Internetrecht door Arnoud Engelfriet

Een lezer vroeg me:

Als systeembeheerder bij een MKB-bedrijf kreeg ik de instructie om alle Outlook-kalenders openbaar toegankelijk te maken voor alle mensen binnen het bedrijf, zonder de betrokkenen daarvoor apart toestemming voor te vragen. Het betreft hier niet alleen de beschikbaarheidsinformatie die standaard wordt getoond, maar ook de inhoud van de individuele afspraken. Als argument word gegeven dat het dan makkelijker plannen is, en dat als iemand iets geheim wil houden hij het maar moet markeren als een privé-afspraak. Wordt de privacy niet geschonden zo, en moet ik hieraan meewerken?

Een afspraak in een agenda kan zeker onder de privacywet vallen. Wel denk ik dat bij zakelijke afspraken de werkgever al heel snel een belang kan hebben dat zwaarder weegt dan de privacy. Het is immers een afspraak voor het werk, en de inhoud van de afspraak kan relevant zijn voor anderen. “Bezet tussen 12 en 13″ is immers te weinig informatie om te weten of je iemand tussen 13 en 14 kunt spreken: is hij op kantoor, gaat hij uit lunchen, zit hij bij een klant aan de andere kant van het land?

Privézaken zoals tandarts of etentje met je partner mag je best in de zakelijke agenda zetten, en daar moet de werkgever dan van afblijven. Wel is het redelijk om te verwachten dat mensen de afspraak markeren als privé zodat de werkgever dat wéét.

Een regeling dat agenda’s open moeten zijn behalve privé gemarkeerde afspraken, lijkt me op zich redelijk. Maar aankondigen vooraf is eigenlijk wel verplicht. Mensen moeten immers weten dat dit gaat gebeuren, zodat ze oude privéafspraken alsnog af kunnen sluiten.

Of je als systeembeheerder moet meewerken, blijft een lastige vraag. Ik adviseer altijd dit soort instructies eerst op schrift te laten krijgen, en daarna met een stalen gezicht de bedrijfsjurist te vragen om te duiden hoe dit binnen de Wet bescherming persoonsgegevens vormgegeven moet worden. Daar is die immers voor. Met een beetje geluk gaat er dan een “OMG dit kan niet, aansprakelijkheid, whargarbl” naar de directie en ben je er vanaf. En als hij zegt dat dit legaal is, dan kun je met een gerust hart aan het werk lijkt me.

Arnoud

Een lezer vroeg me:

Voor mijn werk moet ik allerlei vragenlijsten invullen die we alleen op papier hebben. Met deze lijsten doorlopen we de workflow, zodat ik weet welke acties ik moet nemen en wat waar geadministreerd moet worden. Nu heb ik als hobby programmeren, dus ik ben op een zaterdagmiddag er eens voor gaan zitten en een applicatie gebouwd die me helpt de lijsten te doorlopen. Nu vroeg ik me af, kan ik deze applicatie nu gaan verkopen aan andere bedrijven in onze branche? Er is vast markt voor, want iedereen werkt met die papieren vragenlijsten.

Ok, dat was niet één specifieke lezer maar diverse: ik krijg zo ongeveer elke drie maanden een vraag van deze aard. Vandaar het gebrek aan specificiteit in wat de vragenlijsten doen en welke acties men onderneemt.

De eerste kwestie waar je tegenaan loopt, is of je wel het auteursrecht kunt claimen op deze software. Wat je maakt in het kader van je dienstverband is volgens de Auteurswet het eigendom van je werkgever. Daarbij maakt het niet uit of je onder werktijd werkt of in het weekend, of dat je een eigen PC gebruikt in plaats van de bedrijfslaptop.

De discussie zal hier dus alleen gaan over de vraag of het deel van je werk was om die applicatie te bouwen. Daarbij geldt als toets: had je werkgever je kunnen verplichten dit te doen? Of zou dat zó ver van je normale werk afliggen dat je dat redelijkerwijs had mogen weigeren? De functie van de werknemer lijkt me daarbij zeer belangrijk.

Een vrachtwagenchauffeur die zo de vrachtbrieven digitaal kan verwerken, kan denk ik zelf wel de rechten claimen. Een programmeur die de intake van nieuwe feature requests stroomlijnt met zo’n programma, zal geen eigen rechten kunnen claimen. Bij een administratief medewerker zit je in een grijs gebied: is verbeteren van de administratieve workflow niet deel van zijn werk?

