Privacy

IT 532

Privacy in Journalistiek

RvdJ 30 september 2011, nr. 2011/65 (Mariko Peters en R. Kluijver tegen hoofdredacteur van HP/De Tijd)

Privacy in Journalistiek. In HP/De Tijd van 5 augustus 2011, verschenen op 3 augustus 2011, is een artikel van de hand van Witteman gepubliceerd met de kop “Het Kamerlid, de liefde & de ontvoering” (link login). Het artikel is op de voorpagina van het weekblad aangekondigd met de ankeiler “GroenLinks-Kamerlid Mariko Peters - Medeplichtig aan kinderontvoering”.
In de inhoudsopgave is vermeld: “Het GroenLinks-Kamerlid heeft een probleem. Ze verleent onderdak aan de kinderen van haar partner, die volgens de rechter bij hun moeder moeten wonen. Dat maakt haar medeplichtig aan ontvoering.

Het artikel raakt niet alleen de persoonlijke levenssfeer van Peters, maar ook die van Kluijver. De Raad ziet zich dan ook voor de vraag gesteld of met het gewraakte artikel een inbreuk is gemaakt op de privacy van beide klagers afzonderlijk, die niet in redelijke verhouding staat tot het maatschappelijk belang van de publicatie. In dat verband zal de Raad beoordelen of voldoende zorgvuldig onderzoek naar de feiten is verricht en deugdelijk wederhoor is toegepast.

Ten aanzien van de inbreuk op de privacy van Peters overweegt de Raad ten slotte dat zij een openbare functie bekleedt. Voor mensen met publieke c.q. min of meer openbare functies is een zekere mate van blootstelling aan ongewilde publiciteit onvermijdelijk. Hun gedrag in de privésfeer heeft recht op bescherming tegen ongewilde inbreuken, tenzij dat gedrag aantoonbaar van invloed is op hun publiek functioneren. (zie punt 2.4.2. van de Leidraad)

Gelet op hetgeen de Raad eerder heeft overwogen ten aanzien van de maatschappelijke relevantie van de publicatie, moet worden geconcludeerd dat de privacy van Peters in dit geval niet disproportioneel is geschaad.

Beslissing:
De klacht is gegrond voor zover:
-          beschuldigingen over kinderontvoering aan het adres van klagers zijn gepubliceerd zonder deugdelijk onderzoek;
-          Kluijver geen gelegenheid tot wederhoor is geboden.
Voor het overige is de klacht ongegrond.
 
De Raad verzoekt verweerders deze beslissing integraal of in samenvatting in HP/De Tijd te publiceren.

IT 528

OPTA hoef geen langere termijn te gunnen voor gebruikmaking DigiNotar

Rechtbank 's-Gravenhage 27 september 2009, LJN BT6781 (Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders, Koninklijke Notariële Beroepsorganisatie c.s. tegen OPTA)

OPTA hoeft notarissen en gerechtsdeurwaarders geen langere termijn - dan de reeds gegunde twee weken - te gunnen om gebruik te kunnen blijven maken van door Diginotar - van wie het systeem is "gehackt" - afgegeven gekwalificeerde certificaten met het oog op het rechtsverkeer met het Kadaster. Uit artikel 2.2 lid 4 van de Telecommunicatiewet ("Tw") volgt dat die certificaten onmiddellijk c.q. zo snel mogelijk moeten worden ingetrokken. Dat klemt hier te meer nu na de "hackeractiviteiten" de betrouwbaarheid van de certificaten niet meer voor de volle 100% kan worden gegarandeerd. Beroep op artikel 2.2. lid 4 aanhef en onder c Tw gaat niet op. Belangenafweging valt uit in het voordeel van OPTA.

