De continue ontwikkeling op het gebied van IP & TMC gaat gepaard met een toenemende rol van technologie, een continu verschuiving van de offline naar de online wereld en de bijbehorende veranderende regelgeving.

CMS heeft een drietal video’s gemaakt waarin ons internationale IP team de auteursrechtrichtlijn becommentarieert. Onder andere wordt ingegaan op wat de aansprakelijkheden zijn van de grote techplatforms zoals Google en welke rechten persuitgevers hebben. De Europese Commissie heeft een actieplan gepubliceerd met het oog op de digitale transformatie van de EU tegen 2030. De Nederlandse overheid heeft een rapport “Cybersecurity Onderzoek Veilig Online 2021” gepubliceerd waarin onder andere wordt geconcludeerd dat Nederlanders zich steeds meer zorgen maken over hun online veiligheid.

Om u te helpen voorop te blijven lopen, publiceren wij daarom een newsflash met de laatste gerechtelijke uitspraken, informatie afkomstig van de autoriteiten en relevante achtergrondartikelen. Om navigeren zo eenvoudig mogelijk te maken, hebben we de informatie opgesplitst en per thema / rechtsgebied, kopjes gemaakt met een overzicht. Klik hieronder op het voor u relevante overzicht en blijf op de hoogte van deze cruciale ontwikkelingen.

Intellectuele eigendomsrechten

Jurisprudentie

Hof 's-Hertogenbosch 2 november 2021, ECLI:NL:GHSHE:2021:3295 (Quality is our Recipe tegen Wendy’s)

Sinds 1988 wordt in Goes een snackbar geëxploiteerd onder de naam Wendy’s. De snackbarhouder en de Amerikaanse keten zijn sinds de jaren ’90 verwikkeld in procedures over de vraag aan wie (gebruik van) het merk Wendy’s toekomt. Dit heeft ertoe geleid dat de Zeeuwse snackbar eigenaar is van het merk Wendy’s in de Benelux. De Amerikaanse keten vindt dat de Zeeuwse snackbar haar merk Wendy’s niet normaal heeft gebruikt en eist dat het merk vervallen wordt verklaard. De keten heeft hier belang bij omdat zij zelf vestigingen in de Benelux wil openen. Daarvoor wil de keten het merk Wendy’s registreren. De rechtbank Zeeland-West-Brabant oordeelde eerder dat de Zeeuwse snackbar het merk normaal gebruikt heeft voor haar snackbar. Daartegen ging de keten in beroep. Het hof heeft zich gebogen over de vraag of de snackbar het merk wel of niet normaal gebruikt en komt tot dezelfde conclusie als de rechtbank. De snackbar gebruikt het merk voor haar dienstverlening als snackbar normaal op de fastfoodmarkt (die voor een groot deel bestaat uit snackbars met één lokale vestiging). Dat blijkt onder andere uit de zichtbaarheid van het logo op bijvoorbeeld de gevel, verpakkingsmateriaal en kassabonnen. Daarnaast wordt het merk ook gebruikt op bedrijfskleding en bij sponsoractiviteiten. Anders dan de keten betoogt, is het geen vereiste voor normaal gebruik dat een buurtsnackbar meerdere vestigingen heeft of buiten de regio promotie maakt. Het hof concludeert dan ook dat de Zeeuwse snackbar het Beneluxmerk Wendy’s mag behouden. Wat betreft de registratie van het merk voor snackproducten vindt het hof dat de snackbar het merk niet normaal heeft gebruikt, ook niet bij enkele specifiek door haar bereide producten die zij onder de benaming Wendy’s in de snackbar heeft verkocht. Het gaat hier om een andere markt die wordt gekenmerkt door de aanwezigheid van grote snackproducenten. De eigenaar van de snackbar heeft niet bewezen dat ook op deze markt sprake is geweest van reëel commercieel gebruik van het merk.

