1 ICTRECHT Juridische trainingen Deskundig en praktisch
2 Voorwoord door Arnoud Engelfriet & Lisette Meij Voor u ligt het trainingsprogramma van ICT Recht voor 2015. ICTRecht staat voor deskundig en praktisch juridisch advies, en wil graag haar kennis uitdragen aan advocaten en juristen zoals u. Met dit trainingsprogramma willen wij u gespecialiseerde trainingen bieden binnen het ICT- en internetrecht, gericht op de dagelijkse praktijk maar uiteraard van academisch niveau. Dit jaar richten wij ons primair op ICT-contracten en de cloud, maar ook privacy en consumentenrecht mogen niet ontbreken. Het programma is samengesteld op basis van de feedback die wij het afgelopen jaar van onze klanten mochten ontvangen en de deskundige input van onze adviescommissie, bestaande uit de gerenommeerde advocaten Hendrik Struik, Rocco Mulder en Lex Bruinhof. Naast dagtrainingen (en de actualiteitenmiddag elk kwartaal) bieden wij u net als in 2014 een aantal webinars waarmee u in één uur praktijkkennis opdoet over een juridisch onderwerp binnen het ICT- en internetrecht. Mocht u onderwerpen missen dan vernemen wij dat graag; een extra webinar is vaak snel te regelen. Wij beloven u deskundige en praktische trainingen en we hopen u graag te zien dit jaar! Erkend door de Nederlandse Orde van Advocaten ICTRecht is door de Nederlandse Orde van Advocaten erkend als opleidings instelling. Dat geeft ons de bevoegdheid om opleidingspunten (PO) toe te kennen, die advocaten in het belang van het onderhoud van hun vakbekwaamheid dienen te behalen. U ontvangt bij iedere training een certificaat van deelname als bewijs. Wij stellen uw mening over onze trainingen erg op prijs. Voor vragen en klachten over trainingen kunt u terecht bij onze opleidingscoördinator Lisette Meij.
3 ICTRECHT Colofon Dit is een uitgave van ICTRecht B.V. Sarphatistraat 610-612 1018 AV Amsterdam 020-6631941 info@ictrecht.nl Aan deze brochure werkten mee: Arnoud Engelfriet partner en opleidingsdirecteur a.engelfriet@ictrecht.nl Lisette Meij juridisch adviseur en opleidingscoördinator l.meij@ictrecht.nl Daphne Dekker (eind)redactie d.dekker@ictrecht.nl Dominique Zondervan redactie d.zondervan@ictrecht.nl Eline Pellis ontwerp & opmaak info@elinepellis.com Geert de Jong foto s docenten CheeseWorks.nl Inhoudsopgave De curator krijgt recht op toegang tot de cloud 4 Training Curator en ICT 5 Actualiteiten ICT en recht in 2014 6 Training Actualiteiten ICT & Recht 7 De nieuwe consumentenwet: wat is er veranderd? 8 Training Consumentenrecht op internet 9 Wat te verwachten van de Privacyverordening? 10 Training De privacy verordening in de praktijk 11 Tweedehands verkoop van softwarelicenties 12 Training ICT-contracten: de basis 13 De bewerkers overeenkomst in de ICT 14 Training ICT-contracten: verdieping 15 Het exoneratiebeding in ICT-contracten 16 Masterclass ICT-contracten 17 Een failliete cloud leverancier, wat nu? 18 Training Cloud & Recht: verdieping 19 Cloudsourcing: outsourcing in de cloud 20 Masterclass Cloud & Recht 21 Webinars: hoe & wat 22 Webinars Grondrechten: Uitingsvrijheid op internet, De wet bescherming persoonsgegevens, De aankomende privacyverordening 23 Webinars Internet: Het nieuwe consumentenrecht, Sociale media juridisch bekeken, Privacy en security in ICT 24 Webinars ICT: ICT-contracten, ICT versus arbeidsrecht, Curator en ICT 25 Webinars Software & Actualiteiten: softwarebescherming, Exploiteren van software-innovaties, Actualiteiten ICT & Recht 26 Reviews van tevreden deelnemers 27 Alle trainingen worden gegeven bij ICTRecht: Sarphatistraat 610-612, Amsterdam.
4 De curator krijgt recht op toegang tot de cloud door Itte Overing Steeds meer bedrijven maken gebruik van de cloud voor hun administratie. De voordelen zijn legio, maar wanneer een bedrijf in zwaar weer komt, ontstaat er een probleem voor de curator of zaakwaarnemer. Deze heeft toegang nodig tot de administratie, maar de clouddienstverlener weigert nog wel eens die toegang omdat ook hij achterstallige facturen heeft bij het bedrijf. Een nieuwe wet zal de positie van de curator hierbij versterken. De positie van de curator jegens een cloudleverancier was wettelijk niet geregeld. In twee rechtszaken (Oilily, LJN BJ5559 en Vict, LJN BZ5770) werd toegang onder voorwaarden geregeld. De curator kan een clouddienstverlener verzoeken om afgifte van administratie. Kosten die hiervoor gemaakt moesten worden - bijvoorbeeld om het online boekhoudprogramma en data van de failliet weer aan te zetten en toegankelijk te maken - kon de clouddienstverlener verhalen bij curator. Dit gaat veranderen. Op grond van het wetsvoorstel Wet versterking positie curator zal het verplicht worden voor de aanbieders van online boekhoudsystemen om de administratie op verzoek aan de curator beschikbaar te stellen. In het voorstel staat letterlijk (nieuw artikel 105b lid 2 zoals in te voegen in de Faillissementswet): Derden die in de uitoefening van hun beroep of bedrijf, op welke wijze dan ook, de administratie van de gefailleerde geheel of gedeeltelijk onder zich hebben, stellen deze desgevraagd aan de curator ter beschikking, zo nodig met inbegrip van de middelen om de inhoud binnen redelijke tijd leesbaar te maken. Saillant detail is dat in de uitleg (Memorie van Toelichting) bij de wet staat dat de dienstverlener hier wel een redelijke vergoeding voor mag vragen, maar daar geen recht op heeft indien de boedel niet voldoende middelen bevat. De aanbieder van online boekhoudsystemen moet een archiefsysteem aanbieden dat dan ook zonder (extra) betaling toegankelijk moet zijn voor curatoren. Eventuele kosten dient de dienstverlener te verdisconteren in zijn tarieven. In de praktijk zal dit betekenen dat de aanbieder van online boekhoudsystemen tenminste een archiefsysteem moet aanbieden dat dan ook zonder (extra) betaling toegankelijk moet zijn voor curatoren. Na faillissement blijken er immers vaak geen of niet voldoende middelen in de boedel te zitten om schulden mee te betalen. De clouddienstverlener moet ook de middelen ter beschikking stellen om de boekhouddata (binnen redelijk termijn) leesbaar te maken vor de curator.
