ICTRecht in de praktijk

Transcriptie

1 04 - december 2014 ICTRecht in de praktijk Hoe verkrijgt u de auteursrechten op bestelde software? Wie is verantwoordelijk voor het maken van back-ups? Online kansspelen: verandering van beleid en wetgeving Nieuwe regels voor het rekenen van btw aan buitenlandse consumenten Wat speelt er bij DUWO? Internetrechtspraak Terugblik: 10 jaar ICTRecht Trainingsprogramma ICTRecht - 1

2 Heeft u uw juridische zaken goed geregeld? Zeker op het gebied van ICT is dit geen eenvoudige zaak. Voorkom juridische ICT-problemen en laat ICTRecht u deskundig en praktisch adviseren. Dat hoeft helemaal niet duur te zijn: naast maatwerk leveren wij standaardproducten en juridische generatoren. ICTRecht is een flexibel en creatief juridisch adviesbureau. Wij bedienen zowel de grote als de kleine klant. Onze adviezen zijn begrijpelijk, concreet en geven blijk van technische kennis.onze mensen zijn dan ook juridisch en technisch thuis in onze niche. Wij kunnen u van dienst zijn met: Juridische documenten - Juridisch advies Trainingen - Generatoren - Boeken ICTRecht bestaat 10 jaar Op 11 november 2004 werd ICTRecht voor het eerst ingeschreven bij de Kamer van Koophandel. Om dit heugelijke feit te vieren, stond de maand november bij ICTRecht in het teken van dit jubileum. Meer informatie over hoe Meer wij informatie? werken? Bezoek ictrecht.nl.

3 Index Directie Arnoud Engelfriet en Steven Ras Hoe oud is uw recentste backup? Hopelijk meer dan tien jaar. Wij hebben geen backups meer van de website van tien jaar geleden, maar kunnen wel aan de hand van de Kamer van Koophandel bewijzen dat we tien jaar geleden opgericht zijn. Graag staan we daar kort bij stil in dit nummer. In dit nummer leest u verder over hoe auteursrecht te verkrijgen als u maat werksoftware laat ontwikkelen. Ook belangrijk zijn de nieuwe regels omtrent online kansspelen en de nieuwe regels voor rekenen met btw. Beiden zullen in 2015 van kracht worden, en met name de nieuwe btw-regels zullen nog een hele kluif worden om in een bedrijf te implementeren. En wederom vindt u een overzicht van rechtspraak en te verwachten wetgeving en Kamerstukken. Als laatste presenteren wij u ons trainingsprogramma voor volgend jaar. En wensen wij u bij deze alvast een prettig uiteinde en een gelukkig alsmede juridisch correct 2015! Hoe verkrijgt u de auteursrechten op bestelde software? 4 Wet- en regelgeving 8 Wanneer begint de aansprakelijkheid van een leverancier? 10 Online kansspelen: verandering van beleid en wetgeving 12 Terugblik: tien jaar ICTRecht 15 Wat speelt er bij DUWO? 16 Wie is verantwoordelijk voor het maken van back-ups? 18 Internetrechtspraak 23 Recht te worden vergeten? 29 Nieuwe regels voor het rekenen van btw aan buitenlandse consumenten 31 Trainingsprogramma Colofon Dit is een uitgave van ICTRecht B.V., Sarphatistraat , 1018 AV, Amsterdam, , info@ictrecht.nl. Dit tijdschrift verschijnt vier keer per jaar. Proeftijdschrift is op aanvraag beschikbaar. Abonnementsprijs is 135,- per jaar, inclusief verzendkosten in Nederland. Aan deze uitgave werkten mee: Arnoud Engelfriet - auteur - a.engelfriet@ictrecht.nl Steven Ras - auteur - s.ras@ictrecht.nl Itte Overing - auteur - i.overing@ictrecht.nl Maaike Lassche - auteur - m.lassche@ictrecht.nl Niels Winters - auteur - n.winters@ictrecht.nl Lisette Meij - juridisch adviseur en opleidingscoördinator - l.meij@ictrecht.nl Daphne Dekker (eind)redactie - d.dekker@ictrecht.nl Eline Pellis - vormgeving - info@elinepellis.com Brenno de Winter - columnist Foto s auteurs: Geert de Jong - CheeseWorks.nl ICTRecht - 3

4 Auteur: Steven Ras Partner Hoe verkrijgt u de auteursrechten op bestelde software? Ieder bedrijf koopt software in. Standaardsoftware zoals Microsoft Office, maar ook volledig als maatwerk ontwikkelde software en alles daar tussenin. Maar wat veel bedrijven zich niet realiseren, is dat ze door het kopen (of laten maken) van software niet de rechten daarop verwerven. De opdrachtgever krijgt een gebruiksrecht maar is daarbij afhankelijk van wat de leverancier hem toestaat. De ontwikkelaar de rechten Hoofdregel uit de Auteurswet is dat de partij die de software maakt, daar de rechten op heeft. Wanneer uw bedrijf een ontwikkelpartij inhuurt, heeft dus deze ontwikkelaar de rechten. Ook als u betaalt en ook als u aangeeft hoe het eindresultaat eruit zou moeten zien. U betaalt dus voor ontwikkeling en levering van een stuk software waar u geen eigenaar van wordt De wet (en het contract met de leverancier) bepaalt dat u een gebruiksrecht krijgt: u mag de software inzetten voor het beoogde doel. Echter, de scope van dit gebruiksrecht kan fors tegenvallen. Vaak is bijvoorbeeld het wijzigen of uitbreiden van de software uitgesloten van dit gebruiksrecht. Zo moet u voor iedere aanpassing terug naar de leverancier, en kan deze het tarief rekenen dat hem goeddunkt. Een dergelijke afhankelijkheid is vaak niet wenselijk. 4 - ICTRecht Daarbij komt dat in het geval van faillissement of einde dienstverlening u als gebruiker aan het kortste eind trekt. Als de leverancier besluit dat de licentie wordt opgezegd, dan heeft u een probleem. Wellicht kunt u een eeuwigdurende licentie bedingen, maar besef wel dat bij een faillissement de curator tóch deze contractuele afspraak mag doorkruisen. Het Nebula-arrest van de Hoge Raad bepaalt dat een curator mag wanpresteren als dat in het belang is van de boedel. Wettelijke redding Zonder contractuele afspraak liggen de rechten dus bij de leverancier. Altijd? Niet helemaal. De wet biedt u als opdrachtgever in enkele gevallen toch een claim op de auteursrechten. De belangrijkste grondslag is artikel 8 Auteurswet: wordt een werk gepubliceerd door een bedrijf (of vereniging, stichting of andere rechtspersoon) met verwijzing naar dat bedrijf en zonder aanduiding van een persoon als maker, dan wordt het auteursrecht geacht bij dat bedrijf te liggen. Geacht, dus tegenbewijs is niet mogelijk. De auteursrechten komen dan van rechtswege toe aan het publicerende bedrijf. Ook als het bedrijf niet het werk zelf gemaakt heeft, en ook niet als op papier staat dat de auteursrechten bij de leverancier liggen. De enige uitzondering is wanneer de openbaarmaking onrechtmatig was. Daarvan is sprake als het publicerende bedrijf tegen de wil van de maker diens naam wegliet, of publiceert terwijl dit in het geheel niet toegestaan was. Het is echter mogelijk artikel 8 in leveringsvoorwaarden buiten werking te stellen. Als bepaald is dat publicatie zonder naamsvermelding toegestaan is maar de auteursrechten bij de leverancier blijven, dan is een beroep op dit wets -

