Personalia

IT 2323

Het Hof verklaart dat de geplande overeenkomst tussen de Europese Unie en Canada over de doorgifte van passagiersgegevens niet in haar huidige vorm mag worden afgesloten

Hof van Jusitie EU , IT 2323; http://www.itenrecht.nl/artikelen/het-hof-verklaart-dat-de-geplande-overeenkomst-tussen-de-europese-unie-en-canada-over-de-doorgifte-v

HvJ EU 26 juli 2017, PERSCOMMUNIQUÉ nr. 84/17 Luxemburg. Het is weliswaar in wezen toegestaan om stelselmatig alle gegevens van passagiers door te geven, te bewaren en te gebruiken, maar verschillende bepalingen van de ontwerpovereenkomst beantwoorden niet aan de vereist.

Lees het gehele advies hier

IT 2320

Conclusie AG: opgeschreven gegevens in antwoorden bij beroepsexamen moeten worden beschouwd als persoonsgegevens

Hof van Jusitie EU 20 jul 2017, IT 2320; ECLI:EU:C:2017:582 (X tegen Data Protection Commissioner), http://www.itenrecht.nl/artikelen/conclusie-ag-opgeschreven-gegevens-in-antwoorden-bij-beroepsexamen-moeten-worden-beschouwd-als-perso

Conclusie AG 20 HvJ EU juli 2017, IT 2320; IEFbe 2257; zaak C-434-16; ECLI:EU:C:2017:582 (X tegen Data Protection Commissioner) Privacy. Persoonsgegevens. Zie eerder [IT 2140]. Verzoeker vraagt inzage in al zijn gegevens omtrent het door hem gemaakt beroepsexamen bij het Institute of Chartered Accountants of Ireland (CAI). Het CAI geeft stukken vrij maar niet zijn schriftelijk examenwerk omdat dit niet onder het begrip 'persoonsgegevens' in de zin van de IER wet valt. De verwijzende rechter heeft een prejudiciële vraag gesteld of antwoorden gegeven in een beroepsexamen, persoonsgegevens zijn.

„Met de hand geschreven examenwerk dat aan een examenkandidaat kan worden gekoppeld, moet, met inbegrip van eventuele daarop vermelde opmerkingen van examinatoren, worden beschouwd als persoonsgegevens in de zin van artikel 2, onder a), van richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.”

IT 2316

EHRM: Verbod grootschalige publicatie belastinggegevens is geen schending van vrijheid van meningsuiting

Overige instanties 27 jun 2017, IT 2316; Application no. 931/13 (Satakunnan Markkinapörssi Oy en Satamedia Oy tegen Finland), http://www.itenrecht.nl/artikelen/ehrm-verbod-grootschalige-publicatie-belastinggegevens-is-geen-schending-van-vrijheid-van-meningsuit

EHRM 27 juni 2017, IEF 16939; IEFbe 2243; IT 2316; Application no. 931/13 (Satakunnan Markkinapörssi Oy en Satamedia Oy tegen Finland). Zie eerder [IEF 7414]. De bedrijven Satakunnan Markkinapörssi Oy en Satamedia Oy hadden de persoonlijke belastinggegevens van 1,2 miljoen mensen gepubliceerd. De binnenlandse autoriteiten oordeelden dat dergelijke groothandel onwettig was. De bedrijven deden zonder succes een beroep op schending van hun vrijheid van meningsuiting. Het EHRM stelt dat er geen sprake is van schending van de vrijheid van meningsuiting, artikel 10 EVRM.

IT 1905

Alternatief voor de paardenchip mogelijk mits het dezelfde garantie geeft

CvB 5 oktober 2015, IT 1904; ECLI:NL:CBB:2015:347 (appellant tegen de staatssecretaris van Economische zaken)
Appellant is paardenhouder. Verweerder heeft geconstateerd dat de paarden niet zijn geïdentificeerd en geregisteerd overeenkomstig de regeling I&R, omdat bij de paarden geen transporter is ingebracht. Appellant heeft hier bezwaar tegen omdat chippen geen garantie is tegen fraude. Appellant heeft samen met andere een alternatief uitgewerkt. Volgens het College mogen de lidstaten geschikte alternatieve methoden voor de verificatie van de identiteit toestaan, mits alle toegelaten alternatieve methoden ten minste dezelfde garanties bieden. De regelgever heeft niet in strijd gehandeld met het verbod van willekeur. Geen inbreuk op het recht op vrijheid van geweten (art. 9 EVRM) omdat de inperking van het recht is gerechtvaardigd. De identificatieplicht is een bij wet voorziene beperking en deze verplichting is noodzakelijk in het belang van de bescherming van de gezondheid van mens en dier. De voorschreven methode is niet in strijd met het verbod op lichamelijke ingrepen bij dieren. Het beroep is ongegrond.

