ICTRecht in de praktijk

02 - juni 2015 ICTRecht in de praktijk Contractsluiting in de ICT Leer helder afspraken maken! Cookies, hebben we er nog trek in? De DDOS aanval als meningsuiting To drone or not to drone: wat houdt de toekomst in? Noot: De bewaarplicht buiten werking Valkuilen in Voorwaarden Nederland ICT ICTRecht Plus, Premium & Corporate service Wet- en regelgeving Internetrechtspraak Trainingsprogramma ICTRecht - 1

Heeft u uw juridische zaken goed geregeld? Zeker op het gebied van ICT is dit geen eenvoudige zaak. Voorkom juridische ICT-problemen en laat ICTRecht u deskundig en praktisch adviseren. Dat hoeft helemaal niet duur te zijn: naast maatwerk leveren wij standaardproducten en juridische generatoren. ICTRecht is een flexibel en creatief juridisch adviesbureau. Wij bedienen zowel de grote als de kleine klant. Onze adviezen zijn begrijpelijk, concreet en geven blijk van technische kennis.onze mensen zijn dan ook juridisch en technisch thuis in onze niche. Wij kunnen u van dienst zijn met: Juridische documenten - Juridisch advies Trainingen - Generatoren - Boeken Meer informatie over hoe Meer wij informatie? werken? Bezoek ictrecht.nl.

Index Directie Arnoud Engelfriet en Steven Ras In het zomernummer van ICTRecht in de praktijk staan we wederom stil bij ICTcontracten. Op welke manier worden contracten in de ICT gesloten, hoe zit het met click wrap en browse wrap overeenkomsten en hoe moeten voorwaarden ook weer ter hand worden gesteld? De gewijzigde cookiewet roept veel vragen op. Onze collega Lisette Meij zet de huidige stand van zaken voor u op een rijtje. Philip van der Weijde gaat daarnaast in op de algemene voorwaarden die brancheorganisatie Nederland ICT heeft gepubliceerd. Ook gaan we dit nummer de lucht in: wat mag er met drones, de kleine onbemande vliegtuigjes die steeds populairder worden bij particulieren en bedrijven? Niels Winters vertelt u er alles over. Veel leesplezier deze zomer! Steven Ras en Arnoud Engelfriet Contractsluiting in de ICT 4 Wet- en regelgeving 8 Column: Leer helder afspraken maken! 10 Cookies, hebben we er nog trek in? 12 De DDOS aanval als meningsuiting 16 ICTRecht Plus, Premium & Corporate service 19 To drone or not to drone: wat houdt de toekomst in? 21 Internetrechtspraak 24 Noot: De bewaarplicht buiten werking 30 Valkuilen Voorwaarden in Nederland ICT 32 Trainingsprogramma 2015 34 Colofon Dit is een uitgave van ICTRecht B.V., Sarphatistraat 610-612, 1018 AV, Amsterdam, 020-6631941, info@ictrecht.nl. Dit tijdschrift verschijnt vier keer per jaar. Proeftijdschrift is op aanvraag beschikbaar. Abonnementsprijs is 135,- per jaar, inclusief verzendkosten in Nederland. Aan deze uitgave werkten mee: Arnoud Engelfriet - partner - a.engelfriet@ictrecht.nl Steven Ras - partner - s.ras@ictrecht.nl Maaike Lassche - juridisch adviseur - m.lassche@ictrecht.nl Matthijs van Bergen - juridisch adviseur - m.vanbergen@ictrecht.nl Niels Winters - juridisch adviseur - n.winters@ictrecht.nl Lisette Meij - juridisch adviseur en opleidingscoördinator - l.meij@ictrecht.nl Daphne Dekker - (eind)redactie - d.dekker@ictrecht.nl Eline Pellis - vormgeving - info@elinepellis.com Brenno de Winter - columnist Foto s partners en juridisch adviseurs: Geert de Jong - CheeseWorks.nl ICTRecht - 3

Auteur: Arnoud Engelfriet Partner Contractsluiting in de ICT Een overeenkomst komt tot stand door aanbod en aanvaarding. Dit is niet anders in de ICT vergeleken met andere rechtsgebieden. Maar hoe het aanbod moet worden gedaan en hoe aanvaarding kan plaatsvinden, dat kan in de ICT nog wel eens anders uitpakken. Mede vanuit de wens het elektronisch handelsverkeer te stimuleren, kent de wet dan ook diverse specifieke regels die gelden bij ICT-contractsluiting. Een opfriscursus: hoe contracteert men in de ICT? Informatieplichten Bij een elektronische overeenkomst bepaalt de wet (art. 6:227b en 227c BW) dat de dienstverlener vooraf op duidelijke, begrijpelijke en ondubbelzinnige wijze diverse informatie moet verschaffen over de wijze waarop de overeenkomst tot stand komt, of en hoe deze later nog te raadplegen is, hoe een onbedoelde aanvaarding kan worden hersteld, in welke talen de overeenkomst wordt gesloten en of eventuele gedragscodes van toepassing zijn. Gebeurt dit niet, dan is de overeenkomst vernietigbaar. Dit geldt ook bij zakelijke overeenkomsten, zij het dat men hier contractueel van kan afwijken (art. 6:227c lid 6 BW). In het bijzonder moet de dienstverlener de overeenkomst op zo n manier aan - bieden dat de wederpartij deze kan opslaan voor latere kennisname. Artikel 6:227b BW beperkt deze eis tot de voorwaarden, niet zijnde algemene voorwaarden maar op grond van artikel 6:234 BW geldt dezelfde eis ook voor de 4 - ICTRecht algemene voorwaarden. Bijgevolg zal de gehele overeenkomst inclusief alle algemene voorwaarden en bijlagen moeten worden aangeboden in een op te slaan formaat, hetgeen in de praktijk betekent dat een PDF-bestand beschikbaar moet worden gesteld. Een uitzondering op deze regel geldt wanneer de overeenkomst per e-mail, Skype of dergelijke individuele communicatie tot stand komt. Er is dan dus geen document nodig. Uiteraard kunnen in deze situaties bewijsproblemen ont - staan wanneer geen duidelijk document aanwezig is dat een en ander vast legt. Het is dan ook aan te raden om ook in deze situaties een formeel document op te stellen (zie ook hierna over aktes). Bevestigen van aanvaarding Nadat een aanvaarding is ontvangen, moet de dienstverlener deze zo snel mogelijk bevestigen. Totdat deze beves - tiging is ontvangen, mag de wederpartij de overeenkomst ontbinden (art. 6:227c lid 2 BW). En bevestigt de dienstverlener niet zo snel mogelijk, dan geldt dit als een verwerping van de aanvaarding zodat in het geheel geen overeenkomst tot stand komt (art. 6:221 lid 2 BW). De bevestiging mag een automatisch gegenereerd bericht zijn. Dit heeft als risico dat een aanvaarding wordt bevestigd op een aanbod dat een fout bevat, bijvoorbeeld een onjuiste prijs. In geautomatiseerde systemen, met name bij e-commerce, is dit een niet te verwaarlozen risico. Hoofdregel hierbij is dat de wederpartij slechts een overeenkomst kan claimen als hij gerechtvaardigd mocht vertrouwen (art. 3:35 BW) op het aanbod, oftewel als de fout niet redelijkerwijs kenbaar voor hem was. Disclaimers op de website (zie hoofdstuk 5.7) zullen hierbij niet baten: is het aanbod geloofwaardig, dan zit de aanbieder eraan vast ook al staat elders dat alle aanboden onder voorbehoud van typefouten en dergelijke zijn. Het standaardarrest is dat van webwinkel Otto, waarbij kopers geen overeenkomst

