Privacy

IT 65

NEN-norm 7510 voor informatiebeveiliging in de zorg wordt vernieuwd

Het NNI bericht dat de NEN-norm 7510 zal worden herzien. Via een speciale website kunnen belangstellende het ontwerpdocument inzien en van commentaar voorzien.

Met dank aan Mark Jansen, Dirkzwager advocaten

NEN normen worden iedere vijf jaar herzien op actualiteit. De norm NEN 7510 stamt alweer uit 2004 en is dus aan revisie toe. NEN 7510 is de Nederlandse implementatie van de internationale norm ISO 27799 (laatst herzien in 2008).

De norm NEN 7510 is voor zorgverleners van belang, aangezien het College Bescherming Persoonsgegevens en de Inspectie voor de Gezondheidszorg zich op het standpunt stellen dat alle ziekenhuizen en andere zorgverleners aan deze norm moeten voldoen. Zie in dat kader onze eerdere berichtgeving hierover.

De uitwerkingen van NEN 7510, neergelegd in de normenserie NEN 7511 en de norm NEN 7512, stammen uit 2005 en zullen ongetwijfeld ook binnen afzienbare tijd worden herzien. Wij houden u ook hiervan op de hoogte.

Dit bericht is oorspronkelijk verschenen op http://dirkzwagerieit.nl/2010/08/19/nen-norm-7510-voor-informatiebeveiliging-in-de-zorg-wordt-vernieuwd/

IT 67

Websitehouders mede-verantwoordelijk voor gebruik tracking cookies door advertentienetwerk

Onlangs heeft de artikel 29 Werkgroep een interessante opinie gegeven over de privacyrechtelijke aspecten van het gebruik van zogenaamde tracking cookies bij advertenties op websites. Een van de punten uit de opinie is dat ook websitehouders die dergelijke advertenties (automatisch) laten plaatsen door een externe aanbieder, verantwoordelijk worden gehouden voor dit cookiegebruik van deze derde. Ook op andere punten is de werkgroep zeer streng over cookies.

Met dank aan Mark Jansen, Dirkzwager advocaten.

Tracking cookies

Veel advertenties op websites worden daar niet geplaatst door de exploitant van die website zelf, maar door een advertentienetwerk. Het merendeel van deze advertentienetwerken maakt gebruik van zogenaamde tracking cookies. Dat wil kort samengevat zeggen dat bij het tonen van een advertentie uit het netwerk een cookie op de computer van de bezoeker wordt geplaatst. Op basis van deze cookie kan deze bezoeker eenvoudig worden geidentificeerd wanneer deze andere websites bezoekt waarvoor door hetzelfde advertentienetwerk de advertenties worden verzorgd.

Aanbieders advertentienetwerken verantwoordelijk voor gebruik tracking cookies

De praktijk laat zien dat er enkele hele grote advertentienetwerken zijn die de advertenties op vele websites wereldwijd verzorgen. Het zijn met name deze grote advertentienetwerken die na verloop van tijd een profiel kunnen opbouwen van de bezoekers aan die websites. Dankzij de tracking cookie wordt deze bezoeker namelijk op iedere website waarop hetzelfde netwerk de advertenties verzorgt door de betreffende aanbieder herkend. Door te kijken welke websites een bepaald persoon bezoekt, wordt al snel duidelijk in welke onderwerpen deze persoon is geinteresseerd. Met deze techniek bouwen deze aanbieders dus in korte tijd een uitgebreide verzameling van persoonsgegevens op. Voor deze verwerkingen van persoonsgegevens zijn deze advertentienetwerken verantwoordelijk. Dat betekent dat de verplichtingen uit de privacywetgeving op hen van toepassing zijn.

Websitehouder mede-verantwoordelijk voor gebruik tracking cookies

Niet alleen de aanbieders van deze advertentiediensten zijn echter verantwoordelijk voor deze verwerkingen van persoonsgegevens. Volgens de werkgroep draagt de houder van de website waarop deze reclame verschijnt hiervoor ook een gedeeltelijke verantwoordelijkheid. Hij kiest er immers bewust voor om ruimte op zijn website te reserveren voor advertenties die door een netwerk worden geplaatst.

