Weblog

De Aanbestedingswet 2012 is aangepast, zijn alle model-aanbestedingsdocumenten dan nog wel up to date?

| 19-07-2016

Per 1 juli jongstleden is de aangepaste Aanbestedingswet 2012 in werking getreden. Ook de Gids Proportionaliteit is aangepast. Deze aanpassingen hebben impact op de ‘bestaande gang van zaken’ bij aanbestedingen. Al eerder beschreven we de belangrijkste veranderingen door deze wet op IT-aanbestedingen, zie daarvoor hier. Organisaties die regelmatig aanbestedingen doen gebruiken vaak sjablonen (of ‘modeldocumenten’) voor hun aanbestedingsdocumenten, bijvoorbeeld voor de offerteaanvraag of de selectieleidraad. Die documenten zullen moeten worden aangepaste naar aanleiding van de veranderingen in de wet, en ook zullen er mogelijk nieuwe sjablonen (en procedures) moeten worden opgesteld omdat de regels omtrent de zogenaamde 2b-diensten veranderen.

Aanpassen

Belangrijke wijzigingen die in de gebruikte ‘standaard’ documenten moeten worden doorgevoerd zijn bijvoorbeeld het gebruiken van het ‘Uniform Europees Aanbestedingsdocument’ in plaats van de ‘Eigen verklaring’ met daarbij het voorschrift dat de bewijsmiddelen nu al wel tijdens de procedure mogen worden opgevraagd wanneer dit nodig is voor een goed verloop van de procedure. Ook verschuift de minimale termijn voor het publiceren van de laatste nota van inlichtingen van 6 naar 10 dagen voor de uiterste datum voor het indienen van de inschrijvingen. Verder geldt dat het vanaf 1 juli 2017 (bij opdrachten boven de drempel) daadwerkelijke verplicht is alle communicatie en informatie-uitwisseling elektronisch te laten verlopen. Andere voorbeelden van zaken die door de aangepaste wet in bestaande sjablonen moeten worden aangepast zijn het mogen gebruiken van ‘Past performance’ bij de geschiktheidseisen, het mogen gebruiken van het gunningscriterium ‘Laagste kosten op basis van kosteneffectiviteit’ en het wijzigen van de betekenis van de term ‘EMVI’.

Mitopics

Naast bovenstaande voorbeelden zijn er nog diverse andere wijzigingen waarop de sjablonen gecontroleerd moeten worden. Mitopics beschikt over aanbestedingsspecialisten, IT-juristen en aanbestedingsjuristen. Mitopics is daarmee bij uitstek in staat om voor een organisatie een controle te doen van bestaande sjablonen en na te gaan of deze passend zijn bij de aangepaste wet. Daarnaast kunnen onze medewerkers de (aanbestedings)sjablonen voor een organisatie opstellen in geval deze nog niet aanwezig zijn. Aanbestedingen kunnen sneller en met een betere kwaliteit worden uitgevoerd als er een goede set sjablonen (of modeldocumenten) beschikbaar is. Deze sjablonen waarborgen dat de regels worden gevolgd en de teksten passend zijn bij de aangepaste wet, wij helpen u daar graag mee! Voor meer informatie kunt u contact opnemen met Joost Lucassen.

 

Hoe krijg ik mijn data terug!

| 19-07-2016

Een vraag die wij met enige regelmaat krijgen. Soms wanneer een gebruiker van een SaaS dienst over wil stappen naar een nieuwe leverancier, soms wanneer de curator van een failliete hostingprovider de apparatuur wil verkopen en de gegevensdragers wil wissen.

De aanduiding “mijn” duidt in juridische zin vaak op een eigendomsverhouding. Als in “mijn” fiets.
En daar zit nu precies het probleem. Het Nederlands recht ken geen eigendom van data.
Eigendom is in art. 5:1 lid 1 BW gedefinieerd als het meest omvattende recht dat een persoon op een zaak kan hebben. Art. 3:2 BW bepaalt vervolgens: Zaken zijn de voor menselijke beheersing vatbare stoffelijke objecten.
Data zijn geen stoffelijke objecten en daarom niet vatbaar voor eigendom.

Een veelvoorkomend misverstand is dat het auteursrecht kan helpen bij het terughalen van data. In de eerste plaats valt veel data niet onder de bescherming van het auteursrecht, omdat geen sprake is van een oorspronkelijk werk. Denk aan onwillekeurig verzamelde gegevens, zoals een boekhouding. Geen auteursrechtelijk beschermd werk, maar niet minder vervelend als je de data niet terug krijgt. In de tweede plaats beschermt het auteursrecht tegen onbevoegde verveelvoudiging of openbaarmaking, maar biedt het in beginsel geen recht op afgifte van data. Ook het databankenrecht biedt weinig soelaas in dezen.

Het verdient dan ook aanbeveling het terugkrijgen van data in contracten goed te regelen. Niet alleen het recht op afgifte van data zelf, maar ook het formaat waarin de data ter beschikking gesteld moeten worden en tegen welke prijs is van belang. Vaak wil de oude leverancier data nog wel aan de klant ter beschikking stellen in geval van overgang naar een nieuwe leverancier, maar niet zelden wordt daar een exorbitant prijskaartje aan gehangen.

In geval van faillissement van een SaaS- of hostingleverancier kan het nog vervelender uitpakken. De curator in het faillissement hoeft zich weinig tot niets van de contractuele afspraken aan te trekken.
Het verdient aanbeveling om een back-up van de data buiten het vermogen van de leverancier op te slaan. Bijvoorbeeld bij een andere leverancier of een onafhankelijke stichting. In geval van faillissement van de ene partij, kun je nog bij de ander terecht.

Is er nog wat aan te doen, als de rechtspositie met betrekking tot de data van tevoren niet goed is geregeld? Er zijn soms slimme dingen te bedenken, maar dat hangt erg van de situatie af en je begeeft je wel in de catacomben van het recht. Voorkómen is beter dan vóórkomen in dit geval.

Voor meer informatie over deze catacomben van het recht kunt u contact opnemen met Mr. Eduard Lievens.

Aftellen naar de privacyverordening

| 09-06-2016

Vorige maand is de definitieve versie van de Algemene Verordening Gegevensverwerking gepubliceerd door de EU. Deze treedt in werking op 25 mei 2018. Hoewel de basisprincipes niet veel anders zijn dan de huidige Wet bescherming persoonsgegevens, zijn er toch een aantal wijzigingen die ingrijpende gevolgen zullen hebben.

