Privacy  

Recht op inzage van gegevens bij klachtafhandeling door telecomaanbieders, CBPweb.nl 16 september 2014
Uit het persbericht: In een uitzending van het tv-programma Radar van maandagavond 15 september 2014 heeft de voorzitter van het College bescherming persoonsgegevens (CBP) onderstreept dat de wet verplicht om klanten inzage te geven in gegevens die een telecomaanbieder over hen bewaart.

Telecomaanbieders mogen gegevens over het dataverkeer voor facturering en netwerkbeheer in een beperkt aantal gevallen zonder toestemming bewaren. De gegevens mogen niet langer worden bewaard dan noodzakelijk en moeten zo snel mogelijk worden geanonimiseerd of verwijderd. Telecomaanbieders mogen bepaalde gegevens - welke websites of apps (op het niveau van domeinnamen) op welk moment hoeveel data hebben verbruikt - langer bewaren als de klant daar vooraf uitdrukkelijke toestemming voor geeft. Het CBP herbevestigt bovendien dat het zonder toestemming gebruiken van gegevens over bezochte websites en gebruikte apps voor eigen doeleinden van de telecomaanbieders zoals voor marktanalyse in strijd met de wet is.

J. van Groenendaal, De gestolen naaktfoto’s van Kate Upton, Jennifer Lawrence en tientallen anderen, IT 1593
Bijdrage ingezonden door Jurian van Groenendaal, Boekx Advocaten. Het is even schrikken voor een flink aantal actrices, popsterren en modellen. Een hacker heeft toegang gekregen tot hun iCloud account met daarop persoonlijke foto’s en filmpjes. In deze cloud worden - in beginsel automatisch - kopieën opgeslagen van beelden die met Apple-apparaten zijn gemaakt. En de celebs houden er nogal wat naaktfoto’s en pikante video’s op na. Van onder meer model Kate Upton en actrice Jennifer Lawrence werd dit soort materiaal online gezet. Sommigen ontkenden de authenticiteit van de beelden, maar andere gaven toe dat het om echte foto’s gaat. En er zou nog veel meer gepubliceerd worden. Een lijst met tientallen bekende vrouwen werd gepubliceerd op internetforum 4Chan, waar de hackers hun buit presenteerden.

Voyeurisme
Een schrale troost voor de vrouwen is dat het civielrechtelijk een makkelijke zaak wordt. Het publiceren van foto’s, in de beslotenheid van een privéomgeving genomen, schendt de persoonlijke levenssfeer evident. Al helemaal wanneer er naakt of erotiek in beeld is. Alhoewel het publiek op zichzelf wel informatie mag ontvangen over het privéleven van celebrities, wordt er een grens overschreden wanneer de publicatie niet bijdraagt aan een publiek debat. In de Von Hannover I en II uitspraken heeft het Europese Hof voor de Rechten van de Mens (“EHRM”) het publieke debat als essentieel criterium aangemerkt in de belangenafweging van grondrechten.1 Het grondrecht op bescherming van de persoonlijke levenssfeer aan de ene kant en het grondrecht op vrijheid van meningsuiting aan de andere kant. In de Von Hannover II uitspraak is bovendien overwogen dat het louter bevredigen van nieuwsgierigheid geen zwaarwegend belang is. Het gaat natuurlijk om puur voyeurisme wanneer naaktfoto’s worden gestolen en gedeeld. De manier waarop de foto’s zijn verkregen speelt ook een relevante rol. Het is alsof een inbreker door je onderbroekenla gaat, maar dan voor het oog van de hele wereld. Een belangenafweging door de rechter dient onder deze omstandigheden in het voordeel van de celebrities uit te vallen.

Axel Springer en Naomi Campbell
Het openbaar maken van deze naaktfoto’s is in die zin heel anders dan de zaak over een Duitse acteur door Axel Springer.2 De acteur werd voor bezit van cocaïne gearresteerd op een openbaar festival. Dat vond hij ook tot zijn loutere privésfeer behoren. Een dagblad publiceerde over het voorval met de volledige naam van de acteur en zijn foto. Dat was volgens het EHRM toelaatbaar. Zijn bekendheid bij het publiek, de betrouwbaarheid van de feiten (een openbaar aanklager had het voorval bevestigd) en een drugsverleden speelden in de belangenafweging een rol. Naast het feit dat bekende personen ook een voorbeeldfunctie bezitten voor het publiek. Een soortgelijke zaak betrof supermodel Naomi Campbell die werd gefotografeerd buiten een afkickkliniek.3 Het publiceren van de foto’s ging echter te ver volgens het EHRM. Al was het op zichzelf gerechtvaardigd om over het feit dat zij onder behandeling was te berichten. In het oordeel speelde mee dat de met telelens genomen foto’s een negatief effect op haar behandeling zouden kunnen hebben, en ook niets wezenlijks bijdroegen aan de berichtgeving.

Strafbaar
Het stelen van beeldmateriaal uit de cloud en het openbaar maken van dat materiaal heeft ook zeker strafrechtelijke gevolgen. Computervredebreuk, het omzeilen van een beveiliging en het binnendringen van een computer, is een strafbaar feit. Daarvoor zullen de autoriteiten de hackers van de cloud van de celebrities moeten zien te vervolgen. Maar ook al wordt in deze opinie het woord “stelen” herhaaldelijk gebruikt, van diefstal in de zin van het Wetboek van Strafrecht is geen sprake. Dat is relevant voor iedereen die de foto’s overneemt en openbaar maakt. Zij lopen anders het risico zelf vervolgd te worden voor heling. Volgens de Hoge Raad is diefstal van virtuele items uit een game weliswaar te kwalificeren als diefstal, maar daar ging het om virtuele spullen waarover de eigenaar feitelijk de beschikkingsmacht verloor.4 Dat is bij de foto’s niet het geval. Wel kan het openbaar maken van beeldmateriaal waarvan de verkrijger weet dat het door een misdrijf is verkregen, onrechtmatig zijn.5 SBS mocht geen beelden uitzenden van de gestolen digitale camera van (toen nog) prinses Máxima.

