Advocaten en notariaat in Leiden en Den Haag
Menu

Tegen onderstaand model voor een Legoblokje werd eerder een vordering tot nietigheid ingesteld bij het Europese Bureau voor Intellectueel Eigendom (EUIPO). Eisers waren van mening dat alle uiterlijke kenmerken van het blokje “uitsluitend worden bepaald door de technische functie ervan“, oftewel dat het blokje alleen maar haar specifieke vorm heeft vanwege de technische noodzaak om het gewenste doel te bereiken (het stapelen van blokjes). Een ontwerp kan dan niet als een model worden beschouwd. Het EUIPO ging hier in mee en het modelrecht werd dan ook nietig verklaard.

 Het Europese Gerecht greep op 24 maart 2021 in en concludeerde dat het EUIPO de bepalingen van de Gemeenschapsmodellenverordening niet juist had toegepast. Er is door het EUIPO onvoldoende naar de kenmerken van het blokje gekeken, die mogelijk niet slechts functioneel van aard zijn. In deze blog zal deze uitspraak nader worden toegelicht, onder andere in het licht van eerdere Lego-gerelateerde uitspraken.

Het modelrecht

Een modelrecht is een intellectueel eigendomsrecht en strekt zich uit tot de bescherming van een model. Onder een model wordt verstaan: “de verschijningsvorm van een voortbrengsel of een deel ervan, die wordt afgeleid uit de kenmerken van met name de lijnen, de omtrek, de kleuren, de vorm, de textuur en/of de materialen van het voortbrengsel zelf en/of de versiering ervan.”[1] Een geregistreerd model geeft (maximaal) 25 jaar bescherming.[2] Een model kan zowel voor de Benelux als voor de EU worden aangevraagd en beschermd. In de onderhavige zaak ging het om een Europees model.

Niet alle ontwerpen kunnen bescherming genieten van het modelrecht. Het modelrecht geldt bijvoorbeeld niet voor een model waarbij alle uiterlijke kenmerken van een voortbrengsel uitsluitend door de technische functie worden bepaald.[3] Een dergelijk kenmerk is bijvoorbeeld het gebruik van stijve baleinen in een stormparaplu, om deze sterk en windbestendig te maken. De ratio achter deze regel is dat het modelrecht niet mag worden ingezet om een bepaald technisch effect te monopoliseren en anderen zo te verhinderen gebruik te maken van die technologie.[4] Voor een technische (uit)vinding kan eventueel een octrooirecht worden aangevraagd, maar geen modelrecht.

Eerdere Lego-uitspraken

Er zijn in de loop der jaren meerdere belangrijke uitspraken gedaan over Lego-artikelen. Twee hiervan worden hieronder kort besproken. Let wel dat het in deze twee uitspraken om merkenrecht ging en niet om modellenrecht.

Deze merkenzaken hielden verband met een oud octrooi van Lego op haar steentjes. Dit octrooi verliep in 1978. Lego heeft daarna in 2010 geprobeerd een merkenrecht te deponeren ten behoeve van de vorm van haar steentjes (door middel van een zogenaamd “vormmerk”), om zo alsnog haar steentjes te kunnen beschermen.[5] Het ging hier om de bekende vierkante en rechthoekige steentjes met nopjes bovenop. Op basis van een arrest van het Europese Hof van Justitie bleef dit depot niet in stand, aangezien geoordeeld werd dat het deponeren van een dergelijk vormmerk met een technische uitkomst, namelijk het kunnen aaneenkoppelen van steentjes, een onderneming een eeuwigdurend monopolie op een technologie zou geven. Dit is onwenselijk, onder andere omdat derden dan voor altijd belet wordt dezelfde techniek te gebruiken en dit dan innovatie in de weg staat.

In 2015 kwamen de legopoppetjes aan de beurt.[6] Het Europese Gerecht gaf Lego in deze zaak wél gelijk en oordeelde dat haar poppetjes niet louter technische functies hebben zoals het aaneenkoppelen met passende bouwstenen. De poppetjes stellen een personage voor en kunnen door kinderen in een passende speelcontext worden gebruikt. Lego kon dus wel een vormmerk deponeren voor haar poppetjes.

De onderhavige uitspraak

De uitspraak van het Europese Gerecht van 24 maart 2021 draagt hoe dan ook weer haar (Lego)steentje bij aan de lijn van jurisprudentie van dergelijke modellen. Het Gerecht spreekt in haar uitspraak het EUIPO streng toe.

Het EUIPO heeft nagelaten alle uiterlijke kenmerken van het bestreden model mee te nemen in haar uiteindelijke oordeel of het blokje een louter technische functie had. Dat is wel belangrijk, aangezien een ontwerp alleen een dergelijke functie kan hebben als alle uiterlijke kenmerken slechts een technische functie hebben. Het  steentje in kwestie heeft een glad oppervlakte aan weerskanten van de rij nopjes. Alhoewel dit een onmiskenbaar uiterlijk kenmerk is van het steentje, is dit kenmerk niet meegenomen in het eindoordeel. Dientengevolge heeft de EUIPO volgens het Gerecht niet volledig kunnen vaststellen dat het blokje slechts een technische functie heeft.

