Privacy  

Rechtbank ’s-Gravenhage 15 maart 2012, LJN BV9594 / LJN BV9587

Met samenvatting van Hanneke van Lith, masterstudent IVIR.

Vergelijkbaar met IT 660: Phishing en incidentenregister. Twee beschikkingen. Wbp. Incidentenregister. Phishing.

Het verzoek van de ouders om de persoonsgegevens van hun kind bij de Stichting CIS en van het incidentenregister van de ING te verwijderen is afgewezen.

De rechtbank geeft in beide zaken te kennen dat onbetwist vast staat dat de pinpas en pincode van de minderjarige zijn gebruikt bij zogenaamde ‘phishing-fraude’. Het kind heeft namelijk verklaard dat hij vrijwillig zijn pinpas en pincode heeft afgegeven, om makkelijk geld te verdienen. Door de ouders van het kind wordt echter aangevoerd dat hun kind onder valse voorwendselen is overgehaald zijn/haar pinpas en pincode te verstrekken aan een derde. De rechtbank geeft de ouders de mogelijkheid dit te bewijzen door middel van getuigenverklaringen.

Tot die tijd heeft de rechtbank bepaalt dat de persoonsgegevens van het kind niet hoeven te worden verwijderd door de ING.

4.11. Tussen partijen is niet in geschil dat de betaalrekening van [kind van verzoekers] is gebruikt voor frauduleuze transacties. Gezien de verklaring van [kind van verzoekers] tegenover de politie is vast komen te staan dat [kind van verzoekers] daarbij betrokken was. Hij heeft in zijn verklaring toegegeven dat hij met het oog op een snelle verdienste van wel een paar honderd euro zijn pas en pincode aan een derde heeft afgegeven, zodat die zijn rekening zou kunnen gebruiken. Hij kwam zelf tot het besef dat een en ander niet klopte. Dat [kind van verzoekers] er daarom spijt van kreeg en zijn moeder informeerde en vervolgens openheid van zaken heeft gegeven bij de politie, doet op zich aan zijn betrokkenheid bij de fraude niet af. In de gegeven omstandigheden is naar het oordeel van de rechtbank aan de criteria voor opneming in het incidentenregister en het daaraan gekoppelde EVR voldaan en had ING derhalve een gerechtvaardigd belang de persoonsgegevens van [kind van verzoekers] daarin op te nemen.

4.12. Tegenover dit belang van ING staan de mogelijke nadelige gevolgen voor [kind van verzoekers] als gevolg van opnemen van zijn persoonsgegevens in de registers. De afweging van deze belangen valt in het nadeel van [kind van verzoekers] uit. De rechtbank heeft daarbij in aanmerking genomen dat [kind van verzoekers] nog wel kan bankieren. Weliswaar is de zogenaamde convenantenrekening - een basale bancaire rekening waarop betalingen kunnen worden ontvangen en waarvan betalingen kunnen worden verricht - alleen te openen door meerderjarigen, maar ter zitting heeft ING aangegeven bereid te zijn een rekening voor [kind van verzoekers] te openen die identiek is aan de convenantenrekening. Bovendien is de opname in verband met de leeftijd van [kind van verzoekers] beperkt tot vier jaar.

Vzr. Rechtbank Utrecht 21 maart 2012, LJN BW1070 (eiser tegen NS Groep)

Rechtspraak.nl: Kort geding. Geschil draait om vraag of er voor een student die met de trein wil reizen in de zogenaamde vrij reizen periode een verplichting bestaat tot het in- en uitchecken met zijn (persoonlijke) OV-chipkaart (althans dat alleen aldus een geldig elektronisch vervoersbewijs wordt verkregen) en zo ja, of deze verplichting in strijd is met de Wet bescherming persoonsgegevens. Voldoende aannemelijk is dat er een contractuele grondslag bestaat voor de (invoering van de) verplichting tot inchecken op basis van artikel 18.2 van de geldende Algemene Voorwaarden (AVR-NS). Geen nietigheid van deze bepaling op grond van artikel 3:40 BW, want geen strijd met artikel 5 Besluit Personenvervoer. Tevens is voldoende aannemelijk dat de gegevensverwerking die plaatsvindt bij het in- en uitchecken noodzakelijk is voor de uitvoering van de vervoersovereenkomst tussen NS en reiziger (artikel 8 onder b Wet bescherming persoonsgegevens). De op basis van artikel 18.2 AVR-NS ingevoerde verplichting tot in- en uitchecken is immers een vereiste geworden voor het hebben van een geldig vervoersbewijs (artikel 8.7 AVR-NS).

