Privacy

IT 618

Eerste Cyber Security Beeld Nederland gepubliceerd

Met dank aan Jan-Jaap Oerlemans, Universiteit Leiden.

Op 23 december 2011 is het eerste ‘Cyber Security Beeld’ van Nederland gepubliceerd. In een rapport van GovCERT.nl worden de dreigingen van 2011 beschreven en in een begeleidende brief van de overheid wordt hier een reactie op gegeven en de concrete maatregelen beschreven die naar aanleiding daarvan genomen moeten worden. Hierbij is aangesloten op een overzicht van het relevante juridische kader met betrekking tot cyber security. Tenslotte heeft de nationale Cyber Security Raad nog een reactie gegeven op het eerste Cyber Security Beeld. 

In dit bericht wordt geen overzicht gegeven van de grootste bedreigingen uit 2011 en ontwikkelingen zoals cloudcomputing en mobiele malware die de ICT veiligheid van Nederland bedreigen. GoverCERT.nl heeft dat net als voorgaande jaren prima in een rapport weergegeven en voor beveiligingsonderzoekers zou daar weinig nieuws in (moeten) staan. Wel wil ik ingaan op een aantal belangrijke toezeggingen in de brief door Minister worden gedaan en de overwegingen met betrekking tot strafrecht analyseren.

Brief minister
De begeleidende brief is grotendeels een opsomming van al genomen of nog te nemen maatregelen om de ICT veiligheid van Nederland te waarborgen. Bevestigd wordt bijvoorbeeld dat dat Defensie de kennis en capaciteiten moet ontwikkelen om offensieve handelingen te kunnen verrichten in het digitale domein. Ook wordt vrij diep in gegaan op de meldplicht datalekken. Zoals bekend hebben we al een Europese meldplicht en was het kabinet voornemens een algemene meldplicht in te voeren. Daarnaast is Kamerlid Hennis-Plasschaert met een meldplicht gekomen. Zie over de meldplicht die nu in consultatie is dit informatieve (en kritische) blogbericht van Dirk Zwager Advocaten. De Kamer zal vóór het zomerreces van 2012 geïnformeerd worden over de wijze waarop de meldplicht wordt ingericht.

Juridisch kader
Het juridische kader met betrekking tot cyber security is ‘slechts’ een overzicht van zo’n beetje alle wet- en regelgeving die er maar enigszins mee te maken heeft. Het is bijna 70 pagina’s groot en op zich worden de relevante artikelen uit bepaalde wetten prima beschreven. Aan de hand van dit (toch wel atypische) overheidsdocument trekt de Minister blijkbaar zijn conclusies. Op pagina 8 en 9 van de begeleidende brief gaat de Minister in op de vraag of het huidige juridisch kader voldoende bevoegdheden biedt waarmee de overheid ‘snel, kundig en dwingend’ kan optreden tegen een ‘cybercrisis’. De uitkomsten van het onderzoek naar aanvullende ‘interventiemogelijkheden’ van de overheid zullen ook vóór het zomerreces van 2012 aan de Kamer worden aangeboden. De term ‘cybercrisis’ en de potentiële handhavingsmogelijkheden zijn zo breed gehouden dat het onmogelijk is vast te stellen op welke inverventiemogelijkheden van welke instanties nu wordt gedoeld.

Ik kan vanuit mijn onderzoeksachtergrond alleen uitspraken doen over strafrecht en ik vind ten aanzien van de toepassing van de relevante bijzondere opsporingsbevoegdheden op internet men zich er wel heel gemakkelijk van heeft afgemaakt

Bijzondere opsporingsbevoegdheden
In het rapport worden de opsporingsbevoegdheden namelijk beschreven van een doorzoeking, het vorderen van gegeven, het opnemen van telecommunicatie en het ontoegankelijk maken van gegevens. Daarnaast wordt gewezen op enkele overige opsporingsbevoegdheden, zoals stelselmatige observatie, stelselmatige informatie-inwinning, de pseudokoop of -dienst en infiltratie. Deze bevoegdheden zouden anders dan de bovengenoemde opsporingmethoden, niet specifiek zien op digitale informatie, communicatie en gegevens en worden daarom verder niet behandeld.
Toevallig zijn dat nu precies de opsporingsmethoden waar ik op dit moment onderzoek doe en uitzoek en hoeverre die toepasbaar zijn op internet. Onderzoek op social media en stelselmatige informatie-inwinning zijn naar mijn mening juist niet meer weg te denken in een digitaal opsporingsonderzoek. En juist de reikwijdte van deze opsporingsbevoegdheden zijn nog niet uitgekristalliseerd. De vraag is overigens wel of nieuwe wetgeving nodig om digitaal opsporingsonderzoek te normen, het lijkt meer te gaan over de interpretatie van de reikwijdte van deze opsporingsbevoegdheden waarover rechters zich wellicht vaker moeten (kunnen?) uitspreken.