konden claimen nadat zij een televisie uitkozen die abusievelijk voor 99 in plaats van 999 werd aangeboden. Aa de disclaimer van de webwinkel maakte het Hof weinig woorden vuil. Uit dit arrest volgt ook dat de wederpartij een onderzoeksplicht heeft (art. 3:11 BW) bij een twijfelachtig aanbod. Bevestigt de aan bieder in zo n geval de juistheid van het aanbod, dan helpt een later beroep op welke fout dan ook niet meer. Elektronische en schriftelijke contracten Veel is geschreven over elektronische contracten, digitale aktes en wat daarbij komt kijken. Het beeld lijkt hierdoor te zijn ontstaan dat een elektronische overeenkomst twijfelachtig kan zijn. Dit is echter pertinent onjuist. Het sluiten van een overeenkomst is immers vormvrij, en mag dus ook in elektronische vorm geschieden. Er zijn slechts zeer weinig overeenkomsten waarvoor de wet een geschrift als vormvereiste stelt. In die gevallen waar de wet een geschrift eist, is in beginsel een elektronisch geschrift ook rechtsgeldig (art. 6:227a BW), behalve bij overeenkomsten waarvoor de rechter, een overheidsinstantie of notaris vereist. Dit zal in de ICT-praktijk zelden aan de orde zijn, behalve wellicht bij de aankoop van woningen via internet (art. 7:2 BW). Men zou dus een arbeidsovereenkomst met proeftijd of concurrentiebeding elektronisch kunnen sluiten als daarbij een elektronisch geschrift wordt geproduceerd (zie ook het meer specifieke art. 7:655 BW voor deze situatie). Een schriftelijke overeenkomst is echter slechts zelden wettelijk vereist. Toch is vaak behoefte aan de specifieke vorm van schriftelijke overeenkomst met handtekening, en wel vanwege de bewijskracht die dit oplevert. Een onderhandse akte levert tussen partijen in beginsel dwingend bewijs op over wat er is afgesproken, wat bij latere geschillen een waardevolle situ atie kan zijn (art. 157 Rechtsvordering). Daarnaast vereist de levering van een auteursrecht, alsook de meeste andere in het ICT-handelsverkeer verkochte vermogensrechten, eveneens een akte (art. 2 Auteurswet jo. 3:83 BW). Een onderhandse akte moet in beginsel op papier zijn opgesteld en voorzien zijn van een natte handtekening, oftewel een krabbel met pen gezet. Echter, onder voorwaarden is ook een elektronische akte rechtsgeldig (art. 156a Rechtsvordering). Kort gezegd is vereist dat de inhoud zodanig wordt vastgelegd dat deze ongewijzigd gereproduceerd kan worden voor zo lang als nodig. In de ICT-praktijk betekent dit een PDF-bestand, in beginsel in het PDF/1a formaat zoals vastgelegd in ISO standaard 19005-1. Men kan zich afvragen wat werkelijk de toegevoegde waarde is van een elektronische akte met idem handtekening. In de zakelijke praktijk staat immers zelden het bestaan of de inhoud van het contract als zodanig ter discussie: men verschilt gewoonlijk van mening over de uitleg van de clausules, niet over het bestaan daarvan. En ook bij een akte staat de uitleg van clausules open voor partijen (via de Haviltex-norm). Shrinkwrap, clickwrap en browsewrap In de dagelijkse ICT-praktijk worden drie types overeenkomsten onderscheiden waarbij de aanvaardingshandeling een andere is dan de traditionele handtekening onder een document. Het betreft hier met name softwarelicenties, hoewel de gebruikte techniek strikt gesproken niet software-specifiek is. Een shrink-wrap licentie is een overeenkomst waarbij het openen van de verpakking (gewoonlijk met krimpfolie oftewel shrink wrap afgesloten) als aanvaardingshandeling wordt aangemerkt. Een opmerkelijke praktijk hierbij is dat zeker in de beginperiode van softwareverkoop de licentie in de verpakking was opgenomen, zodat men de voorwaarden pas kon lezen na deze te hebben aanvaard. Het moge duidelijk zijn dat hiermee geen aanvaarding kan worden geconstrueerd. Worden de voorwaarden op bijvoorbeeld de achterkant van de doos gedrukt, dan zijn zij tijdig leesbaar. Een click-wrap licentie is een overeenkomst die als aanvaardingshandeling een klik op een knop met tekst als I agree of het aanvinken van een vakje Ik ga akkoord met de voorwaarden vereist. Deze vorm is vandaag de dag zeer gebruikelijk en kan in beginsel tot een rechtsgeldige overeenkomst leiden, mits ICTRecht - 5