(dit artikel is eerder in Automatiseringgids verschenen)

Een scriptie over de rol van IT bij fusies en overnames

| 07-06-2016

Onlangs is Lucien Westbroek gestart als afstudeerder bij Mitopics. In zijn onderzoek is Lucien op zoek naar een antwoord op de vraag wat precies de relevante IT
aspecten zijn in een M&A (Mergers & Acquisition) traject en wat de impact hiervan is op de strategie. De focus ligt in dit geval op voorbereidende activiteiten in de Pre-Merger fase. Vaak blijkt dat bedrijven na een fusie of overname beoogde besparingen niet realiseren of de IT en applicatie blijken een struikelblok bij goede samenwerking.

Wanneer een organisatie of bedrijf gaat samenwerken, fuseren of zich begeeft op het pad van een overname dan heeft dit natuurlijk een reden. Schaalvergroting, bereiken van nieuwe markten, concurrentie uitschakelen et cetera. Bij dit soort trajecten zijn er uiteindelijk verschillende strategieën die gevolgd kunnen worden zoals op zichzelf blijven opereren, geheel of gedeeltelijk samenvoeging van organisaties en systemen, et cetera.

De vraag die Lucien wil beantwoorden is welke rol IT aspecten in dit soort trajecten spelen en wat de relatie is met de strategie. Hierbij kan worden gedacht aan factoren binnen aspecten als applicaties (bv. CRM of ERP), data, infrastructuur, lopende contracten en SLA’s en IT-organisaties. Genoemde aspecten kunnen invloed hebben op de gehele IT strategie en daarmee op de fusie en overname strategie. Het al dan niet integreren van IT wordt vaak onderschat, een M&A traject zou in het ergste geval zelfs gestopt kunnen worden wanneer blijkt dat de IT kosten niet meer  opwegen tegen de ‘te realiseren’ baten van de M&A.

Uiteindelijk hoopt Lucien te kunnen concluderen of en mogelijk welke relevante IT aspecten meewegen in een M&A traject en wat voor invloed deze hebben op de strategie. Dit draagt bij aan betere M&A trajecten vanuit het IT oogpunt.

Over zichzelf schrijft Lucien: “Ik ben bij Mitopics terecht gekomen doordat ik het een interessant onderwerp vond wat mooi aansluit bij mijn eigen interesses en daarnaast heb ik een goede match met de bedrijfscultuur van Mitopics. Ik heb altijd al een passie gehad voor ICT en economie, na mijn mbo Mediatechnologie heb ik hbo Business, IT & Management gedaan en zit in nu de afronding van de master ICT in Business aan de Universiteit Leiden. Naast bij studie ben ik o.a. burgerraadslid in de lokale politiek van de gemeente Ridderkerk.”

Uiteraard is hij ook nog opzoek naar input vanuit organisaties! In dit geval natuurlijk organisaties die zo’n traject hebben of gaan doorlopen en er open voorstaan om input te leveren hierover. Dit is ook mogelijk wanneer er (nog) in mindere mate gekeken is naar de IT aspecten, de al dan niet positieve of negatieve gevolgen hierop hebben. Voor meer informatie of contact over beschikbaarheid tot het doen van een ‘case-study’ kunt u mailen naar Lucien Westbroek l.westbroek@mitopics.nl.

Barsten in het Privacy Shield én in de Standaardclausules

| 01-06-2016

Hét grote privacynieuws van vorig jaar kwam van het Hof van Justitie van de Europese Unie, dat in de zaak Schrems het “Safe Harbour” framework ongeldig verklaarde. Safe Harbour vormde sinds jaar en dag het juridisch vehikel waaronder veel  transatlantische verwerkingen van persoonsgegevens plaatsvonden. Intussen is er hard gewerkt aan een opvolger voor Safe Harbour onder de naam “Privacy Shield”. In dit artikel een update over de situatie rondom transatlantische transfers van persoonsgegevens.

Al voor de uitspraak in de zaak Schrems waren de Europese Commissie en het US Department of Commerce in gesprek over een opvolger van Safe Harbour. Die onderhandelingen zijn in een stroomversnelling geraakt, en op 2 februari is er een akkoord gekomen tussen partijen. Daarover was tot diep in de nacht en onder hoge tijdsdruk onderhandeld. Over het resulterende Privacy Shield is het laatste woord nog niet gezegd. Zo is er nog een besluitvormingsprocedure waarbij het Europees Parlement, de Europese privacytoezichthouders (verenigd in de Art. 29 Werkgroep) en de regeringen van de Europese lidstaten (verenigd in de Artikel 31 Commissie) geconsulteerd moeten worden.  Laatstgenoemde heeft een vetorecht.

De Europese Toezichthouder Gegevensbescherming heeft reeds vrij scherpe kritiek geuit op het Privacy Shield. De Toezichthouder merkt op dat er weliswaar een stap in de goede richting wordt gezet, zowel door de EU als door de VS. Er wordt nu door de VS nu meer openheid verschaffen over de mate waarin er massasurveillance plaatsvindt door veiligheidsdiensten ten aanzien van Europese persoonsgegevens die de Amerikaanse grenzen passeren. Echter, er zijn nog veel te weinig waarborgen voor de rechten van Europese burgers in dezen. Inmiddels is er ook meer, maar nog geen volledige, duidelijkheid ontstaan over de standpunten van Werkgroep, Commissie en het Europees Parlement.

De gezamenlijke nationale toezichthouders hebben in april middels een lijvig document dat bijna zestig pagina’s beslaat hun standpunt bepaald.  Op vrijwel ieder getoetst punt, wordt in goedkeurende bewoordingen opgemerkt dat er significante verbeteringen zijn ten opzichte van Safe Harbour. Vervolgens wordt vriendelijk geconcludeerd dat er nog grote vragen blijven bestaan.

Dit is een ernstig voorteken. Ieder van de leden van de zogenoemde Artikel 29 Werkgroep is zelfstandig bevoegd om Privacy Shield te onderzoeken en ongeldig te verklaren en verzoeken om opheldering moeten dan ook serieus genomen worden.

