Privacy  

Het tijdschrift Bright publiceerde afgelopen vrijdag een onderzoek naar de gebruikersvoorwaarden van enkele bedrijven zoals o.a. Apple, eBay, Facebook, Flickr, Google, Marktplaats en Skype. Hieruit blijkt dat de voorwaarden regelmatig herschreven worden, vaak ten nadele van de consument. Bright stelt dat de voorwaarden in moeilijke juridische taal worden opgeschreven en dat daarom niet duidelijk is wat ze precies inhouden. Bright concludeert kortweg dat door ondertekening van de voorwaarden, de gebruiker afstand doet van al zijn rechten en veel verplichtingen krijgt.

Hierbij de voornaamste conclusies uit het rapport.

1. De voorwaarden worden regelmatig aangepast zonder de gebruiker hierover in te lichten.
2. De aansprakelijkheid van de diensten zelf wordt zoveel mogelijk beperkt.
3. Gekochte applicaties zijn geen eigendom van de gebruiker, deze koopt alleen een licentie voor gebruik, welke kan worden ingetrokken en niet kan worden overgedragen.
4. Garantiemogelijkheden zijn zeer beperkt en er wordt veelvuldig gebruik gemaakt van het koppelen en dataminen van persoonlijke gegevens.
5. Ook wordt privé informatie van gebruikers wordt zonder expliciete toestemming van de gebruiker gebruikt voor financieel gewin en doorgespeeld naar derde partijen waardoor het niet meer controleerbaar is voor de gebruiker.
6. Verder worden vaak de (intellectuele) eigendomsrechten van foto's en video's die de gebruiker uploadt naar de diensten overgeheveld.

Lees het gehele rapport hier (link en pdf).

De Europese digitale burger organisatie heeft een samenvatting gemaakt van (eventuele) misstanden die plaatsvinden in Europa.

Lees meer hier

Persbericht CBP 19 april 2011: "Het College bescherming persoonsgegevens (CBP) heeft Google een last onder dwangsom opgelegd. Uit onderzoek van het CBP blijkt dat Google door middel van Street View auto’s twee jaar lang systematisch en buiten medeweten van de betrokkenen het unieke nummer (het MAC-adres) van ruim 3,6 miljoen wifi-routers heeft vastgelegd in combinatie met de berekende locatie van de wifi-router. MAC-adressen in combinatie met een berekende locatie zijn in deze context persoonsgegevens omdat de gegevens informatie kunnen verschaffen over de houder van de wifi-router. Het CBP stelt ook vast dat Google met dezelfde Street View auto’s inhoudelijke communicatiegegevens (zogeheten ’payload data’) heeft verzameld. Uit het onderzoek blijkt dat deze informatie persoonsgegevens bevat, zoals emailadressen, medische gegevens en informatie over financiële transacties."

"In de last onder dwangsom wordt Google onder meer gesommeerd om binnen drie maanden de betrokkenen zowel offline als online te informeren over de verzameling van gegevens over wifi-routers met Street View auto’s door Google ten behoeve van zijn geolocatiedienst. Bovendien moet Google binnen drie maanden een online opt-out mogelijkheid aanbieden waarmee mensen zich kunnen verzetten tegen de verwerking van gegevens over hun wifi-routers. Als Google de in de last genoemde maatregelen niet binnen de gestelde termijnen neemt, is het een dwangsom verschuldigd die kan oplopen tot maximaal een miljoen euro. Voorts moet Google de in Nederland verzamelde payload data binnen vier weken vernietigen."

Lees het persbericht hier.

Zie ook Webwereld, Emerce en Automatiseringsgids.

De Europese Commissie heeft vandaag de evaluatie van de Dataretentierichtlijn (2006/24/EC) gepubliceerd.De conclusie is dat de richtlijn een belangrijke rol heeft bij de bestrijding van zware misdaad. Problemen zijn er wel bij de implementatie van de richtlijn, aangezien deze niet geharmoniseerd is tussen de lidstaten, met name over de retentieperiodes. Ook voldoet de richtlijn niet aan de huidige privacy en dataprotectie wetgeving. De EC zal een consultatieronde houden onder politie, justitie, dataprotectieorganisaties en consumentenorganisaties, waarna een verbeterde versie van de richtlijn zal worden gepresenteerd.

