Advocaten en notariaat in Leiden en Den Haag
Menu

Ongetwijfeld bent u vaak een soortgelijke eis tegengekomen:

Het plan van aanpak van de inschrijver bestaat uit maximaal 4 (vier) A4, lettertype Arial, 11, regelafstand 1,5.”

Stel u ontdekt dat een andere inschrijver zich grotendeels aan deze voorwaarde heeft gehouden, met uitzondering van de tekst die in een tabel is opgenomen op de laatste pagina van het plan. De lettergrootte van de tekst in die tabel is kleiner dan 11. Kunt u de aanbestedende dienst dwingen om die inschrijver uit te sluiten van verdere deelname?

De Haagse voorzieningenrechter overweegt dat de ratio van het vormvereiste is dat alle inschrijvers effectief evenveel ruimte ter beschikking hebben. Niet valt in te zien waarom deze eis niet zou gelden voor een tabel. Strikt genomen voldoet het ingediende document dus niet (volledig) aan de vormvereisten. Daardoor heeft de betreffende inschrijver effectief meer ruimte ter beschikking gehad voor haar beschrijving en deze ook volledig gebruikt. Of de inschrijver ook daadwerkelijk meer woorden heeft gebruikt, doet er dan ook niet toe.

Maakt het nog uit dat – zoals de aanbestedende dienst stelt – de aanbestedingsdocumenten niet expliciet uitsluiting in de aanbestedingsdocumenten voorschrijven? Nee, zo oordeelt de rechter. De verplichting tot uitsluiting volgt uit de fundamentele beginselen van het aanbestedingsrecht.

Kortom, de inschrijver moet worden uitgesloten wegens schending van het gelijkheidsbeginsel.

Menno de Wijs, advocaat

Onlangs kwam een geschil voor de Haagse voorzieningenrechter over het gebruik van een handelsnaam na overname van een kapperszaak met de naam ‘Kapsalon Promise’ in de Leidse binnenstad. Partijen hadden geen specifieke afspraken gemaakt over overname van de handelsnaam en toen de verkopende partij een nieuwe kapperszaak onder de naam ‘Kapsalon Promise 1’ begon, leidde dat tot deze rechtszaak. Welke afspraken moeten worden gemaakt over de overdracht van handelsnaamrechten, merkenrechten en domeinnaamrechten? Dat leest u in deze blog.

Handelsnamenrecht

Een handelsnaamrecht wordt verkregen door het feitelijk gebruik van de naam als handelsnaam in Nederland. Het recht behoort toe aan degene die de handelsnaam als eerste gebruikt. Het is hiertoe niet nodig om de handelsnaam in te schrijven in het handelsregister van de Kamer van Koophandel, of om officieel gevestigd te zijn in Nederland. De houder van het handelsnaamrecht kan nieuwe gebruikers van dezelfde handelsnaam of handelsnamen die verwarring veroorzaken, hierop aanspreken. In de reeds aangehaalde zaak, oordeelde de Haagse voorzieningenrechter dat sprake was van verwarringsgevaar en dat de verkoper de naam ‘Kapperzaak Promise 1’ voor diens nieuwe zaak niet mocht voeren. Immers hadden partijen niet afgesproken dat de koper de kapperszaak zonder handelsnaam zou overnemen, en was de nieuwe kapperszaak opgericht nadat de oude kapperszaak al was overgenomen en dezelfde naam bleef voeren.

Merkenrecht

Een merkenrecht wordt verkregen door inschrijving van een woord- of beeldmerk in een merkenregister (let op: dus niet door het enkele gebruik ervan). Dat kan het Europese merkenregister, Benelux merkenregister of bijvoorbeeld een nationaal merkenregister zijn (zoals voor het Verenigd Koninkrijk). Op het moment dat een merk voldoet aan de inschrijvingsvoorwaarden, geen (geslaagde) oppositie is ingediend en het merk dus is ingeschreven, is het merk beschermd voor de duur van de inschrijving (veelal 10 jaar). Bij overname van een bedrijf moet dus altijd worden gecontroleerd of merken van het te overdragen bedrijf zijn geregistreerd. Zo ja, dan dienen er afspraken te worden gemaakt over de overdracht hiervan. Gebeurt dat niet, dan bestaat het risico dat de merkhouder naderhand nog aanspraak kan maken op de inbreuk op zijn merkrecht door gebruik van het merk door de koper.

Domeinnamenrecht

Bijna ieder bedrijf is tegenwoordig ook op internet vertegenwoordigd. De domeinnaamhouder is degene op wiens naam de domeinnaam is geregistreerd bij de uitgever voor domeinnamen (voor Nederland: Stichting Internet Domeinnaam-registratie Nederland). Er is maar één registratie per extensie (zoals ‘.nl’) mogelijk. Het domeinnaamrecht geeft op zichzelf geen specifieke rechtsbescherming. Daarentegen kunnen merkrechthouders of handelsnaamhouders wel op basis van hun intellectuele eigendomsrecht overdracht van de domeinnaam vorderen, wanneer de domeinnaam een inbreuk op hun merk of handelsnaam veroorzaakt. Belangrijk dus, om bij overname van een bedrijf concreet af te spreken welke domeinnamen worden overgedragen en tevens te controleren of vergelijkbare handelsnamen worden gebruikt en/of merkenrechten zijn gedeponeerd om discussie in de toekomst te voorkomen.

