Juridische aspecten van IT-businesscases

Juridische aspecten van IT-businesscases
Welke juridische hobbels kunnen het succes van een IT-businesscase in de weg staan? Wie is verantwoordelijk bij een mislukking? En kan een businesscase worden afgeschermd van concurrenten? Drie vragen, drie antwoorden.
Zakendoen wordt steeds meer een juridische aangelegenheid. Dat is alleen al te zien aan het aantal advocaten. Waren er in 1990 ruim zesduizend advocaten, inmiddels telt Nederland er meer dan zestienduizend – en hun aantal groeit. Compliance – werken in overeenstemming met de geldende wet- en regelgeving – wordt steeds belangrijker. Steeds meer ondernemingen hebben ‘compliance officers’ in dienst. Inkopers mogen alleen inkopen volgens hun eigen inkoopvoorwaarden; sales mag alleen verkopen volgens de eigen leveringsvoorwaarden.
Deze hang naar controle kan leiden tot een verstikkende angstcultuur, met aan het roer een jurist die overal risico’s ziet en standaard ‘nee’ zegt. Voor een goede IT-businesscase heb je daarom een gespecialiseerde, ervaren IT-advocaat nodig die niet overal beren op de weg ziet.
Er zijn drie juridische invalshoeken om naar een businesscase te kijken: Welke juridische hobbels kunnen het succes van de businesscase in de weg staan? Wie draagt de verantwoordelijkheid voor het mislukken van een businesscase? En kan een businesscase worden afgeschermd van concurrenten? We beantwoorden deze vragen één voor één.
Juridische hobbels
Allereerst de vraag welke juridische hobbels het welslagen van de businesscase in de weg kunnen staan. Vrijwel nooit zal een juridisch bezwaar een businesscase onmogelijk maken. Wel kunnen juridische beletsels een businesscase veel duurder maken. Dat geldt met name bij licenties, beveiliging en privacywetgeving.
Licenties
Voor elk nieuw gebruik van software is in beginsel de toestemming van de softwareontwikkelaar nodig. Dat is dus ook vaak zo als software op andere servers wordt geplaatst, al dan niet virtueel en al dan niet bij een externe hostingpartij. Heel vaak wordt hier onvoldoende op gelet en volgen fikse licentie- en schadeclaims die de haalbaarheid van de businesscase onderuit halen. De meeste software wordt beschermd door auteursrecht. Het auteursrecht bepaalt dat voor het opslaan van software, het draaien of het kopiëren van software een licentie nodig is. Gebruik zonder licentie levert auteursrechtinbreuk op en is onrechtmatig. Een licentieovereenkomst bevat doorgaans tal van beperkingen. Zo mag software vaak maar op één server worden geïnstalleerd, op een bepaald aantal cpu’s en/ of door een bepaald aantal gebruikers worden gebruikt. Als je je daar niet aan houdt, pleeg je contractbreuk. Het herinstalleren van software op een andere (virtuele) server levert dan ook vaak zowel auteursrechtinbreuk op als wanprestatie. De auteursrechthebbende van de software kan dan een verbod vorderen en aanspraak maken op additionele licentie- en onderhoudsvergoedingen en op schade. Het maakt daarbij in beginsel niet uit of sprake is van opzettelijke inbreuk of dat de licentie-inbreuk per ongeluk is gemaakt.
De laatste jaren zien wij een toename van licentie-inbreukzaken. Softwareleveranciers blijken bereid een goede klantrelatie links te laten liggen en maximale compensatie te bedingen. Softwareleveranciers hebben sterke troeven in handen. Zo kunnen zij door de deurwaarder beslag laten leggen op de software die de gebruiker in hun ogen illegaal gebruikt, zonder dat de gebruiker daarvoor bij de rechter wordt gehoord. In enkele gevallen hebben rechters zelfs toestemming gegeven om de computers waarop de illegale software staat in hun geheel mee te nemen.1 Dit kan uiteraard grote consequenties hebben voor de continuïteit van de bedrijfsvoering. Bij gebruik van illegale software komt dat risico echter in beginsel voor de gebruiker.