Het praktische gevolg van deze mede-verantwoordelijkheid is dat deze websitehouder de bezoeker vooraf goed moet informeren dat er gebruik wordt gemaakt van een advertentienetwerk en welke consequenties op het gebied van privacy dit voor hem heeft (zoals het gebruik van tracking cookies door het advertentienetwerk). Die informatie mag volgens de werkgroep niet zijn weggestopt in algemene voorwaarden of privacy statements.

De aanbieder van het advertentienetwerk houdt overigens zijn eigen verantwoordelijkheden om de gebruiker zelfstandig te informeren. Volgens de werkgroep zou het echter logisch zijn wanneer die informatie van het advertentienetwerk te vinden is op de website die gebruik maakt van deze diensten. De websitehouder zou dus ruimte moeten reserveren op zijn website om zo het advertentienetwerk in staat te stellen tegemoet te komen aan zijn informatieverplichtingen.

Toestemming plaatsen cookie vereist

Een ander opvallend punt is dat de artikel 29 Werkgroep de algemene regels over cookies, zoals deze zullen luiden na de eerstvolgende wijziging , zeer streng interpreteert.

Na de aanstaande wijziging van de cookieregels moet vooraf de toestemming moet worden verkregen van de websitebezoeker voor het plaatsen van een cookie. Dat is althans de tekst van de richtlijn. Die richtlijn moet omgezet worden naar nationaal recht. Dan pas zal blijken of die soep daadwerkelijk zo heet gegeten wordt. Over hoe de Nederlandse regels er ter zake uit zouden moeten komen te zien is op dit moment namelijk nog veel discussie.

De Artikel 29 Werkgroep interrepteert de eis uit de nieuwe richtlijn echter zo dat voor het plaatsen van iedere cookie er duidelijke informatie moet worden gegeven en toestemming moet worden gevraagd. Volgens de werkgroep hoeft geen afzonderlijke toestemming voor zowel het plaatsen al het vervolgens weer uitlezen van het cookie te worden verkregen. Wel moet een eenmaal gegeven toestemming volgens de werkgroep (1) beperkt in tijd zijn, (2) periodiek worden herzien en (3) altijd kunnen worden ingetrokken.

Gebruik van standaardinstellingen browser niet voldoende

Volgens de Artikel 29 Werkgroep mag er daarbij bovendien niet van uit worden gegaan dat wie op basis van zijn computerinstellingen cookies accepteert, daarmee toestemming heeft gegeven voor het plaatsen van cookies. De meeste computers hebben dit namelijk standaard zo ingesteld. Volgens de Artikel 29 Werkgroep mag hier niet uit worden afgeleid dat de betrokkene daadwerkelijk zijn toestemming voor het plaatsen van die cookies heeft gegeven. Ze geeft hiervoor drie redenen: (1) uit passief handelen kan nooit een actieve toestemming worden afgeleid, (2) toestemming geven via de computerinstellingen is niet zaligmakend nu sommige cookies zich van die instellingen niets aantrekken en (3) algemene toestemming via de computerinstelling kan nooit op alle specifieke geplaatste cookies zien.

Geen advertenties met tracking cookies op websites gericht op kinderen

De werkgroep overweegt verder dat kinderen jonger dan 16 jaar de vereiste toestemming nog niet mogen geven. Deze toestemming moet volgens de wet afkomstig zijn van hun ouders. Dat betekent dat ook de informatievoorziening op de ouders moet zijn gericht.

Mede gezien de kwetsbaarheid van kinderen stelt de werkgroep in het algemeen dat reclame met tracking cookies specifiek gericht op kinderen niet zou moeten plaatsvinden.

Geen tracking cookies op websites over gezondheid, politiek, etc.

Een ander opvallend punt is het volgende. De artikel 29 Werkgroep wijst er op dat het verwerken van zogenaamde “bijzondere persoonsgegevens” alleen is toegestaan met de uitdrukkelijke toestemming van de betrokkene. Bijzondere persoonsgegevens zijn alle gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven en de persoonsgegevens betreffende het lidmaatschap van een vakvereniging (zie ook artikel 16 WBP). Die gevoelige gegevens mogen niet worden verwerkt zonder uitdrukkelijke toestemming. Tot zover niets nieuws.

De conclusie die de werkgroep hieraan in het kader van tracking cookies verbindt is wel opvallend. De aanbieder van advertentiediensten bouwt dankzij de tracking cookies een profiel van de bezoekers op (zie hiervoor). Wanneer deze aanbieder ook websites van bijvoorbeeld medicijnfabrikanten van advertenties voorziet, kan dit betekenen dat in de profielen na verloop van tijd bijzondere persoonsgegevens staan opgenomen. Uit de tracking cookies kan immers blijken dat een bepaalde persoon regelmatig informatie over een bepaalde ziekte of een bepaald medicijn heeft opgezocht.