Het Europees Parlement heeft op 26 mei een motie aangenomen waarin het zich a) achter de mening van de Artikel 29 Werkgroep schaart en b) in feite de Europese Commissie oproept om te heronderhandelen met het US Department of Commerce.

De Artikel 31 Commissie, die een vetorecht heeft (maar in tegenstelling tot de leden van de Artikel 29 Werkgroep na afloop van de besluitvorming weinig invloed meer kan uitoefenen) heeft nog geen standpunt ingenomen en zal dat pas eind juni doen. Maar ook als deze geen gebruik maakt van haar vetorecht, is door de bemerkingen van de Artikel 29 Werkgroep dit Privacy Shield akkoord al op losse schroeven komen te staan.

Op dit ogenblik is het meest veilige juridische instrument om transfer van persoonsgegevens naar de Verenigde Staten mogelijk te maken dat van de Standaardclausules van de Europese Commissie, nu Safe Harbour ongeldig is verklaard en Privacy Shield nog niet in werking is getreden (en misschien zelfs nog niet af is en/of weer snel ongeldig verklaard zal worden). Echter, inmiddels heeft het in Ierland gevoerde vervolg van de Schrems-zaak teken Facebook een nieuwe prejudiciële vraag aan het Hof van Justitie opgeleverd. Die betreft nu juist de Standaardclausules van de Europese Commissie. Hoe snel het Hof hier een antwoord op gaat geven is onduidelijk, maar veel privacy-experts verwachten dat het Hof ook deze van tafel veegt.

De conclusie voor de praktijk is dan ook  dat zaak is bij trans-Atlantisch uitwisseling van Europese persoonsgegevens er voor te zorgen dat er een noodplan ligt voor het geval de juridische instrumenten die dit afdekken weg komen te vallen. Want deze zullen kwetsbaar blijven zolang de Verenigde Staten geen breed wettelijk kader voor privacy kent, mét waarborgen die  op informatie in plaats van de huiselijke sfeer gericht zijn.

Observaties Algemene verordening gegevensbescherming – deel 1

| 01-06-2016

Implementatie van de Algemene Verordening Gegevensbescherming – observaties over toekomstig van toepassing zijnde regelgeving over de verwerking van persoonsgegevens

Deel I: “gerechtvaardigd belang” als grondslag voor de verwerking van persoonsgegevens

Op 14 april 2016 heeft het Europees Parlement plenair ingestemd met de nieuwe Algemene Verordening Gegevensbescherming (AVG).[1] De verordening is op 4 mei 2016 gepubliceerd in het EU publicatieblad, zal op 25 mei 2016 in werking treden en zal per 25 mei 2018 in elke lidstaat van de EU direct van toepassing zijn.  Op 25 mei 2018 is de huidige Nederlandse Wet bescherming persoonsgegevens (Wpb) dus vervangen door de AVG. Hoewel er nog een twee jaar implementatietermijn geldt, tot 25 mei 2018, is het noodzakelijk om nu al te kijken welke gevolgen en wijzigingen de AVG met zich meebrengt om over twee jaar te kunnen voldoen aan deze nieuwe wetgeving.

De regels van de AVG omvatten onder meer:[2]

  • “duidelijke toestemming vooraf” van betrokkenen voor het gebruik van persoonlijke data, of verwerking op basis van een wettelijke grondslag;
  • het recht van betrokkene om te weten of gegevens zijn gehackt;
  • garanties voor heldere uitleg van privacybeleid;
  • betere handhaving en boetes tot 4% van de wereldwijde omzet in het geval van overtreding.

De verordening omvat veel pagina’s. Er volgen nog nadere uitwerkingen ervan in de vorm van lagere regelgeving, zoals door de toezichthoudende autoriteit opgestelde nadere ‘invullingen’ of door gedragscodes.

AVG – beginselen van verwerking van persoonsgegevens

De AVG beschrijft de beginselen van verwerking[3] van persoonsgegevens. Onder meer geldt dat persoonsgegevens[4] moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is (“rechtmatigheid, behoorlijkheid en transparatie”).[5]

De ‘verwerkingsverantwoordelijke’ (in de Wbp soortgelijk aangeduid als: ‘verantwoordelijke’) is verantwoordelijk voor de naleving van deze beginselen en moet dit ook kunnen aantonen (‘verantwoordingsplicht’).

Rechtmatigheid van verwerking van persoonsgegevens

Voor wat betreft de rechtmatigheid van de verwerking geldt dat de verwerking alleen rechtmatig is, indien en voor zover aan ten minste één van de onderstaande voorwaarden is voldaan:

  1. de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden; of
  2. de verwerking is noodzakelijk:
    1. voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
    2. om te voldoen aan een wettelijke verplichting die op de verwerkings-verantwoordelijke (in de huidige Wbp genaamd: verantwoordelijke) rust;
    3. om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
    4. voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen; of
    5. voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is. Voorgaande geldt overigens niet voor de verwerking door overheidsinstanties in het kader van de uitoefening van hun taken.

Voornoemde gronden komen min of meer ook voor in de huidig geldende, Nederlandse Wet bescherming persoonsgegevens (Wbp). Elk van de nu geldende Wbp gronden is (in de loop van de tijd) nader uitgekristalliseerd, zodat is verduidelijkt wat onder de individuele rechtsgronden voor verwerking van persoonsgegevens wordt verstaan en wanneer ze mogen worden toegepast.

Gerechtvaardigd belang

Bijvoorbeeld wordt onder de Wbp een “gerechtvaardigd belang” aanwezig geacht in het geval dat de betreffende verwerking nodig is om reguliere bedrijfsactiviteiten te verrichten. Het toepassen van deze grondslag vereist een concrete, op de omstandigheden van het geval, toegespitste belangenafweging (belang van “verantwoordelijke” of derde afgezet tegen het belang van de “betrokkene”). Ook geldt dat de betrokkene achteraf in elk geval het recht heeft om zich bij de “verantwoordelijke” te verzetten tegen gegevensverwerking die betrekking heeft op deze rechtsgrondslag.

