Beschikken over embedded datalaw-and-ict.org/wp-content/uploads/2018/04/Eindrapport...5...
Transcript of Beschikken over embedded datalaw-and-ict.org/wp-content/uploads/2018/04/Eindrapport...5...
Beschikken
over
embedded data
Onderzoek
voor
Nederland Open in Verbinding (NOIV)
1 november 2011
Dr. mr. C.N.J. de Vey Mestdagh
Rijksuniversiteit Groningen
2
Inhoud:
1. Inleiding ..................................................................................................................... 3
1.1. Probleemstelling ................................................................................................. 3
1.2. Vraagstelling ....................................................................................................... 4
1.3. Doelstelling ......................................................................................................... 4
1.4. Onderzoeksmethode en uitvoering ..................................................................... 4
1.5. Gehanteerde definities ........................................................................................ 6
2. Welke partijen hebben welke beschikkingsrechten op embedded data ..................... 9
2.1. Eigendom van embedded data .......................................................................... 10
2.2. Intellectuele eigendomsrechten op embedded data ........................................... 11
2.3. Gebruiksrechten op embedded data en meewerkverplichting .......................... 12
2.4. Bescherming van de persoonlijke levenssfeer en van bedrijfsgeheimen .......... 13
3. Casus ........................................................................................................................ 16
3.1. Kopieer- en reproductieapparatuur ................................................................... 16
3.1.1. Bronnen ...................................................................................................... 16
3.1.2. Het systeem en de verwerking van embedded data ................................... 16
3.1.3. Belanghebbenden ....................................................................................... 16
3.1.4. Transparantie en Portabiliteit ..................................................................... 17
3.1.5. Beschikkingsrechten .................................................................................. 17
3.2. Diagnostische en therapeutische apparatuur ..................................................... 18
3.2.1. Bronnen ...................................................................................................... 18
3.2.2. Het systeem en de verwerking van embedded data ................................... 18
3.2.3. Belanghebbenden ....................................................................................... 18
3.2.4. Transparantie en Portabiliteit ..................................................................... 19
3.2.5. Beschikkingsrechten .................................................................................. 19
3.3. Huisvuilpas ....................................................................................................... 21
3.3.1. Bronnen ...................................................................................................... 21
3.3.2. Het systeem en de verwerking van embedded data ................................... 21
3.3.3. Belanghebbenden ....................................................................................... 21
3.3.4. Transparantie en Portabiliteit ..................................................................... 21
3.3.5. Beschikkingsrechten .................................................................................. 22
4. Conclusies en aanbevelingen: Juridische standaarden voor het bevorderen van de
transparantie en portabiliteit ........................................................................................ 23
Bijlage 1 Kopieer- en reproductieapparatuur ............................................................... 26
Bijlage 2 Diagnostische en therapeutische apparatuur ................................................ 31
Bijlage 3 Huisvuilpas ................................................................................................... 38
Literatuur & Jurisprudentie .......................................................................................... 45
3
1. Inleiding
1.1. Probleemstelling
Het komt vaak voor dat de afnemer van IT systemen en diverse andere
belanghebbenden niet de volledige beschikking hebben over de in deze systemen
verwerkte gegevens, terwijl dit wel in hun belang zou zijn. Het betreft veelal de
elementaire ingevoerde dan wel gemeten gegevens in administratieve systemen, in
beslissingsondersteunende systemen, in meet- en regelsystemen en in diagnostische
en therapeutische apparatuur. Dit probleem kan worden opgeheven door grotere
transparantie (toegankelijkheid van de elementaire gegevens voor de afnemer) en
interoperabiliteit (mogelijkheden om de elementaire gegevens in andere IT systemen
te gebruiken). Transparantie en interoperabiliteit hebben echter niet alleen voordelen,
maar ook nadelen voor bijvoorbeeld de privacybescherming (embedded data betreffen
in veel gevallen persoonsgegevens) en in enkele gevallen zelfs voor de veiligheid
(transparante systemen kunnen kwetsbaarder zijn voor misbruik).
Het beschikken over embedded data is daarom een complex probleem waarin
niet alleen de relatie afnemer – leverancier van het desbetreffende IT systeem een rol
speelt. Er zijn bij de verwerking van gegevens vaak meer partijen betrokken die
belangen bij de verwerkte gegevens hebben. Bijvoorbeeld feitelijke gebruikers van het
systeem (de ambtenaar, de burger, de arts, de patiënt, de consument), maar ook
indirecte belanghebbenden bij de verzamelde gegevens (beleidsmakers, onderzoekers,
financiers). Dit veelvoud van belangen vertaalt zich in een complex juridisch
krachtenveld. Hierin speelt bijvoorbeeld niet alleen de directe eigendom van de
systemen en de daarin vervatte data een rol (koop, lease, huur etc.), maar ook
intellectuele eigendomsrechten (i.c. auteursrecht en databankenrecht), het recht van de
subjecten van deze systemen op bescherming van hun persoonlijke levenssfeer en de
nodige subjectieve rechten, o.g.v. de overeenkomst tussen afnemer en gebruiker,
tussen gebruiker en de personen waarvan de gegevens worden verzameld, tussen de
afnemer en diverse andere belanghebbende instellingen (de overheid, de wetenschap,
verzekeraars). Ter verduidelijking is hieronder het voorbeeld van de verwerking van
gegevens in medische apparatuur in de zorgsector nader omschreven.
Voorbeeld zorgsector
Voor het goed functioneren van de zorgsector is het noodzakelijk dat gegevens van
patiënten voor een groot aantal partijen beschikbaar zijn. De verschillende
behandelaars in de keten hebben gegevens nodig voor het uitvoeren van een goede en
coherente behandeling. De verzekeraars hebben gegevens nodig voor een
economische en efficiënte financiële afhandeling. De wetenschap en de medische
industrie hebben gegevens nodig voor het verbeteren van de toegepaste medische
methoden en technieken. De overheid heeft gegevens nodig voor haar begrotings- en
kwaliteitspolitiek en -beleid. In veel gevallen zijn deze gegevens echter niet zonder
meer uitleesbaar. Dit betekent dat het verder verwerken van deze gegevens,
bijvoorbeeld voor wetenschappelijk medisch onderzoek, in deze gevallen onmogelijk
is, tenzij er aan de leverancier van het IT systeem extra wordt betaald voor ontsluiting.
Ook kunnen de gegevens bij overgang naar een nieuwe leverancier verloren raken,
omdat ze niet uitleesbaar zijn. Een tijdrovend en niet altijd legaal alternatief is reverse
engineering (kraken) van het gegevensformaat (zie 2.2. en 3.2.4. hieronder).
4
De benodigde gegevens zijn in oorsprong hoofdzakelijk van de patiënten afkomstig.
Hoewel de patiënten en alle genoemde partijen uiteenlopende belangen hebben bij het
verwerven en verwerken van de gegevens, delen zij het belang van een optimale en
rechtmatige uitwisseling ervan. De optimale uitwisseling kan onder andere worden
bevorderd door het toepassen van open standaarden en open source software waardoor
de portabiliteit van gegevens en de interoperabiliteit van de door de verschillende
partijen gebruikte systemen kunnen worden verbeterd. De rechtmatigheid van de
uitwisseling is daarbij een zeer belangrijke (rand)voorwaarde, die andere belangen
zoals die van de privacy van de patiënt, de intellectuele eigendom van de
verschillende partijen en de rechtszekerheid dient.
Voor de rechtmatigheid van de uitwisseling van patiëntengegevens gelden
verschillende juridische regimes die in hun onderlinge samenhang moeten worden
beschouwd. Eigendom van (patiënten)gegevens als zakelijk recht (vgl. Boek 5 BW)
bestaat slechts onder de zeer uitzonderlijke omstandigheid van de exclusieve
beschikking en daar zal in het geval van persoonsgegevens vrijwel nooit sprake van
zijn. Intellectuele eigendom van het gebruik van (patiënten)gegevens (auteursrecht,
databankenrecht) is (onder voorwaarden) veelal wel mogelijk. Het betreft hier echter
persoonsgegevens. Belangrijker zijn daarom de regimes die het gebruiksrecht van
persoonsgegevens beperken en het recht van de patiënt om over zijn eigen gegevens te
beschikken bepalen. Het gaat hierbij om de dwingende regels van het privacyrecht en
de bepalingen in de verschillende overeenkomsten die tussen de eerder genoemde
partijen worden gesloten, waarvan de behandelingsovereenkomst en de met de
leveranciers van IT gesloten contracten de belangrijkste zijn.
1.2. Vraagstelling
Uit de hiervoor beschreven probleemstelling vloeit de volgende vraagstelling voort:
1. Welke partijen hebben welke beschikkingsrechten op embedded data in IT-
systemen en
2. Hoe kunnen de belanghebbenden bij deze embedded data optimaal gebruik
maken van deze rechten dan wel deze rechten via de leverings- en
dienstverleningscontracten van de IT-systemen maximaliseren;
1.3. Doelstelling
Het onderzoek moet leiden tot concrete aanbevelingen waarmee in gevallen waarin
duidelijk is welke gegevens er precies worden verwerkt en wie precies de feitelijke
beschikking over deze gegevens heeft kan worden vastgesteld:
1. Wie wettelijk bevoegd is of via de te sluiten overeenkomsten de bevoegdheid
kan verwerven om over deze gegevens te beschikken;
2. Hoe gegeven deze wettelijke bevoegdheden en mogelijke contractuele
bevoegdheden de belangen van de verschillende betrokkenen (optimaliseren
transparantie, portabiliteit en privacy) het beste kunnen worden gediend.
1.4. Onderzoeksmethode en uitvoering
De complexiteit van het probleemveld brengt met zich mee dat een uitsluitend
juridisch theoretische (top down) benadering geen afdoende antwoorden op de
vraagstelling met zich kan meebrengen. De (mogelijke problemen met) concrete
5
beschikkingsrechten over embedded data zijn daarvoor teveel afhankelijk van
concrete casus. Juridisch onderzoek kan wel een antwoord geven op de eerste
onderzoeksvraag (welke partijen hebben welke beschikkingsrechten op embedded
data in IT-systemen), maar niet zonder meer op de tweede onderzoeksvraag (hoe kan
de afnemer van deze systemen (c.q. de overheid) optimaal gebruik maken van deze
rechten dan wel deze rechten via de leverings- en dienstverleningscontracten
maximaliseren). Hiervoor is onderzoek in de praktijk nodig, omdat het hierbij gaat om
het feitelijk optimaliseren van de transparantie en de portabiliteit van de embedded
data. Er is daarom gekozen voor een combinatie van juridisch literatuur- en
rechtsbronnenonderzoek en een praktijkonderzoek (drie concrete casus) en het
abstraheren van de gevonden problemen met beschikkingsrechten naar mogelijke
juridische oplossingen in de aanbevelingen.
Het onderzoek heeft daarom uit twee delen bestaan. Juridisch onderzoek naar
beschikkingsrechten op embedded data en praktijkonderzoek naar drie concrete casus.
Op basis van deze twee onderzoeken worden ten slotte aanbevelingen gedaan voor het
adequaat regelen van de beschikking over embedded data bij het afsluiten van de
overeenkomsten tot levering van de betrokken systemen resp. de daaraan verbonden
dienstverlening, waarbij met de verschillende hiervoor genoemde belangen
(transparantie, interoperabiliteit, privacy) rekening wordt gehouden.
Er zijn vier bijeenkomsten met de opdrachtgever gepland:
1. Bespreking opzet onderzoek (heeft plaatsgevonden op 16 mei 2011)
2. Bespreking voorlopige resultaten van het onderzoek naar de drie casus (heeft
plaatsgevonden op 30 augustus 2011)
3. Bespreking concept rapport (heeft plaatsgevonden op 3 oktober 2011)
4. Presentatie eindrapport (op 15 november 2011)
De drie casus zijn geselecteerd in overleg met de opdrachtgever. Bij de
voorbespreking zijn de volgende mogelijke casus aan de orde gekomen:
1. Onderwijs
a. Elo (Progress, Nestor);
b. Kopieerapparatuur.
2. Zorg
Diagnostische en therapeutische apparatuur.
3. Dienstverlening (lokale) overheid
a. Huisvuilpas en afvalverwerking (keten);
b. Gas- water en elektriciteit (privaat!);
c. Sensors openbare orde en politie;
d. OV Chipkaart.
Na overleg over de opzet van het onderzoek met de opdrachtgever is begonnen met
het juridisch onderzoek en zijn de volgende drie praktijkonderzoeken opgestart:
1. Onderzoek naar embedded data in kopieer- en reproductieapparatuur bij de
RUG;
2. Onderzoek naar embedded data in diagnostische en therapeutische apparatuur
bij het UMCG;
3. Onderzoek naar embedded data bij het aanbieden van huisvuil met de
huisvuilpas in afvalcontainers bij de Gemeente Groningen.
6
Het juridisch onderzoek is op de traditionele manier uitgevoerd door
literatuuronderzoek en rechtsbronnenonderzoek (wetgeving en jurisprudentie). De
gebruikte literatuur en rechtsbronnen zijn opgenomen in een bijlage. In hoofdstuk
twee worden de uitkomsten van dit onderzoek gepresenteerd.
Het praktijkonderzoek naar de drie casus is uitgevoerd door het interviewen van een
of meer deskundigen die bij het beleid en beheer van de desbetreffende apparatuur
betrokken zijn1. Er is daarnaast ook steeds gekeken naar de apparatuur in werking, de
bijbehorende documentatie en naar de IT-contracten.
In de interviews en uit de documentatie is de volgende informatie verzameld:
1. Systeem (technische informatie over de gebruikte apparatuur en de
beveiliging);
2. Het gebruik van en de feitelijke beschikking over embedded data
(procesinformatie over het beheer en gebruik van de apparatuur m.b.t.
embedded data);
3. Oordeel over de feitelijke en gewenste transparantie en portabiliteit van de
embedded data;
4. Contractuele bepalingen over de beschikkingsrechten op de embedded data:
a. Eigendom;
b. Intellectuele eigendom;
c. Gebruiksrechten en meewerkverplichtingen;
d. Beperkingen: Bescherming persoonlijke levenssfeer en bedrijfs-
geheimen.
Een volledige beschrijving van deze informatie is opgenomen in de bijlagen.
Onderdelen van deze informatie worden in hoofdstuk drie in de juridische context van
het beschikken over embedded data geplaatst. Hierbij worden ook de verschillende
betrokken belangen besproken.
De conclusies en aanbevelingen in hoofdstuk vier zijn gebaseerd op het juridisch
onderzoek (wat is de juridische status van embedded data) en het praktijkonderzoek
(hoe wordt er feitelijk met embedded data omgegaan, welke belangen spelen er, hoe
zijn deze belangen contractueel afgedekt). De centrale vraag hierbij is of de bestaande
regelgeving en praktijk deze belangen adequaat dienen. De aanbevelingen bestaan uit
normen voor het adequaat dienen van deze belangen. Hierbij zal ook de vraag worden
beantwoord of deze normen het best via wetgeving dan wel via contracten kunnen
worden doorgevoerd.
1.5. Gehanteerde definities
Embedded data zijn gegevens die worden vastgelegd of gegenereerd bij het gebruiken
van IT systemen, maar die niet tot de reguliere uitvoer naar de gebruiker van het
systeem zelf behoren en daarom niet per definitie beschikbaar (uitleesbaar en/of
interpreteerbaar) zijn voor deze gebruiker.
1 Het praktijkonderzoek is uitgevoerd in samenwerking met drie onderzoekers: Arjan de Jong (kopieer-
en reproductieapparatuur), Alex Rothuis (diagnostische en therapeutische apparatuur) en Willem de
Haas (huisvuilpas).
7
Het kan gaan om data die noodzakelijk zijn voor het functioneren van de IT
systemen, bijvoorbeeld gegevens die de gebruiker identificeren, gegevens die de
parameters voor verdere verwerking vormen (o.a. de keuze voor bepaalde subroutines
bepalen) en om ruwe data die door de sensoren van deze systemen worden
geregistreerd of door de procedures van deze systemen worden gegenereerd en
vervolgens worden omgezet in voor de gebruiker bruikbare uitvoer, zoals de
uitgedraaide kopie bij een kopieermachine of de schermafbeelding van een medische
scan. Het kan ook gaan om gegevens die noodzakelijk zijn voor het uitvoeren van
taken buiten deze IT systemen, bijvoorbeeld de administratieve gegevens die worden
gebruikt voor centrale opslag en de verdere verwerking van gegevens bijvoorbeeld
voor back ups of voor beleids- of wetenschappelijke doeleinden. Het kan ten slotte
gaan om gegevens die niet noodzakelijk zijn voor het functioneren van de IT
systemen zelf of voor de uitvoering van taken buiten deze systemen. Als het in dit
laatste geval gaat om persoonsgegevens dan moeten deze op grond van de Wet
Bescherming Persoonsgegevens (Wbp) worden verwijderd, tenzij de betrokkene zijn
ondubbelzinnige toestemming heeft gegeven. Voor zover er toestemming is of als het
niet gaat om persoonsgegevens dan is deze categorie van niet noodzakelijke gegevens
per definitie niet relevant voor de continuïteit. Pas als deze gegevens noodzakelijk
worden voor het functioneren van de IT systemen of voor de uitvoering van andere
taken buiten deze systemen is er sprake van voor dit onderzoek relevante embedded
data.
