van ICT recht

Subscribe to feed van ICT recht
Deskundig, praktisch en concreet juridisch advies tegen een passend tarief.
Bijgewerkt: 1 uur 27 min geleden

Wettelijke garantie, wat is dat?

wo, 08/16/2017 - 11:09

Wettelijke garantie wil zeggen dat een product datgene is of moet doen wat de consument er in alle redelijkheid van mag verwachten. Wat zeg je? En wat moet je ermee in jouw webshop?

Als een verkoper spreekt over wettelijke garantie, wordt conformiteit bedoeld. De Nederlandse wet zegt over conformiteit dat dat betekent dat de afgeleverde zaak aan de overeenkomst moet beantwoorden. Hoe weet je nou of de afgeleverde zaak aan de overeenkomst beantwoord? En dus of het product voldoet aan wat de consument er in redelijkheid van mag verwachten?

De verwachting bij een besteld product

De afgeleverde zaak, het product, moet alle eigenschappen bezitten die de consument mocht verwachten. Dat wil niet zeggen dat elk product de gehele levensduur perfect moet werken, want het is niet altijd redelijk om te verwachten dat een product perfect werkt. Een verwachting kan door de consument worden gebaseerd op dingen die de verkoper heeft gezegd, op het soort product en waar het product voor gebruikt wordt.

Als de verkoper aan de consument heeft verteld dat een bepaald product een speciale functie heeft of ergens speciaal voor bestemd is, dan mag de consument die speciale functie of bestemming van het product verwachten. Een voorbeeld: je laat aan de consument zien of vertelt dat de SmartTV perfect beeld heeft, helemaal als je de app van Netflix gebruikt. De consument mag er dan vanuit gaan dat op de SmartTV een app wordt aangeboden waarmee films en series kunnen worden bekeken. De verwachting ziet trouwens ook op het (eventueel vermelde) aantal, de maat of het gewicht van het product.

De garantietermijn

De Europese wetgever stelt dat verkopers in Europese landen minimaal 2 jaar garantie moeten bieden op geleverde producten. De nationale regels mogen hiervan afwijken, maar alleen als de rechten van de consument daarmee worden vergroot. In Nederland is de norm open gelaten, door te verwijzen naar ‘de verwachte levensduur’. Met de verwachte levensduur moet per product worden beoordeeld hoe lang de garantietermijn is.

Wie bepaalt dan de termijn voor wettelijke garantie? Uiteindelijk de rechter, maar het zal niet snel voorkomen dat de rechter hierover bij jouw product zal beslissen. De waarde van het product weegt voor consumenten vaak niet op tegen de kosten en moeite van het starten van een juridische procedure. Je zult er daarom samen met je consument uit moeten komen, iedere keer als die zich op zijn wettelijke garantie beroept. Je kunt niet van te voren op je website al aangeven dat de klant van al jouw producten mag verwachten dat deze een levensduur van maximaal 1 jaar hebben. De consument kan namelijk, door meerdere omstandigheden, redelijkerwijs iets heel anders verwachten.

Jij als verkoper kunt de verwachting van de consument niet vastzetten op een bepaalde termijn, al helemaal niet voor alle aangeboden producten in het algemeen. Je kunt de consument alleen enige zekerheid bieden door een indicatie te geven. Je kunt aangeven wat je minimaal van een bepaald product verwacht, omdat je daarmee de wettelijke garantie niet beperkt.

De levensduur van een product

Dat blijft toch nog steeds vaag? Dat klopt. De Nederlandse wet houdt de wettelijke garantie vaag. Alle omstandigheden wegen telkens mee bij het bepalen van de duur van de wettelijke garantie. De verwachte levensduur van een product kan bij de ene verkoper 5 jaar zijn, terwijl dit bij de andere verkoper maar 2 jaar is.

Dit komt dan door de verwachting die de verkoper daarover heeft geschept. Heeft de verkoper het product bijvoorbeeld heel goedkoop aangeboden? Dan verwacht de consument geen topkwaliteit. Heeft de verkoper gezegd dat het product als beste getest is? Dan verwacht de consument dat het product een behoorlijke periode mee zal gaan, waarschijnlijk langer dan gelijksoortige producten. Of als de fabrikant heeft laten weten hoe lang een product zou moeten meegaan, zoals bij het lekken van de verwachte levensduur van Apple producten, dan moet je daar als verkoper ook rekening mee houden bij de garantie.

Productinformatie essentieel bij verwachting levensduur

De wettelijke garantie is dus vaag en de lengte ervan is afhankelijk van verschillende omstandigheden. Je wilt je consument natuurlijk het liefst zo goed en zo duidelijk mogelijk informeren. Zorg er daarom voor dat je zo veel mogelijk informatie over en eigenschappen van een product op je website vermeldt.

Een omstandigheid die mee kan spelen is de aard van het product. Zijn het tweedehands producten? Dan betekent dit dat de consument hiervan niet net zulke hoge verwachtingen van mag hebben als van nieuwe producten. Heb je de consument echter niet verteld dat het om een tweedehands product gaat? Dan mag de consument verwachten dat het een nieuw product was en dat de levensduur daarom langer is dan bij tweedehands producten.

Feitjes over garantie
  • Garantie is niet hetzelfde als retourneren. Om gebruik te maken van de garantie, kan het voor de klant wel noodzakelijk zijn om het product naar de leverancier of fabrikant te retourneren, in de letterlijke zin van het woord, namelijk: terugsturen. Retourneren wordt in de online wereld verder vooral gebruikt voor de procedure van het herroepingsrecht.
  • Wettelijke garantie is niet hetzelfde als fabrieksgarantie. Een fabrieksgarantie is een commerciële garantie die door de fabrikant kan worden gegeven als extra’tje. Omdat het een extra’tje is, dat niets vervangt en geen enkele afbreuk doet aan de wettelijke garantie, mag de fabrikant hier voorwaarden aan stellen. Hij moet de inhoud van deze garantie zelfs goed omschrijven, waarbij geldt dat aan deze garantie wel een termijn moet worden gehangen.
  • Wettelijke garantie is niet hetzelfde als verkopersgarantie, verkopersgarantie is niet hetzelfde als fabrieksgarantie. Een verkoper kan naast de garantie die de fabriek biedt en naast de wettelijke garantie ook zelf een garantie aanbieden. Ook deze garantie kan en mag geen afbreuk doen aan de wettelijke garantie, maar omdat het een extra’tje is, moeten de voorwaarden die aan deze garantie worden verbonden wel duidelijk zijn voor de klant. Ook hier moet dus wel een termijn voor worden vermeld.
  • Wettelijke garantie in Nederland is niet hetzelfde als wettelijke garantie in andere Europese landen. In Nederland wordt de duur van de wettelijke garantie per product bepaald, voor een wasmachine zou dit bijvoorbeeld prima 5 jaar kunnen zijn. In België geldt echter voor elk product, dus ook voor diezelfde wasmachine, een wettelijke garantie van 2 jaar. De wettelijke garantie kan na die termijn niet meer worden ingeroepen, tenzij er in de tussentijd reparatie of vervanging heeft plaatsgevonden waardoor de termijn is verlengd.

 

Zeker weten dat u voldoet aan alle relevante webwinkel regelgeving?

Webwinkels hebben te maken met speciale juridische eisen. Zo schrijft de wet voor dat u zich moet identificeren, dat uw algemene voorwaarden op een specifieke manier moeten worden aangeboden en dat u in een privacyverklaring moet toelichten wat u doet met persoonlijke informatie.

> Meer informatie en aanvragen van webshop scan

Het bericht Wettelijke garantie, wat is dat? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Juridische obstakels bij cross border e-commerce

do, 08/10/2017 - 14:01

Hoewel het vertrouwen van de Europese consument om online te kopen in andere EU-landen toeneemt, blijven webshops terughoudend om over de grens te verkopen. Internationaal verkopen heeft namelijk tot gevolg dat je te maken hebt met verschillende (onduidelijke) nationale regels. Hier een overzicht van belangrijke aandachtspunten voor internationaal online verkopen.

Het internet heeft geen grenzen. Het lijkt daarom een eenvoudige stap voor webshops om internationaal te gaan verkopen. Vanzelfsprekend is het belangrijk een marktonderzoek te doen naar het nieuwe afzetgebied, de (taal van de) website aan te passen, implementeren van nationale vervoerders en payment providers en zorgen dat je vindbaar bent over de grens. Toch ervaren veel webshops juridische obstakels om over de grens te gaan verkopen. Zij maken zich zorgen over onder andere verschillen in belastingregels of nationaal contractenrecht en verschillen in consumentenwetgeving.

Belastingregels

In principe geldt dat voor het verkopen van producten of diensten in Nederland je gebonden bent aan de Nederlandse btw-verplichtingen. Verkoop je over de grens, dan gelden de btw-verplichtingen van het land waar de koop plaatsvindt. Denk hierbij aan de nationale tarieven en registratieplicht. Hierop zijn enkele uitzonderingen:

  • Omzet online goederenverkoop aan consumenten onder drempelbedrag: je krijgt pas met de andere btw-verplichtingen te maken als de omzet in dat land boven een bepaald drempelbedrag uitkomt. De drempelbedragen variëren echter per land.
  • Digitale diensten: sinds 2015 geldt de Mini-One-Stop-Shop (MOSS), dat de verkoper van digitale diensten (bijv. streaming) aan consumenten zich slechts in één land hoeft te registreren.
  • Mogelijke uitbreiding MOSS regeling per 2021 (?): voorgesteld is om de MOSS regeling uit te breiden naar online verkoop van goederen aan consumenten.
Toepasselijk recht op de overeenkomst

De meeste regelgeving op het gebied van consumentenrecht is geharmoniseerd binnen Europa. Dat betekent dat veel dezelfde regels gelden. Maar omdat veel regels afkomstig zijn uit richtlijnen waarbij de lidstaten enige vrijheid hebben over hoe zij die regels in de nationale wetgeving implementeren, bestaan er wel verschillen, bijvoorbeeld:

  • Garantie: in veel landen geldt een garantietermijn van 2 jaar. In Nederland is er geen vaste garantietermijn, maar verschilt die per product.
  • Algemene voorwaarden: sommige landen hanteren een lijst met niet-toelaatbare clausules.
  • Nationale jurisprudentie: een nationale rechter kan uitspraak doen over bijv. of een bepaald product onder de wettelijke uitzondering van het herroepingsrecht valt.

Wanneer een website zich op een bepaald land richt (bijvoorbeeld door het hanteren van een nationale domeinextensie, taal of munteenheid), dan is het recht van dat land van toepassing op de overeenkomst. In de overeenkomst kan hier tot op zekere hoogte vanaf worden geweken. Men doet er dan ook verstandig aan om in de algemene voorwaarden een clausule op te nemen dat bijvoorbeeld Nederlands recht van toepassing is op de overeenkomst. Let er hierbij wel op dat deze clausule zo wordt geformuleerd dat de consument niet eventuele extra bescherming verliest van het land waar hij woont.

Verantwoordelijkheid verkoper

Als verkoper ben je aansprakelijk en verantwoordelijk tegenover de consument. De consument koopt het immers bij jou. Maakt de consument gebruik van zijn herroepingsrecht, dan moet de webshop het product retour nemen (en de verzendkosten voor de heenzending vergoeden), ook al bevindt de consument zich in een ander land. Hetzelfde geldt met betrekking tot de garantie. Wanneer een product niet voldoet aan de verwachtingen van de consument, dan kan de consument de webshop aanspreken voor vervanging of reparatie, of in het uiterste geval teruggave van het aankoopbedrag.

Overige (nationale) verplichtingen en voorschriften

Wees je ervan bewust dat in andere landen mogelijk andere regels gelden voor je handelsactiviteiten. Zo bestaan er verschillen in informatievoorschriften en producteisen in verband met etikettering, (energie)labels, gebruiksaanwijzing, veiligheid en verpakking. Vaak moet productinformatie in de taal staan van het land waar het op de markt komt. Ook kunnen de regels voor het versturen van commerciële berichten verschillen. In Duitsland is bijvoorbeeld een dubbele opt-in verplicht. Bedenk je verder ook dat je op deze nieuwe markt te maken krijgt met nieuwe concurrenten. Het is belangrijk om ervoor te zorgen dat jouw product, merknaam of logo geen inbreuk maakt op de intellectueel eigendomsrechten van die spelers.

Tot slot

Via je webshop internationaal gaan verkopen kan heel aantrekkelijk zijn en lijkt eenvoudig. Maar het vereist investeringen. Start daarom niet meteen met over de grens verkopen, maar oriënteer eerst goed welke markt het meest geschikt is en waar de minste (juridische) obstakels zijn. Wellicht dat het een optie is om eerst via platformen zoals Amazon te verkopen. En als je dan écht de stap gaat maken kun je met de SIB kennisvoucher tot 50 procent subsidie krijgen, max € 2.500,- (ex. btw), voor juridisch advies bij internationaal ondernemen.

Dit artikel is tevens gepubliceerd bij Internetkassa.

 

Juridische documenten nodig voor uw webwinkel?

Met de juridische generatoren van ICTRecht bij JuriDox maakt u eenvoudig binnen enkele minuten gratis herroepingsrechtvoorwaarden of webwinkelvoorwaarden, een privacyverklaring of een gratis website disclaimer. Mocht u daarna een review of extra advies nodig hebben, kunt u dit simpel aanvragen en staan wij voor u klaar.

Het bericht Juridische obstakels bij cross border e-commerce verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Wanneer is een concurrentiebeding en relatiebeding in contract voor bepaalde tijd toegestaan?

do, 08/10/2017 - 07:30

Sinds de invoering van de Wet Werk en Zekerheid op 1 januari 2015 zijn er nieuwe regels voor het gebruik van een concurrentiebeding en relatiebeding in contracten voor bepaalde tijd. Een concurrentiebeding beperkt de werknemer om voor een bepaalde periode werkzaamheden te verrichten voor concurrenten of relaties van de werkgever. In een relatiebeding wordt verboden dat de werknemer na het einde van het dienstverband contact onderhoudt met de relaties van de werkgever.

Wat is er veranderd door de Wet Werk en Zekerheid?

Met de nieuwe regels is het in eerste instantie niet langer mogelijk om een concurrentiebeding en/of een relatiebeding op te nemen in een arbeidsovereenkomst voor bepaalde tijd. De reden hiervoor is dat een werknemer geen “dubbel nadeel” mag ondervinden van het concurrentie- en/of relatiebeding. Een contract voor bepaalde tijd waarin een concurrentiebeding is opgenomen zorgt er niet alleen voor dat de werknemer na een bepaalde tijd geen werk meer heeft, maar daarnaast wordt de werknemer ook nog eens beperkt in het zoeken van een andere baan.