Manon Thomas
In Nederland hebben we de zaak Manon Thomas gehad. Naaktfoto’s en een filmpje van Thomas werden gestolen door haar buurman, die toegang had gekregen tot haar computer. Die foto’s werden gedeeld via MSN aan een klein groepje personen en het filmpje werd op Youtube gezet. De strafrechtelijke veroordeling door rechtbank en gerechtshof voor inbreuk op het auteursrecht, werd door de Hoge Raad gecasseerd wegens een vormfout.6 De primair ten laste gelegde computervredebreuk en belediging konden niet bewezen worden. Voor de ad informandum aan de dagvaarding toegevoegde feiten met betrekking tot inbreuk op het auteursrecht, had een nieuwe dagvaarding gemaakt moeten worden. Dat was niet gebeurd waardoor het OM niet ontvankelijk werd verklaard. Wel was Thomas toen al succesvol in het verwijderen van de foto’s en het filmpje van internet. Naast de strafrechtelijke relevantie van het auteursrecht in deze zaak, in de praktijk zeldzaam, kon zij het ook gebruiken voor civielrechtelijke vorderingen tot verwijdering natuurlijk.

Secundaire openbaarmakers
Of de hackers ooit gevonden en vervolgd worden valt zeer te betwijfelen. Wat wel gaat gebeuren is dat er een leger advocaten achter alle websites aangaat die de foto’s hebben overgenomen en openbaar (blijven) maken. Dat geldt natuurlijk ook voor Nederlandse partijen die inhaken op het verspreiden van de foto’s. Zij lopen een risico. Al is het de vraag of de foto’s werkelijk van het internet af te halen zijn. In geval van bekende persoonlijkheden gaat het verspreiden van “verboden” beeldmateriaal zo snel dat het niet meer in te dammen is. Het Britse koningshuis ondernam geen actie tegen foto’s van prins Harry die zich naakt in een hotelkamer in Las Vegas vermaakte met een onbekende dame. Wel werd er een procedure gestart tegen openbaarmaking van foto’s van Kate Middleton die topless aan het zonnen was in de tuin van een vakantiehuis. De Franse rechter verbood publicatie van de foto’s maar deze waren inmiddels al zo ver verspreid dat daar geen actie meer tegen werd genomen. Om praktische redenen hoogstwaarschijnlijk. Het aanspreken van honderden partijen in talloze jurisdicties is geen makkelijke klus.

1 EHRM 7 februari 2012, ECLI:NL:XX:2012:BW0603 (Von Hannover II), EHRM 24 september 2004, zaak 59320/00 (Von Hannover I)
2 EHRM 7 februari 2012, zaak 39954/08, (Springer / Duitsland)
3 EHRM 18 januari 2011, zaak 39401/04, (MGN Limited / Verenigd Koninkrijk)
4 HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)
5 Rb. Amsterdam, 20 april 2005, ECLI:NL:RBAMS:2005:AT4199 (digitale camera Máxima)
6 HR 20 maart 2012, ECLI:NL:HR:2012:BU8695 (Manon Thomas)

mr. Jurian van Groenendaal is advocaat media en intellectuele eigendom bij Boekx Advocaten in Amsterdam.

Vzr. Rechtbank Amsterdam 30 juni 2014, IT 1587 (AquaServa tegen accountantskantoor)
843a Rv-vordering nadat bewijsbeslag is gelegd. Het maatschappelijk belang dat de waarheid in rechte boven tafel komt, weegt zwaarder dan het belang van de accountant bij bescherming van zijn privacy en bij zijn geheimhoudingsverplichting jegens zijn cliënten. De privé e-mailaccounts van (medewerkers van ) de accountant mogen worden doorzocht omdat de accountant erkent dat met gebruikmaking van privé e-mailadressen over zakelijke aangelegenheden is gecorrespondeerd. Ter beperking van de inbreuk op de privacy en de geheimhoudingsverplichting mogen de door DigiJuris gevonden zoekresultaten pas aan eiseressen worden verstrekt nadat een notaris de zoekresultaten heeft doorgenomen en maatregelen heeft getroffen om te voorkomen dat irrelevante informatie bij eiseressen terecht komt.

4.7. Van een fishing expedition is naar het oordeel van de voorzieningenrechter vooralsnog geen sprake. [het accountantskantoor] betwist immers niet dat ook met gebruikmaking van privé e-mailadressen werd gecorrespondeerd over zakelijke aangelegenheden en
e-mails die zijn verstuurd van of naar privé e-mailadressen zijn kennelijk – gelet op het verzet van [het accountantskantoor] daartegen – nog niet aan AquaServa verstrekt. AquaServa heeft dan ook een rechtmatig belang bij het doorzoeken van de beslagen informatie op de in de dagvaarding genoemde zoektermen. Hoewel AquaServa niet exact kan omschrijven welke stukken zij verwacht te vinden aan de hand van deze zoektermen, is naar het oordeel van de voorzieningenrechter voldaan aan het wettelijke vereiste dat het moet gaan om ‘bepaalde bescheiden’. De voorzieningenrechter die het verlof voor bewijsbeslag heeft verleend, heeft eerder ook al geoordeeld dat de stukken waarvoor het verlof zou gelden voldoende bepaalbaar zijn.

4.8. Bij het te verrichten onderzoek aan de beslagen informatie mogen ook de privé e-mailaccounts worden betrokken. Hetzelfde geldt voor de interne correspondentie van [het accountantskantoor], voor zover de inhoud daarvan betrekking heeft op de totstandkoming en/of de vaststelling van het dividendbesluit ProCas 2008. Voor zover hiervan het gevolg is dat [het accountantskantoor] haar geheimhoudingsverplichting jegens haar cliënten schendt, geldt dat het belang van [het accountantskantoor] bij geheimhouding in het onderhavige geval en tegen de achtergrond van de genoemde beperkingen, naar het oordeel van de voorzieningenrechter minder zwaar weegt dan het maatschappelijk belang dat de waarheid in rechte aan het licht komt. Gesteld noch gebleken is dat een behoorlijke rechtsbedeling zonder de gevraagde gegevens kan worden gewaarborgd.

