Privacy  

Rechtbank Midden-Nederland 23 juli 2014, IT 1562 (Vereniging Praktijkhoudende Huisartsen tegen Vereniging Zorgaanbieders voor Zorgcommunicatie)
De rechtbank heeft de vordering van de Vereniging van Praktijkhoudende Huisartsen (VPH) om de invoering en verdere ontwikkeling van een systeem voor het elektronisch uitwisselen van medische gegevens te verbieden, afgewezen. De rechtbank oordeelde dat de manier waarop het systeem is ingericht niet in strijd is met de wet bescherming persoonsgegevens.

2.3.
Na verwerping door de Eerste Kamer van het wetsvoorstel “Wet gebruik Burgerservicenummer in de zorg in verband met elektronische informatie-uitwisseling in de zorg” hebben de Landelijke Huisartsen Vereniging (LHV), de Vereniging Huisartsenposten Nederland (VHN), de Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) en de Nederlands Vereniging van Ziekenhuizen (NVZ) besloten een doorstart te maken met de reeds ontwikkelde landelijke infrastructuur voor elektronische uitwisseling van medische persoonsgegevens. Zij hebben daartoe een “Doorstartmodel” (hierna: het Doorstartmodel) opgesteld en dit op 21 december 2011 ter advisering voorgelegd aan het College bescherming persoonsgegevens (Cbp)”. Het Doorstartmodel is gebaseerd op de bestaande infrastructuur voor de elektronische uitwisseling van medische persoonsgegevens gegevens, “AORTA-standaard”, die is ontwikkeld door het Nederlands Instituut voor ICT in de zorg (Nictiz). Deze infrastructuur wordt hierna aangeduid als de zorginfrastructuur.

De geformuleerde doeleinden voor gegevensverwerking
5.9.
In de preambule van het Convenant hebben de bij het Convenant betrokken partijen doeleinden geformuleerd (zie hiervoor in 2.6). De beschreven doeleinden “betere en veiliger zorg”, “het bevorderen van doelmatigheid in de zorg” en “meer betrokkenheid van patiënten bij hun eigen gezondheid” hebben betrekking op de registratie en verwerking van medische persoonsgegeven en vormen naar het oordeel van de rechtbank daarvoor een voldoende rechtvaardiging. Daarbij is in aanmerking genomen dat de noodzaak voor registratie en uitwisseling van medische persoonsgegevens voor een goede en veilige gezondheidszorg algemeen is aanvaard. Dat thans eveneens algemeen is aanvaard dat registratie en uitwisseling plaatsvinden langs elektronische weg blijkt onder meer uit het hiervoor in 5.4 genoemde advies en werkdocument van De Artikel 29 Groep en het advies van het Cbp van 18 januari 2012. In deze documenten wordt niet in twijfel getrokken dat is voldaan aan het vereiste dat het leveren van een betere gezondheidszorg een gerechtvaardigd doel vormt voor de registratie en verwerking van medische persoonsgegevens langs elektronische weg. VPH c.s. erkent dit zelf ook. De omschrijving van de doeleinden in een convenant is naar haar aard in algemene bewoordingen gesteld en zal pas bij de uitwerking daarvan concreter kunnen zijn. De rechtbank acht de in het Convenant gegeven doeleindenomschrijving, anders dan VPH c.s. heeft gesteld, voldoende concreet.

5.11.
In het Businessplan is een financieringsmodel uitgewerkt (pagina 10 van het Businessplan), waarbij de eenmalige kosten die de individuele zorgaanbieders moeten maken om zich aan te sluiten op de zorginfrastructuur worden vergoed op een vooraf vastgesteld normbedrag. De structurele kosten die de individuele zorgaanbieders jaarlijks maken voor hun aansluiting worden vergoed op basis van daadwerkelijk gebruik van de zorginfrastructuur. Niet valt in te zien dat het geven van dergelijke vergoedingen in strijd is met de bepalingen van de Wbp. De individuele zorgaanbieders moeten werkelijk kosten maken om te kunnen aansluiten op de zorginfrastructuur. Dat een - zoals het Businessplan het op pagina 85 formuleert - “adequate” vergoeding mede tot doel heeft om de zorgaanbieders te stimuleren snel op de zorginfrastructuur aan te sluiten, betekent - anders dan VPH c.s. betoogt - dan ook niet dat de vergoeding een ongeoorloofde prikkel is om de zorgaanbieders tot aansluiting te bewegen.

