Internet  

Brief van minister van Binnenlandse Zaken en Koninkrijkrelateis en van de Minister van Veiligheid en justitie inzake Diginotar, Kamerstukken II 2010-2011, 26 643, nr. 188.

Met daarin o.a. opgenomen: Genomen besluiten en ingezette acties (technisch en juridisch)

De volgende maatregelen zijn genomen om de ontstane situatie zo snel mogelijk te beheersen:
Technische maatregelen

– Het Kabinet heeft het vertrouwen opgezegd in het bedrijf DigiNotar en alle door hen geleverde diensten en certificaten en het operationele beheer van de systemen voor het verstrekken van certificering overgenomen. ICT-veiligheidsspecialisten worden hierbij betrokken om de overgangsfase zo snel mogelijk af te ronden.
– Er is per direct een eerste inventarisatie gemaakt van de mogelijke gevolgen en passende beheersmaatregelen.
– Alle door het bedrijf afgegeven certificaten voor publieke en semi-publieke organisaties worden vervangen door certificaten van andere certificatenleveranciers nadat is gebleken dat de certificaten en diensten van de andere certificatenleveranciers betrouwbaar zijn. Voor private partijen geldt dat zij zelf een keuze voor een leverancier moeten maken.

Juridische maatregelen

– De landsadvocaat is vanaf vrijdag 2 september 2011 betrokken.
– Het Openbaar Ministerie heeft een feitenonderzoek ingesteld.
– De OPTA is intensief betrokken.
– Het Kabinet onderzoekt wie betrokken zijn bij het hacken van DigiNotar.
– Het bedrijf DigiNotar wordt aangesproken op de verantwoordelijkheid en/of aansprakelijkheid wegens nalatigheid.

Kantonrechter Rechtbank Arnhem 22 augustus 2011, LJN BS1751 (Tom Bikes tegen gedaagde)

Vergelijkbaar met IT 493. E-Commerce. Aankoop van een fiets via internet. Fiets wordt niet opgehaald op de afgesproken datum. Koper stelt bestelling telefonisch te hebben geannuleerd. Annulering wordt schriftelijk bevestigd vijf weken na de datum waarop de fiets opgehaald had zullen worden. Artikel 7:46d BW bepaalt dat koper gedurende 7 werkdagen na de ontvangst van de gekochte zaak het recht heeft de koop te ontbinden. Die termijn wordt verlengd tot drie maanden indien verkoper niet heeft voldaan aan zijn verplichting om de informatie te verstrekken die de wet voorschrijft bij een koop op afstand. Die ontbinding kan geschieden zonder opgaaf van redenen.

De strekking van deze regeling is de koper bescherming te bieden en de gelegenheid te geven om zich een volledig beeld te vormen zowel van de zaak als, aan de hand van de ontvangen informatie, van de rechten en verplichtingen die voor hem uit de koop voortvloeien. In dit geval is van de ontvangst van de gekochte zaak geen sprake geweest. Het recht van de koper om te annuleren geldt ongeacht de reden. Of het de juiste fiets was doet er dus niet toe. Waar de koper het recht heeft na ontvangst van een zaak te koop te annuleren, moet voorts aangenomen dat hij dat recht ook heeft nog voor de ontvangst van de zaak. Dat brengt mee dat koper de koop kon annuleren, ook als koper zich eenvoudigweg heeft bedacht en de fiets niets meer wilde. Beroep van verkoper op de toepasselijke voorwaarden waarin is opgenomen dat bestellingen uitsluitend geannuleerd kunnen worden indien dat geschiedt binnen 7 dagen na de bestelling, gaat niet op, nu van de hiervoor genoemde artikel niet ten nadele van de koper kan worden afgeweken (artikel 7:46j BW).

4.4.  In geschil is wanneer [gedaagden] hebben laten weten af te zien van de koop. De termijnen van artikel 7:46d BW rekenen vanaf de datum van in ontvangstneming. De kantonrechter zoekt aansluiting bij de termijn die geldt voor de levering van diensten. Daarvoor geldt een termijn van drie maanden (zie artikel 7:46d BW) te rekenen van het sluiten van de overeenkomst. Dan moet aangenomen worden dat [gedaagden] tijdig hebben geannuleerd. Niet in geschil is immers dat [gedaagden] in ieder geval bij e-mails van 26 en 28 oktober 2010 hebben laten weten niet langer prijs te stellen op levering van de fiets.