De schadevergoeding voor licentie-inbreuk is doorgaans niet mals. Het uitgangspunt vormen de catalogusprijzen2, exclusief de kortingen die normaliter zouden worden verleend. Daarboven kunnen aanvullende schadevergoedingen worden toegekend die oplopen tot honderd procent van de catalogusprijs, op basis van het zogenaamde ‘double damages’-beginsel.3 Zelf zijn wij betrokken geweest bij een geschil waarbij de gebruiker licentierechten had voor een bepaald aantal ‘named users’. Maar na virtualiseren van de servers werd de software voor alle gebruikers toegankelijk. Ook al bleven dezelfde named users gebruik maken van de software. Toch waren de bepalingen uit het licentiecontract overtreden, doordat alle andere gebruikers in theorie de software ook konden gebruiken. Oorspronkelijk was al een licentieprijs betaald van zo’n driehonderdduizend euro, nu volgde een additionele claim van twaalf miljoen euro, gebaseerd op de licentieprijs die verschuldigd was als alle gebruikers een geldige licentie zouden hebben. Uiteindelijk is de zaak geschikt, en zo gaat het in de meeste gevallen. In dit soort discussies is het aan te raden om een gespecialiseerde jurist in de arm te nemen, omdat er soms meer ruimte is voor interpretatie dan er op het eerste gezicht lijkt te zijn.
De meeste licentiecontracten bevatten een doorverkoopverbod. Na het baanbrekende UsedSoft-arrest in 2012 van het Europese Hof4 zijn doorverkoopverboden echter niet meer geldig. Dat betekent dat een onderneming zijn software kan doorverkopen, bijvoorbeeld aan een zusterbedrijf, maar ook aan een derde, en deze derde mag de software gebruiken zonder een nieuwe licentieovereenkomst af te sluiten.
Informatiebeveiliging
De laatste jaren wordt informatiebeveiliging steeds belangrijker. Afhankelijk van wat voor gegevens verwerkt worden met een IT-systeem dienen organisaties beveiligingsmaatregelen te treffen. Waar werkzaamheden worden uitbesteed dient beveiliging te zijn geborgd door afspraken over het niveau van bescherming en de controle daarop. Er is geen wet voor de beveiliging van
gegevens. Wel zijn er enkele specifieke wettelijke regelingen die beveiliging eisen voor bepaalde sectoren of bepaalde gegevensverwerkingen. Daarnaast vloeien veel beveiligingseisen en beveiligingsrisico’s voort uit bestaande contracten.
De belangrijkste algemene wettelijke beveiligingseis is te vinden in de Wet Bescherming Persoonsgegevens. Iedereen die persoonsgegevens in zijn systemen heeft staan, dient ‘passende technische en organisatorische maatregelen’ te nemen om de gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Volgens de wet moet het gaan om maatregelen die een passend beveiligingsniveau garanderen, rekening houdend met de stand van de techniek en de kosten5. Wat opvalt is dat de wet een hoog abstractieniveau heeft. Per geval moet worden beoordeeld welke feitelijke maatregelen passend zijn. Het College Bescherming Persoonsgegevens (CBP), de privacytoezichthouder, heeft recent richtsnoeren gepubliceerd voor de beveiliging van persoonsgegevens.6 Deze nieuwe richtsnoeren beschrijven het proces dat gevolgd zou moeten worden om aan de beveiligingseisen te voldoen. Ze geven echter geen concrete invulling van welke precieze beveiligingsmaatregelen getroffen moeten worden. In de richtsnoeren wordt ter illustratie herhaaldelijk verwezen naar ISO 27001 voor informatiebeveiliging. Het is daardoor aannemelijk dat het CBP de toepassing van ISO 27001 en de bijbehorende best practices uit ISO 27002 voldoende acht om aan de wettelijke beveiligingseis te voldoen. In een onderzoek naar de beveiliging van ziekenhuizen toetste het CBP overigens aan (een deel van de) NEN 7510, de norm voor Informatiebeveiliging voor de zorgsector in Nederland.
