+31 (0)20 2060700info@devos.nl
Software, Internet & ICT

Software, Internet & ICT

De afgelopen decennia is ons leven door de ontwikkelingen in de ICT en software aanzienlijk veranderd. Wij maken de hele dag door gebruik van software en ICT diensten zoals ‘de cloud’ en de smartphone. De introductie van talloze nieuwe software en ICT diensten houdt niet meer op. Virtual reality wordt steeds reëler en de op handen zijnde nieuwe technologieën zoals blockchain of de ontwikkeling van supercomputers met kunstmatige intelligentie bieden een veelbelovend vooruitzicht.


Juridische dienstverlening op het gebied van software en ICT vereist een diepgaande kennis van het recht, van techniek en vereist licentiekennis en kennis van de ICT-branche. Wij combineren deze kennis en kwaliteiten met een ruime internationale ervaring in deze branche. Die ervaring zetten wij in bij het oplossen van juridische problemen in de software en de ICT. Ook hebben wij een ruime ervaring in het procederen over de diverse facetten van software en softwarelicenties. De ‘cloud’ en clouddiensten vereisen hun eigen specialistische (branche)kennis. Ook die kennis en ervaring hebben wij in huis, evenals kennis over security en privacy. Wij voeren geregeld audits uit voor softwareproducenten en bij (beoogde) overnames en samenwerkingsovereenkomsten. Ook hebben wij veel ervaring bij het procederen en arbitreren in IT–geschillen (bijvoorbeeld bij het NAI en het de Stichting Geschillenoplossing Automatisering).


Nieuwe ontwikkelingen roepen nieuwe juridische vragen op, wat veelal creatief juridisch denkwerk vraagt. Dat kunnen wij als geen ander. Wij stellen IT-contracten op, zoals licentie-, distributie-, systeemontwikkelings-, onderhouds-, outsourcingcontracten, en e-commerce contracten. Wij adviseren ook over softwarelicenties, onderhandelen over ICT-contracten en als het niet anders kan procederen wij over deze onderwerpen. Ook zijn wij actief op het gebied van software ontwikkeling, licentiering, onderhoud, outsourcing, de cloud, apps en e-commerce. Wij weten alles van softwarelicenties en van al hetgeen daar in de meest ruime zin mee samen gaat.


Wij adviseren al meerdere decennia de grootste internationale bedrijven op het gebied van software en informatie- en communicatietechnologie (ICT). Maar wij helpen op dit gebied ook startups en het MKB in Nederland.

Recente blog berichten • Software, Internet & ICT

27-05-2021 - door Jasper Hulsebosch

Draft proposal for the cybersecurity directive ‘NIS2’

