Privacy  

Opinion of the Committee on Legal Affairs on Protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data, 26 maart 2013 (2012/0010(COD))

Advies van de Commissie Juridische zaken inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de bevoegde autoriteiten met het oog op het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten of de tenuitvoerlegging van straffen, en het vrije verkeer van gegevens.

The EU is rightly seeking to equip itself with a comprehensive, coherent, modern, high-level framework for data protection, since the challenges facing data protection are numerous. They include globalisation, technological development, enhanced online activity, uses related to more and more criminal activities, and security concerns. (...)

The relevant European rules (Article 16 TFEU and the recognition in Article 8 of the Charter of Fundamental Rights of the right to protection of personal data as an autonomous right) must therefore provide individual citizens with legal certainty and confidence in the behaviour of data controllers, and in particular of prosecution and enforcement authorities, since violations of data protection provisions can lead to serious risks for the fundamental rights and freedoms of individuals and the values of the Member States. (...)

data protection in the field of criminal investigation and enforcement must be adapted to other considerations relating to the rule of law and deriving from the state monopoly on the use of force. Data protection legislation in relation to averting risk, establishing and safeguarding public security and investigating crimes and executing criminal penalties must match the tasks to be performed by the state and ensure that it is still able to perform these tasks effectively, in the interests of all its citizens.(...)

In light of these considerations, the rapporteur takes the view that the directive should do no more than set minimum standards. In practice, this renders obsolete the question of 'only cross-border' or 'also domestic' data protection, and a higher level of data protection may in any case be maintained.

However, in order to preserve the balance with data protection as a fundamental right, the directive must at the same time strengthen and give a clear definition of individual rights. The principles of transparency and scrutiny must be enshrined, but they should not run counter to the purpose of averting risks and prosecuting crimes. (...)

Jaarbericht 2012. Procesvertegenwoordiging Hof van Justitie van de EU. Inbreng van de Nederlandse regering, Bijlage bij Kamerstukken II 2012/13, 33 400-V, nr. 118.

De rechtspraak van het Hof en het Gerecht is essentieel voor Nederland. Hun uitspraken dragen bij aan de rechtsontwikkeling binnen de Europese Unie en kunnen van invloed zijn op het Nederlandse recht en beleid. Europese jurisprudentie dwingt soms tot aanpassing van de nationale regelgeving of uitvoeringspraktijk. Door actief zijn visie naar voren te brengen in Luxemburg, kiest Nederland ervoor om invloed uit te oefenen op deze rechtsontwikkelingen. Bij elk geselecteerd arrest wordt kort het standpunt van de Nederlandse regering weergegeven.

Consumentenbescherming - Content Services
Intellectueel eigendom - SABAM
Mededinging - Compass-Datenbank
Aanbesteding - vrij verkeer - fairtrade koffie en thee

Consumentenbescherming - Content Services
Arrest van het Hof van 5 juli 2012, Content Services, zaak C-49/11 (Oostenrijk) - [IT 820]
In deze zaak worden prejudiciële vragen gesteld over wat kan worden beschouwd als een ‘duurzame drager’. De richtlijn koop-op-afstand (thans Richtlijn 2011/83) vereist onder meer dat de algemene voorwaarden aan de consument ter beschikking worden gesteld op een ‘duurzame drager’. Een papieren kopie van de algemene voorwaarden is uiteraard een duurzame drager. In dit geval gaat het om een hyperlink door middel waarvan de consument op de website van de verkoper de algemene voorwaarden kan bekijken. Zoals ook de Nederlandse regering heeft betoogd, voldoet een dergelijke hyperlink volgens het Hof niet aan de voorwaarden van de richtlijn. Het is namelijk de bedoeling dat de consument de informatie kan opslaan zodat hij de informatie altijd kan raadplegen en er ook zeker van kan zijn dat deze ongewijzigd blijft. Een hyperlink is dus geen ‘duurzame drager’ in de zin van de richtlijn koop-op-afstand.

Intellectueel eigendom
Arrest van het Hof van 16 februari 2012, SABAM, zaak C-360/10 (België) - [IEF 10920]
In deze zaak gaat het om de vraag of een sociaalnetwerksite verplicht mag worden een filtersysteem te installeren om het illegaal uitwisselen van auteursrechtelijk beschermd materiaal te voorkomen. Het Hof is van oordeel dat het opleggen van een filterverplichting in strijd is met het Unierecht. Een dergelijke verplichting vormt een door de richtlijn elektronische
handel (Richtlijn 2000/31) verboden algemene toezichtverplichting. De nationale wetgever en rechter moeten bij het opleggen van maatregelen aan een internetprovider of een hostingdienstverlener ter bescherming van auteursrechthebbenden de belangen afwegen van bescherming van auteursrechten enerzijds en grondrechten als privacy, bescherming van persoonsgegevens en vrijheid van informatie, zoals gewaarborgd in het Handvest van de Unie, anderzijds. De uitspraak is in lijn met de inbreng van de Nederlandse regering.

