Privacy  

Brief van de minister en van de staatssecretaris betreffende Informatie- en communicatietechnologie (ICT), Kamerstukken II, 2012/13, 26 643, nr. 282.
Het PIA-toetsmodel Rijksdienst zal vanaf 1 september 2013 standaard worden toegepast bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien. Hiertoe zal het worden opgenomen in het Integraal Afwegingskader voor beleid en regelgeving en het Handboek Portfoliomanagement. De resultaten van een uitgevoerde PIA zullen telkens – nog in de fase van beleidsontwikkeling – ter beschikking worden gesteld aan de betrokken functionaris(sen) voor de gegevensbescherming en, waar nodig, aan de betrokken Chief Information Officer(s). Waar het gaat om wetgeving zal verslag worden gedaan van de PIA-uitkomsten in de memorie van toelichting.

Lees verder

Bits of Freedom bericht: Op 1 mei 2013 heeft Minister Opstelten het wetsvoorstel computercriminaliteit III ter consultatie online gezet. Toen we eenmaal de cryptische bewoordingen van zijn voorstel hadden ontcijferd, ontdekten we dat er nogal wat kwetsbaarheden in zitten, met grote gevolgen voor de privacy en veiligheid van internetters. Daarom zullen we 10 dagen lang elke dag een zwakke plek van het hackvoorstel onthullen, zodat je zelf kunt zien waarom het invoeren van de hackbevoegdheid geen verstandig plan is. Hier onder vind je alle afleveringen tot nu toe, samengevat

De voorgestelde hackbevoegdheid is onbegrensd. De maatregel vormt een ernstige inperking van de grondrechten van onschuldige en verdachte burgers wereldwijd, terwijl de noodzaak, proportionaliteit en effectiviteit van de maatregel niet zijn aangetoond. Bovendien heeft de maatregel grote internationale implicaties. De hackbevoegdheid is in strijd met internationaal recht en kan tegenreacties van andere landen uitlokken. Burgers wereldwijd worden daar het slachtoffer van. Verder heeft de hackbevoegdheid gevaarlijke gevolgen voor onze cybersecurity: de inzet van deze bevoegdheid creëert diverse veiligheidsrisico’s, waardoor Nederland niet veiliger, maar juist onveiliger zal worden. Om deze redenen – afzonderlijk en tezamen bezien – moet het voorstel van tafel.

Het decryptiebevel vormt een stevige inperking van de grondrechten van verdachten en niet-verdachten. Het is in strijd met het rechtsbeginsel dat je niet kan worden gedwongen mee te werken aan je eigen veroordeling en bovendien wordt het maatschappelijk belang van encryptie door zo’n bevel doorkruist. Dit terwijl de noodzaak van deze inperkingen van rechten niet is aangetoond, de maatregel niet effectief is en bovendien makkelijk misbruikt kan worden. Ook dit plan moet dus worden ingetrokken.

Ook zijn we van mening dat het strafbaar stellen van het overnemen van ‘niet-openbare gegevens’ leidt tot een zeer breed verbod, dat belemmerend werkt op de vrijheid van meningsuiting van mensen met een belangrijke functie in een democratische samenleving, zoals journalisten, klokkenluiders en security-onderzoekers. Ook in dit geval ontbreekt de noodzaak die zo’n maatregel vereist, zodat dit voorstel in deze vorm niet in stand kan blijven.

Verder moet de bevoegdheid om informatie ontoegankelijk te maken worden aangepast. Om voldoende recht te doen aan het grondrecht op vrijheid van meningsuiting, moeten de belangen van de verdachte en de aanbieder van de gegevens altijd worden gehoord.

De complete uitgebreide serie, leest u hier.