Tegelijkertijd heeft de Europese digitale burgerrechtenorganisatie EDRi een 'schaduwrapport' over de dataretentierichtlijn gepubliceerd. EDRi stelt dat de richtlijn een zware inbreuk is op het recht op privacy van alle EU burgers. Ook stelt EDRi dat de harmonisatie van de interne markt niet door deze richtijn wordt gerealiseerd en het ook niet bijdraagt aan een effectieve bestrijding van de misdaad.

Lees het volledige rapport van de Europese Commissie hier en hier. 

In navolging van IT 240 volgt het antwoord op de kamervragen die zijn gesteld:

Klopt het dat Stichting Brein servers in beslag heeft genomen zonder  gerechtelijk bevel?  Klopt het dat Stichting Brein zich vervolgens toegang  heeft verschaft tot de servers, en dus ook de privé- en zakelijke  administratie van de servereigenaar en alle content die voor derden op  de servers stond? Klopt het dat Stichting Brein afgifte van de servers op  basis van de auteurswet heeft gevorderd? Is Stichting Brein hiertoe  bevoegd? Zo ja, waarom? Zo nee, welke maatregelen zal u in deze  nemen? 

Naar mij is gebleken, gaat het hier om servers van een derde die bij een provider  waren ondergebracht. Stichting Brein heeft deze provider gesommeerd om de  servers aan hen te overhandigen. De provider heeft aan deze sommatie voldaan.  Volgens Stichting Brein is de sommatie gebaseerd op artikel 28 van de  Auteurswet. Dit artikel geeft de bevoegdheid aan de auteursrechthebbende om  roerende zaken, die in strijd met het aan hem toekomende auteursrecht zijn  openbaar gemaakt of een niet geoorloofde verveelvoudiging vormen of die  materialen of werktuigen zijn die voornamelijk bij de schepping of vervaardiging  van deze zaken zijn gebruikt, als zijn eigendom op te eisen. In de situatie die  door het aangehaalde bericht is beschreven, was daarom geen sprake van een  beslaglegging.

Nadat de eigenaar van de servers met de afgifte van de servers bekend is  geworden, heeft deze verzocht om beslaglegging met gerechtelijke bewaring. Dit  verzoek is door de rechter op 18 februari 2011 toegewezen. Vervolgens heeft  Stichting Brein beslag laten leggen op de servers die in gerechtelijke bewaring  waren gesteld. Voor deze beslaglegging is door de rechter op 9 maart 2011 verlof  gegeven. Het is tussen partijen in geschil of op basis van artikel 28 van de  Auteurswet de afgifte van servers gevraagd kan worden van een derde die niet de  eigenaar is. Ook is tussen partijen in geschil of Stichting Brein zich toegang heeft  verschaft tot de servers. Het is in eerste instantie aan partijen om hier uit te  komen. Zij kunnen hun geschil eventueel aan de rechter voorleggen die op basis  van alle feiten en omstandigheden uitspraak zal doen.  

5 Bent u van mening dat met de Stichting Brein met deze handelswijze zich  schuldig maakt aan een vorm van eigenrichting en bovendien de privacy  van anderen schendt? Zo nee, waarom niet? Zo ja, welke maatregelen  bent u voornemens te nemen?  
Op dit moment zijn de partijen nog met elkaar in gesprek. Komen zij hier  onderling niet uit, dan kunnen zij hun geschil aan de rechter voorleggen die op basis van alle feiten en omstandigheden uitspraak zal doen.  Auteursrechthebbenden hebben het recht om de handhaving van de aan hen  toekomende rechten af te dwingen zolang zij binnen het kader van het recht  opereren. Dit betekent ook dat handhaving zelf onder bepaalde omstandigheden  onrechtmatig kan zijn en kan leiden tot een plicht om de daardoor geleden schade  te vergoeden. In bepaalde omstandigheden kan er bovendien sprake zijn van een  strafbaar feit. Ik ben van mening dat hiermee voldoende middelen beschikbaar  zijn om tegen mogelijke onrechtmatigheden op te treden. 