Vaak schakelt een onderneming bij de verwerking van persoonsgegevens derde partijen in. In dat geval is wettelijk vereist dat in een schriftelijk contract wordt vastgelegd dat de derde de persoonsgegevens adequaat beveiligt.
Het CBP heeft het onderwerp van informatiebeveiliging hoog op de agenda gezet. Op overtreding van de beveiligingsplicht staat echter geen boete. Wel kan het CBP een onderneming gelasten de beveiliging op orde te brengen onder last van een dwangsom. In het voorstel voor de nieuwe Europese privacyverordening staat op overtreding van de beveiligingseis een maximale boete van één miljoen euro of twee procent van de wereldwijde omzet als die omzet hoger is dan één miljoen euro.
In specifieke sectoren kunnen specifieke beveiligingseisen gelden. Zo dienen financiële instellingen te zorgen voor procedures en maatregelen om de beveiliging van geautomatiseerde gegevensverwerking te waarborgen.
Als een onderneming een deel van de ondernemingsactiviteiten heeft uitbesteed, blijft zij naar buiten toe voor die activiteiten verantwoordelijk. Een onderneming is er dus ook voor verantwoordelijk dat de informatiebeveiliging van de uitbestede activiteiten op orde is. Uitgangspunt is ook dat de uitbestedende partij voldoende controlemogelijkheid heeft op de naleving van de beveiligingseisen. In beginsel kan dat worden afgedekt door bijvoorbeeld een ISAE 3402-verklaring, mits naleving van de beveiligingseisen daarin wordt betrokken. Het feit dat de dienstverlener een zogenaamde Safe Harbour-certificering heeft is niet voldoende om te voldoen aan de controleplicht.
Bij beveiliging kunnen ook nog hele andere overwegingen een rol spelen. Zo hebben de meeste overheden verregaande bevoegdheden om gegevens op te vragen indien zij van oordeel zijn dat de staatsveiligheid in het geding is. De Amerikaanse Patriot Act wordt in dat kader veel genoemd. Dergelijke controlebevoegdheid kan een reden zijn om bepaalde gegevens niet naar het buitenland te willen overbrengen. Als de verwerkte informatie kostbare knowhow betreft, kan dat ook een overweging zijn deze informatie niet naar bepaalde landen te exporteren, ook al zou een en ander contractueel goed zijn af te dichten. Het is bijvoorbeeld een publiek geheim dat in sommige Aziatische landen een groot verschil bestaat tussen de wettelijke bescherming van
knowhow en de maatschappelijke werkelijkheid. Je kunt nog zulke degelijke beveiligingsmaatregelen opleggen, al dan niet voorzien van boetes, als ze niet worden nageleefd en als afdwingen bij de lokale rechter moeilijk of onmogelijk is, dan moet je goed nagaan of je bereid bent die knowhow te exporteren. Dit is de reden dat sommige Westerse bedrijven ervoor kiezen om hun meest waardevolle knowhow in het Westen te houden en alleen oudere knowhow te exporteren.
Privacywetgeving
Privacywetgeving stelt eisen aan onder meer de doorgifte van persoonsgegevens naar het buitenland en het gebruik van cloudcomputing.