Het is overigens van belang om een onderscheid te maken tussen normatieve
en technische noodzakelijkheid. Normatieve noodzakelijkheid betekent dat een
gegeven op grond van wetgeving of contractueel moet worden opgenomen in een IT
systeem. Technische noodzakelijkheid betekent dat het systeem zo is ontworpen dat
het niet werkt zonder deze gegevens. Het is deze laatste technische noodzakelijkheid
die in combinatie met gebrekkige beschikbaarheid van embedded data continuïteits-
problemen oplevert bij overgang naar andere systemen, omdat een niet technisch
noodzakelijk gegeven de continuïteit niet bedreigt. Het is overigens denkbaar dat het
gebruiken van deze embedded data in strijd met de wet of een contract plaatsvindt.
Het functioneren van een huisvuilregistratiesysteem kan bijvoorbeeld heel goed
afhankelijk zijn van gegevens die in strijd met het privacyrecht worden verzameld,
bijvoorbeeld omdat ze niet proportioneel zijn in de zin van art. 11 lid 1 van de Wbp.
Ook in dat geval is het kunnen beschikken over deze gegevens essentieel voor de
continuïteit. De vraag of het systeem normconform moet worden ingericht valt in dit
geval grotendeels samen met de vraag welke beperkingen het privacyrecht oplegt aan
de continuïteitsbehoefte.
Transparantie van embedded data betreft de vraag of deze gegevens voor de afnemer
van een IT-systeem en andere belanghebbenden uitleesbaar en interpreteerbaar zijn;
Portabiliteit van embedded data betreft de vraag of de gegevens door de afnemer van
een IT-systeem overdraagbaar zijn naar andere aanvullende of vervangende IT-
systemen. Portabiliteit omvat Interoperabiliteit, d.w.z. het toepasbaar zijn van de
functies van deze aanvullende of vervangende IT-systemen op de overdraagbare
embedded data.
De bescherming van persoonsgegevens speelt hierbij een rol omdat embedded
data vaak persoonsgegevens zijn en deze juist redenen kunnen geven om de
transparantie en portabiliteit te beperken.
8
Continuïteit: Transparantie en Portabiliteit van embedded data zijn noodzakelijke
voorwaarden voor de continuïteit van de processen die door de IT-systemen waarin zij
zijn opgenomen worden ondersteund. In geval van overgang naar een nieuw IT-
systeem, langdurige technische storingen of afbreuk aan de kant van de leverancier
(bijv. door overmacht, wanprestatie, surseance of faillissement) zijn deze garanties
voor continuïteit vereist. Continuïteit spreekt niet vanzelf. De wet schrijft deze niet
voor. Alleen specifieke contractuele clausules kunnen daarom in de huidige praktijk
de continuïteit garanderen.
Standaard: Een standaard is een gedragsnorm, die een bepaald (beweerdelijk) doel
dient en die een technische implementatie kan (maar niet behoeft) te hebben. In het
laatste geval is er sprake van een “technische” standaard. De betrouwbaarheid van
standaarden is onder meer sterk afhankelijk van hun bron. Veel standaarden worden
vastgesteld in een politiek proces (o.a. al onze wetgeving) of via private
overeenkomsten (bijv. bij de toepassing van ISO standaarden). De betrouwbaarheid
van standaarden neemt toe als ze gebaseerd zijn op wetenschappelijk onderzoek.
Continuïteit is vaak een verwaarloosd aspect in IT contracten. Het is daarom van
belang om over standaarden te beschikken die voorschrijven welke bepalingen in IT
contracten moeten worden opgenomen om de transparantie en portabiliteit van
embedded data te waarborgen.
9
2. Welke partijen hebben welke beschikkingsrechten op embedded data
Voor dit onderzoek relevante embedded data zijn in IT systemen aanwezige gegevens
die noodzakelijk zijn voor het functioneren van deze IT systemen zelf of voor
uitvoering van andere taken, maar die niet tot de reguliere uitvoer naar de gebruiker
van het IT systeem zelf behoren en daarom niet per definitie beschikbaar zijn voor
deze gebruiker2. Het gaat veelal om gegevens die de gebruiker identificeren en zijn
gebruik registreren en ruwe gegevens die worden gebruikt om uitvoer te genereren. In
het geval van printers zijn dit bijvoorbeeld de digitale gegevens die gebruikt worden
om de gebruiker te identificeren (bijv. i.v.m. autorisatie), om zijn gebruik te
registreren (bijv. i.v.m. beheer, onderhoud en doorberekening) en om de gewenste
afdrukken te maken. In het geval van medische systemen zijn het de patiënt- en
meetgegevens die worden gebruikt om gegevens van patiënten op een bepaalde
manier op het scherm te brengen en in het dossier op te slaan. In het geval van de
huisvuilpas zijn het de gegevens van de aanbieder en gegevens over de tijdtippen,
plaatsen en frequentie van het aanbod.
Zolang embedded data vluchtig zijn, d.w.z. alleen verzameld en gebruikt
worden voor het actuele proces en dan weer worden gewist, is er niets aan de hand.
Zodra deze gegevens worden bewaard ofwel om toekomstige functionaliteit te
ondersteunen (bijvoorbeeld om opnieuw dezelfde of gecombineerde uitvoer te
genereren) ofwel om administratieve redenen, rijst de vraag wie de
beschikkingrechten over deze gegevens hebben. Het belang van een antwoord op deze
vraag is gelegen in het voorkomen van afbreukrisico’s (overmacht, wanprestatie,
surseance, faillissement van de leverancier etc.) en in het bevorderen van de
continuïteit door transparantie en portabiliteit (het kunnen uitlezen van deze gegevens
voor toekomstig gebruik in dezelfde of andere IT systemen). Zoals gezegd speelt de
privacybescherming hierbij een rol omdat deze juist prohibitief kan zijn voor
transparantie en portabiliteit.
De beschikkingsrechten ten aanzien van embedded data kunnen zijn gebaseerd op3:
1. Eigendom van de gegevens en gegevensdragers
2. Intellectuele eigendom van de gegevens
3. Gebruiksrechten ten aanzien van de gegevens
4. Bescherming van de persoonlijke levenssfeer en bedrijfsgeheimen
De eerste drie rechten van eigendom, intellectuele eigendom en gebruik geven de
bevoegdheid tot het verwerken van embedded data en tot het beperken van het
verwerken van embedded data door anderen. De laatste twee rechten van bescherming
van de persoonlijke levenssfeer en bedrijfsgeheimen geven alleen de bevoegdheid om
het verwerken van embedded data door anderen te beperken.
2 Er is gekozen voor deze beperking omdat gegevens die niet noodzakelijk zijn voor het functioneren
van IT systemen, niet tot problemen in de sfeer van de continuïteit leiden. 3 De wettelijke beschikkingsrechten van overheden in het kader van politie- en justitietaken, fiscaliteit
etc. blijven hier buiten beschouwing.
10
In het onderstaande worden in de eerste plaats de beschikkingsrechten op embedded
data behandeld. Deze moeten worden onderscheiden van de beschikkingsrechten op
de kennis, de software en de hardware die onderdeel uitmaken van een IT-systeem.
Deze laatste rechten zijn niet van belang voor de beschikkingsrechten op embedded
data, maar wel voor het feitelijk beschikken over embedded data, omdat ze vaak nodig
zijn voor hun ontsluiting.
2.1. Eigendom van embedded data
In deze paragraaf wordt de vraag beantwoord of embedded data het voorwerp van
eigendom kunnen zijn, wat de omvang van het hieruit voortvloeiende
beschikkingsrecht is en welke juridische voorzorgsmaatregelen er vereist zijn voor het
dienen van de betrokken belangen.
Gegevens zijn fysieke kenmerken van fysieke objecten waaraan een
waarnemer betekenis kan toekennen. Informatie is de betekenis die een waarnemer
aan een gegeven toekent. Gegevens zijn daarom in tegenstelling tot informatie
onderdeel van fysieke objecten. Fysieke objecten kunnen voorwerp zijn van
eigendom. Gegevens zijn daarom eigendom van de eigenaar van hun drager (het
fysieke object waarvan zij kenmerken zijn). Als gegevens (c.q. hun drager) rechtmatig
worden overgedragen dan is de nieuwe eigenaar van hun drager tevens eigenaar van
de gegevens. Als gegevens worden gedeeld (de drager wordt gekopieerd en
overgedragen) dan verkrijgt de eigenaar van de ontvangende drager de eigendom van
de kopie van de gegevens. De intellectuele eigendomsrechten van de maker van de
oorspronkelijke gegevens kunnen de nieuwe eigenaar van het origineel of van een
kopie wel enigszins beperken in de uitoefening zijn eigendomsrecht. Als de gegevens
door de nieuwe eigenaar onrechtmatig worden openbaargemaakt of verveelvoudigd
kan er sprake zijn van inbreuk op het auteursrecht van de maker. Dit zal echter niet
snel het geval zijn (zie 2.2. en 2.3. hier onder).
Het voorgaande brengt met zich mee dat niet gedeelde gegevens feitelijk
exclusief eigendom zijn van de eigenaar van hun drager c.q. het systeem waarin ze
zijn opgeslagen. Dit betekent dat bij overdracht van de eigendom van een IT-systeem
in beginsel ook de eigendom van de met behulp van dat systeem door of vanwege de
eigenaar van het IT-systeem gegenereerde gegevens bij deze eigenaar, i.c. de afnemer,
komt te liggen. In het geval van embedded data betekent dit dat, als de eigendom van
een IT-systeem wordt overgedragen aan de afnemer en voor zover deze gegevens niet
worden meegeleverd met het IT-systeem, maar worden gegenereerd bij het gebruik,
zij eigendom zijn van de afnemer. Praktisch gezien betekent dit dat de eigenaar van de
kopieermachine, de eigenaar van het medische apparaat, resp. de eigenaar van het
vuilophaalsysteem tevens eigenaar zijn van de daarin gegenereerde embedded data.
De beschikkingsrechten die samenhangen met de eigendom van embedded
data die voortvloeit uit de eigendom van hun drager kunnen wel worden beperkt door
wettelijke of contractuele beschikkingrechten van anderen. Het gaat hierbij
bijvoorbeeld om de intellectuele eigendomsrechten van de maker van het format van
de data (niet de data zelf!), om rechten op bescherming van de persoonlijke
levenssfeer van de personen waarop de gegevens betrekking hebben en de gebruiks-
en beperkingsrechten die de eigenaar contractueel aan de leverancier heeft gelaten
(bijvoorbeeld ten behoeve van het beheer of onderhoud en ten behoeve van de
bescherming van bedrijfsgeheimen) of aan derden heeft gegund, bijvoorbeeld door de
IT-systemen te verhuren of op een andere wijze in gebruik te geven aan derden. Het is
van belang dat in IT contracten expliciet wordt aangegeven dat alle beschikkings-
11
rechten met de eigendom van het IT-systeem worden overgedragen of heel exact
wordt beschreven welke beschikkingsrechten door de leverancier worden
voorbehouden. In gevallen waarin niet de volledige beschikkingsrechten worden
overgedragen, bijvoorbeeld bepaalde intellectuele eigendomsrechten op kennis,
software of hardware worden voorbehouden of bepaalde gebruiksrechten worden
voorbehouden (bijv. t.b.v. het beheer of onderhoud) moet de scheidslijn tussen de
beschikkingsrechten t.a.v. de embedded data en de voorbehouden beschikkingsrechten
heel expliciet worden omschreven.
Zodra gegevens rechtmatig gedeeld worden of door derden worden ingevoerd
(bijvoorbeeld door de gebruiker van het systeem) is geen sprake meer van exclusieve
eigendom en moeten de beschikkingsrechten over de embedded data worden
beschouwd vanuit een ander perspectief nl. dat van de intellectuele eigendomrechten
(paragraaf 2.2.) of de gebruiksrechten (paragraag 2.3.).
2.2. Intellectuele eigendomsrechten op embedded data
In deze paragraaf wordt de vraag beantwoord of embedded data het voorwerp van
intellectuele eigendom kunnen zijn, wat de omvang van het hieruit voortvloeiende
beschikkingsrecht is en welke juridische voorzorgsmaatregelen er vereist zijn voor het
dienen van de betrokken belangen.
Zodra gegevens eenmaal gedeeld of zelfs openbaar zijn geworden, wordt ten
behoeve van de producent van de gegevens slechts de verzameling en zijn structuur
als geheel (databankenrecht) en/of de vormgeving (auteursrecht) beschermd. Het
gebruiken van gegevens die in IT-systemen worden gegenereerd kan slechts beperkt
worden door intellectuele eigendomsrechten als de beweerde rechthebbende de
databank of het werk waarin de gegevens zijn vervat zelf heeft gemaakt of daartoe
expliciet opdracht heeft gegeven. Het moet dan in het geval van het databankenrecht
bovendien gaan om het opvragen of hergebruiken van een substantieel deel van de in
de databank opgeslagen gegevens dan wel om het herhaald en systematisch opvragen
of hergebruiken van een deel van de databank in strijd met de normale exploitatie
ervan. In het geval van het auteursrecht moet het bovendien gaan om openbaarmaking
of verveelvoudiging en om een werk. Een verzameling gegevens voldoet niet aan de
werkeis als deze geen eigen oorspronkelijk karakter heeft.
In het geval van embedded data is aan deze vereisten niet voldaan. De
gegevens worden niet door de leverancier gegenereerd, maar onder de
verantwoordelijkheid van (door) de afnemer. Voor zover er sprake is van een
databank liggen de rechten daarom volledig bij de afnemer. Wat betreft het
auteursrecht op de vorm (het format) van de gegevens geldt dat bij hergebruik van
embedded data door de afnemer van het IT systeem geen sprake is van
openbaarmaking. Er is bovendien slechts sprake van onrechtmatige openbaarmaking
of verveelvoudiging als er geen wettelijk of contractueel gebruiksrecht is dat dit
toestaat (en dat is er in veel gevallen wel zie 2.3. hieronder) en de gegevens bovendien
met behulp van een werk (software) waarop de leverancier auteursrecht heeft
verveelvoudigd worden of met behulp van andere middelen in dezelfde vorm worden
verveelvoudigd als waarin ze in het IT systeem zijn opgeslagen.
Intellectuele eigendomsrechten van de leverancier op de kennis, software en
hardware kunnen daarom slechts indirecte problemen opleveren als daar inbreuk op
moet worden gemaakt om de transparantie en portabiliteit van de embedded data te
bevorderen. Er moet daarom, in gevallen waarin de intellectuele eigendom door de
12
leverancier wordt voorbehouden, in het IT-contract een expliciete sublicentie worden
opgenomen die gebruik van die kennis, software en/of hardware toestaat voor het
transparant en portabel maken van de embedded data4. Daarnaast moet voor het geval
van afbreuk van de leverancier (wanprestatie, surseance, faillissement etc.) ook een
broncodedepot ten behoeve van de leverancier worden gedaan. In veel gevallen is dat
nog niet voldoende omdat de embedded data niet met behulp van de geleverde
configuratie transparant en portabel kunnen worden gemaakt. Het zelf achterhalen van
het format door reverse engineering is in strijd met de auteurswet (art. 45m
Auteurswet). Als de gegevens niet uitleesbaar zijn dan moet daarom bedongen
worden dat de leverancier deze mogelijkheid toevoegt. Als de gegevens wel
uitleesbaar, maar niet interpreteerbaar zijn moet de leverancier het format van de
gegevens meeleveren.
2.3. Gebruiksrechten op embedded data en meewerk-verplichting
In deze paragraaf wordt de vraag beantwoord of embedded data het voorwerp van
gebruiksrechten kunnen zijn, wat de omvang van het hieruit voortvloeiende
beschikkingsrecht is en welke juridische voorzorgsmaatregelen er vereist zijn voor het
dienen van de betrokken belangen.
In de gevallen waarin niet de eigendom of intellectuele eigendom van het
volledige IT-systeem door de leverancier wordt overgedragen aan de afnemer, maar
bijvoorbeeld sprake is van huur of lease en/of een gebruikslicentie rijst de vraag of er
een al dan niet exclusief gebruiksrecht op de embedded data bestaat. Op intellectuele
eigendomsrechten gebaseerde gebruiksrechten, maar ook zelfstandige gebruiksrechten
ten behoeve van de afnemer of andere belanghebbenden kunnen niet alleen bij wet,
maar ook bij overeenkomst worden gecreëerd. Als dit niet tot de mogelijkheden
behoort is het contractueel bedingen van een verplichting van de leverancier om mee
te werken aan het transparant en portabel maken van embedded data een goed
alternatief.