5 artikel niet meer mogelijk. Ook wordt in de praktijk bij software vaak een expliciete copyright notice opgenomen. Die ver melding maakt ook dat artikel 8 niet meer opgaat. Juridische aardschok Heeft u alleen een gebruiksrecht, dan biedt het Europese Usedsoft-arrest of het Nederlandse Beeldbrigade-arrest. Het Hof van Justitie zorgde voor een Europese aardschok door te bepalen dat er sprake is van koop wanneer men een eeuwigdurende licentie op standaardsoftware verwerft tegen een eenmalige vergoeding die de economische waarde van de software reflecteert. In de literatuur wordt al wel betoogd dat een dergelijke licentie bestand zal zijn tegen een beroep op het Nebula-arrest (zie bv. Hendrik Struik NJB 2013, 2507). u die dan als leidend kunt krijgen, zit u goed met de auteursrechten. Want achteraf de auteurs rechten verwerven kan natuurlijk, maar uw onderhandelingspositie is zwak aangezien u de software als gebruikt en dus niet zomaar weg zult lopen. Een contractuele eis tot afgifte van auteursrechten levert vaak wel veel discussie op met leveranciers. Deze zijn namelijk niet gewoon auteursrechten af te staan, al helemaal niet op standaard software of software die als SaaS wordt geleverd. Een SaaS-pakket is per definitie voor meerdere gebruikers tegelijk bedoeld, en de auteursrechten daarop afstaan is net zo gek als van een transportbedrijf ver langen dat ze de bedrijfsauto s voor uw pakketten aan u in eigendom geven. Veel leveranciers zijn bereid de auteursrechten op maatwerksoftware af te staan. Echter, vaak wordt bij het ontwikkelen van maatwerk ook standaardsoftware gebruikt. Vaak gaat het dan om standaardbibliotheken of raamwerken (frameworks) waarmee snel functionaliteit wordt gerealiseerd. De leverancier zal hier niet de eigendom op willen afstaan, aangezien hij deze voor al zijn klanten inzet. En onze Hoge Raad verklaarde in het Beeldbrigade-arrest de kooptitel uit Boek 7 van toepassing op standaardsoftware geleverd onder vergelijkbare voorwaarden. Dit biedt perspectieven wanneer onderhoud slechts tegen onbillijke voorwaarden wordt aange boden. Immers, veel fouten zullen als non-conformiteit aan te merken zijn en dat is in strijd met de bepalingen omtrent koop. En er zijn maar weinig leveranciers die de kooptitel uitsluiten in hun leveringsvoorwaarden (wat op zich toegestaan is bij business-to-business verkoop). Contractueel afspreken Voor u als afnemer is het dus beter om contractueel af te spreken dat uw bedrijf eigenaar wordt van de auteursrechten op de geleverde software. Dat kan per contract, maar om dit voor de toekomst te regelen, kunt u een algemeen beding van die strekking opnemen in uw algemene inkoopvoorwaarden. Zolang ICTRecht - 5

6 Echter, dit is voor u nadelig: u bent nu eigenaar van een prachtig tuinhuis maar de fundering en de muren huurt u slechts want dat zijn standaardproducten. Omgekeerd is afgifte van de rechten voor de leverancier nadelig: hij kan de software dan niet meer elders inzetten. De oplossing van een licentie teruggeven is weinig praktisch, omdat een volgende klant er op zijn minst zeer gek van op zal kijken dat de geleverde standaardsoftware geen eigendom is van de leverancier maar van een andere klant mogelijk zelfs een concurrent. Hier een oplossing voor vinden is niet eenvoudig. De belangen zijn immers fundamenteel tegenstrijdig. Grotere leveranciers willen nog wel eens de rechten op die standaardsoftware onderbrengen in een onafhankelijke entiteit zoals een stichting, zodat de klant meer zekerheid heeft over toegang tot de software na wegvallen van de leverancier. Maar dit is een complexe oplossing. Praktischer is om in deze situatie direct bij het aangaan van het contract al na te gaan hoe snel u van deze leverancier af kunt mocht dat ooit nodig zijn. Een dergelijk exitplan op voorhand kan veel gedoe achteraf besparen. Overdracht krachtens akte Kunt u de leverancier overtuigen van overdracht van rechten, dan is het zaak dit vast te leggen. Het leveren van auteursrechten gebeurt middels een akte, een schriftelijk stuk dat ondertekend wordt door de rechthebbende. Een akte kan kort zijn: Hierbij levert X alle auteursrechten op werk Y aan Z met handtekening. Gebruikelijk is echter toch iets meer toe te voegen: Een verklaring dat X alle rechten bezit; Een vrijwaring aangaande claims van derden; Een regeling over gebruik door X na overdracht, bijvoorbeeld opname in diens portfolio of hergebruik in onderdelen elders; Een regeling over (eventueel) delen in inkomsten van het werk; Betalingsvoorwaarden Pijnpunt is altijd hoe het werk te omschrijven. Een titel of naam kan genoeg zijn, maar is riskant. De eis is dat het werk voldoende bepaalbaar omschreven is. Dit is lastig, zeker bij nog te maken werken. Alle voor Z te maken software in inkoopvoorwaarden is niet genoeg, aangezien een dergelijke algemene omschrijving per definitie niet specifiek te noemen is. Bij software is een gebruikelijke techniek om een lijst met bestanden op te nemen in een bijlage. Dat kan, maar staat daarmee de inhoud van die bestanden ook vast? Een technisch betere oplossing is naast die lijst ook de zogeheten hashcodes van de bestanden op te nemen. Een hashcode is een code, vergelijkbaar met een vingerafdruk, die uniek is voor een specifiek bestand. De hashcode van een bestand kan later eenvoudig worden uitgerekend en vergeleken met de hashcode in de akte. Zijn ze hetzelfde, dan is dit het bestand dat werd bedoeld. Staan er wijzigingen in het bestand, dan zal de hashcode (flink) afwijken. U kunt natuurlijk ook de software in kwestie op een dvd of usb-stick branden en die op een of andere manier aan de akte koppelen. 6 - ICTRecht

