Privacy  

Brief minister Kamp over Analytische cookies en artikel 11.7a van de Telecommunicatiewet, DGETM-TM / 12385793.

In het algemeen overleg werd voorgesteld om first party analytische cookies, dat wil zeggen cookies waarmee uitsluitend gegevens over het gebruik van de eigen website worden verzameld ten behoeve van het verbeteren van de werking van die website, niet te laten vallen onder het toestemmingsvereiste. De gedachte hierachter was dat, mits voldaan aan bepaalde voorwaarden, zoals geanonimiseerde gegevensverzameling en het niet delen van de gegevens met derden, de analytische cookies geen negatieve gevolgen hebben voor de privacy van de gebruiker van het randapparaat, zijnde het belang dat artikel 11.7a beoogt te beschermen.

In mijn reactie heb ik aangegeven bereid te zijn te onderzoeken of er mogelijkheden zijn om op een andere wijze om te gaan met first party analytische cookies. Inmiddels heb ik in dit verband met OPTA gesproken. Daarbij is gezamenlijk geconcludeerd dat, mits voldaan is aan bepaalde voorwaarden, er mogelijkheden zijn de wet zo toe te passen dat voor het plaatsen en lezen van first party analytische cookies geen toestemming hoeft te worden verkregen van de gebruiker.

In overleg met OPTA zullen de voorwaarden waaraan moet zijn voldaan zodat het toestemmingsvereiste niet van toepassing is, nader worden uitgewerkt. Duidelijk is in ieder geval al wel dat het moet gaan om cookies waarmee uitsluitend geanonimiseerde gegevens worden verzameld over het gebruik van de eigen website en dat de gegevens die met deze cookies worden verzameld niet mogen worden gedeeld met derden. Een dergelijke toepassing doet mijns inziens niet af aan het bovengenoemde belang dat artikel 11.7a beoogt te beschermen, verbetert het gebruiksgemak en doet recht aan de nuttige bijdrage die first party analytische cookies kunnen leveren aan de kwaliteit van de levering van diensten van de informatiemaatschappij.

Verslag van een algemeen overleg frequentiebeleid, Kamerstukken II 2012/13, 24 095, nr. 327.

De heer Verhoeven (D66): (...) Ik zal een aantal dingen zeggen over cookies. Dat punt staat niet op de agenda, maar staat nog wel open uit de vorige periode. Het is ook heel actueel. Ik zal ook iets zeggen over de frequentieveiling, de World Conference on International Telecommunications, de omroepmasten waar collega Klever het ook al over had en ook over het fiche over internetpaspoorten.

Ik begin met de cookies. Het is een onderwerp dat het afgelopen jaar, eigenlijk sinds de aanname van de wijziging van de Telecommunicatiewet met daarin een amendement over cookies, in ieder geval bij bedrijven steeds erg actueel is gebleven. Cookies zijn vrij beruchte databestandjes op basis waarvan je persoonsgegevens kunt verzamelen. D66 vindt nog steeds dat het nodig is om daar expliciet toestemming voor te verlenen. Zij steunt dus nog steeds het principe van de zogeheten cookiewet. De handhaving door de OPTA en de technologische invulling door bedrijven roept echter enorm veel vragen op. Dat komt voor een groot deel doordat er heel veel onduidelijkheid bestaat over de manier waarop de wet moet worden nageleefd. Ik heb het afgelopen jaar regelmatig met dit soort partijen gesproken en toch eens nagedacht over de vraag hoe wij het beter kunnen aanpakken. Dat willen we doen door het grijze gebied tussen de twee vrij duidelijke uitersten op te helderen. Ik zie namelijk drie soorten doelen achter cookies.

De heer De Liefde (VVD): Heeft mijn collega van D66 niet ongelooflijk spijt dat hij heeft ingestemd met het gedrocht dat de cookiewet heet? Nu wil hij met reparatiewetgeving komen, terwijl de VVD, die destijds als enige tegen dit wetsvoorstel heeft gestemd, altijd al heeft gezegd dat deze wet in de huidige vorm niet zou werken.

De heer Verhoeven (D66): Nee, daar heb ik geen spijt van. Er is iets mis als je op basis van bestandjes gegevens van personen verzamelt, die voor commerciële doeleinden inzet, maar dat niet tegen die mensen zegt. Wij staan dus nog volledig achter het principe van de cookiewet. Overigens staat in de cookiewet nul keer het woord «cookie». Het is dus geen wetgevingsgedrocht, zoals mijn collega bijna beweert, maar het is een wet die qua uitvoering heel veel vragen oproept. Daarom wil ik daar verbetering in aanbrengen via een voorstel dat ik vandaag zal doen. Nee, ik heb dus geen enkele spijt van het steunen van de wet. Ja, ik zoek wel naar een mogelijkheid voor verbetering in de praktijk.