Jurisdictie
Met betrekking tot jurisdictie op internet worden de beginselen prima beschreven. De Minister merkt daar over op dat Nederland zich binnen het strafrecht dient te houden aan de regel dat rechtsmacht geldt als het misdrijf via een server in Nederland heeft plaatsgevonden. De regel uit Oostenrijk komt uit bestuursrecht en is niet één op één toepasbaar op het strafrecht in Nederland. Bovendien zou het in strijd kunnen zijn met internationaalrechtelijke afspraken. Ik moet mij hier nog meer in verdiepen, maar ik begrijp nog niet helemaal waarom aan deze ‘regel’ zo sterk wordt vastgehouden. Wel snap ik dat delicten een stuk makkelijker zijn op te sporen wanneer deze via infrastructuur in Nederland gefaciliteerd worden.

Wet computercriminaliteit III en de online doorzoeking
Niet onbelangrijk is dat de Minister heeft toegezegd vóór het zomerreces van 2012 mede te delen welke maatregelen m.b.t. het strafrecht, waaronder de noodzaak tot het regelen van een online doorzoeking, nodig zijn. Het lijkt er op dat het conceptwetsvoorstel versterking bestrijding computercriminaliteit (of Wet computercriminaliteit III) voorlopig niet naar de Tweede Kamer wordt gestuurd.

Nationaal Cyber Security Centrum
Per 1 januari 2012 gaat het Nationaal Cyber Security Centrum (NCSC) van start. De ambitie is om de ‘digitale weerbaarheid van de Nederlandse samenleving’ te vergroten. Die ambitie moet met 3 pijlers verwezenlijkt worden, namelijk:

1. het ontwikkelen en aanbieden van expertise en advies;
2. het ondersteunen en uitvoeren van response bij dreigingen of incidenten;
3. door versterking bij crisisbeheersing

GovCERT.nl zal met al haar huidige taken opgaan in het Centrum. Het Cyber Security Centrum bestaat verder uit het ‘ICT Response Board’ en een vertegenwoordiger van verschillende relevante overheidspartijen (o.a. AIVD, politie, OM, Defensie en het NFI). De overheid nodigt andere relevante private en publieke partijen uit om zich daarbij aan te sluiten, maar lijkt daarbij geen budget voor vrij te maken. Het idee is dat op deze manier expertise wordt ontwikkeld. De meerwaarde van het centrum zou ontstaan als informatie, kennis en expertise gericht wordt gedeeld tussen partners of door bundeling effectief kan worden ingezet (‘bijvoorbeeld tijdens een grote ICT-crisis’). Volgens Opstelten heeft daarbij ‘iedere partij haar eigen verantwoordelijkheid en zal het NCSC de verschillende partijen ondersteunen en faciliteren om deze verantwoordelijkheid op passende wijze in te kunnen vullen’. Ik heb geen idee wat deze zin concreet inhoudt. Wie het wel weet mag het zeggen!

Ten aanzien van punt 2 blijkt dat het centrum voor de overheid alleen ‘tweedelijns respons’ aanbiedt en voor vitale infrastructuren ‘derdelijns respons’. Eerstelijns respons zijn maatregelen door de eigen interne ICT-organisatie van instanties en/of externe bedrijven, tweedelijns respons zijn maatregelen door een overkoepelende, branche-gerichte ‘CERT’ en derdelijns respons is een aanvulling op tweedelijns respons, zoals ‘het inzetten van het NCSC als aanvulling op de incident response bij vitale sectoren (zoals bijstand door Surf Cert vanuit het NCSC)’.

Ten aanzien van punt 3 zal het Centrum het ‘ICT Response Board’ faciliteren. Dat wil zeggen dat tijdens een digitale crisis (nog onduidelijk is wat voor een crisis precies) een ICT Response Board wordt georganiseerd dat een advies moet brengen tot het nemen van maatregelen voor de nationale crisisstructuur. Het NSCS ondersteunt in de uitvoering van deze maatregelen, waarvan de procedures worden vastgelegd in het Nationaal Crisisplan ICT (NCP-ICT). Daarnaast verzorgt het NSCS de coördinatie van het bijeenbrengen van operationele informatie en het duiden daarvan tijdens een crisis.

Het centrum moet dus ook als een soort informatiehub fungeren. Publieke en private partijen moeten daarin de mogelijkheid krijgen informatie uit te wisselen (zie paragraaf 7 van de bijlage). Dat mag niet meer informatie zijn dan is toegestaan op basis van de relevante juridische kaders, maar wél vertrouwelijk en onder een convenant. Ik vraag mij af hoe daar controle op kan plaatsvinden en ik denk aan het gevaar voor privacy met vergelijkbare problematiek als bij Veiligheidshuizen. Zie daarover deze opinie.