4.5.  Tom Bikes heeft een beroep gedaan op de toepasselijke voorwaarden waarin is opgenomen dat bestellingen uitsluitend geannuleerd kunnen worden indien dat geschiedt binnen 7 dagen na de bestelling. Dit beroep gaat niet op nu van de hiervoor genoemde artikelen niet ten nadele van de koper kan worden afgeweken (artikel 7:46j BW).

4.6.  Het voorgaande leidt tot de conclusie dat de vordering in hoofdsom moet worden afgewezen. De vordering voor zover deze betrekking heeft op de buitengerechtelijke incassokosten en de rente behoeft daarmee geen bespreking meer.
Tom Bikes wordt veroordeeld in de kosten van de procedure aan de zijde van [gedaagden]. Nu zij in persoon procederen worden deze kosten begroot op nihil.

Antwoord van staatssecretaris Teeven (Veiligheid en Justitie), AH 3519 2011Z16031

1 Kent u het artikel “Hoe LinkedIn leden en reclame linkt”?1 (www.volkskrant.nl, 4 augustus 2011) Herinnert u zich de eerdere Kamervragen over sociale netwerksites die inbreuk maken op de Wet bescherming persoonsgegevens? 2 (Aanhangsel Handelingen, vergaderjaar 2008-2009, nr. 912)

1 Antwoord Ja.

2 Is het waar dat de netwerksite LinkedIn accountinstellingen van gebruikers zo heeft veranderd dat foto's en namen van leden ongevraagd voor reclames kunnen worden gebruikt? Zo ja, acht u dit een inbreuk op de Wet bescherming persoonsgegevens? Wordt hiertegen opgetreden door het College bescherming persoonsgegevens? Wat kunnen gebruikers van LinkedIn hiertegen doen? Zo nee, waarom niet?
3 Deelt u de mening dat het automatisch toestemming geven voor het gebruik van gegevens door gebruikers van LinkedIn of andere sociale netwerken ongewenst is en dat er expliciet om toestemming zou moeten worden gevraagd? Zo ja, hoe gaat u er zorg voor dragen dat deze praktijk wordt aangepast? Zo nee, waarom niet?
4 Heeft LinkedIn naar uw mening genoeg gedaan om gebruikers te informeren over de genoemde verandering? Zo ja, waar blijkt dat uit? Zo nee, waarin is LinkedIn naar uw mening tekortgeschoten?

Antwoorden 2, 3 en 4 Uit voornoemd artikel maak ik op dat LinkedIn recent gebruikersinstellingen zou hebben gewijzigd, waardoor persoonsgegevens van gebruikers voor advertenties gebruikt konden worden. Uit diverse berichtgeving in de media nadien leid ik af dat LinkedIn te kennen gegeven heeft dat de gebruikersinstellingen inmiddels aangepast zijn, zodat geen namen en foto’s van gebruikers meer zichtbaar zijn in advertenties.

De Wet bescherming persoonsgegevens (Wbp) stelt eisen aan de verwerking van persoonsgegevens. Op grond van artikel 8 van de Wbp mogen slechts persoonsgegevens worden verwerkt als er een grond voor gegevensverwerking aanwezig is. Eén van de gronden voor rechtsgeldige gegevensverwerking is ondubbelzinnige toestemming van de betrokkene voor de gegevensverwerking. Ingevolge de artikelen 33 en 34 van de Wbp heeft de verantwoordelijke voor de gegevensverwerking een informatieverplichting richting de betrokkene. De Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, hebben in een gemeenschappelijk standpunt van 13 juli 2011 aanbevelingen opgesteld over het begrip toestemming, waarmee een verantwoordelijke voor de gegevensverwerking rekening kan houden3 (Zie https://www.cbpweb.nl/downloads_int/wp187_en.pdf). 

Het College bescherming persoonsgegevens (Cbp) is belast met het toezicht op de naleving van de Wbp en kan bij een geconstateerde overtreding handhavend optreden. Het is niet aan mij om te oordelen over de vraag of in een individueel geval aan de vereisten van de Wbp wordt voldaan. Betrokkenen die van mening zijn dat er sprake is van een schending van de Wbp kunnen een klacht indienen bij het Cbp.

Kantonrechter Rechtbank Rotterdam 29 juli 2011, LJN BR6951 (eiser tegen gedaagde)

Gedaagde heeft via de website van eiseres een fiets "Redy freestyler X-ray Booster 20" besteld bij Tom Bikes en heeft bij zijn bestelling aangegeven dat hij de fiets opgestuurd wilde hebben.

