Privacy  

Brief versterking van DigiD, kamerstukken II 2014-2015, 26 643, nr. 332 - lijst vragen/antwoorden nr. 333
Naar aanleiding van berichtgeving rondom de veiligheid van DigiD in een tv-uitzending van Opgelicht! op 18 oktober 2014 hebben de regering en minister de Tweede Kamer als volgt geïnformeerd:

2. Recent doorgevoerde maatregelen
– Er worden voortaan e-mails verstuurd aan burgers bij belangrijke wijzigingen aan hun DigiD, zoals bij het wijzigen van een wachtwoord. Op die manier wordt het makkelijker voor burgers om misbruik van hun DigiD te herkennen.
– Op dit moment worden DigiD activeringscodes in kwetsbare postcodegebieden thuisbezorgd. In totaal zijn in 2014 ca. 7500 brieven thuisbezorgd per koerier.
– Er zijn maatregelen tegen DDoS-aanvallen genomen. Dit is belangrijk voor de beschikbaarheid en continuïteit van DigiD maar ook voor de veiligheid.
– Onlangs is DigiD beveiligd om het mogelijk te maken beter de integriteit en authenticiteit van de website te controleren en phishing te bemoeilijken.

3. Nog door te voeren maatregelen ter versterking van DigiD

Het komend jaar wordt er naar alternatieven voor de bestaande twee-factor authenticatie met SMS (DigiD Midden) gekeken, die tegen lagere kosten op grote schaal kunnen worden toegepast. Dit kan bijvoorbeeld een app zijn waarmee een extra verificatiecode op smartphone of tablet kan worden ontvangen. De eerste pilots starten naar verwachting medio 2015.
Om een nog grotere mate van zekerheid over iemands identiteit te verkrijgen bij het inloggen t.o.v. DigiD Midden met SMS, wordt er een aantal mogelijkheden onderzocht waarbij er een extra controle plaatsvindt, nadat iemand is ingelogd met DigiD, door het uitlezen van gegevens op de chip van een wettelijk identiteitsdocument (bv identiteitskaart, rijbewijs). Die gegevens worden vervolgens geverifieerd aan de hand van de betreffende documentregisters. Hiermee wordt het mogelijk om digitaal diensten aan te bieden die dat hogere betrouwbaarheidsniveau vereisen.

Mede naar aanleiding van de aanbeveling van de Algemene Rekenkamer, wordt ook uitvoering gegeven aan een Actieplan voor het oplossen van de bevindingen op DigiD. Hiermee zal de robuustheid van DigiD verder toenemen. Inmiddels zijn enkele van de bevindingen opgelost. Zoals eerder gemeld wordt er naar gestreefd ook de overige bevindingen vóór het einde van het jaar op te lossen.

20 Wat gaat u doen om de slachtoffers te helpen die er nu al zijn in verband met ongeautoriseerde toegang tot DigiD?
21 Bent u voornemens een afdeling op te zetten die casus van benadeelden beoordeeld? Zo ja, hoe wordt die vormgegeven? Of ligt die bevoegdheid, of blijft die bevoegdheid liggen, bij respectievelijk Logius en de afnemers? Welk risico houdt dat in voor het afschuiven van problemen binnen de keten?
22 Vindt u het terecht dat mensen, die buiten hun eigen schuld slachtoffer worden van veiligheids-problemen rond DigiD, bijvoorbeeld door uit de brievenbus geviste brieven, geld, dat ze nooit hebben aangevraagd en nooit hebben ontvangen, moeten terugbetalen aan de overheid?
In de uitzending kwamen enkele slachtoffers van fraude via DigiD aan het woord. Deze fraudegevallen staan overigens los van de betreffende kwetsbaarheid.
De inzet van de overheid is slachtoffers snel te helpen en schadeloos te (doen) stellen. Slachtoffers van identiteitsfraude kunnen ook altijd bij het Centraal Meldpunt Identiteitsfraude terecht. Bij vastgestelde fraude wordt altijd aangifte gedaan. Wel blijkt zorgvuldig onderzoek van groot belang omdat helaas blijkt dat niet altijd op voorhand eenvoudig vast te stellen is wat er precies gebeurd is en daders en slachtoffers niet altijd eenduidig te onderscheiden zijn. De zaken van de in uitzending aan het woord gekomen slachtoffers worden nader onderzocht.