Reactie Cyber Security Raad
De Raad herkent zich goed in het Cyber Security Beeld. Wel worden twee adviezen meegegeven. Ten eerste moet een ‘inventarisatie van digitale belangen van de overheid en het bedrijfsleven’ plaatsvinden, waarbij in de eerste plaats aandacht moet worden gegeven aan vitale infrastructuur. Zonder een goed begrip van de specifieke belangen is het namelijk moeilijk te komen tot een goede risicobeoordeling. Ook is het volgens de Raad noodzakelijk om te weten welke controlemechanismen en beveiligingsmaatregelen nu al bestaan, om vast te stellen wat nog ontbreekt en waar met prioriteit aanvullende maatregelen nodig zijn.

Ten tweede adviseert de Raad een ‘nadere kwantificering’ te maken van de ‘met dreigingen en kwetsbaarheden samenhangende risico’s, onder meer op grond van onderkende aanvallen op de digitale omgeving en pogingen daartoe’. Hierbij is uiteraard samenwerking met de private sector nodig om een volledig mogelijk beeld op te bouwen. Daarbij wordt zelfs de formule meegegeven van ‘kans maal impact’ (haha).

Conclusie
Meer dan het Cyber Security Centrum lijkt het ICT Response Board de grootste rol te spelen wanneer er écht een digitale crisis zich voordoet. Wel vraag ik mij af of een publiek-privaat samenwerkingsverband de beste manier is met die heel ernstige crisis om te gaan. Ook ben ik benieuwd aan welke nieuwe ‘interventiemogelijkheden’ de overheid overweegt en wanneer zij toegepast zouden kunnen worden. Vooralsnog lijkt de nadruk te liggen op aanvallen waarbij vitale infrastructuur op spel staat en maatschappelijke ontwrichting met zich mee brengt.

Het Cyber Security Centrum zelf vind ik verder vrij uniek qua opzet. In elk geval zijn de huidige taken van GovCERT.nl er in op gegaan, maar daar komen het uitvoeren van response bij dreigingen en crisis en het faciliteren van informatie-uitwisseling tussen publiek-private partijen bij. Met heel beperkte middelen moet het Centrum blijkbaar een spilfunctie krijgen waarbij partijen samen kunnen komen om informatie uit te wisselen. Maar blijft toch wel een heel andere benadering van het security probleem dan van het Verenigd Koninkrijk die een honderden miljoenen ponden beschikbaar stellen aan de GHCQ om als spilfunctie te fungeren en de veiligheid van de ICT-infrastructuur beter te waarborgen. Ik ben niet in de positie om te oordelen welke aanpak beter is, maar bij de eerste serieuze crisis zal de aanpak zich moeten bewijzen.

IT 617

Internetconsultatie gebruik camerabeelden en meldplicht datalekken

Internetconsultatie wijziging Wbp (gebruik camerabeelden en meldplicht datalekken) (einddatum 29 februari 2012)

In het wetsvoorstel is een regeling opgenomen voor een verruiming van het gebruik van camerabeelden gemaakt met particuliere beveiligingscamera's van burgers en bedrijven ten behoeve van de opsporing van strafbare feiten. In het wetsvoorstel is ook een regeling opgenomen voor een meldplicht voor datalekken.

Concept regeling wijziging Wbp (2 Mb).

Doel van de regeling Met deze regeling wil Staatssecretaris Teeven bereiken dat beelden van strafbare feiten afkomstig van beveiligingscamera's die door particulieren of bedrijven zijn geïnstalleerd op ruimere schaal kunnen worden ingezet om de opsporing van strafbare feiten te ondersteunen.

Met deze regeling wil Staatssecretaris Teeven ook bereiken dat bedrijven en overheid aan het College bescherming persoonsgegevens gaan melden dat zij zijn geconfronteerd met een lek in de beveiliging van hun geautomatiseerde verwerking van persoonsgegevens. Die melding moet alleen worden gedaan als aannemelijk is dat persoonsgegevens als gevolg van dat lek zijn blootgesteld aan een aanmerkelijke kans op verlies of onrechtmatige verwerking.

Verwachte effecten van de regeling 
Van een ruimer gebruik van camerabeelden wordt verwacht dat de investering in eigen beveiligingsmaatregelen meer gaat opleveren voor burgers en bedrijven. Van de meldplicht datalekken wordt verwacht dat de meldplicht bijdraagt aan een grotere transparantie bij de verwerking van persoonsgegevens, ruimere aandacht voor de noodzaak goed te investeren in beveiligingsmaatregelen, en op den duur toename van het vertrouwen van de samenleving in de geautomatiseerde verwerking van persoonsgegevens.

IT 605

Recht op de logfiles

RvS Afdeling bestuursrechtspraak 30 november 2011, LJN BU6383 (wederpartij tegen Universitair Medisch Centrum Groningen)

Met samenvatting van Marianne Korpershoek, Louwers IP|Technology Advocaten.