7 Een serienummer (en handtekeningen) op de dvd, en dat serienummer opnemen in de akte. Houd er verder rekening mee dat software regelmatig aangepast wordt. Of die aanpassingen mee te nemen zijn in de omschrijving van het werk, is een lastige juridische vraag. Voor extra zekerheid kunt u elk jaar een veeg-akte opstellen waarin de aanpassingen nog eens expliciet aan u overgedragen worden. En als laatste: krijgt u auteursrechten geleverd, lever deze dan door aan de moedermaatschappij of andere groepsmaatschappij waar u uw eigen intellectuele eigendommen in plaatst. Zo voorkomt u dat er verworven auteursrechten zwerven bij werkmaatschappijen. De beperkte waarde van escrow Om te voorkomen dat u met een onbruikbaar stuk software blijft zitten als de leverancier ermee ophoudt, wordt traditioneel het instrument van de escrow ingezet. Hierbij wordt de broncode bij een onafhankelijke derde gedeponeerd. Deze geeft de broncode vrij aan uw bedrijf wanneer bepaalde gebeurtenissen zich voordoen, zoals een faillissement van de leverancier of een aankondiging dat deze onderhoud aan de software staakt. Zo heeft u zekerheid dat u verder kunt, maar pas als de leverancier zelf geen onderhoud meer kan bieden. Helaas is escrow maar beperkt nuttig. Het vereist allereerst dat de derde kan nagaan of de software compleet is, en ook voorzien van de laatste updates en aanpassingen. Hier afspraken over maken kan, via gespecialiseerde bedrijven als Escrow Europe BV, maar is een dure kostenpost. En in geval van een faillissement kan de curator de afspraken omtrent escrow doorkruisen met een beroep op het Nebula-arrest. Slechts wanneer naast escrow ook de auteursrechten bij een derde zijn geplaatst, zoals een stichting continuïteit, kan escrow een werkbare oplossing zijn. Praktisch oplossen Bij veel bedrijven is weinig bekend dat auteursrechten niet standaard meekomen bij de aanschaf of ontwikkeling van software. Zorg er dus voor dat inkopers en bedrijfsverantwoordelijken hiervan op de hoogte zijn. Als de commerciële deal al rond is, zijn extra afspraken over auteursrechten een hindernis. Ga bij leveringsvoorwaarden altijd na of u de rechten krijgt op wat er wordt geleverd. Als maatwerk wordt geleverd, laat dan expliciet documenten of daarbij ook standaardsoftware zoals frameworks of bibliotheken hoort en welke rechten u daarop krijgt. Bij voorkeur is de licentie hierop eeuwigdurend. Als u dan ook nog de vergoeding voor de standaardsoftware tot een eenmalige kunt onderhandelen, dan staat u het sterkst bij eventuele problemen met de leverancier. Open source als alternatief Voorzie uw inkoopvoorwaarden van een standaardclausule over auteursrechten. Beding daarin de volledige rechten op alle geleverde software, eventueel met een uitzondering voor standaardsoftware waarbij u slechts een onbeperkte en eeuwigdurende licentie krijgt. Tegen inderdaad een eenmalige vergoeding. Overweeg te eisen dat gebruikte standaardsoftware open source (zie kader) moet zijn, om zo uw afhankelijkheid van de leverancier te beperken. Natuurlijk zal dit niet altijd haalbaar zijn maar op zijn minst geeft u zo een signaal af zodat een discussie over eigendom en licenties ontstaat. En het is altijd beter zulke discussies vooraf te voeren. Accepteert u dat de geleverde software niet (volledig) uw eigendom wordt, laat de business dan meteen een exitplan maken over hoe verder te gaan als de leverancier de stekker eruit trekt. Zo wordt men geconfronteerd met de gevolgen van de keuze en wordt een oplossing verzonnen voordat het probleem zich voordoet. En dat is uiteindelijk het beste. Om uw afhankelijkheid van een softwareleverancier te beperken, kunt u kiezen voor open source software. Deze software is vrij beschikbaar op internet en wordt door grote groepen vrijwilligers (en bedrijven) onderhouden. Hiermee is de continuïteit gegeven. En de licentie is eeuwig durend en gratis. Omdat niet één partij de licentie geeft, bent u bij gebruik van open source niet afhankelijk van die ene partij. U kunt verschillende partijen inschakelen voor onderhoud of uitbreidingen en kunt zonder juridische problemen overstappen wanneer u wilt. Ook zijn er vaak veel extra s voor een specifiek pakket, zoals aparte modules of koppelingen met andere software. Een risico van open source is wel dat het verspreiden of voor het publiek gebruiken van aangepaste versies aan licentievoorwaarden gekoppeld is. Deze vereisen dat aanpassingen dan ook als open source verspreid of aangeboden worden. ICTRecht - 7

8 Auteur: Maaike Lassche Juridisch adviseur Wet- en regelgeving Wetsvoorstel verduidelijking toepassingsbereik koopregels van titel 7.1 BW Ingevolge dit wetsvoorstel kan titel 7.1 BW toe - gepast worden op download-overeenkomsten, wanneer de digitale inhoud individualiseerbaar is en er feitelijke macht uitgeoefend kan worden. Dit is al eerder bevestigd in het Beeldbrigade-arrest van de Hoge Raad 1. Bij streaming kan de digitale inhoud niet zo gekwalificeerd worden en zijn de koopregels van titel 7.1 BW niet van toepassing. Bron: Kamerstukken II, , 34071, nr. 2. Warenwetbesluit informatie levensmiddelen Op 13 december 2014 treedt het warenwetbesluit informatie levensmiddelen in werking. Dit besluit is genomen naar aanleiding van Verordening 1169/2011. Met de verordening wordt beoogt om de leesbaarheid van etiquette te verbeteren en de consument beter te informeren omtrent de samenstelling van producten. De nieuwe regels gelden ook voor levensmiddelen die online verkocht worden. Wetsvoorstel vereenvoudiging en digitalisering procesrecht Vanaf 2015 wordt het digitaal procederen in zowel het burgerlijk procesrecht als het bestuursprocesrecht verplicht voor (bijna) alle partijen. Er is een uitzondering gemaakt voor natuurlijke personen en verenigingen waarvan de statuten niet zijn opgenomen in een notariële akte. Er vinden twee grote veranderingen plaats. Ten eerste dienen alle stukken digitaal ingebracht en uitgewisseld te worden. Daarnaast vindt er een versimpeling van het proces plaats. Er wordt een basisprocedure ingesteld, waarbij er nog maar één schriftelijke en één mondelinge ronde plaats vindt voordat er uitspraak wordt gedaan. De rechter kan hier echter van afwijken, indien de aard of de complexiteit van de zaak daarvoor aanleiding geeft. Wetsvoorstel implementatie richtlijn aanvallen op informatiesystemen Dit wetsvoorstel strekt tot implementatie van de richtlijn 2013/40/EU van het Europese parlement en de Raad. Dit wetsvoorstel leidt tot aanpassingen in het Wetboek van Strafrecht. Er zullen onder andere een aantal aanscherpingen van strafbaarstellingen met betrekking tot computercriminaliteit plaatsvinden. Zo wordt de maximum straf verhoogd bij computerdelicten en zijn er een aantal strafverzwarende omstandigheden bijgekomen. Bron: Kamerstukken II, , 34034, nr Bron: Kamerstukken II, , 34059, nr HR 27 april 2012, ECLI:NL:HR:2012:BV ICTRecht

