Privacy

IT 522

Verplichte lakmoesproef

Commentaar in't kort door Silvia van Schaik en Wouter Seinen, C'M'S' Derks Star Busmann.
In navolging van Hoge Raad 9 september 2011, IT 492

De belangenafweging als verplichte lakmoesproef voor de wettelijke rechtvaardigingsgronden voor verwerking van persoonsgegevens

Onlangs heeft de Hoge Raad een principiële uitspraak gedaan over de toetsing van de rechtvaardigingsgronden die in de Wet bescherming persoonsgegevens (Wbp) zijn opgenomen. Het ging om de vraag bij welke van de wettelijke verwerkingsgronden ruimte bestaat voor een belangenafweging. In cassatie werd namelijk aangevoerd dat een dergelijke belangenafweging wel hoort plaats te vinden bij een beroep op artikel 8 sub f Wbp (noodzakelijk voor de behartiging van gerechtvaardigde belangen), maar niet bij een beroep op bijvoorbeeld art. 8 b (noodzakelijk voor uitvoering overeenkomst).
 
Hoe luidt de casus?
Een natuurlijk persoon (Kredietnemer) had al 9 jaren een doorlopend krediet bij Santander. In juni 2007 heeft Kredietnemer een betalingsachterstand van € 20,- opgelopen, waardoor uiteindelijk zijn volledige restschuld - van € 315,18 – opeisbaar werd. Zowel de betalingsachterstand als het opeisbaar worden van de restschuld werden vervolgens door Santander gemeld bij het Bureau Kredietregistratie (BKR) conform het BKR-reglement. In oktober 2007 betaalt Kredietnemer de volledige vordering aan Santander.

Ongeveer een jaar later verneemt Kredietnemer van de BKR-registraties en verzoekt hij Santander om ongedaanmaking. Santander geeft aan dit verzoek geen gevolg.

Verwijdering BKR-registraties op grond van de Wbp
Kredietnemer wendt zich daarop tot de rechtbank met een beroep op de Wbp. De rechtbank en daarna het hof oordelen dat Santander de BKR-registraties moet (laten) verwijderen. Santander stelt cassatie in.

De Wbp bepaalt onder welke voorwaarden persoonsgegevens mogen worden verwerkt. Eén van die voorwaarden is dat een verwerking van persoonsgegevens alleen toegestaan is als deze terug te voeren is op één van de in art. 8 Wbp (limitatief) genoemde grondslagen. Art. 8 Wbp luidt:

Persoonsgegevens mogen slechts worden verwerkt indien:
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

De hoofdvraag in deze procedure, is of bij een verwerking van persoonsgegevens altijd een belangenafweging tussen het belang van registratie en het belang van de betreffende persoon moet worden gemaakt of alleen in geval van een registratie op grond van art. 8 sub f Wbp.

Belangenafweging
Kredietnemer heeft kennelijk betoogd dat bij de BKR-registraties onvoldoende rekening met zijn belangen was gehouden. Volgens Santander was een belangenafweging alleen vereist wanneer art. 8 sub f van toepassing is en niet wanneer de verwerking is gebaseerd op een andere grondslag uit art. 8 Wbp. Zij betoogde dat haar verwerking was gebaseerd op art. 8 sub a, b en/of c Wbp en dat zij daarom geen belangenafweging hoefde te maken.

De Hoge Raad is het daar niet mee eens: de “verantwoordelijke” moet altijd een belangenafweging maken.

Bij elke gegevensverwerking moet worden voldaan aan de beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het doel van de verwerking. Ook is vereist dat het doel niet op een andere, voor de betrokkene minder nadelige, wijze kan worden bereikt. De aanwezigheid van een wettelijke rechtvaardigheidsgrond uit art. 8 Wbp maakt een afweging van deze belangen niet overbodig. Bij de afweging moeten alle omstandigheden van het geval in aanmerking worden genomen. Dat Santander wettelijk verplicht is om zich aan te sluiten bij een stelsel van kredietregistratie en dat dat met zich meebrengt dat zij zich moet houden aan het BKR-reglement en daarom verplicht was om de onregelmatigheden te melden, maakt dat niet anders.