De wetgever heeft om deze reden dan ook zware eisen gesteld aan het opnemen van een concurrentiebeding en/of relatiebeding in een contract voor bepaalde tijd. Op deze regel heeft de wetgever een uitzondering gemaakt. De werkgever mag een concurrentiebeding en/of relatiebeding opnemen in een contract voor bepaalde tijd wanneer er voor de werkgever sprake is van zwaarwegende bedrijfs- of dienstbelangen.

Het belang van de werkgever bij een concurrentiebeding of relatiebeding kan zijn dat de bedrijfsgeheimen moeten worden beschermd of dat moet worden voorkomen dat de werknemer bepaalde klanten van de werkgever benaderd, dan wel meeneemt wanneer zijn dienstverband eindigt.

Hoe moet het concurrentie- en/of relatiebeding worden opgebouwd?

De werkgever moet schriftelijk motiveren waarom er volgens hem sprake is van een zwaarwegend bedrijfs- of dienstbelang wanneer de werkgever in het contract voor bepaalde tijd een concurrentiebeding en/of relatiebeding opneemt. Wanneer is er sprake van een zwaarwegend bedrijfs- of dienstbelang?  Van belang is in ieder geval dat de werknemer specifieke werkzaamheden verricht, dan wel werkzaam is in een specifieke functie. Het gaat er dan om dat de werknemer specifieke kennis of bedrijfsinformatie tot zich krijgt en waarbij de werkgever onevenredig benadeeld wordt wanneer de werknemer met deze specifieke kennis gaat werken bij de concurrent van de werkgever.

Een concurrentie- en relatiebeding moet per werknemer en afzonderlijk van elkaar worden gemotiveerd. Het gaat immers om twee bedingen met ieder een eigen werking en strekking. Dit brengt met zich mee dat beide bedingen een daarop van toepassing zijde motivering moeten hebben. De motivatie van de zwaarwegende belangen moet gelijktijdig bij het aangaan van het concurrentiebeding worden opgenomen. Let wel; deze zwaarwegende belangen moeten bij het einde van het dienstverband ook nog aanwezig zijn, wil de werkgever een beroep kunnen doen op het concurrentie- en/of relatiebeding.

Om een geslaagd beroep te kunnen doen op een concurrentiebeding en/of relatiebeding moet deze deugdelijk zijn geformuleerd. In dit beding moet in ieder geval staan:

  • Een omschrijving van de specifieke werkzaamheden van de werknemer;
  • Een omschrijving van de specifieke dienstverlening die de werkgever verricht;
  • De noodzaak waarom er sprake is van zwaarwegende bedrijfs- of dienstbelangen en waarom de belangen van de werkgever beschermd moeten worden.
Wat gebeurt er bij het ontbreken van een deugdelijke motivering?

Een concurrentie- of relatiebeding kan nietig worden verklaard als er geen motivering is opgenomen. Is er bij het beding wel een motivering opgenomen dan kan de werknemer alsnog naar de rechter wanneer de werknemer van mening is dat er geen sprake (meer) is van een zwaarwegende bedrijfs- of dienstbelang die het beding noodzakelijk maken. Het maakt daarvoor niet uit dat het beding deugdelijk gemotiveerd is. De rechter kan het beding vernietigen wanneer hij van mening is dat het beding niet noodzakelijk is of wanneer de werknemer in verhouding tot het te beschermen belang, onbillijk wordt benadeeld.

> MEER ARBEIDSRECHT ADVIES

Juridische documenten nodig?

Met de juridische generatoren van JuriDox kennispartners ICTRecht en Grant Thornton maakt u in enkele minuten eenvoudig zelf arbeidsovereenkomsten, reglementen voor BYOD, cameratoezicht of ICT. Daarnaast vindt u tientallen andere generatoren voor uw onderneming. U kunt tevens voor een kleine meerprijs een review of extra advies aanvragen bij onze juristen.

> MAAK ZELF UW JURIDISCH DOCUMENT

Het bericht Wanneer is een concurrentiebeding en relatiebeding in contract voor bepaalde tijd toegestaan? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Nieuwe regels voor communicatie met de overheid?

wo, 08/09/2017 - 07:30

Recent is het nieuws naar buiten gekomen dat het ‘Wetsvoorstel modernisering bestuurlijk verkeer’ wordt voorgelegd aan de Raad van State voor advies. In dit wetsvoorstel staan wijzigingen over digitaal contact met de overheid. De wet zoals deze er nu ligt, is namelijk sterk verouderd omdat communicatie steeds meer plaatsvindt via het internet.

Op dit moment is het zo dat de digitale weg alleen openstaat wanneer een overheidsorgaan dit duidelijk maakt aan de burger. In de praktijk zal het zo zijn dat er een webformulier is te vinden op een gemeentelijke website voor het melden van bijvoorbeeld een kapot wegdek of verkeerslicht. Ook kan het zo zijn dat voor bepaalde vraagstukken wordt verwezen naar een e-mailadres waarnaar de melding kan worden toegestuurd. In deze situaties laat het overheidsorgaan duidelijk weten dat zij voor bepaalde vraagstukken bereikbaar is via een specifiek aangewezen digitaal kanaal.

Wat zijn nu exact de spelregels voor het elektronisch bestuurlijk verkeer en waar moeten overheidsorganen op letten bij de toepassing van dit wetsvoorstel in de organisatie?

Spelregels van elektronische communicatie tussen overheid en burger

De Algemene wet bestuursrecht is heel duidelijk over de spelregels: zowel de overheid als de burger moeten akkoord gaan met het elektronische berichtenverkeer. Wanneer beide partijen hiermee akkoord zijn, dan verplicht het rechtszekerheidsbeginsel dat alle communicatie rondom dat onderwerp moet verlopen via de elektronische weg. Dit betekent dat, wanneer de burger via een gemeentelijke website een webformulier kan invullen en hierbij zijn e-mailadres heeft doorgegeven, hij hierover geen reactie per post mag ontvangen. Alle communicatie over dat onderwerp moet dan plaatsvinden via het e-mailadres dat de burger heeft opgegeven.

De gemeente heeft immers – door het aanbieden van een webformulier – aangegeven via deze elektronische weg bereikbaar te zijn. De burger heeft hiermee ingestemd doordat hij zijn e-mailadres heeft doorgegeven. Beide partijen zijn dus akkoord om via e-mail te communiceren.

Op deze hoofdregel bestaan enkele uitzonderingen. Te denken valt aan de belastingaangifte die tegenwoordig uitsluitend via DigiD kan plaatsvinden, de aanvraag van een omgevingsvergunning via het omgevingsloket en berichten over de rechtspositie van ambtenaren.

Daarnaast moet de verzending van een bericht via de elektronische weg op een voldoende betrouwbare en vertrouwelijke manier plaatsvinden. De wetgever bedoelt hiermee dat achteraf moet kunnen worden gecontroleerd wie de afzender is van het bericht, of het bericht ongewijzigd is ontvangen en of onbevoegden hiervan geen kennis hebben kunnen nemen. Of de wijze van verzending van het bericht voldoet aan de eisen van ‘betrouwbaarheid en vertrouwelijkheid’ is mede afhankelijk van de aard en de inhoud van het bericht en het doel waarvoor het wordt gebruikt. Dit zorgt ervoor dat aan een melding van een kapot verkeerslicht minder hoge (beveiligings)eisen worden gesteld dan aan een belastingaangifte.

Het is niet zo dat de overheid elk bericht moet accepteren dat elektronisch naar haar wordt verzonden wanneer zij bekend heeft gemaakt elektronisch bereikbaar te zijn. Berichten die niet voldoen aan de eisen van ‘betrouwbaarheid en vertrouwelijkheid’ mogen worden geweigerd. Te denken valt aan een bericht met daarin vertrouwelijke gegevens die onbeveiligd is verzonden. Ook elektronische berichten die tot een onevenredige belasting leiden, hoeven niet te worden aanvaard.

Wetsvoorstel modernisering bestuurlijk verkeer

Anders dan nu het geval is, stelt het wetsvoorstel voor om burgers het recht te geven op elektronische communicatie met de overheid. Voor overheidsorganisaties betekent dit dat zij voor elk officieel bericht een digitaal kanaal of digitale kanalen beschikbaar moet stellen. Alle overheidsorganisaties moeten dus nagaan op welke manier zij de berichten willen ontvangen en of er nog nieuwe systemen moeten worden aangeschaft. Wil zij alle berichten binnenkrijgen via een algemeen e-mailadres, een ingevuld webformulier of moet de burger het bericht versturen via de berichtenbox (zoals) mijnoverheid.nl?

Welk kanaal kiest een overheid voor communicatie met de burger over een specifiek onderwerp?

De keuze die wordt gemaakt door een overheidsorganisatie, zal afhankelijk zijn van de wettelijke verplichtingen die worden gesteld aan een dergelijk officieel bericht. Daarbij mogen de eisen die worden gesteld aan het bericht, geen onnodige belemmeringen opwerpen voor de burger. Hierbij moet rekening worden gehouden met het type bericht. Aan sommige berichten mogen namelijk zwaardere eisen worden gesteld dan aan het gemiddelde bericht.

Wanneer er wordt gekozen voor een webformulier zal de overheid aan de burger een kopie moeten verstrekken van de door de burger ingevulde gegevens. Bovendien zal de overheid ook een ontvangstbevestiging moeten toesturen. Daarom is het aan te raden dat bij het webformulier wordt gevraagd naar het e-mailadres van de burger zodat bekend is naar welk adres de bevestiging moet worden toegezonden.

Een ontvangstbevestiging is echter niet noodzakelijk wanneer de burger en de overheid gebruik maken van hetzelfde softwaresysteem, zoals een berichtenbox. Beide partijen kunnen dan immers zien dat het bericht beschikbaar is. Een nadeel van het gebruik van een dergelijk systeem is dat de overheid de bewijslast heeft met betrekking tot de verzending en ontvangst van berichten. Dit betekent dat sommige gegevens moeten worden gelogd om te kunnen voldoen aan deze bewijsplicht.

Wat als de burger het verkeerde kanaal heeft gebruikt? Volgens het wetsvoorstel is het overheidsorgaan verplicht om dit bericht intern door te sturen. Deze verplichting bestaat daarentegen niet wanneer het bericht wordt verzonden via een kanaal dat niet wordt gebruikt door het betreffende overheidsorgaan.

Digitalisering bij de overheid – ICTRecht Academy

Van het “openbaarmaken van (ambts)geheimen via social media”, en “elektronisch verkeer met de burger”, tot en met “Privacy en datalekken”: vrijwel alle relevante onderwerpen worden 14 september besproken in deze training voor ambtenaren.

> Meer informatie en aanmelden. Deze training wordt ook incompany verzorgd.

 

Het bericht Nieuwe regels voor communicatie met de overheid? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Coinrecht #8 – Initial Coin Offerings (ICO’s) & Crowdfunding 3.0

di, 08/08/2017 - 11:20

Sinds de vorige blog is er veel gebeurd in de wereld van cryptogeld. Zo is Bitcoin gesplitst en heeft de Securities and Exchange Commission (SEC) in de Verenigde Staten aangeven dat ICO’s (Initial Coin Offerings) mogelijk als effecten/aandelen gereguleerd kunnen worden. Wat zijn ICO’s eigenlijk? Hier staan we in deze blogpost kort bij stil.

Voortaan zullen we, naast het uitlichten van een specifiek onderwerp, bij elke #coinrecht een korte update geven van de (in onze opinie) belangrijkste ontwikkelingen op het gebied van cryptogeld en blockchain.

Cryptogeld en blockchain update Bitcoin is gesplitst

Op 1 augustus 2017 is de blockchain van Bitcoin opgesplits. Dit wordt ook wel een ‘fork’ genoemd. De afsplitsing is veroorzaakt door een groep miners die het niet eens waren met de koers van Bitcoin. Om wereldwijd een gangbaar betaalmiddel te worden, zal Bitcoin een grote hoeveelheid transacties moeten kunnen verwerken. Dit is nu niet het geval. Twee ontstane groeperingen verschillen van mening over de manier waarop dit gerealiseerd dient te worden. Het resultaat is een splitsing.

Dit betekent dat iedereen met enig Bitcoin-saldo vóór de splitsing, nu dit saldo keer twee heeft. Of de afgesplitste Bitcoin levensvatbaar is, zal nog moeten blijken. Vooralsnog lijkt dit niet het geval te zijn en staat de oorspronkelijke Bitcoin al dagen op zijn hoogste waarde ooit. Conclusie: er zijn nu twee soorten Bitcoin:

  • Bitcoin (BTC, nu €2959); en
  • Bitcoin Cash (BCH, nu €288).
Initial Coin Offering (ICO) regulering

Een van de eerste ICO’s op Ethereum betrof The DAO (Decentralized Autonomous Organization) in juni 2016. Toen dit systeem werd gehackt, is besloten om de hack ongedaan te maken door de blockchain met terugwerkende kracht te splitsen vanaf een moment vóór de hack. Nu, ruim een jaar later, verschijnt een onderzoeksrapport van de SEC waaruit blijkt dat bestaande wetgeving omtrent securities (effecten/aandelen) mogelijk ook van toepassing kunnen zijn op ICO’s (ook wel token sales genoemd). Aangezien de geldende wetgeving niet mals is, zou dit in de toekomst grote gevolgen kunnen hebben.

Deze ontwikkeling was te verwachten, en andere landen zullen waarschijnlijk tot een soortgelijke conclusie komen. Hoewel de cryptogemeenschap overwegend anti-regelgeving is, is enige regulering op dit vlak wel gewenst. Op dit moment kopen veel mensen obscure tokens in de hoop hier duizenden procenten rendement op te krijgen. Dit kan niet eindeloos zo doorgaan. Gemiddelde burgers zonder inhoudelijke kennis van waarin ze investeren, gaan hierbij veel geld verliezen en zullen de overheid vragen om bescherming. De wildgroei van ICO’s is een van de kinderziekten die Ethereum te boven moet komen en regulering is daarvoor mogelijk een geschikt geneesmiddel.

Initial Coin Offerings (ICO’s) en nieuwe crowdfunding

Sinds de opkomst van het internet en het ontstaan van platformen als Kickstarter en Indiegogo, is de wereld van financiering flink aan het veranderden. De laatste tijd wordt ook Ethereum gebruikt voor de online financiering van nieuwe bedrijfsposities. Deze nieuwe manier van financiering aantrekken is door het houden van een ICO of ‘token sale’.

Deze term klinkt wellicht bekend. Het is een afgeleide van IPO (Initial Public Offering, ook wel beursgang). Het gaat om het moment waarop een bedrijf voor de eerste keer aandelen in zijn bedrijf te koop aanbiedt aan het publiek. In plaats van het aanbieden op de beurs, met alle restricties die daar bij horen, worden de tokens aangeboden aan iedereen op het internet.

