Privacy

IT 393

Recht van verzet ook in hoger beroep overeind

Hof Amsterdam 15 februari 2011, LJN BQ4006 (appelant tegen Nationale Postcode Loterij)

Met dank aan Herwin Roerdink, Van Doorne.

In navolging van IT 155. Verwijdering persoonsgegevens. Appelant verzocht verwijdering uit alle bestanden van de Nationale Postcode Loterij (NPL), waaronder het door de NPL aangehouden post-/mailweigeraarsbestand. Dit verzoek werd door de Rechtbank Amsterdam afgewezen. In hoger beroep bekrachtigt het hof deze beschikking. Immer om uitvoering te geven aan recht van verzet, is NPL verplicht een weigeraarsbestand aan te houden om te voorkomen dat de betrokkene (weer) wordt benaderd voor commerciële doeleinden, geen bestand zoals art. 41  Wbp.

3.4 In hoger beroep beperkt [appellant] zijn verzoek tot het mailweigeraarsbestand van NPL. Het beroep richt zich in de kern tegen het oordeel van de rechtbank dat het recht van verzet als bedoeld in artikel 41 Wbp zich niet uitstrekt tot het postweigeraarsbestand van NPL omdat dit geen commercieel doel dient. Volgens [appellant] dient het aanhouden van een weigeraarsbestand wel een commercieel doel omdat dit een instrument is waarmee het aanschrijven van non-respondenten, zijnde een verliespost, voorkomen wordt. Voorts heeft [appellant] tijdens de mondelinge behandeling aangevoerd dat gelet op de woorden “in verband met” in de tekst van artikel 41 Wbp (“Indien gegevens worden verwerkt in verband met…” ) een weigeraarsbestand hieronder valt.
Subsidiair doet [appellant] een beroep op de overige artikelen van de Wbp, meer in het bijzonder op artikel 35 juncto 36 Wbp.

3.5 Het hof oordeelt als volgt.
Artikel 41 Wbp is een uitvloeisel van de keuze van de wetgever voor een systeem waarbij degene wiens gegevens worden verwerkt met het oog op werving voor commerciële doeleinden hiertegen bezwaar kan maken. Om uitvoering te kunnen geven aan dit recht van verzet is de verantwoordelijke, zoals NPL, verplicht om een weigeraarsbestand aan te houden om te voorkomen dat de betrokkene, zoals [appellant], (weer) wordt benaderd voor commerciële doeleinden. Naar ’s hofs oordeel legt NPL conform haar wettelijke plicht terecht een weigeraarsbestand aan. Indien, zoals [appellant] betoogt, het aanhouden van een weigeraarsbestand een commercieel doel zou dienen en daartegen dus de mogelijkheid van verzet zou openstaan, zou daarmee de nakoming door NPL van haar wettelijke plicht illusoir worden. Het weigeraarsbestand kan daarom niet worden aangemerkt als een bestand als bedoeld in artikel 41 Wbp.
Ook overigens ziet het hof in de tekst van artikel 41 Wbp geen aanknopingspunten voor de door [appellant] voorgestane uitleg.

3.6 Een beroep op artikel 36 Wbp kan evenmin slagen. Dit artikel heeft betrekking op vermelding van onjuiste persoonsgegevens. Niet gesteld of gebleken is dat daarvan in dit geval sprake is. Voor zover [appellant] een beroep doet op schending door NPL van enig ander artikel uit de Wbp, faalt dit beroep bij gebreke van enige feitelijke onderbouwing.

Lees de uitspraak hier (link / pdf)

IT 391

Deense privacytoezichthouder staat gebruik Google cloud niet toe

Met dank aan Mark Jansen, Dirkzwager advocaten & notarissen (zie eerder hier).

Op verzoek van de Deense gemeente Odense heeft de Deense privacytoezichthouder geoordeeld over de vraag of het gebruik van Google Apps te verenigen is met het privacyrecht. De toezichthouder concludeert dat dit niet het geval is.

De gemeente Odense wilde haar leraren gebruik laten maken van Google Apps (de verzameling van Google producten, zoals Google Docs, Google Maps, etc.) voor onder meer het registreren van lesroosters, het toetsen van leerontwikkeling van leerlingen en het communiceren met andere leraren, leerlingen en hun ouders. Hiervoor vraagt ze advies aan de Deense privacytoezichthouder: Datatilsynet.

