Internet  

M. Driessen 'Elektronische marktplaatsen niet meer neutraal', FD 11 augustus 2011

Met dank aan Marjolein Driessen, Legaltree.

Uitspraak van Europese Hof van Justitie is verrassend en heeft verstrekkende consequenties, misschien zelfs voor Google

Elektronische marktplaatsen zoals eBay kunnen vanaf nu aansprakelijk worden gesteld als op hun platforms inbreuk makende artikelen door derden worden aangeboden en verkocht. Ze zijn dus naast de commerciële aanbieders zelf ook aansprakelijk. Dat heeft de hoogste rechter, het Europese Hof van Justitie, onlangs geoordeeld in een procedure die door cosmeticaproducent L’Oréal werd aangespannen tegen veilingsite eBay. Een verrassende uitspraak [IEF 9932 en 9961].

De talloze elektronische marktplaatsen— zoals de bekende eBay, Marktplaats en Speurders.nl, maar ook minder bekende als Woonwinkelplaats.nl, Kindermarkt. nu en Marktkrantje.nl — werden tot voor kort slechts gezien als neutrale tussenpersonen. In deze functie slaan ze — op verzoek van afnemers—content zoals advertenties op en geven die weer op hun site en kunnen ze een beroep doen op uitsluiting van aansprakelijkheid op basis van de Europese ‘E-commerce Richtlijn’.

Alleen in sommige gevallen is aansprakelijkheid niet uitgesloten. Namelijk als (1) de tussenpersoon weet dat de opgeslagen content onwettig is en bijvoorbeeld merkinbreuk oplevert en hij die content niet prompt verwijdert of de toegang daartoe onmogelijk maakt, en/of (2) als die tussenpersoon een actievere rol vervult dan het slechts automatisch en ongewijzigd plaatsen van de opgeslagen content op de site.

Van elektronische marktplaatsen werd daarom altijd aangenomen dat ze neutraal waren en dus uitgesloten van aansprakelijkheid.

Op 12 juli oordeelde het Europese Hof van Justitie echter anders: elektronische marktplaatsen kúnnen aansprakelijk zijn voor de verkoop van inbreuk makende producten via hun website. Een elektronische marktplaats neemt volgens het hof géén neutrale positie in tussen de verkopers en (potentiële) kopers als hij de verkoopaanbiedingen die worden gedaan via de website optimaliseert of bevordert. EBay lijkt dat te doen.

Zo heeft eBay AdWords bij Google ingekocht, zoals ‘L’Oréal’, die zij koppelt aan advertenties voor L’Oréal-producten die via haar site worden aangeboden, om zodoende meer bezoekers op zijn websites te genereren. EBay helpt verkopers bovendien desgewenst hun aanbod te optimaliseren, de verkoop te bevorderen en online winkels op te zetten. Daardoor heeft zij kennis van of controle gekregen over de gegevens betreffende die aanbiedingen en lijkt zij een actieve rol in het verkoopproces te vervullen. Of dat inderdaad zo is, is nu aan de Engelse rechter, die de kwestie heeft voorgelegd aan het Europese Hof, om te beoordelen. Ook in het licht van de vorig jaar verschenen arresten van het Europese Hof inzake Google’s Ad- Words is deze uitspraak opmerkelijk.

Google biedt adverteerders tegen betaling AdWords aan, die bijvoorbeeld bestaan uit het merk van een concurrent. Google doet daarbij — op eigen initiatief — suggesties bij de selectie van die AdWords. Meerdere partijen, waaronder het Franse modehuis Louis Vuitton, startten een procedure tegen Google. Als een internetgebruiker op bijvoorbeeld Louis Vuitton zocht, kwam hij onder meer terecht bij gesponsorde links van aanbieders van namaakartikelen. Volgens het hof maakt Google zelf geen merkinbreuk en kan zij niet aansprakelijk worden gesteld. Google zou namelijk wel een neutrale rol spelen. Dat Google suggesties doet die kunnen bestaan uit het merk van de concurrent, en helpt bijde selectie van Ad- Words, verandert daar niets aan. Het is echter de vraag of de rol van Google zo veel neutraler is dan die van eBay.

Hoe kunnen elektronische marktplaatsen trachten te voorkomen dat ze aansprakelijk worden gesteld? Door in de eerste plaats de advertenties van inbreukmakende producten zo snel mogelijk te verwijderen wanneer bekend is geworden dat het om inbreuk gaat. Daarnaast is het raadzaam vooral geen al te actieve rol in te nemen bij het opstellen van de advertenties en het vestigen van de aandacht op deze advertenties, bijvoorbeeld door gebruik te maken van AdWords die bestaan uit —andermans — merknamen.

