Advocaten en notariaat in Leiden en Den Haag
Menu

De tijd dringt. Als er geen verlenging van de onderhandelingstermijn komt, verlaat het Verenigd Koninkrijk (VK) op 29 maart 2019 de EU, met of zonder deal.  Voor veel organisaties is onduidelijk wat de effecten van de Brexit zullen zijn op de bescherming van persoonsgegevens die in het VK worden verwerkt. Hoe moeten de persoonsgegevens voortaan worden doorgegeven aan het VK? De gevolgen van de doorgifte van persoonsgegevens hangen ervan af of er voor eind maart nog een deal wordt bereikt.

Dealscenario

Mochten de Britten nog wel tot een deal komen dan blijft tot eind 2020 de AVG van kracht. Dit betekent dat er tot die tijd niets verandert wat betreft de doorgifte van persoonsgegevens naar het VK.

De kans op een dealscenario lijkt gezien de huidige omstandigheden echter klein en wordt ook met de dag kleiner. Het is dan ook belangrijk om nu echt met de voorbereiding voor de no-dealbrexit te starten.

No-dealscenario

Een no-dealbrexit heeft namelijk grote gevolgen voor het doorgeven van persoonsgegevens aan het VK. Of het nu gaat om een multinational met een vestiging in het VK of om het gebruik van een Britse cloud provider. Bij een no-dealbrexit wordt het VK na 29 maart 2019 als een ‘derde land’ beschouwd en zijn de privacyregels van toepassing die gelden voor het doorgeven van persoonsgegevens buiten de EU.

Persoonsgegevens mogen dan niet meer vrij worden doorgegeven, maar dit moet plaatsvinden op grond van een van de volgende instrumenten:

Ook kan de Commissie (in een zogeheten adequaatheidsbesluit) oordelen dat het niveau van gegevensbescherming in het VK gelijk is aan de Europese regelgeving. In het geval van een no-dealbrexit ligt een dergelijk besluit echter niet meteen klaar en zal (in ieder geval voorlopig) gebruik moeten worden gemaakt van de bovenstaande instrumenten.

Voorbereiden in 5 stappen

Aangezien bij een no-dealbrexit direct na 29 maart andere privacyregels gelden is het belangrijk dat er nu alvast stappen ter voorbereiding worden genomen. Volgens de European Data Protection Board kan dit door middel van de volgende 5 stappen:

  1. Maak een overzicht; breng in kaart of, en zo ja welke persoonsgegevens er met organisaties in het VK worden gedeeld. Denk bijvoorbeeld aan het gebruik van de Britse cloud provider.
  2. Kies een instrument; ga na welk instrument het beste pas bij de situatie. Zo zal in het geval van een multinational met een vestiging in het VK, het opstellen (hoewel dit erg kort dag is) of updaten van Binding Corporate Rules een goede optie kunnen zijn, terwijl met een verwerker beter de standaard modelcontracten van de Europese Commissie kunnen worden afgesloten.
  3. Zorg ervoor dat het gekozen instrument op 30 maart 2019 klaar is voor gebruik;
  4. Registreer intern dat persoonsgegevens worden doorgegeven aan het VK. Bijvoorbeeld in het verwerkingsregister en het interne privacy beleid.
  5. Pas de privacyverklaring voor betrokkenen aan om betrokkenen te informeren over de doorgifte naar ‘buiten de EU’.
Doorgifte van gegevens vanuit het VK

Voor de omgekeerde situatie waarin gegevens vanuit het VK worden doorgegeven, zal een no-dealbrexit overigens geen veranderingen teweegbrengen. De Britse regering heeft namelijk aangegeven dat gegevens vrijelijk vanuit het VK kunnen worden doorgegeven aan de EU, zoals op dit moment ook mogelijk is.

Aangezien de Brexit mogelijk deze maand nog een feit is, is er geen tijd te verliezen met de voorbereidingen.