4.9. Om de inbreuk op de geheimhoudingsverplichting en de privacy van (medewerkers en cliënten van) [het accountantskantoor] zoveel mogelijk te beperken, zal worden bepaald dat DigiJuris B.V. de zoekresultaten zal moeten voorleggen aan[de notaris]

Hof 's-Hertogenbosch 19 augustus 2014, IT 1583 (De Staat tegen SMSParking)
Privacy. Bescherming persoonsgegevens. SMSParking biedt in Nederland diensten aan voor betaald parkeren via sms-bericht, internet, smartphone of app. Op grond van deze bedrijfsactiviteiten beschikt SMSParking over zowel persoonlijke gegevens van de klant die zich bij haar heeft aangemeld als over parkeergegevens van het betreffende voertuig. In december 2012 is SMSParking bericht door de Bealstingdienst, die het voornemen had om alle van SMS Parking te verkrijgen parkeergegevens op basis van kentekeninformatie te filteren op fiscale relevantie. De Staat vordert - samengevat - SMSParking te veroordelen om volledig en onvoorwaardelijk mee te werken aan het verstrekken van de door de Belastingdienst gevraagde gegevens en inlichtingen. De voorzieningenrechter heeft de vorderingen van de Staat afgewezen en de Staat in de proceskosten veroordeeld (IT 1339). Het Hof oordeelt dat noch uit het oogpunt van proportionaliteit noch uit het oogpunt van subsidiariteit in relatie tot artikel 8 EVRM SMSParking een gerechtvaardigd belang heeft om afgifte van de gevraagde gegevens te weigeren. Ook een beroep op de Wbp slaagt niet.

3.5.4. Door SMSParking is verder naar voren gebracht dat de Staat andere en veel minder belastende controlemethodes ter beschikking staan, zodat zij niet behoeft uit te wijken naar het bevragen van SMSParking met betrekking tot de daar aanwezige parkeergegevens. SMSParking heeft daarbij onder meer gewezen op het fotograferen en scannen van kentekens op verschillende wegen. Bovendien, zo stelt zij, zijn 90 tot 95% van de gegevens van SMSParking reeds bekend doordat deze reeds verstrekt zijn door (de gemeenten samenwerkend in verband van) het SHPV, dus door gemeente waarin ook SMSParking haar diensten aanbiedt.
Het hof overweegt het volgende. De stellingen van SMSParking lijken allereerst geen onderscheid te maken tussen de bescherming die voortvloeit uit artikel 8 EVRM voor de daarbij betrokken burgers en het eigen belang dat SMSParking heeft om verstrekking van gegevens te weigeren. Het doet immers wat merkwaardig aan of is zoal niet onbegrijpelijk dat in de visie van SMSParking de Belastingdienst in haar geval naar een minder belastende controlemethode voor de individuele burger zou dienen uit te wijken, nadat de Belastingdienst door gebruikmaking van diezelfde methode bij andere parkeerbedrijven of gemeenten reeds een groot deel van de gewenste gegevens heeft verkregen. De daartoe gehanteerde methode is immers dezelfde als bij SMSParking te weten het bevragen van organisaties zoals SMSParking. Daarnaast kan naar het oordeel van het hof in redelijkheid niet worden volgehouden dat het fotograferen van kentekens (en dus ook de voertuigen die deze dragen) minder belastend zou zijn voor de burger dan het opvragen van kentekens bij SMSParking. Dat laat bovendien onverlet dat een dergelijke methode aanzienlijk arbeidsintensiever is dan het opvragen van de gegevens bij bedrijven als SMSParking, zodat ook reeds om die reden niet gezegd kan worden dat de betreffende methode is aan te merken als gelijkwaardig en even effectief. Evenmin kan van de Belastingdienst worden gevergd dat zij kiest voor een methode waarbij de voor haar interessante kentekens aan SMSParking ter controle worden aangereikt. Een dergelijk handelen zou immers de privacy van een groot aantal burgers kunnen aantasten, waarbij SMSParking niet, zoals de overheid, is onderworpen aan een groot aantal spelregels, die de bevoegdheid van de overheid op dit punt nu juist in goede banen leiden.

3.5.5. De slotsom is dat noch uit het oogpunt van proportionaliteit noch uit het oogpunt van subsidiariteit in relatie tot artikel 8 EVRM SMSParking een gerechtvaardigd belang heeft om afgifte van de gevraagde gegevens te weigeren.

3.6.1. SMSParking heeft daarnaast nog een beroep gedaan op diverse bepalingen uit de Wet Bescherming Persoonsgegevens. Voor zover dit beroep ziet op de noodzaak om haar cliënten voorafgaand aan dit soort verzoeken van de fiscus te kunnen waarschuwen, hetgeen, nu dit achterwege is gebleven, in de weg zou staan aan het verschaffen van de gevraagde gegevens merkt het hof het volgende op. SMSParking betwist niet dat zij is te beschouwen als een administratieplichtige in de zin van de AWR. In relatie tot de Wbp kan van haar verlangd worden dat zij ingevolge artikel 33 Wbp haar klanten van tevoren informeert over de wijze waarop zij zelf de betreffende gegevens verwerkt. Daarmee heeft zij aan haar wettelijke verplichting voldaan. Desgewenst kan zij haar klanten ook informeren over haar (andere) wettelijke verplichtingen, onder meer als administratieplichtige in de zin van de AWR. Dat zij dit echter tot op heden heeft nagelaten kan (uiteraard) de bevoegdheid van de Belastingdienst om de gewenste gegevens van SMSParking te verkrijgen niet beïnvloeden.
In die zin faalt ook grief 1 in het incidenteel appel.