Die informatie is te kwalificeren als een bijzonder persoonsgegeven. Dit betekent dat alle websites waarbij uit het enkele feit dat iemand die website bezoekt al een bijzonder persoonsgegeven zou kunnen worden afgeleid, dus voortaan alleen nog advertenties met tracking cookies mogen plaatsen wanneer zij hiervoor vooraf de uitdrukkelijke toestemming aan de websitebezoeker vragen. Dit zal vermoedelijk de doodsteek van dergelijke advertenties op dergelijke websites zijn.

Slotopmerking

De artikel 29 Werkgroep heeft een duidelijke visie op het gebruik van tracking cookies gegeven. Deze visie is streng te noemen. De praktijk zal moeten laten zien in hoeverre deze strenge visie, na de wetswijziging, door de nationale privacytoezichthouders daadwerkelijk gehandhaafd zal worden. Bovendien moet niet vergeten worden dat deze visie geschreven is in het kader van wetgeving die nog in werking moet treden (uiterlijk 25 mei 2011). Mogelijk dat zich in de tussentijd nog nadere ontwikkelingen voordoen.

Dit bericht is oorspronkelijk verschenen op http://dirkzwagerieit.nl/2010/07/01/websitehouders-mede-verantwoordelijk-voor-gebruik-tracking-cookies-door-advertentienetwerk/

IT 9

Europese pivacytoezichthouders: Opt-in bij monitoren surfgedrag

In een gezamenlijke Opinie geven de Europese privacytoezichthouders (verenigd in de zogeheten Artikel 29-werkgroep) aan hoe de nieuwe EU-regels voor elektronische privacy moeten worden toegepast op ‘online behavioural advertising’.

Met ‘behavioural advertising‘ bedoelen de toezichthouders het voortdurend volgen van individueel surfgedrag over meerdere websites en het gericht adverteren op basis van die informatie. Dit kan mensen voordeel opleveren, maar kan ook nadelige gevolgen hebben voor hun persoonlijke levenssfeer. Het volgen van surfgedrag kan derde partijen namelijk een zeer gedetailleerd beeld geven van het online gedrag van personen. De Europese privacytoezichthouders roepen advertentienetwerken en browserontwikkelaars onder meer op simpele en effectieve mechanismen te ontwikkelen zodat gebruikers ondubbelzinnige toestemming kunnen geven voor online behavioural advertising.

Lees het persbericht op de website van het College bescherming persoonsgegevens. Lees de opinie van de Artikel 29-werkgroep hier.

IT 91

De modelcontracten van de Europese Commissie voor export van persoonsgegevens

Voor de kennisdatabank. Met ingang van 15 mei 2010 heeft de Europese Commissie aangepaste model contractbepalingen vastgesteld voor doorgifte van persoonsgegevens naar landen buiten de EU waar geen passend beschermingsniveau wordt geboden. Met dank aan Bieneke Braat (Certa Legal).

Nieuw aan de model bepalingen is dat het nu ook voor de gegevensimporteur mogelijk is geworden persoonsgegevens door te geven aan sub-verwerkers. De Europese Commissie zegt daarmee in te spelen op de uitbreiding van verwerkingsprocessen en nieuwe vormen van dienstverlening voor de internationale verwerking van persoonsgegevens.

Onder sub-verwerker wordt verstaan:

”een verwerker die door de gegevensimporteur of een andere voor de gegevensimporteur werkende subverwerker is gecontracteerd en die overeenkomt van de gegevensimporteur of van een andere voor de gegevensimporteur werkende subverwerker persoonsgegevens te ontvangen, uitsluitend ten behoeve van de verwerkingsactiviteiten die namens de gegevensexporteur worden verricht na de doorgifte, overeenkomstig de instructies van de gegevensexporteur, de voorwaarden van de bepalingen en de voorwaarden van het schriftelijke contract inzake subverwerking.”

Uitbesteding van de gegevenswerking aan sub-verwerkers kan slechts met voorafgaande schriftelijke toestemming van de gegevensimporteur en slechts op grond van een contract. De gegevensimporteur moet een lijst bijhouden van de met sub-verwerkers gesloten contracten en moet deze lijst verstrekken aan de toezichthouder in het land van de verantwoordelijke.

