Privacy  

Vzr. Rechtbank Amsterdam 7 februari 2012, LJN BW2576 (Staat tegen European Merchant Services)
Vzr. Rechtbank Amsterdam 8 november 2012, LJN BW2575 (Staat tegen European Merchant Services)

Geschil tussen EMS en de Belastingdienst inzake transactiegegevens van buitenlandse creditcards en debitcards. Na tussenvonnis en na overleg tussen partijen heeft de Belastingdienst de vordering beperkt tot bepaalde gegevens. EMS wordt veroordeeld om bepaalde gegevens te verstrekken onder last van een dwangsom.

EMS is aanbieder van een geldtransactiedienst waarbij cliënten betalingen met behulp van credit- en debitcards kunnen verrichten. De Belastingdienst vraagd gegevens op in het kader van een zogenoemd derdenonderzoek. Het verweer strekt zich tot afwijzing in kort geding, verder zou er strijd zijn met artikel 8 EVRM, 10 Gw en Wbp ook wordt het verzoek in strijd met de algemene beginselen van behoorlijk bestuur geacht. De voorzieningenrechter verwerpt de verweren, maar plaatst de zaak pro forma op de rol, waarna in het eindvonnis EMS alsnog wordt veroordeeld tot afgifte van bepaalde gegevens, na beperking van de vordering.

In citaten (uit tussenvonnis):

Artikel 6 EVRM

4.7.  De voorzieningenrechter verwerpt dit verweer. Het verzoek van de Belastingdienst heeft betrekking op nakoming van verplichtingen ten dienste van de belastingheffing; niet om bewijsvergaring in een strafzaak of voor bestuurlijke boete-oplegging. De enkele mogelijkheid dat de gegevens vervolgens alsnog voor laatstgenoemde doeleinden zullen worden gebruikt staat niet aan nakoming van de verplichting tot medewerking aan de vaststelling van de juiste omvang van de belastingaanslag in de weg. Of de gegevens die EMS in dit kader op verzoek van de Belastingdienst zal verstrekken gebruikt mogen worden in een eventueel strafrechtelijk onderzoek staat niet hier maar in een eventuele latere strafzaak ter beoordeling. 

Artt. 8 EVRM, 10 Gw:

4.11.  Artikel 53 AWR is een bij wet voorziene beperking van het recht op eerbiediging van de persoonlijke levenssfeer. (...)

4.12.  De voorzieningenrechter stelt voorop dat artikel 53 AWR bepaalt dat derden verplicht kunnen worden gegevens te verstrekken die belastingplichtigen op basis van de artikelen 47 en 48 tot en met 50 AWR zelf dienen te verschaffen. Daarmee is de omvang van de in artikel 53 neergelegde bevoegdheid, anders dan het EHRM kennelijk heeft aangenomen in het door EMS aangehaalde arrest, wettelijk geclausuleerd. Ook bevat de AWR bepalingen over de wijze waarop de betreffende bevoegdheid wordt uitgeoefend. Dat de Belastingdienst een discretionaire bevoegdheid heeft om artikel 53 AWR te gebruiken brengt niet met zich dat de bepaling daarmee onvoldoende bescherming biedt tegen willekeur. De Belastingdienst is immers gebonden aan het in artikel 47 AWR gebonden doelvoorschrift dat het moet gaan om gegevens die voor de belastingheffing ten aanzien van de betreffende belastingplichtige van belang kunnen zijn. Een en ander leidt tot de conclusie dat de in artikel 53 AWR aan de Belastingdienst toegekende bevoegdheid niet buiten de in artikel 8 EVRM aangegeven grenzen gaat.

A.b.b.b.

4.25.  Verder acht EMS het verzoek van de Belastingdienst in strijd met de algemene beginselen van behoorlijk bestuur, meer in het bijzonder het zorgvuldigheidsbeginsel. Daartoe voert EMS aan dat er in Nederland meerdere bedrijven actief zijn die gelijksoortige geldtransactiediensten aanbieden. Door het onderzoek te beperken tot EMS zal zij, indien bekend wordt dat EMS gegevens aan de Belastingdienst verstrekt, een minder aantrekkelijke partner kunnen worden voor haar huidige opdrachtgevers. Dit leidt tot een concurrentienadeel.

