Privacy

IT 457

CBP gaat regionale medische databases onderzoeken

Webwereld bericht dat het CBP onderzoek gaat doen naar de naleving van de privacywetgeving door aanbieders vaan regionale elektronische patiëntendossiers. De reden hiervoor is dat er op dit moment een wettelijke basis ontbreekt voor de opslag van persoonsgegevens in medische databases. Het is nog onduidelijk hoe het onderzoek eruit komt te zien, maar het gaat zeker dit jaar nog van start. De uitkomsten worden dan waarschijnlijk in 2012 verwacht.

Voorts wordt op 22 augustus meer bekend over de toekomst van het landelijke EPD. Dan komt Nictiz (Nederland ict-instituut) met haar definitieve advies aan de minister. Waarschijnlijk zal het LSP (landelijke schakelpunt) worden overgedragen aan de zorgsector. Het CBP is bij deze gesprekken betrokken.

Lees het oorspronkelijke bericht hier

IT 453

Ook kerk kan onrechtmatig handelen

Rechtbank Utrecht 20 juli 2011, LJN BR2611 (eiser tegen Nieuw Apostolische Kerk in Nederland)

De voorzieningenrechter veroordeelt een kerkgenootschap tot rectificatie van eerder op de website van het kerkgenootschap gedane uitingen jegens eiser. De voorzieningenrechter is van oordeel dat NAK door zonder toestemming van eiser informatie over zijn persoon op haar website te plaatsen in strijd heeft gehandeld met artikel 8 Wbp en daarmee onrechtmatig jegens eiser heeft gehandeld. Dit betekent dat NAK zal worden veroordeeld om de verklaring van haar website te verwijderen. De door eiser gevorderde rectificatie tekst kan echter niet worden toegewezen. Deze suggereert immers dat de verklaring van NAK inhoudelijk onjuist is, hetgeen in het kader van dit kort geding niet is en kan worden vastgesteld

 

Op de website van gedaagde stond, o.m.:
 ... De werkwijze van de heer [eiser] was niet open en transparant, waardoor het vertrouwen van de kerk in de samenwerking met hem afnam. Hij probeerde zich in zijn werk aan controle door de kerkleiding te ontrekken.
De relatie tussen de heer [eiser] en de kerkleiding verslechterde in de eerste helft van 2009 steeds meer, hetgeen in juni 2009 tot een breuk in de samenwerking leidde. In september 2009 werd de heer [eiser] door de kerk ontslagen.

4.11.  De voorzieningenrechter is op grond van het voorgaande van oordeel dat NAK door zonder toestemming van [eiser] informatie over zijn persoon op haar website te plaatsen in strijd heeft gehandeld met artikel 8 Wbp en daarmee onrechtmatig jegens [eiser] heeft gehandeld. Dit betekent dat NAK zal worden veroordeeld om de verklaring van haar website te verwijderen. De door [eiser] gevorderde rectificatie kan echter niet worden toegewezen. Deze suggereert immers dat de verklaring van NAK inhoudelijk onjuist is, hetgeen in het kader van dit kort geding niet is en kan worden vastgesteld. NAK zal daarom worden veroordeeld om na te melden verklaring op de homepage van haar website te plaatsen gedurende een periode van 4 na betekening van dit vonnis. De gevorderde dwangsom zal eveneens worden toegewezen met dien verstande dat deze wordt gematigd tot € 1.000,- per dag met een maximum van € 50.000,-.
De te plaatsen rectificatie luidt als volgt:
“Bij vonnis in kort geding van 20 juli 2011 is de Nieuw Apostolische Kerk in Nederland veroordeeld om de eerdere verklaring met betrekking tot de voormalig medewerker bouwafdeling van haar site te verwijderen omdat zij hiermee in strijd met artikel 8 Wet bescherming persoonsgegevens en daarmee onrechtmatig heeft gehandeld.
De kerkleiding”

IT 445

Hyves is niet vertrouwelijk

Hoge Raad 5 juli 2011, LJN BQ2009 (ruchtbaarheid op Hyves)

Verdachte heeft cassatie ingesteld. Hof heeft overwogen dat er sprake is van opzettelijk eer en goede naam aanranden door ruchtbaarheid te geven aan bepaald feit door het plaatsen van tekst op Hyves. Tekst is hierdoor ter kennis gebracht aan breder publiek en heeft daardoor geen vertrouwelijk karakter. HR verwerpt beroep, meent dat oordeel Hof niet getuigt van onjuiste opvatting omtrent 261 Sr.