Wilt u meer weten over de overdracht van intellectuele eigendomsrechten bij een overname? Neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, IE & Privacy

Op 8 mei 2020 publiceerde de Autoriteit Persoonsgegevens (AP) op haar website dat zij een onderzoek ging starten naar TikTok. Dit, vanwege de populariteit van de app en de grote hoeveelheid kinderen onder de gebruikers. Kinderen zijn onder de privacywetgeving immers aangemerkt als een extra kwetsbare groep, en dus vond de AP het van belang om te onderzoeken of de privacy wel in orde was. Dit bleek niet het geval, getuige het persbericht van 22 juli 2021 waaruit blijkt dat de AP TikTok een boete van €750.000,- heeft opgelegd. Hoe is dit gegaan en waarom? Dat leest u in deze blog.

Reden van de boete

Uit het onderzoek van de AP, kwam naar voren dat TikTok onvoldoende aan het beginsel van transparantie en de informatieplicht voldeed. Betrokkenen moeten op basis van de Algemene Verordening Gegevensbescherming (AVG) immers in beknopte, begrijpelijke, duidelijke en eenvoudige taal worden geïnformeerd over de verwerking van hun persoonsgegevens. Door TikTok was hier in de periode van 25 mei 2018 t/m 28 juli 2020 (het moment waarop TikTok naar aanleiding van het onderzoeksrapport van de AP haar privacybeleid heeft aangepast) niet aan voldaan. Immers bood TikTok Nederlandstalige kinderen enkel een Engelstalige versie van haar privacybeleid, dat qua taalgebruik en vorm onvoldoende aansloot bij (Nederlandstalige) kinderen. TikTok bracht hier nog tegenin dat zij wel Nederlandstalige pop-ups bood, evenals privacy- en veiligheidsinstellingen en een ‘Help and Safety Centre’. De AP vond dat dit de situatie niet veranderde, ondanks dat dit bijdroeg aan de transparantie. Immers werd hiermee door TikTok niet aan de (volledige) informatieplicht voldaan.

Hoogte van de boete

Bij het niet/onvoldoende voldoen aan de informatieplicht, kan op basis van de AVG een boete worden opgelegd van maximaal €20.000.000,- of 4% van de totale wereldwijde jaaromzet. Binnen dit wettelijk kader, gebruikt de AP haar Boetebeleidsregels 2019 voor vaststelling van de hoogte van een boete. Op basis van deze boetebeleidsregels, geldt voor de overtreding van de informatieplicht een boete brandbreedte van €300.000,- en €750.000,- en een basisboete van €525.000,-. Gezien de grote groep gebruikers onder de 16 jaar, de ernst van de inbreuk, de verwijtbaarheid hiervan en de aanzienlijke duur van de inbreuk heeft de AP aan TikTok de maximale boete opgelegd. De maatregelen die TikTok reeds had genomen (zoals de pop-ups en het ‘Health and Safety Centre’) evenals de draagkracht van TikTok, hebben deze boete niet verlaagd.

Hoe moet het dan wel?

Op basis van het transparantiebeginsel[1] en de informatieplicht, moeten organisaties betrokkenen bij de verkrijging van hun persoonsgegevens hierover in een “beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal”[2] informeren.  Om te bepalen wat ‘begrijpelijk’ is, moet de organisatie bepalen wat haar doelgroep waarschijnlijk zal begrijpen. ‘Duidelijke en eenvoudige taal’ betekent dat de teksten geen te juridische, technische of specialistische taal of terminologie mogen bevatten. Daarbij mogen de teksten niet alleen beschikbaar worden gesteld in een taal die de betrokkenen niet spreken. Voor organisaties die zich richten tot kinderen (of zich ervan bewust zouden moeten zijn dat hun goederen/diensten door met name kinderen worden gebruikt), geldt nog een extra zware maatstaf. Zo moeten zij de informatie beschikbaar stellen op een manier die qua vocabulaire, toon en stijl makkelijk voor een kind te begrijpen is.[3]

Discussie over de bevoegdheid van de AP

Gedurende het onderzoek, heeft er een hele discussie plaatsgevonden over de bevoegdheid van de AP. TikTok heeft haar hoofdvestiging namelijk gedurende de onderzoeksperiode definitief gevestigd in Ierland. Dit betekende, dat de Ierse toezichthouder bevoegd werd in plaats van de AP. Het resultaat hiervan, is dat de AP uiteindelijk alleen nog maar bevoegd was om te oordelen over de privacyverklaring.

Wat gaat er nu gebeuren?  

De AP heeft haar onderzoeksresultaten overgedragen aan de Ierse toezichthouder, en heeft de Ierse toezichthouder gevraagd om een (definitief) besluit te nemen. Daarnaast heeft TikTok tegen de Nederlandse boete al bezwaar aangetekend. Het wordt dus ongetwijfeld vervolgd…

Wilt u meer weten over het principe van transparantie en de informatieplicht? Neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, IE & Privacy

[1] Artikel 5 (1) (a) Algemene Verordening Gegevensbescherming (AVG).

