Beschikken over embedded datalaw-and-ict.org/wp-content/uploads/2018/04/Eindrapport...5...

Beschikken

over

embedded data

Onderzoek

voor

Nederland Open in Verbinding (NOIV)

1 november 2011

Dr. mr. C.N.J. de Vey Mestdagh

Rijksuniversiteit Groningen

2

Inhoud:

1. Inleiding ..................................................................................................................... 3

1.1. Probleemstelling ................................................................................................. 3

1.2. Vraagstelling ....................................................................................................... 4

1.3. Doelstelling ......................................................................................................... 4

1.4. Onderzoeksmethode en uitvoering ..................................................................... 4

1.5. Gehanteerde definities ........................................................................................ 6

2. Welke partijen hebben welke beschikkingsrechten op embedded data ..................... 9

2.1. Eigendom van embedded data .......................................................................... 10

2.2. Intellectuele eigendomsrechten op embedded data ........................................... 11

2.3. Gebruiksrechten op embedded data en meewerkverplichting .......................... 12

2.4. Bescherming van de persoonlijke levenssfeer en van bedrijfsgeheimen .......... 13

3. Casus ........................................................................................................................ 16

3.1. Kopieer- en reproductieapparatuur ................................................................... 16

3.1.1. Bronnen ...................................................................................................... 16

3.1.2. Het systeem en de verwerking van embedded data ................................... 16

3.1.3. Belanghebbenden ....................................................................................... 16

3.1.4. Transparantie en Portabiliteit ..................................................................... 17

3.1.5. Beschikkingsrechten .................................................................................. 17

3.2. Diagnostische en therapeutische apparatuur ..................................................... 18

3.2.1. Bronnen ...................................................................................................... 18





3.3. Huisvuilpas ....................................................................................................... 21

3.3.1. Bronnen ...................................................................................................... 21





4. Conclusies en aanbevelingen: Juridische standaarden voor het bevorderen van de

transparantie en portabiliteit ........................................................................................ 23

Bijlage 1 Kopieer- en reproductieapparatuur ............................................................... 26

Bijlage 2 Diagnostische en therapeutische apparatuur ................................................ 31

Bijlage 3 Huisvuilpas ................................................................................................... 38

Literatuur & Jurisprudentie .......................................................................................... 45

3

1. Inleiding

1.1. Probleemstelling

Het komt vaak voor dat de afnemer van IT systemen en diverse andere

belanghebbenden niet de volledige beschikking hebben over de in deze systemen

verwerkte gegevens, terwijl dit wel in hun belang zou zijn. Het betreft veelal de

elementaire ingevoerde dan wel gemeten gegevens in administratieve systemen, in

beslissingsondersteunende systemen, in meet- en regelsystemen en in diagnostische

en therapeutische apparatuur. Dit probleem kan worden opgeheven door grotere

transparantie (toegankelijkheid van de elementaire gegevens voor de afnemer) en

interoperabiliteit (mogelijkheden om de elementaire gegevens in andere IT systemen

te gebruiken). Transparantie en interoperabiliteit hebben echter niet alleen voordelen,

maar ook nadelen voor bijvoorbeeld de privacybescherming (embedded data betreffen

in veel gevallen persoonsgegevens) en in enkele gevallen zelfs voor de veiligheid

(transparante systemen kunnen kwetsbaarder zijn voor misbruik).

Het beschikken over embedded data is daarom een complex probleem waarin

niet alleen de relatie afnemer – leverancier van het desbetreffende IT systeem een rol

speelt. Er zijn bij de verwerking van gegevens vaak meer partijen betrokken die

belangen bij de verwerkte gegevens hebben. Bijvoorbeeld feitelijke gebruikers van het

systeem (de ambtenaar, de burger, de arts, de patiënt, de consument), maar ook

indirecte belanghebbenden bij de verzamelde gegevens (beleidsmakers, onderzoekers,

financiers). Dit veelvoud van belangen vertaalt zich in een complex juridisch

krachtenveld. Hierin speelt bijvoorbeeld niet alleen de directe eigendom van de

systemen en de daarin vervatte data een rol (koop, lease, huur etc.), maar ook

intellectuele eigendomsrechten (i.c. auteursrecht en databankenrecht), het recht van de

subjecten van deze systemen op bescherming van hun persoonlijke levenssfeer en de

nodige subjectieve rechten, o.g.v. de overeenkomst tussen afnemer en gebruiker,

tussen gebruiker en de personen waarvan de gegevens worden verzameld, tussen de

afnemer en diverse andere belanghebbende instellingen (de overheid, de wetenschap,

verzekeraars). Ter verduidelijking is hieronder het voorbeeld van de verwerking van

gegevens in medische apparatuur in de zorgsector nader omschreven.

Voorbeeld zorgsector

Voor het goed functioneren van de zorgsector is het noodzakelijk dat gegevens van

patiënten voor een groot aantal partijen beschikbaar zijn. De verschillende

behandelaars in de keten hebben gegevens nodig voor het uitvoeren van een goede en

coherente behandeling. De verzekeraars hebben gegevens nodig voor een

economische en efficiënte financiële afhandeling. De wetenschap en de medische

industrie hebben gegevens nodig voor het verbeteren van de toegepaste medische

methoden en technieken. De overheid heeft gegevens nodig voor haar begrotings- en

kwaliteitspolitiek en -beleid. In veel gevallen zijn deze gegevens echter niet zonder

meer uitleesbaar. Dit betekent dat het verder verwerken van deze gegevens,

bijvoorbeeld voor wetenschappelijk medisch onderzoek, in deze gevallen onmogelijk

is, tenzij er aan de leverancier van het IT systeem extra wordt betaald voor ontsluiting.

Ook kunnen de gegevens bij overgang naar een nieuwe leverancier verloren raken,

omdat ze niet uitleesbaar zijn. Een tijdrovend en niet altijd legaal alternatief is reverse

engineering (kraken) van het gegevensformaat (zie 2.2. en 3.2.4. hieronder).

4

De benodigde gegevens zijn in oorsprong hoofdzakelijk van de patiënten afkomstig.

Hoewel de patiënten en alle genoemde partijen uiteenlopende belangen hebben bij het

verwerven en verwerken van de gegevens, delen zij het belang van een optimale en

rechtmatige uitwisseling ervan. De optimale uitwisseling kan onder andere worden

bevorderd door het toepassen van open standaarden en open source software waardoor

de portabiliteit van gegevens en de interoperabiliteit van de door de verschillende

partijen gebruikte systemen kunnen worden verbeterd. De rechtmatigheid van de

uitwisseling is daarbij een zeer belangrijke (rand)voorwaarde, die andere belangen

zoals die van de privacy van de patiënt, de intellectuele eigendom van de

verschillende partijen en de rechtszekerheid dient.

Voor de rechtmatigheid van de uitwisseling van patiëntengegevens gelden

verschillende juridische regimes die in hun onderlinge samenhang moeten worden

beschouwd. Eigendom van (patiënten)gegevens als zakelijk recht (vgl. Boek 5 BW)

bestaat slechts onder de zeer uitzonderlijke omstandigheid van de exclusieve

beschikking en daar zal in het geval van persoonsgegevens vrijwel nooit sprake van

zijn. Intellectuele eigendom van het gebruik van (patiënten)gegevens (auteursrecht,

databankenrecht) is (onder voorwaarden) veelal wel mogelijk. Het betreft hier echter

persoonsgegevens. Belangrijker zijn daarom de regimes die het gebruiksrecht van

persoonsgegevens beperken en het recht van de patiënt om over zijn eigen gegevens te

beschikken bepalen. Het gaat hierbij om de dwingende regels van het privacyrecht en

de bepalingen in de verschillende overeenkomsten die tussen de eerder genoemde

partijen worden gesloten, waarvan de behandelingsovereenkomst en de met de

leveranciers van IT gesloten contracten de belangrijkste zijn.

1.2. Vraagstelling

Uit de hiervoor beschreven probleemstelling vloeit de volgende vraagstelling voort:

1. Welke partijen hebben welke beschikkingsrechten op embedded data in IT-

systemen en

2. Hoe kunnen de belanghebbenden bij deze embedded data optimaal gebruik

maken van deze rechten dan wel deze rechten via de leverings- en

dienstverleningscontracten van de IT-systemen maximaliseren;

1.3. Doelstelling

Het onderzoek moet leiden tot concrete aanbevelingen waarmee in gevallen waarin

duidelijk is welke gegevens er precies worden verwerkt en wie precies de feitelijke

beschikking over deze gegevens heeft kan worden vastgesteld:

1. Wie wettelijk bevoegd is of via de te sluiten overeenkomsten de bevoegdheid

kan verwerven om over deze gegevens te beschikken;

2. Hoe gegeven deze wettelijke bevoegdheden en mogelijke contractuele

bevoegdheden de belangen van de verschillende betrokkenen (optimaliseren

transparantie, portabiliteit en privacy) het beste kunnen worden gediend.

1.4. Onderzoeksmethode en uitvoering

De complexiteit van het probleemveld brengt met zich mee dat een uitsluitend

juridisch theoretische (top down) benadering geen afdoende antwoorden op de

vraagstelling met zich kan meebrengen. De (mogelijke problemen met) concrete

5

beschikkingsrechten over embedded data zijn daarvoor teveel afhankelijk van

concrete casus. Juridisch onderzoek kan wel een antwoord geven op de eerste

onderzoeksvraag (welke partijen hebben welke beschikkingsrechten op embedded

data in IT-systemen), maar niet zonder meer op de tweede onderzoeksvraag (hoe kan

de afnemer van deze systemen (c.q. de overheid) optimaal gebruik maken van deze

rechten dan wel deze rechten via de leverings- en dienstverleningscontracten

maximaliseren). Hiervoor is onderzoek in de praktijk nodig, omdat het hierbij gaat om

het feitelijk optimaliseren van de transparantie en de portabiliteit van de embedded

data. Er is daarom gekozen voor een combinatie van juridisch literatuur- en

rechtsbronnenonderzoek en een praktijkonderzoek (drie concrete casus) en het

abstraheren van de gevonden problemen met beschikkingsrechten naar mogelijke

juridische oplossingen in de aanbevelingen.

Het onderzoek heeft daarom uit twee delen bestaan. Juridisch onderzoek naar

beschikkingsrechten op embedded data en praktijkonderzoek naar drie concrete casus.

Op basis van deze twee onderzoeken worden ten slotte aanbevelingen gedaan voor het

adequaat regelen van de beschikking over embedded data bij het afsluiten van de

overeenkomsten tot levering van de betrokken systemen resp. de daaraan verbonden

dienstverlening, waarbij met de verschillende hiervoor genoemde belangen

(transparantie, interoperabiliteit, privacy) rekening wordt gehouden.

Er zijn vier bijeenkomsten met de opdrachtgever gepland:

1. Bespreking opzet onderzoek (heeft plaatsgevonden op 16 mei 2011)

2. Bespreking voorlopige resultaten van het onderzoek naar de drie casus (heeft

plaatsgevonden op 30 augustus 2011)

3. Bespreking concept rapport (heeft plaatsgevonden op 3 oktober 2011)

4. Presentatie eindrapport (op 15 november 2011)

De drie casus zijn geselecteerd in overleg met de opdrachtgever. Bij de

voorbespreking zijn de volgende mogelijke casus aan de orde gekomen:

1. Onderwijs

a. Elo (Progress, Nestor);

b. Kopieerapparatuur.

2. Zorg

Diagnostische en therapeutische apparatuur.

3. Dienstverlening (lokale) overheid

a. Huisvuilpas en afvalverwerking (keten);

b. Gas- water en elektriciteit (privaat!);

c. Sensors openbare orde en politie;

d. OV Chipkaart.

Na overleg over de opzet van het onderzoek met de opdrachtgever is begonnen met

het juridisch onderzoek en zijn de volgende drie praktijkonderzoeken opgestart:

1. Onderzoek naar embedded data in kopieer- en reproductieapparatuur bij de

RUG;

2. Onderzoek naar embedded data in diagnostische en therapeutische apparatuur

bij het UMCG;

3. Onderzoek naar embedded data bij het aanbieden van huisvuil met de

huisvuilpas in afvalcontainers bij de Gemeente Groningen.

6

Het juridisch onderzoek is op de traditionele manier uitgevoerd door

literatuuronderzoek en rechtsbronnenonderzoek (wetgeving en jurisprudentie). De

gebruikte literatuur en rechtsbronnen zijn opgenomen in een bijlage. In hoofdstuk

twee worden de uitkomsten van dit onderzoek gepresenteerd.

Het praktijkonderzoek naar de drie casus is uitgevoerd door het interviewen van een

of meer deskundigen die bij het beleid en beheer van de desbetreffende apparatuur

betrokken zijn1. Er is daarnaast ook steeds gekeken naar de apparatuur in werking, de

bijbehorende documentatie en naar de IT-contracten.

In de interviews en uit de documentatie is de volgende informatie verzameld:

1. Systeem (technische informatie over de gebruikte apparatuur en de

beveiliging);

2. Het gebruik van en de feitelijke beschikking over embedded data

(procesinformatie over het beheer en gebruik van de apparatuur m.b.t.

embedded data);

3. Oordeel over de feitelijke en gewenste transparantie en portabiliteit van de

embedded data;

4. Contractuele bepalingen over de beschikkingsrechten op de embedded data:

a. Eigendom;

b. Intellectuele eigendom;

c. Gebruiksrechten en meewerkverplichtingen;

d. Beperkingen: Bescherming persoonlijke levenssfeer en bedrijfs-

geheimen.

Een volledige beschrijving van deze informatie is opgenomen in de bijlagen.

Onderdelen van deze informatie worden in hoofdstuk drie in de juridische context van

het beschikken over embedded data geplaatst. Hierbij worden ook de verschillende

betrokken belangen besproken.

De conclusies en aanbevelingen in hoofdstuk vier zijn gebaseerd op het juridisch

onderzoek (wat is de juridische status van embedded data) en het praktijkonderzoek

(hoe wordt er feitelijk met embedded data omgegaan, welke belangen spelen er, hoe

zijn deze belangen contractueel afgedekt). De centrale vraag hierbij is of de bestaande

regelgeving en praktijk deze belangen adequaat dienen. De aanbevelingen bestaan uit

normen voor het adequaat dienen van deze belangen. Hierbij zal ook de vraag worden

beantwoord of deze normen het best via wetgeving dan wel via contracten kunnen

worden doorgevoerd.

1.5. Gehanteerde definities

Embedded data zijn gegevens die worden vastgelegd of gegenereerd bij het gebruiken

van IT systemen, maar die niet tot de reguliere uitvoer naar de gebruiker van het

systeem zelf behoren en daarom niet per definitie beschikbaar (uitleesbaar en/of

interpreteerbaar) zijn voor deze gebruiker.

1 Het praktijkonderzoek is uitgevoerd in samenwerking met drie onderzoekers: Arjan de Jong (kopieer-

en reproductieapparatuur), Alex Rothuis (diagnostische en therapeutische apparatuur) en Willem de

Haas (huisvuilpas).

7

Het kan gaan om data die noodzakelijk zijn voor het functioneren van de IT

systemen, bijvoorbeeld gegevens die de gebruiker identificeren, gegevens die de

parameters voor verdere verwerking vormen (o.a. de keuze voor bepaalde subroutines

bepalen) en om ruwe data die door de sensoren van deze systemen worden

geregistreerd of door de procedures van deze systemen worden gegenereerd en

vervolgens worden omgezet in voor de gebruiker bruikbare uitvoer, zoals de

uitgedraaide kopie bij een kopieermachine of de schermafbeelding van een medische

scan. Het kan ook gaan om gegevens die noodzakelijk zijn voor het uitvoeren van

taken buiten deze IT systemen, bijvoorbeeld de administratieve gegevens die worden

gebruikt voor centrale opslag en de verdere verwerking van gegevens bijvoorbeeld

voor back ups of voor beleids- of wetenschappelijke doeleinden. Het kan ten slotte

gaan om gegevens die niet noodzakelijk zijn voor het functioneren van de IT

systemen zelf of voor de uitvoering van taken buiten deze systemen. Als het in dit

laatste geval gaat om persoonsgegevens dan moeten deze op grond van de Wet

Bescherming Persoonsgegevens (Wbp) worden verwijderd, tenzij de betrokkene zijn

ondubbelzinnige toestemming heeft gegeven. Voor zover er toestemming is of als het

niet gaat om persoonsgegevens dan is deze categorie van niet noodzakelijke gegevens

per definitie niet relevant voor de continuïteit. Pas als deze gegevens noodzakelijk

worden voor het functioneren van de IT systemen of voor de uitvoering van andere

taken buiten deze systemen is er sprake van voor dit onderzoek relevante embedded

data.

