Advocaten en notariaat in Leiden en Den Haag
Menu

Iedereen zal bekend zijn met cookies. Cookies zijn kleine bestanden die de aanbieder van een website op de computer, telefoon of tablet van een bezoeker plaatst. Met cookies kan informatie worden verzameld of opgeslagen over het websitebezoek van de bezoeker. Het gebruik van cookies is geregeld in de Telecommunicatiewet. Daarin is bepaald dat bezoekers van een website moeten worden geïnformeerd over het plaatsen en uitlezen van cookies op hun apparaat en dat hiervoor in bepaalde gevallen toestemming is vereist. Daarnaast is op bijvoorbeeld tracking cookies (in combinatie met overige gegevens die over het websitebezoek worden verzameld) ook de Algemene verordening gegevensbescherming (AVG) van toepassing. Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) een normuitleg over cookiewalls waarin zij duidelijk maakt dat cookiewalls in strijd zijn met de AVG en daarom niet zijn toegestaan.

Verschillende soorten cookies

Er bestaan verschillende soorten cookies. Er zijn cookies die technisch noodzakelijk zijn om de website goed te laten werken. Deze zogeheten functionele cookies zijn bijvoorbeeld nodig om in te loggen, af te rekenen in een webshop of voor taalkeuzes. Voor deze cookies is geen toestemming vereist. Ook bestaan er analystische cookies. Deze verschaffen inzicht in het functioneren van een website. Zulke cookies mogen geen of maar weinig gevolgen hebben voor de privacy van bezoekers. Anders is er toestemming vereist. Dit is bijvoorbeeld het geval als er gebruik wordt gemaakt van Google Analytics. Wel kan Google Analytics met gebruik van deze handleiding van de AP zo worden ingesteld dat u de privacy van uw bezoekers zo goed mogelijk beschermt. Tot slot zijn er de tracking cookies. Bij tracking cookies gaat het om gegevens over het internetgedrag van gebruikers. Tracking cookies kunnen bijhouden welke websites iemand bezoekt. Uit de informatie over bezochte websites kunnen persoonlijke interesses worden afgeleid. Op basis hiervan kunnen organisaties hun websitebezoekers bijvoorbeeld gerichte advertenties tonen. Met tracking cookies worden doorgaans persoonsgegevens verwerkt. Omdat deze cookies niet noodzakelijk zijn voor de gevraagde dienst en voor het functioneren van de website, is voor het gebruik van tracking cookies toestemming van de websitebezoeker nodig.

Cookiewalls niet toegestaan

Een cookiewall houdt in dat mensen die een website willen bezoeken of app willen gebruiken, de vraag krijgen om cookies te accepteren voordat zij daartoe toegang krijgen. Geven zij geen toestemming, dan krijgen zij geen toegang. Zoals gezegd is voor het plaatsen van tracking cookies toestemming van de bezoeker nodig. Hetzelfde geldt voor andere ‘volgsoftware’ of digitale methodes om surfgedrag te volgen. Dit geldt voor een website, maar ook voor apps of andere diensten. De AVG stelt strenge eisen aan geldige toestemming. Een van de eisen is dat de toestemming vrij moet zijn gegeven. Toestemming wordt geacht niet vrij te zijn gegeven als de bezoeker geen echte of vrije keuze heeft, of het weigeren van de toestemming nadelige gevolgen heeft. Volgens de AP is er bij een cookiewall geen sprake van vrije toestemming. Immers, als toestemming wordt geweigerd, krijg je geen toegang tot de website. De ‘take it or leave it’ is geen echte of vrije keuze en er kan dus niet worden geweigerd zonder nadelige gevolgen. Hierdoor staan mensen volgens de AP onder druk hun persoonsgegevens af en dat is onrechtmatig.

Terecht verbod?

Over de vraag of cookiewalls onder alle omstandigheden ontoelaatbaar zijn valt te twisten. Zo bepaalt de Telecommunicatiewet dat een cookiewall enkel verboden is voor overheidswebsites. Ook in de aankomende ePrivacy Verordening worden cookiewalls naar verwachting niet als zodanig, maar slechts in bepaalde gevallen ontoelaatbaar geacht. Bijvoorbeeld als er geen of weinig andere keuze is dan gebruik te maken van die specifieke website. Bovendien is de uitleg van de AP niet in lijn met de Conclusie van de Advocaat Generaal van het Europese Hof van Justitie in de Planet49 zaak (C-673/17; ECLI:EU:C:2019:246). In deze zaak mocht de toestemming voor het verwerken van persoonsgegevens wel als voorwaarde worden gesteld in ruil voor de toegang tot een dienst (het zonder betaling meedoen met een loterij). Hier valt een vergelijking te trekken met de toestemming bij cookiewalls op websites.

Het is al met al dus nog maar de vraag of het standpunt van de AP op langere termijn stand zal houden. Dit neemt echter niet weg dat we op dit moment te maken hebben met de strikte uitleg van de AP. Dit creëert op zijn minst juridische onzekerheid. De AP heeft al aangegeven dat zij de controle op de juiste naleving zal intensiveren en heeft een aantal specifieke partijen hier al een brief over gestuurd.