Hof Arnhem-Leeuwarden 7 november 2014, IT 1632 (Appellant tegen SNS Reaal)
Privacy. Bescherming persoonsgegevens. Verzoek tot verwijdering van persoonsgegevens op grond van art. 46 Wet bescherming persoonsgegevens (Wbp). Fiscaal jurist en registeraccountant verrichten werkzaamheden bij financiële dienstverlener en worden wegens o.m. het voorhanden hebben en opmaken van valse facturen geregistreerd in het interbancaire waarschuwingssysteem. In casu toetsing aan Protocol Incidentenwaarschuwingssysteem financiële instellingen. Voor registratie bestaat voldoende feitelijke grond, de duur van de interbancaire registratie (acht jaren) is in dit geval echter niet proportioneel. Het hof neemt daarbij in aanmerking dat de registratie voor verzoekers feitelijk op een vrijwel volledige uitsluiting om hun beroep uit te oefenen neerkomt. Het hof acht, alles afwegend, een termijn van drie jaren op zijn plaats.

5.11 Gelet op het voorgaande moet de conclusie zijn dat het er voldoende feitelijke grond bestond om [appellant 1] en [appellant 2] in het interbancaire waarschuwingssysteem te registreren. Daarmee falen de grieven 2, 3 en 4.
De vraag die vervolgens nog moet worden beantwoord, en die in grief 5 aan de orde wordt gesteld, is of die registratie ook proportioneel is (art. 5.2.1. onder c Protocol).
Het hof stelt vast dat opname in het incidentenregister, en met name in het daaraan gekoppelde EVR, verstrekkende consequenties kan hebben. Alle deelnemende banken en financiële instellingen kunnen immers door toetsing aan het EVR vaststellen dat er sprake is van opname in het incidentenregister van (een) andere deelnemer(s). Vervolgens kunnen zij nadere informatie omtrent de reden van opname opvragen. Dit kan ertoe leiden dat niet alleen de deelnemer die tot opname in het incidentenregister is overgegaan, maar ook andere deelnemers hun (financiële) diensten aan de opgenomen persoon zullen weigeren. Gelet daarop dienen hoge eisen te worden gesteld aan de grond(en) voor opname in de registers. In het voorgaande ligt besloten dat aan die gronden is voldaan. In het onderhavige geval brengt de registratie echter niet alleen een uitsluiting van financiële diensten mee, maar heeft zij ook gevolgen voor de broodwinning van de geregistreerden. [appellant 1] en [appellant 2] achten de registratie om die reden disproportioneel. Subsidiair stellen zij dat deze niet langer dan een jaar (een periode die intussen reeds is verlopen) zou mogen duren.
[appellant 1] en [appellant 2] hebben overtuigend aangevoerd dat hun opname in de registers hen tot persona non grata in de financiële wereld heeft gemaakt en het nagenoeg wegvallen van hun inkomen heeft veroorzaakt. Dat wordt door SNS Reaal op zichzelf ook niet betwist. SNS Reaal heeft aangevoerd dat van een volledige blokkade op de arbeidsmarkt geen sprake is omdat alleen de banken toegang hebben tot de registratie, zodat een dienstverband buiten de financiële sector of bij justitie of de belastingdienst gewoon tot de mogelijkheden behoort. SNS Reaal miskent daarbij echter dat de professie van [appellant 1] en [appellant 2], die respectievelijk fiscaal jurist en registeraccountant zijn, meebrengt dat zij een EVR registratie aan een eventuele toekomstige werk- of opdrachtgever hebben te melden en dat deze vervolgens minder genegen zal zijn om met hen in zee te gaan. Het is naar het oordeel van het hof dan ook voldoende aannemelijk dat de maatregel in hun geval, gelet op hun werkervaring tot nu toe, de facto op een vrijwel volledige uitsluiting om hun beroep uit te oefenen neerkomt. Die zware repercussie wordt voor een belangrijk deel gerechtvaardigd door het gegeven dat financiële integriteit in het beroep dat zij bekleden hoog in het vaandel staat en dat van hen, meer nog dan van ieder ander, op dat punt betrouwbaarheid en onkreukbaarheid mag worden verwacht. Het hof is evenwel van oordeel een registratietermijn van acht jaren in dit geval de grenzen van proportionaliteit overschrijdt. Het hof acht hier, alles afwegend, een termijn van drie jaren op zijn plaats. Dit betreft evenwel uitsluitend voor de vermelding in het EVR. De gebeurtenissenadministratie en het IVR maken deel uit van de eigen administratie van SNS Reaal en zijn als zodanig niet voor anderen toegankelijk, zodat het bezwaar van een beroepsblokkade daar niet (of in veel mindere mate) aan kleeft. Dat betekent dat grief 5 ten dele slaagt.
Uitgaande van een registratie per 2 april 2013 betekent dat dat het verzoek tot verwijdering uit het EVR met ingang van 2 april 2016 toewijsbaar is. De daaraan verbonden vordering tot het opleggen van dwangsommen is eveneens toewijsbaar, zij het dat het hof deze zal matigen en aan een maximum zal verbinden zoals hierna vermeld.