4.4. Het College oordeelt allereerst dat voor zover appellant betoogt dat de keuze om één methode van identificatie toe te staan in strijd is met Verordening (EG) 504/2008, waarbij om dit argument kracht bij te zetten is verwezen naar de nog in werking te treden Verordening (EG) 262/2015, dit betoog niet slaagt. Op grond van de hiervoor weergegeven Unierechtelijke regels op dit gebied mogen de lidstaten geschikte alternatieve methoden voor de verificatie van de identiteit van in de Unie geboren paardachtigen, met inbegrip van merken, toestaan, mits alle toegelaten alternatieve methoden voor de verificatie van de identiteit of alle combinaties van deze methoden ten minste dezelfde garanties bieden als de geïmplanteerde transponder én de alternatieve methoden niet worden toegepast als de enige methode om de identiteit van de meerderheid van de overeenkomstig deze verordening op hun grondgebied geïdentificeerde paardachtigen te verifiëren. Gelet op de term ‘mogen’ en de hierbij gestelde voorwaarden, waarvan ook sprake is in artikel 21 van de nog in werking te treden Verordening (EG) 262/2015, volgt duidelijk dat het toestaan van een alternatieve methode geen voorgeschreven verplichting is. Gelet op hetgeen in 4.3 is weergegeven, ziet het College geen grond voor het oordeel dat de regelgever door geen alternatieve identificatiemethode toe te staan heeft gehandeld in strijd met het verbod van willekeur zoals hiervoor omschreven.

4.5. Het recht op vrijheid van geweten, waar appellant zich op beroept, is neergelegd in artikel 9 EVRM. In het tweede lid van dat artikel is bepaald dat de vrijheid zijn godsdienst te belijden of overtuiging tot uiting te brengen aan geen andere beperkingen kan worden onderworpen dan die bij de wet zijn voorzien en in een democratische samenleving noodzakelijk zijn in het belang van de openbare veiligheid, voor de bescherming van de openbare orde, gezondheid of goede zeden of voor de bescherming van de rechten en vrijheden van anderen. Anders dan door appellant betoogt, ziet het College geen grond voor het oordeel dat het handhaven van de in Nederland geldende methode van identificatie, op grond waarvan de last onder dwangsom is opgelegd, in het onderhavige geval in strijd is met het recht op vrijheid van geweten, reeds omdat de inperking van dat recht gerechtvaardigd is. De identificatieplicht is een bij de wet voorziene beperking en deze verplichting is naar het oordeel van het College noodzakelijk in het belang van de bescherming van de gezondheid van mens en dier, alsmede evenredig aan het nagestreefde doel. De wijze waarop invulling is gegeven aan de identificatieverplichting kan naar het oordeel van het College bovendien niet als disproportioneel worden aangemerkt. Uit het enkele bestaan van andere identificatiemiddelen volgt dit niet. Ook hetgeen appellant verder in dit kader heeft aangevoerd is, mede in het licht van hetgeen verweerder daar tegenover heeft gesteld, onvoldoende voor die conclusie.

4.7. Appellant heeft voorts aangevoerd dat de voorgeschreven methode van identificatie in strijd is met een aantal bepalingen uit de Wet Dieren. In artikel 2.1, eerste lid, van de Wet Dieren is bepaald dat het verboden is om zonder redelijk doel of met overschrijding van hetgeen ter bereiking van zodanig doel toelaatbaar is, bij een dier pijn of letsel te veroorzaken dan wel de gezondheid of het welzijn van het dier te benadelen. Het ter identificatie inbrengen van een chip levert geen overtreding op van dit verbod, nu dit een redelijk doel dient en in artikel 2.8, tweede lid, sub b, van de Wet Dieren juncto artikel 2.6, sub b, van het Besluit diergeneeskundigen voor het inbrengen van een chip ter identificatie een uitzondering is gemaakt op het verbod lichamelijke ingrepen te verrichten bij dieren. Hieruit volgt dat ook het beroep op artikel 1.3 van de wet Dieren niet kan slagen, terwijl het beroep op artikel 1.4 van de Wet Dieren buiten beschouwing kan worden gelaten nu deze bepaling nog niet in werking is getreden.

