Privacy  

Bijdrage ingezonden door Filip van Eeckhoutte, Van Eeckhoutte advocaten. In 2010 diende de Spanjaard Maria Costeja Gonzalez een klacht in tegen een Spaanse krant, Google Spanje en Google Inc bij de Spaanse autoriteit voor bescherming van persoonsgegevens (AEPD) [IT 1507]. De man klaagde dat een aankondiging van openbare executie van zijn huis in de zoekresultaten van Google inbreuk maakte op zijn privacy, omdat zijn financiële debacle allang was opgelost en dus de verwijzing naar die openbare veiling niet meer relevant was. Hij verzocht daarom dat de krant de gegevens zou verwijderen en dat Google Spanje of Google Inc zijn persoonsgegevens uit de Google databank zou verwijderen, zodat die niet meer zouden verschijnen in de zoekresultaten.

De Spaanse rechter verwees de zaak naar het Europese Hof van Justitie (EHvJ) en vroeg:
( a) of EU-richtlijn uit 1995 betreffende gegevensbescherming van toepassing is op zoekmachines zoals Google;
( b ) of de EU-wetgeving van toepassing was op Google Spanje, aangezien de verwerking van persoonsgegevens feitelijk plaatsvindt in de Verenigde Staten;
( c ) of een individu het recht heeft te verzoeken dat zijn of haar persoonlijke gegevens worden verwijderd uit een zoekmachine (het recht om te worden vergeten' - 'right to be forgotten').
In zijn arrest van 13 mei 20141 oordeelde dat het EHvJ kort gezegd:
a) qua territorialiteit van de EU-regels : zelfs als de fysieke server van een bedrijf dat persoonsgegevens verwerkt, buiten Europa staat, zijn de EU-regels van toepassing op dat bedrijf als het een filiaal of een dochteronderneming heeft in een lidstaat van de EU;
b) qua toepasselijkheid van de EU-privacyregels op zoekmachines: zoekmachines zijn verwerkers van persoonsgegevens. Google kan daarom haar verantwoordelijkheid niet ontlopen. EU -privacywetgeving is van toepassing en dus ook het recht om te worden vergeten.
c ) qua het 'recht om vergeten te worden': Individuen hebben - onder bepaalde voorwaarden - het recht om zoekmachines te vragen om de banden met persoonlijke informatie over hen te verwijderen . Dit geldt wanneer de informatie onjuist, ontoereikend, irrelevant of overmatig is voor de doeleinden van de gegevensverwerking (r.o. 93 van het arrest) .
Het EHvJ vond in dit specifieke geval dat de inbreuk op het recht op privacy van Gonzalez niet reeds kon worden gerechtvaardigd door het economisch belang van de zoekmachine/Google. Tegelijkertijd heeft het EHvJ expliciet verduidelijkt dat het recht om te worden vergeten niet absoluut is, maar altijd moet worden afgewogen tegen andere grondrechten, zoals de vrijheid van meningsuiting en van de media (r.o. 85 van de arrest). Een beoordeling per geval is dus nodig waarbij dienen te worden afgewogen de aard van de informatie in kwestie, de gevoeligheid voor de persoonlijke levenssfeer en het belang van het publiek in het hebben van toegang tot die informatie. De rol die de verzoeker in het openbare leven speelt, kan daarbij ook van belang zijn.

Filip van Eeckhoutte

Bijdrage ingezonden door Filip van Eeckhoutte, Van Eeckhoutte advocaten. Het 'Recht om te worden vergeten' staat al in de Privacy-richtlijn uit 1995. De privacyrichtlijn bevat als kerngedachte het recht om te worden vergeten. Een persoon kan aan beheerders van o.a. zoekmachines verzoeken dat zijn persoonlijke gegevens worden gewist zodra de gegevens niet langer nodig zijn (artikel 12 Richtlijn). Wat dat betreft heeft de Commissie niets nieuws voorgesteld in de (aanstaande) privacyverordening.

Waarom is de voorgestelde privacyverordening dan nodig?
De voorgestelde verordening gegevensbescherming betreft veel meer dan het recht om te worden vergeten. Het bevat een fundamentele modernisering van de regels inzake gegevensbescherming in Europa, de vestiging van een aantal nieuwe rechten voor burgers waarvan het recht om te worden vergeten er een van is (andere zijn o.a. mobiliteitsbeheer van persoonsgegevens en data-inbreukmeldingen), de vorming van een interne markt voor persoonsgegevens in de Europese Unie en de stroomlijning van samenwerking tussen de regelgevende instanties van de lidstaten. In het besef dat het recht om te worden vergeten bestaat, heeft het Hof van Justitie een algemeen principe neergezet. Dit principe moet worden geactualiseerd en verduidelijkt voor het digitale tijdperk. De privacyverordening versterkt het principe en de rechtszekerheid (artikel 17 voorgestelde verordening).

Het recht om vergeten te worden zou een lege huls zijn als de EU-regels inzake gegevensbescherming niet van toepassing zouden zijn op niet-Europese bedrijven en voor zoekmachines. De voorgestelde privacyverordening stelt buiten twijfel dat het niet uitmaakt waar de fysieke server van een bedrijf (dat persoonsgegevens verwerkt) staat. Ook op niet-Europese ondernemingen die diensten aan de Europese consumenten aanbieden, zijn de Europese regels van toepassing (artikel 3 voorgestelde verordening).