Andere blogs:
ICTRecht
SOLV

Brief aan de Voorzitter van de Tweede Kamer der Staten-Generaal, Kamerstukken II 2013-2014, 26 643, nr. 320.
Tijdens het algemeen overleg Cybersecurity van 27 maart jongstleden (Kamerstuk 26 643, nr. 312) is een aantal vragen gesteld over de aanpak van botnets in Nederland. Deze vragen hebben betrekking op de verantwoordelijkheidsverdeling en de samenhang van de activiteiten van de private en publieke organisaties die betrokken zijn bij de aanpak van botnets, alsmede op aspecten als privacy en aansprakelijkheid. Met deze brief voldoe ik, mede namens mijn ambtgenoot van Economische Zaken, aan de toezegging uw Kamer voor de zomer te informeren over de aanpak van botnets in Nederland.

Met enige regelmaat worden burgers het slachtoffer van cybercriminaliteit. Daarbij maken criminelen geregeld gebruik van botnets. Een botnet is een netwerk van samenwerkende apparaten, meestal privé- of bedrijfscomputers, de zogeheten «bots», die met dezelfde malware zijn besmet. Criminelen kunnen een botnet centraal aansturen om de bots voor eigen doeleinden in te zetten. Deze problematiek is door het NCSC in de opeenvolgende Cyber Security Beelden Nederland geschetst.

De dreiging die uitgaat van botnets neemt het kabinet serieus. De aanpak van deze dreiging vraagt inzet van overheid, bedrijfsleven en burgers. De overheid handelt daarbij op verschillende vlakken en vanuit verschillende rollen, zoals hieronder wordt geschetst. Vanuit het bedrijfsleven pakken de Internet Service Providers een actieve rol in de bestrijding van botnets en geven daarbij invulling aan de in de tweede Nationale Cyber Security Strategie (NCSS 2)1 beschreven zorgplicht die leveranciers jegens hun klanten hebben. Daarnaast ligt er voor burgers in de rol als eindgebruiker een belangrijke rol in het verbeteren van de eigen cyberhygiëne.

Bij het bestrijden van botnets is het van belang dat genoemde partijen de volgende maatregelen nemen: het verhogen van veiligheidsbewustzijn en het tegengaan van besmettingen, het actief bestrijden van besmettingen, het opsporen en vervolgen van beheerders van botnets en het verstoren van de werking van botnets.


Verhogen van veiligheidsbewustzijn en het tegengaan van besmettingen
De eigenaar van een computer is zelf verantwoordelijk voor de eigen informatiebeveiliging en heeft daarmee de taak om voldoende maatregelen te nemen om zijn of haar computer vrij te houden van malware. De samenleving dient zich daarom in toenemende mate bewust te zijn van de dreigingen en daarbij bekwaam te handelen. Hiertoe zet de overheid vanuit de NCSS-2 actief in op het verhogen van dit bewustzijn en het versterken van de bekwaamheid. Van 27 oktober tot 6 november 2014 zal voor de derde keer de awareness-campagne Alert Online worden gehouden. Deze draagt bij aan de bewustwording van iedereen in de samenleving om veilig om te gaan met computers. Ook werkt het Ministerie van Economische Zaken samen met het Ministerie van Veiligheid en Justitie en ECP, platform voor de informatiesamenleving, aan een nieuwe informatiebron voor burgers, veiliginternetten.nl. Deze zal in het najaar tijdens de campagne Alert Online worden gelanceerd.

Bestrijden van besmettingen
Bij brief van 17 mei 2011 is uw Kamer geïnformeerd over de Digitale Agenda Nederland2. Hierin is de actielijn Schone computers door aanpak van Botnets opgenomen. Uit deze actielijn is met eenmalige steun van het Ministerie van Economische Zaken het private initiatief van de vereniging Abuse Information Exchange ontstaan. Deze vereniging van internet service providers heeft recent een centrum (Abuse HUB) opgericht dat centraal informatie over botnetbesmettingen verzamelt en verwerkt. Deze informatie wordt ter beschikking gesteld aan leden van de vereniging. Zij kunnen zo besmette computers sneller opmerken en hun klanten beter helpen bij de ontsmetting van hun computers. Bij Abuse Information Exchange zijn de meeste nationale internetproviders aangesloten, samen goed voor meer dan 90% van de vaste internettoegangsmarkt. Het Ministerie van Economische Zaken doet in 2014 onderzoek naar de vraag of botnetbesmettingen bij eindgebruikers in Nederland zijn afgenomen ten opzichte van landen die geen vergelijkbare initiatieven als Abuse Information Exchange hebben ontplooid. Eind 2014 zullen de uitkomsten daarvan beschikbaar zijn. Deze kunnen bruikbaar zijn voor de verbetering van de werking van Abuse HUB en van de aanpak van botnets in Nederland in het algemeen.

Opsporen en vervolgen van botnetbeheerders
Het creëren en gebruiken van een botnet is in Nederland strafbaar. De politie is belast met de opsporing, het Openbaar Ministerie is belast met de vervolging en heeft de leiding bij opsporingsonderzoeken. Botnets zijn een prioriteit voor het Team High Tech Crime (THTC) van de politie. Het THTC heeft in 2013 15 grote onderzoeken uitgevoerd. Bij het merendeel van die onderzoeken maakte een botnet deel uit van de werkwijze van de criminelen. Ook wordt door de politie bijgedragen aan gecoördineerde internationale acties tegen botnets. Botnets worden vaak aangestuurd via computers uit het buitenland. Het is mede daarom vaak lastig de identiteit en locatie van de desbetreffende crimineel te achterhalen. Indien het land waar de crimineel zich bevindt bekend is, dan kan een rechtshulpverzoek worden gedaan of kan de opsporing gezamenlijk ter hand worden genomen. Het is van belang dat het creëren en gebruiken van botnets ook in dat land strafbaar is en dat de autoriteiten voldoende capaciteit en expertise beschikbaar hebben om op te treden. Dat is helaas niet altijd het geval. Het kabinet zet daarom in op het versterken van de internationale samenwerking en het harmoniseren van de (straf)wetgeving. Richtlijn 2013/40 van de Europese Unie over aanvallen tegen informatiesystemen verplicht lidstaten onder meer het stellen van een bepaalde maximumstraf voor het gebruik van botnets bij bepaalde vormen van cybercrime in de strafwetgeving op te nemen. Ik heb een wetsvoorstel in procedure gebracht om de Nederlandse wetgeving in overeenstemming te brengen met deze richtlijn. Dit wetsvoorstel is thans aanhangig bij de afdeling advisering van de Raad van State.