Conclusie

Vooralsnog beschikt Lego dus wel over ten minste één geldig model. Tegen de uitspraak van het Europese Gerecht staat nog hoger beroep open bij het Europese Hof van Justitie. Indien hier gebruik van wordt gemaakt, komt er uiteraard nog een (Lego-)blogje.

Teun Pouw

Advocaat IT-/IE-recht en BMM-merkengemachtigde

met dank aan student-stagiaire Thessa Bennis

 

[1] Artikel 3 Verordening 6/2002 inzake Gemeenschapsmodellen.

[2] Artikel 12 Verordening 6/2002 inzake Gemeenschapsmodellen.

[3] Artikel 8 lid 1 Verordening 6/2002 inzake Gemeenschapsmodellen.

[4] Gerechtshof Den Haag 29 maart 2016, ECLI:NL:GHDHA:2016:928, r.o. 12.

[5] HvJEU 14 september 2010, C-48-09P (Lego Juris/BHIM).

[6] Gerecht van de Europese Unie 16 juni 2015, T-395/14 en T-396/14 (Best Lock (Europe) Ltd./BHIM-Lego Juris).

Het Rathenau Instituut heeft zeven publieke waarden geïdentificeerd die in de slimme stad onder druk kunnen komen te staan: privacy, veiligheid, rechtvaardigheid, autonomie, controle over technologie, menselijke waardigheid en machtsevenwicht.

Het borgen van deze waarden in een smart city is complex. Dit is waarschijnlijk ook de reden dat smart cities langzaam van de grond lijken te komen.

Een belangrijke stap voorwaarts is dat VNG-leden hebben ingestemd met de Principes Digitale Samenleving:

I. Van maatschappelijke waarde

Dataverzameling en -gebruik in de openbare ruimte moet ten dienste staan van het maatschappelijk belang en bijdragen aan de leefbaarheid van dorpen en steden. Gemeenten stimuleren andere partijen om dit ook voorop te stellen.

II. Rechten over data geregeld

Data is open, inzichtelijk en gedeeld, tenzij wet- en regelgeving, veiligheidsrisico’s of beschikkingsrechten op de data dit beperken. Een individu heeft beschikkingsrecht op data over hem of haar en beslist of dit gedeeld mag worden met anderen en wat er verder mee gebeurt, tenzij wet- en regelgeving dit beperken.

III. Toegankelijke en veilige digitale infrastructuur

De digitale infrastructuur voor dataverzameling en -(her)gebruik is voor iedereen goed beschikbaar en toegankelijk. De gebruikte technologie is veilig, inzichtelijk, koppelbaar en kent “open interfaces”, “open protocollen”. Zij is ingericht conform wet- en regelgeving rond privacy en security en maakt gebruik van (open) standaarden.

IV. Partijen verbonden

Marktpartijen, instellingen, overheden en inwoners werken samen waar dat voor hen wenselijk, respectievelijk nodig is. Zij zijn allen leveranciers en/of gebruikers van netwerkvoorzieningen, de apparatuur, de connectiviteit en de ‘slimme’ diensten. Gemeenten regisseren en reguleren waar nodig en mogelijk, het gebruik, de toegang, de inrichting, beschikbaarheid en de veiligheid van de digitale infrastructuur.

V. Transparantie centraal

Marktpartijen, instellingen, overheden en inwoners zijn zoveel mogelijk transparant over apparatuur en technologie in de openbare ruimte. Gemeenten stimuleren hen om dit te doen.

Dit gemeenschappelijk kader zorgt ervoor dat er in elke gemeente gelijke spelregels gelden voor gesprekken met aanbieders. Dit kan zorgen voor een versterking van de positie van gemeenten in de richting van de (soms machtige) marktpartijen. De principes moeten tegelijkertijd de publieke waarden van burgers borgen, waaronder uiteraard de privacy van de (smart)citizen in de smart city.

Wilt u meer lezen over de privacy van de (smart) citizen in a smart city? Bestel dan het KNVI boek: Smart Humanity; de mens met 1-0 op voorsprong, verkrijgbaar via Managementboek.

Natascha van Duuren, advocaat/partner IT, IE & Privacy


Lees ook:

Deel 1

Deel 2: Data, veel data

Deel 3: Anonieme persoonsgegevens

Deel 4: Risico van structurele benadeling, onterechte uitsluiting of stigmatisering

Deel 5: Cyber security prioriteit nummer 1

Deel 6: Afhankelijkheid van machtige technologiebedrijven

De smart city is destijds geïntroduceerd door grote tech-bedrijven. Ook nu spelen grote tech-bedrijven vaak een belangrijke rol in smart cities. Het lijkt immers bijna onmogelijk een smart city te bouwen zonder gebruik te maken van cloud- en platformoplossingen. Gemeentes dienen daarbij te voorkomen dat zij afhankelijk worden van machtige (vaak buitenlandse) technologiebedrijven.

Naast het feit dat dit vaak grote en machtige partijen zijn, komen deze partijen vaak uit de VS. Onze digitale infrastructuur is voor een groot deel afhankelijk van de VS en van China. Dit is zeker een punt van aandacht.

