Personalia

IT 2480

ICTRecht opent kantoor in Brussel

Legal ICT, het internationale label van ICTRecht, vestigt zich per 1 februari in Brussel. Sinds 2010 bedient Legal ICT, nu onder leiding van Matthijs van Bergen, nationale en internationale klanten met juridisch advies. Acht jaar later is het tijd voor een eigen kantoor in het centrum van Brussel, in het hart van de Europese wetgeving. Lees verder

IT 2454

Brinkhof breidt IT-sourcingpraktijk uit met Teun Burgers

teun burgers

Brinkhof heeft haar IT/sourcing praktijk per 1 januari 2018 uitgebreid met de komst van senior medewerker Teun Burgers. Teun heeft ruim 7 jaar ervaring in de advocatuur, waarvan de laatste drie jaar bij DLA Piper. Hij zal zich bij Brinkhof blijven richten op commerciële contracten met een focus op software en IT (sourcing, licenties, SaaS, distributie, etc.).

IT 1901

Masterstudent Robert Kreuger winnaar Considerati Privacy Scriptieprijs 2015

Robert Kreuger heeft de Considerati Privacy Scriptieprijs 2015 gewonnen met zijn masterscriptie ‘Your app signature is more distinctive than your DNA’. De scriptie gaat over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app. Specifieker was zijn vraag: in hoeverre is een privacyverklaring van een app een overeenkomst in de zin van het Burgerlijk Wetboek en welke voordelen brengt dit met zich mee? In deze winnende scriptie worden de juridische en commerciële belangen van gegevensverwerking door apps op smart devices grondig uiteengezet. Ook gaat Robert in op de verbintenisrechtelijke classificatie van een privacyverklaring. Daarmee voegt hij een originele invalshoek toe aan de bestaande literatuur. Robert Kreuger heeft met zijn masterscriptie de meeste indruk gemaakt op de jury. Robert, van harte gefeliciteerd!

‘Your app signature is more distinctive than your DNA’
Over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app.
In deze masterscriptie is onderzocht hoe het aanvaarden van een privacyverklaring van een app in een verbintenisrechtelijke sleutel kan worden geplaatst. Naast een grondige uiteenzetting van de juridische en commerciële belangen van gegevensverwerking door apps op smart devices en de verbintenisrechtelijke classificatie van een privacyverklaring, wordt een originele invalshoek toegevoegd aan de bestaande literatuur. In het eerste gedeelte wordt het maatschappelijk en economisch belang van apps op smart devices weergegeven en wordt het juridisch kader rondom apps, gegevensverwerking en de verbintenisrechtelijke status van een privacyverklaring beschreven. In het tweede gedeelte wordt een koppeling gemaakt naar het daarvoor uiteengezette economisch belang en juridisch kader. Voorts worden in het derde gedeelte enkele conclusies getrokken en wordt er een aanbeveling gedaan met betrekking tot de wenselijkheid van de verbintenisrechtelijke status van een privacyverklaring in een app en de mogelijkheden omtrent de verwerking van persoonsgegevens door apps op smart devices. De probleemstelling van deze masterscriptie luidt als volgt: ‘In hoeverre is een privacyverklaring van een app een overeenkomst in de zin van het BW en welke voordelen brengt dit met zich mee?’

Autonomie en zelfbeschikking
Privacy betreft het afschermen van het eigen leven tegen ongewenste inmenging van buitenaf met als onderliggend belang autonomie en zelfbeschikking. Een onderdeel van (informationele) privacy is het recht op bescherming van persoonsgegevens, waarbij het gaat om voorwaarden waaronder persoonsgegevens verwerkt mogen worden. Kernbegrippen zijn bewustzijn, transparantie en doelbinding. Het probleem bij de verwerking van persoonsgegevens door apps op smartphones ligt echter in het ontbreken van bewustzijn (de meeste apps maken enkel gebruik van het aanvinken van een verklaring zonder dat de gebruiker bewust is van de gevolgen), het ontbreken van transparantie (vanwege de onduidelijkheid en onoverzichtelijkheid van een privacyverklaring), en het ontbreken van doelbinding (een groot deel van de apps verzamelt gegevens met een onvoldoende duidelijk omschreven doel).