• Doorgiftevanpersoonsgegevens: Doorgifte van persoonsgegevens binnen Europa is toegestaan. Doorgifte van persoonsgegevens naar landen buiten Europa is alleen toegestaan indien een passend beschermingsniveau is gewaarborgd11. Onder ‘doorgifte’ wordt ook verstaan het geven van online toegang. Van een beperkt aantal landen is vastgesteld dat het beschermingsniveau afdoende is12. Belangrijke landen als de Verenigde Staten, China en India worden onveilig geacht. Om gegevens aan die landen door te kunnen geven, gelden dus aanvullende eisen. Met de Verenigde Staten wordt bijvoorbeeld het eerder genoemde Safe Harbour-principe gehanteerd. Organisaties die voldoen aan de Safe Harbour Principles en het keurmerk dragen, hanteren een passend beschermingsniveau13. Voor doorgifte naar landen als India en China is de meest voor de hand liggende oplossing een exportcontract te sluiten op basis van een van de modelcontracten van de Europese Commissie. Het onaanlokkelijke alternatief is een exportvergunning van de minister van Veiligheid en Justitie.
• Cloudcomputing: Cloudcomputing blijft een probleem voor de toezichthouders. De gezamenlijke Europese privacytoezichthouders hebben vorig jaar een opinie gepubliceerd over de eisen aan cloudcomputing14. De meeste eisen spreken voor zich, maar de standaardcontracten van de meeste clouddienstverleners staan op gespannen voet met de eisen. Voor clouddiensten is dus vaak een maatwerkcontract nodig, wat een prijsopdrijvend effect kan hebben. Het lijkt echter onmogelijk om aan alle eisen van de toezichthouders te voldoen. Een van de eisen is namelijk dat de cloudprovider een lijst van locaties dient te verstrekken waar de gegevens verwerkt kunnen worden: dat is nou net wat veel clouddienstverleners vertrouwelijk willen houden.
• Ontwikkelingen: Inmiddels staat een Europese privacyverordening voor de deur15. Dit is een Europese wet die waarschijnlijk in 2015 of 2016 in werking treedt. In hoofdlijnen lijkt deze verordening sterk op de huidige regelgeving16. De voorgestelde verordening bevat echter enkele nieuwe concepten, zoals het recht op dataportabiliteit voor consumenten. Dit recht zal de markt noodzaken om het format van databestanden te standaardiseren. Ook voorziet de verordening in de plicht om te voldoen aan de beginselen van ‘privacy by default’ en ‘privacy by design’. Het is daarom verstandig om nu al te anticiperen op de verordening, zodat de noodzaak van wijzigingen in de systemen achteraf zo veel mogelijk wordt beperkt. Het is raadzaam de verordening na te leven, want anders dan onder de huidige regeling komen er zware straffen te staan op overtreding. Het is de bedoeling dat er boetes komen tot één miljoen euro of twee procent van de jaarlijkse wereldwijde omzet.
Als het mislukt
Wie draagt de verantwoordelijkheid als een businesscase mislukt? Uit talloze onderzoeken blijkt steeds weer dat slechts twintig tot dertig procent van de IT-projecten slaagt, dat een even hoog percentage faalt en dat de uitkomst van de overige projecten wordt betwist. Over faal- en succesfactoren is al veel gepubliceerd. Enkele van de meest genoemde ‘big hitters’ zijn irreële verwachtingen, gebrekkig projectmanagement, slechte communicatie, te laat geëscaleerde
problemen en slecht vastgelegde afspraken. In de afgelopen dertig jaar is er niet veel verbeterd: dezelfde faalfactoren blijven terugkomen. Er is dus een grote kans dat doelstellingen uit de businesscase niet gehaald worden.
Het uitgangspunt van ons rechtssysteem is dat iedereen zijn eigen schade draagt17. De gedachte is dat ‘toevallige’ schade moet worden beschouwd als een verwezenlijking van ‘das allgemeine Lebensrisiko’ en daarom niet voor vergoeding in aanmerking komt. In beginsel moet een onderneming zelf de schade dragen voor een ondeugdelijke businesscase. De belangrijkste uitzondering op die regel doet zich voor als de onderneming zijn schade op een ander kan verhalen wegens wanprestatie. Die ander kan zijn de adviseur die over het plan adviseerde, maar ook de IT-leverancier die te onbezonnen is begonnen aan de