“More companies subject to EU cybersecurity legislation, CSP’s subject to stricter regime & new provisions on incident reporting and administrative sanctions”  I. NIS Directive: first piece of EU-wide cybersecurity legislation The safety and security of network and information systems are important elements for the European Commission in realising an internal digital market. For that purpose, in 2016 the ‘Network and Information Security Directive’ (NIS Directive) entered into force. The NIS Directive aims at harmonising security requirements and encouraging cooperation. The NIS Directive applies to ‘network and information systems’ (incl. the Internet and a company’s ICT infrastructure), and addresses the following two groups: ‘Operators of essential services’ (OES) and ‘Digital service providers’ (DSP). OESs are public or private entities that provide services that are essential for the maintenance of critical societal and/or economic activities, for which they depend on network and information systems, and on which provision of services an incident would have significant disruptive effects. The NIS Directive lists the sectors providing essential services: energy, transport, banking, the infrastructure of financial markets, the health sector, drinking water supply and distribution and digital infrastructure. It is up to the Member States to designate the entities that will qualify as operators of essential services. DSPs are divided into providers of online marketplaces, online search engines and cloud computing services. This group is not further specified and the Member States do not have to designate digital service providers. Every ‘large’ company operating as a DSP (with >50 employees and/or 10+ million turnover) falls within the scope of the NIS Directive. In summary, the NIS Directive stipulates that OESs and DSPs must take appropriate and proportionate technical and organisational measures to adequately protect their ICT, and notify incidents with significant effects to the competent authority or the Computer Security Incident Response Team (CSIRT). Please do note in this context that the NIS Directive does not only address wilful attacks (like hacking) but also ICT incidents caused by human error or incidents that endanger the availability of data or services. The NIS Directive seeks minimum harmonisation, which means that the Member States must transpose their national laws to comply with the minimum requirements of the Directive but still have the possibility to pursue a higher level of protection. In the Netherlands the ‘Network and Information Security Systems Act’ (Wbni) has transposed the NIS Directive into Dutch law. The NIS Directive raised questions about the identification of OESs and DSPs (thus its ‘scope’) as result of which implementation proved difficult. That in combination with the increased dependence on information technology especially since Covid19, evaluation of the NIS Directive was necessary. II. Draft proposal NIS2 The European commission ran an open public consultation to evaluate the NIS Directive. One of the main conclusions was the lack of a harmonized approach, resulting in significant inconsistencies in the way Member States draw up lists of OESs and DSPs. As a result, companies of the same type might be identified as an OES or DSP in one Member State but not in another Member State, and thus being excluded from the scope of the NIS Directive depending on the Member State in which they operate and have their main office. For instance, a major hospital in a Member State is not considered an OES and therefore not required to take security measures and report IT-incidents whilst a similar large hospital located in another Member State falls under the NIS Directive and is subject to the security and notification obligations. Also, the supervision and enforcement regime of the NIS Directive proved to be ineffective. To further enhance the level of cybersecurity in the EU, the European Commission presented the ‘NIS2’ which eventually would repeal and replace the NIS Directive. The NIS2 makes systemic and structural changes to the current NIS Directive, such as: significantly extending the scope of the NIS Directive, by among others adding new sectors such as telecoms, social media platforms and the public administration; *removing the distinction between OESs and DSPs, and replacing by ‘Essential Entities’ and ‘Important Entities’ (both categories subjected to different supervisory regimes); * there is no ‘size cap’; all medium-sized and large companies active in the sectors covered by the NIS2 would automatically need to comply with the security rules; more strict cybersecurity measures, by including a list of 7 basic security elements which companies must address or implement (e.g. incident handling, supply chain security and use of cryptography and encryption); it recognizes the importance of ‘Internet of Things’ (IoT), by addressing cybersecurity of the ICT supply chain and supplier relationships by requiring individual companies to address cybersecurity risks in supply chains and supplier relationships; more precise provisions on incident reporting (including a two-stage approach by filing an initial report within 24 hours after becoming aware of an incident followed by a final report one month later); a minim list of administrative sanctions in case an entity is in breach of the NIS2, including binding instructions, an order to implement recommendations provided as result of audits or administrative fines up to € 10 million or 2% of the entities’ total turnover worldwide; increasing information sharing and cooperation between Member State authorities; a European vulnerability registry providing access to information on the vulnerabilities of ICT products and services. The NIS2 is in its early stages and among others the European Parliament and the Council of the European Union have to take a position on it. Hopefully the NIS2 will be adopted end of 2021 or somewhere in the course of 2022 after which Member States need to transpose it into their national laws (likely within 18 months after the date of entry into force of the NIS2). III. Conclusion The draft proposal for the NIS2 extends the scope of the current NIS Directive, by adding new sectors and eliminating the size-cap. This would essentially mean that a larger group of companies could be subject to cybersecurity requirements laid down in the NIS and various national legislations. For instance, social media platforms and manufacturers of medical devices and computer, electronic and optical products are in the current draft considered as Important Entities and thus falling under the scope of the NIS2. In addition, the NIS2 provides for stricter cybersecurity measures, more precise provisions on incident reporting and a list of administrative sanctions. Interestingly, ‘cloud computing service providers’ (CSP’s) apparently are not included in the category DSP (which is currently the situation under the NIS Directive). According to the NIS2 those CPS’s are to be considered OES entities. That could mean that companies offering cloud services will become subject to fully-fledged supervisory regime (ex-ante and ex-post), with stricter rules on compliancy and security/notifying measures. Under the current NIS CSP’s are considered DSP’s facing a light supervisory regime (ex-post only). It’s clear that in the near future more and more companies will be subject to European and national cybersecurity legislation containing security measures and notification obligations. NIS2 might have the same ‘impact’ GDPR had back in May 2018…… For any further inquiries on this topic please do not hesitate to contact me at jhulsebosch@devos.nl or 020-2060734.