Verstoren van de werking van botnets
Naast op het opsporen van daders, wordt ingezet op het effectief verstoren van botnets zodat burgers en bedrijven die als gevolg van een besmetting onderdeel zijn van een botnet, niet langer bloot staan aan de kwaadaardige invloed van de comman and control server (de centrale computer waarmee een botnet wordt aangestuurd). Bij het verstoren wordt veelal op vordering van het Openbaar Ministerie het dataverkeer van deze command and control server uitgeschakeld door de betrokken provider en worden de voor de opsporing relevante gegevens zeker gesteld. Verder vraagt het NCSC met enige regelmaat, bij gebleken aanwijzingen voor een botnet, nadrukkelijke aandacht hiervoor van de providers. Soms is er sprake van zogenoemde bad hosters. Dat zijn providers die bewust of onbewust een platform bieden aan bad hosting, het aanbieden van servers die onder meer gebruikt worden in botnets. In het najaar zullen politie en OM een pilot starten om bad hosters effectief aan te kunnen pakken. De pilot bestaat uit een samenwerking met de TU Delft om de omvang van bad hosting in kaart te brengen. Daarnaast worden publieke en private partners bij elkaar gebracht om tot een gezamenlijke aanpak van bad hosters te komen.

Rol van het NCSC
Het NCSC, als onderdeel van de NCTV van het Ministerie van Veiligheid en Justitie, vervult zijn taken ter voorkoming en beperking van verstoringen in het digitale domein in het belang van de nationale veiligheid. Het NCSC richt zich daarom op de (rijks)overheid en vitale sectoren. Als spin in het web heeft het centrum toegang tot een veelheid aan informatie over ICT-gerelateerde kwetsbaarheden en dreigingen, waaronder botnets. Wanneer het NCSC, zoals reeds geschetst in mijn brief d.d. 18 maart 20133 over de aanpak van het Pobelka-botnet, de beschikking krijgt over IP-adressen van computers die deel uit maken van een botnet, dan streeft het NCSC ernaar de eigenaar hiervan zo mogelijk op de hoogte te stellen. Bij vitale organisaties en (rijks)overheid gebeurt dat in de regel rechtstreeks. In andere gevallen wordt zo mogelijk samengewerkt met organisaties die op hun beurt de eigenaar op de hoogte stellen. In geval van een grootschalig cyberincident waar botnets bij betrokken zijn en dat kan leiden tot maatschappelijke ontwrichting zal het NCSC conform haar rol, met inachtneming van de bestaande publiek-private contacten en crisismanagementstructuren, de coördinatie op zich nemen voor een gezamenlijke respons. Daarbij voert het NCSC, in samenspraak met andere betrokken overheidspartijen, de eerste analyse uit van de aard van de verstoring en geeft een inschatting van de potentiële maatschappelijke gevolgen. Dit is bijvoorbeeld gebeurd bij het onderzoek naar het Pobelka botnet in het voorjaar van 2013, waarover ik uw Kamer per brief heb geïnformeerd.

Privacybescherming
Bij de activiteiten die worden ondernomen op het gebied van botnetbestrijding is het van belang om zorgvuldig om te gaan met informatiestromen, in het bijzonder daar waar het persoonsgegevens betreft. Bedrijven en overheden die persoonsgegevens verwerken moeten in beginsel aan de eisen van de Wet bescherming persoonsgegevens voldoen. Dit betekent onder meer het nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek en afgezet tegen de risico’s die met de specifieke gegevensverwerking(en) zijn gemoeid. In specifieke gevallen kan in aanvulling hierop sectorale wet- en regelgeving van toepassing zijn. De politie verwerkt (persoons)gegevens op basis van een specifieke wet, te weten de Wet politiegegevens (Wpg). Het College bescherming persoonsgegevens is met het toezicht op de naleving en de handhaving van de Wbp en de Wpg belast.

Aansprakelijkheid
Op het punt van civielrechtelijke aansprakelijkheid geldt als uitgangspunt dat wanneer iemand als gevolg van handelen door de overheid of private partijen schade lijdt, ook als dat handelen plaatsvindt in het kader van de aanpak van botnets, in voorkomende gevallen een actie uit onrechtmatige daad kan worden gestart.

Ter afsluiting
Uit het bovenstaande wordt duidelijk dat de aanpak van botnets een samenspel van activiteiten van private en publieke partners vormt. Op 20 juni jongstleden heeft op initiatief van de Ministeries van Veiligheid en Justitie en Economische Zaken en ECP, een publiek-private bijeenkomst plaats gevonden om de aanpak van botnets te bespreken. Naar aanleiding van deze bijeenkomst is besloten tot het instellen een publiek-private botnetwerkgroep, waarin sleutelorganisaties bij botnetaanpak in Nederland vertegenwoordigd zullen zijn. ECP zal het secretariaat van deze werkgroep verzorgen. De werkgroep start na de zomer en zal voor afstemming en regie zorgen op de botnetaanpak in Nederland, kennis en informatie uitwisselen en nieuwe initiatieven ontwikkelen en aanjagen.
Hiermee is het kabinet van mening dat er een samenhangende, brede aanpak van botnets bestaat, die verder wordt uitgebouwd en verdiept. Een veiliger internet door minder botnets versterkt het vertrouwen van eindgebruikers bij het internetgebruik, geeft een impuls voor de ontwikkeling van meer online diensten en leidt tot meer economische groei. Zo wordt een bijdrage geleverd aan een samenleving waarin de kansen die digitalisering ons biedt volop worden benut, dreigingen het hoofd worden geboden en fundamentele rechten en waarden worden beschermd.