Het oordeel van de Deense toezichthouder is interessant, omdat de Deense privacywet, net als de Nederlandse privacywetgeving, voorkomt uit dezelfde EU privacyrichtlijn. Het zou dus heel goed kunnen dat het Nederlandse College Bescherming Persoonsgegevens soortgelijk over een dergelijke kwestie oordeelt.

Datatisynet concludeert dat de privacybescherming bij gebruik van de cloud computing oplossing Google Apps onvoldoende gewaarborgd is. Meer specifiek signaleert zij de volgende vijf aandachtspunten:

  1. Export van data buiten de EER;
  2. Het ontbreken van een goede risico-inventarisatie;
  3. Eisen die worden gesteld aan de bewerkersovereenkomst;
  4. Eisen rond het verwijderen van data;
  5. Overige eisen die het privacyrecht stelt.

Deze zal ik hierna kort behandelen.

1. . Export van data buiten de EER

Persoonsgegevens mogen in beginsel niet naar buiten de EER (Europese Economische Ruimte) worden geexporteerd, tenzij er sprake is van export naar een land dat een voldoende passend beschermingsniveau heeft. Datatisynet concludeert dat niet alle datacentra van Google in landen in de EER of in landen met zo’n passend beschermingsniveau staan.

The transmission of data to data centres located in other insecure third countries than the USA, may only occur if the conditions in Section 27(3) or Section 27(4) of the Act on Processing of Personal Data are met. It has not been stated whether all of Google Inc.’s data centres in Europe are located within the EU/EEA.

Based on the information presented, it must be assumed that there is not the necessary compliance with Section 27(3) to transfer data to such data centres.

Dat betekent dat deze data-export alleen is toegestaan onder specifieke nadere voorwaarden. Er moet een modelovereenkomst worden gesloten en er moet toestemming worden gevraagd aan de toezichthouder. Dergelijke voorwaarden gelden naar Nederlands recht ook.

If data centres in Europe – but outside of the EU/EEA – are to be used, Odense Municipality and the individual data centres may enter into an agreement based on the EU Commission’s standard contractual clauses, or Odense Municipality may grant Google Ireland Limited a clear mandate to enter into agreements, in Odense Municipality’s name and on behalf of Odense Municipality, based on the EU Commission’s standard contractual clauses with the individual data centres. In addition, it would be necessary to apply for authorisation from the Danish Data Protection Agency pursuant to Section 27(4) of the Act on Processing of Personal Data.

2.  Het ontbreken van een goede risico-inventarisatie

Naar Deens recht is het kennelijk zo dat een verantwoordelijke een inventarisatie moet maken van de veiligheidsrisico’s wanneer persoonsgegevens worden geexporteerd. Volgens Datatisynet voldoet de inventarisatie die de gemeente gemaakt heeft niet aan de eisen die de toezichthouder daar aan stelt.

Een dergelijke verplichting staat niet zo letterlijk in de Nederlandse wet, maar een verantwoordelijke is wel in het algemeen verplicht om passende beveiligingsmaatregelen te nemen die er onder meer toe bijdragen dat persoonsgegevens overeenkomstig de wet worden verwerkt (artikel 13 WBP). Dat zal in de praktijk al snel betekenen dat er ter zake een beleid moet worden geformuleerd. Uit het jaarverslag van het CBP, waar wij recent al over hebben geschreven, blijkt dat het CBP het ontbreken van dergelijk beleid al kwalificeert als een schending van de WBP.

3. Eisen die worden gesteld aan de bewerkersovereenkomst

Wanneer de verwerking van persoonsgegevens wordt uitbesteed – zoals bij de cloud – dan moet hiervoor een overeenkomst tussen de verantwoordelijke (de uitbestedene partij) en de bewerker (de uitvoerende partij) worden gesloten. Dat is naar Nederlands recht zo en dat is, kennelijk, naar Deens recht niet anders.