5. Het vorenstaande leidt tot de conclusie dat het beroep ongegrond is.
IT 1901

Masterstudent Robert Kreuger winnaar Considerati Privacy Scriptieprijs 2015

Robert Kreuger heeft de Considerati Privacy Scriptieprijs 2015 gewonnen met zijn masterscriptie ‘Your app signature is more distinctive than your DNA’. De scriptie gaat over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app. Specifieker was zijn vraag: in hoeverre is een privacyverklaring van een app een overeenkomst in de zin van het Burgerlijk Wetboek en welke voordelen brengt dit met zich mee? In deze winnende scriptie worden de juridische en commerciële belangen van gegevensverwerking door apps op smart devices grondig uiteengezet. Ook gaat Robert in op de verbintenisrechtelijke classificatie van een privacyverklaring. Daarmee voegt hij een originele invalshoek toe aan de bestaande literatuur. Robert Kreuger heeft met zijn masterscriptie de meeste indruk gemaakt op de jury. Robert, van harte gefeliciteerd!

‘Your app signature is more distinctive than your DNA’
Over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app.
In deze masterscriptie is onderzocht hoe het aanvaarden van een privacyverklaring van een app in een verbintenisrechtelijke sleutel kan worden geplaatst. Naast een grondige uiteenzetting van de juridische en commerciële belangen van gegevensverwerking door apps op smart devices en de verbintenisrechtelijke classificatie van een privacyverklaring, wordt een originele invalshoek toegevoegd aan de bestaande literatuur. In het eerste gedeelte wordt het maatschappelijk en economisch belang van apps op smart devices weergegeven en wordt het juridisch kader rondom apps, gegevensverwerking en de verbintenisrechtelijke status van een privacyverklaring beschreven. In het tweede gedeelte wordt een koppeling gemaakt naar het daarvoor uiteengezette economisch belang en juridisch kader. Voorts worden in het derde gedeelte enkele conclusies getrokken en wordt er een aanbeveling gedaan met betrekking tot de wenselijkheid van de verbintenisrechtelijke status van een privacyverklaring in een app en de mogelijkheden omtrent de verwerking van persoonsgegevens door apps op smart devices. De probleemstelling van deze masterscriptie luidt als volgt: ‘In hoeverre is een privacyverklaring van een app een overeenkomst in de zin van het BW en welke voordelen brengt dit met zich mee?’

Autonomie en zelfbeschikking
Privacy betreft het afschermen van het eigen leven tegen ongewenste inmenging van buitenaf met als onderliggend belang autonomie en zelfbeschikking. Een onderdeel van (informationele) privacy is het recht op bescherming van persoonsgegevens, waarbij het gaat om voorwaarden waaronder persoonsgegevens verwerkt mogen worden. Kernbegrippen zijn bewustzijn, transparantie en doelbinding. Het probleem bij de verwerking van persoonsgegevens door apps op smartphones ligt echter in het ontbreken van bewustzijn (de meeste apps maken enkel gebruik van het aanvinken van een verklaring zonder dat de gebruiker bewust is van de gevolgen), het ontbreken van transparantie (vanwege de onduidelijkheid en onoverzichtelijkheid van een privacyverklaring), en het ontbreken van doelbinding (een groot deel van de apps verzamelt gegevens met een onvoldoende duidelijk omschreven doel).

Waarborgen privacy
In dit onderzoek wordt een (mogelijke) oplossing voor dit probleem gegeven waarbij alle drie de kernbegrippen bij de verwerking van persoonsgegevens door apps gewaarborgd worden: het kwalificeren van de privacyverklaring als wederkerige overeenkomst, het koppelen van economische waarde aan persoonsgegevens en het creëren van een markt voor persoonsgegevens die via apps verwerkt worden. Door persoonsgegevens te kwalificeren als (economisch) ruilmiddel, waarbij de privacyverklaring als wederkerige overeenkomst wordt gehanteerd, wordt er meer bewustzijn gecreëerd. Daarnaast ontstaat er controle over de persoonsgegevens bij de consument, waardoor transparantie zal toenemen en zodoende het principe van doelbinding zal worden nageleefd. Om dit te kunnen bewerkstelligen dienen privacy by design-beginselen (lees: privacyenhancing technologies) omtrent gegevensverwerking door apps op smartphones te worden geïmplementeerd. Gevolg is een sterkere bescherming van de consument, meer rechtszekerheid voor alle partijen en meer mogelijkheden voor maatschappelijke en economische innovatie.

Masterscriptie Privaatrecht in combinatie met Internet, intellectuele eigendom en ICT, 17 juni 2015, Faculteit der Rechtsgeleerdheid, Vrije Universiteit te Amsterdam.
Lees hier de gehele scriptie in R.J. Kreuger – Over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app.