Mededinging - Compass-Datenbank
Arrest van het Hof van 12 juli 2012, Compass-Datenbank, zaak C-138/11 (Oostenrijk)
Compass-Datenbank exploiteert een economische databank voor het verstrekken van informatiediensten. Compass-Datenbank heeft toestemming van de Oostenrijkse autoriteiten nodig om gegevens uit het ondernemingsboek te gebruiken. Het gaat onder meer om de reguliere gegevens (adres, telefoon enz.), deelnemingen, (stille) vennoten en andere informatie. Sinds 1999 hebben vijf ondernemingen na een aanbesteding de taak toebedeeld gekregen afwikkelingsinstanties op te zetten voor het bijhouden en tegen betaling verlenen van toegang tot het ondernemingsboek. De Oostenrijkse autoriteiten verbieden vervolgens Compass-Datenbank om nog langer gegevens uit het ondernemingsboek te gebruiken. De Oostenrijkse rechter vraagt om uitlegging van artikel 102 VWEU. Volgens het
Hof verricht een overheidsinstantie geen economische activiteit wanneer zij de gegevens die ondernemingen op grond van een wettelijke meldingsplicht hebben meegedeeld, in een databank opslaat en belanghebbenden inzage daarin verleent en/of voor hen print-outs laat vervaardigden. De overheidsinstantie kan in dit geval daarom niet als een onderneming in de zin van artikel 102 VWEU worden beschouwd. Dat geldt ook wanneer de activiteit erin bestaat afwikkelingsinstanties en hun eindklanten te verbieden informatie die door de overheid is verzameld en in de databank
van een openbaar register als het ondernemingsboek is opgenomen, te hergebruiken om daarmee eigen inlichtingendiensten te verstrekken. Ook wanneer een overheidsinstantie zich daarbij op intellectuele eigendomsrechten
beroept, handelt zij nog niet als een onderneming. Deze uitspraak is in lijn met de inbreng van de Nederlandse regering.

Aanbesteding - vrij verkeer - fairtrade koffie en thee
Arrest van het Hof van 10 mei 2012, Commissie/Nederland, zaak C-368/10 - [IEF 11305]
De provincie Noord-Holland start een Europese aanbesteding voor de levering van koffieautomaten met biologische en fairtrade koffie en thee. De provincie verwijst in haar bestek naar het EKO-keurmerk en het Max Havelaarkeurmerk. Volgens de Commissie zijn deze verwijzingen in strijd met de aanbestedingsrichtlijn (Richtlijn 2004/18). De Commissie krijgt grotendeels gelijk van het Hof. De verwijzing naar het EKO-keurmerk was volgens het Hof een onverenigbare technische specificatie. De provincie mag alleen de onderliggende uitgangspunten van het keurmerk als eis stellen, niet het keurmerk zelf. De uitgangspunten van het Max Havelaar keurmerk zijn volgens het Hof sociale overwegingen die getoetst moeten worden aan het artikel over uitvoeringsvoorwaarden (artikel 26 van Richtlijn 2004/18). Deze
uitgangspunten zijn dus geen technische specificaties van het product, zoals de Commissie stelt. De uitgangspunten van zowel het EKO-keurmerk als het Max Havelaar-keurmerk mogen voorts ook worden gebruikt in de gunningscriteria.
Deze uitgangspunten houden in casu voldoende verband met het voorwerp van de opdracht. Ook hier geldt dus dat het keurmerk zelf niet geëist mag worden. Dit zou in strijd zijn met de beginselen van gelijke behandeling, non-discriminatie en transparantie. Tot slot heeft de provincie ook van leveranciers geëist dat ze inzicht geven in hun activiteiten op het
gebied van duurzaam inkopen en maatschappelijk verantwoord ondernemen. Deze eis is volgens het Hof in strijd met het gesloten systeem van bekwaamheidseisen en met de transparantieverplichting.

Zie het Jaarbericht van 2011.

Gerechtshof 's-Hertogenbosch 19 maart 2013, LJN BZ5206 (Appellant tegen Doco International B.V.)

Op non-actiefstelling. Ontslag op staande voet. Onrechtmatig verkregen bewijs door inzage in Gmail-account? Zakelijk gebruikt emailaccount.