De bewerker moet zich daarbij richten naar de instructies van de verantwoordelijke. Volgens Datatisynet is die instructieverhouding bij Google Apps onvoldoende gewaarborgd:

If the general requirements cited by Odense Municipality are to solely comprise the processor agreement, this requirement would be described as follows: “Customer … instructs Google to provide the Services and process End User personal data in accordance with the Google Privacy Policies and Google agrees to do the same.” (cf. section 1.4 of “Google Apps General Terms”).

In the view of the Danish Data Protection Agency, this solely obliges Google Ireland Limited to process the personal data in accordance with Google Inc.’s own Privacy Policy. Thus, Odense Municipality solely instructs Google Ireland Limited to process data in accordance with the Google Inc. group’s own guidelines. The Danish Data Protection Agency finds that such instructions must be deemed devoid of content, in purely material terms.

Bovendien is de toezichthouder kritisch over het feit dat Google de betreffende voorwaarden eenzijdig kan wijzigen:

In addition, it does not appear to be out of question that Google Ireland Limited can unilaterally change the agreement terms in the company’s general terms and conditions, nor is there anything in the processor agreement that prevents Google Inc. from unilaterally changing the company’s Privacy Policy. On this basis, the Danish Data Protection Agency’s view is that Odense Municipality, in reality, has no control of how the data will be processed. The agency therefore assumes that Google Ireland Limited – and Google Inc. – decide how the data will be processed.

Naar mijn inschatting zal de Nederlandse privacytoezichthouder hier niet anders over oordelen.

4. Eisen rond het verwijderen van data

De Deense privacywetgeving bepaalt kennelijk dat gegevensdragers die worden weggegooid en die nog persoonsgegevens bevatten, zodanig moeten worden vernietigd dat die persoonsgegevens niet langer leesbaar zijn. Datatisynet concludeert dat het niet kan verifieren of Google aan deze eis voldoet:

The Danish Data Protection Agency’s view is that, based on the information provided in this case, it is impossible to assess whether the deletion of data media at Google Ireland Limited’s and Google Inc.’s data centres is adequate. Further, the Danish Data Protection Agency finds it to be unclear whether the data are deleted in such a way that they cannot possibly be recreated from Google’s servers. On this basis, the agency finds it difficult to deem the requirements for deletion in Section 9 of Executive Order on Security and Section 5 of the Act on Processing of Personal Data as being met.

Opnieuw geldt dat een dergelijke vernietigingsplicht niet zo letterlijk in de Nederlandse wet staat, maar dat analoge toepassing hiervan goed denkbaar is. Naar Nederlands recht zijn personen die persoonsgegevens verwerken verplicht tot geheimhouding daarvan (artikel 12 lid 2 WBP) en het opzettelijk schenden hiervan vormt een misdrijf (272 Sr). Van opzet is volgens de wetsgeschiedenis (al) sprake wanneer “wordt gehandeld in strijd met een uitdrukkelijke aanwijzing van de verantwoordelijke of een waarschuwing van enige toezichthouder“. Onder omstandigheden zou het slordig omspringen met een gegevensdrager met persoonsgegevens dus strafbaar kunnen zijn. Ook is denkbaar dat dergelijk gedrag kwalificeert als een onrechtmatige daad.

5. Overige eisen die het privacyrecht stelt

De Deense toezichthouder concludeert verder dat in de Google Apps wel eens bijzondere persoonsgegevens zouden kunnen worden uitgewisseld en dat om die reden strenge eisen gesteld moeten worden aan het inlogproces (zoals het gebruik van elektronische handtekeningen). Ook is volgens Datatisynet het loggen van mislukte inlogpogingen onvoldoende gewaarborg. Ook een algemene logging lijkt te ontbreken, terwijl ook dit volgens de toezichthouder zou mogen worden verwacht:

9.3. It has not be stated whether Google Ireland Limited and Google Inc.’s data centres perform logging of uses of personal data, what information is logged, or how long the log is stored. As the case stands, the Danish Data Protection Agency does not find it to be substantiated that the municipality will be able to comply with the logging requirements in Section 19 of the Executive Order on Security.

De parallel is wederom opvallend. Soortgelijke eisen komen naar Nederlands recht naar voren in het, alweer tien jaar oude, rapport “Beveiliging van persoonsgegevens” van het College Bescherming Persoonsgegevens.