De taak om een wettelijke verplichting uit te voeren, rechtvaardigt niet iedere gegevensverwerking (r.o. 3.5.2). Ook de argumenten met betrekking tot het doel van de kredietregistratie helpen Santander niet. Het doel van registratie had tegen de gevolgen ervan voor betrokkene moeten worden afgewogen in het licht van de omstandigheden. Omstandigheden als het langdurig correcte betaalgedrag, de geringe betaalachterstand en het direct voldoen van de gehele openstaande vordering nadat deze bij Kredietnemer bekend was, brengen volgens het hof met zich mee dat de belangenafweging ten gunste van Kredietnemer uitvalt. De Hoge Raad schaart zich acht het oordeel van het hof dat Santander in redelijkheid niet tot registratie over had moeten gaan, althans na het door betrokkene geuite bezwaar de registratie alsnog had moeten verwijderen.

Toestemming
Overigens bevat de uitspraak nog een opmerkelijke overweging over toestemming. Wanneer betrokkene toestemming heeft gegeven voor een verwerking (art. 8 sub a Wbp), mag de verwerking in beginsel plaatsvinden. Echter, ook toestemming ontslaat de verantwoordelijke niet zonder meer van de verplichting tot het maken van een belangenafweging. Wanneer de betrokkene erop wijst dat met zijn belangen onvoldoende rekening is gehouden, moet de verantwoordelijke in ieder geval alsnog een belangenafweging maken, volgens de Hoge Raad (r.o. 3.3. onder (e)).

Onduidelijk is hoe dit laatste zich nu precies verhoudt tot intrekking van toestemming. Toestemming kan namelijk op grond van art. 5 lid 2 Wbp worden ingetrokken. Over het algemeen wordt aangenomen dat de verantwoordelijke na het intrekken van een toestemming de gegevensverwerking die op die toestemming gebaseerd is, moet stoppen. Men kan de verwerking niet na intrekking alsnog baseren op een andere verwerkingsgrond. Dat zou in strijd zijn met het beginsel van “fair processing” dat is verankerd in art. 6 Wbp (MvT, Kamerstukken II 1997/98, 25892, nr. 3, p.80-81).

Volgens de A-G hebben het hof en de rechtbank “klaarblijkelijk en terecht” uit de opstelling van Kredietnemer de intrekking van een (eventueel) gegeven toestemming afgeleid (r.o. 4.4). De Hoge Raad benadrukt alleen dat bij een verwerking op basis van toestemming een belangenafweging in ieder geval dient plaats te vinden wanneer de betrokkene erop wijst dat met zijn belangen onvoldoende rekening is gehouden (r.o. 3.3 onder (e)). Is dat daadwerkelijk iets anders dan het intrekken van een toestemming? De Hoge Raad heeft hiermee o.i. de deur opengezet voor een belangenafweging na intrekking van een toestemming. Tot nu toe werd aangenomen dat een toestemming altijd kan worden ingetrokken en dat de verantwoordelijke daarna de verwerking onmiddellijk moet stoppen. Uit de uitspraak leiden wij af dat de verantwoordelijke na een intrekking alsnog een belangenafweging moet maken en de verwerking dus niet altijd hoeft te stoppen. Kennelijk kan, in geval van intrekking van toestemming, een belangenafweging er (onder omstandigheden) toe leiden dat een verdere verwerking toch rechtmatig blijft.