Toestemming vragen zonder cookiewall

Hoe kan er dan wel om toestemming worden gevraagd? Bezoekers of gebruikers moeten de mogelijkheid hebben om tracking cookies te weigeren. Dit kan bijvoorbeeld door het gebruik van een informatiebalk of pop-up met een duidelijke keuze tussen ‘ja’ en ‘nee’. Verwijzen naar bijvoorbeeld de algemene voorwaarden of een privacyverklaring is onvoldoende. Hetzelfde geldt als ervan wordt uitgegaan dat toestemming wordt gegeven als wordt doorgegaan met het gebruik van de website nadat een informatiebalk in beeld is verschenen. Ook leveren volgens de AP vooraf aangevinkte selectievakjes voor het accepteren van cookies geen geldige toestemming op. Dit laatste volgt ook uit de Conclusie van de AG in de Planet49 zaak. Belangrijk is verder dat er nog geen tracking cookies (of analytische cookies die gevolgen hebben voor de privacy) worden geplaatst voordat de bezoeker hierover is geïnformeerd en een keuze heeft gemaakt.

Indien u vragen heeft over het gebruik van cookies en het op de juiste manier informeren en vragen om toestemming, kunt u contact opnemen met Richella Soetens (advocaat IE, IT & Privacy)

Het Gerecht van de Europese Unie heeft vorige week bevestigd dat de registratie van het woordmerk NEYMAR door een derde partij ongeldig is. In deze zaak had een Portugese zakenman in 2012 een aanvraag gedaan om de naam Neymar te registreren als merk bij het Bureau voor intellectuele eigendom van de EU (EUIPO). Neymar Da Silva Santos Júnior, zoals de wereldberoemde voetballer volledig heet, tekende vier jaar later bezwaar aan. Het EUIPO gaf de voetballer gelijk en oordeelde dat de zakenman de naam niet mocht deponeren als merk, waarop deze naar de Europese rechter is gestapt.

Merkdepot te kwader trouw?

Volgens de Europese Uniemerkenverordening[1] dient een depot van een merk nietig te worden verklaard, wanneer de aanvrager van de registratie (in deze zaak de Portugese zakenman) te kwader trouw handelde ten tijde van het deponeren van het merk. De definitie van ‘te kwader trouw’ is niet vastgelegd in bestaande wet- en regelgeving, maar dient aan de hand van jurisprudentie geïnterpreteerd te worden. Het Europese Hof van Justitie biedt in haar arrest van 2009 (Chocoladefabriken Lindt & Sprüngli)[2], enige houvast over de manier waarop het begrip moet worden uitgelegd. Om te bepalen of de aanvrager van de registratie te kwader trouw handelde in de zin van eerdergenoemd Verdrag, dient rekening te worden gehouden met alle relevante factoren van het concrete geval, met name:

  1. het feit dat de aanvrager weet of behoort te weten dat een derde in ten minste één lidstaat, een gelijk of overeenstemmend teken gebruikt voor dezelfde of een soortgelijke waar, waardoor verwarring kan ontstaan met het teken waarvoor inschrijving is aangevraagd;
  1. het oogmerk van de aanvrager om die derde het verdere gebruik van dit teken te beletten, en
  1. de omvang van de rechtsbescherming die het teken van de derde en het teken waarvoor inschrijving is aangevraagd, genieten.

Het EUIPO vs. De Portugese Zakenman

Het Gerecht stelt in de huidige zaak dat het van belang is om vast te stellen dat de vermeende kwade trouw moet hebben bestaan op het tijdstip waarop de aanvraag tot inschrijving van het betwiste merk ‘NEYMAR’ werd ingediend, namelijk op 17 december 2012. Het EUIPO voerde eerder aan dat de Portugese zakenman wist dat Neymar een rijzende ster was in het voetbal, waarvan het talent internationaal erkend was ten tijde van het depot. Tevens zou de zakenman geen ander motief hebben gehad dan misbruik maken van de bekendheid van de voetballer om er profijt van te trekken. De zakenman voert aan dat ten tijde van het depot, voetbal-liefhebbend Europa nog geen kennis had van de kunsten van de Braziliaanse voetballer. Neymar maakte zijn debuut bij FC Barcelona namelijk pas in 2013, ná de datum van indiening van het merk. De zakenman betoogt verder dat hij de naam ‘Neymar’ uitsluitend had gekozen omdat het lekker in de mond zou klinken en heeft daarbij op geen enkel moment aan het imago van de voetballer gedacht.

Uitspraak Gerecht EU

Het Gerecht merkt op dat uit het besluit van het EUIPO blijkt dat Neymar reeds op de depotdatum in Europa bekend was, met name voor zijn prestaties voor het Braziliaanse nationale voetbalteam, en dat hij tussen 2009 en 2012 veel publiciteit had genoten. Neymar werd dus al erkend als een veelbelovende voetballer – nadat hij de aandacht had getrokken van vooraanstaande Europese clubs met het oog op toekomstige aanwervingen – enkele jaren vóór zijn daadwerkelijke transfer naar FC Barcelona. Bovendien kan aangenomen worden dat de zakenman ten tijde van de aanvraag beschikte over genoeg kennis van de voetbalwereld, onder andere vanwege het feit dat hij een aanvraag tot inschrijving van het woordmerk ‘IKER CASILLAS’ had ingediend op dezelfde dag waarop de aanvraag om inschrijving van het betwiste merk was ingediend.