IT 390

Antwoor kamervragen iPhone maakt elke minuut foto

Beantwoording vragen over het bericht 'iPhone maakt elke minuut een foto van je, ook in bed' Kamerstukken II, 2010-11, nr. 2011Z08644

3.Wat is uw oordeel over het door het bedrijf Apple voor eindgebruikers en tussenhandelaren verborgen houden van deze eigenschappen van hun apparatuur?

4 Bent u bereid om de Consumentenautoriteit en het College ter Bescherming Persoonsgegevens te verzoeken om op korte termijn te adviseren over door de Regering te nemen maatregelen, opdat consumenten voortaan op tijd worden geïnformeerd en een eigen afweging kunnen maken?

Antwoord 3 en 4

Het betreft in dit geval de relatie tussen een producent en een consument. Het is niet aan mij om een oordeel uit te spreken over de invulling van die relatie. De wettelijke informatieverplichtingen zijn helder (zie mijn antwoord op vraag 2).
Verder hebben de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, in een gemeenschappelijk standpunt van 16 mei 2011 (zie http://www.cbpweb.nl/downloads_int/wp185_en.pdf) aanbevelingen omtrent het
verwerken van locatiegegevens opgesteld die een aanknopingspunt bieden voor verantwoordelijken in de zin van de Wet Bescherming Persoonsgegevens (Wbp). Voor klachten over de naleving van de wettelijke (informatie)verplichtingen
kunnen de consumenten zich wenden tot de Consumentenautoriteit en het College bescherming persoonsgegevens. Ik acht een separaat advies op dit punt niet noodzakelijk.

IT 389

2xkamerantwoorden Deep Packet Inspection

Antwoorden op kamervragen over Deep Packet Inspection door telecomproviders en de aantasting van privacy Kamerstukken II, 2010-11, nr. 2011z10744.

2. Klopt het dat er sprake is van een aantasting van de privacy en het mogelijk plegen van strafbare feiten? Zo nee, waarom niet? Zo ja, gaat u dan een strafrechtelijk onderzoek instellen?

Antwoord vraag 2
In het antwoord op de vragen 2, 3 en 6 van het lid Thieme van 17 mei jl. 2011Z10094) zijn de techniek van deep packet inspection (DPI) en het toepasselijke wettelijke kader uitgebreid uiteen gezet. In het kort komt het hierop neer dat het gebruik van de techniek DPI op zichzelf is toegestaan, maar dat het wettelijke beperkingen kent. De rechtmatigheid van het gebruik hangt onder meer af van de toepassing van de techniek, van de gegevens die worden verkregen en van het doel waarvoor de techniek wordt gebruikt. Een afweging of het toepassen van DPI wettelijk is toegestaan, zal per geval gemaakt moeten worden. Het Landelijk Parket van het Openbaar Ministerie verricht op dit moment een oriënterend onderzoek naar deze kwestie. Aan de hand van de resultaten daarvan zal het Openbaar Ministerie beoordelen of een strafrechtelijk onderzoek geïndiceerd is.

Lees volledige beantwoording van de Kamervragen hier (link)

Antwoorden op kamervragen over Deep Packet Inspection door telecomproviders en de aantasting van privacy Kamerstukken II, 2010-11, nr. 2011z10094 en 2011z10365.

Antwoord vragen 2, 3 en 6 (...) Op grond van deze bepalingen moet een aanbieder van een openbaar elektronisch communicatienetwerk de bescherming van de privacy en persoonsgegevens van abonnees en gebruikers van zijn netwerk of diensten waarborgen. Daarnaast stelt de Wet bescherming persoonsgegevens (hierna Wbp) verschillende eisen aan de het verwerken van persoonsgegevens. Op grond van de Wbp mogen persoonsgegevens bijvoorbeeld alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden en mogen ze niet worden verwerkt op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Tenslotte is de vertrouwelijkheid van de inhoud van elektronisch dataverkeer in het algemeen gewaarborgd door de artikelen 138ab, 139a, 139c, 139d en 273d van het Wetboek van Strafrecht. Het afluisteren, aftappen of opnemen van telecommunicatie is, op enkele uitzonderingen na, op grond van deze artikelen verboden.

