post

Cybersecurity – de leercurve van de individu

De Algemene Verordening Gegevensbescherming (AVG) is per 25 mei 2018 in werking getreden. Rond diezelfde periode was er – naast veel aandacht voor de AVG – ook veel belangstelling voor een sociaal mediaplatform en een data-analysebedrijf. Men zou haast kunnen denken dat de berichtgeving over grote particuliere dataverzamelaars en de inwerkingtreding van beschermingsmaatregelen (de AVG) op elkaar waren afgestemd. Immers, de berichtgeving en parlementaire aandacht voor de dataverzamelaars, bracht de dode letter van de AVG tot leven.

Maar, niets is minder waar. De AVG was al geruime tijd in ontwikkeling en in andere bewoordingen (de Wet bescherming persoonsgegevens) ook reeds in ons midden. Echter, doordat het zichtbaar is geworden dat immense hoeveelheden data kunnen worden verzameld, geanalyseerd en ingezet voor diverse doeleinden, hebben de beschermingsmaatregelen van de AVG naar mijn mening een groter bereik gekregen. Men lijkt zich bewuster van het recht op privacy en verlangt van organisaties dat deze zorgvuldig omgaan met persoonsgegevens.

In dit betoog zal ik ingaan op de leercurve van de individu inzake cybersecurity. De individu heeft immers een niet te onderschatten invloed: men kan regeren met de voet. De mate waarin de individu vorderingen maakt in diens persoonlijke leercurve, heeft ook in organisatieverband voordelen: een individu die in privé gewend is bepaalde beveiligingsmaatregelen te treffen en/of bewust keuzes maakt en/of gewend is de juiste expertise bij zich te betrekken, zal de algehele organisatiebeveiliging – ten minste op het gebied van bewustwording – doen bevorderen.

Bekijk het artikel:

<<Cybersecurity – de leercurve van de individu>>

==

Volgende publicaties
Als vervolg op dit artikel, ben ik reeds in conceptvorm artikelen aan het schrijven over:

(1) De piramide van cybersecurity
Een artikel waarin de basisvereisten van IT-middelen stapsgewijs worden toegelicht.
(2) Verzekeren van groeiende digitale belangen
Een artikel waarin de effecten van digitale verzekeringen op cybersecurity worden toegelicht. Immers, een verzekeraar zal ook minimale eisen stellen, alvorens een verzekering kan worden afgesloten.
(3) Praktische tips voor individuen en organisaties
Een artikel waarin uiteen wordt gezet wat layered security is en welke cybersecurity-vraagstukken van belang zijn voor een goed informatiebeveiligingsbeleid.

Wilt u aan deze artikelen meewerken?

Mail dan naar privacy@exlege.nl.

post

Wiv 2017 (wijzigingen n.a.v. het referendum)

Groningen, 20 maart 2018
Aangepast: 7 april 2018

Geachte heer, mevrouw,

Dit overzicht is zorgvuldig samengesteld. Desalniettemin is deze weergave niet volledig en kunt u er geen rechten aan ontlenen. Het overzicht is tot stand gekomen door de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) 2002 te vergelijken met de Wiv 2017. Voor de uitleg is gebruik gemaakt van de memorie van toelichting, 34588 nr. 3 kamerstukken II, vergaderjaar 2016/17. Daarnaast zijn de betreffende artikelen – zo veel als mogelijk – genoemd, opdat u de wet erop kunt naslaan.

De wijzigingen n.a.v. het referendum worden schuingedrukt weergegeven. Bekijk op de website van de Rijksoverheid de volledige brief.

Definities:

PC’s: geautomatiseerde werken.
Aftappen / verzamelen: alle bij wet toegestane methoden voor het verkrijgen van gegevens.

Met hoogachting en vriendelijke groet,

Ex Lege B.V.

 

Bijzondere bevoegdheden – toestemming

1. Journalisten
Indien het uitoefenen van een bijzondere bevoegdheid jegens een journalist tot gevolg kan hebben dat de bronnen van de journalist inzichtelijk worden, moet voorafgaand toestemming worden gevraagd aan de rechtbank Den Haag.

> Artikel 30 lid 2 Wiv 2017

“Voor het delen van gegevens over de journalist zelf geldt, net als voor alle geëvalueerde gegevens, dat daarbij steeds een zorgvuldige afweging wordt gemaakt, waarbij ook rekening wordt gehouden met de functie van een individu en de bescherming van diens privacy en veiligheid.
Indien de diensten vaststellen dat een journalist voorkomt in de verzamelde data zullen zij die gegevens niet delen met buitenlandse diensten, tenzij dat noodzakelijk is voor de nationale veiligheid.”

‘Kamerbrief met reactie op raadgevend referendum Wet op de inlichtingen- en veiligheidsdiensten’, 6 april 2018, Rijksoverheid.nl, laatst geraadpleegd, 7 april 2018, p. 4.

2. Advocaten
Indien het uitoefenen van een bijzondere bevoegdheid jegens een advocaat tot gevolg kan hebben dat de vertrouwelijke communicatie van de advocaat met cliënten inzichtelijk worden, moet voorafgaand toestemming worden gevraagd aan de rechtbank Den Haag.

> Artikel 30 lid 3 Wiv 2017

 

Bijzondere bevoegdheden – inhoudelijk

3. Gericht en onderzoeksopdrachtgericht

De inlichtingendiensten mogen – naast het gericht verzamelen van gegevens – ook onderzoeksopdrachtgericht gegevens verzamelen.

> Artikel 47, 48, 49, 50 Wiv 2017

> Artikel 25 Wiv 2002

“Er wordt een beleidsregel opgesteld die vastlegt dat, in het verlengde van de motie Recourt (vergaderjaar 2016–2017, 34 588, nr. 55), de inzet van de bevoegdheden door de diensten zo gericht mogelijk dient te zijn. Daarbij wordt de inbreuk op de grondrechten van derden nadrukkelijk meegewogen. Gerichtheid van de inzet wordt daarom binnen de wettelijke eis van proportionaliteit beoordeeld en dient expliciet te worden beschreven in de aanvraag tot de inzet van een bijzondere bevoegdheid.

De betrokken ministers zullen geen toestemming geven voor de inzet van de bijzondere bevoegdheid, indien deze toelichting niet adequaat is opgenomen. De TIB wordt verzocht dit punt bij haar rechtmatigheidstoets te betrekken en de CTIVD wordt verzocht om hierover te rapporteren. Vanzelfsprekend zal het effect van deze beleidsregel ook in de evaluatie worden meegenomen.”

‘Kamerbrief met reactie op raadgevend referendum Wet op de inlichtingen- en veiligheidsdiensten’, 6 april 2018, Rijksoverheid.nl, laatst geraadpleegd, 7 april 2018, p. 3.

4. Medewerking versleuteling ongedaan maken

De inlichtingendiensten kunnen zich tot personen wenden die kennis hebben van de wijze van versleuteling betreffende gegevens die in het kader van gerichte en onderzoeksopdrachtgerichte verzamelingen zijn verkregen.

> Artikel 57 Wiv 2017

5. Onderzoek 5 jaren na uitoefenen bevoegdheid

5 jaren na het uitoefenen van een bijzondere bevoegdheid, wordt onderzocht of een verslag aan de betrokkene kan worden uitgebracht.