Gemeenten doen er goed aan kritisch te zijn op de private partijen die zij inschakelen en welke afspraken er met deze partijen kunnen worden gemaakt. Daarbij dienen gemeenten zich te realiseren dat het business model van bedrijven die zich in de “smart city markt” begeven, soms volledig is gebaseerd op het “nieuwe goud”. Data. Zij zullen er dan ook alles aan doen deze data niet openbaar te maken. Dit staat uiteraard op gespannen voet met de (privacy)wetgeving. Ook het risico van vendor lock in ligt op de loer.

Het is dus van groot belang dat gemeenten voorkomen dat zij bij de realisatie van een smart city afhankelijk worden van grote machtige technologiebedrijven.

Wilt u alvast meer lezen over de privacy van de (smart) citizen in a smart city? Bestel dan het KNVI boek: Smart Humanity; de mens met 1-0 op voorsprong, verkrijgbaar via Managementboek.

Natascha van Duuren, advocaat/partner IT, IE & Privacy


Lees ook:

Deel 1

Deel 2: Data, veel data

Deel 3: Anonieme persoonsgegevens

Deel 4: Risico van structurele benadeling, onterechte uitsluiting of stigmatisering

Deel 5: Cyber security prioriteit nummer 1

Uber houdt de gemoederen flink bezig. In de UK bevestigde het hooggerechtshof onlangs dat chauffeurs werkzaam voor Uber geen zelfstandigen zijn, maar workers en daarmee recht hebben op minimumloon en vakantietoeslag. In Frankrijk lopen vergelijkbare procedures. Onlangs deed de rechtbank Amsterdam uitspraak in twee zaken die verband houden met deze buitenlandse kwesties. De uitspraken zijn vooral van belang omdat daarin aan de orde komt of Uber zich al dan niet schuldig maakt aan een onrechtmatige vorm van geautomatiseerde besluitvorming, een onderwerp dat onmiskenbaar steeds belangrijker wordt, maar waarover nog weinig jurisprudentie bestaat.

Achtergrond

Volgens het hooggerechtshof in de UK bestaat een arbeidsrelatie tussen de Britse chauffeurs en Uber London. De rechthebbende op de Uber-app is echter niet de UK-entiteit, maar de Nederlandse moedermaatschappij Uber B.V. Om de implicaties van voornoemde uitspraak op waarde te kunnen schatten en ook ter voorbereiding op andere procedures deden enkele Britse chauffeurs (zaak 1) daarom een inzageverzoek op grond van de AVG bij Uber B.V. Zij wilden weten welke persoonsgegevens Uber van hen verwerkt, waarvoor deze worden gebruikt en in hoeverre sprake is van profilering en geautomatiseerde besluitvorming.

Een aantal andere chauffeurs (zaak 2) meende dat Uber volledig geautomatiseerd had besloten tot deactivering van hun accounts wegens vermoedens van fraude, waarmee Uber in strijd zou hebben gehandeld met het verbod op geautomatiseerde individuele besluitvorming. Meer specifiek werden deze chauffeurs ervan beschuldigd dat zij ten onrechte annuleringskosten bij Uber hadden geïnd, door zich zowel als passagier als chauffeur te hebben voorgedaan, dan wel dat zij de Uber Driver app hadden gemanipuleerd zodat duurdere ritten geïdentificeerd konden worden voordat de chauffeur de rit accepteerde (hetgeen niet is toegestaan om cherry picking van ritten te voorkomen).

Geautomatiseerde besluitvorming

De AVG kent enkele specifieke regels over geautomatiseerde besluitvorming. Allereerst moet een organisatie die geautomatiseerde besluitvorming wil gaan inzetten de betreffende personen daarover vooraf informeren. Onderdeel van die informatieplicht is dat de betrokkene wordt geïnformeerd over de “onderliggende logica” van de toepassing. Daarvoor is niet nodig dat de werking van het algoritme in (technisch) detail wordt uitgelegd of dat het algoritme openbaar wordt gemaakt. Wel moet op begrijpelijke wijze duidelijk worden gemaakt hoe de besluitvorming werkt en op basis van welke criteria tot een besluit wordt gekomen.

Verder heeft de betrokkene het recht niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem rechtsgevolgen zijn verbonden of dat hem anderszins in aanmerkelijke mate treft.  Hoewel dit artikel als een ‘recht’ is geformuleerd, is volgens de Europese privacy toezichthouders feitelijk sprake van een algemeen verbod op volledig geautomatiseerde individuele besluitvorming, behoudens enkele uitzonderingen. Het is dus verboden een arbeidsovereenkomst te beëindigen uitsluitend op basis van een geautomatiseerd besluit. Gericht adverteren op basis van profielen mag doorgaans wel, omdat dit de betrokkene normaal gesproken niet in aanmerkelijke mate zal treffen.

Uitspraak 1

Uber maakt gebruik van een batched matching systeem. Dit systeem groepeert de dichtstbijzijnde chauffeurs en passagiers in een batch (een groep) en bepaalt binnen die groep de optimale match (koppeling) tussen een chauffeur en een passagier. Volgens Uber gebruikt zij locatie, rijrichting, de drukte van het verkeer, geografische factoren, de verwachte aankomsttijd bij het afhaalpunt van de passagier en door chauffeurs opgegeven persoonlijke voorkeuren. Het systeem koppelt een passagier niet meer aan een chauffeur indien deze passagier de chauffeur in het verleden met een beoordeling van één van de vijf beschikbare sterren heeft gewaardeerd. De chauffeur wordt dan gekoppeld aan een andere passagier in de batch. Volgens Uber heeft de geautomatiseerde allocatie van beschikbare ritten geen rechtsgevolgen, en wordt de betrokkene hierdoor niet in aanmerkelijke mate getroffen zodat geen sprake is van geautomatiseerde besluitvorming. De rechtbank volgt Uber hierin. Hoewel voor de hand ligt dat het systeem een zekere invloed zal hebben op de uitvoering van de overeenkomst tussen Uber en de chauffeur, meent de rechtbank dat deze invloed niet zo groot is dat sprake is van een aanmerkelijk effect. De rechtbank wijst de vordering van de chauffeurs af.

