DOSSIERS
Alle dossiers

Privacy  

IT 1571

Prejudiciële vragen over jurisdictie grondgebied van gegevensverwerking

Prejudiciële vragen aan HvJ EU 22 april 2014, IT 1571, zaak C-230/14 (Weltimmo)
Persoonsgegevens. Weltimmo is een in Slowakije gevestigde onderneming die een website beheert met advertenties voor in Hongarije gelegen onroerende zaken. Zij verwerkt daartoe persoonsgegevens van de adverteerders. Na afloop van de plaatsingsduur van de advertentie (één maand gratis) verzoeken veel adverteerders zowel de advertentie als hun persoonsgegevens te verwijderen. Verzoekster voldoet echter niet aan dat verzoek en brengt diensten in rekening aan de adverteerders die na niet-betaling van de facturen aan incassobureaus worden ‘uitgeleverd’. De adverteerders dienen een klacht in bij de Hongaarse autoriteit voor gegevensbescherming. Die verklaart de Hongaarse wet van toepassing aangezien de verwerking en technische bewerking van gegevens van natuurlijke personen op Hongaars grondgebied wordt verricht.

Verzoekster krijgt een boete opgelegd. Zij stelt administratief beroep in waarmee het besluit van de Hongaarse autoriteit wordt vernietigd omdat bepaalde feiten onvoldoende duidelijk zijn. De rechter oordeelt echter dat de plaats waar de gegevens zijn verzameld Hongarije is en niet de plaats waar verzoekster haar statutaire zetel heeft. Daarnaast stelt de rechter vast dat noch artikel 4 lid 1, noch de artikelen 28 en 29 van RL 95/46 rechtstreekse werking hebben op grond waarvan de Hongaarse bepalingen buiten toepassing gelaten zouden moeten worden. Verzoekster kan dan ook gezien haar activiteiten geen beroep doen op het feit dat zij geen vestiging in Hongarije heeft. Zij gaat in cassatie omdat zij meent dat de Hongaarse autoriteit niet bevoegd is maar haar Slowaakse tegenhanger had moeten verzoeken actie te nemen.

De verwijzende Hongaarse cassatierechter stelt vast dat het HvJ EU nog geen relevant arrest heeft gewezen. Hij ziet wel enige aanknopingspunten in de conclusie AG in zaak C-131/12 (Google Spain) maar ziet zich genoodzaakt het HvJEU de volgende vragen voor te leggen:

1) Moet artikel 28, lid 1, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: “richtlijn gegevensbescherming”) aldus worden uitgelegd dat de nationale regeling van een lidstaat op diens grondgebied van toepassing is op een voor de gegevensverwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd en een vastgoedsite beheert waarop hij ook advertenties plaatst voor in de eerstbedoelde lidstaat gelegen onroerend goed, waarvan de eigenaars hun persoonsgegevens naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

2) Moet artikel 4, lid 1, sub a, van de richtlijn gegevensbescherming, junctis de punten 18 tot en met 20 van de considerans en de artikelen 1, lid 2, en 28, lid 1, ervan, aldus worden uitgelegd dat de Magyar Adatvédelmi és Információszabadság Hatóság (hierna: “autoriteit voor gegevensbescherming”) de Hongaarse wet inzake gegevensbescherming als nationaal recht niet kan toepassen op een uitsluitend in een andere lidstaat gevestigde beheerder van een vastgoedsite, ook al publiceert hij daarop ook advertenties voor in Hongarije gelegen onroerend goed, waarvan de eigenaars de desbetreffende gegevens waarschijnlijk vanuit Hongarije naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

3) Is het voor uitleggingsdoeleinden relevant dat de dienst die wordt verricht door de voor de gegevensverwerking verantwoordelijke, die de website beheert, is gericht op het grondgebied van een andere lidstaat?

4) Is het voor uitleggingsdoeleinden relevant dat de gegevens betreffende in de andere lidstaat gelegen onroerend goed en de persoonsgegevens van de eigenaars ervan daadwerkelijk zijn ingevoerd vanop het grondgebied van die andere lidstaat?

5) Is het voor uitleggingsdoeleinden relevant dat de met dat onroerend goed verband houdende persoonsgegevens burgers van een andere lidstaat betreffen?

6) Is het voor uitleggingsdoeleinden relevant dat de eigenaars van de in Slowakije gevestigde onderneming een woonplaats hebben in Hongarije?

7) Indien uit het antwoord op de vorige vragen volgt dat de Hongaarse autoriteit voor gegevensbescherming kan optreden, maar daarbij niet het nationale recht, doch het recht van de lidstaat van vestiging moet toepassen, moet artikel 28, lid 6, van de richtlijn gegevensbescherming dan aldus worden uitgelegd dat de Hongaarse autoriteit voor gegevensbescherming de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met de regeling van de lidstaat van vestiging, en dus niet bevoegd is om een geldboete op te leggen?

8) Mag ervan worden uitgegaan dat het begrip „adatfeldolgozás” [technische bewerking van gegevens] dat zowel in artikel 4, lid 1, sub a, als in artikel 28, lid 6, van de [Hongaarse taalversie van de] richtlijn gegevensbescherming wordt gebruikt, in de terminologie van deze richtlijn overeenkomt met het begrip „adatkezelés” [gegevensverwerking]?