CBP, 'CBP adviseert over Toetsmodel Privacy Impact Assessment', CBPweb.nl 5 maart 2013.
Het College bescherming persoonsgegevens (CBP) heeft op verzoek van de minister van Binnenlandse Zaken en Koninkrijksrelaties geadviseerd over het Toetsmodel Privacy Impact Assessment (PIA). Het CBP constateert met grote instemming dat hiermee uitvoering wordt gegeven aan de motie-Franken, waardoor een PIA (een hulpmiddel voor het vaststellen van de privacyrisico's van nieuwe gegevensverwerkingen) standaard zal worden gebruikt bij de totstandkoming van wetgeving en/of beleidsstukken.

Lees verder

CPB, 'Vijfde activiteitenverslag van het GCO Europol', CBP 24 juni 2013, www.cbpweb.nl.
Uit het persbericht: Mededeling, 24 juni 2013. Het Gemeenschappelijk Controleorgaan van Europol (GCO Europol) heeft onlangs zijn vijfde activiteitenverslag gepresenteerd. Het GCO Europol heeft tot taak het recht op gegevensbescherming van de burgers bij de opslag, verwerking en het gebruik van persoonsgegevens door Europol te handhaven. Het activiteitenverslag van het GCO Europol bevat een overzicht van de werkzaamheden die het GCO heeft uitgevoerd in de periode oktober 2008 tot en met oktober 2012. Het College bescherming persoonsgegevens (CBP) is lid van het GCO Europol en neemt op regelmatige basis deel aan zijn vergaderingen en inspecties.

​"Als de Europese rechtshandhavingsinstantie moet Europol de EU ondersteunen bij het voorkomen en bestrijden van alle vormen van ernstige internationale criminaliteit en terrorisme en tegelijk fundamentele onderdelen van het recht op privacy en gegevensbescherming eerbiedigen. Europol en het Gemeenschappelijk Controleorgaan hebben zich ingespannen om een evenwichtige aanpak te ontwikkelen waarin recht wordt gedaan aan hun uiteenlopende belangen en verplichtingen", aldus Isabel Cruz, voorzitter van het GCO Europol in de verslagperiode  in het voorwoord.

Conclusie A-G HvJ EU 25 juni 2013, zaak C-131/12 (Google Spain en Google tegen Agencia Española de Protección de Datos (AEPD)) - persbericht - dossier
Persoonsgegevens. Internetzoekmachine. Begrip ‚vestiging op het grondgebied van een lidstaat’. Recht op uitwissing en afscherming van gegevens. ‚Recht om te worden vergeten’.

Advocaat-generaal Jääskinen is van mening dat aanbieders van zoekmachines op basis van de gegevensbeschermingsrichtlijn niet verantwoordelijk zijn voor persoonsgegevens op door hen verwerkte webpagina’s. De nationale wetgeving op het gebied van gegevensbescherming is op hen van toepassing wanneer zij, om advertentieruimte te promoten en te verkopen, in een lidstaat een kantoor openen dat zijn activiteiten richt op de inwoners van die staat, ook al vindt de technische verwerking van de gegevens elders plaats. Lees het gehele persbericht.

Mitsdien geef ik het Hof in overweging, de prejudiciële vragen van de Audiencia Nacional te beantwoorden als volgt:

1) Verwerking van persoonsgegevens vindt plaats in het kader van de activiteiten van een „vestiging” van de voor de verwerking verantwoordelijke in de zin van artikel 4, lid 1, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, wanneer de onderneming die de internetzoekmachine aanbiedt, in een lidstaat ten behoeve van de (bevordering van de) verkoop van advertentieruimte op de zoekmachine een kantoor of dochteronderneming opricht en de activiteiten daarvan gericht zijn op de inwoners van die staat.

2)      Een aanbieder van een internetzoekmachine die met zijn zoekmachine door derden op internet gepubliceerde of geplaatste informatie lokaliseert, automatisch indexeert, tijdelijk opslaat en uiteindelijk volgens een bepaalde volgorde ter beschikking stelt aan internetgebruikers, „verwerkt” persoonsgegevens in de zin van artikel 2, sub b, van richtlijn 95/46 wanneer die informatie persoonsgegevens bevat.