Het is overigens van belang om een onderscheid te maken tussen normatieve

en technische noodzakelijkheid. Normatieve noodzakelijkheid betekent dat een

gegeven op grond van wetgeving of contractueel moet worden opgenomen in een IT

systeem. Technische noodzakelijkheid betekent dat het systeem zo is ontworpen dat

het niet werkt zonder deze gegevens. Het is deze laatste technische noodzakelijkheid

die in combinatie met gebrekkige beschikbaarheid van embedded data continuïteits-

problemen oplevert bij overgang naar andere systemen, omdat een niet technisch

noodzakelijk gegeven de continuïteit niet bedreigt. Het is overigens denkbaar dat het

gebruiken van deze embedded data in strijd met de wet of een contract plaatsvindt.

Het functioneren van een huisvuilregistratiesysteem kan bijvoorbeeld heel goed

afhankelijk zijn van gegevens die in strijd met het privacyrecht worden verzameld,

bijvoorbeeld omdat ze niet proportioneel zijn in de zin van art. 11 lid 1 van de Wbp.

Ook in dat geval is het kunnen beschikken over deze gegevens essentieel voor de

continuïteit. De vraag of het systeem normconform moet worden ingericht valt in dit

geval grotendeels samen met de vraag welke beperkingen het privacyrecht oplegt aan

de continuïteitsbehoefte.

Transparantie van embedded data betreft de vraag of deze gegevens voor de afnemer

van een IT-systeem en andere belanghebbenden uitleesbaar en interpreteerbaar zijn;

Portabiliteit van embedded data betreft de vraag of de gegevens door de afnemer van

een IT-systeem overdraagbaar zijn naar andere aanvullende of vervangende IT-

systemen. Portabiliteit omvat Interoperabiliteit, d.w.z. het toepasbaar zijn van de

functies van deze aanvullende of vervangende IT-systemen op de overdraagbare

embedded data.

De bescherming van persoonsgegevens speelt hierbij een rol omdat embedded

data vaak persoonsgegevens zijn en deze juist redenen kunnen geven om de

transparantie en portabiliteit te beperken.

8

Continuïteit: Transparantie en Portabiliteit van embedded data zijn noodzakelijke

voorwaarden voor de continuïteit van de processen die door de IT-systemen waarin zij

zijn opgenomen worden ondersteund. In geval van overgang naar een nieuw IT-

systeem, langdurige technische storingen of afbreuk aan de kant van de leverancier

(bijv. door overmacht, wanprestatie, surseance of faillissement) zijn deze garanties

voor continuïteit vereist. Continuïteit spreekt niet vanzelf. De wet schrijft deze niet

voor. Alleen specifieke contractuele clausules kunnen daarom in de huidige praktijk

de continuïteit garanderen.

Standaard: Een standaard is een gedragsnorm, die een bepaald (beweerdelijk) doel

dient en die een technische implementatie kan (maar niet behoeft) te hebben. In het

laatste geval is er sprake van een “technische” standaard. De betrouwbaarheid van

standaarden is onder meer sterk afhankelijk van hun bron. Veel standaarden worden

vastgesteld in een politiek proces (o.a. al onze wetgeving) of via private

overeenkomsten (bijv. bij de toepassing van ISO standaarden). De betrouwbaarheid

van standaarden neemt toe als ze gebaseerd zijn op wetenschappelijk onderzoek.

Continuïteit is vaak een verwaarloosd aspect in IT contracten. Het is daarom van

belang om over standaarden te beschikken die voorschrijven welke bepalingen in IT

contracten moeten worden opgenomen om de transparantie en portabiliteit van

embedded data te waarborgen.

9

2. Welke partijen hebben welke beschikkingsrechten op embedded data

Voor dit onderzoek relevante embedded data zijn in IT systemen aanwezige gegevens

die noodzakelijk zijn voor het functioneren van deze IT systemen zelf of voor

uitvoering van andere taken, maar die niet tot de reguliere uitvoer naar de gebruiker

van het IT systeem zelf behoren en daarom niet per definitie beschikbaar zijn voor

deze gebruiker2. Het gaat veelal om gegevens die de gebruiker identificeren en zijn

gebruik registreren en ruwe gegevens die worden gebruikt om uitvoer te genereren. In

het geval van printers zijn dit bijvoorbeeld de digitale gegevens die gebruikt worden

om de gebruiker te identificeren (bijv. i.v.m. autorisatie), om zijn gebruik te

registreren (bijv. i.v.m. beheer, onderhoud en doorberekening) en om de gewenste

afdrukken te maken. In het geval van medische systemen zijn het de patiënt- en

meetgegevens die worden gebruikt om gegevens van patiënten op een bepaalde

manier op het scherm te brengen en in het dossier op te slaan. In het geval van de

huisvuilpas zijn het de gegevens van de aanbieder en gegevens over de tijdtippen,

plaatsen en frequentie van het aanbod.

Zolang embedded data vluchtig zijn, d.w.z. alleen verzameld en gebruikt

worden voor het actuele proces en dan weer worden gewist, is er niets aan de hand.

Zodra deze gegevens worden bewaard ofwel om toekomstige functionaliteit te

ondersteunen (bijvoorbeeld om opnieuw dezelfde of gecombineerde uitvoer te

genereren) ofwel om administratieve redenen, rijst de vraag wie de

beschikkingrechten over deze gegevens hebben. Het belang van een antwoord op deze

vraag is gelegen in het voorkomen van afbreukrisico’s (overmacht, wanprestatie,

surseance, faillissement van de leverancier etc.) en in het bevorderen van de

continuïteit door transparantie en portabiliteit (het kunnen uitlezen van deze gegevens

voor toekomstig gebruik in dezelfde of andere IT systemen). Zoals gezegd speelt de

privacybescherming hierbij een rol omdat deze juist prohibitief kan zijn voor

transparantie en portabiliteit.

De beschikkingsrechten ten aanzien van embedded data kunnen zijn gebaseerd op3:

1. Eigendom van de gegevens en gegevensdragers

2. Intellectuele eigendom van de gegevens

3. Gebruiksrechten ten aanzien van de gegevens

4. Bescherming van de persoonlijke levenssfeer en bedrijfsgeheimen

De eerste drie rechten van eigendom, intellectuele eigendom en gebruik geven de

bevoegdheid tot het verwerken van embedded data en tot het beperken van het

verwerken van embedded data door anderen. De laatste twee rechten van bescherming

van de persoonlijke levenssfeer en bedrijfsgeheimen geven alleen de bevoegdheid om

het verwerken van embedded data door anderen te beperken.

2 Er is gekozen voor deze beperking omdat gegevens die niet noodzakelijk zijn voor het functioneren

van IT systemen, niet tot problemen in de sfeer van de continuïteit leiden. 3 De wettelijke beschikkingsrechten van overheden in het kader van politie- en justitietaken, fiscaliteit

etc. blijven hier buiten beschouwing.

10

In het onderstaande worden in de eerste plaats de beschikkingsrechten op embedded

data behandeld. Deze moeten worden onderscheiden van de beschikkingsrechten op

de kennis, de software en de hardware die onderdeel uitmaken van een IT-systeem.

Deze laatste rechten zijn niet van belang voor de beschikkingsrechten op embedded

data, maar wel voor het feitelijk beschikken over embedded data, omdat ze vaak nodig

zijn voor hun ontsluiting.

2.1. Eigendom van embedded data

In deze paragraaf wordt de vraag beantwoord of embedded data het voorwerp van

eigendom kunnen zijn, wat de omvang van het hieruit voortvloeiende

beschikkingsrecht is en welke juridische voorzorgsmaatregelen er vereist zijn voor het

dienen van de betrokken belangen.

Gegevens zijn fysieke kenmerken van fysieke objecten waaraan een

waarnemer betekenis kan toekennen. Informatie is de betekenis die een waarnemer

aan een gegeven toekent. Gegevens zijn daarom in tegenstelling tot informatie

onderdeel van fysieke objecten. Fysieke objecten kunnen voorwerp zijn van

eigendom. Gegevens zijn daarom eigendom van de eigenaar van hun drager (het

fysieke object waarvan zij kenmerken zijn). Als gegevens (c.q. hun drager) rechtmatig

worden overgedragen dan is de nieuwe eigenaar van hun drager tevens eigenaar van

de gegevens. Als gegevens worden gedeeld (de drager wordt gekopieerd en

overgedragen) dan verkrijgt de eigenaar van de ontvangende drager de eigendom van

de kopie van de gegevens. De intellectuele eigendomsrechten van de maker van de

oorspronkelijke gegevens kunnen de nieuwe eigenaar van het origineel of van een

kopie wel enigszins beperken in de uitoefening zijn eigendomsrecht. Als de gegevens

door de nieuwe eigenaar onrechtmatig worden openbaargemaakt of verveelvoudigd

kan er sprake zijn van inbreuk op het auteursrecht van de maker. Dit zal echter niet

snel het geval zijn (zie 2.2. en 2.3. hier onder).

Het voorgaande brengt met zich mee dat niet gedeelde gegevens feitelijk

exclusief eigendom zijn van de eigenaar van hun drager c.q. het systeem waarin ze

zijn opgeslagen. Dit betekent dat bij overdracht van de eigendom van een IT-systeem

in beginsel ook de eigendom van de met behulp van dat systeem door of vanwege de

eigenaar van het IT-systeem gegenereerde gegevens bij deze eigenaar, i.c. de afnemer,

komt te liggen. In het geval van embedded data betekent dit dat, als de eigendom van

een IT-systeem wordt overgedragen aan de afnemer en voor zover deze gegevens niet

worden meegeleverd met het IT-systeem, maar worden gegenereerd bij het gebruik,

zij eigendom zijn van de afnemer. Praktisch gezien betekent dit dat de eigenaar van de

kopieermachine, de eigenaar van het medische apparaat, resp. de eigenaar van het

vuilophaalsysteem tevens eigenaar zijn van de daarin gegenereerde embedded data.

De beschikkingsrechten die samenhangen met de eigendom van embedded

data die voortvloeit uit de eigendom van hun drager kunnen wel worden beperkt door

wettelijke of contractuele beschikkingrechten van anderen. Het gaat hierbij

bijvoorbeeld om de intellectuele eigendomsrechten van de maker van het format van

de data (niet de data zelf!), om rechten op bescherming van de persoonlijke

levenssfeer van de personen waarop de gegevens betrekking hebben en de gebruiks-

en beperkingsrechten die de eigenaar contractueel aan de leverancier heeft gelaten

(bijvoorbeeld ten behoeve van het beheer of onderhoud en ten behoeve van de

bescherming van bedrijfsgeheimen) of aan derden heeft gegund, bijvoorbeeld door de

IT-systemen te verhuren of op een andere wijze in gebruik te geven aan derden. Het is

van belang dat in IT contracten expliciet wordt aangegeven dat alle beschikkings-

11

rechten met de eigendom van het IT-systeem worden overgedragen of heel exact

wordt beschreven welke beschikkingsrechten door de leverancier worden

voorbehouden. In gevallen waarin niet de volledige beschikkingsrechten worden

overgedragen, bijvoorbeeld bepaalde intellectuele eigendomsrechten op kennis,

software of hardware worden voorbehouden of bepaalde gebruiksrechten worden

voorbehouden (bijv. t.b.v. het beheer of onderhoud) moet de scheidslijn tussen de

beschikkingsrechten t.a.v. de embedded data en de voorbehouden beschikkingsrechten

heel expliciet worden omschreven.

Zodra gegevens rechtmatig gedeeld worden of door derden worden ingevoerd

(bijvoorbeeld door de gebruiker van het systeem) is geen sprake meer van exclusieve

eigendom en moeten de beschikkingsrechten over de embedded data worden

beschouwd vanuit een ander perspectief nl. dat van de intellectuele eigendomrechten

(paragraaf 2.2.) of de gebruiksrechten (paragraag 2.3.).

2.2. Intellectuele eigendomsrechten op embedded data


intellectuele eigendom kunnen zijn, wat de omvang van het hieruit voortvloeiende



Zodra gegevens eenmaal gedeeld of zelfs openbaar zijn geworden, wordt ten

behoeve van de producent van de gegevens slechts de verzameling en zijn structuur

als geheel (databankenrecht) en/of de vormgeving (auteursrecht) beschermd. Het

gebruiken van gegevens die in IT-systemen worden gegenereerd kan slechts beperkt

worden door intellectuele eigendomsrechten als de beweerde rechthebbende de

databank of het werk waarin de gegevens zijn vervat zelf heeft gemaakt of daartoe

expliciet opdracht heeft gegeven. Het moet dan in het geval van het databankenrecht

bovendien gaan om het opvragen of hergebruiken van een substantieel deel van de in

de databank opgeslagen gegevens dan wel om het herhaald en systematisch opvragen

of hergebruiken van een deel van de databank in strijd met de normale exploitatie

ervan. In het geval van het auteursrecht moet het bovendien gaan om openbaarmaking

of verveelvoudiging en om een werk. Een verzameling gegevens voldoet niet aan de

werkeis als deze geen eigen oorspronkelijk karakter heeft.

In het geval van embedded data is aan deze vereisten niet voldaan. De

gegevens worden niet door de leverancier gegenereerd, maar onder de

verantwoordelijkheid van (door) de afnemer. Voor zover er sprake is van een

databank liggen de rechten daarom volledig bij de afnemer. Wat betreft het

auteursrecht op de vorm (het format) van de gegevens geldt dat bij hergebruik van

embedded data door de afnemer van het IT systeem geen sprake is van

openbaarmaking. Er is bovendien slechts sprake van onrechtmatige openbaarmaking

of verveelvoudiging als er geen wettelijk of contractueel gebruiksrecht is dat dit

toestaat (en dat is er in veel gevallen wel zie 2.3. hieronder) en de gegevens bovendien

met behulp van een werk (software) waarop de leverancier auteursrecht heeft

verveelvoudigd worden of met behulp van andere middelen in dezelfde vorm worden

verveelvoudigd als waarin ze in het IT systeem zijn opgeslagen.

Intellectuele eigendomsrechten van de leverancier op de kennis, software en

hardware kunnen daarom slechts indirecte problemen opleveren als daar inbreuk op

moet worden gemaakt om de transparantie en portabiliteit van de embedded data te

bevorderen. Er moet daarom, in gevallen waarin de intellectuele eigendom door de

12

leverancier wordt voorbehouden, in het IT-contract een expliciete sublicentie worden

opgenomen die gebruik van die kennis, software en/of hardware toestaat voor het

transparant en portabel maken van de embedded data4. Daarnaast moet voor het geval

van afbreuk van de leverancier (wanprestatie, surseance, faillissement etc.) ook een

broncodedepot ten behoeve van de leverancier worden gedaan. In veel gevallen is dat

nog niet voldoende omdat de embedded data niet met behulp van de geleverde

configuratie transparant en portabel kunnen worden gemaakt. Het zelf achterhalen van

het format door reverse engineering is in strijd met de auteurswet (art. 45m

Auteurswet). Als de gegevens niet uitleesbaar zijn dan moet daarom bedongen

worden dat de leverancier deze mogelijkheid toevoegt. Als de gegevens wel

uitleesbaar, maar niet interpreteerbaar zijn moet de leverancier het format van de

gegevens meeleveren.

2.3. Gebruiksrechten op embedded data en meewerk-verplichting


gebruiksrechten kunnen zijn, wat de omvang van het hieruit voortvloeiende



In de gevallen waarin niet de eigendom of intellectuele eigendom van het

volledige IT-systeem door de leverancier wordt overgedragen aan de afnemer, maar

bijvoorbeeld sprake is van huur of lease en/of een gebruikslicentie rijst de vraag of er

een al dan niet exclusief gebruiksrecht op de embedded data bestaat. Op intellectuele

eigendomsrechten gebaseerde gebruiksrechten, maar ook zelfstandige gebruiksrechten

ten behoeve van de afnemer of andere belanghebbenden kunnen niet alleen bij wet,

maar ook bij overeenkomst worden gecreëerd. Als dit niet tot de mogelijkheden

behoort is het contractueel bedingen van een verplichting van de leverancier om mee

te werken aan het transparant en portabel maken van embedded data een goed

alternatief.

Het intellectuele eigendomsrecht kent een aantal wettelijke gebruiksrechten op

gegevens (bijvoorbeeld de verveelvoudiging van een gegevensverzameling door de

rechtmatige gebruiker die noodzakelijk is om toegang te verkrijgen tot en normaal

gebruik te maken van de verzameling, art. 24a Aw) die voor de probleemstelling van

dit onderzoek minder relevant zijn omdat zij de continuïteit niet beïnvloeden (voor

transparantie en portabiliteit is niet verveelvoudiging, maar toegankelijkheid

essentieel). In het geval van het databankenrecht en auteursrecht kunnen ook

contractuele gebruiksrechten worden gevestigd (een zgn. gebruikslicentie op grond

van een gebruiksrechtovereenkomst). Hierboven is al duidelijk geworden dat het

intellectuele eigendomsrecht in het geval van embedded data geen toepassing vindt op

de data zelf. Hieruit volgt dat er in dat geval ook geen op het intellectuele

eigendomsrecht gebaseerde gebruiksrechten op embedded data kunnen bestaan. Er

hoeft zoals hierboven is aangegeven slechts op te worden gelet dat er een (sub)licentie

wordt bedongen voor het gebruik van de beschermde onderdelen van het IT systeem

voor het transparant en portabel maken van de embedded data.