De Minister van Veiligheid en Justitie,
I.W. Opstelten

CBP adviseert over 'hackbevoegdheid' politie en opsporingsdiensten, CBPweb.nl 17 februari 2014
Uit de mededeling: Op verzoek van de minister van Veiligheid en Justitie heeft het College bescherming persoonsgegevens (CBP) geadviseerd over het conceptwetsvoorstel Computercriminaliteit III. Hierin worden onder meer nieuwe bevoegdheden voorgesteld om de opsporing en vervolging van computercriminaliteit te verbeteren. Het CBP adviseert het voorstel niet aldus in te dienen.

​In zijn advies bespreekt het CBP de voorgestelde bevoegdheid voor de politie en opsporingsdiensten tot zogeheten 'onderzoek in een geautomatiseerd werk', ook wel aangeduid als 'hackbevoegdheid'. Volgens het CBP wordt onvoldoende onderkend dat deze nieuwe bevoegdheid een ongekend verreikend karakter heeft. Het gaat namelijk om zeer veel gegevens van een uitgebreide kring mensen.
 
De 'hackbevoegdheid' maakt onder meer volledige toegang mogelijk tot alle historische - en ook toekomstige - gegevens opgeslagen op randapparatuur en uitgewisseld met alle hiermee verbonden communicatiekanalen. Dit zijn niet alleen gegevens die de verdachte zelf betreffen, maar ook gegevens van iedereen die in documenten voorkomt of met wie er digitaal contact is geweest. Daarmee raakt de toepassing van deze bevoegdheid een grote groep mensen die geen verdachten zijn.
 
Daarom moet het wetsvoorstel blijk geven van een zorgvuldige afweging binnen de grondrechtelijke kaders van het recht op eerbiediging van de persoonlijke levenssfeer, aldus het CBP. Dit recht is vastgelegd in artikel 10 van de Grondwet en artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM).
 
Inbreuken op grondrechten zijn alleen rechtmatig als wordt voldaan aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Uit de toelichting op het wetsvoorstel blijken echter onvoldoende de gronden en overwegingen die de noodzaak van invoering van een zo ingrijpende bevoegdheid kunnen rechtvaardigen. Het CBP adviseert daarom het wetsvoorstel beter te onderbouwen.
 

ACM 15 juli 2014, ACM/DC/2014/201822_OV (NPO Cookies)
De Autoriteit Consument & Markt (ACM) heeft vastgesteld dat de Stichting Nederlandse Publieke Omroep (NPO) de regels voor het plaatsen van cookies overtreedt. Op verschillende websites die de NPO beheert, plaatst de NPO cookies bij gebruikers zonder dat zij daarover voldoende zijn geïnformeerd en zonder dat zij daarvoor op de juiste wijze toestemming hebben gegeven. Hiermee overtreedt de NPO de regels rondom het plaatsen van cookies uit artikel 11.7a van de Telecommunicatiewet. Om de NPO te dwingen tot aanpassingen legt ACM een last onder dwangsom op. Als de NPO niet binnen vier weken de vereiste verbeteringen doorvoert, moet zij een dwangsom betalen van EUR 25.000 per week tot een maximum van EUR 125.000. ACM heeft de NPO de afgelopen maanden diverse malen in de gelegenheid gesteld haar websites op de genoemde punten aan te passen en daarmee aan de regels te voldoen. Aangezien dit tot nu toe niet tot het gewenste resultaat heeft geleid, legt ACM nu een last onder dwangsom op. Persbericht

Prejudiciële vragen aan HvJ EU 22 april 2014, IT 1571, zaak C-230/14 (Weltimmo)
Persoonsgegevens. Weltimmo is een in Slowakije gevestigde onderneming die een website beheert met advertenties voor in Hongarije gelegen onroerende zaken. Zij verwerkt daartoe persoonsgegevens van de adverteerders. Na afloop van de plaatsingsduur van de advertentie (één maand gratis) verzoeken veel adverteerders zowel de advertentie als hun persoonsgegevens te verwijderen. Verzoekster voldoet echter niet aan dat verzoek en brengt diensten in rekening aan de adverteerders die na niet-betaling van de facturen aan incassobureaus worden ‘uitgeleverd’. De adverteerders dienen een klacht in bij de Hongaarse autoriteit voor gegevensbescherming. Die verklaart de Hongaarse wet van toepassing aangezien de verwerking en technische bewerking van gegevens van natuurlijke personen op Hongaars grondgebied wordt verricht.

Verzoekster krijgt een boete opgelegd. Zij stelt administratief beroep in waarmee het besluit van de Hongaarse autoriteit wordt vernietigd omdat bepaalde feiten onvoldoende duidelijk zijn. De rechter oordeelt echter dat de plaats waar de gegevens zijn verzameld Hongarije is en niet de plaats waar verzoekster haar statutaire zetel heeft. Daarnaast stelt de rechter vast dat noch artikel 4 lid 1, noch de artikelen 28 en 29 van RL 95/46 rechtstreekse werking hebben op grond waarvan de Hongaarse bepalingen buiten toepassing gelaten zouden moeten worden. Verzoekster kan dan ook gezien haar activiteiten geen beroep doen op het feit dat zij geen vestiging in Hongarije heeft. Zij gaat in cassatie omdat zij meent dat de Hongaarse autoriteit niet bevoegd is maar haar Slowaakse tegenhanger had moeten verzoeken actie te nemen.