Dit verslag bevat:

Wel

(Wiv 2002 & Wiv 2017)

Niet
(nieuwe bevoegdheden Wiv 2017)

44: brieven, geadresseerde zendingen

47: gericht aftappen

58: binnentreden van een woning zonder toestemming van de bewoner

43: DNA-onderzoek

45:

(lid 7) binnendringen via de PC van een derde

(lid 8) binnendringen in de PC van een ander (die in de plaats treedt van / aan aanvulling is op)

48, 49, 50: onderzoeksopdrachtgerichte verzamelingen

 

Bewaartermijnen

“In afwijking van het bepaalde in artikel 27, eerste lid, mogen gegevens die zijn verzameld door uitoefening van de bevoegdheid als bedoeld in het eerste lid voor een periode van ten hoogste drie jaren na verwerving of na het ongedaan maken van de versleuteling worden bewaard ten behoeve van een gegevensverwerking als bedoeld in de artikelen 49 en 50. Gegevens waarvan in dat kader is vastgesteld dat deze niet relevant zijn voor het onderzoek dan wel enig ander lopend onderzoek vallend onder de taken, bedoeld in artikel 8, tweede lid, onder a en d, onderscheidelijk artikel 10, tweede lid, onder a, c en e, worden terstond vernietigd. Gegevens die niet op hun relevantie zijn onderzocht, worden na afloop van deze periode terstond vernietigd.”
> Artikel 48 lid 5 Wiv 2017

“De diensten krijgen de verplichting om een jaar na toestemming voor de inzet van OOG-interceptie op de kabel aan te geven of, en zo ja waarom deze gegevens langer bewaard dienen te worden. Om de gegevens langer te kunnen bewaren, moet de betrokken minister jaarlijks om toestemming worden verzocht, tot de maximale bewaartermijn van drie jaar. Als de minister hier geen toestemming voor geeft, worden de gegevens vernietigd. In een beleidsregel wordt vastgelegd dat binnen de periode van drie jaar, ieder jaar een beoordeling plaatsvindt of bewaren van de betreffende gegevens nog noodzakelijk is.”

‘Kamerbrief met reactie op raadgevend referendum Wet op de inlichtingen- en veiligheidsdiensten’, 6 april 2018, Rijksoverheid.nl, laatst geraadpleegd, 7 april 2018, p. 3.

 

Toetsingscommissie inzet bevoegdheden (TIB)

Afdelingen van de commissie

De commissie van toezicht bestaat uit twee afdelingen:

– De afdeling toezicht

Bestaat uit drie leden van de commissie van toezicht (artikel 98 lid 1, tweede zin Wiv 2017)

– De afdeling klachtbehandeling

Bestaat uit één lid van de commissie van toezicht (die tevens voorzitter is) én twee andere leden (artikel 98 lid 1, laatste zin en artikel 98 lid 2 Wiv 2017)

6. Het toezicht van de commissie ziet op de volgende onderdelen:

Wel

Niet

40: observeren en volgen

42: doorzoeken van besloten plaatsen

43: DNA-onderzoek

uit te voeren binnen drie maanden, anders te verlengen voor 3 maanden (met toestemming TIB)

45:

(lid 1, 3) PC’s verkennen die op een netwerk zijn aangesloten en binnendringen.

(lid 1, 5) Binnendringen in een PC via de PC van een derde.

47: gericht verzamelen van gegevens.

48: onderzoeksopdrachtgericht verzamelen van gegevens.

  • 49: Vaststellen kenmerken en aard telecommunicatie, vaststellen identiteit persoon/organisatie, vaststellen en verifiëren van selectiecriteria in relatie tot personen/organisaties, identificatie van personen/organisaties.

  • 50 (lid 2) Selecteren van gegevens,

  • 50 (lid 4) uitvoeren van een data-analyse

53: medewerking vragen aan communicatiediensten voor gerichte en onderzoeksopdrachtgerichte verzamelingen van gegevens.

54: communicatiedienst of hostingprovider vragen de beschikbare gegevens te overhandigen.

57: een persoon benaderen die kennis heeft van de wijze waarop gegevens zijn versleuteld.

41: inzetten agenten

42: doorzoeken gesloten voorwerpen, verrichten van onderzoek aan een voorwerp gericht op de vaststelling van de identiteit van een persoon

44: brieven en geadresseerde zendingen openen. (toets Rb Den Haag i.p.v. TIB)

45 (lid 8): binnendringen van de PC van een ander die in plaats treedt van/een aanvulling is op

52: gegevens opvragen bij een communicatiedienst, die dienen voor het uitvoeren van de gerichte en onderzoeksopdrachtgerichte verzameling van gegevens.

55: gegevens over een gebruiker (locatie, nummer) en over het communicatieverkeer bij de communicatiedienst opvragen. (per AMvB nader te bepalen welke gegevens opgevraagd kunnen worden).

56: gegevens over een gebruiker (NAW-gegevens, bankgegevens) opvragen.

 

Andere landen

7. Delen van data zonder samenwerkingsrelatie
De inlichtingendienst moeten op grond van een dringende en gewichtige reden geëvalueerde en ongeëvalueerde gegevens kunnen delen met de inlichtingendiensten van een land waar geen samenwerking mee bestaat.

// De commissie van toezicht wordt terstond op de hoogte gesteld.

> artikel 64 Wiv 2017

“Bij de uitwisseling van ongeëvalueerde gegevens met een buitenlandse dienst, wordt de CTIVD direct geïnformeerd zodat zij hierop toezicht kan houden. Daarnaast is besloten dat met buitenlandse diensten waarvoor (nog) geen wegingsnotitie is opgesteld, geen uit OOG-interceptie op de kabel verkregen ongeëvalueerde gegevens gedeeld worden. Dit zal in een beleidsregel worden vastgelegd.”

Kamerbrief met reactie op raadgevend referendum Wet op de inlichtingen- en veiligheidsdiensten’, 6 april 2018, Rijksoverheid.nl, laatst geraadpleegd, 7 april 2018, p. 2.

8. Delen van data met samenwerkingsrelatie
De inlichtingendienst moeten op grond van een dringende en gewichtige reden ongeëvalueerde gegevens kunnen delen met de inlichtingendiensten van een land waar wel een samenwerking mee bestaat.
> artikel 89 lid 2 Wiv 2017

9. Samenwerkingsrelaties of ondersteunen
De wet zal voorzien in samenwerkingsrelaties met inlichtingendiensten van andere landen, naast de bestaande bepalingen die voorzien in het ondersteunen van inlichtingendiensten van andere landen.
> Artikel 88, 89 Wiv 2017
> Artikel 59 Wiv 2002

10. Mandateren
De beslissing of een samenwerking met de inlichtingendiensten van een ander land wordt aangegaan, zal de minister kunnen mandateren (laten beslissen door) aan het hoofd van de AIVD of MIVD.

// Dit was uitsluitend te mandateren ingeval van spoed.

