Bijdrage ingezonden door Victor de Pous, technologierecht.blogspot
Cloudrecht in ontwikkeling: wetgever, toezichthouder en rechter
Evenals computernetwerken heeft cloud computing zich nooit in een juridisch vacuüm bevonden; ICT-diensten maken deel van onze samenleving uit. Bovendien gaat het om bij cloud computing om een samenloop van reeds bestaande technieken. Dat laat rijzende vragen en bezorgdheid bij gebruikersorganisaties onverlet. Inmiddels zet spoedeisendheid de legislatieve toon, in hoofdzaak gedreven door economische belang en nationale veiligheid. Verder laten toezichthouders van zich horen. Van Autoriteit Persoonsgegevens tot De Nederlandse Bank. Onderbelicht is echter de jurisprudentie. De vooralsnog schaarse rechtspraak over clouddiensten biedt een interessante kijk op feitelijk gedrag met juridische consequenties.
Status quo
In 2006 lanceerde online-retailer Amazon haar rekenkracht- en opslagdienst Amazone Web Services (1). Dat feit markeerde de start van infrastructuur als dienst. Rond deze tijd zag tevens software as a service (2) het licht; de opvolger van application service providing (3). Sommigen opteren voor de introductie van zoekmachines op Internet (Lycos, Yahoo!) of emaildienst Hotmail.com als geboorte van cloud computing. Weer anderen verwijzen naar de eerste vorm van commerciële automatisering van de gegevensverwerking met mainframes en domme terminals op afstand, na de tweede wereldoorlog.
Hoe het ook zij, de rechtsontwikkeling omtrent elektronische gegevensverwerking en verwante domeinen heeft niet stilgestaan (4). Tegenwoordig vullen wetgever en toezichthouder het rechtskader van cloud computing telkens stapsgewijs in, in detaillering van bestaande generieke rechtsnormen of door middel van nieuwe, bijzondere regels. Rechtspraak over clouddiensten blijft vooralsnog, gelet op de schaal, opvallend schaars.
Juridische normering
Een manier voor het op hoofdlijnen in kaart brengen van de juridische aspecten van computing in het concrete geval, betreft de identificatie van aanknopingspunten, desgewenst in volgorde. Deze modus operandi geeft richting en houvast voor juridische analyse en besluitvorming, omdat hieruit essentiële, doorgaans dwingendrechtelijke onderdelen van het rechtskader volgen.
- Het begint met de vraag er of sprake is van een product of dienst (5). Algemeen hebben we te maken met een verschillend rechtskader voor een product of een dienst. Dat geldt in versterkte mate bij SaaS, omdat de gebruiker doorgaans geen fysiek exemplaar van de software ontvangt, die hij op afstand gebruikt. Hierdoor verliest hij als licentienemer zijn wettelijk recht op foutherstel, zoals vastgelegd in de Europese richtlijn softwarebescherming (2009/24/EC) en onze Auteurswet (6).
- Vervolgens dient de tweedeling zelfdoen of uitbesteding zich aan (interne verantwoordelijkheid versus afspraken in overeenkomsten/contractenrecht).
- Dan kan er worden gekeken naar de aard van de dienst: gaat het om het leveren van technologie (7), gegevens of wellicht beiden?
- In geval van gegevensverwerking rijst de vraag naar de aard van de gegevens: financiële gegevens, bedrijfsgeheimen, overheidsinformatie, open data (van overheidsorganisaties) en wat dies meer zij.
- Nog aan aanknopingspunt: op welke bedrijfstak richt de dienst zich (8) c.q. wie zijn de gebruikers (9)? - Last but not least:(v) internationale aspecten kunnen zwaar wegen. Zelfs bij 'nationale' clouddiensten, waarbij de gegevensverwerking volledig op het grondgebied van een soevereine staat plaatsvindt, kan mede buitenlands recht geldigheid hebben. Denk aan wetgeving met extraterritoriale werking zoals de Amerikaanse Partriot Act(10) of het wetsvoorstel Computercriminaliteit III, dat een grensoverschrijdende 'overheidshack' onder voorwaarden legitimeert(11).