Sommige vraagstellers hebben dit werk losgelaten op lijsten die van een derde zijn, bijvoorbeeld een leverancier of uitgever. In dat geval kan de applicatie tegen auteursrechten van die derde aanlopen. Daarbij zal het afhangen van wát je gebruikt: alleen de feiten die de leverancier ook gebruikt, of ook de systematiek of opbouw van het formulier? In het laatste geval kan de leverancier namelijk een auteursrecht claimen op die opbouw. Immers, het idee van “als het antwoord JA is, ga naar 5, ga anders naar 4″ is een creatieve invulling. Die opbouw mag je dus niet overnemen.

Arnoud

Een lezer vroeg me:

Op menig website zie je tegenwoordig de Facebook ‘Like’-knopjes. Nu had ik gelezen dat Facebook je daarmee ook trackt als je er niet op drukt, dus ook als je geen lid bent en niet akkoord bent gegaan met hun Terms of Service of privacyverklaring. Mag dat zomaar?

De Facebook ‘Like’-knop bevat inderdaad een trackingcookie dat in alle gevallen wordt gezet, ook als je niet ingelogd bent of zelfs geen Facebook account hebt.

Bij onze Eerste Kamer ligt nu een wetsvoorstel dat gaat eisen dat tracking cookies alleen mogen worden geplaatst met uitdrukkelijke toestemming, en dat zou de Facebook cookies bij de Like-knop dus in strijd met de wet maken. Zaterdag las ik dat in de Duitse deelstaat Sleeswijk-Holstein al een verbod op dit knopje geldt binnen de overheid.

De grote vraag is dan: is Facebook te houden aan die Europese wet? In het verleden heeft de Artikel 29-Werkgroep geconcludeerd dat dat inderdaad het geval is. Uit hun analyse:

De Groep is daarom van mening dat de nationale wetgeving van de lidstaat waar de pc van de gebruiker zich bevindt, van toepassing is op de vraag onder welke voorwaarden de persoonsgegevens van de gebruiker kunnen worden verzameld door cookies op zijn harde schijf te plaatsen.

Dit baseert men op artikel 4 van de privacyrichtlijn, dat bepaalt dat nationaal recht van een lidstaat geldt als

de voor de verwerking verantwoordelijke persoon niet gevestigd is op het grondgebied van de Gemeenschap en voor de verwerking van persoonsgegevens gebruik maakt van al dan niet geautomatiseerde middelen die zich op het grondgebied van genoemde Lid-Staat bevinden, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.

Het plaatsen van cookies is geen ‘doorvoer’, en daarmee is dus aan deze eis voldaan.

Praktisch gezien is het natuurlijk een beetje moeilijk om Facebook te dwingen zich te houden aan Europese regels als ze niet daadwerkelijk actief zijn in Europa. Wie ga je de boete opleggen, en hoe incasseer je die?

Niet verrassend is in de VS al iemand over dit onderwerp aan het procederen. Ik ben heel benieuwd wat voor schikking hieruit komt en of Facebook dan ook daadwerkelijk haar knopje gaat aanpassen. In de tussentijd is het met Adblock blokkeren van het Like-knopje de handigste optie denk ik.

Arnoud
Foto: How to add a DisLike button on facebook in firefox?

Toegegeven, ik moest erom lachen, maar eigenlijk is het om te huilen zo schaamteloos tegen de wet is het: de “verkoop je vrienden” actie van 1dayfly. Zoals na te lezen bij een Twittervolger (dank) is de actie simpel: vul als lid van de dienst de e-mailadressen van al je vrienden in, waarna de dienst ze mailt onder jouw naam en ze aanspoort lid te worden van de koopjessite. Dit levert beide partijen credits op. Het is buitengewoon stuitend dat een Nederlands bedrijf zo’n evident strafbare actie onderneemt onder het mom van “haha kijk ons eens lekker ludiek zijn”.