De toestemming
5.12. Op grond van de hiernavolgende overwegingen is de rechtbank van oordeel dat met de wijze waarop de procedure tot het verlenen van toestemming voor de verwerking van persoonsgegevens is vormgegeven, voldoende is gewaarborgd dat wordt voldaan aan de in artikel 23 Wbp gestelde eis dat de betrokkene “uitdrukkelijk toestemming” heeft verleend.

Informed consent
5.21. Op grond van hetgeen hiervoor in 5.13 t/m 5.20 is overwogen is de rechtbank van oordeel dat de procedure voor toestemmingsverlening voldoende waarborgen biedt om te kunnen voldoen aan de vereisten dat de toestemming vrijwillig is gegeven, dat deze voldoende specifiek is en dat deze is gebaseerd op voldoende informatie.

proportionaliteit
5.24 Naar het oordeel van de rechtbank kan de gegevensverstrekking door middel van de professionele standaard daarom ook wat betreft de omvang en de inhoud van de verstrekte gegevens de proportionaliteitstoets doorstaan.

5.27. Het betoog van VPH c.s. dat gebruikmaking van de zorginfrastructuur de huisarts noopt tot schending van zijn geheimhoudingsplicht als bedoeld in artikel 7:457 BW, artikel 88 van de wet BIG en artikel 272 WvS treft gelet op het voorgaande geen doel.

Andere blogs:
SOLV

Rechtbank Den Haag 23 juli 2014, id=ECLI:NL:RBDHA:2014:8966 (eisers tegen Staat der Nederlanden)
Persbericht: De uitwisseling van telecommunicatie tussen de Nederlandse Algemene Inlichtingen- en veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Amerikaanse National Security Agency (NSA) kan door de beugel. De mogelijkheid bestaat dat de Nederlandse diensten bij de uitwisseling van telecommunicatiegegevens met buitenlandse diensten, zoals de NSA, gegevens ontvangen die door de buitenlandse diensten in het buitenland zijn verzameld met de inzet van bevoegdheden waarover de Nederlandse diensten niet beschikken. De enkele mogelijkheid dat dit het geval is, betekent niet dat Nederland met de ontvangst en het eventuele gebruik van die gegevens internationale verdragen en nationale regelgeving overtreedt. (...) Lees het persbericht verder

Rechtspraak.nl: Procedure naar aanleiding van ‘Snowden-onthullingen’, ingeleid door enige natuurlijke personen, waaronder een strafrechtadvocaat en journalist, en de rechtspersonen de Nederlandse Vereniging voor strafrechtadvocaten, de Nederlandse Vereniging voor Journalisten, de vereniging Internet Society Nederland en de Stichting Privacy First tegen de Staat. Onrechtmatige daad. Vraag of de Staat handelt in strijd met de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002) en internationale verdragsverplichtingen, in het bijzonder de artikelen 8 van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de fundamentele Vrijheden (EVRM) en 7 en/of 8 van het Handvest van de grondrechten van de Europese Unie (het Handvest) en/of 10 EVRM en 11 van het Handvest, door van buitenlandse inlichtingen- en veiligheidsdiensten, waaronder de Amerikaanse National Security Agency (NSA), gegevens te ontvangen en/of te gebruiken die zijn vergaard met de inzet van bevoegdheden waarover de Nederlandse Algemene Inlichtingen en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) niet beschikken.

