DOSSIERS
Alle dossiers

Internet  

IT 522

Verplichte lakmoesproef

Commentaar in't kort door Silvia van Schaik en Wouter Seinen, C'M'S' Derks Star Busmann.
In navolging van Hoge Raad 9 september 2011, IT 492

De belangenafweging als verplichte lakmoesproef voor de wettelijke rechtvaardigingsgronden voor verwerking van persoonsgegevens

Onlangs heeft de Hoge Raad een principiële uitspraak gedaan over de toetsing van de rechtvaardigingsgronden die in de Wet bescherming persoonsgegevens (Wbp) zijn opgenomen. Het ging om de vraag bij welke van de wettelijke verwerkingsgronden ruimte bestaat voor een belangenafweging. In cassatie werd namelijk aangevoerd dat een dergelijke belangenafweging wel hoort plaats te vinden bij een beroep op artikel 8 sub f Wbp (noodzakelijk voor de behartiging van gerechtvaardigde belangen), maar niet bij een beroep op bijvoorbeeld art. 8 b (noodzakelijk voor uitvoering overeenkomst).
 
Hoe luidt de casus?
Een natuurlijk persoon (Kredietnemer) had al 9 jaren een doorlopend krediet bij Santander. In juni 2007 heeft Kredietnemer een betalingsachterstand van € 20,- opgelopen, waardoor uiteindelijk zijn volledige restschuld - van € 315,18 – opeisbaar werd. Zowel de betalingsachterstand als het opeisbaar worden van de restschuld werden vervolgens door Santander gemeld bij het Bureau Kredietregistratie (BKR) conform het BKR-reglement. In oktober 2007 betaalt Kredietnemer de volledige vordering aan Santander.

Ongeveer een jaar later verneemt Kredietnemer van de BKR-registraties en verzoekt hij Santander om ongedaanmaking. Santander geeft aan dit verzoek geen gevolg.

Verwijdering BKR-registraties op grond van de Wbp
Kredietnemer wendt zich daarop tot de rechtbank met een beroep op de Wbp. De rechtbank en daarna het hof oordelen dat Santander de BKR-registraties moet (laten) verwijderen. Santander stelt cassatie in.

De Wbp bepaalt onder welke voorwaarden persoonsgegevens mogen worden verwerkt. Eén van die voorwaarden is dat een verwerking van persoonsgegevens alleen toegestaan is als deze terug te voeren is op één van de in art. 8 Wbp (limitatief) genoemde grondslagen. Art. 8 Wbp luidt:

Persoonsgegevens mogen slechts worden verwerkt indien:
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

De hoofdvraag in deze procedure, is of bij een verwerking van persoonsgegevens altijd een belangenafweging tussen het belang van registratie en het belang van de betreffende persoon moet worden gemaakt of alleen in geval van een registratie op grond van art. 8 sub f Wbp.

Belangenafweging
Kredietnemer heeft kennelijk betoogd dat bij de BKR-registraties onvoldoende rekening met zijn belangen was gehouden. Volgens Santander was een belangenafweging alleen vereist wanneer art. 8 sub f van toepassing is en niet wanneer de verwerking is gebaseerd op een andere grondslag uit art. 8 Wbp. Zij betoogde dat haar verwerking was gebaseerd op art. 8 sub a, b en/of c Wbp en dat zij daarom geen belangenafweging hoefde te maken.

De Hoge Raad is het daar niet mee eens: de “verantwoordelijke” moet altijd een belangenafweging maken.

Bij elke gegevensverwerking moet worden voldaan aan de beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het doel van de verwerking. Ook is vereist dat het doel niet op een andere, voor de betrokkene minder nadelige, wijze kan worden bereikt. De aanwezigheid van een wettelijke rechtvaardigheidsgrond uit art. 8 Wbp maakt een afweging van deze belangen niet overbodig. Bij de afweging moeten alle omstandigheden van het geval in aanmerking worden genomen. Dat Santander wettelijk verplicht is om zich aan te sluiten bij een stelsel van kredietregistratie en dat dat met zich meebrengt dat zij zich moet houden aan het BKR-reglement en daarom verplicht was om de onregelmatigheden te melden, maakt dat niet anders.

De taak om een wettelijke verplichting uit te voeren, rechtvaardigt niet iedere gegevensverwerking (r.o. 3.5.2). Ook de argumenten met betrekking tot het doel van de kredietregistratie helpen Santander niet. Het doel van registratie had tegen de gevolgen ervan voor betrokkene moeten worden afgewogen in het licht van de omstandigheden. Omstandigheden als het langdurig correcte betaalgedrag, de geringe betaalachterstand en het direct voldoen van de gehele openstaande vordering nadat deze bij Kredietnemer bekend was, brengen volgens het hof met zich mee dat de belangenafweging ten gunste van Kredietnemer uitvalt. De Hoge Raad schaart zich acht het oordeel van het hof dat Santander in redelijkheid niet tot registratie over had moeten gaan, althans na het door betrokkene geuite bezwaar de registratie alsnog had moeten verwijderen.

Toestemming
Overigens bevat de uitspraak nog een opmerkelijke overweging over toestemming. Wanneer betrokkene toestemming heeft gegeven voor een verwerking (art. 8 sub a Wbp), mag de verwerking in beginsel plaatsvinden. Echter, ook toestemming ontslaat de verantwoordelijke niet zonder meer van de verplichting tot het maken van een belangenafweging. Wanneer de betrokkene erop wijst dat met zijn belangen onvoldoende rekening is gehouden, moet de verantwoordelijke in ieder geval alsnog een belangenafweging maken, volgens de Hoge Raad (r.o. 3.3. onder (e)).