Logfiles. Kennisnamerecht patiënt. Een patiënte van het UMCG wil op grond van artikel 35 WBP kennis nemen van de namen van de zorgverleners die inzage hebben gehad in haar medisch patiëntendossier. Het UMCG wees het verzoek en bezwaar af. De Rechtbank Groningen verklaart het beroep van patiënte gegrond. Het UMCG stelt hoger beroep in bij de Raad van State.

De rechtbank is van oordeel dat de patiënte op grond van art. 35 lid 2 WBP recht heeft op een overzicht van de zorgverleners die inzage hebben gehad in haar dossier. Het UMCG stelt zich op het standpunt dat kennisneming alleen mogelijk is indien de wens tot kennisname samenhangt met het recht op correctie en aanvulling de inhoud van het dossier. Verder beroept het UMCG op het recht van privacy van de betrokken zorgverleners. De Raad van State wijst deze argumenten en daarmee het beroep van het UMCG af en vernietigt het besluit van het UMCG. De patiënte heeft recht op de logfiles met gegevens van personen die inzage hebben gehad in haar medisch dossier.

2.4.3. Gelet op hetgeen onder 2.4.2 is overwogen, mocht het UMCG ingevolge het bepaalde in artikel 35, tweede lid, van de Wbp niet volstaan met het mededelen van categorieën van ontvangers. Het betoog van het UMCG dienaangaande faalt dan ook.

De rechtbank heeft met juistheid geoordeeld dat artikel 35, tweede lid, van de Wbp, aan [wederpartij] in beginsel het recht toekent op een overzicht van namen van degenen die haar medisch dossier in het Poliplus-systeem hebben geraadpleegd. Met de rechtbank verwerpt de Afdeling het betoog van het UMCG dat de informatie waar artikel 35, tweede lid, van de Wbp op ziet, uitsluitend dient ter uitoefening van het recht op correctie en aanvulling van de inhoud van het dossier. Dat [wederpartij] de informatie zou hebben verzocht teneinde na te gaan of het UMCG het beroepsgeheim in acht neemt, kon derhalve geen grond zijn de door haar verzochte informatie niet mede te delen. Het recht op mededeling of persoonsgegevens worden verwerkt, als neergelegd in artikel 35 van de Wbp, kan weliswaar ten dienste staan van aanwending van de mogelijkheid door een betrokkene om de verantwoordelijke te verzoeken deze persoonsgegevens te verbeteren of aan te vullen, voorzien in artikel 36 van de Wbp, maar dat betekent niet dat de mededeling slechts behoeft te worden gedaan in zoverre dat doel kan worden gediend. Uit de tekst van artikel 35, tweede lid, van de Wbp volgt immers dat de verantwoordelijke een volledig overzicht van de verwerkte persoonsgegevens dient te verstrekken, los van het doel dat betrokkene met het verzoek voor ogen heeft. Zoals de rechtbank voorts met juistheid heeft overwogen, geeft de Wbp aan een ieder het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt en wordt het belang bij een zodanig verzoek door de Wbp verondersteld.

De betogen van het UMCG dat [wederpartij] niet een zodanig belang heeft gesteld dat een inbreuk op de privacy van de medewerkers van het UMCG is gerechtvaardigd en dat het aansprakelijk is voor fouten van ondergeschikten en het zonder wettelijke plicht niet is gehouden om een verklaring tegen zichzelf af te leggen, zijn niet gericht tegen de aangevallen uitspraak en leiden om die reden niet tot vernietiging van de uitspraak.

2.8.1. Zoals onder 2.4.3 is overwogen mocht het UMCG, nu degenen die het medisch dossier van [wederpartij] in het Poliplus-systeem hebben geraadpleegd, geen ontvangers zijn in de zin van artikel 1, aanhef en onder h, van de Wbp, ingevolge het bepaalde in artikel 35, tweede lid, van de Wbp, niet volstaan met het mededelen van categorieën van ontvangers. Artikel 35, tweede lid, van de Wbp, kent aan [wederpartij] het recht toe op een volledig overzicht van namen van degenen die haar medisch dossier in het Poliplus-systeem hebben geraadpleegd. Het UMCG heeft artikel 35, tweede lid, van de Wbp op grond van artikel 43, aanhef en onder e, van de Wbp buiten toepassing gelaten in zoverre het verzoek van [wederpartij] strekt tot mededeling van de namen van degenen die het medisch dossier in het Poliplus-systeem hebben geraadpleegd. Het UMCG heeft echter niet deugdelijk gemotiveerd waarom het buiten toepassing laten van artikel 35, tweede lid, van de Wbp in dit geval noodzakelijk is in het belang van de bescherming van de rechten en vrijheden van anderen. Zoals onder 2.4.3 is overwogen, geeft de Wbp aan een ieder het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt in de zin van artikel 1, aanhef en onder b, van de Wbp. Het belang bij een zodanig verzoek wordt door de Wbp verondersteld. Daarom en omdat het in dit geval verwerking van persoonsgegevens in het kader van een digitaal medisch dossier betreft, staat het belang van [wederpartij] om haar rechten op grond van artikel 35 en 36 van de Wbp uit te kunnen oefenen, zoals zij terecht betoogt, voorop. Met de enkele overweging in het besluit van 9 december 2010 dat ook een inbreuk op de privacy van medewerkers van het UMCG moet zijn voorzien bij de wet en moet voldoen aan de eisen van proportionaliteit en subsidiariteit heeft het UMCG niet een weging verricht die hieraan recht doet. Het betoog van [wederpartij] slaagt.