Uitspraak 2

Uber betwist dat zij de accounts van de chauffeurs op basis van uitsluitend geautomatiseerde besluitvorming heeft gedeactiveerd. Volgens Uber is daar een grondig onderzoek aan vooraf gegaan dat is uitgevoerd door een gespecialiseerd team van werknemers van Uber. Daarbij wordt gebruik gemaakt van software waarmee potentiële frauduleuze activiteiten kunnen worden gesignaleerd. Naar aanleiding van een fraudesignaal doet dit team op basis van interne protocollen en eigen kennis en ervaring onderzoek naar de feiten en omstandigheden om het bestaan van fraude te bevestigen of uit te sluiten. Voor het deactiveren van een account is een unaniem besluit van twee werknemers van dit team nodig. Op basis van deze toelichting oordeelt de rechtbank dat de besluiten van Uber tot stand zijn gekomen na ‘betekenisvolle menselijke tussenkomst’ en er dus geen sprake is geweest van een onrechtmatige vorm van geautomatiseerde besluitvorming. Ook deze vordering van de chauffeurs wordt afgewezen.

Wilt u meer weten over de juridische aspecten van online platforms of geautomatiseerde besluitvorming? Neem gerust contact op met ons team.

Jeroen van Helden, advocaat IT, IE & Privacy

Het Europese Hof van Justitie (verder: ‘het Hof’) heeft op 9 maart 2021 een belangrijke uitspraak gedaan. Tot op heden was op basis van de jurisprudentie het gebruik van hyperlinks naar auteursrechtelijk beschermde werken op andere websites toegestaan. Nu stond de vraag centraal of deze redenering anders is als partijen afspraken hebben getroffen die het delen van een webpagina technisch gezien onmogelijk (moeten) maken. Het Hof heeft deze vraag bevestigend beantwoord.[1]

Mededeling aan het publiek

Het auteursrecht geeft makers van een werk van letterkunde, wetenschap of kunst (een auteursrechtelijk beschermd werk) het alleenrecht om dit openbaar te maken en te verveelvoudigen. In dit verband wordt ook wel gesproken van een ‘mededeling aan het publiek’.[2] Een mededeling aan het publiek levert auteursrechtinbreuk op, indien er sprake is van een ‘nieuw publiek’: dit is een publiek dat voorafgaand aan deze mededelingshandeling nog niet bij het werk kon. U kunt hier bijvoorbeeld denken aan het kopen van een e-book. Het boek is pas na de aankoop voor u beschikbaar. Of denk aan een abonnement op Netflix: pas na betaling krijg je toegang tot het filmaanbod.

Eerdere uitspraken van het Hof

Met de komst van het internet doen zich veel situaties voor waarbij het onduidelijk is of nou wel of geen sprake is van een “mededelingshandeling” c.q. een “nieuw publiek”. Een van deze situaties is ‘embedden’, ook wel ‘framen’ genoemd. Dit is het laten zien van een andere website op een eigen website zonder de content te verplaatsen.[3] Het is hierbij voor de gebruiker veelal niet duidelijk dat een andere website wordt getoond. Het Europese Hof van Justitie heeft zich hier in een reeks uitspraken al eerder over uitgelaten.

Op 13 februari 2014 deed het Hof uitspraak in de Svensson-zaak. Het ging in deze zaak om een website met aanklikbare links naar werken die op een andere website vrij beschikbaar zijn. Omdat deze werken vrij te bezoeken waren, kon het plaatsen van de links niet als een handeling van mededeling aan het publiek worden aangemerkt. Er ontbrak een ‘nieuw publiek’, aangezien het werk reeds vrij te bezoeken was voor iedereen.[4] Hieruit volgde dat hyperlinken geen auteursrechtinbreuk oplevert, ongeacht of dit gebeurt met een “normale” hyperlink dan wel met gebruikmaking van embedding.

In hetzelfde jaar, op 21 oktober, liet het Hof zich uit over een vergelijkbare situatie in de BestWater-zaak. In deze zaak leidde de link naar een illegaal geüpload werk. Volgens het Hof leidt deze situatie niet tot een andere uitspraak, want ook in dit geval werd geen nieuw publiek bereikt.[5] Nog steeds geen auteursrechtinbreuk dus.

