Nieuwsbrief IE/ICT februari 2015

5 februari 2015

Nieuwsbrief IE/ICT van februari 2015

In deze nieuwsbrief besteden we aandacht aan:

  1. De uitbreiding van de bevoegdheden van het College Bescherming Persoonsgegevens:
  2. De uitspraak van het Europese Hof van Justitie over embedded linken;
  3. De handleiding van het College Bescherming Persoonsgegevens over Google Analytics;
  4. Bestuurdersaansprakelijkheid.

Aanmelden voor onze nieuwsbrief? Klik hier.

1. Het College Bescherming Persoonsgegevens: een tandeloze tijger?

Uw onderneming krijgt vaak met de Wet Bescherming Persoonsgegevens te maken. Bij het plaatsen van beveiligingscamera’s, het gebruik van cookies op uw website of het verzenden van een mail vol met aanbiedingen: Op al deze handelingen is de Wet Bescherming Persoonsgegevens van toepassing. Een persoonsgegeven is namelijk elk gegeven, dat herleidbaar is tot een individu. En dat kan een filmfragment, een e-mailadres, of zelfs een IP-adres zijn. De Wet Bescherming Persoonsgegevens schrijft voor hoe persoonsgegevens mogen worden verwerkt. Het College Bescherming Persoonsgegevens ziet toe op naleving van die wet.

Als het aan staatssecretaris Teeven ligt, worden de bevoegdheden van het College Bescherming Persoonsgegevens binnenkort aanzienlijk uitgebreid. Dat blijkt uit een Tweede Nota van Wijziging van eind 2014, waarmee de Wet Bescherming Persoonsgegevens wordt gewijzigd. Teeven wil daarmee het College Bescherming Persoonsgegevens de bevoegdheid geven om in meer gevallen bestuurlijke boetes op te leggen. Die boetes kunnen maximaal maar liefst EUR 810.000 in het ernstigste geval bedragen. Het College Bescherming Persoonsgegevens zal ook in meer verschillende gevallen boetes kunnen opleggen. Nu kan het College Bescherming Persoonsgegevens alleen een boete van ‘slechts’ EUR 4.500 opleggen als de gegevensverwerking niet bij haar is gemeld. In de praktijk wordt die boete zelden opgelegd. De boete op niet-naleving van deze meldingsplicht zal dan ook komen te vervallen. Na deze wetswijziging zal op niet-naleving van een groot aantal andere bepalingen in de Wet Bescherming Persoonsgegevens wel een boete staan. Bijvoorbeeld als persoonsgegevens niet in overeenstemming met de Wet Bescherming Persoonsgegevens en op behoorlijke en zorgvuldige wijze worden verwerkt. Of als persoonsgegevens verder worden verwerkt op een wijze die niet verenigbaar is met de doeleinden waarvoor ze zijn verkregen. Of als ze langer worden bewaard dan noodzakelijk is voor de doeleinden waarvoor zij worden verzameld.

Maar de soep wordt niet zo heet gegeten als zij wordt opgediend: In de regel is het College Bescherming Persoonsgegevens namelijk verplicht om een bindende aanwijzing te geven, voordat zij een bestuurlijke boete kan opleggen. Pas als daar niet binnen de gegeven termijn aan wordt voldaan, kan een boete worden opgelegd. Dat is op zich ook niet vreemd, gelet op de vele open normen in de Wet Bescherming Persoonsgegevens.

Het College Bescherming Persoonsgegevens heeft zich in een persbericht van 24 november 2014 al kritisch uitgelaten over het wetsvoorstel:

“De roep in de samenleving is om een waakhond met tanden. Nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven.”

Voor bedrijven wordt het toch belangrijker om aan de verplichtingen in de Wet Bescherming Persoonsgegevens te voldoen. Daarmee voorkomt u namelijk niet meer alleen een beschamend privacyschandaal, maar ook een fikse boete. Reden genoeg voor een tijdige privacy check!

2. Europese Hof: Linken en embedden mag!

We doen het allemaal wel eens: een link plaatsen op een website naar een interessant artikel, of een geestig YouTube-filmpje ingekaderd plaatsen op je website of Facebook. Dat inkaderen wordt embedden genoemd. Maar hoe zit het met de auteursrechten op dat artikel of dat filmpje? Mag dat zomaar? Het Europese Hof gaf daarop antwoord in twee baanbrekende uitspraken.

Linken naar artikelen mag, als het maar vrij toegankelijk is

In de zaak Svensson tegen het mediabedrijf Retriever procedeerde een aantal journalisten, omdat Retriever op haar website links had geplaatst naar hun krantenartikelen. Hiervoor hadden de journalisten geen toestemming gegeven. Volgens de journalisten was dit een schending van hun auteursrechten op die krantenartikelen.