Lees de volledige beantwoordign hier (link)

IT 380

Eisen aan toestemming voor reclamemail

Besluit OPTA van 19 april 2011 (spamboete Digital Magazine en Garage Mail). OPTA heeft boetes opgelegd van in totaal € 660.000,- voor het overtreden van het spamverbod. In de periode van begin 2007 tot april 2010 zijn tenminste 400 miljoen e-mailberichten verzonden. Voor het versturen van e-mailberichten werden e-mailadressen gebruik uit online enquêtes en prijsvragen van derden. Daarbij werd in de algemene voorwaarden of het privacystatement aangegeven dat de gegevens konden worden gebruikt voor mailings van andere bedrijven. Instemmen met algemene voorwaarden of privacystatements is niet hetzelfde als toestemming geven voor het sturen van e-mailberichten. Van toestemming kan alleen sprake zijn indien de ontvanger weet aan wie en waarvoor toestemming wordt gegeven. De spammers hebben inmiddels bezwaar gemaakt tegen de boetes.

De spammers hadden aangevoerd dat de ontvangers van de spam zich akkoord hadden verklaard met ontvangst van de spam. De OPTA is van oordeel dat de gevraagde toestemming niet kwalificeert als toestemming in de zin van de wet, omdat deze niet op informatie berust c.q. niet specifiek is:

"82. In paragraaf 4.6.2 worden verschillende methoden beschreven die werden gebruikt voor het verzamelen van e-mailadressen en het verkrijgen van toestemming voor het toezenden van ongevraagde berichten. Bij methode A valt uit de tekst “Ik ga akkoord met de algemene voorwaarden en het ontvangen van partnermailings van Digital Magazines”, voor de lezer niet te begrijpen waarvoor hij toestemming geeft; het begrip partnermailings van Digital Magazines bevat daar onvoldoende informatie over. In de praktijk kwam het er immers op neer dat Digital Magazines zich vrij achtte om abonnees, die hadden ingestemd met de hiervoor genoemde passage, te benaderen met advertenties van iedere willekeurige derde (adverteerder).

83. Ook de tekst van het eerste voorbeeld van methode B: “Ik ga akkoord met de voorwaarden en privacy statement en geef aan dat ik gebeld wil worden door de deelnemende partijen en de gratis e-mailnieuwsbrief wil ontvangen van adverteerder [ H ], adverteerder [ I ], Mail Garage, Digital Magazines en adverteerder [ J ].” geeft naar het oordeel van het college niet begrijpelijk weer dat er toestemming werd gegeven voor het toezenden van mailings zoals die naar de adressenbestanden van Digital Magazines en Mail Garage werden verstuurd. Het wordt de lezer namelijk niet duidelijk gemaakt welk soort mailings van de vijf genoemde bedrijven te verwachten zijn en namens wie die mailings verzonden zouden worden. Digital Magazines en Mail Garage boden immers zelf geen producten en diensten aan consumenten aan, maar verstuurden slechts commerciële e-mailberichten in opdracht van diverse adverteerders [...].

[...]

89. Bij methode A van e-mailadressen verzamelen werd de abonnee ondermeer gevraagd om in te stemmen met de volgende passage: “Ik ga akkoord met de algemene voorwaarden en het ontvangen van partnermailings van Digital Magazines”. Het college oordeelt dat met deze informatie niet duidelijk is voor welk doel de gegevens gebruikt worden, aangezien voor de betrokkene niet gespecificeerd wordt wat wordt verstaan onder partnermailings van Digital Magazines. In de praktijk kwam het er op neer dat Digital Magazines zich vrij achtte voor elke willekeurige derde commerciële e-mailberichten te versturen naar de abonnees in zijn adressenbestand. Dat onduidelijkheid bestond over de reikwijdte van de toestemming blijkt onder andere ook uit de klachten die zijn ontvangen.46 Op deze wijze is dan ook geen toestemming verkregen die voldoet aan het criterium “specifiek”.