Verder vraag of op de Staat een positieve verplichting rust om betrokkenen over wie de Staat in strijd met het Nederlandse recht en/of internationale verdragsverplichtingen gegevens heeft ontvangen schriftelijk te informeren en uitsluitsel te geven over het al dan niet hebben ontvangen van gegevens betreffende hun persoon van buitenlandse diensten en om die gegevens te wissen. Ontvankelijkheid eisers. Voldoende concreet en eigen belang eisers-natuurlijke personen als bedoeld in artikel 3:303 van het Burgerlijk Wetboek (BW). Collectieve actie NVSA en NVJ op grond van artikel 3:305a BW. Eigen belang Privacy First en Internet Society bij gevorderde gebod tot het nemen van passende maatregelen te nemen ter bescherming van privéleven. Taakverdeling bestuursrechter en burgerlijke rechter. Verhouding zwaarwegende belangen (van individuen en “eenieder”) waarvoor eisers opkomen, waaronder het belang bij respect voor het privéleven van het individu, en zwaarwegende algemene belang van nationale veiligheid. Afwijzing algemeen geformuleerde vorderingen. De mogelijkheid bestaat dat de Nederlandse diensten bij de uitwisseling van gegevens met buitenlandse diensten, zoals de NSA, gegevens ontvangen die door de buitenlandse diensten in het buitenland zijn verzameld met de inzet van bevoegdheden waarover de Nederlandse diensten niet beschikken. De enkele mogelijkheid dat dit het geval is, betekent niet dat Nederland met de ontvangst en het eventuele gebruik van die gegevens internationale verdragen en nationale regelgeving overtreedt. Toetsing EVRM. Internationale samenwerking. Karakter van gegevensuitwisseling, in ‘bulk’, zonder dat deze op relevantie zijn beoordeeld. Onderscheid ontvangst gegevens en de verdere verwerking ervan. De nationale veiligheid geeft de doorslag. De zwaarwegende belangen van eiseres zullen op individuele basis tot hun recht moeten komen in de waarborgen die de Wiv 2002 biedt of toelaat in het geval van gebruik in hun nadeel, te weten een beroep op de Commissie toezicht betreffende de inlichtingen- en veiligheidsdiensten (CTIVD), op de Nationale ombudsman of - in bijzondere gevallen, indien aan de desbetreffende voorwaarden is voldaan - op de nationale civiele of bestuursrechter.

Op andere blogs:
bureau Brandeis

CALL FOR PAPERS: TILT – Tilburg Institute for Law, Technology, and Society brings to your attention the bi-annual multidisciplinary conference TILTing Perspectives on Technology Regulation

UNDER OBSERVATION – Synergies, benefits and trade-offs of eHealth and surveillance

Tilburg, The Netherlands, 22-23 April 2015

Conference Theme: The notion that people are ‘under observation’ has multiple connotations. Bringing together two hitherto unrelated streams of scholarship interested in observation —eHealth and surveillance studies—this conference aims to inspire cross-fertilisation and bring new insights into the legal, ethical and social meanings of being ‘under observation’.

Care for an aging population and for patients with chronic conditions is expensive. Staying healthy is actively encouraged by policy and practice. Use of eHealth solutions to this end is especially encouraged, as these applications are considered to be ‘lean’, cheap and capable of offering access to healthcare and lifestyle management anywhere, any time. Recent developments in mobile eHealth have led to wearable sensors that gather health data in real time and help take charge of our wellbeing, while Big Data Analytics and Predictive Analytics promise better understanding of disease, prevention and treatment.

But these technologies are not without their caveats. Most notably, they create new opportunities for surveilling and steering health-related behaviours. Recent scholarship on the relationship between the development of new technologies and trends in surveillance points to the multi-directional and mutual nature of the latter. In the field of health, this means that not only are patients watched by technologies, physicians, etc. but also that they are increasingly watching.

These new trends are in line with a general tendency to seek solutions to societal problems – crime, resource allocation, child welfare – in data aggregation, monitoring, profiling and behaviour tracking.

We therefore invite legal, ethical, and social scholars and practitioners, philosophers of technology and engineers, as well as persons working in the areas of health (including eHealth), assisted living, sensor technology, surveillance studies, data protection, data security and privacy to join us in exploring these developments during a two-day conference. We will explore
and discuss the synergies, benefits and trade-offs of developments in eHealth and related changes in surveillance structures and practices.

See full call here

HvJ EU 17 juli 2014, IT 1557, zaak C-141/12 / C-372/12 (Y.S.en MenS tegen Minister voor Immigratie, Integratie en Asiel) - dossier
Zie eerder IT 1355. Persoonsgegevens. Verzoek om een prejudiciële beslissing betreffende de uitlegging van de artikelen 2, sub a, 12, sub a, en 13, lid 1, sub d, f en g, van richtlijn 95/46/EG (Privacyrichtlijn) en van de artikelen 8, lid 2, en 41, lid 2, sub b, van het EU Handvest. Een geding van twee derdelanders die eenzelfde verzoek hebben ingediend, over de weigering van de minister om die derdelanders een afschrift te verstrekken van een bestuurlijk document dat voorafgaand aan de vaststelling van de besluiten over hun verzoeken om een verblijfsvergunning was opgesteld. Het Hof verklaart voor recht dat de aanvrager van een verblijfstitel recht heeft op inzage in de hem betreffende persoonsgegevens, maar niet op de juridische analyse van het intern document. De aanvrager kan zich tegenover de nationale autoriteiten niet beroepen op art. 41 lid 2 sub b van het Handvest.