4.26.  De voorzieningenrechter verwerpt dit verweer. Het gaat in onderhavig geval om naleving van een wettelijke verplichting, welke in voorkomend geval ook aan anderen kan worden opgelegd en waarover de Belastingdienst heeft gesteld dat deze ook daadwerkelijk aan met EMS vergelijkbare ondernemingen is opgelegd. Een beperking van het opleggen van deze verplichting tot uitsluitend EMS kan dan ook niet als vaststaand worden aangenomen.

4.33.  Uit het voorgaande volgt dat het door EMS gevoerde verweer tegen de vordering niet kan slagen. De Belastingdienst heeft voldoende aannemelijk gemaakt dat zij een spoedeisend belang bij haar vordering heeft in verband met het tijdig kunnen opleggen van een (zogenaamde) primitieve aanslag. Dat toewijzing van de vordering een onomkeerbaar gevolg met zich brengt, leidt volgens vaste jurisprudentie niet tot de conclusie dat deze in kort geding niet toewijsbaar is. De vordering is derhalve toewijsbaar. Nu partijen zijn overeengekomen dat ingeval van toewijzing van de vordering nader overleg zal plaatsvinden omtrent de exacte omvang van de te verstrekken informatie en over een regeling omtrent vernietiging van niet voor het beoogde doel te gebruiken gegevens zal de zaak pro forma worden aangehouden tot 1 december 2011. Op deze datum kunnen partijen de voorzieningenrechter berichten of zij in onderling overleg tot een regeling zijn gekomen en zo ja, of en zo ja op welke wijze zij die regeling in een vonnis willen zien vastgelegd dan wel een nadere behandeling noodzakelijk is.

5.  De beslissingDe voorzieningenrechter
5.1.  verwijst de zaak pro forma naar 1 december 2011;

De voorzieningenrechter (eindvonnis)

3.1.  beveelt EMS om uiterlijk 15 februari 2012 de gegevens zoals vermeld op de aan dit vonnis gehechte bijlage “Overzicht door EMS te verstrekken velden”, voor zover betrekking hebbend op in Nederland verrichte transacties met buitenlandse betaalkaarten in de periode van 1 januari 2009 tot en met 31 december 2011, waaronder in ieder geval alle transacties met buitenlandse betaalkaarten verricht bij in Nederland gevestigde merchants waar EMS een (betaaldienstverlenings)overeenkomst mee heeft gesloten;

3.2.  veroordeelt EMS aan de Belastingdienst een dwangsom te betalen van EUR 5.000,00 voor iedere dag waarop zij niet aan de in 3.1 uitgesproken veroordeling heeft voldaan, tot een maximum van EUR 150.000,00 is bereikt;

Focus CBP 2012: profilering, datalekken, toegang tot medische gegevens - Privacytoezichthouder presenteert Jaarverslag 2011

De voorzitter van het CBP, Jacob Kohnstamm, presenteerde vandaag het Jaarverslag 2011. Kohnstamm kondigde daarbij aan dat de privacytoezichthouder zich in 2012 zal richten op de ondoorzichtigheid van de verwerking van persoonsgegevens ten behoeve van profilering. Burgers moeten meer inzicht hebben in het gebruik van profielen door bedrijven en overheden stelt de CBP-voorzitter.

Lees het beknopte jaarverslag: ‘Het CBP in 2011’ (2,2 MB)
Lees de uitgebreide versie van het jaarverslag (1,6 MB)

ICT~Office start de commissie privacy om de ICT-branche op het gebied van het thema 'privacy' te organiseren en zodoende een bijdrage te leveren aan de discussie over de balans tussen ICT, innovatie en privacy. De commissie staat open voor vertegenwoordigers van lidbedrijven van ICT~Office die binnen hun organisatie op strategisch niveau verantwoordelijk zijn voor privacy en de impact van privacy op de business. Lees meer hier

Rechtbank ’s-Gravenhage 15 maart 2012, LJN BV9594 / LJN BV9587

Met samenvatting van Hanneke van Lith, masterstudent IVIR.

