Privacy

IT 144

Europese Commissie over nieuwe privacyrichtlijn

De Europese Commissie is van plan om de Europese privacyregelgeving te herzien. Lees de mededeling hier. De Commissie is van oordeel dat de huidige regelgeving onvoldoende kan worden toegepast op nieuwe technologieën. Ook merkt de Commissie op dat de verschillen in nationale wetgeving binnen Europa te groot zijn. Internationale doorgfite van gegevens moet volgende de Commisie worden vereenvoudigd. De Commissie is voorts van oordeel dat privacytoezicht meer tanden moet krijgen. Door Polo van der Putt, Vondst Advocaten.

Het College bescherming persoonsgegevens (Cbp) heeft verheugd gereageerd. Het Cbp merkt het volgende op:

"Het CBP onderschrijft de ambitie om het privacyrecht waar mogelijk te vereenvoudigen, de administratieve lasten te verlagen en meer harmonisatie in de Europese landen te bereiken. Ook het streven naar een hoog beschermingsniveau voor burgers en versterking van hun rechten zodat zij deze ook daadwerkelijk kunnen doen gelden, is een noodzakelijke stap voorwaarts."

Uit dit citaat blijkt precies het krachtenveld dat de nieuwe regelgeving zal bepalen. Aan de ene kant is er de roep uit met name het bedrijfsleven om vereenvoudiging en lastenverlichting. Aan de andere kant staan de privacyhoeders, met name de toezichthouders, die opmerken dat burgers zich niet genoeg bewust zijn van hun rechten en dat toezichthouders meer macht moeten krijgen.

Tja. Respect krijg je, maar laat zich moeilijk afdwingen. De bescherming van privacy is een groot goed. Daarom moet je er ook voorzichting mee om gaan. Als je het opblaast en contact met de realiteit verliest, zou er wel eens een anti-privacy gevoel kunnen ontstaan. De vraag is of het helpt om de burgers een privacycomplex aan te praten en met strenge straffen respect af te dwingen. Er zal ongetwijfeld een interessante discussie volgen binnen Europa.

IT 138

Update Privacyrichtlijn

De organisatie Statewatch heeft een gelekt concept van een van de eerste officiële documenten in verband met de update van de Privacyrichtlijn gepubliceerd: A Comprehensive Strategy on Data Protection in the European Union. Deze ‘Communication’ spreekt over twee doelen: ten eerste het veiligstellen van het vrije (internationale) verkeer van persoonsgegevens, en ten tweede het veiligstellen van fundamentele rechten, waaronder het recht op bescherming van persoonsgegevens. De Commissie noemt vijf zaken die speciale aandacht verdienen, waarvan de eerste ziet op technologische ontwikkelingen. In dit kader wijst de Commissie meteen op de eerste pagina expliciet op cloud computing, social networks, cookies en locatiegegevens van bijvoorbeeld smart phones. Zie de SOLV blog (via Wouter Dammers van SOLV).

Enkele citaten:

 

“Fifteen years later, this twofold objective is still valid and the principles enshrined in the Directive remain sound. However, rapid technological developments and globalisation have profoundly changed the world around us, and brought new challenges to the protection of personal data.

Indeed technology nowadays allows individuals to disseminate information about their behaviour and preferences easily and make it publicly and globally available on an unprecedented scale. Social networking sites, with hundreds of millions of members spread across the globe, are perhaps the most evident, but not unique, example of this phenomenon.

"Cloud computing" - i.e., Internet-based computing whereby software, shared resources and information are on remote servers ("in the cloud") - also poses challenges to data protection, as it involves the loss of individuals' control over their potentially sensitive information when they store their data with programs hosted on someone else's hardware. A recent study confirmed that there seems to be a convergence of views – of Data Protection Authorities, business associations and consumers' organisations – that risks to privacy and the protection of personal data associated with online activity are increasing.