Om het recht voor particulieren om te worden vergeten te versterken, heeft de Commissie voorgesteld de bewijslast om te keren: het bedrijf - en niet het individu - moet bewijzen dat de gegevens niet mogen worden verwijderd, omdat ze nog steeds nodig of relevant zijn.

De voorgestelde verordening gegevensbescherming schept een verplichting voor een databeheerder (bijv. zoekmachine) die persoonsgegevens openbaar maakt om redelijke maatregelen te nemen opdat derden worden geïnformeerd over het feit dat het individu wenst dat zijn persoonsgegevens worden verwijderd. Het Europees Parlement ging nog verder door de databeheerder te verplichten het wissen van deze persoonsgegevens te laten waarborgen. Het Parlement wil dat mensen ook het recht hebben op verwijdering wanneer een rechterlijke of regelgevende instantie in EU in kracht van gewijsde heeft geoordeeld dat de betrokken gegevens moeten worden gewist.

De voorgestelde verordening gegevensbescherming maakt het voor privacy-autoriteiten, zoals het CBP (College Bescherming Persoonsgegevens) voorts mogelijk om boetes van maximaal 2 % van de jaarlijkse wereldwijde omzet op te leggen van/aan bedrijven die de rechten van burgers met voeten treden, zoals het recht om te worden vergeten.

De voorgestelde privacyverordening is bepaalt ook de redenen van algemeen belang op grond waarvan het online in stand houden van persoonsgegevens kan worden gerechtvaardigd. De uitzonderingen op het recht om te worden vergeten, zijn beperkt en afgebakend. Deze omvatten de uitoefening van het recht van vrijheid van meningsuiting, het belang van de volksgezondheid, alsmede de gevallen waarin gegevens worden verwerkt voor historische, statistische en wetenschappelijke doeleinden.

Filip van Eeckhoutte

Rechtbank Oost-Brabant 22 mei 2014, IT 1522 (eiseres tegen Sûreté Nederland)
Persoonsgegevens. Gedragscode. Eiseres is verwikkeld in een alimentatieprocedure met haar ex-echtgenoot, deze heeft Sûreté de opdracht gegeven aan te tonen dat eiseres werkzaamheden verricht in de escortbranche. Sûreté heeft hiervoor een pseudoklant ingezet, die een gedetailleerde verklaring heeft afgelegd en op grond waarvan een rapport is opgemaakt. Dit rapport is door Sûreté aan de ex-echtgenoot verstrekt en ingebracht in de alimentatieprocedure. Sûreté heeft onrechtmatig gehandeld door te handelen in strijd met de gedragscode. Sûreté heeft tevens gehandeld in strijd met artikel 11 en artikel 34 van de WBP, respectievelijk door meer gegevens te verwerken dan noodzakelijk en door eiseres niet te informeren dat haar persoonsgegevens werden verwerkt.

De beoordeling
4.4. Bij de beoordeling van de vraag of Sûreté door de dienst daadwerkelijk af te nemen disproportioneel heeft gehandeld en daarmee heeft gehandeld in strijd met de vierde norm van art. 7.4 van de gedragscode is van belang dat in het kader van een alimentatieprocedure slechts van belang is of de wederpartij over inkomen beschikt of dit kan verwerven en niet op welke wijze hij dit inkomen verwerft. Daarvoor is minder informatie vereist dan wanneer bijvoorbeeld moet worden aangetoond dat iemand zware lichamelijke arbeid kan verrichten terwijl hij stelt daartoe niet in staat te zijn. Sûreté heeft niet weersproken dat [eiseres] vooraf aan het verlenen van de dienst is betaald door [pseudoklant] en dat dit de gebruikelijke werkwijze is in de escortbranche. Het verschijnen op de afspraak en het aannemen van een betaling is afdoende bewijs van het feit dat [eiseres] inkomen uit werkzaamheden heeft. De rechtbank is dan ook van oordeel dat Sûreté om aan te tonen dat [eiseres] inkomen verwierf, had kunnen en moeten volstaan met het maken van een afspraak via de website en het doen van de betaling nadat [eiseres] op die afspraak was verschenen. Door dit niet te doen en de dienst daadwerkelijk af te nemen en daarvan gedetailleerd verslag te doen, heeft Sûreté gegevens vastgelegd die voor de opdracht niet noodzakelijk waren, waarmee Sûreté onzorgvuldig jegens [eiseres] heeft gehandeld.

4.5. Tevens heeft Sûreté in strijd met art. 8.1. van de gedragscode [eiseres] niet geïnformeerd dat zij onderwerp van onderzoek was en dat persoonsgegevens van haar werden verwerkt. Het verweer van Sûreté dat [eiseres] dan mogelijk haar werkzaamheden zou hebben gestaakt, zodat zij alsnog in de alimentatieprocedure had kunnen betogen dat zij niet in haar eigen onderhoud kon voorzien, gaat niet op. Indien [eiseres] uit eigen beweging haar werkzaamheden zou staken, zou dit immers niet kunnen leiden tot het oordeel dat zij niet in haar levensonderhoud kan voorzien. Ook het verweer dat [pseudoklant] geen werknemer van Sûreté is en daarom niet is gebonden aan de gedragscode, gaat niet op. Sûreté heeft [pseudoklant] ingeschakeld en is en blijft verantwoordelijk voor de wijze waarop het onderzoek wordt uitgevoerd en daarover wordt gerapporteerd.