De aanbieder van de internetzoekmachine kan ten aanzien van zulke persoonsgegevens echter niet worden aangemerkt als „voor de verwerking verantwoordelijke” in de zin van artikel 2, sub d, van richtlijn 95/46, behalve voor zover het de inhoud van de index van zijn zoekmachine betreft, mits de aanbieder van deze dienst geen persoonsgegevens indexeert of archiveert tegen de aanwijzingen of verzoeken van de uitgever van de webpagina in.

3)      Het recht op uitwissing en afscherming van gegevens in de zin van artikel 12, sub b, en het recht van verzet als bedoeld in artikel 14, sub a, van richtlijn 95/46 verlenen de betrokkene niet het recht zich tot de exploitant van een zoekmachine te wenden teneinde indexering te verhinderen van op webpagina’s van derden rechtmatig gepubliceerde informatie die zijn persoon betreft, daarbij als zijn wens te kennen gevend dat deze informatie niet aan internetgebruikers bekend wordt, wanneer hij meent dat deze informatie hem kan benadelen of wanneer hij deze aan de vergetelheid wenst prijs te geven.

De volgende prejudiciële vragen voorgelegd:

„1.      Met betrekking tot de territoriale werkingssfeer van [de richtlijn] en bijgevolg van de Spaanse wetgeving inzake gegevensbescherming:

1.1.      Moet worden aangenomen dat er sprake is van ,vestiging’ in de zin van artikel 4, lid 1, sub a, van [de richtlijn] in een of meerdere van de volgende gevallen:

–        wanneer de exploitant van een zoekmachine in een lidstaat een kantoor of dochtermaatschappij opricht ten behoeve van de promotie en verkoop van advertentieruimte op de zoekmachine die zijn activiteiten richt op de inwoners van die lidstaat, of

–        wanneer de moedermaatschappij een dochtermaatschappij in die lidstaat aanwijst als haar vertegenwoordigster en verantwoordelijke voor de verwerking van twee concrete bestanden met de gegevens van de klanten die reclame-overeenkomsten met die onderneming hebben gesloten, of

–        wanneer het kantoor of de dochtermaatschappij gevestigd in een lidstaat, verzoeken en sommaties van zowel betrokkenen als de bevoegde autoriteiten voor de handhaving van het recht van gegevensbescherming doorzendt aan de moedermaatschappij, die buiten de Europese Unie is gevestigd, ook al is die samenwerking vrijwillig?

1.2. Moet artikel 4, lid 1, sub c, van [de richtlijn] aldus worden uitgelegd dat er sprake is van ,gebruikmaking van middelen die zich op het grondgebied van genoemde lidstaat bevinden’,

wanneer een zoekmachine gebruik maakt van spiders of robots voor het lokaliseren en indexeren van gegevens op internetpagina’s die zich op servers in die lidstaat bevinden, of

wanneer deze een bij die lidstaat behorende domeinnaam gebruikt en de zoekopdrachten en resultaten stuurt aan de hand van de taal van die lidstaat?

1.3.      Kan de tijdelijke opslag van de door internetzoekmachines geïndexeerde informatie worden aangemerkt als gebruikmaking van middelen in de zin van artikel 4, lid 1, sub c, van [de richtlijn]? Zo ja, kan dit aanknopingscriterium dan als vervuld worden beschouwd wanneer de onderneming op grond van concurrentieoverwegingen weigert de plaats aan te geven waar zij deze indexen opslaat?

1.4.      Los van het antwoord op de voorgaande vragen en met name voor het geval dat het [Hof] meent dat niet is voldaan aan de aanknopingscriteria van artikel 4 van de richtlijn:

Moet [de richtlijn], in het licht van artikel 8 van het Europees Handvest van de grondrechten, worden toegepast in de lidstaat waar zich het zwaartepunt van het geschil bevindt en waar een meer doeltreffend toezicht op de rechten van de burgers van de Europese Unie mogelijk is?