De verwijzende Hongaarse cassatierechter stelt vast dat het HvJ EU nog geen relevant arrest heeft gewezen. Hij ziet wel enige aanknopingspunten in de conclusie AG in zaak C-131/12 (Google Spain) maar ziet zich genoodzaakt het HvJEU de volgende vragen voor te leggen:

1) Moet artikel 28, lid 1, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: “richtlijn gegevensbescherming”) aldus worden uitgelegd dat de nationale regeling van een lidstaat op diens grondgebied van toepassing is op een voor de gegevensverwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd en een vastgoedsite beheert waarop hij ook advertenties plaatst voor in de eerstbedoelde lidstaat gelegen onroerend goed, waarvan de eigenaars hun persoonsgegevens naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

2) Moet artikel 4, lid 1, sub a, van de richtlijn gegevensbescherming, junctis de punten 18 tot en met 20 van de considerans en de artikelen 1, lid 2, en 28, lid 1, ervan, aldus worden uitgelegd dat de Magyar Adatvédelmi és Információszabadság Hatóság (hierna: “autoriteit voor gegevensbescherming”) de Hongaarse wet inzake gegevensbescherming als nationaal recht niet kan toepassen op een uitsluitend in een andere lidstaat gevestigde beheerder van een vastgoedsite, ook al publiceert hij daarop ook advertenties voor in Hongarije gelegen onroerend goed, waarvan de eigenaars de desbetreffende gegevens waarschijnlijk vanuit Hongarije naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

3) Is het voor uitleggingsdoeleinden relevant dat de dienst die wordt verricht door de voor de gegevensverwerking verantwoordelijke, die de website beheert, is gericht op het grondgebied van een andere lidstaat?

4) Is het voor uitleggingsdoeleinden relevant dat de gegevens betreffende in de andere lidstaat gelegen onroerend goed en de persoonsgegevens van de eigenaars ervan daadwerkelijk zijn ingevoerd vanop het grondgebied van die andere lidstaat?

5) Is het voor uitleggingsdoeleinden relevant dat de met dat onroerend goed verband houdende persoonsgegevens burgers van een andere lidstaat betreffen?

6) Is het voor uitleggingsdoeleinden relevant dat de eigenaars van de in Slowakije gevestigde onderneming een woonplaats hebben in Hongarije?

7) Indien uit het antwoord op de vorige vragen volgt dat de Hongaarse autoriteit voor gegevensbescherming kan optreden, maar daarbij niet het nationale recht, doch het recht van de lidstaat van vestiging moet toepassen, moet artikel 28, lid 6, van de richtlijn gegevensbescherming dan aldus worden uitgelegd dat de Hongaarse autoriteit voor gegevensbescherming de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met de regeling van de lidstaat van vestiging, en dus niet bevoegd is om een geldboete op te leggen?

8) Mag ervan worden uitgegaan dat het begrip „adatfeldolgozás” [technische bewerking van gegevens] dat zowel in artikel 4, lid 1, sub a, als in artikel 28, lid 6, van de [Hongaarse taalversie van de] richtlijn gegevensbescherming wordt gebruikt, in de terminologie van deze richtlijn overeenkomt met het begrip „adatkezelés” [gegevensverwerking]?

Vz. RCC 14 Juli 2014, IT 1569, dossiernr. 2014/00464 (REC Pen)
Voorzitterstoewijzing. Strijd met wet. Het betreft: 1) een televisiecommercial waarin de zogenaamde REC Pen wordt aangeprezen. Dit betreft een ballpoint die is voorzien van een videocamera. In de televisiecommercial worden een aantal situaties nagespeeld waarin het nuttig zou zijn de REC Pen te gebruiken 2) de website www.teltv.com voor zover het betreft de aanprijzing van de hiervoor genoemde ballpoint. Op de website staat een link naar een commercial en onder meer de volgende tekst: “Met deze spionnenpen maakt u ongemerkt opnames!”. Klager stelt, samengevat, dat met de REC Pen in het geheim video opnamen kunnen worden gemaakt van personen in de privé-sfeer, dit zet aan tot wetsovertreding. De voorzitter acht de reclame-uiting in strijd met het bepaalde in artikel 2 NRC.

Het oordeel van de voorzitter
1) De voorzitter constateert dat in de bestreden televisiecommercial en de commercial die op de bestreden webpagina kan worden geopend, het gebruik van de REC Pen in het bijzonder wordt aangeprezen als een mogelijkheid om daarmee heimelijk personen te filmen. De voorzitter verwijst naar de in de commercial getoonde scenes waarin personen in woningen en andere niet-publieke plaatsen worden gefilmd zonder dat dit kennelijk duidelijk vooraf is aangekondigd en met de bedoeling achter bepaalde geheimen te komen. Het betreft een moeder die op deze wijze ontdekt dat haar dochter een relatie met een leraar heeft, respectievelijk het ontdekken van het feit dat men door collega’s stiekem wordt uitgelachen en het ontdekken van schoenendiefstal. Het op een dergelijke wijze gebruiken van de REC Pen, dat wil zeggen zonder dat dit duidelijk vooraf is aangekondigd, kan ertoe leiden dat in strijd met artikel 139f Wetboek van Strafrecht wordt gehandeld. Nu het onderhavige product specifiek wordt aangeprezen voor een gebruik dat op zichzelf genomen verboden kan worden geacht, is de voorzitter van oordeel dat de onderhavige commercials in strijd zijn met de goede smaak en het fatsoen. Derhalve heeft adverteerder ten aanzien van de commercials gehandeld in strijd met het bepaalde in artikel 2 van de Nederlandse Reclame Code (NRC).
2) Ten aanzien van de tekst op de website ligt het voorgaande in zoverre anders, dat in deze tekst op meer algemene wijze wordt gewezen op de mogelijkheid de pen ongemerkt te gebruiken. Dit neemt evenwel niet weg dat deze tekst dient te worden bezien in samenhang met de commercial die op de website kan worden aangeklikt. Als gevolg van dit laatste zal de consument ook de tekst in deze zin uitleggen dat de REC Pen in het bijzonder geschikt is om daarmee heimelijk personen in een besloten ruimte te filmen. Ook bedoelde tekst dient, gelet op de hiervoor bedoelde commercial, in strijd met artikel 2 NRC te worden geacht.
3) Voor zover klager nog stelt dat de REC Pen zelf aanzet tot wetsovertreding, merkt de voorzitter op dat het adverteerder vrijstaat om reclame te maken voor het onderhavige product, mits deze reclame niet oproept of aanzet tot een gebruik dat een strafbaar feit kan opleveren en de reclame ook verder voldoet aan de eisen van de Nederlandse Reclame Code.
4) Ten aanzien van het verzoek van adverteerder om een termijn van 4 tot 6 weken te krijgen voor aanpassing van de reclame-uitingen, volstaat de voorzitter met op te merken dat dit verzoek niet aan de orde kan zijn, reeds omdat voorkomen moet worden dat de consument op grond van de uitingen de REC Pen zal kopen om daarmee heimelijk in woningen en andere niet-publieke plaatsen mensen te filmen, waardoor hij mogelijk een strafbaar feit zal begaan.