Bijzondere karakteristieken
Met de komst van clouddienstenmatrix (12) verandert ICT niet alleen van een verzameling producten in diensten met veelal continue levering tegen een hoog beschikbaarheids-percentage. Tegelijkertijd neemt de afhankelijkheid van gebruikersorganisaties ten opzichte van zowel technologie als leverancier toe. Deze constatering legt de nadruk op de vraag wie waarvoor verantwoordelijk en aansprakelijkheid is. Contracten behoren redelijkheid en helderheid te bieden.
Bovendien vereist de afhankelijkheid ten opzichte van ICT-bedrijf en informatietechniek bij cloud computing andersoortige continuïteitsmaatregelen. De gebruikersorganisatie wil om uiteenlopende redenen doorgaans de mogelijkheid hebben snel over te stappen naar een andere leverancier of in sommige situaties wellicht de dienst zelf te verzorgen. Technische standaarden met een meer open karakter helpen daarbij, net zoals een contractuele overdrachtsregeling (exit-clausules) en afspraken over SaaS-escrow (13).
Ook het voldoen aan juridische kaders (legal compliance) krijgt andere dimensies, onder meer vanwege het achterliggende concept (dynamische gegevensverwerking, vaak door derden op afstand verzorgd), het element van ketenautomatisering (meerdere ICT-bedrijven leveren uiteindelijk samen een clouddienst) en het 'vloeibare' (verlies van locatie) en mogelijk grensoverschrijdende karakter van de gegevensverwerking. Relevant is zowel het voldoen aan wet- en regelgeving (regulatory compliance) als aan andere juridische voorschriften, zoals overeenkomsten (contractual compliance).
A. Wetgevers
Dat wetgevers ICT en elektronische gegevensverwerking hebben ontdekt, mag in Europa en Nederland geen verrassing zijn (14). Het communautaire mantra luidt sinds eind tachtiger jaren: bijzondere wetgeving als de 'enabler' van de informatiemaatschappij. Onze wetgever sluit zich hierbij aan. Op dat uitgangspunt valt af te dingen. Burger en ondernemer zijn immers met digitale technologie aan slag gegaan, op basis van het generieke en bestaande recht en ongeacht (vermeende) rechtsonzekerheid. Neem het consumentgerichte webshoppen, dat al twintig jaar stijgt en nu in toenemende mate mobiel plaatsvindt (15). Of anders: kijk naar het illegaal downloaden van muziek, films, games, ebooks, foto's en wat dies meer zij, vaak uit illegale bron. Kennelijk lappen individuen grootschalig rechtsnormen aan hun laars, inclusief wetenschappers die onrechtmatig en wederrechterlijk academische papers ontsluiten of downloaden (16). Een greep uit de Europese en autonoom-wettelijke blauwdrukken.
Algemene Verordening Gegevensbescherming
Op 14 april 2016 heeft het Europees Parlement plenair ingestemd met de Algemene Verordening Gegevensbescherming. Het legislatieve proces heeft meer dan vier jaar geduurd. Per medio april 2018 wordt in Nederland de Wet bescherming persoons-gegevens vervangen. De nieuwe Europese wet heeft enerzijds tot doel burgers meer controle over hun persoonsgegevens te geven. Anderzijds worden de verschillen in privacywetgeving tussen de 28 lidstaten van de Europese Unie door middel van de rechtstreekse werking van de verordening verkleind. De verplichtingen van de verantwoordelijken nemen toe.
Verordening Elektronische Identiteiten en Vertrouwensdiensten
Europa werkte de afgelopen jaren tevens aan de Verordening Elektronische Identiteiten en Vertrouwensdiensten in de interne markt. De Europese Raad van Ministers heeft deze eIDAS Verordening in 2015 goedgekeurd (17). De nieuwe regeling vervangt de bestaande wetgeving die alleen betrekking heeft op de elektronische handtekening. Brussel wil stimuleren dat nationale eID stelsels gebruikt kunnen worden voor grensoverschrijdende veilige transacties door wederzijdse erkenning. De juridische normering richt zich op elektronische identificatie en zes elektronische vertrouwensdiensten.
