Privacy

IT 380

Eisen aan toestemming voor reclamemail

Besluit OPTA van 19 april 2011 (spamboete Digital Magazine en Garage Mail). OPTA heeft boetes opgelegd van in totaal € 660.000,- voor het overtreden van het spamverbod. In de periode van begin 2007 tot april 2010 zijn tenminste 400 miljoen e-mailberichten verzonden. Voor het versturen van e-mailberichten werden e-mailadressen gebruik uit online enquêtes en prijsvragen van derden. Daarbij werd in de algemene voorwaarden of het privacystatement aangegeven dat de gegevens konden worden gebruikt voor mailings van andere bedrijven. Instemmen met algemene voorwaarden of privacystatements is niet hetzelfde als toestemming geven voor het sturen van e-mailberichten. Van toestemming kan alleen sprake zijn indien de ontvanger weet aan wie en waarvoor toestemming wordt gegeven. De spammers hebben inmiddels bezwaar gemaakt tegen de boetes.

De spammers hadden aangevoerd dat de ontvangers van de spam zich akkoord hadden verklaard met ontvangst van de spam. De OPTA is van oordeel dat de gevraagde toestemming niet kwalificeert als toestemming in de zin van de wet, omdat deze niet op informatie berust c.q. niet specifiek is:

"82. In paragraaf 4.6.2 worden verschillende methoden beschreven die werden gebruikt voor het verzamelen van e-mailadressen en het verkrijgen van toestemming voor het toezenden van ongevraagde berichten. Bij methode A valt uit de tekst “Ik ga akkoord met de algemene voorwaarden en het ontvangen van partnermailings van Digital Magazines”, voor de lezer niet te begrijpen waarvoor hij toestemming geeft; het begrip partnermailings van Digital Magazines bevat daar onvoldoende informatie over. In de praktijk kwam het er immers op neer dat Digital Magazines zich vrij achtte om abonnees, die hadden ingestemd met de hiervoor genoemde passage, te benaderen met advertenties van iedere willekeurige derde (adverteerder).

83. Ook de tekst van het eerste voorbeeld van methode B: “Ik ga akkoord met de voorwaarden en privacy statement en geef aan dat ik gebeld wil worden door de deelnemende partijen en de gratis e-mailnieuwsbrief wil ontvangen van adverteerder [ H ], adverteerder [ I ], Mail Garage, Digital Magazines en adverteerder [ J ].” geeft naar het oordeel van het college niet begrijpelijk weer dat er toestemming werd gegeven voor het toezenden van mailings zoals die naar de adressenbestanden van Digital Magazines en Mail Garage werden verstuurd. Het wordt de lezer namelijk niet duidelijk gemaakt welk soort mailings van de vijf genoemde bedrijven te verwachten zijn en namens wie die mailings verzonden zouden worden. Digital Magazines en Mail Garage boden immers zelf geen producten en diensten aan consumenten aan, maar verstuurden slechts commerciële e-mailberichten in opdracht van diverse adverteerders [...].

[...]

89. Bij methode A van e-mailadressen verzamelen werd de abonnee ondermeer gevraagd om in te stemmen met de volgende passage: “Ik ga akkoord met de algemene voorwaarden en het ontvangen van partnermailings van Digital Magazines”. Het college oordeelt dat met deze informatie niet duidelijk is voor welk doel de gegevens gebruikt worden, aangezien voor de betrokkene niet gespecificeerd wordt wat wordt verstaan onder partnermailings van Digital Magazines. In de praktijk kwam het er op neer dat Digital Magazines zich vrij achtte voor elke willekeurige derde commerciële e-mailberichten te versturen naar de abonnees in zijn adressenbestand. Dat onduidelijkheid bestond over de reikwijdte van de toestemming blijkt onder andere ook uit de klachten die zijn ontvangen.46 Op deze wijze is dan ook geen toestemming verkregen die voldoet aan het criterium “specifiek”.

90. Bij methoden B en C (verzamelen van adressen via enquêtes, prijsvragen etc. van derden) werd de betrokkene gevraagd, via het aanvinken van een hokje, toestemming te geven aan meerdere bedrijven tegelijk.47 Dit geldt voor alle genoemde voorbeelden van deze methoden. Uit de klachten en de verklaringen van [ B ] tijdens de hoorzitting en de interviews blijkt dat de betrokkene op deze manier toestemming gaf voor ongevraagde berichten van (in bepaalde gevallen) 35 bedrijven.48 Digital Magazines en Mail Garage gebruikten de verzamelde e-mailadressen niet om berichten te verzenden voor hun eigen producten of diensten, maar gebruikte de e-mailadressen om commerciële berichten van derden te verzenden. Hiervoor is geen specifieke toestemming gegeven, een betrokkene kon niet weten of redelijkerwijs vermoeden dat partijen het verkregen e-mailadres op die wijze zouden gaan gebruiken. Het college oordeelt dat hieruit alleen al onomstreden blijkt de wijze van verkrijging van e-mailadressen middels methode B en C niet voldoet aan het criterium “specifiek”."

Lees het besluit hier (pdf) of hier (link).