IT 1569

Reclame voor spionnenpen zet aan tot strafbaar gebruik

Vz. RCC 14 Juli 2014, IT 1569, dossiernr. 2014/00464 (REC Pen)
Voorzitterstoewijzing. Strijd met wet. Het betreft: 1) een televisiecommercial waarin de zogenaamde REC Pen wordt aangeprezen. Dit betreft een ballpoint die is voorzien van een videocamera. In de televisiecommercial worden een aantal situaties nagespeeld waarin het nuttig zou zijn de REC Pen te gebruiken 2) de website www.teltv.com voor zover het betreft de aanprijzing van de hiervoor genoemde ballpoint. Op de website staat een link naar een commercial en onder meer de volgende tekst: “Met deze spionnenpen maakt u ongemerkt opnames!”. Klager stelt, samengevat, dat met de REC Pen in het geheim video opnamen kunnen worden gemaakt van personen in de privé-sfeer, dit zet aan tot wetsovertreding. De voorzitter acht de reclame-uiting in strijd met het bepaalde in artikel 2 NRC.

Het oordeel van de voorzitter
1) De voorzitter constateert dat in de bestreden televisiecommercial en de commercial die op de bestreden webpagina kan worden geopend, het gebruik van de REC Pen in het bijzonder wordt aangeprezen als een mogelijkheid om daarmee heimelijk personen te filmen. De voorzitter verwijst naar de in de commercial getoonde scenes waarin personen in woningen en andere niet-publieke plaatsen worden gefilmd zonder dat dit kennelijk duidelijk vooraf is aangekondigd en met de bedoeling achter bepaalde geheimen te komen. Het betreft een moeder die op deze wijze ontdekt dat haar dochter een relatie met een leraar heeft, respectievelijk het ontdekken van het feit dat men door collega’s stiekem wordt uitgelachen en het ontdekken van schoenendiefstal. Het op een dergelijke wijze gebruiken van de REC Pen, dat wil zeggen zonder dat dit duidelijk vooraf is aangekondigd, kan ertoe leiden dat in strijd met artikel 139f Wetboek van Strafrecht wordt gehandeld. Nu het onderhavige product specifiek wordt aangeprezen voor een gebruik dat op zichzelf genomen verboden kan worden geacht, is de voorzitter van oordeel dat de onderhavige commercials in strijd zijn met de goede smaak en het fatsoen. Derhalve heeft adverteerder ten aanzien van de commercials gehandeld in strijd met het bepaalde in artikel 2 van de Nederlandse Reclame Code (NRC).
2) Ten aanzien van de tekst op de website ligt het voorgaande in zoverre anders, dat in deze tekst op meer algemene wijze wordt gewezen op de mogelijkheid de pen ongemerkt te gebruiken. Dit neemt evenwel niet weg dat deze tekst dient te worden bezien in samenhang met de commercial die op de website kan worden aangeklikt. Als gevolg van dit laatste zal de consument ook de tekst in deze zin uitleggen dat de REC Pen in het bijzonder geschikt is om daarmee heimelijk personen in een besloten ruimte te filmen. Ook bedoelde tekst dient, gelet op de hiervoor bedoelde commercial, in strijd met artikel 2 NRC te worden geacht.
3) Voor zover klager nog stelt dat de REC Pen zelf aanzet tot wetsovertreding, merkt de voorzitter op dat het adverteerder vrijstaat om reclame te maken voor het onderhavige product, mits deze reclame niet oproept of aanzet tot een gebruik dat een strafbaar feit kan opleveren en de reclame ook verder voldoet aan de eisen van de Nederlandse Reclame Code.
4) Ten aanzien van het verzoek van adverteerder om een termijn van 4 tot 6 weken te krijgen voor aanpassing van de reclame-uitingen, volstaat de voorzitter met op te merken dat dit verzoek niet aan de orde kan zijn, reeds omdat voorkomen moet worden dat de consument op grond van de uitingen de REC Pen zal kopen om daarmee heimelijk in woningen en andere niet-publieke plaatsen mensen te filmen, waardoor hij mogelijk een strafbaar feit zal begaan.

IT 1568

Bestandsvereiste niet van belang bij geautomatiseerde verwerking van persoonsgegevens

ABRvS 16 juli 2014, IT 1568 (appellant tegen College B&W Zevenaar)
Tussenarrest. Persoonsgegevens. Een oud-ambtenaar van de gemeente Zevenaar doet beroep op het inzagerecht van art. 35 Wbp om de hem betreffende persoonsgegevens uit zijn digitale personeelsdossier te ontvangen. De rechtbank had dit verzoek na een eerdere uitspraak van de RvS afgewezen, omdat de documenten uit het dossier geen bestand zouden vormen. De Afdeling wijkt nu van dit eerder ingenomen standpunt af: in geval van geautomatiseerde verwerking van persoonsgegevens is niet van belang of deze gegevens een bestand vormen. Zij draagt het College van B&W van Zevenaar op om nieuwe besluiten te nemen.