Omdat de valuta’s van Bitcoin en Ethereum inmiddels aanzienlijke waarde vertegenwoordigen, kunnen deze nu ook gebruikt worden om nieuwe initiatieven te ondersteunen. Wie vroeg Bitcoin of Ether(eum) heeft gekocht, zoekt nu wellicht een manier om dit nuttig te gebruiken.

Ethereum speelt een belangrijk rol in deze ontwikkeling. Het zijn de smart contracts die het mogelijk maken om de nieuwe tokens/aandelen te creëren en te verkopen. Hoewel dit fenomeen al vele mensen erg rijk heeft gemaakt, is het tevens nodig om hier kritische kanttekeningen bij te plaatsen. De regelgeving omtrent effecten- en aandelenhandel bestaat niet voor niets.

ICO’s lijken op IPO’s, maar verschillen op belangrijke punten. Zo het is voor het lanceren van een ICO niet van belang dat je enige ondernemerservaring hebt of een ondernemingsplan hebt geschreven. Twee vrienden met een idee lijkt tegenwoordig genoeg te zijn om miljoenen binnen te harken. Ook is onduidelijk of je echt een aandeel in een bedrijf koopt. Krijg je stemrecht? En wat als de oprichter er met de buit vandoor gaat (zoals al een paar keer is voorgevallen)? Momenteel is veel onduidelijk over de potentieel negatieve kanten van deze ontwikkeling. Toch lijkt niemand zich er enorm druk om te maken omdat de koersen omhoog gaan.

Advies

Niet iedereen heeft de beste intenties. Tegelijkertijd zijn er veel mensen die graag snel rijk willen worden. Een combinatie van deze twee groepen levert vroeg of laat problemen op. Bent u van plan om op enigerlei wijze met cryptogeld te gaan ondernemen, ga er dan niet van uit dat er geen regels gelden. Anticipeer op de komende ontwikkelingen en zorg dat u vroegtijdig onderzoek doet naar een manier waarop bestaande regelgeving (waar mogelijk) toegepast kunnen worden.

Welkom bij de financiële revolutie (de waarde van één Bitcoin (BTC) is op dit moment 2959 euro).

Het bericht Coinrecht #8 – Initial Coin Offerings (ICO’s) & Crowdfunding 3.0 verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Rechter keurt opleggen ACM-boete goed voor overtreden retourregels

vr, 08/04/2017 - 16:20

Eerder schreven we in onze blogpost ‘ACM beboet webwinkels wegens overtreden retourregels‘ al over het persbericht waarin de ACM aangaf boetes te hebben opgelegd van in totaal EUR 500.000, omdat een webshop haar webwinkelverplichtingen niet naleefde. Kort geleden heeft de rechter dit boetebesluit rechtmatig verklaard.

In juli 2017 heeft de rechter de rechtmatigheid van het opleggen van de boete en de hoogte van de boete beoordeeld. De rechtbank besloot dat de boeteoplegging volledig rechtmatig en op voldoende bewijs is gebaseerd. Wel heeft de rechter de boete gematigd, vanwege de negatieve publiciteit die de boete voor de webshop heeft meegebracht.

Overtreding terugbetalingsverplichting

De webshop overtrad de regels bij het terugbetalen van een retour van een aankoop die via de webshop was gedaan. De webshop stelde onder andere als retourvoorwaarde dat een rekeningnummer op het retourformulier vermeld moest worden. Als niet aan deze voorwaarde werd voldaan, werd terugbetaald in de vorm van een waardebon.

De rechter oordeelde dat het door de consument uit eigen beweging niet vermelden van het rekeningnummer, niet kan worden gezien als een stilzwijgend akkoord op terugbetaling in de vorm van een waardebon, waardoor hier niet aan de terugbetalingsverplichting was voldaan. In sommige gevallen betaalde de webshop wel in geld terug, maar dan exclusief de verzendkosten van de heenzending. Ook dit was volgens de rechter een overtreding van de terugbetalingsverplichting.

Misleidende handelspraktijk

De webshop verstrekte verkeerde informatie aan consumenten. Consumenten ontvingen een e-mail waarin stond dat geen recht op terugbetaling bestond, maar op een waardebon indien het rekeningnummer niet bij de retour vermeld werd. Deze informatie is misleidend, omdat de rechten van de consument verkeerd worden uitgelegd.

De rechter oordeelde dat de consument door deze informatie een ander besluit zou kunnen hebben genomen, dan hij had genomen als de informatie wel juist was geweest. Hiermee kan volgens de rechter en de ACM het verstrekken van verkeerde informatie worden gekwalificeerd als een misleidende handelspraktijk.

Oneerlijke handelspraktijk

De webshop wachtte met terugbetalen, totdat de consument daarom vroeg (het piepsysteem). Dit is, volgens de rechter, in strijd met de professionele toewijding. Van een handelaar mag namelijk worden verwacht dat hij op eigen beweging terugbetaalt. Hierdoor kan de consument in het nemen van een besluit worden beïnvloed. Het niet uit eigen beweging op tijd terugbetalen van de volledige aankoopsom, kan daarmee volgens de rechter worden gekwalificeerd als een oneerlijke handelspraktijk.

Niet alleen informatieplicht, ook praktijk!

Je hebt als webwinkelier een brede informatieplicht. Je moet op je website over allerlei zaken duidelijk, correct en volledig informeren. Deze informatie moet ook nog eens gemakkelijk vindbaar zijn. Bij deze omschrijving van de informatie blijft het echter niet. In de praktijk moet je ook voldoen aan wat je beschrijft. Het is belangrijk dat je de rechten van de consument in de praktijk brengt. Doe je dat niet? Dan riskeer je een (hoge) boete van de ACM.

Waar moet je als webwinkelier op letten?
  • Informeer volledig, duidelijk en correct over het herroepingsrecht en de retourprocedure;
  • Stel het modelformulier voor herroeping digitaal beschikbaar en vermeld het retouradres;
  • Betaalt de consument de retourkosten zelf en kunnen de producten niet via reguliere post worden teruggezonden? Vermeld dan hoe hoog deze kosten ongeveer zullen zijn;
  • Betaal uit eigen beweging terug, wacht niet tot de consument hierom vraagt;
  • Betaal snel (in ieder geval binnen 14 dagen na herroeping) terug;
  • Betaal alles terug, ook de verzendkosten van heenzending (als de hele bestelling wordt geretourneerd);
  • Betaal terug met hetzelfde middel als waarmee de consument heeft betaald;
  • Breng geen kosten in rekening voor het terugbetalen;
  • Eis geen ongeopende of originele verpakking en breng geen kosten in rekening wanneer de verpakking is geopend of het een andere verpakking is. De consument mag het product beoordelen net als hij dat in de winkel had kunnen doen.
  • U mag wel waardevermindering in rekening brengen als de consument het product meer heeft gebruikt dan nodig was om om de aard, de kenmerken en de werking van de goederen vast te stellen.
Zeker weten dat je aan de wet voldoet?

Controleer je website goed en laat je informeren over de wettelijke verplichtingen en de rechten van consumenten. Overweeg bijvoorbeeld eens een juridische websitescan van ICTRecht, waarmee ook gekeken wordt naar de nieuwe privacywetgeving.

Het bericht Rechter keurt opleggen ACM-boete goed voor overtreden retourregels verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Nederland als beste beoordeeld in brede vergelijking Europese Data Hubs

vr, 08/04/2017 - 08:56

De snelle ontwikkelingen in de digitale economie in Europa stellen veel organisaties voor de opgave om binnen korte tijd te beslissen over de beste vestigingsplaats voor hun digitale activiteiten. Daarbij komen veel vragen op hen af, bijvoorbeeld over privacywetgeving, het ondernemingsklimaat en niet in de laatste plaats connectiviteit. Digital Gateway to Europe (DG) en de Dutch Datacenter Association (DDA) publiceren om die reden, in samenwerking met juridisch adviesbureau ICTRecht, een factsheet waarin de vijf belangrijkste Europese data hubs (Frankrijk, Duitsland, Ierland, Nederland en Engeland) op deze en andere criteria worden beoordeeld.

Stijn Grove, directeur van de DG en de DDA over de vergelijking: “Europa kent een vijftal data hubs die qua randvoorwaarden zoals regeldruk en connectiviteit uiteen lopen. We hebben het dan over Amsterdam, Dublin, Frankfurt, Londen en Parijs. Met de aanstaande nieuwe Europese privacywetgeving, de General Data Protection Regulation (GDPR), wordt voor al deze hubs de privacywetgeving gelijkgeschakeld. In het geval van het Verenigd Koninkrijk is het overigens de vraag in hoeverre deze wetgeving in de komende jaren wordt gehandhaafd. Premier May heeft weliswaar aangegeven dat de GDPR in het Verenigd Koninkrijk geïmplementeerd wordt, maar gezien de Brexit is het hoogst onzeker in hoeverre de Britten zich de komende jaren verplicht voelen om nog aan wetgeving vanuit de EU te voldoen.”

De vergelijking in het gepubliceerde factsheet gaat ook in op vestigingsfactoren zoals het belasting- en ondernemingsklimaat en connectiviteit. Grove: “Op het gebied van regelgeving aangaande het zakendoen kunnen we in bepaalde opzichten een voorbeeld nemen aan Ierland. Het is daar erg eenvoudig om een onderneming te starten en digitaal zaken te doen. In Nederland doen we echter niet onder voor de Ieren: we hebben een gunstig belastingklimaat en met de Kamer van Koophandel hebben we één loket voor alle ondernemerszaken. Daarmee worden belangrijke barrières geslecht, iets wat landen als Duitsland of Frankrijk geen navolging kunnen geven omdat de regeldruk voor ondernemingen daar veel hoger is.”

Het belangrijkste in deze tijden van digitale transformatie is het vraagstuk van connectiviteit. IT is inmiddels de levensader van vrijwel ieder toekomstgericht bedrijf en valt of staat met snelle verbindingen. “Nederland is absoluut ‘best in class’ als het aankomt op connectiviteit en ‘digital readiness’, zegt Grove. “We beroemen er ons vaak op, wat mij betreft geheel terecht. Soms wordt daarbij uit het oog verloren wat we in dat opzicht bereikt hebben de laatste twee decennia: er is geen ander land in Europa dat zo geschikt is voor digitaal zakendoen en digitale innovatie als Nederland. Onze grote concentratie datacenters en zeer goede connectiviteit dankzij een uitgebreid core glasvezelnetwerk is daar absoluut essentieel in. Dat is op eigen kracht door de sector gerealiseerd en daarmee hebben we het fundament gelegd voor de onvermijdelijk digitale toekomst van de Nederlandse economie. Het vandaag gepubliceerde factsheet maakt dat eens te meer duidelijk.”

De factsheet is gratis beschikbaar.

Het bericht Nederland als beste beoordeeld in brede vergelijking Europese Data Hubs verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Cloud exit-strategie: hoe zit dat juridisch?

do, 07/27/2017 - 07:31

In onze wet staat geen bepaling als “voor of bij het einde van de overeenkomst draagt de clouddienstverlener de data over aan de klant en helpt hij de klant over te stappen naar een nieuwe dienstverlener”. Dus daarom kan een afnemer van clouddiensten maar beter een goede cloud exit-strategie hebben met een uitgewerkte exit-regeling.

Weinig jurisprudentie over cloud en vendor lock-in

Rechters hebben zich (nog) niet vaak over de cloud en de grenzen van vendor lock-in mogen uitspreken. In de literatuur wordt aan de hand van uitspraken voorzichtig geconcludeerd dat rechters gevoelig zijn voor hoe afhankelijk de klant is van zijn clouddienstverlener. Redelijkheid en billijkheid lijken in de weg te staan van het al te vrij uitoefenen door de clouddienstverlener van opschortingsrechten en van afspraken uit de overeenkomst op grond waarvan de clouddienstverlener onomkeerbaar data kan verwijderen.

Binnen het kader van het insolventierecht worden stappen gezet naar een recht op een weg naar buiten, maar dan wel enkel voor de curator. Rechters hebben aangegeven dat er recht is op voortzetting van de clouddienst of afgifte van (administratie) data. Beide in ruil voor een redelijke vergoeding.

Bij de herijking van het faillissementsrecht vervalt het recht op de redelijke vergoeding mogelijk. Er ligt nu een voorstel om een artikel op te nemen in de Faillissementswet op grond waarvan de curator toegang moet krijgen tot digitale administratie. In de Memorie van Toelichting staat dat de dienstverlener een redelijke vergoeding mag vragen maar daar geen recht op heeft indien de boedel niet voldoende middelen bevat.

Al met al biedt één en ander nog geen zekerheid op een weg naar buiten of migratie.

Hoe maak je een goede cloud exit-regeling?

Wat wel? Een klant en de clouddienstverlener kunnen afspraken maken over hoe partijen uit elkaar gaan op het moment dat het “huwelijk” nog goed is.

Vanuit het oogpunt van de klant moeten in ieder geval afspraken gemaakt worden over de volgende punten bij een cloud exit-regeling:
  • De exit-bepaling moet werken bij het einde van de overeenkomst om welke reden dan ook, dus ook bij dispuut over betaling.
  • De overeenkomst (en eventuele bewerkersovereenkomst) moet bij voorkeur voortduren totdat de exit-regeling helemaal is uitgevoerd.
  • De opzegtermijn dient bij voorkeur voldoende tijd te geven om te migreren.
  • Data en configuratiegegevens (indien relevant) mogen niet verwijderd worden, totdat de migratie succesvol is uitgevoerd. Er kunnen ook afspraken gemaakt worden over hoe gecontroleerd wordt dat alle data is aangeleverd.
  • De exit-regeling moet anders ingevuld worden al naar gelang welke software er gebruikt wordt voor de clouddienst.
Exit-regelingen verschillen per gebruikte cloud software:

Is het open source software? Wordt de software aan de klant overgedragen of behoudt zij een gebruiksrecht na het einde van de overeenkomst? Is het standaard-software die ook elders kan worden ingekocht? Of gaat het om software van de dienstverlener en kan de klant daar na het einde van de overeenkomst geen gebruik meer van maken?

Wanneer de klant later geen gebruik meer kan maken van de software dan heeft de klant ook de datamodellen nodig zodat de data in het nieuwe systeem weer voor dezelfde doeleinden uitgelezen kan worden.

  • Zorg dat de kosten en de duur van de migratie vooraf inzichtelijk zijn (uiteraard met een marge). Bij voorkeur moet ook bekend zijn welk “soort” personeel voor hoeveel uren er nodig is. De prijs kan namelijk nogal verschillen. Mogelijk moet de exit-regeling gedurende de overeenkomst op voornoemde punten aangepast worden indien de clouddienst significant wijzigt.
  • De dienstverlener moet beloven dit personeel onverwijld beschikbaar te stellen voor de overdracht van data en eventuele migratie.
  • Het moet bekend zijn wie de kosten draagt van de migratie. In de meeste gevallen zal dit de klant zijn. Als de dienstverlener niet of maar beperkt wil helpen bij de migratie dan zijn mogelijk de volgende aanvullende afspraken nodig.
  • De dienstverlener moet de ondersteuning en met name informatie leveren welke nodig zijn om een nieuwe leverancier te kunnen selecteren en daarna te kunnen migreren. Denk hierbij ook aan de eerder genoemde datamodellen.
  • De dienstverlener dient de documentatie op een gestructureerde wijze aan te leveren, waaronder vaak documentatie over de configuratie. Maak hierbij afspraken over het format van de data en de drager waarop het verstrekt wordt.