59      In situaties als die in de hoofdgedingen vloeit uit het in punt 48 van het onderhavige arrest gegeven antwoord voort dat alleen de gegevens betreffende de aanvrager van de verblijfstitel die in de minuut zijn weergegeven, en in voorkomend geval die welke in de juridische analyse in die minuut zijn weergegeven, „persoonsgegevens” in de zin van artikel 2, sub a, van richtlijn 95/46 zijn. Bijgevolg heeft het recht op inzage waarop deze aanvrager zich krachtens artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest kan beroepen, uitsluitend betrekking op die gegevens. Opdat aan dit recht op inzage wordt voldaan, volstaat het dat aan de aanvrager van de verblijfstitel een volledig overzicht, in begrijpelijke vorm, van al deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij de artikelen 12, sub b en c, 14, 22 en 23 van die richtlijn verleende rechten kan uitoefenen.

60      Uit het voorgaande vloeit voort dat op de derde en de vijfde vraag in zaak C‑141/12 en op de eerste en de tweede vraag in zaak C‑372/12 dient te worden geantwoord dat artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest in die zin moeten worden uitgelegd dat de aanvrager van een verblijfstitel een recht heeft op inzage in alle hem betreffende persoonsgegevens die het voorwerp van een verwerking door de nationale overheidsinstanties vormen in de zin van artikel 2, sub b, van deze richtlijn. Om daaraan te voldoen, volstaat het dat aan die aanvrager een volledig overzicht, in begrijpelijke vorm, van deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij die richtlijn verleende rechten kan uitoefenen.

65      Wat de inhoud van deze prejudiciële vragen betreft, menen Y.S., M. en S. alsmede de Griekse regering dat de aanvrager van een verblijfstitel een recht op inzage in het dossier kan baseren op artikel 41, lid 2, sub b, van het Handvest, daar de nationale autoriteiten in het kader van de procedure voor de toekenning van een dergelijke titel richtlijnen op asielgebied ten uitvoer brengen. De Nederlandse, de Tsjechische, de Franse, de Oostenrijkse en de Portugese regering menen daarentegen dat artikel 41 van het Handvest uitsluitend is gericht tot de instellingen van de Unie en bijgevolg niet als grondslag kan dienen voor een recht op inzage in het dossier in het kader van een nationale procedure.

Antwoord:
1) Artikel 2, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet in die zin worden uitgelegd dat gegevens over de aanvrager van een verblijfstitel die zijn weergegeven in een bestuurlijk document, zoals de in het hoofdgeding aan de orde zijnde „minuut”, waarin de gronden worden uiteengezet die de beslismedewerker aanvoert tot staving van het ontwerpbesluit dat hij moet opstellen in het kader van de procedure die voorafgaat aan de vaststelling van een besluit over de aanvraag van een dergelijke titel, en in voorkomend geval die welke zijn weergegeven in de juridische analyse die dat document bevat, „persoonsgegevens” zijn in de zin van deze bepaling, maar dat die analyse als zodanig niet aldus kan worden gekwalificeerd.

2) Artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest van de grondrechten van de Europese Unie moeten in die zin worden uitgelegd dat de aanvrager van een verblijfstitel een recht heeft op inzage in alle hem betreffende persoonsgegevens die het voorwerp van een verwerking door de nationale overheid vormen in de zin van artikel 2, sub b, van deze richtlijn. Om daaraan te voldoen, volstaat het dat aan die aanvrager een volledig overzicht, in begrijpelijke vorm, van deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij die richtlijn verleende rechten kan uitoefenen.

3) Artikel 41, lid 2, sub b, van het Handvest van de grondrechten van de Europese Unie moet in die zin worden uitgelegd dat de aanvrager van een verblijfstitel zich tegenover de nationale autoriteiten niet op deze bepaling kan beroepen.

Gestelde vragen C-141/12:

1) Zijn de gegevens die in de minuut van betrokkene zijn weergegeven en die betrekking hebben op betrokkene, persoonsgegevens in de zin van artikel 2, sub a, van [richtlijn 95/46]?

2) Is de in de minuut opgenomen juridische analyse een persoonsgegeven in de zin van voornoemde bepaling?