Voor vragen kunt u contact opnemen met Richella Soetens (advocaat IT, IE & Privacy)

Maakt Lidl met haar merk Kordaat inbreuk op het merk Kornuit van Grolsch? De rechtbank Rotterdam oordeelt van niet. Grolsch stelt dat een inbreuk wordt gemaakt op haar merkrechten, omdat de merken teveel op elkaar lijken. Door de overeenkomsten tussen beide merken zouden consumenten de merken kunnen verwarren.

Het betreft deze merken:

                         

Bron: https://www.boip.int/nl/merkenregister, Reg.nr: 1028420                 Bron: https://www.boip.int/nl/merkenregister, Registratienummer: 1037132

 

Juridisch kader

Om te bepalen of sprake is van merkinbreuk moet worden beoordeeld of sprake is van gevaar voor verwarring. Van verwarring behoeft niet reeds te zijn gebleken, gevaar voor verwarring is voldoende. In dit kader is het van belang om te kijken naar de visuele, auditieve en begripsmatige gelijkenissen tussen de merken. Hoe sterker de gelijkenissen, hoe groter de kans op verwarringsgevaar. Verwarringsgevaar is onder andere aanwezig indien het publiek de betrokken merken met elkaar kan verwarren of wanneer het publiek zich kan vergissen in de herkomst van de betrokken producten. Van het bestaan van een dergelijk verband is bijvoorbeeld sprake als het jongere merk het oudere merk in gedachten oproept bij de gemiddelde consument[1].

De rechtbank oordeelt dat geen begripsmatige gelijkenis bestaat, nu beide merken bij (een substantieel deel van) het gemiddeld publiek niet een directe betekenis zullen oproepen. Daarnaast is de auditieve gelijkenis beperkt, aangezien de klemtoon van beide woorden op de tweede lettergreep ligt en deze zeer verschillend zijn. De visuele gelijkenissen zijn eveneens beperkt. De woorden zullen niet tot verwarring leiden door de verschillende lettercombinaties in de tweede lettergreep, aldus de rechtbank. Ook de beeldmerken van beide merken worden (te) verschillend geacht. Enkel de kleur van de woorden komt overeen. Verder wordt een ander soort lettertype en stijl gebruikt voor de vormgeving van de beeldmerken.

De rechtbank vindt dan ook dat de overeenkomsten te gering zijn om verwarringsgevaar vast te stellen of om te oordelen dat consumenten een verband kunnen leggen tussen de herkomst van beide merken.

Conclusie

Er wordt geen inbreuk gemaakt op het merk Kornuit door het merk Kordaat. Lidl mag haar bier dus in de schappen laten liggen. Aangezien in merkenzaken vaak veel waarde wordt gehecht aan een overeenstemmend begin van merken, biedt dit nog een aanknopingspunt voor Grolsch om in hoger beroep te gaan. Indien het zover komt, houd ik u uiteraard op de hoogte van de verdere afloop.

Teun Pouw, Advocaat IE-/IT-recht en BMM-merkengemachtigde

Volledige uitspraak lezen? Klik hier: https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBROT:2019:1591&showbutton=true

[1] Het gaat om : “de normaal geïnformeerde en redelijk omzichtige en oplettende gemiddelde consument”: HvJEU 27 november 2008, zaak C-252/07 (Intel/Intelmark), ECLI:EU:C:2008:655, punt 60.

In de strijd tussen Apple en Pear Technologies neemt Apple het spreekwoord ‘appels met peren vergelijken’ wel heel letterlijk. De techreus stelt namelijk dat elementen van haar welbekende logo terugkomen in het beeldmerk van de concurrent, een peer. Volgens Apple zijn appels en peren in veel opzichten soortgelijk aan elkaar. Apple vindt echter geen steun bij de rechter. De Europese rechtbank (“het Gerecht”) stelt namelijk dat duidelijke verschillen bestaan tussen de beeldmerken.