4 Hierbij geldt dat het gebruiken van deze kennis, software en/of hardware om de embedded gegevens

uit te lezen auteursrecht vereist, het verder gebruiken van de embedded data echter niet!

13

Zelfstandige (niet op intellectuele eigendomsrechten gebaseerde) gebruiks-

rechten op embedded data kunnen wel bestaan. Deze gebruiksrechten kunnen

wettelijk zijn of bij overeenkomst worden gecreëerd.

Wettelijke zelfstandige gebruiksrechten betreffen o.a. de rechten van de

overheid tot inzage in gegevens (o.a. strafrecht, belastingrecht) en de rechten van

natuurlijke personen op grond van de Wbp (zie hieronder). De wettelijke

gebruiksrechten van de overheid zijn in het geval van embedded data niet per se

prohibitief voor de continuïteit van hun gebruik en daarom voor dit onderzoek van

minder belang.

Contractuele zelfstandige gebruiksrechten kunnen bijvoorbeeld onderdeel

uitmaken van een lease- of huurovereenkomst of een andere overeenkomst waarbij

niet de (intellectuele) eigendom van het IT-systeem wordt overgedragen. Het is

ongebruikelijk dat de leverancier van een IT systeem dergelijke gebruiksrechten

voorbehoudt5 (dit is overigens anders in het geval van de kennis en de software die

onderdeel uitmaken van het IT-systeem, zie onder intellectuele eigendom hierboven).

De afnemer dient zich er echter wel van te vergewissen dat een dergelijk

gebruiksrecht niet door de leverancier is voorbehouden, al dan niet onder het

gelijktijdig afstaan van een beperkt gebruiksrecht (vgl. een sublicentie) aan de

afnemer.

Het is wel gebruikelijk dat de afnemer van IT-systemen zelf weer

gebruiksrechten aan derden afgeeft, bijvoorbeeld aan derden die gebruik maken van

die IT-systemen (gebruik o.g.v. huur, lease, als onderdeel van een

dienstverleningsovereenkomst of dienstbetrekking of anderszins), aan dienstverleners

(beheers- en onderhoudsorganisaties etc.), aan overheden en instellingen om

administratieve redenen (bijv. voor statistische doeleinden of aan verzekeraars) en aan

de subjecten van deze systemen (de personen waarvan de gegevens worden

verzameld), bijvoorbeeld het recht op inzage van de eigen gegevens. In een enkel

geval is de leverancier zelf een dergelijke ontvanger van een gebruiksrecht (bijv. als

de leverancier een onderhoudsovereenkomst met de afnemer sluit). Ook in deze

gevallen moet de afnemer opletten dat er geen exclusieve gebruiksrechten worden

gevestigd.

Als er geen gebruiksrechten kunnen worden bedongen of deze gebruiksrechten

onvoldoende garantie voor continuïteit bieden, bijvoorbeeld omdat het transparant

en/of portabel maken van embedded data ingewikkeld of zelfs onmogelijk is, dan is

het contractueel vastleggen van een meewerkverplichting van de leverancier een goed

alternatief.

2.4. Bescherming van de persoonlijke levenssfeer en van bedrijfsgeheimen

In deze paragraaf worden twee veelvoorkomende beperkingen op de in de vorige

paragrafen behandelde beschikkingsrechten op embedded data besproken. De

wettelijke beperking van bescherming van de persoonlijke levenssfeer en de

contractuele beperking van bedrijfsgeheimen. Ook hier wordt de vraag beantwoord

welke juridische voorzorgsmaatregelen er vereist zijn voor het dienen van de

betrokken belangen.

5 Zie echter de casus betreffende reproductieapparatuur, waarin beheersrechten ten aanzien van alle

gegevens bij de leverancier blijven!

14

Als embedded data een geïdentificeerde of identificeerbare natuurlijke persoon

betreffen dan is er sprake van persoonsgegevens in de zin van de Wbp (art. 1.a.). De

definitie van embedded data als gegevens die noodzakelijk zijn voor het functioneren

van IT systemen brengt met zich mee dat er bovendien altijd sprake zal zijn van

verwerking van persoonsgegevens in de zin van de Wbp (art. 1.b.). Hier worden

slechts de bepalingen uit de Wbp behandeld die mogelijk de continuïteit in de zin van

transparantie en portabiliteit van de embedded data beïnvloeden.

Het gebruiken van persoonsgegevens voor een ander doel dan waarvoor zij

oorspronkelijk vastgelegd zijn is niet toegestaan (artt. 7 en 9 leden 1 en 2 Wbp). Als

de embedded persoonsgegevens verzameld zijn in overeenstemming met de Wbp dan

is er in beginsel geen juridisch obstakel voor het porteren van deze gegevens naar een

ander IT-systeem in dezelfde context en met dezelfde functionaliteit omdat het doel

dan hetzelfde blijft. Voor het gebruiken van de embedded data in systemen met een

andere (ook uitgebreidere) functionaliteit en derhalve een ander (uitgebreider) doel

geldt dit echter niet. Dit kan een ernstig obstakel zijn voor de continuïteit omdat voor

elk doel op zichzelf een wettelijke basis moet zijn of toestemming moet worden

gevraagd. Dit volgt uit art. 6 Wbp (wetmatige, behoorlijke en zorgvuldige, d.w.z. ook

naar de betrokkene toe transparante verwerking), uit art. 8 Wbp (vereiste toestemming

betrokkene of verwerking voor gerechtvaardigde doeleinden, w.o. volgens art. 8 sub f

een doel dat proportioneel is ten opzichte van de belangen en fundamentele rechten

van de betrokkene) en uit art. 11 Wbp (de gegevens moeten gezien de doeleinden

waarvoor zij worden verzameld of verwerkt toereikend, ter zake dienend en niet

bovenmatig zijn). Bovendien hebben nieuwe (vervangende) IT systemen vrijwel nooit

exact dezelfde functionaliteit als de systemen die zij vervangen. Gaat het om

bijzondere persoonsgegevens (art. 16 Wbp, o.a. gegevens betreffende de gezondheid)

dan gelden nog sterkere beperkingen. In het geval van gegevens betreffende de

gezondheid bijvoorbeeld dat de verwerking voor een goede behandeling of verzorging

van betrokkenen noodzakelijk is. In het geval van het porteren van embedded data

naar een nieuw IT-systeem geldt bovendien dat de verantwoordelijke verplicht is dit

aan de betrokkene te melden (informatieplicht artt. 33 en 34 Wbp). De betrokkene

heeft vervolgens weer het recht om zich te verzetten tegen verdere verwerking (art.

40-41 Wbp). Het recht op bescherming van de persoonlijke levenssfeer is daarmee

niet alleen een beperking op de in de voorgaande paragrafen behandelde

beschikkingsrechten, maar ook een beschikkingsrecht op zichzelf, dat de betrokkene

kan inroepen tegen de afnemer van het IT systeem.

Een zelfstandig probleem is dat de verantwoordelijke (c.q. de afnemer van het

IT-systeem) de vertrouwelijkheid en de geheimhouding van de embedded

persoonsgegevens moet garanderen (o.a. art 12 Wbp). De eisen van transparantie en

portabiliteit kunnen strijden met deze eis.

Een andere situatie waarin de afnemer de geheimhouding van de embedded

data moet garanderen is als hij zich contractueel verbonden heeft om de

bedrijfsgeheimen van de leverancier te bewaren. De embedded data zelf zijn

overigens nooit bedrijfsgeheim. Hun structuur of format kan dit echter wel zijn. De

verplichting van het bewaren van een bedrijfsgeheim kan onder omstandigheden ook

impliciet voortvloeien uit het contract (o.g.v. de Haviltex norm, zie 3.2.4. hieronder).

Deze verplichting kan overigens nooit in de weg staan aan de transparantie en

portabiliteit van de embedded data, omdat deze in beginsel geen schending van het

bedrijfsgeheim met zich meebrengen.

15

In de voorgaande paragrafen is al geconcludeerd dat de wettelijke regeling van

(intellectuele) eigendomsrechten en gebruiksrechten op embedded data op zichzelf

onvoldoende is om de continuïteit te garanderen. In deze paragraaf blijkt bovendien

dat volledige uitoefening van het recht op bescherming van de persoonlijke

levenssfeer wel een behoorlijk obstakel voor de continuïteit kan opleveren. Er is

daarom een onbalans tussen enerzijds de beschikkingrechten die de continuïteit

dienen en anderzijds de beperkingen daarvan m.n. door het privacyrecht. Deze

onbalans kan niet worden opgeheven door wetgeving omdat de wetgever6 en de

rechter7 er van uitgaan dat het recht op privacy prevaleert boven het recht op

(intellectuele) eigendom.

6 Zie hierover onder andere art. 8f van de Wet Bescherming Persoonsgegevens, art. 7f van de Europese

Privacyrichtlijn (95/46/EG) en de Resolutie van het Europees Parlement van 10 maart 2010 over

transparantie en de stand van zaken bij de ACTA-onderhandelingen, overweging H 7 Zie hierover onder andere het HvJ EG in de zaak Promusicae/Telefonica ( HvJ EG 29/01/2008,

zaaknr. C-275/06)

16

3. Casus

3.1. Kopieer- en reproductieapparatuur

In dit deelonderzoek is onderzocht hoe de kopieer- en reproductieapparatuur bij de

RUG feitelijk functioneert en in het bijzonder welke embedded data hierbij worden

gebruikt en hoe de transparantie, de portabiliteit en de beschikkingsrechten

contractueel zijn geregeld. De resultaten van dit deelonderzoek zijn neergelegd in een

afzonderlijke rapportage (zie bijlage 1). Hier worden alleen de belangrijkste

bevindingen geciteerd.

3.1.1. Bronnen:

1. Interview met Peter van Laarhoven, Projectleider Printbeleid (CIT), RUG

2. Interview met Ronald Jongstra, Beheerder Managed Print Services, Ricoh

3. Raamovereenkomst Ricoh en RUG

4. Algemene Inkoopvoorwaarden RUG

3.1.2. Het systeem en de verwerking van embedded data De kopieer- en reproductieapparatuur bij de RUG ontvangt op twee wijzen embedded

data:

1. Handmatig: bij het aanbieden van reproductiejobs moet een code worden

ingevoerd, die wordt gekoppeld aan de locatie en het te reproduceren object.

Dit leidt tot identificatie (als de code t.b.v. doorberekening wordt gekoppeld

aan de gegevens van een individuele medewerker) of identificeerbaarheid als

de code aan een object wordt gekoppeld dat persoonsgegevens bevat (dit geldt

per definitie voor alle documenten waar persoonsgegevens in voorkomen zoals

brieven, rapporten etc.);

2. Digitaal: de reproductiejobs worden aangeboden via het netwerk. Dit leidt per

definitie tot identificatie, nl. door koppeling van het ip-nummer van de

aanbieder met de job.

Er is sprake van embedded data omdat ze worden bewaard en hergebruikt:

1. De gegevens worden gebruikt voor andere administratieve processen;

2. De gegevens blijven voor de gebruiker toegankelijk in het geheugen van de

reproductieapparatuur tot ze worden gebruikt voor reproductie;

3. De gegevens blijven niet langer voor de gebruiker toegankelijk in het

geheugen van de reproductieapparatuur achter totdat ze worden gewist door de

beheerder of worden overschreven.

3.1.3. Belanghebbenden Belanghebbenden zijn in dit geval de afnemer van de apparatuur in verband met de

gewenste continuïteit en de gebruikers van de apparatuur in verband met hun recht op

privacy (registratie van gebruik en gereproduceerde gegevens). De

auteursrechthebbenden op het gereproduceerde materiaal zijn geen directe

belanghebbenden. Hun belangen worden afgehandeld via de Stichting reprorecht.

17

3.1.4. Transparantie en Portabiliteit De gegevens zijn na reproductie slechts deels door de oorspronkelijke gebruiker

uitleesbaar (alleen jobs waarvoor de objecten door de gebruiker expliciet in het

geheugen worden geplaatst). Alle gegevens (dus ook de persoonsgegevens) zijn

uitleesbaar door de beheerder, die in dit geval tevens de leverancier is. De afnemer (de

RUG) heeft, afgezien van gegevens die t.b.v. administratieve doeleinden aan

gekoppelde IT-systemen worden afgestaan, geen directe toegang tot de embedded

data. De embedded data worden opgeslagen in het eigen formaat van RICOH. De

afnemer is voor het uitlezen en interpreteren ervan afhankelijk van RICOH.

De gegevens zijn deels voor de gebruiker uitleesbaar (een mail aan de

gebruiker) en deels voor vooraf gekoppelde administratieve systemen van de afnemer.

Ze zijn echter niet portabel naar andere systemen. In het contract is wel een bepaling

opgenomen dat de leverancier aan de overgang naar systemen van nieuwe

leveranciers medewerking moet verlenen. Dit biedt echter onvoldoende garantie voor

continuïteit in geval van een groot aantal afbreukrisico’s zoals wanprestatie,

overmacht, surseance en faillissement.

3.1.5. Beschikkingsrechten

Het grootste deel van de kopieer- en reproductieapparatuur wordt gehuurd van

Ricoh. De RUG is daarom geen eigenaar van de apparatuur en evenmin van de

embedded data. Het intellectueel eigendomsrecht ten aanzien van het format van de

embedded data en de uitleesconfiguratie blijft bij Ricoh. Er is geen broncodedepot

gevestigd voor deze configuratie. Er is een contractueel gebruiksrecht gevestigd voor

het gebruik van de embedded data door de RUG. Ricoh heeft een meewerkverplich-

ting in geval van beëindiging van de overeenkomst. Voor het geval dat Ricoh niet

meer in staat is om mee te werken is echter niets geregeld. Een depot van de voor de

continuïteit vereiste beheerskennis (toegangscodes, protocollen) en een (beperkt) recht

op voortgezet gebruik van de apparatuur zou in dit geval een oplossing bieden.

De privacy van deze systemen is onvoldoende geregeld. Er is geen technische

beveiliging tegen het uitlezen van persoonsgegevens door de beheerder (een derde

partij!). Er is wel voldoende bescherming tegen het uitlezen van persoonsgegevens

door andere gebruikers en derden. Het contract bevat geen nadere bepalingen over dit

onderwerp.

18

3.2. Diagnostische en therapeutische apparatuur

Het praktijkonderzoek op het gebied van diagnostische en therapeutische apparatuur

heeft plaatsgevonden bij het UMCG. Aangezien er op bestuurlijk en ondersteunend

niveau geen problemen rond de toegankelijkheid bekend waren en er wel signalen

waren dat er bij het wetenschappelijk gebruik van ruwe medische data obstakels

werden ervaren, is er ook gesproken met een medisch onderzoeker. De resultaten van

dit deelonderzoek zijn neergelegd in een afzonderlijke rapportage (zie bijlage 2). Hier

worden alleen de belangrijkste bevindingen geciteerd.

3.2.1. Bronnen

1. Interview met Ron van den Bosch, hoofd ICT-beleid, UMCG;

2. Interview met heer R. M. Löhr, afdeling Medische techniek, UMCG;

3. Interview met André Linnenbank, medisch onderzoeker, AMC.

4. Standaard Serviceovereenkomst UMCG

5. Gedragscode Internet en E-mailgebruik UMCG

6. Schema’s UMCG infrastructuur

3.2.2. Het systeem en de verwerking van embedded data

Er is geen technisch onderzoek gedaan naar een specifiek IT-systeem omdat

embedded data in vrijwel alle diagnostische en therapeutische apparatuur van het

UMCG voorkomen. De apparatuur waarin embedded data voorkomen is grotendeels

gekoppeld aan het centrale informatiesysteem van het UMCG. De embedded data

betreffen in deze casus altijd persoonsgegevens (gegevens patiënt, behandelaar,

behandeling, meetgegevens van de patiënt). De meetgegevens worden deels lokaal

(ruwe gegevens in de apparatuur) en deels centraal (bewerkte uitvoergegevens in het

centrale informatiesysteem) opgeslagen.