2011Z03851 
Aanvullende vragen van het lid Gesthuizen (SP) aan de staatssecretaris van  Justitie over inbeslagnames door de stichting BREIN (ingezonden 24 februari  2011)   

1 Wat is uw reactie op het bericht 'Brein nam servers van piraten illegaal in  beslag'?   
Naar aanleiding van het bericht en de gestelde vragen heb ik bij de betrokken  partijen navraag laten doen. Daaruit blijkt dat partijen verschillen van mening  over wat zich precies heeft voorgedaan. Zij zijn op dit moment nog met elkaar in  gesprek. Mogelijk volgt nog een procedure bij de rechter. Ik onthoud mij daarom  van een inhoudelijke reactie. Verder verwijs ik naar mijn antwoorden op de  vragen 2, 3 en 4 van de vragen van de leden Hennis-Plasschaert, Taverne en Van  der Steur (nr. 2011Z03793). 

2 Klopt het dat eigendom onrechtmatig in beslag is genomen?  
Hiervoor verwijs ik naar mijn antwoorden op de vragen 2, 3 en 4 van de vragen  van de leden Hennis-Plasschaert, Taverne en Van der Steur (nr. 2011Z03793). 

3 Deelt u de mening dat dergelijke eigenrichting onwenselijk is en dat om  soortgelijke toestanden in de toekomst te voorkomen de handhaving van  de naleving van het auteursrecht beter kan worden toevertrouwd aan een  overheidsinstantie? 
Het uitgangspunt bij het auteursrecht is dat het in beginsel aan de  rechthebbenden is om te zorgen voor de handhaving. Daarbij staat het partijen  bijvoorbeeld vrij om rechtsmaatregelen te treffen, voor zover deze in  overeenstemming zijn met de daarvoor geldende regels, zoals onder meer  neergelegd in het Wetboek van Burgerlijke Rechtsvordering. Overtreedt een  rechthebbende de regels, dan kan dit leiden tot een plicht om de daardoor  geleden schade te vergoeden. In bepaalde omstandigheden kan er bovendien  sprake zijn van een strafbaar feit. Ik ben van mening dat deze middelen afdoende  zijn om eventuele misstanden aan te pakken. De mening dat de handhaving van  de naleving van het auteursrecht beter kan worden toevertrouwd aan een  overheidsinstantie deel ik niet.     

Klik hier (link) en hier (pdf)

De Europese digitale burger organisatie heeft een samenvatting gemaakt van (eventuele) misstanden die plaatsvinden in Europa.

Lees meer hier

Autoriteiten toonden zich bezorgd over het toenemende gebruik van persoonsgegevens door politiële en justiële autoriteiten.

Op 5 april - tijdens de spring conference - hebben Europese commissarissen gepleit voor data protectie hervorming door de Europese Commissie "to provide an effective and consistent implementation of fundamental rights in a global environment". Bepalingen mogen niet het algemene niveau van gegevensbescherming verdunnen.

Zie de "Resolution on the need for a comprehensive data protection framework" hier

De autoriteiten die hun bezorgheid uiten waren de hoofden van de nationale autoriteiten voor gegevensbescherming (DPA) van de Europese lidstaten van de Unie en een aantal andere niet-lidstaten van de Europese staten, waaronder Zwitserland en Albania. Bovendien, in sommige landen kunnen er commissarissen op regionaal niveau, zoals in Duitsland voor de zestien deelstaten gedeeltelijk soevereine staten. 

Iedere verwerking van persoonsgegevens moet worden getoetst. Dirkzwager heeft daarom in het kader #zelfbehulpzaamzijn, #doityourself (#DIY) een online privacycheck gemaakt: In 10 stappen kunt u controleren of uw organisatie in hoofdlijnen voldoet aan privacyrecht.

Deze privacycheck is een vereenvoudigde weergave van de eisen uit een (genuanceerde en complexe) wet. De check is geen concreet advies. Verder zijn regels omtrent data-export; de verwerking van gegevens afkomstig uit het buitenland en de functionaris voor de gegevensbescherming niet behandeld in de check.