> Artikel 88 lid 4 Wiv 2017
> Artikel 59 lid 5 en 6 Wiv 2002

 

Commissie van toezicht

11. Uitbreiden van leden
De commissie van toezicht – een commissie die gevraagd en ongevraagd adviseert, toeziet op de rechtmatigheid van de uitvoering – verandert van 3 naar 4 leden.

> Artikel 65 Wiv 2002
> Artikel 98 Wiv 2017

 

Klachtrecht

Klachtrecht
12. Ombudsman – Commissie van Toezicht
Een klacht dient bij een afdeling van de commissie van toezicht te worden ingediend in plaats van de Nationale ombudsman.

> Artikel 114 Wiv 2017
> Artikel 83 Wiv 2002

13. Uitvoeren oordeel afdeling Klachten
De minister dient het oordeel van de afdeling klachtbehandeling uit te voeren.

> Artikel 124 lid 5 Wiv 2017
> Artikel 84 lid 3 Wiv 2002

14. Gevolgen van gegronde klachten
Als de afdeling klachtbehandeling oordeelt dat er sprake is van een onrechtmatige of niet behoorlijke gedraging, dient deze bevoegd te zijn te bepalen dat:
1. Een lopend onderzoek wordt gestaakt;
2. De uitoefening van een bevoegdheid dient te worden beëindigd;
3. Door de diensten verwerkte gegevens worden verwijderd en vernietigd.

> Artikel 124 lid 4 Wiv 2017

 

Misstanden

15. Misstanden melden
De wet zal voorzien in een procedure inzake vermoedens van misstanden.

> Artikel 125 e.v. Wiv 2017

 

// De brief bevat ook een opmerking m.b.t. het verwerken van medische gegevens. Zie daarvoor punt 5 van de brief.

Wil u meer weten over privacy?
Bezoek de bijeenkomst 17 april 2018

 

Kunt u deze bijeenkomst niet bijwonen, maar bent u wel geïnteresseerd? Maak dan uw interesse kenbaar via privacy@exlege.nl. Indien er meerdere geïnteresseerden zijn, volgt er nog een bijeenkomst.

post

Het referendum (een handreiking)

Deze vragenlijst (15 vragen) wordt u aangeboden door Ex Lege B.V. en is bedoeld als handreiking.

Het is niet mogelijk gebleken om alle wijzigingen in deze lijst weer te geven. Voor een volledige weergave van de Wiv 2017 verwijzen wij u graag naar de wettekst.

 

Definities:
PC’s: geautomatiseerde werken.
Aftappen / verzamelen: alle bij wet toegestane methoden voor het verkrijgen van gegevens.

Met hoogachting en vriendelijke groet,

Ex Lege B.V.

Download de vragenlijst (excel):

>>>Vragenlijst Wiv2002 – Wiv2017<<<

==

21 maart 2018 is het referendum over de ‘sleepwet’ (de nieuwe Wet op de Inlichtingen- en Veiligheidsdiensten).

Wilt u meer weten over deze wet?
20 maart 2018 organiseert Ex Lege B.V. een informatiebijeenkomst over de nieuwe wet. Tijdens deze bijeenkomst krijgt u inzage in de juridische en technische aspecten van deze wet.

De bijeenkomst is kosteloos en voorkennis is niet vereist.

Spreker
Derya: IT-jurist

Locatie/tijd
Koningsweg 21
9731 AN Groningen
20.00 – 22.00 uur

post

Meltdown & Spectre: volg het NCSC!

U hebt vast al iets gehoord/gelezen over kwetsbaarheden in processoren. Het Nationaal Cyber Security Centrum (NCSC) publiceert op de website de nieuwste ontwikkelingen. Het is dringend aan te raden deze ontwikkelingen te volgen; de kwetsbaarheden kunnen zowel voor de thuisgebruiker als voor de ondernemer nadelige gevolgen hebben.

Tot dusver wordt door leveranciers het volgende aangeraden:
1. Update uw besturingssysteem
2. Update uw webbrowser
3. Houd u aan alle overige veiligheidsadviezen (klik niet op links die u niet 100% kunt vertrouwen e.d.)

Waarom moet u meteen actie ondernemen?
Het lek blijkt al een tijdje bekend te zijn, maar de aanvalssoftware, waar de aanval mee kan worden uitgevoerd, is nu openbaar gemaakt. Het NCSC zegt hierover:

“Misbruik van de kwetsbaarheden is complex. Hiervoor is geavanceerde kennis nodig. Het NCSC verwacht dat de groep van mogelijke aanvallers snel zal groeien nu volledige informatie over het onderzoek beschikbaar is. (..)”[1]
Lees het volledige bericht: https://www.ncsc.nl/…/nieuwsberich…/meltdown-en-spectre.html

Wilt u meer lezen over de kwetsbaarheden?
Spectre: https://spectreattack.com/
Meltdown: https://meltdownattack.com/

[1] https://www.ncsc.nl/…/nieuwsberich…/meltdown-en-spectre.html

Laatst bijgewerkt: 06 januari 2018

post

De AVG: belangrijke veranderingen

De AVG: belangrijke veranderingen

1.0 Inleiding

De huidige privacywetgeving staat (grotendeels) in de Wet bescherming persoonsgegevens, die is gebaseerd op een richtlijn uit 1995. In 1995 werd al rekening gehouden met de toekomst (de opkomst van het internet, groeiende bedrijven e.d.), maar de huidige stand van de ontwikkelingen gaf aanleiding de privacywetgeving van een update (en soms een upgrade) te voorzien.

Dit heeft geresulteerd in de privacyverordening (AVG/GDPR). De verordening houdt rekening met de huidige inzichten en biedt zoveel mogelijk waarborgen voor eventuele toekomstige ontwikkelingen. Doordat de nieuwe privacywetgeving in de vorm van een verordening is opgesteld, geldt de tekst van de verordening onverminderd in de lidstaten van de Europese Unie: de lidstaten hoeven de tekst niet eerst om te zetten in nationale wetgeving, hetgeen bij de richtlijn wel het geval was. Dus per mei 2018 geldt de tekst van de privacyverordening zowel in Nederland als in andere Europese lidstaten.

 

1.1 De meldplicht vervalt, maar er zal een documentatieplicht gaan gelden.

– Als u persoonsgegevens verwerkt, dient u een register van verwerkingsactiviteiten bij te houden (behoudens de uitzonderingen). De Autoriteit Persoonsgegevens kan ieder gewenst moment bij u langskomen om te controleren of u het register bijhoudt.

– In sommige gevallen dient u (behoudens de uitzonderingen) een Privacy Impact Assessment (PIA) uit te voeren. Dit is een document waaruit blijkt dat u o.a. in kaart hebt gebracht welke gegevens u verwerkt, wat de doeleinden zijn, wat de risico’s zijn, welke maatregelen u treft en wat de noodzaak van de verwerking met betrekking tot de doeleinden is.

 

1.2 Betrokkenen krijgen meer rechten, onder andere:

– De betrokkenen krijgen onder andere het recht op dataportabiliteit: het kunnen overdragen van de gegevens van de ene partij naar de andere. Dit recht brengt met zich mee dat de gegevens in een ‘overdraagbaar’ format beschikbaar moeten zijn.