Waarborgen privacy
In dit onderzoek wordt een (mogelijke) oplossing voor dit probleem gegeven waarbij alle drie de kernbegrippen bij de verwerking van persoonsgegevens door apps gewaarborgd worden: het kwalificeren van de privacyverklaring als wederkerige overeenkomst, het koppelen van economische waarde aan persoonsgegevens en het creëren van een markt voor persoonsgegevens die via apps verwerkt worden. Door persoonsgegevens te kwalificeren als (economisch) ruilmiddel, waarbij de privacyverklaring als wederkerige overeenkomst wordt gehanteerd, wordt er meer bewustzijn gecreëerd. Daarnaast ontstaat er controle over de persoonsgegevens bij de consument, waardoor transparantie zal toenemen en zodoende het principe van doelbinding zal worden nageleefd. Om dit te kunnen bewerkstelligen dienen privacy by design-beginselen (lees: privacyenhancing technologies) omtrent gegevensverwerking door apps op smartphones te worden geïmplementeerd. Gevolg is een sterkere bescherming van de consument, meer rechtszekerheid voor alle partijen en meer mogelijkheden voor maatschappelijke en economische innovatie.

Masterscriptie Privaatrecht in combinatie met Internet, intellectuele eigendom en ICT, 17 juni 2015, Faculteit der Rechtsgeleerdheid, Vrije Universiteit te Amsterdam.
Lees hier de gehele scriptie in R.J. Kreuger – Over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app.


Lees hier het artikel 'Privacy app dat kan en moet veel beter geregeld' op Netkwesties.nl

Lees hier het artikel 'Masterstudent Robert Kreuger winnaar Considerati Privacy Scriptieprijs 2015' op rechten.vu.nl

IT 1855

Vraag aan HvJ EU of gegevens op grond van 'vergeetrecht' gewist, geanonimiseerd of afgeschermd mogen worden

Prejudiciële vragen gesteld aan HvJ EU 21 mei 2015, IT 1855, zaak C-398/15 (Camera di Commercio, Industria, Artigianato e Agricoltura di Lecce tegen Salvatore Manni)
Handelsregister. Personalia. Verzoeker Salvatore Manni is enig bestuurder van een bouwonderneming. Hij dagvaardt de KvK van Lecce (verweerster) omdat verweerster in haar handelsregister heeft opgenomen dat hij eerder (in 1992) failliet verklaard is geweest. Hij stelt dat hij hierdoor schade lijdt bij verkoop van zijn wooneenheden en eist dat verweerster zijn naam anonimiseert of afschermt en dat hij een schadevergoeding ontvangt. De Rechtbank wijst de vordering toe met name gezien de tijd die inmiddels is verstreken. Verweerster gaat in cassatieberoep. Zij stelt dat het handelsregister een openbare databank is met als essentiële functie het (op verzoek) informeren over relevante gegevens van bedrijven. Voor de verwijzende Italiaanse rechter (Hof van Cassatie) gaat het om de vraag of er op grond van een ‘recht om vergeten te worden’ gegevens die bij wet aan verweerster zijn toevertrouwd, mogen worden gewist, geanonimiseerd, of na zekere tijd afgeschermd. Hij wijst op het belang van het handelsregister voor de rechtszekerheid. De verwijzende rechter verwijst naar de punten 1 en 3 van het dictum in Google Spain en Google, en merkt op dat de toepassing van het door het HvJ vastgestelde beginsel op situaties als die van de onderhavige zaak niet tot gevolg heeft dat de gegevens uit het openbare register worden gewist, maar juist dat er grenzen worden gesteld aan het gebruik van de uit het openbare register verkregen gegevens door anderen die deze gegevens vervolgens zelf verwerken. Hij vraagt zich echter af of Richtlijn 95/46 een maximale duur aan het aanhouden van gegevens stelt, en legt het HvJ EU de volgende prejudiciële vragen voor:

1) Heeft het beginsel dat persoonsgegevens, in een vorm die het mogelijk maakt de betrokkenen te identificeren, niet langer mogen worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, als bedoeld in artikel 6, onder e), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 [betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens], uitgevoerd [bij] decreto legislativo nr. 196 van 30 juni 1968, voorrang boven en staat het derhalve in de weg aan het door het handelsregister tot stand gebrachte openbaarmakingsysteem, als voorzien in de Eerste richtlijn 68/151/EEG van de Raad van 9 maart 1968 [strekkende tot het coördineren van de waarborgen, welke in de lidstaten worden verlangd van de vennootschappen in de zin van de tweede alinea van artikel 58 van het Verdrag, om de belangen te beschermen zowel van de deelnemers in deze vennootschappen als van derden, zulks teneinde die waarborgen gelijkwaardig te maken], alsmede in het nationale recht in art. 2188 codice civile (burgerlijk wetboek) en art. 8, lid 1, van wet nr. 580 van 29 september 1993, voor zover dat vereist dat eenieder zonder beperking in de tijd kennis kan nemen van de daarin opgeslagen persoonsgegevens?
2) Staat artikel 3 van de Eerste richtlijn 68/151/EEG derhalve toe dat deze gegevens, in afwijking van de regel dat de in het handelsregister openbaar gemaakte gegevens voor onbeperkte tijd worden opgeslagen en door eenieder kunnen worden ingezien, niet langer onderworpen zijn aan ‚openbaarmaking’ in deze tweeledige betekenis, doch gedurende slechts een beperkt tijdsbestek en voor een specifieke groep ontvangers beschikbaar zijn, op grond van een beoordeling van het specifieke geval door de beheerder van het gegeven?
IT 1839