Hof Arnhem-Leeuwarden 4 november 2014, IT 1629 (KPN geïntimeerde)
Wet bescherming persoonsgegevens. Registratie gerechtvaardigd? Belangenafweging. Op naam van geïntimeerde zijn meerdere telefoonabonnementen met mobiele telefoons afgesloten. [geïntimeerde] heeft op 8 april 2013 op het politiebureau te Nieuwegein aangifte gedaan van diefstal van haar ID-kaart en bankpas. Contracten worden niet ontbonden, maar wel kosteloos beëindigd, vordering zal niet aan een incassobureau worden overgedragen en geïntimeerde wordt bij stichting Preventel aangemeld. Geïntimeerde verzoekt om verwijdering van haar gegevens. Omdat geïntimeerde daadwerkelijk slachtoffer is van identiteitsfraude kan het niet-betalen niet leiden tot registratie bij Preventel.

4.4. Deze grief faalt. De brief van 31 juli 2013 van de gemachtigde van [geïntimeerde], in samenhang gelezen met de brief van 4 juni 2013 van KPN en de brieven van 12 juni 2013 en 31 juli 2013 van Preventel, kan immers niet anders worden verstaan dan als een verzoek van [geïntimeerde] om verwijdering van haar gegevens bij Preventel.
Het betoog van KPN dat aan [geïntimeerde] nog niet bekend kon zijn welke gegevens geregistreerd waren bij Preventel, zodat zij eerst daarover nog bij KPN opheldering had moeten verzoeken, faalt eveneens. Uit de mededeling van KPN in haar brief van 4 juni 2013, gevolgd door de brieven van Preventel, dat de gegevens van [geïntimeerde] geregistreerd staan, kon [geïntimeerde] immers afleiden dat het hier om de voor de verkrijging van een (mobiel) telefoonabonnement benodigde gegevens gaat, welke KPN klaarblijkelijk via de op naam van [geïntimeerde] aangevraagde telefoonabonnementen had verkregen. In dat kader was het voor [geïntimeerde] een overbodige handeling om bij KPN na te vragen welke gegevens van haar bij Preventel waren geregistreerd.
[geïntimeerde] is om die reden terecht ontvankelijk verklaard in haar verzoek.

4.8. Op grond van artikel 8 Wbp mogen persoonsgegevens onder meer worden verwerkt indien de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke (KPN) of van een derde (andere telefoonaanbieders) aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van degene wiens gegevens worden verwerkt ([geïntimeerde]), prevaleert.
Artikel 8 Wbp bevat een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen. Het artikel behelst bovendien dat bij elke verwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van [geïntimeerde] mogen dus niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel van KPN en het doel waarvoor de persoonsgegevens worden verwerkt mag in redelijkheid niet op een andere, voor [geïntimeerde] minder nadelige wijze kunnen worden verwerkelijkt.
De verwerking is derhalve uitsluitend toelaatbaar indien zij noodzakelijk is met het oog op het belang van KPN of een andere telefoonaanbieder én het belang van [geïntimeerde] niet prevaleert.

