Privacy  

HvJ EU 17 oktober 2013, zaak C-291/12 (Michael Schwarz tegen Stadt Bochum) - dossier - persbericht
Verzoek om een prejudiciële beslissing, Verwaltungsgericht Gelsenkirchen.
Rechtsgeldigheid van artikel 1, lid 2, van verordening (EG) nr. 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten in het licht van artikel 8 van het Handvest voor de grondrechten van de Europese Unie alsook van artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Recht van een persoon op afgifte van een paspoort zonder dat zijn vingerafdrukken worden opgeslagen.

Hoewel het afnemen van vingerafdrukken en het bewaren hiervan in het paspoort een aantasting vormen van de rechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens, zijn deze maatregelen niettemin gerechtvaardigd om elk frauduleus gebruik van paspoorten te voorkomen.

Het Hof verklaart voor recht:

Bij het onderzoek van de prejudiciële vraag is niet gebleken van feiten of omstandigheden die de geldigheid van artikel 1, lid 2, van [veiligheidskenmerken en biometrische gegevens in paspoorten verordening] kunnen aantasten.

Gestelde vragen:

Is artikel 1, lid 2, van verordening (EG) nr. 2252/20042 van de Raad van 13 december 2004, zoals gewijzigd bij verordening (EG) nr. 444/2009 van het Europees Parlement en de Raad van 6 mei 2009, rechtsgeldig?

Kamerbrief over persoonsgegevens bij digitale tv en Netflix, kenmerk 2013ZI7357.
1. Deelt u de blijdschap dat Netflix eindelijk in Nederland actief is geworden en dat het legale betaalde aanbod van audiovisuele diensten een impuls krijgt?

De komst van Netflix in Nederland heeft ervoor gezorgd dat geïnteresseerden eenvoudig en legaal toegang kunnen krijgen tot een grote collectie aan films, series en documentaires voor een vast bedrag per maand. Netflix is hiermee de eerste speler die in Nederland een dergelijk groot aanbod beschikbaar maakt. Gezien de recente aankondiging van RTL Nederland met de overname van Videoland zijn er meer partijen die zich opmaken om een “all you can watch” abonnement aan te gaan bieden.

2. Heeft u kennisgenomen van de privacyvoorwaarden van Netflix? 1) Ja.

3. Klopt het dat deze voorwaarden omschreven zouden kunnen worden als voorwaarden Amerikaanse stijl, dat wil zeggen dat in plaats van persoonsdataminimalisatie meer gebruik wordt gemaakt van een contract waarbij alle gegevens worden overgedragen en een definitie van persoonsgegevens die enkel direct tot de persoon herleidbare gegevens omvat?

Het klopt dat de “definitie van persoonsgegevens” in de privacyvoorwaarden van Netflix alleen direct tot de persoon herleidbare gegevens omvat.

4. Klopt het dat in Nederland ook andere gegevens onder persoonsgegevens vallen?

Ja. Volgens artikel 1, aanhef en onder a, van de Wet bescherming persoonsgegevens (Wbp) wordt onder een “persoonsgegeven” verstaan: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoon is identificeerbaar indien hij/zij direct of indirect kan worden geïdentificeerd, bijvoorbeeld aan de hand van een identificatienummer. Bepalend is of iemands identiteit – direct of via nadere stappen - redelijkerwijs, dat wil zeggen zonder onevenredige inspanning, kan worden vastgesteld.

5. Hoe zou u gegevens over kijkgedrag kwalificeren waar misschien religieuze en seksuele voorkeuren uit vallen af te leiden?

Het gaat hier om bijzondere (gevoelige) persoonsgegevens als bedoeld in artikel 16 van de Wbp. Aan het verwerken van deze gegevens stelt de Wbp extra hoge eisen. Er geldt een strengere toestemmingseis dan bij gewone persoonsgegevens in die zin dat de uitdrukkelijke toestemming van betrokkene is vereist. Voor interactieve diensten betekent dit dat uitdrukkelijke toestemming pas aanwezig mag worden geacht als de betrokkene zijn verzoek voor een specifieke dienst nog eens middels een aparte klik heeft bevestigd (aldus blz. 67 van de Memorie van Toelichting op de Wbp).

6 Deelt u de mening dat persoonsgegevens ook een waarde hebben en dat door het opgeven van deze gegevens de echte kosten van deze dienst hoger liggen dan de aangeboden prijs?