Hof 's-Hertogenbosch 26 oktober 2021, ECLI:NL:GHSHE:2021:3243 (Appellant tegen Geïntimeerde)

Appellant heeft geïntimideerde een laptop met illegale SolidWorks software geleverd. Appellant stelt dat legale SolidWorks software normaliter € 6.000,00 kost en dat geïntimeerde aan appellant had medegedeeld maximaal € 1.000,00 te willen betalen, waardoor geïntimideerde moest weten dat de software illegaal zou zijn. Volgens het hof zijn er geen concrete feiten of omstandigheden waaruit de geïntimeerde rekening moest houden dat appellant een laptop met een illegale versie of een trialversie van Solid Works zou leveren. Appellant had redelijkerwijs moeten begrijpen dat geïntimeerde een laptop met een legale versie van SolidWorks wenste. Hij heeft niet op enig moment vóór de koop of de levering ervoor gewaarschuwd dat een laptop zou worden geleverd met een illegale versie of een trialversie van SolidWorks. Het hof bekrachtigt het bestreden vonnis.

HvJ EU 9 september 2021, ECLI:EU:C:2021:713 (CIVC tegen GB)

GB bezit verscheidene tapasbars in Spanje en maakt gebruik van het teken Champanillo. Dit teken wordt met name gebruikt in combinatie met een grafische drager waarop twee klinkende glazen met een mousserende drank zijn afgebeeld. CIVC is een orgaan dat de belangen van champagneproducenten behartigt. De oppositie die CIVC heeft aangetekend is toegewezen. Inschrijving van het teken zou onverenigbaar zijn met de beschermde oorsprongsbenaming 'Champagne'. De Spaanse rechter ging niet mee in dit oordeel. Champanillo zou als handelsnaam voor een horeca-etablissement geen gevaar opleveren voor de beschermde oorsprongbenaming (BOB) 'Champagne'. De rechter in tweede aanleg stelde naar aanleiding hiervan prejudiciële vragen, met als belangrijkste of de omvang van de BOB ook bescherming mogelijk maakt tussen niet-soortgelijke producten. Het HvJ antwoordt bevestigend hierop en stelt dat ook de reputatie van het BOB 'Champagne' beschermd wordt, en dat diensten die hier enigszins mee te maken hebben ook onder de bescherming vallen. Verordening nr. 1308/2013 moet dus worden uitgelegd dat het BOB’s beschermt tegen handelingen die betrekking hebben op zowel producten als diensten.

Rechtbank Noord-Holland 25 augustus 2021, ECLI:NL:RBNHO:2021:8088 (Eiser tegen gedaagde)

De copywriter van de gedaagde heeft teksten die op de website van eiser stonden met enkele wijzigingen overgenomen. Eiser stelt in reactie hierop dat er sprake is van een inbreuk op auteursrechtelijk beschermde werken. De teksten op de site zijn geschreven door het nemen van creatieve keuzes, waaronder het gebruik van signaal / zoekwoorden, tussenkopjes en het vormgeven van teksten. Hierin heeft het bedrijf geïnvesteerd. Eiser vordert dan ook voor de kantonrechter dat gedaagde onrechtmatig heeft gehandeld en aansprakelijk is voor de schade die hierdoor geleden is. Gedaagde betwist dat de werken auteursrechtelijk beschermd zijn. De kantonrechter ziet de teksten wel degelijk als auteursrechtelijk beschermde werken, aangezien deze oorspronkelijk zijn, een eigen karakter hebben en het persoonlijk stempel van de maker dragen. Gedaagde erkent de teksten (gedeeltelijk) overgenomen te hebben, waardoor inbreuk vast komt te staan. Echter het causaal verband tussen de inbreuk en de schade wordt niet voldoende geacht. De vordering tot vergoeding van de kosten voor het herschrijven van de teksten wordt dan ook afgewezen.

Hof Den Haag 17 augustus 2021, IEPT20210817 (Easycosmetics tegen Coty)

In deze zaak gaat Easycosmetics in hoger beroep tegen een uitspraak van de rechtbank. Dit betrof een zaak waarbij de rechtbank oordeelde dat wanneer een merknaam op een verpakkingsdoos afgebeeld staat, dit suggereert dat er een economische band met die merkhouder is. Easycosmetics voert aan dat de merken op de doos als soort 'wordcloud' afgebeeld staan en enkel de indruk wekken dat er door het bedrijf veel verschillende producten worden aangeboden. Door de 'merkenbrei' zou de aandacht juist actief getrokken worden naar de merknaam van Easycosmetics zelf. Het hof gaat mee in deze beoordeling en stelt dat er bij het relevante publiek geen reden is om aan te nemen dat er wordt uitgegaan van een economische band tussen Easycosmetics en de merken op de doos. Op grond van het bovenstaande is het hof van oordeel dat Coty zich niet kan verzetten tegen het gebruik van de merken. Het vonnis van de rechtbank wordt vernietigd.