Richtlijn voor netwerk- en informatiebeveiliging
In het domein cybersecurity ligt er sinds februari 2013 een communautaire richtlijn ter tafel, de Richtlijn voor netwerk- en informatiebeveiliging (18). Dit ontwerp bepaalt onder meer dat exploitanten van essentiële infrastructuur in een aantal sectoren (financiële dienstverlening, vervoer, energie, gezondheidszorg), aanbieders van diensten van de informatiemaatschappij (met name appstores, platforms voor elektronische handel, betalingsdiensten via Internet, cloud computing, zoekmachines en sociale netwerken) en overheden (i) risicobeheers-regelingen moeten invoeren en tevens (ii) ernstige incidenten met betrekking tot hun kerndiensten moeten melden. Over de reikwijdte is nu consensus bereikt.
Nederlandse wetgeving
Het legislatieve geweld uit Europa dringt de autonome wetgevingsbevoegdheid van Nederland ten onrechte naar de achtergrond, omdat daarmee het belang van nationale wetgeving wordt ondergesneeuwd. Voor cloud computing is onder meer relevant dat de voltallige Tweede Kamer instemde met een wijziging van de Telecomwet (19). Telecommunicatiebedrijven moeten klanten compenseren door één dag van het abonnementsgeld terug te betalen bij een storing die tussen de 12 en 24 uur duurt. Duurt een storing langer, dan komt daar per dag een dag abonnementsgeld bij.
Verder worden organisaties binnen vitale sectoren verplicht om ernstige digitale veiligheidsincidenten te melden bij het Nationaal Cyber Security Centrum (NCSC) van het ministerie van Veiligheid en Justitie. Tijdige melding maakt een effectievere aanpak van dit soort incidenten mogelijk, met als doel maatschappelijke ontwrichting te voorkomen of te beperken. Dit staat in een wetsvoorstel van staatssecretaris Dijkhoff (Veiligheid en Justitie), dat bij de Tweede Kamer is ingediend. Tot veel discussie leidt de aankomende Wet computercriminaliteit III, in het bijzonder de nieuwe bevoegdheid van politie en justitie tot een 'overheidshack', ongeacht waar het informatiesysteem zich bevindt (20).
B. Toezichthouders
Agentschap Telecom, Autoriteit Consument en Markt, Autoriteit Financiële Markten, Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsgegevens), De Nederlandsche Bank en bijvoorbeeld de Kansspelautoriteit zijn toezichthouders in uiteenlopende markten, die gemeen hebben dat ze zich — mede — bemoeien met digitale technologie en gegevensverwerking, cloud computing incluis. Naast de verschillende vormen van het houden van toezicht, vervullen ze soms de rol van uitvoerder van wetgeving, zoals Agentschap Telecom doet.
Het juridisch belang van toezichthouders neemt ontegenzeggelijk toe, zowel maatschappijbreed als sectoraal. Dat is gelegen in de omstandigheid dat taken worden uitgebreid — denk aan de Wet meldplicht datalekken voor de Autoriteit Persoonsgegevens — en de uitbreiding van de bevoegdheid tot het opleggen van bestuurlijke boetes. Zo kan de privacytoezichthouder wetsovertreders beboeten met 820.00 euro; een stijging ongeveer 200% ten opzichte van de bevoegdheid die voor de jaarwisseling gold.