Een tell-a-friendsysteem waarbij bezoekers anderen kunnen tippen over een product of dienst is op zich legaal, maar wel onder vier voorwaarden:

1. De communicatie gebeurt volledig op eigen initiatief van de internetgebruiker (of afzender), de website stelt hier geen (kans op) beloning tegenover voor afzender of ontvanger.
2. Voor de ontvanger moet het duidelijk zijn wie de initiatiefnemer van de e-mail is, zodat hij diegene kan aanspreken als hij niet gediend is van dergelijke mails.
3. De afzender moet volledige inzage hebben in het bericht dat namens hem wordt verzonden, zodat hij de verantwoordelijkheid kan nemen voor de persoonlijke inhoud van het bericht.
4. De website in kwestie mag de e-mailadressen en andere persoonsgegevens niet gebruiken of bewaren voor andere doeleinden dan het eenmalig verzenden van een bericht namens de afzender. Daarnaast dient de website het systeem te beveiligen tegen misbruik, zoals het geautomatiseerd verzenden van spam.

De actie voldoet volgens mij aan geen van de vier eisen. Zowel afzender als ontvanger krijgen een beloning in de vorm van credits, dus aan die eerste eis is al niet voldaan. Inzage in het bericht krijg je ook niet, en de mail wordt verstuurd onder de naam van de gebruiker en niet 1DeadFly zelf. En het is afwachten of de mailadressen niet toch nog vaker dan één keer worden gebruikt.

Richard van Delft wijst er via Twitpic nog op dat je met deze actie ook kunt zien wat je vrienden kopen: je krijgt namelijk aanvullende credits daarvoor, en die zijn te relateren aan de aanschaf.

Wil iedereen die mail krijgt van deze spammers een klacht indienen bij Spamklacht? En daarna zijn/haar vrienden meppen omdat ze een spamdienst gebruiken?

Arnoud

Een lezer vroeg me:

Recent kwam mijn website (een colocated eigen server) onder vuur door een DoS-aanval van buitenaf. Ik heb toen mijn provider gevraagd maatregelen te nemen en met name de IP-adressen te filteren of blokkeren waar de aanval vandaan kwam. Zij weigeren dit echter omdat ze vinden dat ik het beheer moet doen op mijn machine. Ook zeggen ze dat het voor hen ondoenlijk is om maatregelen te nemen. Maar ik neem bij hen toch een dienst af, kan ik ze dan niet verplichten in te grijpen als de dienst niet goed werkt?

De plichten die de provider heeft, volgen primair uit het contract. De vraag is dus wat daar instaat over abuse en filteren. En als er niets staat, moet je uit de aard van het contract afleiden wiens verantwoordelijkheid dit moet zijn. Bij een eigen colocated server ben je als klant zelf verantwoordelijk voor het beheer; de plichten van de provider houden op bij de netwerkstekker. De vraag wordt dan dus, is een DDoS-aanval iets dat de stekker raakt of pas het apparaat waar die stekker in zit?

De klant kan zelf blokkeren op een eigen firewall maar dan zit zijn inkomende netwerkverkeer nog steeds vol. Droppen aan de buitenkant (netwerk van de ISP) is efficiënter, zeker, maar hoe weet de ISP dan welke adressen ze moeten droppen?

Een DDOS aanval zou ik eerder als iets van buitenaf zien, net zoals een hagelstorm. Je kunt het niet voorkomen, je kunt alleen de impact beperken. En dan wordt de vraag dus, wat moet een ISP doen om die impact te beperken. Zij hebben een zorgplicht, net zoals een huisbaas moet zorgen voor een goed dak in een huurhuis. Maar dat houdt ergens op: een hagelstorm met tennisbalformaat hagelstenen die onder een hoek van 45 graden binnenkomt en je kelderruitje eruit gooit, is overmacht. Je kunt dan geen vergoeding van je huisbaas eisen.

Verder speelt altijd de vraag tussen kosten en baten een belangrijke rol. Een dure maatregel tegen een uitzonderlijk probleem is niet billijk en hoeft niet te worden ingevoerd. Een goedkope maatregel tegen een routineprobleem moet er altijd zijn. En daartussen is het grijze gebied waar advocaten zich in thuisvoelen.

Ook speelt mee welke opvattingen er in de markt heersen: als iedereen vindt dat de klant dit moet doen, dan kun jij niet zomaar van de ISP eisen dat hij het oplost. Als de heersende mening is dat de ISP dit moet doen, dan kun je eisen dat jouw provider dat ook gaat doen.