Het argument van de zakenman ten aanzien van het louter gekozen hebben van de naam ‘NEYMAR’ vanwege de fonetiek van het woord en niet als verwijzing naar de voetballer, veegt het Gerecht van tafel. De bekendheid van de voetballer in de voetbalwereld, ook in Europa, en het feit dat de zakenman over meer dan een beetje kennis van de voetbalwereld beschikte ten tijde van het depot, liggen hieraan ten gronde. Het Gerecht benadrukt dat het merk alleen uit het woordelement ‘NEYMAR’ bestaat, dat identiek is aan de naam waaronder de Braziliaanse voetballer internationale bekendheid verwierf in de voetbalwereld. Het Gerecht concludeert dan ook ten aanzien van het te kwader trouw-handelen van de zakenman:

The Board of Appeal was indeed entitled to deduct, without committing an error, from the particular circumstances of the present case that the real purpose of the commercial logic behind the applicant’s application for registration of an EU trade mark was to ‘free-ride’ on the intervener’s reputation and take advantage of that reputation’.

Wat nu?

Tegen het vonnis van het Gerecht bestaat nog een beroepsmogelijkheid bij het Europese Hof van Justitie. Of deze zaak voldoet aan de hiervoor geldende formele eisen – en of de Portugese Zakenman deze kwestie überhaupt wenst door te zetten, moet nog blijken.

Teun Pouw
Advocaat IE-/IT-recht en BMM-merkengemachtigde

(met dank aan student-stagiaire Ge’ez Engidashet)

 

[1] Artikel 2.2bis lid 2 Verordening nr. 2017/1001

[2] HvJ Chocoladefabriken Lindt & Sprüngli, 11 juni 2009, C-529/07, EU:C:2009:361

In mijn eerdere blog van 4 februari 2019 ben ik ingegaan op de verantwoordingsplicht (ofwel “accountability”). De verantwoordingsplicht is een belangrijke pijler van de nieuwe privacywetgeving. Dit houdt in dat de wet de verantwoordelijkheid bij organisaties legt om aan te tonen dat de organisatie voldoet aan de wet. Een van de maatregelen in het kader van de verantwoordingsplicht is het bijhouden van een verwerkingsregister. Is het nu wettelijk verplicht een verwerkingsregister op te stellen? Hieronder zal op deze vraag worden ingegaan.

Artikel 30 AVG

In artikel 30 lid 5 AVG valt te lezen dat ondernemingen of organisaties niet verplicht zijn een verwerkingsregister bij te houden indien:

de onderneming of organisatie  minder dan 250 personen in dienst heeft, “tenzij het waarschijnlijk is dat de verwerking die zij verrichten een risico inhoudt voor de rechten en vrijheden van de betrokkenen, de verwerking niet incidenteel is, of de verwerking bijzondere categorieën van gegevens, als bedoeld in artikel 9, lid 1, of persoonsgegevens in verband met strafrechtelijke veroordelingen en strafbare feiten als bedoeld in artikel 10 betreft”.

Wat houdt dit nu concreet in? Concreet betekent dit dat u geen verwerkingsregister hoeft bij te houden indien uw organisatie minder dan 250 medewerkers heeft. U bent als organisatie met minder dan 250 medewerkers weer wél wettelijk verplicht een verwerkingsregister bij te houden indien:

Vooral het feit dat in de praktijk vrijwel nooit sprake is van een incidentele verwerking, betekent dat vrijwel iedere organisatie wettelijk verplicht is een verwerkingsregister bij te houden.

Position paper Europese privacytoezichthouders

 De Europese privacytoezichthouders hebben een Position paper uitgebracht waarin zij nader ingaan op de hierboven genoemde wettelijke uitzonderingen (zie hier link naar de Position paper on the derogations from the obligation to maintain records of processing activities pursuant to Article 30(5) GDPR). Hierin wordt nog eens benadrukt dat organisaties met minder dan 250 medewerkers alleen een verwerkingsregister hoeven bij te houden voor “the types of processing mentioned by Article 30(5)”. Deze toelichting lijkt overbodig, eenvoudigweg omdat dit reeds voortvloeit uit de tekst van artikel 30 lid 5 AVG. De Europese privacytoezichthouders illustreren de wettelijke regeling met een aantal voorbeelden:

“For example, a small organisation is likely to regularly process data regarding its employees. As a result, such processing cannot be considered “occasional” and must therefore be included in the record of processing activities. Other processing activities which are in fact “occasional”, however, do not need to be included in the record of processing activities, provided they are unlikely to result in a risk to the right and freedoms of data subjects and do not involve special categories of data or personal data relating to criminal convictions and offences”.

Conclusie

Ook ondernemingen met minder dan 250 medewerkers zijn doorgaans verplicht een verwerkingsregister bij te houden. Uit artikel 30 lid 4 AVG volgt dat deze ondernemingen dan ook verplicht zijn het verwerkingsregister desgevraagd ter beschikking te stellen indien de toezichthoudende autoriteit daarom vraagt.

Wilt u weten hoe u een verwerkingsregister moet opstellen of bijhouden? Neem dan contact op met n.vanduuren@declercq.com of 06-54983766.

In mijn blog van 14 januari 2019 schreef ik dat het opstellen van een privacybeleid niet voor alle organisaties verplicht is. Het opstellen van een gegevensbeschermingsbeleid is op grond van artikel 24 lid 2 AVG verplicht “wanneer zulks in verhouding staat tot de verwerkersactiviteiten”. “Wanneer zulks in verhouding staat” is volgens de toelichting op de wet afhankelijk van de aard, de omvang en het doel van de gegevensverwerking. Tevens ben ik ingegaan op de eisen die aan een privacybeleid worden gesteld. De Autoriteit Persoonsgegevens heeft deze maand zes aanbevelingen gedaan om een privacybeleid goed in te richten. Hieronder wordt nogmaals op de wettelijke eisen waaraan een privacybeleid moet voldoen ingegaan en wordt tevens besproken welke aanbevelingen de Autoriteit Persoonsgegevens heeft gedaan.