5 Training Curator en ICT Bij faillissement ontstaan door ICT lastige vragen voor de praktijk. Kan u als curator voortzetting van een online dienst eisen, of kopieën van mailbox of digitale administratie opvragen? Wie is eigenaar van digitale data? Hoe realiseren dienstverleners hun continuïteit? Dit zijn juridische vragen, maar curatoren zijn praktisch ingesteld, dus zullen wij ook ingaan op de (technische) praktijk. Hoe verkrijgt u essentiële gegevens, hoe regelt u een technische doorstart en wie dient u te vriend te houden? U kunt zich inschrijven via bit.ly/1eovwgx of per e-mail naar info@ictrecht.nl. U ontvangt: Over de docenten Itte Overing is gespecialiseerd in continuïteit, notice & takedown en gezondheidsrecht 2.0. Steven Ras adviseert bij complexe juridische vraagstukken over internetconcepten en contracten. Programma 12 maart 2015 09:00 Ontvangst 09:30 10:15 ICT in de praktijk Software Apps Hosting SaaS 10:15 11:00 Faillissement en ICT: impact Data Licenties Infrastructuur Personeel 11:00 11:15 Pauze 11:15 11:45 Faillissement en ICT: doorstart Data Software Infrastructuur Personeel 11:45 12:30 Omgaan met ICT-contracten Opzeggen of doorzetten Nebula Berzona 12:30 13:30 Lunch 13:30 14:30 Continuïteit van internetdiensten Escrow Stichting continuïteit Samenwerking 14:30 15:00 Verkrijgen van rechten Auteursrechten Domeinnamen Vormvereisten 15:00 15:15 Pauze 15:15 16:00 Toegang tot data Logindata Mailboxen Bestanden Clouddata Administratie 16:00 16:30 Toegang tot software Licenties Cloud Broncode Escrow 16:30 17:00 Afsluitende discussie 17:00 Borrel De training kost 549,- excl. btw. Itte Overing Steven Ras
6 Actualiteiten ICT en recht in 2014 door Arnoud Engelfriet 2014 was een bewogen jaar voor het ICT-recht. Belangrijkste gebeurtenissen: een nieuw consumentenrecht, de legalisering van de hyperlink, het downloadverbod en het recht te worden vergeten. Maar ook veel opmerkelijke kleinere zaken: de ipad bleek geen computer, een geautomatiseerde boete door agent 404040 was niet rechtmatig en bitcoins zijn geen geld. Het auteursrecht blijft binnen het ICT-recht voor conflicten zorgen. Eind januari bepaalde het Gerechtshof Den Haag dat de veelbesproken ISP-blokkade van The Pirate Bay moest worden opgeheven. In april werd het downloadverbod van kracht. In februari werd de hyperlink auteursrechtelijk legaal verklaard door het Hof van Justitie, dat in oktober het embedden en framen eveneens legaliseerde. Het consumentenrecht werd in juni volledig herzien. De Wet koop op afstand en de Colportagewet sneuvelden, daarvoor in de plaats kwam een algemeen wettelijk kader over overeenkomsten op afstand en buiten de verkoopruimte. De consument krijgt hiermee meer rechten, de winkelier meer plichten, met name waar het gaat om informatieverstrekking. En bij telefonische acquisitie is een mondeling akkoord niet meer rechtsgeldig. De Nederlandse politie drong binnen in de buitenlandse beheerserver van een crimineel botnet, hetgeen nogal wat rechtsvragen over jurisdictie en bevoegdheid opriep. Met het aangekondigde wetsvoorstel Computercriminaliteit III wil minister Opstelten duidelijkheid scheppen over deze terughackbevoegdheid. Het voorstel zal tevens een ontsleutelplicht voor verdachten introduceren, hetgeen lastige vragen oproept over nemo tenetur. Tevens werd het geautomatiseerd uitschrijven van boetes in februari onrechtmatig verklaard. Agent 404040 bleek een computerprogramma met onvoldoende toezicht. In een vervolgarrest werd de aangepaste procedure alsnog rechtmatig geacht. Cloudgebruikers werden opgeschrikt door het nieuws dat een Amerikaanse rechter bepaalde dat IT-bedrijf Microsoft persoonsgegevens van een klant moest afgeven aan Justitie. Iets dichter bij huis werd clouddienstverlener KPN aansprakelijk gehouden voor dataverlies, ondanks haar beperking daarvan in algemene voorwaarden. De exoneratie mocht niet baten tegen de kleine ondernemer die haar bedrijfsdata verloren had zien gaan. De discussie over de Europese privacyverordening kreeg een verrassende wending toen het Hof van Justitie in mei het recht om vergeten te worden bevestigde en Google dwong irrelevante en achterhaalde zoekresultaten te verwijderen als op een persoonsnaam wordt gezocht. Er werd acht ton boete opgelegd aan affiliatenetwerk Daisycon voor haar betrokkenheid bij het op grote schaal versturen van spamberichten. Een wetsvoorstel om de cookiewet te verlichten (geen toestemming nodig bij cookies voor simpele websitestatistieken) werd door de Tweede Kamer goedgekeurd. Bitcoins zijn geen geld.