De checklijst:

1. Persoonsgegevens / bijzondere persoonsgegevens
2. Doeleinden van de verwerking
3. Informatieverstrekking bij verkrijgen persoonsgegevens
4. Verenigbaarheid huidige verwerking met eerder kenbaar gemaakte doeleinden
5. Grondslag
6. Beroepsgeheim
7. Zorgvuldige verwerking
8. Passend niveau van beveiliging
9. Betrokkenheid derde partij bij verwerking
10. Meldingsplicht

Lees meer hier.

Rb 's-Gravenhage, 23 maart 2011, LJN BP8841 AWB 10 5376 (Uitspraak-paspoortvingerafdruk)

Het afnemen en decentraal opslaan van vingerafdrukken is niet in strijd met Europese privacyregels. Louise van Luijk heeft een (bestuursrechtelijke) procedure bewandeld en bezwaar gemaakt tegen afname en opslag. M.n. op basis van een ongerechtvaardigde inbreuk op haar privacy art. 8 EVRM, dat er geen tijdelijke verhindering is afgegeven vanwege politieke, ethische dan wel gewetensbezwaren. Niet tegen de afname, maar tegen de opslag en het verdere gebruik richt zij haar bezwaar.

Vandaag is de uitspraak van de rechter bekendgemaakt en wordt ieder bezwaar tegen afname en opslag getest aan artikel 8 EVRM en aan o.m. het evenredigheidsbeginsel. Oordeel: Rb meent dat er geen enkel bezwaar is om geen vingerafdrukken af te laten nemen en te laten opslaan in het kader van de wetgeving zoals deze er nu ligt. Bezwaren tegen toekomstige wetgeving treffen (nu) geen doel.

4.3 Artikel 8 van het EVRM voorziet de mogelijkheid van inmenging in het recht op privéleven voor zover daarin bij wetis voorzien. Dit  houdt mede in ddat de wettelijke regeling voldoende toegankelijk en voozienbaar moet zijn (zie het arrest van het Europese Hof voor de Rechten van de Mens (hierna: EHRM) Doerga tegen Nederland, A.50210/99, van 27 april 2004). Tevens moet de beperking in een democratische samenleving noodzakelijk zijn in het belang van de nationale veiligheid, de openbare veiligheid of ht economisch welzijn van het land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de gezondheidd of de goede zeden of voor de beschermin van de rechten en vrijheden van anderen. Volgens vaste rechtspraak is inmenging slechts noodzakelijk als sprake is van een dringende maatschappelijke behoefte en indien de inmenging proportionel is met het te beschermen belang (zie arrest van het EHRM Berrehab tegen Nederland, A 10730/84, van 21 juni 1988). Bij de vaststelling of een inbreuk nodig is in een democratische samenleving heeft de overheid beoordelingsruimte.

4.4 De rechtbank is van oordeel dat met de vastlegging van de opslagmogelijkheid in artikel 65 van de Paspoortwet en de nadere uitwerking daarvan in artikel 28 van de PUN is voldaan aan de eis dat in de beperking van het recht op privéleven bij wet is voorzien, en dat deze wetgeving toegankelijk en voorzienbaar is. (...) Artikel 8 van het EVRM verzet zich er niet tegen dat wetgeving, zoals in het onderhavige geval, in fasen geschiedt.

4.5 Ten aanzien van de noodzakelijkheid van de maatregel en het daarmee te dienen doel heeft de verweerder onder verwijzing naar de kamerstukken aangegeven dat de nationale wetgever de maatregel noodzakelijk acht in verband met de bescherming van de openbare orde. (...)

4.6 Met verweerder is de rechtbank van oordeel dat met de opslag en het gebruik van vingerafdrukken, als geregeld in het hier ter toetsing staande wettelijke kader, de bescherming van de openbare orde is gediend. (...)