Op grond van de algemene voorwaarden van eiseres dient gedaagde in dit geval de koopprijs voorafgaand aan de levering te voldoen. Gedaagde heeft bezwaar tegen voorruitbetaling van de koopprijs en heeft de factuur van eiseres onbetaald gelaten. De kantonrechter oordeelt dat van gedaagde ingevolge art. 7:26 lid 1 BW geen volledige vooruitbetaling verlangd kan worden. Eiseres kan derhalve geen beroep doen op haar algemene voorwaarden. Dit brengt met zich dat dat de vordering van eiseres slechts kan worden toegewezen indien zij reeds zelf aan haar verplichtingen heeft voldaan. De kantonrechter oordeelt dat dit niet het geval is nu eiseres de fiets nog niet heeft geleverd. Voorts oordeelt de kantonrechter dat indien eiseres nog overgaat tot levering van de fiets gedaagde, gelet op het bepaalde in art. 7:46d lid 1 BW, de overeenkomst nog kan ontbinden.

4.2 [eiseres] heeft gesteld dat [gedaagde], nu hij heeft gekozen de fiets per TNT-post te verzenden, op basis van artikel 6 van haar algemene voorwaarden gehouden is het gehele aankoop bedrag voorafgaand aan de verzending te voldoen. Ingevolge artikel 7:26 lid 1 BW mag, in geval van consumentenkoopovereenkomsten, geen volledige vooruitbetaling verlangd worden. Op grond van het bepaalde in artikel 7:6 lid 1 BW mag van voormelde regel slechts worden afgeweken bij individueel overeengekomen beding. Wordt van artikel 7:26 lid 1 BW afgeweken door middel van een beding dat is opgenomen in algemene voorwaarden, dan wordt dit beding vermoed onredelijk te bezwarend te zijn en is het beding vernietigbaar. Ter zitting heeft [gedaagde] een beroep gedaan op de vernietigbaarheid van de door [eiseres] gehanteerde algemene voorwaarden, zodat [eiseres] geen beroep toekomt op artikel 6 van haar algemene voorwaarden. Nu voorts niet is gebleken dat partijen bij individueel overeengekomen beding hebben afgeweken van artikel 7:26 lid 1 BW, wordt geoordeeld dat [eiseres] niet van [gedaagde] mocht verlangen dat hij voorafgaand aan levering van de fiets het aankoopbedrag volledig zou vooruit betalen.

4.3 Het voorgaande brengt met zich dat de vordering tot betaling van de hoofdsom slechts kan worden toegewezen indien [eiseres] zelf reeds aan haar verplichtingen heeft voldaan. Voor volledige betaling van het verschuldigde bedrag door [gedaagde] is dan ook vereist dat [eiseres] de producten aan [gedaagde] heeft geleverd. Nu vaststaat dat levering van de fiets aan [gedaagde] door Tom bikes nog niet heeft plaatsgevonden is de vordering van [eiseres] op [gedaagde] nog niet opeisbaar. Derhalve dient de vordering van [eiseres] te worden afgewezen. Dit brengt met zich dat de nevenvorderingen eveneens zullen worden afgewezen.

4.4 [gedaagde] heeft aangevoerd dat hij niet langer gebonden is aan de tussen hem en [eiseres] tot stand gekomen overeenkomst, omdat hij de bestelling van de fiets geannuleerd zou hebben. Op basis van de opgenomen bepaling in de voorwaarden van de “Klantenservice” had [gedaagde] het recht om zeven dagen na bestelling van de fiets de overeenkomst te annuleren. Uit de door partijen in het geding gebrachte stukken blijkt dat [gedaagde] niet binnen deze termijn heeft geannuleerd, zodat de overeenkomst tussen partijen nog steeds van kracht is. Het voorgaande laat echter onverlet dat [gedaagde], in het geval dat [eiseres] de fiets besluit te leveren, op grond van artikel 7:46d lid 1 BW (in ieder geval) gedurende zeven dagen na ontvangst van de fiets het recht heeft om de overeenkomst zonder opgave van redenen te ontbinden.

Zie ook NJD

Rechtbank Arnhem 29 juli 2011, LJN BR5573 (gerechtsdeurwaarderskantoor Tiel B.V. tegen ING Bank N.V.)