De heer De Liefde (VVD): Heel veel mensen, zowel consumenten als mensen in het bedrijfsleven, hebben tijdens de behandeling van de desbetreffende wetgeving, inclusief het amendement van de PvdA en de PVV, al gewaarschuwd dat die heel veel averechtse effecten zou hebben. Volgens mij heeft D66 op het laatste moment haar handtekening onder het amendement vandaan gehaald. De heer Verhoeven constateert nu die averechtse effecten ook. Ik ben blij met dat voortschrijdend inzicht, maar waarom heeft hij niet gewoon geluisterd naar de mensen die zeiden dat dit instrument te bot, te grof en niet klantvriendelijk was?

De heer Verhoeven (D66): Er bestaat een onderscheid tussen twee dingen. Heel veel partijen zeggen het principieel oneens te zijn met het expliciet toestemming moeten geven voor cookies. Daarover bestaat verschil van mening, want wij vinden dat nog steeds een heel belangrijk uitgangspunt. Ik denk dat de VVD hierbij puur naar het commerciële belang kijkt, terwijl zij online privacy totaal niet belangrijk vindt. Dat heeft de VVD de afgelopen jaren ook laten zien. In die zin denk ik dat wij gewoon van mening verschillen over het belang van online privacy. Daarnaast gaat het om de vraag hoe je die online privacy op een goede en werkbare manier kunt organiseren. In de cookiewet staat daar eigenlijk niks over, want die is vrij algemeen gesteld. De uitvoering door bedrijven en iedereen die ermee te maken krijgt, roept echter heel veel vragen op. Als je daar verheldering in kunt aanbrengen en het kunt verbeteren – volgens mij doen wij dat nu – waarom zou je dat dan laten?

De heer Verhoeven (D66): Zoals ik al zei, zijn er drie soorten doelen achter cookies. Het eerste doel is puur functioneel: cookies zijn nodig om het doel van een website te ondersteunen. Als je op bol.com drie dingen bestelt, wil je aan het einde nog wel je winkelmandje kunnen vinden om te kunnen afrekenen. Daar zijn cookies voor nodig en dat is prima. Het tweede doel van cookies is het kunnen volgen van de manier waarop mensen door je website heen klikken. Dat betreft de statistiekcookies, analytics, die bedoeld zijn om het verkeer op een website anoniem in kaart te brengen. Daarmee wordt de privacy niet geschonden, maar die cookies worden nu onder de categorie geschaard waarvoor expliciete toestemming nodig is. Wij willen dat veranderen door duidelijk te maken dat daarvoor geen toestemming nodig is als je die gebruikt voor je eigen website, zonder die met derden te delen. Dat is ook het grijze gebied. Ten derde heb je tracking cookies die je volgen van de ene naar de andere website, zodat je op bijvoorbeeld NU.nl allemaal advertenties met vishengels te zien krijgt als je daarvoor een website over vishengels hebt bezocht. Dat is natuurlijk bedoeld als behavioural advertising, het volgen van mensen op basis van hun profielen, en daar met advertenties gericht op inzetten. Dat is echt commercieel gebruik van cookies en wij vinden het heel logisch dat daar expliciet toestemming voor nodig blijft.

Wat ons betreft is het functioneel en voor eigen statistiek gebruiken van cookies prima, maar is er toestemming nodig voor tracking. Als je alles op een hoop gooit, zoals nu in de uitvoering gebeurt, zie je dat bijvoorbeeld de NPO zegt: wij willen toestemming hebben voor alle cookies, anders gaat de site op zwart. Je kunt er echter ook voor zorgen dat mensen toestemming voor de tracking cookies moeten geven, maar dat je het gebruik van analytics gewoon toestaat. Dat is een concrete oplossing voor een aantal problemen die wij de afgelopen tijd hebben gezien. Daarom stel ik voor om de first party analytische cookies middels de AMvB, die benut kan worden om de werking van de cookiewet te verduidelijken, toe te voegen aan de functionele cookies. Ik krijg hierop graag een reactie van de minister. Onder de huidige wet is het niet nodig om voor het gebruik van functionele cookies toestemming te geven. Het gaat mij dan echt om de cookies die enkel het klikgedrag voor de eigenaar van een website in kaart brengen. Voor de fijnproevers merk ik het volgende op, want daar heb ik vandaag heel veel vragen over gehad. Als je bijvoorbeeld Google Analytics gebruikt, kun je instellen dat de gegevens van Google Analytics niet gedeeld worden met Google. Het is dus al mogelijk.