4.6. Daarmee staat vast dat Sûreté onrechtmatig jegens [eiseres] heeft gehandeld door te handelen in strijd met de gedragscode. Sûreté heeft tevens gehandeld in strijd met artikel 11 en artikel 34 van de WBP, respectievelijk door meer gegevens te verwerken dan noodzakelijk en door [eiseres] niet te informeren dat haar persoonsgegevens werden verwerkt. Sûreté is daarom op grond van artikel 49 lid 2 WBP gehouden [eiseres] een naar billijkheid te bepalen schadevergoeding te betalen.

Ktr. Rechtbank Amsterdam 6 februari 2014, IT 1521 (eiser tegen Adata Technology)
Privégegevens. Ontslag. Eiser is in dienst bij Adata. Een collega van eiser had melding gemaakt van door hem en eiser gevoerde communicatie via whatsapp. Dit gaf voor Adata voldoende aanleiding om nader onderzoek te doen naar de inhoud van de laptop die afkomstig was van eiser. De kantonrechter is van oordeel dat dit onderzoek proportioneel plaatsvond en de in die laptop gevonden berichten vormen daarom rechtmatig verkregen bewijs. Eiser heeft onvoldoende aannemelijk gemaakt dat de door Adata overgelegde berichten niet van hem afkomstig zijn. Die berichten (grovelijk uitschelden leidinggevende) vormen naar in kort geding moet worden aangenomen een dringende reden.

Beoordeling
16. De kantonrechter is van oordeel dat Adata, gelet op de verklaring van [collega] en de naar zeggen van Adata door [collega] overgelegde whatsapp-berichten, voldoende aanleiding had om nader onderzoek te doen naar de inhoud van de laptop die afkomstig was van [eiser]. Adata heeft uitsluitend een beroep op gedaan op berichten gestuurd aan of van werknemers of ex-werknemers van Adata, en die een verband hielden met het werk. Tevens is gekeken naar werkzaamheden die [eiser] tijdens het dienstverband van en met bedrijfsmiddelen van Adata heeft verricht ten eigen bate, dat wil zeggen zijn eigen bedrijf. Gelet op de inhoud van de, naar zeggen van Adata, van [collega] verkregen informatie, kan niet worden gezegd dat Adata bij deze informatie geen belang had. Ook is niet gebleken dat de verificatie van de door [collega] verstrekte informatie op een andere, voor [eiser] minder belastende, wijze had kunnen plaatsvinden. Naar het oordeel van de kantonrechter is voldoende aannemelijk dat het door Adata ingebrachte materiaal rechtmatig is verkregen, althans dat Adata van dit materiaal in de onderhavige procedures gebruik kan maken.

19.
[eiser] was op of kort na 5 december 2013 van de inhoud van het verzoekschrift en de daarbij gevoegde producties op de hoogte. Ter weerlegging daarvan heeft hij, behalve een ontkenning dat de door Adata genoemde berichten klopten, slechts een uitdraai van de whatsappconversatie met [collega] ingebracht. Die uitdraai wijkt, zoals genoemd, af van de versie van Adata. Ter zitting heeft de kantonrechter aan [eiser] gevraagd wanneer hij de betreffende uitdraai had gemaakt. Volgens [eiser] was dit ongeveer een maand geleden gebeurd, dus na het ontslag. Op verzoek van de kantonrechter heeft [eiser] getracht op zijn ter plekke aanwezige smartphone de whatsappberichten te laten zien. [eiser] heeft dit geprobeerd. Zichtbaar was dat hij een bericht van 2 september 2013 kon terugvinden. [eiser] heeft verklaard dat het hem niet lukte het hierboven genoemde bericht van 28 augustus 2013 terug te vinden.

20.
Naar het oordeel van de kantonrechter heeft [eiser] niet op overtuigende wijze verklaard dat het voor hem niet mogelijk was een uitdraai te geven van de whatsappberichten, de skype-conversatie en de sms-berichten, zoals die naar zeggen van [eiser] zouden hebben plaatsgevonden. Daarmee heeft [eiser], naar het oordeel van de kantonrechter, in het kader van deze procedure onvoldoende gemotiveerd bestreden dat de inhoud van de door Adata overgelegde berichten onjuist was.