Het hof stelt Doco in de gelegenheid om bedoelde logfiles, voor zover nodig voorzien van een toelichting omtrent de datum en de inhoud/aard van de door [appellant] gedownloade gegevens, in het geding te brengen; duidelijkheid te verschaffen om welke reden het nodig was om inzage te hebben in de laptop/Gmail-account en aan te geven op welke wijze en op welk moment Doco toegang heeft verkregen tot het Gmail-account van mw. [echtgenote van appellant].

Het hof laat Doco toe te bewijzen: dat het Gmail-account van mw. [echtgenote van appellant] zakelijk werd gebruikt en centraal stond in de bedrijfsvoering van Clear Concept; de wijze waarop Doco toegang heeft verkregen tot het Gmail-account van mw. [echtgenote van appellant].

4.4.4. [appellant] heeft in grief 5 bezwaar gemaakt tegen het gebruik van de door Doco overgelegde e-mails als bewijs. Deze dienen volgens [appellant] uitgesloten te worden van bewijs omdat zij onrechtmatig verkregen zijn. [appellant] heeft gesteld dat de kantonrechter ten onrechte heeft overwogen dat het privacybelang van de echtgenote van [appellant], op wiens naam de e-mailaccount stond ([gmailaccount]@gmail.com), zich niet zo ver uitstrekt dat ook derden die die e-mailaccount gebruiken door het sturen van e-mails met de strekking als de in het geding gebrachte mails, daaraan een voldoende zwaarwegend belang kunnen ontlenen, leidend tot bewijsuitsluiting in deze procedure. Doco had geen toestemming om in de met een wachtwoord beveiligde privé-e-mailaccount, waarin zich overwegend privécorrespondentie met banken, een makelaar, het ziekenhuis en de gemachtigde van [appellant] bevindt, te kijken. De account werd slechts af en toe zakelijk gebruikt als de zakelijke mail van Doco niet werkte. Doco heeft ingebroken in deze “brievenbus”. (...)

4.4.6.1. In dit geval betekent dit met betrekking tot de eerste vraag dat thans nog onvoldoende duidelijk is wat de status was van de Gmail-account van de echtgenote van [appellant]. Vast staat dat dit in ieder geval ook een privé-account was/is dat door [appellant] en zijn echtgenote ook als zodanig werd gebruikt. [appellant] heeft gesteld dat die account slechts af en toe zakelijk voor Doco werd gebruikt als de e-mail van Doco in China niet werkte. Doco heeft evenwel betoogd dat de betreffende account - ook - zakelijk werd gebruikt en zelfs centraal stond in de bedrijfsvoering Clear Concept en daardoor van Doco. Zo liep alle communicatie met het trustkantoor Klako via de Gmail-account volgens Doco.
Doco heeft verwezen naar een tweetal schema’s op pagina 30 van de conclusie van repliek. Bedoelde schema’s acht het hof voorshands geen bewijs voor de stelling van Doco. In die schema’s is immers wel de positie van mw. [echtgenote van appellant] aangegeven voor wat betreft de routing van de “purchase orders” en de facturen en betalingen, maar dit zegt op zich niets over het zakelijk gebruik van haar Gmail-account. Doco heeft verder verwezen naar een - kennelijk door haar - opgesteld schema in punt 84 van de memorie van grieven waarin onder meer is vermeld “Rep. office China [roepnaam echtgenote van appellant] mail”. Ook dit zegt naar het oordeel van het hof - vooralsnog - niets omtrent het zakelijk gebruik van de bedoelde account. Doco heeft betoogd haar voormelde stelling te kunnen aantonen. Het hof zal Doco toelaten tot het bewijs van die stelling.
Het hof is in dat verband voorshands van oordeel dat - in ieder geval bij slechts sporadisch zakelijk gebruik - niet met recht kan worden betoogd dat de Gmail-account onder het Doco Bedrijfsreglement 1-1-2008 (hierna: het Bedrijfsreglement) viel. Uit bijlage 1 bij het Bedrijfsreglement, “Protocol voor het gebruik van e-mail- en internetfaciliteiten”, kan niet anders worden afgeleid dan dat dit protocol alleen van toepassing is op (onder andere e-mailverkeer via) het Doco-netwerk.