Vergelijkbaar met IT 660: Phishing en incidentenregister. Twee beschikkingen. Wbp. Incidentenregister. Phishing.

Het verzoek van de ouders om de persoonsgegevens van hun kind bij de Stichting CIS en van het incidentenregister van de ING te verwijderen is afgewezen.

De rechtbank geeft in beide zaken te kennen dat onbetwist vast staat dat de pinpas en pincode van de minderjarige zijn gebruikt bij zogenaamde ‘phishing-fraude’. Het kind heeft namelijk verklaard dat hij vrijwillig zijn pinpas en pincode heeft afgegeven, om makkelijk geld te verdienen. Door de ouders van het kind wordt echter aangevoerd dat hun kind onder valse voorwendselen is overgehaald zijn/haar pinpas en pincode te verstrekken aan een derde. De rechtbank geeft de ouders de mogelijkheid dit te bewijzen door middel van getuigenverklaringen.

Tot die tijd heeft de rechtbank bepaalt dat de persoonsgegevens van het kind niet hoeven te worden verwijderd door de ING.

4.11. Tussen partijen is niet in geschil dat de betaalrekening van [kind van verzoekers] is gebruikt voor frauduleuze transacties. Gezien de verklaring van [kind van verzoekers] tegenover de politie is vast komen te staan dat [kind van verzoekers] daarbij betrokken was. Hij heeft in zijn verklaring toegegeven dat hij met het oog op een snelle verdienste van wel een paar honderd euro zijn pas en pincode aan een derde heeft afgegeven, zodat die zijn rekening zou kunnen gebruiken. Hij kwam zelf tot het besef dat een en ander niet klopte. Dat [kind van verzoekers] er daarom spijt van kreeg en zijn moeder informeerde en vervolgens openheid van zaken heeft gegeven bij de politie, doet op zich aan zijn betrokkenheid bij de fraude niet af. In de gegeven omstandigheden is naar het oordeel van de rechtbank aan de criteria voor opneming in het incidentenregister en het daaraan gekoppelde EVR voldaan en had ING derhalve een gerechtvaardigd belang de persoonsgegevens van [kind van verzoekers] daarin op te nemen.

4.12. Tegenover dit belang van ING staan de mogelijke nadelige gevolgen voor [kind van verzoekers] als gevolg van opnemen van zijn persoonsgegevens in de registers. De afweging van deze belangen valt in het nadeel van [kind van verzoekers] uit. De rechtbank heeft daarbij in aanmerking genomen dat [kind van verzoekers] nog wel kan bankieren. Weliswaar is de zogenaamde convenantenrekening - een basale bancaire rekening waarop betalingen kunnen worden ontvangen en waarvan betalingen kunnen worden verricht - alleen te openen door meerderjarigen, maar ter zitting heeft ING aangegeven bereid te zijn een rekening voor [kind van verzoekers] te openen die identiek is aan de convenantenrekening. Bovendien is de opname in verband met de leeftijd van [kind van verzoekers] beperkt tot vier jaar.

Vzr. Rechtbank Utrecht 21 maart 2012, LJN BW1070 (eiser tegen NS Groep)