9 Kamerbrief over big data en profilering in de private sector Minister Kamp van Economische Zaken schrijft een brief naar de kamer over de mogelijkheden van big data en profilering in de private sector. De minister benadrukt dat big data en profilering veel mogelijkheden bieden, maar wijst ook op de gevaren wanneer er niet verantwoordelijk wordt omgegaan met de (persoons)gegevens en de burger het vertrouwen verliest in big data en profilering. Het kabinet formuleert daarom drie randwaarden voor vertrouwen: controle van de burger over zijn eigen gegevens, transparantie en verantwoordelijkheid van bedrijven. Actieplan privacy Er is een actieplan geschreven door het Privacy en Identity lab. Dit actieplan is in opdracht van de minister van Economische Zaken uitgevoerd, maar vertegenwoordigt niet het standpunt van de minister. In het actieplan worden onder andere een aantal voorstellen gedaan voor het versterken van de positie van de data subject met betrekking tot big data en de bescherming van persoonsgegevens. Zo wordt er bijvoorbeeld voorgesteld, om een functionaris gegevensbescherming aan te stellen bij bedrijven en organisaties. De functionaris gegevensbescherming is verantwoordelijk voor het correct implementeren van het beleid en de wettelijke privacy regels. Daarnaast ontwerpt de functionaris gegevensbescherming ook het beleid ten aanzien van de privacy. De functionaris gegevensbescherming is een interne toezichthouder op de verwerking van persoonsgegevens. Reactie van het kabinet naar aanleiding van de ongeldigverklaring van de richtlijn dataretentie Op 8 april 2014 heeft het Hof van Justitie 2 de richt lijn dataretentie ongeldig verklaard. Naar aanleiding van deze uitspraak heeft de minister van Veiligheid en Justitie een brief geschreven waarin namens het kabinet ingegaan wordt op de gevolgen van deze uitspraak. Het kabinet is van mening dat de wet bewaarplicht telecommunicatiegegevens aangepast moet worden. Zo heeft het kabinet voornemens extra waarborgen te treffen met betrekking tot de toegang van de bewaarde gegevens. Eén van de voorstellen is om een rechtelijke toetsing toe te passen. Wetsvoorstel digitale processtukken strafvordering Met dit wetsvoorstel wordt het Wetboek van Strafvordering en de Wet op de economische delicten gewijzigd. Het doel van dit wetsvoorstel is om de stukkenstroom te digitaliseren in het strafrecht. Verdachten, advocaten, slachtoffers en getuigen krijgen de mogelijkheid om stukken digitaal in te brengen. Zo wordt het mogelijk voor de verdachte om een schriftelijk verzoek langs elektronische weg in te dienen. Daarnaast wordt ook de digitale handtekening gedefinieerd. Elektronische gegevens die gehecht zijn aan of logisch verbonden zijn met andere elektronische gegevens en die worden gebruikt door de ondertekenaar om te ondertekenen. Bron: Kamerstukken II, , 34090, nr HvJ EU 8 april 2014, C 293/12 en C 594/12. ICTRecht - 9

10 COLUMN Brenno de Winter onderzoeksjournalist Wanneer begint de aansprakelijkheid van een leverancier? Als gebruiker van dienstverlening of programmatuur zijn wij afhankelijk van onze leveranciers. De kwaliteit van de broncode bepaalt of de gegevens die wij verwerken wel veilig zijn. Veel spelers in de markt nemen die rol serieus. Maar helaas niet alle. Wat zijn daarvan de gevolgen? In Nederland wordt hoog opgegeven over responsible disclosure. De richtlijn moet ethische hackers helpen om veilig lekken te kunnen melden. Los van het feit dat het hackers geen bescherming biedt, speelt er een ander nadeel: de richtlijn is geschreven voor goedwillende partijen in de markt. Een lek wordt gemeld en de marktpartij wenst het op te lossen en is eerlijk over problemen. Niets doen Recentelijk kwam beveiligingsonderzoeker Sijmen Ruwhof bij mij met de mededeling dat hij een lek had gevonden in een product. Na herhaalde melding bij de leverancier bleek er niets te gebeuren. Hij kreeg geen antwoord van de bouwer van het product. Toen hij dieper ging onderzoeken bleek het lek al eerder te zijn ontdekt en jaren eerder te zijn aangemeld. Al zijn goede wil ten spijt deed de bouwer niet. Het gevolg is dat duizenden websites onveilig zijn en kwetsbaar voor een inmiddels gepubliceerd lek. Geen richtlijn helpt hem wat te doen en niemand die in actie komt om de problemen te verhelpen. Daar sta je dan als goed bedoelend beveiligingsonderzoeker. Je klant is onveilig, de leverancier geeft niet thuis en naast dat anderen het lek ook ontdekten, zullen criminelen dat ook doen. Nalatig Iedereen kan een foutje maken, maar in dit geval weet de leverancier van een kwetsbaarheid en doet niets. Een interessante vraag is wanneer aansprakelijkheid begint te komen. Want van nalatigheid kun je na een jaar of drie na eerste melding van een lek toch wel spreken. Kan een leverancier zich nog achter het argument verschuilen dat de algemene voorwaarden aansprakelijkheid uitsluiten? Dat is een ingewikkelde vraag ICTRecht

11 De vraag is vervolgens of u zich nog achter uw leverancier kunt verschuilen. Op het moment dat er persoonsgegevens worden verwerkt, is het uw verantwoordelijkheid dat gegevens worden beschermd conform de stand der techniek. In het geval van Ruwhof is daar zeker geen sprake van. Als uit openbare bronnen een beveiligingslek is te vinden dat al jaren open staat dan is dat op zijn minst problematisch. Is het niet juridisch gevaarlijk dan zeker in de beeldvorming. Het onderwerp beveiliging moet zeker bij het verwerken van persoonsgegevens al tijdens de inkoop serieus de aandacht krijgen. Sommige organisaties kiezen ervoor om bij aanschaf van een product een beveiligingstest uit te voeren. Klopt iets niet dan volgt de kans op herstel en anders gaat de deal niet door. Eigenlijk moet beveiliging bij het sluiten van contracten standaard onderdeel zijn. Dan krijgt Ruwhof meer dankbare leveranciers op zijn pad en worden we allemaal veiliger. ICTRecht - 11

12 Auteur: Daan Kramer Juridisch adviseur Online kansspelen: verandering van beleid en wetgeving Het aanbieden van online kansspelen is een lucratieve business, maar er kleven wel de nodige maatschappelijke en juridische risico s aan. Om kansspelverslaving en criminaliteit tegen te gaan wordt dergelijk gokken streng gereguleerd. Vanaf 2015 gaat dat veranderen. De Wet op de Kansspelen gaat op de schop en het aanbieden van online kansspelen wordt in Nederland gelegaliseerd. Vanwaar deze omslag en wat betekent deze nieuwe wetgeving in de praktijk? Kansspelbeleid Regelgeving omtrent het aanbieden van online kansspelen is binnen de EU niet geharmoniseerd. Lidstaten hebben dus de nodige vrijheid om hun eigen beleid te bepalen en Nederland koos vooralsnog voor een restrictief beleid. Voor het aanbieden van kansspelen in Nederland, al dan niet via internet, is een vergunning vereist op grond van de Wet op de kansspelen (WoK). Praktisch gezien betekent dit dat slechts aan een handjevol partijen (zoals de Staatsloterij, de Lotto en Holland Casino) een dergelijke vergunning is verstrekt. De overige aanbieders worden geweerd. Dit beleid werd ingezet onder minister Donner die meende dat kansspelen vergaande maatschappelijke risico s met zich meebrengen. Om deze risico s tegen te gaan werd het nodig geacht om het beleid betreffende kansspelen strenger te 12 - ICTRecht reguleren. Dit restrictieve beleid moest, onder andere, leiden tot preventie van kansspelverslaving en criminaliteit. Vrij verkeer van diensten Het beleid riep nogal wat weerstand op, deze zou namelijk in strijd zijn met het vrij verkeer van diensten. De vraag of Nederland bedrijven kan verbieden om kansspelen via het internet aan te bieden, kwam aan het licht in de Ladbrokes zaak. 1 Het Engelse bedrijf Ladbrokes biedt op haar website sportgerelateerde kansspelen aan. De Lotto voorzag omzetverlies / schade en stelde voor de Nederlandse rechter dat Ladbrokes onrechtmatig handelde. Volgens De Lotto bestond die onrechtmatigheid uit het feit dat Ladbrokes aan Nederlandse burgers online kansspelen aanbood, zonder daarvoor over een vereiste vergunning te beschikken. Deze jarenlang voortslepende procedure resulteerde tot een beroep in cassatie bij de Hoge Raad 2, die hierover in 2008 prejudiciële vragen heeft gesteld aan het Hof van Justitie EU (hierna: het Hof). De prangende prejudiciële vraag was of de Nederlandse regeling in strijd is met het vrij verkeer van diensten zoals neergelegd in artikel 49 EG (sinds 1 december 2009 vervangen door artikel 56 VWEU). Het Hof oordeelde dat kansspelen vallen onder het vrije verkeer van diensten en dus, bijvoorbeeld via het internet, over de grens mogen worden aangeboden. Echter, de beperking die Nederland hanteert kan gerechtvaardigd worden door het doel van de regeling. Bij dit laatste kan gedacht worden aan consumentenbescherming, bestrijding van fraude of het vermijden van maatschappelijke problemen. In 2012 volgde de Hoge