Kernvraag is of ING door de blokkering van de bankrekeningnummers van eiseres (deurwaarderskantoor), waardoor eiseres sinds 21 juli 2011 niet meer kan internetbankieren, toerekenbaar tekort is geschoten in de nakoming van haar verplichtingen uit de overeenkomst. Voorzieningenrechter beantwoordt die vraag bevestigend. ING moet binnen 3 werkdagen de situatie herstellen.

4.2.  De kernvraag in deze zaak is of ING door de blokkering van de bankrekening¬nummers van Tempelman-de Niet, waardoor Tempelman-de Niet sinds 21 juli 2011 niet meer kan internetbankieren, toerekenbaar tekort is geschoten in de nakoming van haar verplichtingen uit de overeenkomst. Dit zijn de verplichtingen voortvloeiend uit artikel 2.1 Reglement Girotel Zakelijk en de zorgplicht van artikel 2 lid 1 Algemene Bankvoorwaarden 2009.

4.4.  Vast staat dat op 22 juli 2011 Tempelman-de Niet al is gaan klagen bij ING over het feit dat zij niet meer kon internetbankieren met de twee bankrekeningnummers. Vervolgens lag het, mede gelet op de door haar in acht te nemen zorgplicht, op de weg van ING om Tempelman-de Niet zo spoedig mogelijk nieuwe inlogcodes te verschaffen ten einde het internetbankieren - waartoe Tempelman-de Niet contractueel gerechtigd is op grond van de overeenkomst - weer mogelijk te maken. Al aangenomen dat ING daartoe is overgegaan, is tot op heden onduidelijk gebleven welke termij¬nen daarmee exact gemoeid zijn en wanneer Tempelman-de Niet daarmee daadwerkelijk aan het werk kan gaan. Daarmee schiet ING naar het voorlopige oordeel van de voorzieningenrechter tekort in haar zorgplicht en is zij toerekenbaar tekortgeschoten in de nakoming van haar hiervoor genoemde contractuele verplichting Tempelman-de Niet internetbankieren te faciliteren. Daaraan doet niet af dat het door ING gebruikte geautomatiseerde systeem voor de aanmaak en toezending van nieuwe inlogcodes zijn beperkingen heeft. Een geautomatiseerd systeem - of ING daarvoor nu zelf heeft gekozen of krachtens de geldende beveiligingsregels tot die keuze verplicht was - neemt haar verantwoordelijkheid niet weg om voor een goed lopend betalings¬verkeer van de klant en voor voldoende informatievoorziening aan de klant zorg te dragen. Zij is in dit geval in beide opzichten tekort geschoten.

Kantonrechter Rechtbank Rotterdam 29 juli 2011, LJN BR6951 (eiseres tegen gedaagde)

eCommerce. Gedaagde heeft via de website van eiseres een fiets besteld en heeft bij zijn bestelling aangegeven dat hij de fiets opgestuurd wilde hebben. Op grond van de algemene voorwaarden van eiseres dient gedaagde in dit geval de koopprijs voorafgaand aan de levering te voldoen. Gedaagde heeft bezwaar tegen voorruitbetaling van de koopprijs en heeft de factuur van eiseres onbetaald gelaten.

De kantonrechter oordeelt dat van gedaagde ingevolge art. 7:26 lid 1 BW geen volledige vooruitbetaling verlangd kan worden. Eiseres kan derhalve geen beroep doen op haar algemene voorwaarden. Dit brengt met zich dat dat de vordering van eiseres slechts kan worden toegewezen indien zij reeds zelf aan haar verplichtingen heeft voldaan. De kantonrechter oordeelt dat dit niet het geval is nu eiseres de fiets nog niet heeft geleverd. Voorts oordeelt de kantonrechter dat indien eiseres nog overgaat tot levering van de fiets gedaagde, gelet op het bepaalde in art. 7:46d lid 1 BW, de overeenkomst nog kan ontbinden.