Onduidelijk is hoe dit laatste zich nu precies verhoudt tot intrekking van toestemming. Toestemming kan namelijk op grond van art. 5 lid 2 Wbp worden ingetrokken. Over het algemeen wordt aangenomen dat de verantwoordelijke na het intrekken van een toestemming de gegevensverwerking die op die toestemming gebaseerd is, moet stoppen. Men kan de verwerking niet na intrekking alsnog baseren op een andere verwerkingsgrond. Dat zou in strijd zijn met het beginsel van “fair processing” dat is verankerd in art. 6 Wbp (MvT, Kamerstukken II 1997/98, 25892, nr. 3, p.80-81).

Volgens de A-G hebben het hof en de rechtbank “klaarblijkelijk en terecht” uit de opstelling van Kredietnemer de intrekking van een (eventueel) gegeven toestemming afgeleid (r.o. 4.4). De Hoge Raad benadrukt alleen dat bij een verwerking op basis van toestemming een belangenafweging in ieder geval dient plaats te vinden wanneer de betrokkene erop wijst dat met zijn belangen onvoldoende rekening is gehouden (r.o. 3.3 onder (e)). Is dat daadwerkelijk iets anders dan het intrekken van een toestemming? De Hoge Raad heeft hiermee o.i. de deur opengezet voor een belangenafweging na intrekking van een toestemming. Tot nu toe werd aangenomen dat een toestemming altijd kan worden ingetrokken en dat de verantwoordelijke daarna de verwerking onmiddellijk moet stoppen. Uit de uitspraak leiden wij af dat de verantwoordelijke na een intrekking alsnog een belangenafweging moet maken en de verwerking dus niet altijd hoeft te stoppen. Kennelijk kan, in geval van intrekking van toestemming, een belangenafweging er (onder omstandigheden) toe leiden dat een verdere verwerking toch rechtmatig blijft.

IT 521

Vermeldingen op internet

Hof Amsterdam 12 juli 2011, LJN BT2771 (Vermelding op internet)

Als randvermelding. Blijkens eigen vermeldingen op internet blijkt huurder niet meer woonachtig te zijn en wordt ontbinding van huurovereenkomst gevorderd. Tevens laat huurder anderen verblijven en bovendien heeft huurder een aanzienlijke huurachterstand laten ontstaan.

3.3 (...) Nadat [appellant] bij akte afdrukken had overgelegd van websites waarop [geïntimeerde] heeft vermeld dat hij woonachtig is aan de [adres], alsmede een afschrift uit de basisadministratie van de gemeente Amsterdam, waaruit blijkt dat [geïntimeerde] sinds 29 september 2010 is ingeschreven op een adres aan de [adres], heeft [geïntimeerde] ten slotte aangevoerd dat hij zijn inschrijving heeft gewijzigd naar het huis van zijn oom omdat het gehuurde op 4-hoog is gelegen en de oude inschrijving op 3-hoog mogelijk problemen zou kunnen opleveren bij de postbezorging, “te meer nadat [geïntimeerde] reeds eerder de toegang tot de woning ontzegd is geweest door [appellant]”.

IT 519

Ladbrokes AG Keus

HR 30 september, C07/00035 (concl. AG Keus, Ladbrokes Betting & Gaming Ltd tegen Stichting De Nationale Sporttotalisator)

Met dank aan Joris van Manen, Hoyng Monegier LLP

In navolging van IT 45. In deze zaak, waarin de Hoge Raad bij tusssenarrest van 13 juni 2008 (LJN BC8970)  prejudiciële vragen stelde en waarin het HvJ EU op 3 juni 2010 een prejudicieel arrest wees, is thans aan de orde welke gevolgen in cassatie hieraan dienen te worden verbonden.

Advocaat-Generaal Keus concludeert in de zaak Lotto / Ladbrokes (die loopt sinds 2000) tot verwerping van de klachten van Ladbrokes. Als de Hoge Raad AG Keus volgt, dan staat vast dat het kansspelbeleid in Nederland in overeenstemming is met EU recht en dat het niet, zoals in Duitsland onderuit gaat.

2.8 Naar ook het HvJ EU (in punt 23) heeft aangenomen, streeft de Wok als doelstellingen zowel de bescherming van de consument door de beteugeling van gokverslaving als het tegengaan van fraude na. Ladbrokes kan zich naar mijn mening niet met vrucht op art. 49 EG (art. 56 VWEU) beroepen, als de rechtvaardiging van de Wok uit hoofde van bescherming van de consument tegen gokverslaving zou tekortschieten, maar de rechtvaardiging uit hoofde van het tegengaan van fraude standhoudt. Zij mist dan belang bij haar klachten volgens welke de mogelijkheden van de vergunninghouder(s) om het spelaanbod uit te breiden en reclame te maken, de rechtvaardiging uit hoofde van beteugeling van de goklust zouden aantasten.