13 Raad 3 dit oordeel en daarmee handelen buitenlandse aanbieders van online kansspelen onrechtmatig indien zij zich op de Nederlandse markt richten. Omzeiling Naast een beroep op het vrij verkeer van diensten proberen aanbieders onder het Nederlandse vergunningsvereiste uit te komen door hun kansspelen aan te bieden vanaf een ver oord met een aldaar verkregen gokvergunning. Echter, de Wet op de Kansspelen is van toepassing op aanbieders die zich op de Nederlandse markt richten. Dit laatste kan bijvoorbeeld blijken uit een.nl of.com/nl extensie, aanbod/advertenties in de Nederlandse taal en de mogelijkheid om middels ideal (alleen geschikt voor overboekingen in Nederland) te betalen. 4 Modernisering In 2011 kondigde staatssecretaris Fred Teeven aan dat het huidige beleid op de schop gaat. Het gevolg hiervan dient te zijn dat de consument kan beschikken over een passend en attractief aanbod van kansspelen. Het voornemen is om aanbieders een eerlijke kans te geven om rechtmatig online kansspelen aan te bieden. De overheid hoopt zo meer grip te krijgen op de aanbieders en de maatschappelijke risico s te verkleinen. Er zijn, naast de argumentatie van Teeven, meer redenen te bedenken waarom aanbieders van online kansspelen vanaf 2015 een vergunning kunnen bemachtigen. De belangrijkste lijkt het prijskaartje dat aan een dergelijke vergunning hangt. Naar verwachting bedraagt deze namelijk tussen de ,- en ,-. In tijden van economische tegenslag en bezuinigingen zijn deze inkomsten en de inning van kansspelbelasting een welkome aanvulling op de staatskas. Verandering In het kader van de modernisering werd de Wet op de Kansspelen aangepast. Naar verwachting zal deze nieuwe wetgeving begin 2015 in werking treden. Naast het aanzienlijke bedrag dat de aanbieder dient te betalen voor een vergunning, komt daar ook een heel pakket aan zorgplichten bij. Zo dienen aanbieders de spelers te informeren over de gevaren van kansspelverslaving. Het gokgedrag van spelers dient duidelijk zichtbaar te zijn tijdens het spel en spelers dienen beperkt toegang te krijgen of zelfs worden uitgesloten indien zij risicovol gedrag vertonen. Daarnaast moeten aanbieders bijdragen aan een verslavingsfonds dat is opgericht om gokverslavingen te voorkomen en komt er een register van risicospelers welke zal worden beheerd door de Kansspelautoriteit. De meest vergaande wijziging betreft de blokkeringsverplichting zoals neergelegd in artikel 34n lid 2 wetsvoorstel Kansspelen op Afstand. Een grondslag om internetproviders, maar ook financiële dienstverleners als ideal en PayPal, te verplichten om websites van aanbieders in het buitenland en betaalverkeer te blokkeren. ICTRecht - 13

14 Deze blokkering kan worden opgelegd indien er sprake is van organisatie van, deelname aan of reclame voor illegale kansspelen. Zeer opvallend aan deze nieuwe bepaling is dat het de raad van bestuur (Kansspelautoriteit) is die de verplichting tot blokkade kan opleggen. Men kan tegen een opgelegde blokkeringsverplichting in beroep bij de (bestuurs)rechter, maar het is opvallend dat de Kansspelautoriteit (geen gerechtelijk orgaan) een uiterst vergaande bevoegdheid krijgt. Lijnrecht tegenover deze blokkeringsverplichting staat namelijk het grondrecht op informatievrijheid. We hebben in de Pirate Bay zaak kunnen zien hoe de blokkeringsverplichting uiteindelijk onderuit werd gehaald door het Hof. 5 In de Memorie van Toelichting van de nieuwe wet Kansspelen op Afstand, wordt kort ingegaan op de blokkeringsverplichting vs. informatievrijheid: Omdat het hier gaat om commerciële uitingen, kan naar de mening van de regering aan die zwaarwegende algemene belangen op voorhand meer gewicht worden toegekend dan aan het belang van de illegale kansspelaanbieder en de deelnemer aan die illegale kansspelen. 6 Daarnaast wordt aangehaakt bij het hierboven vermelde oordeel van het Hof van Justitie van de Europese Unie: een beperking van vrij verkeer van diensten kan worden gerechtvaardigd door het kansspelbeleid. Handhaving Naast de bevoegdheid om blokkades op te leggen heeft de in 2012 in het leven geroepen Kansspelautoriteit de bevoegdheid om boetes uit te delen tot een bedrag van ,-. Na een jarenlang handhavingsprobleem dient de Kansspelautoriteit hier een einde aan te maken. Dat zij deze taak serieus neemt blijkt wel uit de eerste boete á ,- die zij in augustus 2013 uitdeelde aan het op Curaçao gevestigde Globalstars. Volgens de Kansspelautoriteit richtte deze aanbieder zich (mede) op de Nederlandse markt zonder de benodigde vergunning. Globalstars was daarmee de eerste online kansspelaanbieder die beboet werd door de Kansspelautoriteit. Inmiddels zijn er rond de 10 partijen beboet door de Kansspelautoriteit. Het ging hierbij om boetes tussen de 5.000,- en ,-. Conclusie De modernisering van het kansspelbeleid lijkt op het eerste gezicht een win-winsituatie. De markt krijgt een groot legaal aanbod van kansspelen, de overheid harkt bakken met geld binnen en heeft vergaande bevoegdheden om maatschappelijke risico s te beperken. Het is echter een utopie om te denken Bronnen 1 HvJ EU 3 juni 2010, nr. C-258/08, Ladbrokes Betting & Gaming Ltd en Ladbrokes International Ltd vs. Stichting de Nationale Sporttotalisator. 2 Hoge Raad 13 juni 2008, LJN BC Hoge Raad 24 februari 2012, ECLI:NL:HR:2012:BT6689. dat er daarmee een einde komt aan het illegale aanbod van online kansspelen. Gezien het prijskaartje zullen veel aanbieders naast een vergunning grijpen. Daarnaast is het de vraag hoe strikt er in de praktijk wordt omgegaan met de zorgplichten van aanbieders. Tevens is het wachten op het moment dat de vergaande bevoegdheden van de Kansspelautoriteit uitmonden in de eerste procedures. Vooral de blokkeringsplicht, een ultimum remedium volgens Teeven, en de uitvoering daarvan lijkt een juridisch struikelblok. 4 Besluit Globalstars, OA/2012/ Hof Den Haag 28 januari 2014, ECLI:NL:GHDHA:2014:88. 6 MvT Kansspelen op Afstand, p ICTRecht