7 Training Actualiteiten ICT & Recht Relevante rechtspraak, wetgeving en andere juridische ontwikkelingen van het afgelopen kwartaal, in duidelijke taal becommentarieerd door ICT-jurist Arnoud Engelfriet. Laat u bijpraten over actualiteiten in rechtspraak en wetgeving, met bijzondere aandacht voor de belangrijkste internetonderwerpen. U kunt zich inschrijven via bit.ly/1jzwbxe of per e-mail naar info@ictrecht.nl. U ontvangt: Over de docent Arnoud Engelfriet is gespecialiseerd in complexe technisch/ juridische ICT-vraagstukken, octrooien en softwarelicenties. Programma 7 april, 2 juli, 24 september en 10 december 2015 13:00 Ontvangst 13:30 14:15 Recente rechtspraak Uitspraken van Nederlandse en Europese rechters alsook besluiten van toezichthouders. 14:15 15:00 Recente nieuwe of gewijzigde wetgeving Doorgevoerde of op stapel staande wetgeving en hun impact voor ICT praktijk. 15:00 15:15 Pauze 15:15 16:00 Praktijkontwikkelingen ICT-contracten Jurisprudentie en praktijk gericht op ICT-contracten en algemene voorwaarden. 16:00 16:30 Praktijkontwikkelingen cloud, security en privacy Recente ontwikkelingen voor cloud, SaaS, informatiebeveiliging en privacy en persoonsgegevens. 16:30 17:00 Overige actualiteiten 17:00 Afsluitende Borrel De training kost 275,- excl. btw. 3 Arnoud Engelfriet
8 De nieuwe consumentenwet: wat is er veranderd? door Peter Kager en Maarten Braun Vanaf juni 2015 is het consumentenrecht fors gewijzigd op het gebied van koop op afstand en colportage. De Wet Koop op Afstand en de Colportagewet zijn ingetrokken, en de Wet handhaving consumentenbescherming en diverse artikelen over consumentenrecht uit boek 7 zijn aangepast. Een geheel nieuwe afdeling in boek 6 BW regelt nu het consumentenrecht op afstand dan wel buiten de verkoopruimte. Voor bedrijven die leveren aan consumenten gelden zware informatieplichten. Informatie over producten en levering moet snel en gemakkelijk vindbaar zijn op de website, en wel in duidelijke taal zodat de consument een goede geïnformeerde beslissing kan maken. Denk aan informatie over het bedrijf, betaling, verzending, retourneren, het aanbod, bestellen etcetera. Ook moet de consument gewezen worden op de conformiteitseis (art. 7:17 BW) en de klachtprocedures. Het recht van een consument om van een aankoop af te zien, is van 7 werkdagen naar 14 kalenderdagen verlengd. Dit is kosteloos: alle betaalde bedragen, dus óók de verzend- en betaalkosten, moet de winkel terugbetalen. Bovendien moet de shop het zogenaamde modelformulier aanbieden (dat door de wetgever wordt verstrekt) waarmee de consument dit recht kan uitoefenen. Kapotte of te veel gebruikte retouren mogen niet zomaar geweigerd worden, maar de schade mag in rekening gebracht worden. Wel mag aan hem uiteraard het gebruikte gerekend worden, mits maar vooraf bekend was hoe deze kosten berekend zouden worden. Minstens zo belangrijk: wanneer een dienstverlener via cold calling klanten werft, is de overeenkomst pas tot stand gekomen na een schriftelijk akkoord door de consument. Het is dus onmogelijk om nog telefonisch ja te zeggen bij dergelijke acquisitie. Er zijn nog veel meer wijzigingen. Zo mogen extraatjes pas verkocht worden na uitdrukkelijke toestemming van de consument, waarbij het uitvinken van alvast aangevinkte hokjes niet telt als uitdrukkelijk. Bij bestelknoppen moet expliciet bestelling met betaalplicht vermeld zijn om tot een koopovereenkomst te kunnen komen. En de kosten van betaalmiddelen (zoals creditcards) moeten één-op-één worden doorbelast, opslagen zijn niet meer mogelijk. Er zijn uitzonderingen, zoals voor hotelboekingen, bederfelijke waar, maatwerk en losse kranten/tijdschriften. Nieuw is de uitzondering voor hygiëne-artikelen en digitale diensten. Een digitale dienst (zoals aankoop van muziek of app) kan worden geannuleerd, tenzij bij het aankoopproces duidelijk is gemeld dat dit recht is uitgesloten. Ook een afgenomen dienst, zoals een telefoonabonnement, de levering van gas, elektriciteit etcetera, kan herroepen worden. Dat kan dus ook als de klant het al gebruikt heeft! Alle betaalde bedragen, dus óók de verzend- en betaalkosten, moet de winkel terugbetalen.