3) Wanneer het Hof bevestigt dat de hiervoor omschreven gegevens persoonsgegevens zijn, dient de verwerker/overheidsinstantie dan ook ingevolge artikel 12 van [richtlijn 95/46] en artikel 8, lid 2, van het [Handvest] inzage te geven in deze persoonsgegevens?

4) Kan betrokkene in dit kader ook een rechtstreeks beroep doen op artikel 41, lid 2, sub b, van het [Handvest], en zo ja, moet de hierin opgenomen zinsnede ,met inachtneming van het gerechtvaardigde belang van de vertrouwelijkheid [van de] besluitvorming’ zo worden uitgelegd dat het recht op inzage in de minuut op die grond kan worden geweigerd?

5) Wanneer betrokkene verzoekt om inzage in de minuut, dient de verwerker/overheidsinstantie een kopie van dit document te verschaffen om zo recht te doen aan het inzagerecht?

Gestelde vragen C-372/12:
1) Dient artikel 12, aanhef en sub a, tweede streepje, van [richtlijn 95/46] aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt?

2) Dienen de woorden ,recht van inzage’ in artikel 8, lid 2, van het [Handvest] aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt in de zin van artikel 12, aanhef en sub a, tweede streepje, van [richtlijn 95/46]?

3) Is artikel 41, lid 2, aanhef en sub b, van het [Handvest] mede gericht tot de lidstaten van de Europese Unie voor zover zij het recht van de Unie ten uitvoer brengen in de zin van artikel 51, lid 1, van het [Handvest]?

4) Levert de consequentie dat als gevolg van het geven van inzage in minuten daarin niet meer de redenen worden vastgelegd waarom een bepaald besluit wordt voorgesteld, hetgeen de interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie en de ordelijke besluitvorming niet ten goede komt, een gerechtvaardigd belang van de vertrouwelijkheid op in de zin van artikel 41, lid 2, aanhef en sub b, van het [Handvest]?

5) Kan een juridische analyse, zoals neergelegd in een minuut, worden aangemerkt als een persoonsgegeven in de zin van artikel 2, sub a, van [richtlijn 95/46]?

6) Behoort tot de bescherming van rechten en vrijheden van anderen in de zin van artikel 13, lid 1, aanhef en sub g, van [richtlijn 95/46] ook het belang van een interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie? Indien het antwoord hierop negatief luidt, kan dit belang dan worden gebracht onder artikel 13, lid 1, aanhef en sub d of f, van die richtlijn?

EDPS: Report of workshop on Privacy, Consumers, Competition and Big Data, 2 june 2014
In March 2014 the EDPS published a Preliminary Opinion on 'Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy'. The paper has helped stimulate discussions between policy makers, regulators and specialists across these policy areas. The EDPS hosted a workshop in Brussels on 2 June, attended by experts from the European Commission, national regulators, academics and NGOs, as well as the US Federal Trade Commission.

This report of the workshop is structured according to the five big, overlapping themes which were subject of discussions:

1. The features of the digital economy and the importance of personal data to its development
2. The aims of competition law and how those are played out in practice
3. The various ways in which the interests of the ‘consumer’ are understood in competition law and consumer protection law
4. The extent to which privacy is considered a competitive advantage in digital markets
5. Challenges for enforcement cooperation in the fields of competition, consumer protection and data protection. (...)

Conclusions
It was agreed that stakeholders, regulators and experts should continue to talk about how data protection principles, in particular those of purpose limitation and legitimate interest, can be applied to the digital economy, and how the various policy areas could be deployed most effectively to facilitate transparency, choice and competitiveness in privacy policies which protected the fundamental rights and interests of individuals. Data protection and competition specialists do not necessarily speak the same language. Laws may currently be applied effectively to address visible large scale abuses. But the laws seem not to cover the incremental ‘day-by-day drops into the ocean of data’ which are assembled to construct user profiles, where even seemingly innocuous data can reveal sensitive information. This process will be accelerated as more and more devices go online, which will in turn intensify the need for privacy by design, high standards of data security and data minimisation. (…)