4.7 De rechtbank is verder van oordeel dat de nationale wetgever haar beoordelingsmarge niet heeft overschreden door uit te gaan van de aanwezigheid van een dringende maatschappelijke behoefte, welke artikel 8 van het EVRM vereist. Getuige de wetsgeschiedenis heeft de wetgever haar oordeel doen steunen op onderzoek door TNO, die een frauderisicoanalyse heeft uitgevoerd en heeft voorts intensief beraad plaatsgevonden met betrokken deskundigen van onder meer de CRI, BVD en de Koninklijke Marechaussee. (...)

4.8 Met betrekking tot de toets aan het evenredigheidsbeginsel heeft eiseres betoofd dat de eis om vier vingerafdrukken af te staan niet evenredig is, nu slechts twee vingerafdrukken in het paspoort worden opgenomen. (...)

4.9 Eiseres heeft voorts betoogd dat de regeling niet evenredig is, omdat daarin geen mogelijkheid van een individuele beoordeling is opgenomen en de opslag van vingerafdrukken ongelimiteerd is in de tijd. Zij heeft daartoe verwezen naar het arrest inzake S. en Marper tegen het Verenigd Koninkrijk van 4 december 2008 van het EHRM (nrs. 30562/04 en 30566/04, LJN BH1813) en het arrest van 20 januari 2009 van het EHRM in de zaak van W. tegen Nederland (nr. 20689/08, LJN BJ8705). Met verweerder is de rechtbank van oordeel dat deze arresten niet van toepassing zijn op de onderhavige regeling. In deze arresten is niet enkel de afname en opslag van vingerafdrukken aan de orde, doch tevens die van DNA materiaal. Voorts betreffen de arresten de afname van deze gegevens in een strafrechtelijke context (...)

4.11 Voor zover het betoog van eiseres er tevens op is gericht dat het gevaar bestaat dat de huidige regelgeving mogelijk zal leiden tot gebruik van vingerafdrukken voor andere doeleinden dan met de wetgeving is beoogd (function creep) is de rechtbank met verweerder van oordeel dat dit in het huidige kader geen rol speelt, nu daarin het gebruik van vingerafdrukken wettelijk is beperkt tot het aanvraag- en afgifteproces van reisdocumenten.

(...)

10. ten overvloede overweegt de rechtbank dat zij, met eiseres, heeft geconstateerd dat er maatschappelijke discussie bestaat over de wenselijkheid van opslag van en controle aan de hand van vingerafdrukken. Eiseres heeft in dit kader betoogd dat het politieke draagvlak voor de hiervoor in r.o. 1.1 tot en met 1.8 genoemde wetgeving is gewijzigd. Deze omstandigheden tasten evenwel de rechtmatigheid van de wetgeving niet aan. Het is niet aan de rechter om over dergelijke omstandigheden te oordelen. Eventuele wijzigingen in het politieke draagvlak dienen tot uitdrukking te worden gebracht binnen het politieke besluitvormingsproces.

Lees de uitspraak hier(waarschuwing: pdf á 4,9 Mb), hier(link) en hier(pdf).

Regelingen: 
Grondwet
Algemene wet bestuursrecht art. 4:2 lid 2, 4:5 lid 1 aanhef en onder a, 8:77
Paspoortwet art. 3 lid 3 en 8, 59, 65 lid 1, 2, 3 en 6,
Paspoortuitvoeringsregeling Nederland (PUN), art. 28a lid 6, 39 lid 1, 9 - 38
EVRM art. 8
Handvest van de Grondrechten van de Europese Unie
Verordening EG 2252/3004, gewijzigd bij 444/2009
Richtlijn 95/46/EG art. 6 en 7, 13

Met dank aan Milica Antic, SOLV voor deze bijdrage. Iedereen kent het wel. Op je Facebook wall, en op die van al je vrienden, verschijnt plotseling een foto van jou waar je helemaal niet blij mee bent. De reden dat je ervan baalt, kan van alles zijn. Gewoon omdat je er lelijk op staat, of omdat je in het café staat terwijl je je ziek hebt gemeld, je iets te innig omhelsd staat met een ander dan je partner, je onmiskenbaar dronken bent, of omdat je simpelweg überhaupt geen zin hebt om foto’s van jezelf te delen met Facebook vrienden.

