Blog Web app software development

23.11.2021 Roeland Lembrechts

Standaarden voor veilige websites: wat betekent dit nu concreet?

Op 22/10/2021 oordeelde de Gegevensbeschermingsautoriteit (GBA) over een klacht wegens een onbeveiligde verbinding van de website van een ziekenhuis. Eindelijk eens wat overwegingen van de GBA over de nodige veiligheidsmaatregelen ter bescherming van persoonsgegevens. Want laten we eerlijk zijn, het begrip ‘technische en organisatorische maatregelen’ blijft tot op vandaag een containerbegrip waar een kat haar jongen niet in terugvindt.

14.10.2021 Bart Van den Brande

Scrapers en crawlers zijn vaak illegaal omdat ze het databankrecht schenden.

We krijgen heel wat vragen van online start-ups rond het gebruik van scraper en crawlers om online content te verzamelen en die, al dan niet herverpakt, aan te bieden op het eigen platform. Meestal gaat die vraag gepaard met een ernstige waarschuwing van onze kant. Als de informatie die je online verzamelt opgenomen is in een georganiseerde databank, is ze meestal beschermd onder het Databankrecht en mag je ze niet geheel kopiëren of er systematisch data uit opvragen voor eigen gebruik.
Een recent arrest van het Europees Hof van Justitie verduidelijkte dit deze zomer nog eens.

31.03.2021 Bart Van den Brande

Wetsontwerp wil “privacy rulings” invoeren naar analogie met fiscale rulings

De GDPR is inmiddels 5 jaar in werking en de voorbije 3 jaar, sinds mei 2018, wordt de inhoud ervan ook effectief afgedwongen door de overheid.

Ook na al die tijd blijkt elke dag opnieuw dat ondernemers de regels rond gegevensbescherming onduidelijk, vaag en moeilijk te begrijpen vinden en onze ervaring leert dat heel wat goedbedoelende ondernemers afhaken bij gebrek aan begrip van wat er van hen precies verwacht wordt.  Het ganse uitgangspunt van GDPR is dan ook in wezen een open deur naar onzekerheid en toekomstige risico’s: ondernemingen moeten een gepast niveau van veiligheid voorzien en moeten daarvoor gepaste maatregelen nemen, maar voorafgaand is er geen enkele manier om te weten of de maatregelen die zij zich voornemen inderdaad “gepast” zijn.  De beoordeling naar het eventuele tekortschieten van de ondernemer in kwestie gebeurt pas post factum, als er op een later ogenblik klachten, controles of datalekken optreden…  Een en ander is erg moeilijk te begrijpen voor ondernemers, die immers in hun dagelijkse activiteit precies proberen om zoveel mogelijk onzekere factoren uit te schakelen en onzichtbare risico’s te vermijden.

Webbouwers, app-ontwikkelaars of online marketeers stellen ons daarbij zeer regelmatig de vraag of zij hun plannen voorafgaand kunnen voorleggen aan de Gegevensbeschermingsautoriteit voor advies en goedkeuring, zoals dat ook in fiscale aangelegenheden kan.

Tot op vandaag kan dat niet, maar een recent wetsontwerp lijkt daar verandering in te gaan brengen.

 

Voorafgaand privacy advies

Voorafgaand advies van de GBA over voorgenomen verwerkingen, laat staan de expliciete validatie ervan, is vandaag in se onmogelijk.  GDPR voorziet zulks niet expliciet en ook de Belgische kaderwet voorziet niet in een formele procedure.  Wie geluk -en de juiste begeleiding- heeft kan soms wel informeel bij de GBA terecht, maar die informele akkoorden worden niet gepubliceerd en zelfs als ze dus één specifiek bedrijf vooruit helpen, zijn andere verantwoordelijken of verwerkers dus vaak niet op de hoogte van precedenten en kunnen zij er zich niet op baseren of beroepen.

Een recent wetsvoorstel vanuit CD&V-hoek wil daar verandering in brengen.  Het idee is om een systeem van voorafgaande beslissingen in te bouwen in de Belgische Kaderwet waardoor de Gegevensbeschermingsautoriteit in individuele gevallen kan bepalen hoe de gegevensbeschermingswetgeving zal worden toegepast op een specifieke situatie of beoogde verwerking van persoonsgegevens.  Het voorstel voorziet daarvoor in een raadplegingsprocedure die maximaal drie maanden zou duren.  Zo’n ruling geeft rechtszekerheid aan de aanvrager, want zij verbindt alle diensten van de Gegevensbeschermingsautoriteit. Een voorafgaande beslissing zou de Gegevensbeschermingsautoriteit voor de toekomst verbinden.

De indieners verwijzen in hun voorstel naar succesvolle proefprojecten in het Verenigd Koninkrijk met de zogenaamde “regulatory sandboxes”.  Sinds maart 2019 biedt de Britse toezichthouder  (Information Commissioner’s Office) een nieuwe dienst aan, die is ontworpen om organisaties te ondersteunen die innovatieve en maatschappelijk nuttige projecten ontwikkelen waarbij er een gebruik van persoonlijke gegevens is.  Organisaties die deelnemen aan de sandbox kunnen profiteren van de mogelijkheid om rechtstreeks met de toezichthouder in contact te treden over innovatieve projecten met complexe gegevensbeschermingskwesties.

Persoonlijk kunnen wij dit voorstel enkel zeer hard toejuichen.  Als het uiteindelijk aangenomen wordt, zal het voor héél veel ondernemers de kans bieden om vooraf zekerheid te krijgen over hun plannen en op die manier onnodige juridische en financiële risico’s te vermijden.  Een en ander kan alleen maar het algemene niveau van GDPR compliance bij Belgische ondernemingen vergroten.