CBP: Meldplicht datalekken FAQ

Bijdrage ingezonden door Niels Westerlaken, Project Moore advocaten.
Voorafgaand aan de publicatie van de richtsnoeren meldplicht datalekken beantwoordt het Cbp vragen over deze meldplicht op haar website Cbpweb.nl. Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand door een hacker. ... U kunt nu al maatregelen treffen om u voor te bereiden op de inwerkingtreding van de meldplicht datalekken per 1 januari 2016. Zorg er allereerst voor dat u de persoonsgegevens die u verwerkt goed beveiligt. Daarnaast kunt u bijvoorbeeld: goed incidentenbeheer inrichten; beslissen wie in de organisatie datalekken gaat beoordelen en melden bij het CBP; nadenken over hoe u de betrokkenen gaat informeren bij een datalek; nadenken over hoe u wilt omgaan met signalen uit de buitenwereld over mogelijke datalekken; afspraken met uw bewerkers controleren. "

Info: niels.westerlaken@projectmoore.com

IT 1837

Wat is de status van het wetsvoorstel Cliëntenrechten bij elektronische gegevensverwerking?

Bijdrage ingezonden door Natascha van Duuren, De Clercq. Een update. Landelijk EPD: Na het verwerpen van het wetsvoorstel voor de Kaderwet landelijke EPD, is een aantal moties ingediend door zowel de Eerste als Tweede Kamer. Een belangrijke motie is ingediend door Kamerlid Tan, die de Kamer verzocht om: “te komen tot een nadere wettelijke regeling van normen en standaarden voor zowel digitale dossiervorming en ontsluiting, als de overdracht van gegevens, eisen met betrekking tot de veiligheid, toezicht, handhaving en sancties, inzage door de patiënt, het verstrekken van afschrift aan de patiënt en transport van gegevens op verzoek van de patiënt, teneinde veilig digitaal transport van gegevens (zowel pull als push) mogelijk te maken tussen zorgverleners binnen een regio”.

Wetsvoorstel: Deze motie heeft uiteindelijk geleid tot het wetsvoorstel cliëntenrechten bij elektronische gegevensverwerking dat op 1 juli 2004 door de Tweede Kamer is aangenomen. Dit wetsvoorstel bevat bepalingen voor het gebruik van elektronische uitwisselingssystemen ter bescherming van de persoonlijke levenssfeer van de burger door zorgaanbieders. Belangrijke voorwaarden voor het elektronisch beschikbaar stellen van patiëntgegevens zijn:
a.    De zorgaanbieder stelt gegevens van de cliënt slechts beschikbaar via een elektronisch uitwisselingssysteem als de cliënt daartoe “gespecificeerde toestemming” heeft gegeven (artikel 15a, eerste en tweede lid Wabvpz).
b.    Het raadplegen van gegevens of het maken van een afschrift daarvan die via een elektronisch uitwisselingssysteem beschikbaar zijn gesteld, is alleen toegestaan binnen een behandelrelatie en met uitdrukkelijke toestemming van de cliënt (artikel 15b, eerste lid Wabvpz).
c.     De zorgaanbieder geeft de cliënt informatie over zijn rechten bij elektronische gegevensuitwisseling, de wijze waarop hij zijn rechten kan uitoefenen en over de werking van het elektronische uitwisselingssysteem dat voor de gegevensuitwisseling wordt gebruikt (artikel 15c, eerste lid Wabvpz).
d.    Zorgaanbieders zijn verplicht op verzoek van de cliënt elektronische inzage of afschrift van het dossier te verstrekken (artikel 15d en 15e Wabvpz). Daarnaast zijn de functionele, technische en organisatorische eisen waaraan een elektronische uitwisselingssysteem aan moet voldoen, opgenomen in een afzonderlijk besluit dat gelijktijdig in werking zal treden met het wetsvoorstel. In dit besluit wordt onder meer dwingend verwezen naar de normen voor informatiebeveiliging in de zorg van het Nederlands Normalisatie-Instituut: de NEN 7510:2011 (NEN 7510) en de verdere uitwerking van deze algemene norm in NEN 7512 en NEN 7513. Momenteel is de NEN 7521 in ontwikkeling. Deze norm dient te leiden tot uniforme en veilige gegevensuitwisseling tussen betrokken zorgverleners en zorginstelling rond de behandeling van een patiënt. Na publicatie van de NEN 7521 zal worden bezien of ook naar deze norm dwingend zal worden verwezen.