Een andere vraag aan de minister is of er wat meer duidelijkheid kan komen over de verantwoordelijkheid voor het voldoen aan de wettelijke vereisten bij het plaatsen van third party cookies. Oftewel, wie is dan de eigenaar, de verantwoordelijke? Wie moet dan zorgen dat aan de wet wordt voldaan? Graag krijg ik hierop een reactie van de minister.

De heer Van Dam (PvdA): (...)

Het belangrijkste wat hij zegt is dat «analytics» gewoon gebruikt moeten kunnen worden als het gaat om het verzamelen van informatie over het gebruik van de eigen site. Het is echter voor de OPTA waarschijnlijk moeilijk controleerbaar of gegevens die met analytics verzameld worden ook ter beschikking van Google worden gesteld. Ik sta er echter sympathiek tegenover. Het is ook maar een kleine aanpassing, die volgens mij niet het grootste deel van de ergernis bij gebruikers wegneemt.

Minister Kamp: De heer Verhoeven zegt dat je in afwachting daarvan die analytische cookies zou kunnen zien als een onderdeel van de noodzakelijke cookies. Ik vind dat geen onaantrekkelijke gedachte. Ik wil er nader over nadenken en onderzoeken of daarvoor een sluitende redenering kan worden opgezet binnen de huidige regels. Als u het goedvindt, kom ik daarop terug.

De heer De Liefde (VVD): Geeft de minister hiermee impliciet aan dat het amendement-Van Bemmel/Van Dam dat de Telecommunicatiewet ten aanzien van de cookies gewijzigd heeft, niet optimaal functioneert en dat hij via Europa vraagt dat die wetgeving, zoals gewijzigd door het amendement-Van Bemmel/Van Dam waarin expliciet wordt gesproken over autorisatiecookies, wordt aangepast?

Minister Kamp: Nee, ik vraag niets aan Europa. Europa is zelf bezig en stelt zelf vast dat de zaak niet goed functioneert, dat bedrijven zich er niet aan houden, dat er onduidelijkheid is, dat de toezichthouders terughoudend zijn, dat er technische problemen zijn en dat het in de verschillende landen van Europa anders gaat. De Europese Commissie wil daarin graag verbetering en eenheid brengen. Ik wens daarop aan te sluiten. Als die nadere verduidelijking komt, zullen wij ons daaraan houden en zullen wij anderen vragen zich daaraan te houden. De heer Verhoeven gaf aan dat je zou kunnen stellen dat analytische cookies eigenlijk ook noodzakelijke cookies zijn. Voor de tussenperiode vind ik het de moeite waard om dat eens goed uit te zoeken.

(...)

Minister Kamp: Ja, voor die analytische cookies heb je ook verschillende vormen. Wij hebben dat toen wel vastgelegd, maar ik denk dat het goed is om te kijken of binnen datgene wat wettelijk is geregeld toch een zodanige uitleg gegeven zal moeten worden aan deze vorm van cookies dat ze anders ingedeeld moeten worden. Ik zeg niet dat ik het doe, maar ik wil het wel bekijken omdat ik het een zinvolle suggestie vind.

De heer Verhoeven (D66): Er is in de wet geen duidelijke afbakening op basis van het technologisch onderscheid dat ik heb gemaakt. Het is dan ook heel goed mogelijk om op een bepaalde manier om te gaan met verschillende categorieën cookies zonder dat de wet direct hoeft te worden herschreven. Volgens mij bedoelde de minister dat ook en ik ben blij dat hij in ieder geval wil kijken naar de mogelijkheid om dit in afstemming met Europa en in overleg met de toezichthouder te bekijken. Kan de minister zeggen op welke datum hij met een eerste inhoudelijke stap terug naar de Kamer denkt te komen? Dan weten wij aan welke termijn we moeten denken. Ik snap het als de minister de tijd wil hebben en niks overhaast wil doen, maar ook voor de bedrijven die hiermee te maken hebben, zou het wel helder zijn als er voor 1 januari een communicatiemoment met de Kamer kan zijn. Vanaf die datum veranderen er namelijk weer wat dingen.

Minister Kamp: Ik had al veel verstand van cookies, maar nog niet van dit soort dingen. Ik ben dat aan het opbouwen. Ik heb onderwerp dit nog niet zo scherp op mijn netvlies als de heer Verhoeven, maar ik denk dat het mogelijk moet zijn om de Kamer voor het eind van dit jaar te informeren over de manier waarop wij dit zouden kunnen gaan aanpakken.