2.      In verband met de activiteit van de zoekmachines als leveranciers van content met betrekking tot [de richtlijn]:

2.1.      Met betrekking tot de activiteit van de zoekmachine van de onderneming ,Google’ op internet, als leverancier van content, bestaande in het lokaliseren van door derden op internet gepubliceerde of opgeslagen gegevens, het automatisch indexeren ervan, het tijdelijk opslaan ervan en ten slotte het ter beschikking stellen ervan aan internetgebruikers in een bepaalde volgorde, wanneer die informatie persoonsgegevens van derden bevat,

moet een activiteit als hierboven omschreven worden geacht te vallen onder het begrip ‚verwerking van gegevens’ in artikel 2, sub b, van [de richtlijn]?

2.2.      Indien het antwoord op de voorgaande vraag bevestigend luidt, en nog steeds in verband met een activiteit als boven omschreven: Moet artikel 2, sub d, van [de richtlijn] aldus worden uitgelegd dat de onderneming die de Google-zoekmachine exploiteert, de ,voor de verwerking verantwoordelijke’ is met betrekking tot de persoonsgegevens op de internetpagina’s die zij indexeert?

2.3.      Indien het antwoord op de voorgaande vraag bevestigend luidt: Kan de toezichthoudende autoriteit (in dit geval de [AEPD]) ter bescherming van de rechten van de artikelen 12, sub b, en 14, sub a, van [de richtlijn] zich rechtstreeks tot de exploitant van de zoekmachine van de onderneming ,Google’ richten en verlangen dat zij door derden gepubliceerde gegevens uit haar bestanden verwijdert, zonder zich eerst of tegelijkertijd te wenden tot de houder van de internetpagina waarop zich die informatie bevindt?

2.4.      Indien het antwoord op deze laatste vraag bevestigend luidt: Vervalt de verplichting van de exploitant van de zoekmachine om deze rechten te beschermen wanneer de informatie waarin de persoonsgegevens zijn opgenomen, door derden rechtmatig is gepubliceerd en op de oorspronkelijke internetpagina blijft gehandhaafd?

3.      Met betrekking tot de omvang van het recht op verwijdering en/of het recht van verzet in verband met het recht om te worden vergeten, wordt de volgende vraag voorgelegd:

3.1.      Moet het recht op uitwissing en afscherming van gegevens in de zin van artikel 12, sub b, en het recht van verzet als bedoeld in artikel 14, sub a, van [de richtlijn] aldus worden uitgelegd dat de betrokkene zich tot de exploitant van de zoekmachine kan wenden teneinde de indexering van zijn persoon betreffende gegevens te verhinderen die op internetpagina’s van derden zijn gepubliceerd, daarbij als zijn wens te kennen gevend dat deze informatie niet bekend wordt bij internetgebruikers wanneer deze hem naar zijn mening kan benadelen, of vergeten wordt, hoewel het om door derden rechtmatig gepubliceerde informatie gaat?”

Op andere blogs:
KluwerCopyrightBlog (CJEU Advocate General sides with Google in data protection dispute)

Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken)
Persoonsgegevens. Beveiliging. Meldplicht. Strekking van het wetsvoorstel - Memorie van Toelichting:

In dit wetsvoorstel wordt een meldplicht geïntroduceerd in de Wet bescherming persoonsgegevens (hierna: Wbp) voor verantwoordelijken voor de verwerking van persoonsgegevens in geval van gebleken doorbrekingen van de getroffen maatregelen ter beveiliging van persoonsgegevens. De verantwoordelijke moet op grond van het voorgestelde artikel 34a van de Wbp bij een inbreuk waarvan redelijkerwijs kan worden aangenomen dat die leidt tot een aanmerkelijke kans op verlies of onrechtmatige verwerking van persoonsgegevens een melding doen bij de toezichthouder, het College bescherming persoonsgegevens (hierna: Cbp).