5.3. De Afdeling heeft met toepassing van artikel 8:29, vijfde lid, van de Awb de documenten die digitaal zijn opgeslagen ingezien. Deze documenten zijn voornamelijk door medewerkers van de gemeente gemaakte brieven en verslagen van gevoerde gesprekken en concepten daarvan, die niet in het personeelsdossier van [appellant] zijn opgenomen. Zij zijn gemaakt met het programma Word en door bedoelde medewerkers met een gemeentelijke computer digitaal opgeslagen.

5.4. Deze digitale wijze van verzamelen van documenten die persoonsgegevens bevatten, is een vorm van geautomatiseerde verwerking van persoonsgegevens als bedoeld in artikel 2, eerste lid, van de Wbp. Dit artikel is de implementatie van artikel 3, eerste lid, van de Privacyrichtlijn.

In de bewoordingen van beide bepalingen wordt geautomatiseerde verwerking van persoonsgegevens onderscheiden van niet-geautomatiseerde verwerking.

Dat artikel 3 van de Privacyrichtlijn beoogt onderscheid tussen deze twee wijzen van verwerkingen te maken blijkt mede uit de overwegingen 15 en 27 van de bij de Privacyrichtlijn behorende preambule. In overweging 15 staat dat verwerking van persoonsgegevens slechts onder deze richtlijn valt als zij geautomatiseerd is of als de betrokken gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand dat gestructureerd is volgens specifieke persoonscriteria. In overweging 27 staat dat de bescherming van personen zowel op automatische als op niet-automatische verwerking van toepassing is en dat wat de niet-automatische verwerking betreft alleen bestanden en geen ongestructureerde dossiers onder de richtlijn vallen. Hieruit en ook uit de tekst in de Franse, Engelse en Duitse taalversies van artikel 3, eerste lid, van de Privacyrichtlijn en overweging 27 van de preambule blijkt het oogmerk om geautomatiseerd verwerkte persoonsgegevens ook onder de reikwijdte van de Privacyrichtlijn te brengen als het geheel van de verwerkte gegevens niet is aan te merken als een bestand in de zin van artikel 2, aanhef en onder c, van de Privacyrichtlijn, omdat het bij geautomatiseerde verwerking gemakkelijker is dan bij niet-geautomatiseerde verwerking om persoonsgegevens te zoeken en te vinden.

5.5. Nu de tekst van de artikelen 2, eerste lid, van de Wbp en artikel 3, eerste lid, van de Privacyrichtlijn duidelijk is, kan wat hierover in de memorie van toelichting bij de Wbp is vermeld (Kamerstukken II 1997/98, 25892, nr. 3, blz. 53) daaraan niet afdoen.

Gezien het vorenstaande volgt uit de bewoordingen van artikel 2, eerste lid, van de Wbp en artikel 3, eerste lid, van de Privacyrichtlijn, gelezen in samenhang met de overwegingen uit de preambule bij die richtlijn, dat het in geval van geautomatiseerde verwerking van persoonsgegevens niet van belang is of deze gegevens een bestand als bedoeld in artikel 1, aanhef en onder c, van de Wbp, vormen.

Met dit oordeel wijkt de Afdeling af van hetgeen is overwogen in de uitspraak van 30 januari 2013 (zaak nr.201112022/1/A3), in welke uitspraak de betekenis van de Privacyrichtlijn onvoldoende is onderkend.

5.6. De rechtbank heeft derhalve ten onrechte van belang geacht of de door [appellant] gevraagde digitale documenten een bestand vormen, als bedoeld in artikel 1, eerste lid, aanhef en onder c, van de Wbp en het beroep van [appellant] ten onrechte ongegrond verklaard omdat het niet een zodanig bestand is. De aangevallen uitspraak dient in zoverre te worden vernietigd. Het college heeft ten onrechte het verzoek van [appellant] niet beoordeeld op grond van de Wbp en met toepassing van de in die wet opgenomen weigeringsgronden. Het betoog slaagt.

Op andere blogs:
DirkzwagerIEIT

IT 1562

Elektronisch systeem uitwisseling medische gegevens niet verboden

Rechtbank Midden-Nederland 23 juli 2014, IT 1562 (Vereniging Praktijkhoudende Huisartsen tegen Vereniging Zorgaanbieders voor Zorgcommunicatie)
De rechtbank heeft de vordering van de Vereniging van Praktijkhoudende Huisartsen (VPH) om de invoering en verdere ontwikkeling van een systeem voor het elektronisch uitwisselen van medische gegevens te verbieden, afgewezen. De rechtbank oordeelde dat de manier waarop het systeem is ingericht niet in strijd is met de wet bescherming persoonsgegevens.