90. Bij methoden B en C (verzamelen van adressen via enquêtes, prijsvragen etc. van derden) werd de betrokkene gevraagd, via het aanvinken van een hokje, toestemming te geven aan meerdere bedrijven tegelijk.47 Dit geldt voor alle genoemde voorbeelden van deze methoden. Uit de klachten en de verklaringen van [ B ] tijdens de hoorzitting en de interviews blijkt dat de betrokkene op deze manier toestemming gaf voor ongevraagde berichten van (in bepaalde gevallen) 35 bedrijven.48 Digital Magazines en Mail Garage gebruikten de verzamelde e-mailadressen niet om berichten te verzenden voor hun eigen producten of diensten, maar gebruikte de e-mailadressen om commerciële berichten van derden te verzenden. Hiervoor is geen specifieke toestemming gegeven, een betrokkene kon niet weten of redelijkerwijs vermoeden dat partijen het verkregen e-mailadres op die wijze zouden gaan gebruiken. Het college oordeelt dat hieruit alleen al onomstreden blijkt de wijze van verkrijging van e-mailadressen middels methode B en C niet voldoet aan het criterium “specifiek”."

Lees het besluit hier (pdf) of hier (link).

IT 369

Bank mag frauderende kaarthouder registreren

Rechtbank 's-Gravenhage 28 april 2011 LJN: BQ6061, verzoeker tegen ABN AMRO N.V. 
Verwijderen persoonsgegevens. Art 46 jo 36 WBP. Verzoek om gegevens uit incidentenregister van ABN AMRO te verwijderen. Rechtbank toetst de handelswijze van ABN AMRO aan het geldende Protocol Incidentenwaarschuwingssysteem financiële instellingen. Gegevens van verzoeker zijn door ABN AMRO terecht en juist in het incidentenregister geregistreerd. Nu ABN AMRO de gegevens rechtmatig in haar incidentenregister heeft opgenomen wijst de rechtbank het verzoek af. Met dank aan Eva de Vries, Vondst Advocaten.

"4.6.Het staat, nu [verzoeker] dat niet heeft betwist, vast dat de betaalrekening van [verzoeker] is gebruikt voor een frauduleuze transactie en dat [verzoeker] het grootste deel van het door die transactie op zijn rekening gestorte bedrag vervolgens heeft opgenomen, terwijl hij voor die opname, normaal gesproken, onvoldoende saldo zou hebben gehad. Partijen verschillen echter van mening over de vraag wat [verzoeker] vervolgens met dat opgenomen bedrag heeft gedaan. [verzoeker] voert aan dat hij het bedrag voor gebruikelijke inkopen heeft aangewend en ABN AMRO stelt dat [verzoeker] het opgenomen bedrag via een geldtransactie-kantoor heeft doorgeboekt naar een derde. ABN AMRO baseert dit op een schriftelijke verklaring (productie 3 bij het verweerschrift) van [C], adviseur Wonen en Vermogen, verbonden aan ABN AMRO, kantoor Alphen aan den Rijn. De verklaring van [C] wordt door [verzoeker] in al haar onderdelen uitdrukkelijk betwist.

4.7.De rechtbank is van oordeel dat ABN AMRO, ook zonder dat komt vast te staan dat de verklaring van [C] een juiste weergave is van zijn contacten met [verzoeker], voldoende inzicht heeft gegeven in de gronden waarop zij tot registratie van [verzoeker] in het IVR is overgegaan. Deze gronden kunnen de registratie en de bevoegdheid van ABN AMRO daartoe dragen. [...]

4.8.De rechtbank dient vervolgens te beoordelen of de registratie van [verzoeker] in het IVR door ABN AMRO moet worden gehandhaafd. Gegevens moeten immers worden verwijderd indien deze feitelijk onjuist zijn. De gegevens van [verzoeker] zijn, zoals hiervoor reeds is overwogen, door ABN AMRO terecht in het IVR geregistreerd. Gevolg hiervan is dat [verzoeker] feiten dient te stellen waaruit kan volgen dat de terecht geregistreerde gegevens onjuist zijn. [...] De rechtbank komt tot het oordeel dat één en ander onvoldoende is om tot de slotsom te komen dat de geregistreerde gegevens niet juist zouden zijn. Het gaat om overwegend blote ontkenningen en stellingen."

Lees de uitspraak hier (link) of hier (pdf).

