van ICT recht

Subscribe to feed van ICT recht
Deskundig, praktisch en concreet juridisch advies tegen een gunstig tarief.
Bijgewerkt: 32 min 6 sec geleden

Mogen internetproviders in de VS straks iemands browsegeschiedenis doorverkopen?

do, 03/30/2017 - 15:17

In het privacyrecht in EU-landen is het verkrijgen van toestemming één van de belangrijkste manieren waarop je volgens de regels persoonsgegevens kunt verwerken. In de VS heeft het Huis van Afgevaardigden, nadat de Senaat er eerder mee instemde, goedkeuring gegeven aan een resolutie die inhoudt dat internetproviders de browsegeschiedenis van gebruikers mogen doorverkopen, zonder dat daarvoor toestemming van de gebruiker nodig is, zo meldt Tweakers. Het voorstel (ter ongedaanmaking van een eerdere wetswijziging) wordt definitief zodra president Trump het ondertekend heeft.

Internet service providers (ISP’s) verwerken meer persoonsgegevens dan je misschien zou verwachten. Op grond van iemands browsegeschiedenis kun je veel te weten komen. Welke websites iemand bezocht heeft, zegt zeer veel: over iemands werk, interesses, vaak zelfs over iemands gezondheid. Veelal is daarom toestemming nodig voor het verwerken van deze gegevens.

Toestemming voor het delen van gegevens

Volgens de regels die momenteel in de VS gelden, moeten klanten van ISP’s geïnformeerd worden over de manieren waarop hun gegevens gebruikt worden, en is meestal toestemming nodig om deze te delen met anderen. Deze regels waren ingesteld door de Federal Communications Commission (FCC). De huidige voorzitter van de FCC, Ajit Pai, is voorstander van de wetswijziging waardoor geen toestemming meer vereist is voor ISP’s om browsergegevens door te verkopen. Hij vindt het namelijk oneerlijk dat voor bedrijven als Facebook en Google strengere regels gelden dan voor de ISP’s.

De wetswijziging zou betekenen dat de regels voor het verwerken van persoonsgegevens in de VS nog verder zullen afwijken van de regels die in de EU gelden, en (vanaf 25 mei 2018) zullen gelden onder de Algemene Verordening Gegevensbescherming (AVG). Het verwerken van persoonsgegevens is onder het EU-recht alleen toegestaan wanneer daarvoor een wettelijke grondslag is. Dat kan bijvoorbeeld noodzaak voor de uitvoering van een overeenkomst zijn (maar voor een internetserviceprovider is het in het kader daarvan niet noodzakelijk om iemands browsergeschiedenis te verkopen).

Verschillen met EU-privacywetgeving

Toestemming kan, zoals gezegd, een andere grond zijn om persoonsgegevens te verwerken. Onder de AVG wordt een aantal eisen gesteld aan het verkrijgen van toestemming: deze moet specifiek zien op het doel waarmee gegevens worden verwerkt, betrokkenen moeten voldoende informatie hebben gehad, en moeten hun toestemming in vrijheid hebben gegeven (er mogen geen negatieve consequenties zijn verbonden aan het niet geven van toestemming).

Ontbreekt ook toestemming, dan zijn er nog andere gronden (zoals een gerechtvaardigd belang) waarop persoonsgegevens verwerkt kunnen worden, maar voor het delen van iemands browsegeschiedenis zullen deze vrijwel nooit opgaan. Wanneer het voorstel in de VS van toepassing zou worden, zou dat dus een nieuw, belangrijk, verschil met de privacyregelgeving in de EU betekenen. Bedrijven gevestigd binnen de EU (en onder de AVG ook bedrijven die goederen en diensten aanbieden in de EU of gedrag monitoren van personen die zich in de EU bevinden), zullen voor het doorgeven van gegevens aan derden veelal toestemming nodig hebben van de betrokkene.

The post Mogen internetproviders in de VS straks iemands browsegeschiedenis doorverkopen? appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Ben ik verantwoordelijk voor berichten van mijn gebruikers?

do, 03/30/2017 - 09:00

Het internet staat vol met grove, beledigende en haatdragende berichten. Toen Microsoft vorig jaar besloot om een zelflerende chatbot te trainen met twitterberichten, begon deze binnen no-time racistische en seksistische opmerkingen te maken. En het blijft niet bij woorden: onlangs werd duidelijk dat via het internet ook lichamelijke schade kan worden aangericht. Een man verstuurde een knipperende GIF, wetende dat het doelwit daarvan een epileptische aanval kon krijgen. Wat wordt er van u verwacht als beheerder van een online dienst? Hoe ver strekt uw verantwoordelijkheid voor de bijdragen van gebruikers?

Vrije meningsuiting van de gebruiker

De gebruiker van een online dienst wordt beschermd door het recht op vrijheid van meningsuiting. Dit fundamentele recht wordt in grondrechtenverdragen (zoals het Europees Verdrag voor de Rechten van de Mens) gelukkig zeer breed uitgelegd. De gebruiker mag zich in principe vrijelijk uitlaten, ook als zijn uitlatingen door anderen als schokkend of beledigend kunnen worden ervaren. Wel moet hij de rechten van andere respecteren, zoals het recht op privacy en het recht op gelijke behandeling. Er zitten dus wel degelijk grenzen aan de vrije meningsuiting.

Als een gebruiker over de streep gaat, kan dat een strafbaar feit opleveren. In Nederland zijn verschillende uitingsdelicten strafbaar gesteld. Belangrijke voorbeelden zijn smaad, laster en haatzaaiing. Van smaad is sprake wanneer opzettelijk iemands reputatie wordt aangetast door het verspreiden van bepaalde beweringen. Als op voorhand duidelijk is dat de beweringen onjuist zijn, dan wordt gesproken van laster. Haatzaaiing is het aanzetten van anderen tot haat, discriminatie of geweld.

Uitingen op het internet kunnen ook onrechtmatig zijn. In dat geval kan het slachtoffer bij de civiele rechter een schadevergoeding vorderen. Een belangrijke vraag is dan bij wie het slachtoffer zijn schade kan verhalen. Het ligt voor de hand om de dader aan te spreken, maar daarvan zal de identiteit (zeker wanneer het bericht via het internet is verspreid) lang niet altijd kenbaar zijn. In dat geval zal het slachtoffer waarschijnlijk bij de dienstverlener aankloppen.

Aansprakelijkheid van de dienstverlener

Beheert u een forum, sociaal medium of bijvoorbeeld een website met commentaarsectie, dan bent u in principe niet aansprakelijk voor onrechtmatige uitlatingen van uw gebruikers. Op grond van de Europese richtlijn inzake elektronische handel gelden hiervoor wel twee voorwaarden:

  • Kenbaarheid: u weet niet dat uw gebruikers onrechtmatige berichten hebben geplaatst en behoort dit naar redelijkheid ook niet te weten.
  • Adequate reactie: u dient zo snel mogelijk berichten te verwijderen of ontoegankelijk te maken zodra u van de onrechtmatigheid op de hoogte bent of naar had moeten zijn.

Op grond van de kenbaarheidseis kunt u niet eenvoudigweg achteroverleunen en gebruikers vrij hun gang laten gaan. Ook als u “behoorde te weten” dat er onrechtmatige berichten zijn geplaatst, moet u namelijk ingrijpen. Wat u precies behoort te weten, hangt af van de dienst die u aanbiedt. Beheert u een drukbezocht forum, dan hoeft u niet alle berichten handmatig te bekijken en te beoordelen. Beheert u een nieuwssite met provocerende artikelen, dan moet u de berichtensectie waarschijnlijk wel goed in de gaten houden. Er is ook software (zoals het recent aangekondigde Perspective van Google) die daarbij kan helpen.

Daarnaast wordt er van u een adequate reactie verwacht. Zorg er op de eerste plaats voor dat uw contactinformatie duidelijk vindbaar, zodat klachten kunnen worden gemeld. Waarborg ook dat de ingediende klachten tijdig worden afgehandeld. Als u klachten laat melden via een algemeen e-mailadres dat u slechts af en toe controleert, dan kan dat problemen geven. U kunt overwegen om in uw dienst een notice and takedown oplossing te implementeren, bijvoorbeeld een knop naast de berichten waarmee direct een klacht kan worden ingediend.

Gebruiksvoorwaarden en disclaimer

Om uw gebruikers in de toom te houden, is het verstandig om gebruiksvoorwaarden te hanteren. Daarin kunt u onder andere vastleggen welke soorten bijdragen wel en juist niet zijn toegestaan. Is uw dienst bedoeld voor kinderen, dan kunt u bijvoorbeeld afspreken dat de gebruiker geen erotisch materiaal mag plaatsen (ook al is dit op zichzelf niet strafbaar of onrechtmatig). Het is wel van belang dat dergelijke voorwaarden op de juiste manier aan de gebruiker worden aangeboden, want anders zijn deze niet bindend. Het is verstandig om uw gebruikers expliciet om akkoord te vragen.

Minder zinvol is het gebruik van een zogeheten disclaimer. Dit is in feite niet meer dan een mededeling waarin u bijvoorbeeld claimt dat u niet aansprakelijk bent. Een dergelijke mededeling heeft juridisch weinig nut, want u kunt niet eenzijdig uw aansprakelijkheid beperken. U kunt deze dus net zo goed achterwege laten.

U kunt gemakkelijk zelf gebruiksvoorwaarden voor uw dienst opstellen via JuriDox (waarvan ICTRecht kennispartner is). Voor de vorm kunt u daar ook gratis een disclaimer genereren.

The post Ben ik verantwoordelijk voor berichten van mijn gebruikers? appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Verdiepingscursus privacywetgeving 6PO

do, 03/30/2017 - 08:35

Vanaf 25 mei 2018 is het hebben van een privacy officer (ook wel ‘functionaris gegevensbescherming’ of ‘data protection officer’ genoemd) voor bepaalde organisaties verplicht. Voor andere organisaties kan het aanstellen niet verplicht, maar wel aan te raden zijn.

De privacy officer kan een externe persoon zijn, maar ook een medewerker van uw eigen organisatie. Vaak is dat degene die security onder zijn hoede heeft, of een compliance manager of bedrijfsjurist. Welke achtergrond de privacy officer ook heeft: hij of zij moet over juridische privacykennis beschikken. Niet alleen omdat dit een wettelijk vereiste is, maar ook om zijn taken goed uit te kunnen voeren. De privacy officer moet immers op de hoogte zijn van de privacywetgeving om de organisatie gevraagd en ongevraagd te adviseren over privacyrechtelijke rechten en plichten.

Wat leert u bij de verdiepingscursus privacywetgeving?

Met onze trainingen zorgt u voor een goede juridische voorbereiding om bijvoorbeeld uw taken als privacy officer uit te kunnen voeren. Na het volgen van de training beschikt u over gedegen kennis op privacygebied. Met deze kennis kunt u uw organisatie adviseren over de (naderende) privacywetgeving en de voorbereiding daarop.

U leert wat ‘binding corporate rules’ zijn en hoe u moet omgaan met bewerkersovereenkomsten, registers en een functionaris gegevensbescherming. In combinatie met de basiscursus privacywetgeving is dit een uitstekende voorbereiding om taken als privacy officer uit te kunnen voeren.

Meld u nu aan!

Voor cursisten met een non-juridische achtergrond verzorgen wij praktische trainingen privacywetgeving voor algemeen publiek.

The post Verdiepingscursus privacywetgeving 6PO appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Coinrecht #2 – Wat is de blockchain?

wo, 03/29/2017 - 08:01

Cryptogeld is een boeiend maar technisch ingewikkeld fenomeen. In deze blog wordt daarom op een zo simpel mogelijke wijze uitgelegd hoe cryptogeld werkt. In de serie Coinrecht zal in de toekomst op een meer verdiepende wijze over het internet van geld worden geschreven.

Lees hier Coinrecht #1: introductie tot cryptogeld

Sinds 2008 circuleert een paper van ene Satoshi Nakamoto (vooralsnog is onbekend wie dit is en of de naam echt is) die een oplossing biedt voor een belangrijk probleem: hoe voorkom je dat digitaal geld gekopieerd wordt en meerdere keren uitgegeven kan worden. Zijn oplossing is een gedecentraliseerd kasboek op het internet: de ’blockchain’. Het systeem wat hij voorstelt noemt hij Bitcoin. Gebruikers kunnen hiermee direct onderling betalingen doen zonder dat de tussenkomst van een financiële instelling of een andere derde vereist is.