[2] Artikel 12 (1) AVG.

[3] Zie ook ‘Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679’.

Privacy by Design & Privacy by Default zijn twee belangrijke privacy principes uit de privacywetgeving. Een manier waarop aan deze principes kan worden voldaan, is door het implementeren van Privacy Enhancing Technologies (PETs). Wat PETs inhouden, hoe deze geadopteerd kunnen worden en wat de voordelen hiervan zijn leest u in deze blog.

Wat zijn PETs?

PETs zijn een verzamelnaam van alle technieken die kunnen worden gebruikt om persoonsgegevens op een privacyvriendelijke manier te verwerken, en de bescherming hiervan te ondersteunen. Dat kunnen de meer traditionele technieken zijn maar ook de meer opkomende technieken.

Bij traditionele technieken kunt u denken aan encryptie van data in opslag (het versleutelen van gegevens in een opgeslagen database), hashing (het toepassen van een algoritme (hash) op de gegevens waardoor er een op het eerste oog nietszeggende riedel aan cijfers en letters ontstaat), tokenizatie (een veld met echte gegevens vervangen door random gegevens, denk aan het vervangen van alle namen van personen in de database door ‘Tante Sidonia’) of generalisatie (het creëren van  grote groepen te in de database, zoals het vervangen van alle woonplaatsen van personen door de provincie waarbinnen hun woonplaats valt).

Bij de meer opkomende technieken, kunt u bijvoorbeeld denken aan homomorfische encryptie (het versleutelen van gegevens op een wijze waardoor ze niet eerst ontsleuteld hoeven te worden voordat er aanpassingen in kunnen worden gemaakt) en differentiële privacy (het toevoegen van ruis aan gegevens waardoor de gegevens van een individu niet meer ‘kloppend’ uit de database kunnen worden gehaald).

Hoe zou u een PET kunnen adopteren?

PETs kunnen zowel worden toegepast op reeds bestaande verwerkingen, als op nieuwe verwerkingen/systemen/projecten. Om te bepalen wat handig is, is het advies om eerst in kaart te brengen wat het doel is van de verwerking, welke persoonsgegevens hiermee worden verwerkt, hoe deze moeten worden ingezet en waar de privacy risico’s zitten. Aan de hand hiervan, kan worden gekeken welke PETs het meest geschikt zijn om de privacy risico’s te mitigeren, zonder dat dit de benodigde functionaliteiten in de weg staat.

Voordelen van het adopteren van PETs

Het adopteren van PETs heeft meerdere voordelen, waaronder:

Kortom, genoeg redenen om de PETs op zijn minst in overweging te nemen en wellicht tot adoptie over te gaan. Mocht u over PETs nog wat meer informatie willen, dan kan ik u van harte aanraden om de PETS adoption guide (incl. overzichtelijke beslisboom) van het Centre for Data Ethics and Innovation (CDEI) ter inspiratie eens te bekijken.

Wilt u meer weten over de concrete toepassing van Privacy by Design & Privacy by Default en/of PETs binnen uw organisatie? Neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, IE & Privacy

Op basis van de Wet Afwikkeling massaschade in collectieve actie (WAMCA) is het sinds januari 2020 mogelijk voor benadeelden om via een belangenorganisatie collectief schade te verhalen. Op dit moment zijn de in jurisprudentie aan benadeelden (betrokkenen) toegewezen schadevergoedingen op basis van de privacywetgeving, nog vrij summier en beperkt. Dit zou echter kunnen gaan veranderen, wanneer betrokkenen ervoor kiezen om collectief schadevergoeding te verhalen. Denk hierbij aan bijvoorbeeld schade opgelopen door een grote groep betrokkenen als resultaat van een datalek. Wat houdt de WAMCA nu precies in?

Één regime voor collectieve acties

In Nederland, heerst met de komst van de WAMCA één regime voor collectieve acties, ongeacht of de belangenorganisatie schadevergoeding in geld vordert en ongeacht het rechtsgebied. Nederland is hierin het eerste Europese land dat dit mogelijk maakt.

Niet alleen  de WAMCA heeft tot deze situatie geleid. De afgelopen jaren hebben een tweetal wetswijzigingen hier eveneens aan bijgedragen:

De grote toevoeging van de WAMCA aan dit reeds bestaande wettelijke kader, is dat het hierdoor mogelijk is om collectief een financiële schadevergoeding  te vragen.

Wanneer is de WAMCA van toepassing?

Een collectieve vordering kan worden ingesteld door een belangenorganisatie voor gedupeerden voor iedere inbreuk op een recht. Voor zowel de gedupeerden, de belangenorganisatie als de collectieve vordering geldt een aantal voorwaarden.

Gedupeerden

Om deel te kunnen nemen aan een collectieve actie, moeten gedupeerden:

Belangenorganisatie

Een belangenorganisatie die de collectieve vordering indient moet de door haar behartigde belangen voldoende waarborgen, o.a. op het gebied van governance, financiering en representativiteit. Zo moet de belangenorganisatie beschikken over voldoende financiële middelen om de procedure te voeren, en moet deze de benadeelden voldoende vertegenwoordigen. Daarbij moet de belangenorganisatie voldoen aan de principes uit de Claimcode.