Vzr. Rechtbank Rotterdam 1 december 2011, LJN BU6967 (A tegen Stichting AFM)

Doorgeven van leads. Onderbemiddelen. Gegevensbescherming.

Onder verwijzing naar uitspraken is de voorzieningenrechter vooralsnog van oordeel dat, gelet op de wetsgeschiedenis met betrekking tot het begrip bemiddelen en de ruime definitie daarvan zoals weergegeven in artikel 1:1 van de Wft, in het geval van verzoeker sprake is van werkzaamheden in de uitoefening van een beroep of bedrijf die gericht zijn op het als tussenpersoon tot stand brengen van een overeenkomst tussen consument en aanbieder en er derhalve sprake van (onder)bemiddelen is. Hierbij is van belang dat, nadat de consument zijn gegevens had achtergelaten op de website van [B], via die website automatisch een ‘lead’ werd verzonden aan financiëledienstverlener [E]...

...dan wel financiële dienstverlener [G], de door de consument in te vullen gegevens meer inhielden dan alleen zogenaamde NAW-gegevens, en de omstandigheid dat verzoeker werd betaald voor de via zijn website verkregen ‘leads’. Het feit dat sprake is van een door verzoeker geheel geautomatiseerd systeem van gegevensoverdracht tussen consument en de financiële dienstverleners maakt het voorgaande niet anders evenmin als het gegeven dat verzoeker heeft bemiddeld voor bemiddelaars die wel in het bezit zijn een vergunning.

Hof 's-Gravenhage 23 maart 2012, LJN BV9836 (virus & trojan)

Strafzaak. De verdachte heeft zich samen met een ander schuldig gemaakt aan het maken en verspreiden van een virus en een trojan, welke (onder andere) de functie hadden om inloggegevens en wachtwoorden af te vangen, op te slaan en naar een voor de verdachte en zijn medeverdachte toegankelijke bestandslocatie te verzenden. Van die gegevens kon misbruik worden gemaakt en dat is ook gebeurd. Aldus heeft de verdachte opzettelijk een stoornis in de besmette computers veroorzaakt, zodat er gemeen gevaar voor een ongestoorde dienstverlening te duchten is geweest. De verdachte heeft welbewust misbruik gemaakt van zijn kennis van informatie- en communicatietechnologie.

Het Hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 730 (zevenhonderddertig) dagen. Tevens wordt bepaald dat een gedeelte van de gevangenisstraf, groot 405 (vierhonderdvijf) dagen, niet ten uitvoer zal worden gelegd, tenzij de rechter later anders mocht gelasten omdat de verdachte zich voor het einde van een proeftijd van 2 (twee) jaren aan een strafbaar feit heeft schuldig gemaakt.

Het hof heeft de op te leggen straf bepaald op grond van de ernst van de feiten en de omstandigheden waaronder deze zijn begaan en op grond van de persoon en de persoonlijke omstandigheden van de verdachte, zoals daarvan is gebleken uit het onderzoek ter terechtzitting.

Daarbij heeft het hof in het bijzonder het volgende in aanmerking genomen. De verdachte heeft zich samen met een ander schuldig gemaakt aan het maken en verspreiden van een virus en een trojan, welke (onder andere) de functie hadden om inloggegevens en wachtwoorden af te vangen, op te slaan en naar een voor de verdachte en zijn medeverdachte toegankelijke bestandslocatie te verzenden. Van die gegevens kon misbruik worden gemaakt en dat is ook gebeurd. Aldus heeft de verdachte opzettelijk een stoornis in de besmette computers veroorzaakt, zodat er gemeen gevaar voor een ongestoorde dienstverlening te duchten is geweest. De verdachte heeft welbewust misbruik gemaakt van zijn kennis van informatie- en communicatietechnologie. Daarmee heeft de verdachte het vertrouwen ondermijnd dat internetgebruikers in een ongestoorde afwikkeling van creditcard- en bancaire diensten moeten kunnen stellen. Dat is schadelijk voor het functioneren van dat systeem.

Nieuw op MijnPrivacy.nl: ‘Privacy bij een zwarte lijst’

Mag een bedrijf mij zomaar op een zwarte lijst zetten? Wat doe ik als ik ten onrechte op een zwarte lijst sta? Antwoord op deze vragen vindt u in het nieuwe dossier ‘Privacy bij een zwarte lijst’ op MijnPrivacy.nl, de publiekssite van het CBP. Ook vindt u op deze website vernieuwde informatie over het toetsen van uw kredietwaardigheid.

Wat is een zwarte lijst?
Wie heeft toegang tot een zwarte lijst?
Is de Wet bescherming persoonsgegevens (Wbp) van toepassing op een zwarte lijst?
Mag een bedrijf mij zomaar op een zwarte lijst zetten?
Hoe kom ik te weten of ik op een zwarte lijst sta?
Kan ik mijn persoonsgegevens op een zwarte lijst inzien?
Kan ik mijn persoonsgegevens op een zwarte lijst laten corrigeren of verwijderen?
Wat kan ik doen als ik een vraag of klacht heb over een zwarte lijst?

Wetsvoorstel introduceert boetebevoegdheid toezichthouder bij datalekken
22 maart 2012
Uit't persbericht: Het CBP heeft de staatssecretaris van Veiligheid en Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties geadviseerd over het wetsvoorstel ‘gebruik camerabeelden en meldplicht datalekken’. Het wetsvoorstel introduceert de plicht voor bedrijven en overheden die persoonsgegevens verzamelen en gebruiken om een datalek zo snel mogelijk te melden bij het CBP. Als een datalek niet wordt gemeld, kan het CBP een boete van maximaal € 200.000,- opleggen.

Rechtbank Middelburg 15 maart 2012, LJN BV8942 (X tegen IND)

Prejudiciële vragen aan het Hof van Justitie EU inzake het verzoek om inzage in de minuut;het begrip "persoonsgegevens" in de zin van artikel 2 van de Privacyrichtlijn en de omvang van het inzagerecht in de zin van artikel 12 van de Privacyrichtlijn.

1. Zijn de gegevens die in de minuut van betrokkene zijn weergegeven en die betrekking hebben op betrokkene, persoonsgegevens in de zin van artikel 2, onder a, van de Privacyrichtlijn?
2. Is de in de minuut opgenomen juridische analyse een persoonsgegeven in de zin van voornoemde bepaling?

 

3. Wanneer het Hof bevestigt dat de hiervoor omschreven gegevens persoonsgegevens zijn, dient de verwerker/overheidsinstantie dan ook ingevolge artikel 12 van de Privacyrichtlijn en artikel 8, tweede lid, van het EU Handvest inzage te geven in deze persoonsgegevens?
4. Kan betrokkene in dit kader ook een rechtstreeks beroep doen op artikel 41, tweede lid, onder b, van het EU Handvest, en zo ja, moet de hierin opgenomen zinsnede “met inachtneming van het gerechtvaardigde belang van de vertrouwelijkheid op besluitvorming” zo worden uitgelegd dat het recht op inzage in de minuut op die grond kan worden geweigerd?
5. Wanneer betrokkene verzoekt om inzage in de minuut, dient de verwerker/overheidsinstantie een kopie van dit document te verschaffen om zo recht te doen aan het inzagerecht?

Op andere blogs:
Dirkzwagerieit

Rechtbank Zwolle-Lelystad, locatie Lelystad 4 mei 2011, LJN BV6594 (eiser tegen AEGON schadeverzekering N.V.)

Aegon was destijds de WAM verzekeraar van de achteropkomende auto en is door [eiser] aangesproken voor de door hem geleden schade. Aegon heeft aansprakelijkheid erkend en heeft vervolgens bureau Cunningham ingeschakeld voor de schadebehandeling. Partijen hebben geen buitengerechtelijke regeling getroffen ten aanzien van de schade.

Vraag of persoonlijk onderzoek door verzekeraar ongerechtvaardigde inbreuk is op recht op eerbiediging van persoonlijke levenssfeer.

4.3.  De rechtbank overweegt als volgt. Aegon was bij haar beslissing tot het instellen van een persoonlijk onderzoek gebonden aan de hiervoor in rechtsoverweging 2.4 aangehaalde gedragscode. Onder de door Aegon geschetste omstandigheden acht de rechtbank het niet onbegrijpelijk dat Aegon destijds van mening was dat zij (nog) niet over voldoende informatie beschikte om een verantwoorde beslissing te nemen dan wel dat bij haar twijfel was ontstaan over de juistheid van de reeds naar voren gekomen feiten. De opvatting van [eiser] dat alleen een onderzoek kon worden ingesteld bij een vermoeden van fraude wordt niet door de tekst van de code ondersteund en is dan ook onjuist.

De vraag of [eiser] de schaderegelaar daadwerkelijk heeft bedreigd kan naar het oordeel van de rechtbank in het midden blijven, aangezien de rechtbank het voorstelbaar acht dat het door [eiser] geschetste scenario met de politiehonden op zijn minst bedreigend is overgekomen bij de schaderegelaar.

4.4. De rechtbank is op grond van bovenstaande overwegingen van oordeel dat voldoende gerechtvaardigde gronden aanwezig waren waarop Aegon, met inachtneming van de toepasselijke gedragscode, kon besluiten tot het instellen van een persoonlijk onderzoek jegens [eiser].

Aegon was destijds gebonden aan de "Gedragscode Persoonlijk Onderzoek" en voortvloeiend daaruit, en mede uit artikel 34 Wbp had AEGON eiser moeten informeren over en diende zij schriftelijke toestemming van eiser tot het instellen van een dergelijk persoonlijk onderzoek. Nu zij dit heeft nagelaten wordt de verklaring voor recht toegewezen en is zij schadeplichting. De rechtbank oordeelt dat er geen sprake is van strijd met de zorgvuldigheidsnorm door de verzekeraar ex artikel 35 Wbp, omdat AEGON niet is aan te merken als verantwoordelijke in de zin van de Wbp.

4.9.  Aegon stelt dat zij gehandeld heeft conform de toepasselijke gedragscode en dat derhalve geen sprake kan zijn van schending van een zorgvuldigheidsnorm. Bovendien kan een verzoek aan een schaderegelaar niet worden aangemerkt als een verzoek zoals beschreven in artikel 35 lid 1 Wbp, zodat dit artikel toepassing mist. Volgens Aegon had [eiser] zijn verzoek aan de verantwoordelijke persoon -in de zin van de Wbp- binnen Aegon moeten richten.

 

CBP stuurt brief met reactie op hoofdpunten aan Eerste en Tweede Kamer en het voorlopig standpunt.

Uit't persbericht. De Europese Commissie heeft op 25 januari 2012 voorstellen gepubliceerd voor een grootscheepse herziening van het Europees juridisch raamwerk voor dataprotectie. Dat raamwerk omvat een nieuwe Europese verordening voor de verwerking van persoonsgegevens die de huidige privacyrichtlijn moet gaan vervangen en daarnaast een nieuwe richtlijn voor gegevensverwerking door politie en justitie.

Het College bescherming persoonsgegevens staat positief tegenover de harmonisatie van privacyregelgeving zoals voorgesteld in het ontwerp voor een nieuwe Europese verordening. Het vastleggen van een gelijk speelveld voor alle lidstaten van de EU is van groot belang in een tijdperk waarin gegevensverwerking in toenemende mate grensoverschrijdend is.

Aan de alomvattendheid van het wetgevingspakket wordt naar de mening van het CBP echter afbreuk gedaan door het ontwerp voor een nieuwe Europese richtlijn op het gebied van gegevensbescherming in de rechtshandhavingssector. De teksten van beide instrumenten lopen op punten behoorlijk uiteen. Het CBP dringt er op aan dat de samenhang tussen beide instrumenten wordt gewaarborgd en op een aantal punten fors versterkt.

Het CBP heeft in een brief van 2 maart 2012 zijn voorlopig standpunt over de voorstellen van de Commissie aan de beide Kamers gestuurd.

White paper 'Cookies Under Control', SOLV-blog 29 februari 2012.

Een bijdrage van Milica Antic, SOLV.

De nieuwe regels over het gebruik van cookies is een onderwerp waar Milica Antic inmiddels al veel over heeft gezegd en geschreven. Vandaag verschijnt van haar hand een overzichtelijke white paper met daarin informatie over de actuele stand van zaken met betrekking tot de nieuwe regels, de implicaties voor de praktijk, tips en antwoord op 5 belangrijke vragen:

1) Voor welke technologiën gelden de nieuwe regels?
2) Wie is verantwoordelijk?
3) Hoe moet worden voldaan aan de regels?
4) Hoe zit het met zelfregulering?
5) Wie gaat er handhaven?

De white paper is het Engels opgesteld.

Voor opmerkingen, aanbevelingen of vragen kunt u terecht bij Milica: antic@solv.nl of via Twitter: milica_antic. Wij zijn benieuwd naar uw mening!