4.4.6.3. Doco heeft verder betoogd dat zij zich met medeweten en instemming van mw. [echtgenote van appellant] vaker toegang had verschaft tot de Gmail-account, dat het wachtwoord was opgeslagen op de computer van [algemeen directeur] op het Doco-kantoor in Sittard en dat Windows de instellingen en het wachtwoord onthoudt. Het hof acht voor de beoordeling van de gestelde onrechtmatige bewijsgaring van belang dat vast komt te staan op welke wijze en op welk moment Doco toegang heeft gekregen tot de Gmail-account. Het is aan Doco daar duidelijkheid over te verschaffen en bewijs bij te brengen. Het hof merkt daarbij voorshands op dat, indien komt vast te staan dat het wachtwoord ‘[wachtwoord B.]’ aan Doco door mw. [echtgenote van appellant] ter beschikking is gesteld, dit nog niet betekent dat daarmee tevens toestemming is gegeven voor het monitoren van al het e-mailverkeer dat via de Gmail-account liep.

CBP, NS heeft gerechtvaardigd belang `reisopbrengst' te verwerken voor marketingdoeleinden, CBPweb.nl.

Het College bescherming persoonsgegevens (CBP) heeft geconcludeerd dat de NS een gerechtvaardigd belang heeft om het totale bedrag per maand dat de klant op saldo bij de NS heeft gereisd (reisopbrengst) te verwerken voor marketingdoeleinden. Deze verwerking leidt er niet toe dat er een gedetailleerder beeld ontstaat van het reisgedrag van de reizigers. Hierdoor staan naar het oordeel van het CBP het belang of de fundamentele rechten en vrijheden van reizigers de verwerking niet in de weg.

Lees de voorwaarden in de bijlage van de brief uit 2008 aan de toenmalige Staatssecretaris van Verkeer en Waterstaat

Lees het rapport van definitieve bevindingen van het CBP-onderzoek uit 2012 naar gegevensverwerking OV-chipkaart voor marketingdoeleinden

Rechtbank Amsterdam 20 maart 2013, zaaknummer C/13/525965 / HA ZA 12-1130 (Schafthuizen tegen Uitgeverij Van Oorschot B.V.) - (7Mb!)

Uitspraak ingezonden door Bertil van Kaam en Recmo Klöters, Van Kaam advocaten.

Zie eerder Schafthuizen tegen Van Oorschot. Auteursrecht. Contractenrecht. Wel toestemming ongepubliceerd en gepubliceerd werk. Geen sprake van wilsgebrek door geestesstoornis (depressie). Wet bescherming persoonsgegevens. Privéleven tegenover vrijheid van meningsuiting

Uit hetgeen de rechtbank met betrekking tot de toestemming tot het gebruik van ongepubliceerde werken van Reve heeft overwogen komt naar voren dat Schafthuizen de gelegenheid heeft gehad om de tekst van deel drie van de Biografie in zijn geheel vooraf in te zien en daarbij al die passages te schrappen die hem onwelgevallig waren. Hij heeft dus ook ten aanzien van deel drie van de Biografie de gelegenheid gehad controle te houden over wat er met betrekking tot zijn privéleven in zou worden opgenomen.

In citaten:
4.1. Aan zijn vorderingen legt Schafthuizen samengevat ten grondslag dat het derde deel van de Biografie is gepubliceerd zonder zijn toestemming althans dat een eventuele gegeven toestemming niet de uitdrukking is geweest van zijn wil, omdat hij handelde onder invloed van een stoornis in zijn geestvermogens.
Als auteursrechthebbende op het werk van Reve was hij bevoegd het gebruik van a. ongepubliceerd werk van Reve en b. gepubliceerd werk van Reve toe te staan of niet.
Als betrokkene in de zin van de Wet bescherming persoonsgegevens (Wbp) heeft hij daarnaast de bevoegdheid te verhinderen dat zijn persoonsgegevens zonder zijn toestemming worden verwerkt in een bestand.

Toestemming ongepubliceerd werk?
Naar het oordeel van de rechtbank is aan alle voorwaarden die in de overeenkomst aan de toestemming voor het gebruik van ongepubliceerd werk in deel drie van de Biografie zijn gesteld voldaan en is die toestemming verkregen. (r.o. 4.5)

Toestemming gepubliceerd werk?
De rechtbank is van oordeel dat Van Oorschot c.s. er vanuit mocht gaan dat de toestemming van Schafthuizen niet alleen betrekking had op ongepubliceerd werk, maar ook op gepubliceerd werk. Dat geldt te meer nu Schafhuizen bij het schrappen van passages ook in citaten van gepubliceerd werk heeft geschrapt en daarbij ook delen van gepubliceerd werk heeft laten staan. Hij kan dus niet onwetend zijn geweest dat er in de Biografie ook werd geciteerd uit gepubliceerd werk.