Betrokkenen kunnen een aantal van de bepalingen jegens de sub-verwerker (zoals informatieplicht bij lokale wetswijzigingen, inzageverzoeken van lokale autoriteiten en onbevoegde toegang door derden, het treffen van beveiligingsmaatregelen en aansprakelijkheid) afdwingen wanneer zowel de gegevensexporteur als de gegevensimporteur is opgehouden te bestaan zonder dat er een rechtsopvolger is. De aansprakelijkheid van de sub-verwerker blijft beperkt tot de werkzaamheden die deze op grond van de modelbepalingen uitvoerde.

De oude bepalingen in bestaande contracten blijven van toepassing zolang die niet wijzigen. Als dat wel het geval is of de verwerkingsactiviteiten worden uitbesteedt, dan moet daarvoor een nieuwe overeenkomst worden gesloten.

Hier vindt u de link naar de contracten.

IT 64

CBP uit zorgen over inzet ASP/SaaS in de zorg

In een brief aan Minister Klink van VWS van december 2009 heeft het College Bescherming Persoonsgegevens (CBP) haar zorgen geuit over het toenemende gebruik door zorginstellingen van ASP of SaaS. Daarbij worden patiëntgegevens extern opgeslagen en kunnen deze door de zorgverlener via internet worden benaderd. Deze brief biedt een interessante kijk in de zienswijze van het CBP ten aanzien van de inzet van ASP en SaaS in de zorg en de risico’s daarvan.

Met dank aan Ernst-Jan van de Pas, Dirkzwager advocaten.

Risico’s ASP in de zorg
Zorgverleners hebben een medisch beroepsgeheim. In de brief signaleert het CBP meerdere risico’s bij de inzet van ASP in de zorg die dat beroepsgeheim kunnen ondermijnen. Zo bestaat het risico dat de ASP-dienstverlener patiëntgegevens onvoldoende beveiligt en dat de gegevens onder omstandigheden zichtbaar zijn voor andere dan de gecontracteerde zorgverlener, zoals personeel of andere klanten van de ASP-dienstverlener. Ook moet rekening worden gehouden met de mogelijkheid van verlies en verminking van gegevens. Verder wijst het CBP erop dat de zorgverlener in de uitoefening van zijn praktijk in hoge mate afhankelijk is van de diensten van de ASP-dienstverlener. Dit kan er in de praktijk zelfs toe leiden dat een zorgverlener vast komt te zitten aan zijn dienstverlener (vendor lock-in). Door deze afhankelijkheid bestaat het risico dat de zorgverlener zijn zeggenschap over de verwerking van persoonsgegevens verliest, terwijl het beroepsgeheim onverminderd op hem rust.

ASP-dienstverlener is bewerker in de zin van de WBP
Het CBP meent dat de ASP-dienstverlener kan worden gekwalificeerd als bewerker in de zin van de Wet Bescherming Persoonsgegevens (WBP), maar wijst erop dat het medisch beroepsgeheim (vastgelegd in artikel 7:477 BW) geen onderscheid maakt tussen “verantwoordelijke” en “bewerker” zoals de WBP dat wel doet. Op grond van dat beroepsgeheim mag de hulpverlener geen inlichtingen over de patiënt of inzage in of afschrift van bescheiden verstrekken aan anderen dan de patiënt, tenzij de patiënt daar toestemming voor heeft gegeven. Die toestemming is niet nodig indien de patiëntgegevens worden verstrekt aan derden die rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst en die verstrekking noodzakelijk is voor de door hen in het kader te verrichten werkzaamheden.

ASP-dienstverlener rechtstreeks betrokken bij uitvoering behandelingsovereenkomst?
Volgens het CBP is (als de patiënt geen toestemming heeft gegeven) bewerkerschap in de zorg alleen mogelijk indien de ingeschakelde bewerker “rechtstreeks betrokken” is bij de uitvoering van een behandelingsovereenkomst. De vraag is of een ASP-dienstverlener rechtstreeks betrokken is bij de uitvoering van een dergelijke overeenkomst. Die vraag is niet eenvoudig te beantwoorden. Wel merkt het CBP op dat ook anderen dan zorgverleners rechtstreeks betrokken kunnen zijn en dat dit niet per se personen hoeven te zijn die handelingen verrichten op het gebied van de geneeskunst. Anderzijds merkt het CBP op dat het gelet op de tekst van de wet niet evident is dat ASP-dienstverleners ook rechtstreeks betrokken zijn bij de uitvoering van de behandelingsovereenkomst.