21.
De kantonrechter is ook op een ander punt niet overtuigd geraakt van de juistheid van het door [eiser] ingenomen standpunt. [eiser] heeft gesteld zich op 6 november 2013 ’s ochtends vroeg te hebben ziek gemeld, daarna toch naar het bedrijf te zijn gegaan, ’s ochtends nog niet het ontslagbericht te hebben ontvangen – maar pas ’s avonds – en s’middags zijn laptop te hebben ingeleverd. De ter zitting aanwezige secretaresse van [eiser], [secretaresse], heeft verklaard die ochtend geen ziekmelding te hebben doorgekregen, en aan [eiser] tussen 10 en 11 uur een print van het ontslagbericht te hebben overhandigd. Daarmee strookt de inhoud van

het e-mailbericht van deze secretaresse aan [naam 3] om 7.42 PM Taiwanese tijd: “This “dismissal notice” was printed out and passed to [eiser] one hour ago (11.30) already. (…) In order to hand over, he left office to bring company’s property back (key…etc.), he will be back about 13.30 (NL time). [eiser] behaved “peaceful” so far, I think I’m safe.” Indien [eiser] geen kennis zou hebben gehad van de inhoud van de ontslagmail, valt niet goed in te zien op grond waarvan [eiser] die middag zijn bezittingen van Adata heeft ingeleverd.

22.
Of alle aan het ontslag op staande voet ten grondslag gelegde gronden komen vast te staan, dan wel of de gronden die komen vast te staan, op zich zelf een geldig ontslag op staande voet kunnen dragen, zal in een bodemprocedure moeten worden vastgesteld. Tot op heden heeft [eiser] een aantal van de aan hem gemaakte andere verwijten onvoldoende gemotiveerd weersproken. Dat geldt, gelet onder andere op de berichten met [collega] en [naam 10], ook voor het verwijt dat hij zijn eigen belang voor liet gaan boven dat van Adata. De kantonrechter acht daarom onvoldoende gronden aanwezig om te kunnen oordelen dat het aannemelijk is dat het ontslag op staande voet in een bodemprocedure zal worden vernietigd. De vorderingen in kort geding zullen daarom worden afgewezen.

Hof Amsterdam 20 mei 2014, IT 1516 (appellant tegen Medirisk)
Wet bescherming persoonsgegevens. Inzage medisch rapport. Medirisk beschikt over stukken waarvan appellant de inzage wenst. Medirisk beroept zich op de uitzondering van artikel 2 sub a van de Wbp dan wel artikel 43 sub e van de Wbp en is van mening dat het hier gegevens betreft die zij niet aan appellant hoeft te verstrekken. In het tussenarrest van het hof is bepaald dat Medirisk de stukken aan appellant zal verstrekken waarvan zij zelf in haar overzicht van 13 juni 2013 heeft aangegeven dat zij bereid is ze aan appellant te verstrekken. Bij uitspraak van 20 mei 2014 vernietigt het hof de beschikking van de rechtbank Utrecht en wijst het meer of anders door appellant verzochte af.

Uit het tussenarrest:

2.6 Met betrekking tot het memo van 28 december 2006 heeft Medirisk aangevoerd dat het eigen gedachten van de behandelaar over de haalbaarheid bevat. Medirisk heeft dit niet nader toegelicht. Medirisk, die zich (naar uit de brief van 13 juni 2013 valt af te leiden: enkel) beroept op artikel 43 sub e van de Wbp heeft niet gezegd waarom en in hoeverre het memo aan de medisch adviseur met een verzoek om overleg naar aanleiding van het rapport van [R] onder artikel 43 sub e van de Wbp valt.
Ten aanzien van het memo van 18 augustus 2011 heeft Medirisk aangevoerd dat het intern reserveringsbeleid betreft. Ook wat dit memo betreft heeft zij nagelaten te concretiseren waarom dat onder artikel 43 sub 3 van de Wbp zou vallen.

2.7 Met betrekking tot de overige stukken heeft Medirisk enkel gesteld dat zij deze gegevens niet behoeft te verstrekken, omdat de arts/het ziekenhuis en de verzekeraar het recht moeten hebben in beslotenheid te overleggen over de verdediging. Zij heeft die stelling niet (per stuk) nader geconcretiseerd. Medirisk doet ook daarmee een beroep op het bepaalde in artikel 43 sub e van de Wbp. In deze uitzonderingsbepaling ligt besloten dat Medirisk geen gegevens behoeft te verstrekken, indien dit noodzakelijk is in het belang van de bescherming van haarzelf of van de rechten en vrijheden van anderen. Medirisk heeft echter ongemotiveerd gesteld waarom de uitzondering van artikel 43 sub e van de Wbp op deze stukken van toepassing is. Een nadere motivering had wel op haar weg gelegen, nu de in dit artikel vervatte noodzakelijkheidseis en proportionaliteitseis, meebrengen dat Medirisk zich nietzonder meer op deze uitzonderingsgrond kan beroepen en in het kader van artikel 43 sub e van de Wbp een belangafweging dient plaats te vinden. Een oordeel over de mate waarin aan het noodzakelijkheidscriterium is voldaan, vergt een inhoudelijke toetsing, waarbij er telkens sprake dient te zijn van een concrete en op de specifieke omstandigheden van het geval gebaseerde belangenafweging.
Naar het oordeel van het hof is, mede bij gebreke van een deugdelijke onderbouwing, ten aanzien van voormelde stukken onvoldoende onderbouwd dat deze stukken onder de uitzondering van artikel 43 sub e van de Wbp vallen. Dit klemt temeer nu het grotendeels gegevens betreft die afkomstig zijn van, dan wel gericht zijn aan, het ziekenhuis, waar [appellant] onder behandeling is geweest. Het belang van [appellant] bij verstrekking van deze informatie, die hij niet op andere wijze kan verkrijgen, is groot, omdat [appellant] uitsluitend op deze wijze inzicht kan verkrijgen in de medische gegevens die ten aanzien van hem bij Medirisk zijn verwerkt.
2.8 De overige stukken, waarvan Medirisk verstrekking aan [appellant] weigert, betreffen correspondentie met de advocaten van Medirisk, dan wel verzending van kopieën van deze correspondentie aan het OLVG.
Naar het oordeel van het hof doet Medirisk ten aanzien van deze stukken met succes een beroep op de uitzonderingsbepaling van artikel 43 sub e Wbp. Nu het hier correspondentie betreft van en aan de advocaten, dan wel het zenden van kopieën daarvan aan het OLVG, geldt daarvoor dat zodanig voor de hand ligt dat weigering van het overleggen van deze stukken noodzakelijk is teneinde de vrijheid van ongestoorde gedachtewisseling van Medirisk met haar advocaten te kunnen waarborgen, dat het op de weg van [appellant] had gelegen op dit punt gemotiveerd te betwisten waarom die stukken niet onder de uitzonderingsbepaling vallen. Nu [appellant] dat heeft nagelaten gaat het hof uit van een terecht beroep op artikel 43 sub e van de Wbp, zodat Medirisk die stukken niet (in kopie) aan [appellant] behoeft te verstrekken.

