Vorige week werd besproken wat spyware is. Daarnaast werd kort aandacht besteed aan verscheidene soorten malware en hun verschillen spyware. Voorts werd uitgebreid ingegaan op de overeenkomsten en verschillen tussen virussen en spyware. Zoals vorige week eveneens ter sprake kwam, hebben de Nederlandse en Europese overheidsinstanties en toezichthoudende organisaties moeite met het terugdringen en bestraffen van spyware. Deze week besteed ik aandacht aan de eerste Nederlandse en Europese maatregel tegen spyware.
Het eerste Nederlandse (en Europese) ingrijpen tegen spyware vond plaats op 5 november 2007. De OPTA (tegenwoordig de ACM – voor meer informatie over de OPTA en de ACM zie het artikel hierover) heeft boetes opgelegd van in totaal 1 miljoen euro. Het gaat om een besmetting van 22 miljoen computers met spyware, genaamd DollarRevenue. Het betreft een overtreding van art. 4.1 van het besluit universele dienstverlening en eindgebruikersbelangen. De boetes werden opgelegd volgens art. 15.4 en art. 15.10 van de Telecommunicatiewet. Een deel van deze boetes moest worden betaald door de directeuren zelf, het andere deel door de rechtspersonen waarvan zij directeur waren. De bewuste directeuren zijn daarop een bezwaarprocedure gestart.
Aangezien het een besluit betrof van de OPTA, een organisatie die onder de verantwoordelijkheid van de overheid valt, was op deze bezwaarprocedure het bestuursrecht van toepassing. We moeten dan ook bekijken hoe een bestuursrechtelijke procedure verloopt. Eerst moet een bezwaarschrift worden ingediend bij het bestuursorgaan dat de beslissing genomen heeft. Deze organisatie moet op basis van het bezwaarschrift het besluit opnieuw bekijken. Als het resultaat daarvan niet tot tevredenheid leidt bij degene die het bezwaar heeft ingediend, kan hij beroep instellen bij de arrondissementsrechtbank sector bestuursrecht. Als een of beide partijen het niet eens zijn met het besluit van de rechtbank staat vervolgens hoger beroep open. Afhankelijk van het bestuursorgaan dat het besluit genomen heeft, moet dit beroepsschrift worden ingediend bij de Raad van State (RvS) of het College van Beroep voor het bedrijfsleven (CBb). In het bestuursrecht staat na het hoger beroep geen mogelijkheid meer open voor een cassatieberoep.
De directeuren van de bedrijven die de software van DollarRevenue hebben verspreid zijn, zoals hiervoor betoogd, een bezwaarprocedure gestart bij de OPTA. Op 18 juni 2008 verklaarde de OPTA het bezwaar ongegrond. Daarop stelden de directeuren beroep in bij de rechtbank van Rotterdam. Op 3 februari 2010 volgde de uitspraak in deze zaak, waarbij de rechtbank de opgelegde boetes grotendeels in stand liet. Ten aanzien van de rol van verschillende overtreders overwoog de rechtbank dat twee rechtspersonen en één directeur terecht, en één rechtspersoon en één directeur ten onrechte als overtreder waren aangemerkt. De hoogte van de (aan de overgebleven drie overtreders) opgelegde boetes achtte de rechtbank evenredig.
Zowel de ACM als de overgebleven directeur en rechtspersonen gingen vervolgens tegen de uitspraak van de rechtbank in hoger beroep bij het College van Beroep voor het bedrijfsleven (CBb). In afwijking van het oordeel van de rechtbank vernietigde het CBb op 20 juni 2013 het boetebesluit en schrapte alle opgelegde boetes. Het CBb stelde eerst vast dat de verbodsbepaling alleen de gebruikers in Nederland beschermt en niet geldt voor computers buiten de Nederlandse landsgrenzen, ook niet wanneer de plaatsing van de software van uit Nederland plaatsheeft. Hiermee beperkte het CBb het aantal overtredingen. Voorts kwam het CBb tot de conclusie dat weliswaar sprake was van overtredingen, maar de daarvoor beboete bedrijven geen overtreder zijn.
De ACM had alle beboete partijen als zelfstandige overtreders aangemerkt. Het CBb beperkte de kring van overtreders echter tot degenen die de initiële software feitelijk hadden geplaatst (in dit geval de tussenpersonen, de zgn. affiliates). Zij zijn volgens het CBb als (feitelijke) overtreders alleen verantwoordelijk voor de informatieverstrekking en het geven van een weigeringsmogelijkheid. Het feit dat door plaatsing van de software vervolgens automatisch andere software was geplaatst (waaronder die van de partijen), maakte hen niet tot overtreders. Partijen kunnen volgens het CBb evenmin als medepleger worden aangemerkt omdat de Algemene wet bestuursrecht pas vanaf 1 juli 2009 de mogelijkheid kent om een boete aan medeplegers op te leggen; de overtredingen hadden voor die tijd plaatsgevonden. Zoals gesteld is het oordeel van het CBb definitief en kan hiertegen geen beroep of cassatieberoep worden ingesteld. De ACM is teleurgesteld in de uitspraak omdat deze strikte interpretatie van de regels voor het verspreiden van spyware de aanpak van dit probleem voor de toezichthouder bemoeilijkt.
Resumerend: op 5 november 2007 legde de OPTA de eerste Nederlandse en Europese maatregel op tegen de verspreiders van DollarRevenue. Hierop dienden de beboete directeuren en rechtspersonen een bezwaarschrift in bij de OPTA. Op 18 juni 2008 verklaarde de OPTA het bezwaar ongegrond, waarna dezelfde personen beroep instelden bij de rechtbank te Rotterdam. Op 3 februari 2010 besloot de rechtbank de opgelegde boetes grotendeels in stand te laten. Met dit besluit waren beide partijen het niet eens waarop zij beide in hoger beroep gingen bij het CBb, dat ten slotte op 20 juni 2013 het boetebesluit heeft vernietigd en alle opgelegde boetes geschrapt. In vervolg op het artikel van vorige week over spyware zal in het volgende artikel worden ingegaan op welke soorten malware er zijn.
Lees ook de andere artikelen van mr. Sophia Sipkens.