Het intellectuele eigendomsrecht kent een aantal wettelijke gebruiksrechten op
gegevens (bijvoorbeeld de verveelvoudiging van een gegevensverzameling door de
rechtmatige gebruiker die noodzakelijk is om toegang te verkrijgen tot en normaal
gebruik te maken van de verzameling, art. 24a Aw) die voor de probleemstelling van
dit onderzoek minder relevant zijn omdat zij de continuïteit niet beïnvloeden (voor
transparantie en portabiliteit is niet verveelvoudiging, maar toegankelijkheid
essentieel). In het geval van het databankenrecht en auteursrecht kunnen ook
contractuele gebruiksrechten worden gevestigd (een zgn. gebruikslicentie op grond
van een gebruiksrechtovereenkomst). Hierboven is al duidelijk geworden dat het
intellectuele eigendomsrecht in het geval van embedded data geen toepassing vindt op
de data zelf. Hieruit volgt dat er in dat geval ook geen op het intellectuele
eigendomsrecht gebaseerde gebruiksrechten op embedded data kunnen bestaan. Er
hoeft zoals hierboven is aangegeven slechts op te worden gelet dat er een (sub)licentie
wordt bedongen voor het gebruik van de beschermde onderdelen van het IT systeem
voor het transparant en portabel maken van de embedded data.
4 Hierbij geldt dat het gebruiken van deze kennis, software en/of hardware om de embedded gegevens
uit te lezen auteursrecht vereist, het verder gebruiken van de embedded data echter niet!
13
Zelfstandige (niet op intellectuele eigendomsrechten gebaseerde) gebruiks-
rechten op embedded data kunnen wel bestaan. Deze gebruiksrechten kunnen
wettelijk zijn of bij overeenkomst worden gecreëerd.
Wettelijke zelfstandige gebruiksrechten betreffen o.a. de rechten van de
overheid tot inzage in gegevens (o.a. strafrecht, belastingrecht) en de rechten van
natuurlijke personen op grond van de Wbp (zie hieronder). De wettelijke
gebruiksrechten van de overheid zijn in het geval van embedded data niet per se
prohibitief voor de continuïteit van hun gebruik en daarom voor dit onderzoek van
minder belang.
Contractuele zelfstandige gebruiksrechten kunnen bijvoorbeeld onderdeel
uitmaken van een lease- of huurovereenkomst of een andere overeenkomst waarbij
niet de (intellectuele) eigendom van het IT-systeem wordt overgedragen. Het is
ongebruikelijk dat de leverancier van een IT systeem dergelijke gebruiksrechten
voorbehoudt5 (dit is overigens anders in het geval van de kennis en de software die
onderdeel uitmaken van het IT-systeem, zie onder intellectuele eigendom hierboven).
De afnemer dient zich er echter wel van te vergewissen dat een dergelijk
gebruiksrecht niet door de leverancier is voorbehouden, al dan niet onder het
gelijktijdig afstaan van een beperkt gebruiksrecht (vgl. een sublicentie) aan de
afnemer.
Het is wel gebruikelijk dat de afnemer van IT-systemen zelf weer
gebruiksrechten aan derden afgeeft, bijvoorbeeld aan derden die gebruik maken van
die IT-systemen (gebruik o.g.v. huur, lease, als onderdeel van een
dienstverleningsovereenkomst of dienstbetrekking of anderszins), aan dienstverleners
(beheers- en onderhoudsorganisaties etc.), aan overheden en instellingen om
administratieve redenen (bijv. voor statistische doeleinden of aan verzekeraars) en aan
de subjecten van deze systemen (de personen waarvan de gegevens worden
verzameld), bijvoorbeeld het recht op inzage van de eigen gegevens. In een enkel
geval is de leverancier zelf een dergelijke ontvanger van een gebruiksrecht (bijv. als
de leverancier een onderhoudsovereenkomst met de afnemer sluit). Ook in deze
gevallen moet de afnemer opletten dat er geen exclusieve gebruiksrechten worden
gevestigd.
Als er geen gebruiksrechten kunnen worden bedongen of deze gebruiksrechten
onvoldoende garantie voor continuïteit bieden, bijvoorbeeld omdat het transparant
en/of portabel maken van embedded data ingewikkeld of zelfs onmogelijk is, dan is
het contractueel vastleggen van een meewerkverplichting van de leverancier een goed
alternatief.
2.4. Bescherming van de persoonlijke levenssfeer en van bedrijfsgeheimen
In deze paragraaf worden twee veelvoorkomende beperkingen op de in de vorige
paragrafen behandelde beschikkingsrechten op embedded data besproken. De
wettelijke beperking van bescherming van de persoonlijke levenssfeer en de
contractuele beperking van bedrijfsgeheimen. Ook hier wordt de vraag beantwoord
welke juridische voorzorgsmaatregelen er vereist zijn voor het dienen van de
betrokken belangen.
5 Zie echter de casus betreffende reproductieapparatuur, waarin beheersrechten ten aanzien van alle
gegevens bij de leverancier blijven!
14
Als embedded data een geïdentificeerde of identificeerbare natuurlijke persoon
betreffen dan is er sprake van persoonsgegevens in de zin van de Wbp (art. 1.a.). De
definitie van embedded data als gegevens die noodzakelijk zijn voor het functioneren
van IT systemen brengt met zich mee dat er bovendien altijd sprake zal zijn van
verwerking van persoonsgegevens in de zin van de Wbp (art. 1.b.). Hier worden
slechts de bepalingen uit de Wbp behandeld die mogelijk de continuïteit in de zin van
transparantie en portabiliteit van de embedded data beïnvloeden.
Het gebruiken van persoonsgegevens voor een ander doel dan waarvoor zij
oorspronkelijk vastgelegd zijn is niet toegestaan (artt. 7 en 9 leden 1 en 2 Wbp). Als
de embedded persoonsgegevens verzameld zijn in overeenstemming met de Wbp dan
is er in beginsel geen juridisch obstakel voor het porteren van deze gegevens naar een
ander IT-systeem in dezelfde context en met dezelfde functionaliteit omdat het doel
dan hetzelfde blijft. Voor het gebruiken van de embedded data in systemen met een
andere (ook uitgebreidere) functionaliteit en derhalve een ander (uitgebreider) doel
geldt dit echter niet. Dit kan een ernstig obstakel zijn voor de continuïteit omdat voor
elk doel op zichzelf een wettelijke basis moet zijn of toestemming moet worden
gevraagd. Dit volgt uit art. 6 Wbp (wetmatige, behoorlijke en zorgvuldige, d.w.z. ook
naar de betrokkene toe transparante verwerking), uit art. 8 Wbp (vereiste toestemming
betrokkene of verwerking voor gerechtvaardigde doeleinden, w.o. volgens art. 8 sub f
een doel dat proportioneel is ten opzichte van de belangen en fundamentele rechten
van de betrokkene) en uit art. 11 Wbp (de gegevens moeten gezien de doeleinden
waarvoor zij worden verzameld of verwerkt toereikend, ter zake dienend en niet
bovenmatig zijn). Bovendien hebben nieuwe (vervangende) IT systemen vrijwel nooit
exact dezelfde functionaliteit als de systemen die zij vervangen. Gaat het om
bijzondere persoonsgegevens (art. 16 Wbp, o.a. gegevens betreffende de gezondheid)
dan gelden nog sterkere beperkingen. In het geval van gegevens betreffende de
gezondheid bijvoorbeeld dat de verwerking voor een goede behandeling of verzorging
van betrokkenen noodzakelijk is. In het geval van het porteren van embedded data
naar een nieuw IT-systeem geldt bovendien dat de verantwoordelijke verplicht is dit
aan de betrokkene te melden (informatieplicht artt. 33 en 34 Wbp). De betrokkene
heeft vervolgens weer het recht om zich te verzetten tegen verdere verwerking (art.
40-41 Wbp). Het recht op bescherming van de persoonlijke levenssfeer is daarmee
niet alleen een beperking op de in de voorgaande paragrafen behandelde
beschikkingsrechten, maar ook een beschikkingsrecht op zichzelf, dat de betrokkene
kan inroepen tegen de afnemer van het IT systeem.
Een zelfstandig probleem is dat de verantwoordelijke (c.q. de afnemer van het
IT-systeem) de vertrouwelijkheid en de geheimhouding van de embedded
persoonsgegevens moet garanderen (o.a. art 12 Wbp). De eisen van transparantie en
portabiliteit kunnen strijden met deze eis.
Een andere situatie waarin de afnemer de geheimhouding van de embedded
data moet garanderen is als hij zich contractueel verbonden heeft om de
bedrijfsgeheimen van de leverancier te bewaren. De embedded data zelf zijn
overigens nooit bedrijfsgeheim. Hun structuur of format kan dit echter wel zijn. De
verplichting van het bewaren van een bedrijfsgeheim kan onder omstandigheden ook
impliciet voortvloeien uit het contract (o.g.v. de Haviltex norm, zie 3.2.4. hieronder).
Deze verplichting kan overigens nooit in de weg staan aan de transparantie en
portabiliteit van de embedded data, omdat deze in beginsel geen schending van het
bedrijfsgeheim met zich meebrengen.
15
In de voorgaande paragrafen is al geconcludeerd dat de wettelijke regeling van
(intellectuele) eigendomsrechten en gebruiksrechten op embedded data op zichzelf
onvoldoende is om de continuïteit te garanderen. In deze paragraaf blijkt bovendien
dat volledige uitoefening van het recht op bescherming van de persoonlijke
levenssfeer wel een behoorlijk obstakel voor de continuïteit kan opleveren. Er is
daarom een onbalans tussen enerzijds de beschikkingrechten die de continuïteit
dienen en anderzijds de beperkingen daarvan m.n. door het privacyrecht. Deze
onbalans kan niet worden opgeheven door wetgeving omdat de wetgever6 en de
rechter7 er van uitgaan dat het recht op privacy prevaleert boven het recht op
(intellectuele) eigendom.
6 Zie hierover onder andere art. 8f van de Wet Bescherming Persoonsgegevens, art. 7f van de Europese
Privacyrichtlijn (95/46/EG) en de Resolutie van het Europees Parlement van 10 maart 2010 over
transparantie en de stand van zaken bij de ACTA-onderhandelingen, overweging H 7 Zie hierover onder andere het HvJ EG in de zaak Promusicae/Telefonica ( HvJ EG 29/01/2008,
zaaknr. C-275/06)
16
3. Casus
3.1. Kopieer- en reproductieapparatuur
In dit deelonderzoek is onderzocht hoe de kopieer- en reproductieapparatuur bij de
RUG feitelijk functioneert en in het bijzonder welke embedded data hierbij worden
gebruikt en hoe de transparantie, de portabiliteit en de beschikkingsrechten
contractueel zijn geregeld. De resultaten van dit deelonderzoek zijn neergelegd in een
afzonderlijke rapportage (zie bijlage 1). Hier worden alleen de belangrijkste
bevindingen geciteerd.
3.1.1. Bronnen:
1. Interview met Peter van Laarhoven, Projectleider Printbeleid (CIT), RUG
2. Interview met Ronald Jongstra, Beheerder Managed Print Services, Ricoh
3. Raamovereenkomst Ricoh en RUG
4. Algemene Inkoopvoorwaarden RUG
3.1.2. Het systeem en de verwerking van embedded data De kopieer- en reproductieapparatuur bij de RUG ontvangt op twee wijzen embedded
data:
1. Handmatig: bij het aanbieden van reproductiejobs moet een code worden
ingevoerd, die wordt gekoppeld aan de locatie en het te reproduceren object.
Dit leidt tot identificatie (als de code t.b.v. doorberekening wordt gekoppeld
aan de gegevens van een individuele medewerker) of identificeerbaarheid als
de code aan een object wordt gekoppeld dat persoonsgegevens bevat (dit geldt
per definitie voor alle documenten waar persoonsgegevens in voorkomen zoals
brieven, rapporten etc.);
2. Digitaal: de reproductiejobs worden aangeboden via het netwerk. Dit leidt per
definitie tot identificatie, nl. door koppeling van het ip-nummer van de
aanbieder met de job.
Er is sprake van embedded data omdat ze worden bewaard en hergebruikt:
1. De gegevens worden gebruikt voor andere administratieve processen;
2. De gegevens blijven voor de gebruiker toegankelijk in het geheugen van de
reproductieapparatuur tot ze worden gebruikt voor reproductie;
3. De gegevens blijven niet langer voor de gebruiker toegankelijk in het
geheugen van de reproductieapparatuur achter totdat ze worden gewist door de
beheerder of worden overschreven.
3.1.3. Belanghebbenden Belanghebbenden zijn in dit geval de afnemer van de apparatuur in verband met de
gewenste continuïteit en de gebruikers van de apparatuur in verband met hun recht op
privacy (registratie van gebruik en gereproduceerde gegevens). De
auteursrechthebbenden op het gereproduceerde materiaal zijn geen directe
belanghebbenden. Hun belangen worden afgehandeld via de Stichting reprorecht.
17
3.1.4. Transparantie en Portabiliteit De gegevens zijn na reproductie slechts deels door de oorspronkelijke gebruiker
uitleesbaar (alleen jobs waarvoor de objecten door de gebruiker expliciet in het
geheugen worden geplaatst). Alle gegevens (dus ook de persoonsgegevens) zijn
uitleesbaar door de beheerder, die in dit geval tevens de leverancier is. De afnemer (de
RUG) heeft, afgezien van gegevens die t.b.v. administratieve doeleinden aan
gekoppelde IT-systemen worden afgestaan, geen directe toegang tot de embedded
data. De embedded data worden opgeslagen in het eigen formaat van RICOH. De
afnemer is voor het uitlezen en interpreteren ervan afhankelijk van RICOH.
De gegevens zijn deels voor de gebruiker uitleesbaar (een mail aan de
gebruiker) en deels voor vooraf gekoppelde administratieve systemen van de afnemer.
Ze zijn echter niet portabel naar andere systemen. In het contract is wel een bepaling
opgenomen dat de leverancier aan de overgang naar systemen van nieuwe
leveranciers medewerking moet verlenen. Dit biedt echter onvoldoende garantie voor
continuïteit in geval van een groot aantal afbreukrisico’s zoals wanprestatie,
overmacht, surseance en faillissement.
3.1.5. Beschikkingsrechten
Het grootste deel van de kopieer- en reproductieapparatuur wordt gehuurd van
Ricoh. De RUG is daarom geen eigenaar van de apparatuur en evenmin van de
embedded data. Het intellectueel eigendomsrecht ten aanzien van het format van de
embedded data en de uitleesconfiguratie blijft bij Ricoh. Er is geen broncodedepot
gevestigd voor deze configuratie. Er is een contractueel gebruiksrecht gevestigd voor
het gebruik van de embedded data door de RUG. Ricoh heeft een meewerkverplich-
ting in geval van beëindiging van de overeenkomst. Voor het geval dat Ricoh niet
meer in staat is om mee te werken is echter niets geregeld. Een depot van de voor de
continuïteit vereiste beheerskennis (toegangscodes, protocollen) en een (beperkt) recht
op voortgezet gebruik van de apparatuur zou in dit geval een oplossing bieden.
De privacy van deze systemen is onvoldoende geregeld. Er is geen technische
beveiliging tegen het uitlezen van persoonsgegevens door de beheerder (een derde
partij!). Er is wel voldoende bescherming tegen het uitlezen van persoonsgegevens
door andere gebruikers en derden. Het contract bevat geen nadere bepalingen over dit
onderwerp.
18
3.2. Diagnostische en therapeutische apparatuur
Het praktijkonderzoek op het gebied van diagnostische en therapeutische apparatuur
heeft plaatsgevonden bij het UMCG. Aangezien er op bestuurlijk en ondersteunend
niveau geen problemen rond de toegankelijkheid bekend waren en er wel signalen
waren dat er bij het wetenschappelijk gebruik van ruwe medische data obstakels
werden ervaren, is er ook gesproken met een medisch onderzoeker. De resultaten van
dit deelonderzoek zijn neergelegd in een afzonderlijke rapportage (zie bijlage 2). Hier
worden alleen de belangrijkste bevindingen geciteerd.
3.2.1. Bronnen
1. Interview met Ron van den Bosch, hoofd ICT-beleid, UMCG;
2. Interview met heer R. M. Löhr, afdeling Medische techniek, UMCG;
3. Interview met André Linnenbank, medisch onderzoeker, AMC.
4. Standaard Serviceovereenkomst UMCG
5. Gedragscode Internet en E-mailgebruik UMCG
6. Schema’s UMCG infrastructuur
3.2.2. Het systeem en de verwerking van embedded data
Er is geen technisch onderzoek gedaan naar een specifiek IT-systeem omdat
embedded data in vrijwel alle diagnostische en therapeutische apparatuur van het
UMCG voorkomen. De apparatuur waarin embedded data voorkomen is grotendeels
gekoppeld aan het centrale informatiesysteem van het UMCG. De embedded data
betreffen in deze casus altijd persoonsgegevens (gegevens patiënt, behandelaar,
behandeling, meetgegevens van de patiënt). De meetgegevens worden deels lokaal
(ruwe gegevens in de apparatuur) en deels centraal (bewerkte uitvoergegevens in het
centrale informatiesysteem) opgeslagen.