2.3.
Na verwerping door de Eerste Kamer van het wetsvoorstel “Wet gebruik Burgerservicenummer in de zorg in verband met elektronische informatie-uitwisseling in de zorg” hebben de Landelijke Huisartsen Vereniging (LHV), de Vereniging Huisartsenposten Nederland (VHN), de Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) en de Nederlands Vereniging van Ziekenhuizen (NVZ) besloten een doorstart te maken met de reeds ontwikkelde landelijke infrastructuur voor elektronische uitwisseling van medische persoonsgegevens. Zij hebben daartoe een “Doorstartmodel” (hierna: het Doorstartmodel) opgesteld en dit op 21 december 2011 ter advisering voorgelegd aan het College bescherming persoonsgegevens (Cbp)”. Het Doorstartmodel is gebaseerd op de bestaande infrastructuur voor de elektronische uitwisseling van medische persoonsgegevens gegevens, “AORTA-standaard”, die is ontwikkeld door het Nederlands Instituut voor ICT in de zorg (Nictiz). Deze infrastructuur wordt hierna aangeduid als de zorginfrastructuur.

De geformuleerde doeleinden voor gegevensverwerking
5.9.
In de preambule van het Convenant hebben de bij het Convenant betrokken partijen doeleinden geformuleerd (zie hiervoor in 2.6). De beschreven doeleinden “betere en veiliger zorg”, “het bevorderen van doelmatigheid in de zorg” en “meer betrokkenheid van patiënten bij hun eigen gezondheid” hebben betrekking op de registratie en verwerking van medische persoonsgegeven en vormen naar het oordeel van de rechtbank daarvoor een voldoende rechtvaardiging. Daarbij is in aanmerking genomen dat de noodzaak voor registratie en uitwisseling van medische persoonsgegevens voor een goede en veilige gezondheidszorg algemeen is aanvaard. Dat thans eveneens algemeen is aanvaard dat registratie en uitwisseling plaatsvinden langs elektronische weg blijkt onder meer uit het hiervoor in 5.4 genoemde advies en werkdocument van De Artikel 29 Groep en het advies van het Cbp van 18 januari 2012. In deze documenten wordt niet in twijfel getrokken dat is voldaan aan het vereiste dat het leveren van een betere gezondheidszorg een gerechtvaardigd doel vormt voor de registratie en verwerking van medische persoonsgegevens langs elektronische weg. VPH c.s. erkent dit zelf ook. De omschrijving van de doeleinden in een convenant is naar haar aard in algemene bewoordingen gesteld en zal pas bij de uitwerking daarvan concreter kunnen zijn. De rechtbank acht de in het Convenant gegeven doeleindenomschrijving, anders dan VPH c.s. heeft gesteld, voldoende concreet.

5.11.
In het Businessplan is een financieringsmodel uitgewerkt (pagina 10 van het Businessplan), waarbij de eenmalige kosten die de individuele zorgaanbieders moeten maken om zich aan te sluiten op de zorginfrastructuur worden vergoed op een vooraf vastgesteld normbedrag. De structurele kosten die de individuele zorgaanbieders jaarlijks maken voor hun aansluiting worden vergoed op basis van daadwerkelijk gebruik van de zorginfrastructuur. Niet valt in te zien dat het geven van dergelijke vergoedingen in strijd is met de bepalingen van de Wbp. De individuele zorgaanbieders moeten werkelijk kosten maken om te kunnen aansluiten op de zorginfrastructuur. Dat een - zoals het Businessplan het op pagina 85 formuleert - “adequate” vergoeding mede tot doel heeft om de zorgaanbieders te stimuleren snel op de zorginfrastructuur aan te sluiten, betekent - anders dan VPH c.s. betoogt - dan ook niet dat de vergoeding een ongeoorloofde prikkel is om de zorgaanbieders tot aansluiting te bewegen.

De toestemming
5.12. Op grond van de hiernavolgende overwegingen is de rechtbank van oordeel dat met de wijze waarop de procedure tot het verlenen van toestemming voor de verwerking van persoonsgegevens is vormgegeven, voldoende is gewaarborgd dat wordt voldaan aan de in artikel 23 Wbp gestelde eis dat de betrokkene “uitdrukkelijk toestemming” heeft verleend.

Informed consent
5.21. Op grond van hetgeen hiervoor in 5.13 t/m 5.20 is overwogen is de rechtbank van oordeel dat de procedure voor toestemmingsverlening voldoende waarborgen biedt om te kunnen voldoen aan de vereisten dat de toestemming vrijwillig is gegeven, dat deze voldoende specifiek is en dat deze is gebaseerd op voldoende informatie.

proportionaliteit
5.24 Naar het oordeel van de rechtbank kan de gegevensverstrekking door middel van de professionele standaard daarom ook wat betreft de omvang en de inhoud van de verstrekte gegevens de proportionaliteitstoets doorstaan.

5.27. Het betoog van VPH c.s. dat gebruikmaking van de zorginfrastructuur de huisarts noopt tot schending van zijn geheimhoudingsplicht als bedoeld in artikel 7:457 BW, artikel 88 van de wet BIG en artikel 272 WvS treft gelet op het voorgaande geen doel.