4.6. Voor zover eisers zich hebben beroepen op het bepaalde in artikel 2.2 lid 4 aanhef en onder c Tw, gaat de voorzieningenrechter daaraan voorbij. Blijkens de parlementaire geschiedenis kan slechts sprake zijn van het stellen van een termijn in geval van mogelijke - tijdelijke of incidentele - niet-naleving van bepaalde vereisten die de betrouwbaarheid van een gekwalificeerd certificaat niet direct in twijfel trekken teneinde de betreffende dienstverlener in de gelegenheid te stellen alsnog aan de eisen te voldoen (Kamerstukken II, 2000/01, 27 743, nr. 3, p. 21). Die situatie is hier niet aan de orde. De overtreding waaraan Diginotar zich schuldig heeft gemaakt brengt immers mee dat de door haar uitgegeven gekwalificeerde certificaten niet meer als volledig betrouwbaar kunnen worden aangemerkt. Bovendien valt niet in te zien dat Diginotar alsnog aan de eisen zou kunnen voldoen. Haar systeem is immers blijvend gecorrumpeerd. In het Besluit heeft OPTA - onder 65 en 66 - ook gemotiveerd aangegeven waarom geen termijn in de zin van voormelde bepaling is gegund.

4.7. Voor het geval OPTA in het Besluit - ondanks de vaststelling daarin (onder 62) dat door de beëindiging van de registratie van Diginotar circa 4.200 gebruikers geen gebruik meer kunnen maken van gekwalificeerde certificaten - geen rekening heeft gehouden met de belangen van eisers, moet worden aangenomen dat indien OPTA dat wel had gedaan de beslissing niet anders zou zijn uitgevallen, ook niet voor wat betreft de termijn van intrekking van de certificaten. Het belang van OPTA bij veilige en betrouwbare gekwalificeerde certificaten moet namelijk als zwaarwegender worden aangemerkt dan het belang van eisers, dat kort gezegd neerkomt op het voorkomen van een verhoging van de kosten verbonden aan de inschrijving van notariële akten en beslagen in het Kadaster. Dat klemt te meer nu de kostenstijging - die per akte/beslag beschouwd als redelijk overzienbaar moet worden aangemerkt - slechts tijdelijk is (tot omstreeks 1 november 2011) en verhaalbaar is op de opdrachtgever. Aan het voorgaande doet niet af dat - zoals eisers stellen - het risico op fraude aan de hand van een vervalst gekwalificeerd certificaat uiterst minimaal is, wat daar verder ook van zij. Over de veiligheid en betrouwbaarheid van een gekwalificeerd certificaat mag immers geen enkele twijfel bestaan, hetgeen niet meer opgaat voor de door certificaten van Diginotar na het "hacken" van haar systeem.

4.8. De slotsom is dat de vordering van eisers zal worden afgewezen. Daarbij merkt de voorzieningenrechter nog op dat hij inziet dat het niet meer digitaal kunnen inschrijven van notariële akten en beslagen de nodige ongemakken meebrengt voor de notarissen en de gerechtsdeurwaarders. Dat is echter onvoldoende om tot een ander oordeel te kunnen leiden.

IT 522

Verplichte lakmoesproef

Commentaar in't kort door Silvia van Schaik en Wouter Seinen, C'M'S' Derks Star Busmann.
In navolging van Hoge Raad 9 september 2011, IT 492

De belangenafweging als verplichte lakmoesproef voor de wettelijke rechtvaardigingsgronden voor verwerking van persoonsgegevens

Onlangs heeft de Hoge Raad een principiële uitspraak gedaan over de toetsing van de rechtvaardigingsgronden die in de Wet bescherming persoonsgegevens (Wbp) zijn opgenomen. Het ging om de vraag bij welke van de wettelijke verwerkingsgronden ruimte bestaat voor een belangenafweging. In cassatie werd namelijk aangevoerd dat een dergelijke belangenafweging wel hoort plaats te vinden bij een beroep op artikel 8 sub f Wbp (noodzakelijk voor de behartiging van gerechtvaardigde belangen), maar niet bij een beroep op bijvoorbeeld art. 8 b (noodzakelijk voor uitvoering overeenkomst).
 
