Het College van Beroep voor het bedrijfsleven (CBb) heeft in afwijking van het oordeel van de rechtbank het boetebesluit vernietigd en alle opgelegde boetes geschrapt van drie Nederlandse bedrijven en hun directeuren. Zij hadden ongewenste software geïnstalleerd op meer dan 22 miljoen computers van internetgebruikers in Nederland en daarbuiten. De boetes waren samen goed voor één miljoen euro. De uitspraak is definitief en er kan geen beroep meer worden aangetekend.
ACM (Autoriteit Consument & Markt, toen nog Opta) heeft op 5 november 2007 aan drie Nederlandse bedrijven en hun directeuren boetes opgelegd van in totaal één miljoen euro omdat ze ongewenste software installeerden op meer dan 22 miljoen computers van internetgebruikers in Nederland en daarbuiten. Met de illegale plaatsing van deze zogeheten ad- en spyware verspreidden de samenwerkende bedrijven onder de naam DollarRevenue reclameboodschappen en verschaften zich toegang tot gegevens van de internetgebruikers. Dit is in strijd met de wet.
Tegen dit besluit hebben partijen gezamenlijk bezwaar gemaakt. Op 18 juni 2008 heeft ACM het bezwaar ongegrond verklaard. Hiertegen hebben partijen beroep ingesteld bij de rechtbank Rotterdam. Op 3 februari 2010 heeft de rechtbank uitspraak gedaan.
Eerdere uitspraak rechtbank Rotterdam
De rechtbank liet de opgelegde boetes in beroep goeddeels in stand. Zij was van oordeel dat de wet een groot aantal maal is overtreden, dat ACM bevoegd was om op te treden en dat onder de naam alsmede onder verantwoordelijkheid van het samenwerkingsverband DollarRevenue de overtredingen hebben plaatsgevonden.
Ten aanzien van de rol van verschillende overtreders heeft de rechtbank overwogen dat twee rechtspersonen en één directeur terecht en één rechtspersoon en één directeur ten onrechte als overtreder zijn aangemerkt. De hoogte van de aan de overgebleven drie overtreders opgelegde boetes achtte de rechtbank niet onevenredig. Zowel ACM als partijen hebben vervolgens tegen de uitspraak van de rechtbank hoger beroep ingesteld bij het College van Beroep voor het bedrijfsleven (CBb).
Uitspraak van het CBb
In afwijking van het oordeel van de rechtbank heeft het CBb op 20 juni 2013 het boetebesluit vernietigd en alle opgelegde boetes geschrapt. Het CBb stelt eerst vast dat de verbodsbepaling in de wet alleen de gebruikers in Nederland beschermt en niet geldt voor computers buiten de Nederlandse landsgrenzen, ook niet als de plaatsing van de software vanuit Nederland plaatsvindt. Hierdoor beperkt het CBb het aantal overtredingen.
Het CBb komt verder tot de conclusie dat er weliswaar sprake is van overtredingen, maar dat de daarvoor beboete bedrijven geen overtreder zijn. ACM had alle beboete partijen als zelfstandig overtreder aangemerkt. Het CBb beperkt de kring van overtreders echter tot de degenen die de initiële software feitelijk plaatsten. Dat zijn in dit geval de tussenpersonen, de zogenaamde affiliates. Zij zijn volgens het CBb als feitelijke overtreder alleen verantwoordelijk voor de informatieverstrekking en het geven van een weigeringsmogelijkheid. Het feit dat door plaatsing van de software vervolgens ook nog automatisch andere software werd geplaatst, waaronder die van partijen, maakt hen niet tot overtreders. Partijen kunnen volgens het CBb evenmin als medepleger worden aangemerkt omdat de Algemene wet bestuursrecht pas vanaf 1 juli 2009 de mogelijkheid kent om een boete aan medeplegers op te leggen en de overtredingen voor die tijd hebben plaatsgevonden.
ACM teleurgesteld
ACM is teleurgesteld over deze strikte interpretatie van het CBb van de regels voor het verspreiden van spyware. Dit maakt de aanpak van dit probleem voor de toezichthouder moeilijker.
Feitelijk zou het veel eenvoudiger moeten. Bedrijven die met voorbedachte rade mal/spyware op pc, laptop, tablets en mobile devices installeren met het oogmerk zakelijke winst hieruit te kunnen halen, dit doende vanuit Nederland, moeten gewoon torenhoge boetes tegemoet kunnen zien.
Los even van wie je aan zou moeten merken als ‘dader’. Maak er een sec economisch delict van en ontneem omzet en winst. Ik begrijp het probleem hiervan niet zo.
Stel gewoon en eindelijk eens wettelijk dat een IT perpheral dat verbonden kan worden met het internet, gewoon integraal eigendom is van diegene die het legaal heeft aangeschaft of door legaal overdracht heeft verkregen, een exclusief gebruikers en beslissingsrecht heeft van die IT peripheral.
Anderen die zonder expliciete toestemming van de gebruiker software proberen te installeren, dat doen, hebben gedaan of zich anderszins toegang verschaffen tot die IT peripheral, maak zich gewoon schuldig aan een misdrijf.
Of dit nu een persoon of een bedrijf is. Als je dat op die manier wettelijk regelt, kun je elke hacker en onderneming die zich van bovengenoemde bedient, strafbaar stellen en vervolgen. Hoe moeilijk kan dat zijn?