9 Training Consumentenrecht op internet Sinds juni 2014 is de wetgeving rond ecommerce veranderd. Zo is het herroepingsrecht uitgebreid en heeft de consument meer rechten. Wat betekent dit voor webwinkels en online dienstverleners? We bespreken het recht rond koop op afstand, acquisitie per telefoon, conformiteit, retourrecht en informatieplichten voor bedrijven en winkels op internet. U kunt zich inschrijven via bit.ly/1z5u8q6 of per e-mail naar info@ictrecht.nl. U ontvangt: Over de docenten Maarten Braun is gespecialiseerd in e-commerce, privacy, reclame, consumentenrecht, virtuele werelden en strafrecht. Peter Kager is specialist op het gebied van juridische e-commerce aspecten. Programma 9 april 2015 09:00 Ontvangst 09:30-10:15 Structuur nieuwe wetgeving Europa Burgerlijk wetboek harmonisatie 10:15-11:00 Informatieplichten deel 1 Identiteit levering betaling garantie 11:00-11:15 Pauze 11:15-11:45 Informatieplichten deel 2 Bestelproces prijzen klachten 11:45-12:30 Recht van ontbinding bij consumentenkoop Modelformulier uitzonderingen 14 dagen 12:30-13:30 Lunch 13:30-14:30 Recht van ontbinding bij dienstverlening Ebooks streaming tijdschriften telecom 14:30-15:00 Handhaving ACM controle boetes 15:00-15:15 Pauze 15:15-16:00 Cookies en spam Informeren toestemming verzenden 16:00-16:30 Aankomende privacyregelgeving 16:30-17:00 Overige aspecten online consumentenrecht Btw-regels etikettering 17:00 Borrel De training kost 549,- excl. btw. Maarten Braun Peter Kager
10 Wat te verwachten van de Privacyverordening? door Arnoud Engelfriet De Europese privacyregels gaan op de schop, zo kondigde de Europese Commissie in 2013 aan. De Wet bescherming persoonsgegevens en haar Europese tegenhangers zijn gebaseerd op een Richtlijn uit 1995. De voorgestelde Verordening moet één regime voor privacybescherming in heel Europa brengen. Vanwege alle technische ontwikkelingen rond advertentieprofielen, cookies en Big Data zal deze Europese wet nogal wat met zich meebrengen. Het gebruik van persoonsgegevens is sinds de opkomst van internet gigantisch toegenomen. Internetdiensten worden gewoonlijk als gratis met advertenties geleverd, en om die advertenties aantrekkelijk te maken, moeten die advertenties zo specifiek mogelijk zijn. Privacytechnisch is dit een buitengewoon verontrustende ontwikkeling. De conceptverordening is dan ook geschreven om hier een dam tegen op te werpen en de burger de controle over zijn persoonsgegevens terug te geven. Maar de voorstellen gaan wel érg ver. De privacyverordening is geen principiële wijziging, maar vooral een aanscherping en uitwerking naar de internetomgeving. Enkele zaken zijn nieuw. Neem het recht van dataportabiliteit: de betrokkene moet zijn persoonsgegevens mee kunnen nemen naar een andere verantwoordelijke, en wel in een standaard elektronisch formaat. Direct marketing wordt expliciet gereguleerd. De privacyverklaring moet worden ontdaan van juridische taal en transparant en eenvoudig toegankelijk worden voor de leek. En bij datalekken een diefstal of abusievelijke publicatie van persoonsgegevens moeten de toezichthouder en de betrokken persoon worden geïnformeerd. Verder dwingt de Verordening tot meer accountability. Governance, procesbeheersing en compliance zijn hierbij de toverwoorden. Bedrijfsprocessen die met persoonsgegevens werken, moeten gedocumenteerd worden (met name hoe toesteming verkregen is). En bedrijven moeten kunnen verantwoorden waarom het niet een onsje minder kan met die persoonsgegevens. De voorgestelde Verordening moet één regime voor privacybescherming in heel Europa brengen. Om dit alles kracht bij te zetten, krijgt de toezichthouder een boetebevoegdheid die op kan lopen tot 100.000.000 per overtreding of 5% van de wereldwijde jaaromzet. Wereldwijd, want Google, Facebook en andere Amerikaanse bedrijven kunnen pakken is expliciet de bedoeling. Deze vallen volgens de conceptverordening onder Europese jurisdictie wanneer zij persoonsgegevens van Europese burgers verwerken, ongeacht in welk land dat gebeurt. Momenteel ligt de tekst bij de Raad van Ministers, en deze heeft al op diverse punten nuances aangebracht. Zo geldt de meldplicht datalekken alleen bij physical, material or moral damage voor betrokkenen. Het is echter nog wachten op hun eindvoorstel, waarna het Parlement erover moet stemmen om de tekst definitief te maken. Maar dát de Verordening er zal komen, is zeker.
11 Training De privacyverordening in de praktijk De nieuwe Europese Privacyverordening bevat strenge regels over privacy en persoonsgegevens. Hoe verhoudt dit zich tot de huidige wetgeving en wat betekent dit voor de praktijk? U kunt zich inschrijven via bit.ly/1wz1uop of per e-mail naar info@ictrecht.nl. U ontvangt: Over de docenten Arnoud Engelfriet is gespecialiseerd in complexe technisch/ juridische ICT-vraagstukken, octrooien en softwarelicenties. Lisette Meij is gespecialiseerd in privacy en Big Data & Opleidingscoördinator. Programma 7 mei 2015 09:00 Ontvangst 09:30 10:15 Persoonsgegevens en kaders voor verwerking Persoonsgegeven Herleidbaarheid Rechtmatig gebruik Bijzondere gegevens 10:15 11:00 Grondslagen voor gebruik van persoonsgegevens Toestemming Uitvoering overeenkomst Dringend eigen belang Marketing 11:00 11:15 Pauze 11:15 11:45 Rechten van betrokkenen Inzage Kopie-opvraging Correctie Vergeetrecht Status van online archieven 11:45 12:30 Plichten van verantwoordelijken Informatieplichten Privacy Impact Assessment Risico-analyses 12:30 13:30 Lunch 13:30 14:00 Beveiliging en datalekken Beveiligingseisen Securitybeleid Datalekken Meldplicht 14:00 14:30 Privacy by design & by default Privacyvriendelijk softwaredesign Privacyvriendelijke defaults 14:30 15:00 E-mailmarketing Opt-in en opt-out Klantenmarketing Verkrijgen toestemming 15:00 15:15 Pauze 15:15 16:00 Handhaving en toezicht Nationale toezichthouders Europese toezichthouder Boetes Sancties 16:00 16:30 Invoering en overgangsrecht Wereldwijde rechtskracht Status bij Raad van Ministers Overgangsrecht 16:30 17:00 Afsluiting en discussie 17:00 Borrel De training kost 549,- excl. btw. Arnoud Engelfriet Lisette Meij
