Het IT-rechtsgebied is en blijft volop in ontwikkeling. We zien veel nieuwe technologieën, innovatieve bedrijfsmodellen en daarop van toepassing zijnde (nieuwe) wet- en regelgeving voorbijkomen. Door jurisprudentie hierover leren we veel over hoe het IT-recht uiteindelijk wordt toegepast. In deze blog zetten we diverse uitspraken van de maand november op een rij.
Wanneer een overeenkomst wordt gesloten door middel van een elektronische handtekening, maar het elektronische ondertekenproces niet correct wordt uitgevoerd, dan kan dat aanzienlijke gevolgen hebben. Daarvan is deze zaak een goed voorbeeld. BridgeFund, de eiser, is actief in het verstrekken van online overbruggingsfinancieringen. De gedaagde partij in deze zaak was de bestuurder van een bedrijf die persoonlijk borg stond voor een financiering van het bedrijf waar hij bestuurder van was. Na het faillissement van het bedrijf, dat was ontbonden en uitgeschreven bij de Kamer van Koophandel, eiste BridgeFund terugbetaling van de borgstelling van de gedaagde. Deze voerde als verweer aan dat er nooit een rechtsgeldige borgstellingsovereenkomst tot stand was gekomen, omdat de vermeende overeenkomst digitaal was aangegaan met een elektronische handtekening. BridgeFund had inderdaad gekozen voor een systeem van elektronische handtekeningen, dat op zichzelf geldig is, mits zij konden aantonen dat het systeem voldoende betrouwbaar was opgezet.
De verantwoordelijkheid om aan te tonen welke vorm van ondertekening is gebruikt en waarom dit voldoende betrouwbaar is, rust op de partij die zich op de handtekening beroept, in dit geval BridgeFund. BridgeFund legt uit dat het proces van ondertekening is uitbesteed aan het gespecialiseerde bedrijf Stiply. Tijdens de contractfase stuurde Stiply een code naar het opgegeven e-mailadres van de klant. Met deze code kon toegang worden verkregen tot de digitale omgeving waarin de relevante documenten, zoals de borgstellingsovereenkomst, via een touchscreen konden worden ondertekend. Het zakelijke e-mailadres waarnaar de code is verzonden, bleek echter niet exclusief toegankelijk voor de betrokken persoon, maar werd ook door andere medewerkers van de vennootschappen gebruikt.
Het probleem bij ondertekening op afstand is dat hoogstens kan worden vastgesteld dat iemand met toegang tot een bepaalde mailbox de handtekening heeft gezet, maar niet welke specifieke persoon dat was. Vooral als een gedeelde mailbox wordt gebruikt, blijft onduidelijk wie de handtekening heeft gezet. Dit vormt een juridisch probleem, waar BridgeFund verantwoordelijk voor is.
Pas tijdens de mondelinge behandeling heeft BridgeFund voor het eerst gesteld dat Stiply aan alle wettelijke vereisten met betrekking tot de elektronische handtekening voldoet en op dat punt een bewijsaanbod gedaan, maar zij heeft nagelaten het bewuste certificaat direct in het geding te brengen. Daarbij komt dat BridgeFund niet concreet heeft gemaakt dat en waarom zij niettemin een certificaat zou kunnen overleggen dat aan de wettelijke criteria voldoet. Hierdoor acht de rechter het bewijsaanbod onvoldoende concreet, waardoor de overeenkomst nietig werd verklaard en BridgeFund geen beroep kan doen op de borgstelling.
In deze zaak publiceerde de eiser een verhaal op de openbare website Make'n Movies, waar iedereen verhalen van maximaal 500 woorden kan plaatsen. De eiser heeft in 2011 een verhaal gedeeld en beweert dat Universal, de Nederlandse entiteit van Universal Pictures, zijn verhaal heeft gebruikt voor de film 'Yesterday'. Door openbaarmaking en verveelvoudiging van dit door Universal verfilmde werk, heeft Universal volgens de eiser inbreuk gemaakt op zijn auteursrechten.