De ontwikkelingen zijn sindsdien hard gegaan. Op basis van het protocol in de paper zijn veel verschillende vormen van digitale valuta ontstaan: zogenaamde ‘altcoins’. Slechts enkelen daarvan zijn vooralsnog succesvol gebleken doordat zij toegevoegde waarde bieden. Blockchain als concept heeft sindsdien niet stilgestaan. Een van de meest veelbelovende resultaten daarvan is Ethereum. Volgens haar ontwikkelaars moet dat worden gezien als een open platform waarop betaald kan worden voor gedecentraliseerde rekenkracht (blockchain 2.0). Volgens hen is het geen betaalmiddel of investeringsobject, zoals bitcoin.

Blockchain technologie

Bitcoin en ethereum maken beide gebruik van blockchain technologie. Dit ‘kasboek’ bestaat uit een aaneenschakeling van transactieblokken. Welke versie van het kasboek de juiste is, wordt bepaald door consensus binnen het netwerk. Bitcoin gebruikt de blockchain om transacties te registreren. Gebruikers bewijzen dat zij gerechtigd zijn een transactie uit te voeren door deze te ondertekenen. Alleen de gebruiker die de juiste privésleutel bezit kan een transactie geldig ondertekenen. Om een transactie succesvol uit te voeren moet deze voorzien worden van een transaction fee. Zie voor een laagdrempelige introductie van het concept blockchain deze presentatie van bitcoin guru: Andreas Antanopolous.

Miners

Een belangrijke taak voor ‘miners’ is het verwerken transacties. De term miners is afkomstig van een analogie met goud. Goud is schaars, en de enige manier om het beschikbare volume te vergroten is door haar te delven uit mijnen. Voor het meeste cryptogeld geldt hetzelfde. Zij verzamelen de transacties en bundelen deze in een block. Op dit block voeren zij intensieve berekeningen uit. Wanneer een miner een geldige oplossing vindt maakt hij dit bekend aan het netwerk. Een oplossing is alleen geldig wanneer zij correspondeert met de vereiste moeilijkheidsgraad. De moeilijkheidsgraad past zich dynamisch aan op dusdanige wijze dat ongeveer elke 10 minuten een oplossing kan worden gevonden. Als het netwerk de oplossing accepteert wordt het block toegevoegd aan de blockchain.

Een miner krijgt betaald voor de rekenkracht die hij bijdraagt aan het netwerk. Wanneer zijn block door het netwerk wordt geaccepteerd – en er dus consensus bestaat over hoeveel bitcoins de adressen in het nieuwe block kunnen spenderen – ontvangt hij een beloning. Die bestaat uit de optelsom van de transaction fees en de block reward. Dat laatste is een vast bedrag aan bitcoins dat een miner die een block verwerkt zichzelf mag toekennen. In de toekomst zal de block reward geleidelijk verdwijnen.

Toen bitcoin van start ging was het nog mogelijk om met een doorsnee computer een waardevolle bijdrage aan het netwerk te leveren. Na verloop van tijd werd steeds meer gespecialiseerde hardware ingezet. Die trend heeft zich doorgezet waardoor het op het moment alleen nog mogelijk is om een winstgevende bijdrage te leveren aan het netwerk door speciaal daarvoor ontworpen apparatuur te gebruiken.

Mining in kleine operaties met niet-gespecialiseerde apparatuur levert te weinig op om rendabel te zijn. Dat heeft tot gevolg dat (afgezien van een groep hobbyisten) enkel datacentra die op grote schaal gespecialiseerde hardware inzetten overblijven. Het ongewenste neveneffect daarvan is centralisering van de computerkracht. Dat miners zich groeperen in pools versterkt dit effect. Vanwege haar decentrale aard is dit een gevaar voor bitcoin. Wanneer een partij 51% van de rekenkracht bezit heeft zij de mogelijkheid om eenzijdig te bepalen wat de consensus binnen het netwerk is.

In het verleden is het voor een mining pool niet onmogelijk gebleken om die grens te overschrijden. Het algoritme dat miners voor ethereum gebruiken werkt op zodanige wijze dat grootschalige operaties relatief weinig voordeel hebben ten opzichte van kleinschaligere operaties. Voor ethereum geldt echter ook dat groeiende mining pools potentieel een bedreiging voor het netwerk kunnen vormen.

Ethereum

Ethereum gebruikt de blockchain technologie voor meer dan het enkel registreren van Ether transacties. Waar de blockchain van bitcoin enkel het uitvoeren van zeer simpele scripts toestaat, kan in de ethereum blockchain een volledig programma worden uitgevoerd. Hoe zwaarder de berekeningen binnen het programma zijn, hoe meer ether nodig is. Zo’n programma wordt een smart contract genoemd. Die naam doet vermoeden dat er enkel iets wordt vastgelegd. Dat is echter niet het geval. De uitvoering van de vastgelegde afspraken kunnen door middel van het slimme contract worden afgedwongen.

Tot zover de eerste (vrij technische) uitleg van bitcoin, ethereum en de blockchain. In de komende weken zal hierop voortgeborduurd worden en wordt er onder andere gekeken naar de juridische situatie en hoe overheden naar dit fenomeen kijken, zowel op nationaal als op Europees niveau.

Welkom bij de financiële revolutie (de waarde van één Bitcoin (BTC) is op dit moment 969 euro).

Dit artikel is geschreven in samenwerking met Karel Benjamins.

The post Coinrecht #2 – Wat is de blockchain? appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Middagtraining 3PO: Contracteren tegen Datalekken

di, 03/28/2017 - 11:22

Met de geldend worden van de Algemene Verordening Gegevensbescherming, ook wel de Europese privacyverordening genoemd, gaan er per mei 2018 verscheidene zaken op privacygebied veranderen met mogelijk hoge boetes ten gevolg wanneer hier niet aan voldaan wordt.

Verschilt de Nederlandse meldplicht datalekken van de meldplicht binnen de Algemene Verordening Gegevensbescherming?

Naast de Nederlandse wettelijke meldplicht voor datalekken kent ook de AVG een meldplicht voor datalekken. Op het moment dat er per ongeluk, of opzettelijk, data verloren gaan, of op straat terecht gekomen zijn, moet dit binnen 72 uur aan de toezichthouder gemeld worden. Als het lek waarschijnlijk een hoog risico inhoudt voor de betrokkenen (de personen waar de gegevens betrekking op hebben), dan moeten zij ook van het lek op de hoogte worden gesteld.

Daarnaast kent de AVG aan de bewerker een verplichting toe om het datalek aan de verantwoordelijke te melden. Het verschil met onze huidige meldplicht, is dat er enkel een melding bij de toezichthouder gedaan hoeft te worden van een lek als het lek daadwerkelijk heeft plaatsgevonden. Onze huidige meldplicht noemt een incident al een datalek wanneer de onrechtmatige verwerking van persoonsgegevens niet uitgesloten kan worden.

Wilt u weten hoe uw organisatie zich het beste kan voorbereiden?

Wilt u weten hoe u zich in juridische zin kunt voorbereiden op datalekken? En hoe u risico’s contractueel verkleint? ICTRecht organiseert 11 april een middagtraining waarin u leert van privacyexperts die dagelijks adviseren over datalekken en over hoe een organisatie zich het beste voorbereid om hoge boetes te voorkomen. U ontvangt 3PO voor de Nederlandse Orde van Advocaten.

Meer informatie en aanmelden

The post Middagtraining 3PO: Contracteren tegen Datalekken appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Ook sprake van uitputting van auteursrechten wanneer software niet is geleverd?

wo, 03/22/2017 - 07:00

Via ITenRecht stuitte ik op een uitspraak in kort geding met betrekking tot de uitputting van het auteursrecht op software. Dit was aanleiding voor mij om de regels omtrent de uitputting van het auteursrecht op software nog een keer op een rijtje te zetten. De zaak is vrij complex, dus de feiten zijn enigszins vereenvoudigd weergegeven.

Feiten

FSEL heeft de software Failures-Divergences Refinement (FDR) ontwikkeld. Deze software wordt gebruikt om computerprogramma’s te analyseren en te verbeteren voordat deze worden geïmplementeerd.
Verum Oud heeft vanaf 2008 van FSEL licenties afgenomen voor het gebruik van FDR.
In de licentieovereenkomst van 2011 heeft Verum Oud het recht verkregen om FDR te distribueren, openbaar te maken en te bewerken.
In 2013 is Verum Oud failliet verklaard, waarna Verum Software Tools B.V. (hierna: Verum) is opgericht. De curator verkoopt onder meer alle intellectuele eigendomsrechten die eigendom zijn van Verum Oud aan Verum.
In 2014 sommeert FSEL Verum om het gebruik van FDR te staken, omdat dit gebruik een inbreuk zou vormen op haar auteursrechten.
Verum stelt dat zij rechtmatig gebruik maakt van de software omdat de auteursrechten van FSEL zouden zijn uitgeput en de licenties door de curator van Verum Oud rechtsgeldig aan Verum zouden zijn overgedragen.

Uitputting?

Artikel 4 lid 2 van de Softwarerichtlijn luidt:

De eerste verkoop in de Gemeenschap van een kopie van een programma door de rechthebbende of met diens toestemming leidt tot verval van het recht om controle uit te oefenen op de distributie van die kopie in de Gemeenschap, met uitzondering van het recht om controle uit te oefenen op het verder verhuren van het programma of een kopie daarvan.

Dit betekent dat een auteursrechthebbende zich niet meer kan verzetten tegen de verdere verkoop van een exemplaar van zijn werk dat door hem rechtsgeldig op de markt is gebracht. Door de eerste verkoop van het exemplaar is zijn auteursrecht “uitgeput”.

Het UsedSoft-arrest

In het toonaangevende UsedSoft-arrest uit 2012 heeft het Hof van Justitie van de Europese Unie (HvJEU) bepaald wanneer sprake is van de “eerste verkoop” van software als bedoeld in de Softwarerichtlijn. De zaak betrof softwareleverancier Oracle en de Duitse handelaar in tweedehands software UsedSoft. Oracle wilde tegengaan dat UsedSoft licenties op Oracle-software zou doorverkopen. Oracle meende immers dat de licenties niet overdraagbaar zouden zijn.

Het HvJEU oordeelde dat het auteursrecht op software is uitgeput indien:

  1. de kopie is verstrekt op een fysieke drager, of de licentiegever het downloaden van die kopie van internet op een gegevensdrager heeft toegestaan;
  2. de licentiegever hiervoor een vergoeding heeft ontvangen die overeenstemt met de economische waarde van de kopie van het hem toebehorende werk; en
  3. het gebruiksrecht voor die kopie voor onbepaalde duur is verleend.

Het HvJEU stelde vast dat hieraan was voldaan. De licenties waren tegen een redelijke prijs en voor onbepaalde duur door Oracle geleverd. Er was sprake van “verkoop” door Oracle en de auteursrechten van Oracle waren daarmee uitgeput. Usedsoft mag de licenties op Oracle-software dus doorverkopen, mits aan de aanvullende voorwaarde is voldaan dat zij haar kopie van de software onbruikbaar maakt, zodat sprake is van slechts één rechtmatige gebruiker van de software.

Vergelijking beide zaken

De voorzieningenrechter vergelijkt de feiten in onderhavig kort geding met de feiten uit het UsedSoft-arrest en constateert dat er veel overeenkomsten tussen beide zaken zijn.
Er is echter ook een verschil. FSEL heeft Verum Oud niet het recht toegekend om een kopie van de FDR software te downloaden op een gegevensdrager (Vereiste 1 uit vorige alinea). De software staat alleen op de servers van Verum. Een belangrijk vereiste van verkoop, namelijk de levering, ontbreekt dan ook, aldus de voorzieningenrechter. De voorzieningenrechter stelt vast dat het daarom “twijfelachtig” is of een beroep op het UsedSoft-arrest kan slagen.

Oordeel

Toch oordeelt de voorzieningenrechter dat “voldoende aannemelijk” is dat de auteursrechten van FSEL zijn uitgeput. FSEL betwist immers niet dat haar auteursrechten zouden zijn uitgeput, maar zij beroept zich erop dat Verum Oud niet heeft voldaan aan de aanvullende voorwaarde dat eigen kopieën onbruikbaar zijn gemaakt. De voorzieningenrechter oordeelt dat dit beroep niet kan slagen, omdat niet aannemelijk is dat – na faillissement van Verum Oud – kopieën van de software zijn achtergebleven die onbruikbaar zouden moeten zijn gemaakt.