Ten slotte, de klant doet er goed aan een vangnetbepaling op te nemen waarin staat dat dienstverlener zal meewerken. Men kan nooit alles vooraf voorzien. Zeker niet daar de technologie snel vooruitgaat.

Vanuit het oogpunt van de ICT-dienstverlener spelen er met name de volgende belangen bij een cloud exit-regeling:
  • Mogelijk is het verdienmodel van de dienstverlener gebaseerd op vendor lock-in. Een exit-regeling is dan in zijn nadeel.
  • De dienstverlener zal in veel gevallen geen intellectuele eigendomsrechten en datamodellen willen overdragen, dat zijn essentiële onderdelen van zijn bedrijf.
  • Tegen vergoeding van zijn inspanningen is hij mogelijk wel bereid mee te werken aan de migratie of aanlevering van data.
  • Voor een dienstverlener is het belangrijk dat hij (uiteindelijk) betaald krijgt voor zijn inspanningen. Als opschorting van de dienst of van de ondersteuning bij de migratie niet tot de mogelijkheden hoort, is het in escrow laten geven van de betaling een optie.

Dit artikel is eerder verschenen in ICTRecht in de praktijk nr. 2, 2016. Lees voor alle bronverwijzingen de pdf-versie van het magazine via de link.

Heeft u hulp nodig bij het opstellen van een cloud exit-regeling of een cloud continuïteitsregeling? Neem dan contact met ons op, wij helpen u graag verder.

 

ICT-contracten: de basis, verdieping en masterclass

ICTRecht Academy verzorgt praktische basis- en verdiepingscursussen, en een masterclass ICT-contracten waarin op een praktische manier aandachtspunten en valkuilen worden besproken van o.a. NDA’s, algemene voorwaarden, mantelovereenkomsten en licenties. U leert documenten te reviewen, op te stellen en er over te onderhandelen. De cursussen zijn voor juridisch publiek (PO) en algemeen publiek, u ontvangt het Handboek ICT-contracten en er zijn speciale PO-deals.

Het bericht Cloud exit-strategie: hoe zit dat juridisch? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

De Functionaris Gegevensbescherming: verplicht voor scholen?

wo, 07/26/2017 - 07:30

Het is u vast niet geheel onbekend dat met ingang van 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Eén van de wijzigingen die deze verordening met zich meebrengt, is dat in bepaalde gevallen een Functionaris voor de Gegevensbescherming (FG) verplicht is. Een FG (ook wel bekend als Data Protection Officer) is een onafhankelijk en deskundig persoon binnen de organisatie met als taak het informeren en adviseren over de omgang met persoonsgegevens. Maar voor wie geldt de verplichting tot het aanstellen van een FG eigenlijk?

Overheidsinstanties en publieke organisaties moeten een Functionaris Gegevensbescherming aanstellen

Onder andere overheidsinstanties en publieke organisaties zijn altijd verplicht om een FG aan te stellen, ongeacht het type persoonsgegevens dat ze verwerken. Het kan dan bijvoorbeeld gaan om de Rijksoverheid, gemeenten of provincies maar ook om zorg- en onderwijsinstellingen. In de AVG wordt geen definitie gegeven van “overheidsinstantie of –orgaan”. De vraag is daarom: valt een school onder een “overheidsinstantie of –orgaan” en moet zij daarom op grond van de AVG verplicht een FG aanstellen?

De Artikel 29-werkgroep heeft een richtlijn gepubliceerd over het aanstellen van een FG. In deze richtlijn wordt voor het begrip “overheidsinstantie of –orgaan” verwezen naar de definitie van “publiekrechtelijke instelling”.

Een publiekrechtelijke instelling is een aanbestedende dienst in de zin van de Aanbestedingsrichtlijn. Op grond van die definitie en bijlage uit deze richtlijn, kan een openbare school worden gekwalificeerd als een aanbestedende dienst als:

  • Meer dan de helft van het bestuur van een openbare school wordt benoemd door de overheid (gemeenten hebben veel invloed op deze benoeming).
  • Als de financiering van een school voor meer dan de helft van de begroting afkomstig is van de overheid, of als de school voornamelijk op subsidies draait.

Op basis van deze twee criteria kan worden geconcludeerd dat een openbare school een FG nodig heeft, omdat zij een aanbestedende dienst is.

Functionaris Gegevensbescherming verplicht bij stelselmatig observeren en op grote schaal verwerken bijzondere of strafrechtelijke gegevens

Een organisatie is ook verplicht een FG aan te stellen als zij regelmatig en stelselmatig betrokkenen observeren. Scholen voldoen snel aan deze eis, aangezien zij vaak leerlingvolgsystemen gebruiken.

Daarnaast heeft het verwerken van bijzondere en strafrechtelijke gegevens op ‘grote schaal’ ook tot gevolg dat een organisatie een FG moet aanstellen.

Bijzondere persoonsgegevens zijn gegevens die iets zeggen over iemands ras, godsdienst, seksuele leven, politieke opvatting, gezondheid, maar ook genetische gegevens (zoals DNA) en biometrische gegevens (bijvoorbeeld vingerafdrukken). Elke school verwerkt in ieder geval enkele bijzondere persoonsgegevens van leerlingen in een onderwijskundig rapport. Bijvoorbeeld of een leerling ADHD heeft, dyslectisch of depressief is.

Onderwijsinstellingen moeten vrijwel altijd een Functionaris Gegevensbescherming aanstellen

Een school voldoet (in bijna alle gevallen) aan de drie verschillende vereisten om een FG aan te moeten stellen. Let op: het voldoen aan één van de drie vereisten is al genoeg om verplicht een FG aan te moeten stellen. Bij een overkoepelende stichting met 10 basisscholen kan er wel gekozen worden om één interne FG aan te stellen voor alle scholen in plaats van voor elke school apart, mits deze FG vanuit elke school gemakkelijk te benaderen is.

Functionaris Gegevensbescherming opleiden of inhuren?

ICTRecht biedt een tweedaagse juridische opleiding voor Functionarissen Gegevensbescherming (met of zonder juridische achtergrond). Mocht er meteen behoefte zijn aan een deskundige Functionaris Gegevensbescherming dan heeft ICTRecht hiervoor specialisten beschikbaar die uw organisatie op afstand of gedetacheerd kunnen ondersteunen.

Het bericht De Functionaris Gegevensbescherming: verplicht voor scholen? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Vergunningsplicht voor online handelsplatformen?

di, 07/25/2017 - 07:30

Bedrijven die in Nederland betaaldiensten verlenen, hebben een vergunning nodig van De Nederlandse Bank (DNB). Online handelsplatformen die zelf betaaldiensten aanbieden, zijn op dit moment echter van de vergunningsplicht uitgezonderd. Vanwege herziene regelgeving wordt deze uitzondering binnenkort aangescherpt, waardoor handelsplatformen mogelijk wel een vergunning nodig hebben. Dit kan belangrijke organisatorische en financiële gevolgen hebben voor de aanbieders van een dergelijk platform.

De vergunningsplicht betaaldiensten op dit moment

In 2007 werd door de Europese Unie de Betaaldienstenrichtlijn ofwel ‘Payment Services Directive’ (PSD) aangenomen. Deze richtlijn is in Nederland is geïmplementeerd in de Wet op het financieel toezicht en het Burgerlijk Wetboek. Op grond van de Betaaldienstenrichtlijn gelden voor het aanbieden van betaaldiensten strenge regels. Zo hebben bedrijven die in Nederland betaaldiensten verlenen een vergunning nodig van DNB. Om voor een vergunning in aanmerking te komen gelden strenge eisen, onder andere met betrekking tot de bedrijfsvoering, het eigen vermogen en de solvabiliteit van de dienstverlener. Daarnaast kunnen aan de vergunning voorschriften of beperkingen worden verbonden.

Het is in principe verboden om betaaldiensten aan te bieden zonder een vergunning van DNB. In de Betaaldienstenrichtlijn zijn echter een aantal uitzonderingen op de vergunningsplicht opgenomen. Zo geldt de vergunningsplicht alleen als de betaaldienst de hoofdactiviteit van de dienstverlener is. Ook zijn bepaalde betaaldiensten van de vergunningsplicht vrijgesteld.

Herziening van de Betaaldienstenrichtlijn

Vanwege veranderingen op de betaalmarkt, heeft de Europese Unie de Betaaldienstenrichtlijn in 2015 herzien en vervangen door de ‘Payment Services Directive II’ (PSD2). In de herziene richtlijn zijn verschillende belangrijke veranderingen doorgevoerd. Eén belangrijke verandering is dat de reikwijdte van de Betaaldienstenrichtlijn is verruimd. Zo zijn de bestaande uitzonderingen op de vergunningsplicht ingeperkt, waardoor sommige dienstverleners daar géén beroep meer op kunnen doen. Daarnaast worden er een aantal nieuwe vormen van betaaldienstverlening geïntroduceerd.

Online handelsplatformen onder PSD2

De verruimde reikwijdte in PSD2 kan onder andere gevolgen hebben voor aanbieders van online handelsplatformen. Daarmee wordt – kort gezegd – bedoeld: online platformen waarop (potentiële) kopers en verkopers bij elkaar worden gebracht.

Denk hierbij aan Amazon of Bol.com. Via deze websites zijn producten te koop van allerlei partijen die zich als verkooppartner bij het platform hebben aangesloten. Wanneer er via de website een aankoop bij een verkooppartner wordt gedaan, rekent Amazon of Bol.com daarvoor een kleine ‘service fee’ en wordt de rest van de betaling aan de verkoper uitgekeerd. Maar er zijn ook hele andere soorten handelsplatformen. Op de website van DNB worden nog een aantal andere voorbeelden besproken.

Uitzondering vergunningplicht betaaldiensten

Veel online handelsplatformen bieden ook betaaldiensten aan. Wanneer een aankoop via het platform wordt gedaan, komt het aankoopbedrag eerst terecht op een rekening van het platform of van een stichting derdengelden. Na aftrek van de ‘service fee’ wordt het restbedrag vervolgens overgemaakt aan de verkoper.

Op dit moment hebben online handelsplatformen die zelf betaaldiensten aanbieden nog geen vergunningsplicht, omdat het verrichten van betaaldiensten niet wordt gezien als de hoofdactiviteit van de dienstverlener (namelijk: het aanbieden van het platform). Omdat de betaaldiensten een nevenactiviteit zijn bij exploitatie van het platform, worden de dienstverleners van de vergunningplicht uitgezonderd.

Vergunningplicht betaaldiensten onder PSD2

Onder de herziene richtlijn wordt de uitzondering op de vergunningplicht aangescherpt, waardoor sommige handelsplatformen binnenkort wel een vergunning nodig hebben. Het is niet volledig duidelijk voor welke handelsplatformen de vergunningplicht gaat gelden.

In de toelichting bij PSD2 wordt onderscheid gemaakt tussen platformen die handelen voor rekening van één van de partijen (dus de koper óf de verkoper) en platformen die handelen voor rekening van beide partijen. Alleen handelsplatformen die handelen voor rekening van beide partijen zouden volgens PSD2 vergunningsplichtig worden.

DNB heeft afgelopen maand echter een nieuwsbericht gepubliceerd, waarin dit onderscheid helemaal niet wordt gemaakt. DNB stelt eenvoudigweg dat “handelsplatformen die zelf betaaldiensten verrichten moeten beschikken over een vergunning”. Het nieuwsbericht  van de DNB heeft de nodige reuring veroorzaakt, maar lijkt dus strenger ingestoken te zijn dan de richtlijn zelf.

Verschillende oplossingen mogelijk voor online handelsplatformen

De vergunningsplicht voor betaaldiensten kan belangrijke organisatorische en financiële gevolgen hebben voor online handelsplatformen. Afhankelijk van hoe streng DNB de herziene richtlijn uitlegt, zijn er verschillende oplossingen mogelijk.

  • Eén oplossing kan zijn om contractwijzigingen door te voeren en voortaan alleen op te treden voor de koper óf de verkoper. Dergelijke handelsplatformen worden namelijk ook onder PSD2 van de vergunningsplicht uitgezonderd.
  • Een andere oplossing kan zijn om gebruik te maken van een externe ‘payment service provider’. Het is dan wel van belang dat de aanbieder van het platform géén beschikking krijgt of controle heeft over de ontstane geldstromen. Daardoor zijn niet alle betaaloplossingen geschikt voor aanbieders van online handelsplatformen.
  • Biedt het voorgaande geen uitkomst, dan is het nog van belang om te controleren of het platform voor een vrijstelling in aanmerking komt. Als de platformaanbieder alleen in Nederland opereert en onder een transactiegrens van 3.000.000 euro per maand blijft, komt de dienstverlener meestal alsnog voor een vrijstelling in aanmerking. De platformaanbieder heeft dan geen vergunning nodig, maar moet wel voldoen aan andere financieelrechtelijke verplichtingen (kijk bij kopje ‘Verplichtingen vrijgestelde betaaldienstverlener’.
Voorbereidingstijd PSD2 loopt tot januari 2018

Europese richtlijnen moeten door de lidstaten in nationale wetgeving worden geïmplementeerd. De lidstaten hebben nog tot 13 januari 2018 om PSD2 in eigen wetgeving te implementeren. In Nederland is de consultatie voor de implementatiewet inmiddels afgerond, maar moet de verdere wetgevingsprocedure nog wel worden doorlopen. Aanbieders van online handelsplatform hebben dus nog beperkt de tijd om zich op de nieuwe situatie voor te bereiden.

Het bericht Vergunningsplicht voor online handelsplatformen? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Zijn vloggers ongrijpbaar voor het Commissariaat voor de Media?!

ma, 07/24/2017 - 09:02

Vloggers zijn heel erg populair op sites als YouTube. Een aantal vloggers verdienen er goed aan. Zo krijgen ze betaald door YouTube op basis van het aantal views maar ze krijgen als ‘influencers‘ ook betaald voor reclame in hun vlogs. De Mediawet bepaalt dat reclame als zodanig herkenbaar moet. Dat is vaak niet het geval op YouTube. Het Commissariaat voor de Media wil graag optreden tegen deze sluikreclame maar heeft op basis van de Mediawet geen bevoegdheid als het gaat om online content.