Lees hier het artikel 'Privacy app dat kan en moet veel beter geregeld' op Netkwesties.nl

Lees hier het artikel 'Masterstudent Robert Kreuger winnaar Considerati Privacy Scriptieprijs 2015' op rechten.vu.nl

IT 1896

CBP publiceert conceptboetebeleidsregels

CBP 22 oktober 2015, IT 1896 (boetebeleidsregels)
Het College bescherming persoonsgegevens (CBP) heeft vandaag de conceptbeleidsregels voor het opleggen van een bestuurlijke boete door de Autoriteit Persoonsgegevens gepubliceerd. Belanghebbenden kunnen gedurende 4 weken reageren op deze conceptversie van de boetebeleidsregels. Per 1 januari 2016 krijgt het CBP (op dat moment: Autoriteit Persoonsgegevens) de bevoegdheid om boetes op te leggen als organisaties de Wet bescherming persoonsgegevens overtreden. Met de boetebeleidsregels beoogt het CBP inzicht te geven in hoe de hoogte van een bestuurlijke boete zal worden bepaald. De maximale boete is 810.000 euro.

Boetebevoegdheid
De wetgever heeft besloten de sanctiemogelijkheden van het CBP te versterken om zo de naleving van de Wbp te bevorderen. Het CBP vindt hierbij vooral de preventieve werking van de boetebevoegdheid van belang. De verwachting is namelijk dat de boetebevoegdheid bedrijven en overheden zal stimuleren om in een eerder stadium aandacht te besteden aan de bescherming van persoonsgegevens. Hierdoor kunnen privacyovertredingen worden voorkomen. Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. In andere gevallen gaat hier een bindende aanwijzing aan vooraf.

Hoogte boete
Uitgangspunt bij het bepalen van de hoogte van een boete is dat deze in verhouding moet staan tot de begane overtreding. In de conceptboetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte-systematiek. Dit betekent dat de beboetbare wettelijke bepalingen per wettelijk boetemaximum van 810.000 euro, 450.000 euro of 20.250 euro ingedeeld zijn in een aantal boetecategorieën met daaraan verbonden in zwaarte oplopende boetes. Daarnaast geeft het CBP in de beleidsregels inzicht in de relevante factoren die bepalend zijn voor de hoogte van een boete in een concreet geval.

Consultatie boetebeleidsregels
Het CBP nodigt belanghebbenden uit om in de komende 4 weken op de nu gepubliceerde conceptversie te reageren. Het CBP zal rekening houden met deze reacties in de definitieve versie van de boetebeleidsregels. Reacties op de boetebeleidsregels kunnen worden ingezonden via consultatieboetebeleid@cbpweb.nl.

Autoriteit Persoonsgegevens
De definitieve versie van de boetebeleidsregels treedt op 1 januari 2016 in werking. Vanaf die datum heeft het CBP ook een nieuwe naam: Autoriteit Persoonsgegevens.
IT 1889

Privacyprotocol persoonsgegevens pre-employment screening is rechtmatig verklaard

CBP besluit 5 augustus 2015, IT 1889 (Randstad / Adecco)
Zie eerder IT 1782. Het College bescherming persoonsgegevens (CBP) heeft het ‘Privacyprotocol persoonsgegevens pre-employment screening’ van Randstad Nederland B.V. en Adecco Group Nederland rechtmatig verklaard. Dit protocol beschrijft de werkwijze bij het uitvoeren van pre-employment screeningen om de achtergrond van flexwerkers te controleren of te onderzoeken. Het CBP concludeert dat de beschreven werkwijze in het protocol voldoende privacywaarborgen bevat.

Randstad en Adecco Group Nederland bemiddelen in (tijdelijk) werk tussen flexkrachten en opdrachtgevers. Het komt daarbij regelmatig voor dat opdrachtgevers een pre-employment screening eisen voordat zij een flexkracht willen inhuren. Een pre-employment screening is het doorlichten van het (arbeids)verleden van de kandidaat. Bij zo’n screening verwerken Randstad en Adecco Group Nederland mogelijk strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag. Dit zijn zogeheten bijzondere persoonsgegevens, die een organisatie alleen bij uitzondering mag verwerken.

Beroep tegen CBP-besluit
Bent u belanghebbende? Dan kunt u beroep instellen tegen het besluit van het CBP bij de rechtbank. U heeft 6 weken de tijd om een beroepschrift in te dienen. Deze termijn loopt vanaf 5 augustus 2015, de datum waarop het CBP-besluit is gepubliceerd in de Staatscourant.