2.9 De door Ladbrokes bij repliek aangevoerde argumenten dwingen mijns inziens niet tot een ander oordeel over de beslissende betekenis van het antwoord op de derde vraag. Dat het HvJ EU de prejudiciele vragen heeft beantwoord in de volgorde waarin de Hoge Raad die vragen heeft gesteld, zegt niets over de (meerdere of mindere) relevantie van de verschillende vragen. Overigens zal het HvJ EU een door de nationale rechter gestelde vraag niet snel als irrelevant onbeantwoord Iaten; dat geldt zeker als de implicaties van het door het HvJ EU te geven antwoord mede worden bepaald door aspecten van nationaal recht (zoals de vaststelling en de waardering van de doelstellingen van de betrokken nationale regeling) waarvan de beoordeling aan de nationale rechter is voorbehouden.

Evenmin deel ik de bij repliek verdedigde opvatting dat het antwoord op de derde vraag slechts de betekenis van een in de lidstaat van vestiging verkregen vergunning betreft, in die zin dat, als de betrokken nationale regeling voor het overige toelaatbaar is, Ladbrokes zich niet met een beroep op een dergelijke vergunning aan de werking van die regeling kan onttrekken. Anders dan in punt 41 met betrekking tot de tweede vraag, heeft het HvJ EU in verband met de derde vraag niet overwogen dat die vraag uitgaat van de premisse dat de Nederlandse regeling inzake kansspelen (overigens) met art. 49 EG (art. 56 VWEU) verenigbaar is. Weliswaar betrekt het HvJ EU een dergelijke vergunning in zijn beschouwingen (punten 53-54), maar inzet van de derde vraag, zoals geherformuleerd door het HvJ (...) niet welke betekenis aan een dergelijke vergunning toekomst, maa of eenregelingvan een lidstaatdie de oganisatie en de bevordering vn kansspelen onderwerpt aan een geslotten stelsel ten gunste van één marktdeelnemer, een in een andere lidstaat gevestigde marktdeelnemer daaronder begrepen, verbiedt omop het grondgebied van eerstgenoemdelidstaat via internet onde dit stelsel vallende dienstn aan te bieden met at. 49 EG (art. 56 VWEU) verenigbaaris. Dat de betrokken nationale regeling met art. 49 Eg (art. 56 VWEU) verenigbaaris, is niet de premisse de aan de derde vrag ten grondslag ligt, maar is hetantword dat he Hv EU op die derde vraag geeft.

2.10 Naar mijn mening moeten de door Ladbrokes gehandhaafde klachten reeds bij gebrek aan belang worden verworpen, voor zover zij met de vrijheid van de vergunninghouder(s) om nieuwe spelen te introduceren en reclame te maken voor hun spelaanbod verband houden. Hetis dan ook ten overvloede, dat ik ( ook) op de resterende klachten dienaangaande nog zal ingaan. Waar Ladbrokes voor die klachten in het bijzonder steun meent te kunnen ontlenen aan het antwoord op de eerste prejudiciele vraag, zal ik echter allereerst de eerste prejudiciele vraag en het daarop gegeven antwoord in meer algemene zin bespreken. Daarbij zal ik echter niet vooruitlopen op de vraag of en in hoeverre dat antwoord daadwerkelijk van belang is voor de beoordeling van de bedoelde klachten, voor zover Ladbrokes, anders dan ik meen, in het Iicht van het antwoord op de derde prejudiciele vraag daarbij Uberhaupt nog belang heeft.

IT 512

Vitaminepillen koop op afstand

Kantonrechter Rechtbank Utrecht 21 september 2011, LJN BS8964 (Direct Pay Services B.V. tegen gedaagde)

Koop op afstand m.b.t. vitaminepillen; bewijslastverdeling; ontbinding overeenkomst; onverschuldigde betaling

Gedaagde heeft een proefpakket vitaminepillen voor 6,90 euro besteld via de telefoon. Twee weken na verzending proefpakket heeft Direct Pay ook vervolgzendingen gestuurd. Direct Pay stelt dat gedaagde niet voor deze vervolgzendingen betaald heeft. Gedaagde stelt zowel het proefpakket als de vervolgzendingen niet ontvangen te hebben. Telefonische verkoop is te kwalificeren als een overeenkomst op afstand (art. 7:46a BW) en daarom moet Direct Pay haar stelling bewijzen nu deze door gedaagde wordt betwist (art. 150 Rv). De kantonrechter oordeelt dat Direct Pay haar stelling niet voldoende heeft onderbouwd. Niet is vast komen te staan dat gedaagde de pakketten heeft ontvangen. Sprake van tekortschieting in de nakoming van verplichtingen uit de overeenkomst dus is Direct Pay in verzuim. Hierdoor wordt de overeenkomst ontbonden en hoeft gedaagde niet te betalen. Aangezien gedaagde al 6,90 euro had betaald voor het proefpakket, is er sprake van onverschuldigde betaling aan Direct Pay. Kantonrechter wijst het gevorde van Direct Pay af, ontbindt de overeenkomst tussen partijen en veroordeelt Direct Pay tot het betalen van 6,90 euro inclusief wettelijke rente.

3.5. [gedaagde] is consument in de zin van artikel 7:5 BW. De overeenkomst tussen partijen is tot stand gekomen via telefonische verkoop en is derhalve op grond van artikel 7:46a BW te kwalificeren als een overeenkomst op afstand. Dit brengt met zich dat artikelen 7:46a tot en met 7:46j BW van toepassing zijn op de onderhavige overeenkomst.