Het is nu vanzelfsprekend wachten op een eventueel politiek akkoord om dit voorstel ook effectief goed te keuren. Wij houden dit in elk geval stipt in de gaten en zorgen voor de nodige info en uitleg op onze blogpagina zodra alles definitief zou zijn.

 

Maar zo’n rulings bestaan eigenlijk wél al voor een stukje…

Zo’n voorafgaande consultatie en “ruling” bestaat vandaag overigens eigenlijk wel degelijk al wél onder GDPR.   Artikel 35 voorziet immers dat de verantwoordelijke voor de verwerking die een voorafgaande Gegevensbeschermingseffectenbeoordeling of Data Protection Impact Assessment voert en op het eind daarvan vaststelt dat er een restrisico bestaat, verplicht is om het voorafgaande en bindende advies van de GBA in te winnen.

Alleen is de vaststelling dat de meerderheid van de Belgische ondernemingen hun verplichtingen onder artikel 35 niet kennen of deze -erger nog- bewust naast zich neerleggen, waardoor de GBA nauwelijks verzoeken tot voorafgaande raadpleging ontvangt.

Wie meer wil weten over Data Protection Impact Assessments kan overigens terecht op ons Youtube kanaal voor de opname van één van onze recente webinars precies over DPIA’s:  https://youtu.be/y66jmrYeQWU

 

Meer weten over GDPR en databescherming? Heb je zelf een project waarvoor je wel privacy advies wil inwinnen? 

Ons team maakt graag tijd.  Boek gerust rechtstreeks een kennismaking in de agenda van Bart of neem contact via mail  (bart@siriuslegal.be) of per telefoon op  +32 492 249 516

18.01.2021 Roeland Lembrechts

Naar dataveilige IT-contracten met deze 10 basistopics

Outsourcing van heel wat bedrijfsinformatie en -taken komt steeds meer voor. Door middel van verschillende IT-toepassingen zal je als bedrijf meer data, in vele gevallen ook vertrouwelijke data, delen met IT-dienstverleners. Daarbij dien je steeds in het achterhoofd te houden dat je in het proces van deze outsourcing een doorgedreven veiligheidsbeleid voert. 

In het geval van persoonsgegevens bestaat de duidelijke verplichting om gepaste technische en organisatorische maatregelen te nemen, maar het voorkomen van datalekken en de algemene verplichting om ervoor te zorgen dat je bedrijfsinformatie niet lekt of gecompromitteerd wordt is van essentieel belang. Een onveilig databeleid leidt immers steeds meer tot financiële en reputatieschade van je onderneming.

Net daarom dien je als ondernemer gepaste contractuele waarborgen in te bouwen met jouw IT-dienstverlener. Schenk daarbij de nodige aandacht aan beveiligingsmaatregelen voor de informatie die je toevertrouwt. Zo kan je cyberrisico’s zoals datalekken, ongeautoriseerde toegang of gebruik van de data, alsook de aansprakelijkheid van je bedrijf tot een minimum beperken. 

 

10 topics om mee te nemen in je veiligheidsbeleid

Waar moet je dan op letten wanneer je in de overeenkomst met je IT-dienstverlener je databeveiliging onderhandelt? Welke zaken kan je best opnemen om je veiligheidsbeleid stevig in de steigers te zetten?  We geven je graag 10 basistopics mee: 

  1. Kijk bij een onderhandeling in de eerste plaats naar je eigen situatie. Hoe gevoelig is je bedrijfsinformatie en welke impact heeft dit op je onderneming wanneer er zich een incident voordoet? Zijn de aangeboden beveiligingsmaatregelen daar toereikend genoeg voor? Wat is de bereidheid van de IT-dienstverlener om zich aan te passen aan jouw beveiligingseisen? Kijk na in hoeverre de dienstverlening conform je eigen veiligheidsbeleid en -procedures is.
  2. Kijk steeds na of er wettelijke vereisten en procedures op jouw bedrijf van toepassing zijn en in welke mate de contracterende dienstverlener daar een ondersteunende rol in speelt. We denken daarbij aan de talrijke transparantie-, meldings-, notificatie- en medewerkingsverplichtingen die op je onderneming van toepassing kunnen zijn, afhankelijk van de soort data die je verwerkt, de sector waarin je werkzaam bent of de hoedanigheid van je onderneming.
  3. Definieer welke personen geautoriseerd worden om je bedrijfsinformatie te ontsluiten en probeer dit te beperken tot enkel de personen die noodzakelijk toegang moeten hebben tot deze gegevens. Stipuleer naast de interne bevoegdheden bij je contractspartij ook welke derde partijen, zoals onderaannemers, toegang zullen hebben.
  4. Bepaal de inhoudelijke veiligheidsverplichtingen met je IT-dienstverlener met betrekking tot de vertrouwelijke behandeling van je data, de voorwaarden voor de ontsluiting ervan, en de aansprakelijkheid voor de schending van deze voorwaarden, inclusief de schending van de geautoriseerde personen en derden.
  5. Kijk na of je IT-dienstverlener handelt conform internationale, Europese en nationale wetgeving en laat in je clausules de IT-dienstverlener bevestigen dat hij conform handelt. Eventueel kan je specifieker nagaan conform welke internationale standaarden je IT-dienstverlener werkzaam is en in het positieve geval welke certificaten de IT-dienstverlener bezit. Belangrijk hierbij is om goed na te kijken op wat deze certificaten concreet betrekking hebben en voor welke bedrijfsactiviteiten er effectief certificaten behaald zijn. Hebben deze voldoende betrekking op de verwerking van jouw bedrijfsinformatie? Ben je zelf voldoende technisch aangelegd, dan kan je zelf een reeks technische beveiligingsmaatregelen opnemen in de overeenkomst die de IT-dienstverlener dient te respecteren.
  6. Leg procedures vast in het geval er zich een beveiligingsincident zou voordoen, waarbij er voor de IT-dienstverlener duidelijk wordt omschreven wat zijn detectieplichten, waarschuwingsplichten, medewerkingsplichten, etc. zijn. Stel in het kader van de opstelling van een incident response team vast welke coördinerende rol de IT-dienstverlener kan opnemen. Voeg daaraan toe welke communicatie de IT-dienstverlener wel, maar vooral niet kan voeren en zorg ervoor dat je deze crisiscommunicatie zelf in handen houdt.
  7. Maak goede afspraken over verplichtingen rond herstel en verbeteringen van de systemen van de IT-dienstverlener na een eventueel incident. Maak daarbij afspraken over de gemaakte kosten, de aansprakelijkheid van de IT-dienstverlener en zijn verplichtingen tot vrijwaring in geval van schadeclaims, boetes en overige vervolgingen waar je je aan zou kunnen blootstellen. 
  8. Ter controle van alle voorgaande verplichtingen kan je ook de mogelijkheid opnemen om gerichte audits en controles uit te oefenen bij de IT-dienstverlener. Deze controle kan je zelf doen of laten doen door derden-specialisten.
  9. Neem in de overeenkomst eventueel op dat een schending van de voorgaande verplichtingen een schending is van een essentiële contractuele verplichting die je toelaat om eenzijdig en kosteloos het contract te beëindigen.
  10. Tot slot, voorzie steeds de mogelijkheid om van de IT-dienstverlener te eisen dat bij eerste verzoek alle informatie kan overgedragen of vernietigd kan worden, zowel tijdens de overeenkomst als bij afloop. Kijk daarbij steeds na welke informatie kan vernietigd worden en/of welke informatie de IT-dienstverlener dient bij te houden binnen het kader van zijn wettelijke verplichtingen.