Conclusie

Het UsedSoft-arrest uit 2012 heeft veel gevolgen voor softwarelicenties. Lever je als softwareleverancier immers een licentie voor onbepaalde duur, dan is sprake van verkoop en is het auteursrecht dus uitgeput.
In onderhavig kort geding wordt zelfs geoordeeld dat wanneer niet aan de levering (Vereiste 1) is voldaan, dat de auteursrechten dan alsnog zouden zijn uitgeput. De voorzieningenrechter geeft hier echter geen hard oordeel over, maar stelt slechts vast dat de auteursrechten zijn uitgeput omdat dit niet door de wederpartij is betwist. Vanwege dit, en nog enkele andere zaken die meespelen waar de voorzieningenrechter vanwege de complexiteit geen uitspraak over doet, ben ik benieuwd naar de uitspraak in bodemprocedure.

Geschreven door: Nick Vrugt, IT-jurist LAWFOX

Dit artikel is eerder verschenen bij LAWFOX en met toestemming gepubliceerd.

Meer over legal partner LAWFOX Advocatuur

LAWFOX Advocatuur is een procespraktijk voor internetondernemingen en is een partnerkantoor van ICTRecht. Het hoofdkantoor is gevestigd te Tilburg en is opgericht door internetadvocaat Wouter Dammers. Wouter Dammers heeft voor de start van zijn eigen advocatenkantoor LAWFOX ook als juridisch adviseur bij ICTRecht gewerkt.

The post Ook sprake van uitputting van auteursrechten wanneer software niet is geleverd? appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Coinrecht #1 – Introductie tot cryptogeld

di, 03/21/2017 - 08:09

IT-recht is inmiddels meer dan SaaS-diensten en online contracteren. Steeds meer traditionele dienstverlening en instituties worden ontregeld door nieuwe technologieën. Denk aan de opmars van webshops, online belastingaangiftes en landelijk onbeperkt breedband 4G in je broekzak. Een van de nieuwe technologieën die staat te trappelen om de wereld op zijn kop te zetten is het fenomeen cryptogeld. Wie van Bitcoin heeft gehoord, heeft slechts gehoord van een fractie van de potentie die de achterliggende technologie vertegenwoordigd. En deze richt zijn pijlen op wellicht het grootste en diepst gewortelde instituut dat wij mensen kennen: banken. Specifieker: gecentraliseerde instituten die functioneren als arbiter en poortwachter van ons betaalverkeer. Toch is dit niet het enige. Zoals we de komende weken zullen leren, gaat het hier om iets waarvan we de volledige impact nog niet kunnen bevatten en iets dat invloed zal hebben op alle aspecten van ons leven.

Waar gaat de serie coinrecht over?

Via deze blog wil ik doorlopend verslag doen van mijn ervaringen in de wereld van cryptogeld. Afhankelijk van recente ontwikkelingen kan het gaan over Bitcoin, Ethereum, smart-contracts, alt coins, (hardware) wallets, wetgeving, belastingen, banken en nog veel meer. De wereld van cryptogeld is momenteel een achtbaan. Niet alleen zijn de prijzen onvoorspelbaar, het hele ecosysteem is in constante ontwikkeling. De ontwikkelingen zijn niet bij te houden, en dit is een goed teken! Dit betekent dat er veel gebeurt en dat er innovatie plaatsvindt. Ik ga proberen om een bepaalde set onderwerpen aan te houden om enige structuur aan te brengen.

  • Duiding: wat is het, hoe werkt het en wat zijn de recente ontwikkelingen.
  • Wetgeving: waar staat Nederland, welke ontwikkelingen vinden plaats, welke wetgeving is relevant en wat is de impact.
  • Toekomstvisie: waar gaan we naartoe en hoe kunnen we ons hier op voorbereiden.

We hebben het hier niet alleen over virtueel geld dat op het internet bestaat, we hebben het over het internet van geld. Volgt u cryptogeld al jaren of heeft u er nog nooit van gehoord? Lees dan mee terwijl we u van begin tot eind proberen bij te praten over de voorgaande, huidige en toekomstige ontwikkelingen van cryptogeld.

Bitcoin is not currency; it’s the internet of money!

– Andreas Antanopolous

Welkom bij de financiële revolutie (de waarde van één Bitcoin (BTC) is op dit moment 970 euro).

The post Coinrecht #1 – Introductie tot cryptogeld appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Moet de Kamer van Koophandel onthouden dat je in het verleden failliet bent gegaan?

ma, 03/20/2017 - 15:40

Stel, je hebt een bedrijf waaraan de opdracht is gegund een toeristencomplex te bouwen in Italië. De verkoop van de vakantiewoningen valt echter tegen. Je komt erachter dat in het Italiaanse handelsregister te vinden is dat je in het verleden met een eerder bedrijf failliet bent gegaan. De achterblijvende verkoop zou daar weleens mee te maken kunnen hebben. Kun je dan, met een beroep op het gegevensbeschermingsrecht, aan de ‘Italiaanse Kamer van Koophandel’ verzoeken om de toegang tot deze gegevens te beperken?

In een uitspraak van het Hof van Justitie van de EU (zaak C-398/15, Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce tegen Salvatore Manni) is hierover opheldering gegeven. De Italiaanse wetgeving over de bescherming van persoonsgegevens is gebaseerd op dezelfde Europese richtlijn als de Nederlandse Wet bescherming persoonsgegevens.

Het doel van het handelsregister is ervoor te zorgen dat je weet met wie je zaken doet. Het kan dus, zo vindt ook de EU-rechter, ook jaren later nog van belang zijn bepaalde informatie over een bedrijf en de bestuurder(s) ervan terug te kunnen binden in dit register. Een land hoeft dus niet een bepaalde termijn vast te stellen waarna gegevens in het handelsregister automatisch gewist moeten worden.

Wanneer mag de toegang tot informatie in het handelsregister beperkt worden?

Betekent dit dan dat de bescherming van persoonsgegevens nooit voorrang hoort te krijgen in dergelijke situaties? Nee, want uit de uitspraak blijkt dat hiervoor mogelijkheden blijven bestaan. De toets hiervoor is wel vrij streng. Er moeten in een specifieke situatie redenen zijn die, na voldoende lange tijd na de ontbinding van het betreffende bedrijf, rechtvaardigen dat niet alle informatie beschikbaar blijft. De toegang tot de informatie kan dan beperkt worden tot degenen die kunnen aantonen dat zij een specifiek belang erbij hebben de informatie te kunnen inzien. Ieder EU-land kan momenteel zelf bepalen of zij deze beperking in wetgeving wil opnemen (in Nederland is dit met betrekking tot informatie over faillissementen niet gebeurd). Wel zal vanaf 25 mei 2018 in de gehele EU de Algemene Verordening Gegevensbescherming gelden, waarin geen dergelijke beperking is opgenomen.

In dit geval woog het belang van potentiële zakenpartners van de heer Manni zwaarder dan zijn recht op privacy. Dit heeft onder andere te maken met het zakelijke karakter van de informatie. Kopers van bijvoorbeeld vakantiewoningen moeten kunnen weten met wie zij zaken doen, en de risico’s ervan in kunnen schatten. Zeker in een sector als de bouw, wil je een grote mate van zekerheid dat de aannemer niet halverwege het project failliet gaat.

Wel vond het faillissement van Manni’s eerdere vennootschap al in 1992 plaats (de afwikkeling ervan heeft nog wel tot 2005 geduurd). Je kunt je dus afvragen in hoeverre de informatie nu nog ter zake doet. In de tussentijd kan iemand dermate veel zakelijke ervaring hebben opgedaan dat de kans op een nieuw faillissement – hoewel altijd aanwezig – toch sterk is afgenomen. In dit geval vond het Hof de informatie over het eerdere faillissement nog wel relevant.

De uitspraak laat opnieuw zien dat privacy- en gegevensbeschermingsrechten niet absoluut zijn. Over het algemeen wordt zakelijke informatie minder streng beschermd dan informatie over iemands privéleven. In veel gevallen wordt een afweging gemaakt tussen het belang van iemand die informatie voor zichzelf wil houden, en het belang dat anderen hebben om er toch kennis van te nemen.

The post Moet de Kamer van Koophandel onthouden dat je in het verleden failliet bent gegaan? appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Reisaanbieders opgepast, voorkom boetes door juiste prijsvermelding

ma, 03/13/2017 - 09:15

De reisbranche was afgelopen juni in rep en roer! Door de Autoriteit Consument en Markt (hierna: ACM) werd in een besluit aan reisaanbieder Corendon een totale boete van € 350.000,- opgelegd. Corendon kreeg deze boete wegens overtredingen van de Wet oneerlijke handelspraktijken, de Wet handhaving consumentenbescherming en de Luchtvaartverordening. Kort gezegd had Corendon bij het aanbieden van pakketreizen en vliegtickets niet vanaf het begin (eerste moment dat een klant een prijs ziet) alle bijkomende kosten vermeld. Voor de consument betekende dit dus dat hij tijdens het boekingsproces te maken kreeg met veel hogere prijzen dan verwacht.

Uit de wet volgt dat een dergelijke situatie kan worden beschouwd als een oneerlijke of misleidende handelspraktijk, waar de consument tegen kan optreden. En anders doet ACM dat wel. De ACM zet zich sinds 2013 in voor prijstransparantie in de reisbranche en sinds 2014 mag zij direct  optreden. Het effect van de missie van de ACM is in de reisbranche goed merkbaar. Naast Corendon werden namelijk ook reisaanbieders KLM en Otravo B.V. op de vingers getikt.

Hoe hadden deze partijen het vanaf het begin moeten aanpakken? Met betrekking tot pakketreizen en vliegtickets geeft de ACM aan dat consumenten in het boekingsproces tijdig, volledig en transparant geïnformeerd moeten worden. Met name als het gaat om bijkomende kosten moet de consument weten waar hij aan toe is. Let bij het aanbod op de volgende vijf punten:

  • De weergegeven prijs moet geboekt kunnen worden

De consument moet de reis of het vliegticket kunnen boeken voor de aangeboden prijs in de advertentie. Ingeval van Corendon, werd de consument met een voordelige aanbieding gelokt. Door een deel van de kosten bij het initiële aanbod weg te laten, werd de consument voorgehouden dat het boeken via Corendon goedkoper zou zijn dan daadwerkelijk zo was. Pas bij het boeken (in de checkout) kreeg de consument te zien dat er nog bijkomende onvermijdbare kosten bovenop de prijs kwamen. Deze onvermijdbare kosten kunnen vast of variabel zijn. Afhankelijk van de aard van het aanbod (vanaf-prijs per persoon of per boeking) kan vastgesteld worden of kosten vast of juist variabel zijn.

  • Vermeld vaste onvermijdbare kosten direct in het aanbod!

Vaste onvermijdbare kosten kunnen dus per persoon of per boeking zijn bepaald. Indien het aanbod een ‘vanaf-prijs’ per persoon betreft, en de onvermijdelijke kosten door de aanbieder per persoon worden berekend en geïncasseerd (denk aan: bedlinnen per persoon), dient dit al direct in de vanaf-prijs opgenomen te zijn. Indien het aanbod bestaat uit een ‘vanaf-prijs’ per boeking dienen alle bedragen die per boeking worden berekend (denk aan: boekingskosten / bijdrage Calamiteitenfonds) in deze ‘vanaf-prijs’ opgenomen te zijn. Afhankelijk van de aard van het aanbod (per boeking of per persoon) moet dus bekeken worden of de onvermijdbare kosten ‘vast’ zijn en daardoor direct in het aanbod moeten worden opgenomen.

  • Vermeld variabele onvermijdbare kosten direct naast het aanbod!

Variabele onvermijdbare kosten zijn kosten waar de consument ook niet omheen kan, maar die nog niet in het eerste prijsaanbod opgenomen kunnen worden, omdat deze pas in een later stadium worden vastgesteld. Gedacht kan worden aan een aanbod met een ‘vanaf-prijs’ per persoon, waarbij de onvermijdelijke kosten echter per boeking worden berekend en geïncasseerd (denk ook hier aan: boekingskosten / bijdrage Calamiteitenfonds). Gezien het hier nu gaat om een aanbod per persoon, hoeven deze kosten (gezien deze juist per boeking worden gerekend) niet direct in de ‘vanaf-prijs’ te worden opgenomen. Het is namelijk zo dat als de consument een reis voor 4 personen boekt- en de ‘vanaf-prijs’ is per persoon weergegeven – de boekingskosten uiteindelijk verdeeld kunnen worden over 4 personen.

Kosten die variabel én onvermijdbaar zijn dienen wel zodanig duidelijk bij de advertentieprijs te worden weergegeven zodat de consument er niet nog naar hoeft te zoeken. Volgens het besluit is het verwijzen hiernaar in de footer van een website in ieder geval niet voldoende. De variabele onvermijdbare kosten moeten in één oogopslag te vinden zijn, bijvoorbeeld onder een ‘i-tje’ direct naast de advertentieprijs. Zie bijvoorbeeld hier de oplossing van Corendon.