Maatschappijbreed en sectoraal
In het domein cloud computing laat in het bijzonder de privacytoezichthouder van zich horen en zij plaatst het leveringsmodel vanzelfsprekend in het kader van de verwerking van persoonsgegevens. In 2012 zagen de eerste opinies het licht (21), zowel autonoom als in hoedanigheid van lid van de zogenoemde Artikel 29 werkgroep (de verenigde privacytoezichthouders in Europa) (22). Daarnaast zijn er inmiddels richtsnoeren over de beveiliging van persoonsgegevens en de meldplicht datalekken gepubliceerd, die tevens de inzet van clouddiensten in het hart raken. Verder onderzoekt de Autoriteit Persoonsgegevens concrete toepassingen, zoals de verwerking van gezondheidgegevens. Hier zien we zowel werkgevers (23) als bijvoorbeeld een producent van sportschoenen onrechtmatig handelen (24).
Een toezichthouder kan ook bijdragen aan markstimulering van nieuwe ICT-diensten en creëert dus op deze wijze economische waarde voor klant en leverancier. Zo mogen financiële bedrijven sinds 2012 'cloudsourcen' onder de voorwaarde dat De Nederlandsche Bank de mogelijkheid heeft om onderzoek bij de leverancier uit te voeren (25). Microsoft was destijds de eerste leverancier die een onderzoeksrecht met de toezichthouder overeenkwam inzake Office 365 (26). De pragmatische insteek van DNB en de bereidheid van Microsoft tot een contractueel ‘right to examine’ in zijn datacenters, betreft een cruciale juridische mijlpaal voor de adoptie van clouddiensten in Nederland en in Europa.
De afspraken overstijgen nadrukkelijk de financiële sector en geven voor andere bedrijfstaken en de publieke sector een positief signaal af. Bovendien biedt navolging van het centrale juridische voorschrift dat voor de banken en verzekeringsmaatschappijen geldt, een uitstekend aanknopingspunt voor het scheppen van vertrouwen in cloud computing; uitbesteding mag niet tot afbreuk op toezicht leiden.
C. Jurisprudentie
Verder ontstaat er rechtspraak over clouddiensten, maar net zoals waarschijnlijk in de meeste rechtsstelsels, blijft de jurisprudentie bij ons vooralsnog schaars. Dat kan — in ieder geval met betrekking tot gevallen van wanprestatie door de leverancier — te maken hebben met de sterke afhankelijkheidssituatie tussen partijen en mede met complexiteit en inhoud algemene voorwaarden en van service level agreements. We trekken daarnaast een vergelijking met de juridische praktijk ten aanzien van software bugs. Ontelbare fouten in eveneens ontelbare (standaard)computerprogramma’s sinds begin jaren tachtig, zover bekend nergens ter wereld geleid tot een hausse aan aansprakelijkheidsstelling door gebruikers.
Van de bescheiden hoeveelheid rechtspraak over cloud computing, wijzen we op de volgende uitspraken.
Inzage clouddata
Een failliete ondernemer mag curatoren bij de uitvoering van hun wettelijke taak niet dwarsbomen, terwijl de cloudleverancier wordt geboden om de bedrijfsgegevens, die in de cloud zijn opgeslagen, te ontsluiten, aldus een kortgeding-vonnis (27). De leverancier moet de digitale omgeving zodanig herstellen en aan de curatoren via het Citrix portal ter beschikking stellen dat deze door middel van ‘alleen lezen’-rechten toegang verkrijgen tot de via een derde bij de provider gehoste concerndata. Voorwaarde is wel dat curatoren de leverancier een redelijke vergoeding voor de werkzaamheden betalen.
Hier valt op dat — opnieuw — vonnis is gewezen in een casus, waarin de klant failleert en dus niet de cloudleverancier. Deze omstandigheid stelt faillissementscuratoren in beginsel voor een probleem. Bij de afwikkeling van de boedel, inclusief doorstart van een onderneming, is de bedrijfsinformatie van de failliet cruciaal. Eerder oordeelde overigens dezelfde rechter (in 2012 (28) en dat werd in hoger beroep bevestigd (29)) dat de curator recht heeft op alle administratieve gegevens van de failliet. Wanneer de cloudleverancier er een 'digitale schoenendoos met bonnetjes' van maakt en die aan de curator op een harddisk overhandigt, heeft de leverancier aan zijn wettelijke plicht voldaan. Hij hoeft de gegevens dus niet perse online toegankelijk te maken.