 

Een geïntegreerde aanpak voor dataveilige IT-contracten

Het implementeren van bepalingen rond de beveiliging van je data vraagt steeds om een geïntegreerde aanpak binnen de gehele overeenkomst en grondig nazicht van de toepasselijke wetgeving. Dit kan soms leiden tot complexe vraagstukken, waarbij er in vele gevallen een evenwicht dient gezocht te worden tussen de mogelijkheden en de bereidheid van de IT-dienstverlener en anderzijds de minimale beveiligingsvoorwaarden die je moet of kan opleggen als afnemer van deze diensten.

Wens je begeleiding of ondersteuning bij de opmaak van je IT-contract of het opzetten van deze specifieke clausules, neem dan gerust contact op met Roeland via roeland@siriuslegal.be 

08.10.2020 Bart Van den Brande

Help, mijn domeinnaam is ingepikt!  Hoe pak je cybersquatting best aan?

Het is bijzonder vervelend om als ondernemer vast te stellen dat de domeinnaam die bij jouw zaak of merk hoort al door iemand anders is ingenomen.  Dat is op zijn minst gezegd niet leuk voor je online business en het kan je potentieel ook behoorlijk wat geld kosten aan gemiste omzetten én aan juridische kosten om de domeinnaam alsnog voor jezelf te pakken te krijgen.  We zetten dus even op een rijtje hoe je domain name squatting of domain name grabbing kan voorkomen en wat je kan doen als je er toch het slachtoffer van wordt.

 

Domain name squatting of cybersquatting?

We worden geregeld gecontacteerd door cliënten die vaststellen dat een derde ‘hun’ domeinnaam of een erg gelijkende domeinnaam heeft geregistreerd.  Vaak gaat dat gepaard met een ‘voorstel’ van de derde om de domeinnaam over te kopen voor een buitensporig bedrag.  Soms blijkt het om een concurrent te gaan die een graantje wil meepikken van de bekendheid en het succes van een bepaald bedrijf of een bepaald merk.

Cybersquatting is dus het registreren van een domeinnaam die identiek of gelijkaardig is aan het merk, de handelsnaam of zelfs de familienaam van iemand anders.  Typische voorbeelden van het te kwader trouw registreren van een domeinnaam zijn:

  • de registratie met als enig doel om snel wat geld te verdienen door de verkoop van de domeinnaam 
  • de registratie van een domeinnaam met als doel om schade toe te brengen aan een concurrent, bijvoorbeeld door op de geblokkeerde domeinnaam schadelijke content te plaatsen 
  • De registratie van een domeinnaam om opportunistisch aan te haken bij het succes van een merk of bedrijf voor de verkoop van eigen producten of diensten.

 

Voorkomen is beter dan genezen

Voorkomen is vanzelfsprekend altijd beter dan genezen.  Geef cybersquatters dus geen kans en neem de nodige voorzorgen:

  • Ga niet over één nacht ijs bij de keuze voor een merknaam of handelsnaam.  Maak een shortlist van namen die in aanmerking kunnen komen, maar hou die shortlist voorlopig voor jezelf en doe vooral geen online opzoekingen naar eventuele namen.
  • Zodra je je shortlist klaar hebt, kan je verifiëren of de naam nog beschikbaar is.  Daarbij werk je best snel en gericht.  Zodra domain name squatters vaststellen dat er in merkenregisters of bij domain name registrars gezocht wordt op een bepaalde naam, komen zij immers zelf in actie en zo riskeer je de naam van je keuze voor je neus weggekaapt te zien worden.
  • Bescherm je merknaam zo vroeg mogelijk en liefst voor je hem effectief gaat gebruiken (voor je nieuwe zaak, voor een nieuw product, voor de uitbreiding van je activiteiten naar een ander land, …).  Als je de houder van een geldig ingeschreven merk bent, sta je immers veel sterker tegen domain name squatters. Een merkdepot voor enkel de Benelux kost nauwelijks 250 euro en zou dus een basisreflex moeten zijn voor elke ondernemer.  
  • Als je in de toekomst plant ook in andere Europese landen actief te zijn, kan je best meteen ook voor de hele EU je merknaam beschermen.  Dat kost om en bij de 1.000 euro, maar geeft je wel meteen zekerheid en bescherming in 27 lidstaten.  Hou er rekening mee dat het Verenigd Koninkrijk eind dit jaar definitief buiten de EU valt, ook voor wat betreft merkbescherming.
  • Laat je bij je merkendepot bijstaan door mensen met ervaring.  Een merkdepot kan iedereen in principe zelf uitvoeren via de website van het BBIE, maar de praktijk leert dat een goed depot, mét de noodzakelijke voorafgaande haalbaarheidscheck en conflictcheck specialistenwerk is.  Als je daarbij hulp nodig hebt, kan je vanzelfsprekend bij ons terecht via onze merkdepotpagina.
  • Zodra je merkaanvraag is ingediend, registreer je best meteen ALLE relevante domeinnamen.  Wees niet gierig en beperk jezelf niet tot de .be en .com extensies, maar kies zoveel mogelijk relevante extensies (.com, .net, .online, .webshop, .Brussels, … maar ook bvb .fr en .nl en andere relevante landenversies) en voorzie ook een budget voor de meest voor de hand liggende spelfouten en samenstellingen. 
  • Maak je naam best pas publiek nadat je bovenstaande voorzorgen genomen hebt.  Als het daarvoor te laat is, zorg je best alsnog voor merkbescherming en uitgebreide domeinnaamregistratie. 
  • Zorg voor een geregelde controle en bewaking van je merknaam, handelsnaam en domeinnamen en treedt snel en hard op tegen inbreukplegers.  Ook dit is eigenlijk specialistenwerk, waarvoor je best een professional inschakelt.    

 

En als het al te laat is?

Er zijn wel degelijk juridische actiemiddelen voor wie geconfronteerd wordt met een domeinnaamregistratie te kwader trouw.  Soms moet dat gewoon voor de rechtbank, maar heel wat nationale domeinnaambeheerders voorzien ook in een alternatieve geschillenprocedure op basis van arbitrage of bemiddeling.  Vaak kan dat gewoon online, maar hou er rekening mee dat de voorwaarden, de kosten en ook de juridische gronden waarop je je kan baseren van land tot land kunnen verschillen.  Vaak zal bijvoorbeeld het houden van een geldig ingeschreven merk een vereiste zijn…  

In België voorziet de wet in een specifieke procedure voor de rechtbank waarmee je de onmiddellijke staking van elk gebruik van een domeinnaam kan vorderen onder verbeurte van een dwangsom per dag of uur vertraging, samen met de schrapping van de registratie of de gedwongen overdracht aan de eisende partij.  Je kan hier beroep op doen als je houder bent van een merk, een geografische aanduiding of benaming van oorsprong, een handelsnaam, een auteursrechtelijk beschermd werk (bijv. de titel van een film), een vennootschapsnaam, een familienaam of de naam van een geografische entiteit. Let wel op: deze stakingsvordering kan enkel voor .be domeinnamen én voor zover de houder van de domeinnaam een woonplaats of vestiging in België heeft.

Voor .be domeinnamen bestaat via DNS.be een snelle en eenvoudige alternatieve geschillenprocedure. In dat geval moet aan drie voorwaarden zijn voldaan :

  • De domeinnaam is identiek of lijkt sterk op een merk, handelsnaam, vennootschapsnaam, plaatsnaam, persoonsnaam of naam van een geografische entiteit waarop de klager rechten heeft.
  • De houder van de domeinnaam heeft geen recht of legitiem belang jegens deze domeinnaam.
  • De domeinnaam is te kwader trouw geregistreerd of gebruikt.  

Voor geschillen over generieke domeinnamen (“.com”, “.int”, “.org”, enz.) is Icann bevoegd.  Haar Uniform domain name Dispute Resolution Policy (UDPR) is wel enkel van toepassing op conflicten tussen een cybersquatter en een merkhouder. 

Voor .fr, .nl of andere nationale domeinnamen kan je meestal terecht voor de verschillende nationale domain name registrars. Zoals al aangegeven lopen deze procedures én de gevallen waarin je je erop kan beroepen nogal uiteen.

 

Vragen over domeinnamen of merknamen?

Ons team helpt je graag bij alle vragen rond domeinnamen, merknamen of rond intellectuele eigendom en internet in het algemeen.
Contacteer ons gerust vrijblijvend op
bart@siriuslegal.be of op +32 486 901 931, of boek meteen een online afspraak in de agenda van Bart op deze link: https://www.meetingbird.com/h/BartVandenBrande

 

19.06.2020 Roeland Lembrechts

De aansprakelijkheid van IT-dienstverleners

Door de digitale evolutie heeft zowat elke onderneming nood aan een kwalitatieve ICT-infrastructuur. Externe dienstverleners uit de IT-sector bieden daarbij graag verschillende diensten aan om ondernemingen op een geïntegreerde wijze hun economische activiteiten te verbeteren en te innoveren. Maar naast de zoektocht naar efficiëntie en verbetering dient ook steeds meer rekening gehouden te worden met de digitale veiligheid van deze ondernemingen. En ook daar speel je als externe IT-dienstverlener een belangrijke rol. 