HR 28 mei 2021, ECLI:NL:HR:2021:783 (Devante tegen Hascor)

Devante is een dochtermaatschappij van Yildirim Holding, een onderneming die zich bezighoudt met de handel in onder meer ferrochroom. Hascor bestelde in 2015 een hoeveelheid van dit ferrochroom. Vanuit het juiste e-mailadres werd er, na de eerste e-mail, een tweede gestuurd met de inhoud dat de vorige e-mail fouten bevatte. Een derde e-mail verkondigde dat de fouten eruit gehaald waren en dat de factuur voldaan kon worden. Dit bleek achteraf een valse factuur. In de vraag of er bevrijdend is betaald, oordeelde het hof dat er sprake is van bijzondere omstandigheden van dien aard dat het aan Devante valt toe te rekenen dat Hascor de e-mail met factuur voor echt heeft gehouden. Devante mocht dit redelijkerwijze ook doen. Met bijzondere omstandigheden wordt in dit geval geduid op het feit dat er telkens een andere verkopende partij vanuit Yildirim naar voren werd geschoven en de e-mails verstuurd zijn vanuit het juiste e-mailadres. Ook gezien de inhoud van de e-mails had Hascor geen reden om te twijfelen aan de echtheid hiervan. Het oordeel van het hof wordt door de Hoge Raad in stand gehouden.

Video’s

Hey, Copyright Directive

A video series produced by CMS to explain copyright rules revamped. While designed to protect contributors with unequal bargaining power, the Copyright Directive’s package of measures introduces great uncertainty into long-established industry structures. Further, the significant discretion given to Member States means that, far from increasing harmonisation, the Directive will result in further fragmentation of EU copyright law. Watch this video series where CMS copyright lawyers consider how the many parts of the Directive are likely to have an impact across the creative industries.

  • Hey, platforms! Are you liable for users’ uploads?The question of the liability of platforms has been a big issue across Member States, and especially in Germany, where platforms are liable for users' uploads right from the beginning – unless they adhere to certain duties of care. Meanwhile, in the UK, the Copyright Directive is not being transcribed into national law, following Brexit. Martin Gerecke and John Enser talk about duties of care, upload filters and remuneration for creators.
  • Hey, press publishers & internet providers! Time to reshape your relationshipArticle 15 of the Copyright Directive, gives EU press publishers a new right to claim revenues from online uses of their publications by information society service providers. Ole Jani and Paola Nunziata explain more about this paradigm change, and take a look at how Italy is approaching implementation at national level.
  • Hey, AI lovers! The Copyright Directive is your missing puzzle pieceTwo provisions in the Copyright Directive are key to the future of artificial intelligence in Europe, enabling people to train their AI systems using others’ data and text without needing to clear the rights in those underlying materials. Maria Gonzalez Gordon and John Enser discuss the exceptions set out in Articles 3 and 4 of the Copyright Directive and how they think they will work in practice.

Convenant

Overeenstemming over blokkeren websites met illegale content

In oktober is het Convenant Blokkeren Websites ondertekend door de Nederlandse internetaanbieders en rechthebbenden, verenigd in de Federatie Auteursrechtbelangen en Stichting BREIN. De Nederlandse internetaanbieders zijn met dit convenant bereid om websites die illegaal downloaden mogelijk maken gezamenlijk te blokkeren. Dit gebeurt uitsluitend na een rechterlijke uitspraak in een procedure op initiatief van de Stichting BREIN tegen één aanbieder. Het convenant legt de afspraken voor de procedure tot het verkrijgen van een blokkeringsbevel vast. In verband met het opstellen van het convenant is de Autoriteit Consument en Markt (ACM) geraadpleegd. Volgens de ACM is het blokkeren van websites die in strijd handelen met het auteursrecht op basis van een rechterlijk bevel toegestaan onder de netneutraliteitsverordening. De ACM zal daarom niet proactief handhavend optreden in zaken waarvan duidelijk is dat deze onder het convenant vallen.

