit 2009 bevolen tot het gestaakt houden van de publicatie met twee titels "Hans Wiegel betrokken bij vastgoedfraude van Bouwstate" en "Hans Wiegel betrokken bij dubieuze praktijken Bouwstate". Tevens is rectificatie op quotenet.nl bevolen. Nu blijkt in november 2012 dat na het invoeren van zoektermen "Johan Bouwhuis" of "Wiegel" op de site dat het artikel "Update: Hans Wiegel betrokken bij dubieuze praktijken Bouwstate" verschijnt.

Recentelijk is opnieuw aandacht besteed aan Bouwhuis, vanwege nieuwe ontwikkelingen. Het aantal opvragingen van het artikel op 20, 21, 22 en 23 november is respectievelijk 9, 37, 2 en 7 keer. Dat het (oude) artikel tijdelijk opvraagbaar is geweest, komt door een technische fout. Op 4 november 2012 heeft Quote haar nieuwe website gelanceerd en de oude artikelen zijn vervolgens in delen overgezet naar het archief, een instelling bij het gewraakte artikel is verloren gegaan. Op die dag heeft de zoekmachine Google het in haar cache opgeslagen.

Als van een artikel (op eenvoudige wijze) kennis genomen kan worden, zijn er dwangsommen verbeurd. Echter van een (journalistiek) medium kan niet worden verlangd dat zij artikelen voor altijd uit haar archieven wist, waardoor die artikelen ook niet meer voor intern gebruik toegankelijk zouden zijn. Het door de voorzieningenrechter gehanteerde uitgangspunt dat sprake is geweest van een technische fout, waardoor het artikel korte tijd weer opvraagbaar is geweest, leidt tot de conclusie dat geen sprake is geweest van enig bewust of actief handelen van Quote gericht op het overtreden van het bevel uit het vonnis. Bij het lanceren van haar nieuwe website heeft Quote niet moeten controleren of het artikel weer opvraagbaar was. Voor een dergelijke controle bestond, zeker drie jaar na dato, voor Quote geen aanleiding. Er zijn in dit geval geen dwangsommen verbeurd.

In interessante overweging:

4.6. Vervolgens zal worden beoordeeld (...) of Quote met de handelingen die zij al dan niet heeft verricht ter uitvoering van het vonnis van 5 november 2009 dwangsommen heeft verbeurd. Bij deze beoordeling is het van belang dat Quote aanvankelijk (in november 2009) te goeder trouw uitvoering heeft gegeven aan het vonnis. Het artikel is vervolgens drie jaar niet opvraagbaar geweest via de website van Quote. Voorshands heeft Quote voldoende aannemelijk gemaakt dat het artikel in november 2012 enige tijd opvraagbaar is geweest als gevolg van een technische fout. Bovendien is aannemelijk dat die opvraagbaarheid van relatief korte duur is geweest en dat het aantal opvragingen beperkt is gebleven (en grotendeels in de kring van personen rondom Bouwhuis heeft plaatsgevonden). (...) Bouwhuis heeft aangevoerd dat het nog maar de vraag is of in dit geval sprake is geweest van een technische fout en gesuggereerd dat de opvraagbaarheid van het artikel in november 2012 samenhing met de hernieuwde aandacht van Quote voor zijn persoon, maar hij slaagt er niet in dit voldoende aannemelijk te maken. Ook heeft hij onvoldoende aannemelijk gemaakt dat het artikel al op 29 oktober 2912 opvraagbaar was en dat er dus geen verband kan bestaan tussen de opvraagbaarheid van het artikel en het lanceren van de nieuwe website van Quote op 4 november 2012. Uit het proces-verbaal van constatering van 21 november 2012 blijkt immers niet dat het artikel op 29 oktober 2012 reeds opvraagbaar was en Bouwhuis heeft ter zetting verklaard dat hij zelf pas op 20 november 2012 heeft ontdekt dat het artikel opvraagbaar was. (...) Het door de voorzieningenrechter gehanteerde uitgangspunt dat sprake is geweest van een technische fout, waardoor het artikel korte tijd weer opvraagbaar is geweest, leidt tot de conclusie dat geen sprake is geweest van enig bewust of actief handelen van (medewerkers van) Quote dat erop was gericht het bevel zoals opgenomen in het vonnis van 5 november 2009 te overtreden. Quote heeft dan ook redelijkerwijs voldoende inspanning en zorgvuldigheid betracht om dit vonnis na te komen. Onjuist is het standpunt van Bouwhuis dat Quote het desbetreffende artikel had moeten wissen van haar server en dat zij hoe dan ook, door dit na te laten, onvoldoende zorgvuldig heeft gehandeld. Van een (journalistiek) medium als Quote kan niet worden verlangd dat zij in het verleden gepubliceerde artikelen - ook al zijn die door een rechter onrechtmatig bevonden - voor altijd uit haar archieven wist, waar die artikelen ook niet meer voor intern gebruik toegankelijk zouden zijn. Eveneens onjuist is het standpunt van Bouwhuis dat Quote bij het lanceren van haar nieuwe website had moeten controleren of het gewraakte artikel niet weer opvraagbaar was. Voor een dergelijke controle bestond, zeker drie jaar na dato, voor Quote geen aanleiding. [onderstrepingen door de redactie]