Bovendien is het opstellen van een protocol voor de handelwijze als er inbreuk wordt gemeld of vermoed, geen overbodige luxe. De grote, bekende marktplaatsen hebben een dergelijk protocol al, maar voor het merendeel van de kleinere spelers is hier nog wel een rol weggelegd.

De consequenties van deze uitspraak van het hof kunnen verstrekkend zijn. Als elektronische marktplaats is het verstandig hierop te anticiperen en maatregelen te nemen die de kans op aansprakelijkheid verminderen.

Vrz. Rechtbank Assen 4 februari 2011, LJN BR4278 (Gebroeders Reimert B.V. tegen Provincie Drenthe, gevoegd: Jaartsveld Infra B.V. ) 

Image courtesy of officeclipart.com

Pas 5 augustus 2011 gepubliceerd. Aanbesteding die geheel elektronisch verloopt. Aanbesteder schrijft toch schriftelijk in. Is er sprake van een ongeldige inschrijving? De voorzieningenrechter oordeelt dat de documenten dusdanig duidelijk, precies en ondubbelzinnig zijn geformuleerd, dat alle normaal oplettende en zorgvuldig handelende potentïele inschrijvers daar uit op konden maken dat louter elektronisch kon worden ingeschreven. Het 1 minuut voor sluitingstijd alsnog elektronisch proberen in te schrijven, wat niet lukt, betreft een omstandigheid die voor rekening en risico voor de aanbesteder komt, mede omdat niet is gebleken van falen in het betreffende systeem. De sanctie van uitsluiting acht de voorzieningenrechter toegestaan, omdat dat nodig, adequaat en proportioneel is, om de normen te handhaven die ingevolge het aanbestedingsrecht door de aanbestedende dienst moeten worden nageleefd. Daar verdraagt zich niet mee de door de aanbesteder bepleite keuze om de verzuimen door de vingers te zien en uit te gaan van de laagste inschrijving.

5.3.  Uit de tekst van de aankondiging zelf (artikel VI.3), het bijbehorende (gewijzigde) bestek ( artikel 0.02 en 0.06 ) en de bijlagen (onder andere artikel 5 van het protocol ), is voor dergelijke personen zonder meer op te maken dat de inschrijving moest worden ingediend op de daarin vermelde wijze: stap voor stap met gebruikmaking van computer en internet (zie verder onder 5.6.).
Inherent aan de keuze voor deze elektronische aanbesteding, die bovendien nog is aangeduid als exclusief ("uitsluitend"), is dat een schriftelijke inschrijving niet mogelijk was.
Ter zitting is gebleken dat Reimert wist dat ook wel wist, maar dat dit door de interne organisatie en door een gebrek aan ervaring met deze manier van inschrijven, dit niet overal in haar bedrijf is doorgedrongen.

5.4.  De omstandigheid dat in het bestek in artikel 0.02 zoveel mogelijk in plaats van uitsluitend elektronisch staat opgenomen maakt dit niet anders, omdat bepaalde onderdelen van de aanbestedingsprocedure nu eenmaal niet elektronisch kunnen geschieden, waaronder met name het verstrekken van mondelinge informatie tijdens een inlichtingenbijeenkomst.

5.5.  Reimert stelt dat zij -ook- nog elektronisch heeft ingeschreven op 1 december 2010 om 10.59 uur.

5.6.  In de aanbestedingsdocumenten staat uitvoerig en gedetailleerd hoe moet worden ingeschreven op de opdracht. Onder meer staat beschreven op welke wijze men een account voor het betreffende platform kan verkrijgen, hoe men zich vervolgens kan aanmelden en op welke wijze vervolgens een inschrijving gedaan kan worden. Dit is stap voor stap uiteengezet (rubriek Feiten onder 2.2) en daarbij kan de hulp van een helpdesk worden ingeroepen.
Uit het overzicht van Negometrix van de aanbesteding blijkt dat 31 bedrijven een account hebben geopend. Reimert heeft dat gedaan als tweede potentiële inschrijver, op 19 oktober 2010 om 6.59 uur. Van die 31 bedrijven, hebben er volgens dit overzicht 12 daadwerkelijk ingevulde en bijgevoegde documenten naar het systeem/de server van Negometrix geupload en doorgezonden aan de Provincie, Reimert echter niet. Eén bedrijf, Jansma Wegen en Milieu B.V. is blijven steken in het systeem van Negometrix.