IT-recht

Jurisprudentie

Hof Arnhem-Leeuwarden 12 oktober 2021, ECLI:NL:GHARL:2021:9568 (Bittuning tegen Linq5)

Een webshop die geen back-ups van haar boekhoudgegevens maakte, en door een probleem met een softwarekoppeling klantgegevens verloor, heeft de rechtszaak tegen de leverancier van de koppeling verloren. De koppeling bleek gegevens van crediteuren in het boekhoudprogramma te overschrijven met debiteurenboekingen. Volgens het Gerechtshof staat het vast dat de webshop geen back-ups maakte en heeft de softwareleverancier met recht aangevoerd dat de webshop zelf verantwoordelijk is voor het regelmatig maken van back-ups. “Dat zij dat achterwege heeft gelaten, terwijl het wel mogelijk was, is dan ook een omstandigheid die haar valt toe te rekenen”, aldus het hof.

HvJ EU 6 oktober 2021, ECLI:EU:C:2021:811 (Top System SA tegen Belgische Staat)

Het verzoek om een prejudiciële beslissing betreft de uitlegging van artikel 5, lid 1, van richtlijn 91/250/EEG van de Raad van 14 mei 1991 betreffende de rechtsbescherming van computerprogramma’s. Dit verzoek is ingediend in het kader van een geding tussen Top System SA en de Belgische Staat over de decompilatie door Selor, het selectiebureau van de federale overheid (België), van een door Top System ontwikkeld computerprogramma dat deel uitmaakt van een applicatie waarvoor dit selectiebureau een gebruikslicentie heeft. Het Hof verklaart voor recht dat artikel 5, lid 1, van richtlijn 91/250/EEG betreffende de rechtsbescherming van computerprogramma’s moet aldus worden uitgelegd dat de rechtmatige verkrijger van een computerprogramma het recht heeft om dit programma geheel of gedeeltelijk te decompileren teneinde fouten te verbeteren die de werking ervan beïnvloeden, ook wanneer de verbetering erin bestaat een functie te deactiveren die de goede werking verstoort van de toepassing waarvan dit programma deel uitmaakt. Deze verkrijger mag echter een dergelijke decompilatie slechts verrichten voor zover dit noodzakelijk is voor die verbetering en, in voorkomend geval, met inachtneming van de voorwaarden die bij overeenkomst met de auteursrechthebbende van dit programma zijn vastgelegd.

HvJ EU 16 september 2021, ECLI:EU:C:2021:742 (The Software Incubator tegen Computer Associates)

De Supreme Court of the United Kingdom heeft het Hof verzocht een prejudiciële beslissing te nemen. Hierbij werden twee vragen gesteld: 1) Als computersoftware elektronisch wordt geleverd, valt dit dan onder 'goederen' volgens de betekenis van dat begrip zoals dit staat in de definitie van een handelsagent in richtlijn 86/653? 2) Indien de software aan klanten van een principaal wordt geleverd door een licentie van onbepaalde tijd toe te kennen, valt dit dan onder 'verkoop van goederen' volgens richtlijn 86/653? Gezamenlijk worden deze vragen beantwoord door het begrip 'verkoop van goederen' uit te leggen. Volgens artikel 1, lid 1, is een handelsagent een zelfstandig tussenpersoon die is belast met het tot stand brengen van de verkoop of de aankoop van goederen voor een ander. Hieruit volgen drie vereisten: er moet een tussenpersoon zijn, er moet een overeenkomst worden gesloten en er moet een activiteit worden uitgeoefend om de aankoop of verkoop van goederen tot stand te brengen. Het Hof legt dit als volgt uit. Software kan als een goed worden aangemerkt, ongeacht of het op een materiële drager wordt verstrekt. Ook is er sprake van verkoop, aangezien bij het sluiten van de overeenkomst de intellectuele eigendomsrechten van een kopie worden overgedragen. 'Verkoop van goederen' betekent dus dat het betrekking kan hebben op de elektronische levering van computersoftware aan een klant tegen betaling van een prijs, wanneer deze levering gepaard gaat met het verlenen van een permanente licentie voor het gebruik van die software.