At the same time, the means of collecting personal data have become increasingly sophisticated and less easily detectable: for example, the use of cookies allows economic operators to better target individuals online with advertisements, thanks to the monitoring of their web browsing (so-called "behavioural advertising") and the growing use of geo-location devices makes it easy to determine the location of individuals simply because they possess a

mobile phone. Public authorities also use more and more personal data for various purposes, such as tracing individuals in the event of an outbreak of a communicable disease, for preventing and fighting terrorism and crime more effectively, to administer social security schemes or for taxation purposes, in the framework of their e-government applications etc.”

 

“All this inevitably raises the question whether existing EU data protection legislation can still fully and effectively cope with these challenges. In order to address this question, the Commission launched a process of review of the current legal framework, which started with a high level conference in May 2009, followed by a public consultation until the end of 20093 and by more targeted stakeholders' consultations throughout 2010. A number of studies were also launched. The results of this process confirmed that the core principles of the Directive are still valid and that its technologically neutral character should be preserved. However, several issues have been identified as being problematic and posing specific challenges. These include:

• Addressing the impact of new technologies

Responses to the consultations, both from private individuals and organisations, have confirmed the need to clarify and specify the application of data protection principles to new technologies, in order to ensure that individuals' personal data are actually effectively protected, whatever the technology used to process their data, and that data controllers are fully aware of the implications of new technologies on data protection. It is to be noted that, in

the electronic communication sector, this has been addressed by Directive 2002/58/EC (socalled "e-Privacy" Directive), which particularises and complements the general Data Protection Directive.”

 

“Complexity is also growing due to globalisation and the development of technologies:

data controllers are increasingly operating in different Member States and jurisdictions, providing services and assistance around-the-clock. The Internet makes it much easier for data controllers established outside the European Economic Area (EEA) to provide services from a distance and to process personal data in a virtual environment; and cloud computing makes it difficult to determine the location of personal data and of equipments used at any given time.

However, the Commission considers that the fact that the processing of personal data is carried out by a data controller established in a third country should not deprive individuals of the protection to which they are entitled under the EU Charter of Fundamental Rights and EU data protection legislation.”

 

Lees hier het gehele document.

IT 129

Misleiding door aanvrager financiering - mag niet op zwarte lijst

Rechtbank Utrecht 13 oktober 2010 (Rabobank/zwarte lijst), 280537 / HA ZA 10-129 (LJN BO0351). Aanvrager van financiering doet in strijd met de waarheid voorkomen dat hij een bepaald salaris geniet. Rabobank maakt hier melding van in de incidentenregisters EVR/SFH. De rechtbank oordeelt dat geen sprake is van een zwaardere verdenking van een strafbaar feit dan een redelijk vermoeden van schuld en gelast verwijdering uit de registers.

Enkele overwegingen uit het vonnis:

"4.2. Gelet op de reden voor opname in EVR/ESH, namelijk het vermoeden van (poging tot) valsheid in geschrifte en oplichting als bedoeld in artikel 225 en artikel 326 Wetboek van strafrecht (Sr.), is sprake van verwerking van strafrechtelijke persoongegevens als bedoeld in artikel 16 Wbp. Het verwerken van dergelijke gegevens is niet toegestaan, behoudens op de voet van – voor zover hier van belang – artikel 22 lid 4, sub c Wbp. In lijn met HR 29 mei 2009, NJ 2009, 243 en de uitspraken van het College Bescherming Persoonsgegevens met kenmerk z2004-0135 en z2008-01445 is de rechtbank van oordeel dat het verwerken van strafrechtelijke persoonsgegevens – mede gelet op de verstrekkende gevolgen die opname in een ‘zwarte lijst’ kan hebben – slechts is toegestaan op grond van laatstgenoemd artikel als sprake is van zodanig concrete feiten en omstandigheden dat zij de conclusie kunnen dragen dat sprake is van een als strafbaar feit te kwalificeren gedraging (in de zin van artikel 350 Sr). Anders gezegd: voor opname in EVR/SFH moet sprake zijn van een zwaardere verdenking van een strafbaar feit dan een redelijk vermoeden van schuld (zoals dat kan blijken uit een aangifte). In het Protocol komt dit vereiste tot uitdrukking in artikel 4.2 (gerede aanleiding) in samenhang met artikel 6.2 lid 3, eerste bulletpoint (aangifte). 