Mochten  meerdere belangenorganisaties zich melden voor eenzelfde inbreuk, dan kan de rechter een ‘exclusieve belangenbehartiger’ aanwijzen uit alle betrokken belangenorganisaties. De exclusieve belangenbehartiger treedt in dat geval in de procedure op voor de belangen van alle gedupeerden, de andere belangenorganisaties blijven partij.

Collectieve vordering

Als laatste, gelden ook voor de collectieve vordering voorwaarden. Zo moet de vordering een ‘voldoende nauwe band hebben met de Nederlandse rechtssfeer’. Hiervan is sprake als:

Privacywetgeving en de collectieve schadevergoeding

Qua relevante privacykaders, kennen we in Nederland op dit moment de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG). In de toekomst zal ook de ePrivacy Verordening (ePV, de nieuwe Europese privacywetgeving die nog in ontwikkeling is en die ziet op o.a. marketing, cookies en device fingerprinting) relevant worden.

Op basis van de AVG heeft eenieder die schade heeft geleden als gevolg van een inbreuk op de AVG recht op schadevergoeding.[3] Benadeelden kunnen deze schadevergoeding o.a. via een gerechtelijke procedure claimen bij de rechter in de woon- of verblijfplaats van de betrokkene (de benadeelde) of in het land waar de organisatie die de gegevens verwerkt (de verwerkingsverantwoordelijke of de verwerker) een vestiging heeft.[4]

Op basis van de WAMCA in combinatie met de privacywetgeving, kan dus een collectieve schadevergoeding worden ingediend voor een inbreuk op de AVG (en straks waarschijnlijk ook op basis van de ePV in de combinatie met de WAMCA).

Conclusie

Schadevergoeding wordt tot op heden veelal op individuele basis gevorderd. Het lijkt echter aannemelijk dat  de komende jaren meer collectieve (grote) schadevergoedingsacties zullen worden gestart al dan niet met internationale aspecten.

 

Wilt u meer weten over (collectieve) schadevergoedingen bij inbreuken op de privacywetgeving? Neem dan gerust contact op.

Natascha van Duuren, advocaat / managing partner IT, IE & Privacy

 

[1] Met een opt-out kan een benadeelde aangegeven niet gebonden te willen worden (Kamerstukken II 2016/17, 34 608, nr. 3, p. 46-47).

[2] Met een opt-in kan een benadeelde in een vroeg stadium van de procedure vrijwillig verklaren in te stemmen met de behartiging van zijn/haar belangen in de collectieve vordering (Kamerstukken II 2017/18, 34 608, nr. 6, p. 4).

[3] Artikel 82 Algemene Verordening Gegevensbescherming (AVG).

[4] Artikel 79 AVG.

Het infecteren van systemen met gijzelsoftware is volgens een recent rapport van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in vijf jaar tijd uitgegroeid tot een solide verdienmodel voor criminelen. Vooral het MKB is slachtoffer. In onze praktijk merken wij dit helaas ook. Het is dus zaak voorzorgsmaatregelen te treffen. Denk in dat verband niet alleen aan het opwerpen van een technische verdedigingslinie, maar ook aan de juridische aandachtspunten. U kunt nu contact opnemen met ons team voor een quick-scan.

Schade ransomware

De schade die een ransomware aanval kan aanrichten is aanzienlijk. Volgens schattingen wordt in zo’n 70% van de gevallen losgeld betaald en de geschatte gemiddelde losgeldeis piekte volgens het bedrijf Coveware in het derde kwartaal van 2020 op circa 200.000 euro. En dat is alleen nog maar het losgeld. De schade als gevolg van verlies aan bedrijfscontinuïteit, herstelkosten, eventuele boetes van toezichthouders, claims van derden en reputatieschade is vele malen hoger.

Juridische aandachtspunten

Iedere organisatie moet op grond van de AVG de informatiebeveiliging zo inrichten dat systemen en data op passende wijze zijn beschermd tegen incidenten. Dat betekent onder meer: updates tijdig installeren, het netwerk passend segmenteren en een adequaat back-up en recovery beleid inrichten. Waar ICT-diensten worden uitbesteed is het zaak over deze en meer aspecten duidelijke afspraken te maken met leveranciers. ICT-leveranciers moeten er op hun beurt voor zorgen dat zij voldoen aan hun zorgplicht. Zij moeten afnemers goed informeren en hen waar nodig waarschuwen omtrent cyberrisico’s. Verder is het zaak goede afspraken te maken met klanten en leveranciers over kwesties als aansprakelijkheid, verzekering en schade. Ten slotte is van belang dat binnen een organisatie kennis aanwezig is over meldplichten en andere compliance aspecten in geval van een aanval.

Quick-scan

Wilt u weten hoe het met deze en meer aspecten gesteld is in uw organisatie? Neem gerust contact op met ons team voor een quick-scan waarin wij de belangrijkste risico’s in kaart brengen en concrete suggesties doen voor verbetering.