Rechtbank Overijssel 7 juli 2021, ECLI:NL:RBOVE:2021:3009 (Probegin tegen Communiq)

Probegin is een softwareontwikkelaar. Communiq houdt zich bezig met de marketing voor franchises. Partijen hebben een softwareovereenkomst gesloten waarbij is afgesproken dat Probegin een integraal platform voor Communiq zou gaan ontwikkelen, die Communiq voor al haar klanten kan gebruiken. Communiq is vervolgens ontevreden over kwaliteit van het geleverde werk en is van mening dat de overschrijding van de ureninschatting buitenproportioneel is. Ze heeft daarop haar betalingen aan Probegin opgeschort. Probegin vordert betaling van de facturen en stelt daarbij dat er een afnameverplichting van vijf ontwikkelaars is overeengekomen. De rechter gaat hier niet in mee en oordeelt dat uit de feiten en omstandigheden gedurende de onderhandelingen is gebleken, dat een afnameverplichting van een ontwikkelaar is overeengekomen. Probegin heeft echter telkens nagelaten om slechts een ontwikkelaar ter beschikking te stellen en aangevoerd dat er alleen in teamverband gewerkt kan worden. Volgens de rechtbank is dit niet wat partijen overeengekomen zijn en heeft Communiq dus terecht de overeenkomst buitengerechtelijk ontbonden.

Actieplannen

Staat van de Unie: Commissie stelt traject naar digitaal decennium voor met oog op digitale transformatie van de EU tegen 2030

Op 15 september heeft de Commissie een traject naar het digitale decennium voorgesteld, een concreet plan om tegen 2030 de digitale transformatie van onze samenleving en economie tot stand te brengen. Het voorgestelde traject naar het digitale decennium zet de digitale ambities van de EU voor 2030 om in een concreet uitvoeringsmechanisme. Hierbij wordt een governancekader op basis van een jaarlijks samenwerkingsmechanisme met de lidstaten opgezet, met als doel de streefdoelen van het digitale decennium voor 2030 op het gebied van digitale vaardigheden, digitale infrastructuur en digitalisering van bedrijven en overheidsdiensten te halen. Een ander doel van het traject is het in kaart brengen en uitvoeren van grootschalige digitale projecten waarbij de Commissie en de lidstaten betrokken zijn. Meer informatie:

Europese Commissie Persbericht, 15 5eptember 2021

Adviezen

IOB formuleert verbeterpunten cybersecuritybeleid Nederland

Het nationaal en internationaal cybersecuritybeleid van het kabinet heeft de afgelopen jaren goed werk afgeleverd, maar er zijn ook de nodige uitdagingen en aandachtspunten. Zo schiet de interdepartementale aansturing tekort en ontbreekt het aan een eenduidige strategie die up-to-date is. Het volgende kabinet gaat werk maken van de aanbevelingen en inzichten van de Directie Internationaal Onderzoek en Beleidsevaluatie (IOB). Dat schrijft Ben Knapen, demissionair minister van Buitenlandse Zaken, de opvolger van Sigrid Kaag, in een brief aan de Tweede Kamer. Daarin reageert hij op de conclusies en adviezen van het IOB, dat onderdeel uitmaakt van het ministerie van Buitenlandse Zaken. VPN Gids, 30 september 2021

Handleidingen

NCSC publiceert factsheet Zero Trust

Het NCSC publiceerde een handzame factsheet over Zero Trust. Steeds meer organisaties kiezen ervoor om gebruik te maken van Zero Trust-principes bij het beveiligen van hun IT-infrastructuur. Zij zoeken een beveiligingsmodel dat zich effectief weet aan te passen aan de complexe moderne omgeving waarin medewerkers op afstand werken, veel gebruik wordt gemaakt van software-as-a-service of cloudtoepassingen. In deze context moeten apparaten en gegevens worden beschermd ongeacht de locatie waar zij zich bevinden of het type apparaat dat binnen organisaties wordt gebruikt. Zero Trust is een beveiligingsmodel met een set ontwerpprincipes dat aanvallen en datalekken helpt te voorkomen. Hierbij wordt het concept van een vertrouwde netwerkpositie uit de architectuur verwijderd, daarbij gaat een organisatie idealiter als volgt te werk

  • Identificeer de te beschermen onderdelen van de IT-infrastructuur en beveilig alle paden er naartoe.
  • Verschaf alleen toegang tot informatie via beveiligde verbindingen, ongeacht de locatie.
  • Handhaaf strikte toegangscontrole op een need-to-know-basis.
  • Bepaal de toegangsrechten op basis van mate van vertrouwen die afgeleid wordt uit verschillende eigenschappen van de toegangsaanvraag: account, apparaat, IP-adres en locatie.
  • Zorg voor uitgebreide monitoring en logging.