2.10 Indien en voor zover Medirisk betoogt dat overlegging van de correspondentie die Medirisk met het OLVG heeft gevoerd meebrengt dat haar recht op verdediging, dat voortvloeit uit artikel 6 EVRM, op onevenredige wijze zou worden geschaad en dat er geen sprake is van strijd met de beginselen van fair trial en equality of arms, faalt dit betoog. Het onderhavige geschil betreft immers een verzoek tot verstrekking van persoonsgegevens en in dat kader speelt de vraag of de in artikel 6 EVRM genoemde beginselen meebrengen dat Medirisk zich in een aansprakelijkheidsprocedure behoorlijk kan verweren, een ondergeschikte rol. De wetgever heeft in artikel 43 sub e Wbp een eigen beoordelingskader geschapen, waarbinnen deze afweging kan plaatsvinden.
Het enkele feit dat toewijzing van het verzoek van [appellant] ten aanzien van de onder 2.5 vermelde gegevens er toe zou kunnen leiden dat [appellant] zijn rechtspositie jegens Medirisk kan verbeteren en aldus misbruik zou maken van recht, vormt onvoldoende reden om te oordelen dat afwijzing van het verzoek tot het overleggen van deze gegevens noodzakelijk is in het belang van de bescherming van Medirisk of van de rechten en vrijheden van anderen, zoals vereist in artikel 43 sub e Wbp.
Medirisk heeft daarnaast aangevoerd dat [appellant] andere wegen ter beschikking staan om aan de gewenste gegevens te komen. Gelet op het in artikel 43 sub e Wbp vermelde noodzakelijkheidscriterium en de in dat kader te verrichten belangenafweging kan weliswaar een rol spelen dat [appellant] ook andere (rechts)middelen ter beschikking staan om haar procespositie in te schatten en zo mogelijk te verbeteren; dat [appellant] op die wijze ook daadwerkelijk over de thans aan de orde zijnde gegevens kan beschikken, heeft Medirisk echter niet geconcretiseerd. Het door Medirisk genoemde voorlopige deskundigenbericht en een voorlopig getuigenverhoor hebben immers een ander doel en leiden niet tot inzicht in en verstrekking van de hier aan de orde zijnde gegevens.
Medirisk heeft verder weliswaar gesteld, maar niet nader onderbouwd, dat er sprake is van disproportionaliteit tussen het belang van [appellant] en de benodigde werkzaamheden om aan het verzoek te voldoen. Zoals overwogen in de tussenbeschikking, vormt de enkele administratieve belasting in dit kader onvoldoende aanleiding om het verzoek af te wijzen.
Voor het overige geldt hetgeen het hof onder 4.5 in zijn tussenbeschikking heeft overwogen ten aanzien van het rapport van dr. [X] evenzeer, ten aanzien van deze stukken.

Eindarrest:

2.6  Medirisk heeft het hof nog verzocht om terug te komen op het oordeel dat zij onvoldoende heeft onderbouwd waarom bepaalde stukken niet aan [appellant] zouden moeten worden verstrekt. Medirisk heeft in haar akte echter evenmin een nadere onderbouwing gegeven voor haar betoog dat de uitzondering van artikel 2 en/of artikel 43 Wbp van toepassing zou zijn op de stukken die zij niet aan [appellant] wenste te verstrekken. Reeds om die reden komt het hof niet op zijn beslissing in de beschikking van 4 maart 2014 en de daaraan ten grondslag gelegde overwegingen terug.
Ook voor het overige ziet het hof geen aanleiding om op deze beslissing terug te komen, nu het Medirisk genoegzaam duidelijk kon zijn dat het op haar weg lag om deugdelijk te onderbouwen waarom zij de verzochte stukken niet aan [appellant] wenste te verstrekken en meer in het bijzonder waarom op die stukken de uitzonderingsbepaling van artikel 43 sub 3 van de Wbp van toepassing zou zijn.