Appels en peren lijken op elkaar

De strijd is ontstaan na de inschrijving van het beeldmerk hier rechts door het bedrijf Pear Technologies. Pear technologies is net als Apple een tech bedrijf dat is gespecialiseerd in dezelfde werkzaamheden. Apple is tegen deze inschrijving in oppositie gegaan bij de European Union Intellectual Property Office (EUIPO). Volgens Apple zou het namelijk gaan om een beeldmerk dat te veel overeenkomt met het welbekende Apple-logo. De appel en de peer komen namelijk uit dezelfde familie en zijn nauw verwant door o.a. hetzelfde silhouet en in dit geval de zwarte kleur. Dit kan voor verwarring zorgen bij de consument. Daarnaast wordt het ‘steeltje’ van de peer op dezelfde manier gebruikt als in het Apple-logo. Apple heeft gelijk gekregen van de EUIPO.

Pear heeft het er niet bij laten liggen en is tegen deze beslissing in beroep gegaan bij het Gerecht van de Europese Unie. Zij stelt namelijk dat sprake is van twee compleet verschillende beeldmerken.

 

Bron: Europeesmerk  013115076: https://euipo.europa.eu/eSearch/#details/trademarks/013115076

 

Beroep

Het uitgangspunt is dat bij de vergelijking gekeken moet worden naar het beeldmerk als geheel, aldus het Gerecht. Voor het relevante publiek (de consument) moet het onderscheid duidelijk zijn en moet niet een link worden gelegd tussen beide beeldmerken. Hiervoor moeten zowel de visuele als de conceptuele gelijkenissen/verschillen worden beoordeeld.

Bron: Europeesmerk 001135409 : https://euipo.europa.eu/eSearch/#details/trademarks/001135409

 

Visuele en conceptuele vergelijking

Allereerst stelt de rechtbank  dat het om twee verschillende objecten gaat, namelijk een peer en een appel. Het beeldmerk van Pear bestaat uit verschillende vierkanten die door hun plaatsing de vorm van een peer aannemen. Daarnaast is ook het woordelement ‘pear’ opgenomen in het beeldmerk. Hierbij geeft de rechter wel de kanttekening dat dit woordelement alleen van belang is voor consumenten die de Engelse taal beheersen. Tevens oordeelt de rechtbank dat de ‘steeltjes’ boven aan beide beeldmerken niet hetzelfde zijn. Bij de appel gaat het namelijk om een blad en bij de peer om een steel. Het relevante publiek zal daarom zonder enige moeite het verschil kunnen zien tussen beide beeldmerken, met of zonder kennis van de Engelse taal.

Tot slot stelt de rechtbank dat het Apple-beeldmerk het concept heeft dat een ‘hap’ uit de appel is genomen en de appel dus hol is. Het beeldmerk van Pear heeft dit concept niet en wekt, ondanks de losse vormen, het idee van een peer die ‘heel’ is. De rechtbank acht op grond van de bovengenoemde bevindingen dat het besluit van de EUIPO niet in stand kan blijven.

Voor Apple staat de mogelijkheid van hoger beroep nog open. Ik houd u uiteraard op de hoogte van het eventuele verdere verloop.

Teun Pouw, Advocaat IE-/IT-recht en BMM-merkengemachtigde & May Akdag

http://www.bailii.org/eu/cases/EUECJ/2019/T21517.html

De Hogeschool Rotterdam heeft in een aanbesteding full-HD monitoren uitgevraagd. De winnende inschrijver heeft 4k-monitoren aangeboden en won daarmee de aanbesteding. De verliezende inschrijver stelde zich op het standpunt dat deze inschrijver niet voldeed aan de uitvraag: de schermen voldeden niet aan de specificaties. Zij hadden een hogere resolutie dan full-HD, namelijk 4k. Wat moest worden aangeboden, full-HD of minimaal full-HD?

De rechter volgde het standpunt van de verliezende inschrijver niet (klik). Weliswaar overweegt de rechter dat het aanbestedingsdocument zo is geformuleerd dat van de daarin genoemde resoluties niet mag worden afgeweken, maar in het licht van het geheel aan aanbestedingsdocumenten en in het bijzonder NvI kon en mocht een ‘behoorlijk geïnformeerde en normaal oplettende inschrijver’ begrijpen dat de resolutie-eisen minimumeisen waren. Zo stond in NvI vermeld dat het ging om “minimaal beeldmaat en resolutie”.