12 Tweedehands verkoop van softwarelicenties door Steven Ras Tweedehands verkopen van softwarelicenties, het kan. Hoewel lang werd gedacht dat softwarelicenties persoonsgebonden en dus niet overdraagbaar waren, heeft het Europese Hof van Justitie in een baanbrekend arrest echter bepaald dat dit wel degelijk mag. Na verkoop van software zijn de rechten van de leverancier uitgeput zodat verdere verhandeling toegestaan is. Wel zullen koper en verkoper aan een aantal specifike voorwaarden moeten voldoen. De rechthebbende op een stuk software verleent anderen toestemming deze te gebruiken: de licentie. Veel licenties voor standaardsoftware bepalen dat men na betaling van een eenmalig bedrag de software in principe eeuwigdurend mag gebruiken. In haar arrest C-128/11 bepaalde het Europese Hof van Justitie dat dergelijke licenties een verkoop van de software opleveren. Dit houdt in dat men deze licenties mag doorverkopen aan derden: tweedehands licenties zijn legaal. Let op dat uitsluitend de softwarelicentie kan worden doorverkocht. Eventuele onderhoudscontracten of andere toezeggingen van de leverancier vallen hier niet onder. De koper van de tweedehands licenties zal zelf op zoek moeten gaan naar ondersteuning. Verder moet de verkoper van de licenties kunnen bewijzen dat de licenties werkelijk zijn verwijderd. Bovendien mag de auteursrechthebbende op de software een audit uitvoeren bij de verkoper om na te gaan of de licenties werkelijk zijn verdwenen. Wie licenties tweedehands wil inkopen, doet er dan ook goed aan een harde garantie te vragen van de verkoper dat de originele verkrijger van de licenties deze buiten gebruik heeft gesteld, uiteraard gekoppeld aan een vrijwaring. Om voor verkoop in aanmerking te komen, moet een licentie aan een aantal eisen voldoen: Europese licentie. De licentie moet voor gebruik in de Europese Unie zijn afgegeven. Auteursrechtelijke uitputting geldt alleen binnen de EU. Eenmalige vergoeding. Wanneer men periodiek moet betalen, bijvoorbeeld een maandelijks abonnement, kan geen sprake zijn van uitputting. Licenties voor software in de cloud zijn dus hierom niet door te verkopen. Economische waarde. De vergoeding moet in overeenstemming zijn met de economische waarde van de software. Het bedrag moet rechtvaardigen dat de licentie mag worden doorverkocht. Geen splitsing. De licentie moet in zijn geheel worden verkocht. Als een licentie bijvoorbeeld een gebruiksrecht voor een Officepakket bevat, mag niet slechts de licentie voor de tekstverwerker worden doorverkocht. Van een licentie die voor 50 gebruikers ineens geldt, kunnen niet 10 rechten worden doorverkocht. Het is alles of niets. Wie licenties tweedehands wil inkopen, doet er goed aan een harde garantie te vragen van de verkoper dat de originele verkrijger van de licenties deze buiten gebruik heeft gesteld.
13 Training ICT-contracten: de basis Welke uitdagingen bieden ICT contracten? Leer in deze basiscursus hoe elektronisch te contracteren, welke aandachtspunten vereist zijn bij softwarelicenties, apps, hostingcontracten en privacyaspecten van overeenkomsten. Aan de hand van vele voorbeelden leert u de kennis in de praktijk te brengen. U kunt zich inschrijven via bit.ly/1ztbvib of per e-mail naar info@ictrecht.nl. U ontvangt: Over de docenten Arnoud Engelfriet is gespecialiseerd in complexe technisch/ juridische ICT-vraagstukken, octrooien en softwarelicenties. Peter Kager is specialist op het gebied van juridische e-commerce aspecten. Programma 3 september 2015 09:00 Ontvangst 09:30 10:15 ICT-dienstverlening Software Apps Hosting SaaS 10:15 11:00 ICT-contracten gekwalificeerd Opdracht Bemiddeling Auteursrecht B2B en B2C 11:00 11:15 Pauze 11:15 11:45 S oftwarelicenties EULA SaaS Distributie Gebruiksrechten Royalties Aansprakelijkheid 11:45 12:30 Algemene voorwaarden Terhandstelling Exonereren Aanvechten 12:30 13:30 Lunch 13:30 14:30 Hostingcontracten Abuse Domeinnamen Aansprakelijkheid Opzegging 14:30 15:00 SaaS en cloud Beschikbaarheid Data-eigendom Boetes Continuïteit 15:00 15:15 Pauze 15:15 16:00 Apps en mobiele software Gebruiksrechten Updates Cookiewet Appstores 16:00 16:30 Privacy en persoonsgegevens Big Data Rechten Plichten Beveiliging Toestemming 16:30 17:00 Afsluitende discussie 17:00 Borrel De training kost 549,- excl. btw. In combinatie met de verdiepingstraining voor slechts 950,- excl. btw. In combinatie met de verdiepingstraining én de masterclass slechts 1399,- excl. btw. Arnoud Engelfriet Peter Kager