3.2.3. Belanghebbenden
De kring van potentieel belanghebbenden bij embedded data is in het geval van
medische apparatuur groot. Wij hebben ons in de interviews geconcentreerd op de
afnemers van de apparatuur, de behandelaars, de patiënten en de onderzoekers, omdat
andere partijen zoals de overheid (beleid) en de verzekeraars geen direct belang
hebben bij de toegankelijkheid van embedded data. De afnemers hebben belang bij
continuïteit in geval van overgang naar nieuwe apparatuur als daar embedded data uit
de vervangen apparatuur voor nodig zijn. Dit belang is overigens afgeleid van de
belangen van behandelaars, patiënten en onderzoekers. De behandelaars en patiënten
hebben daarnaast belang bij embedded data als de standaard uitgevoerde gegevens
onvoldoende zijn om goede medische zorg te kunnen leveren. Dit is vooralsnog
uitzonderlijk, omdat de medische gegevens die voor goede medische zorg nodig zijn
vrijwel altijd tot de reguliere uitvoer van de apparatuur behoren en dus niet embedded
zijn. Patiënten hebben daarnaast belang bij de toegankelijkheid van embedded data als
het gebruik daarvan hun persoonlijke levenssfeer raakt. Dit is vrijwel altijd het geval,
omdat de ruwe medische gegevens in de behandelingscontext gekoppeld zijn aan
identiteitsgegevens van de patiënten. In het geval van medisch onderzoek ligt dit
19
anders omdat de gegevens dan vrijwel altijd worden geanonimiseerd of met
toestemming van de patiënten worden gebruikt. Onderzoekers hebben een zelfstandig
belang bij de toegankelijkheid van embedded data omdat de regulier uitgevoerde
gegevens vaak niet voldoende gedetailleerd dan wel onvoldoende voor
wetenschappelijke onderzoekstechnieken toegankelijk zijn. Zo worden bijvoorbeeld
ECG’s regulier grafisch uitgevoerd en slechts geïnterpreteerd voor zover dat voor de
behandeling nodig is, terwijl voor het statistisch bewerken van verzamelingen van
ECG’s ten behoeve van onderzoek de ruwe gegevens vereist zijn.
3.2.4. Transparantie en Portabiliteit
De embedded data zijn voor de beheerders van de apparatuur toegankelijk en worden
elk half jaar door het UMCG naar een externe harde schijf gekopieerd. De ruwe
gegevens zijn niet direct toegankelijk voor het personeel van het UMCG. Als er echter
medische redenen zijn om over deze gegevens te beschikken dan zijn er tot nu toe
geen gevallen bekend waarin hiervoor juridische of technische obstakels waren, dan
wel als dat wel het geval was hieraan door de leverancier geen medewerking is
verleend. Er zijn echter geen standaardclausules in de contracten opgenomen waarmee
een dergelijke medewerking kan worden afgedwongen. Het perspectief van de
medisch wetenschappelijke onderzoekers toont een ander beeld. Embedded data zijn
niet toegankelijk voor onderzoekers om juridische of technische redenen. In gevallen
waarin ze wel toegankelijk zijn ze vaak niet interpreteerbaar, omdat de dataformats
niet door de leverancier worden beschikbaar gesteld. Deze schijnbare
tegenstrijdigheid heeft de volgende verklaring. Onderzoekers zijn zelden geneigd om
direct toegang te eisen tot embedded data. Het vertrouwen dat dit lukt is klein omdat
er vaak juridische obstakels worden opgeworpen. De praktijk is dat de onderzoekers
zelf via reverse engineering het format van de gegevens reconstrueren en deze
vervolgens toch gebruiken. Dit is overigens in strijd met de auteurswet (art. 45m
Auteurswet)8. Hiervoor moet derhalve een juridische, i.c. contractuele, oplossing
worden gevonden. De leverancier dient de embedded data toegankelijk te maken via
de geleverde configuratie of het format af te geven voor gebruik door onderzoekers.
De ruwe gegevens zijn in de meeste gevallen alleen met medewerking van de
leverancier uitleesbaar. Er is wel een clausule in de contracten opgenomen op grond
waarvan de leverancier na beëindiging van het contract mee moet werken aan de
overgang naar nieuwe apparatuur. De vraag is echter hoever deze verplichting gaat.
Dit type clausules is namelijk uiteindelijk altijd toetsbaar aan de Haviltex norm, d.w.z.
hun uitleg wordt beperkt door wat partijen redelijkerwijze van elkaar mochten
verwachten (HR 13 maart 1981, NJ 1981, 635). Er moeten dus goede medische of
economische gronden zijn voor de geëiste mate van medewerking en de inspanningen
moeten voor de leverancier niet onevenredig bezwarend zijn. De enige oplossing voor
dit probleem is het vooraf volledig specificeren van de medewerking in het contract.
3.2.5. Beschikkingsrechten
Het grootste deel van de diagnostische en therapeutische apparatuur wordt in
eigendom overgedragen aan het UMCG. De UMCG is daarom eigenaar van de, in dit
8 Vgl. ook Svaz softwarové ochrany v Ministry of Culture of the Czech Republic Case C-393/09, 22
December 2010 (BSA)
20
geval binnen het UMCG gegenereerde en niet extern gedeelde embedded data. Het
intellectueel eigendomsrecht ten aanzien van het format van de embedded data en de
uitleesconfiguratie blijft bij de leveranciers. Er is wel een broncodedepot gevestigd
voor deze configuraties. Er is een contractueel gebruiksrecht gevestigd voor het
gebruik van de embedded data door het UMCG. Er is een geheimhoudingsplicht ten
aanzien van het format van de embedded data. In geval van afbreuk kunnen de
embedded data daarom verder worden gebruikt met behulp van de bestaande
configuratie of als deze bestaat met een vergelijkbare configuratie en de software uit
het broncode depot. Zijn de embedded data echter niet uitleesbaar en interpreteerbaar
onafhankelijk van deze bestaande of vergelijkbare configuraties dan brengt de
geheimhoudingsplicht met zich mee dat de continuïteit niet kan worden gegarandeerd.
Er is in dat geval nl. geen bevoegdheid om het format van de embedded gegevens zelf
te reconstrueren (reverse engineering). Er is bovendien geen standaard
meewerkverplichting voor de leveranciers in geval van beëindiging van de
overeenkomst. Voor het geval dat de leveranciers niet meer in staat zijn om mee te
werken is echter niets standaard geregeld. Een depot van de voor de continuïteit
vereiste beheerskennis (toegangscodes, protocollen) en een (beperkt) recht op
voortgezet gebruik van de apparatuur zou ook in dit geval een oplossing bieden.
Ook in deze casus zijn de embedded persoonsgegevens aan de uitvoerzijde
voldoende beschermd. Het centrale informatiesysteem kent afdoende autorisatie en
beveiliging. De interface naar lokale apparatuur kent ook voldoende autorisatie en
beveiliging, al staat veel apparatuur na de initiële autorisatie langere periodes open
(voor meerdere achtereenvolgende behandelingen). De ruwe gegevens zijn ook hier
toegankelijk voor de personen die het onderhoud uitvoeren. Aangezien het hier om
bijzondere persoonsgegevens gaat (art. 16 Wbp) zal in dit geval niet zomaar grotere
transparantie en portabiliteit kunnen worden gerealiseerd. Hiervoor is ofwel een
medische reden of expliciete toestemming van de patiënt vereist (zie boven).
21
3.3. Huisvuilpas
Het praktijkonderzoek op het gebied van de huisvuilpas heeft plaatsgevonden bij de
milieudienst van de gemeente Groningen. De resultaten van dit deelonderzoek zijn
neergelegd in een afzonderlijke rapportage (zie bijlage 3). Hier worden alleen de
belangrijkste bevindingen geciteerd.
3.3.1. Bronnen Bekijken van het gebruikte IT-systeem (CLEAR: container ledigingen en
afvalstoffenregistratie), interviews met coördinator van CLEAR en met de IT afdeling
van de Gemeente Groningen en met de leverancier van CLEAR.
3.3.2. Het systeem en de verwerking van embedded data De gemeente Groningen stelt twee typen huisvuilcontainers beschikbaar. De
ondergrondse container is toegankelijk met een huisvuilpas en bedient een vooraf
bepaalde verzameling panden. De minicontainer (kliko) is voorzien van een RFID en
bedient een individueel pand.
Het aanbieden van huisvuil bij de ondergrondse container vindt plaats met
behulp van een huisvuilpas die de eigenaar/(hoofd)bewoner van een bepaald pand
(huishouden) identificeert en alleen toegang geeft tot een aan (o.a.) dat pand
toegewezen container. De container leest de identiteitsgegevens van de huisvuilpas in
en registreert deze id-gegevens, de tijd, de datum en het aantal aanbiedingen. Deze
gegevens worden uitgelezen en via GSM verstuurd naar de server van een bedrijf
(Mic-O-Data). De server van dit bedrijf verstuurt vervolgens de gegevens naar de
server van de milieudienst van de Gemeente Groningen. De gemeente gebruikt deze
gegevens voor twee doeleinden: het bepalen van de vulgraad (t.b.v. de routering van
de ophaaldienst) en het opstellen van een blacklist (i.g.v. extreem gebruik van een pas
met een bepaald id).
Het aanbieden van huisvuil via een minicontainer (kliko) vindt plaats door het
vullen van de container en het aanbieden daarvan door het op straat plaatsen. De
minicontainer bevat een chip die de aanbieder identificeert. De chip wordt bij het
ophalen automatisch geactiveerd en uitgelezen door apparatuur in het voertuig. De
gegevens worden tijdelijk opgeslagen op een handheld medium of via GPRS
verstuurd naar de server van de milieudienst van de gemeente. De gegevens betreffen
het id-nummer van de chip in de minicontainer, de tijd, de datum, de plaats en het
aantal aanbiedingen. In andere gemeentes (o.a. Haren) wordt ook het gewicht
geregistreerd.
Alle hiervoor genoemde gegevens worden vijf jaar bewaard. De gegevens
worden uitsluitend gebruikt voor logistieke (routeplanning), controle (fraude,
blacklist) en beleidsdoeleinden.
3.3.3. Belanghebbenden De belanghebbenden zijn in deze casus de afnemer in verband met de continuïteit en
de gebruiker van de huisvuilpas in verband met het gebruik van persoonsgegevens.
3.3.4. Transparantie en Portabiliteit De verzamelde gegevens zijn niet zichtbaar voor de primaire gebruiker (de aanbieder
van het huisvuil). Zij zijn wel volledig zichtbaar voor de secundaire gebruiker (de
22
gemeente via het eigen CLEAR systeem) onder de voorwaarde dat het systeem van
Mic-O-Data functioneert. De ruwe gegevens van Mic-O-Data zijn nl. niet uitleesbaar
en hebben een eigen Mic-O-Data format. Mic-O-Data bewaart deze gegevens een
jaar. Transparantie is van groot belang omdat het niet tijdig ophalen van huisvuil tot
grote (gezondheids-, milieu- etc.) problemen kan leiden. Er zijn geen contractuele
afspraken over de transparantie gemaakt.
De gegevens uit het Mic-O-Data systeem zijn niet portabel. Dit is een acuut
probleem in geval van overgang naar een nieuw IT-systeem, langdurige technische
storingen of afbreuk aan de kant van de leverancier. Er zijn hierover geen contractuele
afspraken gemaakt. Er wordt wel overwogen om een broncodedepot te vestigen. Het
eigen database systeem (CLEAR) is wel portabel (een standaard database systeem dat
met algemeen beschikbare conversie tools kan worden overgezet). Hiervoor is
overigens ook een broncode depot gevestigd.
3.3.5. Beschikkingsrechten In deze casus worden drie verschillende systemen gebruikt (TarDif IRDC,
CLEAR en het EngelsHLC systeem, zie bijlage). Deze systemen zijn in eigendom
overgedragen aan de gemeente Groningen. De gemeente is derhalve eigenaar van de,
in dit geval binnen het de systemen gegenereerde en niet extern gedeelde embedded
data. Voorde embedded data zijn open formats en voor de communicatie open
protocollen gebruikt. Er is een broncodedepot gevestigd ten behoeve van de gemeente
Groningen voor CLEAR, maar (tot verassing van de geïnterviewde) nog niet voor
TarDif IRDC. De continuïteit lijkt hiermee redelijk gegarandeerd, m.u.v. het TarDif
IRDC totdat het broncodedepot zal zijn gevestigd.
Er worden door de gemeente persoonsgegevens verzameld zonder wettelijke
basis en zonder toestemming van de betrokkenen. De wettelijke verplichting c.q.
bevoegdheid van de gemeente strekt zich wel uit tot het afvoeren van huisvuil en
daarbij evt. bestrijden van fraude en bepalen van beleid (bijv. m.b.t. de vereiste
capaciteit), maar niet tot het registreren van gegevens met betrekking tot de identiteit
van de aanbieder in combinatie met de tijd, datum en het aantal aanbiedingen (en
zeker niet m.b.t. het aangeboden gewicht). Het verzamelen van deze gegevens is
daarom in strijd met de Wbp. De doeleinden waarvoor de gegevens worden verzameld
(tijdig afvoeren, bestrijden van fraude en bepalen van beleid) vereisen slechts
registratie van de totale hoeveelheid door geautoriseerde id-nummers aangeboden
huisvuil c.q. het aantal mini containers per id-nummer. Het belang van het correct en
consequent toepassen van de Wbp in dit geval is groot. Zie bijv. het geval waarin de
dienst SoZaWe van een gemeente vroeg om toegang tot de huisvuilgegevens. Het
CBP bepaalde in dit geval dat dit onrechtmatig is (CBP 2006). Voor de transparantie
en portabiliteit van deze embedded data betekent dit dat burgers hier voor problemen
kunnen zorgen omdat zelfs als hierover met de leveranciers van de IT-systemen
afdoende afspraken zijn gemaakt individuele burgers zich nog tegen het uitlezen en
gebruiken van deze gegevens kunnen verzetten.
Een ander probleem is dat de gebruikte RFID technologie fraude (kopiëren
van passen en chips) gemakkelijk maakt en in combinatie met GSM resp. GPRS
onveilig is. Vgl. de ervaringen met de OV Chipkaart waarin dezelfde technologie
wordt gebruikt. Fraude is vooral een economisch probleem voor de overheid, de
genoemde onveiligheid raakt daarentegen de burger in andere belangen (het afvagen
van GSM en GPRS verkeer maakt het mogelijk om bijv. vast te stellen dat een
bepaald huishouden gedurende een bepaalde tijd geen huisvuil aanbiedt).
23
4. Conclusies en aanbevelingen: Juridische standaar-den voor het bevorderen van de transparantie en portabiliteit
De probleemstelling van dit onderzoek is dat het vaak voorkomt dat de afnemer van
IT systemen en diverse andere belanghebbenden niet de volledige beschikking hebben
over de in deze systemen verwerkte gegevens, terwijl dit wel in hun belang zou zijn.
Het gaat hierbij in het bijzonder om de continuïteit van de processen die door de IT-
systemen waarin deze embedded data zijn opgenomen worden ondersteund, maar ook
voor de gebruikers van deze systemen (bijv. hun medische behandeling, hun recht op
privacy) en voor andere partijen (beleidsmakers, behandelaars, wetenschappers).
Uit deze probleemstelling vloeide de volgende vraagstelling voort:
1. Welke partijen hebben welke beschikkingsrechten op embedded data in IT-
systemen en
2. Hoe kunnen de belanghebbenden bij deze embedded data optimaal gebruik
maken van deze rechten dan wel deze rechten via de leverings- en
dienstverleningscontracten van de IT-systemen maximaliseren;
Om deze vragen te beantwoorden is onderzoek gedaan naar de beschikkingsrechten
op embedded data in de rechtsbronnen, de literatuur en de praktijk.
Conclusies juridisch onderzoek
Het juridisch onderzoek leidt tot de volgende specifieke conclusies:
1. De bestaande wetgeving op het gebied van eigendom, intellectuele eigendom
en bescherming van de persoonlijke levenssfeer levert geen op maat gesneden
oplossing voor het probleem van transparantie en portabiliteit van embedded
data;
2. De bestaande wetgeving op het gebied van de bescherming van de
persoonlijke levenssfeer biedt wel een (theoretische) oplossing voor het
probleem van de bescherming van embedded persoonsgegevens;
3. Als de rechthebbenden maximaal gebruik zouden maken van hun recht op
bescherming van embedded persoonsgegevens zou overigens blijken dat er
een onbalans bestaat tussen de beschikkingsrechten gebaseerd op
(intellectuele) eigendom en die gebaseerd op bescherming van de persoonlijke
levenssfeer. In dat geval komen de transparantie en portabiliteit in gevaar door
het maximaal gebruik van het recht op privacy;
4. De bij transparantie en portabiliteit betrokken belangen zijn divers en vaak
strijdig. Fine tuning door middel van contractuele bepalingen is daarom
vereist. Nieuwe wetgeving is geen oplossing;
5. De overheid kan bij het oplossen van dit probleem een rol spelen door het
(laten) ontwikkelen en beschikbaar stellen van standaarden voor IT contracten
en het bevorderen van kennis hierover bij de afnemers van IT systemen en bij
andere belanghebbenden en in het bijzonder van kennis bij burgers met
betrekking tot de toepassing van het privacyrecht.