IT 369

Bank mag frauderende kaarthouder registreren

Rechtbank 's-Gravenhage 28 april 2011 LJN: BQ6061, verzoeker tegen ABN AMRO N.V. 
Verwijderen persoonsgegevens. Art 46 jo 36 WBP. Verzoek om gegevens uit incidentenregister van ABN AMRO te verwijderen. Rechtbank toetst de handelswijze van ABN AMRO aan het geldende Protocol Incidentenwaarschuwingssysteem financiële instellingen. Gegevens van verzoeker zijn door ABN AMRO terecht en juist in het incidentenregister geregistreerd. Nu ABN AMRO de gegevens rechtmatig in haar incidentenregister heeft opgenomen wijst de rechtbank het verzoek af. Met dank aan Eva de Vries, Vondst Advocaten.

"4.6.Het staat, nu [verzoeker] dat niet heeft betwist, vast dat de betaalrekening van [verzoeker] is gebruikt voor een frauduleuze transactie en dat [verzoeker] het grootste deel van het door die transactie op zijn rekening gestorte bedrag vervolgens heeft opgenomen, terwijl hij voor die opname, normaal gesproken, onvoldoende saldo zou hebben gehad. Partijen verschillen echter van mening over de vraag wat [verzoeker] vervolgens met dat opgenomen bedrag heeft gedaan. [verzoeker] voert aan dat hij het bedrag voor gebruikelijke inkopen heeft aangewend en ABN AMRO stelt dat [verzoeker] het opgenomen bedrag via een geldtransactie-kantoor heeft doorgeboekt naar een derde. ABN AMRO baseert dit op een schriftelijke verklaring (productie 3 bij het verweerschrift) van [C], adviseur Wonen en Vermogen, verbonden aan ABN AMRO, kantoor Alphen aan den Rijn. De verklaring van [C] wordt door [verzoeker] in al haar onderdelen uitdrukkelijk betwist.

4.7.De rechtbank is van oordeel dat ABN AMRO, ook zonder dat komt vast te staan dat de verklaring van [C] een juiste weergave is van zijn contacten met [verzoeker], voldoende inzicht heeft gegeven in de gronden waarop zij tot registratie van [verzoeker] in het IVR is overgegaan. Deze gronden kunnen de registratie en de bevoegdheid van ABN AMRO daartoe dragen. [...]

4.8.De rechtbank dient vervolgens te beoordelen of de registratie van [verzoeker] in het IVR door ABN AMRO moet worden gehandhaafd. Gegevens moeten immers worden verwijderd indien deze feitelijk onjuist zijn. De gegevens van [verzoeker] zijn, zoals hiervoor reeds is overwogen, door ABN AMRO terecht in het IVR geregistreerd. Gevolg hiervan is dat [verzoeker] feiten dient te stellen waaruit kan volgen dat de terecht geregistreerde gegevens onjuist zijn. [...] De rechtbank komt tot het oordeel dat één en ander onvoldoende is om tot de slotsom te komen dat de geregistreerde gegevens niet juist zouden zijn. Het gaat om overwegend blote ontkenningen en stellingen."

Lees de uitspraak hier (link) of hier (pdf).

IT 368

Verwijdering dossier Jeugzorg

Rechtbank 's-Gravenhage 4 mei 2011, LJN BQ6062 (verzoeker 1, 2 tegen Stichting Bureau Jeugdzorg Zuid-Holland) Met dank aan Eva de Vries, Vondst Advocaten

Verwijderen persoonsgegevens. Een verzoek tot verwijdering van volledig dossier was door Bureau Jeugdzorg afgewezen. Art 46 WBP jo 36 WBP jo 105 WJZ. De rechtbank kan op schriftelijk verzoek van de belanghebbende(n) bevelen dat een verzoek tot verwijdering van persoonsgegevens alsnog wordt toegewezen. Dit verzoek wijst de rechtbank af omdat de termijn van verjaring van een eventuele rechtsvordering tegen verweerster nog niet is verstreken.

4.1.Op grond van artikel 46 van de Wet bescherming persoonsgegevens (WBP) in verbinding met artikel 36 WBP en artikel 105 WJZ kan de rechtbank op schriftelijk verzoek van de belanghebbende(n) bevelen dat een verzoek tot verwijdering van persoonsgegevens zoals gedaan door verzoekers bij brief van 1 juni 2010, alsnog moet worden toegewezen.

4.3.Het verzoek is gebaseerd op artikel 56 lid 1 WJZ. Op grond van die bepaling dient Bureau Jeugdzorg de door haar bewaarde bescheiden binnen drie maanden na een daartoe strekkend verzoek van degene op wie de bescheiden betrekking hebben, te vernietigen. Het tweede lid van genoemd artikel bepaalt echter dat de vernietiging niet geldt voor zover het verzoek bescheiden betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de verzoeker, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet. (...)

Vervolgens neemt de rechtbank in aanmerking dat er ruim drie jaar is verstreken sinds de eerste melding heeft plaatsgevonden. Vanaf dat moment is het dossier opgebouwd.