Voorstel voor een Richtlijn betreffende de toegankelijkheid van overheidswebsites, COM(2012)721 final, 2012/0340(COD)
COM(2012) 721 final 2012/0340 (COD)

Uit't persbericht: Meer dan 100 miljoen EU-burgers gemakkelijker openbare onlinediensten laten gebruiken om werk te zoeken, een auto te registreren, belastingaangifte te doen of een paspoort of rijbewijs aan te vragen: dat is het doel van nieuwe regels die de Europese Commissie vandaag op de Internationale dag voor mensen met een handicap voorstelt. Het voorstel van de Commissie voor een richtlijn over de toegankelijkheid van websites van overheidsinstanties moet ervoor zorgen dat twaalf soorten websites in de hele EU vanaf eind 2015 verplicht over standaard-toegankelijkheidskenmerken beschikken. Verplichte toegankelijkheid moet dan gelden voor essentiële overheidsdiensten, zoals sociale zekerheid en diensten in verband met de gezondheidszorg, het zoeken naar werk, inschrijving aan universiteiten en de afgifte van persoonlijke documenten en certificaten (zie bijlage voor volledige lijst). De voorgestelde nieuwe regels maken ook duidelijk wat webtoegankelijkheid betekent (technische specificaties, methodiek voor beoordeling, rapportage, "bottom up"-tests). Daarnaast worden overheden aangemoedigd om deze regels niet alleen op de verplichte, maar op al hun diensten toe te passen.

Brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, Kamerstukken II, 2012-2013, 26 643, nr. 260. ;Bijlage bij Kamerstukken II 26 643 nr. 260

Minister Plasterk van Binnenlandse Zaken informeert de kamer over de maatregelen die binnen het Rijk en door de medeoverheden ondernomen zijn om de toegankelijkheid van informatieverstrekking en dienstverlening via overheidswebsites te bevorderen. Op basis van de rapportage, over de stand van zaken van de toepassing van de webrichtlijnen op websites van de overheid (Kamerstuk 26 643, nr. 229) en naar aanleiding van de knelpunten die zijn gebleken bij de toepassing van de webrichtlijnen, wil minister van Binnenlandse Zaken het instrumentarium met betrekking tot de webrichtlijnen aanpassen. Met een nieuw beheer- en verantwoordingsmodel voor toegankelijkheid, dat gericht is op bevordering van de adoptie van de webrichtlijnen en van de transparante verantwoording daarover bij de overheden, geeft hij uitwerking aan de brief van 11 november 2011 (26 643, nr. 215) om de toetsingssystematiek te herzien.

Hier volgt een samenvatting van de brief:

Geconstateerde knelpunten
(...) In de eerste plaats gaat het om veel verplichte voorschriften, namelijk 125 richtlijnen (versie 1).1 Deze richtlijnen moeten bovendien worden toegepast samen met vele andere voorschriften die voor informatieverstrekking en dienstverlening via websites gelden, zoals op het gebied van beveiliging en van cookies.

(...) In de tweede plaats kunnen de webrichtlijnen soms eenvoudigweg door een organisatie niet toegepast worden. Op sommige websites wordt informatie van andere (overheids)organisaties aangeboden, waarvoor de beheerder van de website zelf niet verantwoordelijk is, of er wordt een voorgeschreven landelijke voorziening gebruikt. Aanpassing of weglaten van zulke informatie of voorzieningen van derden door de beheerder van de website, om aan de webrichtlijnen te kunnen voldoen, is dan niet aan de orde.