IT 520

NVVIR FLITS 13 oktober 2011: Datalekken

De laatste tijd lijkt het aan de orde van de dag: datalekken. Webwereld organiseert zelfs Lektober. Soms zijn de datalekken klein, maar soms ook groot. DigiNotar heeft het niet overleefd (IT 509), en ondertussen hebben we de miljoenennota ook bijna een week voor prinsjesdag al kunnen lezen (hier). Mede vanwege dit soort incidenten staan datalekken hoog op de agenda van toezichthouders en wetgevers. Als gevolg van een gewijzigde Europese richtlijn, zijn telecom providers straks verplicht datalekken direct bij de OPTA te melden. Een geplande wijziging van de Wet bescherming persoonsgegevens zal een bredere meldplicht introduceren, waar bijvoorbeeld ook banken en andere dienstverleners zich aan moeten houden. Ondertussen roert ook het College Bescherming Persoonsgegevens zich: bedrijven van wie de klantgegevens op straat komen te liggen hebben wat uit te leggen.

In deze bijeenkomst gaan wij dieper in op het fenomeen datalekken. Een cybersecurity deskundige van Fox-it zal eerst de technische kant van datalekken toelichten. Een spreker van Bits of Freedom laat vervolgens haar kritische licht schijnen over het fenomeen datalekken. En Huub de Jong van Bird & Bird LLP en Milica Antic van SOLV zullen tenslotte ingaan op juridische aspecten, de rol van toezichthouders en de status van (toekomstige) wetgeving.

Datum: donderdag 13 oktober.
Duur: van 15.30 uur (aanvang) tot ongeveer 18.00, en daarna borrel.
Locatie: Bird & Bird, Van Alkemadelaan 700 (2597 AW) te Den Haag.
Kosten: NVVIR leden EUR 0,= / niet-leden EUR 45,=.
 
Aanmelden via: ella.meijaard@twobirds.com

IT 518

Handhavingsbeleid Cbp

Aanhangsel Handelingen II, 2011-12, nr. 86; 2011Z16964 Antwoord vragen Van Dam en Recourt over inbreuk op de privacy door LinkedIn

2. Hanteert het College bescherming persoonsgegevens (Cbp) specifieke richtlijnen voor de omgang met en het beschermen van persoonsgegevens door sociale netwerksites? Zo ja, wat zijn deze regels? Zo nee, waarom niet? Bent u in dat laatste geval voor of tegenstander van nadere regelgeving?

Desgevraagd heeft het Cbp mij laten weten dat het de volgende richtlijnen hanteert met betrekking tot de omgang en het beschermen van persoonsgegevens door sociale netwerksites:

  • de standaardinstellingen van sociale netwerksites dienen op privacyvriendelijk te staan;
  • voor de beoordeling van de vraag of sprake is van ondubbelzinnige toestemming van de betrokkene, zoals vereist in de Wet bescherming persoonsgegevens (Wbp) dient de toestemming in vrijheid gegeven te zijn en specifiek op een bepaalde gegevensverwerking betrekking te hebben;
  • de betrokkene dient vooraf over de noodzakelijke inlichtingen te beschikken om de toestemming te kunnen geven;
  • het uitblijven van een reactie (opt-out) staat niet gelijk aan het geven van toestemming.
    Voornoemde uitgangspunten zijn tevens terug te vinden in een gemeenschappelijk standpunt over het begrip toestemming van 13 juli 2011 van de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep (zie met name pagina 35).1

3. Deelt u de mening dat, los van deze specifieke casus, het principeel onjuist is indien sociale netwerksites persoonlijke gegevens van hun gebruikers zonder (expliciete) toestemming vooraf voor reclame dan wel andere commerciële doeleinden gebruiken?
Eén van de eisen die de Wbp stelt aan de verwerking van persoonsgegevens is de aanwezigheid van een grondslag voor de gegevensverwerking. De Wbp bevat een aantal rechtsgeldige grondslagen, waaronder ondubbelzinnige toestemming van de betrokkene voor de verwerking. Sociale netwerksites moeten zich bij de verwerking van persoonsgegevens te allen tijde houden aan de eisen van de Wbp.