3.6. Nu [gedaagde] betwist enig pakket van Natuals, dan wel Direct Pay, te hebben ontvangen en Direct Pay haar vordering grondt op de stelling dat uit de ontvangst van het welkomstpakket een betalingsverplichting voor [gedaagde] voortvloeit, rust op Direct Pay op grond van artikel 150 Rv de bewijslast van haar stelling dat [gedaagde] het welkomstpakket heeft ontvangen. De kantonrechter is van oordeel dat Direct Pay niet aan de op haar rustende stelplicht heeft voldaan door, na gemotiveerde betwisting door [gedaagde], haar vordering op het punt van de gestelde ontvangst van het welkomstpakket of de volgende pakketten niet van een nadere onderbouwing te voorzien. In haar conclusie van repliek volstaat Direct Pay met de stelling dat [gedaagde] onder meer het welkomstpakket heeft ontvangen. Bij conclusie van repliek heeft Direct Pay, ter onderbouwing van haar stelling dat [gedaagde] het welkomstpakket heeft ontvangen, aangeboden de pakbonnen en verzendlijsten van de diverse pakketten alsnog in het geding te brengen, maar laat – in strijd met artikel 85 lid 1 Rv – na deze stukken bij haar conclusie van repliek te voegen. De enkele stelling dat het door Direct Pay ingeschakelde verzendhuis verklaard heeft dat de pakketten bij [gedaagde] zijn afgeleverd, vormt onvoldoende onderbouwing. Het lag op de weg van Direct Pay om op dit punt haar vordering, onder meer, te adstrueren door overlegging van de stukken waarnaar zij verwijst. Het aanbod van Direct Pay om alsnog bewijs aan te dragen van de juistheid van haar stellingen zal worden gepasseerd nu aan het leveren van bewijs eerst wordt toegekomen indien stellingen voldoende zijn onderbouwd, hetgeen Direct Pay niet heeft gedaan. Het voorgaande leidt tot de conclusie dat niet is komen vast te staan dat [gedaagde] de pakketten van Direct Pay heeft ontvangen. Dat de gestelde leveringen aan [gedaagde] door Direct Pay nooit “retour geregistreerd” zijn – zoals Direct Pay aanvoert – is een omstandigheid die wellicht voortvloeit uit het feit dat [gedaagde], zoals zij op dit punt aanvoert, het welkomstpakket of de volgende pakketten niet retour heeft kunnen zenden omdat zij deze pakketten nooit heeft ontvangen.

3.7. Ten aanzien van het uiterst subsidiair gevoerde ontbindingsverweer is door Direct Pay niets aangevoerd. Gelet op hetgeen hiervoor is overwogen is de kantonrechter van oordeel dat niet is vast komen te staan dat [gedaagde] de pakketten heeft ontvangen die Direct Pay stelt verzonden te hebben. Nu uit de overeenkomst tussen partijen voortvloeit dat Direct Pay gehouden was in ieder geval het proefpakket van vitaminepillen aan [gedaagde] te verzenden en niet is komen vast te staan dat [gedaagde] dit pakket heeft ontvangen, is Natuals tekortgeschoten in de nakoming van haar verplichtingen uit de overeenkomst en is zij zonder voorafgaande ingebrekestelling in verzuim. Immers, voor een overeenkomst op afstand geldt op grond van artikel 7:46f BW dat de verkoper zonder ingebrekestelling in verzuim komt te verkeren indien de verkoper niet uiterlijk binnen dertig dagen nadat de koper zijn bestelling bij de verkoper heeft gedaan, de koop op afstand is nagekomen. Nu gesteld noch gebleken is dat de tekortkoming gezien haar bijzondere aard of geringe betekenis ontbinding niet rechtvaardigt, zal de overeenkomst tussen partijen worden ontbonden. Ontbinding brengt met zich dat partijen worden bevrijd van de door de ontbinding getroffen verbintenissen. Voor zover reeds is nagekomen ontstaat voor partijen een verbintenis tot ongedaanmaking van de reeds door hen ontvangen prestaties. Nu niet is komen vast te staan dat Natuals aan enige verplichting uit de overeenkomst heeft voldaan is [gedaagde] niet gehouden tot enige vergoeding en dient Direct Pay tot ongedaanmaking over te gaan. De vordering van Direct Pay in conventie dient te worden afgewezen.

3.11. In conventie is overwogen dat niet is komen vast te staan dat [gedaagde] het proefpakket heeft ontvangen en dat Direct Pay derhalve zonder ingebrekestelling op grond van artikel 7:46f BW in verzuim is komen te verkeren. Voorts is in conventie overwogen dat de overeenkomst tussen partijen zal worden ontbonden, waarna partijen worden bevrijd van de door de ontbinding getroffen verbintenissen. Dit brengt met zich dat de betaling van € 6,90, zoals [gedaagde] onweersproken stelt, onverschuldigd door [gedaagde] aan Direct Pay is verricht. Het kennelijk op artikel 6:203 BW gegronde deel van de vordering tot terugbetaling van € 6,90 zal, als niet, althans onvoldoende gemotiveerd weersproken, worden toegewezen.

IT 516

Tool om social media gedragscode op te stellen

Vanaf vandaag kan ieder bedrijf eenvoudig en kostenloos zijn eigen social media gedragscode opstellen met de Social Media Policy Generator op Policygenerator.nl. Na het beantwoorden van een aantal vragen ontvangt een bedrijf een gepersonaliseerde gedragscode voor het gebruik van social media door zijn medewerkers. Hiermee wordt gestimuleerd dat uitingen van medewerkers via social media bijdragen aan de positieve uitstraling van een bedrijf, terwijl tegelijkertijd het risico op imagoschade wordt vermeden. De tool is door MarketingMonday ontwikkeld omdat een dergelijke policy nog niet in alle bedrijven aanwezig is, maar wel noodzakelijk.