Opmerkelijk is dat de verliezende inschrijver voor één van de opstellingen zelf ook een 4k-monitor had aangeboden. Als verklaring gaf de verliezende inschrijver dat het uitgevraagde type niet beschikbaar was in de markt. Het zelf aanbieden van een 4k-monitor doet ernstig afbreuk aan het standpunt dat de inschrijver daadwerkelijk geloofde dat geen 4k-monitor mocht worden aangeboden. Zij had hier dan vragen over dienen te stellen, zo merkt de rechter op.

Menno de Wijs, advocaat Aanbestedingsrecht

De iconische rode zool van Christian Louboutin is bij menig modekenner enorm populair. Enkele jaren geleden besloot Van Haren om eveneens pumps met de kenmerkende rode zool op de markt te brengen. Hiertegen is de Franse designer in protest gegaan. In de al jaren lopende juridische strijd heeft de Rechtbank Den Haag na de beantwoording van prejudiciële vragen door het HvJEU nu (eind)vonnis gewezen (ECLI:NL:RBDHA:2019:930). De rechtbank oordeelt dat het rode zool merk van Louboutin geldig is en Van Haren hier met de verkoop van haar pumps inbreuk op maakt.

Is Louboutin’s rode zool een geldig merk?

Sinds 2010 is het rode zool merk van Louboutin geregistreerd als Benelux merk. Sinds het eerdere vonnis van de rechtbank uit 2015 (ECLI:NL:RBDHA:2015:3731) staat al vast dat het merk is ingeburgerd en Van Haren inbreuk maakt als haar rode zool merk geldig wordt bevonden. Volgens Van Haren is het merk echter niet geldig omdat het uitsluitend zou bestaan uit een vorm die een wezenlijke waarde aan de waar geeft. Belangrijk is dat het merk slechts bestaat uit een op de zool aangebrachte kleur en niet op een driedimensionale eigenschap van de waar. Het was voor de rechtbank niet duidelijk of dit ook valt onder het begrip ‘vorm’ in de uitsluitingsgronden van art. 2.1. lid 2 BVIE en art. 3 lid 1 e onder iii van de Merkenrichtlijn 2008.

De rechtbank stelde daarom aan het Europese Hof van Justitie (HvJEU) de vraag of het begrip vorm is beperkt tot 3D eigenschappen van een waar. Het HvJEU antwoordde daarop dat het merk van Louboutin voornamelijk bestaat uit een kleur en de contouren van de schoen geen deel uitmaken van het merk en dat het merk daarom niet uitsluitend bestaat uit de ‘vorm’ in de zin van de bepaling uit de Merkenrichtlijn. De rechtbank volgt dit oordeel van het HvJEU en heeft nu bevestigd dat het rode zool merk een geldig merk is.

Merkenrichtlijn 2015

Van Haren wierp verder nog de vraag op of de beoordeling anders zou zijn geweest als de Merkenrichtlijn 2015 zou worden toegepast. Deze nieuwe richtlijn sluit namelijk ook tekens uit die bestaan uit een vorm of een ander kenmerk dat een wezenlijke waarde aan de waar geeft. Hoewel de Merkenrichtlijn 2015 tot op heden niet is geïmplementeerd in Nederland, is de implementatietermijn wel verstreken. De rechtbank is dan ook verplicht om het BVIE zoveel mogelijk richtlijn conform uit te leggen.