4.9. KPN heeft als grondslag voor de registratie aangevoerd haar niet voldane vordering op [geïntimeerde] uit hoofde van de verstrekking van de telefoons.
Zij heeft daarbij vermeld dat zij er, om haar moverende redenen, voor heeft gekozen om deze vordering niet te innen, maar te kiezen voor registratie van de gegevens van [geïntimeerde] totdat [geïntimeerde] de vordering van KPN heeft voldaan. Een ander belang bij de registratie heeft zij niet aangevoerd.
Daarmee heeft zij deze registratie in feite als een dwangmiddel gebruikt om [geïntimeerde] tot betaling te bewegen.

4.11. Gelet op deze wederzijdse belangen van partijen, is naar het oordeel van het hof een registratie van de persoonsgegevens van [geïntimeerde] bij Preventel slechts gerechtvaardigd als er aan de zijde van KPN zodanig sterke aanwijzingen worden aangevoerd dat de door [geïntimeerde] gestelde identiteitsfraude niet op voorhand aannemelijk is. In dit kader is niet van belang of [geïntimeerde] een verwijt valt te maken dat er civielrechtelijk toe zou kunnen leiden dat zij de vordering van KPN zou dienen te voldoen, nu in het onderhavige geval niet de verschuldigdheid van de vordering, maar de noodzakelijkheid van registratie onder de omstandigheden van dit geval, centraal staat.

4.14. Al deze onder 4.13 vermelde feiten en omstandigheden lijken er op te duiden dat [geïntimeerde] daadwerkelijk het slachtoffer is geworden van diefstal van haar ID-kaart en bankpas. Het enkele niet betalen door [geïntimeerde] van de vordering van KPN kan onder die omstandigheden niet leiden tot het oordeel dat de registratie van de gegevens van [geïntimeerde] bij Preventel in die mate noodzakelijk is voor de behartiging van het gerechtvaardigde belang van KPN dat dit belang dient te prevaleren boven het gerechtvaardigde belang van [geïntimeerde] om niet geregistreerd te zijn.
Het verzoek is om die reden dan ook terecht toegewezen, wat er verder zij van de daartoe gebezigde gronden.

Dirkzwager IE IT

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) constateert dat het in de praktijk lastig blijkt om een vereiste grondslag te vinden voor iedere verwerking van persoonsgegevens in het sociaal domein. Vanaf 1 januari 2015 gaan gemeenten belangrijke taken uitvoeren op het gebied van jeugdzorg, werk en inkomen en de zorg aan langdurig zieken en ouderen. In het sociaal domein worden veel taken op verschillende manieren door verschillende partijen uitgevoerd. Gemeenten moeten steeds vaststellen op welke grondslag uit de Wet bescherming persoonsgegevens de gegevensverwerking kan worden gebaseerd. Dat is tijdrovend, ingewikkeld en soms zelfs onmogelijk.

Zo ontbreekt een wettelijke basis als gemeenten – zoals nu blijkt uit de praktijk - persoonsgegevens willen uitwisselen voor taken die niet concreet terug te vinden zijn in de wetten over jeugdzorg, werk en inkomen en zorg voor langdurig zieken en ouderen. Het CBP adviseert daarom een deugdelijke wettelijke basis te creëren voor het werken met gegevens van burgers in het sociaal domein. Hiermee worden de rechtszekerheid en transparantie voor gemeenten en burgers over het doel, de noodzaak en de rechtmatigheid van de verwerking van persoonsgegevens bevorderd.
Meer lezen

N. Helberger, oratie: Media and users: towards a new balance, IViR, 19 september 2014.
In the digital media environment user attention is scarce and competition for ‘eyeballs’ is fierce. Profiling and targeting users with customized news and advertisements is widely seen as a solution, and part of a larger trend to invest in what the New York Times has called ‘smart new strategies for growing our audience’. The shift from public information intermediary to personal information service creates new dynamics but also new imbalances in the relationship between the media and their users. In my inaugural speech I will state that to restore the balance, the media and regulators in Brussels and The Hague need to develop a vision of how to deal with issues such as media user privacy, editorial integrity and more generally ‘fair algorithmic media practices’."