Hoe luidt de casus?
Een natuurlijk persoon (Kredietnemer) had al 9 jaren een doorlopend krediet bij Santander. In juni 2007 heeft Kredietnemer een betalingsachterstand van € 20,- opgelopen, waardoor uiteindelijk zijn volledige restschuld - van € 315,18 – opeisbaar werd. Zowel de betalingsachterstand als het opeisbaar worden van de restschuld werden vervolgens door Santander gemeld bij het Bureau Kredietregistratie (BKR) conform het BKR-reglement. In oktober 2007 betaalt Kredietnemer de volledige vordering aan Santander.

Ongeveer een jaar later verneemt Kredietnemer van de BKR-registraties en verzoekt hij Santander om ongedaanmaking. Santander geeft aan dit verzoek geen gevolg.

Verwijdering BKR-registraties op grond van de Wbp
Kredietnemer wendt zich daarop tot de rechtbank met een beroep op de Wbp. De rechtbank en daarna het hof oordelen dat Santander de BKR-registraties moet (laten) verwijderen. Santander stelt cassatie in.

De Wbp bepaalt onder welke voorwaarden persoonsgegevens mogen worden verwerkt. Eén van die voorwaarden is dat een verwerking van persoonsgegevens alleen toegestaan is als deze terug te voeren is op één van de in art. 8 Wbp (limitatief) genoemde grondslagen. Art. 8 Wbp luidt:

Persoonsgegevens mogen slechts worden verwerkt indien:
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

De hoofdvraag in deze procedure, is of bij een verwerking van persoonsgegevens altijd een belangenafweging tussen het belang van registratie en het belang van de betreffende persoon moet worden gemaakt of alleen in geval van een registratie op grond van art. 8 sub f Wbp.

Belangenafweging
Kredietnemer heeft kennelijk betoogd dat bij de BKR-registraties onvoldoende rekening met zijn belangen was gehouden. Volgens Santander was een belangenafweging alleen vereist wanneer art. 8 sub f van toepassing is en niet wanneer de verwerking is gebaseerd op een andere grondslag uit art. 8 Wbp. Zij betoogde dat haar verwerking was gebaseerd op art. 8 sub a, b en/of c Wbp en dat zij daarom geen belangenafweging hoefde te maken.

De Hoge Raad is het daar niet mee eens: de “verantwoordelijke” moet altijd een belangenafweging maken.

Bij elke gegevensverwerking moet worden voldaan aan de beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het doel van de verwerking. Ook is vereist dat het doel niet op een andere, voor de betrokkene minder nadelige, wijze kan worden bereikt. De aanwezigheid van een wettelijke rechtvaardigheidsgrond uit art. 8 Wbp maakt een afweging van deze belangen niet overbodig. Bij de afweging moeten alle omstandigheden van het geval in aanmerking worden genomen. Dat Santander wettelijk verplicht is om zich aan te sluiten bij een stelsel van kredietregistratie en dat dat met zich meebrengt dat zij zich moet houden aan het BKR-reglement en daarom verplicht was om de onregelmatigheden te melden, maakt dat niet anders.

De taak om een wettelijke verplichting uit te voeren, rechtvaardigt niet iedere gegevensverwerking (r.o. 3.5.2). Ook de argumenten met betrekking tot het doel van de kredietregistratie helpen Santander niet. Het doel van registratie had tegen de gevolgen ervan voor betrokkene moeten worden afgewogen in het licht van de omstandigheden. Omstandigheden als het langdurig correcte betaalgedrag, de geringe betaalachterstand en het direct voldoen van de gehele openstaande vordering nadat deze bij Kredietnemer bekend was, brengen volgens het hof met zich mee dat de belangenafweging ten gunste van Kredietnemer uitvalt. De Hoge Raad schaart zich acht het oordeel van het hof dat Santander in redelijkheid niet tot registratie over had moeten gaan, althans na het door betrokkene geuite bezwaar de registratie alsnog had moeten verwijderen.

Toestemming
Overigens bevat de uitspraak nog een opmerkelijke overweging over toestemming. Wanneer betrokkene toestemming heeft gegeven voor een verwerking (art. 8 sub a Wbp), mag de verwerking in beginsel plaatsvinden. Echter, ook toestemming ontslaat de verantwoordelijke niet zonder meer van de verplichting tot het maken van een belangenafweging. Wanneer de betrokkene erop wijst dat met zijn belangen onvoldoende rekening is gehouden, moet de verantwoordelijke in ieder geval alsnog een belangenafweging maken, volgens de Hoge Raad (r.o. 3.3. onder (e)).