De Merkenrichtlijn 2015 werpt volgens de rechtbank echter geen ander licht op de geldigheid van het rode zool merk. Als het begrip ‘vorm’ nu ook een ander kenmerk dan een vorm zou omvatten, zou dit een contra legem uitleg van art. 2.1. lid 2 BVIE zijn. Bovendien zou het indruisen tegen de rechtszekerheid en het verbod van terugwerkende kracht als een merk dat voor de implementatiedatum (van 15 januari 2019) nog geldig was, per die datum opeens nietig zou zijn. Ook is van belang dat dit een zaak betreft tussen particuliere partijen, omdat de Merkenrichtlijn 2015 niet tegen particulieren kan worden ingeroepen, maar enkel verplichtingen oplegt aan lidstaten.

Pas als de Merkenrichtlijn 2015 in het BVIE is geïmplementeerd, zal de vraag aan de orde zijn welke gevolgen de richtlijn heeft voor merken zoals het rode zool merk. Dus voor nu geen rode zolen in de schappen van Van Haren.

Richella Soetens & May Akdag

De verantwoordingsplicht (ofwel “accountability”) is een belangrijke pijler van de nieuwe privacywetgeving. Dit houdt in dat de wet de verantwoordelijkheid bij organisaties legt om aan te tonen dat de organisatie voldoet aan de wet. Hoe voldoe je nu aan deze verplichting? Welke maatregelen moet ik als organisatie nemen? In deze kennisblog wordt nader op deze vragen ingegaan.

De AVG noemt een aantal verplichte maatregelen die organisaties in het kader van de verantwoordingsplicht moeten nemen:

Tot zover de verplichte maatregelen. De Autoriteit Persoonsgegevens “moedigt het aan” daarnaast vrijwillige maatregelen te nemen. Zij geeft aan dat te denken valt aan het aansluiten bij een gedragscode, het behalen van een bepaald certificaat, het hanteren van een ICT-beveiligingsbeleid en het afleggen van verantwoording over de verwerking van persoonsgegevens in een (privacy) jaarverslag.

Heeft u nog niet alle maatregelen in het kader van de verantwoordingsplicht genomen of heeft u hulp nodig bij het treffen van deze maatregelen? Neem dan contact op met Natascha van Duuren, partner IT, IE & privacy, n.vanduuren@declercq.com of 06-54983766.

Nadat het Britse Lagerhuis het ontwerpakkoord met 432 tegenstemmen heeft verworpen, lijkt de situatie waarin het Verenigd Koninkrijk (VK) de Europese Unie (EU) verlaat zonder een Brexit-deal steeds aannemelijker. Veel tijd hebben de Britten niet om met een nieuw ontwerpakkoord te komen. Op 29 maart zullen de Britten immers uit de EU stappen, met of zonder deal. Wat zijn de gevolgen voor EU-merken (en EU-modellen) in geval van een ‘no deal’ situatie?

De Britse overheid verwijst middels een communicatie naar 106 technische kennisgevingen die zullen gelden in geval van een ‘no deal’ situatie. Op die manier kunnen burgers en bedrijven de benodigde voorbereidingen treffen voor een dergelijke situatie. Voor nu geldt dat EU-merken worden beschermd in alle lidstaten van de EU, waaronder het VK. Wanneer geen deal wordt bereikt, dan zullen volgens de huidige stand van zaken de volgende regels van toepassing worden.

Blijvende bescherming voor geregistreerde EU-merken

De Britse overheid wijst erop dat alle merken die ingeschreven staan in het Europese merkenregister bescherming zullen blijven genieten in alle overige lidstaten. Voor bescherming en werking in het VK geldt dat alle houders van EU-merken en ingeschreven EU-modellen een overeenkomstig recht krijgen toegewezen, het ‘Brits equivalentrecht’. Dit nieuwe recht zal worden verschaft onder minimale administratieve lasten en gaat van kracht op 29 maart wanneer het VK de EU verlaat. Alle merkhouders zullen hiervan op de hoogte worden gesteld. Wanneer merkhouders geen gebruik willen maken van het Brits equivalentrecht, dan kunnen zij zich hiervoor afmelden.