CBb 30 september 2014, IT 1615 (appellant tegen ACM)
Zie eerder IT 377. Begrip verzender in artikel 11.7 Tw. De essentie van het verzenden van een e-mailbericht is dat een elektronisch bericht (de inhoud, de boodschap) door de afzender wordt verstuurd aan de geadresseerde. De afzender kan daarbij een hulpmiddel, hulpdienst of hulppersoon gebruiken. Hulppersonen rekent het College niet tot de verzenders als zij naar maatschappelijke opvatting de verantwoordelijkheid voor de verzending niet dragen. Daarmee sluit het College aan bij de opvatting van de wetgever, die uitdrukkelijk van het begrip verzender uitsluit de provider die alleen de elektronische overbrengingsfaciliteit biedt. Het College sluit daarbij tevens aan bij ECLI:NL:CBB:2012:BW8802, waarvan de overwegingen reeds een aanwijzing vormen voor het belang dat het College hecht aan de mate van invloed op de samenstelling van de verzendlijsten voor de vraag of iemand als (mede-)verzender kan worden aangemerkt.

Appellant heeft met de IPS-dienstverlening een adressenbestand aan derden ter beschikking gesteld waarbij het voor deze derden niet mogelijk was te controleren of de in het bestand voorkomende adressen werden gebruikt door ontvangers die toestemming hadden gegeven voor het gebruik van dat adres voor de betreffende mailing.

4.4.3. De Tw kent geen definitie van het begrip verzender. De term komt ook niet voor in Richtlijn 2002/58/EG die alleen, zonder dat die term is gedefinieerd, het begrip afzender kent. Oorspronkelijk stond het begrip verzender ook niet in artikel 11.7 Tw. Een wetswijziging van 19 mei 2004 (Stb 2004, 189) introduceerde deze term.

4.4.5. Appellant heeft met de IPS-dienstverlening een adressenbestand aan derden ter beschikking gesteld waarbij het voor deze derden niet mogelijk was te controleren of de in het bestand voorkomende adressen werden gebruikt door ontvangers die toestemming hadden gegeven voor het gebruik van dat adres voor de betreffende mailing. De vergelijking die appellant maakt met een online malingprogramma gaat niet op, omdat de afnemers van de diensten van de website IPS betaalden voor de mailing vanwege het door appellant via de website IPS aangeboden adressenbestand. Dat de betrokken afnemer vanaf 15 september 2008 de mogelijkheid had om een eigen adresbestand toe te voegen, is van ondergeschikte belang. Daar komt bij dat de verzending van de berichten plaats vond vanaf de servers van appellant en dat in de via de website IPS verzonden berichten het e-mailadres van Serinco was opgenomen (ten behoeve van de bouncende mails). Daarmee had appellant een zodanig bepalende rol bij het opstellen van de verzendlijst van de mailings, dat hij, nu hij ook (als enige) het profijt had van de website IPS, terecht als verzender is aangemerkt.

4.8. Het hoger beroep slaagt voor wat betreft de hoogte van de boete in verband met de overschrijding van de redelijke termijn. Voor het overige slaagt het hoger beroep niet. Het College zal de aangevallen uitspraak, voor zover aangevochten, vernietigen voor zover het de hoogte van de boete betreft, het bij de rechtbank ingestelde beroep gegrond verklaren en het besluit van 29 oktober 2009 vernietigen voor zover het de hoogte van de opgelegde boete betreft. Zelf in de zaak voorziend, zal het College het boetebesluit van 17 juni 2009 gedeeltelijk herroepen en het boetebedrag lager vaststellen.