5.7.  Uit dit overzicht volgt niet dat Reimert op 1 december 2010 niet is ingelogd bij Negometrix maar wel dat de vereiste stukken niet zijn meegezonden, althans niet allemaal. Daarbij is niet komen vast te staan dat dit een gevolg is van een falen van het systeem van Negometrix. Het moet er veeleer voor worden gehouden dat het niet is gelukt omdat de tijd daarvoor te kort was.
In artikel 5 van het protocol is dit uitdrukkelijk gesanctioneerd met uitsluiting. Dat is toegestaan nu dit nodig, adequaat en proportioneel is, om de normen te handhaven die ingevolge het aanbestedingsrecht door de aanbestedende dienst moeten worden nageleefd. Een keuze als door Reimert bepleit, namelijk door de vingers zien en het laagste bedrag nemen, verdraagt zich hier niet mee. De Provincie kon niet anders.
Het één minuut voor sluitingstijd nog proberen documenten te uploaden, wat vervolgens niet meer lukt, is een omstandigheid die dus voor rekening van Reimert moet komen.

5.9.  Het voorgaande leidt er toe dat de vorderingen worden afgewezen.

Hof Amsterdam 26 juli 2011, LJN BR3418 (Schoonderwoerd tegen Zwartepoorte Goes B.V.)

In navolging van IEF 7940. Zoekmachineresultaten. Vrijheid van meningsuiting.

Exploitant website is verantwoordelijk voor Google-zoekresultaat. Gedaagde Schoonderwoerd wordt veroordeeld om “de inrichting van de website klup.nl zodanig aan te passen en aangepast te houden, dat niet langer via deze website, door middels van de website van Google, een zoekresultaat wordt weergegeven waarin de onjuiste indruk wordt gewekt dat Zwartepoorte failliet is.

Ongelukkig samenstel van citaten in zoekresultaat Google wekt onjuiste suggestie van faillissement. Kan websitehouder ter voorkoming van die suggestie worden verplicht zijn website aan te passen? Vrijheid van meningsuiting. Belangenafweging. Websitehouders kunnen onder omstandigheden verantwoordelijk zijn voor de weergave van hun websites in de zoekresultaten van Google.

3.14. De grieven XVI en XVIII bevatten de klacht dat [ Appellant ], op grond van de werkwijze van Google, niet op voorhand kan uitsluiten dat de zoekmachine een zoekresultaat weergeeft waarin de onjuiste indruk wordt gewekt dat Zwartepoorte failliet is en dat het dictum, waarin hij wordt verplicht de zoekresultaten van Google verwijderd te houden, executiegeschillen ten gevolge heeft. [ Appellant ] leest het dictum echter te ruim. Hij diende zijn website aan te passen en aangepast te houden, hetgeen mede in het licht van rechtsoverweging 4.8, eerste zin, van het bestreden vonnis, niet inhoudt dat hij zijn website en de zoekresultaten in de gaten moet houden, maar slechts dat hij gehouden is de aanpassing van de website niet weer ongedaan te maken. Dit betekent dat ook de grieven XVI en XVIII niet slagen.

Lees het arrest hier (link / pdf)

Rechtbank Utrecht 20 juli 2011, LJN BR2611 (eiser tegen Nieuw Apostolische Kerk in Nederland)

De voorzieningenrechter veroordeelt een kerkgenootschap tot rectificatie van eerder op de website van het kerkgenootschap gedane uitingen jegens eiser. De voorzieningenrechter is van oordeel dat NAK door zonder toestemming van eiser informatie over zijn persoon op haar website te plaatsen in strijd heeft gehandeld met artikel 8 Wbp en daarmee onrechtmatig jegens eiser heeft gehandeld. Dit betekent dat NAK zal worden veroordeeld om de verklaring van haar website te verwijderen. De door eiser gevorderde rectificatie tekst kan echter niet worden toegewezen. Deze suggereert immers dat de verklaring van NAK inhoudelijk onjuist is, hetgeen in het kader van dit kort geding niet is en kan worden vastgesteld

Op de website van gedaagde stond, o.m.:
 ... De werkwijze van de heer [eiser] was niet open en transparant, waardoor het vertrouwen van de kerk in de samenwerking met hem afnam. Hij probeerde zich in zijn werk aan controle door de kerkleiding te ontrekken.
De relatie tussen de heer [eiser] en de kerkleiding verslechterde in de eerste helft van 2009 steeds meer, hetgeen in juni 2009 tot een breuk in de samenwerking leidde. In september 2009 werd de heer [eiser] door de kerk ontslagen.

