DOSSIERS
Alle dossiers

Privacy  

IT 1031

Digitale mappen geen gestructureerd geheel van persoonsgegevens

Raad van State 30 januari 2013, LJN BY9910 (appellante tegen college B&W Zevenaar)

Bij besluit van 23 december 2009 heeft het college aan [appellante] medegedeeld dat haar betreffende persoonsgegevens worden verwerkt in het kader van haar voormalig dienstverband bij de gemeente Zevenaar en kopieën van documenten met haar betreffende persoonsgegevens uit de personeels- en salarisadministratie verstrekt.

Bij besluit van 23 december 2009 heeft het college aan [appellante] medegedeeld dat haar betreffende persoonsgegevens worden verwerkt in het kader van haar voormalig dienstverband bij de gemeente Zevenaar en kopieën van documenten met haar betreffende persoonsgegevens uit de personeels- en salarisadministratie verstrekt.

Bij besluit van 1 juli 2010 heeft het college het door [appellante] daartegen gemaakte bezwaar, voor zover gericht tegen het niet toevoegen van enkele documenten aan haar personeelsdossier, gegrond verklaard en afschriften van die documenten toegevoegd aan het personeelsdossier van [appellante] en deze alsnog aan [appellante] verstrekt. Bij dat besluit is het bezwaar voor het overige ongegrond verklaard.

5.3 (...) De rechtbank heeft het college terecht en op goede gronden gevolgd in zijn standpunt dat de hierboven onder 1, 3 tot en met 13 en 15 vermelde documenten geen deel uitmaken van een bestand als bedoeld in de Wbp. [appellante] heeft niet aannemelijk gemaakt dat de in die documenten opgenomen persoonsgegevens op grond van meer dan één kenmerk een onderlinge samenhang vertonen dan wel dat die persoonsgegevens met de in de personeels- en salarisadministratie verwerkte persoonsgegevens een gestructureerd geheel vormen. Dat het college de onder 8 tot en met 11 vermelde besluitadviezen, onder anonimisering van de daarin vervatte persoonlijke beleidsopvattingen, naar aanleiding van een verzoek op grond van de Wet openbaarheid van bestuur aan [appellante] heeft verstrekt, maakt niet dat de daarin vermelde persoonsgegevens behoren tot een bestand en daarmee onder de Wbp vallen.

De rechtbank heeft de onder 16 vermelde digitale mappen terecht niet aangemerkt als een gestructureerd geheel van persoonsgegevens. Die digitale mappen zijn aangemaakt, gevuld en van informatie voorzien door individuele ambtenaren op de server van de gemeente Zevenaar in het kader van hun dagelijkse werkzaamheden. [appellante] heeft niet aannemelijk gemaakt dat in die mappen opgenomen persoonsgegevens een gestructureerd geheel van persoonsgegevens vormen dat volgens bepaalde criteria toegankelijk is. Gelet hierop wordt [appellante] niet gevolgd in haar standpunt dat de rechtbank voor het geven van haar oordeel gehouden was kennis te nemen van de inhoud en toegankelijkheid van die mappen.

Op andere blogs:
DirkzwagerIEIT

IT 1028

Reactie CBP op gebruik cookies door Nederlandse Publieke Omroep

Reactie CBP op gebruik cookies door Nederlandse Publieke Omroep, 31 januari 2013, kenmerk z2013-0056.

Onlangs zijn Kamervragen gesteld en beantwoord over het gebruik van cookies op de websites van de Nederlandse Publieke Omroep (NPO). Als reactie hierop geeft het College bescherming persoonsgegevens (CBP) in een brief een toelichting op het toepasselijke wettelijke kader. Het CBP merkt op dat de NPO bezoekers niet de toegang mag weigeren als zij geen toestemming geven voor het laten volgen van hun surfgedrag.

(...)

Analytische cookies
In de beantwoording van de Kamervragen staat dat de NPO analytische cookies, net als functionele cookies, nodig heeft voor het optimaal uitoefenen van zijn mediawettelijke taak. Dit maakt het gebruik van analytische cookies echter niet noodzakelijk in de zin van de Tw en daarom blijft hiervoor toestemming vereist.