Wanneer het nieuwe recht is verkregen dan gelden de volgende opties:

Voor alle aanvragen die lopen op het moment van de Brexit en erna zal volgens deze (voorlopige) besluitvorming  onder dezelfde voorwaarden opnieuw een aanvraag moet worden ingediend voor het Brits equivalentrecht. Dit kun je doen via het IPO volgens de normale aanvraagprocedure in het VK.

Voor aanvragen die lopen tijdens de Brexit zal de mogelijkheid ontstaan om binnen negen maanden na de Brexit opnieuw een aanvraag in te dienen waarbij zowel eerdere prioriteit en Britse anciënniteit zullen worden opgenomen overeenkomstig de eerdere EU-aanvraag. Hiervoor zal waarschijnlijk wel een vergoeding dienen te worden voldaan.

Tot slot zal nog worden voorzien in de status van lopende juridische geschillen bij Britse rechtbanken. Ook deze gegevens zullen in principe worden gepubliceerd voor 29 maart.

Conclusie

Kort en goed: er staat nog niets vast maar de besluitvorming is gericht op (volledig) behoud van rechten van de EU-merkhouders met bovendien zo min mogelijk lasten voor de merkhouders. Voor meer informatie over dit onderwerp en nieuwe kennisgevingen, zie de website van de Britse overheid. Uiteraard zal ik u ook op de hoogte houden van relevante ontwikkelingen.

Teun Pouw (Advocaat IT-/IE-recht en BMM-merkengemachtigde) & May Akdag

 

Veel softwareontwikkelaars vragen zich af hoe zij hun software kunnen beschermen. In dit blog zal worden besproken welke intellectuele eigendom (IE) bescherming software kan toekomen en welke handelingen vereist zijn om die bescherming te verkrijgen.

Auteursrecht

Een van de voornaamste IE rechten die bij software aan de orde is, is het auteursrecht. Het auteursrecht beschermt werken op het gebied van letterkunde, wetenschap en kunst. In de Auteurswet worden computerprogramma’s en het voorbereidend materiaal daarvan expliciet genoemd als werken die auteursrechtelijk beschermd kunnen zijn. Om voor auteursrechtelijke bescherming in aanmerking te komen moet sprake zijn van een eigen en oorspronkelijk karakter, dat het stempel van de maker draagt. Dit houdt in dat het werk niet is ontleent aan dat van een ander en het werk het resultaat is van creatieve keuzes. De lat om voor bescherming in aanmerking te komen ligt vrij laag.

De auteursrechtelijke bescherming voor software is echter wel beperkt. Enkel de uitwerking of vormgeving van de software is namelijk beschermd, zoals de bron- en objectcode, alsmede het design. Ook voorbereidend ontwerpmateriaal (zoals het functioneel en technisch ontwerp, flow charts en datamodellen) kan voor bescherming in aanmerking komen mits dit kan leiden tot een computerprogramma. Het auteursrecht strekt zich echter niet uit tot de functionaliteit als zodanig van de software. De (technische) functionaliteit, de programmeertaal en de aan de software ten grondslag liggende ideeën en beginselen zijn dus niet beschermd.

Het auteursrecht ontstaat door de creatie als zodanig. Er zijn geen formele vereisten, zoals een aanvraag of registratie. Wel is het verstandig om alle stappen in de ontwikkeling te documenteren, dateren en archiveren zodat kan worden aangetoond wanneer, waarop precies en bij wie de auteursrechten zijn ontstaan.

Octrooirecht

Over het octrooieren van software is veel te doen. De vraag of software kan worden geoctrooieerd is relevant omdat het auteursrecht slechts beperkte bescherming biedt. Het beschermt immers niet het achterliggende idee/de functionaliteit. Hoewel software als zodanig wettelijk is uitgesloten, staat de deur voor het verkrijgen van een octrooi toch open als sprake is van software met een ‘technisch karakter’. Dit houdt in dat het een bijdrage moet leveren aan de oplossing van een technisch probleem. Anders dan het auteursrecht moet een octrooi worden aangevraagd en is verlening door een octrooi verlenende instantie vereist. Een octrooi kent een beschermingsduur van maximaal 20 jaar.