3.2.3. Belanghebbenden

De kring van potentieel belanghebbenden bij embedded data is in het geval van

medische apparatuur groot. Wij hebben ons in de interviews geconcentreerd op de

afnemers van de apparatuur, de behandelaars, de patiënten en de onderzoekers, omdat

andere partijen zoals de overheid (beleid) en de verzekeraars geen direct belang

hebben bij de toegankelijkheid van embedded data. De afnemers hebben belang bij

continuïteit in geval van overgang naar nieuwe apparatuur als daar embedded data uit

de vervangen apparatuur voor nodig zijn. Dit belang is overigens afgeleid van de

belangen van behandelaars, patiënten en onderzoekers. De behandelaars en patiënten

hebben daarnaast belang bij embedded data als de standaard uitgevoerde gegevens

onvoldoende zijn om goede medische zorg te kunnen leveren. Dit is vooralsnog

uitzonderlijk, omdat de medische gegevens die voor goede medische zorg nodig zijn

vrijwel altijd tot de reguliere uitvoer van de apparatuur behoren en dus niet embedded

zijn. Patiënten hebben daarnaast belang bij de toegankelijkheid van embedded data als

het gebruik daarvan hun persoonlijke levenssfeer raakt. Dit is vrijwel altijd het geval,

omdat de ruwe medische gegevens in de behandelingscontext gekoppeld zijn aan

identiteitsgegevens van de patiënten. In het geval van medisch onderzoek ligt dit

19

anders omdat de gegevens dan vrijwel altijd worden geanonimiseerd of met

toestemming van de patiënten worden gebruikt. Onderzoekers hebben een zelfstandig

belang bij de toegankelijkheid van embedded data omdat de regulier uitgevoerde

gegevens vaak niet voldoende gedetailleerd dan wel onvoldoende voor

wetenschappelijke onderzoekstechnieken toegankelijk zijn. Zo worden bijvoorbeeld

ECG’s regulier grafisch uitgevoerd en slechts geïnterpreteerd voor zover dat voor de

behandeling nodig is, terwijl voor het statistisch bewerken van verzamelingen van

ECG’s ten behoeve van onderzoek de ruwe gegevens vereist zijn.

3.2.4. Transparantie en Portabiliteit

De embedded data zijn voor de beheerders van de apparatuur toegankelijk en worden

elk half jaar door het UMCG naar een externe harde schijf gekopieerd. De ruwe

gegevens zijn niet direct toegankelijk voor het personeel van het UMCG. Als er echter

medische redenen zijn om over deze gegevens te beschikken dan zijn er tot nu toe

geen gevallen bekend waarin hiervoor juridische of technische obstakels waren, dan

wel als dat wel het geval was hieraan door de leverancier geen medewerking is

verleend. Er zijn echter geen standaardclausules in de contracten opgenomen waarmee

een dergelijke medewerking kan worden afgedwongen. Het perspectief van de

medisch wetenschappelijke onderzoekers toont een ander beeld. Embedded data zijn

niet toegankelijk voor onderzoekers om juridische of technische redenen. In gevallen

waarin ze wel toegankelijk zijn ze vaak niet interpreteerbaar, omdat de dataformats

niet door de leverancier worden beschikbaar gesteld. Deze schijnbare

tegenstrijdigheid heeft de volgende verklaring. Onderzoekers zijn zelden geneigd om

direct toegang te eisen tot embedded data. Het vertrouwen dat dit lukt is klein omdat

er vaak juridische obstakels worden opgeworpen. De praktijk is dat de onderzoekers

zelf via reverse engineering het format van de gegevens reconstrueren en deze

vervolgens toch gebruiken. Dit is overigens in strijd met de auteurswet (art. 45m

Auteurswet)8. Hiervoor moet derhalve een juridische, i.c. contractuele, oplossing

worden gevonden. De leverancier dient de embedded data toegankelijk te maken via

de geleverde configuratie of het format af te geven voor gebruik door onderzoekers.

De ruwe gegevens zijn in de meeste gevallen alleen met medewerking van de

leverancier uitleesbaar. Er is wel een clausule in de contracten opgenomen op grond

waarvan de leverancier na beëindiging van het contract mee moet werken aan de

overgang naar nieuwe apparatuur. De vraag is echter hoever deze verplichting gaat.

Dit type clausules is namelijk uiteindelijk altijd toetsbaar aan de Haviltex norm, d.w.z.

hun uitleg wordt beperkt door wat partijen redelijkerwijze van elkaar mochten

verwachten (HR 13 maart 1981, NJ 1981, 635). Er moeten dus goede medische of

economische gronden zijn voor de geëiste mate van medewerking en de inspanningen

moeten voor de leverancier niet onevenredig bezwarend zijn. De enige oplossing voor

dit probleem is het vooraf volledig specificeren van de medewerking in het contract.

3.2.5. Beschikkingsrechten

Het grootste deel van de diagnostische en therapeutische apparatuur wordt in

eigendom overgedragen aan het UMCG. De UMCG is daarom eigenaar van de, in dit

8 Vgl. ook Svaz softwarové ochrany v Ministry of Culture of the Czech Republic Case C-393/09, 22

December 2010 (BSA)

20

geval binnen het UMCG gegenereerde en niet extern gedeelde embedded data. Het

intellectueel eigendomsrecht ten aanzien van het format van de embedded data en de

uitleesconfiguratie blijft bij de leveranciers. Er is wel een broncodedepot gevestigd

voor deze configuraties. Er is een contractueel gebruiksrecht gevestigd voor het

gebruik van de embedded data door het UMCG. Er is een geheimhoudingsplicht ten

aanzien van het format van de embedded data. In geval van afbreuk kunnen de

embedded data daarom verder worden gebruikt met behulp van de bestaande

configuratie of als deze bestaat met een vergelijkbare configuratie en de software uit

het broncode depot. Zijn de embedded data echter niet uitleesbaar en interpreteerbaar

onafhankelijk van deze bestaande of vergelijkbare configuraties dan brengt de

geheimhoudingsplicht met zich mee dat de continuïteit niet kan worden gegarandeerd.

Er is in dat geval nl. geen bevoegdheid om het format van de embedded gegevens zelf

te reconstrueren (reverse engineering). Er is bovendien geen standaard

meewerkverplichting voor de leveranciers in geval van beëindiging van de

overeenkomst. Voor het geval dat de leveranciers niet meer in staat zijn om mee te

werken is echter niets standaard geregeld. Een depot van de voor de continuïteit

vereiste beheerskennis (toegangscodes, protocollen) en een (beperkt) recht op

voortgezet gebruik van de apparatuur zou ook in dit geval een oplossing bieden.

Ook in deze casus zijn de embedded persoonsgegevens aan de uitvoerzijde

voldoende beschermd. Het centrale informatiesysteem kent afdoende autorisatie en

beveiliging. De interface naar lokale apparatuur kent ook voldoende autorisatie en

beveiliging, al staat veel apparatuur na de initiële autorisatie langere periodes open

(voor meerdere achtereenvolgende behandelingen). De ruwe gegevens zijn ook hier

toegankelijk voor de personen die het onderhoud uitvoeren. Aangezien het hier om

bijzondere persoonsgegevens gaat (art. 16 Wbp) zal in dit geval niet zomaar grotere

transparantie en portabiliteit kunnen worden gerealiseerd. Hiervoor is ofwel een

medische reden of expliciete toestemming van de patiënt vereist (zie boven).

21

3.3. Huisvuilpas

Het praktijkonderzoek op het gebied van de huisvuilpas heeft plaatsgevonden bij de

milieudienst van de gemeente Groningen. De resultaten van dit deelonderzoek zijn

neergelegd in een afzonderlijke rapportage (zie bijlage 3). Hier worden alleen de

belangrijkste bevindingen geciteerd.

3.3.1. Bronnen Bekijken van het gebruikte IT-systeem (CLEAR: container ledigingen en

afvalstoffenregistratie), interviews met coördinator van CLEAR en met de IT afdeling

van de Gemeente Groningen en met de leverancier van CLEAR.

3.3.2. Het systeem en de verwerking van embedded data De gemeente Groningen stelt twee typen huisvuilcontainers beschikbaar. De

ondergrondse container is toegankelijk met een huisvuilpas en bedient een vooraf

bepaalde verzameling panden. De minicontainer (kliko) is voorzien van een RFID en

bedient een individueel pand.

Het aanbieden van huisvuil bij de ondergrondse container vindt plaats met

behulp van een huisvuilpas die de eigenaar/(hoofd)bewoner van een bepaald pand

(huishouden) identificeert en alleen toegang geeft tot een aan (o.a.) dat pand

toegewezen container. De container leest de identiteitsgegevens van de huisvuilpas in

en registreert deze id-gegevens, de tijd, de datum en het aantal aanbiedingen. Deze

gegevens worden uitgelezen en via GSM verstuurd naar de server van een bedrijf

(Mic-O-Data). De server van dit bedrijf verstuurt vervolgens de gegevens naar de

server van de milieudienst van de Gemeente Groningen. De gemeente gebruikt deze

gegevens voor twee doeleinden: het bepalen van de vulgraad (t.b.v. de routering van

de ophaaldienst) en het opstellen van een blacklist (i.g.v. extreem gebruik van een pas

met een bepaald id).

Het aanbieden van huisvuil via een minicontainer (kliko) vindt plaats door het

vullen van de container en het aanbieden daarvan door het op straat plaatsen. De

minicontainer bevat een chip die de aanbieder identificeert. De chip wordt bij het

ophalen automatisch geactiveerd en uitgelezen door apparatuur in het voertuig. De

gegevens worden tijdelijk opgeslagen op een handheld medium of via GPRS

verstuurd naar de server van de milieudienst van de gemeente. De gegevens betreffen

het id-nummer van de chip in de minicontainer, de tijd, de datum, de plaats en het

aantal aanbiedingen. In andere gemeentes (o.a. Haren) wordt ook het gewicht

geregistreerd.

Alle hiervoor genoemde gegevens worden vijf jaar bewaard. De gegevens

worden uitsluitend gebruikt voor logistieke (routeplanning), controle (fraude,

blacklist) en beleidsdoeleinden.

3.3.3. Belanghebbenden De belanghebbenden zijn in deze casus de afnemer in verband met de continuïteit en

de gebruiker van de huisvuilpas in verband met het gebruik van persoonsgegevens.

3.3.4. Transparantie en Portabiliteit De verzamelde gegevens zijn niet zichtbaar voor de primaire gebruiker (de aanbieder

van het huisvuil). Zij zijn wel volledig zichtbaar voor de secundaire gebruiker (de

22

gemeente via het eigen CLEAR systeem) onder de voorwaarde dat het systeem van

Mic-O-Data functioneert. De ruwe gegevens van Mic-O-Data zijn nl. niet uitleesbaar

en hebben een eigen Mic-O-Data format. Mic-O-Data bewaart deze gegevens een

jaar. Transparantie is van groot belang omdat het niet tijdig ophalen van huisvuil tot

grote (gezondheids-, milieu- etc.) problemen kan leiden. Er zijn geen contractuele

afspraken over de transparantie gemaakt.

De gegevens uit het Mic-O-Data systeem zijn niet portabel. Dit is een acuut

probleem in geval van overgang naar een nieuw IT-systeem, langdurige technische

storingen of afbreuk aan de kant van de leverancier. Er zijn hierover geen contractuele

afspraken gemaakt. Er wordt wel overwogen om een broncodedepot te vestigen. Het

eigen database systeem (CLEAR) is wel portabel (een standaard database systeem dat

met algemeen beschikbare conversie tools kan worden overgezet). Hiervoor is

overigens ook een broncode depot gevestigd.

3.3.5. Beschikkingsrechten In deze casus worden drie verschillende systemen gebruikt (TarDif IRDC,

CLEAR en het EngelsHLC systeem, zie bijlage). Deze systemen zijn in eigendom

overgedragen aan de gemeente Groningen. De gemeente is derhalve eigenaar van de,

in dit geval binnen het de systemen gegenereerde en niet extern gedeelde embedded

data. Voorde embedded data zijn open formats en voor de communicatie open

protocollen gebruikt. Er is een broncodedepot gevestigd ten behoeve van de gemeente

Groningen voor CLEAR, maar (tot verassing van de geïnterviewde) nog niet voor

TarDif IRDC. De continuïteit lijkt hiermee redelijk gegarandeerd, m.u.v. het TarDif

IRDC totdat het broncodedepot zal zijn gevestigd.

Er worden door de gemeente persoonsgegevens verzameld zonder wettelijke

basis en zonder toestemming van de betrokkenen. De wettelijke verplichting c.q.

bevoegdheid van de gemeente strekt zich wel uit tot het afvoeren van huisvuil en

daarbij evt. bestrijden van fraude en bepalen van beleid (bijv. m.b.t. de vereiste

capaciteit), maar niet tot het registreren van gegevens met betrekking tot de identiteit

van de aanbieder in combinatie met de tijd, datum en het aantal aanbiedingen (en

zeker niet m.b.t. het aangeboden gewicht). Het verzamelen van deze gegevens is

daarom in strijd met de Wbp. De doeleinden waarvoor de gegevens worden verzameld

(tijdig afvoeren, bestrijden van fraude en bepalen van beleid) vereisen slechts

registratie van de totale hoeveelheid door geautoriseerde id-nummers aangeboden

huisvuil c.q. het aantal mini containers per id-nummer. Het belang van het correct en

consequent toepassen van de Wbp in dit geval is groot. Zie bijv. het geval waarin de

dienst SoZaWe van een gemeente vroeg om toegang tot de huisvuilgegevens. Het

CBP bepaalde in dit geval dat dit onrechtmatig is (CBP 2006). Voor de transparantie

en portabiliteit van deze embedded data betekent dit dat burgers hier voor problemen

kunnen zorgen omdat zelfs als hierover met de leveranciers van de IT-systemen

afdoende afspraken zijn gemaakt individuele burgers zich nog tegen het uitlezen en

gebruiken van deze gegevens kunnen verzetten.

Een ander probleem is dat de gebruikte RFID technologie fraude (kopiëren

van passen en chips) gemakkelijk maakt en in combinatie met GSM resp. GPRS

onveilig is. Vgl. de ervaringen met de OV Chipkaart waarin dezelfde technologie

wordt gebruikt. Fraude is vooral een economisch probleem voor de overheid, de

genoemde onveiligheid raakt daarentegen de burger in andere belangen (het afvagen

van GSM en GPRS verkeer maakt het mogelijk om bijv. vast te stellen dat een

bepaald huishouden gedurende een bepaalde tijd geen huisvuil aanbiedt).

23

4. Conclusies en aanbevelingen: Juridische standaar-den voor het bevorderen van de transparantie en portabiliteit

De probleemstelling van dit onderzoek is dat het vaak voorkomt dat de afnemer van

IT systemen en diverse andere belanghebbenden niet de volledige beschikking hebben

over de in deze systemen verwerkte gegevens, terwijl dit wel in hun belang zou zijn.

Het gaat hierbij in het bijzonder om de continuïteit van de processen die door de IT-

systemen waarin deze embedded data zijn opgenomen worden ondersteund, maar ook

voor de gebruikers van deze systemen (bijv. hun medische behandeling, hun recht op

privacy) en voor andere partijen (beleidsmakers, behandelaars, wetenschappers).

Uit deze probleemstelling vloeide de volgende vraagstelling voort:

1. Welke partijen hebben welke beschikkingsrechten op embedded data in IT-

systemen en

2. Hoe kunnen de belanghebbenden bij deze embedded data optimaal gebruik

maken van deze rechten dan wel deze rechten via de leverings- en

dienstverleningscontracten van de IT-systemen maximaliseren;

Om deze vragen te beantwoorden is onderzoek gedaan naar de beschikkingsrechten

op embedded data in de rechtsbronnen, de literatuur en de praktijk.

Conclusies juridisch onderzoek

Het juridisch onderzoek leidt tot de volgende specifieke conclusies:

1. De bestaande wetgeving op het gebied van eigendom, intellectuele eigendom

en bescherming van de persoonlijke levenssfeer levert geen op maat gesneden

oplossing voor het probleem van transparantie en portabiliteit van embedded

data;

2. De bestaande wetgeving op het gebied van de bescherming van de

persoonlijke levenssfeer biedt wel een (theoretische) oplossing voor het

probleem van de bescherming van embedded persoonsgegevens;

3. Als de rechthebbenden maximaal gebruik zouden maken van hun recht op

bescherming van embedded persoonsgegevens zou overigens blijken dat er

een onbalans bestaat tussen de beschikkingsrechten gebaseerd op

(intellectuele) eigendom en die gebaseerd op bescherming van de persoonlijke

levenssfeer. In dat geval komen de transparantie en portabiliteit in gevaar door

het maximaal gebruik van het recht op privacy;

4. De bij transparantie en portabiliteit betrokken belangen zijn divers en vaak

strijdig. Fine tuning door middel van contractuele bepalingen is daarom

vereist. Nieuwe wetgeving is geen oplossing;

5. De overheid kan bij het oplossen van dit probleem een rol spelen door het

(laten) ontwikkelen en beschikbaar stellen van standaarden voor IT contracten

en het bevorderen van kennis hierover bij de afnemers van IT systemen en bij

andere belanghebbenden en in het bijzonder van kennis bij burgers met

betrekking tot de toepassing van het privacyrecht.