24
Conclusies praktijkonderzoek
Uit het praktijkonderzoek blijkt dat het in hoofdstuk 1 gesignaleerde probleem reëel
is. Embedded data zijn onvoldoende toegankelijk voor de afnemers van IT systemen
en andere belanghebbenden. De beschikkingsrechten op deze data zijn over het
algemeen onvoldoende (contractueel) geregeld. De wetgeving op het gebied van deze
beschikkingrechten (eigendom, intellectuele eigendom en gebruiksrechten) is
generiek, d.w.z. is niet toegespitst op de beschikking over embedded data. Aanpassing
van deze wetgeving is geen oplossing voor het probleem, omdat de (verhoudingen
tussen de) belangen in de verschillende gevallen hiervoor te divers zijn. Voor de
beperkingen op deze beschikkingsrechten, in het bijzonder de bescherming van
persoonsgegevens, is te weinig aandacht, hoewel de wettelijke regeling hiervan (meer
dan) voldoende waarborgen biedt. Als de huidige wettelijke regelingen van enerzijds
beschikkingsrechten en anderzijds beperkingen (i.h.b. het privacyrecht) onverkort
zouden worden toegepast dan zou er sprake zijn van een onbalans in het voordeel van
de privacy. Uit de onderzochte casus komt naar voren dat de belangrijkste oorzaak
van het onvoldoende regelen van de beschikkingsrechten en beperkingen hiervan niet
is gelegen in een gebrek aan juridische instrumenten (wettelijk of contractueel) of
onverschilligheid ten aanzien van de betrokken belangen9, maar in ignorantie. Het
bewustzijn van de problematiek en de kennis om deze op te lossen ontbreken. De
oplossing ligt dan ook in het verhogen van het bewustzijn door het voorzien in kennis
in de vorm van contractuele standaardvoorwaarden, die onderdeel zouden kunnen
vormen van uniforme inkoop- en leveringsvoorwaarden (vgl. ARBIT, ICT-OFFICE
etc.).
Het praktijkonderzoek leidt tot de volgende conclusies:
1. Er is bijzonder weinig bewustzijn van de problematiek rond transparantie en
portabiliteit van embedded gegevens bij afnemers van IT-systemen;
2. Contractuele bepalingen rond transparantie en portabiliteit ontbreken in veel
gevallen en dat is bij ontstentenis van een specifieke wettelijke regeling voor
embedded data problematisch ;
3. Er is te weinig kennis van het privacyrecht bij leveranciers en afnemers. Er
worden te veel persoonsgegevens vastgelegd en verwerkt;
4. Interne richtlijnen voor het juist toepassen van het privacyrecht bij het
aanschaffen van IT-systemen ontbreken;
5. Als de betrokkenen hierop (1-4) worden gewezen is hen het belang van het
nemen van juridische en technische voorzorgsmaatregelen onmiddellijk
duidelijk;
6. De praktijk is derhalve rijp voor het gebruiken van contractuele standaarden
die de transparantie en de portabiliteit van embedded data bevorderen en voor
standaarden die het normconform gebruik van embedded persoonsgegevens
bevorderen.
Algemene conclusie
Uit het juridische en praktijkonderzoek naar beschikkingsrechten op embedded data
blijkt dat de juridische maatregelen die de toegang tot embedded data kunnen
garanderen op systematische wijze te beschrijven zijn en daarom de basis kunnen
vormen van standaarden voor IT-contracten. Hetzelfde geldt voor de mogelijke
9 Er is voldoende draagvlak voor het zoeken naar een oplossing. In het geval van de huisvuilpas werd er
bijvoorbeeld op grond van ons onderzoek besloten om de contractuele voorwaarden opnieuw door te
nemen en zo nodig uit te breiden.
25
technische uitwerking van deze maatregelen. Ook blijkt in alle drie onderzochte casus
het belang van de toegang tot embedded data (in de zin van transparantie en
portabiliteit), nadat de afnemers hierop zijn gewezen, te worden erkend, maar blijken
de feitelijke juridische voorzorgsmaatregelen en hun technische uitwerking te kort te
schieten. Er is geen sprake van een gebrek aan juridische instrumenten en aan
belangstelling of aan politieke opportuniteit, maar slechts van een gebrek aan
juridisch en technisch inzicht. Het is derhalve niet alleen mogelijk om juridische
standaarden (incl. hun technische uitwerking) te formuleren, maar de praktijk is voor
de toepassing daarvan ook ontvankelijk. Deze algemene conclusie geeft aanleiding tot
de volgende aanbevelingen.
Aanbevelingen
De aanbevolen standaarden (contractuele standaardvoorwaarden en standaarden voor
normconform gedrag) waarvan de contouren op grond van de resultaten van dit
onderzoek zichtbaar worden zijn:
1. De exclusiviteit van de beschikkingsrechten op embedded data moet zelfs in
het geval van volledige eigendomsoverdracht van het IT systeem contractueel
worden vastgelegd;
2. Er moet altijd worden bedongen dat de embedded data feitelijk uitleesbaar
(een interface naar de embedded data en een exportfunctie) en interpreteerbaar
(een open format of de sleutel voor een closed format) zijn (aan een niet
realiseerbaar recht heb je niets):
a. Er moet daarom een (sub)licentie worden bedongen voor het uitlezen
en porteren van de embedded data met behulp van werken waarop de
leverancier intellectuele eigendomsrechten behoud, of
b. Er moet medewerking van de leverancier aan het uitlezen of porteren
van gegevens worden bedongen;
3. Als de gegevens niet met een onafhankelijk standaard (verkrijgbaar) IT-
systeem uitleesbaar en interpreteerbaar zijn dan moet er ook een retentierecht
of een broncodedepot worden gevestigd dat in alle gevallen van afbreuk
waarin de leverancier niet wil of kan meewerken inroepbaar is;
4. De afnemer moet zich er van bewust zijn dat er wettelijke beperkingen
bestaan, zelfs als hij exclusieve beschikkingsrechten heeft verkregen. De
belangrijkste beperkingen zijn gebaseerd op het privacyrecht. Het overzetten
van transparante en portabele persoonsgegevens naar een nieuw IT-systeem is
bijvoorbeeld veelal slechts mogelijk als de verdere verwerking van deze
gegevens rechtmatig is en met toestemming van de betrokkene (deze standaard
moet daarom of toestemming vooraf voorschrijven dan wel een model voor de
toestemming bij overgang);
Deze standaarden kunnen worden opgenomen in uniforme inkoop-, leverings- en
dienstverleningsvoorwaarden, die in het geval van de overheid als afnemer van IT
systemen en leverancier van diensten aan de burger bindend kunnen worden
opgelegd.
26
Bijlage 1 Kopieer- en reproductieapparatuur
Bronnen - Interview met Peter van Laarhoven, Projectleider Printbeleid (Center for Information
Technology CIT) van Universiteit Groningen (10-05-2011)
- Interview met Ronald Jongstra, Managed Print Services manager (RICOH) (10-05-
2011)
- Raamovereenkomst Ricoh en RUG
- Algemene Inkoopvoorwaarden RUG
Systeem Binnen de RUG zijn drie types printers te vinden: multifunctionals, netwerkprinters
en kamerprinters. Deze zullen achtereenvolgens behandeld worden.
Multifunctionals
Om de kosten terug te dringen is er fors ingezet op het gebruik van grotere
multifunctionals. Deze worden geleverd en onderhouden door Ricoh en bieden meer
functionaliteit dan gewoon printen. Deze apparatuur heeft extra functionaliteit in de
vorm van scannen, faxen en e-mailen. De multifunctionals zijn aan te spreken via het
netwerk en zo voor meerdere gebruikers toegankelijk.
De multifunctionals van Ricoh draaien op een embedded Linux OS en
beschikken over een harde schijf. Deze harde schijf wordt als buffer gebruikt voor
printopdrachten. Volgens Ricoh zijn de bestanden op de harde schijf niet direct door
derden te benaderen, omdat er een eigen bestandssysteem gebruikt wordt. Ook
onderhoudsmonteurs kunnen niet bij de bestanden geraken. Indien een schijf defect
raakt, wordt deze door Ricoh vervangen. De ingenomen schijf wordt gewist. Er
bestaat een optie om de harde schijf standaard te versleutelen, maar vanwege extra
kosten heeft men hier niet voor gekozen. Dit is opvallend te noemen, aangezien uit eis
7.1.12(e) van de aanbesteding blijkt dat encryptie van harde schijven een eis was bij
de aanbesteding.
De netwerkverbinding van de multifunctionals verloopt via een Virtual Local
Area Network (VLAN) verbinding waardoor de printer niet direct toegankelijk is via
het internet. Een VLAN werkt als een fysiek afgescheiden LAN, waarbij specifieke
poorten van switches niet worden toegewezen aan het algemene RUG netwerk, maar
aan virtueel LAN. Hierdoor behoren deze specifieke switchpoorten toe aan dit
separate netwerk, waardoor alleen apparaten die zich in hetzelfde VLAN bevinden
met elkaar kunnen communiceren. De printers krijgen op het netwerk hun IP-adres
automatisch toegewezen door een DHCP server. Omdat er een lokaal IP-bereik
gebruikt wordt zijn de netwerkpackets niet routeerbaar, waardoor het onmogelijk
wordt om een verbinding via het internet op te zetten. Elk IP-adres dat wordt
uitgegeven door de DHCP server is hierbij bovendien gekoppeld aan het MAC adres
van de specifieke printer. Hierdoor kunnen andere apparaten en computers geen IP-
adres krijgen als ze clandestien worden aangesloten op het netwerk. Uiteraard is door
middel van MAC cloning het wel mogelijk om het MAC adres na te bootsen. Zo kan
het MAC adres van het originele apparaat worden gebruikt om toch verbinding te
leggen met het VLAN. Uiteraard kan er maar één apparaat met een specifiek MAC
adres actief zijn. Het echte apparaat en imitatieapparaat kunnen daarom niet
tegelijkertijd aangesloten zijn.
27
Binnen het VLAN staan naast de printers en de DHCP server nog een Ricoh
Monitorserver en een mailserver opgesteld. De monitorserver wordt gebruikt om de
Ricoh printers te kunnen controleren. Alleen via een Beveiligde Werkplek (BWP) kan
ingelogd worden op de iPrint- en de monitorserver. De mailserver wordt gebruikt voor
de mailfunctionaliteit op de multifunctionals. Deze server moet zich binnen het
VLAN bevinden, want de multifunctional kan immers geen verbinding maken buiten
het VLAN. De mailserver heeft echter, net als de iPrint server, wel een verbinding
met het internet.
Het printen naar de printers van Ricoh gebeurt net als bij alle andere
netwerkprinters via de iPrint client van Novell. Deze is geïnstalleerd op de computer
van de gebruiker en communiceert met de Novell Open Enterprise Server op onder
andere http://iprint-04.id.rug.nl. Deze server stuurt vervolgens de printopdracht door
naar de betreffende printer. De iPrint client van Novell ondersteunt standaard
SSL/TLS encryptie voor het verzenden van printopdrachten. Uit onderzoek met het
packet capture programma Wireshark blijkt dat de inhoud van een printopdracht niet
versleuteld wordt. De naam van de printopdracht, meestal de bestandsnaam van het
document, en de gebruikersnaam van de opdrachtgever en de postscript file, die het
document bevat, zijn te zien. Aangezien het fysieke netwerk van de universiteit niet
makkelijk af te tappen is acht het CIT het niet nodig om versleuteling in te schakelen.
Zowel de verbinding tussen computer-printserver als printerserver-printer is in alle
gevallen onversleuteld.
Voor het beschermen van ongeoorloofd lezen van geprinte documenten is de ‘locked
printing’ functionaliteit ingevoerd. Met deze techniek is het mogelijk voor
eindgebruikers om de printopdracht naar de printer te beveiligen met een
gebruikersnaam en een wachtwoord. Deze (willekeurige) gebruikersnaam en
wachtwoord kunnen op de PC worden ingevoerd voor het verzenden van de opdracht
en dienen nogmaals op de console van de printer ingevoerd te worden, voordat het
printen wordt gestart. Hiermee wordt voorkomen dat andere gebruikers de prints al
afgedrukt aantreffen, waardoor de vertrouwelijkheid in gevaar komt. Locked prints
worden na 3 uren automatisch van de machine verwijderd, conform eis 7.2.19 van de
aanbesteding.
Netwerkprinters
Deze kleinere printers zijn evenals de multifunctionals via het netwerk te benaderen
en meerdere gebruikers kunnen hier gebruik van maken. Deze apparaten zijn echter in
tegenstelling tot de multifunctionals alleen in staat om te printen. Printen naar
netwerkprinters gebeurt, net als bij de multifunctionals, via de iPrint client.
28
Het verschil is echter, dat de netwerkprinters niet via een VLAN aangesloten zijn,
maar ook direct via hun eigen internet IP-adres te bereiken zijn. Nader onderzoek
bracht aan het licht dat een groot aantal printers op deze manier direct bereikbaar zijn.
Bovendien is het grootste gedeelte van de netwerkprinters niet beveiligd met een
wachtwoord. Hierdoor kunnen derden zonder enige moeite via het internet op de
printer inloggen en diens instellingen veranderen en bovendien ook printen. Indien de
derde weet waar de printer zich bevindt, dan kan deze zo buiten het
factureringssysteem om printopdrachten versturen en vervolgens de afdrukken
meenemen. Tevens kunnen printjes op deze manier 'spontaan' bij printers komen te
liggen of kunnen printers overstelpt worden met nutteloze printjes. Op deze manier
kunnen kwaadwillenden storingen veroorzaken (Denial of Service) en bovendien
valse informatie verspreiden. Het CIT bleek niet in staat om de bron van de directe
printopdrachten die via het internet verliepen te achterhalen.
Bij enkele printers wordt bovendien ook nog een lijst met de titels van de
afgedrukte documenten getoond. Een voorbeeld hiervan is “RUG-LETT Offert
042811 115617”. Gevoelige data zou hiermee ter beschikking aan derden kunnen
worden gesteld. Na een empirische test bleek dat zo een printer van een functionaris
van de Europese Commissie bij de Universiteit gecompromitteerd kon worden, terwijl
deze printer juist speciaal geplaatst in een fysiek afgesloten ruimte geplaatst was om
zo de vertrouwelijkheid te waarborgen.
De reden dat de ‘netwerkprinters’ goed zijn beveiligd ligt in het feit dat deze
printers niet onderhouden worden door het CIT. Ze zijn vaak aangeschaft door
faculteiten zelf en daarom heeft het CIT geen zeggenschap over het beheer. Omdat
deze printers zoveel mogelijk uitgefaseerd worden, wordt er ook niet meer in
geïnvesteerd.
Kamerprinters
Deze kleine printers zijn meestal direct aangesloten aan een computer en worden
slechts door één of enkele medewerkers gebruikt. De printers ondersteuning niet het
opslaan van gegevens voor later hergebruik. Het is slechts mogelijk om een directe
printopdracht te sturen die meteen wordt uitgevoerd.
Proces Met de nieuwe aanbesteding van de printfaciliteiten binnen de RUG is er gekozen
voor een nieuw dienstverleningsmodel, managed print services, waarbij een hechtere
samenwerking met de leverancier voorop staat. De verantwoordelijkheden voor het
goed functioneren van de apparatuur zijn opnieuw vastgesteld en vastgelegd.10
Het CIT is het aanspreekpunt bij vragen of hulp bij problemen bij het
functioneren van de printers en multifunctionals. Het Facilitair Bedrijf is
verantwoordelijk voor de facturering en het bestelproces. Facility managers van de
faculteiten zijn het lokale aanspreekpunt.
10 Aanbestedingsdocument voor de Openbare Europese aanbesteding Afdrukapparatuur en
dienstverlening - RUG 0000 2500 349 p. 7.