15 Auteur: Arnoud Engelfriet Partner Terugblik: tien jaar ICTRecht Op 11 november 2014 was het exact tien jaar geleden dat ons bedrijf ICTRecht haar eerste inschrijving bij de Kamer van Koophandel deed. En daar zijn wij trots op. Het jaar 2004 bracht ons onder meer TheFacebook, Gmail, Myspace en de beursgang van Google. Op juridisch gebied was er ook het nodige te beleven: Windows en Lindows maakten ruzie over het merk van de laatste, de Hoge Raad deed een uitspraak over het Kournikova-virus en embedden van foto s was nog auteursrechtinbreuk. Steven Ras begon in 2004 ICTRecht naast zijn studie, en kon zo snel en effectief kleine ict-ondernemers van dienst zijn. Na eerste klanten binnen hosting- en webwinkelbranche groeide het bedrijf al snel uit tot een breed bedrijf binnen de ict-sector. In 2008 trad Arnoud Engelfriet toe als partner. Arnoud werkte in die tijd bij Philips, waar hij als IP counsel adviseerde over softwarelicenties, octrooien en open source. Ook blogde hij sinds 2007 over internetrecht. Nadien is het bedrijf ICTRecht alleen maar harder gegroeid. Waar in 2009 de VOF haar eerste medewerker contracteerde, telt het bedrijf nu zestien mensen in fulltime dienst. En ICTRecht is geen gewoon kantoor. Ons doel is continu innoveren en nieuwe dingen verzinnen. En dat doen we. Zo openden we met onze generatoren een nieuwe markt voor juridische maatdocumenten. Dus wat de komende tien jaar ook zullen brengen: wij zijn er klaar voor. ICTRecht - 15

16 Auteur: Steven Ras Partner Wat speelt er bij DUWO? DUWO is een woningcorporatie en dé specialist in studentenhuisvesting in Nederland. Op het gebied van digitale dienstverlening loopt DUWO voorop in de corporatiesector. Zo was DUWO in 2013 de eerste corporatie die huurcontracten digitaal laat ondertekenen en gebruik maakt van een stateof-the-art klantcontactcentrum. Aangezien DUWO persoonsgegevens van meer dan tienduizend studenten verwerkt en al haar huurovereenkomsten elektronisch laat ondertekenen, heeft DUWO de hulp van ICTRecht ingeschakeld. Deze hulp hield onder andere in DUWO te begeleiden met het in kaart brengen van het juridisch kader, de processen te inventariseren en eventueel de nodige juridische maatregelen te treffen teneinde compliant te zijn aan de toepasselijke wet- en regelgeving en dan met name op het gebied van privacy en elektronisch contracteren. Wat zijn de belangrijkste risico s van een digitaliseringsproces bij een woningcorporatie? Een belangrijk risico bij digitalisering is dat gegevens makkelijker te kopiëren of te verspreiden zijn. Een papieren dossier neem je niet zomaar mee, een Excel-bestand wel. Ook kunnen digitale gegevens eenvoudiger van buitenaf worden gekraakt of gestolen. Gezien de schade voor de klanten van DUWO alsook het risico op negatieve publiciteit is het essentieel om dergelijke datalekken te voorkomen. Men moet als woningcorporatie dus meer maatregelen nemen om ongelukken met persoonsgegevens en andere data te voorkomen. Dit natuurlijk mede omdat de Wet bescherming persoonsgegevens voorschrijft dat persoonsgegevens adequaat beveiligd moeten zijn tegen diefstal, ongeautoriseerd gebruik en verlies. Daarnaast is er veel onduidelijk over digitaal contracteren. De wetgeving rond huurrecht vereist strikt gesproken geen schriftelijke overeenkomst voor de huur van woonruimte. Wel is het zo dat een schriftelijke overeenkomst tussen partijen dwingend bewijs oplevert (het is immers een onderhandse akte) over hetgeen onderling afgesproken is, wat veel discussies kan beperken. Een schriftelijk huurcontract is dus wenselijk ICTRecht

17 Daarnaast is een schriftelijk huurcontract dusdanig ingeburgerd in de praktijk dat alleen al daarom een elektronisch contract vragen zal oproepen. Echter, digitaal contracteren biedt vele voordelen zoals een versneld proces, verminderde administratieve lasten en een betere service voor studenten. Het proces voor digitaal contracteren moet dus zorgvuldig worden ingericht om te zorgen dat dezelfde kwaliteit als contracteren op papier wordt gerealiseerd. Om te voorkomen dat hierna twee administraties ontstaan de oude papieren contracten en de nieuwe elektronische is het vervolgens gewenst de oude contracten te digitaliseren. Ook dit kan leiden tot discussies: is een gescande huurovereenkomst met een handtekening nog wel een onderhandse akte? Voor wat betreft de verwerking van persoonsgegevens heeft DUWO een PIA, of Privacy Impact Assessment, uit laten voeren door ICTRecht. Dit is een instrument om privacyrisico s in een vroeg stadium op een gestructureerde en heldere manier in beeld te brengen. Hiermee komt veel informatie beschikbaar over potentiele risico s en problemen zodat deze kunnen worden voorkomen. Een PIA betreft idealiter alle processen. Vaak wordt echter gekozen voor alleen digitaal, omdat de papieren processen minder impact hebben. Diefstal van papieren dossier is niet eenvoudig, diefstal van elektronische dossiers uit een online database wel. Wat zijn de inzichten en acties van DUWO na de PIA? DUWO heeft meer kennis verkregen over allerlei regelgeving die ook van toepassing is op corporaties, maar waarbij je als corporatie niet als eerste stilstaat. Denk bijvoorbeeld over het verwerken van een kopie paspoort. Maar ook heeft DUWO zich onvoldoende gerealiseerd wat de marktwaarde is van de adresgegevens van een grote groep studenten. DUWO sluit nu bewerkersovereenkomsten met alle partijen waarmee persoonsgegevens worden uitgewisseld. Studenten worden duidelijk ingelicht over de doeleinden van verwerking, is er intern bij DUWO een bewustwordingsproces op gang gebracht hoe zorgvuldig met persoonsgegevens om kan worden gegaan en zijn de autorisaties van medewerkers geoptimaliseerd. Beveiliging van persoonsgegevens is nu tevens een belangrijk onderdeel van het risicomanagement van DUWO. Is een PIA wettelijk verplicht? Op dit moment is een PIA wettelijk niet verplicht, maar wel zeer aan te raden. Er wordt in Europees verband gewerkt aan nieuwe wetgeving waarin een PIA als eis wordt opgenomen. Dit betreft de privacyverordening. Deze verordening moet een regime voor privacybescherming in heel Europa brengen. Onder meer door verplichte PIA s en de eis van documentatie over privacyaspecten van elk informatiesysteem wil men het privacy bewustzijn verhogen en de risico s voor de burger verkleinen. Hoe werkt het elektronisch contracteerproces? DUWO heeft haar proces voor het sluiten van huurcontracten geheel herzien. Na een online registratie waarbij om naam, adres et cetera wordt gevraagd kan de student een woonruimte selecteren en een huurcontract aanvragen. De voorwaarden worden online getoond en de student geeft hier online akkoord op. Dit is rechtsgeldig, omdat de wet immers geen eis van schriftelijkheid stelt aan een huurcontract. Wel is op grond van de wetgeving rond algemene voorwaarden en elektronisch contracteren (art. 6:234 BW en 6:227b BW) vereist dat het huurcontract op te slaan is voor latere kennis name. Dit wordt gefaciliteerd door een PDF-bestand met het contract aan de student te leveren. Om de identiteit van de student te verifiëren worden twee controlemiddelen ingezet. Allereerst wordt de student gevraagd een betaling te doen via het bekende ideal. Deze betaling mag een enkele cent zijn, het gaat enkel om het verkrijgen van de bankrekeninggegevens zodat duidelijk is dat deze student in Nederland woont, althans beschikt over een Nederlandse bank rekening. De gegevens van de rekeninghouder moeten overeen komen met de gegevens die bij registratie zijn verkregen. Verder is bij registratie om het mobiele telefoonnummer van de student gevraagd. De volgende stap is nu ook dit nummer te valideren: er wordt nu een controle-sms gestuurd naar dit nummer. Pas na het invoeren van de code in dit SMS-bericht is het proces voltooid. Hiermee is bekend op welk nummer de huurder te bereiken is. Met deze informatie is het voor DUWO voldoende zeker wie de huurder is en dat deze akkoord is gegaan met het huurcontract. Daarmee is de elektronische huurovereenkomst rechtsgeldig gesloten. ICTRecht - 17