Uit deze jurisprudentie blijkt duidelijk dat curator telkens bezorgd is dat hij geen toegang tot de bedrijfsinformatie krijgt of dat deze informatie verdwijnt.
Webscraping
Een andersoortige casus. PR Aviation exploiteert een website waarop consumenten vluchtgegevens van low-cost luchtvaartmaatschappijen kunnen doorzoeken, prijzen vergelijken en tegen betaling van een provisie een vlucht boeken. De gegevens die nodig zijn om te voldoen aan een individuele zoekopdracht haalt PR Aviation — geheel langs geautomatiseerde weg — onder meer uit een gegevensverzameling, die is gekoppeld aan de ook voor consumenten toegankelijke website van Ryanair. Om toegang te krijgen tot deze site dient de bezoeker de toepasselijkheid van de algemene voorwaarden van Ryanair te aanvaarden door een daartoe strekkend hokje aan te vinken, waardoor onder meer akkoord wordt gegaan met dat de website uitsluitend voor particuliere doeleinden mag worden gebruikt.
De Hoge Raad vraagt zich af of het gebruik van een databank in de zin van de Databanken-richtlijn, die niet door het auteursrecht of sui generis recht wordt beschermd, contractueel mag worden beperkt. Het Hof van Justitie EU beantwoordt die vraag nadrukkelijk positief.
Dit betreft een uiterst belangrijke uitspraak met verregaande gevolgen voor ondernemen in de informatiemaatschappij. Hotels, luchtvaartmaatschappijen, maar ook andere bedrijven, kunnen derden verbieden hun onbeschermde databanken met informatie over — beschikbaarheid en prijzen en voorwaarden — van hun producten en diensten commercieel te gebruiken. Vooraf toestemming vragen is in beginsel noodzakelijk geworden.
Verloren gegevens
Nog een uitspraak van gewicht. Een leverancier van een computersysteem, die mede wekelijks onderhoud, beheer en service op afstand op zich heeft genomen, is niet verantwoordelijk voor de gevolgen van de crash van een server waardoor gegevensbestanden van de klant verloren zijn gegaan (30). Het hof Amsterdam wees de claim van klant Staalbouw Trappen — dat de leverancier gehouden was te zorgen voor de aanwezigheid van een volledige back-up — af. Staalbouw Trappen slaagde er namelijk niet in te bewijzen dat partijen waren overeengekomen dat de leverancier op eigen initiatief de noodzakelijke back-ups van alle volledige bestanden van Staalbouw Purmerend zou maken.
Ook verwierp de rechter de goedgevonden stelling dat van een zorgvuldig handelend systeembeheerder 'mag worden verwacht dat hij zorg draagt voor de aanwezigheid van een volledige back-up, althans dat op hem de verantwoordelijkheid rust zich ervan te vergewissen dat de klant zich beseft dat de back-up in eigen beheer zal worden gedaan'. Deze is namelijk te algemeen van aard, oordeelde de rechter.
Safe Harbour
Op 6 oktober 2015 haalde het Hof van Justitie van de Europese een streep door het Safe Harbour verdrag tussen de Europese Commissie en de Verenigde Staten uit 2000 (31), waar meer ongeveer 4500 Amerikaanse bedrijven zich bij hebben aangesloten — multinationals, zoals Facebook, Google en Microsoft, en vooral veel kleinere ondernemers. Het gaat nader bepaald om afspraken dat trans-Atlantische doorgifte van persoonsgegevens een rechtmatige basis geeft, ondanks het gemis aan adequate rechtsbescherming in de VS voor Europeanen (32). Goed beschouwd is Safe Harbour dan ook, in ieder geval mede, een handelsverdrag, bedoelt om het grensoverschrijdende zakendoen tussen de beide regio's makkelijker te maken.