Het is ontzettend moeilijk om iets te doen aan DDoS-aanvallen. Een tijd geleden las ik een uitgebreide review bij Tweakers over de technieken en mogelijkheden om het tegen te gaan. Maar fundamenteel is het nauwelijks op te lossen: er komt een berg verkeer binnen en dat moet je filteren.

Arnoud

Dat gegooi met ex parte verboden moet nu echt eens afgelopen zijn. Want als ik lees wat Realnetworks daarmee uithaalt dan kan ik daar alleen maar kwaad om worden. Een Nederlandse particulier zet een hyperlinksite op, en zit nu met 66.000 euro schade, plus een dreiging van 75.000 euro advocaatkosten daar nog bij mocht hij definitief veroordeeld worden. En waar gaat het om? Een link naar Real Alternative, dat overal op internet te vinden is.

Real had in een ex parte procedure (zonder wederhoor) gestelt dat de eigenaar van deze site de auteursrechten op Realplayer zou schenden, omdat via deze site het pakket Real Alternative te downloaden zou zijn. Real dacht kennelijk dat de linksite zélf de download aanbood, maar ook nadat vast kwam te staan dat dat niet het geval was, zette men de zaak door. Er loopt nu een bodemprocedure waarin Real schadevergoeding eist.

Je zou zeggen dat na een procedure in februari 2010(!) zo rond augustus 2011 wel eens afgelopen zou zijn. Maar nee, er is nog geen zicht op een einde: in december is er nog een hoorzitting, en zelfs als daarna de zaak voor vonnis gereed is, zal dat nog zeker acht weken duren. Leuk vooruitzicht, nog een jaartje zo’n kostenpost plus dreiging van het dubbele boven je hoofd hebben hangen.

Het lijkt me een goed idee om een regel in te voeren dat advocaten persoonlijk aansprakelijk zijn als ze een ex parte verzoek indienen dat later vernietigd wordt. Omdat het een procedure zonder tegenspraak is, moet de rechter afgaan op de informatie die de advocaat aandraagt. En als die niet blijkt te kloppen, dan moet dat consequenties hebben.

Arnoud

Richard Stallman in de bocht. Ik las een artikel in de Guardian waarin de vrijesoftwarevoorman de noodklok luidt over de bedreiging van het softwareoctrooi. Eén stukje schoot me echt in het verkeerde keelgat: de plannen om een trans-Europees octrooi in te voeren zouden een sneaky manier zijn om stiekem toch weer softwareoctrooien te legaliseren.

Al sinds 1950 of daaromtrent zijn er plannen om een Europees octrooi in te voeren, dat in één keer in heel Europa geldt en niet zoals nu in elk land apart wordt geregistreerd. Als compromis is begin jaren zeventig het Europees Octrooibureau opgericht dat de beoordeling van aanvragen centraal doet, waarna het Europese octrooi wordt omgezet in een setje nationale octrooien.

Het vervolgtraject (één octrooi) liep altijd fout op de vraag in welke taal dat octrooi gepubliceerd zou moeten worden, want elk Europees land vindt dat haar eigen taal de leidende taal is voor technische innovatie of dat lokale ondernemers geen buitenlandse talen hoeven te snappen om octrooien te kunnen vermijden. De enige uitzondering is Nederland, dat al sinds 1973 pleit voor gewoon Engels, Frans of Duits mits landen met andere talen dan maar korting krijgen op de aanvraagtarieven.

In 2005 was er die puinhoop van de richtlijn “computer-geimplementeerde uitvindingen” waarbij werd voorgesteld de aanpak van het Europees Octrooibureau te formaliseren. Die gaat wel iets verder dan alleen “zet het woord computer in je aanvraag en je bent safe”. Je uitvinding moet wel iets doen waar de computer zelf (de hardware) beter van gaat werken. Zo is een datacompressietechniek te patenteren omdat deze zorgt voor sneller datatransport, of juist minder benodigde netwerkcapaciteit voor dezelfde gegevens. Een algoritme om fractals te tekenen is niet te patenteren, ook niet als je “op een computer” erbij zet want dit ‘doet’ niets met de hardware zelf.

Er wordt nu weer gesproken over het echte Europese octrooi, waarbij de discussie vooral gaat over hoe de handhaving in zijn werk moet gaat. Komt er dan een Europese octrooirechtbank, en zo ja waar gaat die zich vestigen? Want als hij in Duitsland zit, moet een Spaanse ondernemer dan helemaal daarheen reizen? En als elk land er eentje heeft, hoe waarborg je dan de eenvormigheid van de uitspraken? En oh ja, in welke taal gaan we het ook weer doen?