Daarnaast dient in de meeste gevallen een melding aan de betrokkene te geschieden indien de inbreuk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. De meldplicht rust op alle verantwoordelijken voor de verwerking, zowel in de private als publieke sector. Het nalaten aan deze verplichtingen te voldoen kan worden gesanctioneerd met een bestuurlijke boete, op te leggen door het Cbp. Het doel van de meldplicht is het voorkomen van datalekken ten gevolge van doorbreking van beveiligingsmaatregelen en als deze zich toch voordoen, de gevolgen ervan voor de betrokkenen zoveel mogelijk te beperken. Met de meldplicht wordt bijgedragen aan het behoud en herstel van vertrouwen in de omgang met persoonsgegevens.

Lees verder

Uit 't persbericht: The US PRISM internet surveillance case highlights the urgent need to pass legislation to protect EU citizens' personal data, most MEPs agreed in Wednesday's Civil Liberties Committee debate with Justice Commissioner Viviane Reding. MEPs also called for safeguards for personal data transferred outside the EU.

"The PRISM case was a wake-up call that shows how urgent it is to advance with a solid piece of legislation" on data protection, said Commissioner Reding in her opening remarks. Reporting back on her 14 June meeting with US Attorney General Eric Holder in Ireland, she said: "We agreed to set up a transatlantic group of experts to address concerns".

Lees verder

Brief van de minister betreffende Informatie- en communicatietechnologie (ICT), Kamerstukken II, 2012/13, 26 643, nr. 281.
De minister: Het voorliggende onderzoek geeft veel waardevolle informatie over de omvang, en toename van het maatschappelijke probleem identiteitsfraude. Het beeld is echter niet compleet. Dat burgers in sommige gevallen geen schade ondervinden van identiteitsfraude wil bijvoorbeeld niet zeggen dat er geen schade is. De schade kan ook bij andere (private) partijen liggen.

Om een scherp en coherent beeld te vormen van de aard en omvang van identiteitsfraude, richt ik een integrale monitor identiteit in. Met deze monitor wordt inzicht gecreëerd in het brede domein van identiteitsmanagement. Identiteitsfraude zal hier een prominente positie bij innemen, naast volumegegevens, kwaliteitsgegevens en informatie over de diverse identiteitsketens. De monitor zal een rijksbrede scope hanteren. Het streven is eind 2013 een eerste versie van de monitor uitgevoerd te hebben en van hieruit deze verder te ontwikkelen en de registratie te verbeteren.

Het rapport: PwC, 2013-Update onderzoek 'Omvang van identiteitsfraude en maatschappelijke schade in Nederland'

Prejudiciële vragen gesteld aan HvJ EU 20 maart 201, zaak C-212/13 (Rynes) - dossier
Prejudiciële vragen gesteld door Nejvyšší správní soud, Tsjechische Republiek.
Verzoeker laat een beveiligingsfirma een camerasysteem monteren op de woning die in eigendom is van zijn echtgenote nadat diverse malen onbekenden (die nooit zijn opgespoord) het huis hadden aangevallen en beschadigd. De woning wordt alleen door verzoeker en zijn gezin gebruikt. De opnamen zijn alleen beschikbaar op een harde schijf die continue overschreven wordt (doorlopende lus) en de beelden zijn niet direkt op beeldscherm te bekijken. Alleen verzoeker heeft toegang tot het systeem.

In een oktobernacht wordt opnieuw een aanval uitgevoerd met een katapult. Twee verdachten worden door de camerabeelden geïdentificeerd. Eén van de verdachten brengt de vraag op of verzoeker toestemming heeft om een camerasysteem in werking te hebben, en stelt inbreuk op de Tsjechische ‘wet inzake bescherming persoonsgegevens’.
De Tsjechische autoriteit beschikken in augustus 2008 dat verzoeker inbreuk heeft gemaakt op genoemde wet, met name omdat de camerabeelden een deel van de openbare weg beslaan. Personen die zich in de openbare ruimte begeven is geen toestemming gevraagd voor de opnamen en zij zijn ook niet op de hoogte dat er opnames gemaakt worden. Verzoeker krijgt een geldboete opgelegd.