uitvoering van het plan. Een reeks van uitspraken laat zien dat een IT-dienstverlener de nodige risico’s loopt als een businesscase achteraf niet deugdelijk blijkt te zijn. De lijn die uit jurisprudentie volgt is dat een IT-dienstverlener proactief en waarschuwend moet optreden om de klant voor mistappen te behoeden, zeker als hij over meer expertise beschikt dan zijn klant (wat overigens al snel het geval is). Een leverancier mag dus niet klakkeloos overgaan tot uitvoering van wat de klant hem opdraagt en moet onder omstandigheden toetsen of de specificaties van de klant aansluiten bij de behoefte van de klant18. Ook de bestuurders die een businesscase vaststellen lopen het risico van persoonlijke aansprakelijkheid. Het is de plicht van bestuurders om hun bestuurstaak behoorlijk te vervullen. Een bestuurder moet daarom zorgvuldig omgaan met zijn taken. Een bestuurder kan persoonlijk aansprakelijk worden gehouden als hem een ernstig verwijt kan worden gemaakt. Dat is het geval indien een redelijk handelend en ervaren bestuurder in dezelfde omstandigheden van de gewraakte beslissing had afgezien. Als een bestuurder het inzicht of de bekwaamheid mist die van iemand in zijn positie redelijkerwijs kan worden verwacht, dan zal hij zich later niet kunnen beroepen op het feit dat hij ‘het niet wist’ 19. De Hoge Raad heeft eind vorig jaar zelfs beslist dat een bestuurder aansprakelijk kan zijn zonder dat sprake is van een ernstig verwijt . Het is dus zaak dat bestuurders zich goed laten voorlichten en niet te lichtvaardig risico’s aangaan. Omdat IT-projecten nog wel eens door ambitieuze bestuurders worden misbruikt om een carrièrestap te maken (als de schade optreedt zijn ze allang vertrokken), kan een kritische evaluatie nooit kwaad.
Het is niet verwonderlijk dat deze ontwikkelingen leiden tot een angstcultuur. Het is dus zaak om mensen aan boord te halen met verstand van zaken en die bereid zijn ‘ja’ te zeggen. En dat is nu juist niet sterkste punt van de klassieke jurist, die de neiging heeft zich te richten op de onmogelijkheden in plaats van op de mogelijkheden, zeker als hij zich op onbekend gebied begeeft. Werk aan de winkel dus voor de juristen! Een mooi voorbeeld van hoe persoonlijke ambitie tot enorme schade kan leiden is de zaak tussen BSkyB en EDS, die niet zo lang geleden speelde in Engeland. In deze zaak lag er een claim van maar liefst 709 miljoen pond. De casus luidde als volgt. Mediabedrijf BSkyB besloot voor vijftig miljoen pond te investeren in een CRM-systeem van EDS. De afspraak was dat het systeem binnen een jaar operationeel zou zijn, of althans, EDS had aangegeven dat ze het systeem in principe binnen een jaar werkend zou kunnen krijgen. Partijen waren een aansprakelijkheidsbeperking voor EDS overeengekomen van dertig miljoen pond. Het IT-project liep uit op een mislukking en de schade bleek 709 miljoen pond te bedragen. Om de aansprakelijkheidsbeperking van EDS te omzeilen, beriep BSkyB zich op bedrog. En met succes: de rechter oordeelde dat de uitspraken van de enthousiaste salesdirecteur van EDS over de haalbaarheid van een project als bedrog te kwalificeren waren. Als BSkyB juist zou zijn ingelicht over de haalbaarheid van het project, had zij volgens de rechter voor een andere IT-leverancier gekozen. De salesdirecteur van EDS werd weggezet als bedrieger. Leuk detail: om te onderbouwen dat de salesdirecteur de zaak bedroog, had de advocaat van BSkyB zijn hond hetzelfde MBA-diploma laten halen als het diploma dat prijkte op het cv van de EDS-salesdirecteur. De zaak werd geschikt voor 318 miljoen pond.
IT-businesscases afschermen