Cookies voor reclamedoeleinden en sociale media
Cookies voor reclamedoeleinden en sociale media zijn niet-functionele cookies waarvoor op grond van de Tw toestemming moet worden gevraagd. Sinds 1 januari 2013 geldt bovendien het rechtsvermoeden dat de gegevens die cookies verzamelen, persoonsgegevens zijn. Daarom is ook op grond van de Wbp toestemming vereist voor het verzamelen en verwerken van deze gegevens.

Wat betreft de tracking cookies voor sociale media is er bovendien een eenvoudig alternatief voor de werkwijze van de NPO. Een veelgebruikte publieks- en privacyvriendelijke oplossing is het werken met niet-actieve, ‘grijze’ knoppen voor sociale media. Als een bezoeker met de muis over de knoppen gaat wordt specifieke informatie getoond. Pas nadat een bezoeker actief op een dergelijke knop heeft geklikt, kan het sociale netwerk een cookie plaatsen.

Toestemming voor gebruik cookies
De NPO biedt bezoekers geen andere keuze dan (in een keer) toestemming te geven voor alle soorten cookies, inclusief tracking cookies. Wie deze toestemming weigert, krijgt geen toegang tot de - met publiek geld verspreide - informatie en uitzendingen van de publieke omroepen. Er is echter geen (digitaal) alternatief beschikbaar, waardoor kan worden gesteld dat de NPO een situationele monopoliepositie heeft. Door het afdwingen van toestemming voor tracking cookies betalen bezoekers feitelijk bij elk bezoek met hun persoonsgegevens. Van in vrijheid gegeven, rechtsgeldige toestemming is daarom geen sprake.

IT 1024

Ongebruikelijk betalingsverkeer is reden tot blokkeren van rekening

Rb. Rotterdam 23 januari 2013, zaaknr. C/10/402317 / HA ZA 12-455 (eiser tegen ING BANK N.V.)

Money-50-Euro_32705-480x360 Niet-ontvankelijk. Persoonsgegevens in extern incidentenregister art. 46 jo 36 Wbp. Blokkering betaalrekening. Phishing - fraude. Money mule. Zorgplicht bank.

Een bedrag van € 5.000,00 is naar de rekening van eiser overgeboekt, afkomstig van een rekening waarvan de houder daartoe geen opdracht had gegeven. Diezelfde dag hebben meerdere geldopnames plaatsgevonden. In totaal is daarbij een bedrag van € 4.733,10 van de rekening gehaald. ING is van mening dat eiser is opgetreden als een zogenaamde “money-mule” in een omvangrijke “phishing-fraude”. ING heeft de betaalrekening van eiser en de daaraan gekoppelde bankpas met bijbehorende pincode geblokkeerd en de relatie met eiser opgezegd. Als deelnemer aan het interbancaire incidentenwaarschuwingssysteem heeft ING de persoonsgegevens van eiser opgenomen in het zogenaamde extern verwijzingsregister (EVR). Eiser vordert verwijdering van onderhavig incident uit het EVR. De vordering is niet tijdig ingediend, daarom wordt de eiser niet-ontvankelijk verklaard.

Met betrekking tot de door ING geblokkeerde rekening is het uitgangspunt dat wanneer een bank het gerechtvaardigde vermoeden heeft dat haar dienstverlening wordt misbruikt en aldus sprake is van een vertrouwensbreuk met een klant, of indien de bank beargumenteerd van mening is dat de voortzetting van de dienstverlening tot onacceptabele risico’s leidt, die bank bevoegd is de relatie met die klant op te zeggen. Die bevoegdheid is echter niet onbegrensd. Immers dient de bank rekening te houden met haar zorgplicht die zij heeft jegens haar relaties.

De stellingen van eiser voor zover deze ertoe strekken om de conclusie van betrokkenheid bij benadeling van ING door middel van frauduleuze handelingen te weerleggen, zijn naar het oordeel van de rechtbank ongeloofwaardig en ongenoegzaam. Mede gelet op de uitleg die ING heeft gegeven aan de aard en de achtergrond van de mutaties die hebben plaatsgevonden op de betaalrekening van de eiser, blijkt dat sprake is van ongebruikelijk betalingsverkeer en derhalve van een concreet of reëel integriteitsrisico. De rechtbank wijst de vordering af.