[...]

4.10. Gelet hierop, en mede in het licht van de omstandigheid dat Rabo de Habeondeal op zichzelf niet heeft betwist, moet worden aangenomen dat [eiser] inkomen zou genieten van IMCI. Weliswaar is de salarisconstructie via IMCI niet zonder meer gelijk te stellen met het vaste inkomen dat in de arbeidsovereenkomst met IMCI wordt genoemd, maar naar het oordeel van de rechtbank geen sprake van zodanig concrete feiten en omstandigheden dat zij de conclusie kunnen dragen dat sprake is van een als strafbaar feit te kwalificeren gedraging. Immers, uit de informatie die [eiser] heeft verstrekt, volgt niet dat hij het in artikel 255 en artikel 326 Sr. vereiste oogmerk had om een vervalst of valselijk opgemaakt stuk te gebruiken of dit door Rabo te laten gebruiken dan wel zichzelf wederrechtelijk te bevoordelen. Dit oordeel leidt ertoe dat de verwerking van [eiser]’ strafrechtelijke persoonsgegevens niet op de uitzondering van artikel 22, lid 4 sub c Wbp gebaseerd kan worden.
Weliswaar heeft Rabo er ook op gewezen dat [eiser] voor zijn financieringsaanvraag bij ING gebruikt heeft gemaakt van een andere arbeidsovereenkomst met IMCI (zie r.o. ?2.14), maar deze omstandigheid maakt voornoemd oordeel niet anders, omdat deze overeenkomst geen rol heeft gespeeld bij de opname van [eiser]’ persoonsgegevens in het Incidentenregister maar uitsluitend bij de handhaving ervan (zie r.o. ?3.6)."

Lees het vonnis hier.

IT 127

Art. 29 WG vindt Uruguay veilig

Uruguay is op weg om de status van "veilig" land te krijgen voor doorgifte van persoonsgegevens. De artikel 29 Werkgroep heeft positief geadviseerd. UIteindelijk besluit de Commissie. Europa heeft slechts van enkele landen vastgesteld dat zij een passend beschermingsniveau waarborgen. Veilige landen (al dan niet onder condities) zijn Argentinië, Australië, Canada, Zwitserland, Faeröer Eilanden, Guernsey, Isle of Man, Jersey en de VS (kort gezegd indien Safe Harbor van toepassing is). Kijk hier voor het overzicht.

IT 83

OV-bedrijven trekken zich niets aan van inzageverzoek persoonsgegevens

Volgens een onderzoeker aan de Universiteit van Leiden, voldoen vier van de zes Openbaar Vervoer bedrijven niet aan een verzoek tot inzage van zijn persoonsgegevens, zo meldde security.nl gisteren. Connexxion, RET, Veolia en GVB zouden niet voldoen aan de Wbp.

Met dank aan Lot Nelissen, Dirkzwager advocaten

Op grond van de Wet bescherming persoonsgegevens (artikel 35) heb je als betrokkene recht om van een bedrijf of instelling te weten welke persoonsgegevens van jou worden verzameld of vastgelegd, wat het doel is van het gebruik van deze gegevens en aan wie de gegevens eventueel zijn verstrekt. Het bedrijf of de instelling (de verantwoordelijke) moet de betrokkene deze gegevens schriftelijk binnen vier weken mee delen. De onderzoeker had op 20 juli 2010 een dergelijk verzoek bij 6 OV-bedrijven ingediend. Slechts 2 bedrijven voldeden aan zijn verzoek, te weten TLS en de NS.

Zo kreeg hij van TLS te weten dat TLS zijn NAW-gegevens, pasfoto, geboortedatum, geslacht, OV chipkaart nummer, gegevens omtrent de kaart, transactiegegevens, gegevens over het gebruik van de kaartservices en klanten en informatieverzoeken vastlegt. Hem bleek dat elk in- en uit-checkmoment wordt vastgelegd met daarbij de plaats en de datum.

