In onze samenleving neemt data een steeds belangrijkere plaats in. Er is veel behoefte aan het delen van data. Met behulp van gedeelde data kan efficiënter worden gewerkt en ontstaan nieuwe diensten. Het recht worstelt met het fenomeen data. Juist omdat de juridische status van data onduidelijk is, vergen dataverwerkingscontracten bijzondere aandacht. Kun je bijvoorbeeld nu wel of niet eigenaar zijn van data? Kun je data revindiceren? Kun je intellectueel eigendom hebben op data? Moet je je data beschikbaar stellen? Kunnen gegevens die niet direct herleidbaar zijn tot personen, toch persoonsgegevens zijn?
JURISPRUDENTIE
De rechtspraak over data is volop in ontwikkeling. Het is raadzaam om in contracten zo veel mogelijk aan te sluiten bij de recente jurisprudentie. Zonder te pretenderen volledig te zijn, volgt hieronder een korte bloemlezing van die rechtspraak.
Een rechter oordeelde dat virtuele objecten een goed zijn, zodat het wederrechtelijk wegnemen ervan diefstal oplevert. (1) Algemeen wordt aangenomen dat deze kwalificatie als “goed” alleen geldt voor het strafrecht, en niet voor het civiele recht.
De Hoge Raad heeft uitgemaakt dat het kooprecht van toepassing is op softwarelicenties voor onbepaalde duur.(2) Is software daarmee een “zaak” in de zin van het Burgerlijk Wetboek? Kun je dus eigenaar worden van software? De Hoge Raad zwijgt daarover, maar maakt duidelijk dat zijn uitspraak niet ziet op de goederenrechtelijke aard van software. Algemeen wordt aangenomen dat software geen zaak is.
Het ongevraagd gebruiken van iemand anders data kan inbreuk opleveren op het databankrecht. Databankbescherming vereist een substantiële investering in de verkrijging, controle of presentatie van de inhoud van de databank.(3) De intrinsieke waarde van de data die in de databank is opgenomen speelt bij de databankbescherming geen rol.(4)
Contractuele beperkingen aan het gebruik van online databanken zijn onder omstandigheden toegestaan.(5)
De doorverkoop van software kan contractueel niet worden verboden. Kopers van 2e hands software hebben een wettelijk gebruiksrecht en hoeven geen licentiecontract met de softwareleverancier te sluiten.(6)
Het weigeren van toegang tot data kan strijd opleveren met het mededingingsrecht. (7) Noch de functionaliteit, de programmeertaal of het format van software wordt beschermd door het auteursrecht op software. (8)
Bij exitgeschillen is de tendens dat rechters er voor kiezen leveranciers te verplichten mee te werken aan het beschikbaar stellen van data aan de klanten.(9)
Uit de rechtspraak blijkt dat in IT-context fatale termijnen vaak niet fataal blijken en ontspoorde projecten niet gemakkelijk ontbonden kunnen worden.(10)
CONTRACTEN
Aangezien de traditionele juridische leerstukken niet onverkort toepasbaar zijn op data, is het zaak om datacontracten zorgvuldig op te stellen. Een goede kennis van de jurisprudentie is daarbij een must. Hieronder volgt een kort overzicht van enkele onderwerpen die je altijd even in je achterhoofd zou moeten houden.
Implementatie
Vrijwel ieder dataproject start met een implementatie. Niet zelden lopen projecten al in de implementatiefase vast. Implementatie wordt contractueel veelal verwaarloosd (vaak is implementatie vermomd als recht-toe-recht-aan lijkende consultancydiensten). Zorg voor goede afspraken over acceptatie en zorg dat gebruiksvergoedingen pas betaalbaar worden na live-gang.
Kwaliteit
Steeds meer diensten worden online geleverd. Zorg niet alleen voor klassieke kwaliteitseisen ten aanzien van bijvoorbeeld beschikbaarheid, maar adresseer ook de prestatie van de diensten. Zo kunnen bijvoorbeeld afspraken worden gemaakt over de snelheid waarmee dataverzoeken worden afgehandeld en het aantal tegelijkertijd te verwerken verzoeken.
Beveiliging
Informatiebeveiliging is hot. De privacywetgeving kent een stringent regime inzake beveiliging en datalekken, gekoppeld aan hoge boetes. Maar ook vanwege de continue aanvallen van cybercriminelen en om in aanmerking te komen voor bescherming van bedrijfsgeheimen is een stringent contractueel beveiligingsbeleid onontbeerlijk. Daarbij zal ook complexe materie als ethisch hacken moeten worden meegenomen.