4.13.  Uitgangspunt is dat wanneer een bank het gerechtvaardigde vermoeden heeft dat haar dienstverlening wordt misbruikt en aldus sprake is van een vertrouwensbreuk met een klant, of indien de bank beargumenteerd van mening is dat de voortzetting van de dienstverlening tot onacceptabele risico’s leidt, die bank bevoegd is de relatie met die klant op te zeggen. Dit volgt onder meer uit artikel 30 van de algemene bankvoorwaarden.

4.14.  Die bevoegdheid is echter niet onbegrensd. Immers dient de bank rekening te houden met haar zorgplicht die zij heeft jegens haar relaties. Banken hebben, nu zij bij uitsluiting het betalingsverkeer verzorgen, een belangrijke publieke rol en een bijzondere positie, hetgeen een bepaalde verantwoordelijkheid met zich brengt jegens klanten. Beoordeeld moet worden beoordeeld of de reden voor de opzegging voldoende zwaarwegend is in verhouding tot het belang van de klant bij de voortzetting van de relatie. Het belang om te kunnen beschikken over een betaalrekening moet daarbij als het in beginsel meest zwaarwegende belang worden gezien.

4.15.  Als door ING gesteld en door [eiser] niet of onvoldoende gemotiveerd weersproken staat vast dat [eiser] is opgetreden als zogenaamde “money-mule” in een omvangrijke “phishing-fraude” en dat [eiser] in het verlengde daarvan een (ernstig) gevaar vormt voor de integere uitoefening van het bankbedrijf. De rechtbank is van oordeel dat de stellingen van [eiser] voorzover deze ertoe strekken om de conclusie van betrokkenheid bij (poging tot) benadeling van ING door middel van frauduleuze handelingen te weerleggen, ongeloofwaardig en ongenoegzaam zijn. Mede gelet op de uitleg die ING heeft gegeven aan de aard en de achtergrond van de mutaties die hebben plaatsgevonden op de betaalrekening van de [eiser], blijkt dat sprake is van ongebruikelijk betalingsverkeer en derhalve van een concreet of reëel integriteitsrisico.

IT 1022

Oostenrijkse Constitutionele Hof stelt prejudiciële vragen over Dataretentierichtlijn

T.A.P. de Wit, Oostenrijkse Constitutionele Hof stelt prejudiciële vragen over Dataretentierichtlijn, ITenRecht IT 1022.

Een bijdrage van Tom de Wit, Louwers IP|Technology advocaten.

Het Oostenrijkse constitutionele Hof heeft vragen gesteld over de rechtmatigheid van de Europese Dataretentierichtlijn (hierna: ‘richtlijn’) . De betreffende richtlijn is vorig jaar in de Oostenrijkse wetgeving geïmplementeerd. De richtlijn legt onder andere verplichtingen op aan aanbieders van openbare elektronische communicatiediensten tot het bewaren van een bepaalde lijst van telecommunicatiegegevens gedurende een bepaalde periode.

Aanleiding voor de vragen vormen de bezwaren tegen de (implementatie van de) richtlijn die verschillende partijen, waaronder veel burgers, een medewerker van een telecommunicatiebedrijf en de regering van de provincie Karinthië, hebben voorgelegd aan de nationale Oostenrijkse rechter.

Het Oostenrijkse constitutionele Hof heeft met name moeite met het feit dat in het overgrote gedeelte van de gevallen waarin er verplicht telecommunicatiegegevens worden opgeslagen het personen betreft die geen aanleiding geven tot opslag van de gegevens. Ondertussen kunnen de persoonsgegevens wel in het bezit komen van de autoriteiten en ligt mogelijk misbruik van persoonsgegevens op de loer. Het Oostenrijkse constitutionele hof vraagt zich met name af of de verplichtingen die door de richtlijn worden opgelegd wel in overeenstemming zijn met het Handvest van de grondrechten van de Europese Unie (hierna: ‘handvest’).

De belangrijkste vragen die het Oostenrijkse constitutionele hof voorlegt aan het Europese Hof van Justitie zijn de navolgende . In de eerste plaats is de vraag of de artikelen 3 tot en met 9 van de richtlijn verenigbaar zijn met de artikelen 7, 8 en 11 van het handvest? In de tweede plaats wil het Oostenrijkse Constitutionele Hof weten wat de rol is van Richtlijn 95/46/EG en Verordening 45/2001/EG bij de beoordeling van de vraag of maatregelen geoorloofd zijn in het licht van artikel 8 van het handvest.