De rechter achtte het door Safe Harbour geboden beschermingsniveau toch van onvoldoende niveau. Enerzijds vindt er namelijk in de VS een grootschalige verzameling van persoonsgegevens van Europese burgers plaats, terwijl anderzijds de Europese burgers geen aanspraak op een effectieve dataprotectie kunnen maken. Daarnaast werd duidelijk dat een nationale privacytoezichthouder altijd individuele zaken in behandeling moet nemen ondanks dat er een verdrag van kracht is. Inmiddels ligt er een nieuw verdrag, het US-EU privacyschild (33).
Conclusie
Ook in 2016 blijft het leveringsmodel cloud computing deels moeite houden met bestaande juridische normen. Rechtsregels zijn namelijk niet alleen van huis uit geografisch bepaald, maar tevens veelal vastgesteld toen informatieverwerking nog statisch was. We konden letterlijk aanwijzen waar data zich bevond. Verder is bij het leveringsmodel voor digitale technologie en informatievoorziening van invloed dat allerlei aspecten samenlopen. Ook juridisch, zoals rechten op software in het licht van virtualisatie en doorlevering, rechten op gegevens en rechten in relatie tot gegevensverwerking.
Ondertussen blijft vertrouwen in zowel cloud computing als haar leveranciers onder druk staan. Geavanceerde computercriminaliteit is aan de orde van de dag, overheden willen toegang hebben tot in de cloud verwerkte gegevens en implementeren in toenemende mate nationale wetgeving op basis van eigen keuzes, leveranciers verklaren ingrijpende privacyvoorwaarden van toepassing op hun diensten, terwijl serieuze aandacht voor juridische vastlegging van kwaliteitswaarborgen en andere zekerheden voor de gebruikers van clouddiensten nog altijd ontbreekt.
1 https://aws.amazon.com/about-aws/
2 https://en.wikipedia.org/wiki/Cloud_computing
3 https://www.gartner.com/it-glossary/asp-application-service-provider
4 Zie onder meer V.A. de Pous, Rechtsaspecten van uitbesteding en application service providing, Amsterdam, 2001, Software as a Service 2006, Amsterdam, 2006, en Cloud computing recht, Amsterdam, 2011.
5 Feitelijke aspecten kunnen juridische implicaties teweegbrengen.
6 Kopiëren van een ‘exemplaar’ van het computerprogramma door de licentienemer mag namelijk ten behoeve van foutherstel. Bij cloud computing is echter sprake van immateriële openbaarmaking van een computerprogramma (zonder kopie).
7 Er geldt een deels een bijzonder juridisch regime voor computerprogramma's.
8 Zo stelt De Nederlandsche Bank nadere voorwaarden voor cloud computing voor de financiële sector.
9 Het rechtskader maakt onderscheid tussen consument en degene die handelt in de uitoefening van een beroep of bedrijf.
10 Let op. Allerlei soevereine staten wetgeving hebben gecodificeerd waar de rechtsmacht (jurisdictie) de eigen landgrens overschrijdt. In tegenstelling tot het juridisch raamwerk voor de verwerking van persoonsgegevens op grond van het privacyrecht, speelt de locatie van de bedrijfsinformatie niet of nauwelijks een rol wanneer het gaat om toegang tot in de cloud verwerkte persoonsgegevens door vreemde overheden in het kader van strafvordering en nationale veiligheid. De bottom line luidt dat mondiale overheidstoegang tot clouddata waarschijnlijk een feit is. Die toegang kennen we in soort en maten. De ene keer wordt via een rechtshulpverzoek de ondersteuning ingeroepen van het land waar de informatie zich bevindt, een ander maal vindt toegang grensoverschrijdend heimelijk plaats, wanneer de informatie bij een externe cloudleverancier wordt opgevraagd.