4. Deelt u tevens de mening dat, indien het sociale netwerksites binnen de huidige richtlijnen van het Cbp is toegestaan accountinstellingen van hun gebruikers ongevraagd te wijzigen teneinde persoonsgegevens te gebruiken voor commerciële doeleinden, dit ongewenst is? Zo ja, bent u bereid het Cbp op te dragen deze te wijzigen. Zo nee,
waarom niet?

Het Cbp vult haar toezicht- en handhavingsbevoegdheden nader in via handhavingsbeleid. Met betrekking tot de omgang met en bescherming van persoonsgegevens door sociale netwerksites hanteert het Cbp richtlijnen zoals in mijn antwoord op vraag 2 weergegeven. Daaruit leid ik af dat het Cbp al diverse kwalitatieve eisen stelt aan de omgang van en de bescherming van persoonsgegevens door sociale netwerksites, in het bijzonder waar het de invulling van het begrip
ondubbelzinnige toestemming betreft.
Overigens heeft het Cbp een wettelijk gegarandeerde onafhankelijke positie. Gelet hierop beschik ik
niet over bevoegdheden om het Cbp voor te schrijven hoe zich te gedragen in individuele
toezichtszaken.

1 Zie http://www.cbpweb.nl/downloads_int/wp187_en.pdf

IT 516

Tool om social media gedragscode op te stellen

Vanaf vandaag kan ieder bedrijf eenvoudig en kostenloos zijn eigen social media gedragscode opstellen met de Social Media Policy Generator op Policygenerator.nl. Na het beantwoorden van een aantal vragen ontvangt een bedrijf een gepersonaliseerde gedragscode voor het gebruik van social media door zijn medewerkers. Hiermee wordt gestimuleerd dat uitingen van medewerkers via social media bijdragen aan de positieve uitstraling van een bedrijf, terwijl tegelijkertijd het risico op imagoschade wordt vermeden. De tool is door MarketingMonday ontwikkeld omdat een dergelijke policy nog niet in alle bedrijven aanwezig is, maar wel noodzakelijk.

BRON: MarketingMonday en PolicyGenerator.nl

IT 504

Standpunt telemarketing OPTA

De interpretatie en toepassing van telemarketingregels, waarvoor de OPTA verantwoordelijkheid draagt, worden door haar uitgelegd vanuit de (handhavings)praktijk. Zie hier, eerdere standpunte werd in 2006 ingenomen, zie hier

 


IT 495

Het is niet aan mij

Antwoord van staatssecretaris Teeven (Veiligheid en Justitie), AH 3519 2011Z16031

1 Kent u het artikel “Hoe LinkedIn leden en reclame linkt”?1 (www.volkskrant.nl, 4 augustus 2011) Herinnert u zich de eerdere Kamervragen over sociale netwerksites die inbreuk maken op de Wet bescherming persoonsgegevens? 2 (Aanhangsel Handelingen, vergaderjaar 2008-2009, nr. 912)

1 Antwoord Ja.

2 Is het waar dat de netwerksite LinkedIn accountinstellingen van gebruikers zo heeft veranderd dat foto's en namen van leden ongevraagd voor reclames kunnen worden gebruikt? Zo ja, acht u dit een inbreuk op de Wet bescherming persoonsgegevens? Wordt hiertegen opgetreden door het College bescherming persoonsgegevens? Wat kunnen gebruikers van LinkedIn hiertegen doen? Zo nee, waarom niet?
3 Deelt u de mening dat het automatisch toestemming geven voor het gebruik van gegevens door gebruikers van LinkedIn of andere sociale netwerken ongewenst is en dat er expliciet om toestemming zou moeten worden gevraagd? Zo ja, hoe gaat u er zorg voor dragen dat deze praktijk wordt aangepast? Zo nee, waarom niet?
4 Heeft LinkedIn naar uw mening genoeg gedaan om gebruikers te informeren over de genoemde verandering? Zo ja, waar blijkt dat uit? Zo nee, waarin is LinkedIn naar uw mening tekortgeschoten?