In ieder geval heeft Schafthuizen onvoldoende gesteld om zijn stelling dat de geciteerde gedeelten de grenzen van het citaatrecht van artikel 15a van de Auteurswet zouden overstijgen aannemelijk gemaakt.

Wilsgebrek
4.10 (...) Naar het oordeel van de rechtbank heeft Van Oorschot c.s. voldoende aannemelijk gemaakt dat een eventueel wilsgebrek niet kenbaar was en ook niet kenbaar hoefde te zijn. De omstandigheid dat iemand aan een depressie lijdt zoals uit het interview met de Volkskrant naar voren komt is immers zodanig geen aanwijzing dat iemand niet in staat is zijn belangen naar behoren te waarderen.

Wet bescherming persoonsgegevens
4.14 Met Schafthuizen is de rechtbank van oordeel dat van ondubbelzinnige toestemming zijnerzijds als bedoeld in artikel 8 onder a Wbp geen sprake is geweest. In geen van de contacten die er tussen Schafthuizen en Van Oorschot c.s. zijn geweest is op enig moment de toestemming voor de verwerking van persoonsgegevens in de zin van de Wbp aan de orde gesteld.

De voorwaarden die in artikel 8 Wbp aan de verwerking van persoonsgegevens zijn gesteld zijn echter niet cumulatief, maar alternatief. Dat betekent dat als aan maar één van de voorwaarden is voldaan de gegevens mogen worden verwerkt.
De voorwaarden onder b t/m e spelen in deze zaak geen rol.
Beoordeeld moet worden of de voorwaarde onder f van toepassing is en Van Oorschot c.s. op die grond tot verwerking van de persoonsgegevens van Schafthuizen bevoegd was.(...) het belang van Van Oorschot c.s. is het belang van de publicatie van de Biografie. De Biografie is een uitingsvorm die in artikel 10 van het EVRM een bijzonder bescherming heeft gekregen. Dat door de publicatie op de persoonlijke levenssfeer van Schafthuizen inbreuk wordt gemaakt kan evenmin worden betwist. (...) Schafthuizen kan op voet van artikel 8 EVRM dan ook aanspraak maken op respect voor zijn privéleven.

4.15. Zoals door Van Oorschot c.s. onweersproken is gesteld, is een deel vn de in de Biografie genoemde privéaspecten van het leven van Schafthuizen reeds eerder door met zijn medeweten gepubliceerde werken aan de openbaarheid prijsgegeven. Terecht heeft Schafthuizen daar tegenover gesteld dat die publicatie door Reve of hemzelf werden gecontroleerd en da hij het daarbij zelf in de hand had om te bepalen welke aspecten van zijn privéleven naar buiten kwamen en in welke context dat gebeurde. Die enkele omstandigheid is dan ook niet voldoende om de belangenafweging naar het belang van Van Oorschot c.s. te doen doorslaan.

Uit hetgeen de rechtbank hiervoor met betrekking tot de toestemming tot het gebruik van ongepubliceerde werken van Reve heeft overwogen komt naar voren dat Schafthuizen de gelegenheid heeft gehad om de tekst van deel drie van de Biografie in zijn geheel vooraf in te zien en daarbij al die passages te schrappen die hem onwelgevallig waren. Hij heeft dus ook ten aanzien van deel drie van de Biografie de gelegenheid gehad controle te houden over wat er met betrekking tot zijn privéleven in zou worden opgenomen.

Dat betekent naar het oordeel van de rechtbank dat met zijn te respecteren belangen in voldoende mate rekening is gehouden en in thans te maken afweging het belang van Schafthuizen niet meer prevaleert boven het belang van Van Oorschots c.s..

Proceskosten in conventie: veroordeelt Schafthuizen in de proceskosten €21.341,73 en €24.824,09 en in reconventie: een bedrag van €8.963,55 en proceskosten €384,00.

Uit 't persbericht: The "right to be forgotten", explicit consent before a person's data is collected and a ban on profiling on the basis of ethnic, religious or sexual orientation criteria are among the main demands for data protection reform made by the legal affairs committee in a non-binding opinion adopted on Tuesday.

Legal affairs specialists in Parliament support the "right to be forgotten" as proposed by the Commission in its draft data protection regulation. This would oblige companies, such as social networks or online shops, to delete personal data on request. However, the committee says in its non-binding opinion that this right should not apply to data processed for healthcare purposes. They believe that is important to retain complete health records in order to ensure the best care and treatment.

The data protection regulation will replace the current directive dating from 1995 and will apply a single set of rules to all data collected on a systematic basis, from search engines and social networks to health and education data. The proposed rules seek to give citizens more control over their own data, especially on the Internet, while ensuring clearer rules for businesses.