2.5. Het Hof heeft vastgesteld dat de verdachte op haar Hyves-pagina zichtbaar voor 20 à 25 andere personen de tekst heeft geplaatst "ik moet mijn kind meegeven aan een pedo", waarmee zij haar ex-partner bedoelde. Uitgaande van de maatstaf als hiervoor onder 2.4.2 weergegeven, heeft het Hof geoordeeld dat de verdachte aldus haar ex-partner opzettelijk in zijn eer en goede naam heeft aangerand door telastlegging van een bepaald feit met het kennelijke doel om daaraan ruchtbaarheid te geven. Daarbij heeft het Hof in aanmerking genomen dat de in de bewezenverklaring genoemde uitlating niet te vergelijken is met informatie die in de beslotenheid van de huiskamer aan een beperkte kring geadresseerden wordt toevertrouwd en dat het in het onderhavige geval, waarin de tekst op de Hyves-pagina van de verdachte zichtbaar was voor personen die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlating konden beschikken, voor de verdachte voorzienbaar en op voorhand feitelijk te verwachten was dat de geplaatste tekst verder zou worden verspreid. Het oordeel van het Hof getuigt niet van een onjuiste opvatting omtrent art. 261 Sr, terwijl het evenmin onbegrijpelijk is. Het middel faalt.

Lees het gehele arrest hier (link / pdf)

IT 444

Wat is toestemming?

Toestemming van degene wiens gegevens worden verwerkt, is een kernbegrip bij de bescherming van persoonsgegevens. Maar wanneer is toestemming vereist? En aan welke voorwaarden moet toestemming voldoen om geldig te zijn? Dat is niet altijd duidelijk. Tegelijkertijd is het belang van toestemming evident. De verwerking van persoonsgegevens speelt immers een prominente rol in de huidige samenleving – zowel in de digitale als in de ‘normale’ wereld. Daarom hebben de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, in een gezamenlijke opinie de criteria voor toestemming in het huidige juridische kader uitgelegd en doen zij verschillende aanbevelingen voor de toekomst.

Een paar van de conclusies (blz. 34 e.v.):

"Individuals who have consented should be able to withdraw their consent, preventing further processing of their data."

"Consent must be specific. Blanket consent without determination of the exact purposes does not meet the threshold. Rather than inserting the information in the general conditions of the contract, this calls for the use of specific consent clauses, separated from the general terms and conditions."

"Consent must be informed. [...] The use of overly complicated legal or technical jargon would not meet the requirements of the law. Second, the information provided to users should be clear and sufficiently conspicuous so that users cannot overlook it. The information must be provided directly to individuals. It is not enough for it to be merely available somewhere."

"express consent cannot be obtained by the presence of a pre-ticked box."

U vindt de opinie hier (pdf) of hier (link).

Zie het oorspronkelijke bericht op de site van het College bescherming persoonsgegevens hier.

IT 441

Consultatie inzake praktische regels datalekken

Digitale agenda: de Commissie houdt een raadpleging over praktische regels voor het melden van inbreuken op persoonsgegevens. 

Consultatie door de Europese Commissie in verband met datalekken. Vicevoorzitter van de Commissie voor de Digitale Agenda Neelie Kroes zei hierover: "De verplichting om beveiligingsinbreuken te melden is een belangrijk onderdeel van de nieuwe EU-telecomregels. Wij moeten echter in heel de EU consequent zijn zodat bedrijven niet te maken krijgen met een ingewikkelde reeks van onderling afwijkende nationale regelingen. Ik wil ervoor zorgen dat overal gelijke voorwaarden gelden, die de consumenten zekerheid geven en de ondernemingen praktische oplossingen bieden."