de klik of het vinkje maar gevraagd wordt voordat de overeenkomst gesloten wordt. Fout is echter de staande praktijk om de voorwaarden in een venster te tonen vanuit waar zij wel gelezen, maar niet opgeslagen of uitgeprint kunnen worden. Een browse-wrap overeenkomst is een overeenkomst waarbij de aanvaarding wordt afgeleid uit het feit dat men de software (of vaker: de online dienst) gebruikt nadat men erop gewezen is dat aan dit gebruik voorwaarden worden gesteld. Of dit tot een rechtsgeldige overeenkomst leidt, betwijfelen wij ten zeerste. Hoewel ook een feitelijke handeling, zoals het gebruik van een website, als aanvaarding kan worden opgevat (art. 3:37 BW), zal het afhangen van hoe prominent naar de voorwaarden is verwezen en hoe vroeg in het proces dat gebeurt. Een enkele opname van een hyperlink Algemene voorwaarden in de voettekst of colofon van een website zal niet genoeg zijn (Attingo-arrest). Een duidelijke balk of popup die verwijst naar voorwaarden en die als eerste in beeld komt, kan waarschijnlijk wel tot een geldige toestemming leiden. Algemene voorwaarden Veel ICT-contracten worden gesloten in de vorm van een elektronisch aanbod aangevuld met een als algemene voorwaarden opgesteld document als bijlage. Deze vorm is het eenvoudigst te automatiseren in bijvoorbeeld een webwinkel of online bestelformulier: de klant kiest producten en/of diensten en zet een vinkje bij Ik accepteer de voorwaarden, waarna de bestelling definitief wordt. 6 - ICTRecht Voor ICT-dienstverleners Ook juridisch gesproken is werken met algemene voorwaarden vaak onvermijdelijk. De term algemene voorwaarden wordt gedefinieerd als voorwaarden bestemd om in meerdere overeenkomsten gebruikt te worden (art. 6:231 BW), en ICT-overeenkomsten zijn vrijwel altijd aldus bedoeld. Dit geldt ook wanneer de wederpartij opties kiest: elke optie is bedoeld voor meerdere overeenkomsten en is dus nog steeds algemeen. Slechts wanneer de voorwaarden individueel uitonderhandeld worden, kan men spreken van een ICT-contract dat geen algemene voorwaarden bevat. Onredelijk bezwarend Algemene voorwaarden mogen niet onredelijk bezwarend zijn, anders zijn zij door de wederpartij vernietigbaar (art. 6:233 sub a BW). Deze open norm komt grotendeels overeen met de eis uit art. 6:248 lid 2 BW, hoewel de toetsing van art. 6:233 sub a BW meer abstract gebeurt dan bij de vraag bij art. 6:248 BW of het beroep op een beding naar redelijkheid en billijkheid in deze situatie onaanvaardbaar is. Deze regeling van vernietiging geldt niet voor wat wij maar even grote bedrijven noemen (art. 6:235 BW): bv s, nv s, coöperaties, vof s en nog een assorti aan rechtsvormen (art. 2:360 BW) maar ook stichtingen en verenigingen die een bedrijf uitoefenen (art. 2:360 lid 3 BW). Deze bedrijven zijn groot genoeg om een onderhandelingspositie te hebben ten aanzien van leveranciers met algemene voorwaarden, is de gedachte. Klikt men zoals iedereen gedachteloos op I accept bij softwarelicenties of online contracten, dan is het bedrijf gewoon gebonden en kan men niet stellen dat de inhoud onredelijk bezwarend is. Alleen de algemene regel uit art. 6:248 lid 2 BW blijft over, maar dit vereist bewijs van onredelijkheid in de concrete situatie, een lastiger drempel dan de onredelijkbezwarendheid bij algemene voorwaarden. Bij overeenkomsten met consumenten geldt bij de eis van onredelijkbezwarendheid een grijze lijst (art. 6:237 BW) en een zwarte lijst (art. 6:236 BW). Bij bedingen op de grijze lijst moet de ICT-dienstverlener bewijzen dat het beding in zijn geval wél redelijk is, maar bij bedingen op de zwarte lijst is geen tegenbewijs mogelijk: deze zijn per definitie onredelijk bezwarend. In sommige gevallen kunnen ook kleine bedrijven middels reflexwerking aanspraak maken op deze lijsten. Hiervoor is vereist dat de transactie buiten het kennisgebied van de ondernemer valt, en dat de ondernemer in feite op één lijn met een consument te stellen is. De rechtspraak hierover is erg casuïstisch en men moet dan ook niet al te hard rekenen op reflexwerking als kleine ICT-ondernemer. Terhandstelling algemene voorwaarden De wet eist als hoofdregel dat algemene voorwaarden ter hand worden gesteld (art. 6:234 lid 1 BW). Dit wil zeggen dat een stuk papier met daarop de voor waarden wordt overhandigd aan de wederpartij. Simpeler kunnen wij het niet zeggen; toch worden met zeer grote regelmaat de creatiefste trucs uitgehaald om toch zonder dat stuk papier te kunnen werken. Dit is zeer riskant. Er is een uitzondering voor het geval waarin het de ondernemer redelijkerwijs onmogelijk is de algemene voorwaarden bij elke overeenkomst ter hand te stellen. In die situatie mag hij volstaan met verwijzen naar Kamer van Koophandel of

griffie van rechtbank, mits hij op eerste verzoek de voorwaarden alsnog ter hand stelt aan de wederpartij. Voor ICTdienstverleners of handelaren is deze uitzondering van nul en generlei waarde, aangezien zij prima bij elke offerte de voorwaarden bij kunnen sluiten. Een depot van ICT-voorwaarden bij de Kamer van Koophandel is dan ook een verspilling van geld, maar komt toch relatief vaak voor omdat het juridisch staat om te kunnen zeggen dat de algemene voorwaarden zijn gedeponeerd ter griffie of bij de KVK te Amsterdam. Ook kent de rechtspraak een uitzondering op grond van redelijkheid en billijkheid bij professionele partijen die herhaaldelijk zaken met elkaar doen. Als bij een eerste overeenkomst de algemene voorwaarden correct ter hand zijn gesteld, is dit niet opnieuw nodig bij vervolgovereenkomsten. Wij vinden het echter riskant hierop een beroep te doen, en aangezien het overhandigen van een stuk papier (of elektronisch document bij eveneens elektronische offertes) buitengewoon eenvoudig is, zou dit ook niet nodig moeten zijn. Verder geldt de eis van terhandstelling niet voor wat wij maar even grote bedrijven noemen, net zoals zij geen beroep kunnen doen op de vernietigbaarheid wegens onredelijkbezwarendheid. Zij kunnen volstaan met verwijzen naar algemene voorwaarden en het is dan aan de partijen om uit te zoeken welke voorwaarden dit zijn. Elektronisch ter hand stellen In beginsel moeten algemene voorwaarden op papier ter hand gesteld worden. De wet noemt ook de elektronische terhandstelling als optie. De voorwaarden moeten dan zo worden aangeboden dat de wederpartij ze kan opslaan en er toegang toe heeft ten behoeve van latere kennisneming (art. 6:234 lid 2 BW). In de ICT-praktijk betekent dit een PDF-bestand of aparte webpagina, in het laatste geval wel met een duidelijk zichtbare printknop of alle menu s gewoon bereikbaar. Voor smartphones en tables is een andere oplossing nodig: deze kunnen gewoonlijk niet printen. Een PDF-bestand zou een oplossing kunnen zijn. De praktijk werkt veel met venstertjes waarin men kan scrollen om de voorwaarden te lezen, en floepvensters (pop - ups) waarin uitsluitend de tekst van de voorwaarden te vinden is en de menu s en knoppen verborgen zijn. Deze praktijken zijn volstrekt onjuist in het licht van de wet maar zeer weerbarstig want iedereen doet het en de standaardsoftware om installatieprocedures mee te realiseren komt uit de VS waar dit een prima manier is om voorwaarden aan te bieden. Ter hand stellen bij dienstverlening Voor het beschikbaar stellen van algemene voorwaarden van dienstverleners bestaat sinds 2009 een apart regime in het Nederlands recht (art. 6:230b BW). Zo ongeveer alles in de ICT, met uitzondering van licenties, de levering van ICTapparatuur en e-commerce, is als een dienst aan te merken. Er zijn voor een dienstverlener vier opties, ter vrije keuze van de dienstverlener: 1. Op eigen initiatief verstrekken door de dienstverlener. Dit stemt grofweg overeen met de gewone terhandstelling. 2. Voor de afnemer gemakkelijk toegankelijk maken op de plaats waar de dienst wordt verricht of de overeenkomst wordt gesloten. Binnen de ICT zou dit zelden moeten spelen, behalve wellicht bij ontwikkelwerk ter plaatse. 3. Voor de afnemer gemakkelijk elektronisch toegankelijk maken op een door de dienstverlener meegedeeld adres. In de praktijk kan de dienstverlener hiermee verwijzen naar de vindplaats (URL) op zijn website. Wel zal een specifieke URL moeten worden gebruikt, niet slechts Voor de voorwaarden, zie onze website. 4. Opname in alle door de dienstverlener verstrekte documenten waarin de diensten in detail worden beschreven. Dit zouden bijvoorbeeld de offerte of brochures over de diensten kunnen zijn. In alle gevallen moet dit tijdig voor de sluiting van de overeenkomst gebeuren wanneer een schriftelijke overeenkomst wordt gesloten. Echter, als er geen aparte schriftelijke overeenkomst wordt aangegaan, dan moet dit voor de verrichting van de dienst meegedeeld of beschikbaar gesteld worden (art. 6:230e BW). Hoewel de wet van schriftelijk spreekt, menen wij dat ook een elektronische overeenkomst onder de hoofdregel valt. Doel van de wet is immers het tijdig beschikbaar stellen van voorwaarden, en slechts wanneer men stilzwijgend of mondeling akkoord gaat met een dienst, is het logisch om pas bij aanvang van de dienstverlening de voorwaarden te melden. Dit artikel is een voorpublicatie van het onlangs verschenen Handboek ICT- contracten van ICTRecht-partners Arnoud Engelfriet en Steven Ras. Meer weten? Zie de advertentie op pagina 15. ICTRecht - 7