Hof Arnhem-Leeuwarden 20 mei 2014, IT 1520 (BAS Personeelszaken B.V. tegen geïntimeerde)
Geheimhouding. [geïntimeerde] is krachtens een arbeidsovereenkomst voor bepaalde tijd werkzaam geweest voor BAS en was/is verplicht tot geheimhouding. Voorts is [geïntimeerde] in dienst getreden bij de stichting Stichting Hou Vast Zorg. Volgens BAS heeft [geïntimeerde] vier maal e-mailcorrespondentie van hemzelf doorgestuurd aan de leidinggevende bij Hou Vast Zorg, hetgeen in strijd is met de geheimhoudingsplicht. Het feit dat de e-mailberichten niet tijdens, maar aan het eind van en/of na het dienstverband bij een standaardcontrole van de ingeleverde laptop zijn gevonden, brengt niet mee dat de beperkingen van het recht op privacy niet gelden. Er is immers nog steeds sprake van het controleren en het inzien van e-mailberichten van een derde. Er is geen sprake van een gerechtvaardigd doel en aan de proportionaliteitseis is niet voldaan. Controle van de berichten door de werkgever is niet toelaatbaar.

5.3. Tussen de partijen is niet in geschil dat e-mailberichten vallen onder de bescherming van artikel 8 van het Europees Verdrag voor de Rechten van de Mens, dat het recht op privacy beschermt, ook wanneer de berichten zijn verstuurd vanaf de werkplek van de werkgever. De werkgever kan de e-mailberichten van zijn werknemer slechts controleren indien voor de werknemer kenbaar is of kan zijn dat zijn e-mailberichten kunnen worden gecontroleerd door de werkgever (bijvoorbeeld via een personeelsreglement of op grond van de arbeidsovereenkomst), er sprake is van een gerechtvaardigd doel en er voldaan is aan de proportionaliteitseis.

5.4. Evenmin is in geschil dat ook wanneer voor de werknemer niet kenbaar is of kan zijn dat zijn e-mailberichten kunnen worden gecontroleerd, controle van die berichten door de werkgever toelaatbaar kan worden geacht. Dan moet echter wel sprake zijn van zodanige omstandigheden, dat aan geen twijfel onderhevig is dat een gerechtvaardigd doel wordt gediend en dat is voldaan aan de proportionaliteitseis.

5.5. Grief I faalt. Zoals BAS in de toelichting op die grief heeft betoogd, zijn de in rechtsoverweging 5.2 genoemde e-mailberichten weliswaar niet tijdens het dienstverband van [geïntimeerde] - maar aan het eind van of na diens dienstverband door de systeembeheerder van BAS bij een standaardcontrole van de door [geïntimeerde] ingeleverde laptop - gevonden, maar dit brengt niet mee dat de hiervoor in de rechtsoverwegingen 5.3 en 5.4 vermelde beperkingen niet golden. Ook onder de door BAS geschetste omstandigheden is immers nog steeds sprake van het controleren en het inzien van e-mailberichten van een derde.

Anders dan BAS is het hof van oordeel dat [geïntimeerde] door het afgeven van de laptop aan het eind van zijn dienstverband niet aan BAS en haar IT technici de vrijheid heeft gegeven om te beschikken over de eventueel nog op de laptop aanwezige bestanden. [geïntimeerde] heeft immers zelf ter comparitie in eerste aanleg verklaard dat hij de laptop gereinigd heeft ingeleverd. Kennelijk was hij zelf in de veronderstelling dat zich geen bestanden meer op de laptop bevonden, zodat hij er ook geen rekening mee behoefde te houden dat zijn e-mailberichten zouden worden gecontroleerd, laat staan dat hij daarmee heeft ingestemd.

5.6. Grief 2 faalt ook. BAS heeft weliswaar in de toelichting op die grief betoogd dat zij al in januari 2011 het vermoeden had dat [geïntimeerde] onder haar duiven wilde schieten, maar dit betoog verdraagt zich zonder nadere toelichting, die ontbreekt, niet met de toelichting op grief I, waarin BAS heeft aangevoerd dat de gewraakte e-mailberichten aan het eind van het dienstverband van [geïntimeerde] bij een standaardcontrole door haar systeembeheerder zijn gevonden.

Friederike van der Jagt, ‘Moeten bepaalde (persoons)gegevens door Google verwijderd worden van Google Maps en/of Google Street View?’, IT 1518.
Bijdrage ingezonden door Friederike van der Jagt, Stibbe. De vraag die in deze zaak centraal staat is of bepaalde (persoons)gegevens door Google verwijderd moeten worden van Google Maps en/of Google Street View. De eisers in deze zaak zijn de bewoners van een pand waarin een stichting is gevestigd. De namen van de bewoners zijn verwerkt in de naam van de stichting. Indien via de algemene zoekfunctie van Google op naam en woonplaats van eisers wordt gezocht, komt uit de zoekresultaten de naam van de stichting naar voren. Via Google Maps en Google Street View zijn vervolgens het adres van de stichting, een satellietfoto van het pand en een gedeeltelijk geblurde foto van het pand te zien.