4.2 [eiseres] heeft gesteld dat [gedaagde], nu hij heeft gekozen de fiets per TNT-post te verzenden, op basis van artikel 6 van haar algemene voorwaarden gehouden is het gehele aankoop bedrag voorafgaand aan de verzending te voldoen. Ingevolge artikel 7:26 lid 1 BW mag, in geval van consumentenkoopovereenkomsten, geen volledige vooruitbetaling verlangd worden. Op grond van het bepaalde in artikel 7:6 lid 1 BW mag van voormelde regel slechts worden afgeweken bij individueel overeengekomen beding. Wordt van artikel 7:26 lid 1 BW afgeweken door middel van een beding dat is opgenomen in algemene voorwaarden, dan wordt dit beding vermoed onredelijk te bezwarend te zijn en is het beding vernietigbaar. Ter zitting heeft [gedaagde] een beroep gedaan op de vernietigbaarheid van de door [eiseres] gehanteerde algemene voorwaarden, zodat [eiseres] geen beroep toekomt op artikel 6 van haar algemene voorwaarden. Nu voorts niet is gebleken dat partijen bij individueel overeengekomen beding hebben afgeweken van artikel 7:26 lid 1 BW, wordt geoordeeld dat [eiseres] niet van [gedaagde] mocht verlangen dat hij voorafgaand aan levering van de fiets het aankoopbedrag volledig zou vooruit betalen.

4.3 Het voorgaande brengt met zich dat de vordering tot betaling van de hoofdsom slechts kan worden toegewezen indien [eiseres] zelf reeds aan haar verplichtingen heeft voldaan. Voor volledige betaling van het verschuldigde bedrag door [gedaagde] is dan ook vereist dat [eiseres] de producten aan [gedaagde] heeft geleverd. Nu vaststaat dat levering van de fiets aan [gedaagde] door Tom bikes nog niet heeft plaatsgevonden is de vordering van [eiseres] op [gedaagde] nog niet opeisbaar. Derhalve dient de vordering van [eiseres] te worden afgewezen. Dit brengt met zich dat de nevenvorderingen eveneens zullen worden afgewezen.

Vzr. Rechtbank Breda 1 september 2011, LJN BR6808 (BENSTOUT tegen Dreamgirl)

In navolging van IEF 9842. Executiegeschil, zijn dwangsommen verbeurd door foto's van erotische lingerie op server te laten staan? Auteursrechten. Exclusieve licentierechten foto's erotisch lingerie. Slaafse nabootsing. Onrechtmatig handelen.

Dreamgirl ontwerpt en produceert erotische lingerie, exclusieve distributieovereenkomst licentierecht aan Jörg. Aangeboden via www.dreamgirllingerie.nl. Klantenrelatie Benstout beëindigd, ongeautoriseerd gebruik van fotomateriaal ter aanprijzing van erotische artikelen.

Opslag van foto's die op een server die niet zonder meer voor het publiek toegankelijk is, kan niet worden aangemerkt als overtreding eerder vonnis. Drie foto's kunnen wel via Google, maar niet op de site gevonden worden, dus geen dwangsommen verbeurd. En staking van de executie ligt voor toewijzing gereed.

5.5. (...) De voorzieningenrechter is daarom voorshands van oordeel dat het dictum voor zover Benstout daarbij is geboden om de foto’s te verwijderen van de website(s) van Benstout, alsook van de servers waarop de foto’s zijn opgeslagen en uit alle overige (promotionele) materialen van Dreamgirl waarin deze zijn verveelvoudigd en/of worden openbaar gemaakt, zo moet worden begrepen dat dit gebod is opgelegd voor zover het betreft het openbaar maken of verveelvoudigen van de foto’s. Naar voorlopig oordeel van de voorzieningen¬rechter kan het opgeslagen houden van de foto’s op een server die niet zonder meer voor het publiek toegankelijk is, niet worden aangemerkt als een overtreding van het vonnis van 27 juni 2011. Uit het voorgaande volgt dat de foto’s die de deurwaarder heeft aangetroffen op de server door exact een URL in te typen en die zijn genoemd in de processen-verbaal niet zijn aan te merken als een overtreding van meergenoemd vonnis van 27 juni 2011.

5.7. Het verweer van Dreamgirl dat deze drie foto’s wel kunnen worden gevonden door in het zoekprogramma Google als zoekterm “Dreamgirl” in te vullen en vervolgens te zoeken naar afbeeldingen slaagt niet. In het dictum van het vonnis in kort geding van 27 juni 2011 is uitdrukkelijk bepaald, juist om executiegeschillen te voorkomen, dat het verbod geldt voor foto’s die zijn afgebeeld op de websites dreamgirldirect.com en dreamgirllingerie.nl. Dreamgirl heeft niet aangetoond dat de drie foto’s met de omschrijvingen “sexy jurkje”, “serveerster” en “sexy princess” via de websites www.dreamgirldirect.com of www.dreamgirllingerie.nl kunnen worden gevonden.