Auteur: Maaike Lassche Juridisch adviseur Wet- en regelgeving Wetsvoorstel verhoging van voor de Auto riteit Consument en Markt geldende boetemaxima Het wetsvoorstel bevat een verhoging van de boete maxima voor de Autoriteit Consument en Markt (ACM). Zo wordt voor alle boetes die de ACM kan opleggen het absolute boetemaximum van 450.000 verdubbeld tot 900.000. Daarnaast wordt een relatief boetemaximum ingevoerd waar tot dusverre alleen nog een absoluut boetemaximum geldt en omgekeerd. Dit heeft als doel de boetemaxima voor kleinere en grotere marktorganisaties een vergelijkbare mate van afschrikwekkendheid te geven. Ook wordt het wettelijk maximum voor kartelboetes afhankelijk gemaakt van de duur van het kartel. Het boetemaximum van 10% van de omzet zal worden vermenigvuldigd met het aantal jaren dat de overtreding heeft geduurd. Dit betekent dat hoe langer de participatie in een kartel heeft geduurd en dus hoe groter de maatschappelijke kosten van het kartel zijn geweest, hoe hoger het wettelijk boetemaximum voor de kartelovertreding is. Tot slot wordt ACM-breed het toepasselijke (absolute of relatieve) boetemaximum verdubbeld in geval van recidive. Bron: Kamerstukken II, 2014-2015, 34190, nr. 1 http://bit.ly/1goagzb Wetsvoorstel elektronisch berichtenverkeer Belastingdienst Het doel van dit wetsvoorstel is om te komen tot eenvoudigere, eenduidigere en informelere contacten tussen belastingplichtigen enerzijds en de Belastingdienst anderzijds. De digitalisering zag eerst vooral op berichten van belastingplichtigen aan de Belastingdienst. In de toekomst is het de bedoeling om ook het berichtenverkeer van de Belastingdienst naar de belastingplichtige elektronisch te laten plaatsvinden. In dit wetsvoorstel wordt de grondslag gecreëerd voor het elektronische berichtenverkeer. Uiteindelijk zal het berichtenverkeer tussen de belastingplichtige en de Belastingdienst uitsluitend nog langs elektronische weg plaatsvinden. Bron: Kamerstukken II, 2014-2015, 34196, nr. 2 http://bit.ly/1goagzb Wijziging wetsvoorstel Wet op de kansspelen, de Wet op de kansspel belasting en enkele andere wetten in verband met het organiseren van kansspelen op afstand In deze nota van wijziging worden een aantal punten aangepast in het wetsvoorstel. Zo worden alle bepalingen inzake pokertoernooien geschrapt. Deze bepalingen zijn namelijk overbodig geworden nu de Hoge Raad heeft geoordeeld dat poker een kansspel in de zin van de Wet KSB is en dat pokertoernooien voor de Wet KSB casinospelen zijn. Het spelsysteem van de houder van een vergunning tot het organiseren van kansspelen op afstand moet bovendien zijn gekeurd door een keurings instelling. Accreditatie op zich is echter geen geschikt middel om fraude tegen te gaan. 8 - ICTRecht

Daarom wordt in de nota van wijziging voorgesteld keuringsinstellingen die de spelsystemen van de toekomstige vergunninghouders mogen keuren, door de Minister van Veiligheid en Justitie te laten aanwijzen. Die aanwijzing kan vervolgens weer worden ingetrokken indien in de keuringen van de desbetreffende keuringsinstelling niet langer voldoende vertrouwen kan worden gesteld. Bron: Kamerstukken II, 2014-2015, 33996, nr. 7 http://bit.ly/1imy1g9 Wetsvoorstel Camerabeelden Het wetsvoorstel beoogt een wijziging van de Wet bescherming persoonsgegevens met het oog op de verwerking van camerabeelden door bedrijven en particulieren ter ondersteuning van de opsporing. In artikel 22 van de Wet bescherming persoonsgegevens wordt hiertoe een lid ingevoegd. http://bit.ly/1zm1k5o Antwoorden kamervragen achterblijvende digitalisering Nederland Minister Kamp (EZ) reageert op de vragen die eerder zijn gesteld door lid Oosenbrug (PvdA) aan de Minister van Economische Zaken over achterblijvende digitalisering in. Zo wil Oosenbrug meer weten het onderzoek in de Harvard Business Review ( Digital Evolution Index ) waarin staat dat Nederland de snelst achteruitgaande digitalisering zou hebben, in vergelijking met 50 andere landen. Kamp herkent zich niet in het geschetste beeld (vooral met betrekking tot het snel verslechteren van de Nederlandse uitgangspositie), ook niet als hij kijkt naar vergelijkbare internationale ranglijsten, zoals die uit het jaarlijkse Global Information Technology Report van het World Economic Forum. Wel erkent hij dat Nederland vooral slecht lijkt te scoren op de hoeveelheid risicokapitaal. Bron: Kamerstukken II, 2014-2015, Aanhangselnummer 2039 http://bit.ly/1aoxjfn Kamerbrief over regelgeving voor drones Staatssecretaris Mansveld (IenM) informeert de Tweede Kamer over de publicatie op 30 april 2015 van regelgeving voor beroepsmatig gebruik van drones en de voorgenomen introductie van de categorie mini drone in de regelgeving. Het is de bedoeling dat de AMvB op 1 juli 2015 in werking zal treden. Bron: Kamerstukken II, 2014-2015, 30806, nr. 28. http://bit.ly/1clvxxg http://bit.ly/1jqbqzp ICTRecht - 9