Deze laatst genoemde rechtsgrond wordt onder de huidige Wbp door verantwoordelijken ook wel benut als grondslag om zich zonodig ook pas nadat de verwerking van persoonsgegevens al heeft plaatsgevonden (en na de noodzakelijke belangenafweging e.d. die nodig is om te bepalen of deze grondslag geldt) op te beroepen. Dit in het geval dat deze ‘restcategorie’ ingeroepen kan worden omdat er bijvoorbeeld ook verder geen andere rechtsgrond was waar men een beroep kon doen om rechtmatig gegevens te verwerken.

Echter, met de AVG[6] is het, ook in geval deze grondslag wordt benut, noodzakelijk van tevoren een gedocumenteerde belangafweging te hebben gemaakt, om je op deze grondslag te kunnen beroepen.

Vooraf gemaakte belangenafwegingen t.b.v. informatieplichten

Op basis van de AVG geldt er een informatieplicht van de verwerkingsverantwoordelijke richting de betrokkene op het moment dat de verwerkingsverantwoordelijke persoonsgegevens bij de betrokkene verzamelt en van de betrokkene verkrijgt.[7] Daarbij moet aan de betrokkene bijvoorbeeld onder meer worden gemeld:

  • de identiteit van de verwerkingsverantwoordelijke;
  • de verwerkingsdoeleinden waarvoor persoonsgegevens zijn bestemd alsmede de rechtsgrond voor verwerking inclusief de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, indien de verwerking is gebaseerd op deze voornoemde rechtsgrond van de AVG.

Daarnaast gelden ook andere informatieplichten, zoals het voornemen om persoonsgegevens door te geven aan een derde land of internationale organisatie, en het verschaffen van informatie aan betrokkene over de mogelijkheid van betrokkene om te verzoeken om inzage van – en rectificatie, of wissen van persoonsgegevens, of beperking van de hem betreffende verwerking.

Ook indien persoonsgegevens niet van de betrokkene wordt verkregen maar wel verwerkt, moet soortgelijke informatie aan de betrokkene worden verstrekt als hierboven genoemd.

De informatieplichten onder de AVG zijn uitgebreider dan onder de nu geldende Wbp.

Vooraf maken van data protection impact assessment

Naast voornoemde informatieplichten, die een van tevoren te maken belangenafweging impliceren om te bepalen of en hoe gegevens verwerkt mogen worden, geldt ook dat soms een zgn. “data protection impact assessment” (PIA)[8] vereist kan zijn. Een dergelijke PIA moet worden gehouden als een soort verwerking van persoonsgegevens een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

De PIA moet gehouden worden vóór de verwerking plaats vindt en houdt in dat het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens wordt beoordeeld.  De AVG geeft nadere toelichting over de beoordeling. De AVG geeft bijvoorbeeld aan wat de beoordeling “tenminste” dient te bevatten. Onder meer is dit: een systematische beschrijving van de beoogde verwerkingen en de verwerkingsdoeleinden, waaronder, in voorkomend geval, de gerechtvaardigde belangen die door de verwerkingsverantwoordelijke worden behartigd.[9]

Conclusie

De AVG brengt met zich mee dat organisaties zelf, van tevoren moeten zijn nagaan welke verwerkingen van persoonsgegevens er zijn, wat voor persoonsgegevens het zijn, wat de grondslag is die de verwerking rechtvaardigt,  en of er bijvoorbeeld gerechtvaardigde belangen zijn die dergelijke verwerking rechtvaardigen, en of er al dan niet een PIA moet plaatsvinden. Dit moet van tevoren, binnen de onderneming al zijn bekeken en gedocumenteerd, bijvoorbeeld ten behoeve van communicatie naar ‘buiten’ (zoals naar betrokkenen).

 

Noten:

[1] Verordening EU (2016/679) van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

[2] Zie ook: http://www.europarl.europa.eu/news/nl/news-room/20160407IPR21776/Regels-gegevensbescherming-aangepast-aan-digitale-tijdperk

[3] “verwerking” zoals gedefinieerd in artikel 4 sub 2 AVG: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

[4] “persoonsgegevens” zoals gedefinieerd in artikel 4, sub 1 AVG: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

[5] Daarnaast gelden (zie artikel 5 lid 1 AVG) als beginselen voor de verwerking van persoonsgegevens: zgn. ‘doelbinding’, ‘minimale gegevensverwerking’, ‘juistheid’, ‘opslagbeperking’ en ‘integriteit en vertrouwelijkheid’.

[6] Zie rechtsoverweging 47 van de AVG waarin een toelichting wordt gegeven op ‘gerechtvaardigd belang’.

[7] Zie artikel 13 AVG.

[8] De Nederlandse vertaling in de AVG van “data protection impact assessment” is: “Gegevensbeschermingseffectbeoordeling” (art. 35 AVG).

[9] Zie artikel 35 lid 7 sub a AVG.

Clausules in IT-contracten: Planning, vertraging en meerwerk.

| 12-03-2016

In de serie “Clausules in IT-contracten” bespreken de IT-juristen van Mitopics enkele veelvoorkomende passages in overeenkomsten tussen afnemers en leveranciers van informatietechnologie. In deze bijdrage: planning, vertraging en meerwerk.

Inleiding

IT-projecten hebben wel te kampen met vertraging, uitloop in de planning en meerwerk. Zie als voorbeeld hiervan het in 2014 gepubliceerde Eindrapport naar aanleiding van het Parlementair onderzoek naar ICT-projecten bij de overheid[link]  van de ‘Commissie Elias’ en zie bijvoorbeeld de uitspraak over een mislukt automatiseringstraject in februari 2015 van het Gerechtshof in Den-Bosch (tussen het Jeroen Bosch Ziekenhuis en leverancier Alert Life Sciences Computing) waar Mitopics eerder op haar website over publiceerde. In deze uitspraak ging het onder meer over bijgestelde planning en de gevolgen van het alsnog niet halen daarvan, wat uiteindelijk niet goed uitpakte voor de leverancier. IT-contracten bevatten veelal afspraken over hoe om te gaan met planning, vertraging en meerwerk. De ene keer zijn deze afspraken meer toegeschreven op de leverancier, de andere keer meer op de opdrachtgever. Wat zijn de punten waar men bij dit soort clausules op moet letten? Hoe kan ‘discussie’ hierover worden voorkomen? En wat heeft onlangs de Minister van Wonen en Rijksdienst gemeld over de maatregelen van de rijksoverheid als opdrachtgever in het kader van ICT-inkoop en ICT-contractering?