29
De leverancier (Ricoh) bewaakt op afstand constant de status van de door haar
onderhouden apparatuur. De fleet operators worden door Ricoh ingezet om de
afdrukapparatuur werkend te houden. Hieronder valt het bijvullen van onder andere
papier en toners. Door dit werk uit te besteden aan professionals wordt gehoopt op een
lagere storingsgraad, omdat gewone medewerkers veelal weinig technische ervaring
hebben met printerstoringen. De fleet operators worden per Blackberry op de hoogte
gehouden van storingen en tekorten in supplies. Ze krijgen een bericht met de locatie
van de printer en de onderhoudshandeling die uitgevoerd dient te worden. De fleet
operators kunnen via een speciale laptop op afstand bekijken wat er aan een printer
mankeert. In het verleden was het mogelijk om via internet de status van de printers
op te vragen, maar tegenwoordig kan het alleen via de verschafte laptop die
aangesloten is op het beveiligde printnetwerk (VLAN).
De oude printers die nog niet onder de nieuwe aanbesteding vallen worden zo
snel mogelijk vervangen. Het einddoel is om in beginsel alleen nog maar Ricoh
printers te hebben.
Oordeel organisatie over gewenste transparantie en portabiliteit Toegang tot de gegevens wordt door de organisatie niet als een probleem ervaren,
vanwege het feit dat de opslag in meeste gevallen van tijdelijke aard is. In het geval
van printopdrachten wordt de opdracht automatisch uitgevoerd of na 3 uur verwijderd.
De multifunctionals, die over uitgebreide opslagfunctionaliteit beschikken, worden in
de praktijk niet voor gegevensopslag gebruikt. Transparantie zou wel een probleem
kunnen vormen als de gegevensopslag wel wordt gebruikt en er zich vervolgens
fouten voordoen. Het is voor de universiteit zelf niet mogelijk om toegang tot de
gegevens te krijgen, omdat deze in een specifiek bestandssysteem van Ricoh zijn
opgeslagen.
Met betrekking tot de portabiliteit zijn er in de aanbesteding eisen opgenomen.
Zo is in onder andere in artikels 7.1.20 de eis opgenomen dat de apparatuur met het
PDF formaat overweg moeten kunnen. Ook moest de apparatuur in het begin van het
aanbestedingstraject nog compatibel zijn met zowel Linux, MacOS en Windows.
Deze eis is op een later moment versoepeld en slechts Windows ondersteuning werd
vereist, zie artikel 7.20.8 van de aanbesteding. Deze keus voor uitsluitend Windows
beperkt de portabiliteit.
Contractuele bepalingen De contracten tussen leverancier en de Universiteit Groningen konden voor dit
onderzoek wel worden ingezien, maar niet integraal worden meegeleverd.
Eigendom
De ingezette apparatuur wordt gehuurd en is derhalve geen eigendom van de RUG.
Intellectuele eigendom
Volgens artikel 11 van de Algemene Inkoopvoorwaarden Rijksuniversiteit Groningen,
die van toepassing zijn op de gesloten overeenkomst, zouden “alle industriële en
intellectuele eigendomsrechten op of in verband met zaken of werkwijzen die
specifiek voor of in opdracht van opdrachtgever zijn ontworpen en/ of vervaardigd, en
van de daarvoor door opdrachtgever of de wederpartij vervaardigde of gebruikte
tekeningen, teksten, modellen, handboeken, monsters, hulpmiddelen, berekeningen,
software en andere documenten en gegevensdragers” aan de RUG toekomen. Echter,
in afwijking hiervan is in artikel 9 van de Raamovereenkomst afgesproken de
30
Intellectuele eigendomsrechten op systeemprogrammatuur bij de leverancier blijven.
Indien de leverancier echter specifieke werkzaamheden voor de RUG uitvoert, komt
het intellectuele eigendomsrecht wel aan de RUG toe.
Gebruiksrechten en meewerkverplichtingen
Een bekend probleem bij het migreren naar een nieuwe leverancier is de zogenoemde
‘vendor lock-in’. Hierdoor wordt het voor de afnemer erg lastig en kostbaar om van
leverancier te wisselen. In het contract is een artikel (2.4) opgenomen om dit gevaar te
ondervangen. “De [leverancier] dient na de beëindiging van de overeenkomst alle
medewerking te verlenen bij de overgang naar de nieuwe leverancier(s) en op verzoek
van de RUG nog enkele maanden door te gaan met de levering van Afdrukapparatuur
en de daarmee samenhangende Dienstverlening. [De leverancier] zal na beëindiging
van deze raamovereenkomst zijn volledige medewerking geven bij een overgang naar
(een) andere leverancier(s). Dit houdt in dat [de leverancier] binnen maximaal twee
maanden na beëindiging van deze raamovereenkomst de levering van
Afdrukapparatuur en de daarmee samenhangende Dienstverlening overdraagt aan
(een) nieuwe leverancier(s). [De voormalige leverancier] zal gedurende deze tijd nog
door leveren en de bijbehorende diensten aanbieden onder de voorwaarden en prijzen
van deze overeenkomst synchroon aan de migratie door de nieuwe leverancier(s).”
Beperkingen: Bescherming persoonlijke levenssfeer en bedrijfsgeheimen
Artikel 12 van de Algemene Inkoopvoorwaarden Rijksuniversiteit Groningen
behandeld de aspecten van geheimhouding. In het artikel wordt het volgende gesteld:
“Indien de wederpartij voorziet of redelijkerwijze moet voorzien dat hij tekort zal
schieten in de nakoming van een of meer van zijn verplichtingen, waaronder begrepen
het uitblijven van en/ of gebrekkige en/ of niet tijdige levering, alsmede van elke
wijziging van de samenstelling c.q. eigenschappen van de te leveren zaken, is de
wederpartij verplicht opdrachtgever daarvan onder opgave van redenen en van de
vermoedelijke duur van de vertraging onverwijld en vooraf schriftelijk in kennis te
stellen. De wederpartij is, zowel tijdens als na beëindiging van de overeenkomst,
verplicht tot geheimhouding van het bestaan van en de inhoud van de overeenkomst
en alle van opdrachtgever ontvangen knowhow en gegevens, met dien verstande dat
de plicht tot geheimhouding beperkt wordt tot twee jaar na ontvangst van de
betreffende informatie. De wederpartij is gerechtigd vertrouwelijke gegevens te
gebruiken welke reeds in haar bezit zijn zonder verplichting tot vertrouwelijkheid of
onafhankelijk ontwikkeld zijn”. Naast deze bepaling zijn er niet nadere
geheimhoudingsclausules opgenomen. Er zijn derhalve geen specifieke afspraken
gemaakt over de geheimhouding van gegevens die ter kennisgeving bij de leverancier
zijn gekomen bij bijvoorbeeld het uitvoeren van onderhoud aan de apparatuur. Uit het
interview bleek dat Ricoh standaard de interne hardeschijven wist van apparaten die
voor onderhoud uit bedrijf worden genomen. Dit is echter niet contractueel
vastgelegd.
31
Bijlage 2 Diagnostische en therapeutische apparatuur
Bronnen - Interview met Ron van den Bosch, Hoofd ICT-beleid UMCG
- Interview met heer R. M. Löhr, afdeling Medische techniek, UMCG;
- Interview met André Linnenbank, medisch onderzoeker, AMC.
- Standaard Serviceovereenkomst UMCG
- Gedragscode Internet en E-mailgebruik UMCG
- Schema’s UMCG infrastructuur
Systeem Binnen het UMCG draaien veel verschillende systemen met daaromheen een soort
applicatieschil. Deze applicatieschil zorgt ervoor dat de verschillende gebruikers
toegang krijgen tot de onderdelen van de systemen die zij uit hoofde van hun functie
nodig hebben.
Onderstaand figuur is een versimpelde versie van de ICT-infrastructuur binnen
het UMCG. Een lokaal systeem (een pc, een handheld apparaat of een ander systeem)
maakt gebruik van het netwerk om via webservers en communication servers
verbinding te maken met de application servers waarop het EPD draait. Via de
application servers kan men, indien men daartoe bevoegd is, verbinding maken met
database servers. Deze verwijzen naar vindplaatsen van gegevens (waaronder foto’s
en tekstbestanden) die opgeslagen zijn op de verschillende opslagpunten binnen het
Storage Area Network.
32
In het volgende figuur is te zien dat het UMCG een ICT-architectuur hanteert
waarbij er systemen zijn die autonome deelprocessen ondersteunen. Een voorbeeld is
een laboratorium. Daar worden steeds weer metingen verricht, soms volgens een
complex proces middels bijvoorbeeld productiestraten. De resultaten van zo’n proces
kunnen worden opgeslagen in het EPD. Een geautoriseerde persoon kan vervolgens
deze resultaten opvragen.
Daarnaast bestaan er generieke systemen, zoals bijvoorbeeld systemen voor
facturering (DBC-registratie) of vastleggen van medicatie of het maken van
afspraken. Ook deze gegevens kunnen worden opgenomen in het EPD.
De ICT-architectuur heeft een presentatielaag en een logiclaag. Deze laatste bepaalt
met logische operatoren of de betreffende gebruiker toegang krijgt. Zo wordt er
bijvoorbeeld gekeken of er een behandelrelatie met de patiënt is en of het betreffende
specialisme van de gebruiker toegang geeft tot de gegevens. De gebruiker ziet echter
slechts de presentatielaag met een autorisatiemodule en heeft geen besef van het feit
dat er tientallen systemen worden aangesproken om het toegangsniveau te bepalen.
Het algemene systeem dat de systemen verbindt, is het EPD. Kort gezegd is
het EPD te zien als een verzamelbak met alle relevante informatie vanaf het eerste
contact. Toegang is alleen mogelijk indien de gebruiker een behandelrelatie heeft met
de patiënt en vanuit zijn aanstelling toegang tot de gegevens mag hebben. In
noodgevallen kan dit mechanisme omzeilt worden door een noodknopmechanisme.
Deze worden nauwkeurig gelogd en een commissie behandelt en beoordeelt elke
noodknopingreep.
33
Proces
Het gebruik van het EPD werkt als volgt. De behandelaar selecteert een
patiënt. De behandelaar kan zelfs op basis van zijn agenda binnen de polikliniek zijn
patiënt kiezen. Hij kan vervolgens zien welke poliklinische contacten er zijn geweest,
wat voor een trajecten op dit moment nog lopen en bij welke specialisten, welke
afspraken er nog openstaan, wat voor een klinische historie er bekend is en welke
nieuwe uitslagen er bekend zijn geworden sinds laatste raadplegen.
Naast de medische informatie kan de behandelaar in het EPD ook de
correspondentie inzien. Daar staan alle brieven, OK-verslagen en allerlei andere
diagnostische verslagen. Ook kan de behandelaar onder het kopje beeldvorming een
verslag zien (van bijvoorbeeld een radioloog), inclusief beeldmateriaal.
De infrastructuur gaat ervan uit dat er allerlei verschillende database-servers
zijn in het systeem. Er is een database-server is voor alleen het lokale systeem (waar
alle meetgegevens inzitten), maar ook een database-server voor het EPD-deel (waar
enkel de door de hulpverlener als relevant bestempelde plaatjes inzitten). Voor alle
kwetsbare onderdelen binnen de infrastructuur geldt een dubbele opslag voor de
veiligheid van de gegevens. De gegevensopslag geschiedt tevens op verschillende
fysieke locaties.
In het EPD wordt er gecontroleerd of er een behandelrelatie is met de patiënt. Is die
relatie vastgesteld en is de gebruiker vanuit de zorginstelling gemachtigd om die
gegevens te bekijken, dan krijgt de gebruiker toegang tot de specifieke gegevens van
de patiënt. Altijd wordt op basis van een specifieke patiënt gegevens opgevraagd. De
gegevens zijn zo gekoppeld aan de patiënt en de toegang aan de behandelaars.
Tot de lokale systemen (hieronder vallen tevens de systemen die niet
aangesloten zijn op het EPD) hebben in principe alleen degenen toegang die daar
werkzaam zijn. Zo hebben bijvoorbeeld radiologen slechts toegang tot het
radiologiesysteem. Voor toegang tot de systemen ten behoeve van statistiek of
wetenschappelijk onderzoek kan in gevallen een speciale bevoegdheid worden
gegeven om deze gegevens op te vragen. Het betreft in dit geval echter wel alleen
geanonimiseerde gegevens die niet terug te leiden zijn naar de patiënt.
Bij onderhoud aan het centrale systeem, kunnen leveranciers niet bij de
gegevens. Daar is speciale authenticatie voor nodig. Bij onderhoud aan lokale
systemen hebben leveranciers soms toegang tot de gegevens. Het UMCG stelt nauw
toe te zien op wat er gebeurt in deze onderhoudssituaties. Dit doet het door – indien
mogelijk – toegang te beperken tot de systeemkant (een zogeheten ‘systeem-account’)
en niet de gegevenskant. Dat account of dat systeem kan gelogd worden en dan wordt
er bijgehouden wat er allemaal gedaan wordt. Ook wordt bewaking uitgevoerd door
de afdeling Systeem beheer. Zij kunnen zien wat er gebeurt op de gebruikte systemen.
Oordeel organisatie over gewenste transparantie en portabiliteit
Wat betreft de transparantie van gegevens zorgt het UMCG er altijd voor dat
embedded gegevens ook op eigen opslagsystemen worden opgeslagen en
veiliggesteld. Zo wordt voorkomen dat gegevens ontoegankelijk worden in het geval
dat een apparaat niet langer functioneert. Het UMCG stelt dan ook dat er geen
problemen qua transparantie zijn.
Het UMCG probeert zoveel mogelijk systemen aan te schaffen die werken met
gegevensverwerking in een gestandaardiseerd formaat. Hierover maakt het UMCG
afspraken met haar leveranciers, omdat de lokale systemen gegevens moeten kunnen
uitwisselen met het EPD. Het UMCG werkt met het in Amerika ontwikkelde en
34
internationaal breed toegepaste standaard Health Level 7 (HL7). Gegevens die komen
uit apparatuur dat meer een meetkarakter heeft, probeert men om te zetten in HL7-
formaat om zo ervoor te zorgen dat het aansluit bij het EPD.
Systemen worden dus ingezet op basis van de vraag of ze een HL7-standaard
hanteren qua gegevensverwerking en anders wordt geprobeerd het systeem zo aan te
passen dat gegevens kunnen worden omgezet naar een formaat die wel voldoet aan de
HL7-standaard. Zo wordt een grote portabiliteit van gegevens gewaarborgd.
Contractuele bepalingen
Eigendom
De Algemene Inkoopvoorwaarden van het UMCG (AIV) zijn de algemene
voorwaarden die het UMCG hanteert bij inkoop van apparatuur.
Art. 8 AIV ziet op de eigendom en het risico: ‘de eigendom van de goederen
gaat op de instelling over op het moment van levering, tenzij anders overeengekomen.
Uitzondering vormen de goederen die worden geleverd op basis van zicht- en
proefzendingen en consignatie (8.1).’
In art. 8.2 is verder te lezen dat de instelling bevoegd is te verlangen dat de overdracht
van de eigendom van de bestelde goederen en/of de hiervoor bestemde materialen en
onderdelen op een eerder tijdstip zal plaatsvinden. De leverancier zal alsdan de
goederen en/of de hiervoor bestemde materialen en onderdelen merken als herkenbaar
eigendom van de instelling en de instelling vrijwaren voor verlies, beschadiging en
uitoefening van rechten door derden.
Of onder vrijwaring voor de uitoefening van rechten door derden ook de
handhaving van rechten van intellectueel eigendom vallen, wordt uit dit artikel niet
duidelijk. Dit kan een rol spelen wanneer de leverancier niet de auteursrechthebbende
is van de programmatuur. Wel is dit te vinden in specifiekere bepalingen die gaan
over rechten van intellectueel eigendom ( art. 17, 36 en 50 zijn de belangrijkste).
Intellectuele eigendom
Art. 17 AIV ziet op de industriële en intellectuele eigendom. Hierin staat dat de
leverancier ervoor instaat dat voor gebruik en doorverkoop van de door hem ten
behoeve van de instelling gekochte of vervaardigde goederen of hulpmiddelen geen
inbreuk op zal leveren op octrooirechten, merkrechten, auteursrechten of enige andere
rechten van derden. In het tweede lid van dit artikel staat vervolgens dat de
leverancier de instelling vrijwaart voor aanspraken die voortvloeien uit een inbreuk op
rechten uit het vorige lid. De leverancier moet dan alle schade vergoeden die het
gevolg is van enige inbreuk.
Voor de overdracht van rechten en verplichtingen aan derden door de
leverancier is krachtens art. 18 AIV toestemming vereist van het UMCG. Aan deze
toestemming kunnen voorwaarden worden gesteld. De leverancier blijft dan wel
verantwoordelijk.
In art. 36.3 AIV is te lezen dat de leverancier het UMCG vrijwaart tegen
aanspraken van derden terzake van (eventuele) inbreuk op industriële of intellectuele
eigendomsrechten van die derden, vergelijkbare aanspraken met betrekking tot know-
how, ongeoorloofde mededelingen e.d. daaronder begrepen, en vergoedt de instelling
alle schade die het gevolg is van enige inbreuk.
In de AIV zijn tevens een aantal bepalingen over programmatuur opgenomen.