  • Optionele elementen; duidelijk en transparant vermelden aan het begin van elk boekingsproces

Optionele elementen zijn keuzes die de consument nog zelf kan maken en daarmee vermijdbaar zijn, zoals het kiezen voor een reis- of annuleringsverzekering of andere extra’s die de reis nog mooier kunnen maken. Hoewel deze kosten niet in de advertentieprijs hoeven worden meegerekend, moet de aanbieder wel van te voren duidelijk maken welke elementen wel en welke niet in het aanbod zijn inbegrepen. Tijdens het boekingsproces moeten deze opties vervolgens direct verschijnen zodat de consument hier tijdig rekening mee kan houden.

  • Optionele elementen zeker niet vooraf aanvinken!

Bij optionele elementen mag de reisaanbieder niet kiezen voor een opt-out: de consument moet actief en bewust zélf kunnen aangeven van welke elementen hij gebruik wilt maken. Dus geen vooraf-aangevinkt ontbijt op bed, hoe aantrekkelijk het ook klinkt.

De rest van de reismarkt volgt…

Naar aanleiding van het besluit hadden ook andere grote partijen toegezegd zich te conformeren aan het standpunt van de ACM. Zowel Cheaptickets als D-reizen hebben deze toezegging inmiddels ingelost. Tijd voor de rest van de markt.

Dit artikel is geschreven door Joy van Aanholt i.s.m. Tim Wokke

The post Reisaanbieders opgepast, voorkom boetes door juiste prijsvermelding appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

JuriDox eerste online shop-in-shop voor kwalitatief hoogwaardige juridische documenten

vr, 03/10/2017 - 07:06

Met de lancering van JuriDox is vandaag een keerpunt in de markt van online winkels voor juridische documenten bereikt. Voor het eerst is een online shop-in-shop gerealiseerd voor kwalitatief hoogwaardige juridische documenten waarmee ondernemers altijd voldoen aan de laatste wet- en regelgeving. JuriDox is de enige dienstverlener die juridische documenten aanbiedt die door gerenommeerde kennispartners zijn opgesteld. ICTRecht en Grant Thornton Legal hebben zich reeds aangesloten als kennispartner.

Met de lancering van JuriDox is vandaag een keerpunt in de markt van online winkels voor juridische documenten bereikt. Voor het eerst is een online shop-in-shop gerealiseerd voor kwalitatief hoogwaardige juridische documenten waarmee ondernemers altijd voldoen aan de laatste wet- en regelgeving. JuriDox is de enige dienstverlener die juridische documenten aanbiedt die door gerenommeerde kennispartners zijn opgesteld. ICTRecht en Grant Thornton Legal hebben zich reeds aangesloten als kennispartner.

JuriDox is als e-commerceplatform specifiek gericht op ondernemers in het MKB die regelmatig standaarddocumenten gebruiken zoals arbeidsovereenkomsten of algemene voorwaarden. Ondernemers zijn zich er goed van bewust dat zij afspraken die zij maken met klanten, medewerkers of bijvoorbeeld over de omgang met privacygevoelige gegevens nauwkeurig moeten vastleggen. De tijd of de middelen om daar advies over in te winnen ontbreken vaak en veel documenten die gratis of tegen een vergoeding worden aangeboden zijn niet allesomvattend. Door het hanteren van de interactieve vragenlijst van JuriDox worden ondernemers in staat gesteld om goede maatwerkdocumenten te maken. Daarbij is het zelfs mogelijk dat bijvoorbeeld de bestelde algemene voorwaarden door JuriDox worden gehost waardoor deze voorwaarden voortdurend up-to-date zijn.

Steven Ras, mede-eigenaar van ICTRecht en een van de oprichters van JuriDox: “JuriDox is voor ons een vanzelfsprekendheid. Juridisch maatwerk moet voor iedere ondernemer snel en goed beschikbaar zijn zodat je je kunt focussen op de complexe zaken. Wij zijn erg verheugd met het kennispartnerschap. Op deze manier kunnen wij met ICTRecht onze kennis nog verder delen.”

René Zijdeman, partner van Grant Thornton Legal: “Grant Thornton Legal is er trots op om als kennispartner van het eerste uur aan dit initiatief deel te kunnen nemen. Wij willen ondernemers op de meest toegankelijke en professionele wijze van dienst zijn door onze producten op het gebied van arbeids- en ondernemingsrecht via JuriDox snel en efficiënt ter beschikking te kunnen stellen. Daarbij kunnen zij ervan uitgaan dat de kwaliteit en actualiteit van de door ons vervaardigde documenten te allen tijde zal zijn geborgd. Onze arbeids- en ondernemingsrecht juristen volgen de ontwikkelingen in rechtspraak en wetgeving op de voet en zorgen ervoor dat documenten up-to-date zullen zijn.”

JuriDox beoogt op alle rechtsgebieden ondernemers te voorzien van alle denkbare juridische documenten. De dienst is intuïtief in gebruik en staat garant voor kwaliteit, betrouwbaarheid en service.

Voor meer informatie:ga naar www.juridox.nl. Voor interviewverzoeken en vragen kunt u contact opnemen met Niels Winters, business manager JuriDox en bij afwezigheid medeoprichter Steven Ras t: 020 – 229 39 29 e: n.winters@juridox.nl

Wij zijn JuriDox

Dé juridische supermarkt van Nederland

Bij ons maakt u zelf de juridische documenten die u nodig heeft. Onze slimme software loodst u met duidelijke vragen door de juridische kennis van onze kennispartners, zodat u binnen enkele minuten een juridisch document op maat heeft gemaakt.

Standaarddocumenten kunnen volledig geautomatiseerd worden en hoeven dus geen honderden euros te kosten. Dit is de kracht van JuriDox. Wij hebben deze dienst ontwikkeld als eerste stap in onze missie om het juridisch standaardwerk volledig te automatiseren.

Uiteraard moeten juridische document correct en volledig zijn. Daarom is elk document opgesteld door een van de specialisten uit ons kennisnetwerk. We zijn dan wel een juridische supermarkt, maar we leveren alleen A-merken!

JuriDox is opgericht door de eigenaren van ICTRecht B.V., internetjuristen Steven Ras en Arnoud Engelfriet. ICTRecht is een juridisch adviesbureau op het gebied van ICT- en internetrecht. ICTRecht heeft zich in 10 jaar tijd neer weten te zetten als een belangrijke nichespeler binnen zijn rechtsgebied. Het adviesbureau is een van de kennispartners in de juridische supermarkt van JuriDox.

De onderliggende technologie van JuriDox is gebaseerd op het in 2016 met succes gelanceerde JuriBlox.

The post JuriDox eerste online shop-in-shop voor kwalitatief hoogwaardige juridische documenten appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Vijf aandachtspunten voor zorgverleners in de cloud

ma, 03/06/2017 - 13:45

Zorgverleners ontkomen er bijna niet meer aan. Door de digitalisering binnen de zorg is het werken in de cloud bijna onmisbaar geworden. Neem bijvoorbeeld het huisartseninformatiesysteem (hierna: “HIS”). Het HIS wordt onder andere ingezet voor het bijhouden van het patiëntendossier, het maken van afspraken en versturen van declaraties naar verzekeraars. Ook vanuit de softwareleveranciers is deze verschuiving niet onopgemerkt gebleven met als gevolg dat uit tal van applicaties gekozen kan worden. Zorgverleners moeten goed opletten bij het gebruik van clouddiensten, omdat zij werken met bijzondere persoonsgegevens. Wat zijn de belangrijkste punten waar een zorgverlener rekening mee moet houden?

Met clouddiensten worden via internet bereikbare diensten bedoeld. Nederlandse bedrijven maken steeds vaker gebruik van dergelijke diensten. De zorgsector loopt echter achter op het gebied van adoptie van cloudgebaseerde oplossingen. Er heerst angst bij de instellingen omdat de vrees bestaat dat clouddiensten minder betrouwbaar zijn dan fysieke oplossingen. Door het goed regelen van onderwerpen als beschikbaarheid, exit strategie, continuïteit, beveiliging en privacy kan die vrees worden weggenomen.

Beschikbaarheid van clouddiensten in de zorg is zeer belangrijk

In de eerste plaats is beschikbaarheid van belang. Voor een zorgverlener staat de beschikbaarheid van de dienst voorop, omdat zij te allen tijde over het dossier van de patiënt moeten kunnen beschikken.  Daarom moeten er duidelijke afspraken gemaakt worden over beschikbaarheidspercentages en over de gevolgen als dergelijke percentages niet gehaald worden. Ook over het onderhoud van de dienst en de handelswijze bij storingen is het maken van afspraken aanbevolen. Deze afspraken kunnen worden vastgelegd in een Service Level Agreement.

Exit-strategie bij clouddiensten in de zorg

Naast afspraken over de beschikbaarheid van de dienst, is ook een goede exit-strategie belangrijk. Het kan immers voor komen dat er een eind komt aan de dienstverlening en dan is het van belang om te regelen hoe de data wordt teruggegeven. Zeker bij zorginstellingen is het noodzakelijk dat de patiëntgegevens worden teruggeleverd, omdat deze gegevens bijvoorbeeld belangrijk zijn voor inzicht in de medische geschiedenis van de patiënt. De zorgverlener heeft op grond van de wet zelfs een plicht om een dossier van de patiënt bij te houden.

Het is belangrijk om af te spreken hoe en in welke vorm de gegevens worden aangeleverd. Men kan bijvoorbeeld kiezen voor een open source format, zodat data makkelijk gemigreerd kan worden naar een nieuw systeem.

Continuïteit van clouddiensten in de zorg

Een nauw verwant risico is het faillissement van de cloudleverancier of het beëindigen van de dienst door de dienstverlener. De zorgverlener wilt bij een dergelijke situatie natuurlijk niet alle gegevens van zijn patiënten kwijt zijn. Om de continuïteit van de dienst te waarborgen moeten vooraf al duidelijke maatregelen zijn genomen.

In de eerste plaats moeten de essentiële onderdelen van de dienst in kaart te worden gebracht. Daarnaast moet er een partij zijn die de beschikking krijgt over deze essentiële onderdelen en de dienstverlening voortzet op het moment dat de leverancier van de dienst failliet gaat. Daarnaast moeten de rechten en plichten van alle betrokkenen worden vastgelegd in overeenkomsten.

Beveiliging en privacy in de zorgsector

Een ander belangrijk aspect is de beveiliging van de applicatie. Hierbij gaat het om het treffen van passende technische maatregelen om ongeautoriseerde verwerking van vertrouwelijke (persoons)gegevens te voorkomen. Voor zorgverleners geldt dat zij met gevoelige medische gegevens werken, wat een zwaarder regime met zich meebrengt. De NEN 7510 norm is ontwikkeld voor informatiebeveiliging in de zorgsector en bevat een lange reeks technische en organisatorische maatregelen.

Voor het verwerken van bepaalde gegevens, zoals het Burgerservicenummer en het BIG-nummer, is het hanteren van deze norm zelfs verplicht. Ten aanzien van andere medische gegevens wordt de norm gebruikt door de toezichthouder, de Inspectie voor de Gezondheidszorg, bij het uitvoeren van inspecties. Niet alleen de leveranciers van de dienst moeten dit in acht nemen, ook de zorgverlener zelf moet zich bewust zijn van de rollen en verantwoordelijkheden van andere partijen.

Door de snelle technologische ontwikkelingen is de Wet bescherming persoonsgegevens bewust ‘technologie-neutraal’ opgesteld, waardoor de wet vage begrippen bevat. De uitwerking van de wettelijke eisen aan de beveiliging wordt hier verder uitgelegd.

Bij het afnemen of leveren van clouddiensten is het belangrijk om rekening te houden met de privacyaspecten. Zeker zorgverleners zijn erbij gebaat dat de privacy van de patiënten gewaarborgd wordt, doordat zij werken met bijzondere persoonsgegevens. Maar ook voor de leverancier is het belangrijk de privacyrechtelijke aspecten goed te regelen. Afspraken over onder andere beveiligingsmaatregelen, doorgifte van persoonsgegevens, de meldplicht datalekken, het auditrecht en geheimhouding kunnen worden vastgelegd in een bewerkersovereenkomst.

Voldoen aan de privacywetgeving is belangrijk, aangezien de toezichthouder op het gebied van de privacywetgeving, de Autoriteit Persoonsgegevens, boetes tot EUR 820.000 op kan leggen. Met de komst van de Algemene Verordening gegevensbescherming op 25 mei 2018 wordt deze boetebevoegdheid verruimd, waardoor de boetes op kunnen lopen tot EUR 20 miljoen of, indien hoger, vier procent van de wereldwijze jaaromzet.