 

Veroordeling in Nederland

De rol van de IT-dienstverlener werd door de rechtbank van Amsterdam nog eens op scherp gesteld met een vonnis van 14/11/2018 (gepubliceerd op 07/06/2020). Een Nederlands IT-bedrijf had een volledige IT-infrastructuur geplaatst bij een administratiekantoor en verzorgde vervolgens op afroep het onderhoud en beheer ervan. Deze dienstverlening kon beschouwd worden als een totaalpakket. Dit administratiekantoor werd echter het slachtoffer van een aanval met ransomware, waardoor alle data versleuteld werden, inclusief de back-ups.

Het bewuste administratiekantoor heeft uiteindelijk een vergoeding via bitcoins moeten betalen om haar data vrij te krijgen en heeft beroep moeten doen op een gespecialiseerd Cyber Security bedrijf om de oorzaak van de aanval te achterhalen. Op basis van die bevindingen besloot het administratiekantoor om het IT-bedrijf aansprakelijk te stellen en vorderde zij een schadevergoeding wegens o.a. omzetverlies, personeelskosten, betaling van de vergoeding in bitcoins voor vrijgave van de data en de kosten van het gespecialiseerd Cyber Security bedrijf om de technische oorzaak te achterhalen. De rechtbank kende die vergoeding grotendeels toe en het IT-bedrijf diende hiervan ⅔ te betalen. Dit kwam, naast de gerechtskosten, neer op een bedrag van +/- 10.000 Euro.

We zouden nog voorzichtig kunnen stellen dat deze cyberaanval een relatief beperkte impact heeft gehad, maar de overwegingen van de rechtbank zijn daarentegen wel van bijzonder belang voor elke onderneming die IT-diensten aanbiedt. Net daarom geven we hier een kort overzicht van de belangrijkste overwegingen:

  • Er was geen schriftelijke overeenkomst zodat de rechtbank heeft gekeken naar wat een klant mag verwachten bij de implementatie van een IT-infrastructuur, in dit geval wanneer het gaat over een totaalpakket. Ondanks de discussie tussen de partijen, heeft de rechtbank geoordeeld dat adequate beveiligingsmaatregelen daar ook effectief toebehoren. Het niet leveren van een firewall en externe back-ups in dit geval brengt de rechtbank tot het besluit dat de IT-dienstverlener in gebreke is gebleven.
  • Dat de IT-dienstverlener beveiligingsmaatregelen had voorgesteld, maar dat deze afgewezen werden door de klant, verandert niets aan de eigen verantwoordelijkheid van de IT-dienstverlener. Die had in dat geval de opdracht moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aanbieden of op zijn minst indringend en herhaaldelijk waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten.
  • Dat het betrokken contact bij de klant zelf voldoende ICT-kennis zou hebben, doet evenmin afbreuk aan de eigen verantwoordelijk van de IT-dienstverlener.
  • Indien er gebruik was gemaakt van strengere technische beveiligingsmaatregelen samen met sterkere wachtwoorden, dan had de kans bestaan dat de ransomware-aanval geneutraliseerd kon worden. Nu dit niet het geval was, moet de fout en de oorzaak bij de IT-dienstverlener gezocht te worden. Enkel omdat de klant zelf zwakkere wachtwoorden prefereerde, is de klant gedeeltelijk medeverantwoordelijk gesteld.
  • De ICT-dienstverlener kan in dat geval de bijkomende herstelwerkzaamheden niet doorrekenen aan de klant.

 

En wat in België?

Dezelfde overwegingen zoals in het Nederlandse vonnis zijn terug te vinden in de Belgische rechtspraak. Zo werd reeds geoordeeld dat bij het ontbreken van een schriftelijke overeenkomst het vermoeden geldt dat IT geleverd wordt cfr. de concrete behoeften van de klant. Beveiligingsmaatregelen kunnen daar dus bij horen. 

Op de IT-dienstverlener rust ook een zware informatieverplichting, gelet op het gespecialiseerde karakter van zijn dienstverlening. Schending van die informatieverplichting zou zelfs kunnen leiden tot nietigheid van de overeenkomst door dwaling bij de klant. Informeren over de nodige beveiligingsmaatregelen en de eventuele risico’s is dus een absolute must.

Weigert de klant adequate beveiligingsmaatregelen te aanvaarden, dan heeft de IT-dienstverlener hetzij de verplichting om de opdracht te weigeren, hetzij de verplichting om de klant schriftelijk te informeren over de risico’s van het ontbreken van adequate veiligheidsmaatregelen. Het is aangeraden om in dit geval de klant te laten aftekenen dat de IT-dienstverlener niet aangesproken kan worden.

Tot slot zal bij de vaststelling dat de IT-dienstverlener aansprakelijk is, de schade ook begroot kunnen worden aan de gederfde winsten en alle opgelopen kosten, inclusief de kosten van een eenzijdig IT-forensisch onderzoek, voor zover dit als noodzakelijk kon beschouwd worden.

 

Even samengevat

Je kan besluiten dat de verantwoordelijkheid van de IT-dienstverlener bij een cyberaanval niet min is. Zeker indien de impact voor de klant nog groter is. Een bedrijf dat een aantal weken haar economische activiteiten niet kan uitoefenen, wordt al snel geconfronteerd met een enorm omzetverlies en personeelskost. Ook de ‘losgelden’ om snel data vrij te krijgen kunnen een pak hoger liggen. Hetzelfde geldt voor de herstelwerkzaamheden die nadien moeten gebeuren om het bedrijf digitaal weer up and running te krijgen.