Wettelijke eisen privacybeleid

De wet zelf bevat geen opsomming van eisen waaraan het privacybeleid moet voldoen. Uit artikel 24 lid 1 AVG valt af te leiden dat het privacybeleid moet kunnen aantonen dat u persoonsgegevens verwerkt conform de wet. Wat betekent dit nu concreet? Dit betekent dat u in het beleid in ieder geval de volgende informatie dient op te nemen:

Aanbevelingen Autoriteit Persoonsgegevens

Zoals ik in mijn eerdere blog van 14 januari schreef, heeft de Autoriteit Persoonsgegevens het privacybeleid gecontroleerd van een aantal bloedbanken, IVF-klinieken en de politieke partijen. Uit dit verkennende onderzoek is naar zeggen van de Autoriteit een “wisselend beeld” naar voren gekomen. Reden dat zij thans zes aanbevelingen doet voor de inrichting van een privacybeleid. Deze aanbevelingen luiden als volgt:

Beoordeel of de organisatie verplicht is om een gegevensbeschermingsbeleid in te richten; niet iedere organisatie is dit verplicht. Dit is afhankelijk van de verwerking of uw organisatie.

  1. Gebruik interne en/of externe expertise; de functionaris gegevensbescherming kan hier als adviseur en intern toezichthouder een belangrijke rol in spelen.
  2. Leg het beleid vast in één document; voorkom versnippering van informatie in een privacyverklaring, een verwerkingsregister en een beleid.
  3. Wees concreet; een gegevensbeschermingsbeleid is een concrete vertaalslag van de AVG-normen naar de gegevensverwerkingen van een organisatie. Normen uit de AVG herhalen is niet voldoende.
  4. Maak het beleid bekend; publicatie van het gegevensbeschermingsbeleid is niet verplicht, maar maakt voor betrokkenen wel inzichtelijk hoe een organisatie met persoonsgegevens omgaat. Let bij de publicatie wel op met informatie over de beveiliging.
  5. Niet verplicht? Toch raadzaam; met een gegevensbeschermingsbeleid toont een organisatie aan de persoonsgegevens van betrokkenen te willen beschermen.

Heeft u hulp nodig bij het opstellen van een privacybeleid dat voldoet aan de wettelijke eisen en de aanbevelingen van de Autoriteit in acht neemt? Neem dan contact op met één van onze privacy specialisten: n.vanduuren@declerq.com of 06-54983766.

Na het doorlopen van een meervoudig onderhandse aanbestedingsprocedure was de verliezende inschrijver het niet eens met de uitkomst. Reden: na zijn verlies vond de inschrijver dat de opdracht eigenlijk toch Europees had moeten worden aanbesteed wegens overschrijding van de drempelwaarde. Tot zover weinig verrassends.

De aanbestedende dienst stelde zich op het standpunt dat de verliezende inschrijver geen recht meer had om te klagen. Van inschrijvers mag een proactieve houding worden verwacht, bij gebreke waarvan rechtsverwerking kan optreden.

In eerdere blogs heb ik al aangeven dat het zogenaamde Grossmann-verweer niet geldt bij niet-Europese aanbestedingen. De Europese richtlijn die in dat arrest werd getoetst speelt in dergelijke gevallen geen rol.

Wat resteert dan nog? De redelijkheid en billijkheid. Dit brengt mee dat een inschrijver zijn bezwaren in een zo vroeg mogelijk stadium aan de orde stelt, zodat eventuele onregelmatigheden in de aanbestedingsprocedure kunnen worden gecorrigeerd met zo weinig mogelijk gevolgen voor het verdere verloop van de aanbestedingsprocedure. Zeer vergelijkbaar dus met het Grossmann-criterium.

Na uitvoerige overweging oordeelde de rechter dat alsnog mocht worden geklaagd. Het niet meer kunnen klagen zou ertoe leiden dat de Europese aanbestedingsplicht kan worden omzeild. Dat zou zeer onwenselijk zijn, aldus de rechter (ECLI:NL:RBMNE:2019:1299). De voorgenomen gunningsbeslissing moet worden ingetrokken.

De vraag is waarom de klagende partij in deze kwestie kiest voor de onzekere route van een beroep op de redelijkheid en billijkheid. De uitkomst zou vaststaan wanneer zou zijn gekozen voor de route van artikel 4.15 Aanbestedingswet dat de mogelijkheid geeft om tot vernietiging over te gaan van een aanbestedingsplichtige overeenkomst die niet Europees is aanbesteed.

Menno de Wijs, advocaat aanbestedingsrecht

Op 25 mei 2019 is het precies één jaar geleden dat de veelbesproken Algemene verordening gegevensbescherming (AVG) van toepassing werd. Onlangs publiceerde de Autoriteit Persoonsgegevens (AP) tevens haar jaarverslag over 2018. Tijd de balans op te maken. Wat is de opbrengst geweest van één jaar AVG? Zijn er hoge boetes uitgedeeld? Voor wat voor soort overtredingen? En waar moet u in 2019 op letten?

Jaarverslag 2018

2018 was voor de AP een hectisch jaar, zo mag uit het jaarverslag gerust worden opgemaakt. Niet alleen werd daarin de AVG van toepassing, ook nam de AP veel nieuwe medewerkers aan en werd een nieuwe organisatiestructuur opgetuigd en geïmplementeerd.