Het Hof dacht daar anders over. Volgens het Hof is voor het plaatsen van links naar auteursrechtelijk beschermde werken (zoals krantenartikelen) die op een andere website al vrij beschikbaar zijn, geen toestemming van de auteursrechthebbende vereist. Dit omdat het plaatsen van zo’n link naar een krantenartikel niet moet worden aangemerkt als een ‘mededeling aan een nieuw publiek’. Een nieuw publiek is het publiek dat de journalisten nog niet in aanmerking hadden genomen toen zij hun artikelen online plaatsten. Dat publiek betrof alle potentiële bezoekers van de website waarop zij hun artikelen hadden gepubliceerd. De journalisten hadden geen enkele beperkende maatregel gebruikt zoals wachtwoorden of inlogcodes. Daardoor waren hun artikelen vrij toegankelijk voor alle internetgebruikers. Ook Retriever maakte de artikelen van de journalisten vrij toegankelijk voor alle internetgebruikers. Van een nieuw publiek was dus geen sprake.

Het is toegestaan om te linken naar online content die vrij toegankelijk is. Ook als die online content auteursrechtelijk is beschermd. Heeft de auteursrechthebbende zijn artikel publiekelijk beschikbaar gesteld via internet, dan is dit artikel al met toestemming van de auteur openbaar gemaakt. Maar linken naar online content die niet vrij toegankelijk is, is niet toegestaan. Dit is bijvoorbeeld het geval als je abonnee moet zijn om toegang te krijgen, of als de content niet meer beschikbaar is. Zet je dan toch een link naar die content op je website dan is dat niet toegestaan, want de auteursrechthebbende heeft voor dat nieuwe publiek nooit toestemming gegeven.

En dat geldt ook voor embedden

Daarna oordeelde het Hof in de zaak BestWater tegen Mebes. Die zaak betrof een 1 à 2 minuten durend filmpje van BestWater over waterfilteringssystemen, dat zonder toestemming van BestWater op YouTube was geplaatst. Concurrent Mebes had vervolgens dat filmpje door embedding op haar eigen website geplaatst. Volgens BestWater maakte Mebes daardoor inbreuk op haar auteursrechten.

Het Hof borduurt hier voort op de zaak Svensson. In die zaak had het Hof al aangegeven dat het gaat om de vraag of er sprake is van een nieuw publiek. Is het filmpje op YouTube al beschikbaar voor alle internetgebruikers, en is het filmpje ook op de website van Mebes beschikbaar voor alle internetgebruikers, dan is er geen sprake van een nieuw publiek. Dus geen auteursrechtinbreuk. Wat voor linken geldt, geldt ook voor embedden. Embedden mag.

Content die zonder toestemming van de rechthebbende online is gezet

In de zaak BestWater zit wel een gemeen addertje onder het gras. Het filmpje van BestWater was zonder BestWater’s toestemming op YouTube gezet. Het filmpje stond dus al illegaal op YouTube. Levert het embedden van content, die zonder toestemming van de rechthebbende op internet is gezet, dan geen auteursrechtinbreuk op? Dat zou zomaar uit de zaak BestWater kunnen worden begrepen. Maar het Hof gaat hier vreemd genoeg niet op in en laat ons gissen. Over dat punt mag het Hof zich nog eens uitlaten! Ik laat het u dan weten.

3. Privacywaakhond CBP publiceert handleiding Google Analytics

Heeft u een webshop, dan is Google Analytics u vast niet vreemd. U ziet daarmee hoe bezoekers op uw website terechtkomen en hoe ze uw website gebruiken. Door Google Analytics te gebruiken verwerkt u persoonsgegevens van uw bezoekers. En dat betekent dat niet alleen de cookiebepaling uit de Telecommunicatiewet van toepassing is, maar ook de Wet Bescherming Persoonsgegevens. Hoe zit dat nu precies?

Versoepeling cookiebepaling

De cookiebepaling in artikel 11.7a van de Telecommunicatiewet houdt een informatieplicht en een toestemmingsvereiste in. U moet aangeven welke cookies u gebruikt en voor welke doeleinden. Voor dàt gebruik moet u de bezoeker om toestemming vragen. Alleen voor functionele cookies (cookies die noodzakelijk zijn omdat anders de website het niet doet) gelden de informatieplicht en het toestemmingsvereiste niet. Deze cookiebepaling wordt versoepeld. Dat blijkt uit een gewijzigd wetsvoorstel van 7 oktober 2014, dat op die datum met algemene stemmen is aangenomen door de Tweede Kamer. De Eerste Kamercommissie voor Economische Zaken (EZ) heeft op 27 januari 2015 het eindverslag uitgebracht. De Eerste Kamer heeft het wetsvoorstel op 3 februari 2015 als hamerstuk afgedaan.