Eigendom
Algemeen wordt aangenomen dat ons recht geen eigendomsrecht kent ten aanzien van data. Toch is gebruikelijk om te bepalen wie de eigenaar van bepaalde data is. Om dit ‘eigendom’ handen en voeten te geven is het belangrijk om afspraken te maken over bijvoorbeeld afgifte van data en het gebruik dat van data mag worden gemaakt.
Intellectueel eigendom
Met betrekking tot data kunnen verscheidene rechten van intellectueel eigendom een rol spelen. Het is daarom altijd belangrijk om contractueel helder te hebben wie de eigenaar is van die rechten en welke licenties worden verleend. Aandachtspunt vormt het gebruik van open source, tegenwoordig niet meer weg te denken. Er bestaan grofweg 3-types open source licenties. Het type ‘copyleft’ kan tot gevolg hebben dat alle broncodes vrij moeten worden gegeven, ook van broncodes die geheel zelf zijn ontwikkeld.
Continuïteit
Afhankelijkheid van data of diensten van anderen brengt continuïteitsrisico’s met zich mee. Mitigerende maatregelen zullen met name praktisch van aard zijn. Daarbij valt te denken aan bijvoorbeeld noodvoorzieningen, uitwijkfaciliteiten, back-up en wachtkamerregelingen. Het contract moet hierop zijn afgestemd.
Exit
Bij einde contract kunnen zich ontvlechtingsproblemen voordoen. Vaak hebben partijen na einde contract nog een korte periode nodig om data en/of diensten over te zetten. Een goede exitregeling moet dit afvangen. Doorgaans wordt verwezen naar een gedetailleerd exitplan, waarin de omgekeerde implementatie wordt beschreven teneinde een soepele overgang te borgen.
Wettelijke beperkingen
Zoals hiervoor al kort is gememoreerd zijn er tal van wettelijke beperkingen waar rekening mee moet worden gehouden in datacontracten. Zo kan privacyregelgeving restricties stellen aan het gebruik van gegevens. Ook vloeien eisen aan systeeminrichting voort uit deze regelgeving. Bij data-uitwisseling moet ook aandacht worden gegeven aan het mededingingsrecht en de diverse intellectuele eigendomsrechten. Andere relevante regelgeving ziet onder meer op doorgifte van niet-persoonlijke data en de regelgeving voor de bescherming van bedrijfsgeheimen.
SLOTSOM
Het is zaak om in datacontracten goed oog te hebben voor zowel de praktische als de juridische werkelijkheid. Voor de praktische werkelijkheid is veel kennis nodig over de feitelijke gang van zaken. Hoe ziet de implementatie eruit, welk informatiebeveiligingsbeleid is van toepassing, welke mitigerende maatregelen worden getroffen, welke standaarden worden aangehouden? Vanuit de juridische werkelijkheid dient voldoende oog te zijn voor (intellectueel) eigendom en gebruiksrestricties, alsmede de juridische randvoorwaarden die volgen uit onder andere de privacyregelgeving en het mededingingsrecht.
VOETNOTEN
Rb. Leeuwarden 21 oktober 2008, ECLI:NL:RBLEE:2008:BG0939 (Runscape-uitspraak), vergelijk ook HR 23 mei 1921, NJ 1921, 564 (Elektriciteitsarrest).
HR 27 april 2012, NJ 2012/293 (Beeldbrigade-arrest).
Vgl. o.a. HvJ EG 9 november 2004, C-46/02, ECLI:EU:C:2004:694 (Fixtures/Veikkaus).
HvJ EG 9 november 2004, C-203/02, ECLI:EU:C:2004:695, (BHB/William Hill), r.o. 72.
HvJ EU 15 januari 2015, C-30/14 (Ryanair/PR Aviation).
HvJ EU 3 juli 2012, C‑128/11 (Usedsoft/Oracle).
HvJ EG 29 april 2004, C-418/01 (IMS Health-zaak).
HvJ EU 2 mei 2012, C-406/10 (SAS Institute/World Programming).
Vgl. o.a. Rb (vzr.) Amsterdam, 9 januari 2009 (Telfort/XB), Rb (vzr.) Amsterdam, 15 februari 2010, LJN BL4068 (Insinger de Beaufort/Centric), Rb Rotterdam, 8 mei 2012, ECLI:NL:RBROT:2012:BW5386 (Europsyche/Fides), Gerechtshof ’s Hertogenbosch 26 maart 2013, LJN BZ5770 (Curator Retera/Vict) en Rb (vzr.) Amsterdam 9, april 2009, LJN BJ5559 (Oilily/SaaSplaza).
Zie onder meer mr. P.G. van der Putt, De afdwingbaarheid van contracten bij falende IT-projecten, Computerrecht 2016/44 en de daarin aangehaalde jurisprudentie.