Rechtspraak.nl: Kort geding. Geschil draait om vraag of er voor een student die met de trein wil reizen in de zogenaamde vrij reizen periode een verplichting bestaat tot het in- en uitchecken met zijn (persoonlijke) OV-chipkaart (althans dat alleen aldus een geldig elektronisch vervoersbewijs wordt verkregen) en zo ja, of deze verplichting in strijd is met de Wet bescherming persoonsgegevens. Voldoende aannemelijk is dat er een contractuele grondslag bestaat voor de (invoering van de) verplichting tot inchecken op basis van artikel 18.2 van de geldende Algemene Voorwaarden (AVR-NS). Geen nietigheid van deze bepaling op grond van artikel 3:40 BW, want geen strijd met artikel 5 Besluit Personenvervoer. Tevens is voldoende aannemelijk dat de gegevensverwerking die plaatsvindt bij het in- en uitchecken noodzakelijk is voor de uitvoering van de vervoersovereenkomst tussen NS en reiziger (artikel 8 onder b Wet bescherming persoonsgegevens). De op basis van artikel 18.2 AVR-NS ingevoerde verplichting tot in- en uitchecken is immers een vereiste geworden voor het hebben van een geldig vervoersbewijs (artikel 8.7 AVR-NS).

Vzr. Rechtbank Rotterdam 1 december 2011, LJN BU6967 (A tegen Stichting AFM)

Doorgeven van leads. Onderbemiddelen. Gegevensbescherming.

Onder verwijzing naar uitspraken is de voorzieningenrechter vooralsnog van oordeel dat, gelet op de wetsgeschiedenis met betrekking tot het begrip bemiddelen en de ruime definitie daarvan zoals weergegeven in artikel 1:1 van de Wft, in het geval van verzoeker sprake is van werkzaamheden in de uitoefening van een beroep of bedrijf die gericht zijn op het als tussenpersoon tot stand brengen van een overeenkomst tussen consument en aanbieder en er derhalve sprake van (onder)bemiddelen is. Hierbij is van belang dat, nadat de consument zijn gegevens had achtergelaten op de website van [B], via die website automatisch een ‘lead’ werd verzonden aan financiëledienstverlener [E]...

...dan wel financiële dienstverlener [G], de door de consument in te vullen gegevens meer inhielden dan alleen zogenaamde NAW-gegevens, en de omstandigheid dat verzoeker werd betaald voor de via zijn website verkregen ‘leads’. Het feit dat sprake is van een door verzoeker geheel geautomatiseerd systeem van gegevensoverdracht tussen consument en de financiële dienstverleners maakt het voorgaande niet anders evenmin als het gegeven dat verzoeker heeft bemiddeld voor bemiddelaars die wel in het bezit zijn een vergunning.

Hof 's-Gravenhage 23 maart 2012, LJN BV9836 (virus & trojan)

Strafzaak. De verdachte heeft zich samen met een ander schuldig gemaakt aan het maken en verspreiden van een virus en een trojan, welke (onder andere) de functie hadden om inloggegevens en wachtwoorden af te vangen, op te slaan en naar een voor de verdachte en zijn medeverdachte toegankelijke bestandslocatie te verzenden. Van die gegevens kon misbruik worden gemaakt en dat is ook gebeurd. Aldus heeft de verdachte opzettelijk een stoornis in de besmette computers veroorzaakt, zodat er gemeen gevaar voor een ongestoorde dienstverlening te duchten is geweest. De verdachte heeft welbewust misbruik gemaakt van zijn kennis van informatie- en communicatietechnologie.

Het Hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 730 (zevenhonderddertig) dagen. Tevens wordt bepaald dat een gedeelte van de gevangenisstraf, groot 405 (vierhonderdvijf) dagen, niet ten uitvoer zal worden gelegd, tenzij de rechter later anders mocht gelasten omdat de verdachte zich voor het einde van een proeftijd van 2 (twee) jaren aan een strafbaar feit heeft schuldig gemaakt.

Het hof heeft de op te leggen straf bepaald op grond van de ernst van de feiten en de omstandigheden waaronder deze zijn begaan en op grond van de persoon en de persoonlijke omstandigheden van de verdachte, zoals daarvan is gebleken uit het onderzoek ter terechtzitting.