Andere blogs:
SOLV

IT 1561

Uitwisseling telecommunicatie Nederland en Amerikaanse NSA kan door de beugel

Rechtbank Den Haag 23 juli 2014, id=ECLI:NL:RBDHA:2014:8966 (eisers tegen Staat der Nederlanden)
Persbericht: De uitwisseling van telecommunicatie tussen de Nederlandse Algemene Inlichtingen- en veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Amerikaanse National Security Agency (NSA) kan door de beugel. De mogelijkheid bestaat dat de Nederlandse diensten bij de uitwisseling van telecommunicatiegegevens met buitenlandse diensten, zoals de NSA, gegevens ontvangen die door de buitenlandse diensten in het buitenland zijn verzameld met de inzet van bevoegdheden waarover de Nederlandse diensten niet beschikken. De enkele mogelijkheid dat dit het geval is, betekent niet dat Nederland met de ontvangst en het eventuele gebruik van die gegevens internationale verdragen en nationale regelgeving overtreedt. (...) Lees het persbericht verder

Rechtspraak.nl: Procedure naar aanleiding van ‘Snowden-onthullingen’, ingeleid door enige natuurlijke personen, waaronder een strafrechtadvocaat en journalist, en de rechtspersonen de Nederlandse Vereniging voor strafrechtadvocaten, de Nederlandse Vereniging voor Journalisten, de vereniging Internet Society Nederland en de Stichting Privacy First tegen de Staat. Onrechtmatige daad. Vraag of de Staat handelt in strijd met de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002) en internationale verdragsverplichtingen, in het bijzonder de artikelen 8 van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de fundamentele Vrijheden (EVRM) en 7 en/of 8 van het Handvest van de grondrechten van de Europese Unie (het Handvest) en/of 10 EVRM en 11 van het Handvest, door van buitenlandse inlichtingen- en veiligheidsdiensten, waaronder de Amerikaanse National Security Agency (NSA), gegevens te ontvangen en/of te gebruiken die zijn vergaard met de inzet van bevoegdheden waarover de Nederlandse Algemene Inlichtingen en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) niet beschikken.

Verder vraag of op de Staat een positieve verplichting rust om betrokkenen over wie de Staat in strijd met het Nederlandse recht en/of internationale verdragsverplichtingen gegevens heeft ontvangen schriftelijk te informeren en uitsluitsel te geven over het al dan niet hebben ontvangen van gegevens betreffende hun persoon van buitenlandse diensten en om die gegevens te wissen. Ontvankelijkheid eisers. Voldoende concreet en eigen belang eisers-natuurlijke personen als bedoeld in artikel 3:303 van het Burgerlijk Wetboek (BW). Collectieve actie NVSA en NVJ op grond van artikel 3:305a BW. Eigen belang Privacy First en Internet Society bij gevorderde gebod tot het nemen van passende maatregelen te nemen ter bescherming van privéleven. Taakverdeling bestuursrechter en burgerlijke rechter. Verhouding zwaarwegende belangen (van individuen en “eenieder”) waarvoor eisers opkomen, waaronder het belang bij respect voor het privéleven van het individu, en zwaarwegende algemene belang van nationale veiligheid. Afwijzing algemeen geformuleerde vorderingen. De mogelijkheid bestaat dat de Nederlandse diensten bij de uitwisseling van gegevens met buitenlandse diensten, zoals de NSA, gegevens ontvangen die door de buitenlandse diensten in het buitenland zijn verzameld met de inzet van bevoegdheden waarover de Nederlandse diensten niet beschikken. De enkele mogelijkheid dat dit het geval is, betekent niet dat Nederland met de ontvangst en het eventuele gebruik van die gegevens internationale verdragen en nationale regelgeving overtreedt. Toetsing EVRM. Internationale samenwerking. Karakter van gegevensuitwisseling, in ‘bulk’, zonder dat deze op relevantie zijn beoordeeld. Onderscheid ontvangst gegevens en de verdere verwerking ervan. De nationale veiligheid geeft de doorslag. De zwaarwegende belangen van eiseres zullen op individuele basis tot hun recht moeten komen in de waarborgen die de Wiv 2002 biedt of toelaat in het geval van gebruik in hun nadeel, te weten een beroep op de Commissie toezicht betreffende de inlichtingen- en veiligheidsdiensten (CTIVD), op de Nationale ombudsman of - in bijzondere gevallen, indien aan de desbetreffende voorwaarden is voldaan - op de nationale civiele of bestuursrechter.

Op andere blogs:
bureau Brandeis

IT 1560

TILT Conference 2015 (22-23 April): Call for Papers

CALL FOR PAPERS: TILT – Tilburg Institute for Law, Technology, and Society brings to your attention the bi-annual multidisciplinary conference TILTing Perspectives on Technology Regulation

UNDER OBSERVATION – Synergies, benefits and trade-offs of eHealth and surveillance

Tilburg, The Netherlands, 22-23 April 2015

Conference Theme: The notion that people are ‘under observation’ has multiple connotations. Bringing together two hitherto unrelated streams of scholarship interested in observation —eHealth and surveillance studies—this conference aims to inspire cross-fertilisation and bring new insights into the legal, ethical and social meanings of being ‘under observation’.

Care for an aging population and for patients with chronic conditions is expensive. Staying healthy is actively encouraged by policy and practice. Use of eHealth solutions to this end is especially encouraged, as these applications are considered to be ‘lean’, cheap and capable of offering access to healthcare and lifestyle management anywhere, any time. Recent developments in mobile eHealth have led to wearable sensors that gather health data in real time and help take charge of our wellbeing, while Big Data Analytics and Predictive Analytics promise better understanding of disease, prevention and treatment.