Geen principiële bezwaren tegen ASP
Een belangrijk standpunt dat het CBP in de brief inneemt, is dat zij aangeeft dat er vanuit algemene principes van gegevensbescherming geen principiële bezwaren bestaan tegen de uitbesteding van verwerking van patiëntgegevens indien en zover het medisch beroepsgeheim daarbij wordt gerespecteerd. Dat laatste betekent concreet dat waarborgen moeten worden opgenomen voor een veilige en discrete verwerking van de ASP-dienstverlener. Het CBP verwijst in dit licht naar de toepassing van de normen NEN 7510/7511/7512, aangevuld met specifieke normen die zien op de verhouding zorgverlener – ASP, bijvoorbeeld ten aanzien van de zeggenschap van de zorgverlener over de uitbestede verwerking en de bij de ASP aanwezige persoonsgegevens.

Nadere regulering geboden
Het CBP merkt op dat aan de patiënt– voor zover bekend – geen toestemming wordt gevraagd voor het onderbrengen van zijn gegevens bij een ASP-dienstverlener. Het is de vraag of het medisch beroepsgeheim ruimte biedt voor dergelijke manier van gegevensverwerkingen. Door deze onduidelijkheid is de praktijk niet normvast, aldus het CBP. Verder concludeert het CBP dat de mate waarin aandacht wordt geschonken aan de bescherming van persoonsgegevens dusdanig uiteen loopt, dat nadere regulering is geboden. “Hierbij kan worden gedacht aan wetgeving of zelfregulering. Vanwege het medisch beroepsgeheim dienen daarbij hoge eisen te worden gesteld aan de uitbestede gegevensverwerking. Er zullen stevige waarborgen moeten worden geboden voor een veilige en discrete verwerking bij de dienstverlener. Uitbesteding mag er immers nooit toe leiden dat op ongerechtvaardigde wijze gegevens aan personen of instellingen buiten de gezondheidszorg worden gebracht.”

Conclusie
Kort gezegd komt de brief neer op het volgende. Enerzijds is duidelijk dat het CBP in beginsel geen principiële bezwaren ziet tegen toepassing van ASP en SaaS in de zorg. Wel maakt het CBP zich zorgen over het ontbreken van heldere regels op dat vlak en roept zij de minister. Het wachten is nu op een antwoord van de Minister. Tot die tijd doen zorginstellingen en ASP/SaaS aanbieders er goed aan om goede afspraken te maken over hoe met patiëntgegevens omgaan.

Dit bericht is oorspronkelijk verschenen op http://dirkzwagerieit.nl/2010/03/03/cbp-uit-zorgen-over-inzet-aspsaas-in-de-zorg/

IT 69

Vergaand recht op inzage in dossier met eigen persoonsgegevens bij verzekeraar wederpartij

De rechtbank Zutphen heeft onlangs een interessante beschikking gegeven over het inzagerecht in dossiers met persoonsgegevens die een ander aanlegt. Deze beschikking bevestigt de vergaande consequenties van het inzagerecht voor de praktijk (Rechtbank Zutphen, 08-10-2009, LJN: BK4206). Eerder heeft de Hoge Raad al geoordeeld over het inzagerecht in beleggingsdossiers bij banken. Nu oordeelt de rechtbank Zutphen over inzage in een dossier bij een verzekeraar.

Met dank aan Mark Jansen, Dirkzwager advocaten.

De zaak handelt over een vrouw die verwikkeld is in een juridische procedure met een ziekenhuisarts over een (vermeende) beroepsfout van die arts. Terwijl die rechtszaak over aansprakelijkheid nog loopt, doet deze vrouw richting Centraal Beheer, de verzekeraar van het ziekenhuis, een beroep op artikel 35 Wet bescherming persoonsgegevens met het verzoek om haar een volledig overzicht te verstrekken van (1) de persoonsgegevens die van haar worden verwerkt en (2) aan wie deze gegevens verstrekt zijn.

Centraal Beheer geeft daarop een overzicht van de bij deze verwerkingen betrokken personen en een twee pagina’s tellende lijst met stukken die over de verzoekster in het dossier zijn opgenomen.