IT 597

Online betaaldienst

Vzr. Rechtbank 's-Gravenhage 6 december 2011, KG ZA 11-1183 (Stichting BREIN tegen Techno Design "Internet programming" B.V.) -  persbericht BREIN

Met dank aan Dirk visser, Marloes Bakker en Arnout Groen, Klos Morel Vos & Schaap.

Auteursrecht. Provider als tussenpersoon. Klantgegevens. Technodesign is een payment provider en biedt een online-betaaldienst aan met behulp waarvan bezoekers van een website betalingen kunnen verrichten aan de beheerder van de website. Op internet was tot voor kort een website beschikbaar die fungeerde als platform voor het uitwisselen van entertainmentbestanden, via zogenaamde torrents. BREIN heeft, zonder succes, getracht de identiteit van de verantwoordelijken te achterhalen omdat die naar haar oordeel met de website auteursrechtinbreuken door derden faciliteerden. Bezoekers konden tokens kopen waarmee ze gebruik konden maken van betere functionaliteiten en sneller konden downloaden. Voor de afhandeling van de betaling van de tokens worden diensten van Techno Design gebruikt.

Conform criteria uit de rechtspraak, waaronder Lycos/Pessers, moet Techno Design de gegevens van de verantwoordelijken verstrekken aan BREIN. Hieronder wordt verstaan de naw-gegevens, e-mail en ip-adressen en het bankrekeningnummer. De gegevens van personen die "anderszins als tussenpersoon tussen Techno Design en de verantwoordelijken voor de website diensten verlenen voor de verantwoordelijken voor de website" hoeven niet te worden overlegd. Dit alles onder last van een dwangsom ad €1.000 tot een maximum van €25.000. Techno Design wordt veroordeeld in de kosten ex liquidatietarief ad €1.466,81.

4.3. Naar voorlopig oordeel kan bij de beoordeling van de gevorderde gegevensverstrekking worden aangesloten bij de criteria die in de rechtspraak zijn ontwikkeld voor de beantwoording van de vraag onder welke omstandigheden een hosting provider identificerende gegevens van zijn klant moet verstrekken aan een derde die stelt dat die klant onrechtmatig jegens hem handelt via een door de provider gehoste website ([Lycos - Pessers]). In beide gevallen gaat het immers om een partij die gegevens wil hebben van een dienstverlener teneinde een klant van die dienstverlener te kunnen aanspreken op onrechtmatig gedrag.

a. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
b. de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens;
c. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen;
d. afweging van de betrokken belangen van de derde, de serviceprovider en de websitehouder (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

Zoals hierna per criterium zal worden toegelicht, moet toetsend aan die criteria voorhands worden geoordeeld dat op Techno Design een op maatschappelijke zorgvuldigheidnormen gebaseerde rechtsplicht rust om identificerende gegevens betreffende de verantwoordelijken te verstrekken aan BREIN.

4.4. Ten eerste staat voorshands vast dat via de onder 2.4 beschreven website (hierna: de website) structureel en grootschalig inbreuken zijn gepleegd op auteursrechten en naburige rechten van bij BREIN aangesloten rechthebbenden en dat ook de verantwoordelijken voor de website zelf grootschalig inbreuk hebben gepleegd op die rechten. Techno Design heeft dat niet betwist. Techno Design heeft ook niet bestreden dat er sprake is van “evident onrechtmatig handelen”, dat wil zeggen: handelen waarvan ook voor een derde die erop wordt gewezen, zoals Techno Design, duidelijk moet zijn dat het onrechtmatig is. In zoverre is de positie van Techno Design in dit geval minder lastig dan die van de gedaagde in de hiervoor genoemde Lycos – Pessers zaak. In die zaak ging het immers om handelingen waarvan de aangesproken provider volgens het hof niet zonder meer kon vaststellen of die onrechtmatig waren.