[artikel is ingekort, lees de opgemaakte pdf onder de citeerwijze]

Als het Europese Hof van Justitie tot hetzelfde oordeel komt als de Duitse rechter, kunnen de gevolgen groot zijn. Dat betekent niet alleen dat de huidige Europese en nationale regelgeving met betrekking tot dataretentie die gebaseerd is op de richtlijn op de schop moet. Ook de huidige voorstellen om de verplichtingen uit te breiden naar social media en zoekmachines kunnen dan voorlopig in de ijskast. Los van het oordeel van het Europese Hof van Justitie in deze zaak, alsmede vragen met betrekking tot Verordening 2252/2004/EG, nopen deze ontwikkelingen de Europese wetgever wel om meer aandacht te besteden aan de verenigbaarheid tussen Europese regelgeving en verdragsrechtelijke grondrechten zoals vervat in het Handvest en het EVRM. Alleen dat is reeds een positieve ontwikkeling te noemen.

Tom de Wit

IT 1021

Overtredingen WhatsApp deels beëindigd na onderzoek CBP en Canadese privacytoezichthouder

​Persbericht van het College Bescherming Persoonsgegevens 28 januari 2013

Uit 't persbericht: Het College bescherming persoonsgegevens (CBP) heeft vandaag samen met de Canadese privacytoezichthouder (Office of the Privacy Commissioner [OPC]) het rapport met de bevindingen gepubliceerd van het gezamenlijke onderzoek naar de verwerking van persoonsgegevens door WhatsApp, de ontwikkelaar van de populaire mobiele app whatsapp.  Na aanvang van het onderzoek constateerden de privacytoezichthouders verschillende overtredingen van de privacywetten. WhatsApp heeft enkele daarvan inmiddels beëindigd en stappen ondernomen om de app uit privacy-oogpunt beter te beveiligen. Een aantal overtredingen duurt op dit moment nog voort.

Het is de eerste keer dat twee nationale privacytoezichthouders van beide zijden van de oceaan gezamenlijk onderzoek doen naar de naleving van privacywetgeving door een in de Verenigde Staten gevestigd bedrijf met wereldwijd honderden miljoenen klanten. Het is een mijlpaal binnen de mondiale privacybescherming. “Wij zijn heel trots dat wij dit belangrijke moment markeren samen met onze Nederlandse counterparts, vooral in het licht van de in toenemende mate online en mobiele wereld die geen grenzen kent”, aldus Jennifer Stoddart, voorzitter van de Canadese privacytoezichthouder. “Ons onderzoek heeft ertoe geleid dat WhatsApp verbeteringen heeft aangebracht en toegezegd heeft verdere veranderingen te zullen doorvoeren die leiden tot een betere bescherming van persoonsgegevens van hun klanten.”

De voorzitter van het CBP, Jacob Kohnstamm, voegt daaraan toe: “Maar we zijn er nog niet. Het onderzoek wijst uit dat gebruikers van WhatsApp – behalve iPhone-bezitters met besturingssysteem iOS 6 – verplicht zijn toegang te geven tot hun volledige elektronische adresboek. Hierin staan ook telefoonnummers van contacten die de app niet gebruiken. Dit is in strijd met Canadees en Nederlands privacyrecht. Zowel gebruikers als niet-gebruikers van de app moeten zeggenschap hebben over hun eigen persoonsgegevens. Dat betekent in ieder geval dat gebruikers van de app vrijelijk moeten kunnen beslissen welke contactgegevens zij willen delen met WhatsApp.”

Op andere blogs:
SOLV (Whatsapp schendt privacy)

IT 1019

Google’s approach to government requests for user data

Today, January 28, is Data Privacy Day, when the world recognizes the importance of preserving your online privacy and security.

 

If it’s like most other days, Google—like many companies that provide online services to users—will receive dozens of letters, faxes and emails from government agencies and courts around the world requesting access to our users’ private account information. Typically this happens in connection with government investigations.

 

It’s important for law enforcement agencies to pursue illegal activity and keep the public safe. We’re a law-abiding company, and we don’t want our services to be used in harmful ways. But it’s just as important that laws protect you against overly broad requests for your personal information.