Persoonsgegevens vertegenwoordigen inderdaad in het commerciële verkeer een zekere waarde. Het hangt echter van het specifieke geval en omstandigheden af welke waarde daaraan kan worden toegekend.

7 Klopt het dat Netflix dit enkel kan doen tot de Wet bescherming persoonsgegevens (Wbp) wordt gehandhaafd? Klopt het voorts dat er tot die tijd sprake is van een concurrentievoordeel ten opzichte van andere partijen zolang Netflix de ruimte krijgt om meer dan andere partijen in Nederland persoonsgegevens te verzamelen en door te verkopen? 8 Maakt het voor het handhaven van de Wbp nog uit dat Netflix vanuit Luxemburg opereert?

Antwoord vraag 7 en 8. De Wbp is niet van toepassing aangezien Netflix geen vestiging in Nederland heeft. Het Cbp heeft dus geen bevoegdheid om ten aanzien van Netflix handhavend op te treden. Deze onderneming valt onder de Luxemburgse privacywetgeving. De EU-privacyrichtlijn geeft een geharmoniseerd hoog niveau van gegevensbescherming. De Luxemburgse wetgeving is net als de Nederlandse Wbp een implementatie van die richtlijn. De Luxemburgse wetgeving en Nederlandse wetgeving worden geacht hetzelfde niveau van privacy te garanderen.

9 Bent u bekend met het artikel waaruit blijkt dat de stichting Kijkonderzoek meer wil weten van kijkers? 2) Ja. 10 Klopt de bewering dat Ziggo persoonsgegevens, zoals het kijkgedrag, mag doorverkopen aan derde partijen? Volstaat hier een opt-out regeling of zou hier formeel sprake moeten zijn van een opt-in regeling?

Volgens de Algemene Voorwaarden van Ziggo verstrekt dit bedrijf persoonsgegevens in beginsel niet aan derden, tenzij er een wettelijke verplichting of gerechtelijk bevel is, dit noodzakelijk is voor de dienstverlening van Ziggo of uitdrukkelijk anders is overeengekomen. Ziggo houdt geen identificeerbare persoonlijke informatie bij over het kijkgedrag, tenzij strikt noodzakelijk voor de uitvoering van de overeenkomst (zoals levering van de ‘On Demand’ of ‘TV op Bestelling’ diensten en facturering daarvan) of na uitdrukkelijke toestemming van de klant (opt-in). Wel gebruikt Ziggo deze informatie in anonieme of geaggregeerde vorm om te kunnen inventariseren en analyseren hoe en in welke mate de verschillende diensten en content worden gebruikt om dienstverlening te verbeteren.

11. Hoe verhoudt al het bovenstaande zich tot de recente uitspraak van het College bescherming persoonsgegevens inzake persoonsgegevens in smart tv’s?
De uitspraak van het Cbp onderstreept het belang van het naleven van de verplichtingen van de Wbp bij het verzamelen en bewaren van persoonsgegevens over online kijkgedrag. Gebruikers dienen heldere informatie te krijgen over het doel van de verwerking van hun persoonsgegevens en wat daar verder mee wordt gedaan. In het geval van cookies waarmee het kijkgedrag wordt vastgelegd, dient de gebruiker bovendien ondubbelzinnige toestemming te geven. Wil er sprake zijn van rechtsgeldige toestemming, dan dient er sprake te zijn van een vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt.

Toetsmodel Privacy Impact Assessment Rijksdienst, Bijlage bij Kamerstukken II 2013/14, 26 643 nr. 28
Zie eerder IT 1219. 1. Wat is een PIA? Een Privacy Impact Assessment (PIA) is een hulpmiddel om bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICT-systemen en aanleg van databestanden, privacyrisico’s op gestructureerde en heldere wijze in kaart te brengen. Het PIA-toetsmodel is specifiek gericht op de Rijksdienst en bedoeld voor toepassing op alle beleidsgebieden en binnen alle rechtsdomeinen.

2. De PIA heeft de vorm van een toetsmodel/vragenlijst. Op die lijst staan zowel feitelijke en technische vragen als vragen die zijn gebaseerd op nationale en Europese juridische vereisten. Het richt zo in een vroegtijdig stadium en op hoofdlijnen de aandacht op alle onderdelen van de beoogde verwerking.
(...)