Het persbericht:

Digitale agenda: de Commissie houdt een raadpleging over praktische regels voor het melden van inbreuken op persoonsgegevens

Brussel, 14 juli 2011 – De Europese Commissie vraagt telecomexploitanten, aanbieders van internetdiensten, lidstaten, nationale toezichthouders voor gegevensbescherming, consumentenorganisaties en andere belanghebbenden of aanvullende praktische regels nodig zijn om ervoor te zorgen dat inbreuken op de beveiliging van persoonsgegevens overal in de EU consequent worden gemeld. Volgens de herziene ePrivacy-richtlijn (2009/136/EG), die op 25 mei 2011 in werking is getreden als onderdeel van een pakket nieuwe Europese telecomregels, zijn exploitanten en internetaanbieders verplicht de nationale autoriteiten en hun klanten onverwijld op de hoogte te brengen van inbreuken op de beveiliging van gegevens die zij bezitten (zie IP/11/622 en MEMO/11/320). De Commissie wil op basis van de bestaande praktijk en de aanvankelijke ervaring met de nieuwe telecomregels meningen en ideeën verzamelen en kan dan aanvullende praktische regels voorstellen om te verduidelijken wanneer deze inbreuken moeten worden gemeld en welke procedures en formaten daarbij moeten worden gebruikt. Bijdragen voor de raadpleging worden ingewacht tot 9 september 2011.

Vicevoorzitter van de Commissie voor de Digitale Agenda Neelie Kroes zei hierover: "De verplichting om beveiligingsinbreuken te melden is een belangrijk onderdeel van de nieuwe EU-telecomregels. Wij moeten echter in heel de EU consequent zijn zodat bedrijven niet te maken krijgen met een ingewikkelde reeks van onderling afwijkende nationale regelingen. Ik wil ervoor zorgen dat overal gelijke voorwaarden gelden, die de consumenten zekerheid geven en de ondernemingen praktische oplossingen bieden."

In de raadpleging wordt gevraagd naar input over de volgende specifieke onderwerpen:

  • Omstandigheden: de manier waarop organisaties de nieuwe verplichting van de telecomregels naleven of hoe zij van plan zijn dit te doen; het soort inbreuken dat moet leiden tot toepassing van de verplichte kennisgeving aan de abonnee of de persoon en voorbeelden van beschermingsmaatregelen die gegevens onbegrijpelijk kunnen maken

  • Procedures: de deadline voor de kennisgeving, de wijze van kennisgeving en de procedure voor een individueel geval

  • Formaten: de inhoud van de kennisgeving aan de nationale autoriteit en aan de persoon, bestaande standaardformaten en de haalbaarheid van een Europees standaardformaat.

Daarnaast wil de Commissie meer vernemen over grensoverschrijdende inbreuken en de naleving van andere Europese verplichtingen met betrekking tot beveiligingsinbreuken.

Achtergrond

Telecomexploitanten en internetdienstenaanbieders bezitten een reeks gegevens over hun klanten, zoals naam, adres en bankgegevens, alsook informatie over telefoonnummers en bezochte websites. Volgens de ePrivacy-richtlijn zijn telecomexploitanten en internetdienstenaanbieders verplicht deze gegevens vertrouwelijk en veilig te bewaren. Het gebeurt echter dat gegevens gestolen worden of dat personen op ongeoorloofde wijze toegang daartoe verkrijgen. Dergelijke gevallen zijn bekend als 'inbreuken op persoonsgegevens'. Wanneer een inbreuk op persoonsgegevens plaatsvindt, vereist de herziene ePrivacy-richtlijn (2009/136/EC) dat de aanbieder dit meldt aan een specifieke nationale autoriteit, gewoonlijk de nationale autoriteit voor gegevensbescherming of de telecomtoezichthouder. Zo moet de aanbieder de betrokken persoon rechtstreeks op de hoogte brengen.

Om te zorgen voor consistente uitvoering van de regels inzake inbreuken op persoonsgegevens in alle lidstaten kan de Commissie volgens de ePrivacy-richtlijn 'technische uitvoeringsmaatregelen' nemen – dit zijn praktische regels ter aanvulling van de bestaande wetgeving – over de omstandigheden, het formaat en de procedures voor de kennisgeving.

Volgende stappen

Als de Commissie op basis van de ontvangen bijdragen besluit technische uitvoeringsmaatregelen vast te stellen, moet zij het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA), de Groep gegevensbescherming artikel 29 en de Europese Toezichthouder voor gegevensbescherming (EDPS) raadplegen. Toezichthouders voor elektronische communicatie worden ook geraadpleegd omdat zij in sommige lidstaten de bevoegde autoriteit voor inbreuken op persoonsgegevens zijn.