Profiling and explicit consent
The legal affairs committee says that "profiling" (a practice that allows personal data online to be monitored and matched in order to analyse or predict a person's behaviour) should not be based on ethnic, religious or sexual orientation criteria.

MEPs also support the Commission proposal to require a person's explicit consent to the use of their data. This permission could be sought electronically, says the committee in its opinion.

Background
The legal affairs committee adopted its opinion on the data protection regulation by 14 votes to 6, with 4 abstentions. It also adopted an opinion, by 14 votes to 9, endorsing the directive on the processing data for criminal matters. It was the fourth and last committee to adopt non-binding opinions before the civil liberties committee votes on its report as the lead committee. The other three committees to adopt opinions were the internal market committee, which voted on 23 January, the industry committee, which voted on 20 February, and the employment committee, which voted on 21 February.

Next steps
The civil liberties committee will discuss the amendments tabled to the Commission's proposals at 15.00 on Wednesday.  It will vote on both the regulation and the directive in the spring.

CBP, Europese privacytoezichthouders publiceren opinie over mobiele apps Gebruik persoonsgegevens door app alleen toegestaan met toestemming gebruiker, 14 maart 2013.

Uit't persbericht: De Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep, adresseren vandaag in hun gezamenlijke opinie de grootste privacyrisico's van mobiele apps. In de opinie worden de concrete verplichtingen op grond van Europese privacywetgeving voor app-ontwikkelaars en alle andere betrokken partijen bij de ontwikkeling en distributie van apps uitgewerkt. Andere partijen zijn onder meer app stores, advertentiebedrijven en fabrikanten van besturingssystemen. In de opinie wordt speciale aandacht gegeven aan apps gericht op kinderen.

Een smartphone-gebruiker heeft gemiddeld zo'n 37 apps gedownload. Apps kunnen enorme hoeveelheden persoonsgegevens van die gebruiker verwerken, onder meer door toegang tot het fotoalbum of het gebruik van locatiegegevens. “Dit gebeurt nu vaak zonder dat gebruikers hierover goed zijn geïnformeerd en zonder dat zij hiervoor vrijelijk toestemming hebben kunnen geven. Dat is in strijd met Europese privacywetgeving”, aldus de voorzitter van de Artikel 29-werkgroep Jacob Kohnstamm.

Lees verder op CBPweb.

Op andere blogs:
De Brauw Legal Alert (Mobile apps remain a priority for European data protection authorities)

Vzr. Rechtbank Zeeland-West-Brabant 5 maart 2013, zaaknr. C/02/259680 / KG ZA 13-74 (Total Telecom Lux Sarl tegen "Ko van Dijk")

Uitspraak ingezonden door Filip Van Eeckhoutte, Van Eeckhoutte Advocaten.

Onrechtmatige uiting onder valse naam, deknaam. Internethavens. Rectificatie toegewezen waarbij ware identiteit wordt prijsgegeven.

Total Telecom exploiteert zogenaamde astrolijnen waar consumenten een (betaald) gesprek kunnen voeren met een spiritueel consulent. Gedaagde schrijft onder de naam Ko van Dijk artikel op kovandijkvertelt.nl met als titel: "Ko van Dijk vertelt: Een pornoschandaal achter Astro-tv?". Op verzoek wordt door de ISP de ware identiteit onthuld.

De voorzieningenrechter is van oordeel dat de zinsnede `het bedrijf van [] die inderdaad niet vies van blote borsten is' in meergenoemd artikel wel degelijk de indruk wekt dat eisers zelf exploitanten zijn van een pornolijn. Deze passage is als onrechtmatig jegens eisers aan te merken. Omdat uit de inhoud blijkt dat het antwoord op de vraag uit de kop luidt dat er geen pornoschandaal is, wordt de verdere inhoud van het artikel niet als onrechtmatig aangemerkt.

De wijze waarop gedaagde de anonimiteit zoekt, onder een deknaam zonder desgevraagd ter zitting de identiteit te willen prijsgeven, en gelet op de inhoud en toon van de brieven en emails, is er gegronde vrees dat gedaagde de beschuldigingen wederom zal gaan publiceren.

De voorzieningenrechter beveelt gedaagde om van de door hem beheerde internethavens, waaronder web-, blog- en Twitterpagina's, een passage te verwijderen en te vervangen. Er wordt een rectificatie toegewezen, waarbij "Ko van Dijk" zijn ware identiteit dient te onthullen: "Ik, [naam gedaagde] wonende te [woonplaats], heb onder valse naam 'Ko van Dijk' in mijn artikel (...)." Dit onder last van een dwangsom.