4.5. Ten tweede is niet in geschil dat BREIN een reëel belang heeft bij verkrijging van identificerende gegevens van de verantwoordelijken voor de website. BREIN heeft die gegevens immers nodig om die verantwoordelijken te kunnen aanspreken en aldus de voortdurende inbreuken op de rechten van de bij haar aangesloten partijen te kunnen stoppen. Dat belang bestaat ook nog na de verandering van de domeinnaam waaronder de website wordt gepubliceerd. Niet in geschil is namelijk dat de verantwoordelijken hun onrechtmatig gedrag onverminderd voortzetten onder de nieuwe domeinnaam.

4.6. Ten derde is voorhands niet aannemelijk dat BREIN in dit geval minder ingrijpende mogelijkheden heeft om de gevorderde gegevens te achterhalen. Het enige alternatief dat Techno Design naar voren heeft gebracht, is het starten van een procedure tegen de hosting provider. Dat alternatief is zowel voor de betreffende provider, als voor de personen op wie de gegevens betrekking hebben, naar voorlopig oordeel even ingrijpend als de onderhavige procedure. Techno Design heeft ook niet toegelicht waarom haar alternatief minder ingrijpend is. Bovendien heeft BREIN aangevoerd dat als het gaat om de verkrijging van gegevens, het effectiever is om een payment provider aan te spreken dan een hosting provider. Een payment provider zoals Techno Design moet op zijn minst bepaalde identificerende gegevens van zijn klanten bijhouden om de dienst te kunnen uitvoeren. Om de geïncasseerde gelden door te leiden naar haar klant moet Techno Design immers beschikking hebben over ten minste de naam en het rekeningnummer van die klant. Techno Design heeft ook niet bestreden dat zij over die gegevens beschikt. Een hosting provider daarentegen kan zijn diensten verrichten zonder identificerende gegevens van de klant en een eventuele betaling voor die dienst kan anoniem worden verricht. Volgens BREIN leert de ervaring dan ook dat de partijen die zich schuldig maken aan grootschalige inbreuken, doorgaans niet traceerbaar zijn op basis van de gegevens die hosting providers bijhouden. Ook dat heeft Techno Design niet bestreden. Gelet daarop kan naar voorlopig oordeel niet

4.7. Ten vierde moet naar voorlopig oordeel in dit geval het hiervoor genoemde belang van de bij BREIN aangesloten partijen om te kunnen optreden tegen de grootschalige inbreuken op hun rechten zwaarder wegen dan de belangen van de verantwoordelijken voor de website en de belangen van Techno Design. Het belang van de verantwoordelijken om anoniem te blijven prevaleert in dit geval niet. De verantwoordelijken opereren namelijk niet in de privé-sfeer, maar zijn in het economisch verkeer actief. Daarom moet hun identiteit duidelijk kunnen worden vastgesteld (vgl. HvJ EU 12 juli 2011, LJN BR3605, r.o. 142 (L’Oréal – eBay)). De dienst die zij aanbieden moet bovendien worden gekwalificeerd als een dienst van de informatiemaatschappij in de zin van artikel 3:15d lid 3 van het Burgerlijk Wetboek. BREIN heeft er naar voorlopig oordeel terecht op gewezen dat die diensten niet anoniem mogen worden aangeboden (art. 3:15d lid 1 sub a BW).

4.14. De proceskosten zullen niet worden begroot op basis van artikel 1019h van het Wetboek van Burgerlijke Rechtsvordering, alleen al omdat BREIN dat niet heeft gevorderd en zij geen overzicht van haar kosten in het geding heeft gebracht. De proceskosten zullen dus worden begroot op basis van het reguliere liquidatietarief, te weten op € 816,00 aan salaris advocaat, te vermeerderen met € 560,00 aan griffierecht en € 90,81 aan kosten deurwaarder.
IT 589

Categorisch en generiek uitsluit

HvJ EU 24 november 2011, zaak C-468/10(Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) en C-469/10 (Federación de Comercio Electrónico y Marketing Directo (FECEMD) tegen Administración del Estado)

Verwerking van persoonsgegevens. Artikel 7, sub f Richtlijn 95/46/EG heeft rechtstreekse werking”.

Artikel 7, sub f, van richtlijn 95/46/EG (...), moet in die zin worden uitgelegd dat het zich verzet tegen een nationale wettelijke regeling die, bij ontbreken van toestemming van de betrokkene, de mogelijkheid tot verwerking van diens persoonsgegevens, die noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de voor die verwerking verantwoordelijke of van de derde(n) aan wie de gegevens zullen worden meegedeeld, niet alleen afhankelijk stelt van de voorwaarde dat de fundamentele rechten en vrijheden van de betrokkene niet worden geschonden, maar ook van het vereiste dat de gegevens in voor het publiek toegankelijke bronnen zijn opgenomen, en aldus elke verwerking van gegevens die niet in dergelijke voor het publiek toegankelijke bronnen zijn opgenomen, categorisch en generiek uitsluit.