Jeroen van Helden, advocaat IT, IE & Privacy

Nu een trip naar Frankrijk er mogelijk in de nabije toekomst door de oplopende besmettingen niet inzit, kunnen we ons op privacy gebied gelukkig wel op wat Franse activiteiten focussen. Afgelopen juni, heeft een Franse dochteronderneming van Ikea namelijk door de Franse rechter een boete van één miljoen euro opgelegd gekregen. Daarbij moet de Franse dochteronderneming ongeveer één ton aan schadevergoedingen betalen. In aanvulling hierop hebben zowel de oud-topman van de Franse dochteronderneming als het voormalig hoofd risicomanagement voorwaardelijke celstraffen en boetes opgelegd gekregen. Hoe heeft dit zover kunnen komen?

Onrechtmatige spionage

De onrechtmatige situatie bij de Franse dochteronderneming van Ikea speelde vermoedelijk als sinds 2000, maar kwam in 2012 door Franse onderzoeksjournalistiek aan het licht. Toen kwam namelijk uit dat van sollicitanten, medewerkers en klanten onrechtmatig gegevens werden verzameld middels spionage. Deze spionage hield in, dat met behulp van een spionagesysteem probleemgevallen onder (toekomstig) personeel en lastige klanten werden opgespoord en dit vervolgens werd geregistreerd. Hiertoe werden o.a. gegevens over iemands financiële situatie (waaronder uitgaves aan luxe auto’s), lidmaatschap van een vakbond en strafblad verzameld met behulp van privédetectives (waarvoor een speciaal budget was gereserveerd) en politiebestanden. Na verzameling, werden deze gegevens in een aantal gevallen gebruikt tegen medewerkers (waaronder vakbondsleiders) en in geschillen met klanten, aldus de personeelsvertegenwoordigers.

Waarom mag dit niet?

Dat dit niet mag, is eigenlijk bijna evident. Immers mag je als werkgever niet stiekem vertrouwelijke en gevoelige informatie van je medewerkers vastleggen. Vanwege de machtsverhouding die een werkgever richting zijn werknemers heeft, gelden er namelijk strikte regels over wat een werkgever wel en niet mag verzamelen. Daarbij is het ook niet toegestaan om zomaar informatie tegen een medewerker te gebruiken, zonder dat deze dit vooraf had kunnen zien aankomen.

Wat mag dan wel?

Ook medewerkers hebben recht op privacy op de werkvloer. Het heimelijk controleren en bespioneren van medewerkers is in bijna geen enkel geval toegestaan. Uiteraard kunnen er goede redenen zijn om medewerkers te monitoren, denk aan trainingsdoeleinden of bij concrete vermoedens van fraude. Het is in dergelijke gevallen belangrijk dat medewerkers voorafgaand aan monitoring hierover worden geïnformeerd, waaronder over de voorwaarden wanneer en hoe dit eventueel kan plaatsvinden. Daarbij moet de tijd dat iemand actief wordt gemonitord worden beperkt, en moet zijn geborgd dat de monitoringsresultaten alleen worden ingezet voor vooraf vastgestelde doeleinden. Een organisatie kan een medewerker bijvoorbeeld niet opeens in een beoordelingsgesprek monitoringsresultaten tegenwerpen als reden voor het niet doorvoeren van een salarisverhoging, als enkel is verkondigd dat deze worden gebruikt voor trainingsdoeleinden.

In aanvulling hierop, moet een organisatie een goede afweging maken tussen de belangen van de organisatie en de privacybelangen van medewerkers, en deze documenteren. Het uitvoeren van een Data Protection Impact Assessment (DPIA, een voorafgaand schriftelijk privacyonderzoek) kan hieraan bijdragen. Het uitvoeren van een DPIA is verplicht als het gaat om stelselmatige monitoring of cameratoezicht. Daarbij moet een ondernemingsraad, wanneer deze is aangesteld, om instemming worden gevraagd voor alles wat als een potentieel personeelsvolgsysteem kan worden ingezet (waaronder dus veel monitoringsytemen).

 

Wilt u meer weten over de regels die gelden voor privacy van medewerkers of monitoring? Neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, IE & Privacy

Vanaf 1 januari 2022 veranderen de regels voor het consumentenrecht. In de voorgaande blogs van deze e-commerce blogreeks is ingezoomd op de basisregels gelden voor B2C webshops,  B2B webshops en op de basis privacyregels. In deze laatste blog zullen we inzoomen op de nieuwe consumentenregels.

Europese richtlijnen

Op 20 mei 2019 zijn twee nieuwe Europese richtlijnen aangenomen die vanaf 2022 effect gaan hebben op het huidige consumentenrecht, namelijk:

Om deze richtlijnen door te laten werken in het nationale recht, moeten de lidstaten implementatiewetgeving maken. Dit zal betekenen, dat de consumentregels in het Burgerlijk Wetboek en in de Wet handhaving consumentenbescherming zullen wijzigen. Het doel van beide richtlijnen is maximumharmonisatie. Dit houdt in dat het de lidstaten, op enkele uitzonderingen na, niet is toegestaan om van de inhoud van de richtlijnen af te wijken. Binnen Europa zullen de consumentenregels dan ook vanaf 1 januari 2022 meer gelijk gaan worden.