Het Hof deed op 8 september 2016 uitspraak in een zaak tussen GeenStijl en Sonoma. GeenStijl had een hyperlink gepubliceerd die geïnteresseerden uiteindelijk naar een Australische site leidden waarop de Playboyfoto’s van Britt Dekker te zien waren.[6] Het Hof oordeelde dat het gebruik van een hyperlink naar materiaal dat illegaal online is gezet, toch inbreuk kan maken op het auteursrecht, wanneer de hyperlink wordt gebruikt om winst te genereren. Wanneer een hyperlink wordt geplaatst zonder een winstoogmerk kan ook sprake zijn van een inbreuk op het auteursrecht, indien wordt aangetoond dat de partij kennis had van het illegale karakter van het werk. In deze situatie is dus wél sprake van auteursrechtinbreuk bij het gebruik van hyperlinking.

Als u meer over deze zaken wilt lezen verwijs ik u naar mijn eerdere blogposts, hier en hier.

Beantwoording prejudiciële vragen

Nu is er weer een uitspraak bij. Het Hof blijft bij haar lijn dat embedding en vergelijkbare praktijken in beginsel geen mededeling aan een (nieuw) publiek vormen en dus geen inbreuk op het auteursrecht opleveren. Het geeft houders van een auteursrecht echter wel handvaten voor een sterke(re) rechtspositie.

Als houder van een auteursrecht kunt u namelijk strenge afspraken maken met de website waarop uw werk wordt gepubliceerd, waarbij de houder van de betreffende website garandeert dat zij hyperlinken en embedden (en andere technische mogelijkheden om toch uw werk te kunnen delen) actief tegengaat en onmogelijk maakt. Het Hof doelt hiermee op het aanbrengen van technische (veiligheids)voorzieningen die hyperlinking kunnen tegengaan.

Het Hof oordeelt namelijk dat er wel een mededeling aan het publiek plaatsvindt (en dus wel sprake is van auteursrechtinbreuk) als het betreffende werk vervolgens toch door middel van hyperlinking of embedding zichtbaar is op een website van een derde. Dan heeft de houder van het auteursrecht namelijk geen toestemming gegeven om zijn of haar werk te delen en maakt de betreffende website dus inbreuk op het auteursrecht.

Weer een stukje duidelijkheid over het gebruik van hyperlinks dus. Toch roept ook dit arrest weer nieuwe vragen op. De technologie verandert razendsnel en keer op keer worden manieren gevonden om beveiligde websites op het internet toch te kunnen delen. Eigenaren van websites krijgen hierdoor de lastige taak om altijd op hun hoede te zijn voor nieuwe, sluwe trucs waarmee derden de gepubliceerde auteursrechtelijke werken toch kunnen delen. De vraag is of dat in alle redelijkheid van iedereen kan worden verwacht. En aan welke eisen moeten de (technische) voorzieningen als bedoeld in dit arrest dan voldoen? Het Hof laat zich hier (nog) niet expliciet over uit. En zo blijft dit leerstuk in beweging.

Teun Pouw

Advocaat IT-/IE-recht en BMM-merkengemachtigde

 

met dank aan student-stagiaire Thessa Bennis

 

[1] HvJ EU 9 maart 2021, ECLI:EU:C:2021:181 (VG Bild-Kunst tegen SPK).

[2] Artikel 3 lid 1 van de Europese Richtlijn 2001/29.

[3] Rechtbank Noord-Holland, 1 oktober 2016, ECLI:NL:RBNHO:2016:8077. r.o. 4.1b.

[4] HvJ EU 13 februari 2014, C-466/12 (Svensson).

[5] HvJ EU 21 oktober 2014, C-348/13 (BestWater).

[6] HvJ EU 8 september 2016, ECLI:EU:C:2016:644 (GS Media/ Sanoma).

De grote hoeveelheid data die in een smart city wordt verwerkt, betekent dat informatiebeveiliging prioriteit nummer 1 moet zijn. Stel je eens een cyber crime aanval op een smart city voor.

Er bestaat niet alleen het risico dat (gevoelige) gegevens van vele burgers op straat komen te liggen. Het kan ook zijn dat de cyberaanval gericht is op nutsvoorzieningen of andere voorzieningen uit de vitale sector. Dit met alle gevolgen van dien.

In een smart city moet informatiebeveiliging dan ook prioriteit nummer 1 hebben. Het is de vraag of de Baseline Informatiebeveiliging Gemeenten (BIG) afdoende is om smart cities tegen dit soort risico’s te beveiligen. Dit is dan ook de reden dat gemeentes aan het begin van ieder smart city project een DPIA moeten organiseren, die de grootste risico’s zou moeten kunnen identificeren.

In mijn eerdere blog schreef ik over het onderzoek dat de Autoriteit Persoonsgegevens in het najaar van 2019 startte naar de ontwikkeling van smart cities en een eerste update die zij gegeven had. Naar aanleiding van de DPIA’s van de smart city-toepassingen die bij gemeenten waren opgevraagd, gaf de Autoriteit Persoonsgegevens een aantal tips aan gemeenten:

Wilt u alvast meer lezen over de privacy van de (smart) citizen in a smart city? Bestel dan het KNVI boek: Smart Humanity; de mens met 1-0 op voorsprong, verkrijgbaar via Managementboek.

Natascha van Duuren, advocaat/partner IT, IE & Privacy


Lees ook:

Deel 1: De privacy van de (smart) citizen in the smart city

Deel 2: Data, veel data

Deel 3: Anonieme persoonsgegevens?