Bovenstaande uitleg geeft een kort overzicht van de belangrijkste voorwaarden voor het goed regelen van het gebruik van clouddiensten (in de zorg). Met de juiste voorbereiding kunt u dus met een gerust hart de cloud in stappen!

The post Vijf aandachtspunten voor zorgverleners in de cloud appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Vijf aandachtspunten voor zorgverleners in de cloud

ma, 03/06/2017 - 13:45

Zorgverleners ontkomen er bijna niet meer aan. Door de digitalisering binnen de zorg is het werken in de cloud bijna onmisbaar geworden. Neem bijvoorbeeld het huisartseninformatiesysteem (hierna: “HIS”). Het HIS wordt onder andere ingezet voor het bijhouden van het patiëntendossier, het maken van afspraken en versturen van declaraties naar verzekeraars. Ook vanuit de softwareleveranciers is deze verschuiving niet onopgemerkt gebleven met als gevolg dat uit tal van applicaties gekozen kan worden. Zorgverleners moeten goed opletten bij het gebruik van clouddiensten, omdat zij werken met bijzondere persoonsgegevens. Wat zijn de belangrijkste punten waar een zorgverlener rekening mee moet houden?

Met clouddiensten worden via internet bereikbare diensten bedoeld. Nederlandse bedrijven maken steeds vaker gebruik van dergelijke diensten. De zorgsector loopt echter achter op het gebied van adoptie van cloudgebaseerde oplossingen. Er heerst angst bij de instellingen omdat de vrees bestaat dat clouddiensten minder betrouwbaar zijn dan fysieke oplossingen. Door het goed regelen van onderwerpen als beschikbaarheid, exit strategie, continuïteit, beveiliging en privacy kan die vrees worden weggenomen.

Beschikbaarheid van clouddiensten in de zorg is zeer belangrijk

In de eerste plaats is beschikbaarheid van belang. Voor een zorgverlener staat de beschikbaarheid van de dienst voorop, omdat zij te allen tijde over het dossier van de patiënt moeten kunnen beschikken.  Daarom moeten er duidelijke afspraken gemaakt worden over beschikbaarheidspercentages en over de gevolgen als dergelijke percentages niet gehaald worden. Ook over het onderhoud van de dienst en de handelswijze bij storingen is het maken van afspraken aanbevolen. Deze afspraken kunnen worden vastgelegd in een Service Level Agreement.

Exit-strategie bij clouddiensten in de zorg

Naast afspraken over de beschikbaarheid van de dienst, is ook een goede exit-strategie belangrijk. Het kan immers voor komen dat er een eind komt aan de dienstverlening en dan is het van belang om te regelen hoe de data wordt teruggegeven. Zeker bij zorginstellingen is het noodzakelijk dat de patiëntgegevens worden teruggeleverd, omdat deze gegevens bijvoorbeeld belangrijk zijn voor inzicht in de medische geschiedenis van de patiënt. De zorgverlener heeft op grond van de wet zelfs een plicht om een dossier van de patiënt bij te houden.

Het is belangrijk om af te spreken hoe en in welke vorm de gegevens worden aangeleverd. Men kan bijvoorbeeld kiezen voor een open source format, zodat data makkelijk gemigreerd kan worden naar een nieuw systeem.

Continuïteit van clouddiensten in de zorg

Een nauw verwant risico is het faillissement van de cloudleverancier of het beëindigen van de dienst door de dienstverlener. De zorgverlener wilt bij een dergelijke situatie natuurlijk niet alle gegevens van zijn patiënten kwijt zijn. Om de continuïteit van de dienst te waarborgen moeten vooraf al duidelijke maatregelen zijn genomen.

In de eerste plaats moeten de essentiële onderdelen van de dienst in kaart te worden gebracht. Daarnaast moet er een partij zijn die de beschikking krijgt over deze essentiële onderdelen en de dienstverlening voortzet op het moment dat de leverancier van de dienst failliet gaat. Daarnaast moeten de rechten en plichten van alle betrokkenen worden vastgelegd in overeenkomsten.

Beveiliging en privacy in de zorgsector

Een ander belangrijk aspect is de beveiliging van de applicatie. Hierbij gaat het om het treffen van passende technische maatregelen om ongeautoriseerde verwerking van vertrouwelijke (persoons)gegevens te voorkomen. Voor zorgverleners geldt dat zij met gevoelige medische gegevens werken, wat een zwaarder regime met zich meebrengt. De NEN 7510 norm is ontwikkeld voor informatiebeveiliging in de zorgsector en bevat een lange reeks technische en organisatorische maatregelen.

Voor het verwerken van bepaalde gegevens, zoals het Burgerservicenummer en het BIG-nummer, is het hanteren van deze norm zelfs verplicht. Ten aanzien van andere medische gegevens wordt de norm gebruikt door de toezichthouder, de Inspectie voor de Gezondheidszorg, bij het uitvoeren van inspecties. Niet alleen de leveranciers van de dienst moeten dit in acht nemen, ook de zorgverlener zelf moet zich bewust zijn van de rollen en verantwoordelijkheden van andere partijen.

Door de snelle technologische ontwikkelingen is de Wet bescherming persoonsgegevens bewust ‘technologie-neutraal’ opgesteld, waardoor de wet vage begrippen bevat. De uitwerking van de wettelijke eisen aan de beveiliging wordt hier verder uitgelegd.

Bij het afnemen of leveren van clouddiensten is het belangrijk om rekening te houden met de privacyaspecten. Zeker zorgverleners zijn erbij gebaat dat de privacy van de patiënten gewaarborgd wordt, doordat zij werken met bijzondere persoonsgegevens. Maar ook voor de leverancier is het belangrijk de privacyrechtelijke aspecten goed te regelen. Afspraken over onder andere beveiligingsmaatregelen, doorgifte van persoonsgegevens, de meldplicht datalekken, het auditrecht en geheimhouding kunnen worden vastgelegd in een bewerkersovereenkomst.

Voldoen aan de privacywetgeving is belangrijk, aangezien de toezichthouder op het gebied van de privacywetgeving, de Autoriteit Persoonsgegevens, boetes tot EUR 820.000 op kan leggen. Met de komst van de Algemene Verordening gegevensbescherming op 25 mei 2018 wordt deze boetebevoegdheid verruimd, waardoor de boetes op kunnen lopen tot EUR 20 miljoen of, indien hoger, vier procent van de wereldwijze jaaromzet.

Bovenstaande uitleg geeft een kort overzicht van de belangrijkste voorwaarden voor het goed regelen van het gebruik van clouddiensten (in de zorg). Met de juiste voorbereiding kunt u dus met een gerust hart de cloud in stappen!

The post Vijf aandachtspunten voor zorgverleners in de cloud appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Vijf aandachtspunten voor zorgverleners in de cloud

ma, 03/06/2017 - 10:48

Zorgverleners ontkomen er bijna niet meer aan. Door de digitalisering binnen de zorg is het werken in de cloud bijna onmisbaar geworden. Neem bijvoorbeeld het huisartseninformatiesysteem (hierna: “HIS”). Het HIS wordt onder andere ingezet voor het bijhouden van het patiëntendossier, het maken van afspraken en versturen van declaraties naar verzekeraars. Ook vanuit de softwareleveranciers is deze verschuiving niet onopgemerkt gebleven met als gevolg dat uit tal van applicaties gekozen kan worden. Zorgverleners moeten goed opletten bij het gebruik van clouddiensten, omdat zij werken met bijzondere persoonsgegevens. Wat zijn de belangrijkste punten waar een zorgverlener rekening mee moet houden?

Met clouddiensten worden via internet bereikbare diensten bedoeld. Nederlandse bedrijven maken steeds vaker gebruik van dergelijke diensten. De zorgsector loopt echter achter op het gebied van adoptie van cloudgebaseerde oplossingen. Er heerst angst bij de instellingen omdat de vrees bestaat dat clouddiensten minder betrouwbaar zijn dan fysieke oplossingen. Door het goed regelen van onderwerpen als beschikbaarheid, exit strategie, continuïteit, beveiliging en privacy kan die vrees worden weggenomen.

Beschikbaarheid van clouddiensten in de zorg is zeer belangrijk

In de eerste plaats is beschikbaarheid van belang. Voor een zorgverlener staat de beschikbaarheid van de dienst voorop, omdat zij te allen tijde over het dossier van de patiënt moeten kunnen beschikken.  Daarom moeten er duidelijke afspraken gemaakt worden over beschikbaarheidspercentages en over de gevolgen als dergelijke percentages niet gehaald worden. Ook over het onderhoud van de dienst en de handelswijze bij storingen is het maken van afspraken aanbevolen. Deze afspraken kunnen worden vastgelegd in een Service Level Agreement.

Exit-strategie bij clouddiensten in de zorg

Naast afspraken over de beschikbaarheid van de dienst, is ook een goede exit-strategie belangrijk. Het kan immers voor komen dat er een eind komt aan de dienstverlening en dan is het van belang om te regelen hoe de data wordt teruggegeven. Zeker bij zorginstellingen is het noodzakelijk dat de patiëntgegevens worden teruggeleverd, omdat deze gegevens bijvoorbeeld belangrijk zijn voor inzicht in de medische geschiedenis van de patiënt. De zorgverlener heeft op grond van de wet zelfs een plicht om een dossier van de patiënt bij te houden.

Het is belangrijk om af te spreken hoe en in welke vorm de gegevens worden aangeleverd. Men kan bijvoorbeeld kiezen voor een open source format, zodat data makkelijk gemigreerd kan worden naar een nieuw systeem.

Continuïteit van clouddiensten in de zorg

Een nauw verwant risico is het faillissement van de cloudleverancier of het beëindigen van de dienst door de dienstverlener. De zorgverlener wilt bij een dergelijke situatie natuurlijk niet alle gegevens van zijn patiënten kwijt zijn. Om de continuïteit van de dienst te waarborgen moeten vooraf al duidelijke maatregelen zijn genomen.

In de eerste plaats moeten de essentiële onderdelen van de dienst in kaart te worden gebracht. Daarnaast moet er een partij zijn die de beschikking krijgt over deze essentiële onderdelen en de dienstverlening voortzet op het moment dat de leverancier van de dienst failliet gaat. Daarnaast moeten de rechten en plichten van alle betrokkenen worden vastgelegd in overeenkomsten.

Beveiliging en privacy in de zorgsector

Een ander belangrijk aspect is de beveiliging van de applicatie. Hierbij gaat het om het treffen van passende technische maatregelen om ongeautoriseerde verwerking van vertrouwelijke (persoons)gegevens te voorkomen. Voor zorgverleners geldt dat zij met gevoelige medische gegevens werken, wat een zwaarder regime met zich meebrengt. De NEN 7510 norm is ontwikkeld voor informatiebeveiliging in de zorgsector en bevat een lange reeks technische en organisatorische maatregelen.

Voor het verwerken van bepaalde gegevens, zoals het Burgerservicenummer en het BIG-nummer, is het hanteren van deze norm zelfs verplicht. Ten aanzien van andere medische gegevens wordt de norm gebruikt door de toezichthouder, de Inspectie voor de Gezondheidszorg, bij het uitvoeren van inspecties. Niet alleen de leveranciers van de dienst moeten dit in acht nemen, ook de zorgverlener zelf moet zich bewust zijn van de rollen en verantwoordelijkheden van andere partijen.

Door de snelle technologische ontwikkelingen is de Wet bescherming persoonsgegevens bewust ‘technologie-neutraal’ opgesteld, waardoor de wet vage begrippen bevat. De uitwerking van de wettelijke eisen aan de beveiliging wordt hier verder uitgelegd.

Bij het afnemen of leveren van clouddiensten is het belangrijk om rekening te houden met de privacyaspecten. Zeker zorgverleners zijn erbij gebaat dat de privacy van de patiënten gewaarborgd wordt, doordat zij werken met bijzondere persoonsgegevens. Maar ook voor de leverancier is het belangrijk de privacyrechtelijke aspecten goed te regelen. Afspraken over onder andere beveiligingsmaatregelen, doorgifte van persoonsgegevens, de meldplicht datalekken, het auditrecht en geheimhouding kunnen worden vastgelegd in een bewerkersovereenkomst.

Voldoen aan de privacywetgeving is belangrijk, aangezien de toezichthouder op het gebied van de privacywetgeving, de Autoriteit Persoonsgegevens, boetes tot EUR 820.000 op kan leggen. Met de komst van de Algemene Verordening gegevensbescherming op 25 mei 2018 wordt deze boetebevoegdheid verruimd, waardoor de boetes op kunnen lopen tot EUR 20 miljoen of, indien hoger, vier procent van de wereldwijze jaaromzet.