In dat geval nemen de technische uitvoeringsmaatregelen de vorm aan van een besluit van de Commissie dat in de 'regelgevende comitologieprocedure' wordt vastgesteld. Volgens deze procedure moeten lidstaten de voorstellen van de Commissie eerst goedkeuren in het comité voor communicatie (COCOM). Het Europees Parlement heeft daarna drie maanden om de maatregelen te toetsen voordat zij in werking treden.

Deze raadpleging staat los van de stappen die ondernomen worden (zie IP/10/1462 en MEMO/10/542) om de algemene gegevensbeschermingsrichtlijn (95/46/EG) te herzien.

Meer informatie

Het document voor de raadpleging is beschikbaar op:

http://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

Website van de Digitale agenda: http://ec.europa.eu/digital-agenda

Website van Neelie Kroes: http://ec.europa.eu/commission_2010-2014/kroes/

IT 438

Strijd met Wbp: onrechtmatig bewijs?

Gerechtshof Arnhem 24 mei 2011 (Nova Dia), LJN BR1260.

Wet bescherming persoonsgegevens. Geschil tussen detacheringsbureau Nova Dia en gedetacheerde over geschreven uren. Een urenschrijver wordt achteraf geconfronteerd met gegevens uit de aanwezigheidsregistratie van de onderneming waar hij was gedetacheerd (ASR). Zonder dat hij het wist is door middel van zijn werknemerspas precies bijgehouden hoe laat hij aankwam en vertrok. In 4 jaar tijd zou 450 uur meer gedeclareerd zijn dan hij aanwezig was. Gedetacheerde beroept zich erop dat de registratie van zijn aankomst- en vertrektijden strijdig is met de Wbp. Volgens hem is gebruik van deze gegevens onrechtmatig. Het hof oordeelt dat van onrechtmatig bewijs geen sprake is en waarheidsvinding prevaleert.

Het hof overweegt:

"3.6 Het hof oordeelt dat – ook indien het er voor zou moeten worden gehouden dat het door ASR registreren van de aankomst- en vertrektijden van haar werknemers, waaronder [appellant], in strijd is met de Wbp en/of de WOR en dat ASR daarmee onrechtmatig jegens [appellant] heeft gehandeld– zulks nog niet betekent dat Nova Dia onrechtmatig jegens [appellant] heeft gehandeld door de betreffende gegevens in de onderhavige procedure aan haar vordering ten grondslag te leggen. Uitgangspunt is immers dat het gebruik in een civiele procedure van door een ander op onrechtmatige wijze verkregen bewijs niet per definitie onrechtmatig is en zou moeten worden uitgesloten, maar slechts indien daartoe bijzondere omstandigheden aanwezig zijn in het kader van een afweging van de betrokken belangen in het concrete geval. Dergelijke bijzondere omstandigheden zijn door [appellant] niet (voldoende) gesteld dan wel anderszins gebleken. Gelet hierop kan niet worden geoordeeld dat het belang van [appellant] om verschoond te blijven van het gebruik door Nova Dia van het door ASR (veronderstellenderwijs) onrechtmatig verkregen bewijs dient te prevaleren boven het zwaarwegende belangvan Nova Dia bij de waarheidsvinding in de onderhavige procedure. Grief 3 stuit hierop af."

Lees het arrest hier.

IT 419

Vrijheidsbeeld op het Rode Plein

L. de Gier en J. Kuhlmann, ‘Vrijheidsbeeld op het Rode Plein’, in Automatiseringsgids 11 februari 2011, p. 12-13.

I-Stock / edited by Automatisering Gids, february 2011Met dank aan Louise de Gier en Joost Kuhlmann, De Gier | Stam & Advocaten.

Een BP-logo verandert in een lekkend olievat, het Vrijheidsbeeld op het Rode Plein, het kenteken van een auto onthult direct of de eigenaar lid is van een criminele organisatie. Dat is allemaal mogelijk met augmented-realitytoepassingen. Maar wat zijn de juridische gevolgen van AR?
 