COLUMN Brenno de Winter onderzoeksjournalist Leer helder afspraken maken! In 2007 werd bekend dat kantoorinrichter Samas serieus in de problemen was gekomen door een SAP-implementatie. Voor het dekken van de kosten moesten zelfs extra aandelen worden uitgegeven. Waar je zou verwachten dat er dan toch verwijtend naar een leverancier werd gekeken, bleek dat niet het geval: het bedrijf legde de schuld bij zichzelf. Precies datzelfde schuldbesef had Hans van Breukhoven in 2008 toen ook zijn SAP-project voor zijn Free Record Shop dramatisch was mislukt. De onderneming schreef een verlies 795.000 euro van het project. In die periode stelde SAP ook dat mislukte vaak de schuld van de klant is. Ook SAP stelde in dezelfde periode dat veel mislukte projecten aan de klant te wijten zijn. Lastig Het lastige met dit soort verhalen is dat het type projecten waar de trajecten verkeerd gaan enorm complex zijn. In tegenstelling tot veel standaard software kenmerkt Enterprise Resource Planning (ERP) door een grote hoeveelheid maatwerk. Wat dit soort leveranciers biedt, is een raamwerk om mee aan de slag te gaan. Daarna moet de software worden gekneed naar de organisatie die het gaat gebruiken. Maar wat twijfel oproept is de aanpak van de implementatiepartners, want doorzien zij wel welke complexiteit de klant over zich afroept? Want van de leverancier mag je wel verwachten dat zij hun producten met alle eigenaardigheden goed doorgronden en daarom ook kunnen doorzien waar mogelijke valkuilen zitten. Al verkoopt het niet lekker toch is dat wel iets wat vooraf veel aandacht verdient. Alleen maar roepen dat de afnemer fout is, is wel erg gemakkelijk. Informatiepostitie Natuurlijk moet de leverancier wel heel goed begrijpen hoe de omgeving van de klant in elkaar steekt. 10 - ICTRecht

Daarvoor moet je een informatiepositie opbouwen en veel vragen stellen. Precies dat blijkt bij veel projecten te weinig te gebeuren. Aan het begin van ieder project heerst het optimisme en zelfvertrouwen over mogelijkheden. Wie dan vraagt naar de mogelijke valkuilen is aan het zeuren. Toch zou de kritische houding veel problemen voorkomen. Ook moet heel helder zijn wie nu waarvoor verantwoordelijk is. Wie wel eens een Service Level Agreement (SLA) heeft gelezen, zal vast herkennen dat in veel gevallen helemaal niet duidelijk is wie nou waarvoor echt verantwoordelijk is. Recentelijk nam ik tien van die SLA s onder de loep en mij waren verantwoordelijkheden in het geheel niet duidelijk. Risico s benoemen en beleggen Als het aankomt op softwareontwikkeling schieten we daarop ernstig tekort. Misschien komt dat ook wel, omdat we nooit een gedegen risicoanalyse maken en daarom ook problemen niet tijdig kunnen beleggen. Dat geldt niet alleen voor het project zelf, maar ook voor eventuele beveiligingsproblemen. In de informatiebeveiliging is in Nederland een methodologie Grip op SSD ontstaan. Die gaat er juist vanuit dat risico s wel worden gezien, worden benoemd en aan een verantwoordelijke partij worden toebedeeld (klant, leverancier of hoster). Dat wordt vervolgens in de overeenkomst opgenomen. Niet om iemand de schuld te geven, maar zaken heel duidelijk vast te leggen. We beseffen het te weinig, maar ICT is echt een vak en daar hoort een volwassen aanpak bij. Afspraken moeten helder worden gemaakt en goed worden geborgd. Een dergelijke methodiek had veel ellende bespaard bij bedrijven als Samas en Free Record Shop. Voor hen is het echter te laat, want beide bedrijven zijn failliet. Helaas een indicator dat er kennelijk wel meer misging en geen ERP implementatie had dat kunnen oplossen... ICTRecht - 11

Auteur: Lisette Meij Juridisch adviseur Opleidingscoördinator Cookies, hebben we er nog trek in? Er is veel ophef geweest over de cookiewet en het was al een tijdje bekend dat iedereen de cookieregels helemaal zat waren. Bezoekers werden eindeloos verveeld met cookiemuren, banners en pop-ups. Ook website eigenaren zaten niet er niet op te wachten hun bezoekers met deze meldingen te bombarderen, dit is tenslotte een behoorlijke conversie-killer. Bovendien heerste er de vraag of de cookiewet (artikel 11.7a van de Telecommunicatiewet) haar doel, het beschermen van de privacy van bezoekers, wel wist te bereiken. Want klikken bezoekers niet standaard op akkoord of verder, bij het zien van een cookiemelding op een website om er maar vanaf te zijn? Het leek er al snel op dat bezoekers in plaats van zich bewust af te vragen of zij (persoons)gegevens aan een bepaalde website wilden afstaan, liever snel doorklikten om van alle meldingen af te zijn en gebruik te kunnen maken van een website. De cookiewet ging uiteindelijk, door de grote ergernis die het opleverden bij zowel de bezoekers als de website eigenaren, aan haar eigen doel voorbij. Plotseling bleek er licht in de duisternis toen op 11 maart 2015 het wetsvoorstel om de cookiewet te versoepelen in werking trad. Betekende dit dan eindelijk het einde van de cookie-ergernissen? Nee, dat zat er niet in. Desondanks heeft deze wetswijziging wél enige veranderingen met zich meegebracht die van belang zijn voor iedereen die gebruik maakt van cookies. 12 - ICTRecht Voordat de cookiewet werd gewijzigd was het de hoofdregel dat toestemming van de bezoeker nodig was om cookies te mogen plaatsen en dat de bezoeker over de te plaatsen cookies geïnformeerd werd. Slechts functionele cookies, cookies die technisch noodzakelijk zijn om een website te laten functioneren, mochten geplaatst worden zonder toestemming van de bezoeker. Voor álle andere cookies was er dus wel toestemming nodig, welke gevraagd werd via een cookiemuur, banner of pop-up. Voor het verkrijgen van toestemming om cookies te mogen plaatsen, verwijst de cookiewet naar de toestemming zoals wij deze kennen uit de Wet bescherming persoonsgegevens (hierna: Wbp ). Cookies kunnen persoonsgegevens zijn, zo is een IP-adres bijvoorbeeld al een persoonsgegeven. Het gebruik maken van cookies is daarom ook (in de meeste gevallen) een verwerking van persoonsgegevens. Dit heeft als gevolg dat er niet alleen toestemming op grond van de cookiewet vereist is, maar óók op grond van de Wbp. Omdat niet áltijd bij het gebruik van cookies er sprake is van een (ernstige) inbreuk op de privacy van de bezoeker, is er bij het wijzigen van de cookiewet gekozen voor een wettelijk compromis: men mag nu zonder toestemming cookies plaatsen mits de cookies de privacy van de bezoeker niet, of slechts een klein beetje, schenden én gebeurt voor het doel informatie verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij. Dit kunnen analytic cookies, A/B testing cookies en affiliate cookies zijn, mits deze cookies dus enkel worden ingezet om de kwaliteit en effectiviteit van een dienst te meten. Na het nemen van specifieke maatregelen mogen zelfs cookies afkomstig van Google Analytics zonder toestemming van de bezoeker geplaatst worden, een dienst waar men wat betreft privacy altijd huiverig voor is geweest. Dat dit is toegestaan blijkt uit een gepubliceerde handreiking van het College Bescherming Persoonsgegevens (hierna: CBP ) over hoe je je aan de privacywet kunt houden en toch Google Analytics kunt inzetten.