Onduidelijk is hoe dit laatste zich nu precies verhoudt tot intrekking van toestemming. Toestemming kan namelijk op grond van art. 5 lid 2 Wbp worden ingetrokken. Over het algemeen wordt aangenomen dat de verantwoordelijke na het intrekken van een toestemming de gegevensverwerking die op die toestemming gebaseerd is, moet stoppen. Men kan de verwerking niet na intrekking alsnog baseren op een andere verwerkingsgrond. Dat zou in strijd zijn met het beginsel van “fair processing” dat is verankerd in art. 6 Wbp (MvT, Kamerstukken II 1997/98, 25892, nr. 3, p.80-81).

Volgens de A-G hebben het hof en de rechtbank “klaarblijkelijk en terecht” uit de opstelling van Kredietnemer de intrekking van een (eventueel) gegeven toestemming afgeleid (r.o. 4.4). De Hoge Raad benadrukt alleen dat bij een verwerking op basis van toestemming een belangenafweging in ieder geval dient plaats te vinden wanneer de betrokkene erop wijst dat met zijn belangen onvoldoende rekening is gehouden (r.o. 3.3 onder (e)). Is dat daadwerkelijk iets anders dan het intrekken van een toestemming? De Hoge Raad heeft hiermee o.i. de deur opengezet voor een belangenafweging na intrekking van een toestemming. Tot nu toe werd aangenomen dat een toestemming altijd kan worden ingetrokken en dat de verantwoordelijke daarna de verwerking onmiddellijk moet stoppen. Uit de uitspraak leiden wij af dat de verantwoordelijke na een intrekking alsnog een belangenafweging moet maken en de verwerking dus niet altijd hoeft te stoppen. Kennelijk kan, in geval van intrekking van toestemming, een belangenafweging er (onder omstandigheden) toe leiden dat een verdere verwerking toch rechtmatig blijft.

IT 520

NVVIR FLITS 13 oktober 2011: Datalekken

De laatste tijd lijkt het aan de orde van de dag: datalekken. Webwereld organiseert zelfs Lektober. Soms zijn de datalekken klein, maar soms ook groot. DigiNotar heeft het niet overleefd (IT 509), en ondertussen hebben we de miljoenennota ook bijna een week voor prinsjesdag al kunnen lezen (hier). Mede vanwege dit soort incidenten staan datalekken hoog op de agenda van toezichthouders en wetgevers. Als gevolg van een gewijzigde Europese richtlijn, zijn telecom providers straks verplicht datalekken direct bij de OPTA te melden. Een geplande wijziging van de Wet bescherming persoonsgegevens zal een bredere meldplicht introduceren, waar bijvoorbeeld ook banken en andere dienstverleners zich aan moeten houden. Ondertussen roert ook het College Bescherming Persoonsgegevens zich: bedrijven van wie de klantgegevens op straat komen te liggen hebben wat uit te leggen.

In deze bijeenkomst gaan wij dieper in op het fenomeen datalekken. Een cybersecurity deskundige van Fox-it zal eerst de technische kant van datalekken toelichten. Een spreker van Bits of Freedom laat vervolgens haar kritische licht schijnen over het fenomeen datalekken. En Huub de Jong van Bird & Bird LLP en Milica Antic van SOLV zullen tenslotte ingaan op juridische aspecten, de rol van toezichthouders en de status van (toekomstige) wetgeving.

Datum: donderdag 13 oktober.
Duur: van 15.30 uur (aanvang) tot ongeveer 18.00, en daarna borrel.
Locatie: Bird & Bird, Van Alkemadelaan 700 (2597 AW) te Den Haag.
Kosten: NVVIR leden EUR 0,= / niet-leden EUR 45,=.
 