18 Auteur: Wouter Dammers Advocaat Wie is verantwoordelijk voor het maken van back-ups? Geen enkel bedrijf kan tegenwoordig nog zonder data. De opslag van gegevens voor beschikbaarheid op afstand is met de opkomst van het internet net zo hard gegroeid. De opslag van gegevens op andere locaties dan uw eigen, zogenaamd veilige, kantoorpand is alleen maar belangrijker geworden, zeker door de opkomst van cloud computing. Maar net zoals in iedere bedrijfstak gaan er wel eens dingen mis: servers gaan offline, schijven raken corrupt, gegevens raken verloren. Dat kan ernstige gevolgen hebben voor de bedrijfscontinuïteit van de afnemers van hostingbedrijven. Hoe haalt uw bedrijf nu inkomsten binnen als uw website of productinformatiesysteem down is? Hoe bereikt u uw klanten met uw nieuwsbrief, nu het klantenbestand corrupt is? Wat als uw gehele systeem niet meer werkt en er geen bedrijf kan worden gevoerd? Gelukkig hebben we een back-up gemaakt, zodat de hele omgeving in no-time terug online is Toch? Helaas is de praktijk vaak anders. Back-ups blijken wel te zijn gemaakt, maar zijn zelf ook corrupt, onvolledig of niet up-to-date genoeg. Of, nog erger, er blijken helemaal geen back-ups te zijn gemaakt. Tja, wie was daar verantwoordelijk voor? De ICT-leverancier wijst naar de eigen verantwoordelijkheid van de klant. De klant wijst naar de zorgplicht van de ICT-leverancier. Bestond er wel een verplichting tot het maken van back-ups? Of mag je als klant veronderstellen dat een hostingprovider daar in voorziet? Het zal u niet verbazen dat dergelijke geschillen bij de vleet voorkomen. De rechtspraak kent tal van voorbeelden van schadeclaims door het ontbreken van back-ups. In dit artikel bespreek ik de lessen die hieruit kunnen worden getrokken: wat is de tendens in recente rechtspraak? Wie is verantwoordelijk voor het maken van back-ups? En welke omstandigheden zijn daarbij relevant? De wet over back-ups De wet bepaalt eigenlijk heel weinig over back-ups. Naast een paar archiefwetten, met name voor overheidsinstellingen van belang, bepaalt de wet verder niets concreets over wie verantwoordelijk is voor het maken van back-ups. De auteurswet bepaalt wel dat een licentienemer het recht heeft om een reservekopie van software te maken, maar dit artikel bepaalt verder niets over een plicht om een reservekopie te maken. Meer aanknopingspunten kunnen impliciet gevonden worden in de Wet bescherming persoonsgegevens. Voor de toepasselijkheid daarvan moet echter al sprake zijn van persoonsgegevens. Deze wet bepaalt namelijk dat de verantwoordelijke partij de persoonsgegevens zorgvuldig moet verwerken, en in die zin kan worden beargumenteerd dat ook verlies van gegevens moet worden tegen gegaan. Het maken van back-ups kán dus een maatregel zijn om persoonsgegevens zorgvuldig te verwerken. En daaruit zou men kunnen afleiden dat de verantwoordelijkheid voor back-ups in principe bij de privacyrechtelijke verantwoordelijke ligt ICTRecht