Antwoorden 2, 3 en 4 Uit voornoemd artikel maak ik op dat LinkedIn recent gebruikersinstellingen zou hebben gewijzigd, waardoor persoonsgegevens van gebruikers voor advertenties gebruikt konden worden. Uit diverse berichtgeving in de media nadien leid ik af dat LinkedIn te kennen gegeven heeft dat de gebruikersinstellingen inmiddels aangepast zijn, zodat geen namen en foto’s van gebruikers meer zichtbaar zijn in advertenties.

De Wet bescherming persoonsgegevens (Wbp) stelt eisen aan de verwerking van persoonsgegevens. Op grond van artikel 8 van de Wbp mogen slechts persoonsgegevens worden verwerkt als er een grond voor gegevensverwerking aanwezig is. Eén van de gronden voor rechtsgeldige gegevensverwerking is ondubbelzinnige toestemming van de betrokkene voor de gegevensverwerking. Ingevolge de artikelen 33 en 34 van de Wbp heeft de verantwoordelijke voor de gegevensverwerking een informatieverplichting richting de betrokkene. De Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, hebben in een gemeenschappelijk standpunt van 13 juli 2011 aanbevelingen opgesteld over het begrip toestemming, waarmee een verantwoordelijke voor de gegevensverwerking rekening kan houden3 (Zie http://www.cbpweb.nl/downloads_int/wp187_en.pdf). 

Het College bescherming persoonsgegevens (Cbp) is belast met het toezicht op de naleving van de Wbp en kan bij een geconstateerde overtreding handhavend optreden. Het is niet aan mij om te oordelen over de vraag of in een individueel geval aan de vereisten van de Wbp wordt voldaan. Betrokkenen die van mening zijn dat er sprake is van een schending van de Wbp kunnen een klacht indienen bij het Cbp.

IT 492

Wettelijke rechtvaardigingsgrond

HR 9 september 2011, LJN BQ8097 (met concl. A-G Verkade, Santander Consumer Finance Benelux B.V. tegen verweerder)

Wet bescherming persoonsgegevens (Wbp). Verzoek tot verwijdering persoonsgegevens; art. 8, 36, 46 Wbp. Aanwezigheid wettelijke rechtvaardigingsgrond maakt belangenafweging aan de hand van vermelde beginselen niet overbodig.

Wbp moet worden uitgelegd in overeenstemming met art. 8 EVRM. Elke gegevensverwerking moet voldoen aan beginselen van proportionaliteit en subsidiariteit. Inbreuk op belangen betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel, en dit doel moet in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kunnen worden verwerkelijkt.

Aanwezigheid wettelijke rechtvaardigingsgrond maakt belangenafweging aan de hand van vermelde beginselen niet overbodig. Bij deze afweging moeten omstandigheden van het geval in aanmerking worden genomen. Van verwerker mag slechts belangenafweging verlangd worden aan de hand van de beschikbare gegevens. Als betrokkene nadere gegevens verschaft, kan dit tot een nieuwe en meer volledige afweging aanleiding geven. Door betrokkene verleende toestemming als bedoeld in art. 8, aanhef en onder a, ontslaat verwerker niet zonder meer van verplichting tot belangenafweging. Als betrokkene erop wijst dat bij bepaalde verwerking van gegevens met zijn belangen onvoldoende rekening is gehouden, zal verwerker afweging alsnog moeten maken op basis van de dan bekende feiten en omstandigheden. Oordeel hof dat verwerker in redelijkheid niet tot registratie had moeten overgaan, of na door betrokkene geuit bezwaar die registratie alsnog had moeten verwijderen, niet onbegrijpelijk.

IT 481

Incidentenregister

Rechtbank Haarlem 31 augustus 2011, LJN BR6518 (A c.s. tegen ING Bank N.V.)