Aanmelden via: ella.meijaard@twobirds.com

IT 518

Handhavingsbeleid Cbp

Aanhangsel Handelingen II, 2011-12, nr. 86; 2011Z16964 Antwoord vragen Van Dam en Recourt over inbreuk op de privacy door LinkedIn

2. Hanteert het College bescherming persoonsgegevens (Cbp) specifieke richtlijnen voor de omgang met en het beschermen van persoonsgegevens door sociale netwerksites? Zo ja, wat zijn deze regels? Zo nee, waarom niet? Bent u in dat laatste geval voor of tegenstander van nadere regelgeving?

Desgevraagd heeft het Cbp mij laten weten dat het de volgende richtlijnen hanteert met betrekking tot de omgang en het beschermen van persoonsgegevens door sociale netwerksites:

  • de standaardinstellingen van sociale netwerksites dienen op privacyvriendelijk te staan;
  • voor de beoordeling van de vraag of sprake is van ondubbelzinnige toestemming van de betrokkene, zoals vereist in de Wet bescherming persoonsgegevens (Wbp) dient de toestemming in vrijheid gegeven te zijn en specifiek op een bepaalde gegevensverwerking betrekking te hebben;
  • de betrokkene dient vooraf over de noodzakelijke inlichtingen te beschikken om de toestemming te kunnen geven;
  • het uitblijven van een reactie (opt-out) staat niet gelijk aan het geven van toestemming.
    Voornoemde uitgangspunten zijn tevens terug te vinden in een gemeenschappelijk standpunt over het begrip toestemming van 13 juli 2011 van de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep (zie met name pagina 35).1

3. Deelt u de mening dat, los van deze specifieke casus, het principeel onjuist is indien sociale netwerksites persoonlijke gegevens van hun gebruikers zonder (expliciete) toestemming vooraf voor reclame dan wel andere commerciële doeleinden gebruiken?
Eén van de eisen die de Wbp stelt aan de verwerking van persoonsgegevens is de aanwezigheid van een grondslag voor de gegevensverwerking. De Wbp bevat een aantal rechtsgeldige grondslagen, waaronder ondubbelzinnige toestemming van de betrokkene voor de verwerking. Sociale netwerksites moeten zich bij de verwerking van persoonsgegevens te allen tijde houden aan de eisen van de Wbp.

4. Deelt u tevens de mening dat, indien het sociale netwerksites binnen de huidige richtlijnen van het Cbp is toegestaan accountinstellingen van hun gebruikers ongevraagd te wijzigen teneinde persoonsgegevens te gebruiken voor commerciële doeleinden, dit ongewenst is? Zo ja, bent u bereid het Cbp op te dragen deze te wijzigen. Zo nee,
waarom niet?

Het Cbp vult haar toezicht- en handhavingsbevoegdheden nader in via handhavingsbeleid. Met betrekking tot de omgang met en bescherming van persoonsgegevens door sociale netwerksites hanteert het Cbp richtlijnen zoals in mijn antwoord op vraag 2 weergegeven. Daaruit leid ik af dat het Cbp al diverse kwalitatieve eisen stelt aan de omgang van en de bescherming van persoonsgegevens door sociale netwerksites, in het bijzonder waar het de invulling van het begrip
ondubbelzinnige toestemming betreft.
Overigens heeft het Cbp een wettelijk gegarandeerde onafhankelijke positie. Gelet hierop beschik ik
niet over bevoegdheden om het Cbp voor te schrijven hoe zich te gedragen in individuele
toezichtszaken.

1 Zie http://www.cbpweb.nl/downloads_int/wp187_en.pdf

IT 516

Tool om social media gedragscode op te stellen

Vanaf vandaag kan ieder bedrijf eenvoudig en kostenloos zijn eigen social media gedragscode opstellen met de Social Media Policy Generator op Policygenerator.nl. Na het beantwoorden van een aantal vragen ontvangt een bedrijf een gepersonaliseerde gedragscode voor het gebruik van social media door zijn medewerkers. Hiermee wordt gestimuleerd dat uitingen van medewerkers via social media bijdragen aan de positieve uitstraling van een bedrijf, terwijl tegelijkertijd het risico op imagoschade wordt vermeden. De tool is door MarketingMonday ontwikkeld omdat een dergelijke policy nog niet in alle bedrijven aanwezig is, maar wel noodzakelijk.