Allereerst over maatwerkprogrammatuur. Dit is ‘programmatuur gemaakt in opdracht
35
van de instelling die voldoet aan de in artikel 40 genoemde specificaties’ , aldus art.
31.4 AIV. Van belang is dus dat de programmatuur in opdracht van de instelling
wordt gemaakt. In art. 40 AIV staan specifieke voorwaarden die aan de leverancier en
het te leveren systeem worden gesteld.
Uit art. 36.4 AIV volgt dat alle rechten van intellectuele en industriële
eigendom op de in opdracht van de instelling ontwikkelde maatwerkprogrammatuur
uitsluitend berust bij de instelling. Dit geldt eveneens voor de broncode van de
maatwerkprogrammatuur en de bij de ontwikkeling van de maatwerkprogrammatuur
gemaakte technische documentatie. Leverancier mag de broncode uitsluitend
gebruiken voor het onderhoud van de maatwerkprogrammatuur die aan de instelling
toebehoort, tenzij de instelling schriftelijk toestemming geeft om de broncode voor
andere doeleinden te gebruiken. Standaardprogrammatuur is ‘programmatuur die niet
in opdracht van de instelling is gemaakt en voldoet aan de in artikel 50 genoemde
specificaties’, aldus art. 31.6 AIV. Art. 50 AIV ziet op het te verlenen gebruiksrecht.
Uit de Algemene Inkoopvoorwaarden blijkt niets over de (intellectuele)
eigendom van gegevens die geproduceerd of opgeslagen worden door de lokale
systemen. Bij maatwerksystemen levert dit geen problemen op: alles is in opdracht
gemaakt van het UMCG en het systeem is eigendom en intellectueel eigendom van
het UMCG. Bij standaardsystemen is het nog maar de vraag of door dit systeem
opgeslagen of geproduceerde gegevens (intellectueel) eigendom zijn van het UMCG.
Het intellectuele eigendom op standaardsystemen ligt immers bij de leverancier, het
UMCG heeft slechts een gebruiksrecht.
Gebruiksrechten en meewerkverplichtingen
In de eerste zin van art. 36.1 AIV is bepaald dat de leverancier er voor in staat
dat het gebruik door de instelling van de in de overeenkomst gespecificeerde
maatwerkprogrammatuur met bijbehorende documentatie, respectievelijk het
overeengekomen gebruik van standaardprogrammatuur met bijbehorende
documentatie, respectievelijk het gebruik van de verkochte apparatuur met
bijbehorende documentatie geen inbreuk zal maken op enig industrieel of intellectueel
eigendomsrecht of overig recht van derden.
De tweede zin bepaalt dat als er toch een industrieel of intellectueel
eigendomsrecht op de standaardprogrammatuur, maatwerkprogrammatuur of
geleverde apparatuur (incl. bijbehorende documentatie), de leverancier moet zorgen
dat de instelling het gebruiksrecht daarvan verkrijgt zonder dat daar voor de instelling
extra kosten mee gemoeid zijn. De instelling heeft daarnaast het recht om op kosten
van de leverancier het gebruiksrecht rechtstreeks met de derde (= rechthebbende)
overeen te komen.
Uit art. 36.2 AIV volgt dat de leverancier bepaalde verplichtingen heeft als
blijkt dat het UMCG een inbreuk maakt of dreigt te maken op de in art. 36.1 AIV
genoemde rechten. Ofwel moet de leverancier het betreffende product vervangen met
een gelijkwaardig product dat geen inbreuk maakt op rechten van derden. Ofwel moet
de leverancier ervoor zorgen dat het UMCG een gebruiksrecht verkrijgt. Ofwel moet
de leverancier de producten zodanig wijzigen dat de inbreuk wordt opgeheven. Dit
alles moet wel geschieden in overleg met de instelling en zonder dat de
gebruiksmogelijkheden beperkter zijn dan die van de oorspronkelijk te leveren
maatwerkprogrammatuur, standaardprogrammatuur of apparatuur.
In art. 50 AIV staat dat de leverancier aan de instelling een niet-exclusief en
niet-overdraagbaar recht verleent om de in de overeenkomst gespecificeerde
standaardprogrammatuur voor de duur van overeenkomst te gebruiken op de in de
36
overeenkomst gespecificeerde apparatuur en programmatuur van de instelling
(bedoeld wordt de gegevensverwerkende infrastructuur van de instelling conform art.
31). De leverancier verschaft de instelling de noodzakelijk documentatie waarin de
functionaliteit en de gebruiksmogelijkheden van deze standaardprogrammatuur zijn
beschreven.
Art. 51 AIV verbiedt het UMCG om de standaardprogrammatuur openbaar te
maken, te wijzigen, te kopiëren of anderszins te verveelvoudigen of te wijzigen,
behalve als dit noodzakelijk is voor het gebruik dat bij de overeenkomst uitdrukkelijk
is toegestaan of voor foutcorrectie in de programmatuur. Het UMCG is wel gerechtigd
voor beveiligingsdoeleinden één back-up kopie te maken.
Art. 55.1 AIV is een escrow-bepaling. Hierin wordt de leverancier verplicht
ten behoeve van het UMCG een exemplaar van de broncode van de
standaardprogrammatuur in escrow bij een door leverancier aan te wijzen broncode-
bewaarnemer te deponeren. Het UMCG mag deze broncode slechts gebruiker voor
interne en niet-commerciële doeleinden (art. 55.3 AIV) en is verplicht tot
geheimhouding met betrekking tot deze broncode(s) (art. 55.4 AIV). Blijkens art. 55.5
AIV komen de kosten voor de escrow-regeling voor rekening van het UMCG.
Art. 55.2 geeft het UMCG het recht om van de broncode-bewaarnemer afgifte
van alle versies van de broncodes te verlangen, indien en zodra partijen schriftelijk
aan de bewaarnemer verklaren dat de overeenkomst op grond van faillissement van
leverancier of surseance van betaling door hen is ontbonden.
Beperkingen: Bescherming persoonlijke levenssfeer en bedrijfsgeheimen
Art. 16 AIV bepaalt dat de leverancier en zijn werknemers een geheimhoudingsplicht
hebben met betrekking tot bedrijfsinformatie van de instelling. Uit de overeenkomst
blijkt niet of patiëntgegevens hieronder vallen. Wel is dit te beredeneren: de primaire
bedrijfsvoering van een ziekenhuis is toch de hulpverlening aan patiënten.
Patiëntinformatie is informatie die bij deze bedrijfsvoering gebruikt wordt.
Bepalingen betreffende een speciale geheimhoudingsplicht en beveiliging zijn
te vinden in art. 32 AIV. Vooral interessant is dat hier gesproken wordt over ‘van de
andere partij ontvangen gegevens waarvan men weet of dient te weten dat deze van
vertrouwelijk aard zijn.’ Dit soort gegevens moet elke partij geheimhouden, behalve
als er een wettelijk plicht tot openbaarmaking is. Verder wordt in dit artikel verboden
om informatie en gegevensdragers niet aan derden over te dragen, behalve als er
voorafgaande schriftelijke toestemming toe is (van wie wordt niet gespecificeerd), en
verstrekking aan personeel alleen plaatsvindt indien het dat nodig is voor het
verrichten van de overeengekomen prestaties. Overtreedt men deze regels, dan moet
er een boete betaald worden aan de andere partij van €100.000,- per gebeurtenis.
Wat betreft de beveiliging staat in art. 32 dat personeel gevraagd kan worden
om een verklaring van goed gedrag, dat partijen zich moeten houden aan
beveiligingsrichtlijnen van het UMCG en dat in bijgaande specificaties de
beveiligingsmaatregelen vastgelegd, welke
in verband met de bescherming van de apparatuur en programmatuur en de verwerkte
c.q. te
verwerkten gegevens dienen te worden genomen.
In de Standaard Service Overeenkomst is ook een clausule met betrekking tot
bedrijfsgeheimen opgenomen. Artikel 10 stelt dat de partijen “geheimhouding in acht
[zullen] nemen ten aanzien van alle bedrijfsinformatie, e.e.a. in de meest ruime zin
van het woord bedoeld, die partijen in het kader van de uitvoering van deze
Overeenkomst ter beschikking komt en partijen zijn onvoorwaardelijk gehouden
37
zodanige maatregelen te treffen om geheimhouding met betrekking tot al deze
gegevens te verzekeren.”
Ten slotte werkt het UMCG intern met een algemeen geldende integriteitcode.
Deze geld voor het hele UMCG. Deze code gaat in op het veilig werken en het
zorgvuldig en vertrouwelijk omgaan met informatie. Elke medewerker heeft een
aantal van dit soort regelingen bij de aanstelling meegekregen en daarvoor moeten
tekenen.
38
Bijlage 3 Huisvuilpas
Bronnen - Interview met R. Bakker, Milieudienst Groningen (26-04-2011)
- Telefonisch contact met Dhr. Van Heijst (23-08-2011)
- E-mail verkeer met M. Koper van GMT
- Milieudienst Groningen, Eindrapportage Project Ondergrondse Containers 2008 (26-
8-2008)
- Brochure TarDif IRDC Systeem Mic-O-Data
- Milieudienst Groningen, Afvalbeheerplan 2006-2010
- Gemeenteraad Groningen, Raadsvoorstel GR 09 Milieudienst betreffende Mini-
containermanagement 2008
- Testimonial Groningen GMT
Systeem In 1999 is in de Groningse gemeenteraad een krediet vastgesteld voor de plaatsing van
600 tot 800 ondergrondse restafvalcontainers, waarmee 43.000 aansluitingen zouden
worden bediend.11
In 2008 zijn er in totaal 800 ondergrondse containers geplaatst
waar 48.000 adressen hun afval kwijt kunnen.12
Dat betekent dat er gemiddeld 60
huishoudens per ondergrondse container zijn. Deze containers zijn toegankelijk met
een pasje dat verstrekt wordt per huishouden.
De ondergrondse containers zijn geleverd door VConsyst. Dit is de leverancier
van het materiaal zelf. De registratie en de verzending van de gegevens gebeurt door
een systeem dat is ontwikkeld door Mic-O-Data en draagt de naam TarDif IRDC.
TarDif IRDC-systeem
Het TarDif IRDC systeem dat Mic-O-Data levert aan de Milieudienst verzorgt het
gedeelte van het uitlezen van de huisvuilpas tot aan het leveren van de data aan de
Milieudienst. Het systeem zit ingebouwd in de ondergrondse container.
De huisvuilpas die gebruikt wordt is voorzien van een RFID (Radio Frequency
Identification) chip en zorgt er zo voor dat de pas uitgelezen kan worden door de
kaartlezer van de ondergrondse container. De communicatie tussen de pas en de
container gebeurt met een pas die is gebaseerd op de MIFARE technologie.13
Deze
zorgt ervoor dat de communicatie beveiligd is. Dezelfde technologie wordt gebruikt in
de OV-chipkaart. De huisvuilpas is een Read/Write kaart wat inhoudt dat er gegevens
van de kaart gelezen kunnen worden maar dat er ook gegevens op geschreven kunnen
worden. De ondergrondse container haalt zijn stroom uit een batterij en is dus niet
afhankelijk van het elektriciteitsnet. De spanning hiervan is op afstand uitleesbaar.
Het TarDif IRDC systeem in de ondergrondse container communiceert draadloos via
het GSM netwerk van Vodafone naar de server van Mic-O-Data. Deze communicatie
verloopt via SMS berichten en is ook geschikt voor financiële transacties. Dat houdt
in dat de verbinding zeer goed beveiligd is. Alleen vooraf bepaalde mensen hebben
toegang tot dit netwerk.
11 Milieudienst Groningen, Eindrapportage Project Ondergrondse Containers 2008, 26-8-2008, p. 1 12 Milieudienst Groningen, Eindrapportage Project Ondergrondse Containers 2008, 26-8-2008, p. 11 13 nxp.com <http://www.nxp.com/#/pip/pip=[pfp=41863]|pp=[t=pfp,i=41863]> (26-06-2011)
39
Zodra een pas boven de kaartlezer wordt gehouden komt het systeem in werking en
leest de gegevens van de pas. Als de storting is gedaan verstuurt het systeem de
gegevens direct via het GSM modem aan boord naar de server van Mic-O-Data. De
container verstuurt ook één keer per dag zijn registratiegegevens en ontvangt
vervolgens gegevens over de systeeminstellingen en een eventuele update van de
black- of whitelist. De server bij Mic-O-Data is via het internet verbonden met de
server van de Milieudienst. De Milieudienst kan vervolgens zelf de gegevens updaten
met een druk op de knop of op een vooraf ingestelde tijd. Hieronder is het systeem in
schema te zien14
.
Er zijn verschillende versies van het systeem mogelijk. Er zijn variaties qua
registratie, het gebruik van een black- of whitelist, vulgraadmeting en offline of online
gebruik (met of zonder GSM modem). De Milieudienst Groningen gebruikt het
systeem online en registreert de stortingen. Ze maken gebruik van een blacklist en de
vulgraad van de ondergrondse container kan op afstand worden uitgelezen. Dit levert
soms het probleem op dat de blacklist zo lang wordt dat het systeem soms lang bezig
is met het verwerken hiervan als er een huisvuilpas bij de kaartlezer van een
ondergrondse container wordt aangeboden. Als gevolg hiervan wordt regelmatig de
blacklist opgeschoond. Er ligt daarom het plan om over te stappen op een whitelist.
De gegevens die op de server bij Mic-O-Data staan zijn de gegevens over het welke
persoon op een bepaald tijdstip een specifieke ondergrondse container opende. Deze
gegevens omvatten echter alleen nog maar transactie- en chipnummers en worden pas
later gekoppeld aan personen en adressen. Mic-O-Data heeft met betrekking tot de
toegang en bewaartermijn van de gegevens een strikt beleid. Alleen de mensen die
voor service en onderhoud noodzakelijkerwijs toegang moeten hebben tot deze
gegevens zijn hiervoor geautoriseerd. Omdat er bij Mic-O-Data alleen transactie-
14 Brochure TarDif IRDC Systeem Mic-O-Data
40
chipnummers aanwezig zijn is er geen sprake van toegang tot privacygevoelige
informatie.
De gegevens worden op de server van Mic-O-Data nog een jaar bewaard nadat
er een goede kopie van de gegevens van de server is gehaald door de Milieudienst
Groningen. Na dat jaar worden de gegevens volledig van de servers verwijderd.
Minicontainer management
In de gemeente Groningen werd in 2005 het afvalbeheerplan van 2006-2010
opgemaakt waarin een aanbeveling stond om in de toekomst over te gaan tot het
chippen van de minicontainers, ook wel kliko’s genoemd.15
Dit is er na een voorstel
van de milieudienst in 2009 en 2010 pas van gekomen.16
In Groningen gebruiken er
ruim 34.000 huishoudens een grijze en/of groene container voor het aanbieden van
afval. Extra minicontainers konden tegen een extra verhoging van de
afvalstoffenheffing worden geleverd. Er werden echter maar 168 extra containers
aangevraagd. Ook werden er per jaar 1000 nieuwe containers aangevraagd wegens
vermissing of diefstal. Veel mensen gebruikten een extra container zonder hiervoor
extra te betalen. Om dit terug te dringen is er voor gekozen een containermanagement
systeem op te zetten. Hiervoor worden in alle containers een chip geïmplementeerd.
Als gevolg hiervan werden er bijna 3500 minicontainers ingenomen die niet
rechtmatig werden gebruikt.
Het systeem werkt in principe vrij eenvoudig. Het bedrijf dat het systeem
levert is Engels HLC (High Tech Litter Collection). In de minicontainer wordt een
chip geplaatst. Dit is een vrij standaard model RFID chip (HiTag S) die naast
containermanagement ook ingezet wordt bij de veeteelt en in de fiches van een
casino17
. Er kunnen op deze chip zowel gegevens geplaatst als van gelezen worden.
Op elke chip wordt vervolgens een nummer gezet dat een samenvoeging is van een
landcode, gemeentecode, wijkcode en een serienummer. In het overkoepelende
systeem, CLEAR, waarin de gegevens worden verwerkt is dit nummer gekoppeld aan
het adres dat de container aanbiedt.
De voertuigen die de containers komen legen hebben een antenne aan boord
die de chips in de container activeert. Als de container wordt geleegd in het voertuig
wordt ook de chip uitgelezen en opgeslagen op een handheld medium of een GPRS
modem. Zodra het voertuig weer terug is van een route kunnen de opgeslagen
gegevens worden uitgelezen. Met deze gegevens is het mogelijk om te kunnen zien
welke adressen hun container in welke ophaalroute plaatsten om deze vervolgens
efficiënter te kunnen maken. Ook kunnen gestolen containers vrij eenvoudig worden
opgespoord en containers zonder chip worden niet geaccepteerd en ingenomen.
Proces Sinds 1997 maakt de Milieudienst Groningen gebruik van het door GMT Europe
B.V.18
ontwikkelde CLEAR systeem. CLEAR staat voor Containers Ledigingen En
Afvalstoffen Registratie. Dit systeem verzamelt de gegevens van alle afvalregistraties.