Ik verwacht niet dat er de komende vijf jaar een echt Europees octrooi komt, en al helemaal niet dat daar specifieke regels in staan over software. Als er al regels komen, dan gaat dat over de status van een octrooi na verlening en de manier van handhaving. De inhoudelijke regels zullen 1-op-1 gebaseerd zijn op wat het Europees Octrooiverdrag uit 1973 zegt. Pas de rechtspraak daarna zal enige duidelijkheid kunnen verschaffen over softwareoctrooien.

Arnoud

Het gebruik van e-mailadressen en andere persoonlijke gegevens van mensen valt onder de strenge privacywet, de Wet bescherming persoonsgegevens. Deze schrijft voor dat je in principe alleen gebruik mag maken van zulke gegevens als je toestemming hebt. Recent heeft het overlegorgaan van privacywaakhonden, de Artikel 29-Werkgroep een opinie over toestemming gepubliceerd die uitwerkt hoe je toestemming moet krijgen. Hieruit blijkt nog maar eens hoe streng deze regels zijn, en hoe snel je in de fout kunt gaan.

Toestemming is het uitgangspunt, omdat de privacywet is gebaseerd op het idee dat de betrokkene zelf beslist wie wanneer zijn gegevens gebruikt. Gebruik van persoonsgegevens is dus een gunst en geen recht. Dit blijkt ook nog eens uit het feit dat men toestemming op elk moment mag intrekken van de wet.

Steeds meer sites en apps maken gebruik van persoonsgegevens als onderdeel van hun bedrijfsmodel. Spelletjes vragen toegang tot de vriendenlijst of het MSN-account zodat ze zichzelf kunnen promoten. Websites en advertentienetwerken bouwen profielen op zodat ze getargete advertenties kunnen tonen. Dit mag, maar hiervoor is wel apart toestemming nodig.

Het grootste probleem in de praktijk is dat mensen niet goed weten waar ze toestemming voor geven. Hoe veel sites zijn erniet waar men volstaat met “U geeft toestemming voor gebruik voor marketing” of “onze zorgvuldig geselecteerde partners mogen u mailen”, of met “ik aanvaard het privacyreglement” waarna je in tien pagina’s juridisch jargon mag nalezen wat men onder ‘privacy’ verstaat.

Dergelijke vormen van ‘toestemming’ vragen zijn expliciet niet genoeg, zegt de Werkgroep nu. Enkel en alleen als de toestemming gebaseerd is op een vrije beslissing, na geïnformeerd te zijn over wat er specifiek gaat gebeuren, is de toestemming rechtsgeldig. Een paar voorbeelden:

• Het aan hebben staan van Bluetooth is geen toestemming voor het ontvangen van reclameberichten via Bluetooth. Gaat men zelf naar een billboard toe waar staat “Hou je telefoon hier en ontvang onze aanbieding”, dan is dat lopen natuurlijk wel een vorm van toestemming geven.
• Medewerkers een mailtje sturen met daarin een voorbeeld (preview) van hun vermelding in het smoelenboek op intranet, gevolgd door een duidelijke “ja/nee” knop, levert toestemming op als mensen op “ja” klikken. Als de manager mails rondstuurt dat “nee” klikken “niet op prijs” gesteld wordt of “niet past bij onze professionele opvattingen”, is de toestemming niet meer rechtsgeldig.
• Een privacystatement linken onderaan elke pagina van een forum met daarin dat je gebruikersinformatie (naam, e-mailadres etcetera) gebruikt kan worden voor marketingdoeleinden is geen manier om toestemming te krijgen. Ook een expliciet akkoord vragen op het privacystatement is niet genoeg - wie gaat de marketing doen en wat voor marketing is dat dan?
• Een expliciete melding dat je e-mailadres wordt verstrekt aan bedrijven X en Y zodat die je reclame kunnen sturen voor hun producten is wél een vorm van toestemming, mits men maar op dat moment de verstrekking nog kan tegenhouden.