BRON: MarketingMonday en PolicyGenerator.nl

IT 504

Standpunt telemarketing OPTA

De interpretatie en toepassing van telemarketingregels, waarvoor de OPTA verantwoordelijkheid draagt, worden door haar uitgelegd vanuit de (handhavings)praktijk. Zie hier, eerdere standpunte werd in 2006 ingenomen, zie hier

 


IT 495

Het is niet aan mij

Antwoord van staatssecretaris Teeven (Veiligheid en Justitie), AH 3519 2011Z16031

1 Kent u het artikel “Hoe LinkedIn leden en reclame linkt”?1 (www.volkskrant.nl, 4 augustus 2011) Herinnert u zich de eerdere Kamervragen over sociale netwerksites die inbreuk maken op de Wet bescherming persoonsgegevens? 2 (Aanhangsel Handelingen, vergaderjaar 2008-2009, nr. 912)

1 Antwoord Ja.

2 Is het waar dat de netwerksite LinkedIn accountinstellingen van gebruikers zo heeft veranderd dat foto's en namen van leden ongevraagd voor reclames kunnen worden gebruikt? Zo ja, acht u dit een inbreuk op de Wet bescherming persoonsgegevens? Wordt hiertegen opgetreden door het College bescherming persoonsgegevens? Wat kunnen gebruikers van LinkedIn hiertegen doen? Zo nee, waarom niet?
3 Deelt u de mening dat het automatisch toestemming geven voor het gebruik van gegevens door gebruikers van LinkedIn of andere sociale netwerken ongewenst is en dat er expliciet om toestemming zou moeten worden gevraagd? Zo ja, hoe gaat u er zorg voor dragen dat deze praktijk wordt aangepast? Zo nee, waarom niet?
4 Heeft LinkedIn naar uw mening genoeg gedaan om gebruikers te informeren over de genoemde verandering? Zo ja, waar blijkt dat uit? Zo nee, waarin is LinkedIn naar uw mening tekortgeschoten?

Antwoorden 2, 3 en 4 Uit voornoemd artikel maak ik op dat LinkedIn recent gebruikersinstellingen zou hebben gewijzigd, waardoor persoonsgegevens van gebruikers voor advertenties gebruikt konden worden. Uit diverse berichtgeving in de media nadien leid ik af dat LinkedIn te kennen gegeven heeft dat de gebruikersinstellingen inmiddels aangepast zijn, zodat geen namen en foto’s van gebruikers meer zichtbaar zijn in advertenties.

De Wet bescherming persoonsgegevens (Wbp) stelt eisen aan de verwerking van persoonsgegevens. Op grond van artikel 8 van de Wbp mogen slechts persoonsgegevens worden verwerkt als er een grond voor gegevensverwerking aanwezig is. Eén van de gronden voor rechtsgeldige gegevensverwerking is ondubbelzinnige toestemming van de betrokkene voor de gegevensverwerking. Ingevolge de artikelen 33 en 34 van de Wbp heeft de verantwoordelijke voor de gegevensverwerking een informatieverplichting richting de betrokkene. De Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, hebben in een gemeenschappelijk standpunt van 13 juli 2011 aanbevelingen opgesteld over het begrip toestemming, waarmee een verantwoordelijke voor de gegevensverwerking rekening kan houden3 (Zie http://www.cbpweb.nl/downloads_int/wp187_en.pdf). 

Het College bescherming persoonsgegevens (Cbp) is belast met het toezicht op de naleving van de Wbp en kan bij een geconstateerde overtreding handhavend optreden. Het is niet aan mij om te oordelen over de vraag of in een individueel geval aan de vereisten van de Wbp wordt voldaan. Betrokkenen die van mening zijn dat er sprake is van een schending van de Wbp kunnen een klacht indienen bij het Cbp.