24

Conclusies praktijkonderzoek

Uit het praktijkonderzoek blijkt dat het in hoofdstuk 1 gesignaleerde probleem reëel

is. Embedded data zijn onvoldoende toegankelijk voor de afnemers van IT systemen

en andere belanghebbenden. De beschikkingsrechten op deze data zijn over het

algemeen onvoldoende (contractueel) geregeld. De wetgeving op het gebied van deze

beschikkingrechten (eigendom, intellectuele eigendom en gebruiksrechten) is

generiek, d.w.z. is niet toegespitst op de beschikking over embedded data. Aanpassing

van deze wetgeving is geen oplossing voor het probleem, omdat de (verhoudingen

tussen de) belangen in de verschillende gevallen hiervoor te divers zijn. Voor de

beperkingen op deze beschikkingsrechten, in het bijzonder de bescherming van

persoonsgegevens, is te weinig aandacht, hoewel de wettelijke regeling hiervan (meer

dan) voldoende waarborgen biedt. Als de huidige wettelijke regelingen van enerzijds

beschikkingsrechten en anderzijds beperkingen (i.h.b. het privacyrecht) onverkort

zouden worden toegepast dan zou er sprake zijn van een onbalans in het voordeel van

de privacy. Uit de onderzochte casus komt naar voren dat de belangrijkste oorzaak

van het onvoldoende regelen van de beschikkingsrechten en beperkingen hiervan niet

is gelegen in een gebrek aan juridische instrumenten (wettelijk of contractueel) of

onverschilligheid ten aanzien van de betrokken belangen9, maar in ignorantie. Het

bewustzijn van de problematiek en de kennis om deze op te lossen ontbreken. De

oplossing ligt dan ook in het verhogen van het bewustzijn door het voorzien in kennis

in de vorm van contractuele standaardvoorwaarden, die onderdeel zouden kunnen

vormen van uniforme inkoop- en leveringsvoorwaarden (vgl. ARBIT, ICT-OFFICE

etc.).

Het praktijkonderzoek leidt tot de volgende conclusies:

1. Er is bijzonder weinig bewustzijn van de problematiek rond transparantie en

portabiliteit van embedded gegevens bij afnemers van IT-systemen;

2. Contractuele bepalingen rond transparantie en portabiliteit ontbreken in veel

gevallen en dat is bij ontstentenis van een specifieke wettelijke regeling voor

embedded data problematisch ;

3. Er is te weinig kennis van het privacyrecht bij leveranciers en afnemers. Er

worden te veel persoonsgegevens vastgelegd en verwerkt;

4. Interne richtlijnen voor het juist toepassen van het privacyrecht bij het

aanschaffen van IT-systemen ontbreken;

5. Als de betrokkenen hierop (1-4) worden gewezen is hen het belang van het

nemen van juridische en technische voorzorgsmaatregelen onmiddellijk

duidelijk;

6. De praktijk is derhalve rijp voor het gebruiken van contractuele standaarden

die de transparantie en de portabiliteit van embedded data bevorderen en voor

standaarden die het normconform gebruik van embedded persoonsgegevens

bevorderen.

Algemene conclusie

Uit het juridische en praktijkonderzoek naar beschikkingsrechten op embedded data

blijkt dat de juridische maatregelen die de toegang tot embedded data kunnen

garanderen op systematische wijze te beschrijven zijn en daarom de basis kunnen

vormen van standaarden voor IT-contracten. Hetzelfde geldt voor de mogelijke

9 Er is voldoende draagvlak voor het zoeken naar een oplossing. In het geval van de huisvuilpas werd er

bijvoorbeeld op grond van ons onderzoek besloten om de contractuele voorwaarden opnieuw door te

nemen en zo nodig uit te breiden.

25

technische uitwerking van deze maatregelen. Ook blijkt in alle drie onderzochte casus

het belang van de toegang tot embedded data (in de zin van transparantie en

portabiliteit), nadat de afnemers hierop zijn gewezen, te worden erkend, maar blijken

de feitelijke juridische voorzorgsmaatregelen en hun technische uitwerking te kort te

schieten. Er is geen sprake van een gebrek aan juridische instrumenten en aan

belangstelling of aan politieke opportuniteit, maar slechts van een gebrek aan

juridisch en technisch inzicht. Het is derhalve niet alleen mogelijk om juridische

standaarden (incl. hun technische uitwerking) te formuleren, maar de praktijk is voor

de toepassing daarvan ook ontvankelijk. Deze algemene conclusie geeft aanleiding tot

de volgende aanbevelingen.

Aanbevelingen

De aanbevolen standaarden (contractuele standaardvoorwaarden en standaarden voor

normconform gedrag) waarvan de contouren op grond van de resultaten van dit

onderzoek zichtbaar worden zijn:

1. De exclusiviteit van de beschikkingsrechten op embedded data moet zelfs in

het geval van volledige eigendomsoverdracht van het IT systeem contractueel

worden vastgelegd;

2. Er moet altijd worden bedongen dat de embedded data feitelijk uitleesbaar

(een interface naar de embedded data en een exportfunctie) en interpreteerbaar

(een open format of de sleutel voor een closed format) zijn (aan een niet

realiseerbaar recht heb je niets):

a. Er moet daarom een (sub)licentie worden bedongen voor het uitlezen

en porteren van de embedded data met behulp van werken waarop de

leverancier intellectuele eigendomsrechten behoud, of

b. Er moet medewerking van de leverancier aan het uitlezen of porteren

van gegevens worden bedongen;

3. Als de gegevens niet met een onafhankelijk standaard (verkrijgbaar) IT-

systeem uitleesbaar en interpreteerbaar zijn dan moet er ook een retentierecht

of een broncodedepot worden gevestigd dat in alle gevallen van afbreuk

waarin de leverancier niet wil of kan meewerken inroepbaar is;

4. De afnemer moet zich er van bewust zijn dat er wettelijke beperkingen

bestaan, zelfs als hij exclusieve beschikkingsrechten heeft verkregen. De

belangrijkste beperkingen zijn gebaseerd op het privacyrecht. Het overzetten

van transparante en portabele persoonsgegevens naar een nieuw IT-systeem is

bijvoorbeeld veelal slechts mogelijk als de verdere verwerking van deze

gegevens rechtmatig is en met toestemming van de betrokkene (deze standaard

moet daarom of toestemming vooraf voorschrijven dan wel een model voor de

toestemming bij overgang);

Deze standaarden kunnen worden opgenomen in uniforme inkoop-, leverings- en

dienstverleningsvoorwaarden, die in het geval van de overheid als afnemer van IT

systemen en leverancier van diensten aan de burger bindend kunnen worden

opgelegd.

26

Bijlage 1 Kopieer- en reproductieapparatuur

Bronnen - Interview met Peter van Laarhoven, Projectleider Printbeleid (Center for Information

Technology CIT) van Universiteit Groningen (10-05-2011)

- Interview met Ronald Jongstra, Managed Print Services manager (RICOH) (10-05-

2011)

- Raamovereenkomst Ricoh en RUG

- Algemene Inkoopvoorwaarden RUG

Systeem Binnen de RUG zijn drie types printers te vinden: multifunctionals, netwerkprinters

en kamerprinters. Deze zullen achtereenvolgens behandeld worden.

Multifunctionals

Om de kosten terug te dringen is er fors ingezet op het gebruik van grotere

multifunctionals. Deze worden geleverd en onderhouden door Ricoh en bieden meer

functionaliteit dan gewoon printen. Deze apparatuur heeft extra functionaliteit in de

vorm van scannen, faxen en e-mailen. De multifunctionals zijn aan te spreken via het

netwerk en zo voor meerdere gebruikers toegankelijk.

De multifunctionals van Ricoh draaien op een embedded Linux OS en

beschikken over een harde schijf. Deze harde schijf wordt als buffer gebruikt voor

printopdrachten. Volgens Ricoh zijn de bestanden op de harde schijf niet direct door

derden te benaderen, omdat er een eigen bestandssysteem gebruikt wordt. Ook

onderhoudsmonteurs kunnen niet bij de bestanden geraken. Indien een schijf defect

raakt, wordt deze door Ricoh vervangen. De ingenomen schijf wordt gewist. Er

bestaat een optie om de harde schijf standaard te versleutelen, maar vanwege extra

kosten heeft men hier niet voor gekozen. Dit is opvallend te noemen, aangezien uit eis

7.1.12(e) van de aanbesteding blijkt dat encryptie van harde schijven een eis was bij

de aanbesteding.

De netwerkverbinding van de multifunctionals verloopt via een Virtual Local

Area Network (VLAN) verbinding waardoor de printer niet direct toegankelijk is via

het internet. Een VLAN werkt als een fysiek afgescheiden LAN, waarbij specifieke

poorten van switches niet worden toegewezen aan het algemene RUG netwerk, maar

aan virtueel LAN. Hierdoor behoren deze specifieke switchpoorten toe aan dit

separate netwerk, waardoor alleen apparaten die zich in hetzelfde VLAN bevinden

met elkaar kunnen communiceren. De printers krijgen op het netwerk hun IP-adres

automatisch toegewezen door een DHCP server. Omdat er een lokaal IP-bereik

gebruikt wordt zijn de netwerkpackets niet routeerbaar, waardoor het onmogelijk

wordt om een verbinding via het internet op te zetten. Elk IP-adres dat wordt

uitgegeven door de DHCP server is hierbij bovendien gekoppeld aan het MAC adres

van de specifieke printer. Hierdoor kunnen andere apparaten en computers geen IP-

adres krijgen als ze clandestien worden aangesloten op het netwerk. Uiteraard is door

middel van MAC cloning het wel mogelijk om het MAC adres na te bootsen. Zo kan

het MAC adres van het originele apparaat worden gebruikt om toch verbinding te

leggen met het VLAN. Uiteraard kan er maar één apparaat met een specifiek MAC

adres actief zijn. Het echte apparaat en imitatieapparaat kunnen daarom niet

tegelijkertijd aangesloten zijn.

27

Binnen het VLAN staan naast de printers en de DHCP server nog een Ricoh

Monitorserver en een mailserver opgesteld. De monitorserver wordt gebruikt om de

Ricoh printers te kunnen controleren. Alleen via een Beveiligde Werkplek (BWP) kan

ingelogd worden op de iPrint- en de monitorserver. De mailserver wordt gebruikt voor

de mailfunctionaliteit op de multifunctionals. Deze server moet zich binnen het

VLAN bevinden, want de multifunctional kan immers geen verbinding maken buiten

het VLAN. De mailserver heeft echter, net als de iPrint server, wel een verbinding

met het internet.

Het printen naar de printers van Ricoh gebeurt net als bij alle andere

netwerkprinters via de iPrint client van Novell. Deze is geïnstalleerd op de computer

van de gebruiker en communiceert met de Novell Open Enterprise Server op onder

andere http://iprint-04.id.rug.nl. Deze server stuurt vervolgens de printopdracht door

naar de betreffende printer. De iPrint client van Novell ondersteunt standaard

SSL/TLS encryptie voor het verzenden van printopdrachten. Uit onderzoek met het

packet capture programma Wireshark blijkt dat de inhoud van een printopdracht niet

versleuteld wordt. De naam van de printopdracht, meestal de bestandsnaam van het

document, en de gebruikersnaam van de opdrachtgever en de postscript file, die het

document bevat, zijn te zien. Aangezien het fysieke netwerk van de universiteit niet

makkelijk af te tappen is acht het CIT het niet nodig om versleuteling in te schakelen.

Zowel de verbinding tussen computer-printserver als printerserver-printer is in alle

gevallen onversleuteld.

Voor het beschermen van ongeoorloofd lezen van geprinte documenten is de ‘locked

printing’ functionaliteit ingevoerd. Met deze techniek is het mogelijk voor

eindgebruikers om de printopdracht naar de printer te beveiligen met een

gebruikersnaam en een wachtwoord. Deze (willekeurige) gebruikersnaam en

wachtwoord kunnen op de PC worden ingevoerd voor het verzenden van de opdracht

en dienen nogmaals op de console van de printer ingevoerd te worden, voordat het

printen wordt gestart. Hiermee wordt voorkomen dat andere gebruikers de prints al

afgedrukt aantreffen, waardoor de vertrouwelijkheid in gevaar komt. Locked prints

worden na 3 uren automatisch van de machine verwijderd, conform eis 7.2.19 van de

aanbesteding.

Netwerkprinters

Deze kleinere printers zijn evenals de multifunctionals via het netwerk te benaderen

en meerdere gebruikers kunnen hier gebruik van maken. Deze apparaten zijn echter in

tegenstelling tot de multifunctionals alleen in staat om te printen. Printen naar

netwerkprinters gebeurt, net als bij de multifunctionals, via de iPrint client.

http://iprint-04.id.rug.nl/

28

Het verschil is echter, dat de netwerkprinters niet via een VLAN aangesloten zijn,

maar ook direct via hun eigen internet IP-adres te bereiken zijn. Nader onderzoek

bracht aan het licht dat een groot aantal printers op deze manier direct bereikbaar zijn.

Bovendien is het grootste gedeelte van de netwerkprinters niet beveiligd met een

wachtwoord. Hierdoor kunnen derden zonder enige moeite via het internet op de

printer inloggen en diens instellingen veranderen en bovendien ook printen. Indien de

derde weet waar de printer zich bevindt, dan kan deze zo buiten het

factureringssysteem om printopdrachten versturen en vervolgens de afdrukken

meenemen. Tevens kunnen printjes op deze manier 'spontaan' bij printers komen te

liggen of kunnen printers overstelpt worden met nutteloze printjes. Op deze manier

kunnen kwaadwillenden storingen veroorzaken (Denial of Service) en bovendien

valse informatie verspreiden. Het CIT bleek niet in staat om de bron van de directe

printopdrachten die via het internet verliepen te achterhalen.

Bij enkele printers wordt bovendien ook nog een lijst met de titels van de

afgedrukte documenten getoond. Een voorbeeld hiervan is “RUG-LETT Offert

042811 115617”. Gevoelige data zou hiermee ter beschikking aan derden kunnen

worden gesteld. Na een empirische test bleek dat zo een printer van een functionaris

van de Europese Commissie bij de Universiteit gecompromitteerd kon worden, terwijl

deze printer juist speciaal geplaatst in een fysiek afgesloten ruimte geplaatst was om

zo de vertrouwelijkheid te waarborgen.

De reden dat de ‘netwerkprinters’ goed zijn beveiligd ligt in het feit dat deze

printers niet onderhouden worden door het CIT. Ze zijn vaak aangeschaft door

faculteiten zelf en daarom heeft het CIT geen zeggenschap over het beheer. Omdat

deze printers zoveel mogelijk uitgefaseerd worden, wordt er ook niet meer in

geïnvesteerd.

Kamerprinters

Deze kleine printers zijn meestal direct aangesloten aan een computer en worden

slechts door één of enkele medewerkers gebruikt. De printers ondersteuning niet het

opslaan van gegevens voor later hergebruik. Het is slechts mogelijk om een directe

printopdracht te sturen die meteen wordt uitgevoerd.

Proces Met de nieuwe aanbesteding van de printfaciliteiten binnen de RUG is er gekozen

voor een nieuw dienstverleningsmodel, managed print services, waarbij een hechtere

samenwerking met de leverancier voorop staat. De verantwoordelijkheden voor het

goed functioneren van de apparatuur zijn opnieuw vastgesteld en vastgelegd.10

Het CIT is het aanspreekpunt bij vragen of hulp bij problemen bij het

functioneren van de printers en multifunctionals. Het Facilitair Bedrijf is

verantwoordelijk voor de facturering en het bestelproces. Facility managers van de

faculteiten zijn het lokale aanspreekpunt.

10 Aanbestedingsdocument voor de Openbare Europese aanbesteding Afdrukapparatuur en

dienstverlening - RUG 0000 2500 349 p. 7.

29

De leverancier (Ricoh) bewaakt op afstand constant de status van de door haar

onderhouden apparatuur. De fleet operators worden door Ricoh ingezet om de

afdrukapparatuur werkend te houden. Hieronder valt het bijvullen van onder andere

papier en toners. Door dit werk uit te besteden aan professionals wordt gehoopt op een

lagere storingsgraad, omdat gewone medewerkers veelal weinig technische ervaring

hebben met printerstoringen. De fleet operators worden per Blackberry op de hoogte

gehouden van storingen en tekorten in supplies. Ze krijgen een bericht met de locatie

van de printer en de onderhoudshandeling die uitgevoerd dient te worden. De fleet

operators kunnen via een speciale laptop op afstand bekijken wat er aan een printer

mankeert. In het verleden was het mogelijk om via internet de status van de printers

op te vragen, maar tegenwoordig kan het alleen via de verschafte laptop die

aangesloten is op het beveiligde printnetwerk (VLAN).