5.8. De slotsom luidt dat de drie foto’s genoemd in de processen-verbaal van 2, 4 en 5 juli 2011, door Dreamgirl overgelegd als producties 4, 5 en 6, door Benstout niet kunnen worden gevonden via de websites van Dreamgirl en daarom niet kunnen worden aangemerkt als een niet-nakoming door Benstout van de in het vonnis van 27 juni 2011 sub 5.1 en 5.2 gegeven geboden. Nu moet worden geconstateerd dat Benstout uit hoofde van het vonnis van 27 juni 2011 geen dwangsommen heeft verbeurd, ligt de vordering die strekt tot staking van de executie van dat vonnis voor toewijzing gereed.

Met deze brief informeren de minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Veiligheid en Justitie de Tweede Kamer over de digitale inbraak bij DigiNotar en over hetrapport dat Fox-IT daarover schreef.

Heeft u een commentaar, stuurt u uw stukken in via: contact/reactieformulier of redactie@itenrecht.nl

Met dank aan Steven Ras, ICTRecht.

DigiNotar is aardig in het nieuws over de hack die daar heeft plaatsgevonden. Zowel technisch als juridisch is de materie, waar DigiNotar zich in begeeft, vrij complex.

Mark Jansen van Dirkzwager Advocaten schreef een blog over de aansprakelijkheid van DigiNotar. Goed punt, want hier zijn veel vragen over. Jansen haalt in zijn blog een artikel aan dat de aansprakelijkheid van certificatiedienstverleners regelt:

“Wat daar ook van zij, noemenswaardig voor dit blogbericht is dat er een specifieke regeling voor de aansprakelijkheid van certificaatdienstverleners (als Diginotar) in artikel 6:196b BW van de wet staat. Die regeling geldt alleen wanneer een zogenaamd “gekwalificeerd certificaat” is uitgegeven. Voor de aansprakelijkheid van certificaatdienstverleners bij uitgifte van andere certificaten geldt het “normale” aansprakelijkheidsrecht. Daar ga ik in dit bericht verder niet op in.”

Hiermee wekt Jansen de indruk dat het wetsartikel (artikel 6:196b BW) van toepassing is op de uitgifte van SSL-certificaten. Dat is niet het geval. SSL-certificaten, die nu bij DigiNotar onder vuur liggen, zijn juridisch gezien andere certificaten dan gekwalificeerde certificaten. De eisen voor gekwalificeerde certificaten zijn veel zwaarder. Zo moet je als certificatiedienstverlener van gekwalificeerde certificaten bij de OPTA staan ingeschreven. Ook gelden er specifieke wettelijke bepalingen voor gekwalificeerde certificaten (waaronder dus artikel 6:196b BW).

Wat zijn nu precies gekwalificeerde certificaten? Gekwalificeerde certificaten worden bijvoorbeeld gebruikt voor ondertekening van elektronische documenten. Met een gekwalificeerd certificaat kan je bijvoorbeeld een handtekening zetten op een PDF-document. Dit doe je met een smartcard (een zogenaamd “veilig” middel). Deze smartcard is persoonsgebonden en bevat een sleutel waarmee de handtekening wordt gezet. Om je handtekening te zetten dien je een pincode in te voeren.
Deze vorm van elektronisch ondertekenen is in Nederland nog vrij onbekend. Dit komt mede doordat het nogal ingewikkeld is om zo’n gekwalificeerd certificaat aan te vragen. Daarnaast is zo’n certificaat is vrij kostbaar. Een digitale handtekening, welke wordt gezet met een gekwalificeerd certificaat, staat gelijk aan een handgeschreven handtekening. Vandaar dat er allerlei strenge regels gelden en er niet veel partijen zijn die zo’n certificaat uit mogen geven. DigiNotar is wel zo’n partij. Zij staat bij de OPTA ingeschreven. Bovendien is zij door een auditor gecertificeerd om deze certificaten uit te mogen geven.

DigiNotar is ook door een auditor gecertificeerd om SSL-certificaten uit te mogen geven. Deze SSL-certificaten, waarvoor minder zware eisen gelden dan voor gekwalificeerde certificaten, kennen geen apart juridisch regime. Ze vallen, zoals gezegd, dus niet onder artikel 6:196b BW. Als SSL-certificaten wel als gekwalificeerde certificaten zouden kunnen worden aangemerkt en deze bepaling dus wel voor deze certificaten zou gelden, dan zou DigiNotar een groot probleem hebben. Ze zou dan door de OPTA kunnen worden aangesproken. De OPTA is namelijk belast met het toezicht op de certificatiedienstverleners van gekwalificeerde certificaten. Tevens is er dan een beroep mogelijk op de aansprakelijkheidsbepaling voor certificatiedienstverleners (artikel 6:196b BW).