4.11.  De voorzieningenrechter is op grond van het voorgaande van oordeel dat NAK door zonder toestemming van [eiser] informatie over zijn persoon op haar website te plaatsen in strijd heeft gehandeld met artikel 8 Wbp en daarmee onrechtmatig jegens [eiser] heeft gehandeld. Dit betekent dat NAK zal worden veroordeeld om de verklaring van haar website te verwijderen. De door [eiser] gevorderde rectificatie kan echter niet worden toegewezen. Deze suggereert immers dat de verklaring van NAK inhoudelijk onjuist is, hetgeen in het kader van dit kort geding niet is en kan worden vastgesteld. NAK zal daarom worden veroordeeld om na te melden verklaring op de homepage van haar website te plaatsen gedurende een periode van 4 na betekening van dit vonnis. De gevorderde dwangsom zal eveneens worden toegewezen met dien verstande dat deze wordt gematigd tot € 1.000,- per dag met een maximum van € 50.000,-.
De te plaatsen rectificatie luidt als volgt:
“Bij vonnis in kort geding van 20 juli 2011 is de Nieuw Apostolische Kerk in Nederland veroordeeld om de eerdere verklaring met betrekking tot de voormalig medewerker bouwafdeling van haar site te verwijderen omdat zij hiermee in strijd met artikel 8 Wet bescherming persoonsgegevens en daarmee onrechtmatig heeft gehandeld.
De kerkleiding”

Hoge Raad 5 juli 2011, LJN BQ2009 (ruchtbaarheid op Hyves)

Verdachte heeft cassatie ingesteld. Hof heeft overwogen dat er sprake is van opzettelijk eer en goede naam aanranden door ruchtbaarheid te geven aan bepaald feit door het plaatsen van tekst op Hyves. Tekst is hierdoor ter kennis gebracht aan breder publiek en heeft daardoor geen vertrouwelijk karakter. HR verwerpt beroep, meent dat oordeel Hof niet getuigt van onjuiste opvatting omtrent 261 Sr.

2.5. Het Hof heeft vastgesteld dat de verdachte op haar Hyves-pagina zichtbaar voor 20 à 25 andere personen de tekst heeft geplaatst "ik moet mijn kind meegeven aan een pedo", waarmee zij haar ex-partner bedoelde. Uitgaande van de maatstaf als hiervoor onder 2.4.2 weergegeven, heeft het Hof geoordeeld dat de verdachte aldus haar ex-partner opzettelijk in zijn eer en goede naam heeft aangerand door telastlegging van een bepaald feit met het kennelijke doel om daaraan ruchtbaarheid te geven. Daarbij heeft het Hof in aanmerking genomen dat de in de bewezenverklaring genoemde uitlating niet te vergelijken is met informatie die in de beslotenheid van de huiskamer aan een beperkte kring geadresseerden wordt toevertrouwd en dat het in het onderhavige geval, waarin de tekst op de Hyves-pagina van de verdachte zichtbaar was voor personen die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlating konden beschikken, voor de verdachte voorzienbaar en op voorhand feitelijk te verwachten was dat de geplaatste tekst verder zou worden verspreid. Het oordeel van het Hof getuigt niet van een onjuiste opvatting omtrent art. 261 Sr, terwijl het evenmin onbegrijpelijk is. Het middel faalt.

Lees het gehele arrest hier (link / pdf)

WIPO Arbitration and Mediation Center. Geschillenbeslechter 30 juni 2011, zaaknr. D2011-0636 (Cooperative Unive U.A. tegen Ashantiplc Ltd en Domain Name Privacy LLC, inzake unive.com)

Domeinnaamrecht. Merkennaamrecht. WIPO geschillenbeslechting. Woord "unive" wordt wijdverbreid gebruikt, vaak als afkorting van universiteit. Uit klacht valt niet af te leiden dat verweerder op de hoogte had moeten zijn van het merk van klager. Klacht heeft geen kwade trouw van verweerder aangetoond. Klager heeft klacht niet onderbouwd en probeert WIPO Panel te misleiden, dus sprake van kwade trouw van klager. Misbruik van procesrecht. Klacht is afgewezen.