Onderwerp van de Europese richtlijnen

Richtlijn 2019/770 bevat regels voor de levering van digitale inhoud (zoals games en applicaties) en digitale diensten (zoals streamingsdiensten). Richtlijn 2019/771 bevat regels over de verkoop van goederen en over de verkoop van goederen met digitale elementen (zoals een smartwatch, smartphone of smart-tv). Beide richtlijnen zien op de verkoop door een professionele partij aan een consument (B2C). Het verschil tussen beide richtlijnen, is dat richtlijn 2019/770 ziet op de verkoop van software als product (welke ook op een materiële drager[1] of als maatwerk mag worden geleverd) en dat richtlijn 2019/771 ziet op producten waarvan software een ondergeschikt onderdeel kan zijn. Inhoudelijk, zijn de regels in beide Europese richtlijnen ongeveer gelijk.

Verschillen met de huidige consumentenregels

In hoofdlijnen blijven de regels van het consumentenrecht vergelijkbaar. Toch zullen er een aantal zaken veranderen, naast dat digitale elementen, inhoud en diensten nu expliciet worden geadresseerd. Een aantal opvallende toekomstige veranderingen zijn:

De conformiteitseis (voldoet iets aan de verwachtingen) wordt gedetailleerder uitgewerkt. Zo wordt gespecificeerd dat de conformiteit ziet op kenmerken als de hoeveelheid, kwaliteit duurzaamheid, functionaliteit, compatibiliteit maar ook op updates (waaronder beveiligingsupdates) en overeenstemming met de Algemene Verordening Gegevensbescherming (AVG).

Kortom, er komen dus strengere eisen over de omschrijving van producten en de verwachtingen die consumenten bij producten mogen hebben. Daarbij valt het recht dat consumenten op updates krijgen, op.

Onder de nieuwe situatie is geen sprake van non-conformiteit als een consument bij het aangaan van de overeenkomst uitdrukkelijk de afwijking heeft aanvaard (zoals het aanvinken van een vakje waarbij staat ‘Ik accepteer dat er geen beveiligingsupdates worden doorgevoerd’). Onder de huidige situatie, is er geen sprake van non-conformiteit als het gebrek redelijkerwijs bekend was of kon zijn (een stuk soepeler dus).

Qua termijnen, bedraagt de huidige termijn voor non-conformiteit zes maanden. Als een gebrek zich binnen zes maanden na aflevering van het product openbaart, bestaat het vermoeden dat het product ten tijde van de levering niet conform was. Onder de nieuwe richtlijn, wordt deze termijn verlengd tot minimaal één jaar (lidstaten mogen er ook twee jaar van maken). Gedurende dit jaar ligt de bewijslast bij de verkoper om aan te tonen dat het product wel conform was. Voor goederen met digitale inhoud die continue worden geleverd, zoals online games, geldt dat de bewijslast voor conformiteit ligt bij de verkoper als het gebrek gedurende de gehele periode dat het product wordt geleverd aan het licht komt.

Qua termijn van een kennisgevingsverplichting bij een non-conformiteit kan ook wat veranderen. Zo kunnen de lidstaten, op basis van Richtlijn 2019/771, de termijn voor een consument om een beroep te doen op een gebrek beperken tot twee maanden na ontdekking. Deze tijdsbeperking mag niet gelden voor digitale inhoud en digitale diensten op basis van Richtlijn 2019/770.

Kortom, de regels rondom non-conformiteit worden strikter voor de webshophouder, de termijn van non-conformiteit wordt verlengd en de termijn van beroep na ontdekking van een gebrek mag worden beperkt.

Op dit moment heeft een consument het recht om een overeenkomst bij non-conformiteit te ontbinden of de prijs te verlagen. Voordat een consument dit kan doen, moet deze de verkoper eerst vragen om het product te herstellen of te vervangen. Pas als dat niet kan of niet gebeurt, heeft de consument recht op ontbinding van de overeenkomst of prijsvermindering. Onder de nieuwe situatie kan een consument bij een ernstige tekortkoming direct de overeenkomst ontbinden of de prijs verminderen. Dit is bijvoorbeeld het geval wanneer antivirussoftware wordt geleverd welke besmet is met een virus.

Op dit moment kennen we in Nederland geen vaste periode waarbinnen een consument een verkoper aansprakelijk kan stellen voor conformiteitsgebreken. In de nieuwe situatie, is echter aangegeven dat een er een verjaringstermijn geldt van twee jaar. Als het product echter langer wordt geleverd, zoals streamingsdiensten, dan is de verkoper aansprakelijk gedurende de gehele tijd dat het product wordt geleverd.

Richtlijn 2019/770 ziet ook op situaties waarop de consument niet betaalt met geld, maar met zijn/haar persoonsgegevens. In dergelijke gevallen gaat de consument een overeenkomst aan, met als contractuele tegenprestatie het geven van toestemming voor de verwerking van diens persoonsgegevens. Dit betreft dan persoonsgegevens die niet nodig zijn voor de uitvoering van de (koop)overeenkomst.