But these technologies are not without their caveats. Most notably, they create new opportunities for surveilling and steering health-related behaviours. Recent scholarship on the relationship between the development of new technologies and trends in surveillance points to the multi-directional and mutual nature of the latter. In the field of health, this means that not only are patients watched by technologies, physicians, etc. but also that they are increasingly watching.

These new trends are in line with a general tendency to seek solutions to societal problems – crime, resource allocation, child welfare – in data aggregation, monitoring, profiling and behaviour tracking.

We therefore invite legal, ethical, and social scholars and practitioners, philosophers of technology and engineers, as well as persons working in the areas of health (including eHealth), assisted living, sensor technology, surveillance studies, data protection, data security and privacy to join us in exploring these developments during a two-day conference. We will explore
and discuss the synergies, benefits and trade-offs of developments in eHealth and related changes in surveillance structures and practices.

See full call here

IT 1557

Aanvrager verblijfstitel heeft inzagerecht

HvJ EU 17 juli 2014, IT 1557, zaak C-141/12 / C-372/12 (Y.S.en MenS tegen Minister voor Immigratie, Integratie en Asiel) - dossier
上海市暂住证 / Shanghai Temporary Residence PermitZie eerder IT 1355. Persoonsgegevens. Verzoek om een prejudiciële beslissing betreffende de uitlegging van de artikelen 2, sub a, 12, sub a, en 13, lid 1, sub d, f en g, van richtlijn 95/46/EG (Privacyrichtlijn) en van de artikelen 8, lid 2, en 41, lid 2, sub b, van het EU Handvest. Een geding van twee derdelanders die eenzelfde verzoek hebben ingediend, over de weigering van de minister om die derdelanders een afschrift te verstrekken van een bestuurlijk document dat voorafgaand aan de vaststelling van de besluiten over hun verzoeken om een verblijfsvergunning was opgesteld. Het Hof verklaart voor recht dat de aanvrager van een verblijfstitel recht heeft op inzage in de hem betreffende persoonsgegevens, maar niet op de juridische analyse van het intern document. De aanvrager kan zich tegenover de nationale autoriteiten niet beroepen op art. 41 lid 2 sub b van het Handvest.

 

59      In situaties als die in de hoofdgedingen vloeit uit het in punt 48 van het onderhavige arrest gegeven antwoord voort dat alleen de gegevens betreffende de aanvrager van de verblijfstitel die in de minuut zijn weergegeven, en in voorkomend geval die welke in de juridische analyse in die minuut zijn weergegeven, „persoonsgegevens” in de zin van artikel 2, sub a, van richtlijn 95/46 zijn. Bijgevolg heeft het recht op inzage waarop deze aanvrager zich krachtens artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest kan beroepen, uitsluitend betrekking op die gegevens. Opdat aan dit recht op inzage wordt voldaan, volstaat het dat aan de aanvrager van de verblijfstitel een volledig overzicht, in begrijpelijke vorm, van al deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij de artikelen 12, sub b en c, 14, 22 en 23 van die richtlijn verleende rechten kan uitoefenen.

60      Uit het voorgaande vloeit voort dat op de derde en de vijfde vraag in zaak C‑141/12 en op de eerste en de tweede vraag in zaak C‑372/12 dient te worden geantwoord dat artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest in die zin moeten worden uitgelegd dat de aanvrager van een verblijfstitel een recht heeft op inzage in alle hem betreffende persoonsgegevens die het voorwerp van een verwerking door de nationale overheidsinstanties vormen in de zin van artikel 2, sub b, van deze richtlijn. Om daaraan te voldoen, volstaat het dat aan die aanvrager een volledig overzicht, in begrijpelijke vorm, van deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij die richtlijn verleende rechten kan uitoefenen.

65      Wat de inhoud van deze prejudiciële vragen betreft, menen Y.S., M. en S. alsmede de Griekse regering dat de aanvrager van een verblijfstitel een recht op inzage in het dossier kan baseren op artikel 41, lid 2, sub b, van het Handvest, daar de nationale autoriteiten in het kader van de procedure voor de toekenning van een dergelijke titel richtlijnen op asielgebied ten uitvoer brengen. De Nederlandse, de Tsjechische, de Franse, de Oostenrijkse en de Portugese regering menen daarentegen dat artikel 41 van het Handvest uitsluitend is gericht tot de instellingen van de Unie en bijgevolg niet als grondslag kan dienen voor een recht op inzage in het dossier in het kader van een nationale procedure.

Antwoord:
1) Artikel 2, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet in die zin worden uitgelegd dat gegevens over de aanvrager van een verblijfstitel die zijn weergegeven in een bestuurlijk document, zoals de in het hoofdgeding aan de orde zijnde „minuut”, waarin de gronden worden uiteengezet die de beslismedewerker aanvoert tot staving van het ontwerpbesluit dat hij moet opstellen in het kader van de procedure die voorafgaat aan de vaststelling van een besluit over de aanvraag van een dergelijke titel, en in voorkomend geval die welke zijn weergegeven in de juridische analyse die dat document bevat, „persoonsgegevens” zijn in de zin van deze bepaling, maar dat die analyse als zodanig niet aldus kan worden gekwalificeerd.

2) Artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest van de grondrechten van de Europese Unie moeten in die zin worden uitgelegd dat de aanvrager van een verblijfstitel een recht heeft op inzage in alle hem betreffende persoonsgegevens die het voorwerp van een verwerking door de nationale overheid vormen in de zin van artikel 2, sub b, van deze richtlijn. Om daaraan te voldoen, volstaat het dat aan die aanvrager een volledig overzicht, in begrijpelijke vorm, van deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij die richtlijn verleende rechten kan uitoefenen.

3) Artikel 41, lid 2, sub b, van het Handvest van de grondrechten van de Europese Unie moet in die zin worden uitgelegd dat de aanvrager van een verblijfstitel zich tegenover de nationale autoriteiten niet op deze bepaling kan beroepen.

 

Gestelde vragen C-141/12:

1) Zijn de gegevens die in de minuut van betrokkene zijn weergegeven en die betrekking hebben op betrokkene, persoonsgegevens in de zin van artikel 2, sub a, van [richtlijn 95/46]?

2) Is de in de minuut opgenomen juridische analyse een persoonsgegeven in de zin van voornoemde bepaling?

3) Wanneer het Hof bevestigt dat de hiervoor omschreven gegevens persoonsgegevens zijn, dient de verwerker/overheidsinstantie dan ook ingevolge artikel 12 van [richtlijn 95/46] en artikel 8, lid 2, van het [Handvest] inzage te geven in deze persoonsgegevens?

4) Kan betrokkene in dit kader ook een rechtstreeks beroep doen op artikel 41, lid 2, sub b, van het [Handvest], en zo ja, moet de hierin opgenomen zinsnede ,met inachtneming van het gerechtvaardigde belang van de vertrouwelijkheid [van de] besluitvorming’ zo worden uitgelegd dat het recht op inzage in de minuut op die grond kan worden geweigerd?

5) Wanneer betrokkene verzoekt om inzage in de minuut, dient de verwerker/overheidsinstantie een kopie van dit document te verschaffen om zo recht te doen aan het inzagerecht?

Gestelde vragen C-372/12:
1) Dient artikel 12, aanhef en sub a, tweede streepje, van [richtlijn 95/46] aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt?

2) Dienen de woorden ,recht van inzage’ in artikel 8, lid 2, van het [Handvest] aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt in de zin van artikel 12, aanhef en sub a, tweede streepje, van [richtlijn 95/46]?

3) Is artikel 41, lid 2, aanhef en sub b, van het [Handvest] mede gericht tot de lidstaten van de Europese Unie voor zover zij het recht van de Unie ten uitvoer brengen in de zin van artikel 51, lid 1, van het [Handvest]?

4) Levert de consequentie dat als gevolg van het geven van inzage in minuten daarin niet meer de redenen worden vastgelegd waarom een bepaald besluit wordt voorgesteld, hetgeen de interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie en de ordelijke besluitvorming niet ten goede komt, een gerechtvaardigd belang van de vertrouwelijkheid op in de zin van artikel 41, lid 2, aanhef en sub b, van het [Handvest]?

5) Kan een juridische analyse, zoals neergelegd in een minuut, worden aangemerkt als een persoonsgegeven in de zin van artikel 2, sub a, van [richtlijn 95/46]?

6) Behoort tot de bescherming van rechten en vrijheden van anderen in de zin van artikel 13, lid 1, aanhef en sub g, van [richtlijn 95/46] ook het belang van een interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie? Indien het antwoord hierop negatief luidt, kan dit belang dan worden gebracht onder artikel 13, lid 1, aanhef en sub d of f, van die richtlijn?

 

IT 1556

Report of workshop on Privacy, Consumers, Competition and Big Data

EDPS: Report of workshop on Privacy, Consumers, Competition and Big Data, 2 june 2014
In March 2014 the EDPS published a Preliminary Opinion on 'Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy'. The paper has helped stimulate discussions between policy makers, regulators and specialists across these policy areas. The EDPS hosted a workshop in Brussels on 2 June, attended by experts from the European Commission, national regulators, academics and NGOs, as well as the US Federal Trade Commission.

This report of the workshop is structured according to the five big, overlapping themes which were subject of discussions:

1. The features of the digital economy and the importance of personal data to its development
2. The aims of competition law and how those are played out in practice
3. The various ways in which the interests of the ‘consumer’ are understood in competition law and consumer protection law
4. The extent to which privacy is considered a competitive advantage in digital markets
5. Challenges for enforcement cooperation in the fields of competition, consumer protection and data protection. (...)