Deel 4: Risico van structurele benadeling, onterechte uitsluiting of stigmatisering

Deel 5: Cyber security prioriteit nummer 1

Op 19 februari 2021 is door de Hoge Raad een opvallende uitspraak gedaan.[1] Bij een conflict tussen twee beschrijvende handelsnamen met beroep op artikel 5 Handelsnaamwet (Hnw) dient uitsluitend te worden beoordeeld of sprake is van verwarringsgevaar. Hierbij behoeft geen sprake te zijn van bijkomende omstandigheden. De Hoge Raad schuift hiermee de voorheen gebruikelijke toets uit de zaak Parfumswinkel uit 2017 opzij.

DOC tegen Dairy Partners

Partijen in de zaak zijn een Britse kaasproducent die sinds 2007 onder de handelsnaam ‘Dairy Partners’ handelt en een Nederlands bedrijf dat sinds 2016 handelt onder de handelsnaam ‘DOC Dairy Partners’. Beide bedrijven zijn actief op internationale beurzen die worden bezocht door in Nederland gevestigde zuivelbedrijven.

Dairy Partners meende dat tussen de twee namen verwarringsgevaar optreedt als bedoeld in artikel 5 Hnw. DOC heeft dit verwarringsgevaar betwist en stelde dat de handelsnaam ‘Dairy Partners’ enkel beschrijvend is, wat volgens haar betekende dat voor een beroep op artikel 5 Hnw naast verwarringsgevaar ook nog bijkomende omstandigheden vereist zijn, die in dit geval ontbraken.

Het Gerechtshof heeft in deze zaak prejudiciële vragen gesteld aan de Hoge Raad. Ondanks dat een schikking was getroffen tussen partijen, heeft de Hoge Raad besloten deze alsnog te beantwoorden. Het Hof vroeg zich samengevat af of in het geval de oudste handelsnaam een beschrijvende handelsnaam is, verwarringsgevaar behalve een noodzakelijke ook een voldoende voorwaarde is voor bescherming op grond van de Handelsnaamwet, of dat daarvoor  ook bijkomende omstandigheden zijn vereist.

Bescherming handelsnamen in Nederland

De bescherming van handelsnamen is geregeld in de Handelsnaamwet. Een handelsnaam is de naam waaronder een onderneming wordt gedreven (artikel 1 Hnw). Artikel 5 Hnw benoemt het verbod op het voeren van een reeds rechtmatig gevoerde handelsnaam of het voeren van een handelsnaam die hiervan in geringe mate afwijkt. Het artikel dient ter voorkoming van misleiding en verwarring van het publiek tussen ondernemingen. Vereist voor een beroep op artikel 5 Hnw is dan ook het verwarringsgevaar tussen de twee handelsnamen.

In de onderhavige zaak ging het om beschrijvende handelsnamen. Dit zijn handelsnamen die geheel of ten dele bestaan uit woorden die kunnen dienen ter aanduiding van de aard van de onderneming of de door haar verhandelde producten en/of diensten.

Het Gerechtshof Den Haag heeft in het arrest van 19 september 2017, Parfumswinkel, geoordeeld dat voor een beroep op het verbod van artikel 5 Hnw bij beschrijvende handelsnamen een extra vereiste dient te worden nagegaan, te weten de bijkomende omstandigheden.[2]

Deze regel stamt uit een arrest van de Hoge Raad op 11 december 2015, Artiestenverloning. In deze uitspraak is geoordeeld dat voor bescherming van domeinnamen, waarvoor geen regeling in de wet is te vinden, van  onrechtmatigheid kan worden gesproken indien bijkomende omstandigheden dat meebrengen.[3]

De ratio achter deze uitspraken was dat bij beschrijvende namen verwarringsgevaar bijna altijd wel voorkomt. Een enkele toets op verwarringsgevaar werd onvoldoende bevonden. Daarnaast dient rekening te worden gehouden met de vrijhoudingsbehoefte: het ongeschreven beginsel dat beschrijvende aanduidingen ter beschikking moeten staan, zodat ondernemers hun diensten of waren correct kunnen aanduiden. Dit beginsel zou volgens het Hof in Parfumswinkel onvoldoende worden gewaarborgd in artikel 5 Hnw.

Antwoord op de prejudiciële vragen

De Hoge Raad gaat echter niet mee in de eerdere redenatie van het Hof in Parfumswinkel. Bij een beroep op artikel 5 Hnw gelden geen nadere, niet in het artikel genoemden vereisten, indien de ingeroepen oudere handelsnaam beschrijvend is c.q. geen onderscheidend vermogen heeft.

Aan de vrijhoudingsbehoefte in het algemeen belang kan voldoende recht worden gedaan door dit belang te betrekken bij de afweging of er verwarring is bij het relevante publiek. Bij deze afweging dienen alle omstandigheden van het geval in aanmerking te worden genomen en een los vereiste voor bijkomende omstandigheden is dan ook onnodig.

Conclusie

Al met al een belangrijke uitspraak. Als houder van een oudere, beschrijvende handelsnaam is verwarringsgevaar behalve een noodzakelijke ook een voldoende voorwaarde voor bescherming op grond van de Handelsnaamwet. De toets van artikel 5 Hnw volstaat dus en voor een beroep op dit artikel zijn dan ook geen bijkomende omstandigheden meer vereist. De vrijhoudingsbehoefte wordt hiermee ook voldoende beschermd. De uitgebreide toets van het Parfumswinkel-arrest is van tafel.