Kan een businesscase worden afgeschermd van concurrenten? In een goede IT-businesscase zit veel knowhow, verkregen tegen vaak substantiële
investeringen. De uitvoering van de businesscase kan een concurrentievoordeel opleveren. Een goede businesscase is dus geld waard. De vraag is daarom of concurrenten verboden kan worden eenzelfde businesscase uit te voeren. Dat verbieden is in de praktijk niet eenvoudig. De hoofdregel in Nederland is dat nadoen niet strafbaar is, tenzij inbreuk wordt gemaakt op een recht van intellectueel eigendom21. Wat een businesscase betreft valt daarbij te denken aan het auteursrecht of het octrooirecht.
Allereerst kan een businesscase beschermd zijn door het auteursrecht. Auteursrecht krijg je automatisch als je een ‘werk’ maakt waarin eigen creatieve keuzes zijn gemaakt. Onder een werk wordt bijvoorbeeld verstaan een document of iets anders dat voor zintuigelijke waarneming vatbaar is. Van bescherming op grond van auteursrecht zijn uitgesloten de elementen van een werk die technisch bepaald zijn, zoals bepaalde technieken. Een uitgewerkt projectplan heeft al snel enige auteursrechtelijke bescherming. Een concurrent mag dus niet exact hetzelfde projectplan gebruiken. Maar het auteursrecht beschermt niet het achterliggende idee van een businesscase. Een concurrent die een vergelijkbaar project uitvoert op basis van een vergelijkbaar maar niet (bijna) identiek plan, gaat al snel vrijuit. Achterliggende ideeën kunnen wel beschermd worden door het octrooirecht (in de volksmond vaak ‘patenten’ genoemd). Maar de Rijksoctrooiwet 1995 bepaalt dat stelsels, regels en methoden voor de bedrijfsvoering zijn uitgesloten van octrooi. (Een octrooi op een businesscase zal hierop afketsen.) In Amerika zijn minder beperkingen en zijn wel octrooien verleend voor ‘business methods’. Een businesscase is dan ook alleen maar contractueel te beschermen. Het minste wat je kunt doen is aan je medewerkers een geheimhoudingsplicht opleggen en een non-concurrentiebeding. Ook zakenpartners een geheimhoudingsplicht opleggen, is lastig. Het afspreken van geheimhouding is gangbaar, maar vaak worden uitzonderingen gemaakt voor informatie die algemeen bekend was of die bij partijen al bekend was. Dat is op zich logisch, want je kiest je zakenpartner vaak juist vanwege zijn ervaring op een bepaald gebied, en je wilt graag dat hij die ervaring ook bij jou gebruikt. Maar die zakenpartner wil zijn ervaringen natuurlijk ook weer gebruiken bij een volgend project. In de praktijk is het vaak niet eenvoudig om overtreding van een geheimhoudingsverplichting aan te tonen. De waarde van een geheimhoudingsbepaling is dan ook beperkt.
Conclusie
Het is verstandig om de inhoud van een businesscase te toetsen aan de geldende juridische eisen. Zij maken een businesscase haast nooit onmogelijk, maar kunnen wel leiden tot extra kosten, met name bij eisen op het gebied van licenties, beveiliging en privacywetgeving. De omvang van die kosten hangt mede af van de interpretatie van de onderliggende eisen, en daar ligt vaak meer ruimte dan de klassieke jurist geneigd is te nemen. De businesscase moet op een zorgvuldige wijze tot stand komen, anders riskeren bestuurders persoonlijke aansprakelijkheid. Adviseurs en IT-dienstverleners dienen zich daarbij proactief en waarschuwend op te stellen, ook bij de uitvoering van een businesscase. Het blijft balanceren tussen het nemen van verantwoorde en onverantwoorde risico’s. Het gebruiken van professionals waar nodig kan de doorslag geven. Tot slot: een succesvolle businesscase laat zich moeilijk afschermen van concurrenten; geheimhoudingsbedingen zijn vaak niet meer dan een papieren tijger.
 