Lees verder

Brief aan de Voorzitter van de Tweede Kamer der Staten-Generaal, Kamerstukken II 2013-2014, 26 643, nr. 313.
Mede namens de Minister van Veiligheid en Justitie bied ik u hierbij het rapport «Meting dataretentie 2013» aan (ter inzage gelegd bij het Centraal Informatiepunt Tweede Kamer). Het rapport van Agentschap Telecom, de toezichthouder voor dataretentie, over de naleving van de Wet bewaarplicht telecommunicatiegegevens is u toegezegd tijdens het vragenuur op 15 oktober 2013.

Door het uitvoeren van de «Meting dataretentie 2013» is inzicht ontstaan in de mate van naleving. De meting is uitgevoerd bij 525 kleine en middelgrote aanbieders. De zes grotere aanbieders3 zijn niet bij de meting betrokken. Agentschap Telecom controleert deze aanbieders periodiek en op individuele basis. Uit deze controles blijkt dat zij voldoen aan de wettelijke voorschriften op het gebied van bewaren van gegevens en privacy van hun klanten.

Het inspectieonderzoek van Agentschap Telecommunicatie onder de kleinere aanbieders heeft betrekking op bijna 10% van het totaal aan telefoon- en internetklanten. Het aantal bevragingen van opsporingsdiensten bij deze kleinere partijen is relatief beperkt en omvat ca 2% van het totaal aantal bevragingen4.

De «Meting dataretentie 2013» richt zich op twee aspecten uit de Telecommunicatiewet. Naast het bewaren van de Naam, Adres en Woonplaats (NAW) gegevens en verkeers- en locatiegegevens in het kader van de bewaarplicht, is ook de naleving van de bepalingen voor het gebruik van NAW- en verkeers- en locatiegegevens voor bedrijfsdoeleinden onderzocht.

Eerder, in antwoord op vragen van uw Kamer op 15 oktober 2013 over de eerste meting uit 2012, heb ik aangegeven dat nieuwe wetgeving een periode van gewenning kent voor de aanbieders. Deze periode is in beginsel verstreken na de tweede meting. De uitkomst van deze meting is voor de toezichthouder aanleiding om de aanbieders gericht te bezoeken en waar nodig te sanctioneren.

Het beperkte marktaandeel van de 525 aanbieders uit dit onderzoek laat onverlet dat ook deze groep van kleinere telecomaanbieders zorgvuldig dient om te gaan met de NAW- en verkeers- en locatiegegevens. Handhaving en toezicht is, zoals toegelicht in het onderhavige rapport, risicogericht opgezet. Agentschap Telecom zal op basis hiervan de komende toezichtperiode prioriteit leggen bij:

1) De vernietiging van de NAW- en verkeers- en locatiegegevens
De meting laat zien dat een aantal aanbieders, namelijk 73 van de 525 bedrijven, niet of niet volledig voldoet aan het tijdig vernietigen van deze gegevens. Het is overigens niet gezegd dat alle 73 bedrijven in overtreding zijn. Sommige bedrijven hebben opgemerkt gegevens langer te moeten bewaren voor bedrijfsdoeleinden, zoals bijvoorbeeld in het geval er met een klant discussie is over de factuur en mate van gebruik van telecomdiensten.

2) Naleving van de privacyvereisten
De meting laat zien dat een kwart van de onderzochte 525 aanbieders verkeersgegevens voor bedrijfsdoeleinden gebruikt. Om de verkeersgegevens voor bedrijfsdoeleinden te mogen gebruiken dienen de aanbieders te voldoen aan de wettelijke privacyvereisten uit de Telecommunicatiewet. 48 Bedrijven voldoen hier niet of niet volledig aan. Ten opzichte van de eerdere meting is de naleving daarmee ongeveer op hetzelfde niveau gebleven.

Het agentschap zal de komende toezichtperiode inzetten op een verbetering in de naleving van deze verplichtingen en is daarbij bevoegd boetes op te leggen oplopend tot € 450.000,– per overtreding.

Uitspraak Europese Hof van Justitie
De aanbieding van het rapport van Agentschap Telecom komt kort na de uitspraak van het Europese Hof van Justitie van 8 april 2014, waarbij de richtlijn5 dataretentie ongeldig werd verklaard. Het Hof is van oordeel dat de richtlijn een onevenredige inmenging op de eerbiediging van het privéleven en bescherming van persoonsgegevens vormt.

De Staatssecretaris van Veiligheid en Justitie heeft aangegeven dat de nationale regelgeving van kracht blijft en heeft toegezegd de Tweede Kamer nader te berichten over de consequenties van de uitspraak van het Hof voor de nationale regelgeving. De berichtgeving over de uitspraak van het Hof wordt in samenhang gezien met de brief van de Minister van Veiligheid en Justitie van 12 februari 20146 over de evaluatie van de Wet bewaarplicht telecommunicatiegegevens. De uitkomsten van het rapport «Meting dataretentie 2013» en de ervaringen van de toezichthouder in dit traject zullen betrokken worden bij de beleidsreactie op de evaluatie van de Wet bewaarplicht.