In deze blog betogen we dat vloggers toch niet vrijuit gaan. Juridisch gezien valt er namelijk veel voor te zeggen dat vloggers ‘diensten van de informatiemaatschappij’ zijn en daarmee moeten voldoen aan bepaalde informatieplichten waaronder het herkenbaar maken van commerciële communicatie.

Vloggers lijken met de dag populairder te worden op sites zoals YouTube. Jongeren keren de traditionele media de rug toe en zoeken hun vertier op internet. De reclame-inkomsten die vloggers ontvangen van YouTube zijn voor een aantal vloggers voldoende om van rond te komen.

Vloggers worden betaald door YouTube op basis van het aantal views. Deze reclameopbrengsten van YouTube zijn vaak niet de enige inkomstenbron van vloggers, vloggers verdienen ook aan (sluik)reclame. Sluikreclame is reclame die niet als zodanig herkenbaar is. Denk hierbij aan een vlogger die een bepaald drankje drinkt en daar betaald voor krijgt. De kijker ziet het merk, maar heeft niet gelijk door dat het om reclame gaat.

Regels voor reclame op basis van de Mediawet

Volgens de Mediawet moet reclame als zodanig herkenbaar zijn. Het Commissariaat voor de Media  (het Commissariaat) houdt hier toezicht op en treedt op waar nodig. Vloggers zullen voorlopig nog geen last krijgen van het Commissariaat als sluikreclame nog niet als zodanig herkenbaar is in hun vlog. De Mediawet is namelijk niet van toepassing op online content. Vloggers gaan hiermee vrijuit volgens het Commissariaat. Het is juridisch maar de vraag of dit echt zo is.

Diensten van de informatiemaatschappij

De informatieplicht om reclame herkenbaar weer te geven vanuit de Mediawet is dus niet van toepassing, er staan echter nog meer informatieplichten in de wet. Zo staat in artikel 3:15e BW het volgende:

Indien commerciële communicatie deel uitmaakt van een dienst van de informatiemaatschappij of een dergelijke dienst vormt, zorgt degene in wiens opdracht de commerciële communicatie geschiedt dat:

  • a.de commerciële communicatie duidelijk als zodanig herkenbaar is

Op basis van dit artikel moeten diensten van de informatiemaatschappij ervoor zorgen dat commerciële communicatie als zodanig herkenbaar is. Leveren vloggers diensten van de informatiemaatschappij en wat wordt er verstaan onder commerciële communicatie?

Zijn vloggers diensten van de informatiemaatschappij?

Om vast te stellen of vloggers diensten van de informatiemaatschappij zijn moet volgens de wet er voldaan worden aan de volgende aspecten:

  • Het moet gaan om een dienst. Vloggers leveren een dienst door filmpjes te maken en deze te plaatsen op websites zoals YouTube.
  • Gewoonlijk tegen vergoeding. Bezoekers van YouTube betalen niet (direct) voor het kijken van de filmpjes. Toch is dit geen probleem, zolang het maar om een economische activiteit gaat, is voldaan aan dit aspect. Zo heeft het Europese Hof bepaald in de zaak MC Fadden dat het aanbieden van een gratis wifi-netwerk door een winkel al voldoende is om te spreken van ‘gewoonlijk tegen vergoeding’.
  • Langs elektronische weg en op afstand. Ook hieraan is voldaan als het gaat om filmpjes op YouTube. De filmpjes staan op het internet (elektronische weg) en de vlogger en afnemer van de dienst bevinden zich niet in dezelfde ruimte (op afstand).
  • Op individueel verzoek van de afnemer. Televisie valt hier bijvoorbeeld niet onder, de afnemer kan zelf niet bepalen welke programma’s hij ontvangt op zijn televisie (hij kan alleen de zender kiezen). Voor video-on-demand (Netflix bijvoorbeeld) geldt dat hetgeen te zien is op verzoek van de afnemer getoond wordt. YouTube werkt op dezelfde manier, het is niet YouTube die bepaalt wat je te zien krijgt, dit bepaalt de afnemer zelf.

Het Europese Hof is ruim als het gaat om de definitie van diensten van de informatiemaatschappij. Zie bijvoorbeeld de manier waarop het hof omgaat met het begrip ‘gewoonlijk tegen vergoeding’. Je zou verwachten dat de afnemer van de dienst zelf een vergoeding moet betalen, maar uit de jurisprudentie blijkt dat het tonen van advertenties ook voldoende is. Daarom is het is juridisch goed verdedigbaar dat vloggers diensten van de informatiemaatschappij zijn/leveren.

Informatieplichten voor diensten van de informatiemaatschappij

Diensten van de informatiemaatschappij moeten voldoen aan meerdere informatieplichten. Zo moet bijvoorbeeld de dienstverlener (de vlogger in dit geval) zijn identiteit vermelden en als hij een prijsvraag organiseert dan moeten de voorwaarden van tevoren duidelijk zijn. Daarnaast moeten diensten van de informatiemaatschappij ervoor zorgen dat commerciële communicatie duidelijk als zodanig herkenbaar is. Deze informatieplichten, en nog meer, staan in boek 3 van het Burgerlijk Wetboek vanaf artikel 15d.

Wat is commerciële communicatie? Valt de sluikreclame,  waar vloggers goed voor worden betaald, hier onder? In de wetsgeschiedenis staat hierover het volgende: het begrip commerciële communicatie omvat -kort gezegd- alle vormen van communicatie die bedoeld zijn om commerciële activiteiten aan te prijzen. Een vlogger die betaald wordt door een kledingmerk om bepaalde kleding te dragen valt volgens mij onder de definitie van commerciële communicatie.

Autoriteit Consument en Markt

Juridisch is het dus goed te verdedigen dat vloggers wel degelijk moeten voldoen aan bepaalde informatieplichten als het gaat om betaalde reclame. Het Commissariaat heeft geen bevoegdheid om de informatieverplichtingen uit artikel 3:15e BW te handhaven. In dit geval is de Autoriteit Consument en Markt (ACM) bevoegd om op te treden. De ACM kan een last onder dwangsom of een bestuurlijke boete opleggen. Het niet voldoen aan de genoemde informatieplichten kan ook een economisch delict opleveren. Bij overtreding van de informatieplichten kan de overtreder ook strafrechtelijk worden vervolgd door het Openbaar Ministerie.

Nieuw wetsvoorstel

Het Commissariaat moet nog even wachten totdat ze handhavend op kan treden tegen online sluikreclame. Momenteel wordt er in Europa gewerkt aan een nieuwe Richtlijn die het Commissariaat in staat moet stellen om ook handhavend op te kunnen treden tegen online sluikreclame. Tot die tijd kan het Commissariaat niet veel meer dan aandringen op naleving van de bestaande gedragscodes voor online reclame een andere optie is natuurlijk om even contact op te nemen met de ACM.

Dit artikel is geschreven door Gosse Bijlenga i.s.m. Raoul van de Laak

 

Training: Reclamerecht & Online marketing

Aan welke juridische eisen moeten reclame-uitingen voldoen en wat zijn mijn rechten als een ander mijn merk of domeinnaam gebruikt? Hoe moet ik omgaan met privacyrechten bij het gebruik van SEO? Deze en andere juridische vragen worden beantwoord tijdens de training Reclamerecht & Online marketing.

Het bericht Zijn vloggers ongrijpbaar voor het Commissariaat voor de Media?! verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Europese privacytoezichthouders spreken zich uit over privacy en monitoring op het werk

wo, 07/19/2017 - 09:30

De Article 29 Working Party (WP29), een advies- en overlegorgaan van Europese privacytoezichthouders, heeft recent een opinie opgesteld waarin de privacywet AVG wordt uitgelegd in het licht van gegevensverwerkingen op het werk. In onze factsheet Privacy en monitoring op de werkvloer vatten we de regels kort samen. Aan het eind vindt u een aantal handige voorbeelden.

In de factsheet vindt u de opinie van de Artikel 29-werkgroep over:
  • 1 | Wat is een werknemer?
  • 2 | Wat voor persoonsgegevens verwerkt een werkgever?
  • 3 | Waarom is extra aandacht voor privacy op de werkvloer belangrijk?
  • 4 | Wat is een proportionaliteitstoets of PIA?
  • 5 | Welke verwerkingen mogen niet of bijna nooit?
  • 6 | Welke plichten heeft een werkgever om privacy in de werksfeer te waarborgen?
  • 7 | Wat moet een werkgever doen om persoonsgegevens te beveiligen?
  • 8 | Waar moet de werkgever actief duidelijke informatie over geven?
  • 9 | Wat mag een werkgever met gegevens die door monitoring zijn verkregen?
  • 10 | Voorbeelden van wat wel en niet mag in de praktijk
  • 10.1 | Social media en het aantrekken van nieuw personeel
  • 10.2 | Social media controleren van oud-personeel
  • 10.3 | Cameratoezicht in kantoorruimten
  • 10.4 | Controle van gebruik van ICT-voorzieningen en in- en uitgaande communicatie
  • 10.5 | Tracking van het vervoersmiddel waarmee de werknemer zich voortbeweegt

Bekijk en download onze factsheet Privacy en monitoring op de werkvloer

 

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Het bericht Europese privacytoezichthouders spreken zich uit over privacy en monitoring op het werk verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Kan ik mijn Data Protection Officer (DPO) ontslaan onder de AVG?

di, 07/18/2017 - 07:00

Er is ontslagbescherming voor de Data Protection Officer in de nieuwe privacywet. Wil dat zeggen dat iemand die zeker wil zijn van zijn baan dan maar DPO moet worden? Dat een werkgever de DPO na aanstelling niet meer kan ontslaan?

De Algemene Verordening Gegevensbescherming (AVG) regelt dat een DPO (Data Protection Officer, of in het Nederlands: Functionaris voor de Gegevensbescherming (FG)) “niet ontslagen of gestraft wordt voor de uitvoering van zijn taken”.

Ontslagbescherming wordt ook in het Nederlands Burgerlijk Wetboek geregeld. Een zieke of zwangere werknemer mag bijvoorbeeld niet zomaar worden ontslagen. Ook leden van een personeelsvertegenwoordiging, ondernemingsraad of van verschillende andere onderhandelingsgroepen zijn tegen ontslag beschermd.

Wat betreft de DPO regelt de Nederlandse wet dat ‘een werkgever de arbeidsovereenkomst van een werknemer niet mag opzeggen, wanneer die als Functionaris voor de Gegevensbescherming werkzaam is’.

Data Protection Officer niet ontslaan

In principe mag een werknemer die als DPO binnen een bedrijf is aangesteld volgens de huidige Nederlandse wet niet worden ontslagen. Dit verbod is een tijdens verbod. Dit verbod wil zeggen dat de werknemer niet mag worden ontslagen tijdens zijn functie als Functionaris voor de Gegevensbescherming. Het doel hiervan is dat de functionaris volledig onafhankelijk kan handelen en een mening kan vormen.

Het ontslagverbod geldt voor contracten voor onbepaalde tijd en voor tussentijds ontslag bij contracten voor bepaalde tijd. Een arbeidscontract voor bepaalde tijd eindigt overigens wel gewoon van rechtswege per de afgesproken datum, mits aan de aanzegplicht is voldaan.

Ontheffing uit de aanstelling kan trouwens wel, als de functionaris niet (meer) voldoet aan de wettelijke eisen die aan de functionaris worden gesteld.

Uitzonderingen op het opzegverbod Data Protection Officer

Op het opzegverbod zijn uitzonderingen gemaakt:

  • Ontslag door werkgever is wel mogelijk als de DPO zelf schriftelijk instemt met de opzegging, tijdens de proeftijd en als sprake is van een dringende reden (ontslag op staande voet).
  • Verder geldt het opzegverbod niet als sprake is van faillissement of als de Functionaris voor de Gegevensbescherming de AOW-gerechtigde leeftijd heeft bereikt.
  • Als een deel van de onderneming wordt beëindigd, dan mag de Data Protection Officer onder bepaalde voorwaarden door werkgever worden ontslagen.
Data Protection Officer ontslaan via de kantonrechter

Soms kan de kantonrechter bij een redelijke grond voor ontslag, ondanks het bestaan van een tijdens opzegverbod, de arbeidsovereenkomst toch ontbinden. Dat is zo, als het ontbindingsverzoek geen verband houdt met de omstandigheid waar het opzegverbod op ziet. Denk hierbij aan disfunctioneren, verwijtbaar handelen of een verstoorde arbeidsverhouding die niets te maken heeft met de manier waarop de FG zijn taak uitoefent.

Is bijvoorbeeld sprake van een verstoorde arbeidsverhouding tussen de werkgever en de FG, dan kun je de kantonrechter verzoeken de arbeidsovereenkomst te laten ontbinden. De kantonrechter beoordeelt dan of de verstoorde verhouding voldoende grond biedt voor ontslag, en of de verstoorde arbeidsverhouding geen verband houdt met de functie als Functionaris voor de Gegevensbescherming.

Opzegverbod Data Protection Officer onder de AVG

De AVG, die per 25 mei 2018 in werking treedt, formuleert het opzegverbod net even anders. De DPO mag niet worden ontslagen ‘voor het uitvoeren van zijn taken’. Het doel hiervan is ook weer dat de functionaris voor de gegevensbescherming volledig onafhankelijk kan werken. Dit sluit aan op het verbod op het geven van instructies met betrekking tot de uitvoering van de taken.

Dit AVG opzegverbod is een wegens opzegverbod. De werkgever mag een DPO niet ontslaan wegens het uitvoeren/de uitvoering van zijn taken. De Memorie van Toelichting bij de Nederlandse wet stelt over wegens opzegverboden:

‘Indien er een opzegverbod van toepassing is wegens een bepaalde omstandigheid…kan de rechter de arbeidsovereenkomst uiteraard niet ontbinden.’

De Nederlandse wet ondervangt het wegens verbod momenteel al in het tijdens verbod. Nu mag de FG namelijk überhaupt niet worden ontslagen tenzij een uitzondering van toepassing is. Het uitvoeren van de taken valt niet onder een van de uitzonderingen. Praktisch gezien verandert er dus waarschijnlijk niets. De daadwerkelijke uitkomst zal uit toekomstige rechtspraak moeten blijken.

Kun je dus je Data Protection Officer ontslaan onder de AVG?

Ja dat kan, als je er maar een goede reden voor hebt, die de onafhankelijkheid van de Functionaris voor de Gegevensbescherming niet in de weg staat en die reden niets te maken heeft met de uitvoering van zijn taken. Taken van een FG kunnen zijn het houden van toezicht, gegevensverwerkingen inventariseren, vragen en klachten afhandelen die betrekking hebben op privacy, adviseren over privacyvraagstukken en het opstellen of aanpassen van gedragscodes.

Beter voorkomen, dan genezen

Overweeg je om een Functionaris voor de Gegevensbescherming aan te nemen? Beoordeel dan van tevoren of die persoon voldoet aan de wettelijke eisen en zorg vooraf voor een plan om de FG bekwaam te houden. Ben je er niet zeker over? Overweeg dan het inhuren van een FG, bijvoorbeeld van ICTRecht.