Lees meer

30-04-2021 - door Victor den Hollander

Rechter beveelt 3x afgifte identificerende gegevens illegale aanbieders

Deze week hebben rechthebbenden wiens producten worden misbruikt door kwaadwillende partijen positieve resultaten behaald. De rechtbanken in Amsterdam, Utrecht en Den Haag bevelen gelijkgezind aan de desbetreffende aanbieders om de identificerende gegevens van de inbreukmakers over te dragen aan de partijen op wiens rechten inbreuk wordt gemaakt. PVH / Facebook PVH is het modebedrijf achter onder andere Tommy Hilfiger, Calvin Klein en Karl Lagerfeld. PVH heeft Facebook gewezen op ruim 3000 Facebook-advertenties en 352 Instagram-accounts met advertenties, waarin inbreuk wordt gemaakt op de intellectuele eigendomsrechten (merk en auteursrechten) van PVH. Het gaat om advertenties van producten die niet van PVH afkomstig zijn, maar waarbij wel de merken van PVH worden getoond. Bij deze advertenties zijn knoppen geplaatst met de tekst ‘Shoppen’ of ‘Shop Now’ die verwijzen naar illegale websites waar nepartikelen worden verkocht. Om de partijen die achter deze illegale advertenties zitten aan te kunnen spreken, wil PVH de persoonsgegevens ontvangen van Facebook, maar Facebook wilde hier niet aan meewerken. Volgens PVH levert het niet op verzoek verstrekken van de identificerende gegevens in dit geval een onrechtmatige daad[1] op. Facebook verweert zich onder meer op basis van de subsidiariteit. Volgens Facebook kan PVH een andere, minder verstrekkende route bewandelen om deze gegevens te verkrijgen. De rechter verwerpt dit verweer en alle andere verweren van Facebook. Zelfs de informatie van de Facebook-pixel moet worden gedeeld. De informatie van de Facebook-pixel is een analytics tool die onder meer informatie bevat over welke pagina’s gebruikers bezoeken op een website. Met deze data herkent Facebook de gebruikers die eerder op de website zijn geweest, en kan herkend worden welke acties personen ondernemen op de website. Uiteindelijk moet PVH van de Rechtbank Amsterdam de volgende gegevens ontvangen van de partijen die de advertenties en accounts hebben aangemaakt: de naam, het adres en de woonplaats, het e-mailadres en het telefoonnummer waarmee de betreffende advertenties en accounts zijn aangemaakt, de datum van registratie, de datum, tijd en IP-adressen die gebruikt zijn voor het in- en uitloggen en voor het aanmaken van de advertentie, de betaalmethode en de betaalgegevens van elk account, en ook de informatie die met de Facebook-pixel is verzameld.[2] Stichting Brein / Rabobank Stichting Brein is als auteursrechthandhaver, die namens de boeken-, game-, film- en muziekindustrie (kortom: eigenlijk de hele creatieve industrie) optreedt, al jaren bezig met het opvragen van identificerende gegevens. En nu wederom met succes. De Rechtbank Utrecht heeft bepaald dat de Rabobank ditmaal, op grond van hetzelfde Lycos / Pessers[3] arrest uit 2005 als waar PVH zijn claim op heeft gebaseerd, onrechtmatig heeft gehandeld door deze gegevens niet direct af te staan. Stichting Brein heeft een anonieme handelaar (in het vonnis ‘NN’ genoemd) aangesproken, die tegen betaling door middel van een abonnementsvorm, talloze films, tv-series en TV-kanalen illegaal heeft aangeboden. Deze handelaar maakte voor de betalingen van zijn klanten – die voor € 15,- per maand een pakket met 10.000 zenders en meer dan 85.000 films en TV-series verkregen – gebruik van een bankrekening bij de Rabobank. De Rabobank verweerde zich, net zoals Facebook tegen PVH, met een subsidiariteitsverweer. Namelijk, dat er een andere, minder verstrekkende route bestaat om de gegevens te verkrijgen. De rechter verwerpt dit verweer echter eveneens: Brein had talloze providers en websites die verband hielden met ‘NN’ aangesproken, maar die hebben niet tot de zekerheid geleid dat ook de geldstroom naar deze anonieme NN te herleiden was. Ook het argument dat de gegevens van de rekeninghouder bij de Rabobank mogelijk van een katvanger of geldezel zouden zijn, verwerpt de rechtbank; die katvanger zou immers informatie over de inbreukmaker kunnen bezitten die Brein verder helpt. De Rechtbank Utrecht oordeelt uiteindelijk dat Rabobank aan Brein alle bij haar bekende identificerende naam- en adresgegevens moet verschaffen van de houder van het betreffende rekeningnummer.