Daarop stelt de vrouw voor de rechtbank dat dit overzicht niet compleet is en dat ze bovendien recht heeft op afschrift van de gegevens. Centraal Beheer verweert zich in deze procedure met de stelling dat de WBP helemaal niet van toepassing is, nu het een papieren dossier betreft. De rechtbank passeert dit verweer door aan te geven dat de WBP naast bij alle geautomatiseerde verwerkingen van persoonsgegevens, krachtens artikel 2 lid 1 WBP ook van toepassing is bij in een “bestand” opgenomen persoonsgegevens. Aangezien het dossier gestructureerd van aard is (althans logischer wel gestructureerd moet zijn), voldoet het dossier van Centraal Beheer volgens de rechtbank aan de definitie van “bestand”. De WBP is dus wel van toepassing. Ook bij papieren dossiers zal dus veelal een inzagerecht bestaan.

Interessant is dat rechtbank oordeelt dat het inzagerecht ook ziet op aanbiedingsbrieven waarin persoonsgegevens van de vrouw aan derden worden verstrekt. Gezien de tekst van de wet moge dit niet zo verrassend zijn, maar wat staat er al niet (aan bijvoorbeeld “sappig” commentaar) in dergelijke briefjes?

Een ander interessant punt is dat de rechtbank oordeelt dat het inzagerecht niet ziet op afschrift van interne notities en werkaantekeningen. Interne werkaantekeningen behoren namelijk niet tot het dossier (aldus de rechtbank). Voor dit oordeel sluit de rechtbank aan bij hetgeen hierover is bepaald in de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, waarvoor tot 5 februari 2008 een verklaring van geen bezwaar van het College Bescherming Persoonsgegevens gold. Ook krijgt de betrokkene om die reden geen inzage in de correspondentie over de zaak die Centraal Beheer met haar advocaat heeft gevoerd. Gezien het ruime inzagerecht dat volgt uit het kader van de Hoge Raad (zie slot van dit stukje), is het de vraag of deze beperking op het inzagerecht inderdaad moet worden aangenomen. Anderzijds is de vraag of bij alle correspondentie uit het dossier nog wel steeds sprake is van “verwerking van persoonsgegevens”. Deze discussie krijgt ongetwijfeld nog wel een vervolg in een andere zaak.

Centraal Beheer wordt uiteindelijk bevolen om een volledig overzicht te verstrekken van elke verwerking van persoonsgegevens, door alle informatiedragers op te geven waarop deze persoonsgegevens staan. Ook moet zij afschrift geven van de door verzoekster geselecteerde informatiedragers, tenzij dit interne notities, werkaantekeningen of correspondentie met haar advocaat betreft. Daarnaast had de vrouw nog andere vorderingen ingediend – zoals een verbod voor Centraal Beheer haar persoonsgegevens verder te verwerken en een schadevergoeding – maar deze vorderingen moet zij volgens de rechtbank in een normale dagvaardingsprocedure aanhangig maken (in plaats van in deze verzoekschriftprocedure).

De uitspraak van de Rechtbank Zutphen lijkt overigens in lijn met vaste rechtspraak van de Hoge Raad. In een hele serie uitspraken gegeven op 29-06-2007 (zie bijvoorbeeld deze uitspraak) over dit inzagerecht, gaf hij namelijk in steeds gelijke bewoordingen aan dat dit recht ziet op het verkrijgen van een “transparant en volledig” overzicht waarbij “alle relevante informatie over de betrokkene” moet worden verstrekt, waar nodig “door het verstrekken van afschriften, kopieën of uittreksels“. Een beroep op het inzagerecht hoeft volgens de Hoge Raad bovendien niet gemotiveerd te worden: de betrokkene wiens gegevens het betreft kan “volstaan met een verwijzing naar art. 35 Wbp en behoeft geen nadere redenen op te geven“.

Dit bericht verscheen oorspronkelijk op http://dirkzwagerieit.nl/2009/12/09/vergaand-recht-op-inzage-in-dossier-met-eigen-persoonsgegevens-bij-verzekeraar/

IT 73

Privacywetgeving mogelijk niet van toepassing bij slaafs kopiëren persoonsgegevens

Diverse exploitanten van zoekmachines hebben onlangs van de samenwerkende privacytoezichthouders het verzoek gekregen in verband met privacywetgeving hun dienstverlening aan te passen. Interessant is dat uit deze verzoeken volgt dat er kennelijk situaties denkbaar zijn waarop de (strenge) privacywetgeving niet van toepassing is

Met dank aan Mark Jansen, Dirkzwager advocaten.