– De betrokkenen moeten voor bepaalde verwerkingen (uitdrukkelijk) toestemming geven. Dit recht heeft tevens tot gevolg dat de verwerkingsverantwoordelijke (desgevraagd) moet kunnen aantonen dat de betrokkene toestemming heeft gegeven.

 

1.3 Het kan zijn dat u een privacyfunctionaris moet aanstellen.

– In sommige gevallen zijn organisaties verplicht om een privacyfunctionaris aan te stellen. Dit is een natuurlijk persoon (vooralsnog geen rechtspersoon) die toeziet op de naleving van de privacyverordening, maar ook de verwerkingsverantwoordelijke en verwerker van advies en informatie voorziet.

– Ook in de gevallen dat het niet verplicht is om een privacyfunctionaris aan te stellen, kan het handig zijn om een (externe) functionaris aan te stellen die u altijd kunt benaderen voor informatie en advies.

 

1.4 De boetes kunnen hoger uitvallen.

– Als de Autoriteit Persoonsgegevens vaststelt dat u de privacyverordening niet naleeft, kan deze boetes opleggen. De AVG maakt het mogelijk om hogere boetes op te leggen: een percentage (%) van de omzet van een onderneming kan als boetebedrag worden opgelegd.

 

1.5 Is een BSN nog een bijzonder persoonsgegeven

– De privacyverordening kwalificeert een BSN niet als een bijzonder persoonsgegeven.

– Dit betekent echter niet dat de verwerking van een BSN vrij van waarborgen zal zijn: de privacyverordening biedt de nationale wetgever de mogelijkheid om specifieke voorwaarden op te stellen voor de verwerking van een BSN. Dit wordt door de Nederlandse wetgever gedaan middels een uitvoeringswet (een wet waarin de Nederlandse wetgever extra regels opstelt of regels nader vorm geeft). De Nederlandse wetgever wil – blijkens de conceptversie van de uitvoeringswet – specifieke voorwaarden opstellen voor het verwerken van een BSN. Wat de regels precies zullen zijn, wordt duidelijk als de uitvoeringswet definitief is geworden.

 

Laatst gewijzigd: 30 september 2017

Wilt u meer weten over de AVG?
Bezoek de bijeenkomsten!

 


 

Wilt u de nieuwsbrief ontvangen?

[si-contact-form form=’2′]


 

post

Zijn Smart Contracts een dreiging voor de notaris? Niet voor de ‘smart notaris’!

Smart Contracts (ofwel: slimme contracten) zijn transacties die worden vastgelegd in de blockchain. De blockchain is nog niet onder het grote publiek bekend, maar één van de toepassingen van de blockchain zegt de meesten wel iets: bitcoin. Bitcoin is een digitale munt die vooral bekendheid kreeg omdat het kort na de ingebruikneming qua waarde enorm steeg en ook erg populair was onder mensen die bepaalde transacties buiten het bereik van (toezichthoudende) autoriteiten wilden houden.

Naast de toepasbaarheid van de blockchain voor digitale munten, kan de blockchain voor meerdere doeleinden worden gebruikt. Deze toepassingsmogelijkheden zijn divers van aard en komen de zelfbeschikkings- en ‘het gemak dient de mens’-wensen ruimschoots tegemoet. Smart Contracts zijn daar een voorbeeld van. Daarover meer in dit artikel.

1.0 Een introductie in Smart Contracts
De mogelijkheid om van Smart Contracts gebruik te maken, wordt als een veelbelovende blockchaintoepassing genoemd die – in de toekomst – zelfs de functie van een notaris kan overnemen: de blockchain kan de rol van vertrouwde derde gaan vervullen. Eén van de basisprincipes van blockchain is immers dat er geen vertrouwen meer nodig is bij het aangaan van transacties: de blockchain is zo ontworpen dat – volgens de huidige stand van de techniek – sjoemelen lastig/haast onmogelijk is en daarmee vertrouwen in de transactiepartner niet nodig is.

De toepassing Smart Contract is – ook zonder voorkennis – het beste te begrijpen aan de hand van een voorbeeld.

Ter illustratie
Barend wil een huis kopen en heeft met de verkoper (Annemarie) een bedrag afgesproken. Barend
en Annemarie maken gebruik van blockchain en voeren de volgende transactie in:
1. Als het huis van Annemarie – identificatienummer: HSisode02394 – op naam van koper Barend is ingeschreven in het Kadaster,
2. Dan moet € 150.000 (het afgesproken bedrag) van Barends rekening worden overgemaakt op de rekening van Annemarie.

De bovenstaande voorwaarden vormen het Smart Contract: als X, dan Y. De blokkenketen waarin het Smart Contract wordt genoteerd (en waardoor het niet meer te wissen of aan te passen is) is de blockchain. De blockchain is dus een groot logboek van allerlei transacties.

Voor het uitvoeren van deze transactie is het (om te beginnen) van belang dat het huis met identificatienummer HSisode02394 daadwerkelijk aan Annemarie toebehoort en dat Barend over de afgesproken € 150.000 beschikt. Deze controle wordt normaliter door een notaris uitgevoerd: die raadpleegt o.a. de Kadasterinschrijvingen en zorgt ervoor dat de afgesproken koopsom beschikbaar is voor overdracht.

Het ‘overnemen’ van de notarisfuncties uit het bovengenoemde voorbeeld zou na één aanpassing al mogelijk zijn: het huis moet worden gekoppeld aan het blockchainaccount van Annemarie. Als uit de voorgaande transacties van Barends account kan worden opgemaakt dat hij over de afgesproken € 150.000 beschikt, is – uitgaande van deze twee controles – voor de overdracht van het huis geen notaris meer nodig. De transactie wordt automatisch uitgevoerd en de partijen kunnen deze (volgens het basisprincipe van blockchain) niet meer aanpassen en/of wissen.

1.1 Enkele (juridische) bezwaren
In de techniek zit dus niet echt de grootste uitdaging, al moet er natuurlijk wel een goede toepassing worden gebouwd om deze functionaliteiten mogelijk te maken. M.a.w. als de werkzaamheden van een notaris enkel uit de genoemde twee controles bestaat en men slechts een notaris bezoekt omdat deze een vertrouwde derde is, dan is het einde van het notariaat in zicht.

Toch is dat maatschappelijk en juridisch gezien te kort door de bocht: het notariaat heeft in de afgelopen eeuwen niet alleen door deze twee controles aanzien verworven. Een notaris is een jurist met verregaande bevoegdheden en verantwoordelijkheden: doordat een notaris (in het huidige voorbeeld) een overdacht realiseert, veranderen de rechten en plichten van de betrokkenen. Annemarie was een huiseigenaar en is dat – na deze overdracht – niet meer.

Ter illustratie
Als Annemarie tijdens de verkoop psychische problemen had of een verwarde indruk maakte, zou de blockchain dit niet direct hebben afgeleid uit de ingevoerde transactie. Een notaris zou een dergelijk verwarde indruk wellicht/hopelijk opvallen, bijvoorbeeld doordat Annemarie een bijzonder lage prijs voor het huis vraagt zonder dat daar bijzondere redenen voor zijn. Daarnaast informeert de notaris de partijen over de juridische gevolgen van hun handelen; een informatieplicht die zeker van belang is gezien de juridische consequenties van een overdracht.