IBD, 13 september 2021

Digital Trust Center start met delen dreigingsinformatie NCSC

Het Digital Trust Center (DTC), onderdeel van het ministerie van Economische Zaken en Klimaat, start met het proactief informeren van niet-vitale bedrijven over cyberdreigingen met een zeer hoog risico. Hiervoor ontvangen zij informatie van het NCSC. Het doel is om bedrijven tijdig van kritische informatie te voorzien die zij anders niet of te laat zouden ontvangen. NCSC, 13 september 2021

Rapporten

EU: ENISA releases 2021 cyber threat landscape report

The European Union Agency for Network and Information Security ('ENISA') released, on 27 October 2021, the ENISA Threat Landscape Report 2021. In particular, the report notes that the cybersecurity threat landscape has grown in terms of sophistication of attacks, complexity, and impact and that such a trend is spurred by an ever-growing online presence, the transitioning of traditional infrastructures to online solutions, advanced interconnectivity, and the exploitation of new features of emerging technologies. In addition, the report notes that the nine top threats identified in the report include; ransomware, malware, cryptojacking, e-mail related threats, threats against data, threats against availability and integrity, disinformation and misinformation, non-malicious threats, and supply-chain attacks. Moreover, the report notes that the COVID-19 crisis has created possibilities for adversaries who used the pandemic as a dominant lure in campaigns for email attacks for instance and that monetisation appears to be the main driver of such activities. You can read the press release here and download the report here. Raps, 28 October 2021

Nederlanders maken zich meer zorgen over hun online veiligheid

Uit het Cybersecurity Onderzoek Veilig Online 2021, uitgevoerd door I&O Research in opdracht van ministerie van Economische Zaken en Klimaat, blijkt dat Nederlanders over de gehele linie zich meer zorgen maken over hun online veiligheid dan vorig jaar. Een deel geeft zelfs aan dat de zorgen tijdens corona zijn toegenomen. Ook geven zij zichzelf gemiddeld een lager rapportcijfer (6,6) dan voorgaand jaar (7,0) als het gaat om het omgaan met online risico’s en daarmee ook het nemen van maatregelen. Rapporten

  • Hoofdrapport: Dit rapport geeft de resultaten van het algemeen publiek (16-80 jaar) en jongeren (11 t/m 15 jaar).
  • Bedrijfsleven: Dit deelrapport geeft de resultaten van medewerkers en ICT-verantwoordelijken in het bedrijfsleven.
  • Overheid: Dit deelrapport behandelt de resultaten van ambtenaren.

ECP, 4 oktober 2021

Commission publishes study on the impact of Open Source on the European economy

The European Commission has published the results of a study analysing the economic impact of Open Source Software and Hardware on the European economy. It is estimated that companies located in the EU invested around €1 billion in Open Source Software in 2018, which brought about a positive impact on the European economy of between €65 and €95 billion. The study predicts that an increase of 10% in contributions to Open Source Software code would annually generate an additional 0.4% to 0.6% GDP, as well as more than 600 additional ICT start-ups in the EU. Case studies reveal that by procuring Open Source Software instead of proprietary software, the public sector could reduce the total cost of ownership, avoid vendor lock-in and thus increase its digital autonomy. European Commission Press Release, 6 September 2021

Privacyrecht

Jurisprudentie

Rechtbank Gelderland 20 oktober 2021, ECLI:NL:RBGEL:2021:5596 (Eiser tegen CIZ)

Eiser is van opvatting dat de verstrekking door verweerder van zijn persoonsgegevens niet volledig is omdat daarbij geen loggingsgegevens zijn verstrekt. Verweerder heeft verklaard dat, waar het de persoonsgegevens van eiser betreft, geen loggingsgegevens zijn opgeslagen. Die kunnen dus ook niet verstrekt worden. Eiser onderbouwt niet waarom daaraan zou moeten worden getwijfeld. Eiser heeft nog wel betoogd dat verweerder loggingsgegevens zou moeten opslaan en heeft verwezen naar de Wet inzake de geneeskundige behandelovereenkomst (WGBO) en NEN7510, NEN7512 en NEN7513. Het verzoek van 12 november 2019 is echter niet op deze regelingen gebaseerd en niet is gebleken dat de gegevens die verweerder over eiser verwerkt, onder de reikwijdte van de WGBO en de genoemde NEN-normen vallen. Verweerder heeft ook geweigerd eiser persoonsgegevens betreffende zijn moeder te verstrekken. Verweerder betoogt terecht dat alleen de door de kantonrechter benoemde mentor van eisers moeder een verzoek als bedoeld in artikel 15 van de AVG kan doen als het over haar persoonsgegevens gaat. Eiser is niet de mentor van zijn moeder. Een volmacht van zijn moeder aan eiser om fouten te herstellen maakt dat niet anders.