ACM

Rechtbank Rotterdam 24 september 2014, IT 1609 (Daisycon tegen ACM)
Artikel 11.7 Telecommunicatiewet. Spam. Boetes. Openbaarmaking. Voorlopige voorziening. Door de wetgever wordt uitgegaan van een ruime definitie van het begrip verzender. Het omvat niet alleen de feitelijke verzender (door ACM geduid als publisher), maar ook de opdrachtgever (door ACM geduid als adverteerder) en de aanbieder van de elektronische communicatiedienst als hij meer doet dan transporteren, zoals het verzamelen van adressen in het kader van het versturen van spam. Voor al deze verzenders geldt dat toestemming van de abonnee in de vorm van “informed consent” noodzakelijk is.

Zoals in de aangehaalde wetsgeschiedenis is opgemerkt, zal toestemming op basis van een verwijzing naar bijvoorbeeld een bepaling in de algemene voorwaarden niet zijn aan te merken als een toestemming in de zin van de Wbp en van hoofdstuk 11 van de Tw. Het voorgaande brengt tevens met zich dat wanneer [Bedrijfsnaam] door middel van enquêtes toestemming aan abonnees vraagt aanstonds duidelijk zal moeten zijn op welke adverteerders deze toestemming betrekking heeft. (...) Naar het oordeel van de voorzieningenrechter had het voor verzoekers duidelijk kunnen en moeten zijn dat de enkele afmeldingsmogelijkheid bij de bestandseigenaar niet toereikend is in gevallen als deze waarin verschillende publishers voor dezelfde adverteerders – waaronder [Bedrijfsnaam] – reclameboodschappen bleven sturen, omdat uitschrijving niet gold voor de in de nieuwsbrief opgenomen advertenties. Deze handelwijze van [Bedrijfsnaam] doet namelijk naar het oordeel van de voorzieningenrechter evident geen recht aan de uitdrukkelijke bedoeling van de wetgever om te voorzien in een recht tot beëindiging in de zin van onderdeel b van het vierde lid van artikel 11.7 van de Tw, mede in het licht van het vereiste dat onderdeel a van dit artikellid stelt.

Daar komt bij dat ACM er terecht op heeft gewezen dat de door verzoekers bedoelde reclamecodes de uiteindelijke verantwoordelijkheid op het realiseren van het verzet leggen bij de adverteerder.(...) De voorzieningenrechter voegt hier aan toe dat voor medeplegen niet is vereist dat de medepleger de kwaliteit van verzender heeft, doch dat [Bedrijfsnaam] als beheerder en exploitant van het affiliate-netwerk wel voldoet aan die definitie. De definitie van verzender is immers blijkens de onder 8 aangehaalde wetsgeschiedenis ruim en omvat volgens die wetsgeschiedenis ook de transporteur die hand- en spandiensten verricht (zoals het verzamelen van adressen) in het kader van het versturen van spam. Niet valt in te zien dat [Bedrijfsnaam] als beheerder en exploitant van het affiliate-netwerk, die zelf onder meer de e-mailadressen aan publishers ten behoeve van verzending van ongevraagde communicatie door het affiliate-netwerk leverde, niet valt onder deze ruime definitie.

persbericht ACM

ICTRecht BV

ACM 8 september 2014, IT 1604 (WOB-netneutraliteit BOF)
In twee concrete zaken heeft ACM invulling gegeven aan artikel 7.4a van de Tw. De eerste zaak had betrekking op het belemmeren en vertragen van diensten en toepassingen op internet in de trein. lk
verwijs u in verband op de reeds op de website van ACM gepubliceerde brief. In de tweede zaak heeft ACM invulling gegeven aan het 'Iosse diensten'-begrip. lk verwijs u volledigheidshalve naar de brief van ACM van 8 juli 2013 (bijgevoegd).
Lees verder

De Eerste Kamer heeft vandaag met de minister van Binnenlandse Zaken en Koninkrijksrelaties en met de staatssecretaris van Veiligheid en Justitie gedebatteerd over privacy en het toezicht op de inlichtingen- en veiligheidsdiensten. Tijdens dat debat werd een zevental moties ingediend waarover op 7 oktober 2014 wordt gestemd. Zie ook dossier: Rol van de overheid bij digitale dataverwerking en – uitwisseling II; privacy en toezicht op de inlichtingen- en veiligheidsdiensten (CVIII)