Volgens de Autoriteit Persoonsgegevens (AP, Nederlandse privacy toezichthouder) kleven hier risico’s aan. Denk aan consumenten die minder te besteden hebben en dus eerder geneigd zullen zijn om hieraan mee te werken. Daarbij biedt de AVG geen effectieve remedie als de toestemmingsvraag simpelweg voldoet, terwijl de verwerking mogelijk wel als onredelijk zou kunnen worden beschouwd.

Conclusie

In hoofdlijnen zullen de belangrijkste verschillen onder de nieuwe situatie zijn gelegen in het feit dat meer specificatie is toegepast voor producten met digitale inhoud en producten met digitale elementen. Deze specificatie is o.a. terug te zien in de voorwaarden voor conformiteit, mogelijkheden van consumenten om bij non-conformiteit hier tegen te ageren en de mogelijkheid die wordt erkend dat wordt betaald met persoonsgegevens in plaats van met geld.

Op dit moment is het wetsvoorstel voor de Nederlandse implementatie van de Europese richtlijnen nog in behandeling bij de Tweede Kamer. Het is dan ook nog even wachten wat de Europese richtlijnen precies voor het Nederlandse consumentenrecht zullen betekenen. Deze blog bevatte voor nu alvast een observatie van opvallende zaken.

Inhoud van de blogreeks

Dit was de vierde en laatste blog van deze e-commerce blogreeks.

Wilt u meer weten over de regels die gelden voor webshops of wenst u een juridische check van uw webshop? Neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, IE & Privacy

[1] Voor het startpunt van de bedenktijd maakt het wel verschil of software op een materiële drager (zoals een CD of USB-stick) wordt geleverd, of niet. Bij géén materiële drager, is dat vanaf het moment dat de overeenkomst wordt gesloten. Bij wel een materiële drager, is dat vanaf het moment dat de consument de materiële drager ontvangt.

 

Zodra u als webshophouder persoonsgegevens verwerkt is de privacywet- en regelgeving van toepassing. In de voorgaande blogs van deze e-commerce blogreeks is ingezoomd op de basisregels voor B2C webshops en B2B webshops. In deze blog zetten we de basis privacyregels uiteen die gelden voor een webshop.

Persoonsgegevens

Persoonsgegevens zijn alle gegevens die direct of indirect herleidbaar zijn naar een natuurlijk persoon (ook wel de betrokkene genoemd). Voor een webshop kunt u hierbij bijvoorbeeld denken aan namen, adresgegevens, contactgegevens, IP-adressen en cookie ID’s. Gegevens van bedrijven zoals bedrijfsnamen, bedrijfsadressen en algemene contactgegevens (info@bedrijf.com of het algemene telefoonnummer) zijn in beginsel niet aan te merken als persoonsgegevens. Uitzonderingen hierop zijn bijvoorbeeld adresgegevens van eenmanszaken (welke veelal ook het privé adres zijn), bedrijfsnamen op basis van iemands naam en rechtstreekse contactgegevens van medewerkers van bedrijven.

Algemene privacyregels

Zodra u via uw website persoonsgegevens verwerkt (hetgeen u eigenlijk altijd zult doen), betekent dit dat de privacywet- en regelgeving van toepassing is. Dit houdt in dat u de volgende algemene privacyregels dient op te volgen:

Privacy basisregels rondom digitale nieuwsbrieven

Voor het toezenden van digitale nieuwsbrieven is toestemming van de ontvanger nodig. Deze toestemming kan actief of passief worden gegeven, afhankelijk van de klantrelatie en inhoud van de digitale nieuwsbrief.

Als u toestemming vraagt voor een nieuwsbrief moet uit uw vraag duidelijk blijken:

Vervolgens moet de beoogde ontvanger zelf een actieve handeling verrichten om toestemming te geven. Dit kan bijvoorbeeld door een vakje aan te vinken, zijn/haar e-mailadres in te vullen en/of op een button te klikken. Opzeggen van de nieuwsbrief moet net zo makkelijk gaan als aanmelden, en veelal wordt hiertoe standaard onderaan iedere nieuwsbrief een afmeldmogelijkheid geboden.

Als aan de volgende voorwaarden is voldaan, is actieve toestemming niet vereist. In dat geval is het bieden van een bezwaarmogelijkheid, bijvoorbeeld door het bieden van een vooraf aangevinkt vakje dat ‘ontvinkt’ kan worden, voldoende:

Ook voor deze nieuwsbrieven geldt dat opzeggen van de nieuwsbrief net zo makkelijk moet gaan als aanmelden.

Let op: Plaatst u tracking pixels in uw nieuwsbrieven en/of maakt u gebruik van gepersonaliseerde nieuwsbrieven? Zo ja, dan moet u hiervoor ook een rechtsgrond hebben en dient dit duidelijk uit de informatie die u over o.a. uw nieuwsbrieven verstrekt naar voren te komen.

Basis privacyregels rondom cookies

Voor het plaatsen van technische of functionele cookies en/of analytische cookies met geen of een geringe privacy inbreuk is geen toestemming van de websitebezoeker nodig (websitebezoekers moeten hierover wel worden geïnformeerd!). Voor het plaatsen van tracking cookies is daarentegen wel toestemming van de websitebezoeker vereist. Deze toestemming moet worden gevraagd vóórdat de cookies worden geplaatst en kan alleen met een actieve, vrije, specifieke en geïnformeerde handeling worden gegeven. Het gebruik van een cookiewall en/of vage omschrijvingen is dan ook niet toegestaan. Daarnaast moet de webshophouder kunnen bewijzen dat hij/zij toestemming heeft gekregen voordat de cookies zijn geplaatst.