Introductie van een nieuwe toestemmingsvorm: de “gespecificeerde toestemming”
: Uit verschillende hoeken wordt met een kritische blik naar het wetsvoorstel gekeken. Zo hebben de KNMG, GGZ Nederland, KNMP, NVZ, Actiz en VGN in een brief d.d. 13 februari 2015 aan de Eerste Kamer een reactie gegeven. In de brief wordt met name aandacht gevraagd voor de invoering van de “gespecificeerde toestemming” door de cliënt. De zorgaanbieder stelt op grond van het wetsvoorstel immers slechts gegevens van de cliënt beschikbaar via een elektronisch uitwisselingssysteem voor zover de zorgaanbieder heeft vastgesteld dat de cliënt daartoe uitdrukkelijk toestemming heeft gegeven (artikel 15a lid 1). Op grond van lid 2 betreft de in lid 1 bedoelde uitdrukkelijke toestemming een ‘gespecificeerde toestemming’ voor het beschikbaar stellen van alle of bepaalde gegevens aan bepaalde door de cliënt aan te duiden zorgaanbieder of categorieën van zorgaanbieders. Opvallend (en verwarrend) is dat in het wetsvoorstel slechts een definitie van “zorgverlener” wordt gegeven. Een “zorgverlener” wordt in het wetsvoorstel gedefinieerd als natuurlijke persoon die in het BIG-register staat ingeschreven of die een art. 34 BIG-beroep uitoefent. Een definitie van “zorgaanbieder” ontbreekt in het wetsvoorstel, dit terwijl deze term in het wetsvoorstel een belangrijke rol inneemt. De term “zorgaanbieder” is wel gedefinieerd in de Kwaliteitswet zorginstellingen: “1) de natuurlijke persoon of de rechtspersoon, die een instelling in stand houdt; 2) de natuurlijke personen of rechtspersonen, die gezamenlijk een instelling vormen.” Een zorgaanbieder kan dus ook een natuurlijke persoon zijn. Dit zou volgens de veldpartijen tot de conclusie kunnen leiden dat art. 15a lid 2 cliënten het recht geeft om door middel van het verlenen van “gespecificeerde toestemming” individuele zorgverleners uit te sluiten van toegang tot hun gegevens. De veldpartijen vragen zich (terecht) af of de “gespecificeerde toestemming” wel voldoende is doordacht. Het is volgens hen de vraag of het voorstel in de praktijk wel uitvoerbaar is. Er wordt immers een situatie gecreëerd waarin binnen een zorginstelling sommige zorgverleners wél en andere geen toegang tot de patiëntgegevens mogen hebben. Bovendien vragen zij zich af of de patiëntveiligheid hierdoor wel voldoende wordt gewaarborgd.