Knowhow bescherming

 Een andere manier om ontwikkelde software te beschermen is door middel van geheimhouding. Indien de broncode geheim wordt gehouden, zal het voor derde partijen moeilijk zijn om de software na te maken. Anders dan vele andere uitvindingen, leent een broncode zich op zich ook prima voor geheimhouding. Een voorbeeld is het algoritme van Google. Knowhow is beschermd op voorwaarde dat de informatie geheim is, het een commerciële waarde heeft en redelijke maatregelen zijn genomen om de informatie geheim te houden. De bescherming van knowhow was in Nederland tot voor kort niet geregeld in specifieke regelgeving. Sinds oktober 2018 kennen we echter de Wet bescherming bedrijfsgeheimen (‘Wbb’). Deze wet regelt wat er onder bedrijfsgeheim wordt verstaan, tegen welke inbreuken op een bedrijfsgeheim kan worden opgetreden en welke handhavingsmaatregelen en procedureregels er daarbij gelden. Zie hier voor meer uitleg over de Wbb.

Merk- en handelsnaamrecht

Tot slot kan naast bescherming van de software zelf, ook gedacht worden aan het beschermen van de handelsnaam of de naam of het logo waaronder het product/dienst op de markt zal worden gebracht. Indien een goede naam wordt opgebouwd en waarde wordt gecreëerd, zit dit immers ook in de handelsnaam of naam van het product. De handelsnaam waaronder een onderneming wordt gedreven is beschermd door de Handelsnaamwet. Handelsnaamrechten ontstaan automatisch door het gebruik van de handelsnaam, bijvoorbeeld op het internet, in reclame-uitingen en op briefpapier en facturen. Om een handelsnaam zo goed mogelijk te beschermen is het van belang deze ook te registreren als merk. Voor merkenrechtelijke bescherming is registratie vereist. De registratie beslaat vervolgens een bepaald gebied, bijvoorbeeld de Benelux of de EU. Indien de naam of het logo van het product/dienst afwijkt van de handelsnaam, is het belangrijk ook daar merken voor aan te vragen. Hiermee kan worden voorkomen dat andere partijen met dezelfde naam aan de haal gaan.

Hoewel software als zodanig moeilijk te beschermen is, zijn er dus wel verschillende manieren om tot een zo goed mogelijke bescherming te komen.

In een vorig blog over privacy en blockchain schreef ik over de (ogenschijnlijke) knelpunten tussen beginselen van het privacyrecht en gedistribueerde databasetechniek. Cruciaal voor iedere discussie over privacy en blockchain is de mate waarin gegevens op een blockchain afgeschermd kunnen worden voor andere gebruikers. In dit blog besteed ik daarom aandacht aan het anonimiseren van persoonsgegevens.

Anonieme gegevens

De AVG is niet van toepassing op anonieme gegevens, dat wil zeggen gegevens die niet te herleiden zijn tot een geïdentificeerde of identificeerbare natuurlijke persoon. In theorie kan een database enerzijds volkomen transparant zijn, want voor iedereen inzichtelijk, en anderzijds volledig privacy-proof, omdat geen van de gegevens te herleiden is tot een natuurlijke persoon. De AVG zou op zo’n database niet van toepassing zijn.

Van werkelijk anonieme, dus niet tot een persoon te herleiden, gegevens is volgens het privacyrecht echter niet snel sprake. Persoonsgegevens worden pas anoniem wanneer deze (nagenoeg) onomkeerbaar zijn geanonimiseerd. Daarbij is van belang dat de gegevens niet meer te herleiden zijn tot de originele dataset en dat er ook anderszins geen ‘individualiseerbaar’ patroon meer te ontdekken valt in de data.

Pseudonieme gegevens

Iedere techniek die deze hoge standaard niet haalt, resulteert niet in anonieme gegevens maar in ‘pseudonieme’ gegevens. In de AVG is pseudonimisering als nieuwe definitie opgenomen in artikel 4 lid 5. Onder pseudonimisering wordt verstaan het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens alleen aan een specifieke betrokkene gekoppeld kunnen worden door gebruik te maken van aanvullende gegevens welke apart en beveiligd worden bewaard. Op pseudonieme gegevens is de AVG gewoon van toepassing.