BRON: MarketingMonday en PolicyGenerator.nl

IT 515

Indexeringsdiensten

Rechtbank Amsterdam 28 september 2011, HA ZA 09-2443 (Stichting BREIN tegen News-Service)

Parallelle publicatie van IEF 10260. Met dank aan Tim Kuik, Stichting BREIN. Auteursrecht. Verwijderen van content waar Usenet provider News-service geen toestemming voor heeft om deze te plaatsen op straffe van een forse dwangsom.

Uit't persbericht: De rechtbank Amsterdam heeft gisteren vonnis gewezen tegen de commerciële Usenet provider News-service Europe (NSE). Zij moet op straffe van een dwangsom van 50.000 euro per dag bestanden met illegale entertainment content van haar servers verwijderen. NSE was gedagvaard door stichting BREIN die rechthebbenden op films, muziek, games, interactieve software en boeken vertegenwoordigt. 

Het in Nederland gevestigde NSE is naar eigen zeggen Europa's grootste Usenet Service Provider (USP). NSE biedt tegen betaling toegang tot vele honderdduizenden entertainment bestanden die in nieuwsgroepen op haar servers staan. Het gaat daarbij om zogeheten 'binaries' waarin films, televisieseries, muziek, games en e-books zijn opgeslagen. Consumenten kopen die toegang via abonnementen van zogeheten 'resellers' van NSE  zoals bijvoorbeeld NewsXS. De beste illegale bestanden konden gevonden worden via indexeringsdiensten als het eerder al op vordering van BREIN verboden FTD die daarvan lijsten met verwijzingen aanlegde.

IT 513

Omgaan met boodschappers van slecht nieuws

 

Bundesarchiv, Bild 102-11145 / onbekend / CC-BY-SA

Met commentaar in't kort van Walter van Holst, Mitopics.

Onlangs liet parlementslid Pierre Heijnen zich ontvallen dat de tijd wellicht rijp is voor een vorm van klokkeluidersbescherming voor hackers die misstanden in informatiebeveiliging aan het licht brengen. Dat werd verwelkomd door een open brief vanuit die gemeenschap, maar ook met kritiek ontvangen door rechtswetenschappers (Oerlemans en praktijkadvocaten (SOLV). Daarbij slaagde men er niet in om een aantal voor de hand liggende drogredeneringen te vermijden. In dit blog wat nuance, zowel voor als tegen.

Als eerste valt een zekere angstreflex voor misbruik op. Terwijl de huidige situatie eveneens evident tot misbruik leidt, maar dan van misbruik van de wet computercriminaliteit tegen boodschappers van slecht nieuws. Zowel in binnen- als buitenland komt het (te vaak) voor dat exploitanten of uitgevers van slecht beveiligde systemen of software een strafvervolging initiëren om critici de mond te snoeren. Het recente voorbeeld in Nederland is uiteraard TransLink Systems (TLS) dat aangifte deed tegen Brenno de Winter. Minder bekend in Nederland is dat de het Duitse Magix een Zweedse hacker met strafvervolging bedreigde omdat deze een lek in de door Magix uitgegeven muzieksoftware wilde publiceren. Eveneens onbekend is de Duitse zaak van Thomas Roth die zelfs een huiszoeking te verduren kreeg omdat hij op het punt stond een kraakmethode voor een cryptografisch algoritme te publiceren.

Bron van dit ‘gemak’ om eigen incompetentie op beveiligingsvlak af te wentelen op boodschappers van het slechte nieuws is toch vooral het Cybercrimeverdrag. Dat heeft in Nederland er toe geleid dat zelfs het criterium van een doorbreken van een beveiliging is geschrapt uit ons wetboek van strafrecht. Het onbevoegd toegang hebben tot een geautomatiseerd werk is daarmee op zichzelf al een misdrijf geworden, ongeacht of er sprake is van wetenschap van dit gebrek aan bevoegdheid of dat er sprake is van een kwaad opzet of niet. En daarmee is de gevleugelde kreet ‘wat offline geldt moet ook online gelden’ een holle frase geworden. Immers, bij de huis- en erfvredebreuk, waar het delict computervredebreuk schijnbaar bij aan zou sluiten, is er nog sprake van een vereiste van een sommatie om zich uit de voeten te maken alvorens er sprake is van een strafbaar feit. Een dergelijk geobjectiveerd criterium ontbreekt bij de computervredebreuk, wat het tot een aantrekkelijke stok maakt om iedere hond die constateert dat men zijn beveiliging niet op orde heeft te slaan. En aan dit gemak mag, gezien het toenemend maatschappelijk belang bij informatiebeveiliging, best wat gedaan worden.