19 Voor de beoordeling wie verantwoordelijk is voor back-ups zullen partijen daarom in de regel moeten terugvallen op wat zij met elkaar hebben afgesproken. De overeenkomst is dus van belang. Maar ook gewoontes in de praktijk, zoals wanneer het in een bepaald geval gebruikelijk is dat een partij een bepaalde verplichting op zich neemt, kan van belang zijn. Daarnaast kan het missen van back-ups ook onder omstandigheden onrechtmatig zijn. Het had dan los van de overeenkomst tot de maatschappelijke zorgvuldigheid van de leverancier of klant gehoord om in back-ups te voorzien. Haviltexen over back-ups Als een overeenkomst duidelijk bepaalt dat de leverancier of de klant verantwoordelijk is voor het maken van back-ups dan weegt dat natuurlijk erg zwaar. De praktijk is vaak minder rooskleurig: De meeste problemen bestaan nu juist wanneer de overeenkomst níets bepaalt over wie verantwoordelijk is voor back-up verplichtingen. En als er al iets is overeengekomen, dan is dit vaak in bewoordingen die niet echt duidelijk zijn, of te algemeen. Denk daarbij vooral aan weggestopte, algemene afspraken in algemene voorwaarden of service level agreements (SLA). Bij de uitleg van overeenkomsten moet echter niet altijd alleen na de schriftelijke bewoordingen van een overeenkomst worden gekeken. Haviltexen dus: kijken naar de zin die partijen aan de bepalingen mochten toekennen. Daarbij moet worden gelet op alle omstandigheden van het geval. Ook moet worden gekeken naar wat zij in alle redelijkheid van elkaar mochten verwachten. Hierbij heeft de Hoge Raad de volgende omstandigheden als voorbeeld aangevoerd: a. De bewoordingen van de betreffende bepaling; b. De aard van de overeenkomst; c. De inhoud van de overeenkomst; d. De strekking van de overeenkomst; e. De mate van gedetailleerdheid van de overeenkomst; f. De wijze waarop de bepaling tijdens onderhandelingen ter sprake is gekomen; g. De wijze waarop de bepaling onderdeel van de overeenkomst is geworden; h. De maatschappelijke kringen van partijen; i. Welke rechtskennis van zodanige partijen kan worden verwacht; j. Mate van beïnvloeding van derden door de overeenkomst; k. Het bestaan van een eventueel mondeling verwoord gemeenschappelijk; uitgangspunt bij de onderhandelingen; en l. De gebruikelijke praktijk tussen professionele partijen. Afhankelijk van deze omstandigheden kan men dus beoordelen welke zin partijen aan de betreffende bepaling mochten toekennen, en wat ze redelijkerwijs van elkaar mochten verwachten. Een bloemlezing van de rechtspraak Sinds een jaar of vijftien komen er geregeld zaken voor de rechter die te maken hebben met het missen van back-ups. Sterker nog: het lijkt de laatste jaren exponentieel toe te nemen. Veel van deze uitspraken zien op data die verloren gaat bij reparatie van computers, maar in mijn optiek kan het e.e.a. vaak 1-op-1 worden toegepast op andere ICTdiensten. Een bloemlezing: De kantonrechter van de rechtbank Amsterdam 1 oordeelde in 2013 in een zaak over het kwijtraken van gegevens na een reparatie van een laptop. De eigenaar van de laptop liet de laptop repareren door Expert. Tijdens de reparatie waren de gegevens op de laptop kwijt geraakt. De rechtbank oordeelt in dit geval dat de eigenaar van de laptop een recente back-up van haar gegevens had behoren te maken toen zij de laptop inleverde ter reparatie om het kwijtraken van gegevens te voorkomen. Dat had zij niet gedaan, en daarom was Expert niet aansprakelijk. De eigenaar van de laptop had daarop bedacht kunnen zijn, omdat de algemene voorwaarden die van toepassing waren op de laptop erin voorzag dat de gegevens en instellingen verloren zouden kunnen gaan bij de reparatie. Toch krijgt Expert de deksel op haar hoofd: Expert had namelijk toegezegd dat er eerst contact zou worden opgenomen met de eigenaar van de laptop voor het verkrijgen van het wachtwoord van de laptop om toegang te verkrijgen tot de gegevens. ICTRecht - 19

20 In dat geval is er volgens de kantonrechter een afwijkende afspraak gemaakt ten opzichte van de algemene voorwaarden, en had Expert kunnen en moeten begrijpen dat de eigenaar van de laptop de gegevens onaangetast wilde zien. De kantonrechter van de rechtbank Midden-Nederland 2 is van mening dat een professional weet, of in ieder geval behoort te weten, dat een upgrade van een besturingssysteem softwarematige risico s met zich mee kan brengen en dat dit zelfs kan betekenen dat data verloren kan gaan. Zeker wanneer de eigenaar van de laptop, zoals in dit geval, benadrukt dat er geen data verloren mag gaan, had de dienstverlener die voor de upgrade zorgde, moeten kijken of het nog mogelijk was om de data van de laptop veilig te stellen. In principe rust de verantwoordelijkheid voor het maken van back-ups in dit geval dus op de professional. Toch meent de kantonrechter dat niet alle geleden schade (in dit geval ,- (!)) volledig aan de professional kan worden toegerekend, omdat de schade mede het gevolg is van een omstandigheid die aan de eigenaar van de laptop kan worden toegerekend: Deze had namelijk recenter en vaker back-ups moeten maken. De schade is daarom deels veroorzaakt door zijn eigen schuld. De vergoeding wordt daar - om slechts voor de helft toegewezen. Uit een arrest van het Hof van Amsterdam 3 blijkt dat een arbiter heeft geoordeeld dat MKBackup op grond van een overeenkomst aan Gofilex een online back-upoplossing leverde. Toen Gofilex een back-up wilde installeren, bleek dat dit niet mogelijk was doordat één delta bestand van enkele maanden oud corrupt was. MKBackup is ondanks het feit dat het na het corrupte deltabestand geen werkende back-up meer kon worden gemaakt, toch statusrapportages blijven sturen waarin melding wordt gemaakt van een succesvolle back-up. Doordat MKBackup niet meer in staat was om een recente back-up terug te zetten is MKBackup volgens de arbiter toerekenbaar te kort geschoten in de nakoming van de back-upovereenkomst. MKBackup meent overigens dat Gofilex niet op de juiste wijze gebruik heeft gemaakt van de software, maar dit kan voor het Hof van Amsterdam niet tot een ander resultaat leiden. De rechtbank Arnhem oordeelde in over de vraag of een extern systeembeheerder belast is met de verantwoordelijkheid voor het onderhoud en juist functioneren van een netwerk. Het antwoord op die vraag was in deze zaak van belang omdat het back-up systeem van de server in deze zaak klaarblijkelijk al enige tijd voorafgaande aan een crash niet meer functioneerde. Daardoor was er geen back-up van verloren gegane data gemaakt. In deze zaak oordeelde de rechtbank dat het enkele feit dat de externe systeembeheerder gedurende een aantal jaren computerapparatuur en software aan afnemer Tip Top heeft geleverd en bij haar heeft geïnstalleerd, onvoldoende is om aan te nemen dat zij als extern systeembeheerder ook belast is met de verantwoordelijkheid voor het onderhoud en het juist functioneren van het netwerk van Tip Top. De rechtbank stelt vervolgens letterlijk dat zo n belasting met het systeembeheer uitsluitend kan worden aangenomen op basis van een tussen partijen gesloten overeenkomst. In dit geval was er niet zo n overeenkomst, en dus is er geen sprake van aansprakelijkheid. Daarnaast oordeelt de rechtbank dat de systeembeheerder ook niet behoorde te weten dat het back-upsysteem niet werkte er was geen verplichting om de werking van het systeem blijvend te controleren. Het Hof Den Haag 5 komt tot eenzelfde oordeel in een zaak tussen Knowledge en een klant. Klant meende dat Knowledge tekort was geschoten door geen back-up systeem bij te houden. Het Hof meent echter dat er geen periodieke onderhoudsverplichting bestond. Ook kon niet worden aangenomen dat Knowledge de verplichting zou hebben om na blijvend te voorzien in een functionerend back-up systeem na storingsherstel buiten specifiek van te voren geaccordeerde opdracht. Hierbij geldt temeer dat Knowledge de klant erop had gewezen dat het back-up systeem dat Knowledge had verzorgd een periodieke oplossing was en dat de klant op zoek moest naar een blijvende oplossing. Daarbij is de klant ook gewezen op het risico van een crash. Omdat dit niet tot een nadere opdracht heeft geleid, meent het Hof dat de klant te onverschillig is omgesprongen met de risicovolle, gebrekkige structuur van het systeem terwijl klant bij herhaling was gewezen op de risico s van het gelegde noodverband op de lange termijn. Ook in een zaak bij het Hof van Den Haag 6 tussen KPN en Scope wijst de rechter op het belang van afspraken tussen partijen: KPN had het maken van back-ups als extra dienst aangeboden, maar daar was geen opdracht voor overeengekomen. Scope had daarom zelf back-ups van haar database moeten maken ter voorkoming van eventuele schade, te meer nu de gegevens klaarblijkelijk van groot belang waren voor de uitvoering van haar bedrijf ICTRecht