To strike this balance, we’re focused on three initiatives that I’d like to share, so you know what Google is doing to protect your privacy and security.

Lees het gehele artikel hier: Googleblog.blogspot.nl

IT 1011

Vijf aandachtspunten bij bouw patiëntportaal

N. van Duuren en A. Ekker, '5 aandachtspunten bij bouw patiëntportaal' in Automatiseringsgids, januari 2013, p. 24-25.

Een bijdrage van Natascha van Duuren, De Clercq en Anton Ekker, eHealth Law.

Bij de implementatie van patiëntportalen komt heel wat kijken. Er moet worden voldaan aan verschillende wetten en normen. De interpretatie van dit alles roept veel vragen op. Natascha van Duuren en Anton Ekker zetten de juridische aandachtspunten op een rij. Vijf belangrijke adviezen.

De laatste jaren worden steeds meer patiëntportalen op de markt gebracht. Volgens een rapport van het Nationaal ICT Instituut in de Zorg (Nictiz) en de Nederlandse Patiënten Consumenten Federatie (NPCF) waren eind 2010 al ruim veertig patiëntportalen in de lucht. Naar verwachting zal dit aantal de komende jaren snel toenemen.

Een patiëntportaal is een online toegangspoort die de patiënt regie geeft bij het vergaren en delen van medische gegevens en overige informatie over zijn gezondheid. De aard en de opzet van deze portalen is divers. De meeste portalen bieden naast inzage in informatie over de gezondheid aanvullende functionaliteiten aan, zoals een patiëntenforum, het invoeren van zelfmetingen of alerts bij een afspraak of uitslag.

Bij de implementatie van een patiëntportaal dient rekening te worden gehouden met een complex juridisch kader. Zo dient in ieder geval te worden voldaan aan de wet op de geneeskundige behandelingsovereenkomst (WGBO) en de wet bescherming persoonsgegevens (Wbp). Indien gebruik wordt gemaakt van het BSN geldt ook de wet gebruik burgerservicenummer in de zorg (Wgbsn-z).

Daarnaast zijn er verschillende beroepsnormen en zogenaamde NEN-normen van toepassing. In de praktijk blijkt de interpretatie van dit geheel aan deels overlappende wetten en normen, veel vragen op te roepen. Vijf belangrijke adviezen.

1. Bepaal duidelijk wie de verantwoordelijke is
2. Garandeer patiëntenrechten
3. Zorg voor beveiligde toegang
4. Wees voorbereid op datalekken

5. Houd rekening met komende regelgeving

1. Bepaal duidelijk wie de verantwoordelijke is
Een van de eerste aandachtspunten betreft vaak de vraag welke partij of partijen optreden als ‘verantwoordelijke’ in de zin van de wet bescherming persoonsgegevens. De verantwoordelijke is degene die het doel en de middelen van de gegevensverwerking bepaalt. In veel gevallen worden bij de gegevensverwerking daarnaast derde partijen ingeschakeld die onder het gezag van de verantwoordelijke handelen. Het kan gaan om bijvoorbeeld een IT-leverancier of een hostingpartij. De verantwoordelijke is verplicht om met een dergelijke ‘bewerker’ contractuele afspraken te
maken, onder andere over informatiebeveiliging.

Aangezien bij een patiëntportaal vaak meerdere partijen betrokken zijn, is niet altijd duidelijk wie voor een specifieke verwerking de verantwoordelijke is. Voor het voldoen aan de Wbp en voor het uitoefenen van patiëntenrechten
is het echter wel van essentieel belang de verschillende rollen vast te stellen en deze contractueel vast te leggen.

2. Garandeer patiëntenrechten
De gebruiker van een patiëntportaal heeft verschillende rechten met betrekking tot de verwerking van zijn gegevens. Zo dient de verantwoordelijke de gebruiker vooraf te informeren over het doel van het portaal en wie daarvoor verantwoordelijk is. Daarnaast is de uitdrukkelijke toestemming van de gebruiker vereist voor de verwerking van diens
patiëntgegevens. Bovendien dient de gebruiker er op te worden gewezen dat hij bezwaar kan maken tegen de verwerking van zijn gegevens en dat hij zijn toestemming op elk moment kan intrekken (en op welke wijze). Dit volgt uit zowel de Wbp als de Wgbo. Vereist is dat deze toestemming ‘uitdrukkelijk’ is gegeven. Op degene die patiëntgegevens verwerkt rust
een dubbele bewijslast: in de eerste plaats moet bij twijfel bewezen kunnen worden dat een bepaalde toestemming is verleend en waarvoor. Daarnaast zal zo nodig bewezen moeten worden dat de toestemming aan de gestelde
eisen voldoet. Het gevolg van het niet voldoen aan dit vereiste is verstrekkend: als de toestemming niet aan bovenstaande vereisten voldoet, is zij nietig en kan de informatie van de desbetreffende gebruiker dus niet via het
portaal worden verwerkt.