De AP geeft aan dat zij er bewust voor heeft gekozen in 2018 de nadruk te leggen op het bevorderen van de naleving van de privacyregels. Enerzijds door veel te investeren in voorlichting en advisering. Anderzijds door bij overtredingen eerder te zoeken naar het beëindigen van de overtreding dan naar het sanctioneren daarvan.

Enkele in het oog springende cijfers over 2018:

Vergelijking met voorgaande jaren

Als we deze cijfers vergelijken met die van voorgaande jaren dan levert dat onderstaand beeld op. Het aantal datalekmeldingen is sinds de introductie van deze verplichting in 2016 explosief gestegen. Handhaving en sanctionering van overtredingen (waaronder het opleggen van boetes) nemen vooralsnog mondjesmaat toe.

  2014 2015 2016 2017 2018
Datalekmelding 5.700 10.009 20.881
Handhavingstraject 13 17 20 20 17
Boete 0 0 0 0 1
Incasso/invordering 0 0 0 1 2

Elders in Europa

Hoe stellen de toezichthouders elders in Europa zich op? In verschillende lidstaten zijn inmiddels de eerste boetes opgelegd voor overtredingen van de AVG. Hieronder treft u een bloemlezing aan:

Wat brengt 2019?

In haar jaarverslag stelt de AP nadrukkelijk dat de focus in 2019 zal verschuiven van voorlichting naar handhaving. In 2019 zal steviger worden ingezet op handhaving. Waar de AP bij de afhandeling van een klacht nu nog vaak aanstuurt op het beëindigen van de (mogelijke) overtreding, zal zij in 2019 vaker overgaan tot onderzoek en het opleggen van sancties. Als aandachtsgebieden voor 2019 noemt de AP i) de beveiliging en grondslagen voor verwerking van persoonsgegevens in de zorg, ii) niet-gemelde datalekken en iii) handel in persoonsgegevens.

Heeft u vragen over de AVG of aanverwante wet- en regelgeving, neem dan contact op met Jeroen van Helden (j.vanhelden@declercq.com of 071-5815310).

*De overtredingen dateren vaak uit het pre-AVG tijdperk en zijn dus beoordeeld en gesanctioneerd volgens de Wet bescherming persoonsgegevens en niet volgens de AVG.

Op 26 maart jl. heeft het Europees Parlement ingestemd met de nieuwe Europese Auteursrechtrichtlijn[1]. Wat houdt deze Richtlijn in en wat gaat er veranderen?

Het beoogde doel van deze Richtlijn is het auteursrecht moderniseren en zorgen voor een betere bescherming van de auteur wanneer het werk op het internet verschijnt. Er zijn twee veranderingen die het meeste opvallen. Deze zijn neergelegd in artikel 15 en 17 van de Richtlijn.

Artikel 15 van de Richtlijn introduceert een bescherming voor uitgevers van online perspublicaties, die door derden voor commerciële doeleinden worden gebruikt.[2] De bescherming ziet op de perspublicatie als geheel. De link naar de originele publicatie mag wel worden gedeeld, net als losse woorden of zeer korte fragmenten.[3] Ook publicaties die door particulieren zijn gepubliceerd vallen buiten deze regeling. Deze regeling wordt ook wel de ‘linktaks’ genoemd, omdat er dus een verplichting komt om de uitgever een vergoeding te betalen voor het gebruik van de online perspublicaties.  Dit recht geldt voor de uitgever en heeft een duur van twee jaar.[4]

De regeling zou onder andere bedoeld zijn om Google een eerlijke vergoeding te laten betalen voor gebruik van publicaties op de Google News-dienst. Andere kleinere diensten zullen het door deze regeling wellicht moeilijk krijgen. Daarnaast is in Duitsland al een dergelijke linktaks van kracht die niet effectief bleek te zijn tegen Google. Google dwong bij uitgevers een licentie-om-niet af en kan hierdoor nog steeds gratis gebruik maken van de publicaties. Wat de directe uitwerking van dit artikel zal zijn, zal moeten worden afgewacht.

Op grond van artikel 17 van de Richtlijn worden de platformen die online content aanbieden aansprakelijk voor inbreuken in de content van hun gebruikers. Dit houdt in dat de aansprakelijkheid wordt verlegd van de – meestal on-traceerbare – gebruiker, naar het platform. Het platform dient in de toekomst dus een licentie af te sluiten voor het gebruik van het werk op het platform. Met een dergelijke licentie verleent de auteur toestemming voor het gebruik op het platform en voor de gebruikers van dat platform[5]. Indien een dergelijke toestemming ontbreekt kan het platform aansprakelijk worden gehouden door de auteur. Zij kunnen onder de aansprakelijkheid uitkomen door aan te tonen dat er alles aan is gedaan om toestemming te verkrijgen, er alles aan is gedaan om de werken niet beschikbaar te stellen en door na een gemotiveerde melding van de auteur alle inbreuk makende werken direct te verwijderen en nieuwe uploads te voorkomen[6]. Om dit te bewerkstelligen dienen platforms een doeltreffend en snel klachtenmechanisme op te richten, dat beschikbaar is voor de gebruikers en de auteurs.[7] Hiernaast moet een buitengerechtelijke geschillenoplossing worden ingericht en moet de toegang tot de rechter gewaarborgd blijven.