De deskundigenbijeenkomst van 13 april 2015: Momenteel ligt het wetsvoorstel bij de Eerste Kamer. Vanwege de kritiek van de veldpartijen op het wetsvoorstel is er een deskundigenbijeenkomst georganiseerd. Tijdens deze bijeenkomst is de “gespecificeerde toestemming” wederom uitgebreid aan de orde gekomen. Zo werd opgemerkt dat dit betekent dat een nieuwe term wordt geïntroduceerd in de toestemmingsliteratuur. De vraag is echter wat “gespecificeerde toestemming” betekent. De WGBO en de Wbp gaan immers uit van ‘toestemming’, die per definitie ‘voldoende specifiek’ moet zijn en ook ‘in vrijheid gegeven en op voldoende informatie gebaseerd’ zijn. In de Memorie van Antwoord bij het wetsvoorstel geeft de Minister een nadere toelichting op de “gespecificeerde toestemming”: Zo geeft de Minister aan: “Het zal bijvoorbeeld niet voldoende zijn om aan te geven dat alle fysiotherapeuten in de regio zijn aangesloten als niet duidelijk is tot waar de regio zich uitstrekt. Om als cliënt gespecificeerde toestemming te kunnen geven, moet helder zijn welke zorgaanbieders horen bij een aan te duiden categorie. Alle medische specialisten in Utrecht als categorie is niet gespecificeerd genoeg, de medisch specialisten van ziekenhuis X of de internisten van ziekenhuis Y en Z wel.” Het zal dus van groot belang zijn de cliënt goed te informeren over de reikwijdte van zijn (gespecificeerde) toestemming. Aan welke exacte criteria deze informatieplicht moet voldoen is niet duidelijk. Dat roept volgens de deskundigen de vraag op of de cliënt voldoende inzicht heeft in de reikwijdte van zijn toestemming, met alle privacyrisico’s van dien. Gezien het aantal en de complexiteit van de gestelde vragen heeft de Minister in een brief aan de voorzitter van de Eerste Kamer laten weten dat het niet mogelijk is de vragen binnen de gestelde termijn te beantwoorden. Om die reden is de behandeling van dit wetsvoorstel voorlopig uitgesteld en zal de Eerste Kamer voor Volksgezondheid, Welzijn en Sport (VWS) wachten op een nadere memorie van antwoord. De Minister heeft gezegd ‘de zomer’ nodig te hebben om uit te zoeken hoe een “gespecificeerde toestemming” kan worden gegeven aan zorgverleners om in het medisch dossier te mogen kijken. Daarbij wil de Minister bovendien nagaan voor hoeveel extra administratieve belasting dit zal zorgen bij individuele zorgverleners.

 

IT 1814

Evert de Pender stapt als CEO in privacy compliance gespecialiseerde start-up PrivacyPerfect

Evert de Pender (53) geeft sinds 1 juli 2015 leiding aan PrivacyPerfect. Deze start-up lanceert als eerste ter wereld een gebruiksvriendelijke datamapping-tool waarmee organisaties het gebruik van persoonsgegevens bedrijfsbreed inzichtelijk maken en die ervoor zorgt dat zij compliant zijn met geldende regelgeving. Via een Management Buy-In heeft De Pender een belang in PrivacyPerfect verworven.

Associate Professor dr. Bart Schermer, privacy expert aan de Universiteit van Leiden en een van de initiatiefnemers van PrivacyPerfect: “We zijn heel blij met de komst van Evert omdat we ervan overtuigd zijn dat hij PrivacyPerfect tot een internationale marktleider kan maken. Hij heeft zeer specifieke ervaring met de uitrol van Software as a Service-oplossingen in een markt die sterk gedomineerd wordt door wet- en regelgeving. Evert lanceerde met Legal Intelligence de eerste geïntegreerde juridische zoekmachine ter wereld en maakte dit bedrijf marktleider in juridische contentintegratie. Deze expertise, in combinatie met zijn sterke netwerk, zijn cruciaal om PrivacyPerfect ook een internationale speler te maken.”

Grip op data
De nieuwe privacy-verordening van de Europese Commissie dwingt organisaties tot privacy compliance. Elke organisatie moet aan kunnen tonen welke persoonsgegevens worden verzameld, hoe ze worden gebruikt èn hoe ze zijn beveiligd. PrivacyPerfect is de enige partij met een datamapping-tool die grip geeft op de verwerking van persoonsgegevens. Met deze tool kunnen bedrijven en organisaties het maximale uit hun data halen zonder concessies te doen aan zorgvuldigheid rondom de privacy van personen en zonder schending van privacywetgeving.

Forse boetes
De strengere Europese regelgeving voor de beveiliging van persoonsgegevens (Data Protection Regulation) volgt recente Amerikaanse wetgeving. In Amerika zijn eerder dit jaar al boetes van tientallen miljoenen opgelegd aan bedrijven zoals AT&T en Google voor het schenden van privacy regels. De Data Protection Regulation vanuit Brussel gaat uit van boetes die kunnen oplopen tot wel tien procent van de jaaromzet van bedrijven, organisaties en instellingen die hier niet aan voldoen. Daarnaast is in Nederland de ‘meldplicht datalekken’ aangenomen door de Eerste Kamer. Het schenden hiervan kan nu al leiden tot forse boetes. De datamapping-tool van PrivacyPerfect geeft antwoord op deze ontwikkeling en zorgt voor een sterke vermindering van het risico op boetes voor privacyschending die in de meeste gevallen ook leiden tot ernstige imago-schade.