Alle toezichthouders op de privacywetgeving in Europa zijn verenigd in de zogenaamde “Artikel 29 Werkgroep” (zie over die werkgroep ons eerdere blogbericht). Deze werkgroep heeft onlangs brieven gestuurd aan Yahoo, Microsoft en Google. In deze brieven geeft de werkgroep aan wat er volgens haar nog (meer) moet gebeuren om de dienstverlening van deze bedrijven in overeenstemming met de privacywetgeving te krijgen.

In dit blogbericht richt ik me op de brief aan Google. Uit deze brief blijkt dat, kort gezegd, van Google wordt verlangd dat zij:

  • de zoekgegevens tot maximaal 6 maanden bewaart (nu: 9 maanden);
  • die zoekgegevens volledig onomkeerbaar anonimiseert
    • meer specifiek door het gehele IP-adres te verwijderen (en niet alleen het laatste deel);
    • daar waar (geanonimseerde) zoekresultaten op indirecte wijze toch persoonsgegevens prijsgeven, deze gegevens beperken zodat indirecte identificatie niet mogelijk is;
  • beter en sneller voldoet aan verzoeken om gegevens uit de zoekresultaten te verwijderen.

Eén punt in de brief valt specifiek op. Google heeft betoogd dat zij als zoekmachine niet kan worden aangemerkt als verantwoordelijke voor de persoonsgegevens die op de door haar geindexeerde websites staan, omdat zij slechts als passief doorgeefluik van die gegevens werkt (mere conduit). De Artikel 29 Werkgroep is het hier mee eens: “the Working Party agrees with that rationale”.

Dit is opvallend en wel om de volgende reden. Google werkt met een cache-kopie van alle websites die zij heeft geïndexeerd. Google heeft met andere woorden een kopie opgeslagen van de websites en de daarop vermelde persoonsgegevens. Kopiëren van persoonsgegevens is onmiskenbaar een vorm van “verwerken”. Het systeem van de privacyrichtlijn is vervolgens vrij overzichtelijk: wanneer persoonsgegevens van een EU-burger worden “verwerkt”, is er altijd een bedrijf of instelling die als “verantwoordelijke” voor die verwerking aan te wijzen is. De privacyrichtlijn maakt geen uitzondering voor passieve verwerking. Je zou dus verwachten dat Google in deze situatie als “verantwoordelijke” zou zijn aangemerkt. Het opvallende is echter dat de Werkgroep concludeert dat Google wel verwerkt, maar niet als verantwoordelijke hiervoor kan worden aangemerkt.

Dit lijkt een behoorlijke beperking op het systeem van privacybescherming op te leveren. Wie (persoons)gegevens slechts kopieert en vervolgens onbewerkt doorgeeft aan anderen, zou niet als “verantwoordelijke” aan te merken zijn. Dat zou voor veel exploitanten van websites en andere ondernemers betekenen dat de Wet bescherming persoonsgegevens niet of verminderd op hen van toepassing zijn.

Toch kan deze conclusie niet te snel worden getrokken. De Werkgroep vervolgt namelijk met de opmerking: “However, as soon as data on websites are removed or changed, you do become the controller of the (outdated) personal data contained in the index or Google cache.”. Dit is een belangrijke nuance. Praktisch gesproken kan een exploitant van een zoekmachine immers niet garanderen dat de door haar gekopieerde pagina’s nog ongewijzigd op het web staan, hetgeen haar al snel weer tot “verantwoordelijke” maakt.

Conclusie is dat de (verstrekkende en strenge) privacywetgeving nagenoeg altijd van toepassing is, maar dat een (buitenwettelijke) uitzondering kennelijk wel verdedigbaar is. Verder valt op dat het de toezichthouders op de privacy kennelijk ernst is, nu ze deze grote ondernemingen zo actief sommeert hun beleid te herzien.

Dit bericht is oorspronkelijk verschenen op: http://dirkzwagerieit.nl/2009/11/12/privacywetgeving-mogelijk-niet-van-toepassing-bij-slaafs-kopieren-persoonsgegevens/