IT 368

Verwijdering dossier Jeugzorg

Rechtbank 's-Gravenhage 4 mei 2011, LJN BQ6062 (verzoeker 1, 2 tegen Stichting Bureau Jeugdzorg Zuid-Holland) Met dank aan Eva de Vries, Vondst Advocaten

Verwijderen persoonsgegevens. Een verzoek tot verwijdering van volledig dossier was door Bureau Jeugdzorg afgewezen. Art 46 WBP jo 36 WBP jo 105 WJZ. De rechtbank kan op schriftelijk verzoek van de belanghebbende(n) bevelen dat een verzoek tot verwijdering van persoonsgegevens alsnog wordt toegewezen. Dit verzoek wijst de rechtbank af omdat de termijn van verjaring van een eventuele rechtsvordering tegen verweerster nog niet is verstreken.

4.1.Op grond van artikel 46 van de Wet bescherming persoonsgegevens (WBP) in verbinding met artikel 36 WBP en artikel 105 WJZ kan de rechtbank op schriftelijk verzoek van de belanghebbende(n) bevelen dat een verzoek tot verwijdering van persoonsgegevens zoals gedaan door verzoekers bij brief van 1 juni 2010, alsnog moet worden toegewezen.

4.3.Het verzoek is gebaseerd op artikel 56 lid 1 WJZ. Op grond van die bepaling dient Bureau Jeugdzorg de door haar bewaarde bescheiden binnen drie maanden na een daartoe strekkend verzoek van degene op wie de bescheiden betrekking hebben, te vernietigen. Het tweede lid van genoemd artikel bepaalt echter dat de vernietiging niet geldt voor zover het verzoek bescheiden betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de verzoeker, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet. (...)

Vervolgens neemt de rechtbank in aanmerking dat er ruim drie jaar is verstreken sinds de eerste melding heeft plaatsgevonden. Vanaf dat moment is het dossier opgebouwd.

4.6.Het tijdsverloop is niet alleen van belang met het oog op de taakuitoefening van het AMK, maar ook in verband met het procesrisico waaraan Bureau Jeugdzorg door verzoekers nog kan worden blootgesteld. Indien verzoekers op grond van de door hen gestelde onzorgvuldigheid van het naar hun gezin ingestelde AMK-onderzoek, tegen Bureau Jeugdzorg een vordering uit hoofde van onrechtmatig handelen zouden willen instellen, dan is immers de lopende verjaringstermijn nog niet verstreken. In dat geval zou bij vernietiging van het AMK-dossier Bureau Jeugdzorg ernstig in haar bewijspositie zijn geschaad. Dat procesrisico kan, naar het oordeel van de rechtbank, worden gezien als een aanmerkelijk belang van een ander dan verzoekers, als bedoeld in artikel 56 lid 2 WJZ. Reeds op die grond mocht naar het oordeel van de rechtbank Bureau Jeugdzorg het verzoek tot vernietiging van het dossier van verzoekers afwijzen.

Lees de uitspraak hier (link / pdf)
Regelingen: Art 46 jo 36 WBP jo 105 WJZ.

IT 367

Antwoord vragen Bontes en Elissen over het bericht ‘Privacywaakhond CBP schendt privacy’

Kamerstukken II 2010/11, nr. 2 543.

2. Deelt u de mening dat het schandalig is dat de privacywaakhond blundert door privacygevoelige data te publiceren?
Het College bescherming persoonsgegevens (CBP) heeft mij meegedeeld dat het ging om enkele adresgegevens. Tot personen herleidbare gegevens hadden niet in het betreffende rapport over Google terecht horen te komen. Ik verwijs verder naar mijn antwoord op vragen 3 en 4.

3. Bent u bereidt het CBP op deze blunder aan te spreken en zo nodig tot maatregelen over te gaan? Zo nee, waarom niet?
4. Ziet u in deze berichtgeving aanleiding om een onderzoek in te stellen naar de werkwijze van het CBP? Zo neen, waarom niet?

Het CBP heeft direct na het constateren van dit incident – nog voor de publicatie van het in vraag 1 bedoelde bericht - maatregelen genomen in de vorm van het anonimiseren van het rapport. Ook heeft het CBP een aantal personen gebeld op wie de gegevens betrekking hadden en hen excuses aangeboden voor eventueel ontstane overlast. Ik vind dat een adequate reactie en acht het CBP voldoende in staat uit dit incident zelf de juiste lessen te trekken om herhaling te voorkomen.

Lees de kamervragen en antwoorden hier (link)