Bovenstaande uitleg geeft een kort overzicht van de belangrijkste voorwaarden voor het goed regelen van het gebruik van clouddiensten (in de zorg). Met de juiste voorbereiding kunt u dus met een gerust hart de cloud in stappen!

Gerelateerde artikelen
Categorieën: Technieuws

Ons kent ons? Concept wetsvoorstel ongewenste zeggenschap telecommunicatie

vr, 03/03/2017 - 13:58

Op 16 februari 2017 is een concept wetsvoorstel ter consultatie gepubliceerd waarmee er een nieuw hoofdstuk wordt toegevoegd aan de Telecommunicatiewet. Aanleiding voor het wetsvoorstel was in eerste instantie de mogelijke overname van KPN door América Móvil in 2013 (die uiteindelijk geen doorgang vond). Een vergelijkbare situatie deed zich recentelijk voor met betrekking tot Fox IT, dat in 2015 overgenomen door een Brits bedrijf, waarbij de vrees bestond dat Britse inlichtingendiensten bij Nederlandse geheime informatie zouden kunnen.

Voorkomen dat ongewenste partij beslissende zeggenschap krijgt in belangrijke telecommunicatiepartij

Het wetsvoorstel voegt een nieuw hoofdstuk toe aan de Telecommunicatiewet. Met hoofdstuk 14a wil men voorkomen dat een ongewenste partij beslissende zeggenschap krijgt in een belangrijke telecommunicatiepartij. Het creëert de bevoegdheid voor de minister van Economische Zaken om ongewenste zeggenschap in een telecommunicatiepartij te verbieden omwille van de openbare orde en nationale veiligheid. Overwegende zeggenschap houdt bijvoorbeeld in dat iemand, alleen of samen met anderen, over meer dan 30% van de stemrechten in de algemene vergadering beschikt.

Deze zeggenschap moet dan leiden tot relevante invloed. Daarvan is sprake wanneer misbruik of opzettelijke uitval van de telecommunicatiepartij kan leiden tot:

  • een onrechtmatige inbreuk op de bescherming van persoonsgegevens of de vertrouwelijkheid van communicatie (voorgenomen is een grens van 1 miljoen eindgebruikers);
  • langdurige onderbreking van toegang tot internetdiensten en telefonie;
  • een onderbreking van de beschikbaarheid of verificatie van een aanzienlijk deel van toepassingen en diensten die geleverd worden via het internet;
  • een langdurige onderbreking van de beschikbaarheid van een product of dienst ten behoeve van de AIVD of MIVD;
  • vrijgave van staatsgeheime informatie; of
  • een belangrijke mate van onderbreking van de beschikbaarheid of betrouwbaarheid van een product of dienst ten behoeve van een publieke taak op het gebied van defensie, handhaving van de rechtsorde dan wel hulpverlening.

Onder deze regelgeving valt potentieel een groot aantal bedrijven. Hierdoor kan het wetsvoorstel grote invloed gaan hebben op de telecommunicatiesector. Relevante telecommunicatiepartijen zijn bijvoorbeeld datacenters die 30% of meer van het aangeboden aantal vierkante meters aan housing aanbieden. Onduidelijk is hoe dit berekend zal worden, omdat dit in de Memorie van Toelichting niet verder wordt uitgelegd.

Daarnaast vallen onder relevante telecommunicatiepartijen ook vertrouwensdiensten (bijvoorbeeld aanbieders van elektronische handtekeningen) met een marktaandeel van 30% of meer en zeer belangrijke internetknooppunten waarvoor niet binnen een week een alternatief internetknooppunt beschikbaar is.

Gevaar voor nationale veiligheid of openbare orde

De nationale veiligheid of openbare orde kan door overwegende zeggenschap met relevante invloed in gevaar komen.  Dit zou bijvoorbeeld kunnen bij een onvoldoende transparante eigendomsstructuur van de houder/ beoogde verkrijger van zeggenschap, of als de houder/beoogde verkrijger banden heeft met bepaalde landen of regio’s met een slechte of onzekere veiligheidssituatie. Een buitenlandse partij zou door de overname van een dergelijke Nederlandse partij met relevante invloed voor opzettelijke uitval van telecommunicatiediensten zou kunnen zorgen.

Wanneer de minister van mening is dat sprake zou kunnen zijn van een dergelijk gevaar, kan hij onderzoek (laten) uitvoeren naar de betreffende partij. Er kan bijvoorbeeld een veiligheidsonderzoek door de AIVD worden gedaan. Daarnaast kan de minister een plicht opleggen aan een telecommunicatiepartij om een uittreksel uit het aandelenregister te verstrekken, of onderzoek te doen naar een houder van zeggenschap en de banden die deze heeft met derden (artikel 14a.5).

Mogelijke gevolgen

Aan de hand van het onderzoek kan een besluit worden genomen, zoals het opleggen van een verbod. Dit kan gaan om een verbod op het verkrijgen of behouden van aandelen of op het uitoefenen van zeggenschap. Daarnaast zou een besluit ook kunnen inhouden dat een bewindvoerder wordt aangesteld of dat bepaalde aandelen gedwongen worden verkocht.

In de Memorie van Toelichting staat bovendien dat voor een besluit als een verbod, er geen sprake hoeft te zijn van een bewezen gevaar voor de nationale veiligheid of openbare orde. De minister moet enkel deugdelijk motiveren waarom de overwegende zeggenschap leidt tot een risico. Hoewel tegen het besluit bezwaar en beroep opstaat, zijn dit dus mogelijk verregaande bevoegdheden die niet ondersteund worden door bewezen feiten, maar door de beoordeling van een risico.

Minister heeft nog veel ruimte om te bepalen wat er onder dit hoofstuk van Telecommunicatiewet valt

De doelen achter dit wetsvoorstel zijn duidelijk. Bepaalde begrippen worden echter dermate breed omschreven, dat de minister nog veel ruimte heeft om te bepalen welke organisaties en situaties onder de wet vallen. Er wordt bijvoorbeeld gebruikgemaakt van het begrip ‘ongewenst persoon’. Uit de Memorie van Toelichting blijkt niet geheel duidelijk wie hieronder zou kunnen vallen. Ook noemt het wetsvoorstel de banden van de houder/beoogde verkrijger met derden; het dient nog nader uitgewerkt te worden welke banden hiervoor relevant zijn.

Momenteel is voor bedrijven nog niet zeker hoe ver de wet reikt. Een aantal relevante begrippen uit de wet moet nog verduidelijkt worden, zodat de vrijheid van ondernemerschap en het vrij verkeer van kapitaal en vestiging gewaarborgd blijft. Het is daarom te hopen dat enkele zaken in de verdere procedure worden aangekaart en toegelicht.

Dit artikel is geschreven door Joy van Aanholt i.s.m. Fay Kartner.

The post Ons kent ons? Concept wetsvoorstel ongewenste zeggenschap telecommunicatie appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Ons kent ons? Concept wetsvoorstel ongewenste zeggenschap telecommunicatie

vr, 03/03/2017 - 13:58

Op 16 februari 2017 is een concept wetsvoorstel ter consultatie gepubliceerd waarmee er een nieuw hoofdstuk wordt toegevoegd aan de Telecommunicatiewet. Aanleiding voor het wetsvoorstel was in eerste instantie de mogelijke overname van KPN door América Móvil in 2013 (die uiteindelijk geen doorgang vond). Een vergelijkbare situatie deed zich recentelijk voor met betrekking tot Fox IT, dat in 2015 overgenomen door een Brits bedrijf, waarbij de vrees bestond dat Britse inlichtingendiensten bij Nederlandse geheime informatie zouden kunnen.

Voorkomen dat ongewenste partij beslissende zeggenschap krijgt in belangrijke telecommunicatiepartij

Het wetsvoorstel voegt een nieuw hoofdstuk toe aan de Telecommunicatiewet. Met hoofdstuk 14a wil men voorkomen dat een ongewenste partij beslissende zeggenschap krijgt in een belangrijke telecommunicatiepartij. Het creëert de bevoegdheid voor de minister van Economische Zaken om ongewenste zeggenschap in een telecommunicatiepartij te verbieden omwille van de openbare orde en nationale veiligheid. Overwegende zeggenschap houdt bijvoorbeeld in dat iemand, alleen of samen met anderen, over meer dan 30% van de stemrechten in de algemene vergadering beschikt.

Deze zeggenschap moet dan leiden tot relevante invloed. Daarvan is sprake wanneer misbruik of opzettelijke uitval van de telecommunicatiepartij kan leiden tot:

  • een onrechtmatige inbreuk op de bescherming van persoonsgegevens of de vertrouwelijkheid van communicatie (voorgenomen is een grens van 1 miljoen eindgebruikers);
  • langdurige onderbreking van toegang tot internetdiensten en telefonie;
  • een onderbreking van de beschikbaarheid of verificatie van een aanzienlijk deel van toepassingen en diensten die geleverd worden via het internet;
  • een langdurige onderbreking van de beschikbaarheid van een product of dienst ten behoeve van de AIVD of MIVD;
  • vrijgave van staatsgeheime informatie; of
  • een belangrijke mate van onderbreking van de beschikbaarheid of betrouwbaarheid van een product of dienst ten behoeve van een publieke taak op het gebied van defensie, handhaving van de rechtsorde dan wel hulpverlening.

Onder deze regelgeving valt potentieel een groot aantal bedrijven. Hierdoor kan het wetsvoorstel grote invloed gaan hebben op de telecommunicatiesector. Relevante telecommunicatiepartijen zijn bijvoorbeeld datacenters die 30% of meer van het aangeboden aantal vierkante meters aan housing aanbieden. Onduidelijk is hoe dit berekend zal worden, omdat dit in de Memorie van Toelichting niet verder wordt uitgelegd.

Daarnaast vallen onder relevante telecommunicatiepartijen ook vertrouwensdiensten (bijvoorbeeld aanbieders van elektronische handtekeningen) met een marktaandeel van 30% of meer en zeer belangrijke internetknooppunten waarvoor niet binnen een week een alternatief internetknooppunt beschikbaar is.

Gevaar voor nationale veiligheid of openbare orde

De nationale veiligheid of openbare orde kan door overwegende zeggenschap met relevante invloed in gevaar komen.  Dit zou bijvoorbeeld kunnen bij een onvoldoende transparante eigendomsstructuur van de houder/ beoogde verkrijger van zeggenschap, of als de houder/beoogde verkrijger banden heeft met bepaalde landen of regio’s met een slechte of onzekere veiligheidssituatie. Een buitenlandse partij zou door de overname van een dergelijke Nederlandse partij met relevante invloed voor opzettelijke uitval van telecommunicatiediensten zou kunnen zorgen.

Wanneer de minister van mening is dat sprake zou kunnen zijn van een dergelijk gevaar, kan hij onderzoek (laten) uitvoeren naar de betreffende partij. Er kan bijvoorbeeld een veiligheidsonderzoek door de AIVD worden gedaan. Daarnaast kan de minister een plicht opleggen aan een telecommunicatiepartij om een uittreksel uit het aandelenregister te verstrekken, of onderzoek te doen naar een houder van zeggenschap en de banden die deze heeft met derden (artikel 14a.5).

Mogelijke gevolgen

Aan de hand van het onderzoek kan een besluit worden genomen, zoals het opleggen van een verbod. Dit kan gaan om een verbod op het verkrijgen of behouden van aandelen of op het uitoefenen van zeggenschap. Daarnaast zou een besluit ook kunnen inhouden dat een bewindvoerder wordt aangesteld of dat bepaalde aandelen gedwongen worden verkocht.

In de Memorie van Toelichting staat bovendien dat voor een besluit als een verbod, er geen sprake hoeft te zijn van een bewezen gevaar voor de nationale veiligheid of openbare orde. De minister moet enkel deugdelijk motiveren waarom de overwegende zeggenschap leidt tot een risico. Hoewel tegen het besluit bezwaar en beroep opstaat, zijn dit dus mogelijk verregaande bevoegdheden die niet ondersteund worden door bewezen feiten, maar door de beoordeling van een risico.

Minister heeft nog veel ruimte om te bepalen wat er onder dit hoofstuk van Telecommunicatiewet valt

De doelen achter dit wetsvoorstel zijn duidelijk. Bepaalde begrippen worden echter dermate breed omschreven, dat de minister nog veel ruimte heeft om te bepalen welke organisaties en situaties onder de wet vallen. Er wordt bijvoorbeeld gebruikgemaakt van het begrip ‘ongewenst persoon’. Uit de Memorie van Toelichting blijkt niet geheel duidelijk wie hieronder zou kunnen vallen. Ook noemt het wetsvoorstel de banden van de houder/beoogde verkrijger met derden; het dient nog nader uitgewerkt te worden welke banden hiervoor relevant zijn.