Leestip: 4.2 - 4.7.

Op andere blogs:
DirkzwagerIEIT (persoon achter internetpseudoniem moet rectificatie onder echte naam plaatsen)

Peter Hustinx, "Protection of personal data: now part of our DNA", at EESC Conference "Towards a more responsible use of the internet - The European civil society perspective" Brussels, 6 March 2013.

(...) So, let me be as clear as possible. The protection of personal data has developed over decades, both at national and European level, and is now part of our DNA. The Council of Europe played a pioneering role in formulating the basic concepts and principles of data protection in a Convention in 1981, which since then has been ratified by more than 40 European countries, including all EU member states.

Moreover, we also know that the objectives of the Digital Agenda and the EU2020 strategy of a "smart, sustainable and inclusive" Europe are not achievable without strong safeguards for privacy and data protection. In this perspective, even a priority such as economic recovery has become linked to data protection reform. No wonder that the Commission is defending its proposals also with a reference to more jobs linked to the digital economy.

But make no mistakes: there is no space to go back in this exercise. Some late comers in the debate seem to argue their case in terms that suggest that the current legal framework does not exist or does not apply to them. In my view, the main focus should instead be on making the present legal safeguards more effective in practice, so as to ensure that they will help us to face the current and future challenges of a digital world.

(...)

Although the Commission proposal for a Regulation still raises quite a few questions at this stage, there is also a growing consensus about its main lines.

First, the scope of EU law will be extended: it will also apply whenever goods or services are offered at the European market, or when residents of the EU are being monitored. This means a 'level playing' field where Internet service providers and other key actors will be covered, regardless of whether they operate from the EU or from a third country.

Secondly, the position of data subjects will be reinforced so as to ensure an adequate control over the collection and use of their personal data. This will come from more transparency of data processing, stricter rules on consent, and more effective rights of access, correction and erasure of data, including rights to be forgotten and to data portability.

Thirdly, the controller's responsibility will be emphasized by duties to ensure and demonstrate compliance with data protection requirements, to conduct timely data protection impact assessments, and to ensure that all relevant privacy aspects are included in new developments from the start ("Privacy by Design").

Fourthly, the position of independent authorities will be reinforced, with stronger and uniform powers for more effective supervision and enforcement, including the possibility of heavy fines and other effective sanctions.

Finally, the Data Protection Regulation will ensure more harmonisation and consistency across the EU. Supervisory authorities will also be cooperating more closely on issues with a European or international dimension.

I think that a result along these lines by the end of this year or by early 2014 would provide a very good basis for ensuring a more responsible use of the internet.

Finally, let me say that I fully agree with the need to achieve a good balance between different fundamental rights, and more generally, between different legitimate interests, but I see no reason to believe that the proposed Data Protection Regulation would not be entirely in line with that approach.

Rechtbank ´s-Hertogenbosch 31 januari 2013, LJN BZ2126 (eiser tegen veilingdeurwaarder.nl)

Persoonsgegevens. Verwerking. Advertentie. Executoriale verkopen. Link. Informatieplicht.

Eiser heeft Veilingdeurwaarder verzocht om een overzicht van alle haar betreffende persoonsgegevens en een overzicht van degene aan wie deze gegevens zijn verstrekt. Veilingdeurwaarder is houdster van de website www.veilingdeurwaarder.nl. Op de website kunnen gerechtsdeurwaarders en belastingdeurwaarders advertenties plaatsen ter aankondiging van de executoriale verkopen. Door de deurwaarder is ten laste van eiser beslag gelegd op een auto. Van de openbare veiling is melding gemaakt door publicatie daarvan op de website.

Aan haar verzoek legt eiser ten grondslag dat Veilingdeurwaarder haar betreffende persoonsgegevens verwerkt door deze op de website te plaatsen en vervolgens geïnteresseerden van de op de website geplaatste advertentie op de hoogte te stellen door middel van een e-mailservice of een tweet, waardoor die geïnteresseerden door op een link te klikken direct in de advertentie komen waarin de naam van eiser en het kenteken van de auto zijn vermeld.

Als uitgangspunt geldt dat degene die persoonsgegevens verwerkt verantwoordelijk is voor de verwerking. In de overgelegde advertentie staan onder RDW-gegevens (die Veilingdeurwaarder volgens haar eigen stellingen dus zelf ophaald) het kenteken van de auto en de naam van de kentekenhouder vermeld. De rechtbank is van oordeel dat Veilingdeurwaarder als verantwoordelijke in de zin van de Wbp moet worden aangemerkt voor het plaatsen van de persoonsgegevens op de website, aangezien zij de RDW-gegevens zelf in de advertentie plaatst. Het verzenden van een e-mail of tweet met daarin een directe link naar de advertentie waarin de persoonsgegevens zijn vermeld  levert tevens het verwerken van persoonsgegevens op. Ook het verzenden van een hyperlink moet worden beschouwd als een andere vorm van terbeschikkingstelling.