Toch kan het dus gebeuren dat er een foto van jou op Facebook belandt omdat een ander deze heeft geüpload en van jouw naam heeft voorzien (getagged). Onlangs werd aan een Amerikaanse rechter de vraag voorgelegd of het taggen van Facebook eigenlijk wel is toegestaan. De rechter was duidelijk, die had er geen enkel probleem mee:

"[t]here is nothing within the law that requires [one's] permission when someone takes a picture and posts it on a Facebook page. There is nothing that requires [one's] permission when she [is] "tagged" or identified as a person in those pictures."

Hoe zit dat eigenlijk in Nederland?

 Ik laat het auteursrecht van de maker van de foto even voor wat het is. Het gaat hier natuurlijk vooral om het privacy-aspect. Volgens het portretrecht (artikel 21 Auteurswet) kan de geportretteerde zich alleen tegen publicatie van zijn portret verzetten als hij hiertoe een redelijk belang heeft. Uitgangpunt is in het portretrecht dus: ja, het mag, tenzij er bijzondere omstandigheden zijn. Uit de rechtspraak weten we inmiddels wat die omstandigheden zijn: de ernst van de inbreuk op de privacy en de aard en mate van intimiteit die wordt onthuld, de aard en het belang van de feiten die worden openbaar gemaakt, de persoon om wie het gaat en de context van de publicatie. Ook de wijze waarop de foto is gemaakt kan van belang zijn (hinderlijk volgen of onverhoeds fotograferen). Een goed voorbeeld is de zaak van de Maastrichtse studente die in zeer dronken toestand werd gefilmd: deze opnames waren schadelijk en bovendien had ze er, mede gezien haar toestand, niet op bedacht hoeven te zijn dat ze zou worden gefilmd. De publicatie van dit filmpje was onrechtmatig. Beroemdheden zullen zich minder snel kunnen verzetten vanwege het principe ‘hoge bomen vangen veel wind’. Aan de andere kant kunnen beroemdheden soms juist een geldelijk belang hebben dat zich tegen publicatie verzet. Hoe dan ook blijft het onder het portretrecht een belangenafweging tussen enerzijds het privacybelang en anderzijds de vrijheid van meningsuiting.

Onder de Wet bescherming persoonsgegevens is dat eigenlijk niet anders. De wet geeft enkele grondslagen voor verwerking van persoonsgegevens (en dat is het publiceren en taggen van een foto op Facebook zeker ook). De belangrijkste grondslagen zijn toestemming en het hebben van een gerechtvaardigd belang dat zwaarder weegt dan het de bescherming van privacy. Waar in het portretrecht het uitgangspunt dus is dat ‘het mag tenzij’, is onder de WBP het uitgangspunt ‘het mag onder omstandigheden’. Feitelijk komt het mijns inziens neer om dezelfde belangenafweging.

In het geval van Facebook speelt de toestemming nog wel een interessante rol. Je kan mijns inziens goed betogen dat gebruikers van Facebook impliciet toestemming hebben gegeven voor het taggen van foto’s. Het taggen is een bekend en populair onderdeel van Facebook, en bovendien kan je een foto ‘onttaggen’. Een eenmaal verwijderde tag is nooit meer terug te plaatsen. Dat betekent dat je foto er nog wel is, maar niet meer is verbonden aan jouw naam. Hij is dus ook niet meer te zien op jouw wall tenzij jij de foto zelf plaatst.

Al deze omstandigheden in aanmerking nemende – de functie van Facebook, de bekendheid van de gebruiker met het taggen, de mogelijkheid om te ‘detaggen’, het uitgangspunt van het portretrecht dat het mag tenzij, en het recht op vrijheid van meningsuiting van de taggende persoon (welk grondrecht even zwaar weegt als het recht op privacy) – denk ik dat Facebook tagging in Nederland niet snel onrechtmatig zal zijn. Wees wel bewust van de privacy van de vrienden die je tagged, en wees vooral voorzichtig met het plaatsen en taggen van foto’s die je vrienden mogelijk in een lastig parket brengen. Dat is ook wel zo netjes.

Zie voor verdere berichtgeving hier en hier.