Wat critici van de gedachte van Heijne uit het oog lijken te verliezen is dat het strafvorderlijk optreden bij verdenkingen van computercriminaliteit een bepaald hoge impact kan hebben. Zeker in het geval van een journalist of een beveiligingsonderzoeker kan dit al snel resulteren in een situatie waarin er een de facto Berufsverbot voor de duur van het strafvorderlijk onderzoek wordt gegeven. Bij een vervolging wegens huisvredebreuk of zelfs diefstal zullen niet snel alle informatiedragers in een huishouden in het strafvorderlijk onderzoek betrokken worden. Een louter vertrouwen op het opportuniteitsbeginsel, ook al lijkt dit redelijk goed te functioneren, is niet voldoende. Hoewel het Openbaar Ministerie zichtbaar groeiende is in haar rol bij het bestrijden van computercriminaliteit is het risico van een disproportionele aanpak in de praktijk te groot gebleken. In de al veel aangehaalde zaak rond de e-mail van Jack de Vries had de telastelegging nog wel een paar onsjes meer gekund, men had immers computervirussen verspreid om een ‘botnet’ op te bouwen. In het geval TLS had het sepot in een veel eerder stadium plaats kunnen vinden, de door Brenno de Winter zelf gepubliceerde verslagen van zijn onderzoeksmethoden hadden het OM al van voldoende aanknopingspunten kunnen voorzien om een afweging te maken.

Waar met name Oerlemans aan voorbijgaat is dat invoering van een expliciete strafuitsluitingsgrond helemaal geen vrijbrief biedt, het is uiteindelijk aan de rechter om een beroep op een dergelijke strafuitsluitingsgrond te honoreren. Daarbij is een proportionaliteitstoets nog steeds heel wel denkbaar, en de strafrechtklassiekers van de Huizense veearts (HR 27-06-1932 NJ 1933, 60 enHR 20-02-1933, NJ 1933, 918) indachtig hebben we het in de kern over een concrete uitwerking van het ontbreken van de materiële wederrechtelijkheid. Hoe in een geval als dat van Nieuwe Revu een beroep op een (geconcretiseerde) materiële wederrechtelijkheid zou kunnen slagen is mij een raadsel.

Ook de door SOLV geuite vrees dat de door de rechtbank Utrecht veroordeelde vervalser van OV-chipkaarten niet vervolgd had kunnen worden lijkt mij onterecht. Om te beginnen was het inzetten van de wet computercriminaliteit in dit geval al het gebruik van een kanon om een mug te beschieten (zie ook IT 183) die voorbij ging aan de kern van het misdrijf: het vervalsen van waardekaarten (art. 232 Sr). Daarnaast is het heel wel mogelijk een aantal critieria te formuleren om een dergelijk beroep kans van slagen te geven. Men kan denken aan cumulatieve eisen als:

  • Dat de geconstateerde beveiligingsproblemen onder de aandacht van de betrokken systeemeigenaar zijn gebracht, of beoogde te brengen
  • De betrokken systeemeigenaar of –eigenaren een redelijke termijn is gegund om schadebeperkende maatregelen te treffen (responsible disclosure)
  • Men zich niet meer toegang heeft verschaft dan nodig was om het beveiligingsprobleem te constateren en te documenteren
  • Men zichzelf of anderen geen profijt heeft verschaft als gevolg van de wetenschap van het beveiligingsprobleem (anders dan bijvoorbeeld publiciteit).

En hoewel een dergelijke strafuitsluitingsgrond een stap in de goede richting zou zijn, zijn andere manieren om een dergelijke ‘klokkeluidersbescherming’ in te voeren denkbaar. Mijn voorkeur zou uitgaan naar een grondige herziening van het wetboek van strafrecht en de delictsomschrijving van de computervredebreuk meer in lijn te brengen met die van de huisvredebreuk. Een minder optimale weg is het door de Minister van Justitie uitvaardigen van richtlijnen voor het Openbaar Ministerie die hetzelfde zouden behelzen als de hierbovengenoemde criteria.

Oerlemans en SOLV vinden dat de afweging van algemeen belang tegenover het al dan niet ongeautoriseerd toegang hebben tot een computersysteem per definitie in handen van de rechter moet blijven. Voor mij is de gedachte dat degenen die de kwaliteit van de informatiebeveiliging in de praktijk beter blijken te kunnen beoordelen dan de systeemeigenaar daarbij ook enige ruimte krijgen om een meer ethische afweging temaken bepaald minder vreeswekkend dan de gedachte dat omwille van het rechtsmonopolie van de rechter beveiligingslekken vooral geconstateerd zullen worden door beveiligingsbedrijven en de echte kwaadwillenden. Waarbij ik de beveiligingsbedrijven zeker geen kwaad hart toedraag, het zijn er alleen zo weinig in verhouding tot de echte kwaadwillenden.

Walter van Holst

IT 511

Coherent en stelselmatig

HvJ EU 15 september 2011, zaak C-347/09 (Jochen Dickinger en  Frans Ömer)

prejudiciële vragen gesteld door Bezirksgericht Linz, Oostenrijk

Een monopolie op het bedrijfsmatig voeren van een internetcasino is te rechtvaardigen alleen wanneer er coherent en stelselmatig risico's die gepaard gaan met zulke spelen bestrijd. In het kader van proportionaliteitstoetsing hoeven nationale gerechten monitoring en controle systemen van bedrijven gevestigd in andere lidstaten niet in ogenschouw te nemen.

56      In deze context moet er in het bijzonder aan worden herinnerd dat een nationale wettelijke regeling slechts geschikt is om de aangevoerde doelstelling te verwezenlijken, wanneer deze verwezenlijking coherent en stelselmatig wordt nagestreefd. De verwijzende rechter dient zich er dus van te vergewissen dat de betrokken beperkende regeling, met name gelet op de concrete wijze waarop zij wordt toegepast, daadwerkelijk beantwoordt aan de bekommernis de gelegenheden tot gokken te verminderen en de activiteiten op dit gebied op samenhangende en stelselmatige wijze te beperken (zie in die zin arrest Stoß e.a., reeds aangehaald, punten 88, 97 en 98).