De oude printers die nog niet onder de nieuwe aanbesteding vallen worden zo

snel mogelijk vervangen. Het einddoel is om in beginsel alleen nog maar Ricoh

printers te hebben.

Oordeel organisatie over gewenste transparantie en portabiliteit Toegang tot de gegevens wordt door de organisatie niet als een probleem ervaren,

vanwege het feit dat de opslag in meeste gevallen van tijdelijke aard is. In het geval

van printopdrachten wordt de opdracht automatisch uitgevoerd of na 3 uur verwijderd.

De multifunctionals, die over uitgebreide opslagfunctionaliteit beschikken, worden in

de praktijk niet voor gegevensopslag gebruikt. Transparantie zou wel een probleem

kunnen vormen als de gegevensopslag wel wordt gebruikt en er zich vervolgens

fouten voordoen. Het is voor de universiteit zelf niet mogelijk om toegang tot de

gegevens te krijgen, omdat deze in een specifiek bestandssysteem van Ricoh zijn

opgeslagen.

Met betrekking tot de portabiliteit zijn er in de aanbesteding eisen opgenomen.

Zo is in onder andere in artikels 7.1.20 de eis opgenomen dat de apparatuur met het

PDF formaat overweg moeten kunnen. Ook moest de apparatuur in het begin van het

aanbestedingstraject nog compatibel zijn met zowel Linux, MacOS en Windows.

Deze eis is op een later moment versoepeld en slechts Windows ondersteuning werd

vereist, zie artikel 7.20.8 van de aanbesteding. Deze keus voor uitsluitend Windows

beperkt de portabiliteit.

Contractuele bepalingen De contracten tussen leverancier en de Universiteit Groningen konden voor dit

onderzoek wel worden ingezien, maar niet integraal worden meegeleverd.

Eigendom

De ingezette apparatuur wordt gehuurd en is derhalve geen eigendom van de RUG.

Intellectuele eigendom

Volgens artikel 11 van de Algemene Inkoopvoorwaarden Rijksuniversiteit Groningen,

die van toepassing zijn op de gesloten overeenkomst, zouden “alle industriële en

intellectuele eigendomsrechten op of in verband met zaken of werkwijzen die

specifiek voor of in opdracht van opdrachtgever zijn ontworpen en/ of vervaardigd, en

van de daarvoor door opdrachtgever of de wederpartij vervaardigde of gebruikte

tekeningen, teksten, modellen, handboeken, monsters, hulpmiddelen, berekeningen,

software en andere documenten en gegevensdragers” aan de RUG toekomen. Echter,

in afwijking hiervan is in artikel 9 van de Raamovereenkomst afgesproken de

30

Intellectuele eigendomsrechten op systeemprogrammatuur bij de leverancier blijven.

Indien de leverancier echter specifieke werkzaamheden voor de RUG uitvoert, komt

het intellectuele eigendomsrecht wel aan de RUG toe.

Gebruiksrechten en meewerkverplichtingen

Een bekend probleem bij het migreren naar een nieuwe leverancier is de zogenoemde

‘vendor lock-in’. Hierdoor wordt het voor de afnemer erg lastig en kostbaar om van

leverancier te wisselen. In het contract is een artikel (2.4) opgenomen om dit gevaar te

ondervangen. “De [leverancier] dient na de beëindiging van de overeenkomst alle

medewerking te verlenen bij de overgang naar de nieuwe leverancier(s) en op verzoek

van de RUG nog enkele maanden door te gaan met de levering van Afdrukapparatuur

en de daarmee samenhangende Dienstverlening. [De leverancier] zal na beëindiging

van deze raamovereenkomst zijn volledige medewerking geven bij een overgang naar

(een) andere leverancier(s). Dit houdt in dat [de leverancier] binnen maximaal twee

maanden na beëindiging van deze raamovereenkomst de levering van

Afdrukapparatuur en de daarmee samenhangende Dienstverlening overdraagt aan

(een) nieuwe leverancier(s). [De voormalige leverancier] zal gedurende deze tijd nog

door leveren en de bijbehorende diensten aanbieden onder de voorwaarden en prijzen

van deze overeenkomst synchroon aan de migratie door de nieuwe leverancier(s).”

Beperkingen: Bescherming persoonlijke levenssfeer en bedrijfsgeheimen

Artikel 12 van de Algemene Inkoopvoorwaarden Rijksuniversiteit Groningen

behandeld de aspecten van geheimhouding. In het artikel wordt het volgende gesteld:

“Indien de wederpartij voorziet of redelijkerwijze moet voorzien dat hij tekort zal

schieten in de nakoming van een of meer van zijn verplichtingen, waaronder begrepen

het uitblijven van en/ of gebrekkige en/ of niet tijdige levering, alsmede van elke

wijziging van de samenstelling c.q. eigenschappen van de te leveren zaken, is de

wederpartij verplicht opdrachtgever daarvan onder opgave van redenen en van de

vermoedelijke duur van de vertraging onverwijld en vooraf schriftelijk in kennis te

stellen. De wederpartij is, zowel tijdens als na beëindiging van de overeenkomst,

verplicht tot geheimhouding van het bestaan van en de inhoud van de overeenkomst

en alle van opdrachtgever ontvangen knowhow en gegevens, met dien verstande dat

de plicht tot geheimhouding beperkt wordt tot twee jaar na ontvangst van de

betreffende informatie. De wederpartij is gerechtigd vertrouwelijke gegevens te

gebruiken welke reeds in haar bezit zijn zonder verplichting tot vertrouwelijkheid of

onafhankelijk ontwikkeld zijn”. Naast deze bepaling zijn er niet nadere

geheimhoudingsclausules opgenomen. Er zijn derhalve geen specifieke afspraken

gemaakt over de geheimhouding van gegevens die ter kennisgeving bij de leverancier

zijn gekomen bij bijvoorbeeld het uitvoeren van onderhoud aan de apparatuur. Uit het

interview bleek dat Ricoh standaard de interne hardeschijven wist van apparaten die

voor onderhoud uit bedrijf worden genomen. Dit is echter niet contractueel

vastgelegd.

31

Bijlage 2 Diagnostische en therapeutische apparatuur

Bronnen - Interview met Ron van den Bosch, Hoofd ICT-beleid UMCG

- Interview met heer R. M. Löhr, afdeling Medische techniek, UMCG;

- Interview met André Linnenbank, medisch onderzoeker, AMC.

- Standaard Serviceovereenkomst UMCG

- Gedragscode Internet en E-mailgebruik UMCG

- Schema’s UMCG infrastructuur

Systeem Binnen het UMCG draaien veel verschillende systemen met daaromheen een soort

applicatieschil. Deze applicatieschil zorgt ervoor dat de verschillende gebruikers

toegang krijgen tot de onderdelen van de systemen die zij uit hoofde van hun functie

nodig hebben.

Onderstaand figuur is een versimpelde versie van de ICT-infrastructuur binnen

het UMCG. Een lokaal systeem (een pc, een handheld apparaat of een ander systeem)

maakt gebruik van het netwerk om via webservers en communication servers

verbinding te maken met de application servers waarop het EPD draait. Via de

application servers kan men, indien men daartoe bevoegd is, verbinding maken met

database servers. Deze verwijzen naar vindplaatsen van gegevens (waaronder foto’s

en tekstbestanden) die opgeslagen zijn op de verschillende opslagpunten binnen het

Storage Area Network.

32

In het volgende figuur is te zien dat het UMCG een ICT-architectuur hanteert

waarbij er systemen zijn die autonome deelprocessen ondersteunen. Een voorbeeld is

een laboratorium. Daar worden steeds weer metingen verricht, soms volgens een

complex proces middels bijvoorbeeld productiestraten. De resultaten van zo’n proces

kunnen worden opgeslagen in het EPD. Een geautoriseerde persoon kan vervolgens

deze resultaten opvragen.

Daarnaast bestaan er generieke systemen, zoals bijvoorbeeld systemen voor

facturering (DBC-registratie) of vastleggen van medicatie of het maken van

afspraken. Ook deze gegevens kunnen worden opgenomen in het EPD.

De ICT-architectuur heeft een presentatielaag en een logiclaag. Deze laatste bepaalt

met logische operatoren of de betreffende gebruiker toegang krijgt. Zo wordt er

bijvoorbeeld gekeken of er een behandelrelatie met de patiënt is en of het betreffende

specialisme van de gebruiker toegang geeft tot de gegevens. De gebruiker ziet echter

slechts de presentatielaag met een autorisatiemodule en heeft geen besef van het feit

dat er tientallen systemen worden aangesproken om het toegangsniveau te bepalen.

Het algemene systeem dat de systemen verbindt, is het EPD. Kort gezegd is

het EPD te zien als een verzamelbak met alle relevante informatie vanaf het eerste

contact. Toegang is alleen mogelijk indien de gebruiker een behandelrelatie heeft met

de patiënt en vanuit zijn aanstelling toegang tot de gegevens mag hebben. In

noodgevallen kan dit mechanisme omzeilt worden door een noodknopmechanisme.

Deze worden nauwkeurig gelogd en een commissie behandelt en beoordeelt elke

noodknopingreep.

33

Proces

Het gebruik van het EPD werkt als volgt. De behandelaar selecteert een

patiënt. De behandelaar kan zelfs op basis van zijn agenda binnen de polikliniek zijn

patiënt kiezen. Hij kan vervolgens zien welke poliklinische contacten er zijn geweest,

wat voor een trajecten op dit moment nog lopen en bij welke specialisten, welke

afspraken er nog openstaan, wat voor een klinische historie er bekend is en welke

nieuwe uitslagen er bekend zijn geworden sinds laatste raadplegen.

Naast de medische informatie kan de behandelaar in het EPD ook de

correspondentie inzien. Daar staan alle brieven, OK-verslagen en allerlei andere

diagnostische verslagen. Ook kan de behandelaar onder het kopje beeldvorming een

verslag zien (van bijvoorbeeld een radioloog), inclusief beeldmateriaal.

De infrastructuur gaat ervan uit dat er allerlei verschillende database-servers

zijn in het systeem. Er is een database-server is voor alleen het lokale systeem (waar

alle meetgegevens inzitten), maar ook een database-server voor het EPD-deel (waar

enkel de door de hulpverlener als relevant bestempelde plaatjes inzitten). Voor alle

kwetsbare onderdelen binnen de infrastructuur geldt een dubbele opslag voor de

veiligheid van de gegevens. De gegevensopslag geschiedt tevens op verschillende

fysieke locaties.

In het EPD wordt er gecontroleerd of er een behandelrelatie is met de patiënt. Is die

relatie vastgesteld en is de gebruiker vanuit de zorginstelling gemachtigd om die

gegevens te bekijken, dan krijgt de gebruiker toegang tot de specifieke gegevens van

de patiënt. Altijd wordt op basis van een specifieke patiënt gegevens opgevraagd. De

gegevens zijn zo gekoppeld aan de patiënt en de toegang aan de behandelaars.

Tot de lokale systemen (hieronder vallen tevens de systemen die niet

aangesloten zijn op het EPD) hebben in principe alleen degenen toegang die daar

werkzaam zijn. Zo hebben bijvoorbeeld radiologen slechts toegang tot het

radiologiesysteem. Voor toegang tot de systemen ten behoeve van statistiek of

wetenschappelijk onderzoek kan in gevallen een speciale bevoegdheid worden

gegeven om deze gegevens op te vragen. Het betreft in dit geval echter wel alleen

geanonimiseerde gegevens die niet terug te leiden zijn naar de patiënt.

Bij onderhoud aan het centrale systeem, kunnen leveranciers niet bij de

gegevens. Daar is speciale authenticatie voor nodig. Bij onderhoud aan lokale

systemen hebben leveranciers soms toegang tot de gegevens. Het UMCG stelt nauw

toe te zien op wat er gebeurt in deze onderhoudssituaties. Dit doet het door – indien

mogelijk – toegang te beperken tot de systeemkant (een zogeheten ‘systeem-account’)

en niet de gegevenskant. Dat account of dat systeem kan gelogd worden en dan wordt

er bijgehouden wat er allemaal gedaan wordt. Ook wordt bewaking uitgevoerd door

de afdeling Systeem beheer. Zij kunnen zien wat er gebeurt op de gebruikte systemen.

Oordeel organisatie over gewenste transparantie en portabiliteit

Wat betreft de transparantie van gegevens zorgt het UMCG er altijd voor dat

embedded gegevens ook op eigen opslagsystemen worden opgeslagen en

veiliggesteld. Zo wordt voorkomen dat gegevens ontoegankelijk worden in het geval

dat een apparaat niet langer functioneert. Het UMCG stelt dan ook dat er geen

problemen qua transparantie zijn.

Het UMCG probeert zoveel mogelijk systemen aan te schaffen die werken met

gegevensverwerking in een gestandaardiseerd formaat. Hierover maakt het UMCG

afspraken met haar leveranciers, omdat de lokale systemen gegevens moeten kunnen

uitwisselen met het EPD. Het UMCG werkt met het in Amerika ontwikkelde en

34

internationaal breed toegepaste standaard Health Level 7 (HL7). Gegevens die komen

uit apparatuur dat meer een meetkarakter heeft, probeert men om te zetten in HL7-

formaat om zo ervoor te zorgen dat het aansluit bij het EPD.

Systemen worden dus ingezet op basis van de vraag of ze een HL7-standaard

hanteren qua gegevensverwerking en anders wordt geprobeerd het systeem zo aan te

passen dat gegevens kunnen worden omgezet naar een formaat die wel voldoet aan de

HL7-standaard. Zo wordt een grote portabiliteit van gegevens gewaarborgd.

Contractuele bepalingen

Eigendom

De Algemene Inkoopvoorwaarden van het UMCG (AIV) zijn de algemene

voorwaarden die het UMCG hanteert bij inkoop van apparatuur.

Art. 8 AIV ziet op de eigendom en het risico: ‘de eigendom van de goederen

gaat op de instelling over op het moment van levering, tenzij anders overeengekomen.

Uitzondering vormen de goederen die worden geleverd op basis van zicht- en

proefzendingen en consignatie (8.1).’

In art. 8.2 is verder te lezen dat de instelling bevoegd is te verlangen dat de overdracht

van de eigendom van de bestelde goederen en/of de hiervoor bestemde materialen en

onderdelen op een eerder tijdstip zal plaatsvinden. De leverancier zal alsdan de

goederen en/of de hiervoor bestemde materialen en onderdelen merken als herkenbaar

eigendom van de instelling en de instelling vrijwaren voor verlies, beschadiging en

uitoefening van rechten door derden.

Of onder vrijwaring voor de uitoefening van rechten door derden ook de

handhaving van rechten van intellectueel eigendom vallen, wordt uit dit artikel niet

duidelijk. Dit kan een rol spelen wanneer de leverancier niet de auteursrechthebbende

is van de programmatuur. Wel is dit te vinden in specifiekere bepalingen die gaan

over rechten van intellectueel eigendom ( art. 17, 36 en 50 zijn de belangrijkste).


Art. 17 AIV ziet op de industriële en intellectuele eigendom. Hierin staat dat de

leverancier ervoor instaat dat voor gebruik en doorverkoop van de door hem ten

behoeve van de instelling gekochte of vervaardigde goederen of hulpmiddelen geen

inbreuk op zal leveren op octrooirechten, merkrechten, auteursrechten of enige andere

rechten van derden. In het tweede lid van dit artikel staat vervolgens dat de

leverancier de instelling vrijwaart voor aanspraken die voortvloeien uit een inbreuk op

rechten uit het vorige lid. De leverancier moet dan alle schade vergoeden die het

gevolg is van enige inbreuk.

Voor de overdracht van rechten en verplichtingen aan derden door de

leverancier is krachtens art. 18 AIV toestemming vereist van het UMCG. Aan deze

toestemming kunnen voorwaarden worden gesteld. De leverancier blijft dan wel

verantwoordelijk.

In art. 36.3 AIV is te lezen dat de leverancier het UMCG vrijwaart tegen

aanspraken van derden terzake van (eventuele) inbreuk op industriële of intellectuele

eigendomsrechten van die derden, vergelijkbare aanspraken met betrekking tot know-

how, ongeoorloofde mededelingen e.d. daaronder begrepen, en vergoedt de instelling

alle schade die het gevolg is van enige inbreuk.

In de AIV zijn tevens een aantal bepalingen over programmatuur opgenomen.

Allereerst over maatwerkprogrammatuur. Dit is ‘programmatuur gemaakt in opdracht

35

van de instelling die voldoet aan de in artikel 40 genoemde specificaties’ , aldus art.

31.4 AIV. Van belang is dus dat de programmatuur in opdracht van de instelling

wordt gemaakt. In art. 40 AIV staan specifieke voorwaarden die aan de leverancier en

het te leveren systeem worden gesteld.