The record shows that “unive” is a term in widespread use both as a truncation of ‘university’ and with other meanings. Furthermore, it is clear to the Panel that, while the term can refer to the Complainant’s trademark, the overwhelming search association of the term “unive” is to subject matter relating to universities. Moreover, the Panel finds that there is nothing in the Complaint (including annexes) to indicate that (i) the Respondent was or should have been aware of the Complainant or its mark when it registered the disputed domain name, (ii) the Respondent ever used the disputed domain name for any insurance-related matter or directed its contents to Internet users in The Netherlands, or (iii) the Respondent targeted the Complainant or its trademark in any way at any time.

The Complaint contains no allegation of facts from which bad faith on the part of the Respondent could reasonably be inferred, and absolutely no evidence of such. The Complainant effectively asserts that any person who uses the term “unive” in any way is ipso facto acting in bad faith, solely by virtue of the Complainant’s trademark. The Complainant does not describe or provide evidence of the use to which Respondent put the disputed domain name other than a screenshot of the website associated with the disputed domain name, which incidentally supports the Respondent’s contention that it uses the term in connection with its association with universities. The Complainant merely asserts that the Respondent’s use is “commercial”.

Lees de gehele uitspraak hier (link / pdf)

Vzr. Rechtbank Almelo 11 juli 2011,  LJN BR1312, (lierenshop.nl; Eiseres tegen Gedaagde)

Domeinnaamrecht. Stukgelopen samenwerking. Eiseres exploiteert de webshop voor takelgereedschappen lierenshop.nl. Deze is opgezet door gedaan en X, schoonzoon gedaagde, in opdracht en voor rekening van eiseres. Echter sites worden op eigen naam geregistreerd: Lierenshop.nl, Lieren-shop.nl (mét koppelteken) en winchshop.be. De tweede linkt naar concurrerende website waarvan schoonzoon vennoot is. Beslag op domeinnaam.

Vorderingen tot overdracht van lierenshop.nl en lieren-shop.nl toegewezen. Nu winchshop.be (nog) niet wordt gebruikt, heeft eiseres echter in kort geding geen evident belang bij de overdracht. Het doorlinken van de domeinnamen acht de voorzieningenrecht onrechtmatig: “Eiseres gebruikt “lierenshop” als handelsnaam. Het gebruik van deze handelsnaam van eiseres, met als doel potentiële klanten door te verwijzen naar LuWe Trading, een concurrerende onderneming, is onrechtmatig.”

lierenshop 4.3  Uit de stukken, waaronder de facturen met betrekking tot de registratie van de domeinnamen en de door [gedaagde] overgelegde bankafschriften, en het verhandelde ter zitting is gebleken dat de domeinnaam en website lierenshop.nl zijn geregistreerd en ontwikkeld door [gedaagde], maar [eiseres] de kosten voor registratie heeft vergoed en bovendien regelmatig betalingen heeft verricht aan [gedaagde] voor geleverde diensten. Daarmee is in voldoende mate komen vast te staan dat [gedaagde] de desbetreffende werkzaamheden en registraties in opdracht van en voor [eiseres] heeft verricht. Dat [eiseres] mogelijk geen expliciete instructie zou hebben gegeven ten aanzien van de inhoud van de webshop en dat [gedaagde] naar eigen zeggen onvoldoende betaald heeft gekregen voor de ontwikkeling en het bijhouden van de webshop, doet daaraan niet af. De weigering van [gedaagde] om de domeinnaam naar [eiseres] te doen overschrijven maakt daarom naar voorlopig oordeel inbreuk op de rechten die [eiseres] op de website kan doen gelden. Het belang van [eiseres] om over de domeinnaam lierenshop.nl te kunnen beschikken is, gelet op al het voorgaande, evident. De enkele dreiging van [gedaagde] - ook al heeft hij ter zitting gesteld een en ander niet zo bedoeld te hebben - om de website op ‘zwart te zetten’ geeft [eiseres] daartoe reeds voldoende belang. [Eiseres] heeft er immers belang bij om zijn inkomsten uit de webshop te kunnen waarborgen. Gelet hierop zal de voorzieningenrechter de gevorderde overdracht van de domeinnaam lierenshop.nl toewijzen.