11 Voorstel van wet, 22 december 2015, Wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van computercriminaliteit.
12 https://csrc.nist.gov/groups/SNS/cloud-computing/
13 Depot software, bedrijfsgegevens en specifieke informatie over configuraties en instellingen van ICT_systemen bij een onafhankelijke derde.
14 Zie V.A. de Pous, Recht op elektronisch technologie 1988-2008, in S. Zwienink en P.Wisse, Eerlijk zullen we alles delen; Verkenningen naar interoperabiliteit, Den Haag, 2008.
15 Zelfs naar 50%, aldus luidt de verwachting van Booking.com. https://www.emerce.nl/nieuws/booking-com-mobiel-groeit-naar-50-procent.
16 De site https://sc-hub.io vermeldt dat er 47 miljoen wetenschappelijke artikelen gratis zijn te downloaden.
17 Verordening (EU) nr. 910/2014 van het Europees Parlement en de Raad van 23 juli 2014 betreffende elektronische identificatie en vertrouwensdiensten voor elektronische transacties in de interne markt en tot intrekking van Richtlijn 1999/93/EG.
18 Voorstel voor een Richtlijn van het Europees parlement en de Raad houdende maatregelen om een hoog gemeenschappelijk niveau van netwerk- en informatiebeveiliging in de Unie te waarborgen, COM (2013) 48 final, 2013/0027 (COD), 7 februari 2013.
19 Wijziging van de Telecommunicatiewet in verband met de versterking van de positie van abonnees bij netwerkstoringen, het wegnemen van overstapdrempels voor kleinzakelijke abonnees, de verbetering van de continuïteit van uitzendingen vanaf antenne-opstelpunten voor omroep, alsmede ter versterking van de samenhang en het beleid op het terrein van elektronische communicatie (versterking telecommunicatiebeleid).
20 Zie hiervoor, noot 10.
21 https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/zienswijzen/zienswijze-cbp-over-cloud-computing-2012
22 https://autoriteitpersoonsgegevens.nl/nl/nieuws/europese-privacytoezichthouders-publiceren-opinie-over-cloud-computing
23 https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-verwerking-gezondheidsgegevens-wearables-door-werkgevers-mag-niet
24 Nike handelde eind 2015 in strijd met de Wet bescherming persoonsgegevens doordat zij gebruikers onvoldoende informeerde dat via de app gezondheidsgegevens worden verwerkt. Hierdoor was geen sprake van geïnformeerde toestemming. Ook informeerde Nike de gebruikers niet dat de persoonsgegevens worden verwerkt voor analyse- en onderzoeksdoeleinden, bijvoorbeeld door gebruikers op basis van leeftijd, geslacht, ervaring en hardloopniveau in segmenten in te delen en daarvan de gemiddelde prestaties te berekenen.
25 https://www.dnb.nl/publicatie/publicaties-dnb/nieuwsbrieven/nieuwsbrief-banken/nieuwsbrief-banken-mei-2012/dnb273209.jsp
26 https://www.toezicht.dnb.nl/7/50-226970.jsp
27 Curatoren v. Detron Information Technology bv en Phoenix Investment Management bv, Rechtbank Oost-Brabant, 13 februari 2015, ECLI:NL:RBOBR:2015:763
28 Curator v. Vict Informatici bv, Rechtbank ’s Den Bosch, 21 maart 2012, ECLI:NL:RBSHE:2012:BV9640
29 Curator v. Vict Informatici bv, Gerechtsof Den Bosch, 26 maart 2013, ECLI:NL:GHSHE:2013:BZ5770
30 Staalbouw Purmerend bv en Staalbouw Tappen bv v. klant, Gerechtshof Amsterdam, 28 april 2015, ECLI:NL:GHAMS:2015:1635
31 Schrems v. Data protection commissioner, Hof van Justitie van de Europese Unie, 6 oktober 2015, C-362/14
32 Beschikking van 26 juni 2000.
33 https://www.minbuza.nl/ecer/nieuws/2016/02/eu-vs-privacyschild-gaat-europese-data-beter-beschermen.html