Teun Pouw

Advocaat IT-/IE-recht en BMM-merkengemachtigde

Met dank aan student-stagiaire Thessa Bennis

 

[1] HR 19 februari 2021, IEF 19773, ECLI:NL:HR:2021:269 (DOC tegen Dairy Partners).

[2] Gerechtshof Den Haag 19 september 2017, ECLI:NL:GHDHA:2017:2622 (Parfumswinkel).

[3] HR 11 december 2015, ECLI:NL:HR:2015:3554 (Artiestenverloning).

Gemeentes dienen zeer alert te zijn op het risico van structurele benadeling van bepaalde groepen, onterechte uitsluiting of stigmatisering van burgers. Deze risico’s kunnen in een smart city op de loer liggen.

In smart cities worden niet alleen veel data verzameld, maar worden deze ook met elkaar gecombineerd. Denk aan het combineren van verzuimcijfers met data over werkloosheid, schulden, overgewicht, politiecijfers en social media berichten. Aan de hand hiervan kan bijvoorbeeld worden getracht het risico van schooluitval te voorspellen. Een nog verdergaande stap is dat op basis van data besluiten worden genomen. De AVG stelt strenge eisen aan dit soort gegevensverwerkingen.

Een van deze eisen is dat de gemeente burgers moet informeren over de “onderliggende logica” van het algoritme. Op begrijpelijke wijze moet duidelijk worden gemaakt op basis van welke criteria tot een besluit wordt gekomen.

Verder kent de AVG als uitgangspunt dat niemand onderworpen mag worden aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit waaraan voor hem of haar belangrijke (rechts)gevolgen zijn verbonden. In dat geval moet de burger altijd de mogelijkheid hebben een mens (alsnog) naar het besluit te laten kijken, zijn standpunt kenbaar te maken of het besluit in rechte aan te vechten. Vergelijkbare waarborgen vloeien voort uit de Algemene wet bestuursrecht (Awb), voor zover het besluit zou gelden als een besluit van een bestuursorgaan.

Voorkomen dient uiteraard te worden dat algoritmes vooroordelen hebben. Een smart city mag niet leiden tot het structureel benadelen van bepaalde groepen, tot onterechte uitsluiting of stigmatisering. Vaak realiseert men zich niet dat dit al begint bij de dataverzameling, welke data verzamel je en welke categorieën (bijvoorbeeld groepen) onderscheid je daarbij? Een terechte zorg die wel eens wordt genoemd in het kader van een smart city is dat een smart city social chilling of social cooling zou kunnen veroorzaken. Hiermee bedoelt men dat mensen zich conformeren aan de geldende normen en zich gereserveerd gedragen, niet-creatief en risicomijdend. De ethische vraag die daarmee samenhangt – en die ook terecht wordt gesteld – is in hoeverre burgers imperfect mogen zijn en af mogen wijken van de gedefinieerde normen? Normen die in feite door data gedefinieerd zijn. Bovendien moeten bestuurders van slimme steden zich goed realiseren dat een patroon in data, niet de werkelijkheid hoeft te zijn. Met andere algoritmes zou je immers andere uitkomsten kunnen krijgen.

In slimme steden moeten de uitkomsten van algoritmes en data-analyses dan ook steeds getoetst worden en dient men zich te beseffen dat andere algoritmes tot andere uitkomsten zouden kunnen leiden.

Wilt u alvast meer lezen over de privacy van de (smart) citizen in a smart city? Bestel dan het KNVI boek: Smart Humanity; de mens met 1-0 op voorsprong, verkrijgbaar via Managementboek.

Natascha van Duuren, advocaat/partner IT, IE & Privacy


Lees ook:

Deel 1: De privacy van de (smart) citizen in the smart city

Deel 2: Data, veel data

Deel 3: Anonieme persoonsgegevens?

Deel 4: Risico van structurele benadeling, onterechte uitsluiting of stigmatisering

Deel 5: Cyber security prioriteit nummer 1

Veel gemeenten geven aan dat zij in hun smart cities alleen gebruik maken van “anonieme gegevens”. In veel gevallen bedoelen ze daarmee dat zij gebruik maken van gepseudonimiseerde gegevens. Ontslaat dit gemeenten van hun plicht om te voldoen aan de privacy wet- en regelgeving?

Pseudonimiseren is een beveiligingsmaatregel waarbij persoonsgegevens worden verwerkt zonder dat daarbij duidelijk wordt over welke personen de gegevens gaan. Gegevens kunnen alleen nog herleidbaar zijn tot een specifiek persoon als er gebruik wordt gemaakt van aanvullende gegevens. Bij pseudonimisering gaat het echter nog steeds om persoonsgegevens. De gemeente is dus nog steeds verplicht te voldoen aan de privacywet en -regelgeving.

Ook al zou het zo zijn dat een gemeente uitsluitend anonieme gegevens verwerkt, ook dan moeten gemeenten zich realiseren dat geanonimiseerde gegevens makkelijker op personen terug zijn te voeren dan men veelal denkt. Onderzoekers van de Amerikaanse MIT-universiteit kwamen tot de conclusie dat je maar vier informatiepunten nodig hebt, zoals locaties of aankopen, om negentig procent van de individuen te kunnen identificeren.