14 De bewerkersovereenkomst in de ICT door Arnoud Engelfriet Wanneer een bedrijf zijn e-mail en kalendersoftware in de cloud onderbrengt, een nieuwsbrief door een derde laat versturen of een online boekhoudprogramma inzet, worden daarmee persoonsgegevens vanuit dit bedrijf verwerkt door een derde. Dit vereist volgens de Wet bescherming persoonsgegevens een bewerkersovereenkomst, waarin schriftelijk wordt vastgelegd met welk doel de gegevens worden verwerkt en hoe de beveiliging bij beide partijen moet worden geregeld. Het is verbazingwekkend hoe weinig bedrijven een bewerkersovereenkomst sluiten met hun ICT-dienstverleners. Vaak is dit niet uit kwade wil maar uit onbekendheid met de verplichting. Daarnaast blijkt dat veel modellen voor bewerkersovereenkomsten niet voor ICT-diensten geschreven zijn, maar voor bijvoorbeeld een uitbestede salarisadministratie of direct marketing. Het is dus zaak bij ICT-diensten snel met een passende bewerkersovereenkomst te komen. De belangrijkste punten die in zo n overeenkomst behoren te staan: Maak duidelijk met welk doel de gegevens worden verwerkt Bepaal hoe de bewerker de middelen (de software) mag aanpassen waar het persoonsgegevens-gerelateerde aspecten betreft Zorg ervoor dat de gegevens niet buiten de EU worden verwerkt door de bewerker Maak afspraken over het gebruik van de gegevens door de bewerker voor kwaliteitsdoeleinden Stel regels omtrent de beveiliging van de persoonsgegevens, en noem specifike beveiligingsmaatregelen Neem een bepaling op over welke beveiligingsnormen de bewerker moet aanhouden (ISO- en NEN-normen, of OWASP bij internetapplicaties) Zorg voor duidelijke afspraken omtrent verzoeken van betrokkenen, zodat duidelijk is bij wie de betrokkene terecht kan Zorg voor een recht op het uitvoeren van een audit bij de bewerker en maak duidelijk waarop deze audit zich richt Veel modellen voor bewerkersovereenkomsten zijn niet voor ICT-diensten geschreven. Maak duidelijk wanneer een audit mag worden uitgevoerd en door wie, en natuurlijk wie de kosten van de audit betaalt Zorg voor een meldplicht voor de bewerker bij datalekken (en houd rekening met toekomstige wettelijke meldplichten) Neem een boeteclausule op voor overtreding van de bewerkersovereenkomst Zorg ervoor dat duidelijk is wie aansprakelijk is bij overtreding van het recht (Wbp) Neem in de bewerkersovereenkomst op dat de bewerker verplicht is tot het afsluiten van een aansprakelijkheidsverzekering die ook datalekken dekt, en stel een minimale dekking vast Zorg ervoor dat expliciete geheimhouding wordt overeengekomen, zowel tijdens de uitvoering van de overeenkomst als na beëindiging van de overeenkomst Neem in de overeenkomst op dat u een kopie krijgt van de gegevens indien deovereenkomst wordt beëindigd
15 Training ICT-contracten: verdieping Alleen voor ervaren contractjuristen met ICT ervaring. Aan de hand van diverse ICT-contracten uit de praktijk leert u de lastigste valkuilen en aandachtspunten voor uw contractspraktijk te herkennen. Wat werkt, en wat kunt u eisen voor inkoper of leverancier? U kunt zich inschrijven via bit.ly/1wz1btw of per e-mail naar info@ictrecht.nl. U ontvangt: Over de docenten Arnoud Engelfriet is gespecialiseerd in complexe technisch/ juridische ICT-vraagstukken, octrooien en softwarelicenties. Peter Kager is specialist op het gebied van juridische e-commerce aspecten. Programma 17 september 2015 09:00 Ontvangst 09:30 10:15 Softwareontwikkeling Agile versus Waterfall Oplevering en aanvaarding Duur & beëindiging 10:15 11:00 Exoneraties in ICT Beperkingen Grenzen Vrijwaringen 11:00 11:15 Pauze 11:15 11:45 Non-disclosure agreements Scope Definities Beveiliging informatie Boetes 11:45 12:30 Wederverkoop van software Distributie Whitelabel Integratie SaaS-wederverkoop Agentuur Affiiates 12:30 13:30 Lunch 13:30 14:15 Cloudovereenkomsten Cloud versus klassiek Garanties Beschikbaarheid Updates Betaling Opschorting 14:15 15:00 Service Level Agreements Beschikbaarheid Metingen Waarde van boetes Verbetertrajecten 15:00 15:15 Pauze 15:15 16:00 Open source software GPL BSD Apache Delen van broncode 16:00 16:30 Bewerkersovereenkomst Beveiliging Toezicht Aansprakelijkheid Boetes 16:30 17:00 Afsluitende discussie 17:00 Borrel De training kost 549,- excl. btw. In combinatie met de basistraining voor slechts 950,- excl. btw. In combinatie met de basistraining én de masterclass slechts 1399,- excl. btw. Arnoud Engelfriet Peter Kager
16 Het exoneratiebeding in ICT-contracten door Steven Ras Weinig vakgebieden waar zo driftig wordt geëxonereerd als in de ICT. Veel ICT-contracten maken daarbij onderscheid tussen directe en indirecte schade. Op basis van dit onderscheid wordt dan aansprakelijkheid voor indirecte schade categorisch uitgesloten, en aansprakelijkheid voor directe schade op een of andere wijze tot een zeker plafond beperkt. De termen hebben echter geen eenduidige betekenis in het Nederlands recht. Volgens sommigen gaat het om zaakschade (direct) versus vermogensschade (indirect), volgens anderen om dichtbij gelegen schade zoals het herstel van een beschadigde zaak (direct) versus verder weg gelegen schade zoals gederfde winst (indirect). In het Amerikaans recht worden direct damages en indirect damages (ook wel consequential damages) ook niet eenduidig gedefinieerd. normaliter relatief geringe schadeposten betreffen. De meeste schade zal dan onder sub a (beredderingskosten) gevangen worden; deze clausule dekt bijvoorbeeld het inschakelen van een alternatieve dienstverlener om een langdurig niet beschikbare dienst op te vangen, maar (in theorie) ook de kosten van het opnieuw genereren van verloren gegane gegevens uit een database. Zowel de omvang van de kosten als de maatregelen zelf moeten redelijk zijn. De simpelste oplossing in de praktijk is om simpelweg te stellen Aansprakelijkheid wordt slechts aanvaard voor gevolgd door een limitatieve opsomming van gebeurtenissen waarvoor aansprakelijkheid kan worden aanvaard. Uiteraard met alle gepaste toeters en bellen ter beperking van daadwerkelijke claims. Direct damages betreft meestal de direct voorzienbare schade, terwijl indirect damages de iets minder voorzienbare maar nog steeds redelijkerwijs te verwachten