Planning en vertraging

Over de oorzaken van vertraging in IT-projecten is veel geschreven. Een greep hieruit: het niet van tevoren gedetailleerd genoeg hebben vastgesteld van specificaties waaraan een product of dienst moet voldoen, waardoor deze gedurende het project nog verder uitgeschreven moeten worden, het tijdens het project wijzigen van specificaties, te late reactie van opdrachtgever op door hem goed te keuren documenten, niet tijdig of incorrect uitvoeren van acceptatieprocedures, te optimistische opgestelde planningen die vervolgens al snel moeten worden omgegooid, onvoldoende deskundig personeel, et cetera.

IT-contracten bevatten gewoonlijk afspraken over de planning voor de levering. Volgens het burgerlijk wetboek (BW) is een bij overeenkomst voor nakoming gestelde termijn in principe fataal. Dit laatste betekent dat een leverancier meteen in verzuim kan zijn als de termijn / datum voor nakoming wordt overschreden. Er behoeft in dit geval geen ingebrekestelling meer plaats te vinden waarbij de leverancier nog een redelijke termijn wordt gegund om alsnog na te komen. De verzuimregeling in het BW biedt de klant van de leverancier de mogelijkheid om, als de leverancier fatale termijnen niet respecteert, hetzij alsnog nakoming van de afspraken te bewerkstelligen, hetzij van het onderliggende contract af te komen, en herstel van de door de vertraging opgelopen schade te vorderen. Niet altijd is echter duidelijk of de data in een planning van een project fatale termijnen zijn. Het is daarom zinvol dat wel helder contractueel vast te leggen. Door bijvoorbeeld in het contract vast te leggen dat data slechts streefdata of indicatief zijn en beter nog: ‘niet-fataal’, wordt duidelijk dat dit geen fatale termijnen impliceren. Of door vast te leggen dat niet alle planningsdata fataal zijn, behalve de data voor bepaalde te behalen mijlpalen, wordt expliciet dat alleen de data voor de mijlpalen wel fatale termijnen zijn.

Een partij is (onder andere) niet aansprakelijk voor het niet halen van termijnen als de oorzaak van vertraging bij de andere partij ligt. Het kan bijvoorbeeld zijn dat de opdrachtgever te laat een deellevering accepteert, waardoor de leverancier zelf niet op tijd kan leveren en zijn planning niet haalt. Als sprake is van dergelijke vertraging van de opdrachtgever is het wél belangrijk voor de leverancier om hiervan meteen – schriftelijk –aan de opdrachtgever melding te maken. Aan te raden is in het contract op te nemen dat leverancier het recht heeft om vanwege vertraging van opdrachtgever de planning op te schuiven en de extra kosten, ontstaan door de vertraging van opdrachtgever, vergoed te krijgen. Het veronderstelt verder dat in het contract is vastgelegd wat (naast vergoeding van de prestatie van de leverancier) de overige verplichtingen van de opdrachtgever zijn en wanneer en hoe de opdrachtgever zijn verplichtingen moet zijn gekomen.

IT-contracten kunnen clausules bevatten die de leverancier verplichten om (dreigende) vertraging te melden alsmede de oorzaak en consequenties ervan. Soms wordt aan deze meldplicht van vertraging ook toegevoegd dat: als opdrachtgever met de vertraging instemt, de opdrachtgever daarmee niet de oorzaak van de dreigende vertraging erkent en het de rechten van opdrachtgever onverlet laat.

Een dergelijke vertragingsmeldplicht is vanuit opdrachtgeverskant gezien begrijpelijk en biedt de opdrachtgever bepaalde zekerheden, maar kan tegelijkertijd ook een risico vormen voor de leverancier. Dit laatste wordt hierna toegelicht. Stel dat de vertraging veroorzaakt is door de leverancier, dan heeft hij de contractuele plicht dit te melden maar hij erkent daarmee ook dat de oorzaak van de vertraging aan hem is toe te rekenen. In geval sprake is van een fatale termijn, kan een dergelijke melding van leverancier er toe leiden dat de leverancier daardoor direct in verzuim raakt, omdat hij de opdrachtgever heeft laten weten dat hij niet, of niet zonder tekortkoming, op de als fataal overeengekomen termijn zal kunnen nakomen. Voor de leverancier is het dus van belang dat hij, natuurlijk los van zelf tijdig- en deugdelijk nakomen, ook tekortkomingen van de zijde van de opdrachtgever meldt en de gevolgen ervan (bijvoorbeeld voor planning en kosten) contractueel met de opdrachtgever overeenkomt.

De contractuele afspraak dat een opdrachtgever met vertraging kan instemmen maar dat opdrachtgever daarmee niet de oorzaak en eventuele consequenties die de vertraging heeft erkent, is eveneens nadelig voor de leverancier. Het kan er toe leiden dat een project met vertraging toch doorloopt, maar de leverancier geen zekerheid heeft of hij in een later stadium alsnog wordt aangesproken op deze vertraging. Aan de andere kant is een vertraging van de leverancier waar de opdrachtgever in ‘mee’ gaat een risico voor de opdrachtgever. Het kan impliceren dat als de opdrachtgever instemt met de vertraging, hij later geen beroep meer kan doen op het fatale karakter van data in een planning. Over dit laatste werd overigens door het Gerechtshof in Den-Bosch in de eerder genoemde zaak van het Jeroen Bosch Ziekenhuis anders geoordeeld: de opdrachtgever mocht zich, afwegende de specifieke omstandigheden van het geval, nog wel beroepen op oorspronkelijke overeengekomen fatale einddatum ook al was later een nieuwe planning met de leverancier afgesproken die niet werd gehaald.

Hoewel zeker niet altijd gemakkelijk is het, ter voorkoming van onduidelijkheid en geschillen tijdens het IT-project, van belang om (consequenties van) vertraging te onderkennen, en een nieuwe planning (met vermelding of deze al dan niet fatale termijnen bevat) met elkaar vast te leggen.

Meerwerk, wijziging van de scope van de opdracht

Meerwerk is vaak een discussiepunt, zeker als er gecontracteerd is voor levering van een resultaat op basis van vaste prijs. De opdrachtgever mag er dan van uitgaan dat hij de prestatie voor de afgesproken prijs krijgt geleverd; extra kosten worden dan alleen vergoed als het werk betreft dat buiten de gecontracteerde opdracht valt. Veelal geldt ook dat het meerwerk van tevoren door opdrachtgever moet zijn geaccordeerd, alvorens daar uitvoering, betaling en eventuele uitloop in planning aan te mogen koppelen.