Met het argument van gemeenten dat zij in smart cities “alleen maar anonieme gegevens verwerken”, zijn ze er dus niet. Gemeenten doen er in hun risicoanalyse goed aan, er vanuit te gaan dat zij met persoonsgegevens te maken hebben (en dat zij derhalve aan de privacy wet- en regelgeving moeten voldoen).

Wilt u alvast meer lezen over de privacy van de (smart) citizen in a smart city? Bestel dan het KNVI boek: Smart Humanity; de mens met 1-0 op voorsprong, verkrijgbaar via Managementboek.

Natascha van Duuren, advocaat/partner IT, IE & Privacy


Lees ook:

Deel 1: De privacy van de (smart) citizen in the smart city

Deel 2: Data, veel data

Deel 3: Anonieme persoonsgegevens?

Deel 4: Risico van structurele benadeling, onterechte uitsluiting of stigmatisering

Deel 5: Cyber security prioriteit nummer 1

Opnieuw legt de Autoriteit Persoonsgegevens (AP) een boete op wegens onvoldoende controle van logbestanden. In 2019 legde de AP een boete van EUR 460.000 op aan het HagaZiekenhuis, omdat het ziekenhuis logbestanden onvoldoende had gecontroleerd op onregelmatigheden bij toegang tot patiëntdossiers. Onlangs legde de AP een boete van EUR 440.000 op aan het Amsterdamse Ziekenhuis OLVG voor een vergelijkbare overtreding. Logging neemt duidelijk in belang toe. Wanneer is logging verplicht en hoe vaak moeten logbestanden gecontroleerd worden?

Logging gaat over de geautomatiseerde registratie van gebeurtenissen in informatiesystemen. Een belangrijke reden om gebeurtenissen te willen loggen is dat daarmee controle mogelijk is op toegangsbeveiliging, zodat achterhaald kan worden wie toegang heeft gehad tot elektronisch opgeslagen informatie, volgens welke regels toegang is verkregen en welke acties op de gegevens zijn uitgevoerd. In de praktijk wordt deze vorm van logging vooral toegepast in informatiesystemen waarmee toegang kan worden verkregen tot bedrijfsvertrouwelijke of privacygevoelige informatie.

Wanneer is logging verplicht?

Organisaties moeten passende organisatorische en technische maatregelen treffen om persoonsgegevens te beveiligen (artikel 32 AVG). Onderdeel van een passend informatiebeveiligingsbeleid is een adequaat beleid ten aanzien van de toegangsbeveiliging, zodat bevoegde gebruikers toegang hebben tot de informatiesystemen die ze voor de uitvoering van hun taken nodig hebben en onbevoegde toegang tot informatiesystemen wordt voorkomen. Vaak zal dit ook betekenen dat activiteiten die gebruikers uitvoeren met persoonsgegevens vastgelegd moeten worden in logbestanden, welke vervolgens periodiek gecontroleerd moeten worden op indicaties van onrechtmatige toegang of onrechtmatig gebruik van gegevens.

Waar de verplichting tot het bijhouden van logbestanden in veel gevallen dus impliciet volgt uit artikel 32 AVG, is in diverse sectorspecifieke wet- en regelgeving een expliciete verplichting opgenomen tot het bijhouden van loggegevens. Zorgaanbieders zijn op grond van artikel 5 lid 1 Besluit elektronische gegevensverwerking door zorgaanbieders verplicht gebruik te maken van een zorginformatiesysteem dat voldoet aan de norm NEN 7513. Deze norm beschrijft de stelselmatige geautomatiseerde registratie van gegevens rond de toegang tot een patiëntdossier. Zorgaanbieders moeten de loggegevens (zo is inmiddels bepaald) minimaal vijf jaar bewaren vanaf het moment dat de logregel wordt geschreven.

Hoe vaak controleren?

De AVG noch sectorspecifieke wet- en regelgeving schrijft voor op welke manier en hoe vaak logbestanden gecontroleerd moeten worden op indicaties van onrechtmatige toegang of onrechtmatig gebruik van gegevens. Uit de door de AP gepubliceerde boetebesluiten is wel op te maken hoe de AP naar dit vraagstuk kijkt. Zo oordeelt de AP ten aanzien van het HagaZiekenhuis dat: “het doen van slechts één of enkele proactieve steekproef/steekproeven per jaar ruimschoots en evident onvoldoende [is] om te kunnen spreken van een passend beveiligingsniveau”. Het OLVG voerde vaker controles uit, maar ook dit vond de AP nog niet voldoende: “het doen van slechts acht incidentele controles en twee proactieve steekproeven in een periode van 15,5 maanden [is] ruimschoots en evident onvoldoende om te kunnen spreken van een passend beveiligingsniveau”.

Voor bedrijven, overheden en zorgaanbieders is het dus zaak na te gaan binnen welke informatiesystemen verplicht gebruik gemaakt moet worden van logging, en als dat het geval is, om vervolgens doorlopend en aantoonbaar controles uit te voeren op deze logbestanden.

Wilt u meer weten over logging of over de juridische aspecten van informatiebeveiliging? Neem gerust contact op met ons team.

Jeroen van Helden, advocaat IT, IE & Privacy