1.2 Technische buffers als oplossing voor (juridische) bezwaren
Er zijn natuurlijk wel technische mogelijkheden om extra buffers in te bouwen, bijvoorbeeld:

  1. Als de blockchain constateert dat er een transactie is ingevoerd met als doel de overdracht van een huis, dan kan als extra voorwaarde worden ingevoerd dat iemand een gewaarmerkt (voorzien van een identificatienummer) psychisch rapport moet hebben gekoppeld aan de blockchain, waaruit kan worden opgemaakt dat een BIG-geregisteerde psycholoog een positief advies over iemands geestelijke toestand heeft gegeven. In theorie kan de overdracht dan enkel plaatsvinden als dat rapport is gekoppeld en uit de codes blijkt dat het advies positief is.

  2. Daarnaast kan de actuele WOZ-waarde van de woning aan de blockchain worden gekoppeld of kan een taxatierapport worden geëist om de transactie succesvol uit te laten voeren. Indien het verkoopbedrag dan een afwijking van bijvoorbeeld 20% heeft ten opzichte van het taxatierapport of de WOZ-waarde kan een ‘pop-up’ verschijnen waarin de verkoper op deze afwijking wordt gewezen en deze wordt gevraagd of dit écht het gewenste verkoopbedrag is.

//1.2.1 Bezwaren tegen de technische buffers die als oplossing kunnen dienen voor (juridische) bezwaren :).

Het is wel de vraag of men na het inbouwen van deze buffers nog wel over een blockchain kan spreken: de wil van de partijen is dan niet meer bepalend voor de transactie en er is blijkbaar een derde (een overheid?) die bepaalt dat een extra buffer moet worden ingebouwd en daarmee zeggenschap krijgt over de transactie(voorwaarden). Aangezien de oorspronkelijke blockchain (er zijn meerdere variaties) open source is en door meerdere ontwikkelaars (vanuit ideële gedachten) is ontwikkeld, is het überhaupt maar de vraag of dergelijke transactievoorwaarden dusdanig breed gedragen worden zodat ze ook worden ingevoerd. Hetgeen resulteert in toch weer een menselijke (notariële) controlefunctie.

En dan nog maar te zwijgen over het in acht te nemen privacyaspect.

1.3 Kostenverlagend: derdengeldenrekening en inschrijfkosten
Dit betekent natuurlijk niet dat er helemaal geen veranderingen te verwachten zijn. Om te beginnen zal mijns inziens de toegevoegde waarde van een derdengeldenrekening worden heroverwogen. De kosten voor een derdengeldenrekening en de kosten voor het beheer (i.c. de notaris) zullen – als de blockchain volledig is ingevoerd – waarschijnlijk ter discussie worden gesteld: waarom zou men meer betalen voor dergelijke diensten als het vertrouwelijke element daarvan kan worden overgenomen door de blockchain tegen lagere kosten? Eenzelfde gedachtegang kan worden gevolgd aangaande de kadasterinschrijvingen: die kunnen ook via de blockchain verlopen en mogelijk voor een lager tarief.

De mogelijkheid om meerdere zaken zelf te regelen en dat tegen een lager tarief, zal kunnen resulteren in een combinatie van verschillende handelingen die samenkomen (samen worden gebracht) in de blockchain.

Ter illustratie
Stel dat het bouwen van technische buffers bezwaarlijk is – of de buffers ontoereikend worden geacht – en dat voor de overdracht van een huis de betrokkenheid van een notaris noodzakelijk blijft. Dan is de blockchain – met kostenbesparende functionaliteiten – niet geheel uit het zicht en is het mogelijk dat een werkwijze wordt verlangd waarbij de notaris een identificatienummer afgeeft, zodat de onderhandelende partijen naar de blockchain kunnen. De transactie die de partijen dan invoeren, zou er als volgt uit kunnen zien:

1. Als een uniek identificatienummer van de notaris is verkregen,
2. dan moet de € 150.000 (het afgesproken bedrag) van Barends rekening worden overgemaakt op de rekening van Annemarie, en
3. het huis van Annemarie – identificatienummer: HSisode02394 – op naam van koper Barend worden ingeschreven in het Kadaster.

1.4 Tot slot
In dit artikel is een korte schets gegeven van de uitwerkingen van Smart Contracts. Deze Smart Contracts staan momenteel nog in de kinderschoenen, hetgeen uitnodigt om zo veel mogelijk theoretische opties in kaart te brengen, opdat de juridische denkslag in dezen (min of meer) gelijkelijk opgaat met de technische ontwikkelingen.

Door gebruik te maken van een voorbeeld heb ik getracht enkele opties en bezwaren in kaart te brengen. Het kopen van een huis is uiteraard in meerdere onderdelen op te splitsen en er zijn meer onderdelen die via de blockchain kunnen verlopen. Daarnaast zijn er natuurlijk ook meerdere bezwaren en (mogelijke) oplossingen te noemen. Toch lijkt het er – met de kennis van nu – niet op dat een notaris één-op-één zal worden vervangen door de blockchain.

Dat hoeft op zich geen reden te zijn om de blockchain links te laten liggen: de Smart Contracts kunnen een andere manier van werken en wellicht een andere manier van denken (bijvoorbeeld het digitaliseren van zaken) tot gevolg hebben. Tevens is het relevant om op te merken dat de techniek onverminderd in ontwikkeling is en een actieve opstelling van juristen kan bijdragen aan een goede ontwikkeling van de Smart Contracts. Door de technische mogelijkheden vanuit een juridisch perspectief te beoordelen/te versterken, kunnen de technische en juridische ontwikkelingen resulteren in een voor beide disciplines (en de uiteindelijke gebruikers) wenselijk resultaat.

Ervan uitgaande dat de Smart Contracts op enigerlei wijze invloed zullen hebben op het notariaat, kan met aan zekerheid grenzende waarschijnlijkheid worden geconcludeerd dat Smart Contracts geen dreiging zullen zijn voor de ‘Smart Notaris’ die er op tijd bij is en aan de (juridische) ontwikkeling bijdraagt.

Wilt u meer weten over de blockchain en smart contracts? Bezoek dan de informatiebijeenkomst Blockchain (dinsdag 18 juli 2017).

Wilt u zich inschrijven voor deze informatiebijeenkomst? Klik dan <hier>.

Wilt u reageren op dit bericht? U kunt uw opmerking/suggestie/vraag kenbaar maken door te mailen naar info@exlege.nl

Laatst gewijzigd: 12 juli 2017

Wilt u meer weten over de Blockchain?
Bezoek op 18 juli a.s. de informatiebijeenkomst.

 


Telefoon
050 205 33 22
Ma-Vr: 09.00 – 21.00u
Za: 10.00-16.00u

Mail/app
Mail: info@exlege.nl
App (Signal): 06 – 216 050 01
Reactietermijn: één werkdag

Postadres
Postbus 9101
9703 LC Groningen

Bezoekadres
Koningsweg 21
9731 AN Groningen
Stuur géén post naar het bezoekadres

post

De plug-and-play van veilig mailen

In een eerder artikel is reeds toegelicht dat de mail geen veilig communicatiemiddel is. In dit artikel zal ik een schets geven van plug-and-play opties om veiliger te mailen, met als belangrijkste toevoeging dat er methoden zijn die geen installaties van de ontvangende partij vergen.