Als de gecontracteerde opdracht / prestatie bijvoorbeeld ruim of onduidelijk is gesteld, leidt dit veelal tot discussie. Bijvoorbeeld indien de specificaties op een te hoog abstractieniveau zijn gedefinieerd, kan hiervan sprake zijn. Bij het verder specificeren ervan kan blijken dat partijen over en weer iets anders voor ogen hadden; de opdrachtgever had andere verwachtingen en vindt dat de leverancier niet conform de opdracht heeft geleverd. De leverancier stelt dat hij wel conform opdracht heeft geleverd, maar dat de opdrachtgever iets geleverd wil krijgen dat buiten de scope valt en extra tijd en geld kost. Een adequate opdrachtomschrijving is dan ook – en dit zal geen verrassing zijn – uiterst belangrijk, maar eveneens niet altijd gemakkelijk om op te stellen. Om een goede opdrachtomschrijving te verkrijgen kan bijvoorbeeld een consultatie van de markt helpen, zonodig tegen betaling. Het is dan vooraf investeren, maar het voorkomt – als het goed is – tijdens het project veel discussie of ongewenste uitkomst van levering.

Te lang doormodderen op niet overeengekomen scopewijziging of meerwerk (veelal gepaard gaand met vertraging en extra kosten) is, zo is onze ervaring, vaak ook oorzaak van escalatie en mislukken van het project. Het is belangrijk om scopewijziging of meerwerk snel te signaleren en meteen te ‘beslechten’ en de afspraken daarvan in een wijziging op de overeenkomst vast te leggen. Daarom is het ook van belang om duidelijke contractclausules over inhoud en frequentie van rapportage, overleg, bindende besluitvorming en de escalatieprocedure af te spreken.

Tot slot

Zowel opdrachtgevers als leveranciers proberen in IT-contracten elk vanuit hun eigen invalshoek clausules op te nemen die een voor hen goede regeling biedt in geval van vertraging, meerwerk en wijzigingen. Ervaring leert dat deze clausules minder ingeroepen hoeven te worden, indien van tevoren een adequate opdrachtomschrijving met reëel kostenplaatje en reële planning wordt afgesproken. Ook de verplichtingen van de opdrachtgever moeten goed zijn vastgelegd. Tijdens uitvoering van het project is het van belang dat frequent contact, rapportage en afstemming plaatsvindt. Hierdoor kan scopewijziging, meerwerk en uitloop van planning tijdig worden gesignaleerd en kan er snel op worden geacteerd.

Recente rapportage rijksoverheid over ICT-inkoop

Om nog even terug te komen op het eerder genoemde rapport van de Commissie Elias (Parlementair onderzoek naar ICT-projecten bij de overheid) waarin kritiek werd gegeven over de wijze waarop het Rijk omging met ICT projecten: recentelijk is in dat kader een tweede voortgangsrapportage gepubliceerd door de Minister voor Wonen en Rijksdienst. In deze voortgangsrapportage meldt de Minister de voortgang van genomen en nog te nemen maatregelen die onder meer verbetering van aansturing van ICT-leveranciers en professionalisering van inkoop van ICT door het Rijk beogen. De rapportage meldt dat voorstellen van wijziging van de Algemene Rijksvoorwaarden bij IT-overeenkomsten (ARBIT) worden ontwikkeld. Deze wijzigingen hebben, volgens de rapportage, betrekking op (onder meer) “de vereiste professionaliteit en het gedrag van de opdrachtgever en opdrachtnemer”. Verder wordt in de rapportage aangegeven dat er momenteel een “leveranciersmonitor” wordt ontwikkeld en op juridische haalbaarheid wordt getoetst. Deze leveranciersmonitor beoogt ‘past performance’ van een leverancier als mogelijke uitsluitingsgrond in een aanbestedingsprocedure toe te kunnen passen. Daarnaast wordt onder meer gemeld dat er een ‘afwegingskader’ wordt ontwikkeld waarmee overheidsinkopers bij ICT-aanbestedingen juiste keuzes kunnen maken voor het vormgeven van de dialoog met de markt. Belangrijke ontwikkelingen dus die effect hebben op IT-inkoop, IT-contractering en contractmanagement door de rijksoverheid.

Contracteren over IT is dagelijks werk voor IT-juristen van Mitopics. Heeft u vragen over dit onderwerp dan kunt u contact opnemen met IT-jurist Barbara van der Donk. Mitopics geeft ook cursussen, onder meer over IT-contracten. Kijk voor een actueel overzicht op onze homepage, onder ‘Agenda’.

Acht vragen over de meldplicht datalekken

| 21-12-2015

Komend jaar krijgt de Wet bescherming persoonsgegevens (Wbp) tanden en zal er ook een meldplicht voor datalekken ontstaan. Over de veranderingen in de wetgeving is al het nodige geschreven, maar nu begint ook wat duidelijker te worden hoe de toezichthouder de praktijk voor zich ziet. Want het College Bescherming Persoonsgegevens (CBP) heeft in oktober een consultatie gehouden over de richtsnoeren die het wil gaan hanteren voor de meldplicht datalekken.. Dit artikel is eerder in Automatiseringgids verschenen gebaseerd op de concept-versie uit oktober, maar aangevuld met de wijzigingen in de definitieve versie van 9 december waarbij de richtsnoeren beleidsregels zijn geworden.

Clausules in IT-contracten: Overdracht en licentie van IE-rechten

| 15-12-2015

In de serie “Clausules in IT-contracten” bespreken de IT-juristen van Mitopics enkele veelvoorkomende passages in overeenkomsten tussen afnemers en leveranciers van informatietechnologie. In deze bijdrage: overdracht en licentie van IE-rechten.

