Het IT-rechtsgebied is en blijft volop in ontwikkeling. We zien veel nieuwe technologieën, innovatieve bedrijfsmodellen en daarop van toepassing zijnde (nieuwe) wet- en regelgeving voorbijkomen. Door jurisprudentie hierover leren we veel over hoe het IT-recht uiteindelijk wordt toegepast. In deze blog zetten we diverse uitspraken van de maand mei op een rij.
Beoordeling van leemte in contract ten aanzien van de omvang van auteursrechten
Deze rechtszaak draait om een geschil tussen de bedrijven Workrate en PayingIT over het auteursrecht op software na een aandelentransactie. Workrate is gespecialiseerd in datacenterbeveiliging, terwijl PayingIT software en gerelateerde diensten verkoopt. Tot 2016 stond PayingIT bekend als Usemate B.V.
Workrate heeft de software "Workstate" ontwikkeld voor procesbeheer en naleving van regelgeving. Later ontwikkelde Workrate ook de software "Workmate" voor automatisering van planning, training, urenregistratie en andere HR-zaken. Beide softwaretoepassingen hebben vergelijkbare interfaces, rechtenbeheer en instellingenbeheer (hierna "onderliggende functionaliteiten"). Binnen Workrate ontstond het idee om de software Workmate commercieel te exploiteren. Daarom werd Usemate B.V. opgericht en ging Workrate in 2016 een koop- en licentieovereenkomst aan die de overdracht van de Usemate-software beoogde te bewerkstelligen. De naam van het softwarepakket werd gewijzigd van Workmate naar Usemate.
Vóór de verkoop van de Usemate-software door Workrate was afgesproken om een kopie van de Usemate-code te maken voor het geval dat beide partijen uit elkaar zouden gaan. Uit correspondentie tussen partijen blijkt dat zij beide op de hoogte waren van deze kopie.
PayingIT vordert o.a. een verklaring voor recht dat de auteursrechten op de Usemate-software aan PayingIT zijn overgedragen, dat Workrate daarop inbreuk maakt en wanprestatie pleegt en dat gebruik om niet van de Usemate-software door Workrate is komen te vervallen. Workrate vordert dat de rechtbank voor recht verklaart dat Workrate geen inbreuk maakt op de auteursrechten op de Usemate-software.
De rechtbank concludeert dat de koopovereenkomst kwalificeert als een akte van overdracht van de auteursrechten omdat alle partijen ervan uitgingen dat de auteursrechten al aan Usemate B.V. toebehoorden en dat de overdracht van de aandelen in Usemate B.V. zou leiden tot het auteursrecht bij PayingIT. Dit blijkt uit een e-mail waarin Workrate aangeeft dat de software al in het bezit zou moeten zijn van Usemate B.V. en dat de eigendomsoverdracht van het auteursrecht bevestigd moet worden.
Wat betreft de omvang van de overdracht stelt de rechtbank dat de onderliggende functionaliteiten van de Usemate-software en Workstate met elkaar verweven zijn en dat beide partijen hiervan gebruik moeten kunnen maken. Daarom wordt bepaald dat het auteursrecht op deze functionaliteiten berust bij PayingIT en dat Workrate een licentie heeft om ze te gebruiken. Bovendien is het Workrate toegestaan om aanpassingen aan te brengen in het gebruik van deze onderliggende functionaliteiten.
Samenvattend verklaart de rechtbank dat het auteursrecht op Usemate-software is overgedragen aan PayingIT, terwijl het auteursrecht op Workstate bij Workrate blijft. Daarnaast is een leemte in het contract opgelost door het auteursrecht op de onderliggende functionaliteiten over te dragen aan PayingIT en Workrate een licentie daarop te verlenen.
IT-beheerder heeft zorgplicht niet geschonden bij cyberaanval op Hof van Twente
Op 1 december 2020 heeft er een cyberaanval plaatsgevonden bij de Gemeente Hof van Twente (hierna: “Hof van Twente”), waarbij de systemen van het gemeentenetwerk en de back-up zijn versleuteld en ontoegankelijk zijn gemaakt en verschillende virtuele servers zijn verwijderd. Hof van Twente stelt in deze zaak hun toenmalige IT-beheerder aansprakelijk vanwege het tekortschieten in de nakoming van haar verplichtingen (o.a. haar zorgplicht) en onrechtmatig handelen. Hof van Twente vordert dat IT-beheerder wordt veroordeeld tot terugbetaling van een deel van de vergoeding voor haar werk en tot betaling van schadevergoeding.
De rechtbank wijst deze vordering af, omdat de contractuele verplichtingen van IT-beheerder gericht zijn op het detecteren van risicovolle situaties met betrekking tot de functionaliteit van servers, opslag en netwerkvoorzieningen. Dit is volgens de rechtbank niet hetzelfde als het detecteren van beveiligingsrisico’s, tenzij deze risico's invloed hebben op de capaciteit, prestaties en beschikbaarheid van het netwerk.