Uit het persbericht: De Nederlandse Publieke Omroep (NPO) verzamelt met zogeheten tracking cookies persoonsgegevens van websitebezoekers zonder hiervoor hun ondubbelzinnige toestemming te vragen. Daarmee overtreedt de NPO de Wet bescherming persoonsgegevens (Wbp). Dit concludeert het College bescherming persoonsgegevens (CBP) na onderzoek naar het plaatsen van tracking cookies door de NPO. Met deze tracking cookies kan de NPO het surfgedrag van bezoekers van verschillende omroepwebsites volgen. Het volgen van surfgedrag via cookies zonder adequate informatie en voorafgaande toestemming van de websitebezoeker is niet toegestaan. “Surfgedrag hoort privé te blijven, tenzij je toestemming geeft om gevolgd te worden op internet”, aldus vice-voorzitter van het CBP Wilbert Tomesen. Het CBP zal de komende periode controleren in hoeverre de overtredingen voortduren en beslissen over eventuele inzet van sancties.

Het CBP heeft vastgesteld dat op alle NPO-websites al bij het laden van een webpagina analytische tracking cookies worden geplaatst. Dit gebeurt dus vóór de websitebezoeker een keuze heeft kunnen maken om in te stemmen met het gebruik van zijn persoonsgegevens of dit te weigeren. Op de NPO-websites worden daarnaast andere tracking cookies geplaatst zonder dat een bezoeker hiervoor zijn ondubbelzinnige toestemming heeft gegeven. Het CBP heeft ook geconcludeerd dat de NPO bezoekers onvolledig, inconsistent en in sommige gevallen feitelijk onjuist informeert.

Gegevens over surfgedrag zijn gevoelige gegevens die een indringend beeld kunnen geven van iemands (communicatie)gedrag en belangstelling. Internetgebruikers hebben het recht om te weten wie welke persoonsgegevens van hen verzamelt en met welk doel dat gebeurt. De NPO verzamelt gegevens van zijn websitebezoekers onder meer om het publieksbereik te meten, om gepersonaliseerde advertenties te tonen en om het delen via social media mogelijk te maken. De informatie van de NPO aan bezoekers schiet op verschillende punten tekort. Websitebezoekers horen eerst informatie te krijgen over de verschillende soorten cookies en welke van hun persoonsgegevens waarvoor worden gebruikt zodat zij weten waarvoor zij precies toestemming geven.

Het onderzoeksrapport is buiten toedoen van het CBP publiek geworden. Het CBP heeft daarom besloten het rapport vervroegd te publiceren.
Lees het rapport (7Mb!)

Prejudiciële vragen aan HvJ EU 31 maart 2014, IT 1551, zaak C-201/14 (Bara e.a. tegen CNAS)
Privacy. De groep van verzoeker en vele medestanders bestaat uit (kleine) zelfstandigen. Zij komen op tegen het feit dat zij als gevolg van het onvoorspelbare handelen van de bestuursorganen van de Roemeense Staat verschillende bedragen hebben moeten betalen wegens toepassing met terugwerkende kracht van die bestuurshandelingen. Daarnaast zou bij de overdracht van hun persoonsgegevens RL 95/46/EG geschonden zijn doordat op basis van een nationaal protocol tussen de belastingadministratie en het ziekenfonds (dat volgens hen geen rechtskracht heeft) persoonsgegevens van de belastingdienst zijn overgedragen aan het ziekenfonds.

De verwijzende Roemeense rechter van het Hof van Beroep vraagt zich af of deze wijze van overdracht van informatie op Europeesrechtelijke gronden is toegestaan, en een juiste toepassing vormt van VWEU artikel 124. Hij stelt het HvJEU de volgende vragen:

1. Is de nationale belastingdienst, als vertegenwoordiger van het bevoegde ministerie van een lidstaat, een financiële instelling in de zin van artikel 124?
2. Kan door middel van een met een bestuurshandeling gelijkgestelde handeling, of een protocol tussen de nationale belastingdienst en een andere overheidsinstelling, de overdracht worden geregeld van de database over de inkomsten van de staatsburgers van een lidstaat door de nationale belastingdienst aan een andere instelling van de lidstaat, zonder dat sprake is van een bevoorrechte toegang als omschreven in artikel 124 VWEU?
3. Valt de overdracht van de database, met als doel de staatsburgers van de lidstaat te verplichten sociale bijdragen te betalen aan de instelling van de lidstaat waaraan de database wordt overgedragen, onder het begrip overweging van bedrijfseconomisch toezicht in de zin van artikel 124 VWEU?
4. Kunnen persoonsgegevens worden verwerkt door een autoriteit waarvoor die gegevens niet waren bestemd, waarbij met terugwerkende kracht financieel verlies voor de betrokkenen ontstaat?