Intellectuele eigendomsrechten (IE-rechten) beschermen bepaalde “voortbrengselen van de geest”. Tot het domein van de IE-rechten behoren bijvoorbeeld auteursrecht, databankenrecht, merkenrecht, modellenrecht, octrooirecht, handelsnaamrecht en het recht op bescherming van chip-topografieën. Een IE-recht geeft de rechthebbende een (tijdelijk) monopolie om het zogenoemde object van bescherming te exploiteren. Zo kan de houder van een merkenrecht voorkomen dat zijn geregistreerde handelsmerk door een ander wordt gebruikt, heeft een octrooihouder het recht om op te treden tegen het nawerken van de door hem geregistreerde uitvinding en kan de auteursrechthebbende optreden tegen het zonder toestemming hergebruiken van zijn beschermde creatieve werk. Over dat laatste recht gaat deze bijdrage: vrijwel zonder uitzondering bevatten IT-contracten een IE-bepaling die betrekking heeft op auteursrecht.

De maker van een “werk van letterkunde, wetenschap of kunst”, dat een “eigen oorspronkelijk karakter” heeft en het “persoonlijk stempel van de maker” draagt, heeft auteursrecht ten aanzien van dat werk. In de praktijk betekent dit, dat wanneer een werk niet gekopieerd is van een reeds bestaand werk, en de maker creatieve keuzes heeft kunnen maken bij het scheppen van het werk, er sprake is van auteursrechtelijke bescherming. De drempel ligt laag: de Europese rechter heeft in het Infopaq-arrest uitgemaakt dat zelfs een elf woorden tellend extract van een nieuwsbericht voor bescherming in aanmerking kan komen. Ook software valt, mits voldoend aan de genoemde criteria, onder auteursrechtelijke bescherming.

Dat betekent dat de rechthebbende (meestal in eerste instantie de feitelijke maker – de programmeur – of in bepaalde gevallen diens werkgever) het exclusieve recht heeft om deze software openbaar te maken (ter beschikking te stellen aan het publiek) en te verveelvoudigen (te reproduceren, bewerken of vermenigvuldigen op welke manier dan ook). Dit is een verbodsrecht: de rechthebbende kan anderen verbieden deze handelingen te verrichten, behoudens enkele wettelijke uitzonderingen. Andersom kan de auteursrechthebbende ook toestemming verlenen aan derden om een werk openbaar te maken dan wel te verveelvoudigen. Toestemming, ook wel aangeduid als ‘licentie’, mag vormvrij en zonder formaliteiten verleend worden. Zo kan de auteursrechthebbende ervoor kiezen om tegen betaling van een zekere vergoeding toestemming te verlenen om software bijvoorbeeld op een bepaald aantal computers, processorkernen of logische werkplekken te laten draaien, of te laten beheren, onderhouden of converteren. Een gebruiksrecht kan ook worden verleend voor een beperkte duur, en gebonden zijn aan openbaarmaking/verveelvoudiging binnen een bepaald territorium. Naast het verlenen van gebruiksrechten, kan een auteursrechthebbende diens werk – geheel of gedeeltelijk – overdragen aan een derde partij, of er een beperkt recht op vestigen, zoals een pandrecht dat dient als zekerheid ter verstrekking van een lening. Overdracht en levering van auteursrecht, of het vestigen van een beperkt recht op dat auteursrecht, moet bij akte (schriftelijk) gebeuren. Daarbij is het van belang dat door alle betrokken partijen deze schriftelijke documenten worden ondertekend, teneinde later eventueel te kunnen bewijzen dat er rechtsgeldig auteursrechte is overgedragen en geleverd ofwel daarop een beperkt recht is gevestigd.

IT-contracten die ontwikkeling van maatwerksoftware betreffen, bevatten vaak een regeling die strekt tot de overdracht van de auteursrechten op de ontwikkelde software aan de opdrachtgever. Daarbij is het voor de opdrachtgever van belang om te controleren – en de opdrachtnemer ervoor te laten instaan – dat hij volledig (beschikkings)bevoegd is tot de overdracht van de auteursrechten. Dat wil zeggen dat deze opdrachtnemer verklaart dat hij als enige rechthebbende is ten aanzien van die software. Dit is niet geheel vanzelfsprekend: een opdrachtnemer die zijn eigen werknemers heeft ingezet om de software te ontwikkelen zal, afhankelijk van de inhoud van de arbeidsovereenkomsten met de medewerkers op dit punt, van rechtswege rechthebbende zijn geworden; de opdrachtnemer die derden (zoals freelance medewerkers) heeft ingehuurd voor de ontwikkeling zal dat veelal niet vanzelf zijn geworden, en dient eerst de inhuurkrachten hun auteursrecht te laten overdragen. Ook is het de vraag of een overdrachtsregeling in het contract wel volstaat, zeker als de software nog niet bestaat ten tijde van het ondertekenen van het contract. Dat heeft ermee te maken dat in veel ontwikkeltrajecten (onder andere wanneer gebruik wordt gemaakt van agile-methoden) het eindresultaat niet van tevoren vaststaat. Daarmee is het de vraag of de titel voor de overdracht met voldoende bepaaldheid is omschreven, hetgeen vereist is voor (toekomstige) overdracht. Om er zeker van te zijn dat het softwareauteursrecht daadwerkelijk wordt overgedragen aan de opdrachtgever, zou deze achteraf, bijvoorbeeld in een bijlage bij het contract, moeten verduidelijken welk auteursrecht exact wordt overgedragen.
Het is overigens niet ongebruikelijk dat aan de opdrachtnemer die zijn auteursrecht overdraagt aan diens opdrachtgever, van die laatste een gebruiksrecht verkrijgt om bijvoorbeeld de software door te ontwikkelen, en aan derden in sub-licentie te verstrekken.

In IT-contracten die strekken tot het afnemen van een bepaald standaard-softwareproduct, zoals een ERP-, een CRM- of een HRM-pakket, zullen afnemers vaak een gebruiksrecht verkrijgen om dat product in lijn met de bedrijfsactiviteiten te verveelvoudigen. Meestal is dit recht gekoppeld aan een aantal fysieke of logische werkplekken of een gelimiteerd aantal gebruikers. In een dergelijk geval, waarbij de afnemer dus niet de auteursrechten krijgt overgedragen, kan het verstandig zijn om bepaalde continuïteitsmaatregelen te treffen. Op het moment dat namelijk de auteursrechthebbende die een licentie heeft verstrekt, failliet gaat, is het niet zeker dat de faillissementscurator de verplichtingen uit de licentieovereenkomst gestand hoeft te doen, zo volgt uit de arresten van de Hoge Raad inzake Nebula en ABN/Berzona. Dit betekent dat het onzeker is of na het faillissement van de licentiegever (de auteursrechthebbende), het gebruiksrecht nog in tact blijft, of dat verder gebruik van het auteursrechtelijke werk vanaf het faillissement inbreuk maakt, en dus onrechtmatig wordt. Om deze onzekerheid weg te nemen, kan bijvoorbeeld een ESCROW-constructie worden opgetuigd, of een recht van vruchtgebruik worden gevestigd ten behoeve van de licentienemer (de afnemer van de software), dan wel het auteursrecht voorwaardelijk (namelijk als het faillissement wordt uitgesproken) worden overgedragen aan de afnemer.