Het bericht Kan ik mijn Data Protection Officer (DPO) ontslaan onder de AVG? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Checklist: de geheimhoudingsovereenkomst (NDA)

vr, 07/14/2017 - 10:03

Een non-disclosure agreement (NDA) of geheimhoudingsovereenkomst is een overeenkomst waarbij twee partijen afspreken bepaalde informatie geheim te houden. Strikt gesproken is dit geen ICT-specifieke contractsoort, maar de NDA is buitengewoon populair in de ICT. Zo populair zelfs dat het document wel eens de Silicon Valley Handshake genoemd wordt, omdat in de hightechsector het tekenen van een NDA de eerste handeling is na de kennismaking. Waar moet je nu rekening houden bij het reviewen of opstellen van een NDA?

Doelomschrijving van de NDA

De kern van een NDA is de omschrijving van het doel. Waarom gaan partijen informatie delen? Dit is cruciaal, want alle bepalingen omtrent geheimhouding en wat geheim moet blijven, worden namelijk opgehangen aan dit doel. Bekende standaardomschrijvingen zijn “zakelijke onderhandelingen omtrent een licentiecontract” of “het onderzoeken van de mogelijkheden van een nadere samenwerking”, maar het heeft sterk de voorkeur om specifieker te zijn. Welk contract? Wat voor samenwerking?

Het doel komt op diverse plaatsen terug, met name waar wordt bepaald dat de informatie alleen mag worden gebruikt voor het doel of dat deze alleen mag worden gedeeld met mensen die een need to know hebben voor het doel. Daarom is dringend aan te bevelen dit op één plek te definiëren.

Wanneer het doel mede het onderhandelen over een overeenkomst betreft, kan een situatie ontstaan waarin één partij de onderhandelingen wil afbreken en de andere voortzetting verlangt. De jurisprudentie van de Hoge Raad (met name het CBB/JPO arrest) biedt aanknopingspunten voor een afgedwongen voortzetting en/of schade vergoeding te betalen door de afbrekende partij. Om dit
te vermijden, is het belangrijk de tekst zo te redigeren dat hooguit gestreefd wordt naar een dergelijke overeenkomst. Liever dus “onderhandelen over een mogelijke licentieovereenkomst” dan “een licentieovereenkomst onderhandelen”.

Eenzijdig of tweezijdig opstellen van de NDA?

Een NDA kan eenzijdig of tweezijdig zijn. In een eenzijdige NDA is er één partij die verstrekt, en één partij die ontvangt. In die situatie zullen de meeste bepalingen sterk in het voordeel van de verstrekker zijn, omdat het immers “zijn” informatie is. Voor ontvangers is zo’n eenzijdige NDA dan ook moeilijk te aanvaarden. Bovendien kan het snel voorkomen dat de ontvanger bij nader inzien toch enige vertrouwelijke informatie wil delen, wat dan weer een aparte NDA vereist.

Een tweezijdige NDA benoemt beide partijen tot verstrekker en ontvanger. Hiermee ontstaat vrijwel meteen een gebalanceerde situatie voor wat betreft zaken als definities van wat vertrouwelijk is, welke beveiligingsmaatregelen moeten worden genomen en met wie informatie mag worden gedeeld. Wij raden dan ook eigenlijk altijd aan deze vorm te gebruiken, tenzij er zwaarwegende redenen zijn om slechts één verstrekkende partij op te voeren.

 

ICT-contracten de baas?

ICTRecht Academy verzorgt basis- en verdiepingscursussen ICT-contracten waarin op een praktische wijze aandachtspunten en valkuilen worden besproken van NDA’s, algemene voorwaarden, mantelovereenkomsten en licenties. Voor juridisch publiek (PO) of algemeen publiek.

 

Definitie van vertrouwelijkheid: welke informatie moet geheim blijven in de NDA?

De spil van een NDA is de informatie die vertrouwelijk is. Deze moet dus expliciet worden gedefinieerd, zodat achteraf kan worden getoetst of bepaalde informatie onder de NDA valt. Er zijn grofweg drie manieren om dit te doen:

  1. Beperkt. Alleen informatie die is gemarkeerd als zodanig, is vertrouwelijk.
  2. Breed. Alles is vertrouwelijk, tenzij de ontvanger via een uitzonderingsclausule (zie hieronder) het tegendeel kan bewijzen.
  3. Gebalanceerd. Hierbij wordt naast markering ook de omstandigheden meegenomen. Zo ontstaat een situatie die meer gebalanceerd is.

Veel vertrouwelijke informatie wordt mondeling uitgewisseld. Dergelijke informatie zal zelden expliciet als vertrouwelijk worden aangemerkt bij uitwisseling, en ‘markeren’ kan natuurlijk al helemaal niet. Vandaar dat er in geheimhoudingsovereenkomsten in dat geval wordt afgesproken dat deze binnen een zekere periode (gewoonlijk 30 dagen) schriftelijk bevestigd moet worden als vertrouwelijk. Onze ervaring is echter dat dit in de praktijk zelden gebeurt.

Uitzonderingen van geheimhouding

Het zou onredelijk zijn als de ontvangende partij informatie geheim moet houden die de facto niet meer
geheim is. Vandaar dat een plicht tot vertrouwelijkheid altijd moet worden uitgebreid met een uitzondering voor situaties waaruit blijkt dat redelijkerwijs geen sprake meer is van geheimhouding. De standaardlijst:

  • a) [De informatie is] beschikbaar uit openbare bronnen, zoals kranten, octrooidatabanken of informatieve websites,
  • b) reeds voor de datum van verstrekking door de verstrekkende partij in het bezit was van de ontvangende partij,
  • c) verkrijgbaar is bij een derde zonder dat deze derde enige geheimhoudingsbepaling jegens de verstrekkende partij zou schenden door de verstrekking aan de ontvangende partij,
  • d) onafhankelijk en zonder gebruikmaking van informatie van de verstrekkende partij is ontwikkeld door de ontvangende partij, of
  • e) zonder bijzondere inspanning af te leiden is uit vrij op de markt beschikbare producten, waarbij het decompileren van software in ieder geval als “bijzondere inspanning” gezien wordt.

Sommige modelteksten voor NDA’s nemen nog een clausule op in de lijst met uitzonderingen op vertrouwelijkheid, namelijk “wanneer informatie krachtens vonnis of bevoegd gegeven bevel moet worden afgegeven.”

Dit is onjuist: het feit dat een autoriteit afgifte gelast, heft de vertrouwelijkheid van de informatie niet op (zoals de aanhef van de lijst vermeldt). Het biedt alleen een grondslag om de informatie te verstrekken voor een ander doel dan afgesproken. Daarom moet dit in een apart artikel geregeld zijn.

Het kan voorkomen dat een partij door een autoriteit, zoals de Autoriteit Consument en Markt of de Nederlandse Mededingingsautoriteit, of in het kader van een gerechtelijke procedure wordt verplicht informatie te verschaffen. Dit kan vertrouwelijke informatie van een andere partij zijn. Gebruikelijk is af te spreken dat dit toegestaan is echter met de verplichting de verstrekkende partij te waarschuwen, zodat deze stappen kan nemen om de verstrekking tegen te gaan.

Randbepalingen van een NDA Garanties

Het is gebruikelijk om in geheimhoudingsovereenkomsten expliciet vast te leggen dat de verstrekte informatie zonder enige garanties omtrent juistheid, volledigheid of wat dan ook komt. Dit is logisch nu het bij een NDA gaat om het faciliteren van het ‘snuffelen’ aan elkaars informatie of technologie, en men in een snuffelfase moeilijk al garanties van de wederpartij kan verlangen.

Licenties

Wanneer informatie digitaal wordt verstrekt, is formeel een gebruiksrecht nodig onder auteursrechten en andere intellectuele eigendomsrechten van de verstrekker. Hoewel dit eigenlijk direct al volgt uit de strekking van de overeenkomst, kan het goed zijn dit toch nog even expliciet te benoemen. Met name nuttig is het expliciet benoemen van verboden gebruik.

Soms wordt daarbij vermeld dat géén licentie wordt verstrekt. Dit is echter onjuist, aangezien men de
informatie zonder gebruiksrecht in het geheel niet kan gebruiken. Mogelijk dat werd bedoeld “geen exploitatierecht”, maar dat moet dan wel expliciet op die manier worden opgeschreven.

Delen met derden

Er moet worden afgesproken of en wanneer vertrouwelijke informatie met derden mag worden gedeeld. Gebruikelijk is de kring te beperken tot werknemers en hulppersonen die een need to know hebben en gebonden zijn aan vertrouwelijkheid. Men kan de hulppersonen eventueel beperken tot professionele adviseurs zoals advocaten en accountants. Volgens de wet is de ontvangende partij in situaties als deze aansprakelijk voor fouten van deze hulppersonen (art. 6:171 BW). Echter, voor de duidelijkheid en om de ontvanger enige schrik aan te jagen, is het toch verstandig hierover een expliciete clausule op te nemen.

Beveiliging

Beveiliging van vertrouwelijke informatie spreekt voor zich, maar hoe dit vast te leggen? Een gebruikelijk compromis is aan te sluiten bij hetgeen de ontvanger zelf ook al hanteert voor bescherming van bedrijfsgeheimen. Enigszins flauw maar zeer gebruikelijk is de toevoeging “doch ten minste op een redelijk niveau” om het verweer te pareren dat de ontvanger zijn eigen informatie óók op een flutniveau beschermt en derhalve geen beveiligingseis heeft geschonden.

Vernietiging

Na afloop van de NDA (zie ook hieronder) moet de vertrouwelijke informatie worden vernietigd. Wat oudere modellen spreken vaak van “retourneren of vernietigen”. Veel informatie zal digitaal beschikbaar zijn. ‘Retourneren’ is dan geen zinnige optie. Bovendien wordt ook met papieren originelen zelden in de praktijk daadwerkelijk een en ander geretourneerd. Pragmatisch is dan ook deze plicht te beperken tot vernietigen, en het retourneren te beperken tot kostbare prototypes en dergelijke.

Residuals

Een NDA kan honderd keer bepalen dat informatie moet worden gewist, bepaalde fragmenten zullen blijven ‘hangen’ in de hoofden van de betrokken medewerkers. De van Microsoft afkomstige zogeheten residuals-clausule poogt te regelen dat dit geen probleem is. Hij bepaalt kort gezegd dat onopzettelijke herinneringen vrij gebruikt mogen worden. Uiteraard is het niet de bedoeling dat mensen opzettelijk zaken uit hun hoofd gaan leren en daarna aanspraak maken op de status van residu-informatie. Of het inzetten van een persoon met eidetisch geheugen wel of niet valt onder ‘onopzettelijk’, is vooralsnog een open vraag.

Geen onderhandelplicht

Een NDA is vaak het voortraject voor onderhandelingen met als doel tot een nadere overeenkomst te sluiten, zoals een licentieovereenkomst of een koop van producten. Gebruikelijk is dan om in de NDA vast te leggen dat hiermee geen plicht ontstaat om daadwerkelijk zo’n overeenkomst te sluiten. Hiermee wordt dus de mogelijkheid beknot de wederpartij te verplichten onderhandelingen voort te zetten, ook als daar onder de jurisprudentie van de Hoge Raad (met
name het CBB/JSO arrest) aanleiding toe zou zijn.

Duur en opzegging van een NDA

Een NDA heeft twee termijnen die relevant zijn voor de duur. Allereerst is er de termijn gedurende welke vertrouwelijke informatie kan worden uitgewisseld. Informatie ná deze periode is per definitie niet gedekt onder de NDA. Daarnaast is er de termijn gedurende welke reeds verstrekte informatie vertrouwelijk moet worden behandeld, ook na beëindiging van de NDA zelf. Het is essentieel deze termijnen apart te benoemen, zodat een opzegging van de NDA geconstrueerd wordt als de beëindiging van de eerste periode en niet ook de tweede.

De keuze voor de twee termijnen is vrij onderhandelbaar, maar gebruikelijk is de eerste termijn zes maanden tot een jaar te laten zijn en de tweede termijn drie tot vijf jaar. Een eeuwigdurende tweede termijn is onredelijk, maar komt vaak voor.

Voortraject van een NDA

Wanneer in een voortraject tot een contract reeds een NDA afgesloten is, kan men in plaats van een geheimhoudingsclausule op te stellen ook verwijzen naar deze NDA. Dit vereist enige aandacht waar het de duur en de opzegging van de NDA betreft. Het verdient aanbeveling expliciet vast te leggen dat de scope van de NDA wordt uitgebreid met het onderwerp van de overeenkomst.

Vaak zal de scope van een NDA beperkt zijn tot bijvoorbeeld commercieel onderhandelen of een snuffeltraject aan de technologie. Het is dan geen gegeven dat de licentievoorwaarden, prijzen en dergelijke uit de latere overeenkomst onder deze scope te rekenen zijn. De NDA moet voorts niet (meer) opzegbaar zijn maar zijn duur dient verbonden te zijn aan de latere overeenkomst.

Checklist Non-Disclosure Agreement (NDA) / Geheimhoudingsovereenkomst
  • Benoemt de NDA naast de partijen zelf ook hun moeder-, dochter- en zusterbedrijven als bevoegd de informatie te ontvangen? Zo ja, wie is verantwoordelijk voor verlies?
  • Is het doel kernachtig en op één plaats omschreven met een definitie die elders
    terugkomt?
  • Is de NDA één- of tweezijdig en is dat te rechtvaardigen vanuit het standpunt van
    de wederpartij?
  • Is duidelijk welke gebruiksrechten worden verleend aan de ontvangende partij?
  • Is duidelijk of informatie gemarkeerd moet worden (brede, beperkte of
    gebalanceerde keuze voor vertrouwelijkheid)?
  • Is verstrekking aan overheid of rechtbanken apart geregeld van de lijst met uitzonderingen op vertrouwelijkheid?
  • Is duidelijk welk niveau van beveiliging moet worden gehanteerd?
  • Hoe lang duurt de periode van verstrekking (eerste termijn) en hoe lang duurt de periode van geheimhouding (tweede termijn)?
  • Wordt bij latere overeenkomsten teruggegrepen op de NDA, en zo ja is dan expliciet bepaald dat de NDA van kracht blijft gedurende de looptijd van de latere overeenkomst?

Wilt u eenvoudig zelf een geheimhoudingsovereenkomst (NDA) opstellen? Dat kan voor € 45,00 ex. btw met onze generator op JuriDox.nl. Heeft u verder nog vragen of wilt u ondersteuning bij contractsonderhandelingen? Wij staan voor u klaar.

Dit artikel is eerder gepubliceerd in ons magazine ICTRecht in de praktijk nr. 2 2016.