Deze handleiding was al door het CBP uitgegeven vóórdat de gewijzigde cookie wet werd aangenomen. Op die manier heeft het CBP geprobeerd om de gewijzigde cookiewet niet te laten botsen met de regels uit de Wbp. Door de volgende vier stappen te nemen, is het toegestaan Google Analytics zonder toestemming van de bezoeker te gebruiken: 1. Accepteer het Amendement gegevensverwerking in je Analyticsaccount ( Beheer > Account instellingen en dan helemaal onderaan); 2. Blokkeer het meezenden van volledige IP-adressen (ga( set, anonymizeip, true);) en forceer tevens SSL (ga( set, forcessl, true);); 3. Zet het delen van gegevens met Google uit ( Beheer > Account instellingen en dan vier instellingen uitvinken); 4. Informeer uw bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics. De eerste stap is dat er een bewerkersovereenkomst gesloten moet worden met Google. Op het moment dat er persoonsgegevens ten behoeve van een ander verwerkt worden, eist de Wbp namelijk dat er een zogeheten bewerkersovereenkomst tussen partijen wordt gesloten. Dit geldt dus ook wanneer derde partijen cookies plaatsen en/of uitlezen, en dus persoonsgegevens verwerken. In deze bewerkersovereenkomst wordt onder andere vastgelegd voor welke doeleinden persoonsgegevens verwerkt mogen worden, hoe de persoonsgegevens beveiligd moeten worden en hoe er gehandeld moet worden in het geval van een datalek. Vervolgens is het van belang om er zorg voor te dragen dat Google geen volledig IP-adres van de bezoeker ontvangt. Dit kan bij Google eenvoudig bewerkstelligd worden door de optie meezenden van volledige IP-adressen te blokkeren. Op deze manier worden de IP-adressen, wat persoonsgegevens zijn, gedeeltelijk geanonimiseerd. Door het gedeeltelijk anonimiseren van IP-adressen is de inbreuk op de privacy van de bezoekers vanzelfsprekend minder groot. Verder staat er standaard ingesteld dat verzamelde persoonsgegevens worden gedeeld met Google. Ook deze optie moet uitgeschakeld worden. Wordt deze optie niet uitgeschakeld, dan kan Google de verzamelde persoonsgegevens namelijk voor eigen doeleinden zoals benchmarks gebruiken. Google is in dat geval niet enkel bewerker van de persoonsgegevens, maar ook verantwoordelijke. Hiervoor is toestemming van de bezoeker nodig. Tot slot blijft de informatieplicht, ondanks dat er maatregelen worden genomen om een inbreuk op de privacy van de bezoeker te beperken, wel bestaan. Het verschaffen van informatie over het gebruik van cookies, en dus persoonsgegevens, is verplicht op grond van de Wbp. Er zal hierdoor nog steeds in een privacy- en/of cookieverklaring uitgelegd moeten worden door welke partijen er cookies geplaatst worden en waarvoor. ICTRecht - 13

Als alle stappen van het CBP worden gevolgd, blijkt het oké om in ieder geval wat betreft Google Analytics te spreken van een geringe inbreuk op de privacy, zodat een cookiebanner of pop-up weggelaten kan worden als daarmee wordt gewerkt. Als de stappen worden toegepast bij andere derde partijen die analytische-, A/B testing- of affiliate cookies plaatsen, dan kan beargumenteerd worden dat ook voor deze cookies geen toestemming meer gevraagd hoeft te worden. Op het moment dat een cookie gebruikt wordt voor tracking doeleinden en om bijvoorbeeld een profiel van de bezoeker op te stellen, dan blijft de cookiewet alsnog van kracht. Dit valt namelijk buiten het doel informatie over kwaliteit of effectiviteit. Bovendien is dat écht meer dan geringe inbreuk op de privacy. Hetzelfde geldt voor andere analyticsachtige tools waarbij je wél IP-adres gebonden informatie logt en analyseert. Hiervoor zal dus nog steeds toestemming van de bezoeker nodig zijn. Het is met de wijziging van de cookiewet uiteindelijk aan website eigenaren zelf om te bepalen of er bij de geplaatste cookies gesproken kan worden van geen of een geringe inbreuk op de privacy van haar bezoekers. Wellicht dat nu in bepaalde gevallen de cookiemelding achterwege gelaten kan worden, maar of de wijziging van de cookiewet ook voor meer gemak en duidelijkheid zorgt is de vraag. Ondertussen hebben we allang geen trek meer in cookies, maar helaas moeten we toch nog even doorbijten. 14 - ICTRecht

ICT-contracten opstellen of onderhandelen? Het Handboek ICT-contracten helpt u. Relevante clausules en contracten worden in detail behandeld. Meer dan 50 contractsclausules in detail behandeld, met voorbeeldteksten, alternatieven en analyse. Tevens behandelt het boek meer dan 30 ICT-contracten in detail, van Agile-softwareontwikkeling tot cloudhosting en van SaaSlicenties en EULA s tot reselling, bewerkersovereenkomst of online bemiddeling. Ook vindt u in het boek het benodigde theoretisch kader over contracteren in ICT. 79,- inclusief btw Nu bestellen: ictrecht.nl/hbict Meer informatie? Bezoek ictrecht.nl/hbict ICTRECHT