Graag wijs ik nog even op een (voor mij) noviteit – en rariteit – die ik onlangs in een IT-contract tegenkwam. In deze overeenkomst sprak de auteursrechthebbende van een softwarepakket af met diens wederpartij dat deze laatste het recht zou krijgen om de betreffende software te beheren en door te ontwikkelen, en dat partijen de mogelijkheden zouden onderzoeken om op termijn “de juridische eigendom” over te dragen. Het recht om de software te beheren en door te ontwikkelen had men in die overeenkomst beschreven als “de overdracht van de economische eigendom”. Hoewel het loskoppelen van “juridische eigendom” en “economische eigendom” een veel voorkomende praktijk is met name waar dit betrekking heeft op de exploitatie van een onroerende zaak (zoals flatgebouwen en huizen), heeft deze terminologie geen wettelijke basis in het goederenrecht – en is dit meestal een contractenrechtelijk onderscheid. Overgang van de “economische eigendom” behelst doorgaans in feite dat de exploitatierechten ten aanzien van een onroerende zaak exclusief worden belegd bij een andere partij dan de eigenaar, terwijl deze laatste partij steeds “juridisch” eigenaar blijft – waarbij goederenrechtelijk dus niets verandert. Deze praktijk laat zich moeilijk vertalen naar auteursrechten. Vanwege het ontbreken van een ‘tastbaar object’ en het feit dat er geen schaarste bestaat ten aanzien van het gebruik van de auteursrechtelijke werken (met een enkele druk op de knop kun je een werk immers verveelvoudigen en gebruiken) is dit wezenlijk anders dan waar het gaat om onroerende zaken, waarbij er wél een tastbaar object is, en er juist wel schaarste bestaat ten aanzien van het gebruik: je kunt bijvoorbeeld (met goed fatsoen) een appartement in een flatgebouw maar één keer tegelijkertijd verhuren. Auteursrechten zijn daarmee in zich al exploitatierechten, enigszins vergelijkbaar met wat in de vastgoedpraktijk met de term “economische eigendom” wordt omschreven. Het gevaar van de constructie genoemd aan het begin van deze alinea, is dat een rechter deze al zou kunnen uitleggen als de overdracht van auteursrechten, nu de exploitatierechten al beoogd worden over te gaan – terwijl partijen daartoe nog niet besloten hadden.

Tot slot nog een korte beschouwing op het overdragen van licenties. Naast het exclusieve recht om een auteursrechtelijk werk openbaar te maken en te verveelvoudigen, heeft de auteursrechthebbende ook een distributierecht. Dat is het recht om een fysiek exemplaar waarop een werk is belichaamd (bijvoorbeeld een DVD, een boek of een CD) in het economisch verkeer te brengen. Nadat eenmaal dat fysieke exemplaar (met toestemming van de rechthebbende) in het verkeer is gebracht, is dit distributierecht “uitgeput”: het doorverkopen van dat exemplaar kan niet worden verhinderd door de rechthebbende. Lange tijd was het de vraag of deze uitputtingsleer ook van toepassing zou zijn op IE-licenties waarbij er geen fysieke drager in het spel is, en software ten aanzien waarvan een gebruiksrecht via internet ter beschikking wordt gesteld aan de licentienemer. In het Usedsoft-arrest, eerder besproken op deze website, heeft het Hof van Justitie van de Europese Unie uitgemaakt dat dit uitputtingsrecht ook van toepassing is in dit soort gevallen, mits de licentie voor onbepaalde tijd werd verstrekt. Dan moet er echter wel worden aangetoond dat de kopie waarop de licentie betrekking heeft, na overdracht aan een derde partij, ook daadwerkelijk is verwijderd van de ‘bronlocatie’. In de praktijk betekent dit dat het is toegestaan om in situaties waarin licenties per bundel worden verkregen van een auteursrechthebbende, de bundels met licenties die niet gebruikt worden, mogen worden overgedragen (doorverkocht) aan derden, tegen in theorie lagere prijzen dan die de rechthebbende rekent.

Contracteren over IT is dagelijks werk voor de juristen van Mitopics. Overdracht en licentie van IE-rechten is daarbij steevast relevant. Heeft u vragen over dit onderwerp, dan kunt u contact opnemen met IT- & IE-jurist Roeland de Bruin.

Meldingsverplichtingen, hoeveel eigenlijk?

| 02-12-2015

Er is al veel geschreven over de ophanden zijnde meldingsplicht bij datalekken per 1 januari 2016. Zeker nu het College Bescherming Persoonsgegevens (CBP) eindelijk een concept van de langverwachte richtsnoeren hierover heeft gepubliceerd. Het is echter niet de enige meldingsplicht, en het gaat hier niet bij blijven. Tijd om een en ander op een rijtje te zetten en in perspectief te plaatsen.

Clausules in IT-contracten: de informatie- en onderzoeksplicht

| 23-11-2015

In de serie “Clausules in IT-contracten” bespreken de IT-juristen van Mitopics enkele veelvoorkomende passages in overeenkomsten tussen afnemers en leveranciers van informatietechnologie. In deze bijdrage: de informatie- en onderzoeksplicht.

Privacyjurisprudentie: het einde van Safe Harbour en meer

| 13-10-2015

Op het terrein van het privacyrecht is het een drukke tijd: in ongeveer een week tijd heeft het Hof van Justitie van de Europese Unie in Luxemburg drie baanbrekende uitspraken gedaan: Bara, Weltimmo en Schrems. Waarbij de laatste (terecht) de meeste media-aandacht krijgt, maar de andere twee ook bepaald niet onbelangrijk zijn.