Daarbij heeft het hof in het bijzonder het volgende in aanmerking genomen. De verdachte heeft zich samen met een ander schuldig gemaakt aan het maken en verspreiden van een virus en een trojan, welke (onder andere) de functie hadden om inloggegevens en wachtwoorden af te vangen, op te slaan en naar een voor de verdachte en zijn medeverdachte toegankelijke bestandslocatie te verzenden. Van die gegevens kon misbruik worden gemaakt en dat is ook gebeurd. Aldus heeft de verdachte opzettelijk een stoornis in de besmette computers veroorzaakt, zodat er gemeen gevaar voor een ongestoorde dienstverlening te duchten is geweest. De verdachte heeft welbewust misbruik gemaakt van zijn kennis van informatie- en communicatietechnologie. Daarmee heeft de verdachte het vertrouwen ondermijnd dat internetgebruikers in een ongestoorde afwikkeling van creditcard- en bancaire diensten moeten kunnen stellen. Dat is schadelijk voor het functioneren van dat systeem.

Nieuw op MijnPrivacy.nl: ‘Privacy bij een zwarte lijst’

Mag een bedrijf mij zomaar op een zwarte lijst zetten? Wat doe ik als ik ten onrechte op een zwarte lijst sta? Antwoord op deze vragen vindt u in het nieuwe dossier ‘Privacy bij een zwarte lijst’ op MijnPrivacy.nl, de publiekssite van het CBP. Ook vindt u op deze website vernieuwde informatie over het toetsen van uw kredietwaardigheid.

Wat is een zwarte lijst?
Wie heeft toegang tot een zwarte lijst?
Is de Wet bescherming persoonsgegevens (Wbp) van toepassing op een zwarte lijst?
Mag een bedrijf mij zomaar op een zwarte lijst zetten?
Hoe kom ik te weten of ik op een zwarte lijst sta?
Kan ik mijn persoonsgegevens op een zwarte lijst inzien?
Kan ik mijn persoonsgegevens op een zwarte lijst laten corrigeren of verwijderen?
Wat kan ik doen als ik een vraag of klacht heb over een zwarte lijst?

Wetsvoorstel introduceert boetebevoegdheid toezichthouder bij datalekken
22 maart 2012
Uit't persbericht: Het CBP heeft de staatssecretaris van Veiligheid en Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties geadviseerd over het wetsvoorstel ‘gebruik camerabeelden en meldplicht datalekken’. Het wetsvoorstel introduceert de plicht voor bedrijven en overheden die persoonsgegevens verzamelen en gebruiken om een datalek zo snel mogelijk te melden bij het CBP. Als een datalek niet wordt gemeld, kan het CBP een boete van maximaal € 200.000,- opleggen.

Rechtbank Middelburg 15 maart 2012, LJN BV8942 (X tegen IND)

Prejudiciële vragen aan het Hof van Justitie EU inzake het verzoek om inzage in de minuut;het begrip "persoonsgegevens" in de zin van artikel 2 van de Privacyrichtlijn en de omvang van het inzagerecht in de zin van artikel 12 van de Privacyrichtlijn.

1. Zijn de gegevens die in de minuut van betrokkene zijn weergegeven en die betrekking hebben op betrokkene, persoonsgegevens in de zin van artikel 2, onder a, van de Privacyrichtlijn?
2. Is de in de minuut opgenomen juridische analyse een persoonsgegeven in de zin van voornoemde bepaling?

 

3. Wanneer het Hof bevestigt dat de hiervoor omschreven gegevens persoonsgegevens zijn, dient de verwerker/overheidsinstantie dan ook ingevolge artikel 12 van de Privacyrichtlijn en artikel 8, tweede lid, van het EU Handvest inzage te geven in deze persoonsgegevens?
4. Kan betrokkene in dit kader ook een rechtstreeks beroep doen op artikel 41, tweede lid, onder b, van het EU Handvest, en zo ja, moet de hierin opgenomen zinsnede “met inachtneming van het gerechtvaardigde belang van de vertrouwelijkheid op besluitvorming” zo worden uitgelegd dat het recht op inzage in de minuut op die grond kan worden geweigerd?
5. Wanneer betrokkene verzoekt om inzage in de minuut, dient de verwerker/overheidsinstantie een kopie van dit document te verschaffen om zo recht te doen aan het inzagerecht?

Op andere blogs:
Dirkzwagerieit