Uit art. 36.4 AIV volgt dat alle rechten van intellectuele en industriële

eigendom op de in opdracht van de instelling ontwikkelde maatwerkprogrammatuur

uitsluitend berust bij de instelling. Dit geldt eveneens voor de broncode van de

maatwerkprogrammatuur en de bij de ontwikkeling van de maatwerkprogrammatuur

gemaakte technische documentatie. Leverancier mag de broncode uitsluitend

gebruiken voor het onderhoud van de maatwerkprogrammatuur die aan de instelling

toebehoort, tenzij de instelling schriftelijk toestemming geeft om de broncode voor

andere doeleinden te gebruiken. Standaardprogrammatuur is ‘programmatuur die niet

in opdracht van de instelling is gemaakt en voldoet aan de in artikel 50 genoemde

specificaties’, aldus art. 31.6 AIV. Art. 50 AIV ziet op het te verlenen gebruiksrecht.

Uit de Algemene Inkoopvoorwaarden blijkt niets over de (intellectuele)

eigendom van gegevens die geproduceerd of opgeslagen worden door de lokale

systemen. Bij maatwerksystemen levert dit geen problemen op: alles is in opdracht

gemaakt van het UMCG en het systeem is eigendom en intellectueel eigendom van

het UMCG. Bij standaardsystemen is het nog maar de vraag of door dit systeem

opgeslagen of geproduceerde gegevens (intellectueel) eigendom zijn van het UMCG.

Het intellectuele eigendom op standaardsystemen ligt immers bij de leverancier, het

UMCG heeft slechts een gebruiksrecht.


In de eerste zin van art. 36.1 AIV is bepaald dat de leverancier er voor in staat

dat het gebruik door de instelling van de in de overeenkomst gespecificeerde

maatwerkprogrammatuur met bijbehorende documentatie, respectievelijk het

overeengekomen gebruik van standaardprogrammatuur met bijbehorende

documentatie, respectievelijk het gebruik van de verkochte apparatuur met

bijbehorende documentatie geen inbreuk zal maken op enig industrieel of intellectueel

eigendomsrecht of overig recht van derden.

De tweede zin bepaalt dat als er toch een industrieel of intellectueel

eigendomsrecht op de standaardprogrammatuur, maatwerkprogrammatuur of

geleverde apparatuur (incl. bijbehorende documentatie), de leverancier moet zorgen

dat de instelling het gebruiksrecht daarvan verkrijgt zonder dat daar voor de instelling

extra kosten mee gemoeid zijn. De instelling heeft daarnaast het recht om op kosten

van de leverancier het gebruiksrecht rechtstreeks met de derde (= rechthebbende)

overeen te komen.

Uit art. 36.2 AIV volgt dat de leverancier bepaalde verplichtingen heeft als

blijkt dat het UMCG een inbreuk maakt of dreigt te maken op de in art. 36.1 AIV

genoemde rechten. Ofwel moet de leverancier het betreffende product vervangen met

een gelijkwaardig product dat geen inbreuk maakt op rechten van derden. Ofwel moet

de leverancier ervoor zorgen dat het UMCG een gebruiksrecht verkrijgt. Ofwel moet

de leverancier de producten zodanig wijzigen dat de inbreuk wordt opgeheven. Dit

alles moet wel geschieden in overleg met de instelling en zonder dat de

gebruiksmogelijkheden beperkter zijn dan die van de oorspronkelijk te leveren

maatwerkprogrammatuur, standaardprogrammatuur of apparatuur.

In art. 50 AIV staat dat de leverancier aan de instelling een niet-exclusief en

niet-overdraagbaar recht verleent om de in de overeenkomst gespecificeerde

standaardprogrammatuur voor de duur van overeenkomst te gebruiken op de in de

36

overeenkomst gespecificeerde apparatuur en programmatuur van de instelling

(bedoeld wordt de gegevensverwerkende infrastructuur van de instelling conform art.

31). De leverancier verschaft de instelling de noodzakelijk documentatie waarin de

functionaliteit en de gebruiksmogelijkheden van deze standaardprogrammatuur zijn

beschreven.

Art. 51 AIV verbiedt het UMCG om de standaardprogrammatuur openbaar te

maken, te wijzigen, te kopiëren of anderszins te verveelvoudigen of te wijzigen,

behalve als dit noodzakelijk is voor het gebruik dat bij de overeenkomst uitdrukkelijk

is toegestaan of voor foutcorrectie in de programmatuur. Het UMCG is wel gerechtigd

voor beveiligingsdoeleinden één back-up kopie te maken.

Art. 55.1 AIV is een escrow-bepaling. Hierin wordt de leverancier verplicht

ten behoeve van het UMCG een exemplaar van de broncode van de

standaardprogrammatuur in escrow bij een door leverancier aan te wijzen broncode-

bewaarnemer te deponeren. Het UMCG mag deze broncode slechts gebruiker voor

interne en niet-commerciële doeleinden (art. 55.3 AIV) en is verplicht tot

geheimhouding met betrekking tot deze broncode(s) (art. 55.4 AIV). Blijkens art. 55.5

AIV komen de kosten voor de escrow-regeling voor rekening van het UMCG.

Art. 55.2 geeft het UMCG het recht om van de broncode-bewaarnemer afgifte

van alle versies van de broncodes te verlangen, indien en zodra partijen schriftelijk

aan de bewaarnemer verklaren dat de overeenkomst op grond van faillissement van

leverancier of surseance van betaling door hen is ontbonden.


Art. 16 AIV bepaalt dat de leverancier en zijn werknemers een geheimhoudingsplicht

hebben met betrekking tot bedrijfsinformatie van de instelling. Uit de overeenkomst

blijkt niet of patiëntgegevens hieronder vallen. Wel is dit te beredeneren: de primaire

bedrijfsvoering van een ziekenhuis is toch de hulpverlening aan patiënten.

Patiëntinformatie is informatie die bij deze bedrijfsvoering gebruikt wordt.

Bepalingen betreffende een speciale geheimhoudingsplicht en beveiliging zijn

te vinden in art. 32 AIV. Vooral interessant is dat hier gesproken wordt over ‘van de

andere partij ontvangen gegevens waarvan men weet of dient te weten dat deze van

vertrouwelijk aard zijn.’ Dit soort gegevens moet elke partij geheimhouden, behalve

als er een wettelijk plicht tot openbaarmaking is. Verder wordt in dit artikel verboden

om informatie en gegevensdragers niet aan derden over te dragen, behalve als er

voorafgaande schriftelijke toestemming toe is (van wie wordt niet gespecificeerd), en

verstrekking aan personeel alleen plaatsvindt indien het dat nodig is voor het

verrichten van de overeengekomen prestaties. Overtreedt men deze regels, dan moet

er een boete betaald worden aan de andere partij van €100.000,- per gebeurtenis.

Wat betreft de beveiliging staat in art. 32 dat personeel gevraagd kan worden

om een verklaring van goed gedrag, dat partijen zich moeten houden aan

beveiligingsrichtlijnen van het UMCG en dat in bijgaande specificaties de

beveiligingsmaatregelen vastgelegd, welke

in verband met de bescherming van de apparatuur en programmatuur en de verwerkte

c.q. te

verwerkten gegevens dienen te worden genomen.

In de Standaard Service Overeenkomst is ook een clausule met betrekking tot

bedrijfsgeheimen opgenomen. Artikel 10 stelt dat de partijen “geheimhouding in acht

[zullen] nemen ten aanzien van alle bedrijfsinformatie, e.e.a. in de meest ruime zin

van het woord bedoeld, die partijen in het kader van de uitvoering van deze

Overeenkomst ter beschikking komt en partijen zijn onvoorwaardelijk gehouden

37

zodanige maatregelen te treffen om geheimhouding met betrekking tot al deze

gegevens te verzekeren.”

Ten slotte werkt het UMCG intern met een algemeen geldende integriteitcode.

Deze geld voor het hele UMCG. Deze code gaat in op het veilig werken en het

zorgvuldig en vertrouwelijk omgaan met informatie. Elke medewerker heeft een

aantal van dit soort regelingen bij de aanstelling meegekregen en daarvoor moeten

tekenen.

38

Bijlage 3 Huisvuilpas

Bronnen - Interview met R. Bakker, Milieudienst Groningen (26-04-2011)

- Telefonisch contact met Dhr. Van Heijst (23-08-2011)

- E-mail verkeer met M. Koper van GMT

- Milieudienst Groningen, Eindrapportage Project Ondergrondse Containers 2008 (26-

8-2008)

- Brochure TarDif IRDC Systeem Mic-O-Data

- Milieudienst Groningen, Afvalbeheerplan 2006-2010

- Gemeenteraad Groningen, Raadsvoorstel GR 09 Milieudienst betreffende Mini-

containermanagement 2008

- Testimonial Groningen GMT

Systeem In 1999 is in de Groningse gemeenteraad een krediet vastgesteld voor de plaatsing van

600 tot 800 ondergrondse restafvalcontainers, waarmee 43.000 aansluitingen zouden

worden bediend.11

In 2008 zijn er in totaal 800 ondergrondse containers geplaatst

waar 48.000 adressen hun afval kwijt kunnen.12

Dat betekent dat er gemiddeld 60

huishoudens per ondergrondse container zijn. Deze containers zijn toegankelijk met

een pasje dat verstrekt wordt per huishouden.

De ondergrondse containers zijn geleverd door VConsyst. Dit is de leverancier

van het materiaal zelf. De registratie en de verzending van de gegevens gebeurt door

een systeem dat is ontwikkeld door Mic-O-Data en draagt de naam TarDif IRDC.

TarDif IRDC-systeem

Het TarDif IRDC systeem dat Mic-O-Data levert aan de Milieudienst verzorgt het

gedeelte van het uitlezen van de huisvuilpas tot aan het leveren van de data aan de

Milieudienst. Het systeem zit ingebouwd in de ondergrondse container.

De huisvuilpas die gebruikt wordt is voorzien van een RFID (Radio Frequency

Identification) chip en zorgt er zo voor dat de pas uitgelezen kan worden door de

kaartlezer van de ondergrondse container. De communicatie tussen de pas en de

container gebeurt met een pas die is gebaseerd op de MIFARE technologie.13

Deze

zorgt ervoor dat de communicatie beveiligd is. Dezelfde technologie wordt gebruikt in

de OV-chipkaart. De huisvuilpas is een Read/Write kaart wat inhoudt dat er gegevens

van de kaart gelezen kunnen worden maar dat er ook gegevens op geschreven kunnen

worden. De ondergrondse container haalt zijn stroom uit een batterij en is dus niet

afhankelijk van het elektriciteitsnet. De spanning hiervan is op afstand uitleesbaar.

Het TarDif IRDC systeem in de ondergrondse container communiceert draadloos via

het GSM netwerk van Vodafone naar de server van Mic-O-Data. Deze communicatie

verloopt via SMS berichten en is ook geschikt voor financiële transacties. Dat houdt

in dat de verbinding zeer goed beveiligd is. Alleen vooraf bepaalde mensen hebben

toegang tot dit netwerk.

11 Milieudienst Groningen, Eindrapportage Project Ondergrondse Containers 2008, 26-8-2008, p. 1 12 Milieudienst Groningen, Eindrapportage Project Ondergrondse Containers 2008, 26-8-2008, p. 11 13 nxp.com <http://www.nxp.com/#/pip/pip=[pfp=41863]|pp=[t=pfp,i=41863]> (26-06-2011)

39

Zodra een pas boven de kaartlezer wordt gehouden komt het systeem in werking en

leest de gegevens van de pas. Als de storting is gedaan verstuurt het systeem de

gegevens direct via het GSM modem aan boord naar de server van Mic-O-Data. De

container verstuurt ook één keer per dag zijn registratiegegevens en ontvangt

vervolgens gegevens over de systeeminstellingen en een eventuele update van de

black- of whitelist. De server bij Mic-O-Data is via het internet verbonden met de

server van de Milieudienst. De Milieudienst kan vervolgens zelf de gegevens updaten

met een druk op de knop of op een vooraf ingestelde tijd. Hieronder is het systeem in

schema te zien14

.

Er zijn verschillende versies van het systeem mogelijk. Er zijn variaties qua

registratie, het gebruik van een black- of whitelist, vulgraadmeting en offline of online

gebruik (met of zonder GSM modem). De Milieudienst Groningen gebruikt het

systeem online en registreert de stortingen. Ze maken gebruik van een blacklist en de

vulgraad van de ondergrondse container kan op afstand worden uitgelezen. Dit levert

soms het probleem op dat de blacklist zo lang wordt dat het systeem soms lang bezig

is met het verwerken hiervan als er een huisvuilpas bij de kaartlezer van een

ondergrondse container wordt aangeboden. Als gevolg hiervan wordt regelmatig de

blacklist opgeschoond. Er ligt daarom het plan om over te stappen op een whitelist.

De gegevens die op de server bij Mic-O-Data staan zijn de gegevens over het welke

persoon op een bepaald tijdstip een specifieke ondergrondse container opende. Deze

gegevens omvatten echter alleen nog maar transactie- en chipnummers en worden pas

later gekoppeld aan personen en adressen. Mic-O-Data heeft met betrekking tot de

toegang en bewaartermijn van de gegevens een strikt beleid. Alleen de mensen die

voor service en onderhoud noodzakelijkerwijs toegang moeten hebben tot deze

gegevens zijn hiervoor geautoriseerd. Omdat er bij Mic-O-Data alleen transactie-

14 Brochure TarDif IRDC Systeem Mic-O-Data

40

chipnummers aanwezig zijn is er geen sprake van toegang tot privacygevoelige

informatie.

De gegevens worden op de server van Mic-O-Data nog een jaar bewaard nadat

er een goede kopie van de gegevens van de server is gehaald door de Milieudienst

Groningen. Na dat jaar worden de gegevens volledig van de servers verwijderd.

Minicontainer management

In de gemeente Groningen werd in 2005 het afvalbeheerplan van 2006-2010

opgemaakt waarin een aanbeveling stond om in de toekomst over te gaan tot het

chippen van de minicontainers, ook wel kliko’s genoemd.15

Dit is er na een voorstel

van de milieudienst in 2009 en 2010 pas van gekomen.16

In Groningen gebruiken er

ruim 34.000 huishoudens een grijze en/of groene container voor het aanbieden van

afval. Extra minicontainers konden tegen een extra verhoging van de

afvalstoffenheffing worden geleverd. Er werden echter maar 168 extra containers

aangevraagd. Ook werden er per jaar 1000 nieuwe containers aangevraagd wegens

vermissing of diefstal. Veel mensen gebruikten een extra container zonder hiervoor

extra te betalen. Om dit terug te dringen is er voor gekozen een containermanagement

systeem op te zetten. Hiervoor worden in alle containers een chip geïmplementeerd.

Als gevolg hiervan werden er bijna 3500 minicontainers ingenomen die niet

rechtmatig werden gebruikt.

Het systeem werkt in principe vrij eenvoudig. Het bedrijf dat het systeem

levert is Engels HLC (High Tech Litter Collection). In de minicontainer wordt een

chip geplaatst. Dit is een vrij standaard model RFID chip (HiTag S) die naast

containermanagement ook ingezet wordt bij de veeteelt en in de fiches van een

casino17

. Er kunnen op deze chip zowel gegevens geplaatst als van gelezen worden.

Op elke chip wordt vervolgens een nummer gezet dat een samenvoeging is van een

landcode, gemeentecode, wijkcode en een serienummer. In het overkoepelende

systeem, CLEAR, waarin de gegevens worden verwerkt is dit nummer gekoppeld aan

het adres dat de container aanbiedt.

De voertuigen die de containers komen legen hebben een antenne aan boord

die de chips in de container activeert. Als de container wordt geleegd in het voertuig

wordt ook de chip uitgelezen en opgeslagen op een handheld medium of een GPRS

modem. Zodra het voertuig weer terug is van een route kunnen de opgeslagen

gegevens worden uitgelezen. Met deze gegevens is het mogelijk om te kunnen zien

welke adressen hun container in welke ophaalroute plaatsten om deze vervolgens

efficiënter te kunnen maken. Ook kunnen gestolen containers vrij eenvoudig worden

opgespoord en containers zonder chip worden niet geaccepteerd en ingenomen.

Proces Sinds 1997 maakt de Milieudienst Groningen gebruik van het door GMT Europe

B.V.18

ontwikkelde CLEAR systeem. CLEAR staat voor Containers Ledigingen En

Afvalstoffen Registratie. Dit systeem verzamelt de gegevens van alle afvalregistraties.

Dan gaat het over de stortingsgegevens van de ondergrondse containers, de

minicontainers, grofvuilmeldingen en stortingen in de grotere vuilstortplaatsen.