G.J. Zwenne, 'CBP te weinig oog voor wetgever en consument', Financieel Dagblad, 18 juni 2014.
Iets minder dan twee jaar geleden trad in Nederland een nieuwe cookiewet in werking. Sindsdien worden we bij het bezoek van websites geconfronteerd met ongevraagde cookiemededelingen en toestemmingsverzoeken, die door de meesten van ons ongelezen worden weggeklikt.De bedoeling van de cookiewet — privacybescherming — was goed. De toepassing ervan stuitte op onbegrip. De wet wil internetgebruikers beschermen tegen cookies waarmee heimelijk hun surfgedrag wordt gevolgd. Maar veel internetters ergeren zich vooral aan de pop-ups en banners. Onze cookiewet is bovendien veel strenger dan de wetgeving in andere EU-lidstaten. Nederland heeft een zogeheten bewijsvermoeden in de cookiewet opgenomen. Zogeheten trackingcookies worden volgens onze wet vermoed persoonsgegevens te zijn. En dat betekent dat daarop verschillende juridische voorschriften van toepassing kunnen zijn en dat verschillende toezichthouders daarop toezicht houden. Het gaat om de Telecomwet waarop ACM toezicht houdt, én om de Wet bescherming persoonsgegevens waarop toezicht wordt gehouden door het College Bescherming Persoonsgegevens (CBP).
Lees verder

Ktr. Rechtbank Amsterdam 30 juni 2014, IT 1542 (HKH Koning, Koningin en prinses Amalia tegen Sanoma)
Grondrechten. Belangenafweging. Mediacode. Sanoma is uitgever van het blad Nieuwe Revu. In 2013 verscheen in de Nieuwe Revu een artikel met de titel “Amalia heeft een vriendje! En wat we volgens de mediacode nog meer niet mogen weten over onze koningin”. In dit artikel uiten een aantal mensen kritiek op de mediacode. Daarnaast zijn in dezelfde aflevering twee foto's geplaatst van prinses Amalia tijdens een hockeytraining. De foto's zijn ook op het internet gepubliceerd. De Rijksvoorlichtingsdienst (RVD) heeft Sanoma bericht dat de publicatie van de voormelde foto's onrechtmatig is. De kantonrechter verklaart voor recht dat gedaagden onrechtmatig hebben gehandeld jegens prinses Amalia door het publiceren van de foto's. Beveelt gedaagden om binnen 48 uur na betekening van het vonnis de foto's van hun website te verwijderen en veroordeelt hen tot betaling van een schadevergoeding van 1.000 euro.

13. Voor wat betreft de belangenafweging is het volgende relevant. De foto’s zijn gemaakt vanaf grote afstand vanaf de openbare weg, terwijl prinses Amalia – toen zes jaar oud – op het hockeyveld van de hockeyvereniging bezig is met het beoefenen van haar hobby. Gedaagden hebben niet bestreden dat de activiteit plaats vond in de privésfeer en in die omstandigheden mag zij zich in beginsel onbespied wanen, anders dan bijvoorbeeld tijdens een evenement als Koningsdag. Bijzondere omstandigheden die dit anders maken, zijn gesteld noch gebleken. Voor zover in dit verband door gedaagden nog is opgemerkt dat het een eerste training zou zijn geweest, mist dit feitelijke grondslag, nog afgezien van het feit dat prinses Amalia in zijn algemeenheid ook niet voor iedere eerste activiteit die zij verricht hoeft te dulden dat haar privacy wordt geschonden, althans de angst moet hebben dat dit zal gebeuren. De bijdrage aan een onderwerp van algemeen belang is door de publicatie naar het oordeel van de kantonrechter voorts nihil, nu een foto van prinses Amalia tijdens een training geen enkel algemeen belang heeft. Gedaagden hebben weliswaar aangevoerd dat velen geïnteresseerd zijn in het toekomstig staatshoofd en dat velen willen weten dat zij hockey speelt maar dat enkele feit rechtvaardigt nog niet de publicatie van een foto als de onderhavige. Ten tijde van de publicatie was van de zijde van eiser al bekend gemaakt dat prinses Amalia deze hobby had. De foto’s hebben voorts geen samenhang met de rol die prinses Amalia als toekomstig staatshoofd gaat vervullen. Bovendien zijn de foto’s gepubliceerd bij een artikel waarin de mediacode aan de orde wordt gesteld. Het staat gedaagden uiteraard vrij over de mediacode te publiceren, maar dit brengt niet met zich mee dat prinses Amalia enkel daarom openbaarmaking van de gewraakte foto’s moet dulden. Terecht is in dit verband door eisers opgemerkt dat de publicatie van een in beginsel onrechtmatige foto niet rechtmatig wordt door een artikel over de rechtmatigheid van die foto daaraan te verbinden. Voorts is door eisers gesteld en is door gedaagden ook erkend dat eisers belang hechten aan privacy en optreden tegen (onrechtmatige) schendingen daarvan, in het bijzonder van hun kinderen. In een eerder geschil tussen partijen is namens eisers ter terechtzitting een toelichting gegeven over het belang dat zij hechten aan het hebben van een ongestoorde jeugd voor hun kinderen, welk betoog in de onderhavige procedure deels is herhaald. Dat eisers daarin willekeurig zouden opereren in de zin dat daaraan een argument voor rechtvaardiging van de publicatie kan worden ontleend is door gedaagden niet dan wel onvoldoende toegelicht.

