Wanneer ICT-leveranciers software of applicaties ontwikkelen, dan komen zij verschillende juridische vraagstukken tegen. Om op voorhand de kansen en risico’s van een ICT-project in kaart te brengen, is onze advocaat ICT vaak al in het voorstadium van ICT-projecten betrokken bij de advisering. Welke contracten moeten worden gesloten? Bij wie rusten de intellectuele eigendomsrechten? Wat moet er geregeld worden omtrent privacy? Worden er passende beveiligingsmaatregelen getroffen?
Omdat een ICT-project een creatief proces betreft en daarom constant in beweging is, adviseert een advocaat ICT onze klanten gedurende het hele ontwikkelproces. Ook andere organisaties komen geregeld juridische vraagstukken op het gebied van ICT tegen, bijvoorbeeld wanneer zij gaan contracteren met een ICT-leverancier. In dat geval is het van belang om de juiste afspraken te maken omtrent de eisen die worden gesteld aan de dienstverlening, bijvoorbeeld in een hosting agreement of een Service Level Agreement. Onze advocaat ICT kan deze voor u opstellen en/of beoordelen.
Daarnaast is het van belang dat de persoonsgegevens (zoals klantgegevens en medewerkersgegevens) in de verschillende ICT-systemen van organisaties op een rechtmatige wijze conform de privacywetgeving worden verwerkt. Ook kunt u onverwacht te maken krijgen met juridische vraagstukken op het gebied van ICT, bijvoorbeeld wanneer uw organisatie wordt getroffen door een beveiligingsincident, zoals een cyberaanval. Een advocaat ICT kan uw organisatie ondersteunen bij het afhandelen van beveiligingsincidenten.
Ons team ICT | Tech houdt zich onder meer bezig met het ICT-recht, Intellectueel Eigendomsrecht, privacyrecht en cybersecurity.
Wanneer organisaties een ICT-leverancier inschakelen, bijvoorbeeld voor het aanleveren van een softwarepakket en/of voor het hosten van gegevens, dan vormt een ICT-contract de juridische basis. Onder welke voorwaarden wordt de ICT-dienst geleverd? Wie is aansprakelijk en bij welke partij ligt het (intellectueel) eigendom? Onze specialisten ICT | Tech kunnen u helpen bij het opstellen van ICT-contracten en u over de inhoud adviseren. Zo kan onze advocaat ICT voor u een Service Level Agreement (SLA) opstellen waarin afspraken worden gemaakt over de prestatie-eisen die aan een dienst worden gesteld, bijvoorbeeld over de beschikbaarheid, ondersteuning (responsetijd) en beveiliging. Ook kan onze advocaat ICT | Tech u bijstaan bij ICT-geschillen. Hierbij kan gedacht worden aan geschillen omtrent de afspraken die zijn gemaakt in het kader van een ICT-project of aan aansprakelijkheidskwesties wanneer schade is geleden door het uitvallen van systemen.
Intellectuele eigendomsrechten zien op een breed scala aan onderwerpen. Deze onderwerpen hebben vooral met elkaar gemeen dat ze zien op voortbrengselen van de menselijke geest, ofwel creatieve inspanningen. Het intellectueel eigendomsrecht regelt de grenzen van (on)geoorloofde concurrentie. Denk bijvoorbeeld aan auteursrechten en merkrechten, maar ook aan handelsnaamrechten en octrooien.
Ook bij het (laten) ontwikkelen van software is het van belang dat u uw intellectuele eigendomsrechten waarborgt. Als u bijvoorbeeld een website of een app laat bouwen, dan is het van belang om erbij stil te staan aan welke betrokken partijen de intellectuele eigendomsrechten toekomen en daar zo nodig afspraken over te maken. Zo kan op de lay-out van een website (ontwerp en design) op de teksten, logo’s en afbeeldingen een auteursrecht rusten, maar ook de onderliggende broncode kan auteursrechtelijk beschermd zijn.
Ontwikkelt u software of laat u software ontwikkelen? Een advocaat ICT adviseert, onderhandelt en procedeert op het gebied van het auteursrecht, domeinnamen, het databankenrecht en (open source) licenties.