Hiernaast is het mogelijk om de afvalkalenders op te stellen die alle inwoners van

15 Milieudienst Groningen, Afvalbeheerplan 2006-2010, p. 3 16 Gemeenteraad Groningen, Raadsvoorstel GR 09 Milieudienst betreffende Minicontainermanagement

2008 17 nxp.com <http://www.nxp.com/news/content/file_883.html> (26-06-2011) 18 Testimonial Groningen GMT

41

Groningen elk jaar in de brievenbus krijgen. Het systeem is niet alleen bedoeld om de

afvalstoffenheffing voor burgers in te verwerken, maar ook al het bedrijfsafval. Het

systeem regelt in principe dus alles van storting tot facturatie. Het systeem is door de

overheid gecertificeerd en is daardoor ook geschikt voor het digitaal opleveren van

overzichten over de stortingen van gevaarlijk en chemisch afval.

De Milieudienst zit op dit moment in een overgang van een systeem wat draait

in een ouderwetse omgeving. Dit systeem biedt weinig grafische opties en er moet

met het toetsenbord worden gewerkt om van menu naar menu te komen. Er wordt op

de achtergrond ook het nieuwe systeem CLEAR.net gebruikt wat veel meer grafische

opties biedt en een stuk moderner is. De medewerkers van de Milieudienst zijn zo

gewend aan de oude omgeving dat er nog weinig enthousiasme is om over te stappen

op het nieuwe systeem.

De stortingsgegevens die worden geregistreerd komen via de Mic-O-Data

server binnen in het systeem CLEAR. Deze gegevens worden opgeslagen op een

server bij de Milieudienst Groningen en zijn via het interne netwerk toegankelijk. Er

wordt elke dag een back-up gemaakt op de lokale server maar ook op een plek buiten

het gebouw van de Milieudienst Groningen om ervoor te zorgen dat ingeval van brand

of andere dergelijke problemen alle gegevens veilig bewaard blijven of bij een storing

kunnen worden hersteld.

De toegang tot de server en het systeem CLEAR waarin de stortingsgegevens

te raadplegen zijn is beperkt tot de medewerkers die beslissingen moeten maken op

basis van deze gegevens. Dit is geregeld door middel van beveiliging met

gebruikersnaam en wachtwoord om in het systeem te komen. Iedere medewerker met

toegang heeft zijn eigen inloggegevens. Ook zijn alle computers zo ingesteld dat ze al

vrij snel op de schermbeveiliging met paswoord springen als er tijdelijk niets met de

computer gebeurd. Het gaat hier niet alleen om medewerkers van de Milieudienst

Groningen die zorgen voor de afhandeling van de afvalstoffenheffing, maar ook

degenen die de routes plannen voor het ophalen van de minicontainers en de

medewerkers die meldingen van grofvuil verwerken. Ook bij de grotere

vuilstortplaatsen hebben de loketmedewerkers toegang tot het systeem om te kijken

hoe vaak iemand al gestort heeft in dat jaar. Omdat alle gegevens per adres zichtbaar

zijn in het systeem CLEAR is het niet zo dat de verschillende gegevens van elkaar

gescheiden zijn. Een medewerker die de telefoon aanneemt om een grofvuilmelding te

verwerken heeft ook toegang tot de gegevens over het aantal stortingen in een

ondergrondse container met behulp van de huisvuilpas.

Oordeel organisatie over gewenste transparantie en portabiliteit

CLEAR

CLEAR is het systeem waarin alle gegevens terechtkomen van de dagelijkse

activiteiten van de Milieudienst Groningen. Ook de planning wordt hierin gemaakt.

Het is dan ook van groot belang dat het systeem beschikbaar en toegankelijk is. Het

systeem is zeer transparant te noemen. De gegevens die erin worden opgeslagen en

verwerkt zijn direct inzichtelijk en compleet.

Ingeval van wanprestatie, faillissement of anderen problemen heeft de Milieudienst

afspraken gemaakt met GMT over het deponeren van de software bij Softwareborg.

Dit is een stichting die is opgezet door samenwerkende notarissen.19

Softwareborg

19 Softwareborg.nl <www.softwareborg.nl> (23-09-2011)

42

biedt oplossingen op het gebied van escrow. Als de eerder genoemde problemen

optreden dan kan de Milieudienst de beschikking krijgen over de broncode van

CLEAR. Uit contact met GMT bleek dat het daarna ook mogelijk is om de gegevens

in het systeem te transporteren voor gebruik in een ander software pakket.20

Op het

gebied van transparantie en portabiliteit lijkt het systeem CLEAR prima in orde.

TarDif IRDC

De gegevens die in het systeem CLEAR opgeslagen worden zijn zeer transparant.

Deze gegevens komen voornamelijk voort uit het TarDif IRDC systeem. De gegevens

waar het om gaat zijn voornamelijk de stortingsgegevens die door het openmaken van

de container met de huisvuilpas worden gegenereerd. Er is een verschil in

transparantie, omdat de gegevens die voortkomen uit het TarDif IRDC systeem pas

later in CLEAR aan een naam en adres worden gekoppeld. De ruwe stortingsgegevens

worden hiervoor van de server van Mic-O-Data gehaald. Deze ruwe stortingsgegevens

zijn dus niet direct herleidbaar naar personen omdat het gaat om transacties en

chipnummers.

TarDif IRDC is een systeem wat aansluit op meerdere in de markt gebruikte

systemen. Mochten er met dat systeem problemen zijn dan kan het TarDif systeem

zonder al teveel problemen worden gekoppeld aan een andere softwareoplossing. Er

hoeft zelfs weinig te worden aangepast. Er wordt namelijk gebruik gemaakt van een

open standaard voor de communicatie tussen het TarDif IRDC systeem en het

overkoepelende systeem dat hierop aansluit. Het is dus mogelijk dat er ingeval van

problemen een ander systeem als CLEAR kan worden ingevoerd als overkoepelend

systeem. Op dit punt is de portabiliteit van het systeem goed te noemen.

Het systeem dat in de ondergrondse container zelf zit is door Mic-O-Data zelf

geproduceerd en wordt ook onderhouden door dit bedrijf. De stortingsgegevens die

door het systeem worden geregistreerd gaan ook eerst naar de server van Mic-O-Data

om vervolgens te worden verstuurd naar de Milieudienst Groningen. De Milieudienst

Groningen is daarom erg afhankelijk van de service en continuïteit van Mic-O-Data.21

Mic-O-Data zegt over het systeem zelf dat de meeste onderdelen die in de

ondergrondse container zijn verwerkt, zoals de kaartlezer, het slot en de batterij ook

door andere fabrikanten van soortgelijke IT systemen kan worden gebruikt.

Het gedeelte dat voor de datacommunicatie zorgt, is op dit moment echter maatwerk

geweest en zal niet gemakkelijk kunnen worden overgezet. ‘Hoewel deze

datacommunicatie conform de eisen van open standaarden is gemaakt zal dit toch

enige moeite kosten’, zo verklaart Mic-O-Data. Ook zijn er op dit moment geen

afspraken gemaakt tussen de Milieudienst en Mic-O-Data zoals deze bij CLEAR

gemaakt zijn. Er ligt op dit moment dus geen broncode klaar bij Softwareborg mocht

Mic-O-Data failliet gaan of ingeval van andere dergelijke problemen. De Milieudienst

reageerde geschrokken op deze bevinding. Er zou zelfs sprake zijn van een

doemscenario als het systeem uit de lucht zou zijn. De containers gaan niet meer

open, er komt ontzettend veel rotzooi op straat. Of de containers moeten allemaal

opengezet worden met als gevolg dat ze al gauw vol zijn zonder dat de Milieudienst

Groningen weet wanneer ze moeten worden opgehaald. Als gevolg hiervan is de

20 E-mail verkeer M. Koper van GMT 21 Telefonisch contact met Dhr. Van Heijst, 23-08-2011

43

gemeente met Mic-O-Data om de tafel gaan zitten om hier nadere afspraken over te

maken. Het TarDif IRDC systeem is prima aan te sluiten op een ander overkoepelend

systeem, maar is zelf minder portabel omdat een gedeelte van het systeem maatwerk

betreft.

De informatie die wordt verzameld met de chips in de minicontainer hebben zoals

eerder gezegd een doel om ervoor te zorgen dat iedereen het juiste aantal containers in

bezit heeft en om ervoor te zorgen dat de afhaalroutes efficiënt kunnen worden

gepland. De informatie op de chip zelf bestaat uit een nummer en wordt net als bij het

TarDif IRDC systeem pas later gekoppeld aan een persoon en adres. Hoewel het wel

mogelijk is om informatie op de chip te schrijven, gebeurt dit niet tijdens het ophalen

van het huisvuil. De informatie die wel wordt verzameld is tijdelijk op een handheld

opslagmedium of wordt verstuurd via GPRS. Dit is afhankelijke van het voertuig.

Zodra de gegevens in CLEAR worden aangeboden zijn de gegevens gekoppeld aan de

natuurlijke persoon.

De chips zijn volgens Engels HLC door meerdere fabrikanten van

voertuiguitrustingen uit te lezen. Hiernaast zal het geen probleem zijn om informatie

van de chips te gebruiken in combinatie met andere softwareoplossingen. Engels HLC

levert en installeert alleen de chips en deze zijn uit te lezen door meerdere in de markt

gebruikte systemen en softwarepakketten. Er zijn daarom ook geen afspraken gemaakt

in het contract over problemen als faillissement of wanprestatie. De Milieudienst

Groningen is namelijk in zulke gevallen niet afhankelijk van de service van Engels

HLC.

Contractuele bepalingen

De contracten tussen leverancier en de gemeente konden voor dit onderzoek wel

worden ingezien, maar niet integraal worden meegeleverd.

Eigendom

Er zijn geen eigendomsbepalingen over de embedded gegevens opgenomen in de

contracten.


Wat betreft de intellectuele eigendomsrechten op de broncode van de software hebben

zowel CLEAR als Mic-O-Data afspraken gemaakt met stichting Software Borg. Bij

deze stichting wordt broncode van hardware en software ondergebracht, zodat in

geval van faillissement de broncodes voor de klanten beschikbaar blijven. Hierdoor

kan de dienstverlening gecontinueerd worden. Mic-O-Data en CLEAR bieden

afnemers de mogelijkheid aan om gebruik te maken van dit escrow mechanisme. De

Milieudienst Groningen was nog niet op de hoogte van deze escrow mogelijkheid

voor Mic-O-Data en wil graag in de toekomst hier wel gebruik van gaan maken.


De gemeente maakt gebruik van de diensten van Mic-O-Data voor het in eerste

instantie opslaan van de gegevens. Vervolgens worden die gegevens naar de server

van de milieudienst verstuurd.

44

Het Tardif IRDC systeem hoeft niet te worden aangepast indien de

Milieudienst Groningen besluit over te stappen naar een ander software pakket. Voor

het ophalen en versturen van data van en naar de IRDC systemen is een protocol dat

"open" is. Dat betekent dat andere softwareleveranciers dit protocol zonder restricties

kunnen gebruiken. In de recent vastgelegde "open standaard" door de commissie

Stosag (www.stosag.nl) is een vergelijkbare manier van communiceren afgesproken

(SOAP en XML). De indeling van de boodschappen is anders, maar de techniek en

uitvoering is identiek. Op dit moment is op basis van het huidige protocol al met

meerdere software leveranciers een koppeling tot stand gebracht, onder andere:

CLEAR, AfvalRis, Ci-web, PieterBas, Prevent.


De gegevens van het Mic-O-Data systeem worden een jaar lang op diens server

bewaard. Deze gegevens zijn niet herleidbaar tot een natuurlijk persoon, omdat alleen

het transactienummer en chipnummer wordt geregistreerd. Slechts de gemeente kan

dit herleiden naar de betreffende persoon. De stortingsgegevens worden door de

Milieudienst Groningen vijf jaar lang bewaard. De reden die hiervoor wordt gegeven

is dat dit nodig is voor logistieke doeleinden en beleidsmatige vraagstukken.22

22 De Rooij en Hazewinkel, Vragen aan de gemeenteraad Groningen, 30-10-2009, p. 2 en 3

45

Literatuur & Jurisprudentie

Literatuur

Blok 2010

P.H. Blok (red.), Overeenkomsten inzake informatietechnologie, SDU 2010

Bruins 2010

A. Bruins, ‘Reëel recht in een virtuele wereld’, Mr. 2010-1. Vindplaats:

www.meesterindetaal.nl/inc/download_window.php?id=98

Bygrave 2002

L. A. Bygrave, Data Protection Law: Approaching its Rationale, Logic and Limits,

Den Haag: Kluwer Law International 2002 (information law series IVIR).

De Cock Buning 1998

M. de Cock Buning, Auteursrecht en informatietechnologie (diss.), Amsterdam:

Otto Cramwinckel 1998.

De Cock Buning 2009

M. de Cock Buning, De juridische status van ruwe data; een wegwijzer voor de

onderzoekspraktijk, publicatie opgesteld voor CIER & Stichting SURF, 2009.

Vindplaats: http://www.surf.nl/publicaties.

Elkin-Koren & Weinstock Netanel 2002

N. Elkin-Koren & N.l Weinstock Netanel, The Commodification of Information, Den

Haag: Kluwer Law International 2002 (information law series IVIR).

Franken, Kaspersen & De Wild 2004

H. Franken, H.W.K. Kaspersen en A.H. de Wild, Recht en Computer, Deventer:

Kluwer 2004.

Hugenholtz 1989

P.B. Hugenholtz, Auteursrecht op informatie: auteursrechtelijke bescherming van

feitelijke gegeven s en gegevensverzamelingen in Nederland, de Verenigde Staten en

West-Duitsland, Deventer: Kluwer 1989.

Kleve 2004

P. Kleve, Juridische Iconen in het informatietijdperk, Deventer: Kluwer 2004.

Vindplaats: http://repub.eur.nl/res/pub/1297/

Kuner 2009

C. Kuner, ‘An international legal framework for data protection: Issues and

prospects’, Computer Law & Security Review July 2009, p. 307-317.

http://www.surf.nl/publicaties

46

Kuhlman 2010

J. Kuhlman, ‘Echt voor het recht? Bescherming van virtuele objecten technisch en

privaatrechtelijk beschouwd’, Masterscriptie Universiteit Utrecht, 2010. Vindplaats:

http://njblog.nl/wp-content/uploads/2010/12/Scriptie-JoostKuhlmann.pdf

Lagemaat, Boonk & Briët 2006

A.C. Lagemaat, M.L. Boonk, M. Briët, ‘Vermogensrechterlijke aspecten’, in: Lodder

2006, p. 21-40.

Lodder 2006

A.R. Lodder (red.), Recht in een virtuele wereld, Juridische aspecten van massive

multiplayer

online role playing games (MMORPG), Den Haag: Elsevier Juridisch 2006.

Vindplaats: cli.vu/pubdirectory/273/manuscript.pdf

Neppelenbroek 2006

E.D.C. Neppelenbroek, ‘De verkrijging van de eigendom van elektronische bestanden

over internet’, NJB 2006-10 p. 560-566.

Purtova 2009

N. Purtova, ‘Property rights in personal data: Learning from the American discourse’,

Computer Law & Security Review November 2009, p. 507-521.

Van der Steur 2003

J.C. van der Steur, Grenzen van rechtsobjecten: een onderzoek naar de grenzen van

objecten van eigendomsrechten en intellectuele eigendomsrechten, Deventer: Kluwer

2003.

Stevens & Koops 2009

L. Stevens & E.J. Koops, ‘Opzet op de harde schijf: criteria voor opzettelijk bezit van

digitale kinderporno’, DD 2009, 51, p. 669-696.

Verkade 1988

D.W.F. Verkade, ‘Gegevensbescherming en privaatrecht’, in: Gegevensbescherming

(Handelingen Nederlandse Juristen-vereniging 1988-1), Zwolle: W.E.J.

Tjeenk Willink 1988.

Jurisprudentie

CBP, 12 juli 2006, z2005-1447

HR 24 februari 2006, NJ 2007, 37 (Technip/Goossens)

HR 13 maart 1981, NJ 1981, 635 (Haviltex)

Hof ’s-Gravenhage 4 juni 1992, Computerrecht 1993, 252.

Hof Arnhem 1 juni 2010, LJN BM6320.

Vz. Hof Arnhem 3 mei 2011, LJN BQ5240.

Pres. Rb. ’s-Gravenhage 24 oktober 1997, Computerrecht 1998, 72.

Pres. Rb. Almelo 23 december 1999, Computerrecht 2000, 81

http://njblog.nl/wp-content/uploads/2010/12/Scriptie-JoostKuhlmann.pdf

Beschikken over embedded datalaw-and-ict.org/wp-content/uploads/2018/04/Eindrapport...5...

Documents

Transcript of Beschikken over embedded datalaw-and-ict.org/wp-content/uploads/2018/04/Eindrapport...5...