(...) In de derde plaats is toepassing van de webrichtlijnen soms weliswaar in strikte zin niet onmogelijk, maar kan dit redelijkerwijs niet verlangd worden. Het gaat om content uit het verleden, waarvan in alle redelijkheid niet verwacht mag worden dat deze geheel ongedaan gemaakt wordt, gelet op de bovenmatige inspanningen en investeringen die daarmee gepaard zouden gaan, afgezet tegen het te verwachten gebruik. Dit probleem wordt snel actueel voor de veelheid aan PDF bestanden op bijna alle overheidssites.

(...) In de vierde plaats zijn, getuige de introductie van een nieuwe versie 2 in 2011, niet alleen de webrichtlijnen verre van statisch, maar ook de technieken waarmee deze uitgevoerd kunnen worden. De vernieuwingen volgen elkaar in snel tempo op binnen de ICT-omgeving. Strikt toezicht op de naleving van de webrichtlijnen op een bepaald moment, doet geen recht aan deze dynamiek.

De gangbare toetsingspraktijk
(...) Weliswaar geeft een waarmerk een betrouwbaar beeld van de elementen van webrichtlijnen waaraan websites op het moment van toetsing hebben voldaan, maar het geeft geen inzicht in de gemaakte voortgang noch in de concrete maatregelen die organisaties genomen hebben of nog zullen nemen om zoveel mogelijk aan de webrichtlijnen te voldoen. Er wordt evenmin rekening gehouden met afwegingen en keuzes die organisaties vanuit het oogpunt van dienstverlening, doelgroepenbeleid en bedrijfsvoering maken, zoals een meer-kanalenbeleid. Zo kan een organisatie valide redenen hebben om een dienst of informatie aan te bieden via een webapplicatie die geschikt is voor de meeste mensen en een alternatief kanaal beschikbaar te stellen voor degenen voor wie deze dienst of informatie niet goed toegankelijk is.

(...) Het geven van gerichte adviezen over hoe geconstateerde fouten hersteld zouden kunnen worden, zou daarmee in strijd met de accreditatie kunnen komen. Doorontwikkeling en inzet van andere instrumenten, die niet zozeer gericht zijn op deskundige en onafhankelijke inspectie of het behalen van een waarmerk, maar eerder op gerichte technische, redactionele, procesmatige en organisatorische advisering en ondersteuning, is daarmee binnen de huidige waarmerkregeling lastig vorm te geven.

Een nieuw Beheer- en verantwoordingsmodel
(...) Dit model stimuleert overheden tot het nemen van verantwoordelijkheid voor een eigen toegankelijkheidsbeleid en maakt ze daarop aanspreekbaar binnen hun eigen politieke en bestuurlijke context en tegenover burgers die last hebben van niet goed toegankelijke websites. In zulke gevallen zal een alternatief kanaal geboden moeten worden om burgers niet uit te sluiten van bepaalde informatie of diensten van de overheid.

(...) Deze zal ik verder doorontwikkelen om te bevorderen dat zoveel mogelijk webrichtlijnen (semi-)automatisch getoetst kunnen worden en om te bevorderen dat bij foutmeldingen ook automatisch voorstellen voor aanpassingen gegeven worden. Bij de verdere uitwerking van nieuwe instrumenten en werkwijzen zal ik mijn samenwerking met het bedrijfsleven, in de vorm van het traject «Toegang voor Iedereen», verder gestalte geven. Ook binnen dit samenwerkingsverband worden interessante middelen en methoden ontwikkeld met als doel om de toegankelijkheid van digitale informatieverstrekking en online dienstverlening zoveel mogelijk te bevorderen.

(...) Kan dit in alle redelijkheid niet op een goede wijze via het internet vorm gegeven worden, dan dient een alternatief beschikbaar te worden gesteld. Belangrijk in dit nieuwe model is dat hierover transparant verantwoording wordt afgelegd, op basis van een voor alle overheden geldend toepassingskader, zodat individuele overheidsorganisaties op de concrete uitwerking van hun toegankelijkheidsbeleid aanspreekbaar zijn.