Privacy  

Uit't persbericht: Naar aanleiding van de uitzending van Nieuwsuur van gisteravond over het filmen van personen op de spoedeisende hulp van het VU medisch centrum in Amsterdam, zal het College bescherming persoonsgegevens (CBP) het VU medisch centrum en Eyeworks om inlichtingen verzoeken.

De vraag is of deze beelden hadden mogen worden opgenomen. Voor het verwerken van persoonsgegevens is een wettelijke grondslag nodig. Voor het filmen van mensen op een dergelijke locatie en in een dergelijke situatie komt mogelijk alleen de grondslag ‘ondubbelzinnige toestemming’ in aanmerking. Aan de wijze waarop rechtsgeldig toestemming moet worden gegeven stelt de wet hoge eisen, zeker wanneer het gaat om medische gegevens, die vanzelfsprekend gevoelig van aard zijn.

W.H. van Holst, De derde landen problematiek van de Wbp en de beroepsaansprakelijkheid van de juridisch adviseur, IT 682.

Commentaar van Walter van Holst, Mitopics.

Onlangs is een aantal wijzigingen in de Wet bescherming persoonsgegevens (Wbp) van kracht geworden die met name de doorgifte van persoonsgegevens naar zogenaamde derde landen beoogt te vereenvoudigen. Enige kritische kanttekeningen bij de meest in het oog springende wijziging: het mogelijk maken van doorgifte van persoonsgegevens naar derde landen zonder een vergunningsprocedure.

De toevoeging van sub g aan lid 1 van artikel 77 Wbp is een intrigerende wijziging in het licht van de wetsgeschiedenis van Richtlijn 95/46/EG waar de Wbp nu eenmaal een implementatie van is. Met de memorie van toelichting in de hand valt uit de huidige tekst inderdaad op te maken dat er zelfs geen sprake meer is van een meldplicht voor een doorgifte aan een zogenaamd ‘derde land’ (lees: een land buiten de Europese Vrijhandelsassociatie), mits er gebruik wordt gemaakt van de bekende modelcontracten van de Europese Commissie. Dit is mogelijk gemaakt door Besluit 2004/915/EC van de Europese Commissie om Beschikking 2001/497/EG aan te passen en eerst nu geïmplementeerd in de Nederlandse wetgeving. De redactie van artikel 77 Wbp heeft daarbij niet aan leesbaarheid gewonnen, maar daar zullen we in het licht van de 25 januari jl. voorgestelde Algemene Verordening Bescherming Persoonsgegevens niet lang last van hebben.

Het blijft echter de vraag of deze wijziging, die in feite een aanvulling geeft op artikel 25 lid 1 van Richtlijn 95/46/EG (zonder de richtlijn aan te passen, een innovatieve wijze van een richtlijn herzien) nog wel beantwoordt aan de materiële eisen van artikel 8 van het Europees Handvest voor de Rechten van de Mens en artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Immers, het inzage-, correctie- en verwijderingsrecht van betrokkene wordt nu geheel afhankelijk gesteld van het effectueren van de bevoegdheden uit de conform modelcontracten aangegane bewerkersovereenkomst van de verantwoordelijke.

Perspectief van een praktijkjurist
Vanuit het perspectief van een praktijkjurist is een andere vraag inmiddels minstens zo interessant: is het, ondanks het bestaan van deze formele opening voor doorgifte naar derde landen, wel verstandig om een cliënt te adviseren hier gebruik van te maken?

Er zijn een aantal aanleidingen om te stellen dat een redelijk, vakbekwaam handelend jurist een negatief advies dient uit te brengen in het geval hem of haar gevraagd wordt een uitspraak te doen over doorgifte van persoonsgegevens naar een derde land. In dit blog zal ik twee aanleidingen nader bespreken.

Datagraaierij
Allereerst het fenomeen “datagraaierij” waar met name de overheid van de Verenigde Staten zich schuldig aan maakt. Het gaat hier om het opvragen van gegevens uit hoofde van onder andere de bekende PATRIOT Act. Minder bekend is dat een andere Amerikaanse wet, de Protect America Act uit 2007, de bevoegdheid in het leven heeft geroepen om alle communicatie waarbij tenminste één van de betrokkenen zich buiten de grenzen van de Verenigde Staten bevindt, onder electronische surveillance te plaatsen zonder voorafgaand rechterlijk bevel. Service providers die gehoor geven aan een dergelijk bevel, hebben civielrechtelijke immuniteit tegenover derden.

Interessant daarbij is dat de Amerikaanse overheid met name aan de PATRIOT Act een extraterritoriale werking toekennen: als de gevraagde gegevens zich niet op het grondgebied van de Verenigde Staten bevinden maar wel beheerst worden door bedrijven met een substantiële presentie in de Verenigde Staten, worden dergelijke bedrijven voor de de facto keuze gesteld aan inzageverzoeken te voldoen of hun activiteiten in de Verenigde Staten te beëindigen. Dit zou vanuit het oogpunt van gegevensbescherming geen probleem hoeven te zijn als de Verenigde Staten een toetsingskader zouden hanteren wat vergelijkbaar is met ons EVRM en de Richtlijn 95/46/EG in termen van proportionaliteit.

Niet alleen de overheid van de Verenigde Staten heeft een forse datahonger, ook de overheden van populaire uitbestedingslanden zoals India en China tonen weinig scrupules op dit terrein en hebben evenmin een niveau van waarborgen wat als gelijkwaardig met dat van de EU beschouwd kan worden.

De eerder aangehaalde beslissing van de Europese Commissie (2004/915/EC) bevat echter een aantal elementen die in samenhang met de eerdergenoemde datagraaierij op gespannen voet staan met een eventuele doorgifte naar derde landen zoals de Verenigde Staten, India en China. Zo vermelden de overwegingen onder andere het volgende:

“(…) de gegevensexporteur is ook aansprakelijk indien hij geen redelijke inspanning doet om zich ervan te vergewissen dat de gegevensimporteur in staat is om aan zijn wettelijke verplichtingen volgens de contractbepalingen te voldoen ("culpa in eligendo") (…).”  (2004/915/EC, overweging 5)

In het licht van de vergaande inzagebevoegdheden die overheden van derde landen hebben, valt te betwijfelen of een verantwoordelijke nog wel gepaste zorg heeft betracht indien persoonsgegevens naar derde landen zoals genoemd worden doorgegeven. Ook wordt in dit kader de vraag opgeroepen of verantwoordelijke niet aansprakelijk is voor de eventuele schade die een betrokkene lijdt als gevolg van een dergelijke inzage.

Tweede punt: waarborgen
Het tweede punt is dat een toezichthouder tot de conclusie kan komen dat, ondanks het gebruik van de standaardcontracten, de verwerking niet met voldoende waarborgen omkleed is en dat onmiddellijke opschorting van de verwerking geëist kan worden. Juist nu meer en meer kritische bedrijfsprocessen van organisaties voorwerp zijn van uitbesteding in enigerlei vorm, kan een dergelijk besluit een enorme impact hebben op de continuïteit van de bedrijfsprocessen. Deze situatie heeft zich nog niet voorgedaan, maar het is een kwestie van tijd dat dit zich eens gaat voordoen.

Om deze redenen acht ik het dan ook hoogst twijfelachtig of het uit oogpunt van juridische vakbekwaamheid verdedigbaar is om te adviseren om van deze route gebruik te maken.

W.H. van Holst
Wilt u reageren? Klik hier of stuurt u uw bijdrage in naar redactie@itenrecht.nl.

De Wet bescherming persoonsgegevens (Wbp) is op een aantal punten aangepast. Het voornaamste doel hiervan is de administratieve lasten en nalevingskosten voor verantwoordelijken - bedrijven en instellingen die persoonsgegevens verwerken - te verminderen. De wet ‘Wijziging Wbp in verband met de vermindering van administratieve lasten en nalevingskosten, wijzigingen teneinde wetstechnische gebreken te herstellen en enige andere wijzigingen’ (31 841) treedt in werking op 9 februari 2012 .

Hieronder volgt een overzicht van de aanpassingen die lastenverlichting opleveren voor verantwoordelijken en van de belangrijkste overige wijzigingen. Het Wbp-artikel waarin een genoemde wijziging zich voordoet, staat tussen haakjes achter de beschrijving. Zie hier.

Met dank aan Jan-Jaap Oerlemans, promovendus Universiteit Leiden en juridisch adviseur Fox-IT.

Tot en met 29 februari 2012 wordt een wijzigingswet van de Wet bescherming persoonsgegevens (Wbp) ter consultatie gegeven. In het concept van de wijzigingswet wordt onder andere ingegaan op de algemene meldplicht datalekken. Tegelijkertijd bestaan er nog een aantal sectorspecifieke meldplichten. In dit bericht wil ik overzicht geven van de meldplichten die al bestaan en nog in de maak zijn.

Meldplicht datalekken I
Bij de Eerste Kamer ligt nu een voorstel voor een meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten (denk aan telefoniebedrijven en internet service providers) dat betrekking heeft tot beveiligingsincidenten die nadelige gevolgen hebben voor de privacy van de betrokkenen. De meldplicht wordt geïmplementeerd naar aanleiding van Europese richtlijnen die wij inmiddels al in onze nationale wetgeving geïmplementeerd hadden moeten hebben.

Betrokkenen hoeven niet geïnformeerd te worden wanneer naar het oordeel van het College (hier nog de OPTA) gepaste technische maatregelen zijn genomen, waardoor geen toegang kan worden verschaft tot de persoonsgegevens. De OPTA moet dus wel in kennis worden gesteld, maar de melding aan de betrokkenen kan eventueel achterwege blijven. De OPTA heeft hierbij het laatste woord.

Daarnaast komt er een meldplicht voor ‘veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Die melding moet (hoogstwaarschijnlijk?) worden gedaan aan het Agentschap Telecom. Een meldpunt zou ervoor moeten zorgen dat geen overlap of onduidelijkheid optreed bij welke instantie nu een melding moet worden gedaan als het incident zowel gevolgen heeft voor zowel de bescherming van persoonsgegevens als de integriteit van het netwerk. Zie over deze meldplicht dit verhelderende artikel in het tijdschrift Computerrecht van Frederik Borgesius (UvA).

Meldplicht datalekken II
Het kabinet wil de voorgestelde meldplicht uit de Telecommunicatiewet blijkbaar nú al wijzigen. In het conceptwetsvoorstel (.pdf) voor wijziging van de Wet bescherming persoonsgegevens wordt namelijk een meldplicht voorgesteld die zeer vergelijkbaar is met die uit de Telecommunicatiewet, maar die nu aan College Bescherming Persoonsgegevens moet worden gedaan. Op zich wordt een wirwar aan instanties voor dezelfde meldplicht (m.b.t. persoonsgegevens) deels voorkomen door het CBP als instantie voor te wijzen, maar de toezicht zou nog steeds moeten liggen bij de OPTA. Bovendien is het onduidelijk wat nu de bedoeling is met dat meldpunt waar in de toelichting van de wijzigingswet voor de Telecommunicatiewet over wordt gesproken.

In het conceptwetsvoorstel wordt van een algemene meldplicht uitgegaan voor zowel private als publieke partijen. Dat is een discrepantie met het regeerakkoord waar slechts werd gesproken over een meldplicht voor verlies bij persoonsgegevens voor ‘diensten in de informatiemaatschappij’. Bij dit begrip moet vooral gedacht worden aan webwinkels en hosting providers.

Betrokken moeten alleen worden geïnformeerd indien het incident heeft geleid tot een ‘aanmerkelijk risico dat het incident leidt tot verlies of de onrechtmatige verwerking van persoonsgegevens’. De verantwoordelijke in de zin van de Wbp moet de melding doen en betrokkenen inlichten. Hoe deze melding precies moet plaatsvinden is afhankelijk van het aantal betrokkenen bij het beveiligingsincident. Een kleine kring betrokkenen kan volgens de toelichting op het voorstel persoonlijk worden ingelicht en anders kan met een advertentie in een dagblad worden volstaan. Het verbaast mij dat e-mail niet expliciet als voorbeeld wordt genoemd.

Het blijft natuurlijk vaag wanneer precies zo’n melding moet worden gedaan aan betrokkenen. Eventueel kan de toezichthouder hier in beleidsregels duidelijkheid over geven. Versleuteling wordt als voorbeeld gegeven dat zo’n meldplicht aan betrokkenen (niet de toezichthouder) kan worden voorkomen. Echter, als een bedrijf echt goed gehackt wordt kan wellicht ook toegang worden verschaft tot de versleutelde bestanden.

Zie ook dit blogbericht van Dirkzwager Advocaten over het conceptvoorstel en de algemene meldplicht. 

Meldplicht voor financiële instellingen
In het conceptwetsvoorstel wordt uitgebreid ingegaan op meldplichten voor financiële instellingen. Het komt er op neer dat zij ook een soort meldplicht hebben, maar dan op grond van de artikelen 3:10 lid 3 en 4:11 lid 4 Wet op het financieel toezicht (Wft). Zij zijn verplicht informatie te verstrekken aan De Nederlandsche Bank (DNB en de Autoriteit Financiële Markten (AFM) over ‘incidenten die betrekking hebben op de integere bedrijfsvoering’. Skimmingspraktijken worden als voorbeeld genoemd als een incident dat valt onder de meldplicht. Financiële instellingen moeten hun cliënten informeren over het incident en als daartoe aanleiding bestaat schadeloos stellen. Indien nodig kan de DNB of AFM interveniëren bij de onderneming.

Let op: een openbare kennisgeving van het beveiligingsincident zoals voorgesteld in de Wbp is voor de financiële instellingen niet van toepassing. Door de informeringsplicht aan de cliënten van de banken en eventuele schadeloosstelling is volgens het conceptwetsvoorstel de bescherming van persoonsgegevens voldoende gewaarborgd. Voorkomen wordt dus dat nog een extra meldplicht aan de financiële instellingen wordt opgelegd. Opgemerkt wordt nog:

“Dergelijke openbare kennisgevingen in de financiële sector zijn - mede tegen de achtergrond van de financiële crisis – te risicovol om dwingend te worden voorgeschreven. Onvoorspelbaar is of een openbare kennisgeving kan leiden tot het ontstaan van geruchten die niet meer op zakelijke wijze ontzenuwd kunnen worden en die daardoor nodeloos aanleiding geven tot vermindering van vertrouwen van het publieke of de relevante markt.”

Daar kan ik mij op zich wel wat bij voorstellen, maar het is de vraag of de Kamerleden het ook voldoende vinden.

Meldplicht beveiligingslekken?
Kamerlid Jeanine Hennis-Plasschaert heeft tenslotte een motie voorgesteld (Kamerstukken II 2011/12, 26 643, nr. 202) die is aangenomen over de meldplicht voor inbreuken bij organisaties die zijn betrokken bij vitale informatiesystemen. Deze meldplicht is aangenomen in de tijd van het Diginotar-incident. Het is bedoeling dat het Nationaal Cyber Security Centrum daar dan over wordt ingelicht en er eventueel naar handelt. Opstelten heeft in zijn Kamerbrief over cybersecurity aangegeven dat hij vóór het zomerreces van 2012 laat weten of en op welke manier aan de motie uitvoer wordt gegeven.

Conclusie
Ik heb er niet zoveel ideeën over of de invoering van nieuwe meldplichten nu wel of niet verstandig is. Helemaal nieuw zijn ze niet, want voor beursgenoteerde bedrijven bestaat al een meldplicht bij incidenten die van invloed kunnen zijn op de koers en daarnaast bestaat er al een meldplicht voor het lekken van staatsgeheimen. Tenslotte kan een meldplicht ook contractueel overeen worden gekomen tussen partijen. Duidelijk is wel dat ook met het conceptwetsvoorstel bedrijven met verschillende instanties te maken kunnen hebben die toezien op de meldplichten. Dat maakt het wel allemaal wel ingewikkeld en bureaucratisch. Positief is dat bedrijven onder dreiging van een boete van 200.000 euro de beveiligingsplicht voor persoonsgegevens (zoals vastgelegd in artikel 13 Wbp) in de toekomst wellicht (nog) serieuzer zullen nemen.

Brief regering betreffende de ICT-beveiligingsassessments DigiD gebruikende organisaties, Kamerstukken II, 26 643, nr. 224.

In deze brief ga ik in op de inzet van een aantal specifieke maatregelen zoals aangekondigd in de brief van 11 oktober 2011 met onderwerp: “Lekken in aantal gemeentelijke websites”. Daarin is u gemeld dat organisaties die gebruik maken van DigiD jaarlijks hun ICT-beveiliging, voor zover deze DigiD raakt, dienen te toetsen op basis van een ICT-beveiligingassessment.

Inhoudsopgave [red.]:
De norm voor ICT beveiliging
Uitvoeren ICT beveiligingassessments
Gefaseerdde aanpak
Grootgebruikers
Gemeenten, Provincies en Unie van Waterschappen.
Uitvoeren ‘hack’-testen
Communicatie richting organisaties
Tot slot

De norm voor ICT beveiliging
De ICT-beveiligingassessments worden uitgevoerd met de ICTBeveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC,voorheen GOVCERT.NL) als basis. Deze beveiligingsrichtlijnen bevatten maatregelen op het gebied van netwerkveiligheid, besturingssysteem, basisbeveiliging (virusscanner, firewall) en
applicatiebeveiliging. Ook een ‘hack’-test ofwel een zogenaamde penetratietest maakt deel uit van de richtlijnen. De beveiligingsrichtlijnen zijn opgesteld in samenspraak met een aantal publieke en private partijen, waaronder beveiligingsexperts. De richtlijnen worden gepubliceerd op de website van het NCSC. Bij nieuwe dreigingen stelt het NCSC de beveiligingsrichtlijnen bij. De normstelling voor de assessments wordt bepaald door de belangrijkste elementen van de bovengenoemde richtlijnen. Met deze normstelling wordt een forse impuls gegeven aan de verdere kwaliteitsverhoging van de ICTbeveiliging bij de overheid.

Uitvoeren ICT beveiligingassessments Allereerst zullen de organisaties die DigiD gebruiken, geïnformeerd worden over de bovengenoemde normstelling. Op deze wijze kunnen de DigiD gebruikende organisaties de benodigde aanpassingen in hun organisaties treffen en zich adequaat voorbereiden op de ICT-beveiligingsassessments. Daarnaast dienen zij de ICT-beveiligingassessments te laten uitvoeren onder verantwoordelijkheid van een Register EDP-auditor.1 Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties die een Register EDP-auditor in dienst hebben, kunnen desgewenst een zogeheten self-assessment uitvoeren. Vervolgens dienen de conclusies van de ICT-beveiligingsassessments in de vorm van een rapportage door de gebruikende organisaties aan Logius2 te worden opgeleverd.

De Register EDP-auditors die in het register van de NOREA zijn ingeschreven, zijn onderworpen aan internationale regelgeving op het terrein van audit en assurance, waaronder de ‘Code of Ethics’ en de Richtlijn ‘Assurance Opdrachten’.

Gefaseerde aanpak
In de brief van mijn voorganger van 11 oktober jl. is aangegeven dat alle organisaties voor 1 april 2012 de ICT-beveiligingsassessments moesten hebben doorlopen. Omdat het belangrijk is te komen tot een duurzame richtlijn heeft dit zijn tijd gekost. Verder heeft nader onderzoek laten zien dat de markt op deze termijn niet kan voldoen aan de benodigde expertise met betrekking tot de assessments en penetratietesten. Ook zijn er signalen van DigiD gebruikende organisaties, waaronder VNG en KING3, dat de benodigde aanpassingen en de doorlooptijd niet onderschat moet worden. Naast de huidige aanpak waarbij ingeval van signalen altijd nader onderzoek plaatsvindt en ingeval van inbraak onverwijld wordt afgesloten van DigiD, heb ik gekozen voor een gefaseerde aanpak met betrekking tot de beveiligingsassessments. Daarbij wordt ingezet op prioriteiten als het gaat om type organisatie en het belang voor de burger. Grootgebruikers van DigiD dienen voor het eind van het jaar het ICTbeveiligingsassessment te hebben uitgevoerd. Overige organisaties dienen het assessment uiterlijk een jaar later uitgevoerd te hebben.

Grootgebruikers
Logius start per direct een samenwerkingstraject met de grootgebruikers van DigiD omdat deze cruciaal zijn voor de overheidsdienstverlening. Organisaties als de Belastingdienst, DUO en de UWV behoren daartoe. Het is ons streven om te komen tot een spoedige afronding van de assessments bij deze organisaties. Andere organisaties kunnen vanzelfsprekend daarop aansluiten. Logius biedt daarnaast ondersteuning aan organisaties (niet gemeenten) door voorlichting en het delen van best practices. Bij de vormgeving van het traject voor deze organisaties zal gebruik worden gemaakt van de ervaringen die bij de grootverbruikers zijn opgedaan, alsmede de impactanalyse bij een aantal gemeenten.

1 Electronic Data Processing auditor.
2 Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
3 Kwaliteits Instituut Nederlandse Gemeenten

Gemeenten, Provincies en Unie van Waterschappen.      VNG start, ondersteund door KING, per direct een samenwerkingstraject meteen vertegenwoordiging van auditors en ICT-leveranciers van gemeenten overde aanpak van de ICT-beveiligingassessments bij gemeenten. Dit traject heeftals doel om een efficiënte uitvoering en eenduidige toepassing van de ICTbeveiligingsrichtlijnen bij gemeenten te bewerkstellingen. Dit doel wordt versterkt door het feit dat bepaalde auditors en ICT-leveranciers in opdrachtvan meerdere gemeenten werken. In dit traject kunnen desgewenst ook het Interprovinciaal Overleg en de Unie van Waterschappen worden betrokken.

KING voert de eerste helft van dit jaar bij een aantal gemeenten, waaronder kleine, middelgrote en grote gemeenten, een impactanalyse uit. De uitkomsten hiervan bieden input voor een gestandaardiseerde aanpak voor het uitvoeren van de ICT-beveiligingassessment bij gemeenten. Dit mede met het oog op het beperken van de uitvoeringslasten.

Daarnaast onderzoeken VNG en KING hoe zij gemeenten structureel op het terrein van ICT-beveiliging kunnen ondersteunen. Afhankelijk van de uitkomsten van deze onderzoeken bepalen VNG en KING hoe zij gemeenten
ondersteunen bij de assessments (te denken valt aan het inrichten van een helpdesk).

Tevens zal ik het onderwerp ICT-beveliging agenderen in mijn eerstvolgende overleg met de mede-overheden, en bezien of nadere bestuursafspraken nodig zijn.

Uitvoeren ‘hack’-testen
In het kader van de jaarlijkse ICT-beveiligingsassessments heeft Logius de mogelijkheid om enkele betrouwbare marktpartijen opdracht te geven tot het kraken van de ICT-beveiliging van gebruikende organisaties. Deze mogelijkheid staat los van de ‘hack’-testen of zogenaamde penetratietesten die Logius zelf jaarlijks laat uitvoeren op DigiD. Communicatie richting organisaties In de afgelopen periode is het effectief gebleken de communicatie te stroomlijnen. Daarom zijn er afspraken gemaakt over wie de aanspreekpunten zullen zijn. Voor vragen over het proces, kunnen organisaties bij Logius terecht. VNG is aanspreekpunt voor gemeenten. NCSC levert informatie over de beveiligingsrichtlijn. EDP-auditors kunnen met vragen bij NOREA terecht.

Tot slot
Hoewel 100% veiligheid nooit te garanderen is, wordt met deze samenwerking een belangrijke en haalbare impuls gegeven aan de kwaliteitsverbetering van ICT- beveiliging bij de overheid. In het derde kwartaal van 2012 zal ik u informeren over de stand van zaken met betrekking tot de genomen kwaliteitsmaatregelen.

De minister van Binnenlandse Zaken en Koninkrijksrelaties,
J.W.E. Spies

Hof Amsterdam, nevenzittingsplaats Arnhem 31 januari 2012, LJN BV2565 (appellant tegen waarborgmaatschappij Medirisk)

Verwerking persoonsgegevens; inzage op grond van Wet bescherming persoonsgegevens. [appellant] heeft op verzoek van Medirisk de medisch directeur, alsmede het medisch en paramedisch personeel van het OLVG gemachtigd de bij hen berustende medische en paramedische gegevens met betrekking tot de aansprakelijkstelling over te leggen aan de medisch adviseur van Medirisk. [appellant] is er verder mee akkoord gegaan dat de medisch adviseur voor de behandeling van de schadekwestie inzage van de medische gegevens verstrekt aan en ten behoeve van bij Medirisk werkzame medewerkers en adviseurs. Medirisk dient uiteindelijk, aldus het Hof, inzage te geven in het medisch rapport van een chirurg en ten aanzien van alle stukken aan tegeven waarover het stuk handelt en om welke reden zij vn mening is dat er Wbp-uitzonderingen van toepassing zijn.

4.7 Ten aanzien van overige stukken die zich in het dossier dat Medirisk over [appellant] houdt bevinden, overweegt het hof als volgt. Medirisk heeft tot op heden geweigerd een overzicht te verstrekken van de informatie die zich in haar dossier bevindt.

Ook ten aanzien van het verzoek een overzicht te verstrekken faalt het betoog van Medirisk dat [appellant] misbruik van recht maakt. Het hof verwijst naar het hiervoor overwogene.

Zonder een nadere toelichting - die ontbreekt - valt voorts niet in te zien dat het verstrekken van een overzicht er reeds toe kan leiden dat het belang dat Medirisk heeft bij het vrijelijk kunnen voeren van overleg geschaad wordt. Om te kunnen beoordelen of het hier gegevens betreft die Medirisk op grond van artikel 2 sub a van de Wbp dan wel artikel 43 sub e van de Wbp niet aan [appellant] hoeft te verstrekken, dient Medirisk derhalve een overzicht over te leggen van de stukken, inclusief eventuele bijbehorende bijlagen, die zich in haar dossier ten aanzien van [appellant] bevinden, waarbij zij per dossierstuk beknopt dient aan te geven waarover dit stuk handelt en om welke reden zij meent dat de uitzondering als bedoeld in artikel 2 sub a van de Wbp en/of artikel 43 sub e van de Wbp op dat stuk van toepassing is.

Dictum
Het hof, beschikkende in hoger beroep:
bepaalt dat Medirisk uiterlijk twee weken nadat deze beschikking in kracht van gewijsde is gegaan aan het hof en de advocaat van de wederpartij het medisch rapport van dr. J.E.L. Cremers (chirurg) zal verstrekken;

bepaalt dat Medirisk uiterlijk twee weken nadat deze beschikking in kracht van gewijsde is gegaan aan het hof en de advocaat van de wederpartij een overzicht zal verstrekken van alle zich in het dossier ten aanzien van [appellant] bevindende stukken, inclusief eventueel daarbij behorende bijlagen, waarbij Medirisk per dossierstuk beknopt dient aan te geven waarover dit stuk handelt en om welke reden zij van mening is dat de uitzondering als bedoeld in artikel 2 sub a van de Wbp en/of artikel 43 sub e van de Wbp op dat stuk van toepassing is;

bepaalt dat van deze beschikking terstond beroep in cassatie kan worden ingesteld;

Rechtbank Amsterdam 15 december 2011, LJN BV2295 (Phishing ING) / LJN BV2297

Twee beschikkingen. Wbp. Incidentenregister. Phishing. Bank heeft gerechtvaardigd belang om de persoonsgegevens te verwerken. Proportionaliteitstoets valt uit in het voordeel van de bank.

De benadeelde heeft aangifte gedaan van oplichting althans frauduleuze overboekingen bij de politie Utrecht en heeft de schade eveneens gemeld bij ING. ING heeft de betaalrekening van [B] geblokkeerd.

ING heeft [B] bericht dat in een onderzoek naar fraude naar voren is gekomen dat [B] hiermee te maken had en is deze kwestie voor ING Bank N.V. aanleiding om uw persoonsgegevens op te nemen in het incidentenregister. Verzoek strekt ertoe om gegevens van haar [A] en haar zoon [B] te verwijderen. Er is sprake van opzettelijke benadeling van ING en oneigenlijk gebruik van de producten en diensten van ING. Verwerking van persoonsgegevens in het incidentenregister conform het protocol dat voldoende waarborgen biedt en doorstaat de proportionaliteitstoets.

4.7.  De rechtbank stelt voorop dat het opnemen van de persoonsgegevens van [B] in het incidentenregister en het daaraan gekoppelde EVR is aan te merken als een verwerking van persoonsgegevens, waarop de Wbp van toepassing is. Deze verwerking vindt zijn grondslag in het gerechtvaardigde belang als bedoeld in artikel 8 sub f Wbp van ING en de overige bij het EVR aangesloten financiële instellingen. Dit artikel schrijft voor dat bij het verwerken van persoonsgegevens een afweging wordt gemaakt tussen het gerechtvaardigd belang van – in casu – ING om de gegevens te verwerken in het incidentenregister en het EVR en het belang van [B] op bescherming van zijn persoonlijke levenssfeer. ING voert aan dat zij bij haar besluit de voorwaarden van het protocol in acht heeft genomen. Blijkens de preambule van het protocol is het protocol een toelichting op de aanmelding van het incidentenregister bij het College Bescherming Persoonsgegevens. De doelstelling van het incidentenregister is het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector. De rechtbank is van oordeel dat het protocol kan worden beschouwd als een regeling die voldoende waarborgen biedt voor een rechtmatige verwerking van persoonsgegevens zoals de Wbp die voorschrijft, zodat het protocol als uitgangspunt zal gelden bij de beoordeling van het onderhavige geschil.

4.10.  Gelet op het voorgaande is de rechtbank van oordeel dat sprake is van opzettelijke benadeling van ING en oneigenlijk gebruik van de producten en diensten van ING door [B]. Dat ING geen aangifte heeft gedaan tegen [B] staat hier niet aan in de weg, nu het feit gelet op de verklaring van [B] jegens de politie reeds voldoende vast is komen te staan, er momenteel een strafrechtelijk onderzoek loopt naar het voorval en de benadeelde zelf aangifte heeft gedaan van de fraude bij de politie. De uiteengezette omstandigheden vormen een bedreiging van de continuïteit en de integriteit van financiële instellingen in het algemeen en voor de onderneming van ING in het bijzonder. ING had derhalve een gerechtvaardigd belang om de persoonsgegevens van [B] te verwerken in het incidentenregister en het daaraan gekoppelde EVR.

4.12.  De rechtbank is van oordeel dat bij de afweging van de belangen van partijen, het onder 4.10 weergegeven belang van ING thans dient te prevaleren boven de door verzoekster gestelde belangen van haar zoon [B]. Vast staat immers dat ING is benadeeld door handelingen die zijn verricht met gebruikmaking van de betaalrekening, betaalpas en pincode van [B] en dat [B] hieraan bewust en vrijwillig heeft meegewerkt. Blijkens het tijdens de mondelinge behandeling overgelegde rapport van de Raad voor de Kinderbescherming (zie hiervoor onder 2.9) is de thans nog minderjarige [B] kwetsbaar en beïnvloedbaar, hetgeen het risico op herhaling vergroot. Naar het oordeel van de rechtbank is derhalve onvoldoende gebleken dat [B] disproportioneel wordt geraakt in zijn belangen door opname van zijn persoonsgegevens in het incidentenregister en het EVR.

4.14.  Ten aanzien van de stelling van verzoekster dat op ING de plicht rust om het fundamentele beginsel van hoor en wederhoor toe te passen, hetgeen concreet inhoudt dat zij een individuele betrokkene confronteert met haar bezwaren en deze in staat stelt daarop te reageren voordat tot registratie wordt overgegaan, overweegt de rechtbank als volgt.

ING voert terecht aan dat er op grond van de hiervoor reeds geschetste omstandigheden in het onderhavige geval geen twijfel mogelijk was omtrent de betrokkenheid van [B] bij de fraude. De rechtbank is derhalve met ING van oordeel dat het niet noodzakelijk was om [B] (dan wel zijn moeder) vooraf te horen. Dit geldt te meer nu er, zoals aangevoerd door ING, op grond van het protocol voldoende mogelijkheden bestaan om achteraf bezwaar te maken tegen opname in het incidentenregister en het EVR. Derhalve is de rechtbank van oordeel dat ING aan de zorgvuldigheidseisen die gelden bij de totstandkoming van een registratie in het incidentenregister en/of het EVR heeft voldaan en dat zij dus niet onzorgvuldig heeft gehandeld jegens [B].

Uit de mededeling: Het College bescherming persoonsgegevens (CBP) heeft in 2011 de Rotterdamse deelgemeente Charlois een last onder dwangsom opgelegd. De sanctie volgde nadat het CBP na onderzoek had geconcludeerd dat de deelgemeente in strijd met de wet handelde. Charlois verwerkte structureel gegevens betreffende ras/etniciteit ten behoeve van een specifieke aanpak van risicojongeren terwijl de deelgemeente niet kon aantonen dat deze aanpak geschikt is om de achterstand van de jongeren te verminderen of op te heffen. Charlois heeft tegen de beslissing van het CBP bezwaar gemaakt. Het CBP heeft in zijn beslissing op bezwaar geoordeeld dat het bezwaar ongegrond is. De deelgemeente is hiertegen in beroep gegaan bij de rechter.

J.J. Oerlemans, US v. Jones (GPS-tracking zaak), ITenRecht.nl, IT 651.

Met dank aan Jan-Jaap oerlemans, Universiteit Leiden.

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek. Met  betrekking tot stelselmatige observatie op internet kan binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke vorowaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclsuie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet beantwoord hoeven worden.

Conclusie
Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:
https://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
https://www.wired.com/threatlevel/2012/01/scotus-gps-ruling/
https://www.scotusblog.com/2012/01/reactions-to-jones-v-united-states-the-government-fared-much-better-than-everyone-realizes/#more-137698

Brief aan Vereniging van Zorgaanbieders voor Zorgcommunicatie, doorstart landelijke infrastructuur (EPD), kenmerk: z2011-901

Het College bescherming persoonsgegevens (CBP) heeft de plannen beoordeeld op basis waarvan de ‘Vereniging van Zorgaanbieders voor Zorgcommunicatie’ de landelijke uitwisseling van medische gegevens – voorheen bekend als het elektronisch patiëntendossier (EPD) – in 2012 zal voortzetten. Het CBP concludeert dat dit zogeheten ‘Doorstartmodel’ geen bijzondere risico’s bevat op overtreding van de Wet bescherming persoonsgegevens (Wbp). Het CBP wijst er op dat deze conclusie slechts een beoordeling van het Doorstartmodel betreft en niets zegt over de praktijk. Het bovenstaande doet ook niet af aan de toekomstige uitoefening van zijn toezicht op het landelijk EPD. Het CBP zal blijven toezien op de gang van zaken rond het landelijk EPD gezien de schaal van de verwerking van persoonsgegevens en de gevoeligheid van de gegevens.