3. Zorg voor beveiligde toegang
Op grond van de wet bescherming persoonsgegevens (Wbp) dient de verantwoordelijke ‘passende technische en organisatorische maatregelen’ te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige
vorm van onrechtmatige verwerking. Een van die passende technische en organisatorische maatregelen is identificatie en authenticatie. Gegarandeerd dient te worden dat veilige toegang wordt geboden, middels identificatie en authenticatie (‘zeggen wie je bent’ en ‘bewijzen dat je bent wie je zegt dat je bent’). Er is momenteel nog veel onduidelijkheid over
de vraag hoe deze veilige toegang kan worden gegarandeerd. De eerste vraag die daarbij dient te worden gesteld is: welke soort informatie of diensten worden via het portaal ontsloten en welk veiligheidsniveau is daarbij vereist?
Authenticatie (‘bewijzen dat je bent wie je zegt dat je bent’) wordt op dit moment op verschillende manieren geregeld (zie kader). Voor identificatie kan gebruik worden gemaakt van het burgerservicenummer (BSN). Het gebruik van het BSN is echter uitsluitend voorbehouden aan zorgaanbieders.

4. Wees voorbereid op datalekken

De Nederlandse overheid en de Europese Commissie dienden onlangs voorstellen in voor een wettelijke meldplicht bij datalekken. Het Nederlandse wetsvoorstel zal naar verwachting als eerste in werking treden en introduceert de plicht voor bedrijven en overheden om een datalek zo snel mogelijk te melden bij het College Bescherming Persoonsgegevens.
Als een datalek niet wordt gemeld, kan het CBP de desbetreffende verantwoordelijke een boete opleggen van maximaal
200.000 euro.

Wanneer een datalek zich voordoet bij een patiëntenportaal zal de verantwoordelijke verschillende stappen moeten zetten om aan zijn wettelijke verplichtingen te voldoen. Het is daarom belangrijk om na te denken over een heldere interne procedure. Hierin kan onder andere worden geregeld wie er intern op de hoogte moet worden gesteld en hoe wordt bepaald of er een melding moet worden gedaan. Daarnaast moeten zo snel mogelijk maatregelen worden getroffen om de negatieve gevolgen van de inbreuk te beperken. Ten slotte moeten de betrokkenen snel en adequaat worden geïnformeerd. Ook voor IT-leveranciers van patiëntportalen brengt de meldplicht vergaande verplichtingen met zich mee. Zij zijn verplicht de zorgverlener of zorginstelling actief bij te staan en te waarschuwen als zij een inbreuk vaststellen.

5. Houd rekening met komende regelgeving
Er is een nieuwe Europese Privacyverordening op komst waarin strengere regels zijn opgenomen. Zo moeten betrokkenen een kopie van hun opgeslagen persoonsgegevens kunnen krijgen om deze gegevens over te kunnen dragen aan een ander (recht van gegevensoverdraagbaarheid). Bovendien krijgen betrokkenen ‘het recht om vergeten te worden’. Verantwoordelijken zullen op verzoek van betrokkenen onmiddellijk actie dienen te ondernemen om alle persoonsgegevens van betrokkenen te verwijderen. Zij moeten er daarbij voor zorgen dat ook derde partijen aan wie zij de gegevens hebben verstrekt, deze gegevens verwijderen. Deze regels leggen strenge eisen op aan de (technische) werking en inrichting van patiëntportalen. Het is de vraag of de huidige patiëntportalen, technisch gezien, al aan deze eisen kunnen voldoen. Door in een vroeg stadium rekening te houden met de genoemde aandachtspunten worden de rollen en verantwoordelijkheden van de verschillende betrokken partijen duidelijker. Daarnaast wordt de kans verkleind dat de rechten van de patiënt worden geschonden. Hiermee worden ook de aansprakelijkheidsrisico’s beperkt.