13. Het voorgaande leidt tot het oordeel dat een afweging van de belangen meebrengt dat de bescherming tegen het recht van inbreuk op de persoonlijke levenssfeer in het onderhavige geval zwaarder weegt dan het recht van vrijheid van meningsuiting. De publicatie van de foto’s jegens prinses Amalia is dan ook onrechtmatig.

15. Eisers stellen voorts terecht dat het aan de betreffende persoon is om al dan niet op te treden tegen inbreuken op het recht op privacy. Dat in voorkomende gevallen tegen bepaalde foto’s niet wordt geageerd ontneemt de onrechtmatigheid aan deze publicatie derhalve niet. De gevorderde verklaring voor recht is toewijsbaar. De hieruit voortvloeiende beperking van het recht van vrijheid van meningsuiting acht de kantonrechter in een democratische samenleving gerechtvaardigd en noodzakelijk.

Op andere blogs:
Charlotte's Law

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft in een brief de minister van BZ gewaarschuwd dat gemeenten de bescherming van persoonsgegevens niet uit het oog mogen verliezen bij de voorbereidingen op de decentralisaties in het sociaal domein. Het CBP reageert met deze brief op de Beleidsvisie over privacy in het sociaal domein van 27 mei jl. In deze visie wordt gesproken over een ‘lerende praktijk’ binnen gemeenten die na enige tijd wordt geëvalueerd. Het CBP benadrukt dat gemeenten de naleving van de Wet bescherming persoonsgegevens (Wbp) niet kunnen opschorten als gevolg van een ‘lerende praktijk’. Het gaat vaak om de verwerking van bijzondere persoonsgegevens, waarvoor strenge wettelijke eisen gelden. Het CBP volgt de ontwikkelingen binnen gemeenten op dit terrein nauwgezet en zal zo nodig gebruik maken van zijn handhavende bevoegdheden.

Het CBP constateert dat het kabinet geen duidelijke kaders geeft waarbinnen gemeenten bij de verwerking van persoonsgegevens binnen het sociaal domein moeten blijven. De acties die het kabinet in zijn visie voorstelt als waarborgen voor de privacy, blijven ruimte bieden voor variatie die gemeenten kunnen geven aan de verwerking van persoonsgegevens. Het CBP wijst erop dat die variatie mogelijk is, maar wel wordt beperkt door de Wbp en dat gemeenten hier van meet af aan rekening mee moeten houden.

Bij de decentralisaties gaat het om een door het kabinet ingezette overheveling van taken naar gemeenten op het gebied van jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen. De wetsvoorstellen die de decentralisatie regelen hebben tot gevolg dat gemeenten meer persoonsgegevens van meer burgers verwerken. Daaronder vallen ook gevoelige gegevens zoals medische en strafrechtelijke gegevens. Voor de verwerking van deze gegevens gelden de eisen uit de Wbp. Zo mogen er niet meer gegevens gedeeld worden dan noodzakelijk, mogen de gegevens niet gebruikt worden voor een doel dat niet verenigbaar is met het oorspronkelijke doel waarvoor zij zijn verzameld en moeten ze adequaat worden beveiligd. Het CBP uitte in oktober 2013 in een brief ook al zorgen over de privacygevolgen van de decentralisatie van taken naar gemeenten.