Het is opmerkelijk dat de wetgever geen bijzondere aansprakelijkheidsbepaling heeft gemaakt voor andere certificaten dan gekwalificeerde certificaten. Zoals we de afgelopen dagen hebben kunnen zien, zijn de gevolgen van de uitgifte van valse SSL-certificaten erg groot. Waarschijnlijk heeft de wetgever dit niet voorzien.

Ook al kunnen de gebruikers, die hebben vertrouwd op een vals SSL-certificaat van DigiNotar, geen aanspraak kunnen maken op de bijzondere aansprakelijkheidsbepaling, wil dat nog niet zeggen dat er geen juridische mogelijkheden zijn. Naar mijn mening kan DigiNotar wel via het “normale” aansprakelijkheidsrecht aansprakelijk worden gesteld. Het zou onder andere kunnen gaan om de volgende punten:

- DigiNotar kan zelf geen SSL-certificaten meer leveren die goed functioneren. De browsers geven immers een foutmelding. Al zo’n SSL-certificaat niet langer wordt geaccepteerd door de browsers, schiet DigiNotar tekort in de nakoming van haar verplichtingen. DigiNotar heeft zich immers verplicht tot het leveren van goed werkende SSL-certificaten. De klanten van DigiNotar kunnen schadevordering instellen uit hoofde van wanprestatie. Het overigens nog de vraag in hoeverre de deze claim zin heeft. DigiNotar heeft haar aansprakelijkheid in de algemene voorwaarden en in het Certificate Practice Statement beperkt. Toch gek als je je bedenkt dat de gevolgen van het niet-functioneren groot zijn. Zo is het digitale loket van de rechtbanken voor advocaten op dit moment niet beschikbaar.

“Deze digitale diensten zijn tijdelijk niet bereikbaar vanwege een technisch probleem met de beveiliging. Betrouwbare digitale communicatie tussen browser en website is momenteel niet mogelijk. Daardoor heeft de advocatuur momenteel geen toegang tot lopende zaken op de roljournalen en het familiejournaal van het Digitaal loket rechtspraak.”

- Op de website van DigiNotar staat de volgende mededeling:

“Gebruikers van SSL certificaten kunnen afhankelijk van de desbetreffende browserleverancier geconfronteerd worden met een mededeling dat het certificaat niet vertrouwd wordt. Dit is in 99,9% van de gevallen onjuist, het certificaat kan wel worden vertrouwd. Dit kan handmatig door de gebruiker zelf worden aangegeven in de browser (hiervoor kunt u terecht op de FAQ op onze website).”

DigiNotar zegt dat haar SSL-certificaten kunnen worden vertrouwd, maar is dat wel zo? Dat zal nader onderzoek uit moeten wijzen. Bovendien heeft DigiNotar het over een garantie van “99,9%”. Dit betekent dat 1 op de 1000 certificaten niet te vertrouwen zou zijn.
Deze mededeling is juridisch gezien niet handig, want DigiNotar zou op basis van deze mededeling aansprakelijk gesteld kunnen worden. De mededeling dat je certificaten  zomaar als vertrouwd moet  toevoegen gaat geheel in tegen wat er in het algemeen als veilig wordt beschouwd. Dit is niet zorgvuldig.

Klanten van DigiNotar nemen deze mededeling zelfs over. De RDW verwijst nu ook al naar deze mededeling en loopt door dat te doen ook een juridisch risico.

Het einde van deze nachtmerrie voor DigiNotar is nog niet in zicht…

Vrz. Rechtbank Haarlem, LJN BR6505 (De Staat der Nederlanden tegen A)

Na de voorbeschouwing door Arnoud Engelfriet, ICTrecht (hier). Kort geding over ministerpresidentrutte.nl Gedaagde weigert die domeinnaam aan de Staat over te dragen. Gedaagde maakt naar het oordeel van de voorzieningenrechter misbruik van de bevoegdheid tot registratie en instandhouding van de domeinnaam ministerpresidentrutte.nl. Als gedaagde zijn gedachtegoed via internetsites aan de man wil brengen, dient hij dat te doen op eigen kracht en niet via de domeinnaam van een website die het publiek bezoekt om informatie over minister-president Rutte te krijgen.