Het laatste item is gebaseerd op een opmerkelijk standpunt van de werkgroep omtrent sociale netwerksites. De werkgroep signaleert namelijk de trend dat zulke sites mensen min of meer dwingen in te stemmen met getargete advertenties als voorwaarde om lid te mogen worden van de site. En dat vindt men niet kunnen:

Considering the importance that some social networks have acquired, some categories of users (such as teenagers) will accept the receipt of behavioural advertising in order to avoid the risk of being partially excluded from social interactions. The user should be put in a position to give free and specific consent to receiving behavioural advertising, independently of his access to the social network service.

De zorg is terecht, maar ik heb wel moeite met deze consequentie. Het zou genoeg moeten zijn om vooraf te horen wat de site van plan is, waarna je kunt besluiten lid te worden of niet. Goed, bij sommige sites heb je vrijwel geen keuze, daar móet je lid van zijn (Facebook als tiener of Linkedin als professional). Heel misschien is het dan verdedigbaar.

Apps die je via die netwerkdienst kunt gebruiken, moeten apart toestemming vragen voor wat zij willen doen. En ook die toestemming moet expliciet en uitgebreid zijn. Niet alleen maar “This app wants to access your account”; nee, welke onderdelen en informatie worden benaderd en wat gebeurt daarmee? Verandert hoe de app werkt, dan moet apart opnieuw toestemming worden gevraagd.

Heeft de app bijvoorbeeld een nieuwe functie om je highscore te twitteren, dan moet apart gevraagd worden of deze geactiveerd mag worden. Ook moeten mensen vooraf zien wat er wordt getwitterd. En als ik dat standpunt hierboven goed begrijp, dan is zelfs te verdedigen dat de gebruiker het activeren van deze functie moet kunnen weigeren zonder gestraft te worden met een niet meer werkende app.

De wet noemt overigens enkele uitzonderingen op de eis van toestemming. Zo mag je gegevens zonder nadere toestemming gebruiken als dat nodig is voor het uitvoeren van een overeenkomst. Je mag dus bijvoorbeeld het adres van een klant aan je vervoerder geven zodat deze de bestelling kan bezorgen. Ook mag je in bijzondere gevallen zonder toestemming iemands gegevens gebruiken als dat noodzakelijk is voor een eigen zwaarwegend doel, én dat doel zwaarder weegt dan de privacy van de betrokkene. Dit is echter meestal niet van toepassing, behalve bij journalistieke publicaties kan ik er eigenlijk geen bedenken..

Arnoud

Diverse lezers wezen me op een analyse bij OSNews over het Gemeenschapsmodelrecht, het intellectuele-eigendomsrecht dat Apple inzet tegen Samsung om de Galaxy Tab van de markt te krijgen. Dit is een in heel Europa geldend recht, gebaseerd op een Verordening, zeg maar een Europese wet. Modellen zijn daarmee in één keer in de hele EU beschermd. Een verbod kan voor de hele EU worden uitgesproken door één rechtbank.

Een modelrecht is min of meer vergelijkbaar met een octrooi (patent): het biedt de houder het recht om alle sterk gelijkende producten van de markt te krijgen. Ook als die ander niet actief afgekeken of nagemaakt heeft. Het enige criterium is of het andere product “geen andere algemene indruk wekt” dan het beschermde model. Het modelrecht beschermt namelijk het uiterlijk van een product, terwijl een octrooi de functie of samenstelling van een product beschermt. (Het modelrecht had ik in het kader van 3D dinsdag al eens kort besproken.)

Octrooien worden uitgebreid onderzocht en getoetst voordat ze worden verleend. En je kunt zeggen wat je wilt over de kwaliteit van dat onderzoek, maar het is meer dan ze bij modelrechten doen: die worden in het geheel niet onderzocht op nieuwheid of creativiteit. Je kunt dus prima een bestaand product deponeren en dat zal dan worden ingeschreven als modelrecht. Pas bij de rechter wordt getoetst of het model echt nieuw is.

Als er maar weinig rechtszaken zijn (en dat is zo bij modelrechten) dan is dat een prima systeem. Waarom tienduizenden depots controleren als er slechts 1 of 2 in een procedure komen? Met die reden is bij het Nederlandse octrooi ook het vooronderzoek afgeschaft. Je kunt dus in Nederland octrooi op het wiel krijgen, alleen is zo’n octrooi natuurlijk waardeloos want de prior art is zo boven tafel.