1.0 Plug-and-play is de standaard

Om het mailen veiliger te maken, kan van een PGP-versleuteling gebruik worden gemaakt. Ondanks de vele voordelen die een PGP-versleuteling biedt, behoort PGP-versleuteling nog niet tot de standaard. Het ontbreken van een plug-and-play optie voor PGP-versleuteling, kan een belemmering zijn voor de ingebruikneming ervan. Beide partijen (verzender en ontvanger) moeten sleutels activeren, wachtwoorden onthouden en naar elkaars publieke adressen verwijzen. Met andere woorden: versleutelt mailen kost tijd en energie. Daarnaast zijn er steeds meer mailaanbieders die een end-to-end encryptie aanbieden, waardoor de nut en noodzaak van PGP-versleuteling kan vervagen.

Toch is end-to-end encryptie niet geheel effectief: als de mail naar een ander maildomein wordt verzonden, is het mogelijk dat deze end-to-end encryptie niet kan worden geactiveerd. Dit heeft tot gevolg dat het bericht alsnog zonder versleuteling de mailserver(s) van de wederpartij benadert. Daarnaast is het van belang om goed uit te zoeken wie de sleutels van de end-to-end encryptie beheert; het is bijvoorbeeld mogelijk dat de maildienst zelf een kopie van de sleutel opslaat, waardoor de vertrouwelijkheid ter discussie kan worden gesteld.

PGP-versleuteling en end-to-end encryptie hebben in ieder geval één belangrijke overeenkomst: de effectiviteit hangt af van de wederpartij. Heeft de wederpartij een onveilige mailserver of geen PGP-sleutels, dan komen de beveiligingsmaatregelen van de verzender op losse schroeven te staan.

2.0 PGP-versleuteling

2.1 Vereisten voor PGP-versleuteling

Een mailgebruiker dient twee sleutels aan te maken voor het mailadres: een privé- én publieke sleutel. De publieke sleutel is een soort postadres waarop de mailgebruiker versleutelde mails kan ontvangen en naar toe kan zenden. De privé sleutel is juist om de mails die via (het postadres van) de publieke sleutel zijn verzonden, te ontcijferen óf om deze voor verzending te versleutelen.

Voor het aanmaken van de sleutels zijn meerdere diensten/programma’s beschikbaar. Een gebruiker van Thunderbird (een e-mailprogramma dat op de computer draait) kan bijvoorbeeld het hulpprogramma Enigmail installeren en zodoende sleutels aanmaken, maar er zijn ook plugins voor webbrowsers (Firefox, Chrome, Internet Explorer e.d.) die voorzien in dergelijke versleutelprogramma’s, bijvoorbeeld Mailvelope.

2.2 Verzenden en ontvangen met een PGP-versleuteling

Als de PGP-sleutels eenmaal zijn geïnstalleerd, dient de verzender het publieke postadres van de ontvanger te weten. Door dit publieke postadres aan de mail toe te voegen en de mail te versleutelen met de privé sleutel, wordt de inhoud van het bericht versleuteld.

De ontvanger ziet dat er via het publieke postadres een mail is ontvangen en ontcijfert vervolgens de inhoud met diens privé sleutel.

3.0 Plug-and-play versleuteling

De korte schets van de PGP-versleuteling toont aan dat het plug-and-play principe niet helemaal toepassing vindt: pas als iedereen PGP-sleutels zou hebben, zal het versleuteld mailen plug-and-play worden. En in de “pas als” zit de kern van de uitdaging: hoe beweeg je iedere mailgebruiker PGP-sleutels aan te maken?

De relevantie uitleggen van PGP-versleuteling is wellicht één van de opties: er wordt veel via e-mail verzonden, dus zijn er ook steeds meer mails met een vertrouwelijke inhoud. De vertrouwelijkheid van die inhoud, inhoudende dat een onbevoegde derde deze lastiger kan waarnemen, wordt door PGP-versleuteling vergroot.

3.1 Het afdwingen van beveiligde mails

Als het uitleggen onvoldoende effect sorteert, kan een andere optie worden bekeken: het afdwingen dat de mails beveiligd worden verzonden. Voor deze methode (het afdwingen) zijn inmiddels ook steeds meer initiatieven, denk bijvoorbeeld aan ProtonMail en TutaNota. Een goede verdieping in de bedrijfsprofielen, werkwijze en jurisdictie van deze initiatieven is uitermate verstandig, maar de afgedwongen beveiligde mails werken min of meer als volgt:

  1. Als de verzender van het bericht waarde hecht aan de vertrouwelijkheid van de mails én de ontvanger geen gebruik maakt van beveiligde (PGP) mailopties, kan de verzender het bericht met een wachtwoord beveiligen.

  2. De ontvanger krijgt dan een notificatie in de mailbox met de volgende strekking: “U hebt een bericht ontvangen. Klik op deze link om de mail te openen.”

  3. Door op de link in de notificatiemail te klikken, opent een scherm in de webbrowser. Dit scherm bevat niet de inhoud van het verzonden bericht, maar vraagt om het wachtwoord dat door de verzender is ingesteld.

  4. Als de verzender het wachtwoord meedeelt (bijvoorbeeld door deze per telefoon, SMS, App of brief kenbaar te maken aan de ontvanger), kan de ontvanger het wachtwoord invoeren en de inhoud van de mail waarnemen.

// Het ingestelde wachtwoord is trouwens voor de verdere mailcommunicatie aan te houden, zodat niet iedere keer een nieuw wachtwoord moet worden doorgegeven.

  1. De ontvanger wordt – door vele van deze maildiensten – óók in staat gesteld om via de maildienst een antwoord te versturen. Dat antwoord wordt dan automatisch – door de maildienst – versleuteld overgebracht.

Deze initiatieven maken het dus mogelijk om versleuteld te mailen, zonder dat de ontvangende partij een PGP-installatie hoeft te realiseren. Met de ingebruikneming van dergelijke diensten is de gebruiker uiteraard niet helemaal vrij van het noodzakelijke vertrouwen in de maildienst. Maar door de codes door te nemen (veelal open-source) en de routes van de mail te bekijken, kan wel enige zekerheid over de betrouwbaarheid worden verkregen.

4.0 Versleuteld mailen en privacywetgeving

In Nederland is momenteel de Wet bescherming persoonsgegevens (Wbp) van toepassing en per mei 2018 zal de Algemene Verordening Gegevensbescherming (AVG) gelden. Eén van de bepalingen uit deze regelgeving is dat verwerkers van persoonsgegevens (bijvoorbeeld bedrijven en overheidsinstellingen) passende technische en organisatorische maatregelen moeten treffen. Mails met vertrouwelijke inhoud bevatten veelal persoonsgegevens, dus het versleuteld mailen kan in meerdere mate conformering aan deze regelgeving opleveren.

Wilt u hier meer over weten of één van onze IT-juristen spreken?

Neem dan vrijblijvend contact op via info@exlege.nl (PGP-key: 0x2F850214) of 050 – 205 33 22.