In de meeste ICT applicaties worden persoonsgegevens verwerkt in de zin van de Algemene Verordening Gegevensbescherming (AVG). Om deze reden dienen ontwikkelaars aan het begin van het ontwikkelproces goed na te denken over welke rol de betrokken partijen hebben in de zin van de AVG (verantwoordelijke/verwerker) en welke verplichtingen dit met zich meebrengt. Op deze manier kunnen zij hun applicatie van begin af aan privacyvriendelijk inrichten (ook wel Privacy by Design genoemd). Onze advocaat ICT kan u adviseren over verschillende privacyvraagstukken, bijvoorbeeld over de vraag of u een rechtmatige grondslag heeft om persoonsgegevens te verwerken en welke administratieve verplichtingen u heeft op grond van de AVG. Een advocaat ICT kan ook (verwerkers)overeenkomsten voor u beoordelen c.q. opstellen en een privacyscan/Data Protection Impact Assessment (DPIA) voor u uitvoeren.
Wanneer organisaties worden getroffen door een cyberaanval (zoals een ransomware-aanval), kan dit veel schade veroorzaken. Bedrijfsprocessen kunnen stil komen te liggen en gevoelige gegevens kunnen in handen komen van kwaadwillenden. Een advocaat ICT ondersteunt uw organisatie bij het melden van datalekken aan de Autoriteit Persoonsgegevens en/of de betrokkenen en kan u bijstaan bij aansprakelijkheidskwesties.
Ook helpt een advocaat ICT u te voldoen aan de verplichtingen uit de NIS2-richtlijn, zoals de daarin opgenomen zorgplicht en meldplicht. Op grond van de zorgplicht dienen organisaties onder meer een risicobeoordeling uit te voeren op basis waarvan zij passende beveiligingsmaatregelen kunnen nemen. De meldplicht houdt in dat organisaties (ernstige) incidenten binnen 24 uur moeten melden aan de bevoegde toezichthouder/instantie.
De komende jaren zullen de compliance verplichtingen uit de AI Act gefaseerd van toepassing worden. Afhankelijk van de risicocategorie waar het betreffende AI-systeem onder valt, gelden voor de aanbieders en exploitanten van AI-systemen verschillende verplichtingen. Ten aanzien van AI-systemen met een hoog risico dienen aanbieders bijvoorbeeld een conformiteitsbeoordeling uit te voeren, een risicomanagementsysteem te implementeren en te voldoen aan transparantieverplichtingen. Exploitanten dienen onder meer de gebruiksaanwijzingen van de aanbieder op te volgen, te zorgen voor voldoende menselijk toezicht, automatisch logs bij te houden en in bepaalde gevallen een “fundamental rights impact assessment” uit te voeren. Een advocaat ICT ondersteunt uw organisatie bij het voldoen aan de compliance verplichtingen uit de AI Act.
Onze specialisten ICT willen graag op laagdrempelige wijze een gesprekspartner voor u zijn, in zowel oor grote als kleine kwesties waar u tegenaan loopt. Ons doel is om u te allen tijde te ontzorgen. Uw eerste aanspreekpunt is advocaat ICT | AI | Privacy Hillie Lunter.
Als u een externe partij inschakelt die namens uw organisatie persoonsgegevens verwerkt (bijvoorbeeld een cloudprovider), dient met deze partij een verwerkersovereenkomst gesloten te worden. In een verwerkersovereenkomst maakt u bijvoorbeeld afspraken over beveiliging en het melden van datalekken.
Een FG is (onder meer) verplicht voor organisaties die op grote schaal gevoelige persoonsgegevens verwerken, structureel personen monitoren of een publieke taak uitvoeren. Ook vrijwillig kan een FG nuttig zijn als toezichthouder en aanspreekpunt.
Dat is het geval bij een datalek die risico’s inhoudt voor de rechten en vrijheden van personen. Dergelijke datalekken moet uw organisaties binnen 72 uur melden bij de Autoriteit Persoonsgegevens en in sommige gevallen ook onverwijld bij de betrokkenen zelf.
Uw organisatie dient onder meer een verwerkingsregister bijhouden, verwerkersovereenkomsten te sluiten, een privacy- en cookie statement te publiceren op de website en soms een DPIA uitvoeren. Deze verplichtingen helpen aan te tonen dat uw organisatie ‘AVG-compliant’ is.
Uw organisatie valt onder de NIS2-richtlijn als u actief bent in een essentiële of belangrijke sector die de richtlijn noemt, zoals energie, transport, gezondheidszorg, digitale infrastructuur of ICT-diensten. Daarbij geldt in beginsel ook een omvangvereiste: middelgrote en grote organisaties vallen onder NIS2, kleine ondernemingen meestal niet (een aantal uitzonderingen daargelaten).