Conclusions
It was agreed that stakeholders, regulators and experts should continue to talk about how data protection principles, in particular those of purpose limitation and legitimate interest, can be applied to the digital economy, and how the various policy areas could be deployed most effectively to facilitate transparency, choice and competitiveness in privacy policies which protected the fundamental rights and interests of individuals. Data protection and competition specialists do not necessarily speak the same language. Laws may currently be applied effectively to address visible large scale abuses. But the laws seem not to cover the incremental ‘day-by-day drops into the ocean of data’ which are assembled to construct user profiles, where even seemingly innocuous data can reveal sensitive information. This process will be accelerated as more and more devices go online, which will in turn intensify the need for privacy by design, high standards of data security and data minimisation. (…)

IT 1553

CBP: Volgen bezoekers omroepwebsites met cookies in strijd met de wet

Uit het persbericht: De Nederlandse Publieke Omroep (NPO) verzamelt met zogeheten tracking cookies persoonsgegevens van websitebezoekers zonder hiervoor hun ondubbelzinnige toestemming te vragen. Daarmee overtreedt de NPO de Wet bescherming persoonsgegevens (Wbp). Dit concludeert het College bescherming persoonsgegevens (CBP) na onderzoek naar het plaatsen van tracking cookies door de NPO. Met deze tracking cookies kan de NPO het surfgedrag van bezoekers van verschillende omroepwebsites volgen. Het volgen van surfgedrag via cookies zonder adequate informatie en voorafgaande toestemming van de websitebezoeker is niet toegestaan. “Surfgedrag hoort privé te blijven, tenzij je toestemming geeft om gevolgd te worden op internet”, aldus vice-voorzitter van het CBP Wilbert Tomesen. Het CBP zal de komende periode controleren in hoeverre de overtredingen voortduren en beslissen over eventuele inzet van sancties.

Het CBP heeft vastgesteld dat op alle NPO-websites al bij het laden van een webpagina analytische tracking cookies worden geplaatst. Dit gebeurt dus vóór de websitebezoeker een keuze heeft kunnen maken om in te stemmen met het gebruik van zijn persoonsgegevens of dit te weigeren. Op de NPO-websites worden daarnaast andere tracking cookies geplaatst zonder dat een bezoeker hiervoor zijn ondubbelzinnige toestemming heeft gegeven. Het CBP heeft ook geconcludeerd dat de NPO bezoekers onvolledig, inconsistent en in sommige gevallen feitelijk onjuist informeert.

Gegevens over surfgedrag zijn gevoelige gegevens die een indringend beeld kunnen geven van iemands (communicatie)gedrag en belangstelling. Internetgebruikers hebben het recht om te weten wie welke persoonsgegevens van hen verzamelt en met welk doel dat gebeurt. De NPO verzamelt gegevens van zijn websitebezoekers onder meer om het publieksbereik te meten, om gepersonaliseerde advertenties te tonen en om het delen via social media mogelijk te maken. De informatie van de NPO aan bezoekers schiet op verschillende punten tekort. Websitebezoekers horen eerst informatie te krijgen over de verschillende soorten cookies en welke van hun persoonsgegevens waarvoor worden gebruikt zodat zij weten waarvoor zij precies toestemming geven.

Het onderzoeksrapport is buiten toedoen van het CBP publiek geworden. Het CBP heeft daarom besloten het rapport vervroegd te publiceren.
Lees het rapport (7Mb!)

IT 1551

Vragen HvJ EU over overdracht belastingdienstgegevens aan ziekenfonds

Prejudiciële vragen aan HvJ EU 31 maart 2014, IT 1551, zaak C-201/14 (Bara e.a. tegen CNAS)
Privacy. De groep van verzoeker en vele medestanders bestaat uit (kleine) zelfstandigen. Zij komen op tegen het feit dat zij als gevolg van het onvoorspelbare handelen van de bestuursorganen van de Roemeense Staat verschillende bedragen hebben moeten betalen wegens toepassing met terugwerkende kracht van die bestuurshandelingen. Daarnaast zou bij de overdracht van hun persoonsgegevens RL 95/46/EG geschonden zijn doordat op basis van een nationaal protocol tussen de belastingadministratie en het ziekenfonds (dat volgens hen geen rechtskracht heeft) persoonsgegevens van de belastingdienst zijn overgedragen aan het ziekenfonds.

De verwijzende Roemeense rechter van het Hof van Beroep vraagt zich af of deze wijze van overdracht van informatie op Europeesrechtelijke gronden is toegestaan, en een juiste toepassing vormt van VWEU artikel 124. Hij stelt het HvJEU de volgende vragen:

1. Is de nationale belastingdienst, als vertegenwoordiger van het bevoegde ministerie van een lidstaat, een financiële instelling in de zin van artikel 124?
2. Kan door middel van een met een bestuurshandeling gelijkgestelde handeling, of een protocol tussen de nationale belastingdienst en een andere overheidsinstelling, de overdracht worden geregeld van de database over de inkomsten van de staatsburgers van een lidstaat door de nationale belastingdienst aan een andere instelling van de lidstaat, zonder dat sprake is van een bevoorrechte toegang als omschreven in artikel 124 VWEU?
3. Valt de overdracht van de database, met als doel de staatsburgers van de lidstaat te verplichten sociale bijdragen te betalen aan de instelling van de lidstaat waaraan de database wordt overgedragen, onder het begrip overweging van bedrijfseconomisch toezicht in de zin van artikel 124 VWEU?
4. Kunnen persoonsgegevens worden verwerkt door een autoriteit waarvoor die gegevens niet waren bestemd, waarbij met terugwerkende kracht financieel verlies voor de betrokkenen ontstaat?