Auteur: Arnoud Engelfriet Partner De DDOS aanval als meningsuiting Met enige regelmaat zijn ze in het nieuws: denial-of-service aanvallen. Een webwinkel is onbereikbaar, online betalen gaat traag of een reis boeken is onmogelijk want de site wordt ge-ddost. Meestal gaat het om vandalisme of eenvoudige criminaliteit, maar sommige van deze aanvallen zijn meer politiek gemotiveerd. Men wil met de aanval een statement afgeven dat het bedrijf écht verkeerd bezig is. Een aanval als meningsuiting, kan dat? Elektronische verkeersopstopping Het principe achter een denial-of-service aanval (DoS-aanval) is simpel: het ver - oor zaken van een elektronische verkeersopstopping. Bij een dergelijke aanval worden ervoor gezorgd dat dit systeem niet meer in staat is normaal te functioneren. Voorbeelden zijn het massaal sturen van nepverzoeken naar Websites, iemands mailbox volstoppen met tienduizenden e-mailberichten (of juist met een paar hele grote berichten - een e-mailbom), of het zo vaak opvragen van een webpagina dat de server dit niet meer aankan. Verreweg de meeste DoS-aanvallen worden gedistribueerd uitgevoerd. Dat wil zeggen dat niet één aanvaller maar tientallen, of beter gezegd tienduizenden aanvallers van over de hele wereld tegelijk de aanval uitoefenen. Het is vrijwel onmogelijk hiertegen te verdedigen. Omdat het zo veel aanvallers zijn, en de samenstelling van de groep aanvallers per minuut kan wijzigen, is blokkeren of ontwijken geen optie. 16 - ICTRecht Strafbaar feit Een (distributed) denial of service- of (D)DoS-aanval is een misdrijf, strafbaar met maximaal één jaar cel of geldboete (art. 138b Strafrecht). En wanneer de (D)DoS-aanval leidt tot een stoornis in de gang of in de werking van een geautomatiseerd werk, kan tot zes jaar worden opgelegd als deze stoornis leidt tot gemeen gevaar voor goederen of diensten, en zelfs negen tot vijftien jaar als mensenlevens in gevaar komen (art. 161sexies Strafrecht). In 2005 werden de (grotendeels minderjarige) daders van een grootschalige DDoS-aanval op overheiddsites tot stevige taakstraffen veroordeeld op grond van ditzelfde artikel (Rb. Den Haag 14 maart 2005, LJN AT0222). In april 2010 werd een man veroordeeld voor het platleggen van twee discussieforums. En momenteel loopt er een strafzaak tegen de ver - moedelijke veroorzaker van de grootste DDoS aanval ooit. Ernstige misdrijven dus. Hoe kan dat ooit legaal zijn? Wikileaks In 2010 was klokkenluiderssite Wikileaks groots in het nieuws. Van diverse bronnen ontving men honderdduizenden geheime overheidsdocumenten, die vaak in samen werking met grote kranten werden gepubliceerd. Sympathisanten konden donaties doen via Paypal of creditcards. Echter, in december 2010 maakten Paypal, Mastercard en Visa bekend dat het niet langer mogelijk was om deze donaties uit te voeren omdat Wikileaks de gebruiksvoorwaarden van de diensten zou overtreden. Op zich is dat legaal. Een creditcardmaatschappij mag op grond van haar voorwaarden een bedrijf weigeren als klant, en mag ook die voorwaarden aanpassen als haar dat zo uitkomt en daarná een klant eruit gooien. Maar de beslissing gaf een hoop ophef het voelde te veel als oneerlijke druk uitoefenen op Wikileaks, als buigen voor de macht van de Amerikaanse

overheid die zich getroffen zag door deze lekken. Hoe kun je nu grote bedrijven als Master - card laten merken dat je het oneens bent met hun handelwijze? Van een e-mail zal men niet onder de indruk zijn. En protesteren voor de deur bij het hoofdkantoor is ook zo wat dat bevindt zich ergens op een bedrijventerrein in een obscuur dorpje ergens in de VS. Maar de site platgooien, dát zal zeker indruk maken. Het grondrecht van de uitingsvrijheid omvat zowel het recht om inlichtingen en denkbeelden te vergaren als om deze te publiceren (art. 10 EVRM). Dit recht is niet beperkt tot praten, ook uitingen zoals demonstraties zijn beschermd. En wat is het platgooien van een site anders dan een digitale demonstratie? In 2012 probeerde Shell via een kort geding actievoerders van Greenpeace te laten verbieden protestacties bij pompstations uit te voeren. Bij die acties werden vulpistolen aan elkaar gebonden met fietssloten, waardoor er enige tijd niet getankt kon worden, zodat de pomphouders financiële schade leden. Een fysieke DoS-aanval dus. Toch werd deze actie bij de rechter niet verboden enkel omdat schade werd toegebracht (Rb. Amsterdam 5 oktober 2012, LJN BX9310). Omdat hier sprake was van een meningsuiting, en daarmee van een inperking van een beschermd grondrecht, moet de rechter de belangen van de partijen afwegen. rechter concluderen dat er mogelijk sprake is van illegaal handelen. Hoe zwaar weegt de mening die de demonstranten uiten, en hoe zwaar is de inbreuk op de eigendomsrechten en ondernemersvrijheid van de pomphouders? Als belangrijke eis formuleerde de rechter daarbij de eis dat vooraf de actie moest worden gemeld, inclusief contactpersoon bij de organisatie. De acties moesten in tijd beperkt worden. En schade toebrengen mocht alleen als er geen enkel effectief middel meer was om zónder schade het punt duidelijk te maken. Belang van de misstand Wanneer is nu een DoS-aanval bij wijze van protest legaal? Allereerst zal het belang van de misstand waartegen wordt geprotesteerd moeten worden bepaald. Het maatschappelijk protest tegen Wikileaks was zó groot dat eerder te rechtvaardigen is dat deze boosheid zich kanaliseert in een DoS-aanval. Bij een puur eigen belang men is verbannen van een discussieforum of is boos om een artikel op GeenStijl lijkt me het platgooien van de site niet te rechtvaardigen. Waar de lijn te trekken, is moeilijk. In de hierboven genoemde grootste DoS-aanval ooit had het slachtoffer de verdachte op een algemeen gevolgde spamzwartelijst geplaatst, zodat de verdachte en zijn klanten geen reclamemails meer konden sturen. Met de aanval wilde men dan ook laten zien wat voor dubieuze rol het slachtoffer speelde, aldus de verdachte in de pers. Algemeen of eigen belang? ICTRecht - 17

Ook essentieel zal zijn welke alternatieven ter beschikking staan aan de actievoerders. Is het bedrijf fatsoenlijk bereikbaar via e-mail of sociale media? Reageert men op klachten of hult men zich in stilzwijgen of pro forma persberichten? Deze route zal eerst moeten worden gevolgd voordat het extreme middel van de DoS-aanval kan worden ingezet. En als laatste zal de aanval aan zorgvuldigheidseisen moeten voldoen. Een aankondiging en contactpersoon zijn nodig, en de actievoerende organisatie moet grenzen stellen aan wat ze gaan doen. Liever een uur dan een week een DDoS, liever een symbolische aanval op een algemene webpagina dan een cruciale bedrijfsserver en graag op een moment waarbij de schade niet meteen in de miljoenen loopt. Dan zou het punt duidelijk moeten zijn; escalatie kan altijd nog. En als laatste vereiste bij een DoS-protestaanval zou ik nog willen aantekenen dat hierbij nimmer een botnet van onwetende derden mag worden ingezet. Wie mee wil doen mag meedoen, maar moet wel zélf kiezen zijn computer in te zetten voor het protest. Als voldaan is aan al deze zorgvuldigheidseisen, en het belang van de misstand is groot genoeg, dan zou naar mijn mening sprake moeten zijn van een legitieme DoS-aanval waarvan de deelnemers straffeloos moeten blijven. Uitzonderlijk, maar niet onmogelijk. DE KENNISDAG OVER ICT VOOR DE JURIDISCHE PRAKTIJK DINSDAG 6 OKTOBER VINDT IN DE FABRIQUE IN UTRECHT HÉT KENNISEVENT OVER ICT VOOR DE JURIDISCHE PRAKTIJK PLAATS. IN ÉÉN DAG BENT U VOLLEDIG UP-TO-DATE OVER DE ICT VRAAGSTUKKEN VAN DIT MOMENT ZOALS DIGITALISERING, OPTIMALISATIE VAN UW WERKPROCESSEN EN WET- EN REGELGEVING. PLEIT IS KOSTELOOS TOEGANKELIJK VOOR ADVOCATEN, NOTARISSEN EN DEURWAARDERS EN MEDEWERKERS VAN DEZE KANTOREN. VOOR OVERIGE GEÏNTERESSEERDEN WORDT EEN TOEGANGSPRIJS GEHEVEN. WWW.PLEIT.NL HOOFDSPONSOR: 18 - ICTRecht