Om die reden is het voor elke IT-dienstverlener van het grootste belang om bij elke opdracht een schriftelijke overeenkomst te voorzien, de klant zeer goed en aantoonbaar te informeren en zo mogelijk een verzekering beroepsaansprakelijkheid te sluiten.

Mocht je meer vragen hebben over je aansprakelijkheid als IT-dienstverlener en wat je kan doen om dit zo goed mogelijk in te dekken, contacteer dan gerust Roeland via roeland@siriuslegal.be.

23.11.2019 Roeland Lembrechts

Waarop moet je letten bij een cloudcontract?

Op 16 oktober werd door de experten Bob Diachenko en Vinny Troia een gigantisch datalek ontdekt op de Elasticsearch-server. Het gaat om een lek van 4 terabyte van zo’n 4 miljard gebruikersaccounts. De experten telden gegevens van meer dan 4 miljard unieke personen. Het gaat daarbij over gegevens zoals namen, e-mailadressen, telefoonnummers en profielinformatie van verschillende platformen zoals Facebook, Linkedin, Twitter & GitHub. Men spreekt over het grootste datalek ooit in een cloudomgeving. (https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/)

Steeds meer bedrijven schakelen de laatste jaren over op de ‘cloud’ en dat is niet zonder reden. Het reduceert IT-kosten, zorgt voor effectiever mobiel werken, een hogere productiviteit, standaardisatie van processen, … Je gebruikt en betaalt immers enkel hetgeen je nodig hebt in de cloud. Dit in tegenstelling tot aankoop van het traditionele on-premise IT-materiaal. Die voordelen blijken ook op grote schaal hun effect te kennen: gebruik van cloud computing heeft een relevant effect op het bruto binnenlands product (bbp) van de EU met maximaal € 250 miljard en creëert 3,8 miljoen banen tegen 2020 vergeleken met 2012.

Maar ondanks al deze voordelen blijken heel wat ondernemingen tot op vandaag nog terughoudend te zijn om hun activiteiten toe te vertrouwen aan cloudservices. De grootste redenen hiervoor zijn onvoldoende kennis en deskundigheid van de contractuele, de juridische aspecten en de technische implementatie van diensten op basis van de cloud. Maar ook het risico van een inbreuk op de beveiliging blijkt een belangrijke overweging voor ondernemingen: de zorg over een beveiligingslek scoort het hoogst voor zowel grote ondernemingen als KMO’s.

 

Onderzoek naar de economische schade ten gevolge van slechte cloudcontracten

De Europese commissie publiceerde op 04/11/2019 haar finaal rapport ‘Study on the Economic Detriment to Small and Medium-Sized Enterprises Arising from Unfair and Unbalanced Cloud Computing Contracts’ waarin duidelijk wordt welke problemen Europese kmo’s ondervinden met cloud-contracten en wat de kost inhoudt van oneerlijke en onevenwichtige Cloud Computing Contracten.

Uit dit onderzoek is onder meer gebleken dat:

  • de contractuele verantwoordelijkheid van de cloudprovider in vele gevallen onduidelijk blijkt te zijn door overlappingen en lacunes in de overeenkomsten. Dit blijkt vooral zo met betrekking tot beveiligingsaspecten.
  • KMO’s ook kijken naar het aantal datalek-incidenten dat een cloudprovider reeds heeft gehad.
  • KMO’s in vele gevallen een slechte onderhandelingspositie hebben om de algemene voorwaarden aan te passen aan hun behoeften, waardoor zij niet altijd een aangepaste oplossing hebben wanneer er zich een probleem voordoet. De algemene voorwaarden worden regelmatig als oneerlijk beschouwd.
  • Cloud services heel wat vragen oproepen met betrekking tot privacy, vertrouwelijkheid en gegevensintegriteit.
  • In de periode 2016-2017 één op de vier KMO’s geconfronteerd werd met contractgerelateerde problemen met Cloudproviders. De belangrijkste problemen hielden verband met de non-conformiteit van de geleverde dienst. Het gaat dan voornamelijk over  de snelheid van de dienstverlening (55% van de bevraagde KMO’s), de beschikbaarheid of continuïteit van de dienst (49%), updates van de service (32%) en duidelijkheid van de instructies voor het gebruik van cloud computing-services (26%).
  • Problemen met betrekking tot beveiliging vrij vaak voorkwamen. Daarbij gaat het vooral over het gebrek aan bescherming van de gegevens tegen diefstal of virussen en ongeoorloofde openbaarmaking van of toegang tot gegevens.
  • Contractgerelateerde problemen een groot economisch nadeel genereerden, gemeten aan de hand van verloren omzet en alle andere kosten. Het omzetverlies was de belangrijkste component van het nadeel, die 37% van het totale nadeel vertegenwoordigde, terwijl de kosten van personeel die betrokken zijn bij het oplossen van het probleem ongeveer 32% van het totale nadeel vertegenwoordigen.

 

Waarop moet ik letten bij het ondertekenen van een cloudcontract?

Dat slechte cloudcontracten tot kosten en frustraties kunnen leiden, lijkt met dit onderzoek nu wel vast te staan. Een probleem dat vele ondernemingen ondervinden is dat zij te weinig kennis hebben van de technische implicaties van de aangeboden dienst én van de juridische garanties die daar tegenover moeten/kunnen gesteld worden. En dit is toch van belang, aangezien een probleem rond veiligheid van je bedrijfsgegevens of de gebrekkige dienstverlening moet leiden tot een adequate aansprakelijkheidsregeling van de Cloudprovider.