Winchshop.be 4.4  Ten aanzien van de domeinnaam winchshop.be heeft [eiseres] ook voldoende aannemelijk gemaakt dat [gedaagde] deze in opdracht en voor rekening van [eiseres] heeft geregistreerd. Echter, nu [eiseres] zelf heeft verklaard dat deze domeinnaam nog niet in gebruik is, maar dat deze enkel is geregistreerd met het oog op een uitbreiding van de onderneming van [eiseres] naar België, heeft [eiseres] thans geen evident belang bij overdracht van die domeinnaam en gaat het gelasten van een dergelijke verregaande ordemaatregel naar het oordeel van de voorzieningenrechter het bestek van dit kort geding te buiten.

Lieren-shop.nl en doorlinksites (bijv. lierenshop.linkhotel.nl) 4.5  Aannemelijk is dat het doorlinken via de domeinnaam waarvan [gedaagde] houder is naar de website van een concurrent van [eiseres], alsmede het gebruik van de naam “lierenshop” op allerlei doorlinksites, waarbij eveneens naar de website van de concurrent van [eiseres] wordt verwezen, het publiek dat die websites bezocht in verwarring kon brengen omtrent de identiteit van de aanbieder van de op die website vermelde producten. Het profiteren van een dergelijke verwarring (en het daarmee mogelijk schaden van de webwinkel van [eiseres]), kan jegens [eiseres] onrechtmatig zijn. Hoewel in het beperkte kader van dit kort geding niet kan worden vastgesteld, dat [gedaagde] betrokken is bij de onderneming van LuWe Trading, is wel komen vast te staan dat [gedaagde] de domeinnaam lieren-shop.nl heeft doorgelinkt naar de website van LuWe Trading, en gebruik maakt van de naam lierenshop in allerlei doorlinksites, waarbij de consument eveneens naar LuWe Trading wordt doorverwezen. [Eiseres] gebruikt “lierenshop” als handelsnaam. Het gebruik van deze handelsnaam van [eiseres], met als doel potentiële klanten door te verwijzen naar LuWe Trading, een concurrerende onderneming, is onrechtmatig. [Eiseres] heeft naar het oordeel van de voorzieningenrechter voldoende aannemelijk gemaakt belang te hebben bij de overdracht van de domeinnaam lieren-shop.nl en het gelasten van een ordemaatregel ten aanzien van ieder gebruik van de naam lierenshop, alsmede daarmee op verwarringwekkende wijze overeenstemmende andere namen.

4.6  Tot slot zullen de gevorderde dwangsommen worden gematigd en gemaximeerd als na te melden en zal [gedaagde] als de overwegend in het ongelijk gestelde partij worden veroordeeld in de kosten van de onderhavige procedure.

Met dank aan Roderick Chalmers Hoynck van Papendrecht, AKD advocaten en notarissen.

In de Kindle store, de online boekshop van Amazone, worden digitale boeken aangeboden via gratis Kindle reading apps en voor de speciale Kindle e-reader. De Kindle store heeft last van spam, zo kopt Reuters onlangs op haar website (hier).

Er circuleert een programma waarmee de spammers, volledig geautomatiseerd, elke dag tien tot twintig boeken in de Kindle Store kunnen publiceren. Er worden dus boeken gekopieerd en gepubliceerd. De spammers ontvangen een royaltyvergoeding wanneer gebruikers van Kindle het boek kopen.

Interessant is in dit verband in hoeverre de Kindle-spammers naar Nederlands recht daadwerkelijk zijn te kwalificeren als spammers (in de zin van de Telecommunicatiewet). Het is waarschijnlijk dat dit inderdaad mogelijk is. Voor beantwoording van de vraag of het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden als spam moet worden aangemerkt dient te worden gekeken naar artikel 11.7 van de Telecommunicatiewet.

Het verzenden van een elektronische bericht dat bestemd is voor het overbrengen van ongevraagde communicatie voor commerciële, ideële of charitatieve doeleinden aan abonnees, is slechts dan geoorloofd wanneer de abonnee hiervoor voorafgaand toestemming heeft verleend (opt-in).

Nu de uploader financieel voordeel kan behalen door het elektronisch toezenden van boeken aan Amazon, is in casu sprake van communicatie voor commerciële doeleinden. De vraag is nu of Amazon ook voorafgaand haar toestemming heeft verleend om ongevraagde communicatie te ontvangen van de uploader. Dit lijkt niet het geval. Om het zakelijk verkeer niet teveel te belemmeren, wordt in lid 2 van artikel 11.7 Tw echter een uitzondering gemaakt voor het gebruik van elektronische contactgegevens waarvan duidelijk is aangegeven dat deze juist voor ongevraagde communicatie met commerciële, ideële of charitatieve doeleinden zijn bedoeld. Daarvan lijkt in dit geval sprake. Amazon nodigt de gebruikers van Kindle immers nadrukkelijk uit om leesvoer beschikbaar te stellen. De toevoer door het publiek vormt een essentieel onderdeel van de door Amazon aangeboden dienst.