IT-juridische activiteiten Ex Lege B.V.
Dinsdag 18 juli 2017 (20.00 – 22.00u)
Informatiebijeenkomst Blockchain
Meer informatie >>>
Aanmelden >>>

Laatst gewijzigd: 11 juni 2017
Dit artikel is geschreven door Derya.

Wilt u de bijeenkomst over Blockchain bijwonen?


Telefoon
050 205 33 22
Ma-Vr: 09.00 – 21.00u
Za: 10.00-16.00u

Mail/app
Mail: info@exlege.nl
App (Signal): 06 – 216 050 01
Reactietermijn: één werkdag

Postadres
Postbus 9101
9703 LC Groningen

Bezoekadres
Koningsweg 21
9731 AN Groningen
Stuur géén post naar het bezoekadres

post

Een ansichtkaart versturen? Mailen kan ook!

Veel communicatie verloopt tegenwoordig via de mail. Dat is op zich niet zo verwonderlijk, de e-mail heeft de gebruikers veel te bieden: het bericht bereikt de ontvanger binnen een paar seconden, het wordt automatisch opgeslagen in de map verzonden mails en e-mailen kan overal (mits er maar een internetverbinding is). Toch zitten er ook wat haken en ogen aan: wie mailt verwacht wellicht een gesloten enveloppe te versturen/ontvangen, maar het is prima mogelijk dat het bericht als ansichtkaart het netwerk overgaat.

Om te beginnen is het van belang om op te merken dat e-mail – net als het internet – niet bedoeld was om door grote hoeveelheden mensen te worden gebruikt. Toen de e-mail werd ontwikkeld, had het creëren van de technische mogelijkheid de voornaamste prioriteit: het was dan ook een uitvinding van formaat toen het mogelijk werd om berichten over te brengen naar computers binnen het netwerk. De beoogde gebruikers waren wetenschappers en de beoogde content van de mails was minimaal. De infrastructuur van de e-mail was daarom afgestemd op deze gebruikers en gebruiksdoeleinden. Voor een tijdlijn van de e-mailontwikkeling verwijs ik graag naar een artikel van The Guardian (maart 2016).

De verzender, de ontvanger en de servers…
Om de veiligheidsrisico’s van de e-mail beter te begrijpen, is een kijkje onder de motorkap noodzakelijk. In beginsel kan een mail worden verzonden door de overdracht van het bericht tussen de server van de verzender en de server van de ontvanger. Deze eenvoudige route is echter geen standaard: zowel de server van de ontvanger als de server van de verzender realiseren vaak omleidingen. Deze omleidingen kunnen erg nuttig zijn: door het bericht naar een “controleserver” te sturen en bijvoorbeeld mails van bepaalde afzenders in quarantaine te plaatsen, kan een extra veiligheidswaarborg worden ingebouwd. Maar het is ook zo dat des te meer omleidingen er zijn, des te meer er beveiligd moet worden en dus ook des te meer veiligheidsrisico’s er zijn.

Beveiligingslagen en beveiligde verbindingen
Digitale veiligheid kan slechts aanwezig worden geacht als de beveiliging op verschillende niveaus goed is en er rekening is gehouden met de aanwezige en mogelijke verbindingen. Eén van de niveaus is het berichtniveau: door het bericht met een TLS-versleuteling uit te rusten, is het bericht beveiligd. Stel dat iemand de lijn uitleest en het bericht onderschept, dan is nog altijd de inhoud van het bericht niet makkelijk waar te nemen.[1]

Dat is anders als de server van de verzender of de ontvanger meerdere omleidingen realiseert en deze omleidingen de versleuteling verwijderen en géén nieuwe versleuteling op het bericht zetten. In dat geval kan de uitlezer van die lijn de berichten eenvoudig waarnemen na het onderscheppen. Zelfs als de server van de verzender alle omleidingen met een TLS-versleuteling heeft uitgerust, biedt dit geen enkele garantie voor de aanwezige of ontbrekende beveiligingen op de server(s) van de ontvanger.

Op transportniveau kan nog worden gedacht aan een VPN (Virtual Private Network). Als alle servers van de verzender binnen de VPN vallen, kan worden aangenomen dat een buitenstaander überhaupt met veel moeite / haast onmogelijk toegang kan krijgen tot de informatie die via de VPN-tunnel wordt verzonden. Maar ook een VPN dwingt geen beveiligingsmaatregelen af bij de ontvanger: het is tot aan de buitendeur van de verzender veilig, maar wordt daarna afhankelijk van de beveiliging van de ontvanger.

PGP
Er is nog wel een andere oplossing, maar die dwingt de ontvanger tot maatregelen: PGP. Het is mogelijk om een bericht op berichtniveau te versleutelen met behulp van een code. Deze code versleutelt het bericht en maakt deze onleesbaar voor een onbevoegde die de lijn uitleest. Slechts de beoogde ontvanger kan met een unieke code de versleuteling verwijderen en de inhoud van het bericht waarnemen.

Dit klinkt wellicht makkelijk: de afzender zet er een slot op en alleen de ontvanger beschikt over een sleutel om het slot eraf te halen. Eigenlijk is dat het ook wel, maar de afzender moet eerst sleutels bemachtigen voordat een verzender een versleuteld bericht kan versturen. De wens van beide partijen is derhalve leidend: hebben zij allebei sleutels, dan kunnen ze de berichten versleutelen; maar heeft maar één van de twee sleutels, dan kan deze niet eenzijdig een versleuteld bericht overbrengen.

Tot slot
De wens van beide partijen om veilig te communiceren, is een belangrijke uitdaging voor het veilig e-mailen. De mogelijkheid om die wens te hebben, begint met kennis over de risico’s van de e-mail, want waarom zou iemand PGP gebruiken als e-mail een veilig communicatiemiddel lijkt? Er zijn nog altijd e-mails met het woord VERTROUWELIJK in het onderwerp, terwijl men min of meer een ansichtkaart verstuurt en op de ansichtkaart VERTROUWELIJK noteert…

De juridische uitdagingen
De juridische uitdagingen van deze digitale communicatiemogelijkheden groeien enorm. De mogelijkheid om passende technische en organisatorische maatregelen (Wet bescherming persoonsgegevens / Algemene Verordening Gegevensbescherming) te treffen is afhankelijk van o.a. de IT-kennis van de verantwoordelijke, maar zoals hierboven is weergegeven zijn de maatregelen van de ontvangende partij ook van groot belang.

Als de verzender een bestuursorgaan is of een (rechts)persoon met geheimhouding, kan het nog een interessante discussie opleveren wanneer men gaat praten over de verantwoordelijkheid van de verzender voor de risico’s van de (wellicht onwetende) ontvanger.

[1] Grote e-mailaanbieders hebben veelal standaard een TLS-versleuteling op berichtniveau.

Laatst gewijzigd: 15 maart 2017
Dit artikel is geschreven door Derya.

Entreegeld betalen om TV te kijken in de hotelkamer?

Bron: Hof van Justitie van de Europese Unie.