Wet bescherming persoonsgegevens. Na een bezoek aan Parijs geeft A c.s. een diefstal aan, welke onjuist bleek. Verzoek tot verwijdering (art. 46 Wbp) uit het incidentenregister van (reis)verzekeraar afgewezen. Het vermoeden is gerechtvaardigd dat verzoekster een vervalste factuur heeft overgelegd en vervolgens heeft geprobeerd haar verklaringen in overeenstemming te brengen met deze factuur.

3.4.  Vast staat dat [B] bij het invullen van het SAF aanzienlijk meer sieraden als gestolen heeft opgegeven dan waarvan het proces-verbaal van aangifte melding maakt. Op zichzelf levert dit echter geen redelijk vermoeden van benadeling van de verzekeraar op, aangezien het goed voorstelbaar is dat iemand die bestolen is zich pas later bewust wordt van de precieze omvang van de diefstal. Opmerkelijk is echter dat het proces-verbaal van aangifte verkeerde merknamen vermeldt van de foto- en videocamera die zij en haar man pas de dag ervoor hadden aangeschaft. Te verwachten is immers dat zij niet lichtvaardig zijn overgegaan tot de aanschaf van deze apparatuur die - naar uit het SAF kan worden afgeleid - een waarde van EUR 2.600,00 vertegenwoordigde, zodat verwacht mag worden dat zij deze merknamen bij het doen van aangifte paraat had. De rechtbank passeert als ongeloofwaardig de eerst ter zitting gegeven verklaring van [B] dat haar man deze apparatuur alleen heeft aangeschaft - wat daar overigens ook van zij - omdat zij tijdens het eerste gesprek met onderzoeksbureau Vidi heeft verklaard dat zij deze apparatuur zelf heeft aangeschaft.

Uit de door ING overgelegde stukken leidt de rechtbank af dat op de factuur van Bijouterie Assoin oorspronkelijk het jaartal 2003 heeft gestaan en dat deze betrekking heeft op de aanschaf van een 18 karaats gouden armband voor een prijs van 1.250,00 dirham. Tijdens het tweede gesprek met onderzoeksbureau Vidi heeft [B] niettemin volhard in haar evident onhoudbare standpunt dat deze factuur in 2008 is opgemaakt voor de aankoop van een ketting, een armband en een ring voor EUR 125.000,00 dirham, waar zij bij het invullen van het SAF met deze factuur de aanschaf van een ketting, een armband en oorbellen in 2009 beoogde te onderbouwen. De rechtbank tekent hierbij aan dat, uitgaande van de wisselkoers per 1 januari 2010, een prijs van 125.000,00 dirham (EUR 11.046,16) niet in de buurt komt van de door haar in het SAF opgegeven waarde van de sieradenset van EUR 900,00. Wat dat betreft biedt de factuur van Bijouterie Belle Vue een betere onderbouwing. Deze is kennelijk opgemaakt op 21 juli 2008 en saldeert op 12.000 dirham (EUR 1.060,43). De naam van de winkel komt echter niet overeen met de verklaring van [B] dat zij de sieraden bij Bijouterie Assoin heeft gekocht (zie 2.4), en ook deze factuur wijkt af van het SAF waar deze melding maakt van de aankoop van oorbellen, een armband en een ring. Dat [B] ter zitting in afwijking van haar eerdere verklaringen weer heeft verklaard dat de sieradenset door haar man is aangeschaft, maakt haar verklaringen er al met al niet geloofwaardiger op. De rechtbank hecht derhalve geen geloof aan de stelling van [B] dat het overleggen van de factuur van Bijouterie Assoin op een vergissing berust. Een dergelijke vergissing zou haar, zoals ING terecht heeft betoogd, reeds tijdens het tweede gesprek met onderzoeksbureau Vidi moeten zijn opgevallen. Het vermoeden is gerechtvaardigd dat [B] een vervalste factuur heeft overgelegd en vervolgens heeft geprobeerd haar verklaringen in overeenstemming te brengen met deze factuur. De vergissingen die zij daarbij heeft gemaakt hebben tot gevolg dat zij daar niet in is geslaagd. Het verzoek zal worden afgewezen.