De overige vervoersbedrijven reageerden niet of onvoldoende op zijn verzoek. RET gaf aan dat zij geen persoonsgegevens verwerkt terwijl in hun algemene voorwaarden staat dat ze dat wel degelijk doen. Ditzelfde geldt voor Veolia. GVB stuurde wel een brief, maar de bijlage met een overzicht van de gegevens van de onderzoeker ontbrak. Connexxion reageerde helemaal niet op zijn verzoek tot inzage van zijn persoonsgegevens. Deze vier OV-bedrijven voldoen aldus niet aan de Wet bescherming persoonsgegevens. Het College Bescherming Persoonsegevens kan hiervoor een sanctie opleggen, zij zijn immers bevoegd tot het uitdelen van boetes.

Dien je een verzoek als hiervoor beschreven in maar krijg je geen of een onvolledige reactie, dan kun je je wenden tot het College Bescherming Persoonsgegevens. Je kan daar een bemiddelingsverzoek indienen. Het Cbp kan in dat geval helpen inzage in de persoonsgegevens te verkrijgen, of voorlichten hoe om te gaan met een weigering.

Dit bericht is oorspronkelijk verschenen op: http://dirkzwagerieit.nl/2010/09/22/ov-bedrijven-trekken-zich-niets-aan-van-inzageverzoek-persoonsgegevens/

IT 60

FSA deelt recordboete uit ivm ontbreken beveiliging

Financial Services Authority (UK) deelt recordboete van £2,275,000 uit aan Zurich Insurance vanwege onvoldoende beveiliging. Zurich Insurance (althans een zusterbedrijf in Zuid Afrika aan wie de verwerking was uitbesteed) verloor een niet-gecodeerde back-up tape met gegevens van 46.000 polishouders. Doordat adequate 'reporting' ontbrak vernam Zurich Insurance pas een jaar na dato van het incident. Met dank aan Louwrens Phoelich, Allen & Overy.

The Financial Services Authority (FSA) has fined the UK branch of Zurich Insurance Plc (Zurich UK) £2,275,000 for failing to have adequate systems and controls in place to prevent the loss of customers’ confidential information. The fine is the highest levied to date on a single firm for data security failings. The failings came to light following the loss of 46,000 customers’ personal details, including identity details, and in some cases bank account and credit card information, details about insured assets and security arrangements. The loss could have led to serious financial detriment for customers and even exposed them to the risk of burglary. Zurich UK has seen no evidence to suggest that the personal data was compromised or misused. Zurich UK outsourced the processing of some of its general insurance customer data to Zurich Insurance Company South Africa Limited (Zurich SA). In August 2008, Zurich SA lost an unencrypted back-up tape during a routine transfer to a data storage centre. As there were no proper reporting lines in place Zurich UK did not learn of the incident until a year later.

Klik hier voor bericht op FSA website.

Lees het besluit hier.

IT 58

Studie naar identiteitsdiefstal in ICT

Vanuit België, met oog op ook de Europese regeleving. Privacy heeft er sinds enkele jaren een te duchten vijand bij: identiteitsdiefstal in de ICT. Matthias Dobbelaere, partner bij [red: deJuristen], onderzocht recentelijk de wenselijkheid van Europese en/of Belgische regelgeving rond identity theft in de ICT.

Anno 2010 is privacybescherming een grondrecht. Een grondrecht dat eenieder alsmaar hoger waardeert, dankzij onze hoogtechnologische en hyperindividualistische maatschappij die bereikbaarheid, beschikbaarheid en performantie als essentieel beschouwt. Het onvermijdelijke gevolg daarvan is de steeds krachtigere roep naar privacy, naar ongestoorde rust.