Op 16 februari 2017 heeft het Hof van Justitie een arrest gepubliceerd in de reeks van arresten aangaande artikel 8 van de Richtlijn 2006/115/EG. Deze Richtlijn1 is door de Europese wetgever opgesteld en is bedoeld om doeltreffende bescherming te bieden voor auteursrechtelijk beschermde werken en van door naburige rechten beschermde zaken.23

Artikel 8 lid 3 Richtlijn
Voordat het arrest van het Hof van Justitie nader worden bekeken, is het relevant om artikel 8 lid 3 van de Richtlijn 2006/115/EG te bestuderen. Deze bepaling geeft omroeporganisaties (bijvoorbeeld NPO) het recht om een uitzending te verbieden als aan twee voorwaarden is voldaan:

  • Voorwaarde 1
    Er is sprake van een “mededeling aan het publiek”.
  • Voorwaarde 2
    De mededeling (het uitzenden) vindt plaats op een plek die het publiek betreedt na het betalen van een toegangsprijs.

Het arrest

HvJ EU 16 februari 2016, C‑641/15, ECLI:EU:C:2017:131.

De casus
Een hotel heeft de hotelkamers met televisies uitgerust. Op deze televisies zijn radio- en TV-uitzendingen te ontvangen. Een organisatie die belangen van rechthebbenden behartigt stelt zich op het standpunt dat aan de twee voorwaarden van artikel 8 lid 3 is voldaan, omdat het aanbieden van televisie in een hotelkamer van invloed is op de kamerprijs. De belangenorganisatie eist dat het hotel wordt veroordeeld tot het verschaffen van informatie4 en het betalen van een schadevergoeding.

Het arrest – dat maar zes kantjes lang is en zeker de moeite waard om eens door te nemen – bevat een mooi overzicht van de reeks arresten die betrekking hebben op artikel 8 Richtlijn 2006/115/EG.

Voorwaarde 1
Voorwaarde 1 – mededeling aan het publiek – is in een soortgelijke casus al door het Hof van Justitie toegelicht. In het arrest Ireland heeft het Hof van Justitie bepaald dat een hotelexploitant die de hotelkamers met televisies en televisiesignalen uitrust, een “gebruiker” is die het uitgezonden materiaal “meedeelt aan het publiek”.5 Deze kwalificaties hebben tot gevolg dat de hotelexploitant de rechthebbenden een billijke vergoeding dient te betalen.

Voorwaarde 2
Dit arrest concentreert zich tot een belangrijke (nieuwe) vraag omtrent de toepassing van artikel 8 lid 3 van de Richtlijn. Is er sprake van betreden “tegen een toegangsprijs” als:

  • een hotelexploitant de hotelkamers met televisies uitrust waar uitzendingen op kunnen worden ontvangen, en
  • bij de prijs voor de hotelovernachting ook het gebruik van de televisie met uitzendingen is inbegrepen?

De meerwaarde van voorwaarde 2 ligt besloten in het recht dat de omroeporganisaties – bij het voldoen aan de voorwaarde – toekomt: de omroeporganisaties kunnen het uitzenden verbieden of toestaan, waarbij het toestaan aan aanvullende voorwaarden kan worden onderworpen.

In rechtsoverweging 24 en 25 van het arrest wordt op een gestructureerde wijze weergegeven wanneer aan voorwaarde 2 is voldaan. Deze rechtsoverwegingen bevatten het volgende overzicht.

  1. De hotelkamerprijs:
    – Is primair een vergoeding voor het overnachten, en
    – Bevat geen specifieke (aanvullende) prijs voor de beschikbaar gestelde televisie.
  2. Het beschikbaar stellen van televisie in de hotelkamer:
    – Is afhankelijk van het soort hotel,
    – Is een aanvullende dienst, en
    – Is van invloed op de standing van het hotel en de prijs van de kamer.
  3. Het Hof van Justitie concludeert – na dat de bovenstaande redenering uiteen is gezet – als volgt:

Deze aanvullende dienst wordt niet geleverd op een plaats die het publiek betreedt na het betalen van een toegangsprijs, zoals bedoeld in artikel 8 lid 3 Richtlijn 2006/115/EG.

Discussie

Op basis van de redenering – rechtsoverweging 24 en 25 – van het Hof van Justitie, kan mijns inziens ook worden geconcludeerd dat het een hotelkamer een plaats is waar wél toegangsgeld wordt gevraagd voor het beschikbaar stellen van televisie.

Ter illustratie
Als de kamers van een hotel met TV en de kamers zonder TV 10,00 euro verschillen, kan worden aangenomen dat het hotel 10,00 entreegeld vraagt voor de toegang tot een kamer met televisie.

Toch kan worden geoordeeld dat deze uitspraak een redelijk gevolg is van de doelstellingen die aan artikel 8 Richtlijn ten grondslag liggen: het bieden van bescherming voor auteursrechtelijk beschermde werken en van door naburige rechten beschermde zaken. De hotelkamerprijs is primair – al dan niet voor het grootste deel – een vergoeding voor het overnachten en de aanvullende dienst zit bij die prijs inbegrepen, maar is niet nader gedefinieerd.

Ter illustratie
Afhankelijk van het soort hotel is een kamer uitgerust met een waterkoker en oploskoffie en/of een espressoapparaat. Het is eenvoudig aan te nemen dat de hotelexploitant géén entreegeld vraagt voor het drinken van koffie in de kamer, maar dat de koffie als aanvullende dienst is bijgevoegd voor de totale beleving van de klant tijdens de hotelovernachting.

De bescherming die artikel 8 lid 3 Richtlijn biedt, blijft naar mijn mening nog altijd effectief. Als een hotelondernemer een bioscoopzaal inricht, toegangskaartjes verkoopt en uitzendingen toont waar omroeporganisaties geld in investeren, dan zou waarschijnlijk wél aan beide voorwaarden van artikel 8 lid 3 Richtlijn 2006/115/EG zijn voldaan. Voor dergelijke situaties blijven de omroeporganisaties de bescherming genieten die uit deze Richtlijn voortvloeit.

Laatst gewijzigd: 22 februari 2017
Dit artikel is geschreven door Derya.


1. Wat is een Richtlijn?
Een Richtlijn bevat aanwijzingen voor de lidstaten van de Europese Unie. De lidstaten hoeven niet de tekst van een Richtlijn één-op-één over te nemen, maar moeten er wel voor zorgen dat de doelen van de Richtlijn middels de nationale wetgeving worden behaald. Zie ook artikel 288 Verdrag betreffende de Werking van de Europese Unie.
2. Overweging 3 Richtlijn 2006/115/EG
3. Auteursrechten en naburige rechten
Het verschil tussen auteursrechten en naburige rechten laat zich het beste verduidelijken door een voorbeeld: Beethoven componeert (bedenkt) een muziekstuk en Mozart brengt dit muziekstuk tijdens een optreden ter gehore van zijn publiek. Beethoven is dan de auteursrechthebbende van het muziekstuk en de naburige rechten komen Mozart toe: Mozart is dan de “uitvoerende kunstenaar”.
4. Welke programma’s kunnen worden ontvangen en welke hotelkamers zijn betrokken.
5. HvJ EU 15 maart 2012, C‑162/10 http://curia.europa.eu/juris/document/document.jsf?text=&docid=120461&pageIndex=0&doclang=NL&mode=lst&dir=&occ=first&part=1&cid=199498