Daarnaast heeft Hof van Twente er bewust voor gekozen om een zelf een account te beheren met alle beheerrechten. Een medewerker voor dit account heeft een zwak wachtwoord ingesteld (namelijk: "Welkom2020"). Verder was het een uitdrukkelijke wens van Hof van Twente om de back-up altijd toegankelijk te houden via hun eigen internetverbinding. De IT-beheerder heeft Hof van Twente bij aanvang van de overeenkomst gewaarschuwd voor de risico’s hiervan. Ook heeft de IT-beheerder Hof van Twente erop gewezen dat zij niet verantwoordelijk kan worden gehouden voor de gevolgen van handelingen van medewerkers van Hof van Twente, gezien het behoud van (hoogste) beheerrechten. Ondanks deze waarschuwingen heeft Hof van Twente haar keuzes volgehouden.
De IT-beheerder heeft verschillende voorstellen gedaan op het gebied van back-upbeveiliging (met de mogelijkheid van een back-up bij IT-beheerder die niet via de internetverbinding van Hof van Twente benaderbaar zou zijn) en antivirusmaatregelen. Hof van Twente is hier niet op ingegaan vanwege kostenoverwegingen, waardoor IT-beheerder in feite werd belemmerd in het nakomen van haar zorgplicht.
Op basis van het bovenstaande is de rechtbank van mening dat IT-beheerder zijn zorgplicht niet heeft geschonden. De rechtbank concludeert dat Hof van Twente zelf verantwoordelijk was voor de keuzes met betrekking tot accountbeheer, wachtwoordbeveiliging en back-upmaatregelen. Daarom kan de IT-beheerder niet aansprakelijk worden gehouden voor de geleden schade als gevolg van de cyberaanval.
Geen eigendom van digitale gegevens naar Nederlands recht
Op 21 april 2023 heeft de Netherlands Commercial Court (hierna “NCC”) uitspraak gedaan in een zaak waarin DiaMedica Therapeutics Inc (hierna: “DiaMedica”), een in de VS gevestigde sponsor, een vordering had ingediend tegen PRA, een in Nederland gevestigde geneesmiddelenonderzoeker, met betrekking tot herindicatie van documenten en gegevens van klinische proeven.
Volgens artikel 9.0 van de overeenkomst zal een groot aantal documenten en gegevens met betrekking tot de klinische proeven eigendom zijn van DiaMedica. De NCC heeft geoordeeld dat de definitie van "gegevens" de ruwe gegevens omvat die tijdens de klinische proeven zijn gegenereerd (de brongegevens) en het onderzoekersdossier van PRA. Het gebruik van de toekomstige tijd in deze bepaling betekent niet dat de eigendom in de toekomst geleverd moet worden. Volgens Nederlands recht is de eigendom direct overgedragen aan DiaMedica.
Naar Nederlands recht kan er geen eigendomsrecht ontstaan op digitale gegevens. Hoewel de contractuele relatie tussen de partijen wordt beheerst door het recht van de staat New York, bepaalt het Nederlandse recht dat eigendom alleen kan rusten op fysieke objecten die onder menselijke beheersing vallen. Digitale gegevens voldoen niet aan deze voorwaarde. Het toepassen van het juridische eigendomsbegrip op digitale gegevens zou in strijd zijn met het "gesloten" systeem van het Nederlandse goederenrecht en de wetgevende macht inbreuk maken.Volgens het recht van de staat New York heeft PRA geen retentierecht op de fysieke documenten, noch het recht om de afgifte ervan op te schorten, aangezien DiaMedica geen enkele verplichting uit de overeenkomst heeft geschonden. Sommige documenten en gegevens bevatten persoonsgegevens, waaronder gezondheidsgegevens, van de deelnemers aan de klinische proeven. Het overdragen van deze documenten aan DiaMedica kwalificeert als een gegevensoverdracht tussen gezamenlijke verwerkingsverantwoordelijken onder de Algemene Verordening Gegevensbescherming (AVG). DiaMedica heeft een legitiem belang bij het verkrijgen van deze documenten, maar het is alleen toegestaan om persoonsgegevens over te dragen naar een derde land (Diamedica is gevestigd buiten de Europese Unie) als de Europese Commissie heeft vastgesteld dat het betreffende derde land een passend beschermingsniveau biedt (artikel 45 van de AVG) of als de verwerkingsverantwoordelijke of verwerker passende waarborgen heeft geboden (artikel 46 van de AVG). Op dit moment is er geen dergelijke beslissing van de Europese Commissie betreffende de overdracht van persoonsgegevens naar de VS. Daarnaast is het NCC er niet van overtuigd dat de bescherming van de gezondheidsgegevens van de deelnemers kan worden gewaarborgd door middel van garanties. Daarom moeten de relevante persoonsgegevens voorlopig binnen de Europese Unie blijven. Als gevolg hiervan draagt de NCC DiaMedica op om op grond van artikel 27 van de AVG een vertegenwoordiger binnen de Europese Unie aan te wijzen waar de documenten met de persoons- en gezondheidsgegevens van de deelnemers naartoe moeten worden gestuurd. Concluderend worden de vorderingen tot herindicatie van documenten toegewezen onder bepaalde beperkingen en voorwaarden.