Naast misbruik van bevoegdheid is tevens sprake van onrechtmatig handelen van gedaagde. Het feit dat gedaagde bezoekers van www.ministerpresidentrutte.nl doorgeleidt naar www.klokkenluider.nl brengt het risico met zich dat de minister-president en de Staat worden geassocieerd met verdachtmakingen op die site. Het enkel vasthouden van een domeinnaam om de Staat te beletten die voor haar van belangzijnde domeinnaam te registeren, levert ook misbruik van bevoegdheid op (3.13 lid 1 BW). Dat wordt niet anders indien de domeinnaam zou zijn geregistreerd met het enkele oogmerk die te zijner tijd met winst aan de Staat te verkopen.

5.7.  De voorzieningenrechter overweegt als volgt. In artikel 3:13 lid 1 van het Burgerlijk Wetboek (BW) is bepaald dat degene aan wie een bevoegdheid toekomt die bevoegdheid niet kan inroepen voor zover hij haar misbruikt. Lid 2 van voormeld artikel bepaalt dat een bevoegdheid onder meer kan worden misbruikt in geval men, in aanmerking nemende de onevenredigheid tussen het belang bij de uitoefening en het belang dat daardoor wordt geschaad, naar redelijkheid niet tot die uitoefening had kunnen komen. Naar het oordeel van de voorzieningenrechter doet een dergelijke situatie zich hier voor.

5.10.  Bij de hiervoor geschetste stand van zaken is vooralsnog aannemelijk dat [A] misbruik maakt van de bevoegdheid tot registratie en instandhouding van de domeinnaam ministerpresidentrutte.nl. Gelet op de onevenredigheid, die blijkt uit hetgeen hiervoor is overwogen, tussen het belang van de Staat bij het gebruik van de domeinnaam ministerpresidentrutte.nl en [A]’s belang bij die aanduiding, kan [A] niet in redelijkheid die domeinnaam ten nadele van de Staat blokkeren. Uiteraard staat het [A], binnen de grenzen van het recht, vrij om aandacht te vragen voor zijn ideeën. In de thans bestaande situatie lift [A] daarvoor mee op de naamsbekendheid en de positie van de minister-president. Als hij zijn gedachtegoed via internetsites aan de man wil brengen, dient hij dat te doen op eigen kracht en niet via de domeinnaam van een website die het publiek bezoekt om informatie over minister-president Rutte te krijgen.

5.11.  Naast misbruik van bevoegdheid is hier naar het oordeel van de voorzieningenrechter tevens sprake van onrechtmatig handelen van [A]. Zoals onder 2.4 is vermeld wordt op de website www.klokkenluideronline.nl onder meer gesuggereerd dat diverse (meer of minder bekende) personen zich schuldig hebben gemaakt aan of betrokken zijn bij zeer ernstige misdrijven. Wat de status is van de uitlatingen op www.klokkenluideronline.nl is in dit kort geding niet aan de orde. Het enkele feit dat [A] de bezoekers van www.ministerpresidentrutte.nl doorgeleidt naar www.klokkenluideronline.nl brengt het risico met zich dat de minister-president en de Staat worden geassocieerd met de verdachtmakingen op die website. De wijze waarop [A] gebruik maakt van de domeinnaam ministerpresidentrutte.nl is daarom te kwalificeren als strijdig met de in het maatschappelijk verkeer in acht te nemen zorgvuldigheid.

5.12.  Nu [A], zoals onder 5.8 werd overwogen, de Staat belemmert in de informatievoorziening van het publiek, heeft de Staat een rechtens te respecteren belang bij de gevorderde overdracht van de domeinnaam ministerpresidentrutte.nl.

5.13.  Ten overvloede merkt de voorzieningenrechter nog op dat, indien [A] de bezoekers van www.ministerpresidentrutte.nl niet zou doorgeleiden naar een andere website, maar de domeinnaam slechts zou vasthouden om de Staat te beletten deze te registreren, eveneens sprake zou zijn van misbruik van bevoegdheid in de zin van artikel 3:13 BW. In die situatie zou [A] de bevoegdheid de domeinnaam te registreren immers uitoefenen met geen ander doel dan de Staat te schaden of met een ander doel dan waarvoor zij is verleend. Dat laatste zou ook aan de orde zijn indien [A] de domeinnaam zou hebben geregistreerd met het enkele oogmerk - hetgeen [A] heeft ontkend - die te zijner tijd met winst aan de Staat - en daarmee ten koste van de gemeenschap - te verkopen.