schade dekt. Gederfde winst is in die visie indirecte schade, het herstel van een beschadigde zaak direct. Sterk de voorkeur geniet dan ook om zelf een definitie van direct en indirect op te nemen. Een simpele mogelijkheid is de directe schade te definiëren als vermogensschade (art. 6:96 lid 1 BW) waarmee het overig nadeel zoals immateriële schade, smartengeld en dergelijke wordt uitgesloten. Specifiek bij ICT-contracten voegt dat weinig toe: in het algemeen zal alle geleden schade vermogensschade zijn, zeker als men bedenkt dat ook gederfde winst of geleden verlies hieronder valt. Letselschade als gevolg van ICT-dienstverlening komt slechts zeer zelden voor. Een beperktere keuze is directe schade in te vullen aan de hand van 6:96 lid 2 BW: redelijke kosten ter voorkoming of beperking van de schade, bereddering en dergelijke. Hiermee ontstaat een objectieve maatstaf voor schade, en is de te vergoeden schade meestal aardig beperkt omdat deze kosten binnen het redelijke moeten blijven en bovendien alleen Directe schade is in te vullen aan de hand van 6:96 lid 2 BW. Hiermee ontstaat een objectieve maatstaf voor schade
17 Masterclass ICT-contracten Ruime ervaring met ICT is vereist. Leer hoe ICT-contract in de praktijk écht uitpakken. Wat werkt, en wat kunt u eisen namens inkoper of leverancier. Ter voorbereiding op de masterclass ontvangt u een typisch ICT-contract ter review dat als rode draad voor de dag zal dienen. Slechts beperkt plaats! U kunt zich inschrijven via bit.ly/1cjut4f of per e-mail naar info@ictrecht.nl. U ontvangt: Over de docenten Arnoud Engelfriet is gespecialiseerd in complexe technisch/ juridische ICT-vraagstukken, octrooien en softwarelicenties. Steven Ras adviseert bij complexe juridische vraagstukken over internetconcepten en contracten. Programma 8 oktober 2015 09:00 Ontvangst 09:30 10:30 Inleiding op de casus Onderhandelen NDA MOU Termsheet Rol van jurist Contractstructuur 10:30 11:00 Software-ontwikkelcontract (1) Agile clausules Oplevering & aanvaarding 11:00 11:15 Pauze 11:15 12:00 Software-ontwikkelcontract (2) Aansprakelijkheid Opzegging Eigendom Geschiloplossing 12:00 12:30 IE-clausules Auteursrecht Licenties van derden Escrow 12:30 13:30 Lunch 13:30 14:30 Hostingcontract Domeinnamen Beschikbaarheid Data Aansprakelijkheid 14:15 15:00 Continuïteit regelen Data-eigendom Toegang Faillissementen 15:00 15:15 Pauze 15:15 16:00 Service Level Agreement Beschikbaarheid Metingen Beveiliging Onderhoud Backups Boetes 16:00 16:30 Bewerkersovereenkomst Beveiliging Audits Aansprakelijkheid Boetes 16:30 17:00 Afsluitende discussie 17:00 Borrel De training kost 549,- excl. btw. In combinatie met de verdiepingstraining voor slechts 950,- excl. btw. In combinatie met de basistraining én de masterclass slechts 1399,- excl. btw. Arnoud Engelfriet & Steven Ras
18 Een failliete cloudleverancier, wat nu? door Itte Overing Uitbesteden van ICT-dienstverlening naar de cloud kan organisatorische en fianciële voordelen hebben. De afnemer heeft geen omkijken meer naar de techniek en de dienst is vanaf elke computer met internet beschikbaar. Een clouddienst is juridisch gezien niet anders dan andere periodieke of structurele dienstverlening, zoals de postbezorging of de wekelijkse boodschappen. Praktisch gezien heeft een clouddienstverlener echter een veel belangrijkere positie, met name omdat de data van de klant bij hem staat en deze vaak alleen met zijn software kan worden bediend. Deze outsourcing is het hele doel van clouddienstverlening, maar het introduceert wel een valkuil: wat als de dienstverlener failliet gaat? De klassieke oplossing voor een failliete softwareleverancier is een escrowregeling. Hierbij wordt de broncode bij een derde in bewaring gegeven en bij faillissement beschikbaar gesteld aan de klant. Voor SaaS- en cloud diensten is de klassieke escrow niet genoeg. Een online dienst is meer dan een verzameling broncodes. De hardware en softwareomgeving is essentieel om van de opgeslagen data nog maar niet te spreken. Escrow is veel lastiger te regelen, omdat data immers elke dag kan wijzigen. Naast het feit dat het enkel deponeren van broncode niet langer genoeg is, is onduidelijk of men na een faillissement als escrow-begunstigde deze broncode wel mag gebruiken. Het Nebula-arrest uit 2006 lijkt te zeggen van niet, hoewel de Hoge Raad daar recent een nuance in aanbracht met het Berzona-arrest. Gelukkig staan cloudafnemers niet machteloos. Met een goede voorbereiding is ook een faillissement van een clouddienstverlener te overleven. Continuïteit is het sleutelwoord. Met een goede voorbereiding is ook een faillissement van een clouddienstverlener te overleven. Continuïteit is het sleutelwoord. De dienst moet blijven doordraaien, in ieder geval lang genoeg om te kunnen overstappen met meename van de klantdata. Het vormgeven van een continuïteitsoplossing is veel werk, maar biedt meer zekerheid dan een klassieke escrow. Belangrijk om te regelen bij continuïteit zijn met name de beschikbaarheid van data en het voortgezet beschikbaar zijn van de hardware en software waarmee de diensten geleverd worden. Maar vergeet ook de hostingprovider achter de clouddienstverlener niet. Spreek af dat zij tenminste een termijn van zes maanden doordraaien in geval van een faillissementssituatie van de clouddienstverlener. Vergeet het opschortingsrecht van de hosting service provider gedurende deze termijn niet te beperken. En wat te denken van de medewerkers? Na faillissement zijn deze vrij snel weg. Misschien is het mogelijk om medewerkers onder opschortende voorwaarde als freelancer in te huren.