2. Wanneer is verwerking van persoonsgegevens door de Rijksdienst, inclusief ZBO noodzakelijk (en komt een PIA aan de orde)?

1. Gebruik van persoonsgegevens, waaronder door de overheid, vormt in veel gevallen een inperking van het grondrecht van bescherming van de persoonlijke levenssfeer (artikel 10, leden 2 en 3 Grondwet, artikel 8 EVRM, artikel 8 EU-Grondrechtenhandvest).
2. Zodra hieraan wordt gedacht in het kader van ontwikkeling van beleid en wetgeving, en de daarmee gepaard gaande bouw van ICT-systemen en aanleg van databestanden, moet eerst worden vastgesteld of verwerking van persoonsgegevens noodzakelijk is voor het te bereiken doel. Hierbij speelt zowel de vraag naar subsidiariteit als proportionaliteit.

Hierboven is slechts een selectie te vinden, lees de Bijlage.

CBP. 'Conferentie wereldwijde privacytoezichthouders: aandacht voor privacy bij apps', CBPweb.nl 27 september 2013
Uit de mededeling: De wereldwijde privacytoezichthouders hebben aangekondigd de privacy van app-gebruikers te willen verbeteren en verschillende spelers in de app-industrie aan te spreken en te wijzen op hun verantwoordelijkheden. Indien nodig zullen de privacytoezichthouders gezamenlijk handhavend optreden. Dit kondigde Jacob Kohnstamm woensdag aan in zijn hoedanigheid als voorzitter van het Uitvoerend Comité van de Internationale Conferentie van Toezichthouders voor Privacy en Gegevensbescherming.

​Lees de slotverklaring en de resoluties op de website van de Internationale Conferentie

​Appification of society
De wereldwijde privacytoezichthouders kwamen onlangs bijeen en bespraken onder meer de `appification of society'. Jacob Kohnstamm presenteerde de gezamenlijke slotverklaring over dit onderwerp tijdens een persconferentie op woensdag 25 september. “Wij willen het gemak en de lol die apps bieden niet bederven, maar wij willen het misbruik van persoonsgegevens tegengaan. Het is belangrijk dat gebruikers zeggenschap houden over hun eigen gegevens. Zij moeten zelf kunnen beslissen welke informatie zij met wie delen en voor welke doelen. Zij moeten niet verrast worden door verborgen functies van de app die zorgen voor geheime overdracht van gegevens”, aldus Jacob Kohnstamm.

App-ontwikkelaars en providers
App-ontwikkelaars moeten voldoen aan bestaande privacy wet- en regelgeving van over de hele wereld. Om dat te bereiken én tegelijk een prettige app in het gebruik te blijven, is het van belang dat al bij de ontwikkeling van een app wordt nagedacht over privacy-aspecten. Op deze manier kan privacy ook een concurrentievoordeel opleveren, omdat het product aan consumentenvertrouwen wint.

De privacytoezichthouders spreken in de slotverklaring ook providers van besturingssytemen aan. De providers zijn in de eerste plaats verantwoordelijk voor hun platform. Deze partijen  bieden weliswaar algemene privacy-instellingen aan op hun apparaten, maar deze instellingen zijn onvoldoende specifiek om de gebruiker volledige zeggenschap over zijn persoonsgegevens te geven.

Resoluties
Tijdens de besloten vergadering hebben de wereldwijde privacytoezichthouders meerdere resoluties aangenomen. Een belangrijke resolutie roept op tot een aanvulling van het Verdrag inzake Burgerrechten en Politieke rechten. In een speciaal protocol zouden standaarden moeten worden vastgelegd om van gegevensbescherming een wereldwijd erkend grondrecht te maken.

De toezichthouders namen ook een resolutie aan die criteria bevat voor webtracking, waarbij onder meer speciale aandacht zou moeten uitgaan naar kinderen en naar een betere standaard voor zeggenschap van de gebruiker. In een andere resolutie is vastgelegd dat de toezichthouders internationaal nog actiever gaan samenwerken.