4.6.Het tijdsverloop is niet alleen van belang met het oog op de taakuitoefening van het AMK, maar ook in verband met het procesrisico waaraan Bureau Jeugdzorg door verzoekers nog kan worden blootgesteld. Indien verzoekers op grond van de door hen gestelde onzorgvuldigheid van het naar hun gezin ingestelde AMK-onderzoek, tegen Bureau Jeugdzorg een vordering uit hoofde van onrechtmatig handelen zouden willen instellen, dan is immers de lopende verjaringstermijn nog niet verstreken. In dat geval zou bij vernietiging van het AMK-dossier Bureau Jeugdzorg ernstig in haar bewijspositie zijn geschaad. Dat procesrisico kan, naar het oordeel van de rechtbank, worden gezien als een aanmerkelijk belang van een ander dan verzoekers, als bedoeld in artikel 56 lid 2 WJZ. Reeds op die grond mocht naar het oordeel van de rechtbank Bureau Jeugdzorg het verzoek tot vernietiging van het dossier van verzoekers afwijzen.

Lees de uitspraak hier (link / pdf)
Regelingen: Art 46 jo 36 WBP jo 105 WJZ.

IT 367

Antwoord vragen Bontes en Elissen over het bericht ‘Privacywaakhond CBP schendt privacy’

Kamerstukken II 2010/11, nr. 2 543.

2. Deelt u de mening dat het schandalig is dat de privacywaakhond blundert door privacygevoelige data te publiceren?
Het College bescherming persoonsgegevens (CBP) heeft mij meegedeeld dat het ging om enkele adresgegevens. Tot personen herleidbare gegevens hadden niet in het betreffende rapport over Google terecht horen te komen. Ik verwijs verder naar mijn antwoord op vragen 3 en 4.

3. Bent u bereidt het CBP op deze blunder aan te spreken en zo nodig tot maatregelen over te gaan? Zo nee, waarom niet?
4. Ziet u in deze berichtgeving aanleiding om een onderzoek in te stellen naar de werkwijze van het CBP? Zo neen, waarom niet?

Het CBP heeft direct na het constateren van dit incident – nog voor de publicatie van het in vraag 1 bedoelde bericht - maatregelen genomen in de vorm van het anonimiseren van het rapport. Ook heeft het CBP een aantal personen gebeld op wie de gegevens betrekking hadden en hen excuses aangeboden voor eventueel ontstane overlast. Ik vind dat een adequate reactie en acht het CBP voldoende in staat uit dit incident zelf de juiste lessen te trekken om herhaling te voorkomen.

Lees de kamervragen en antwoorden hier (link)

IT 362

DNB en AFM richten zich op 'crowdfunding'

Crowdfunding brengt vragers en aanbieders van geld met elkaar in contact via een internetplatform. Zo’n platform verzamelt informatie over de kredietwaardigheid van de vrager en het doel van de lening. Op basis hiervan kunnen aanbieders beslissen met wie zij zaken doen. Crowdfunding is niet zonder risico. Risico’s van crowdfunding zijn onder andere:

- mogelijke wanbetaling
- identiteitsfraude
- een eventueel faillissement of betalingsprobleem van het platform

Het is daarnaast relevant of de initiatiefnemer voor het platform onder toezicht van de AFM en/of DNB staat. Onder toezicht staande ondernemingen beschikken over een vergunning en staan in de registers van de AFM en DNB.

BRON: AFM, 'DNB en AFM oriënteren zich op 'crowdfunding'´, AFM.nl mei 2011.

IT 361

WP 29 Opinie Geolocatiediensten

De verwerking van locatiegegevens is een hot topic. Meer en meer apps voor smartphones en tablets maken gebruik van locatiegegevens. Dat brengt mee dat de bewegingspatronen van gebruikers nauwgezet te volgen zijn. Zoals eerder op deze site aangekondigd (IT 354) heeft de Artikel 29-werkgroep in een opinie de verplichtingen vastgelegd waaraan de partijen die locatiegegevens verwerken moeten voldoen. Uitgangspunt is dat voor het verzamelen en verwerken van locatiegegevens toestemming vereist is. Lees de opinie hier.

IT 354

Artikel 29 werkgroep: ook locatiegegevens zijn persoonsgegevens

van de SOLV-blog door: Milica Antic.  VolgensThe Wall Street Journal zal de Artikel 29 Werkgroep deze maand nog met een rapport komen waarin het standpunt wordt ingenomen dat ook locatiegegevens persoonsgegevens zijn.

De Artikel 29 Werkgroep is een Europees adviesorgaan dat bestaat uit de privacy toezichthouders van de verschillende Europese lidstaten. Voor Nederland is dat het College Bescherming Persoonsgegevens (‘CBP’). Omdat de Werkgroep daarmee wordt gevormd door de instanties die op nationaal niveau de privacy wetten moeten handhaven, is het een gezaghebbende organisatie.

Lees meer hier (link)

IT 349

Controlevraag is beveiligingsrisico

De controlevraag die veel online aanbieders gebruiken als authenticatiemiddel voordat ze een vergeten wachtwoord toemailen aan een gebruiker, is een beveiligingsrisico. Dat zegt senior beveiligingsonderzoeker Roel Schouwenberg van Kaspersky.

Lees meer hier.