Die versoepeling van de cookiebepaling houdt in, dat geen toestemming meer is vereist voor cookies die strikt noodzakelijk zijn om informatie te krijgen over de kwaliteit of effectiviteit van een geleverde dienst, mits deze cookies geen of geringe gevolgen hebben voor de persoonlijke levenssfeer van de betrokken gebruiker. Oftewel, (analytische) cookies die niet privacygevoelig zijn behoeven geen toestemming meer.

Toch toestemming vereist voor Google Analytics?

Maar de versoepeling van de cookiebepaling betekent nog niet, dat voor het gebruik van Google Analytics geen toestemming meer is vereist. Vooruitlopend op de wijziging van de cookiebepaling, heeft het College Bescherming Persoonsgegevens onlangs een handleiding gepubliceerd voor het privacy vriendelijk instellen van Google Analytics. Uit die handleiding volgt, dat een websitebezoeker in de regel zijn toestemming moet geven voor het plaatsen van Google Analytics-cookies. Vraagt u als webshopeigenaar geen toestemming voor het plaatsen van deze cookies, dan moet u 4 stappen zetten om toch aan de Wet Bescherming Persoonsgegevens te voldoen. Het College Bescherming Persoonsgegevens noemt de volgende 4 stappen:

  1. U sluit een bewerkersovereenkomst met Google af.In die bewerkersovereenkomst legt u vast dat Google alleen als bewerker optreedt bij de verwerking van persoonsgegevens van uw websitebezoekers. Deze overeenkomst kunt u aangaan via het instellingenmenu van Google Analytics.
  2. U laat Google niet het volledige IP-adres verwerken, maar verwijdert het laatste octet van het IP-adres.Ieder IP-adres bestaat uit 4 zogeheten octetten van 3 cijfers. U kunt het laatste octet verwijderen. Google noemt dat anonimiseren. Maar het College Bescherming Persoonsgegevens acht het resterende deel van het IP-adres nog steeds een persoonsgegeven, want het gaat om een groep van maximaal 256 computers. Toch verkleint u hiermee de risico’s voor uw websitebezoekers, zo meent het College Bescherming Persoonsgegevens.
  3. U zet ‘Gegevens delen met Google’ uit.In de standaardinstellingen van Google is aangevinkt dat Google de verzamelde persoonsgegevens van uw bezoekers voor eigen doeleinden mag gebruiken. Die opties kunt u uitvinken.
  4. U informeert de websitebezoeker over het gebruik van Google Analytics.Daarbij geeft u ook aan, dat u een bewerkersovereenkomst heeft gesloten, het laatste octet van het IP-adres heeft gemaskeerd, ‘gegevens delen’ heeft uitgezet en dat u geen gebruik maakt van andere Google-diensten in combinatie met de Google Analytics cookies. Ook raadt het College Bescherming Persoonsgegevens aan om een opt-out functie aan te bieden.

U vindt de volledige handleiding van het College Bescherming Persoonsgegevens hier.

Met deze handleiding heeft het College Bescherming Persoonsgegevens aangegeven wat u moet doen om Google Analytics te privacyvriendelijk gebruiken, als u geen toestemming vraagt voor het plaatsen van deze analytische cookies. Het is nogal wat. Bovendien is het sluiten van een bewerkersovereenkomst (stap 1) en het voldoen aan de informatieplicht (stap 4) ook nodig als u wél toestemming vraagt voor het plaatsen van cookies. Want u moet er wel voor zorgen dat Google als bewerker voldoende technische en organisatorische beveiligingsmaatregelen treft, zo schrijft artikel 14 Wet Bescherming Persoonsgegevens voor. En de websitebezoeker moet toch ook weten waarvoor hij precies toestemming geeft. Wel een versoepeling, maar geen versimpeling dus.

Wilt u weten of uw privacy statement nog up to date is? Bel of mail ons dan gerust.

4. Speelgoedhamsters

Bestuurder, maak het niet te bont!

Kan een bestuurder persoonlijk aansprakelijk zijn voor onrechtmatig handelen door zijn vennootschap? Over die vraag boog het Hof Den Haag zich in de zaak Cepia tegen bestuurder X.

Wat was er aan de hand?