Handhaving van bestaande wettelijke normen blijft onverminderd van belang en dan met name het toezicht op niet te lang en niet te veel bewaren van gegevens van klanten/gebruikers. Het betreft hier immers persoonsgegevens. De uitvoering van de «Meting dataretentie 2013» is voor Agentschap Telecom een belangrijk ijkpunt in het streven naar een hogere naleving door aanbieders. De beide prioriteiten bij handhaving sluiten aan op de uitspraak van het Hof en de aandacht daarbij voor privacyaspecten.

De Minister van Economische Zaken,

H.G.J. Kamp

CBP 27 maart 2014, Z2012-00811 (YD Advertising)
Uit het persbericht: Het CBP heeft geconcludeerd dat het online advertentiebemiddelingsbedrijf YD Display Advertising Benelux B.V (hierna: YD) de wet overtreedt door zonder toestemming persoonsgegevens van internetgebruikers te verzamelen om hun vervolgens gepersonaliseerde advertenties te tonen. YD verzamelt met zogeheten tracking cookies onder meer informatie over producten of diensten die internetgebruikers hebben bekeken op websites van zijn adverteerders. Vervolgens laat het bedrijf in de dagen daarna, op basis van kennelijke interesses en voorkeuren, op verschillende andere sites advertenties van die adverteerders zien (retargeting).

Het bedrijf YD bemiddelt tussen adverteerders en websites bij het plaatsen van online advertenties. YD plaatst en leest eigen tracking cookies. Bovendien stelt YD advertentienetwerken in staat om tracking cookies te plaatsen in de browsers van internetgebruikers en daarmee hun surfgedrag te volgen.

Door de werkwijze van YD worden mensen achtervolgd door advertenties op het web zonder dat is gevraagd of ze dat wel willen. Internetgebruikers hebben het recht om te weten wie welke persoonsgegevens van hen verzamelt en met welk doel dat gebeurt. De wet staat het volgen van surfgedrag via cookies alleen toe als internetgebruikers hiervoor hun ondubbelzinnige toestemming hebben gegeven.

Het CBP zal YD uitnodigen voor een hoorzitting. Hierna zal de toezichthouder controleren in hoeverre de overtredingen voortduren en beslissen over eventuele inzet van handhavende maatregelen.

Op andere blogs:
ICTRecht Adnetwork YD door Cbp gewaarschuwd vanwege gebruik trackingcookies
PIT Legal Gebruik trackingcookies door reclamebemiddelaar YD onrechtmatig

Vzr. Rechtbank Noord-Nederland 2 mei 2014, ECLI:NL:RBNNE:2014:2192 (Verwijdering beveiligingscamera's)
Vordering tot verwijdering van beveiligingscamera's afgewezen. Eiser is de eigenaar van een perceel grond met daarop een woning en een bedrijfshal. Gedaagde is de eigenaar van het daarnaast gelegen perceel met daarop eveneens een woning en een bedrijfshal. Beide percelen zijn gelegen op een bedrijventerrein. Uit de technische beschrijving van de camera's kan worden afgeleid dat deze een zodanig bereik hebben dat er opnamen van zijn woning en tuin kunnen worden gemaakt, maar het gevoel van privacyinbreuk wordt niet nader onderbouwd. Gezien het verweer over het gebruik van de beelden (opslag en slechts bekijken wanneer er inbraak is), wordt er niet onrechtmatig gehandeld.

4.3. Bij de beoordeling van de vorderingen van [eiser] wordt voorop gesteld dat [gedaagde] als eigenaar van zijn perceel het meest omvattende recht heeft dat een persoon op een zaak kan hebben en dat het hem om die reden in beginsel is toegestaan om beveiligingscamera’s te plaatsen. De uitoefening van het eigendomsrecht van Van der Gieszen is echter niet onbegrensd: de aanwezigheid van de camera's kan ontoelaatbaar zijn als sprake is van een onrechtmatige inbreuk op de privacy van [eiser]. Het is aan [eiser] als eisende partij om aannemelijk te maken dat die situatie zich hier voordoet.

4.4. [eiser] stelt dat hij in zijn privacy wordt aangetast door de aanwezigheid van de camera's en dat uit de technische beschrijving van de camera's kan worden afgeleid dat deze een zodanig bereik hebben dat er opnamen van zijn woning en tuin kunnen worden gemaakt. Wat [eiser] hiermee stelt, komt in feite daarop neer dat hij het gevoel heeft dat er inbreuk op zijn privacy wordt gemaakt, zonder dat hij deze inbreuk nader kan onderbouwen. In het licht van het verweer van [gedaagde] over onder meer het gebruik van de beelden*, stelt [eiser] daarmee naar het oordeel van de voorzieningenrechter onvoldoende om aan te nemen dat van [gedaagde] onrechtmatig jegens hem handelt.

* 3.2. (...) [gedaagde] voert ook aan dat hij de camerabeelden niet bekijkt, maar dat deze worden opgeslagen op de computer, enkel om te kunnen worden bekeken in het geval van bijvoorbeeld een inbraak. Van het op onrechtmatige wijze aantasten van de privacy van [eiser] is dan ook geen sprake aldus [gedaagde].

Op andere blogs:
IusMentis Hoe ver mag een beveiligingscamera reiken?