Het Hof (Vierde kamer) verklaart voor recht:

1)      Het Unierecht, en in het bijzonder artikel 49 EG, verzet zich ertegen dat een inbreuk op een monopolie voor de exploitatie van kansspelen, zoals het monopolie voor de exploitatie van onlinekansspelen waarin de in het hoofdgeding aan de orde zijnde nationale regeling voorziet, strafrechtelijk wordt bestraft indien een dergelijke regeling met dit recht in strijd is.

2)      Artikel 49 EG moet aldus worden uitgelegd dat het van toepassing is op onlinekansspelen die in de lidstaat van ontvangst door een in een andere lidstaat gevestigde marktdeelnemer worden aangeboden, hoewel deze marktdeelnemer:
– in de lidstaat van ontvangst bepaalde informatica-infrastructuur, zoals een server, heeft geïnstalleerd, en
– een beroep doet op ondersteunende informaticadiensten van een in de lidstaat van ontvangst gevestigde dienstverrichter, teneinde voor eveneens in deze lidstaat gevestigde consumenten diensten te verrichten.

3) Artikel 49 EG moet aldus worden uitgelegd dat:
a) een lidstaat die in de kansspelsector een bijzonder hoog niveau van consumentenbescherming wil garanderen, op goede gronden van mening kan zijn dat alleen de verlening van een monopolie aan een enkele organisatie die onder nauw overheidstoezicht staat, een doeltreffend middel is om de aan deze sector verbonden criminaliteit te beheersen, aansporing tot geldverkwisting door gokken te voorkomen en gokverslaving afdoende te bestrijden;
b) een nationale regeling die op het gebied van kansspelen een monopolie instelt, op grond waarvan de monopolist een expansionistisch beleid kan voeren, slechts coherent is met de doelstelling de criminaliteit te bestrijden en de gelegenheden tot gokken te beperken indien:
–  zij is gesteund op de vaststelling dat de aan kansspelen verbonden criminele en frauduleuze activiteiten en de gokverslaving in de betrokken lidstaat een probleem vormen, dat door een uitbreiding van de legale en gereglementeerde activiteiten kan worden opgelost, en
–  zij enkel gematigde reclame toestaat, die strikt beperkt is tot hetgeen nodig is om de consument in de richting van gecontroleerde kansspelcircuits te leiden;

c)      het feit dat de ene lidstaat voor een ander beschermingsstelsel heeft gekozen dan een andere lidstaat, geen invloed kan hebben op de beoordeling van de noodzaak en de evenredigheid van de ter zake getroffen regelingen. Deze dienen immers enkel te worden getoetst aan de door de bevoegde autoriteiten van de betrokken lidstaat nagestreefde doelstellingen en aan het niveau van bescherming dat zij willen waarborgen.

IT 509

Diginotar failliet

Met dank aan Wanda van Kerkvoorden, SOLV.

Gisteren is - gezien de ontwikkelingen van de afgelopen weken uiteraard niet onverwacht - het faillissement van DigiNotar door de Rechtbank te Haarlem uitgesproken. Het Amerikaanse moederbedrijf Vasco Data Security International Inc heeft in een verklaring aangegeven dat DigiNotar zelf de faillissementsaanvraag heeft ingediend.

Vasco's CEO T. Kendall Hunt stelt het faillissement en met name de aanleiding daarvan te betreuren, maar haast zich om in dezelfde zin de klanten gerust te stellen: "we would like to remind our customers and investors that the incident at DigiNotar has no impact on VASCO's core authentication technology. The technological infrastructures of VASCO and DigiNotar remain completely separated, meaning that there is no risk for infection of VASCO’s strong authentication business."

Een verklaring van Vasco's President Jan Valcke in hetzelfde statement vind ik dan weer wat onhandig.  “While we do not plan to re-enter the certificate authority business in the near future, we expect that we will be able to integrate the PKI/identity verification technology acquired from DigiNotar into our core authentication platform.  As a result, we expect to be able to offer a stronger authentication product line in the coming year to our traditional customers.” Nu de naam van DigiNotar, voorzichtig uitgedrukt, besmet is, vraag ik me af waarom je als Vasco juist nu zou moeten mededelen dat je alsnog hun technologie gaat integreren.

Daarnaast zet ik hier vanuit juridisch opzicht  vraagtekens bij. Om de technologie van DigiNotar te integreren zal Vasco over de intellectuele eigendomsrechten moeten beschikken. Voorzover deze al voor datum faillissement aan Vasco zijn overgedragen, kan de curator zich op het standpunt stellen dat het om een paulianeuze overdracht gaat. Vasco is pas sinds januari van dit jaar eigenaar van DigiNotar dus als er al overdracht van rechten heeft plaatsgevonden, dan zal dat kort geleden gebeurd zijn en zou de curator of een van de schuldeisers mijns inziens zeer goed kunnen aanvoeren dat deze rechtshandeling onverplicht was. De schuldeisers worden benadeeld want het actief (de rechten) zitten niet meer in de boedel en het betreft ook nog eens het handelen met een gelieerde onderneming, het moederbedrijf, waarbij het me sterk lijkt dat  Vasco de marktprijs voor de technologie heeft betaald. Kortom, ook over dit aspect van de DigiNotar-nasleep zal nog wel het nodige te doen zijn. Vasco heeft verklaard alle medewerking aan zowel de curator als de Nederlandse overheid te zullen verlenen, dus onderzoek naar deze rechtshandeling zal, als Vasco haar toezegging gestand doet, mijns inziens snel tot resultaat kunnen leiden.