CBP, 'Grote woonbemiddelaar past online zoekportaal aan na optreden CPB , CPBweb.nl 17 september 2013
Uit de mededeling: E​en grote woonbemiddelaar in de sociale huurmarkt heeft zijn online zoekportaal aangepast zodat de persoonsgegevens van woningzoekenden niet langer zonder hun toestemming worden gebruikt voor marketingdoeleinden. De aanpassing vond plaats naar aanleiding van onderzoek van het College bescherming persoonsgegevens (CBP). Uit het onderzoek bleek dat de wijze waarop de woonbemiddelaar aan woningzoekenden toestemming vroeg voor het gebruik van hun persoonsgegevens in strijd met de wet was. Zo stond in het privacyreglement dat de gegevens van woningzoekenden met andere partijen worden gedeeld voor marketingdoeleinden. Als woningzoekenden hiermee niet akkoord gingen, konden zij zich niet inschrijven en kwamen zij niet in aanmerking voor een (sociale) huurwoning. Het niet geven van toestemming had aldus belangrijke nadelige gevolgen voor de woningzoekende. Omdat de woonbemiddelaar woningzoekenden nu de mogelijkheid biedt om vrijelijk aan te geven of gebruik mag worden gemaakt van hun persoonsgegevens voor bepaalde marketingdoeleinden zoals marktrapportages, is niet langer sprake van strijd met de Wet bescherming persoonsgegevens.

CBP, 'Besluit waarschuwingsregister Hotel Waarschuwingsnetwerk, CPBweb.nl 30 augustus 2013
Uit de mededeling: Het College bescherming persoonsgegevens (CBP) heeft de door de organisatie Hotel Waarschuwingsnetwerk gemelde verwerking van persoonsgegevens (Protocol Waarschuwingsregister Hotel Waarschuwingsnetwerk) rechtmatig verklaard. De gemelde verwerking houdt in dat de organisatie strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag verwerkt ten behoeve van derden, terwijl de organisatie geen vergunning heeft op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus. De goedkeuring geldt voor een termijn van zes jaar na de datum van bekendmaking in de Staatscourant.

​Waarschuwingsregister (zwarte lijst) HWN
Hotels hebben steeds vaker last van ongewenst gedrag van personeel, gasten of bezoekers, dat schade en/of onveiligheid veroorzaakt. Het gaat daarbij onder meer om geweld, bedreigingen, uitlokking, handelen in drugs, fraude, oplichting, diefstal en discriminerend gedrag.
 
Omdat bestaande maatregelen tegen dit ongewenste gedrag onvoldoende werken, hebben de hotels die zijn aangesloten bij Hotel Waarschuwingsnetwerk (HWN) besloten een zwarte lijst op te stellen van overlastveroorzakers (het zogeheten waarschuwingsregister HWN).
 
Het College bescherming persoonsgegevens (CBP) heeft het protocol beoordeeld dat het opnemen van persoonsgegevens op de zwarte lijst regelt en de uitwisseling van deze gegevens tussen de hotels. Het CBP heeft het protocol in overeenstemming bevonden met de eisen van de Wet bescherming persoonsgegevens.
 
Beroep tegen CBP-besluit
Belanghebbenden kunnen ingevolge de Algemene wet bestuursrecht beroep instellen bij de rechtbank tegen het besluit van het CBP om de beschreven verwerking rechtmatig te verklaren. De termijn vangt aan met ingang van de dag na bekendmaking van het besluit in de Staatscourant, nr. 24198, 30 augustus 2013.  
 
Het besluit en de onderliggende stukken liggen ter inzage van maandag t/m vrijdag tussen 10.00 uur en 16.00 bij het CBP, Juliana van Stolberglaan 4-10 te Den Haag. U dient hiervoor een afspraak te maken. Ook zijn het besluit en het protocol te downloaden via bovenstaande links.

LEAFLET with studies related to Data protection.
Zie eerder IT 869. Data verwerking heeft een behoorlijke evolutie doorstaan. Als antwoord hierop heeft de Europese Commissie voorstellen gedaan om in een modern, consistent en sterk wettelijk raamwerk te voorzien. Het betreft data verwerking processen in de EU door zowel private als publieke instellingen. In deze folder wordt een compilatie van documenten, voorbereid door het Europees Parlement, weergegeven.

Background
Data processing has changed extensively in the last two decades and attitudes towards data privacy have undergone considerable evolution. In response to all these issues, the European Commission proposed a package of proposals in January 2012 - a Regulation and a Directive - to eliminate the current legal fragmentation and provide a modern, consistent and strong legal framework for all data processing activities in the EU for the years to come.

The Regulation lays down the legal framework applicable to data processing activities in the EU, either by private or public entities. The Directive sets out the legal framework applicable to processing activities by law enforcement authorities for law enforcement purposes.  The European Parliament is co-legislator with the Council.