Die analyse is in vele gevallen niet eenvoudig. Cloud contracten zijn geen overeenkomsten die een aparte wettelijke regeling hebben. Zij moeten, afhankelijk van de soort dienstverlening(en), gekwalificeerd worden als een verkoop, lease, huur, hosting, aanneming, sui generis-overeenkomst, … Bovendien is er ondertussen heel wat Europese regelgeving die specifiek van toepassing is op digitale contracten/dienstverlening. Dit kan telkens zijn implicatie hebben op de draagwijdte van de aansprakelijkheid van de Cloudprovider en je mogelijkheden om tot een oplossing te komen.

Ondernemingen zijn dan ook meestal niet in staat om de gevolgen van deze contractuele beperkingen in te schatten. Nochtans kan dit van groot belang zijn in het geval je geconfronteerd wordt met een datalek en je als onderneming daar zelf voor verantwoordelijk kan gesteld worden.

Voordat je zulke overeenkomsten tekent, is het aan te raden om volgende zaken na te (laten) kijken. Een verwittigd man is er niet alleen twee waard, maar vooral minder gefrustreerd.

  1. Kijk na hoe de onderlinge verantwoordelijkheid tussen jezelf en de Cloudprovider verdeeld is. Is die evenwichtig? Is dit duidelijk genoeg gedefinieerd? Kan dit bij problemen tot een bevredigende en snelle oplossing leiden? Heeft de Cloudprovider niet al te veel zijn aansprakelijkheid beperkt en is dit nog rechtmatig? Zijn de Clouddiensten conform de Cloud SLA  Standardisation Guidelines van de Europese Commissie?
    In vele gevallen zijn Cloud-overeenkomsten standaardcontracten en is je onderhandelingsmarge niet echt ruim. Wens je toch te onderhandelen, hou er dan rekening mee dat de Cloudprovider zich via andere clausules of een hogere prijs zal willen indekken. Het is in elk geval het proberen waard en helpt je bij het beslissingsproces om al dan niet een overeenkomst te sluiten.
  2. Vraag ook wie de subcontractors zijn van de Cloudprovider. In vele gevallen beheren deze subcontractors essentiële onderdelen van de clouddienst en is het dus van belang dat je de betrouwbaarheid en de juridische verhouding met de Cloudprovider kent. 
  3. Hoe zit het buiten het gebruiksgemak met de databeveiliging en de privacy? Kan de Cloudprovider je verzekeren dat hij, indien toepasselijk, aan de NIS-verplichtingen voldoet? Regelmatig zal je ook een verwerkersovereenkomst moeten voorzien om je databescherming cfr. de GDPR te verzekeren. Ga ook steeds na waar de servers van de Cloudprovider fysiek staan.
  4. Blijkt uit de overeenkomst voldoende wat precies het voorwerp is van de dienstverlening? Weet je op voorhand welke dienst je effectief kan verwachten? Heeft de Cloudprovider voorzien dat hij eenzijdig wijzigingen aan het contract kan maken, gelet op de snelle evoluties in de IT-wereld? Zo ja, blijft de verhouding tussen de partijen dan nog evenwichtig?
  5. Zijn je intellectuele eigendomsrechten op je data en je creaties die je in de Cloudomgeving upload en/of ontwikkelt, voldoende beschermd? Is het duidelijk wat de eventuele eigendomsoverdrachten zijn en/of de gebruiksrechten die je er op toestaat?
  6. Zijn er onderzoeks- en controlemogelijkheden voor je voorzien? Kan je zelf controleren wat de beveiligingsmaatregelen zijn en op welke manier je data effectief bewaard worden? Kan je bijvoorbeeld nagaan of er sprake was van een datalek en zo ja, hoe groot de impact is?
  7. Aangezien een Cloudovereenkomst al snel een internationaal karakter heeft, is het nuttig om na te kijken welk recht van toepassing is en waar je eventueel je rechten kan uitoefenen. Kijk dus ook zeker na of je in werkelijkheid je rechten wel kan afdwingen.

 

Conclusie

Het succes van Clouddiensten voor een onderneming kan niet meer ontkend worden en is te danken aan haar kostenreducerende en flexibele toepassingen. Maar aan deze opportuniteiten en gebruiksvriendelijkheid zijn ook risico’s verbonden. Om die reden zijn ondernemingen nog steeds terughoudend ten opzichte van Cloudtoepassingen, waarbij voornamelijk een gebrekkige dienstverlening en de gebrekkige veiligheid van de bedrijfsgegevens als grootste bezorgdheden worden genoemd.

Om het vertrouwen te winnen in je Cloudleverancier is het om die reden aangeraden het Cloudcontract grondig door te (laten) nemen en zo mogelijk te onderhandelen over verschillende aspecten. Zo kan je op zijn minst inschatten welke risico’s je daarbij neemt en hoe je deze risico’s tot een aanvaardbaar minimum kan herleiden zonder al te veel te moeten inboeten op het potentieel van de Cloudtoepassing. 

 

Meer vragen?

Neem dan gerust contact op met Roeland via roeland@siriuslegal.be.

21.02.2017 Bart Van den Brande

Fiscaal voordeel voor “innovatieaftrek” bij software development

De federale overheid ziet in België een draaischijf voor de ontwikkeling van intellectuele eigendom.  Octrooien, kwekersrechten, software development, … voor allemaal moet België een aantrekkelijke uitvalbasis vormen in de toekomst.  Om die reden wordt hard gewerkt aan enkele wettelijke en fiscale hervormingen die de ontwikkeling van onder meer nieuwe software moet bevorderen. 

Vandaag kennen vennootschappen al een belastingvrijstelling ten belope van 80% voor inkomsten uit de verkoop of licentie van gepatenteerde producten of procedés. Belangrijke voorwaarde bij deze ‘oude’ octrooiaftrek is dat een goedgekeurd octrooi moet worden voorgelegd. Hierdoor vallen een aantal belangrijke intellectuele eigendomsrechten uit de boot, zoals in veel gevallen ook software. Ook de lange wachttijd om een octrooi te laten goedkeuren blijkt vaak een pijnpunt.