 

ICT-contracten: de basis, verdieping en masterclass

ICTRecht Academy verzorgt basis- en verdiepingscursussen en een masterclass ICT-contracten waarin op een praktische manier aandachtspunten en valkuilen worden besproken van o.a. NDA’s, algemene voorwaarden, mantelovereenkomsten en licenties. U leert documenten te reviewen, op te stellen en er over te onderhandelen. De cursussen zijn voor juridisch publiek (PO) en algemeen publiek.

Het bericht Checklist: de geheimhoudingsovereenkomst (NDA) verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Online gokken, waar blijft die nieuwe wet?

do, 07/13/2017 - 07:00

Hoewel het in Nederland op grond van de Wet op de kansspelen verboden is om zonder vergunning online kansspelen aan te bieden, is het toch vrij gemakkelijk om aan een online kansspel zoals poker deel te nemen. Aanbieders van online kansspelen zijn gemakkelijk via internet te vinden. Casino 777, Unibet en Bwin zijn enkele voorbeelden van aanbieders die haar diensten zelfs in de Nederlandse taal aanbieden.

Het is dan ook een illusie om te denken dat de Nederlandse kansspelwetgeving makkelijk te handhaven is. Om deelnemers aan kansspelen zoveel mogelijk te beschermen wordt al jaren gepleit voor het reguleren van online kansspelen, wat heeft geresulteerd in een wetsvoorstel. Hoe zit het met de voortgang van die wet en wat kunnen we verwachten?

Modernisering van Wet op kansspelen is zaak van lange adem

Het was toenmalig staatssecretaris Fred Teeven die in 2011 al aankondigde dat de huidige kansspelwetgeving gemoderniseerd zou worden, zodat onder meer kansspelen via internet gereguleerd konden worden. Het is inmiddels alweer bijna drie jaar geleden dat het wetsvoorstel kansspelen op afstand naar de Tweede Kamer werd gestuurd.

Na een lange behandeling stemde de Tweede Kamer op 7 juli 2016 in met het wetsvoorstel. De enige horde die nog genomen moet worden is de behandeling en goedkeuring in de Eerste Kamer. Het is niet duidelijk wanneer de behandeling van het wetsvoorstel in de Eerste Kamer voltooid zal zijn, maar naar verwachting zal dit niet voor eind 2017 zijn.

Belangrijke eisen en wijzigingen wetsvoorstel kansspelwetgeving

Het nieuwe wetsvoorstel brengt een aantal ingrijpende veranderingen met zich mee ten aanzien van kansspelen op afstand. De belangrijkste wijzigingen zullen hieronder kort worden uitgewerkt.

Vergunningsplicht

De nieuwe wet maakt de weg vrij voor het aanbieden van online kansspelen, echter alleen als de aanbieder daarvoor een vergunning heeft gekregen van de Kansspelautoriteit. Naast de kosten die de aanbieder moet maken om aan de voorwaarden uit de wet te moeten voldoen, zijn er ook kosten verbonden aan de vergunningsaanvraag zelf. De vergoeding voor de aanvraag van de vergunning zal naar verwachting EUR 40.000,- bedragen. Met een vergunning kan de aanbieder in principe vijf jaar online kansspelen aanbieden.

Verplichte bijdrage aan verslavingsfonds

Met de komst van de nieuwe wet wordt een apart fonds opgericht ter bestrijding van kansspelverslaving bij kansspelen op afstand. Vergunninghouders van kansspelen op afstand zijn verplicht om financieel bij te dragen aan dit verslavingsfonds. Deze bijdrage is nu vastgesteld op 0,5% van het bruto spelresultaat. Het bruto spelresultaat is het verschil tussen de inleg van deelnemers en het uitgekeerde prijzengeld.

Zorgplicht vergunninghouders

Op de vergunninghouders rust daarnaast een uitgebreide zorgplicht om kansspelverslaving zoveel mogelijk te voorkomen. Zo moet de speler door de vergunninghouder voldoende geïnformeerd worden over de (risico’s van) kansspelen, zodat de speler een weloverwogen keuze kan maken om deel te nemen aan het spel. Verder dient de vergunninghouder voorzieningen te treffen om de speler zoveel mogelijk inzicht te geven in het eigen speelgedrag.

Ook moet de vergunninghouder maatregelen te nemen, zoals het opleggen van entreebeperkingen en uitsluitingen, indien het gedrag van de speler daartoe aanleiding geeft. Het personeel van de vergunninghouder dient daarom kennis te hebben van verslavingspreventie.

Tot slot is de vergunninghouder verplicht de op haar rustende zorgplicht uit te werken in een preventiebeleid. Dit beleid is niet alleen bestemd om spelers te informeren, maar ook de toezichthouder kan ernaar vragen.

Kansspelbelasting

Het wetsvoorstel neemt ook veranderingen met zich mee over de te betalen kansspelbelasting. Zo wordt er een onderscheid gemaakt in de tarieven van kansspelbelasting bij legale en illegale kansspelen op afstand.

Met de komst van deze nieuwe wet zullen vergunninghouders 20% belasting betalen over het bruto spelresultaat. Dit in tegenstelling tot de traditionele, landgebonden kansspelen, die 29% belasting zullen blijven betalen. Dit percentage gaat ook gelden voor illegale online kansspelen. Spelers die spelen bij een aanbieder die geen vergunning heeft betalen dus 29% kansspelbelasting.

Centraal register uitsluiting kansspelen

In het wetsvoorstel wordt daarnaast een centraal register uitsluiting kansspelen geïntroduceerd, dat zal worden beheerd door de Kansspelautoriteit. In dit register kunnen risico- en probleemspelers, vrijwillig of onvrijwillig, worden ingeschreven zodat zij worden beschermd tegen kansspelverslaving. Een speler die staat ingeschreven in het register zal gedurende zes maanden niet kunnen deelnemen aan bepaalde kansspelen. Overigens ziet dit register niet alleen op online kansspelen, maar ook op bijvoorbeeld casino’s en speelhallen.

Toezicht en handhaving

Met de regulering van de online kansspelen is ook een belangrijke rol weggelegd voor de Kansspelautoriteit wat betreft toezicht en handhaving. Het wetvoorstel introduceert dan ook enkele nieuwe bevoegdheden voor de Kansspelautoriteit:

  • Zo krijgt de Kansspelautoriteit het recht om anoniem deel te kunnen nemen aan online kansspelen, om zo de geldstromen te volgen en de identiteit van de aanbieder te kunnen achterhalen.
  • Verder krijgt de Kansspelautoriteit de mogelijkheid om partijen, die de kansspelen op afstand bevorderen zoals hostingproviders, betaaldienstverleners en adverteerders, een bindende aanwijzing te geven om de dienstverlening te staken.
  • Tot slot krijgt de Kansspelautoriteit enkele aanvullende bestuursrechtelijke handhavingsinstrumenten, zoals het binnentreden en doorzoeken van woningen tegen de wil van de bewoner, het definitief in beslag nemen van goederen en het verzegelen van ruimten en voorwerpen.

Uit bovenstaande voorwaarden blijkt dat er veel waarborgen in het wetsvoorstel zijn ingebouwd om ervoor te zorgen dat aanbod verantwoord, betrouwbaar en controleerbaar is en dat kansspelverslaving en criminaliteit binnen deze sector zoveel mogelijk wordt beperkt.

Het feit blijft dat op dit moment honderdduizenden Nederlanders online kansspelen spelen via buitenlandse aanbieders. Deze spelers worden niet beschermd door het Nederlandse kansspelbeleid. De noodzaak van deze wet is duidelijk, alleen blijft het (nog steeds) de vraag wanneer hij in werking zal treden.

Fotocredit: Santeri Viinamäki [CC BY-SA 4.0], via Wikimedia Commons

Het bericht Online gokken, waar blijft die nieuwe wet? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Nieuwe meldplicht cybersecurity voor essentiële diensten en digitaledienstverleners

wo, 07/12/2017 - 07:01

Recente aanvallen met ransomeware hebben grote schade aan het bedrijfsleven en de overheid toegebracht. Betrouwbare en veilige netwerk- en informatiesystemen zijn van essentieel belang voor zowel de Nederlandse als de Europese economie. Het is daarom van groot belang dat deze essentiële diensten goed beschermd worden tegen aanvallen van buitenaf.

Om tot een Europees uniform beschermingsniveau te komen voor vitale netwerk- en informatiesystemen, en om incidenten adequaat het hoofd te bieden, is de Europese Commissie met de Richtlijn Netwerk- en Informatiebeveiliging (NIB-richtlijn) gekomen. In deze blogpost wordt kort ingegaan op de gevolgen van de NIB-richtlijn en de Nederlandse uitwerking daarvan, de Cybersecuritywet.

Wat zijn essentiële diensten en digitaledienstverleners

Vanuit de richtlijn wordt er onderscheid gemaakt in twee verschillende actoren die onder de richtlijn vallen: digitaledienstverleners en aanbieders van essentiële diensten. De laatste actor is in de Cybersecuritywet vertaald naar aanbieders van vitale diensten.

In de bijlage bij de richtlijn wordt nader ingegaan op het begrip aanbieders van essentiële diensten. Het gaat hier om entiteiten die een dienst verlenen die van essentieel belang is voor maatschappelijke en economische activiteiten, en die afhankelijk zijn netwerk- en informatiesystemen en waar een incident aanzienlijke verstorende effecten zou kunnen hebben.

Voorbeelden van essentiële diensten en digitaledienstverleners
  • Nutsbedrijven, banken, ziekenhuizen en bedrijven die zich bezighouden met de digitale infrastructuur.
  • De richtlijn is specifieker als het gaat om de vraag welke bedrijven vallen onder digitaledienstverleners, hier geeft de richtlijn een volledige opsomming: onlinemarktplaatsen, onlinezoekmachines en aanbieders van cloudcomputerdiensten.
Beveiligingsverplichting richtlijn & Cybersecuritywet

Aanbieders van essentiële diensten en digitaledienstverleners moeten passende en evenredige technische en organisatorische maatregelen nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Bedrijven zijn verplicht om maatregelen te nemen die zorgen voor een niveau van beveiliging dat is afgestemd op de risico’s die zich voordoen.

Zowel de richtlijn als de als de Nederlandse uitwerking daarvan – de Cybersecuritywet – geven geen verdere technische toelichting op deze verplichting, deze kunnen wel door middel van een AMVB opgelegd worden. Toezicht door de overheid is mogelijk door middel van een audit.

Meldplicht Cybersecuritywet

Aanbieders van essentiële diensten en digitaledienstverleners moeten security-incidenten met aanzienlijke gevolgen melden aan de bevoegde nationale autoriteiten. De Cybersecuritywet geeft enkele parameters om te bepalen of er sprake is van een incident met een zienlijke gevolgen:

  • het aantal gebruikers dat door de verstoring van de essentiële dienst wordt getroffen;
  • de duur van het incident;
  • de omvang van het geografische gebied dat door het incident is getroffen.

Voor digitaledienstverleners is de Minister van Economische Zaken als bevoegde autoriteit aangewezen. Voor de aanbieders van essentiële diensten is de bevoegde autoriteit afhankelijk van de sector waar waarbinnen de aanbieder valt.

De verplichting om te melden heeft verschillende redenen ten grondslag. De autoriteiten kunnen op deze manier het publiek communiceren over (lopende) incidenten. Door middel van publieke bewustwording kunnen incidenten beheerst worden is de gedachte. Een andere reden is dat de nationale autoriteiten informatie over incidenten kunnen delen met de autoriteiten van de andere lidstaten binnen de EU. Zo kan er Europees breed adequaat opgetreden worden tegen incidenten.

Sancties bij niet voldoen aan meldingsplicht

De NIB-richtlijn verplicht lidstaten sancties in hun nationale wetgeving op te nemen. Deze sancties moeten “doeltreffende, evenwichtig en afschrikwekkend” zijn. Onder de Cybersecuritywet, wat momenteel nog een wetsvoorstel is, kunnen boetes variërend tot € 1 miljoen en € 5 miljoen worden opgelegd. Daarnaast kan de bevoegde autoriteit een last onder bestuursdwang opleggen.

Samenloop met andere meldplichten

De huidige Nederlandse meldplicht datalekken en de meldplicht die voortvloeit uit de Algemene Verordening Gegevensbescherming zijn de afgelopen tijd veelvuldig in het nieuws geweest. Met de meldplicht onder de Cybersecuritywet wordt een nieuwe meldplicht in het leven geroepen.

Afhankelijk van het type incident kan het goed zijn dat zowel een melding bij de Autoriteit Persoonsgegevens verplicht is en parallel een melding gemaakt moet worden bij de bevoegde autoriteit onder de Cybersecuritywet. Het huidige voorstel voor de Cybersecuritywet bevat, anders dan de meldplicht datalekken, geen termijnen waarbinnen een dergelijke melding moet worden gedaan.

Gezien de impact van de Cybersecuritywet is het zaak u tijdig te laten informeren. Mocht u vragen of behoefte aan advies hebben, neem dan gerust contact op met een van onze juridisch adviseurs. Tot 16 juli 2017 is het daarnaast mogelijk om via de internetconsultatie op alle onderdelen van de Cybersecuritywet een reactie te geven.

Dit blogbericht is geschreven in samenwerking met Gosse Bijlenga.

Het bericht Nieuwe meldplicht cybersecurity voor essentiële diensten en digitaledienstverleners verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Medische websites overtreden de wet

di, 07/11/2017 - 12:00

De Consumentenbond heeft door middel van een steekproef van twintig medische websites geconcludeerd dat deze websites zich niet aan de wet houden. Het gaat om het plaatsen van tracking cookies zonder toestemming en het ontbreken van een privacyverklaring.

Wanneer gegevens worden verwerkt over iemands gezondheid (medische persoonsgegevens) is de privacywetgeving van toepassing. Bij het plaatsen van cookies komt ook nog eens de Telecommunicatiewet (Cookiewet) om de hoek kijken. Verkoopt u daarnaast producten of diensten via uw website aan consumenten? Dan is er ook nog consumentenwetgeving die van belang is. Bovendien moet u volgens de wet altijd weergeven wie u bent. Vermeld daarom altijd duidelijk uw bedrijfs- en contactgegevens.

Het plaatsen van cookies

In het onderzoek van de Consumentenbond gaat het om websites waarop gezondheidsinformatie is te vinden. In de meeste gevallen worden op deze websites tracking cookies geplaatst zonder toestemming. Dat is niet toegestaan. Tracking cookies vallen onder de privacywetgeving, waarvoor expliciete en ondubbelzinnige toestemming moet worden gevraagd. Alleen voor technisch noodzakelijke cookies hoeft geen toestemming gevraagd te worden. Meer informatie over cookies.