Lees hier de verklaring van Vasco.

IT 506

Discussieplatform

Rechtbank Amsterdam 15 september 2011, LJN BS8892 (Duizend jaar Kruiden B.V. tegen gedaagde en Synnray)

Vordering tot het verwijderen van een uitlating op een discussieplatform op internet afgewezen. De voorzieningenrechter oordeelt dat de uitlating binnen de grenzen van de vrijheid van meningsuiting valt. Vorderingen afgewezen, Proceskostenveroordeling.

4.2.  Uitgangspunt is dat toewijzing van de vorderingen van Duizend Jaar Kruiden een beperking zou inhouden van het in artikel 10 lid 1 van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) neergelegde grondrecht van gedaagden op vrijheid van meningsuiting. Een dergelijk recht kan slechts worden beperkt indien dit bij wet is voorzien en noodzakelijk is in een democratische samenleving, bijvoorbeeld ter bescherming van de goede naam en de rechten van anderen (artikel 10 lid 2 EVRM). Daarnaast dient een dergelijke beperking proportioneel te zijn. Van een beperking die bij de wet is voorzien is sprake, wanneer de uitlatingen van gedaagden onrechtmatig zijn in de zin van artikel 6:162 van het Burgerlijk Wetboek (BW). Voor het antwoord op de vraag of dit het geval is, dienen alle omstandigheden van het betrokken geval in ogenschouw te worden genomen.

4.4.  Bij het oordeel dat [gedaagde 1] is gebleven binnen de grenzen van het recht op vrijheid van meningsuiting, is van belang dat in dit kort geding niet kan worden vastgesteld wat de betekenis is van het woord nima waarvan [gedaagde 1] veelvuldig gebruik heeft gemaakt. Volgens de door Duizend Jaar Kruiden ingeschakelde vertaler (L.M. Petit) betekent nima “fuck your mother”. Duizend Jaar Kruiden heeft daaraan de conclusie verbonden dat dit woord, met name in de Chinese cultuur, een uiterst beledigend scheldwoord is. Daarentegen zijn door gedaagden twee andere verklaringen in het geding gebracht van M.S. Lee en P.N. Kuiper, beiden net als Petit beëdigd vertalers. Uit de verklaring van Kuiper blijkt dat nima een versluierde uitdrukking is, populair onder jongeren op het internet, die letterlijk “jouw moeder” kan betekenen en waarmee een op dubbelzinnigheid gericht komisch effect wordt beoogd (vergelijkbaar met het Nederlandse “potdorie”). Uit de verklaring van Lee blijkt eveneens dat nima op dit moment een populair woord is dat door jongeren op het internet wordt gebruikt. Het woord kent heel veel betekenissen, aldus Lee. Nima zal volgens Lee op de langere termijn in de vergetelheid raken. Ook hij wijst op het komisch effect van het woord en hij vergelijkt het met het Nederlandse woord “jeetje”. Gezien de tegenstrijdige vertalingen/verklaringen kan op voorhand niet worden gezegd dat de betekenis van het woord nima dermate grievend of beledigend zou zijn, dat dit de uitlatingen van [gedaagde 1] onrechtmatig zou maken. Derhalve kunnen ook op deze grond de vorderingen jegens [gedaagde 1] niet worden toegewezen.


4.5.  Ook het beroep van Duizend Jaar Kruiden op de Non-disclosure bepaling uit de overeenkomst (zie 2.1) faalt. De informatie die [gedaagde 1] op het internet heeft prijsgegeven kan voorshands niet worden aangemerkt als “any information of a confidential nature concerning the Employer”, zoals de desbetreffende bepaling voorschrijft. [gedaagde 1] deelt haar persoonlijke ervaringen met anderen. Het is niet zo dat zij vertrouwelijke of concurrentiegevoelige informatie van of over Duizend Jaar Kruiden openbaar heeft gemaakt. De voorzieningenrechter is bovendien van oordeel dat het belang van Duizend Jaar Kruiden dat andere potentiële werknemers zich niet laten afschrikken door de ervaringen van [gedaagde 1], in de gegeven omstandigheden minder zwaar dient te wegen dan de vrijheid van meningsuiting van [gedaagde 1].


4.7.  Tot slot heeft Duizend Jaar Kruiden nog bezwaar gemaakt tegen de foto’s van haar bedrijfsruimte op gogodutch. Onduidelijk is echter wie die foto’s (die overigens een neutraal karakter hebben) heeft geplaatst en – mocht op die foto’s auteursrecht rusten – wie de maker van die foto’s is. Dit bezwaar van Duizend Jaar Kruiden dan derhalve niet bijdragen tot het toewijzen van (een van) de vorderingen.


4.8.  Nu de vorderingen worden afgewezen, zal Duizend Jaar Kruiden in de proceskosten worden veroordeeld. Deze kosten worden aan de zijde van [gedaagde 1] begroot op € 71,- aan griffierecht en € 816,- aan salaris advocaat. Aan de zijde van Synnray worden de kosten begroot op € 568,- aan griffierecht en op € 816,- aan salaris advocaat.