Auteur: Steven Ras Partner ICTRecht Plus, Premium & Corporate service Bij ICTRecht bent u verzekerd van hoogwaardige juridische dienstverlening. Wij zien ons graag als uw juridische partner die meedenkt met uw onderneming en een proactieve bijdrage levert aan uw bedrijfsvoering. Hierin willen wij verder gaan dan u nu al gewend bent. Daarom bieden wij u extra service in de vorm van een inventarisatie, contractmanagement, in-house juristen en specialistische privacy-kennis. Hoeveel service u krijgt hangt af van het service niveau dat u kiest. Als afnemer van het plus service level heeft u recht op het at your service pakket en doen wij een inventarisatie en het contractmanagement. Wilt u nog meer service en voor een vast bedrag per maand ons als huisjurist op afstand gebruiken? Kies dan het premium pakket! Bent u toe aan een vaste jurist op locatie met de continuïteit van het gehele ICTRecht team? Dan is het corporate pakket uw juiste service level. Service level Plus At your service Met de keuze voor een Plus, Premium of Corporate service level staat ICTRecht altijd voor u klaar. Dit betekent het volgende voor u: Altijd bereikbaar voor kleine vragen of opdrachten; Legal updates (zoals de factsheet nieuwe cookieregels ); Een van de ICTRecht juristen als vaste eerste aanspreekpunt; Vrije toegang tot trainingen en webinars; Ontvangst van het tijdschrift ICTRecht in de praktijk en onze boekencollectie; Afhandeling van opdrachten met spoed zonder aanvullend tarief; Toegang tot partners Arnoud Engelfriet en Steven Ras. Service level Plus Premium Corporate At your service Juridische inventarisatie Contractmanagement Opstellen van overeenkomsten en adviezen Contractonderhandelingen In-house training (jaarlijks) In-house jurist (wekelijks) Privacy officer + 750,- + 750,- Abonnementsvorm Jaarabonnement Per kwartaal opzegbaar Maandelijks opzegbaar Maandelijkse kosten 850,- 1.850,- 4.650,- ICTRecht - 19

Inventarisatie De inventarisatie bestaat uit het beoordelen van alle (op dat moment) relevante overeenkomsten door ICTRecht. Waar nodig stellen wij eventuele aanpassingen voor. Op die manier voorziet u uw juridische documenten van een nodige opfrisbeurt. Vervolgens archiveren wij deze overeenkomsten, zodat er contractmanagement kan plaatsvinden. Denk hierbij aan de volgende documenten: a. Eigen algemene voorwaarden + overeenkomsten met opdrachtgevers; b. overeenkomsten met leveranciers (hostingpartij, ICT Leverancier, softwarelicenties); c. privacy documenten (privacy policy, bewerkersovereenkomsten); Contractmanagement Als alle relevante documenten na de inventarisatie zijn gearchiveerd, neemt ICTRecht de verantwoordelijkheid op zich voor het beheer van die contracten. Op die manier ontzorgen wij u voor wat betreft de belangrijkste doorlopende juridische zaken. Contractmanagement houdt het volgende in: a. agendering van en notificatie bij belangrijke (opzeg-)termijnen; b. monitoring van en aanpassingen bij invloedrijke wetswijzigingen c. impact van verandering in bedrijfsvoering op bestaande contracten. Service level Premium 20 - ICTRecht Opstellen en beoordelen van juridische documenten De werkzaamheden van ICTRecht zullen voornamelijk bestaan uit het opstellen of beoordelen van uiteenlopende juridische documenten zoals voorwaarden, overeen komsten en adviezen. Wij houden bij het uitvoeren van opdrachten rekening met de bij ons aanwezige kennis over uw organisatie. Als afnemer van het Premium pakket rekenen we geen kosten voor het opstellen van juridische documenten en adviezen. Contractonderhandelingen Wilt u met een klant of leverancier in onderhandeling over een nieuw contract? En heeft u daarbij behoefte aan een praktisch meedenkende jurist die niet alleen op de regeltjes let maar, ook vanuit uw bedrijfsbelang én dat van uw wederpartij oplossingen zoekt? Als afnemer van het premium service level kunt u ons als uw huisjurist inzetten tijdens dit traject. Jaarlijkse in-house training Wilt u de juridische kennis binnen uw organisatie verhogen en jaarlijks onderhouden? Dan is een in-house training van ICTRecht een goede manier om dat te doen. ICTRecht verzorgt al enkele jaren met succes juridische trainingen en is geaccrediteerd door de Orde van Advocaten (PO gecertificeerd). Een in-house training wordt volledig voor u op maat ontwikkeld waarbij voorbeelden uit uw eigen praktijk in het cursusprogramma worden verwerkt. Op die manier blijft uw personeel op de hoogte en worden ze bewust van de juridische gang van zaken binnen uw organisatie. Service level Corporate In-house jurist Heeft u meer juridische ondersteuning nodig dan wij op afstand kunnen leveren? Wellicht is het Corporate pakket dan iets voor u. In samenspraak met u gaan we kijken of er een jurist namens ICTRecht bij u op locatie werkzaamheden kan verrichten. U heeft dan alsnog het volledige team van ICTRecht tot uw beschikking én is er een vast aanspreekpunt in uw organisatie. Een vaste jurist op locatie heeft als voordeel dat die bij vergaderingen aanwezig kan zijn zodat juridische issues direct worden gesignaleerd. Wij gaan uit van een plaatsing van een jurist voor één dag in de week. Afhankelijk van uw bedrijf en de soort dienstverlening is er altijd wel een specialist te vinden die we bij u kunnen plaatsen. De exacte voorwaarden voor deze verregaande samenwerking bespreken we graag met u. Privacy officer De Wet bescherming persoonsgegevens biedt organisaties ruimte om een functio - naris voor de gegevensbescherming aan te stellen. Dit is een persoon die toeziet op de omgang met persoonsgegevens binnen een de organisatie en controleert of de organisatie voldoet aan de wet en eventuele andere toepasselijke regel geving. Het aanstellen van een functionaris is nog niet verplicht, maar wanneer uw organisatie dit doet, hoeft de verwerking van persoonsgegevens niet gemeld te worden bij het College bescherming persoonsgegevens. Met de komst van de Europese privacyverordening wordt het verplicht voor organisaties die aan bepaalde voorwaarden voldoen (bijv. een organisatie die van meer dan 5000 personen gegevens verwerkt) wél verplicht om een functionaris of privacy officer aan te stellen. ICTRecht kan voor uw organisatie optreden als privacy officer en vraagbaak zijn voor allerhande vraagstukken die in uw organisatie spelen omtrent privacy en het gebruik van persoonsgegevens. Onze privacy officers zijn lid van de International Association of Privacy Professionals (IAPP) en Certified Information Privacy Professional/Europe (CIPP/E).