IT 582

Working with pigs, Komplett chaos

Kantonrechter Rechtbank Rotterdam 21 september 2011, LJN BU4848 (Lezen e-mail)

Ontbinding arbeidsovereenkomst wegens verstoorde arbeidsverhouding. Lezen e-mailberichten van werknemer door werkgever. Geen reglement. E-mailberichten aan een klant van, met daarin: "(..) I can tell you it is impossible tot work with pigs, and that is what I am facing now!”, en ook “(..) Das wissen wir auch night was da los ist, es ist hier ein komplett chaos.(..)”. Inbreuk op privacy werknemer in de gegeven omstandigheden gerechtvaardigd en proportioneel.

3.4 Volgens [verzoekster] zijn de uitlatingen van [verweerder] zeer beschadigend voor het bedrijf. Daarnaast getuigen de e-mails van dusdanig grensoverschrijdend gedrag aan de zijde van [verweerder], dat van [verzoekster] in redelijkheid niet kan worden verwacht het dienstverband nog langer te laten voortduren.

5.4 In onderhavig geval heeft [verzoekster] ten aanzien van het bestaan van een gerechtvaardigd doel voor controle van de e-mailberichten gesteld, dat er verdenkingen bestonden dat meer werknemers bij de malversaties van [verweerder] betrokken waren en dat daarom controle van de e-mailberichten noodzakelijk was. De kantonrechter overweegt dat het hier om controle van zakelijke e-mailberichten gaat, waarvoor geldt dat de werknemer, eerder dan bij privé e-mailberichten, mag verwachten dat de werkgever van de inhoud van deze e-mails kennis kan nemen. Tegen deze achtergrond en gezien de familiare betrekkingen tussen [verweerder] en zijn vader en het feit dat laatstgenoemde betrokken was bij de misstanden binnen [verzoekster], is de kantonrechter van oordeel dat [verzoekster] in de gegeven omstandigheden redelijkerwijs heeft kunnen besluiten om tot controle van de e-mailberichten van [verweerder] over te gaan. Derhalve wordt geoordeeld dat [verzoekster] een gerechtvaardig doel had voor controle van de zakelijke e-mailberichten van [verweerder]. De kantonrechter is voorts van oordeel dat het gekozen middel proportioneel is nu een minder belastend middel om de betrokkenheid van [verweerder] te controleren niet voorhanden was.

5.5 Gezien het voorgaande dient de inbreuk van [verzoekster] op de privacy van [verweerder] onder de gegeven omstandigheden als gerechtvaardigd en proportioneel te worden aangemerkt. Derhalve kunnen de door [verzoekster] in het geding gebrachte e-mailberichten worden meegenomen bij de beoordeling of sprake is van een dringende reden dan wel verandering in de omstandigheden.

IT 579

Luisterboeken

HvJ EU 17 november 2011, zaak C-461/10 (Bonnier Audio AB, Earbooks AB, Norstedts Förlagsgrupp AB, Piratförlaget Aktiebolag, Storyside AB tegen Perfect Communications Sweden AB ("ePhone") - dossier

Prejudiciële vragen Högsta domstol, Zweden. Auteursrechten en naburige rechten. Luisterboeken en bestanduitwisseling. Recht op doeltreffende bescherming van intellectuele eigendom. Handhavingsrichtlijn 2004/48/EG artikel 8 Bescherming van persoonsgegevens, elektronische communicatie en het bewaren van bepaalde gegenereerde gegevens, openbaarmaking van persoonsgegevens. Richtlijn 2002/58/EG: een vordering tot staking tegen een internet service provider, de naam en het adres van de gebruiker van een IP-adres informatie - artikel 15 - richtlijn 2006/24/EG - Artikel 4. bestanden delen

 

Vraag

Staat richtlijn 2006/24/EG [...gegevensbewaring], in de weg aan de toepassing van een op artikel 8 van [handhavings]richtlijn 2004/48/EG gebaseerde nationale bepaling volgens welke in een civielrechtelijke procedure een internetprovider met het oog op de identificatie van een abonnee kan worden gelast aan een auteursrechthouder of diens vertegenwoordiger informatie te verstrekken over de abonnee aan wie de internetprovider het IP-adres heeft toegewezen dat is gebruikt om inbreuk te maken op het auteursrecht, wanneer de verzoeker een duidelijk bewijs van de inbreuk op een bepaald auteursrecht heeft overgelegd en die maatregel in overeenstemming is met het evenredigheidsbeginsel?

Heeft de omstandigheid dat de lidstaat de richtlijn bewaring van gegevens nog niet in nationaal recht heeft omgezet ofschoon de termijn daarvoor is verstreken, invloed op het antwoord op vraag 1?