De wetgever hoopt met deze maatregelen dat de auteur een eerlijkere vergoeding krijgt voor zijn werk dat op het internet verschijnt. Auteursrechtorganisaties zijn blij met deze verandering, nu een eerlijkere vergoeding in zicht is. Er is echter ook veel kritiek vanuit de praktijk. Deze constructie zou namelijk leiden tot een ‘uploadfilter’ is de vrees. Indien het een platform niet lukt om een licentie te sluiten, lopen zij immers het risico op een schadeclaim. Om deze te voorkomen is de kans aanwezig dat zij een uploadfilter zullen instellen waardoor de uploads gemonitord, gefilterd en eventueel geblokkeerd zullen worden. De kritiek luidt onder andere dat allerlei eigen creaties (bijvoorbeeld van muzikanten die niet bij Buma-Stemra zijn aangesloten) hier hinder van zullen ondervinden. Hetzelfde geldt bijvoorbeeld voor parodieën (thans in Nederland toegestaan op grond van de Auteurswet) en zogenaamde ‘vrije werken’ (waarvan de maker reeds meer dan 70 jaar dood is, wat bijvoorbeeld bij klassieke muziek vaak het geval is). Of deze uploadfilter er werkelijk zal komen en of deze nadelig uit zal pakken voor gebruikers, zal de tijd moeten leren. De lidstaten van de EU krijgen twee jaar de tijd om de Richtlijn te implementeren.

Teun Pouw

Advocaat IE-/IT-recht en BMM-merkengemachtigde

[1] Voorstel van Richtlijn (EU)  http://www.europarl.europa.eu/doceo/document/A-8-2018-0245-AM-271-271_NL.pdf?redirect

[2] Art. 15 lid 1 Auteursrechtrichtlijn

[3] Art. 15 lid 1 Auteursrechtrichtlijn, 3e en 4e alinea

[4] Art. 15 lid 4 Auteursrechtrichtlijn

[5] Art. 17 lid 2 Auteursrechtlichtlijn

[6] Art. 17 lid 4 Auteursrechtlichtlijn

[7] Art. 17 lid 9 Auteursrechtlichtlijn

Tussen het (radicale) netwerkmodel van de blockchain en de beginselen van het privacyrecht bestaat enige spanning. Het feit dat deelnemers aan een blockchain vaak niet onder eigen naam, maar onder pseudoniem deelnemen aan het netwerk kan deze spanning niet geheel oplossen, omdat de AVG ook van toepassing is op pseudonieme gegevens. Dat was kort gesteld de conclusie van de twee eerdere blogs die ik aan het onderwerp privacy en blockchain wijdde. In dit derde blog besteed ik aandacht aan de eerste analyses van privacy waakhonden en andere kennisinstituten ten aanzien van dit onderwerp.

De Franse toezichthouder

In september 2018 publiceerde de Franse privacywaakhond, CNIL, als eerste Europese privacy toezichthouder een analyse van de relatie tussen privacy en blockchain. Het rapport is interessant vanwege de concrete suggesties die de toezichthouder doet. Ook is het rapport interessant omdat daaruit is af te leiden dat de toezichthouder bereid is zich creatief op te stellen.

In het rapport onderkent CNIL dat de beginselen van het privacyrecht in feite zijn bedoeld voor centrale spelers bij de verwerking van persoonsgegevens. Toepassing van deze beginselen op een gedistribueerd netwerk is dus een complexe aangelegenheid. CNIL wijst onder meer op het feit dat eenmaal op de blockchain opgeslagen data in beginsel niet meer gewijzigd kunnen worden.

CNIL kiest voor een creatieve inslag. Zo stelt zij dat data op een blockchain mogelijk dusdanig versleuteld zouden kunnen zijn, dat deze, na het vernietigen van de sleutel, als ‘quasi-verwijderd’ in de zin van de privacywetgeving kunnen gelden.

Ook doet de toezichthouder concrete suggesties voor de verdeling van rollen en verantwoordelijkheden op de blockchain. Zo zou een gebruiker die een transactie voorstelt aan een blockchain netwerk moeten worden beschouwd als verwerkingsverantwoordelijke. Deze bepaalt immers het doel van en de middelen voor de transactie. Een uitzondering zou gelden voor een natuurlijk persoon die niet handelt voor professionele of commerciële doeleinden, aangezien deze zich zou kunnen beroepen op de uitzondering voor zuiver persoonlijke of huishoudelijke activiteiten.

Miners zouden onder omstandigheden moeten worden aangemerkt als verwerker, maar in ieder geval niet als verwerkingsverantwoordelijke, aangezien hun taak beperkt is tot het valideren van transacties, zonder het doel of de middelen voor die transacties te bepalen.

In het geval van een private blockchain raadt CNIL aan een specifieke verwerkingsverantwoordelijke aan te wijzen, bijvoorbeeld in de vorm van een gezamenlijk op te richten rechtspersoon. Gebeurt dat niet, dan is sprake van gezamenlijke verantwoordelijkheid en moeten partijen, overeenkomstig art. 26 AVG, op transparante wijze hun respectievelijke verantwoordelijkheden vastleggen.

European Union Blockchain Observatory and Forum

In oktober 2018 publiceerde het European Union Blockchain Observatory and Forum een rapport over blockchain en de AVG. In het rapport tref je dezelfde houding aan als CNIL aanneemt, namelijk enerzijds het onderkennen van bepaalde knelpunten en anderzijds de bereidheid de flexibiliteit van de privacywetgeving te benutten. Waar het CNIL rapport verder concrete suggesties doet, wijst het forum er vooral op dat het niet mogelijk is in algemene zin te wijzen op een blockchaintechniek die AVG-compliant is. Steeds zal op een case-by-case basis moeten worden bekeken of een blockchain-toepassing voldoet aan de AVG.