23 september 2014
voortzetting behandeling Privacy en toezicht op de inlichtingen- en veiligheidsdiensten
Handelingen EK 2014/2015, nr. 1 item 11

23 september 2014
behandeling Privacy en toezicht op de inlichtingen- en veiligheidsdiensten
Handelingen EK 2014/2015, nr. 1 item 9

23 september 2014
motie-Strik (GroenLinks) c.s. inzake onafhankelijk toezicht op overheidsinstanties
EK, J

23 september 2014
Motie-Duthler (VVD) c.s. over verbetering betrouwbaarheid DigiD
EK, I

23 september 2014
Motie-De Vries (PvdA) c.s. over overleg met de Verenigde Staten over de bescherming van de privacy van alle burgers
EK, H

23 september 2014
Motie-De Vries (PvdA) c.s. over het door inlichtingen en veiligheidsdiensten openbaar maken van internet kwetsbaarheden
EK, G

23 september 2014
Motie-De Vries (PvdA) c.s. over een onderzoek naar de onafhankelijkheid en betrouwbaarheid van organisaties, die het grondwerk doen voor de standaardisering van beveiligheidsprotocollen
EK, F

23 september 2014
Motie-Gerkens (SP) c.s. over een onderzoek door het Rathenau Instituut naar de wenselijkheid van een adviescommissie over de ethische kant van de digitalisering van de samenleving
EK, E

23 september 2014
Motie-Franken (CDA) c.s. over het in overeenstemming brengen van de wetgeving en het toezicht op de activiteiten van inlichtingendiensten met de normen van het EVRM en de EU-wetgeving inzake gegevensbescherming
EK, D

Bijdrage ingezonden door Filip van Eeckhoutte, Van Eeckhoutte advocaten. In zijn beroemde arrest EHvJ 13 mei 2014 Gonzalez/AEPD vs. Google [IT 1507] heeft het Hof het recht om vergeten te worden niet willen verheffen tot een superrecht dat andere grondrechten zoals de vrijheid van meningsuiting of de vrijheid van de media prevaleert. Integendeel, het arrest bevestigt dat het recht om uw persoonlijke gegevens te laten wissen niet absoluut is en duidelijk begrensd is. Het verzoek tot verwijdering moet per geval worden beoordeeld. Het recht is slechts van toepassing in het geval waar persoonlijke data-opslag niet langer noodzakelijk of irrelevant is voor de oorspronkelijke verwerkingsdoeleinden waarvoor de gegevens destijds werden verzameld. Het verwijderen van irrelevante en achterhaalde van links is niet gelijk aan het verwijderen van inhoud. Het Hof maakte in het Gonzalez-arrest vooral duidelijk dat een case-by-case beoordeling nodig is.

Het recht op de bescherming van persoonsgegevens noch en het recht op vrijheid van meningsuiting zijn absolute rechten. Er moet goed evenwicht worden gezocht tussen de rechtmatige belangen van internetgebruikers en de fundamentele rechten van de persoon. Vrijheid van meningsuiting brengt verantwoordelijkheden met zich mee en heeft zo zijn grenzen zowel in de online en offline wereld. Dat evenwicht kan afhangen van de aard van de informatie in kwestie, de gevoeligheid voor de persoonlijke levenssfeer en van het algemeen belang in het hebben van die informatie. Het kan ook afhangen van de persoonlijkheid in kwestie: het recht om te worden vergeten is absoluut niet bedoeld om prominente mensen nog meer op de voorgrond te zettten of criminelen minder crimineel te laten ogen.

De behandeling van de casus van Gonzalez is op zichzelf beschouwd een goed voorbeeld van deze evenwichtsoefening. Hoewel het Hof Google beval om de toegang te verwijderen tot informatie die de Spanjaard Gonzalez niet meer relevant achtte, benadrukt het Hof in rechtsoverweging 88 van zijn arrest dat de inhoud van het gewraakte krantenartikel op grond van gegevensbescherming niet hoeft te worden gewijzigd of verwijderd. De gegevens van Gonzalez, of beter gezegd het desbetreffenden krantenartikel over Gonzalez is nog steeds toegankelijk, echter niet langer meer alomtegenwoordig toegankelijk. Dit is voldoende om de privacy van de burger te respecteren.

