Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Ik las op Twitter dat in Engeland het niet meer toegestaan is om "computer code" in je bedrijfsnaam op te nemen. Dit vanwege het risico's van SQL injectie en dergelijke bij de Engelse KVK en datahandelaren. Hoe zit dat in Nederland?

Antwoord: Veel lezers zullen nu denken aan de xkcd-strip (https://www.explainxkcd.com/wiki/index.php/327:_Exploits_of_a_Mom) over het jongetje "Robert'); DROP TABLE Students;--", wiens naam ervoor zorgt dat de school al haar gegevens kwijtraakt. De SQL code in Robert's voornaam is een triviale exploit die verrassend vaak werkt (als alles stupide is ingesteld, wat dus redelijk vaak het geval is.) Zijn roepnaam is Bobby, maar Robert is nu oud genoeg om een bedrijf op te richten. Wat in Engeland dus niet mag.

Afijn. Het punt is dus: dit is computercode, en de software van de Companies House (de Engelse KVK) kan daar niet mee omgaan en/of kan rare dingen doen. Dus dat is nu een weigeringsgrond geworden voor een Engelse bedrijfsnaam. In Nederland bestaat zo'n regel niet. De regels over handelsnamen zijn vrij simpel (https://www.dezaak.nl/marketing-sales/hieraan-moet-een-handelsnaam-voldoen/) en gericht op het doel van handelsnamen: niet misleiden, je niet groter voordoen en geen speciale aanduidingen zoals bv of bank of stichting tenzij je dat bent.

Over gekke tekens zegt de KVK:

Je mag cijfers en de leestekens @ & + en – altijd gebruiken in je bedrijfsnaam, Speciale tekens als () ? ! * # / mag je uitsluitend ter vervanging van een letter of als 'woordgrap' gebruiken.

Ik kan niet direct een juridische basis voor deze uitspraak vinden, behalve dan het argument dat het moet gaan om een 'naam' en dat namen toch vrij evident bestaan uit letters, cijfers en die leestekens, met hooguit een woordgrap. (Van dit standaardwerk (pdf), hoewel grondig, werd ik niet veel wijzer.)

Dat sluit aan bij een indirect gerelateerde zaak uit 2010 bij het Hof van Justitie, waarbij de merknaam "&R&E&I&F&E&N&" werd ingeschreven met als doel voorrang te krijgen bij de .eu domeinnaamopenstelling voor www.reifen.eu. Het Hof bepaalde dat een merkregistratie ongeldig is (kwade trouw) als je niet het oogmerk hebt het merk als zodanig te gebruiken in de markt. Daaruit zou ook voor handelsnamen het argument kunnen volgen dat "Robert'); DROP TABLE Companies;--" niet bedoeld is als handelsnaam maar als truc om de KVK (en data brokers) te pesten.

Engelse slimmeriken ontdekten al een IT-consultant die IFTHENELSE heet, bij de KVK vond ik TRY CATCH, zoeken op // geeft vele resultaten, en toen vond ik ook diverse bedrijven die DROP TABLE heten. Eentje lijkt zelfs van Robert Table te zijn:

Lachi'); DROP TABLE bedrijf;--, Hoofdvestiging KvK 67788106 Vestigingsnr. 000036287172

Hier lijkt dus een filter van de KVK minder streng te zijn dan de folder, of dit bedrijf was goed in het overbrengen van de humor van deze bedrijfsnaam.

Wie vindt er nog een bedrijfsnaam die computercode bevat?

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.