Polo van der Putt is advocaat bij Vondst Advocaten, Amsterdam. E-mail: polo.vanderputt@vondst-law.com
Tessa Stallaert is advocaat bij Vondst Advocaten, Amsterdam. E-mail: tessa.stallaert@vondst-law.com
 

[1] Polo van der Putt en Tessa Stallaert zijn Advocaten bij Vondst Advocaten, Amsterdam.

[2] Zie bijv. Rechtbank Haarlem d.d. 8 januari 2010, Rechtbank Dordrecht 22 oktober 2008 en Rechtbank Utrecht 16 maart 2007.

[3] Zie bijv. Rechtbank. Amsterdam 29 augustus 2012.

[4] Zie bijv. Rechtbank Breda, 25 oktober 2006 en Rechtbank Arnhem 7 februari 2002.

[5] HvJ EU 3 juli 2012.

[6] Artikel 13 Wet Bescherming Persoonsgegevens.

[7] Richtsnoeren Beveiliging van persoonsgegevens, College Bescherming Persoonsgegevens, februari 2013.

[8] Zie het rapport “Informatiebeveiliging in ziekenhuizen voldoet niet aan de norm, Rapportage van een onderzoek in 2007 door het College bescherming persoonsgegevens en de Inspectie voor de Gezondheidszorg naar de informatiebeveiliging in 20 ziekenhuizen.

[9] Artikel 14 Wet Bescherming Persoonsgegevens.

[10] Besluit van 12 oktober 2006, houdende prudentiële regels voor financiële ondernemingen die werkzaam zijn op de financiële markten (Besluit prudentiële regels Wft), art. 20 lid 2.

[11] Zienswijze CBP inzake SURFmarket nr. 20120910 d.d. 10 september 2012.

[12] Derde landen zijn alle landen buiten de EU, afgezonderd van Noorwegen, Liechtenstein en IJsland.

[13] De Europese Commissie heeft reeds een positief oordeel gegeven over het beschermingsniveau in Zwitserland, Isle of Man, Argentinië, Guernsey, Jersey, Farao Eilanden, Andorra, Israël en Canada. Zie de website van de Europese Commissie voor een actueel overzicht van de oordelen <http://ec.europa.eu/justice/policies/privacy/thirdcountries/index_en.htm....

[14] Zie voor een overzicht van de organisaties die voldoen aan de Safe Harbour Principles: <http://safeharbor.export.gov/list.aspx>

[15] Art. 29 Werkgroep, advies 5/2012 over cloud computing.

[16] De Europese Commissie heeft daarvoor een voorstel ingediend op 25 januari 2012.

[17] De huidige regelgeving is gebaseerd op een Europese Richtlijn. Die heeft geen kracht van wet en diende door alle lidstaten in nationale wetgeving te worden omgezet. Dit heeft erin geresulteerd dat er veel (kleine) lokale verschillen zijn in de privacywetgeving.

[18] Dit beginsel is niet in een algemene wetsbepaling vastgelegd, maar vormt wel een van de ongeschreven rechtsregels en komt tot uiting in diverse wetsbepalingen.

[19]Vergelijk onder meer Hoge Raad 11 november 1983, NJ 1984, 298 (Broere/Olivetti; Hof Den Haag 8 maart 1984, Computerrecht 1984-2, p. 29 (RBC/Brinkers), bekrachtigd door Hoge Raad 11 april 1986, Computerrecht 1986-3, p. 174 (RBC/Brinkers); Rechtbank Utrecht 30 mei 2007, Computerrecht 2007/147, p. 242-244 , m.nt. T.J. de Graaf (Kwetters/Profuse); Rechtbank Utrecht 29 december 2010, LJN BO9820, IT en Recht, nr. IT 214 en Rechtbank Utrecht     4 juli 2012, Computerrecht 2012/186, m.nt. P.G. van der Putt.

[20] GS Rechtspersonen, artikel 2:9 BW, aant. 4.1.

[21] Hoge Raad 23 november 2012, LJN BX5881, RvdW 2012, 1473.

[22] Vergelijk recent Hoge Raad 29 maart 2013, LJN:BY8661.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag