Privacy  

De laatste tijd lijkt het aan de orde van de dag: datalekken. Webwereld organiseert zelfs Lektober. Soms zijn de datalekken klein, maar soms ook groot. DigiNotar heeft het niet overleefd (IT 509), en ondertussen hebben we de miljoenennota ook bijna een week voor prinsjesdag al kunnen lezen (hier). Mede vanwege dit soort incidenten staan datalekken hoog op de agenda van toezichthouders en wetgevers. Als gevolg van een gewijzigde Europese richtlijn, zijn telecom providers straks verplicht datalekken direct bij de OPTA te melden. Een geplande wijziging van de Wet bescherming persoonsgegevens zal een bredere meldplicht introduceren, waar bijvoorbeeld ook banken en andere dienstverleners zich aan moeten houden. Ondertussen roert ook het College Bescherming Persoonsgegevens zich: bedrijven van wie de klantgegevens op straat komen te liggen hebben wat uit te leggen.

In deze bijeenkomst gaan wij dieper in op het fenomeen datalekken. Een cybersecurity deskundige van Fox-it zal eerst de technische kant van datalekken toelichten. Een spreker van Bits of Freedom laat vervolgens haar kritische licht schijnen over het fenomeen datalekken. En Huub de Jong van Bird & Bird LLP en Milica Antic van SOLV zullen tenslotte ingaan op juridische aspecten, de rol van toezichthouders en de status van (toekomstige) wetgeving.

Datum: donderdag 13 oktober.
Duur: van 15.30 uur (aanvang) tot ongeveer 18.00, en daarna borrel.
Locatie: Bird & Bird, Van Alkemadelaan 700 (2597 AW) te Den Haag.
Kosten: NVVIR leden EUR 0,= / niet-leden EUR 45,=.
 
Aanmelden via: ella.meijaard@twobirds.com

Aanhangsel Handelingen II, 2011-12, nr. 86; 2011Z16964 Antwoord vragen Van Dam en Recourt over inbreuk op de privacy door LinkedIn

2. Hanteert het College bescherming persoonsgegevens (Cbp) specifieke richtlijnen voor de omgang met en het beschermen van persoonsgegevens door sociale netwerksites? Zo ja, wat zijn deze regels? Zo nee, waarom niet? Bent u in dat laatste geval voor of tegenstander van nadere regelgeving?

Desgevraagd heeft het Cbp mij laten weten dat het de volgende richtlijnen hanteert met betrekking tot de omgang en het beschermen van persoonsgegevens door sociale netwerksites:

• de standaardinstellingen van sociale netwerksites dienen op privacyvriendelijk te staan;
• voor de beoordeling van de vraag of sprake is van ondubbelzinnige toestemming van de betrokkene, zoals vereist in de Wet bescherming persoonsgegevens (Wbp) dient de toestemming in vrijheid gegeven te zijn en specifiek op een bepaalde gegevensverwerking betrekking te hebben;
• de betrokkene dient vooraf over de noodzakelijke inlichtingen te beschikken om de toestemming te kunnen geven;
• het uitblijven van een reactie (opt-out) staat niet gelijk aan het geven van toestemming.
  Voornoemde uitgangspunten zijn tevens terug te vinden in een gemeenschappelijk standpunt over het begrip toestemming van 13 juli 2011 van de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep (zie met name pagina 35).¹

3. Deelt u de mening dat, los van deze specifieke casus, het principeel onjuist is indien sociale netwerksites persoonlijke gegevens van hun gebruikers zonder (expliciete) toestemming vooraf voor reclame dan wel andere commerciële doeleinden gebruiken?
Eén van de eisen die de Wbp stelt aan de verwerking van persoonsgegevens is de aanwezigheid van een grondslag voor de gegevensverwerking. De Wbp bevat een aantal rechtsgeldige grondslagen, waaronder ondubbelzinnige toestemming van de betrokkene voor de verwerking. Sociale netwerksites moeten zich bij de verwerking van persoonsgegevens te allen tijde houden aan de eisen van de Wbp.

4. Deelt u tevens de mening dat, indien het sociale netwerksites binnen de huidige richtlijnen van het Cbp is toegestaan accountinstellingen van hun gebruikers ongevraagd te wijzigen teneinde persoonsgegevens te gebruiken voor commerciële doeleinden, dit ongewenst is? Zo ja, bent u bereid het Cbp op te dragen deze te wijzigen. Zo nee,
waarom niet?
Het Cbp vult haar toezicht- en handhavingsbevoegdheden nader in via handhavingsbeleid. Met betrekking tot de omgang met en bescherming van persoonsgegevens door sociale netwerksites hanteert het Cbp richtlijnen zoals in mijn antwoord op vraag 2 weergegeven. Daaruit leid ik af dat het Cbp al diverse kwalitatieve eisen stelt aan de omgang van en de bescherming van persoonsgegevens door sociale netwerksites, in het bijzonder waar het de invulling van het begrip
ondubbelzinnige toestemming betreft.
Overigens heeft het Cbp een wettelijk gegarandeerde onafhankelijke positie. Gelet hierop beschik ik
niet over bevoegdheden om het Cbp voor te schrijven hoe zich te gedragen in individuele
toezichtszaken.

1 Zie https://www.cbpweb.nl/downloads_int/wp187_en.pdf

Vanaf vandaag kan ieder bedrijf eenvoudig en kostenloos zijn eigen social media gedragscode opstellen met de Social Media Policy Generator op Policygenerator.nl. Na het beantwoorden van een aantal vragen ontvangt een bedrijf een gepersonaliseerde gedragscode voor het gebruik van social media door zijn medewerkers. Hiermee wordt gestimuleerd dat uitingen van medewerkers via social media bijdragen aan de positieve uitstraling van een bedrijf, terwijl tegelijkertijd het risico op imagoschade wordt vermeden. De tool is door MarketingMonday ontwikkeld omdat een dergelijke policy nog niet in alle bedrijven aanwezig is, maar wel noodzakelijk.

BRON: MarketingMonday en PolicyGenerator.nl

De interpretatie en toepassing van telemarketingregels, waarvoor de OPTA verantwoordelijkheid draagt, worden door haar uitgelegd vanuit de (handhavings)praktijk. Zie hier, eerdere standpunte werd in 2006 ingenomen, zie hier

Antwoord van staatssecretaris Teeven (Veiligheid en Justitie), AH 3519 2011Z16031

1 Kent u het artikel “Hoe LinkedIn leden en reclame linkt”?1 (www.volkskrant.nl, 4 augustus 2011) Herinnert u zich de eerdere Kamervragen over sociale netwerksites die inbreuk maken op de Wet bescherming persoonsgegevens? 2 (Aanhangsel Handelingen, vergaderjaar 2008-2009, nr. 912)

1 Antwoord Ja.

2 Is het waar dat de netwerksite LinkedIn accountinstellingen van gebruikers zo heeft veranderd dat foto's en namen van leden ongevraagd voor reclames kunnen worden gebruikt? Zo ja, acht u dit een inbreuk op de Wet bescherming persoonsgegevens? Wordt hiertegen opgetreden door het College bescherming persoonsgegevens? Wat kunnen gebruikers van LinkedIn hiertegen doen? Zo nee, waarom niet?
3 Deelt u de mening dat het automatisch toestemming geven voor het gebruik van gegevens door gebruikers van LinkedIn of andere sociale netwerken ongewenst is en dat er expliciet om toestemming zou moeten worden gevraagd? Zo ja, hoe gaat u er zorg voor dragen dat deze praktijk wordt aangepast? Zo nee, waarom niet?
4 Heeft LinkedIn naar uw mening genoeg gedaan om gebruikers te informeren over de genoemde verandering? Zo ja, waar blijkt dat uit? Zo nee, waarin is LinkedIn naar uw mening tekortgeschoten?

Antwoorden 2, 3 en 4 Uit voornoemd artikel maak ik op dat LinkedIn recent gebruikersinstellingen zou hebben gewijzigd, waardoor persoonsgegevens van gebruikers voor advertenties gebruikt konden worden. Uit diverse berichtgeving in de media nadien leid ik af dat LinkedIn te kennen gegeven heeft dat de gebruikersinstellingen inmiddels aangepast zijn, zodat geen namen en foto’s van gebruikers meer zichtbaar zijn in advertenties.

De Wet bescherming persoonsgegevens (Wbp) stelt eisen aan de verwerking van persoonsgegevens. Op grond van artikel 8 van de Wbp mogen slechts persoonsgegevens worden verwerkt als er een grond voor gegevensverwerking aanwezig is. Eén van de gronden voor rechtsgeldige gegevensverwerking is ondubbelzinnige toestemming van de betrokkene voor de gegevensverwerking. Ingevolge de artikelen 33 en 34 van de Wbp heeft de verantwoordelijke voor de gegevensverwerking een informatieverplichting richting de betrokkene. De Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, hebben in een gemeenschappelijk standpunt van 13 juli 2011 aanbevelingen opgesteld over het begrip toestemming, waarmee een verantwoordelijke voor de gegevensverwerking rekening kan houden3 (Zie https://www.cbpweb.nl/downloads_int/wp187_en.pdf). 

Het College bescherming persoonsgegevens (Cbp) is belast met het toezicht op de naleving van de Wbp en kan bij een geconstateerde overtreding handhavend optreden. Het is niet aan mij om te oordelen over de vraag of in een individueel geval aan de vereisten van de Wbp wordt voldaan. Betrokkenen die van mening zijn dat er sprake is van een schending van de Wbp kunnen een klacht indienen bij het Cbp.

HR 9 september 2011, LJN BQ8097 (met concl. A-G Verkade, Santander Consumer Finance Benelux B.V. tegen verweerder)

Wet bescherming persoonsgegevens (Wbp). Verzoek tot verwijdering persoonsgegevens; art. 8, 36, 46 Wbp. Aanwezigheid wettelijke rechtvaardigingsgrond maakt belangenafweging aan de hand van vermelde beginselen niet overbodig.

Wbp moet worden uitgelegd in overeenstemming met art. 8 EVRM. Elke gegevensverwerking moet voldoen aan beginselen van proportionaliteit en subsidiariteit. Inbreuk op belangen betrokkene mag niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel, en dit doel moet in redelijkheid niet op een andere, voor de betrokkene minder nadelige, wijze kunnen worden verwerkelijkt.

Aanwezigheid wettelijke rechtvaardigingsgrond maakt belangenafweging aan de hand van vermelde beginselen niet overbodig. Bij deze afweging moeten omstandigheden van het geval in aanmerking worden genomen. Van verwerker mag slechts belangenafweging verlangd worden aan de hand van de beschikbare gegevens. Als betrokkene nadere gegevens verschaft, kan dit tot een nieuwe en meer volledige afweging aanleiding geven. Door betrokkene verleende toestemming als bedoeld in art. 8, aanhef en onder a, ontslaat verwerker niet zonder meer van verplichting tot belangenafweging. Als betrokkene erop wijst dat bij bepaalde verwerking van gegevens met zijn belangen onvoldoende rekening is gehouden, zal verwerker afweging alsnog moeten maken op basis van de dan bekende feiten en omstandigheden. Oordeel hof dat verwerker in redelijkheid niet tot registratie had moeten overgaan, of na door betrokkene geuit bezwaar die registratie alsnog had moeten verwijderen, niet onbegrijpelijk.

Rechtbank Haarlem 31 augustus 2011, LJN BR6518 (A c.s. tegen ING Bank N.V.)

Wet bescherming persoonsgegevens. Na een bezoek aan Parijs geeft A c.s. een diefstal aan, welke onjuist bleek. Verzoek tot verwijdering (art. 46 Wbp) uit het incidentenregister van (reis)verzekeraar afgewezen. Het vermoeden is gerechtvaardigd dat verzoekster een vervalste factuur heeft overgelegd en vervolgens heeft geprobeerd haar verklaringen in overeenstemming te brengen met deze factuur.

3.4.  Vast staat dat [B] bij het invullen van het SAF aanzienlijk meer sieraden als gestolen heeft opgegeven dan waarvan het proces-verbaal van aangifte melding maakt. Op zichzelf levert dit echter geen redelijk vermoeden van benadeling van de verzekeraar op, aangezien het goed voorstelbaar is dat iemand die bestolen is zich pas later bewust wordt van de precieze omvang van de diefstal. Opmerkelijk is echter dat het proces-verbaal van aangifte verkeerde merknamen vermeldt van de foto- en videocamera die zij en haar man pas de dag ervoor hadden aangeschaft. Te verwachten is immers dat zij niet lichtvaardig zijn overgegaan tot de aanschaf van deze apparatuur die - naar uit het SAF kan worden afgeleid - een waarde van EUR 2.600,00 vertegenwoordigde, zodat verwacht mag worden dat zij deze merknamen bij het doen van aangifte paraat had. De rechtbank passeert als ongeloofwaardig de eerst ter zitting gegeven verklaring van [B] dat haar man deze apparatuur alleen heeft aangeschaft - wat daar overigens ook van zij - omdat zij tijdens het eerste gesprek met onderzoeksbureau Vidi heeft verklaard dat zij deze apparatuur zelf heeft aangeschaft.

Uit de door ING overgelegde stukken leidt de rechtbank af dat op de factuur van Bijouterie Assoin oorspronkelijk het jaartal 2003 heeft gestaan en dat deze betrekking heeft op de aanschaf van een 18 karaats gouden armband voor een prijs van 1.250,00 dirham. Tijdens het tweede gesprek met onderzoeksbureau Vidi heeft [B] niettemin volhard in haar evident onhoudbare standpunt dat deze factuur in 2008 is opgemaakt voor de aankoop van een ketting, een armband en een ring voor EUR 125.000,00 dirham, waar zij bij het invullen van het SAF met deze factuur de aanschaf van een ketting, een armband en oorbellen in 2009 beoogde te onderbouwen. De rechtbank tekent hierbij aan dat, uitgaande van de wisselkoers per 1 januari 2010, een prijs van 125.000,00 dirham (EUR 11.046,16) niet in de buurt komt van de door haar in het SAF opgegeven waarde van de sieradenset van EUR 900,00. Wat dat betreft biedt de factuur van Bijouterie Belle Vue een betere onderbouwing. Deze is kennelijk opgemaakt op 21 juli 2008 en saldeert op 12.000 dirham (EUR 1.060,43). De naam van de winkel komt echter niet overeen met de verklaring van [B] dat zij de sieraden bij Bijouterie Assoin heeft gekocht (zie 2.4), en ook deze factuur wijkt af van het SAF waar deze melding maakt van de aankoop van oorbellen, een armband en een ring. Dat [B] ter zitting in afwijking van haar eerdere verklaringen weer heeft verklaard dat de sieradenset door haar man is aangeschaft, maakt haar verklaringen er al met al niet geloofwaardiger op. De rechtbank hecht derhalve geen geloof aan de stelling van [B] dat het overleggen van de factuur van Bijouterie Assoin op een vergissing berust. Een dergelijke vergissing zou haar, zoals ING terecht heeft betoogd, reeds tijdens het tweede gesprek met onderzoeksbureau Vidi moeten zijn opgevallen. Het vermoeden is gerechtvaardigd dat [B] een vervalste factuur heeft overgelegd en vervolgens heeft geprobeerd haar verklaringen in overeenstemming te brengen met deze factuur. De vergissingen die zij daarbij heeft gemaakt hebben tot gevolg dat zij daar niet in is geslaagd. Het verzoek zal worden afgewezen.

Antwoord Minister Donner vragen Neppérus inzake het eenvoudige kraken van de DigiD, Aanhangselen II, 2010-11, nr. 3 427.

Vraag 1 Bent u bekend met de berichten dat een DigiD eenvoudig te kraken zou zijn voor criminelen en dat het om vele miljoenen gaat?

Antwoord Ja, ik ben bekend met de berichtgeving in de media.

Vraag 2 Hoe verhoudt zich dit nieuws zich tot uw antwoorden van 9 mei 2011 op Kamervragen dat het probleem maar beperkt voorkomt?

Antwoord: Tot op heden is niet gebleken dat bij de huidige situatie sprake is van het ontvreemden van DigiD’s van de getroffen huishoudens. Het betreft hier wèl het frauduleus aanvragen van toeslagen met behulp van identiteitsgegevens van de getroffen huishoudens. Daarvoor waren de DigiD’s van de getroffen huishoudens niet nodig. De Belastingdienst heeft inmiddels maatregelen getroffen waardoor dit niet meer mogelijk is. De desbetreffende burgers zijn inmiddels geïnformeerd. Ook zijn de invorderingsmaatregelen gestopt en krijgen de burgers die door deze fraude hun toeslagen niet hebben uitgekeerd gekregen, deze alsnog uitbetaald. Daarnaast is er bij de Belastingdienst/Toeslagen een fraudemeldpunt, waar burgers die vermoeden dat zij slachtoffer zijn van dit soort fraude zich kunnen melden. De Staatssecretaris van Financiën zal de Kamer in de komende halfjaarsrapportage nader informeren over de maatregelen die de Belastingdienst in dit verband heeft genomen.