Iedereen herinnert zich de rel die de zogenaamde Bavaria-babes bij het laatste wereldkampioenschap voetbal veroorzaakten. Hoofdsponsor Budweiser van de FIFA kon weer rustig ademhalen nadat de dames het stadion waren uitgezet. Maar wat als de dames en de Bavaria-jurkjes virtueel weer tevoorschijn zouden komen, als men simpelweg een telefoon met camera op de tribune had gericht? Met een augmentedrealitytoepassing (‘AR’) en een smartphone met camera is een dergelijke situatie niet ondenkbaar. AR voegt virtuele informatie toe aan de werkelijkheid. Dergelijke toepassingen hebben grote invloed op de rechten van personen en hebben vele juridische consequenties.
 
Louise de Gier en Joost Kuhlmann bespreken, in een artikel dat werd gepubliceerd in de Automatiseringsgids, onder meer het merkenrecht, het auteursrecht, het privacy- en het internationaal privaatrecht, lees verder hier.

IT 415

Opt in voor KvK?

Antwoord Kamervragen Verhoeven over omgang van de Kamer van Koophandel (KvK) met persoonsgegevens Aanhangsel Handelingen II 2010/11, nr. 2951.

Verkoop van contactgegevens door KvK zorgt voor ongevraagde reclamezendingen. De minister antwoord dat men kan opteren voor Non Mailing. Van de nieuwe inschrijvingen kiest 40% daar ook voor. Rond de zomer verwacht de Minister "een meer principiële afweging [te] maken in de openbaarheid, beschikbaarheid en het mogen gebruiken van de gegevens in het handelsregister."

3 Bent u bekend met het feit dat deze verkoop van contactgegevens leidt tot veel ongevraagde reclamezendingen.

Antwoord Iedere onderneming of rechtspersoon die is ingeschreven in het handelsregister kan bij de KvK opteren voor de zogeheten Non Mailing Indicator (NMI). De NMI houdt in dat het de directe of indirecte afnemer van adresgegevens (in bulk) niet is toegestaan reclame-uitingen (per post) toe te zenden aan de betreffende onderneming of rechtspersoon. Bij evidente aanwijzingen dat ongewenste mailing zijn oorsprong vindt in door de KvK verstrekte adressen bestaat de mogelijkheid via klachtenprocedure de KvK daarop opmerkzaam te maken. De KvK beziet vervolgens of binnen de gegeven wettelijke kaders overgegaan kan worden tot het staken van de levering. Voor mailings die langs elektronische weg worden toegezonden, geldt op grond van de Telecomwet het beginsel van opting in.De KvK wijzen sinds medio 2009 bij iedere nieuwe inschrijving op de NMI; inmiddels kiest bij nieuwe inschrijvingen 40% van betrokkenen voor de NMI. Ook reeds bestaande inschrijvingen zijn enkele malen door middel van de Kamerkrant erop geattendeerd. Het is dus aan ingeschrevenen zelf of zij reclame-uitingen (per post) wensen te ontvangen die gebaseerd zijn op levering van adresgegevens door de KvK. Dit sluit uiteraard niet uit dat er ook andere wegen zijn om adressen van ondernemingen of andere organisaties te weten te komen. Correcte naleving van de NMI vormt dus geen absolute garantie tegen het ongewenst ontvangen van reclamezendingen.

4 Wat vindt u van het idee om over te schakelen op opt-out in plaats van opt-in, dat wil zeggen de ‘non mailing indicator’ standaard uitzetten in plaats van standaard op aan? 
5. Denkt u ook dat dit veel meer zou passen voor een publieke organisatie?

Antwoord 4 en 5 De Non Mailing Indicator is in de huidige vorm gebaseerd op het opting out beginsel. Ik begrijp deze vragen daarom aldus dat wordt voorgesteld, in plaats van opting out, over te schakelen op opting in. In de beantwoording van bovengenoemde eerdere vragen (in het bijzonder vraag 5 daarvan) is ingegaan op de overwegingen om het stelsel van opting out te behouden. Ik merk daarbij op dat het gebruik van door de KvK geleverde adresgegevens voor het toezenden van commerciële mailings niet los kan worden gezien van andere toepassingen van dat adressenmateriaal. Ik doel daarbij op andere commerciële toepassingen zoals opname in elektronische telefoonboeken, en op gebruik uit hoofde van de rechtszekerheidsfunctie van het handelsregister. Daarom wil ik op korte termijn een meer principiële afweging maken in de openbaarheid, beschikbaarheid en het mogen gebruiken van de gegevens in het handelsregister. Ik verwacht die afweging rond de zomer bij brief aan uw Kamer te kunnen voorleggen.