Rechtbank Overijssel 11 augustus 2021, ECLI:NL:RBOVE:2021:3168 (Eiser tegen GBLT)

Bij het primaire besluit heeft verweerder aan eiser inzage verleend in de verstrekking van hem betreffende persoonsgegevens door GBLT aan derden en heeft verweerder hem medegedeeld dat zijn mailadres is verwijderd. Eiser heeft dit verzoek gedaan na een datalek bij verweerder. Eiser stelt dat niet alle door hem verzochte persoonsgegevens aan hem zijn toegestuurd. Verder zegt hij dat hij geen toestemming heeft gegeven voor het gebruik van zijn mailadres voor klantonderzoek. Ten derde is er volgens eiser tijdens de digitale hoorzitting op onrechtmatige wijze een geluidsopname gemaakt. Deze is nadien verwijderd. De rechter vindt het niet ongeloofwaardig, dat verweerder aangeeft dat alle persoonsgegevens aan eiser zijn verstrekt. De rechtbank is verder van mening dat de beslissing om de geluidsopname van het hoorgesprek niet aan eiser te verstrekken niet kan worden aangemerkt als een besluit, zodat ook daarvoor geen mandaat is vereist. Wat betreft het gebruik van zijn mailadres voor klantonderzoek, oordeelt de rechtbank dat verweerder aan zijn verplichtingen heeft voldaan door het mailadres op verzoek van eiser te verwijderen. Het verzoek van eiser wordt ongegrond verklaard.

Regelgeving

EDPB adopts Guidelines on restrictions of data subject rights under Article 23 GDPR following public consultation

During its October plenary, the EDPB adopted a final version of the Guidelines on restrictions of data subject rights under Art. 23 GDPR following public consultation. The guidelines aim to recall the conditions surrounding the use of such restrictions by Member States or the EU legislator in light of the Charter of Fundamental Rights and the GDPR. They provide a thorough analysis of the criteria to apply restrictions, the assessments that need to be observed, how data subjects can exercise their rights after the restrictions are lifted, and the consequences of infringements of Art. 23 GDPR. Additionally, the guidelines analyse how the legislative measures setting out the restrictions need to meet the foreseeability requirement and examine the grounds for the restrictions listed by Art. 23(1) GDPR, and the obligations and rights which may be restricted. EDPB, 19 October 2021

Besluiten

Fraudehelpdesk mag geen strafrechtelijke gegevens verwerken

De Fraudehelpdesk mag geen gegevens over mogelijke daders van fraude verzamelen en bewaren. De Autoriteit Persoonsgegevens (AP) heeft een vergunningsaanvraag hiervoor deze zomer afgewezen. De Fraudehelpdesk is geen opsporingsinstantie en heeft die strafrechtelijke gegevens niet nodig voor zijn taak. Bovendien zouden mensen in de systemen van de Fraudehelpdesk niet de rechten hebben die verdachten bij de politie wél hebben. En kunnen mensen onterecht als fraudeur bestempeld worden. AP, 26 oktober 2021

Onderzoeken

Zwarte lijst FSV van Belastingdienst in strijd met de wet

De Belastingdienst had nooit persoonsgegevens mogen verwerken in de Fraude Signalering Voorziening (FSV) – een zwarte lijst – op de manier waarop dit jarenlang gebeurde. Veel van de kernbeginselen van de privacywet AVG werden door de Belastingdienst op ernstige wijze geschonden. Dit blijkt uit onderzoek dat de Autoriteit Persoonsgegevens (AP) 29 oktober publiceerde. AP, 29 oktober 2021