IT 1002

Protocol online aangifte winkeldiefstal in Rotterdam in overeenstemming

CBP 7 januari 2012, Stscrt. 2013, nr. 268 (Stichting Ondernemersfederatie Rotterdam City te Rotterdam).

Winkeliers in de Rotterdamse binnenstad worden dagelijks geconfronteerd met winkeldiefstal. Om dit probleem te beheersen, wil de Stichting Ondernemersfederatie Rotterdam City (OFRC) het mogelijk maken om online aangifte te doen van winkeldiefstal. Het College bescherming persoonsgegevens (CBP) heeft het protocol beoordeeld dat het verwerken van persoonsgegevens bij online aangifte regelt. Het protocol is in overeenstemming met de eisen van de Wet bescherming persoonsgegevens bevonden.

Doel online aangifte winkeldiefstal
De leden van de OFRC kunnen nu aangifte van winkeldiefstal doen bij de politie volgens de reguliere werkwijze. Dit middel is echter naar het oordeel van de OFRC onvoldoende effectief gebleken. Een reden daarvoor is dat de leden ervoor kiezen geen aangifte te doen, omdat dit relatief veel tijd kost.
De doelstellingen van het verwerken van persoonsgegevens voor online aangifte zijn volgens het protocol:

  • de veiligheid in de Rotterdamse binnenstad verbeteren;
  • op eenvoudiger wijze aangifte doen van winkeldiefstal;
  • betere bedrijfsbeveiliging;
  • een collectieve winkelontzegging kunnen opleggen, waartoe de persoonsgegevens van de online aangifte worden gedeeld met de andere deelnemers aan het protocol. Voor meer informatie hierover, zie: Zwarte lijst overlastveroorzakers winkels Rotterdam Centrum.
IT 999

EU data protection supervisor over current state and future perspectives

Peter Hustinx, EU Data Protection Law - Current State and Future Perspectives at High Level Conference: "Ethical Dimensions of Data Protection and Privacy" Centre for Ethics, University of Tartu / Data Protection Inspectorate
Tallinn, Estonia, 9 January 2013.


Privacy and data protection as a specific field of law have been elaborated over the last four decades, notably in the context of the Council of Europe and the European Union, in view of the growing impact of information and communication technology (ICT). That impact is now all around us, every minute of every day, both in our personal and professional lives, and this is likely to increase even further in the near future.

In my remarks today, I would like to discuss the history and current state of the law in this area, as well as the direction in which the law on privacy and data protection might be going to provide a more effective protection, in line with its ethical roots and calling.

Met de volgende tussenkoppen:

Privacy and private life
Data protection
Structural safeguards
Variable contexts
Harmonisation
Further substance
International scope
Relevant case law
Need for reform
A huge step forward
Continuity and change
General scope
User control
Responsibility
Supervision and enforcement
Global Privacy
Final remarks
IT 997

Wbp-naslag als toelichting op de Wbp

Wbp-naslag is een online naslagwerk waarin de bepalingen van de Wet bescherming persoonsgegevens (Wbp) nader zijn toegelicht. Deze toelichting bestaat uit passages van de parlementaire geschiedenis van de Wbp en samenvattingen van relevante openbare uitspraken. De uitspraken zijn zowel van het CBP als van rechterlijke instanties. Niet alle uitspraken zijn opgenomen in het naslagwerk. Het betreft een selectie.

Hoofdstuk 1 - Algemene bepalingen
Hoofdstuk 2 - Voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens
Hoofdstuk 3 - Gedragscode
Hoofdstuk 4 - Melding en voorafgaand onderzoek
Hoofdstuk 5 - Informatieverstrekking aan de betrokkene
Hoofdstuk 6 - Rechten van de betrokkene
Hoofdstuk 7 - Uitzonderingen en beperkingen
Hoofdstuk 8 - Rechtsbescherming
Hoofdstuk 9 - Toezicht
Hoofdstuk 10 - Sancties
Hoofdstuk 11 - Gegevensverkeer met landen buiten de EU
Hoofdstuk 12 - Overgangs- en slotbepalingen