[4] Stichting React / ContextLogic Stichting React is een stichting die gelieerd is aan de Coöperatie SNB-React. SNB staat voor Stichting NamaakBestrijding. De partijen waar zij voor op komt zijn veel Europese merkhouders van grote internationale bedrijven, zoals Bang & Olufsen (B&O), Harman, GN Audio (Jabra), Lacoste S.A., PRL International mc. (Polo, Ralph Lauren), Puma AG, Sennheiser Electronic Gmbh, Nintendo of America mc. (Nintendo, Pokemon), Sony Computer Entertainment Europe (Playstation) en Sportswear Company Spa (Stone Island). Via het platform wish.com (dat op naam staat van ContextLogic) wordt geadverteerd voor artikelen, zoals kleding en elektronica, met bekende merknamen, waaronder B&O, Jabra, Puma, Stone Island, en afbeeldingen van (bijvoorbeeld) een door Lacoste als merk gedeponeerd krokodilletje. Eén van de bijschriften bij een advertentie luidt: “Because we use cheap materials to make clothes, so the quality can‘t be the same as the original, but the price is very cheap.” Stichting React vordert in de procedure dat ContextLogic identificerende gegevens verstrekt, van dertien (vrijwel allemaal in China gevestigde) handelaren, adverteerders en verkopers van deze nepproducten, die op het platform van ContextLogic hebben geadverteerd. In het verleden heeft ContextLogic al eerder identificerende gegevens afgestaan aan Stichting React, maar dit keer weigert ContextLogic afgifte. Wederom wordt er met verwijzing naar het Lycos / Pessers arrest[5] van de Hoge Raad uit 2005, geoordeeld dat het niet verstrekken van deze gegevens een onrechtmatige daad oplevert. De Rechtbank Amsterdam wijst net als de Rechtbank Utrecht en Den Haag de verstrekking van de identificerende gegevens toe, en in dit geval zijn dat de volgende gegevens: de rekeninghouderinformatie van creditcard(s), Paypal, E-Wallet, UMPAY, PayEco, Allpay, Payoneer, PingPong, Lianlian Pay en andere elektronische betalingsmiddelen, en de bankrekeningnummers met naam van de bank en tenaamstelling van de bankrekening die zijn gebruikt in het kader van via het platform aangeboden inbreukmakende producten en aanvullende diensten van het platform, en ook : de ID-kaartgegevens, dan wel identiteitsgegevens die ContextLogic verzamelt van de adverteerders met de Chinese nationaliteit volgens haar eigen “Real name authentication system”, de “identity information”. Dit alles voor zover van het van toepassing is op de desbetreffende gebruiker en uitsluitend voor zover deze gegevens ertoe strekken de gebruikers te identificeren.[6] Proceskosten Saillant detail in deze drie procedures is dat enkel Stichting React van de Rechtbank Amsterdam de volledige 1019h Rv proceskosten heeft gevraagd en toegewezen heeft gekregen. Dat betekent dat ca € 25.000,- aan advocaatkosten voor rekening van ContextLogic komt, hoewel de verliezer Rabobank ‘slechts’ ca €  1.775,- aan proceskosten aan Brein betaalt. In de procedure tussen Facebook en PVH wordt door de Rechtbank Den Haag geoordeeld dat iedere partij zijn eigen kosten draagt. Fake gegevens De vraag die nu rijst is ook met welke gegevens PVH, Brein en React worden geconfronteerd. In veel gevallen blijkt dat op platformen nog gebruik wordt gemaakt van ‘fake’ gegevens, waarbij de accounthouder ‘Donald Duck’ heet en de sommatie derhalve naar Duckstad moet worden verstuurd. Of de gegevens van Chinese handelaren bruikbaarder zijn dan het adres van Donald Duck valt te betwijfelen. Vanzelfsprekend is de Rabobank de enige partij waarvan de rekeninghoudergegevens zouden moeten kloppen; banken dienen over het algemeen namelijk te controleren wie hun rekeninghouders zijn. Of dat tot een succes leidt is ook nog maar de vraag. Recente nieuwsberichten met betrekking tot de kwaliteit en mate waarin controles door banken plaats vinden[7] lijken weinig hoop te geven. Deze bijdrage van Victor den Hollander verscheen het eerst op devos.nl op 30 april 2021. [1] Op grond van het arrest HR 25 november 2005, IER 2006, 2 (Lycos / Pessers) [2] Vzr. Rechtbank Den Haag 29 april 2021, C/09/604813 / KG ZA 20-1249 (PVH tegen Facebook) http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2021:4356 zie r.o. 5.5. [3] HR 25 november 2005, IER 2006, 2 (Lycos / Pessers) [4] Vzr. Rechtbank Midden-Nederland 23 april 2021, IEF 19920; C/16/514516 / KG ZA 20-665 (BREIN tegen Rabobank) http://ie-forum.nl/documents/ecli/608a71bb-ae70-4fc2-bf39-221ac35ff8c2.pdf [5] HR 25 november 2005, IER 2006, 2 (Lycos / Pessers) [6] Vzr. Rechtbank Amsterdam 26 april 2021, IEF 19923, IT 3497; C/13/697737 / KG ZA 21-146 (Stichting React tegen ContextLogic) http://ie-forum.nl/documents/ecli/608abc40-a7c8-4d3c-af76-4016c35ff8c2.pdf [7] https://www.ad.nl/economie/abn-amro-diep-door-het-stof-vanwege-witwassen~a3d478ca/

Lees meer


Creatieve industrie

De topsector Creatieve Industrie is een van de snelst groeiende sectoren van de Nederlandse economie. Deze sec... Lees meer

Werkwijze en Tarieven

Snel, efficiënt en to the point, zo werken we het liefst.


Copyright/Disclaimer © 2017 by De Vos & Partners N.V., Amsterdam, Nederland. All rights reserved. Website by Omelette Du Fromage