Zijn bezwaar wordt afgewezen waarna verzoeker in beroep gaat dat ook wordt afgewezen. In hoger beroep overweegt het Hof dat de opname niet enkel was bedoeld voor persoonlijk gebruik door verzoeker, maar tevens was bedoeld om aan de politie te worden overhandigd en vervolgens in strafprocedures te worden gebruikt. Verzoeker gaat in cassatie en hekelt met name de inconsistente toepassing en uitlegging van het in de wet opgenomen begrip “het verwerken van persoonsgegevens voor eigen gebruik”.

Omdat een exacte juridische definitie van het begrip “met uitsluitend persoonlijke of huishoudelijke doeleinden” in het EU-recht ontbreekt stelt de verwijzende Tsjechische rechter het HvJ EU daarom de volgende vraag:

“Kan de werking van een camerasysteem dat is gemonteerd op een gezinswoning, met als doel de bescherming van eigendom, gezondheid en leven van de eigenaars van het huis, worden aangemerkt als het verwerken van persoonsgegevens „die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht” in de zin van artikel 3, lid 2, van richtlijn 95/46/EG (Pb L 281 van 23.11.1995, blz. 31), ofschoon dit systeem ook een openbare ruimte in beeld brengt?”

Rechtbank Overijssel 25 april 2013, LJN BZ8542 (Sexfilmpje via WhatsApp)
Smaadschrift. Belediging. In het openbaar bij afbeelding.
Rechtspraak.nl: De rechtbank Overijssel heeft een 21-jarige man vrijgesproken die er van werd verdacht een filmpje te hebben verspreid via social media zonder toestemming van zijn toenmalige vriendin. In het filmpje zijn het slachtoffer en de verdachte te zien terwijl zij seksuele handelingen verrichten. Verdachte heeft een filmpje met beelden van seksuele handelingen van het slachtoffer naar één andere persoon gestuurd. Daarna is het filmpje onder verschillende personen en in brede kring verspreid. Dat haar door dit alles leed is aangedaan, is duidelijk. De vraag is echter of dit verdachte strafrechtelijk te verwijten is op basis van wat hem in deze zaak wordt tenlastegelegd. Naar het oordeel van de politierechter is dat niet het geval. Verdachte heeft het filmpje maar aan één persoon gestuurd met de bedoeling dat het niet verder zou worden verspreid. De politierechter acht daarom niet bewezen wat aan de verdachte primair en subsidiair is tenlastegelegd.

2. De tenlastelegging
De verdenking komt er kortweg op neer dat verdachte
primair: smaadschrift heeft gepleegd met als slachtoffer [slachtoffer]
subsidiair: [slachtoffer] heeft beledigd,
primair en subsidiair door een filmpje, waarop seksuele gedragingen van [slachtoffer] te zien zijn, met een bericht via ‘WhatsApp’ ten toon te stellen, te verspreiden of naar derden te versturen.

5.4 De conclusie
Samenvattend overweegt de politierechter het volgende. Verdachte heeft een filmpje met beelden van seksuele handelingen van het slachtoffer naar één andere persoon gestuurd. Daarna is het filmpje onder verschillende personen en in brede kring verspreid. Dat haar door dit alles leed is aangedaan, is duidelijk. De vraag is echter of dit verdachte strafrechtelijk te verwijten is op basis van wat hem in deze zaak wordt tenlastegelegd. Naar het oordeel van de politierechter is dat niet het geval. Verdachte heeft het filmpje maar aan één persoon gestuurd met de bedoeling dat het niet verder zou worden verspreid. De politierechter acht daarom niet bewezen wat aan de verdachte primair en subsidiair is tenlastegelegd, zodat zij hem daarvan zal vrijspreken.

Op andere blogs:
Ius Mentis (Seksfilmpje versturen via WhatsApp is geen smaad of belediging)