19 Training Cloud & Recht: verdieping De cloud is niet meer weg te denken uit de praktijk. Maar welke rechtsvragen roept deze nieuwe technische ontwikkeling op? In deze verdiepingsdag leert u als ervaren jurist de specifieke uitdagingen die de cloud biedt voor het recht. Aan bod komen onder meer: persoonsgegevens, continuïteit, security en eigendom van data. U kunt zich inschrijven via bit.ly/1cbzxgb of per e-mail naar info@ictrecht.nl. U ontvangt: Over de docenten Lisette Meij is gespecialiseerd in privacy en Big Data & Opleidingscoördinator. Matthijs van Bergen is gespecialiseerd in cloud en SaaS, contracten, telecom, digitale informatiebeveiliging en online grondrechten. Itte Overing is gespecialiseerd in continuïteit, notice & takedown en gezondheidsrecht 2.0. Programma 5 november 2015 09:00 Ontvangst 09:30 10:15 Uitbesteden in de cloud Aandachtspunten Afspraken Cloud versus in-house Praktisch 10:15 11:00 Cloud service levels Contracteren Opbouw SLA Boetes Beschikbaarheid 11:00 11:15 Pauze 11:15 12:00 Bedrijfsvoering in de cloud Draagvlak Continuïteit Disaster recovery 12:00 12:30 Gebruiksvoorwaarden nader bekeken Beschikbaarheid Aansprakelijkheid Betaling Data 12:30 13:30 Lunch 13:30 14:30 Security in de cloud Technisch Organisatorisch Bewerkers Audits Pentests Hacken 14:30 15:00 Toegang tot data Continuïteit Toegang Datalekken 15:00 15:15 Pauze 15:15 16:00 Persoonsgegevens en privacy Toestemming Big Data Bewerkers 16:00 16:30 Patriot Act en ander recht Rechtsmacht Bevoegdheden Aansprakelijkheid 16:30 17:00 Afsluitende discussie 17:00 Borrel De training kost 549,- excl. btw. In combinatie met de masterclass voor slechts 950,- excl. btw. Lisette Meij Matthijs van Bergen Itte Overing
20 Cloudsourcing: outsourcing in de cloud door Hugo Atzema Bijna elke onderneming komt er vroeg of laat mee in aanraking: outsourcing, oftewel het overdragen van bedrijfsprocessen van de eigen organisatie naar een externe partij. Waar dit vroeger alleen was weggelegd voor grote bedrijven, is het tegenwoordig ook voor kleinere ondernemingen een gangbare manier om kosten te besparen en processen te verbeteren. Wanneer bedrijfsprocessen of systemen worden uitgevoerd door een clouddienstverlener, spreekt men steeds vaker van cloudsourcing. Bij deze vorm van outsourcing horen bepaalde aandachtspunten. Een geslaagd cloudsourcingstraject staat of valt met een goede interne voorbereiding bij de klant. Binnen een organisatie dienen (I) de juiste mensen op (II) een gestructureerde manier bezig te zijn met de (III) relevante issues. Een cloudcontract is een gespecialiseerd document, dat rekening moet houden met een langetermijnrelatie en nu al situaties afdekken die zich over vijf jaar wellicht gaan voordoen. In de snel veranderende ict-branche is dat geen sinecure. Essentieel bij cloudcontracten zijn de service levels. Deze beschrijven de kwaliteit van de te leveren diensten door de leverancier. Zaken als beschikbaarheid (bijvoorbeeld een uptime van 98%), het onderhoud (zowel preventief, constructief en correctief) en bereikbaarheid van een helpdesk vallen onder de service levels. Bij cloudcontracten is het daarnaast wenselijk een exitplan op te nemen. Wanneer partijen om welke reden dan ook uit elkaar gaan, is het goed om vooraf al een regeling te treffen met betrekking tot de overdracht naar een vergelijkbare leverancier of het veilig stellen van data. Juridisch heeft de klant namelijk géén recht zijn data op te eisen als het cloudcontract is beëindigd of ontbonden. Het eerste vereiste is dus een projectteam, dat vervolgens een planning maakt. De planning kan grofweg worden ingedeeld in drie fasen: inventarisatie, selectie van leverancier, en contracteren en implementeren. De belangrijkste (en vaak lastigste) taak van het projectteam is de inventarisatie van de uit te besteden diensten. Daarna is het tijd om een leverancier te selecteren. Aangezien er bij cloudsourcing een langdurige afhankelijkheid van de leverancier ontstaat, is het van belang een goed overwogen keuze te maken. Middels een request for information (RFI)/request for proposal (RFP) traject, kan er in kaart gebracht worden welke leveranciers in aanmerking komen. In het cloudsourcingstraject komt na de selectie van een of meer leveranciers de fase van het contracteren. Vanwege de langdurige afhankelijkheidsrelatie is een due diligenceonderzoek oftewel kwaliteitsonderzoek voor beide partijen zeer nuttig. Daarna kan het contract onderhandeld worden. Aangezien er bij cloudsourcing een langdurige afhankelijkheid van de leverancier ontstaat, is het van belang een goed overwogen keuze te maken.