Om hieraan te verhelpen werd begin dit jaar nu ook een nieuw fiscaal voordeel (“innovatieaftrek”) ingevoerd dat van toepassing is specifiek op de ontwikkeling van software.   Het nieuwe voordeel komt bovenop de toch al erg gunstige fiscale behandeling van royalties uit auteursrechten waarvan onder meer software developers al enkele jaren kunnen genieten.

 

Wat houdt dit nieuwe fiscale voordeel in?

De innovatieaftrek laat aan bedrijven toe om de innovatie-inkomsten op hun software ten belope van maximaal 85% (ipv de 80% die geldt bij octrooien) in aftrek te brengen en aldus de belastingdruk op hun inkomsten uit de ontwikkeling van software de facto terug te brengen tot +/- 5%.  Bedragen die de 85% overschrijden kunnen overgedragen worden naar een volgend jaar.

Het is bij dit alles niet langer nodig om een onderzoekscentrum in België te hebben, ook het land waar de octrooibescherming wordt bekomen, is in de toekomst minder belangrijk.

Voor ondernemingen die de huidige octrooiaftrek al toepassen, is een overgangsregeling voorzien tot 2021. In die periode kunnen ondernemingen kiezen en afwegen welke aftrek in de praktijk het voordeligst is voor hen.

 

Wat zijn “innovatie-inkomsten”?

Als “innovatie-inkomsten worden in aanmerking genomen alle in België belastbare inkomsten uit licenties, inkomsten uit schadevergoedingen voor inbreuken op het auteursrecht en softwarebeschermingsrecht en meerwaarden uit de overdracht of cessie van auteursrechten.

De innovatieaftrek zal enkel toegepast kunnen worden op de netto-inkomsten na aftrek van uitgaven die rechtstreeks en uitsluitend betrekking hebben op het intellectueel eigendomsrecht. Ondernemingen die verschillende R&D projecten hebben lopen of die werken aan “gemengde” projecten die slechts deels uit software development bestaan, moeten dus een en ander correct kunnen uitsplitsen.

 

Op welke software geldt de aftrek?

De innovatie-aftrek geldt voor nieuw ontwikkelde software die beschermbaar is door het auteursrecht en het softwarebeschermingsrecht (en die dus voldoende “origineel” is) en die als noodzakelijke voorwaarde moet voortvloeien uit een onderzoeks- of ontwikkelingsprogramma binnen het bedrijf.  De software mag bovendien geen inkomsten gegenereerd hebben voor 1 juli 2016.  Ook bewerkingen of adapties van bestaande software kunnen overigens in aanmerking komen.

Ondernemingen kunnen op deze manier gebruik maken van een aanzienlijk belastingvoordeel voor licentievergoedingen en verkopen van nieuwe software. Maar ook bedrijven die voor interne gebruik computerprogramma’s ontwikkelen kunnen voortaan gebruik maken van de belastingvrijstelling. In dat geval zal een ‘fictieve’ licentievergoeding berekend moeten worden, alsof de software in licentie zou zijn gegeven aan derden.

 

Beperking van de aftrek

Het belastingvoordeel is weliswaar beperkt overeenkomstig de BEPS (Base Erosion Profit Shifting) regels van de EU.

Enkel de eigen ontwikkeling door het bedrijf kan in aftrek genomen worden.  Dit noemt men de ‘Nexus’ berekening.  Het gevolg hiervan is dat een Belgische vennootschap niet louter gebruikt kan worden als ‘doorgeefluik’ zonder eigen R&D activiteit te ontwikkelen.

Vennootschap die intellectuele eigendom (deels) hebben ingekocht of het onderzoek hebben uitbesteed aan een verbonden vennootschap in een ander land, kunnen op dat ingekochte of uitbestede deel de fiscale aftrek dus niet gebruiken.

Het blijft om die reden van het grootste belang om de innovatieve activiteiten binnen een groep fiscaal optimaal te structuren, met daarbij de nodige aandacht voor transfer pricing.

 

Blijft bestaan: het fiscaal voordeelregime voor inkomsten uit auteursrechten

Naast bovenstaande nieuwe regels, kunnen fysieke personen (niet vennootschappen, maar wel hun aandeelhouders of bestuurders en zaakvoerders) al enkele jaren genieten van een érg interessante fiscale behandeling van inkomen dat zij ontvangen als vergoeding of royalities voor licenties of verkoop van software.

Fysieke personen die software ontwikkelen en deze commercialiseren via een vennootschap kunnen zo voor een bedrag van om en bij de 56.000 euro per jaar aan royalities uitkeren, belast aan een vaste bevrijdende roerende voorheffing van 25%.  Aangezien de wet ook voorziet in aanzienlijke forfaitaire kostenaftrekken die eerst in aanmerking genomen kunnen worden, is de netto belastingdruk op inkomsten uit royalties voor de fysieke personen achter een vennootschap in se beperkt tot 7 à 8%.

De combinatie van beide regelgevingen zorgt ervoor dat zowel vennootschap als aandeelhouder/zaakvoerder een erg gunstig fiscaal regime kunnen genieten op de commercialisering van (nieuwe software).

 

Vragen over softwarebescherming en licenties in het algemeen of de toepassing van de innovatie-aftrek en het royalties regime in het bijzonder?

Bart Van den Brande en de rest van ons team staan graag vrijblijvend tot uw beschikking op bart@siriuslegal.be of 0032 486 901 931