Vraag 3 Bent u bereid alsnog naar de omvang van het genoemde probleem te kijken?

Antwoord Zoals gemeld in antwoord op vraag 2 bestaat de misbruikmogelijkheid die de aanleiding vormt voor de huidige vragen niet meer. Wat andere vormen van misbruik betreft, is het niet onmogelijk voor een kwaadwillende om een DigiD van een ander te bemachtigen (zoals ook aangegeven in de antwoorden op uw vragen uit april 2011 en de vragen van het lid Gerkens uit maart 20101). De strekking van die antwoorden is dan ook niet gewijzigd. 100% fraudebestendigheid bestaat niet. Het aantal gevallen van het ontvreemden van DigiD, ten opzichte van het totaalgebruik van DigiD, is minimaal. DigiD wordt gebruikt door 9 miljoen mensen. Sinds de invoering van DigiD in 2005 zijn door de beheerder van DigiD enkele honderden DigiD’s onderzocht vanwege een vermoeden van misbruik. Daarnaast zijn bij het Centraal Meldpunt Identiteitsfraude en -fouten enkele tientallen gevallen van vermoeden van misbruik gemeld. Wanneer er meer aan de hand blijkt te zijn wordt een DigiD opgeheven. Dat is dit jaar acht maal gebeurd. Het tegengaan van fraude is een continue wedloop tussen het nemen van beveiligingsmaatregelen en fraudeurs. In dat kader onderzoek ik momenteel de wenselijkheid en haalbaarheid van de invoering van een geheel nieuw (hoger) zekerheidsniveau binnen DigiD, de zogeheten eNIK. Daarover informeer ik uw Kamer medio september separaat.

Vraag 4 Hoe komt het dat kennelijk in bepaalde straten en wijken meer DigiD wordt gekraakt, dan in andere buurten? Welke afspraken zijn er over screening van medewerkers van bedrijven die worden ingeschakeld?

Antwoord De zaak waarop gewezen wordt in de berichtgeving is in onderzoek bij de FIOD en het Openbaar Ministerie. Zoals gemeld in het antwoord op vraag 2 is tot op heden niet gebleken dat hierbij sprake is geweest van het ontvreemden van DigiD’s van de getroffen huishoudens. Vanwege het lopende onderzoek kan ik op dit moment geen nadere mededelingen doen.

Vanaf komende dinsdag verschijnt een ‘cookie-icoon’ bij veel webadvertenties in Nederland. Wie doorklikt komt terecht bij een volg-me-niet register, waar de gebruiker kan aangeven van welke partijen hij wel of geen third party cookies wenst te ontvangen.

Lees meer hier

Vz RCC 10 augustus 2011, Dossiernr. 2011/00614 (Neckermann reclamekaart klantnummer)

Als randvermelding. De RCC oordeelt over gebruik van 'privacy-gegevens'. De twee reclamefolders, die per post aan klager zijn toegestuurd, zijn niet alleen voorzien van klagers naam en adres, maar ook van klagers klantnummer, en wel zo, dat dit voor een ieder zichtbaar is. Na ontvangst van de eerste folder heeft klager zijn bezwaar daartegen aan adverteerder kenbaar gemaakt, doch heden ontving hij een tweede folder, wederom voorzien van zijn klantnummer. Hierdoor kan een ieder, die deze uitingen onder ogen krijgt zich voor klager uitgeven.

Klantnummer is slechts serviceoverweging. Door zich van een dergelijke wijze van reclame maken te bedienen, is geen inbreuk op klagers privacy, aldus de voorzitter..

Het verweer
Van strijd met de Nederlandse Reclame Code (hierna: NRC) is geen sprake.
Ook zonder dat het klantnummer zou zijn vermeld, bestaat het risico dat iemand anders zich voor klager uitgeeft. Het klantnummer is vermeld uit serviceoverwegingen. Hierdoor hoeft de klant zijn klantnummer niet op te zoeken of na te vragen.  
 
Het oordeel van de voorzitter
De voorzitter is van oordeel dat de Commissie de klacht zal afwijzen. Hij overweegt daartoe het volgende.
Het feit dat naast klagers naam en adres zijn klantnummer is vermeld waardoor beide voor derden zichtbaar zijn, kan niet worden aangemerkt als een schending van klagers persoonlijke levenssfeer. Evenmin kan dit handelen in strijd met de NRC worden geacht.