De eiser stelt dat zijn verhaal auteursrechtelijke bescherming geniet vanwege de originaliteit, specifieke verhaalkeuzes en het intellectuele, karakteristieke en creatieve karakter ervan. Universal betwist dit door te beweren dat het verhaal voornamelijk algemene elementen bevat. De rechtbank gaat mee in het betoog van de eiser en oordeelt dat het werk van eiser auteursrechtelijke bescherming geniet door verschillende karakteristieke elementen in het verhaal, die getuigen van creatieve keuzes van de eiser.
De vervolgvraag in deze zaak is of de film 'Yesterday' ook inbreuk maakt op de door de rechtbank erkende auteursrechten op het verhaal van de eiser. Hoewel er duidelijke gelijkenissen zijn, zoals een onsuccesvolle muzikant die met zichzelf worstelt, vertonen de verhalen ook aanzienlijke verschillen. De rechtbank concludeert dat deze elementen dusdanig "anders en grondiger" zijn uitgewerkt in de film, dan zoals ze staan beschreven in het verhaal van de eiser, waardoor Universal met de film 'Yesterday' geen inbreuk heeft gemaakt op de auteursrechten en persoonlijkheidsrechten van de eiser. Daarom wijst de rechtbank de vordering van de eiser af.
De eiser in deze zaak is een Nederlandse natuurlijke persoon en de gedaagden zijn rechtspersonen die deel uitmaken van het Criteo-concern, een belangrijke speler in de 'Adtech-industrie'.
Criteo plaatst zogeheten 'tracking cookies' op computers en mobiele apparaten via websites van derden. Deze tracking cookies bevatten een uniek ID, een willekeurige reeks karakters die aan de browser van een specifieke websitebezoeker wordt toegewezen. Telkens wanneer een website die gelinkt is aan Criteo met die browser wordt bezocht, wordt dezelfde tracking cookie uitgelezen. Het doel van Criteo is om advertenties af te stemmen op het gedrag van websitebezoekers. In dit geval beweert de eiser dat dit zonder zijn toestemming is gebeurd, wat volgens hem in strijd is met de Algemene verordening gegevensbescherming (hierna : “AVG”) en de Telecommunicatiewet.
De eiser eist dat Criteo het plaatsen van tracking cookies via websites van derden eindigt. Daarnaast wil hij inzage in de partijen waarmee zijn persoonsgegevens zijn gedeeld en eist hij dat deze gegevens worden verwijderd. Criteo betwist niet dat zonder toestemming cookies worden geplaatst, maar stelt wel dat haar partners (derden) verantwoordelijk zijn voor het verkrijgen van toestemming, aangezien zij direct contact hebben met eindgebruikers, niet Criteo zelf.
De voorzieningenrechter oordeelt echter dat Criteo zelf verantwoordelijk is voor het legitiem verkrijgen van toestemming voor het plaatsen van cookies. Zowel Criteo als haar partners hebben hun verplichtingen niet nagekomen, aangezien de cookies al zijn geplaatst voordat de eiser iets kan kiezen. Soms ontvangt Criteo zelfs cookie-informatie wanneer gebruikers de cookies weigeren.
Criteo beweert nu te voldoen aan de AVG-eisen door haar partners contractueel te verplichten deze verplichtingen na te komen. De voorzieningenrechter oordeelt echter dat dit niet voldoende is. Criteo moet proactief waarborgen dat toestemming vooraf is verkregen, in plaats van alleen te reageren wanneer er signalen zijn dat partners hun verplichtingen niet nakomen.
De voorzieningenrechter concludeert dat de eiser recht heeft op inzage in een lijst met partijen waarmee de persoonsgegevens zijn gedeeld, aangezien deze partijen ook in strijd hebben gehandeld met de AVG. Daarnaast moet Criteo de persoonsgegevens van de eiser verwijderen en mag zij geen tracking cookies plaatsen op zijn computer en/of apparaten zonder voorafgaande toestemming.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.