Die genuanceerde positie volgt in belangrijke mate uit het feit dat blockchains op uiteenlopende manieren geïmplementeerd kunnen worden (om die reden is het feitelijk ook lastig om over ‘de blockchain’ te spreken). Bij een private en/of permissioned blockchain bestaan mogelijkheden om verschillende rechten toe te kennen aan gebruikers. Algemeen wordt onderkend dat hiermee eenvoudiger aan de AVG kan worden voldaan. Een andere mogelijkheid is het opslaan van persoonsgegevens off-chain, waarbij de persoonsgegevens buiten de blockchain worden opgeslagen en de blockchain zelf alleen een verwijzing naar (het bestaan van) de data bevat.

Verder is het belangrijk op te merken dat de ontwikkeling van blockchains nog volop gaande is. Zo bestaan er in de markt initiatieven voor een private blockchain waarbij het wél mogelijk is de inhoud van de blokken aan te passen. Een collectief onder de naam Zerocash werkt aan een privacy-vriendelijke blockchain voor een cryptomunt waarbij met behulp van zero-knowledge proofs herkomst, bestemming en het bedrag van een transactie kunnen worden afgeschermd. Recent berichtten twee Nederlandse bedrijven over het realiseren van een off-chain blockchaintoepassing.

Tot slot

De eerste analyses bevestigen het beeld dat blockchain en privacy moeizaam samen gaan. Dat betekent echter niet dat de toepassing van (publieke) blockchains door de AVG de nek om wordt gedraaid, zoals wel is beweerd. Enerzijds is blockchaintechniek nog volop in ontwikkeling en wordt op allerlei manieren gewerkt aan privacy-vriendelijker toepassingen. Anderzijds kent de AVG de nodige flexibiliteit. De eerste signalen zijn daar dat toezichthouders bereid zijn om die flexibiliteit te benutten. Ontwikkelaars van (publieke) blockchain-applicaties zullen wel hun best moeten doen. Zij zullen zorgvuldig moeten nadenken over hun applicaties en zij zullen moeten kunnen beargumenteren waarom hun oplossingen vanuit privacy-perspectief effectiever zijn dat de beschikbare alternatieven.

Kan iedereen een “dierennootje” op de markt brengen en kan het patroon op borrelnootjes een geldig merk zijn? Onder andere deze vragen lagen voor bij de rechtbank Gelderland in een merkenrechtelijk geschil over borrelnootjes. [1]

De feiten

Frito-Lay verhandelt borrelnootjes onder de naam Tijgernootjes. Zij beschikt in dit verband over  het woordmerk TIJGERNOOTJES[2]. Tevens beschikt zij over enkele vormmerken[3]:

Bron: https://www.boip.int/nl/merkenregister , registratienummer: 0733872

Bron: https://www.boip.int/nl/merkenregister , registratienummer: 0733871

De beschrijving bij deze vormmerken luidt:

Onderscheidend is het karakteristieke geschakeerde kleurpatroon, zoals aangebracht op de waren, met gebruikmaking van de kleuren oranje/bruin en geel.”

Hiermee poogt Frito-Lay niet zozeer de vorm van de nootjes te beschermen als wel het geschakeerde kleurpatroon in de kleuren oranje, bruin en geel.

Frito-Lay bezat ook een octrooi op de wijze van vervaardigen van de nootjes, maar deze is inmiddels verlopen.[4]

Intersnack verhandelt nootjes met de naam “Girafnootjes”, welke enkel worden verkocht bij de Aldi. Frito-Lay is van mening dat Intersnack inbreuk maakt op haar merkrechten en vordert daarom een verbod op de verhandeling van de Girafnootjes. Zij doet hierbij zowel een beroep op haar woordmerk als op haar vormmerken.

Het juridisch kader

De naam: geen inbreuk

Over het verwarringsgevaar met betrekking tot het woordmerk ‘TIJGERNOOTJES’ is de rechtbank kort. Volgens haar bestaat er onvoldoende overeenstemming tussen het merk TIJGERNOOTJES en de naam GIRAFNOOTJES. Frito-Lay had aangevoerd dat er een hoge mate van begripsmatige overeenstemming bestaat tussen het bestanddeel “TIJGER” en het bestanddeel “GIRAF”, omdat het beiden “exotische wilde dieren met geelbruine huid met camouflagepatroon” betreft. De rechtbank acht de begripsmatige overeenstemming echter zeer gering en hecht meer waarde aan de auditieve en visuele verschillen tussen beide merken. Zij gaat niet mee met de stelling van Frito-Lay en acht geen gevaar voor verwarring aanwezig: geen inbreuk op de merknaam dus.

De vormmerken: wel inbreuk

Intersnack stelt onder andere dat geen nootje identiek is als gevolg van de bereidingsmethode en dat de vorm/kleur daarom niet beschermd kan worden. Bovendien stelt zij dat de vormmerken – zoals gedeponeerd in het merkenregister (zie hierboven) – niet voldoende duidelijkheid bieden ten aanzien van de vraag waarop de merkenrechtelijke bescherming eigenlijk ziet. Hier gaat de rechtbank niet in mee.