De partijen die de lectuur aan Amazon beschikbaar stellen, krijgen uiteindelijk toch met recht het stempel “spammer” op zich gedrukt. Immers, het slot van artikel 11.7 lid 2 Tw bepaalt dat de elektronische contactgegevens die door de abonnee daarvoor zijn bestemd en bekendgemaakt, moeten worden gebruikt in overeenstemming met de door de abonnee aan die contactgegevens verbonden doeleinden. De crux zit hem in deze passage. De gebruikersvoorwaarden die van toepassing zijn op Kindle Direct Publishing, bevatten bepalingen die het de uploader verbieden om werken te uploaden waartoe de uploader niet gerechtigd is. Het uploaden van andermans werk zonder toestemming van de maker vormt uiteraard een inbreuk op het auteursrecht van de rechthebbende op het werk. Het onrechtmatig uploaden van werken is aldus in strijd met de doelstellingen van Amazon.

Amazon kan naar eigen goeddunken werken weigeren indien zij meent dat het om “spam” gaat. De grote hoeveelheid werken die worden geüpload maken het voor Amazon echter onmogelijk om toezicht te houden op de geoorloofdheid van het geüploude werk. Hoe Amazon deze spammers gaat bannen is vooralsnog onduidelijk.

Uit een interview van ZDnet met de manager van Microsoft UK blijkt dat data die door Amerikaanse cloud-aanbieders wordt opgeslagen altijd door de Amerikaanse overheid kan worden ingezien, waar ter wereld die data zich ook bevindt. Webwereld bericht dat hierover door Europarlementarier Sophie in ‘t Veld spoedvragen zijn gesteld aan de Europese Commissie.

Met dank aan Mark Jansen, Dirkzwager advocaten. Eerder verschenen op Dirkzwageriteit. 

Verbod op gegevensexport buiten de EU

Wat is er aan de hand? Het Europese privacyrecht staat het, kort samengevat, niet toe dat persoonsgegevens buiten de grenzen van de EU worden opgeslagen of anderszins verwerkt, tenzij er allerlei waarborgen worden getroffen. Om die reden moet bij de uitbesteding van IT-diensten altijd kritisch worden getoetst of die uitbesteding ertoe leidt dat persoonsgegevens buiten de EU terechtkomen.

Uitbesteding door keuze voor “cloud computing”

Een vorm van uitbesteding van IT diensten is het overhevelen van de programmatuur en data naar “de cloud”. De cloud kenmerkt zich onder andere hierdoor dat de benodigde opslag- en/of rekencapaciteit wordt geleverd door computers van over de hele wereld. Het aantal computers dat tot een bepaalde “cloud” behoort is bovendien eenvoudig naar boven en naar beneden bij te stellen. Dit maakt de cloud erg flexibel en daarmee kostenefficient.

Bij cloud onduidelijk waar data staat

Een klant bij een cloud provider weet daarmee dus niet waar zijn data staat opgeslagen, of welke computer een bepaalde taak nu eigenlijk voor hem aan het uitvoeren is. Die data kan dus ook buiten de Europese Unie terechtkomen en dat zou, tenzij er nadere waarborgen zijn, een schending van het privacyrecht met zich meebrengen. Zo heeft recent nog de Deense privacytoezichthouder geoordeeld dat de Google cloud niet te verenigen is met het Deense privacyrecht.

Mogelijke oplossing: de Europese cloud

Om die reden zijn er wel cloud providers die garanderen dat de data die wordt opgeslagen in hun cloud de grenzen van de Europese Unie niet zal verlaten. Dat betekent dus praktisch dat dat de cloud slechts bestaat uit servers die in de Europese Unie staan opgesteld. Dat is vaak wel wat duurder, want de servers kunnen dan niet langer in landen met lagere kosten (zoals India) staan.

Ook Europese cloud echter niet waterdicht?

Uit het interview blijkt nu dat die garantie maar betrekkelijk is. De directeur van Microsoft wijst er op dat Amerikaanse bedrijven, als Microsoft, gebonden zijn aan de Amerikaanse wetgeving. Die wetgeving kan met zich meebrengen dat bedrijven gedwongen worden bepaalde data vrij te geven. De data komen daarmee toch in handen van buitenlandse overheden.