Google moet verwijderverzoeken op een case- by-case basis beoordelen en de in het EU-recht en het arrest van het Europese Hof genoemde criteria toepassen. Deze criteria hebben betrekking op de nauwkeurigheid, geschiktheid, relevantie - inclusief de verstreken tijd - en het evenredigheidsbeginsel van de links in verhouding tot het doel van de gegevensverwerking (rechtsoverweging 93: "Uit deze vereisten van artikel 6, lid 1, sub c tot en met e, van richtlijn 95/46 vloeit voort dat het mogelijk is dat zelfs een aanvankelijk rechtmatige gegevensverwerking na verloop van tijd niet langer met deze richtlijn verenigbaar is omdat deze gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt. Dit is met name het geval wanneer deze gegevens gelet op deze doeleinden en gelet op de verstreken tijd ontoereikend, niet of niet meer ter zake dienend of bovenmatig zijn.").

De criteria voor de juistheid en relevantie bijvoorbeeld kunnen in belangrijke mate afhangen van hoeveelheid tijd is inmiddels verstreken sinds de oorspronkelijke verwijzingen naar een persoon. Terwijl sommige zoekresultaten, die naar content op andere webpagina's linken, zelfs na een aanzienlijk tijdsverloop nog van belang kunnen zijn, kunnen andere zoekresultaten dat niet zijn en voor die laatste groep voldoende rechtmatig belang bestaan zijn om verwijzing naar hun 'recentere' informatie te laten verwijderen.

Dit is precies de strekking van de voorgestelde EU-verordening inzake gegevensbescherming: de machtiging aan individuen om hun persoonlijke gegevens te beheren, terwijl de bescherming van de vrijheid van meningsuiting en van de media uitdrukkelijk beschermd blijft. Artikel 80 van de voorgestelde verordening bevat een specifieke bepaling die de lidstaten verplicht om de nationale wetgeving op gegevensbescherming te verzoenen met het recht op vrijheid van meningsuiting, met inbegrip van de verwerking van gegevens voor journalistieke doeleinden. De bepaling specifiek vraagt om het type afweging die het Hof heeft uiteengezet in zijn arrest dit in tegenstelling tot de huidige richtlijn van 24 oktober 1995 (Richtlijn 95/46/EG) die zij het impliciet de gegevensbescherming boven de vrijheid van de media stelt.

Deze uitspraak van het Europese Hof van Justitie heeft de belangrijkste pijlers van de hervorming gegevensbescherming bevestigd. De Commissie zal blijven aandringen op een snelle goedkeuring van de hervorming van de bescherming van gegevens, met inbegrip van de versterkte en gemoderniseerde recht om te worden vergeten. De Commissie stelt voor om de vrijheid van meningsuiting en van de media te versterken door middel van een herziening van de Europese regels voor gegevensbescherming. De Commissie verwacht dat zoekmachine-exploitanten zoals Google onder toezicht van de bevoegde autoriteiten in het bijzonder autoriteiten voor gegevensbescherming goed functionerende instrumenten en procedures verder zullen ontwikkelen, zodat er adequaat voor gezorgd kan worden dat individuen de verwijdering van hun persoonsgegevens kunnen aanvragen wanneer zij onjuist , ontoereikend, of irrelevante of niet meer relevant zijn. Google is daarmee goed op weg. Google stemt in met ruim de helft van de Europese aanvragen om links naar persoonlijke informatie uit haar zoekresultaten te verwijderen. Ongeveer 30 procent van de verzoeken zijn afgewezen. Bij ongeveer 15 procent werd om bijkomende informatie gevraagd, aldus De Morgen op 28 juli 2014. Google zei tot midden juli 2014 in totaal 91.000 aanvragen te hebben gekregen om 328.000 links uit de zoekresultaten te verwijderen.

Kortom, de voorgestelde verordening gegevensbescherming bevat een bepaald evenwicht tussen het recht op de bescherming van persoonsgegevens en de vrijheid van meningsuiting.