Momenteel is voor bedrijven nog niet zeker hoe ver de wet reikt. Een aantal relevante begrippen uit de wet moet nog verduidelijkt worden, zodat de vrijheid van ondernemerschap en het vrij verkeer van kapitaal en vestiging gewaarborgd blijft. Het is daarom te hopen dat enkele zaken in de verdere procedure worden aangekaart en toegelicht.

Dit artikel is geschreven door Joy van Aanholt i.s.m. Fay Kartner.

The post Ons kent ons? Concept wetsvoorstel ongewenste zeggenschap telecommunicatie appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Ons kent ons? Ongewenste zeggenschap telecommunicatie

vr, 03/03/2017 - 09:54

Op 16 februari 2017 is een concept wetsvoorstel ter consultatie gepubliceerd waarmee er een nieuw hoofdstuk wordt toegevoegd aan de Telecommunicatiewet. Aanleiding voor het wetsvoorstel was in eerste instantie de mogelijke overname van KPN door América Móvil in 2013 (die uiteindelijk geen doorgang vond). Een vergelijkbare situatie deed zich recentelijk voor met betrekking tot Fox IT, dat in 2015 overgenomen door een Brits bedrijf, waarbij de vrees bestond dat Britse inlichtingendiensten bij Nederlandse geheime informatie zouden kunnen.

Voorkomen dat ongewenste partij beslissende zeggenschap krijgt in belangrijke telecommunicatiepartij

Het wetsvoorstel voegt een nieuw hoofdstuk toe aan de Telecommunicatiewet. Met hoofdstuk 14a wil men voorkomen dat een ongewenste partij beslissende zeggenschap krijgt in een belangrijke telecommunicatiepartij. Het creëert de bevoegdheid voor de minister van Economische Zaken om ongewenste zeggenschap in een telecommunicatiepartij te verbieden omwille van de openbare orde en nationale veiligheid. Overwegende zeggenschap houdt bijvoorbeeld in dat iemand, alleen of samen met anderen, over meer dan 30% van de stemrechten in de algemene vergadering beschikt.

Deze zeggenschap moet dan leiden tot relevante invloed. Daarvan is sprake wanneer misbruik of opzettelijke uitval van de telecommunicatiepartij kan leiden tot:

  • een onrechtmatige inbreuk op de bescherming van persoonsgegevens of de vertrouwelijkheid van communicatie (voorgenomen is een grens van 1 miljoen eindgebruikers);
  • langdurige onderbreking van toegang tot internetdiensten en telefonie;
  • een onderbreking van de beschikbaarheid of verificatie van een aanzienlijk deel van toepassingen en diensten die geleverd worden via het internet;
  • een langdurige onderbreking van de beschikbaarheid van een product of dienst ten behoeve van de AIVD of MIVD;
  • vrijgave van staatsgeheime informatie; of
  • een belangrijke mate van onderbreking van de beschikbaarheid of betrouwbaarheid van een product of dienst ten behoeve van een publieke taak op het gebied van defensie, handhaving van de rechtsorde dan wel hulpverlening.

Onder deze regelgeving valt potentieel een groot aantal bedrijven. Hierdoor kan het wetsvoorstel grote invloed gaan hebben op de telecommunicatiesector. Relevante telecommunicatiepartijen zijn bijvoorbeeld datacenters die 30% of meer van het aangeboden aantal vierkante meters aan housing aanbieden. Onduidelijk is hoe dit berekend zal worden, omdat dit in de Memorie van Toelichting niet verder wordt uitgelegd.

Daarnaast vallen onder relevante telecommunicatiepartijen ook vertrouwensdiensten (bijvoorbeeld aanbieders van elektronische handtekeningen) met een marktaandeel van 30% of meer en zeer belangrijke internetknooppunten waarvoor niet binnen een week een alternatief internetknooppunt beschikbaar is.

Gevaar voor nationale veiligheid of openbare orde

De nationale veiligheid of openbare orde kan door overwegende zeggenschap met relevante invloed in gevaar komen.  Dit zou bijvoorbeeld kunnen bij een onvoldoende transparante eigendomsstructuur van de houder/ beoogde verkrijger van zeggenschap, of als de houder/beoogde verkrijger banden heeft met bepaalde landen of regio’s met een slechte of onzekere veiligheidssituatie. Een buitenlandse partij zou door de overname van een dergelijke Nederlandse partij met relevante invloed voor opzettelijke uitval van telecommunicatiediensten zou kunnen zorgen.

Wanneer de minister van mening is dat sprake zou kunnen zijn van een dergelijk gevaar, kan hij onderzoek (laten) uitvoeren naar de betreffende partij. Er kan bijvoorbeeld een veiligheidsonderzoek door de AIVD worden gedaan. Daarnaast kan de minister een plicht opleggen aan een telecommunicatiepartij om een uittreksel uit het aandelenregister te verstrekken, of onderzoek te doen naar een houder van zeggenschap en de banden die deze heeft met derden (artikel 14a.5).

Mogelijke gevolgen

Aan de hand van het onderzoek kan een besluit worden genomen, zoals het opleggen van een verbod. Dit kan gaan om een verbod op het verkrijgen of behouden van aandelen of op het uitoefenen van zeggenschap. Daarnaast zou een besluit ook kunnen inhouden dat een bewindvoerder wordt aangesteld of dat bepaalde aandelen gedwongen worden verkocht.

In de Memorie van Toelichting staat bovendien dat voor een besluit als een verbod, er geen sprake hoeft te zijn van een bewezen gevaar voor de nationale veiligheid of openbare orde. De minister moet enkel deugdelijk motiveren waarom de overwegende zeggenschap leidt tot een risico. Hoewel tegen het besluit bezwaar en beroep opstaat, zijn dit dus mogelijk verregaande bevoegdheden die niet ondersteund worden door bewezen feiten, maar door de beoordeling van een risico.

Minister heeft nog veel ruimte om te bepalen wat er onder dit hoofstuk van Telecommunicatiewet valt

De doelen achter dit wetsvoorstel zijn duidelijk. Bepaalde begrippen worden echter dermate breed omschreven, dat de minister nog veel ruimte heeft om te bepalen welke organisaties en situaties onder de wet vallen. Er wordt bijvoorbeeld gebruikgemaakt van het begrip ‘ongewenst persoon’. Uit de Memorie van Toelichting blijkt niet geheel duidelijk wie hieronder zou kunnen vallen. Ook noemt het wetsvoorstel de banden van de houder/beoogde verkrijger met derden; het dient nog nader uitgewerkt te worden welke banden hiervoor relevant zijn.

Momenteel is voor bedrijven nog niet zeker hoe ver de wet reikt. Een aantal relevante begrippen uit de wet moet nog verduidelijkt worden, zodat de vrijheid van ondernemerschap en het vrij verkeer van kapitaal en vestiging gewaarborgd blijft. Het is daarom te hopen dat enkele zaken in de verdere procedure worden aangekaart en toegelicht.

Dit artikel is geschreven door Joy van Aanholt i.s.m. Fay Kartner.

Gerelateerde artikelen
Categorieën: Technieuws

Moet Google zoekresultaten met beschuldigingen van strafbare feiten verwijderen?

di, 02/28/2017 - 13:48

Wanneer je in publicaties op internet wordt beschuldigd van bijvoorbeeld het hebben van valse diploma’s, wat kun je daar dan tegen ondernemen? Je zou een vergeetverzoek kunnen indienen bij Google. Onlangs deed de voorzieningenrechter in Lelystad uitspraak in een zaak over een man die eiste dat Google negatieve publicaties over hem uit de zoekresultaten zou verwijderen. De publicaties hielden in dat hij diploma’s en titels verzonnen zou hebben – en dus onbevoegd zou hebben gewerkt als juridisch adviseur en mediator. Hij zou zich ook schuldig gemaakt hebben aan, onder andere, oplichting en bedreiging.

Wat houdt het recht om vergeten te worden in?

Hoe nu om te gaan met een verzoek tot verwijdering van dergelijke informatie? Volgens de voorzieningenrechter (de rechter verwijst naar het Hof van Justitie van de EU, zaak C-131/12, Costeja, ECLI:EU:C:2014:317) bestaat er een recht op rectificatie, uitwissing of afscherming van gegevens, wanneer een verwerking onverenigbaar is met de Wet bescherming persoonsgegevens en de Privacyrichtlijn. Dit is zo wanneer de gegevens onnauwkeurig zijn, of “ontoereikend, niet ter zake dienend of bovenmatig zijn voor de doeleinden van de verwerking, omdat zij niet zijn bijgewerkt of omdat zij langer worden bewaard dan noodzakelijk is.” In die gevallen kan een betrokkene verlangen dat deze informatie uit de resultaten van een zoekmachine wordt verwijderd. Het ligt echter anders wanneer het publiek er een overwegend belang bij heeft de informatie te kunnen verkrijgen, bijvoorbeeld wanneer een persoon een belangrijke rol in het openbare leven speelt.

Strafrechtelijke gegevens? Onjuiste informatie?

Vast staat dat de informatie waarover de betreffende persoon klaagt, is aan te merken als persoonsgegevens, nu deze tot hem te herleiden is. Strafrechtelijke gegevens zijn zelfs bijzondere persoonsgegevens, die Google veelal niet mag verwerken. Er waren beschuldigingen geuit door diverse personen, maar er was nooit een justitieel onderzoek in gang gezet, laat staan dat er sprake is van een bewezenverklaring. Van strafrechtelijke persoonsgegevens was dus geen sprake.

De betrokkene kon niet aantonen dat hij wel degelijk de genoemde diploma’s had behaald. Ook kon hij niet aantonen dat de over hem gepubliceerde informatie ontoereikend, niet ter zake dienend of bovenmatig zou zijn. Google hoefde de zoekresultaten dus niet te verwijderen. De betrokkene zou nog wel degenen kunnen aanspreken die de informatie plaatsten, maar een verwijderverzoek bij Google is ‘niet bedoeld om een dergelijke procedure te omzeilen’, aldus de voorzieningenrechter.

Het recht op vergetelheid onder de AVG

Onder de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing zal zijn, is het recht op vergetelheid verder uitgewerkt. Ook onder de nieuwe verordening zal er in een vergelijkbaar geval wederom een afweging plaats dienen te vinden tussen de privacybelangen van een betrokkene, en het belang van de internetgebruiker of van de informatie kennis te nemen, en (aldus de rechtbank ‘wellicht ook’ de vrijheid van meningsuiting van de exploitant van de zoekmachine).

In artikel 17 lid 2 van de AVG is dit vastgelegd. De uitkomst van deze zaak zou onder de AVG waarschijnlijk hetzelfde zijn. Hierbij speelt als belangrijke factor mee dat de betrokkene niet kon bewijzen dat hij wel de genoemde diploma’s had behaald. Kan iemand dat wel, en is een beschuldiging aantoonbaar onjuist, dan zal een vergeetverzoek wel gehonoreerd moeten worden door Google.

De AVG preciseert een aantal belangrijke elementen van het recht om vergeten te worden – naast de situatie dat informatie evident onjuist, irrelevant of bovenmatig is. De AVG maakt bijvoorbeeld specifiek melding van een recht op bezwaar bij gegevensverwerking voor direct marketing (waarbij geen belangenafweging hoeft plaats te vinden). Ook is er een recht op het wissen van gegeven bij diensten van de informatiemaatschappij (zoals een sociaal medium).

De AVG biedt dus belangrijke waarborgen voor betrokkenen. In veel gevallen zal een ‘vergeetverzoek’ wel nog getoetst moeten worden aan de rechten op vrijheid van meningsuiting en informatie, of zijn er andere belangen (zoals de volksgezondheid of wetenschappelijk onderzoek) op grond waarvan informatie niet gewist hoeft te worden.

The post Moet Google zoekresultaten met beschuldigingen van strafbare feiten verwijderen? appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Moet Google zoekresultaten met beschuldigingen van strafbare feiten verwijderen?

di, 02/28/2017 - 13:48

Wanneer je in publicaties op internet wordt beschuldigd van bijvoorbeeld het hebben van valse diploma’s, wat kun je daar dan tegen ondernemen? Je zou een vergeetverzoek kunnen indienen bij Google. Onlangs deed de voorzieningenrechter in Lelystad uitspraak in een zaak over een man die eiste dat Google negatieve publicaties over hem uit de zoekresultaten zou verwijderen. De publicaties hielden in dat hij diploma’s en titels verzonnen zou hebben – en dus onbevoegd zou hebben gewerkt als juridisch adviseur en mediator. Hij zou zich ook schuldig gemaakt hebben aan, onder andere, oplichting en bedreiging.