Privacyverklaring

Bovendien moeten websites waarop persoonsgegevens worden verwerkt een privacyverklaring aanbieden. Hierin moet staan welke persoonsgegevens worden verzameld, voor welk doel, wat de bewaartermijnen zijn, en welke rechten iemand heeft met betrekking tot zijn persoonsgegevens. Bij dat laatste moet je denken aan het recht op inzage, correctie of verwijdering.

Andere medische gegevens

Ook het maken van een afspraak via een website met een bepaalde hulpverlener is een verwerking van medische gegevens. Het maken van een afspraak bij een huisarts hoeft dit nog niet te zijn: dit is vrij algemeen en zegt (nog) niks over de gezondheidstoestand van iemand. Het maken van een afspraak bij een specialist, zoals een gynaecoloog of een trauma-psycholoog, is al veel specifieker.

De persoonsgegevens die in deze context worden verzameld, worden daarom ook aangemerkt als medische persoonsgegevens. Ook het stellen van een medische vraag via een website (bijvoorbeeld aan een arts, of via een forum) is een verwerking van medische persoonsgegevens.

Voor de verwerking van deze gegevens heb je een wettelijke grondslag nodig, zoals de uitvoering van een overeenkomst of uitdrukkelijke toestemming.

Verkoop van producten of diensten

Verkoopt u producten en/of diensten via uw website aan consumenten? Dan moet u zich naast de privacy- en cookiewetgeving ook houden aan strenge consumentenwetgeving. Denk hierbij aan een juist bestelproces, het aanbieden van de algemene voorwaarden op de juiste manier en de informatieplichten. De consument moet bijvoorbeeld goed geïnformeerd worden over het herroepingsrecht, garanties, klachten en, wanneer het gaat om de verkoop van producten, de achterafbetaling.

Uw (medische) website

Benieuwd waar uw website aan moet voldoen wanneer u (medische) persoonsgegevens verwerkt? Binnenkort zullen wij in een nieuwe blog uitleggen waar u precies rekening mee moet houden. Wilt u een volledige (medische) websitescan laten uitvoeren? Neem dan contact met ons op.

Meer weten over privacywetgeving?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Het bericht Medische websites overtreden de wet verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Mag je met opt-out toestemming vragen voor het delen van klantgegevens?

di, 07/11/2017 - 07:28

Is stilzwijgende toestemming mogelijk wanneer het gaat om het delen van iemands persoonsgegevens? Het antwoord is nee, zowel onder de huidige wetgeving als onder de Algemene Verordening Gegevensbescherming (AVG). Hieronder leggen we uit hoe je wel data mag delen met bijvoorbeeld samenwerkingspartners.

Goede samenwerking is essentieel voor iedere organisatie, en een onderdeel daarvan kan het uitwisselen van klantdata zijn. In de meeste gevallen is daar echter toestemming voor nodig van de betrokkene, ook wanneer het voordeel of gemak biedt voor de klant.

Wat te denken van een onderwijsinstelling, die aan bedrijven de namen, telefoonnummers en e-mailadressen doorgeeft van studenten die binnenkort afstuderen en staan te springen om een interessante baan? Dit is vaak een win-win-situatie: de werkgever komt in contact met enthousiaste starters, de studenten kunnen kennismaken met potentiële werkgevers, en de opleider komt mogelijk gunstiger naar voren in lijstjes met baankansen.

Toestemming voor het delen van persoonsgegevens

Maar mag je nu zomaar de gegevens van ál je studenten doorgeven aan een werkgever die hierin geïnteresseerd is? De privacywetgeving stelt hier grenzen aan. Wanneer je van de betreffende studenten toestemming hebt gekregen voor het doorgeven van de gegevens, is er niets aan de hand. Je moet hen dan wel voldoende specifieke informatie hebben gegeven: wie krijgt welke gegevens, en wat mogen zij ermee? De toestemming krijg je dan bijvoorbeeld specifiek voor dat bedrijf A je e-mailadres of telefoonnummer krijgt, om je te benaderen voor functie B.

Mag je toestemming vragen met een opt-out?

Wat nu als je een zogenaamde ‘opt-out’ biedt? Bijvoorbeeld: “we geven je e-mailadres door aan bedrijf A zodat zij jou kunnen benaderen voor functie B; mocht je hier geen prijs op stellen, dan horen wij dit graag deze week nog.” Volgt er vervolgens geen reactie, dan is er géén geldige toestemming gegeven volgens de privacywetgeving. In de AVG is dit ook expliciet vastgelegd: toestemming moet een actieve handeling zijn.

Zwijgen, of stilzitten (denk aan een congreszaal waar camera’s draaien, en mensen wel of niet weglopen) is geen toestemming. Evenmin het digitale equivalent ervan, zoals het niet reageren op een e-mail of het niet uitschakelen van een vooraf aangevinkt vakje in een webformulier (voor het versturen van reclame aan bestaande klanten bestaat een uitzondering).

Gegevens delen in het kader van een overeenkomst

Zijn er dan helemaal geen manieren om in het kader van een samenwerkingsverband persoonsgegevens te delen, zonder dat hiervoor toestemming nodig is? Er zijn mogelijkheden, maar daarvoor is wel een andere grondslag nodig onder de privacywet, zoals een overeenkomst met de betrokkene.

Het kan bijvoorbeeld zo zijn dat een onderdeel van de opleiding een stage is, waarbij de onderwijsinstelling bemiddelt tussen bedrijven en stagiaires. Of een onderwijsinstelling bemiddelt tussen afstudeerders en mogelijke werkgevers. Dit moet dan wel onderdeel zijn van de overeenkomst die de student met de onderwijsinstelling heeft, of er moet een aparte overeenkomst zijn afgesloten waarbij de student deze diensten afneemt. Hiermee mag de opleider (de daarvoor noodzakelijke) gegevens (in dit geval contactgegevens) van de student delen.

Toestemming is ook niet nodig wanneer beide organisaties een gerechtvaardigd belang hebben bij het delen van de gegevens, maar dit moet wel worden afgewogen tegen het privacybelang van de betrokkene. Privacy zal in veel gevallen zwaarder wegen.

Toestemming geven moet een actieve handeling zijn

Het delen van gegevens van bijvoorbeeld klanten, levert in veel gevallen belangrijke voordelen op voor alle partijen en lijkt vaak niet nadelig voor de betrokkenen. Toch zijn er vele redenen waarom iemand het niet zou kunnen waarderen dat zijn gegevens worden doorgegeven. Bijvoorbeeld het ontvangen van (commerciële) e-mails of telefoontjes waar iemand niet op zit te wachten.

Er kan niet van worden uitgegaan dat iemand die geen bezwaar maakt, toestemming geeft. Toestemming geven is onder de privacywetgeving namelijk een actieve handeling. Dus alleen data delen wanneer hiervoor akkoord is gegeven, is vaak raadzaam.

 

Meer weten over de Wbp en de aankomende AVG / GDPR?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u hier onze privacytrainingen.

Het bericht Mag je met opt-out toestemming vragen voor het delen van klantgegevens? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

ICTRecht is een erkende PE-instelling voor accountants

di, 07/11/2017 - 07:01

Naast de accreditatie door de Orde van Advocaten, is ICTRecht nu ook geaccrediteerd door de Nederlandse Beroepsorganisatie van Accountants. Hierdoor zijn wij nu een erkende PE-instelling en kunnen accountants bij ons PE-uren krijgen voor het volgen van onze trainingen.

Vanaf september a.s. bieden wij verschillende PE-trainingen geschikt voor algemeen publiek en accountants. Deze accountants krijgen na deelname een certificaat krijgen met PE-uren.

Kijk nù op ictrecht.nl/trainingen voor het meest recente aanbod!

Het bericht ICTRecht is een erkende PE-instelling voor accountants verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Bedrijfsgerichte koude acquisitie, mag dat?

ma, 07/10/2017 - 11:00

Is koude acquisitie gericht op bedrijven onder de huidige of komende (privacy)wetgeving verboden? Al eerder hebben we in onze blogposts de verschillende onderwerpen onder de Algemene Verordening Gegevensbescherming belicht. Veel bedrijven zijn bezig met het treffen van maatregelen om volledig te kunnen voldoen aan de nieuwe privacyregels.

Elk proces binnen een bedrijf zal onder andere op privacy getoetst worden. Ook de processen van de Sales afdeling, waar mogelijk koude acquisitie plaatsvindt, kan voorbij komen. Deze blog helpt je dan bij het beoordelen of koude acquisitie is toegestaan.

Het legaal uitvoeren van koude acquisitie is een lastige kwestie. Voor het beoordelen of koude acquisitie mag, zijn twee wetten van belang. De huidige (Wbp) en toekomstige (AVG) privacywetgeving, omdat soms ook (openbare) bedrijfsgegevens, als deze te herleiden zijn naar een bepaald persoon, als persoonsgegevens kunnen worden aangemerkt. Het betreft namelijk gegevens waarmee je een bepaald persoon binnen een bedrijf kunt bereiken. Daarnaast is de Telecommunicatiewet van belang, omdat koude acquisitie het ongevraagd versturen van commerciële berichten betreft.

Verwerken van persoonsgegevens

Openbare bedrijfsgegevens zijn gegevens die door een bedrijf zelf of namens een bedrijf bekend gemaakt zijn aan het publiek, bijvoorbeeld via hun website of de gegevens die zijn opgenomen in het KvK handelsregister. Ook deze gegevens kunnen soms worden aangemerkt als persoonsgegeven en vallen daarom onder de privacywet. Op grond van de privacywetgeving mag je niet zomaar persoonsgegevens verwerken.

Voor het verwerken van persoonsgegevens en dus soms ook voor het verwerken van openbare bedrijfsgegevens is een wettelijke grond vereist, zoals toestemming. Doordat bedrijfsgegevens openbaar zijn, lijkt gebruik (verwerking) daarvan gewoon toegestaan. De wet eist echter dat toestemming uitdrukkelijk en ondubbelzinnig is en vervolgens dat persoonsgegevens alleen mogen worden verwerkt voor het doel waarvoor ze verkregen zijn. Gegevens die door een bedrijf zelf openbaar gemaakt zijn, zijn openbaar gemaakt met een bepaald doel. De omschrijving bij de gegevens kan hier iets over zeggen, maar het kan ook blijken uit de context.

Voorbeeld: Op een klantenservicepagina van een bepaald bedrijf worden contactgegevens weergegeven en daarbij staat beschreven dat je contact op kunt nemen met Joost. Of: ‘met de manager van de Serviceafdeling’. Het verwerken van deze gegevens mag, maar wel alleen met het doel waarvoor de gegevens openbaar zijn gemaakt. In dit geval mag je de contactgegevens van Joost verwerken (bijvoorbeeld opslaan in je leverancierslijst) met het doel om deze later te gebruiken voor het verkrijgen van de benodigde (klanten)service.

De Sales en Marketingafdeling kan op een moment besluiten om de bedrijven op die leverancierslijst staan te bellen om aan deze leveranciers hun eigen product te verkopen (een ander doel dan het verkrijgen van service). De Salesmedewerker vraagt naar de manager van de Serviceafdeling (of Joost), die is immers geregistreerd als contactpersoon. De salesmedewerker gebruikt de openbare bedrijfsgegevens die te herleiden zijn naar een persoon dan voor een ander doel dan het doel waarvoor deze (persoons)gegevens openbaar werden gemaakt. Dit betekent dat de salesmedewerker in strijd met de wet handelt.

Versturen van commerciële berichten

De andere wet, de Telecommunicatiewet, stelt regels aan het overbrengen van ongevraagde commerciële berichten, zoals nieuwsbrieven en aanbiedingen. In principe mag je deze berichten alleen verzenden na voorafgaande uitdrukkelijke toestemming. Voor bedrijven geldt echter een minder strenge eis.

Als namelijk contactgegevens bekend gemaakt zijn voor het doel om commerciële berichten te ontvangen (denk aan acquisitie@bedrijf.nl), dan mogen deze gegevens zonder voorafgaande toestemming gebruikt worden voor het verzenden van commerciële berichten.

Een ‘daarvoor bedoeld e-mailadres’ is niet info@bedrijf.nl (bedoeld voor het leggen van contact in het algemeen) of inkoop@bedrijf.nl, tenzij erbij vermeld stond dat acquisitie naar dat adres mag worden verstuurd. Mag je mailen naar jan@bedrijf.nl? Dat mag, als dat e-mailadres voor dat doel beschikbaar is gesteld. Je mag Jan trouwens wel benaderen als hij namens het bedrijf eerder vergelijkbare aankopen bij het verkopende bedrijf heeft gedaan.

Telemarketing

De Telecommunicatiewet stelt ook regels ten aanzien van het ongevraagd telefonisch benaderen van potentiële klanten, met als doel goederen of diensten aan te bieden of te verkopen of denkbeelden te promoten. Telemarketing ten aanzien van consumenten en eenmanszaken is toegestaan, tenzij de ontvanger hier bezwaar tegen heeft gemaakt (‘Bel-mij-niet’-register). Dit geldt niet ten aanzien van de BV, NV of stichting. Deze rechtspersonen mag je gewoon telefonisch benaderen, zolang je maar niet vraagt naar een specifieke persoon. Wat wel kan: een bedrijf bellen en vragen naar iemand die over marketing gaat.

Koude acquisitie gericht op bedrijven is niet verboden.

Het hiervoor gebruiken van openbare bedrijfsgegevens is vaak wel verboden. Let er dus op dat:

  • Bij het telefonisch benaderen van een bedrijf, je het algemene telefoonnummer gebruikt en niet vraagt naar een specifieke persoon, als je geen toestemming hebt gekregen van die persoon om hem of haar te benaderen;
  • Bij het elektronisch (bijv. per e-mail) benaderen van een bedrijf je enkel gebruik maakt van een e-mailadres dat beschikbaar gesteld is voor acquisitie;
  • Bij het verkrijgen van persoonlijke contactgegevens je expliciet toestemming verkrijgt om deze (op een later tijdstip) te gebruiken voor acquisitie.

Toch bellen of mailen zonder toestemming, of contactgegevens gebruiken voor een ander doel dan waarvoor ze verkregen waren? De maximale boete per overtreding van de privacywetgeving zal met de komst van de AVG maximaal 20 miljoen euro of 4 procent van de wereldwijde jaaromzet zijn. Een Europees Comité zal toezien op de juiste toepassing van de AVG. Het ACM ziet daarnaast toe op naleving van de Telecommunicatiewet. Zij kunnen voor overtreding van de Telecommunicatiewet een boete opleggen tot 900,000 euro, of als dat meer is, ten hoogte van 1% van de omzet van de onderneming.

Meer weten over de Wbp en de aankomende AVG / GDPR?

ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis vereist. Bij afname van beide cursussen krijgt u het handboek De Algemene Verordening Gegevensbescherming gratis.

Het bericht Bedrijfsgerichte koude acquisitie, mag dat? verscheen eerst op ICTRecht juridisch adviesbureau.

Categorieën: Technieuws

Pagina's