Let op: Social media buttons die op een webshop worden geplaatst (bijvoorbeeld om producten eenvoudig te kunnen delen via social media kanalen of om met één druk op de knop de social media pagina van de webshop te bezoeken) kunnen ook tracking cookies plaatsen. Deze cookies mogen eveneens pas worden geplaatst nadat de websitebezoeker hiervoor toestemming heeft gegeven.

Privacy- en cookieverklaring

Als webshophouder dient u transparant te zijn over alle handelingen die u met persoonsgegevens verricht en dient u betrokkenen hierover te informeren. Dit betekent dat u op een makkelijk vindbare plaats, die via ieder pagina te bereiken is (veelal in de header of de footer), een link naar de privacy- en cookieverklaring plaatst evenals op iedere plek waar persoonsgegevens op basis van toestemming worden verzameld (zoals voor de digitale nieuwsbrief en in de cookiebanner). In de privacy- en cookieverklaring geeft u vervolgens informatie over:

Deze informatieplicht geldt voor alle persoonsgegevens die via de webshop worden verwerkt. Denk aan bijvoorbeeld persoonsgegevens die worden verwerkt via bestelformulieren, nieuwsbrieven, tracking pixels, chatfuncties, reviews, cookies, contact met de klantenservice, etc.

Inhoud van de blogreeks

Dit was de derde blog van deze e-commerce blogreeks. In het laatste deel van deze blogreeks zal worden ingegaan op ‘Nieuwe regels voor consumentenkoop vanaf 1 januari 2022’.

Wilt u meer weten over de privacyregels die gelden voor webshops of wenst u een juridische check van uw webshop? Neem dan gerust contact op.

Michelle Wijnant, Legal Counsel IT, IE & Privacy

Onlangs heeft de Autoriteit Persoonsgegevens (AP, de Nederlandse privacytoezichthouder) een boete uitgedeeld van €12.000,- aan een orthodontiepraktijk voor het onvoldoende beveiligen van de website. Hoe had de website beveiligd moeten zijn?

Reden van de boete

De website van de orthodontiepraktijk bevatte een formulier voor het inschrijven van nieuwe patiënten (veelal minderjarigen). In dit formulier dienden de patiënten hun NAW-gegevens, geboortedatum, BSN, telefoonnummer(s), gegevens over school, huisarts, tandarts en de verzekeringsmaatschappij in te vullen. Door een betrokkene was een klacht ingediend bij de AP over het niet versleuteld verzenden van deze gegevens door de orthodontiepraktijk. Na onderzoek van de AP bleek inderdaad dat de communicatie met de website, waaronder het verzenden van een ingevuld inschrijvingsformulier, over een niet-versleutelde en dus onbeveiligde verbinding verliep. Hierdoor bestond het risico dat verzonden informatie onrechtmatig kon worden onderschept, uitgelezen en/of gewijzigd via een zogenoemde “man-in-the-middle-attack”.

Beveiligen van een website

In de privacywetgeving is vastgelegd dat persoonsgegevens middels ‘passende technische en organisatorische maatregelen’ moeten worden beveiligd. Wat passend is, hangt af van de stand van de techniek, kosten, aard, omvang en context van de persoonsgegevens die worden verwerkt en de risico’s voor de betrokkenen. Dat is uiteraard weinig concreet. Echter, nu het een orthodontiepraktijk betrof, en dus een gezondheidsinstelling die het BSN verwerkt, diende de website te zijn beveiligd conform NEN 7510 (welke nader is uitgewerkt in NEN 7510-1 en NEN 7510-2). In NEN 7510-2 worden maatregelen neergelegd t.a.v. cryptografie (het versleutelen van gegevens) en beveiliging van informatietransport. Voor het beveiligen van verbindingen via een website, zijn deze kaders door het Nationaal Cyber Security Centrum (NCSC) nog verder geconcretiseerd. Het NCSC geeft namelijk aan dat verbindingen op een website dienen te zijn beveiligd met een Transport Layer Security (TLS) protocol, welke wordt toegepast via het HTTPS-protocol aan de hand van een TLS-certificaat.

Conclusie

Wanneer via een website persoonsgegevens worden verwerkt, en al helemaal wanneer dit gevoelige persoonsgegevens zijn, dienen de verbindingen van deze website te worden beveiligd. Dit kan worden gedaan door het toepassen van een HTTPS-protocol aan de hand van een TLS-certificaat. Een TLS-certificaat kan in beginsel kosteloos worden verkregen, en het beveiligen van de verbindingen van een website hoeft dus ook geen dure aangelegenheid te zijn. Geen enkele reden dus om het niet te doen.

Wilt u meer weten over de regels die gelden voor het beveiligen van websites? Neem dan gerust contact op.

Natascha van Duuren, advocaat / managing partner IT, IE & Privacy