Het IT-rechtsgebied is en blijft volop in ontwikkeling. We zien veel nieuwe technologieën, innovatieve bedrijfsmodellen en daarop van toepassing zijnde (nieuwe) wet- en regelgeving voorbijkomen. Door jurisprudentie hierover leren we veel over hoe het IT-recht uiteindelijk wordt toegepast. In deze blog zetten we diverse uitspraken van de maand augustus op een rij.
In deze zaak werd Microsoft ertoe veroordeeld aan de curatoren van de failliete Amsterdam Trade Bank (hierna: ATB) ongehinderde toegang te verschaffen tot de administratie van die bank die is opgeslagen in de cloud van Microsoft. Het is een uitwerking van het eerdere ‘kopstaartvonnis’ (een vonnis waarin vanwege de spoedeisendheid, alleen staat tussen wie de procedure speelt en welke beslissing de rechter heeft genomen).
ATB is een dochtervennootschap van de Russische Alfa Bank die sinds februari op de EU-sanctielijst staat die is ingesteld als gevolg van de oorlog tussen Rusland en Oekraïne. ATB zelf staat hier niet op, maar sinds april wel op de Amerikaanse sanctielijst. Reden voor Microsoft om een e-mail te sturen met de mededeling dat het account van ATB onder beoordeling staat om vervolgens 2 dagen later het account af te sluiten van de diensten van Microsoft. Later die maand wordt ATB in staat van faillissement verklaard vanwege de sancties waarop de curatoren van ATB ongehinderde toegang tot de volledige Microsoft-omgeving vorderden. De curatoren stellen dat zij op dit moment niet kunnen beschikken over een groot en essentieel deel van de administratie van ATB, waar zij op grond van de Faillissementswet recht op hebben. Informatie in de cloud valt immers onder het begrip administratie. Bovendien hebben zij hier een spoedeisend belang bij, omdat zij anders hun wettelijke taak (het afwikkelen van het faillissement) niet kunnen uitvoeren. Eerder, geven zij aan, heeft Amazon in een vergelijkbare situatie ook alle toegang verschaft tot dergelijke informatie.
Microsoft verweert zich door te stellen dat het niet van haar kan worden gevraagd het probleem van de curatoren op te lossen en zich daarbij bloot te stellen aan strafrechtelijke en financiële risico’s. Hierbij verwijzen zij naar het schenden door Microsoft van de EU-sanctieverordening en het Amerikaanse sanctieregime. Volgens de rechtbank “hebben de curatoren hier te maken met een grote en machtige Amerikaanse partij die elk risico dat zij mogelijk wereldwijd loopt als gevolg van de sancties, hoe klein ook, koste wat kost wil zien te vermijden en zich daarbij alleen door haar eigen belangen laat leiden”. Het is volgens de rechtbank niet aannemelijk dat Microsoft door het geven van toegang tot de omgeving in strijd handelt met Amerikaanse of Europese sancties. Het verlenen van toegang tot de omgeving in het kader van een faillissement kan namelijk niet worden aangemerkt als een verboden handeling onder beide sanctieregimes. Microsoft loopt volgens de rechtbank dus geen strafrechtelijke of financiële risico’s van enige betekenis en wordt veroordeeld toegang te blijven geven tot de omgeving op straffe van een dwangsom van EUR 10 miljoen per dag, met een maximum van EUR 100 miljoen.
In deze zaak laat een Nederlandse rechter zich voor het eerst uit na eerdere prejudiciële vragen aan het Hof van Justitie (hierna: HvJ) over de bestelknop. Ook gaat de rechter in op het schenden van informatieverplichtingen.
De consument is een bestelling aangegaan door middel van een bestelknop. Volgens de rechter voldeed deze niet aan de eisen van de wet. De wet zegt hier dat de tekst op de knop zelf moet laten blijken dat de consument uitdrukkelijk erkent dat er een betalingsverplichting wordt aangegaan. Op de vraag of uitsluitend moet worden uitgegaan van de woorden die op de bestelknop staan, heeft het HvJ in april dit jaar bevestigend geantwoord. Wat er precies op de bestelknop in kwestie stond blijkt helaas niet uit het vonnis, de rechtbank oordeelt zonder enige toelichting dat hier sprake is van een onjuiste bestelknop.
De wet geeft in dit soort gevallen de consument het recht om de overeenkomst te vernietigen. Volgens de rechter zal het echter niet altijd in het belang van de consument zijn om de overeenkomst te vernietigen. Vernietiging brengt immers niet enkel mee dat de consument niet hoeft te betalen, maar ook dat moet worden teruggegeven wat op grond van de overeenkomst is ontvangen. Vermindering van de oorspronkelijke prijs en het bestelde product mogen houden is in dit geval voordeliger voor de consument – die niet aanwezig was op de zitting en dus niet heeft kunnen reageren. Daarnaast gaat de rechter nog in op verschillende informatieverplichtingen en komt uiteindelijk op meer dan 3 voldoende ernstige schendingen uit, waardoor de koopprijs van de consument met 50% wordt verminderd.
In deze uitspraak van het hof werd een eerder tot 2 maanden celstraf veroordeelde man vrijgesproken voor het hacken van de website van een Haagse huisartsenpost. In eerste aanleg ging de rechtbank niet mee in het betoog van de advocaat dat de man als ‘ethisch hacker’, alleen maar goede bedoelingen had. De man ontkende immers dat hij had ingebroken op de website en dus ook niets verklaard had over zijn intenties, waardoor de rechtbank niet kon vaststellen of er überhaupt sprake was van ethisch hacken.
Naar aanleiding van het onderzoek kwam naar voren dat de man niet bepaald ethisch te werk ging. De directeur van de Haagse huisartsenpost ontving een telefoontje met de mededeling dat de beveiliging van zijn website niet op orde was. De man had hierdoor toegang gekregen tot allerlei persoonlijke gegevens van de artsen, zoals e-mailadressen, wachtwoorden en bankrekeningnummers. Daarop ontving de directeur een offerte tussen de 16.500 en 23.000 euro met als waarschuwing dat er waarschijnlijk een hoge boete betaald zou moeten worden als het beveiligingslek openbaar wordt en er een flinke reputatieschade zou plaatsvinden.
In hoger beroep ging het hof in op de vraag of er wel voldaan was aan de delictsomschrijving van computervredebreuk: “hij die opzettelijk en wederrechtelijk binnendringt in een geautomatiseerd werk of in een deel daarvan”, te weten de website van de huisartsenpost. Meer specifiek vraagt het hof zich af of een website onder de term ‘geautomatiseerd werk’ valt. Op basis van de wet wordt daaronder verstaan “een inrichting die bestemd is om langs elektronische weg gegevens op te slaan, te verwerken en over te dragen”.
Volgens het hof blijkt uit de wetsgeschiedenis dat met het begrip geautomatiseerd werk, steeds naar uitsluitend fysieke apparaten werd verwezen. Meer specifiek gaat het hierbij om de beveiliging van de apparaten waar de gegevens zich in bevinden. Het hof stelt dat een website feitelijk slechts bestaat uit een samenstel van gegevens en geen fysieke vorm heeft. Om deze reden valt het niet onder de definitie van het woord ‘inrichting’ en kan derhalve niet aangemerkt worden als een geautomatiseerd werk. Daarnaast haalt het hof jurisprudentie van de Hoge Raad aan om te nogmaals te stellen dat een geautomatiseerd werk expliciet ziet op de hardware en niet de software zoals een website. Het hof concludeert dat een website ‘op zichzelf’ niet kan worden aangemerkt als geautomatiseerd werk en spreekt de man vrij.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.