Bij modelrechten zit er echter een gekke kronkel in de Verordening: modellen worden geacht nieuw te zijn tenzij de wederpartij bewijs levert dat het model al bestond:

In een procedure inzake een rechtsvordering betreffende inbreuk of dreigende inbreuk van een ingeschreven Gemeenschapsmodel gaat de rechtbank voor het Gemeenschapsmodel ervan uit dat het Gemeenschapsmodel rechtsgeldig is. De rechtsgeldigheid kan slechts worden aangevochten bij wege van een reconventionele vordering tot nietigverklaring.

Dat stelt een modelrechthebbende natuurlijk wel in een heel voordelige positie. En als je dat combineert met het onding dat ex parte procedure heet, dan komt het inderdaad neer op een vrijbrief om zonder weerwoord te schieten op andermans product. Natuurlijk zitten er wel consequenties aan onterechte ex parte claims. De getroffen partij kan een schadeclaim indienen voor de gemiste omzet, en Samsung zal dat ongetwijfeld ook gaan doen. Een klein bedrijfje zie ik dat echter nog niet doen. Bovendien: de werkelijke schade is de gemiste marktintroductie en het geurtje van “namaak” dat vanaf nu zal blijven hangen aan de Galaxy Tab.

Nu patenttrollen een paar gevoelige tikken hebben gehad van de rechter, is het wellicht denkbaar dat zij hun werkterrein naar het modellenrecht verplaatsen. Aan de andere kant: een patenttrol is effectief omdat aanvechten zo duur is. Bij een modelrechtprocedure bij de rechter ben je goedkoper uit, dus als trol moet je dan wel érg laag inzetten om nog je bedrijfsmodel overeind te houden.

Wie durft er te voorspellen wat de uitkomst van Apple vs. Samsung zal zijn? Oh, en wie kocht er een Galaxy Tab vanwege deze procedures?

Arnoud
Afbeelding: Apple’s design 181607 dat zij tegen Samsung inzet.

Als iemand inbreekt op je VoIP-centrale en je duizend euro aan belkosten oplevert, is dat dan jouw probleem of dat van je telefonieprovider? Een lastige vraag, die maar al te vaak tot grote conflicten kan leiden. In een recent vonnis uit Maastricht legt de rechter de bal -terecht- bij de klant, maar wel mede (vooral?) vanwege het feit dat het ging om een eigen server.

De klant had een contract voor het leveren van VoIP-telefonie. Hij gebruikte daarbij een “eigen” server, maar het is me niet duidelijk of dat betekent “zelf gekocht” of “in eigen beheer”. Ik vermoed het laatste.

Voor deze dienst betaalde de klant gemiddeld € 33,50 per maand, en de factuur van april 2010 voor € 1.028,06 was dan ook enigszins een verrassing. Deze bleek te verklaren door een inbraak op de server in maart. Daarbij hadden derden vanuit Roemenië via hun centrale 150 keer naar Zimbabwe en Somalië gebeld.

De klant betwistte dat zij deze duizend euro moest betalen. De leverancier zou haar zorgplicht hebben geschonden, omdat zij geen beveiligingsmaatregelen of software had ingebouwd ter bescherming van de klant. Ook had de leverancier nooit gewaarschuwd voor malafide organisaties die op andermans kosten kunnen telefoneren. Plus, er kon zomaar onbeperkt gebeld worden, en dat is ongebruikelijk: andere bedrijven stellen een bellimiet in of geven een waarschuwing wanneer een afwijkend belpatroon optreedt.

De rechter gaat daar niet in mee. De klant had zich kunnen beveiligen tegen inbraken in de server, maar heeft daarvoor geen stappen genomen. Nergens is uit gebleken dat de leverancier nalatig was met waarschuwen of iets dergelijks.

En wat andere bedrijven doen (bellimieten of waarschuwingen) is niet relevant: de wet verplicht niet tot het overnemen van maatregelen van je concurrent. Dat zou pas kunnen als de maatregel zó evident is dat je van grove nalatigheid zou spreken als deze niet genomen wordt. En dan denk ik eerder aan het uitschakelen van alle wachtwoordbeveiliging dan aan een bellimiet.

Een professionele partij die een eigen VoIP-server heeft, wordt dus geacht zelf de beveiliging daarvan ter hand te nemen. De leverancier kan daarbij diensten verlenen, maar dat is niet standaard en hij mag er dus gewoon geld voor vragen.

Arnoud