Privacy heeft er sinds enkele jaren echter een te duchten vijand bij. Alsof de hoogtechnologische maatschappij nog niet genoeg druk legde op de gemiddelde privacy van de burger, dient nu ook rekening te worden gehouden met identity theft of identiteitsdiefstal. Er bestaat immers geen grotere privacyinbreuk dan een inbreuk op de identiteitsdata an sich. Met ongekende technologische mogelijkheden, een steeds grotere verruiming van de informatiemaatschappij en een aanmerkelijk grotere honger naar informatie, zowel vanuit overheidskanalen als uit de private sector, is het een kwestie van tijd vooraleer de identiteitsbom ontploft.

Identity theft is heden ten dage een bijzonder actueel punt, en staat hoog genoteerd op menig politieke agenda. Essentiële vraag is dan ook of we reeds in staat zijn de implicaties van ons online (en offline) gedrag in te schatten, en hoe we identiteitsdiefstal, in al haar fasen het meest efficiënt kunnen bestrijden.

De volledige publicatie kan u hier downloaden.

IT 48

Raad van State hanteert ruime definitie verantwoordelijke Wbp

Raad van State 8 september 2010, 200909350/1/H3 (LJN: BN6172). Stichting Universiteitsblad beheert een database met daarin persoonsgegevens. Toch oordeelt de Raad van State dat niet de stichting maar het college van bestuur van de Rijksuniversiteit Groningen verantwoordelijk is in de zin van de Wbp. Reden: het college is eigenaar van de domeinnaam van de website, hosting provider en gerechtigd om het bestuur van de stichting, de redactieraad, de hoofdredacteur/directeur en de redactiesecretaris te benoemen en te ontslaan. Met dank aan Polo van der Putt, Vondst Advocaten.

De Stichting Universiteitsblad beheert het online-archief van de Universiteitskrant Groningen, met daarin oude krantenberichten uit de universiteitskrant. X, wiens naam in een van de artikelen voorkomt, verzoekt het college van bestuur van de Rijksuniversiteit Groningen om zijn persoonsgegevens uit het online archief te verwijderen. Het college neemt het standpunt in dat de Stichting Universiteitsblad ten deze de verantwoordelijke is in de zin van de Wbp. De Raad van State gaat daar niet in mee:

"2.5.1 [...] Naar het oordeel van de Afdeling moet in dit geval het college als de verantwoordelijke worden aangemerkt. Daartoe overweegt zij als volgt.

De domeinnaam waarop de verwerking van de persoonsgegevens van [appellant] heeft plaatsgevonden is eigendom van de Rijksuniversiteit Groningen. Daarnaast heeft het college in zijn verweerschrift van 10 februari 2009 erkend dat de universiteit hosting provider is, en dat van het college verwacht mag worden aan de Stichting Universiteitsblad opdracht te geven om gegevens te verwijderen als deze evident onrechtmatig zijn. Bovendien worden ingevolge de statuten van de Stichting Universiteitsblad het bestuur van deze stichting, de redactieraad, de hoofdredacteur/directeur en de redactiesecretaris benoemd door het college en kan een bestuurslid te allen tijde worden ontslagen door het college. De Afdeling is op grond hiervan van oordeel dat het college het doel en de middelen kan bepalen voor de verwerking van persoonsgegevens en als verantwoordelijke in de zin van artikel 1, aanhef en onder d, van de Wbp dient te worden aangemerkt. Het college heeft zich derhalve ten onrechte op het standpunt gesteld dat het niet aan het verzoek van [appellant] kan voldoen omdat het niet de verantwoordelijke is voor de verwerking van zijn persoonsgegevens."

De Raad van State ziet geen reden om prejudiciële vragen te stellen over de uitleg van het begrip verantwoordelijke.

Betekent deze uitspraak nou ook dat bijvoorbeeld aandeelhouders van een besloten vennootschap die het bestuur kunnen aanstellen en ontslaan, verantwoordelijke zijn van de door de vennootschap verwerkte persoonsgegevens? Dat zou de privacy-wereld op zijn kop zetten!

Lees de uitspraak hier.