Handleidingen

Handreiking Wet gemeentelijke schuldhulpverlening

De gewijzigde Wet gemeentelijke schuldhulpverlening (Wgs) geeft meer duidelijkheid over wat wel en niet mag bij de verwerking van persoonsgegevens voor (de toeleiding naar) schuldhulpverlening. Toch blijken er in de praktijk nog veel vragen te zijn. Daarom heeft de Autoriteit Persoonsgegevens (AP) een handreiking opgesteld met aandachtspunten. Hiermee moeten gemeenten en hulpverleners rekening houden om aan de privacywetgeving te voldoen. AP, 16 september 2021

Nieuwe tool IBD voor analyses informatiebeveiliging en privacy

De IBD ontwikkelde samen met gemeenten een integrale risico- en privacy-analyse (IRPA) tool. De nieuwe tool is bedoeld om analyses op het gebied van privacy en informatiebeveiliging gemakkelijk, professioneel en éénduidig uit te voeren. Gebruikers kunnen de resultaten van analyses met elkaar delen en profiteren zo van de gezamenlijke kennis van alle gemeenten en de IBD. De IRPA-tool is beschikbaar voor gemeenten en gemeentelijke samenwerkingsverbanden. Voor meer informatie en aanmeldmogelijkheden kijkt u op de IRPA-tool informatiepagina. IBD, 28 september 2021

Telecommunicatierecht

Jurisprudentie

HvJ 2 september 2021, ECLI:EU:C:2021:676 (Bundesverband der Verbraucherzentralen und Verbraucherverbände tegen Vodafone GmbH)

„Prejudiciële verwijzing – Elektronische communicatie – Verordening (EU) 2015/2120 – Artikel 3 – Open-internettoegang – Artikel 3, lid 1 – Rechten van eindgebruikers – Artikel 3, lid 2 – Verbod op overeenkomsten en commerciële praktijken die de uitoefening van de rechten van eindgebruikers beperken – Artikel 3, lid 3 – Verplichting tot gelijke en niet-discriminerende behandeling van het verkeer – Mogelijkheid om redelijke verkeersbeheersmaatregelen te treffen – Extra ‚zero-rating’-tariefoptie – Beperking van tethering” Het Hof (Achtste kamer) verklaart voor recht: Artikel 3 van verordening (EU) 2015/2120 van het Europees Parlement en de Raad van 25 november 2015 tot vaststelling van maatregelen betreffende open-internettoegang en tot wijziging van richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische-communicatienetwerken en -diensten en verordening (EU) nr. 531/2012 betreffende roaming op openbare mobielecommunicatienetwerken binnen de Unie moet aldus worden uitgelegd dat een beperking van tethering wegens de activering van een „zero-rating”-tariefoptie onverenigbaar is met de verplichtingen die voortvloeien uit lid 3 van dat artikel.

Regelgeving

Mobiele telecomaanbieders verplicht om aanvullende beveiligingsmaatregelen te nemen

Aanbieders van Nederlandse mobiele telecomnetwerken moeten voor 1 oktober 2022 aanvullende beveiligingsmaatregelen nemen. Het gaat om verhoogde wettelijke eisen aan het beschermen van kritieke apparatuur en gegevens, controle op incidenten, beheer door leveranciers en screening van personeel. Zo wil het kabinet deze netwerken weerbaarder maken tegen dreigingen als spionage en misbruik die de Nederlandse maatschappij en economie schade kunnen opleveren. Deze eisen staan in de ministeriële regeling “veiligheid en integriteit telecommunicatie”. In de regeling staan vijf categorieën maatregelen voor de kritieke onderdelen van de mobiele telecomnetwerken en direct daaraan gekoppelde delen. Het gaat om de veilige configuratie van technische apparatuur zelf, zoals het geautomatiseerd en up-to-date beschermen tegen kwaadaardige software. Tweede categorie is de veilige inrichting van fysieke en virtuele infrastructuur, zoals het gericht versleutelen van kritieke gegevens. De derde set maatregelen bevat de bewaking (monitoring) van technische infrastructuur, zoals het inrichten van voortdurende detectie van eventuele beveiligingsincidenten en het oplossen van kwetsbaarheden en incidenten. Vierde onderdeel is de veiligheidsborging op software en beheer. Een telecomaanbieder kan haar leveranciers per contract opleggen om vergelijkbare strenge beveiligingseisen te gaan hanteren en daarop toe te zien. Tot slot wordt structurele screening en achtergrondonderzoek verplicht bij medewerkers die beheerwerkzaamheden uitvoeren en toegang hebben tot de infrastructuur.