Conclusie AG - lees verder voor computervertaling

63. Nach alledem schlage ich dem Gerichtshof vor, auf die Vorlagefragen des Högsta domstol wie folgt zu antworten: Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG gilt nicht für die Verarbeitung personenbezogener Daten für andere als die in Art. 1 Abs. 1 dieser Richtlinie genannten Zwecke. Demzufolge steht diese Richtlinie der Anwendung einer nationalen Vorschrift nicht entgegen, nach der in einem zivilrechtlichen Verfahren einem Internetdienstleister zu dem Zweck, einen bestimmten Teilnehmer identifizieren zu können, aufgegeben wird, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP‑Adresse zugeteilt hat, von der aus die Verletzung begangen worden sein soll. Diese Angaben müssen jedoch gemäß detaillierten nationalen Rechtsvorschriften, die unter Beachtung der für den Schutz personenbezogener Daten geltenden unionsrechtlichen Bestimmungen erlassen worden sind, im Hinblick auf ihre Weitergabe und Verwendung zu diesem Zweck auf Vorrat gespeichert worden sein. In Anbetracht der Antwort auf die erste Frage ist die zweite Frage gegenstandslos geworden.

Computergestuurde vertaling

Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG is niet van toepassing op de verwerking van persoonsgegevens voor andere dan de genoemde doeleinden als bedoeld in artikel 1, paragraaf 1 van deze richtlijn. Daarom staat de richtlijn de toepassing van een nationale bepaling niet in de weg, in het kader van een civiele procedure, om een specifieke abonnee te identificeren, indien de rechter opdracht gaf aan een internet service provider bekend te maken aan de houder van het auteursrecht, of zijn rechtverkrijgende, informatie over de identiteit van de abonnee aan wie de handelaar heeft toegewezen een IP-adres dat zou zijn gebruikt om dat recht te bewerkstelligen. Toch moet deze informatie in overeenstemming met gedetailleerde nationale wetgeving, die is aangenomen in overeenstemming met de EU-wetgeving inzake de bescherming van persoonsgegevens worden, opgeslagen in het kader van distributie en het gebruik voor dit uiteindelijke doel. Gelet op het antwoord op de eerste vraag, is de tweede vraag niet relevant.

IT 565

BSN verzameld door PVV

Antwoord vragen van het lid Schouw over het bericht ‘PVV verzamelt privé-gegevens journalisten’ Aanhangsel Handelingen II 2011-2012, 505.

1 Bent u bekend met het bericht dat de Partij Voor de Vrijheid van journalisten – in opdracht van de Dienst Koninklijke en Diplomatieke Bescherming (DKDB) – het Burgerservicenummer (BSN) zou vragen als vereiste voor het bijwonen van persconferenties?

Het is juist dat de PVV op verzoek van de Dienst Koninklijke en Diplomatieke Bescherming (DKDB) van het Korps Landelijke Politiediensten gegevens vraagt aan bezoekers van bijeenkomsten. Het gaat daarbij om partijbijeenkomsten en persconferenties, waarbij toegangscontrole is in verband met de beveiliging van de heer Wilders.

Bij bewaken en beveiligen staat het veilig en ongestoord functioneren van de te beveiligen persoon voorop. Bij een publiek optreden van de te beveiligen persoon in een afgesloten gebied of ruimte kunnen door bepaalde vormen van toegangscontrole, waaronder een screening vooraf van de deelnemers, eventuele veiligheidsrisico’s eerder in beeld worden gebracht zodat kan worden gezorgd voor een maximale bewegingsvrijheid van de heer Wilders. Om deze reden zijn persoonsgegevens van bezoekers noodzakelijk. Indien er op basis van naslag van deze persoonsgegevens sprake is van een mogelijk risico voor de veiligheid van de heer Wilders, dan adviseert de DKDB aan de PVV de betrokken bezoeker niet toe te laten. Er worden daarbij geen nadere gegevens over de betrokken persoon verstrekt. Het is vervolgens aan de partij om de bezoeker wel of niet uit te nodigen.

In artikel 2, tweede lid, van de Wet bescherming persoonsgegevens (Wbp) is bepaald dat die wet niet van toepassing is bij de uitvoering van de politietaak. Onder de politietaak wordt ook het waken voor de veiligheid van personen begrepen.

Het BSN is een doelmatig middel om de verstrekte gegevens te verifiëren. De DKDB als onderdeel van de politie is bevoegd dat nummer te gebruiken (artikel 10 van de Wet algemene bepalingen burgerservicenummer).

De gegevens werden via de PVV opgevraagd omdat dit de meest doelmatige manier is voor alle betrokken partijen: zowel voor de deelnemer, als voor de organisator en de DKDB. Voor de goede orde wil ik nog benadrukken dat de betrokkenen de gegevens vrijwillig verstrekken.

Inmiddels heb ik er voor gekozen dat er voortaan geen Burgerservicenummers meer via de PVV worden opgevraagd, maar zal ik samen met de DKDB een meer transparante werkwijze opstellen.