X is bestuurder van Sigma B.V. Sigma koopt speelgoedhamsters in en verkoopt deze aan Dekamarkt, Dirk van den Broek en Blokker. Die speelgoedhamsters zijn een kopie van de echte Zhu Zhu Pet hamsters van Cepia. Namaak dus! Sigma maakt daardoor inbreuk op de merk-, model- en auteursrechten van Cepia. Een kort geding volgt. Sigma komt niet opdagen en wordt in een zogeheten ‘verstekvonnis’ voorlopig veroordeeld de inbreuken te staken, opgave te doen over de herkomst, distributiekanalen en hoeveelheid namaak-hamsters en een product recall te doen. In de daaropvolgende bodemprocedure spreekt Cepia niet alleen de vennootschap Sigma aan, maar ook haar bestuurder X.

Rechtbank: Bestuurder persoonlijk aansprakelijk? Alleen in heel bijzondere omstandigheden!

Met de veroordeling van Sigma heeft de Rechtbank geen moeite: de verhandeling van de namaak-hamsters door Sigma is een evidente inbreuk op de rechten van Cepia. Maar de vorderingen tegen de bestuurder X wijst de Rechtbank niet toe. De Rechtbank stelt voorop dat een rechtspersoon in beginsel uitsluitend zelf aansprakelijk is voor zijn schulden. Slechts onder bijzondere omstandigheden kan er aanleiding bestaan om de bestuurder of feitelijk leidinggevende daarvan aansprakelijk te houden voor onrechtmatig handelen. De Rechtbank haalt de Hoge Raad aan en geeft aan dat de bestuurder alleen dàn jegens een schuldeiser van de vennootschap onrechtmatig heeft gehandeld, als hij zodanig onzorgvuldig heeft gehandeld dat hem een ‘voldoende ernstig verwijt’ kan worden gemaakt. De bestuurder had het onrechtmatig handelen van de vennootschap, gelet op de kenbare belangen van de benadeelde (hier Cepia), behoren te voorkomen, luidt dan het verwijt. Dat de vennootschap van X inbreuk heeft gemaakt op de intellectuele eigendomsrechten van Cepia, maakt X dus nog niet persoonlijk aansprakelijk. En dat Sigma onvoldoende gevolg heeft gegeven aan het vonnis in kort geding, wil ook nog niet zeggen dat X persoonlijk aansprakelijk is, want die verplichtingen rusten niet op X persoonlijk, zo overweegt de Rechtbank. Tsja, X had dan aanvankelijk wel wat informatie vergeten te verstrekken, maar deed dat niet bewust. Cepia moest dus maar bij de vennootschap aankloppen.

Hof: Bestuurder heeft het hier wel heel bont gemaakt

Cepia liet het hier niet bij zitten. X had belangrijke informatie verzwegen. Een levering van 9000 namaak-hamsters zie je niet zomaar over het hoofd, zeker niet als je maar drie afnemers hebt! Bovendien ging de vennootschap van X, Sigma, failliet. Cepia kon zich dus alleen nog verhalen op het privévermogen van bestuurder X.

Heeft de bestuurder het zo bont gemaakt dat er sprake is van ‘een persoonlijk verwijt’? Cepia meent van wel en over die vraag laat zij het Hof buigen. Het Hof oordeelt dat X geen ernstig verwijt treft van de inbreuk op de intellectuele eigendomsrechten, op het moment dat hij niet wist of moest hebben geweten dat hij inbreuk pleegde. X was toen nog niet bekend in de speelgoedbranche en de Zhu Zhu Pets waren ook nog niet zo bekend in Nederland. Maar, dat geldt niet voor de periode nadat hij door Cepia van de inbreuk in kennis was gesteld. Nadat X een sommatiebrief van Cepia had ontvangen, was X op grond van de maatschappelijke zorgvuldigheid wel gehouden om verdere inbreuk door zijn afnemers tegen te gaan en juiste en volledige opgave te doen aan Cepia. X gaf Cepia geen tijdige en juiste informatie en was kennelijk onbereid openheid van zaken te geven, zo oordeelde het Hof. Hij wist, althans moest weten dat zo de inbreuk kon worden voortgezet. En dààrvan treft X wel persoonlijk een ernstig verwijt. X wordt dus alsnog persoonlijk aansprakelijk gehouden.

In het algemeen geldt, dat je het als bestuurder wel heel bont moet maken om persoonlijk aansprakelijk te zijn voor schulden van je vennootschap. Maar ben je als bestuurder eenmaal op de hoogte van een evidente inbreuk op de intellectuele eigendomsrechten van een ander, dan kan draaikonten je wel duur komen te staan. En dat is niet alleen voor ondernemers, maar ook voor houders van merk-, model- en auteursrechten goed om te weten. Want als er geen openheid van zaken wordt gegeven, heeft de rechthebbende er bij evidente inbreukzaken een pressiemiddel tegen de bestuurder bij!

Hans Jonkhout - advocaat Intellectuele Eigendom en ICT