Commentaar

Iedere cloud provider gebonden aan eigen lokale recht

Het nieuwsartikel gaat specifiek in op de situatie bij Amerikaanse bedrijven, maar dat is niet terecht. Iedere cloud provider (en de door die provider ingeschakelde data- en rekencentra) zijn gehouden zich te houden aan de wetten van het land van vestiging. Wanneer die wetten met zich meebrengen dat – onder omstandigheden – data moet worden vrijgegeven, dan zal dit dus waarschijnlijk ook gebeuren. Dat is ook een van de keerzijden van de cloud: de data worden opgeslagen in landen met hele andere rechtsstelsels en bovendien vaak in meerdere landen tegelijk. Het is vaak onbekend welke consequenties dat precies met zich meebrengt. Dat geldt overigens niet alleen voor de cloud provider zelf (de contractuele wederpartij), maar ook voor de afzonderlijke datacentra die als nevenvestiging of “onderaannemer” door de cloud provider worden ingeschakeld.

Gebruik modelcontracten bij data-export

De vraag is echter of dit nu betekent dat Europese bedrijven helemaal geen gebruik meer zouden mogen maken van cloud oplossingen. Dat is maar de vraag. Allereerst moet niet worden vergeten dat wanneer tussen de uitbestedende organisatie en de cloud provider een contract wordt gesloten dat voldoet aan de bepalingen van het betreffende modelcontract, de data-export in beginsel wel is toegestaan.

Afwachten op antwoorden van Europese Commissie

De oplosing van de “Europese cloud” komt vooral in beeld wanneer het ondertekenen van een dergelijk contract juist niet tot de mogelijkheden behoort. Het idee is dat door de data helemaal niet te exporteren, er ook geen sprake kan zijn van verboden export van persoonsgegevens. De vraag is of dat anders is, nu duidelijk wordt dat de gegevens onder omstandigheden wel degelijk die Europese grens kunnen passeren. Het is in dat kader afwachten hoe de Europese Commissie antwoordt op de door In ‘t Veld gestelde vragen.

Mogelijk antwoord: ontdekte “lek” is niet nieuw en alleen bij bijzondere persoonsgegevens relevant

Wanneer ik alvast een voorzichtig voorschot neem op die antwoorden, denk ik dat het al met al niet zo’n vaart zal lopen. Juist uit de al genoemde modelcontracten blijkt namelijk dat de Europese Commissie zich ervan bewust is dat bij uitbesteding van de verwerking van persoonsgegevens die gegevens onder omstandigheden in handen van vreemde autoriteiten kunnen belanden. Er staat namelijk in artikel 5 lid d sub i een verplichting voor de gegevensimporteur (cloud provider) om de klant te informeren wanneer “een wetshandhavingsinstantie een juridisch bindend verzoek om verstrekking van persoonsgegevens heeft gedaan, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren“. In de modelcontracten staat niet dat die informatie vervolgens ook met de betrokkene moet worden gedeeld. Kennelijk wordt het afgegeven van de persoonsgegevens aan de nationale wetshandhavers als een normaal “bedrijfsrisico” van gegevensexport beschouwd. Alleen wanneer “bijzondere persoonsgegevens” worden geexporteerd moet de verantwoordelijke de betrokkene hierover vooraf informeren (artikel 4 sub f). Dat laatste ziet dan overigens slechts op het feit dat gegevensexport plaatsvindt, niet (ook) op afgifte van die gegevens aan de lokale overheden.

Het zou me dan ook niet verbazen wanneer de Europese Commissie in het antwoord op de vragen er vooral op zal wijzen dat het gebruik van cloud oplossingen voor de verwerking van bijzondere persoonsgegevens (te) veel risico’s met zich meebrengt en dat er overigens het antwoord niet veel nieuws zal brengen. Het blijft echter afwachten. Wij houden u op de hoogte.

Cybercrime aanpakken kan soms heel simpel: bij het vastleggen van webadressen en domeinnamen. Dáár valt de eerste winst te pakken, zeggen experts [hier]. Voorstellen om daarover afspraken te maken met Icann, de overkoepelende domeinnaamuitgever, waren tot voor kort slecht bespreekbaar. Maar vorige week in Singapore, op de openbare jaarvergadering van ICANN, was er opeens een beetje witte rook. Van de oorspronkelijke twaalf aanbevelingen voor een gedragscode voor whois databanken, zijn er negen aangenomen.

BRON: copsincyberspace.wordpress.com