Inside
This leaflet provides extracts from a compilation of papers prepared by the European Parliament’s Policy Departments on “Economic and Scientific Policy” and on “Citizens’ Rights and Constitutional Affairs” in relation to broad data protection issues in the EU.

Vzr. Rechtbank Limburg 31 juli 2013, ECLI:NL:RBLIM:2013:4624 (Via Facebook lastigvallen)
Facebook, smaad, lastigvallen. Te ruime vordering: noemen van de naam op familiefeest. Partijen hadden gedurende ongeveer veertien jaren een relatie met elkaar gehad en hieruit zijn twee thans nog minderjarige kinderen geboren. De vrouw heeft reeds eerder jegens de man een kort geding procedure geëntameerd (zaaknummer 178734 / KG ZA 13-83 [red. opgevraagd bij de Rechtbank]).

Ter zitting van 20 maart 2013 hebben partijen afspraken gemaakt, waarna de vrouw haar vorderingen - met instemming van de man - heeft ingetrokken. Al vrij snel na 20 maart 2013 hield de man zich niet meer aan de gemaakte afspraken: hij viel de vrouw lastig via Whatsapp en verspreidde via Facebook informatie over de vrouw en de kinderen.

De vrouw vordert dat de voorzieningenrechter de man verbiedt om de vrouw telefonisch danwel via internet of enig elektronisch berichtenverkeer lastig te vallen en/of privégegevens van de vrouw en/of de kinderen van partijen, waaronder begrepen haar naam in het openbaar te doen circuleren op welke wijze dan ook met name via internet en ander elektronisch verkeer, onder verbeurte van een dwangsom.

Volgens de voorzieningenrechter kan er niet, althans niet zonder nadere toelichting, worden geoordeeld dat de door de man geplaatste berichten op Facebook waarin hij zich richt tot derden/bekenden, als het “lastigvallen van de vrouw” kunnen worden gekwalificeerd.

De beoordeling
4.3 Voor wat betreft het eerste deel van de vordering onder 1 overweegt de voorzieningenrechter als volgt. Er kan niet, althans niet zonder nadere toelichting, worden geoordeeld dat de door de man geplaatste berichten op Facebook waarin hij zich richt tot derden/bekenden, als het “lastigvallen van de vrouw” kunnen worden gekwalificeerd.

 

4.4 Het tweede deel van de vordering onder 2 dient te worden afgewezen, nu dit deel van de vordering te ruim is geformuleerd en te onbepaald is. Toewijzing van dit deel van de vordering zou bijvoorbeeld betekenen dat de man zelfs niet de naam van de vrouw zou mogen noemen op Facebook of tijdens een familiefeest.
Overigens heeft de man heeft ter zitting toegezegd dat hij op de dag van de zitting vóór 24.00 uur de zijdens hem over de vrouw geplaatste berichten op Facebook zal verwijderen voor zover die nog niet door hem waren verwijderd en dergelijke berichten ook niet meer zal plaatsen.

Lees de uitspraak hier: Rechtspraak.nl.

TP Vision niet transparant over verzamelen en bewaren gegevens online kijkgedrag
Uit het persbericht​: TP Vision verzamelt en bewaart per smart tv wanneer er tv wordt gekeken, welke uitzendingen en apps favoriet zijn, welke uitzendingen de tv-kijker opneemt, welke video's deze huurt en welke 'uitzending gemist'-uitzendingen deze bekijkt. Dit zijn persoonsgegevens waarover mensen zelf zeggenschap moeten hebben. Dat betekent dat gebruikers van smart tv’s informatie moeten krijgen over het feit dat TP Vision deze gegevens van hen verzamelt en wat het bedrijf daarmee doet.

Lees het rapport van definitieve bevindingen onderzoek smart tv's

Lees verder

Advies RvS 16 augustus 2013, Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken), Kamerstukken II 2012/13, 33 662 nr. 4.
Zie eerder IT 1202. Zie ook Koninklijke Boodschap, Voorstel van Wet en Memorie van Toelichting. Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 14 september 2012 en het nader rapport d.d. 12 juni 2013, aangeboden aan de Koning door de staatssecretaris van Veiligheid en Justitie, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Economische Zaken. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.

Inhoud:
1. Splitsing
2. Verruiming gebruik camerabeelden strafbare feiten
3. Meldplicht datalekken

Lees verder