Wat houdt het recht om vergeten te worden in?

Hoe nu om te gaan met een verzoek tot verwijdering van dergelijke informatie? Volgens de voorzieningenrechter (de rechter verwijst naar het Hof van Justitie van de EU, zaak C-131/12, Costeja, ECLI:EU:C:2014:317) bestaat er een recht op rectificatie, uitwissing of afscherming van gegevens, wanneer een verwerking onverenigbaar is met de Wet bescherming persoonsgegevens en de Privacyrichtlijn. Dit is zo wanneer de gegevens onnauwkeurig zijn, of “ontoereikend, niet ter zake dienend of bovenmatig zijn voor de doeleinden van de verwerking, omdat zij niet zijn bijgewerkt of omdat zij langer worden bewaard dan noodzakelijk is.” In die gevallen kan een betrokkene verlangen dat deze informatie uit de resultaten van een zoekmachine wordt verwijderd. Het ligt echter anders wanneer het publiek er een overwegend belang bij heeft de informatie te kunnen verkrijgen, bijvoorbeeld wanneer een persoon een belangrijke rol in het openbare leven speelt.

Strafrechtelijke gegevens? Onjuiste informatie?

Vast staat dat de informatie waarover de betreffende persoon klaagt, is aan te merken als persoonsgegevens, nu deze tot hem te herleiden is. Strafrechtelijke gegevens zijn zelfs bijzondere persoonsgegevens, die Google veelal niet mag verwerken. Er waren beschuldigingen geuit door diverse personen, maar er was nooit een justitieel onderzoek in gang gezet, laat staan dat er sprake is van een bewezenverklaring. Van strafrechtelijke persoonsgegevens was dus geen sprake.

De betrokkene kon niet aantonen dat hij wel degelijk de genoemde diploma’s had behaald. Ook kon hij niet aantonen dat de over hem gepubliceerde informatie ontoereikend, niet ter zake dienend of bovenmatig zou zijn. Google hoefde de zoekresultaten dus niet te verwijderen. De betrokkene zou nog wel degenen kunnen aanspreken die de informatie plaatsten, maar een verwijderverzoek bij Google is ‘niet bedoeld om een dergelijke procedure te omzeilen’, aldus de voorzieningenrechter.

Het recht op vergetelheid onder de AVG

Onder de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing zal zijn, is het recht op vergetelheid verder uitgewerkt. Ook onder de nieuwe verordening zal er in een vergelijkbaar geval wederom een afweging plaats dienen te vinden tussen de privacybelangen van een betrokkene, en het belang van de internetgebruiker of van de informatie kennis te nemen, en (aldus de rechtbank ‘wellicht ook’ de vrijheid van meningsuiting van de exploitant van de zoekmachine).

In artikel 17 lid 2 van de AVG is dit vastgelegd. De uitkomst van deze zaak zou onder de AVG waarschijnlijk hetzelfde zijn. Hierbij speelt als belangrijke factor mee dat de betrokkene niet kon bewijzen dat hij wel de genoemde diploma’s had behaald. Kan iemand dat wel, en is een beschuldiging aantoonbaar onjuist, dan zal een vergeetverzoek wel gehonoreerd moeten worden door Google.

De AVG preciseert een aantal belangrijke elementen van het recht om vergeten te worden – naast de situatie dat informatie evident onjuist, irrelevant of bovenmatig is. De AVG maakt bijvoorbeeld specifiek melding van een recht op bezwaar bij gegevensverwerking voor direct marketing (waarbij geen belangenafweging hoeft plaats te vinden). Ook is er een recht op het wissen van gegeven bij diensten van de informatiemaatschappij (zoals een sociaal medium).

De AVG biedt dus belangrijke waarborgen voor betrokkenen. In veel gevallen zal een ‘vergeetverzoek’ wel nog getoetst moeten worden aan de rechten op vrijheid van meningsuiting en informatie, of zijn er andere belangen (zoals de volksgezondheid of wetenschappelijk onderzoek) op grond waarvan informatie niet gewist hoeft te worden.

The post Moet Google zoekresultaten met beschuldigingen van strafbare feiten verwijderen? appeared first on ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Moet Google zoekresultaten met beschuldigingen van strafbare feiten verwijderen?

di, 02/28/2017 - 13:29

Wanneer je in publicaties op internet wordt beschuldigd van bijvoorbeeld het hebben van valse diploma’s, wat kun je daar dan tegen ondernemen? Je zou een vergeetverzoek kunnen indienen bij Google. Onlangs deed de voorzieningenrechter in Lelystad uitspraak in een zaak over een man die eiste dat Google negatieve publicaties over hem uit de zoekresultaten zou verwijderen. De publicaties hielden in dat hij diploma’s en titels verzonnen zou hebben – en dus onbevoegd zou hebben gewerkt als juridisch adviseur en mediator. Hij zou zich ook schuldig gemaakt hebben aan, onder andere, oplichting en bedreiging.

Wat houdt het recht om vergeten te worden in?

Hoe nu om te gaan met een verzoek tot verwijdering van dergelijke informatie? Volgens de voorzieningenrechter (de rechter verwijst naar het Hof van Justitie van de EU, zaak C-131/12, Costeja, ECLI:EU:C:2014:317) bestaat er een recht op rectificatie, uitwissing of afscherming van gegevens, wanneer een verwerking onverenigbaar is met de Wet bescherming persoonsgegevens en de Privacyrichtlijn. Dit is zo wanneer de gegevens onnauwkeurig zijn, of “ontoereikend, niet ter zake dienend of bovenmatig zijn voor de doeleinden van de verwerking, omdat zij niet zijn bijgewerkt of omdat zij langer worden bewaard dan noodzakelijk is.” In die gevallen kan een betrokkene verlangen dat deze informatie uit de resultaten van een zoekmachine wordt verwijderd. Het ligt echter anders wanneer het publiek er een overwegend belang bij heeft de informatie te kunnen verkrijgen, bijvoorbeeld wanneer een persoon een belangrijke rol in het openbare leven speelt.

Strafrechtelijke gegevens? Onjuiste informatie?

Vast staat dat de informatie waarover de betreffende persoon klaagt, is aan te merken als persoonsgegevens, nu deze tot hem te herleiden is. Strafrechtelijke gegevens zijn zelfs bijzondere persoonsgegevens, die Google veelal niet mag verwerken. Er waren beschuldigingen geuit door diverse personen, maar er was nooit een justitieel onderzoek in gang gezet, laat staan dat er sprake is van een bewezenverklaring. Van strafrechtelijke persoonsgegevens was dus geen sprake.

De betrokkene kon niet aantonen dat hij wel degelijk de genoemde diploma’s had behaald. Ook kon hij niet aantonen dat de over hem gepubliceerde informatie ontoereikend, niet ter zake dienend of bovenmatig zou zijn. Google hoefde de zoekresultaten dus niet te verwijderen. De betrokkene zou nog wel degenen kunnen aanspreken die de informatie plaatsten, maar een verwijderverzoek bij Google is ‘niet bedoeld om een dergelijke procedure te omzeilen’, aldus de voorzieningenrechter.

Het recht op vergetelheid onder de AVG

Onder de Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing zal zijn, is het recht op vergetelheid verder uitgewerkt. Ook onder de nieuwe verordening zal er in een vergelijkbaar geval wederom een afweging plaats dienen te vinden tussen de privacybelangen van een betrokkene, en het belang van de internetgebruiker of van de informatie kennis te nemen, en (aldus de rechtbank ‘wellicht ook’ de vrijheid van meningsuiting van de exploitant van de zoekmachine).

In artikel 17 lid 2 van de AVG is dit vastgelegd. De uitkomst van deze zaak zou onder de AVG waarschijnlijk hetzelfde zijn. Hierbij speelt als belangrijke factor mee dat de betrokkene niet kon bewijzen dat hij wel de genoemde diploma’s had behaald. Kan iemand dat wel, en is een beschuldiging aantoonbaar onjuist, dan zal een vergeetverzoek wel gehonoreerd moeten worden door Google.

De AVG preciseert een aantal belangrijke elementen van het recht om vergeten te worden – naast de situatie dat informatie evident onjuist, irrelevant of bovenmatig is. De AVG maakt bijvoorbeeld specifiek melding van een recht op bezwaar bij gegevensverwerking voor direct marketing (waarbij geen belangenafweging hoeft plaats te vinden). Ook is er een recht op het wissen van gegeven bij diensten van de informatiemaatschappij (zoals een sociaal medium).

De AVG biedt dus belangrijke waarborgen voor betrokkenen. In veel gevallen zal een ‘vergeetverzoek’ wel nog getoetst moeten worden aan de rechten op vrijheid van meningsuiting en informatie, of zijn er andere belangen (zoals de volksgezondheid of wetenschappelijk onderzoek) op grond waarvan informatie niet gewist hoeft te worden.

 

Gerelateerde artikelen
Categorieën: Technieuws

Level playing field bij ICT aanbestedingen

vr, 02/24/2017 - 16:46

In het eerder deze maand gepubliceerde Advies 300 van de Commissie van Aanbestedingsexperts doet zich de situatie voor waarbij een aanbestedende dienst bepaalde gevraagde technische informatie (zoals een lijst met applicaties met functiepunten), en informatie over de organisatie niet ter beschikking heeft gesteld aan geïnteresseerde leveranciers, terwijl het aannemelijk was dat de zittende leverancier die de winnende inschrijving heeft gedaan reeds voor aanvang van de aanbestedingsprocedure de beschikking had over (delen van) deze informatie.

Ook na herhaaldelijk vragen via de Nota van Inlichtingen verstrekt de aanbestedende dienst de gevraagde informatie niet. Dit klemt des te meer omdat de aanbestedende dienst tevens aan de inschrijvers vraagt om concrete verbeter voorstellen te doen, zodat de primaire processen effectiever en efficiënter gaan verlopen. Een inschrijver kan dat echter alleen concreet doen indien zij ook een zo volledig mogelijk beeld heeft van de huidige organisatie, governance, processen (service model met diverse actoren), service niveau’s, klanttevredenheid en de applicaties.

Wanneer er meerdere zittende leveranciers meedoen, waarvan je mag verwachten dat ze door de bekendheid met bovengenoemde zaken een bepaald voordeel hebben, dient de aanbestedende dienst daar rekening mee te houden. Een aanbestedende dienst is daarom op grond van een gelijke behandeling van de inschrijvers verplicht om dat voordeel te neutraliseren voor zover de instandhouding van die voordelen niet noodzakelijk is; met andere woorden wanneer een dergelijke neutralisering eenvoudig te realiseren valt, economisch gezien aanvaardbaar is, en geen inbreuk maakt op de rechten van de huidige zittende inschrijver. Het had dus op de weg van de aanbestedende dienst gelegen om dat eventuele voordeel te neutraliseren door zoveel mogelijk tegemoet te komen aan de gestelde vragen om informatie. Opgemerkt moet worden dat hieronder niet alleen informatie kan vallen over bestaande technische architectuur, maar volgens het Europese Hof van Justitie kan het onder omstandigheden zelfs gaan over de verstrekking van de broncode (sic!) van al in gebruik zijnde (maatwerk)software aan alle geïnteresseerde inschrijvers.

Het beginsel van transparantie vereist dat alle technische informatie die relevant is voor een goed begrip van een bestek zo snel mogelijk ter beschikking wordt gesteld van alle aan een overheidsopdracht deelnemende ondernemingen, opdat, enerzijds, alle behoorlijk geïnformeerde en normaal oplettende inschrijvers de juiste draagwijdte ervan kunnen begrijpen en zij deze op dezelfde manier kunnen interpreteren, en, anderzijds, de aanbestedende dienst in staat is om na te gaan of de offertes van de inschrijvers beantwoorden aan de criteria welke op de betrokken opdracht van toepassing zijn.

De Commissie van aanbestedingsexperts komt daarom in haar advies tot de conclusie dat wanneer – zoals in het onderhavige geval – een opdracht wordt aanbesteed die in enige mate kan worden beschouwd als de voortzetting van een lopende opdracht, al dan niet in gewijzigde vorm, de aanbestedende dienst op grond van het gelijkheidsbeginsel verplicht is om aan alle (potentiële) inschrijvers zo veel mogelijk informatie over de inhoud van de lopende opdracht te verstrekken waarover de zittende opdrachtnemer beschikt. De aanbestedende dienst dient immers elk risico van favoritisme en willekeur uit te bannen.

*De Commissie heeft zich ten behoeve van dit advies laten bijstaan door mr.dr. M.H. Paapst die als Branche-Expert aan de Commissie is verbonden.

Gerelateerde artikelen
Categorieën: Technieuws

Pagina's