Dan gaat het over de stortingsgegevens van de ondergrondse containers, de
minicontainers, grofvuilmeldingen en stortingen in de grotere vuilstortplaatsen.
Hiernaast is het mogelijk om de afvalkalenders op te stellen die alle inwoners van
15 Milieudienst Groningen, Afvalbeheerplan 2006-2010, p. 3 16 Gemeenteraad Groningen, Raadsvoorstel GR 09 Milieudienst betreffende Minicontainermanagement
2008 17 nxp.com <http://www.nxp.com/news/content/file_883.html> (26-06-2011) 18 Testimonial Groningen GMT
41
Groningen elk jaar in de brievenbus krijgen. Het systeem is niet alleen bedoeld om de
afvalstoffenheffing voor burgers in te verwerken, maar ook al het bedrijfsafval. Het
systeem regelt in principe dus alles van storting tot facturatie. Het systeem is door de
overheid gecertificeerd en is daardoor ook geschikt voor het digitaal opleveren van
overzichten over de stortingen van gevaarlijk en chemisch afval.
De Milieudienst zit op dit moment in een overgang van een systeem wat draait
in een ouderwetse omgeving. Dit systeem biedt weinig grafische opties en er moet
met het toetsenbord worden gewerkt om van menu naar menu te komen. Er wordt op
de achtergrond ook het nieuwe systeem CLEAR.net gebruikt wat veel meer grafische
opties biedt en een stuk moderner is. De medewerkers van de Milieudienst zijn zo
gewend aan de oude omgeving dat er nog weinig enthousiasme is om over te stappen
op het nieuwe systeem.
De stortingsgegevens die worden geregistreerd komen via de Mic-O-Data
server binnen in het systeem CLEAR. Deze gegevens worden opgeslagen op een
server bij de Milieudienst Groningen en zijn via het interne netwerk toegankelijk. Er
wordt elke dag een back-up gemaakt op de lokale server maar ook op een plek buiten
het gebouw van de Milieudienst Groningen om ervoor te zorgen dat ingeval van brand
of andere dergelijke problemen alle gegevens veilig bewaard blijven of bij een storing
kunnen worden hersteld.
De toegang tot de server en het systeem CLEAR waarin de stortingsgegevens
te raadplegen zijn is beperkt tot de medewerkers die beslissingen moeten maken op
basis van deze gegevens. Dit is geregeld door middel van beveiliging met
gebruikersnaam en wachtwoord om in het systeem te komen. Iedere medewerker met
toegang heeft zijn eigen inloggegevens. Ook zijn alle computers zo ingesteld dat ze al
vrij snel op de schermbeveiliging met paswoord springen als er tijdelijk niets met de
computer gebeurd. Het gaat hier niet alleen om medewerkers van de Milieudienst
Groningen die zorgen voor de afhandeling van de afvalstoffenheffing, maar ook
degenen die de routes plannen voor het ophalen van de minicontainers en de
medewerkers die meldingen van grofvuil verwerken. Ook bij de grotere
vuilstortplaatsen hebben de loketmedewerkers toegang tot het systeem om te kijken
hoe vaak iemand al gestort heeft in dat jaar. Omdat alle gegevens per adres zichtbaar
zijn in het systeem CLEAR is het niet zo dat de verschillende gegevens van elkaar
gescheiden zijn. Een medewerker die de telefoon aanneemt om een grofvuilmelding te
verwerken heeft ook toegang tot de gegevens over het aantal stortingen in een
ondergrondse container met behulp van de huisvuilpas.
Oordeel organisatie over gewenste transparantie en portabiliteit
CLEAR
CLEAR is het systeem waarin alle gegevens terechtkomen van de dagelijkse
activiteiten van de Milieudienst Groningen. Ook de planning wordt hierin gemaakt.
Het is dan ook van groot belang dat het systeem beschikbaar en toegankelijk is. Het
systeem is zeer transparant te noemen. De gegevens die erin worden opgeslagen en
verwerkt zijn direct inzichtelijk en compleet.
Ingeval van wanprestatie, faillissement of anderen problemen heeft de Milieudienst
afspraken gemaakt met GMT over het deponeren van de software bij Softwareborg.
Dit is een stichting die is opgezet door samenwerkende notarissen.19
Softwareborg
19 Softwareborg.nl <www.softwareborg.nl> (23-09-2011)
42
biedt oplossingen op het gebied van escrow. Als de eerder genoemde problemen
optreden dan kan de Milieudienst de beschikking krijgen over de broncode van
CLEAR. Uit contact met GMT bleek dat het daarna ook mogelijk is om de gegevens
in het systeem te transporteren voor gebruik in een ander software pakket.20
Op het
gebied van transparantie en portabiliteit lijkt het systeem CLEAR prima in orde.
TarDif IRDC
De gegevens die in het systeem CLEAR opgeslagen worden zijn zeer transparant.
Deze gegevens komen voornamelijk voort uit het TarDif IRDC systeem. De gegevens
waar het om gaat zijn voornamelijk de stortingsgegevens die door het openmaken van
de container met de huisvuilpas worden gegenereerd. Er is een verschil in
transparantie, omdat de gegevens die voortkomen uit het TarDif IRDC systeem pas
later in CLEAR aan een naam en adres worden gekoppeld. De ruwe stortingsgegevens
worden hiervoor van de server van Mic-O-Data gehaald. Deze ruwe stortingsgegevens
zijn dus niet direct herleidbaar naar personen omdat het gaat om transacties en
chipnummers.
TarDif IRDC is een systeem wat aansluit op meerdere in de markt gebruikte
systemen. Mochten er met dat systeem problemen zijn dan kan het TarDif systeem
zonder al teveel problemen worden gekoppeld aan een andere softwareoplossing. Er
hoeft zelfs weinig te worden aangepast. Er wordt namelijk gebruik gemaakt van een
open standaard voor de communicatie tussen het TarDif IRDC systeem en het
overkoepelende systeem dat hierop aansluit. Het is dus mogelijk dat er ingeval van
problemen een ander systeem als CLEAR kan worden ingevoerd als overkoepelend
systeem. Op dit punt is de portabiliteit van het systeem goed te noemen.
Het systeem dat in de ondergrondse container zelf zit is door Mic-O-Data zelf
geproduceerd en wordt ook onderhouden door dit bedrijf. De stortingsgegevens die
door het systeem worden geregistreerd gaan ook eerst naar de server van Mic-O-Data
om vervolgens te worden verstuurd naar de Milieudienst Groningen. De Milieudienst
Groningen is daarom erg afhankelijk van de service en continuïteit van Mic-O-Data.21
Mic-O-Data zegt over het systeem zelf dat de meeste onderdelen die in de
ondergrondse container zijn verwerkt, zoals de kaartlezer, het slot en de batterij ook
door andere fabrikanten van soortgelijke IT systemen kan worden gebruikt.
Het gedeelte dat voor de datacommunicatie zorgt, is op dit moment echter maatwerk
geweest en zal niet gemakkelijk kunnen worden overgezet. ‘Hoewel deze
datacommunicatie conform de eisen van open standaarden is gemaakt zal dit toch
enige moeite kosten’, zo verklaart Mic-O-Data. Ook zijn er op dit moment geen
afspraken gemaakt tussen de Milieudienst en Mic-O-Data zoals deze bij CLEAR
gemaakt zijn. Er ligt op dit moment dus geen broncode klaar bij Softwareborg mocht
Mic-O-Data failliet gaan of ingeval van andere dergelijke problemen. De Milieudienst
reageerde geschrokken op deze bevinding. Er zou zelfs sprake zijn van een
doemscenario als het systeem uit de lucht zou zijn. De containers gaan niet meer
open, er komt ontzettend veel rotzooi op straat. Of de containers moeten allemaal
opengezet worden met als gevolg dat ze al gauw vol zijn zonder dat de Milieudienst
Groningen weet wanneer ze moeten worden opgehaald. Als gevolg hiervan is de
20 E-mail verkeer M. Koper van GMT 21 Telefonisch contact met Dhr. Van Heijst, 23-08-2011
43
gemeente met Mic-O-Data om de tafel gaan zitten om hier nadere afspraken over te
maken. Het TarDif IRDC systeem is prima aan te sluiten op een ander overkoepelend
systeem, maar is zelf minder portabel omdat een gedeelte van het systeem maatwerk
betreft.
De informatie die wordt verzameld met de chips in de minicontainer hebben zoals
eerder gezegd een doel om ervoor te zorgen dat iedereen het juiste aantal containers in
bezit heeft en om ervoor te zorgen dat de afhaalroutes efficiënt kunnen worden
gepland. De informatie op de chip zelf bestaat uit een nummer en wordt net als bij het
TarDif IRDC systeem pas later gekoppeld aan een persoon en adres. Hoewel het wel
mogelijk is om informatie op de chip te schrijven, gebeurt dit niet tijdens het ophalen
van het huisvuil. De informatie die wel wordt verzameld is tijdelijk op een handheld
opslagmedium of wordt verstuurd via GPRS. Dit is afhankelijke van het voertuig.
Zodra de gegevens in CLEAR worden aangeboden zijn de gegevens gekoppeld aan de
natuurlijke persoon.
De chips zijn volgens Engels HLC door meerdere fabrikanten van
voertuiguitrustingen uit te lezen. Hiernaast zal het geen probleem zijn om informatie
van de chips te gebruiken in combinatie met andere softwareoplossingen. Engels HLC
levert en installeert alleen de chips en deze zijn uit te lezen door meerdere in de markt
gebruikte systemen en softwarepakketten. Er zijn daarom ook geen afspraken gemaakt
in het contract over problemen als faillissement of wanprestatie. De Milieudienst
Groningen is namelijk in zulke gevallen niet afhankelijk van de service van Engels
HLC.
Contractuele bepalingen
De contracten tussen leverancier en de gemeente konden voor dit onderzoek wel
worden ingezien, maar niet integraal worden meegeleverd.
Eigendom
Er zijn geen eigendomsbepalingen over de embedded gegevens opgenomen in de
contracten.
Intellectuele eigendom
Wat betreft de intellectuele eigendomsrechten op de broncode van de software hebben
zowel CLEAR als Mic-O-Data afspraken gemaakt met stichting Software Borg. Bij
deze stichting wordt broncode van hardware en software ondergebracht, zodat in
geval van faillissement de broncodes voor de klanten beschikbaar blijven. Hierdoor
kan de dienstverlening gecontinueerd worden. Mic-O-Data en CLEAR bieden
afnemers de mogelijkheid aan om gebruik te maken van dit escrow mechanisme. De
Milieudienst Groningen was nog niet op de hoogte van deze escrow mogelijkheid
voor Mic-O-Data en wil graag in de toekomst hier wel gebruik van gaan maken.
Gebruiksrechten en meewerkverplichtingen
De gemeente maakt gebruik van de diensten van Mic-O-Data voor het in eerste
instantie opslaan van de gegevens. Vervolgens worden die gegevens naar de server
van de milieudienst verstuurd.
44
Het Tardif IRDC systeem hoeft niet te worden aangepast indien de
Milieudienst Groningen besluit over te stappen naar een ander software pakket. Voor
het ophalen en versturen van data van en naar de IRDC systemen is een protocol dat
"open" is. Dat betekent dat andere softwareleveranciers dit protocol zonder restricties
kunnen gebruiken. In de recent vastgelegde "open standaard" door de commissie
Stosag (www.stosag.nl) is een vergelijkbare manier van communiceren afgesproken
(SOAP en XML). De indeling van de boodschappen is anders, maar de techniek en
uitvoering is identiek. Op dit moment is op basis van het huidige protocol al met
meerdere software leveranciers een koppeling tot stand gebracht, onder andere:
CLEAR, AfvalRis, Ci-web, PieterBas, Prevent.
Beperkingen: Bescherming persoonlijke levenssfeer en bedrijfsgeheimen
De gegevens van het Mic-O-Data systeem worden een jaar lang op diens server
bewaard. Deze gegevens zijn niet herleidbaar tot een natuurlijk persoon, omdat alleen
het transactienummer en chipnummer wordt geregistreerd. Slechts de gemeente kan
dit herleiden naar de betreffende persoon. De stortingsgegevens worden door de
Milieudienst Groningen vijf jaar lang bewaard. De reden die hiervoor wordt gegeven
is dat dit nodig is voor logistieke doeleinden en beleidsmatige vraagstukken.22
22 De Rooij en Hazewinkel, Vragen aan de gemeenteraad Groningen, 30-10-2009, p. 2 en 3
45
Literatuur & Jurisprudentie
Literatuur
Blok 2010
P.H. Blok (red.), Overeenkomsten inzake informatietechnologie, SDU 2010
Bruins 2010
A. Bruins, ‘Reëel recht in een virtuele wereld’, Mr. 2010-1. Vindplaats:
www.meesterindetaal.nl/inc/download_window.php?id=98
Bygrave 2002
L. A. Bygrave, Data Protection Law: Approaching its Rationale, Logic and Limits,
Den Haag: Kluwer Law International 2002 (information law series IVIR).
De Cock Buning 1998
M. de Cock Buning, Auteursrecht en informatietechnologie (diss.), Amsterdam:
Otto Cramwinckel 1998.
De Cock Buning 2009
M. de Cock Buning, De juridische status van ruwe data; een wegwijzer voor de
onderzoekspraktijk, publicatie opgesteld voor CIER & Stichting SURF, 2009.
Vindplaats: http://www.surf.nl/publicaties.
Elkin-Koren & Weinstock Netanel 2002
N. Elkin-Koren & N.l Weinstock Netanel, The Commodification of Information, Den
Haag: Kluwer Law International 2002 (information law series IVIR).
Franken, Kaspersen & De Wild 2004
H. Franken, H.W.K. Kaspersen en A.H. de Wild, Recht en Computer, Deventer:
Kluwer 2004.
Hugenholtz 1989
P.B. Hugenholtz, Auteursrecht op informatie: auteursrechtelijke bescherming van
feitelijke gegeven s en gegevensverzamelingen in Nederland, de Verenigde Staten en
West-Duitsland, Deventer: Kluwer 1989.
Kleve 2004
P. Kleve, Juridische Iconen in het informatietijdperk, Deventer: Kluwer 2004.
Vindplaats: http://repub.eur.nl/res/pub/1297/
Kuner 2009
C. Kuner, ‘An international legal framework for data protection: Issues and
prospects’, Computer Law & Security Review July 2009, p. 307-317.
46
Kuhlman 2010
J. Kuhlman, ‘Echt voor het recht? Bescherming van virtuele objecten technisch en
privaatrechtelijk beschouwd’, Masterscriptie Universiteit Utrecht, 2010. Vindplaats:
http://njblog.nl/wp-content/uploads/2010/12/Scriptie-JoostKuhlmann.pdf
Lagemaat, Boonk & Briët 2006
A.C. Lagemaat, M.L. Boonk, M. Briët, ‘Vermogensrechterlijke aspecten’, in: Lodder
2006, p. 21-40.
Lodder 2006
A.R. Lodder (red.), Recht in een virtuele wereld, Juridische aspecten van massive
multiplayer
online role playing games (MMORPG), Den Haag: Elsevier Juridisch 2006.
Vindplaats: cli.vu/pubdirectory/273/manuscript.pdf
Neppelenbroek 2006
E.D.C. Neppelenbroek, ‘De verkrijging van de eigendom van elektronische bestanden
over internet’, NJB 2006-10 p. 560-566.
Purtova 2009
N. Purtova, ‘Property rights in personal data: Learning from the American discourse’,
Computer Law & Security Review November 2009, p. 507-521.
Van der Steur 2003
J.C. van der Steur, Grenzen van rechtsobjecten: een onderzoek naar de grenzen van
objecten van eigendomsrechten en intellectuele eigendomsrechten, Deventer: Kluwer
2003.
Stevens & Koops 2009
L. Stevens & E.J. Koops, ‘Opzet op de harde schijf: criteria voor opzettelijk bezit van
digitale kinderporno’, DD 2009, 51, p. 669-696.
Verkade 1988
D.W.F. Verkade, ‘Gegevensbescherming en privaatrecht’, in: Gegevensbescherming
(Handelingen Nederlandse Juristen-vereniging 1988-1), Zwolle: W.E.J.
Tjeenk Willink 1988.
Jurisprudentie
CBP, 12 juli 2006, z2005-1447
HR 24 februari 2006, NJ 2007, 37 (Technip/Goossens)
HR 13 maart 1981, NJ 1981, 635 (Haviltex)
Hof ’s-Gravenhage 4 juni 1992, Computerrecht 1993, 252.
Hof Arnhem 1 juni 2010, LJN BM6320.
Vz. Hof Arnhem 3 mei 2011, LJN BQ5240.
Pres. Rb. ’s-Gravenhage 24 oktober 1997, Computerrecht 1998, 72.
Pres. Rb. Almelo 23 december 1999, Computerrecht 2000, 81