ABRvS 16 juli 2014, IT 1568 (appellant tegen College B&W Zevenaar)
Tussenarrest. Persoonsgegevens. Een oud-ambtenaar van de gemeente Zevenaar doet beroep op het inzagerecht van art. 35 Wbp om de hem betreffende persoonsgegevens uit zijn digitale personeelsdossier te ontvangen. De rechtbank had dit verzoek na een eerdere uitspraak van de RvS afgewezen, omdat de documenten uit het dossier geen bestand zouden vormen. De Afdeling wijkt nu van dit eerder ingenomen standpunt af: in geval van geautomatiseerde verwerking van persoonsgegevens is niet van belang of deze gegevens een bestand vormen. Zij draagt het College van B&W van Zevenaar op om nieuwe besluiten te nemen.

5.3. De Afdeling heeft met toepassing van artikel 8:29, vijfde lid, van de Awb de documenten die digitaal zijn opgeslagen ingezien. Deze documenten zijn voornamelijk door medewerkers van de gemeente gemaakte brieven en verslagen van gevoerde gesprekken en concepten daarvan, die niet in het personeelsdossier van [appellant] zijn opgenomen. Zij zijn gemaakt met het programma Word en door bedoelde medewerkers met een gemeentelijke computer digitaal opgeslagen.

5.4. Deze digitale wijze van verzamelen van documenten die persoonsgegevens bevatten, is een vorm van geautomatiseerde verwerking van persoonsgegevens als bedoeld in artikel 2, eerste lid, van de Wbp. Dit artikel is de implementatie van artikel 3, eerste lid, van de Privacyrichtlijn.

In de bewoordingen van beide bepalingen wordt geautomatiseerde verwerking van persoonsgegevens onderscheiden van niet-geautomatiseerde verwerking.

Dat artikel 3 van de Privacyrichtlijn beoogt onderscheid tussen deze twee wijzen van verwerkingen te maken blijkt mede uit de overwegingen 15 en 27 van de bij de Privacyrichtlijn behorende preambule. In overweging 15 staat dat verwerking van persoonsgegevens slechts onder deze richtlijn valt als zij geautomatiseerd is of als de betrokken gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand dat gestructureerd is volgens specifieke persoonscriteria. In overweging 27 staat dat de bescherming van personen zowel op automatische als op niet-automatische verwerking van toepassing is en dat wat de niet-automatische verwerking betreft alleen bestanden en geen ongestructureerde dossiers onder de richtlijn vallen. Hieruit en ook uit de tekst in de Franse, Engelse en Duitse taalversies van artikel 3, eerste lid, van de Privacyrichtlijn en overweging 27 van de preambule blijkt het oogmerk om geautomatiseerd verwerkte persoonsgegevens ook onder de reikwijdte van de Privacyrichtlijn te brengen als het geheel van de verwerkte gegevens niet is aan te merken als een bestand in de zin van artikel 2, aanhef en onder c, van de Privacyrichtlijn, omdat het bij geautomatiseerde verwerking gemakkelijker is dan bij niet-geautomatiseerde verwerking om persoonsgegevens te zoeken en te vinden.

5.5. Nu de tekst van de artikelen 2, eerste lid, van de Wbp en artikel 3, eerste lid, van de Privacyrichtlijn duidelijk is, kan wat hierover in de memorie van toelichting bij de Wbp is vermeld (Kamerstukken II 1997/98, 25892, nr. 3, blz. 53) daaraan niet afdoen.

Gezien het vorenstaande volgt uit de bewoordingen van artikel 2, eerste lid, van de Wbp en artikel 3, eerste lid, van de Privacyrichtlijn, gelezen in samenhang met de overwegingen uit de preambule bij die richtlijn, dat het in geval van geautomatiseerde verwerking van persoonsgegevens niet van belang is of deze gegevens een bestand als bedoeld in artikel 1, aanhef en onder c, van de Wbp, vormen.

Met dit oordeel wijkt de Afdeling af van hetgeen is overwogen in de uitspraak van 30 januari 2013 (zaak nr.201112022/1/A3), in welke uitspraak de betekenis van de Privacyrichtlijn onvoldoende is onderkend.

5.6. De rechtbank heeft derhalve ten onrechte van belang geacht of de door [appellant] gevraagde digitale documenten een bestand vormen, als bedoeld in artikel 1, eerste lid, aanhef en onder c, van de Wbp en het beroep van [appellant] ten onrechte ongegrond verklaard omdat het niet een zodanig bestand is. De aangevallen uitspraak dient in zoverre te worden vernietigd. Het college heeft ten onrechte het verzoek van [appellant] niet beoordeeld op grond van de Wbp en met toepassing van de in die wet opgenomen weigeringsgronden. Het betoog slaagt.