Als verantwoordelijke voor de verwerking van persoonsgegevens is Veilingdeurwaarder in beginsel verplicht aan het verzoek op grond van artikel 35 van de Wbp te voldoen. Veilingdeurwaarder heeft echter terecht opgemerkt dat zij op grond van artikel 43 onder e van de Wbp niet hoeft te voldoen aan haar informatieplicht. De rechtbank is met Veilingdeurwaarder van oordeel dat Veilingdeurwaarder niet gehouden is naam- en adresgegevens te verstrekken van alle ontvangers van de nieuwsbrief omdat daarmee een verregaande inbreuk op de privacy van die ontvangers zou worden gemaakt.

4.4.  De rechtbank stelt voorop dat als uitgangspunt dient te gelden dat degene die persoonsgegevens verwerkt verantwoordelijk is voor de verwerking, tenzij deze aantoont dat dat niet het geval is. Veilingdeurwaarder heeft niet aangegeven welke gegevens zij door de deurwaarder krijgt aangeleverd en welke gegevens zij zelf aanvult vanuit het RDW-register. In de door [eiser] als voorbeeld overgelegde advertentie staan onder RDW-gegevens (die Veilingdeurwaarder volgens haar eigen stellingen dus zelf ophaalt) het kenteken van de auto en de naam van de kentekenhouder vermeldt. De rechtbank gaat er daarom vanuit dat Veilingdeurwaarder deze gegevens zelf in de advertentie plaatst en daarmee als verantwoordelijke voor de verwerking heeft te gelden. Veilingdeurwaarder heeft weliswaar betoogd dat deze gegevens niet als persoonsgegevens moeten worden beschouwd, maar dit verweer wordt verworpen. In het richtsnoer van het CBP is opgenomen dat het bekendste direct identificerend gegeven de combinatie van voor- en achternaam is en als voorbeeld van bekendste indirect identificerende gegevens wordt het kenteken genoemd. Naar het oordeel van de rechtbank levert een combinatie van achternaam met voorletters en het kenteken zeker een persoonsgegeven in de zin van de Wbp op. De rechtbank is van oordeel dat Veilingdeurwaarder als verantwoordelijke in de zin van de Wbp moet worden aangemerkt voor het plaatsen van de persoonsgegevens op de website.

4.5.  De rechtbank is tevens van oordeel dat het verzenden van een e-mail of tweet met daarin een directe link naar de advertentie waarin de persoonsgegevens zijn vermeld het verwerken van persoonsgegevens oplevert. Artikel 1 onder d van de Wbp bepaalt immers dat onder verwerking moet worden verstaan: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens. De rechtbank is van oordeel dat het verzenden van een hyperlink beschouwd moet worden als een andere vorm van terbeschikkingstelling. Ook voor deze verwerking moet Veilingdeurwaarder als verantwoordelijke worden aangemerkt.

4.7.  Aangezien Veilingdeurwaarder als verantwoordelijke voor de verwerking van persoonsgegevens van [eiser] dient te gelden, is Veilingdeurwaarder in beginsel verplicht aan het verzoek op grond van artikel 35 van de Wbp te voldoen. Veilingdeurwaarder heeft echter terecht opgemerkt dat zij op grond van artikel 43 onder e van de Wbp niet hoeft te voldoen aan haar informatieplicht, indien dit noodzakelijk is ter bescherming van de rechten en vrijheden van anderen. De rechtbank is met Veilingdeurwaarder van oordeel dat Veilingdeurwaarder niet gehouden is naam- en adresgegevens te verstrekken van alle ontvangers van de nieuwsbrief omdat daarmee immers een verregaande inbreuk op de privacy van die ontvangers zou worden gemaakt. Naar het oordeel van de rechtbank kan Veilingdeurwaarder volstaan met het verstrekken van categorieën van ontvangers, welke mogelijkheid uitdrukkelijk is toegestaan op grond van artikel 35. Het verzoek van [eiser] zal dan ook met die restrictie worden toegewezen.

Op andere blogs:
Ius Mentis (Tweeten of hyperlinken naar persoonsgegevens is verwerking)
SOLV (linken naar persoonsgegevens is een verwerking)