Ten aanzien van het eerste argument oordeelt de rechtbank dat het betreffende patroon weliswaar onregelmatig is, maar voldoende karakteristieke, terugkerende elementen bevat om herkenbaar te zijn voor het in aanmerking komende publiek. Het wisselende uiterlijk vormt dus geen beletsel om een merk te kunnen zijn. Ten aanzien van het tweede argument wijst de rechtbank erop dat de grafische voorstelling in het merkenregister “als zodanig volledig, gemakkelijk toegankelijk, ondubbelzinnig, nauwkeurig, alsmede objectief en begrijpelijk [moet] zijn” (HvJ EG 12 december 2002, ECLI:EU:C:2002:748, Sieckmann). Hier wordt volgens de rechtbank aan voldaan.

Samengevat

De rechtbank oordeelt aldus dat er geen sprake is van merkinbreuk ten aanzien van de merknaam TIJGERNOOTJES, maar wel ten aanzien van het uiterlijk van de nootjes. De rechtbank wijst zelfs de gevorderde vernietiging van de nootjes toe, al geeft zij partijen nog een periode van drie maanden de gelegenheid om een andere oplossing te vinden voor de (bestemming van de) nootjes.

Interessant aan deze uitspraak is onder andere dat de rechtbank de vordering heeft afgewezen, mede omdat zij slechts “een zeer beperkte mate van begripsmatige overeenstemming” aanwezig achtte tussen de beide namen. De vraag rijst dan ook of dit oordeel anders was geweest in het geval van “PANTERNOOTJES” of een ander roofdier die behoort tot de familie van grote katachtigen (net als de tijger: de Panthera Tigris). Waar ligt de grens? Tevens komt de rechtbank op basis van dezelfde bevinding (“een zeer beperkte mate van begripsmatige overeenstemming”) tot het oordeel dat er geen ongerechtvaardigd voordeel wordt getrokken aan (of afbreuk wordt gedaan aan) het onderscheidend vermogen van het merk TIJGERNOOTJES (in de zin van artikel 2.20 lid 1 sub c BVIE). Dit lijkt de veronderstelling in zich te herbergen dat de naam GIRAFNOOTJES is bedacht helemaal los van de bekendheid met de naam TIJGERNOOTJES. Wat denkt u?

Ook ten aanzien van het wel beschermde uiterlijk van de nootjes valt het nodige op te merken. Het zou me dan ook niet verbazen als deze uitspraak een vervolg krijgt in hoger beroep. In dat geval houd ik u uiteraard op de hoogte.

Teun Pouw
Advocaat IE-recht en BMM-merkengemachtigde

—————————————————————————————————————————————————————

[1] Rechtbank Gelderland, 27 maart 2019, Zaaknummer: NL18.8989

[2] Bron: https://www.boip.int/nl/merkenregister , registratienummer: 0523249

[3] Bron: https://www.boip.int/nl/merkenregister , registratienummer: 0733872; 0733871; 0524591; 06984448; 929554

[4] NL9300160 en EP0608950

Bij overtreding van de AVG kan de Autoriteit Persoonsgegevens (hierna: AP) een boete opleggen. Deze boetes zijn met de inwerkingtreding van de AVG in mei vorig jaar fors verhoogd. De AP heeft haar boetebeleidsregels aangepast en op 14 maart 2019 gepubliceerd in de Staatscourant.

Welke factoren spelen nu een rol bij het vaststellen van de hoogte van de boete?

  1. Wettelijk boetemaximum

Allereerst houdt de AP rekening met het maximale boetebedrag dat in de AVG is vermeld. Er zijn maximale boetebedragen voor twee soorten overtredingen vastgesteld.

Gaat het om het niet-naleven van bepaalde verplichtingen uit de AVG, dan kan de AP een boete op leggen van maximaal 10 miljoen euro of maximaal 2% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen. Denk bijvoorbeeld aan het niet hebben of bijhouden van een verwerkingsregister.

Gaat het om het overtreden van een van de beginselen of grondslagen van de AVG of het schenden van privacyrechten van betrokkenen, dan kan de boete oplopen tot maximaal 20 miljoen euro of maximaal 4% van de wereldwijde jaaromzet van een onderneming, mocht dat bedrag hoger uitkomen.

  1. Boetecategorieën

Vervolgens houdt de AP rekening met de indeling die zijn heeft gemaakt op grond van door de zwaarte en ernst van de geschonden norm en de verhouding tot de andere normen in het gegevensbeschermingsrecht. Overtredingen zijn ingedeeld in 3 of 4 boetecategorieën. Elke boetecategorie is vervolgens gekoppeld aan een bepaalde boetebandbreedte van een minimum- en een maximumbedrag. Binnen deze bandbreedtes heeft de AP een bedrag vastgelegd, dat als uitgangspunt voor de berekening van de boete wordt gehanteerd.

  1. Boeteverhogende of – verlagende factoren

Voorts kan de AP besluiten een aantal boeteverhogende of –verlagende factoren in acht te nemen. Denk bijvoorbeeld aan de aard, ernst en duur van de overtreding, het aantal betrokkenen, de omvang van de schade en of sprake is van recidive. Ook de financiële omstandigheden van de overtreder, kan door de AP worden meegenomen.

Het behoeft geen betoog dat u te allen tijde moet voorkomen dat een boete wordt opgelegd. Breng in kaart welke persoonsgegevens u verwerkt, welke rol u daarbij inneemt (verwerkingsverantwoordelijke of verwerker) en aan welke wettelijke verplichtingen u moet voldoen.

Heeft u naar aanleiding van het bovenstaande vragen of heeft u hulp nodig bij het in kaart brengen van uw wettelijke verplichtingen en/of het opstellen van de juiste documenten? Neem dan contact op met een van onze privacyspecialisten (n.vanduuren@declercq.com of 071-5815356).