Asymmetrische encryptie en hashing

Blockchain-toepassingen maken gebruik van verschillende technieken om gegevens af te schermen voor andere gebruikers, zoals asymmetrische encryptie en hashing. De gezamenlijke privacy-waakhonden schaarden deze methoden in een opinie uit 2014 onder de noemer ‘pseudonimiseringstechnieken’. In het geval van asymmetrische encryptie staat dit standpunt niet ter discussie. Met de private sleutel is het immers bij uitstek mogelijk de gegevens te de-crypten. Over hashing bestaat wel discussie. Volgens de gezamenlijke toezichthouders zijn veel hash-functies kwetsbaar voor een brute force attack, terwijl anderen menen dat deze technieken daartegen goed bestand kunnen zijn.

Duidelijk mag zijn dat er niet snel vanuit gegaan mag worden dat data anoniem zijn geworden. In een recent door het Europees Parlement aangenomen resolutie over gedistribueerde database-technologieën, stelt het Parlement zelfs onomwonden: “data in a public ledger are pseudonymous and not anonymous” .

Kort en goed. Het versleutelen van persoonsgegevens op een blockchain kan een belangrijke maatregel zijn om de persoonsgegevens passend te beveiligen. In de regel zullen deze maatregelen echter niet tot gevolg hebben dat de gegevens geanonimiseerd zijn. Het blijven persoonsgegevens en de privacywetgeving blijft van toepassing.

In september 2018 verscheen een alarmerend bericht in het nieuws (zie www.nos.nl). Haperende ICT in de zorg zou leiden tot verkeerde medicatie en foute beslissingen.

Kamerleden hebben in reactie op dit bericht Kamervragen gesteld. Zo stelden zij de vraag wie de verantwoordelijkheid draagt voor het goed functioneren van ICT in zorgorganisaties. De minister antwoordde daar terecht op dat zorgaanbieders zelfstandige partijen zijn die dan ook zelf verantwoordelijk zijn voor informatievoorziening en bijbehorende ICT. Zorgaanbieders opgelet dus!

Waarom hapert ICT in de zorg nu zo vaak? Allereerst is “de zorg” groot en divers en spreken alle beroepsgroepen hun eigen taal. Niet alleen de taal, maar ook de technische standaarden moeten dan ook op elkaar worden afgestemd.

Ook het juridisch kader is complex. Zo moet rekening worden gehouden met de Wet op de geneeskundige behandelingsovereenkomst (WGBO), de AVG, de Wet cliëntenrechten bij elektronische verwerking van gegevens in de zorg,etc. Daarnaast zijn er verschillende beroepsnormen en zogenaamde NEN-normen van toepassing. In de praktijk blijkt de interpretatie van deze, elkaar deel overlappende, wetten en normen veel vragen op te leveren, vooral als het gaat om zogenaamde ketenregistraties.

Het belang van goed functionerende ICT, dat voldoet aan alle wet- en regelgeving, is uiteraard essentieel voor goed functioneren en zelfs voortbestaan van een zorginstelling. Het is daarom zaak om een goed Programma van Eisen op te stellen vóór de bouw of aanschaf van een ICT-systeem. Daarvoor is het noodzakelijk dat alle vereisten uit de relevante (sector)wet- en regelgeving in kaart worden gebracht en onverkort onderdeel uitmaken van dit Programma van Eisen.

De Clercq heeft een zorgteam met specialisten die u hierover kunnen adviseren. Neem contact op met Natascha van Duuren, partner IT, IE & privacy, voor meer informatie: n.vanduuren@declercq.com of 06-54983766. Wilt u op de hoogte blijven van juridische ontwikkelingen op het gebied van zorg? Meld u zich dan hier aan voor de nieuwsbrief Zorg + Recht!