Organisaties die onder NIS2 vallen moeten passende maatregelen nemen om hun netwerk- en informatiesystemen te beveiligen. Denk aan het uitvoeren van risicoanalyses, het opstellen van duidelijke beveiligingsprocedures, regelmatige controles op kwetsbaarheden en een plan om snel te reageren bij incidenten.
Bij een significant incident moet uw organisatie dit gefaseerd melden. Binnen 24 uur volgt een eerste waarschuwing, binnen 72 uur een uitgebreidere melding met details en impact. Daarna kan een tussentijds verslag worden gevraagd en binnen een maand moet een eindrapport of voortgangsverslag worden ingediend.
Organisaties die onder de NIS2 vallen, moeten zich registreren bij het Nationaal Cyber Security Centrum (NCSC). Onze advocaten begeleiden u bij het bepalen of uw organisatie registratieplichtig is en zorgen dat dit correct gebeurt.
Een cyberaanval kan grote gevolgen hebben voor uw organisatie. Het is belangrijk om snel en zorgvuldig te handelen. Voor meer informatie en directe ondersteuning kunt u contact opnemen met ons Cyber Response Team.
Een ICT-contract legt vast wat er precies geleverd wordt, wie verantwoordelijk is bij problemen en wie de eigenaar is van het intellectueel eigendom. Zo voorkomt uw organisatie discussies en juridische risico’s.
Voorbeelden zijn licentieovereenkomsten, SLA’s, hostingovereenkomsten, softwareontwikkelingsovereenkomsten, SaaS-contracten en verwerkersovereenkomsten. Elk type contract legt andere rechten en plichten vast.
Aansprakelijkheid kan vaak worden beperkt of uitgesloten. Het is belangrijk afspraken te maken over aansprakelijkheidsbeperkingen, overmacht en verzekeringen, zodat uw organisatie niet voor onverwachte kosten komt te staan.
Tenzij anders afgesproken, ligt het auteursrecht bij de ontwikkelaar. Wilt u als opdrachtgever de software vrij kunnen gebruiken of doorontwikkelen, dan moet dit expliciet in het contract (licentie) geregeld worden.
Dan kan uw organisatie deze partij in gebreke stellen en nakoming of herstel eisen. Lukt dat niet, dan zijn ontbinding en/of een (aanvullende) schadevergoeding mogelijk. Onze advocaten helpen uw organisatie bij het afdwingen van rechten, waar nodig door middel van het starten van een gerechtelijke procedure.
De AI Act geldt onder meer voor aanbieders en gebruiksverantwoordelijken van AI-systemen. Aanbie-ders zijn partijen die AI ontwikkelen en op de markt brengen, gebruiksverantwoordelijken zijn de organisaties die deze systemen gebruiken.
Dat hangt af van de risicocategorie van het AI-systeem. Bij hoogrisicosystemen gelden voor aanbieders zware compliance verplichtingen, zoals conformiteitsbeoordelingen, risicomanagement en transparantieverplichtingen. Gebruiksverantwoordelijken moeten onder meer menselijk toezicht waarborgen, logs bijhouden en soms een “fundamental rights impact assessment” uitvoeren.
Bij niet-naleving kunnen toezichthouders forse boetes opleggen, tot maximaal 35 miljoen euro of 7% van de wereldwijde jaaromzet.
Bij de ontwikkeling van software berust het auteursrecht automatisch bij de ontwikkelaar. Via een licentie kan toestemming worden gegeven aan derden, zoals de opdrachtgever, om de software te gebruiken of door te ontwikkelen. Dit wordt vastgelegd in een (licentie)overeenkomst.
Een handelsnaam is automatisch beschermd, zolang er geen ouder recht bestaat. Wilt u exclusieve rechten op de naam of het logo van uw organisatie voor specifieke producten of diensten, dan kunt u een merk registreren. Onze advocaten ondersteunen u bij de registratie en bescherming van uw merk.
Bij een inbreuk kunnen wij voor uw organisatie de wederpartij sommeren om de inbreuk te staken en eventueel een schadevergoeding te eisen. Lukt dat niet via de minnelijke weg, dan kan een gerechtelijke procedure nodig zijn, bijvoorbeeld via een kortgedingprocedure.