Voorzitter: Ik ben blij met de toezegging dat de minister voor het einde van het jaar met een brief komt met daarin een verdere verduidelijking van de situatie met cookies. Is het echter wel handig dat we in Nederland het toezichtregime hebben dat nu wordt gehanteerd door OPTA, zolang Europa de zaken niet beter regelt en we in Europa kennelijk niet allemaal op dezelfde manier de regels uitleggen? Dit leidt immers tot de huidige situaties waarin mensen op iedere site apart toestemming moeten geven voor het gebruik van cookies. De minister en de heer De Liefde kunnen in de gehele wetsbehandeling teruglezen dat expliciet in de Kamer aan de orde is geweest dat dit niet de bedoeling is. Dat is ook door de toenmalige minister toegezegd.

(...)

De opmerkingen van de heer Van Dam over cookies en dat per site geen toestemming gegeven zou hoeven worden terwijl dat in de praktijk wel vaak zo opgevat lijkt te worden, is onderdeel van de bestaande onduidelijkheid. Dat ben ik eens met de heer Van Dam. Er is daarover onduidelijkheid zowel in Nederland als in Europa. Vandaar ook de terughoudendheid van OPTA op dit punt. Als je regels echt wilt handhaven, moet je het gevoel hebben dat ze duidelijk zijn en dat men technisch in staat is om die regels na te leven. Ik denk dat het gepast is om terughoudend op te treden. De heer Van Dam snijdt dit punt aan, maar er zijn nog meer problematische punten. Laten we kijken of de Europese aanbeveling een adequate oplossing biedt. Laten we die dan snel naleven, al dan niet met aanpassing van de regelgeving. Mocht dat onvoldoende zijn en mochten er belangrijke punten open blijven staan, kunnen we alsnog kijken of we zelf iets aanvullends moeten doen.

S.H. Kingma, De botsing tussen IE- en privacyrechten - het einde van het Lycos/Pessers-tijdperk, Privacy & Informatie Afl. 2012-4, p. 171-176.

Een bijdrage van Sil Kingma, Boekel De Nerée.

Vorig jaar heeft de hoogste civielrechtelijke instantie van Zweden, in de zaak Bonnier Audio AB c.s./Perfect Communication Sweden AB [red. IEF 11204] prejudiciële vragen gesteld aan het Europees Hof van Justitie (HvJ) over het toepassingsbereik van en de verhouding tussen de Dataretentierichtlijn en artikel 8 van de Handhavingsrichtlijn. Inmiddels heeft het HvJ ter zake arrest gewezen. Het arrest van het HvJ en meer in het bijzonder de conclusie van advocaat-generaal Jääskinen bij dit arrest, gaf aanleiding voor het schrijven van dit artikel. De uitkomst van het arrest druist in tegen de in Nederland geldende rechtspraak op dit punt en verdient daarom onze aandacht. Na een bespreking van de relevante (Europese) regelgeving en jurisprudentie, wordt de inhoud van het door het HvJ ter zake gewezen arrest besproken. Vervolgens wordt in dit artikel ingegaan op de vraag of de voor de praktijk erg ongunstige conclusie van de A-G terecht is. Ten slotte zal worden nagegaan welke gevolgen de in mijn ogen juiste conclusie van de A-G heeft voor de Nederlandse rechtspraktijk.

1 Inleiding
De Zweedse rechter heeft in zijn verzoek aan het HvJ gevraagd of de Dataretentierichtlijn eraan in de weg staat dat informatie over een abonnee aan wie een IP-adres is toegewezen, aan civiele partijen wordt medegedeeld. Tot op heden wordt deze vraag voor Nederland veelal beantwoord aan de hand van het in het Lycos/Pessers-arrest bepaalde toetsingskader. Dit door de Hoge Raad der Nederlanden gewezen arrest stamt echter van voor de inwerkingtreding van de Dataretentierichtlijn. Het is dus interessant na te gaan of met de komst van de Dataretentierichtlijn de Lycos/Pessers-criteria naar de prullenbak kunnen worden verwezen.

Het bovengenoemde artikel 8 van de Handhavingsrichtlijn regelt, kort gezegd, dat lidstaten erin moeten voorzien dat een rechter op verzoek van een houder van een intellectuele-eigendomsrecht (IE-recht) de in een procedure betrokken partij kan bevelen informatie over de herkomst en de distributiekanalen van goederen en diensten te verstrekken die inbreuk maken op een IE-recht. De Dataretentierichtlijn heeft tot doel de nationale bepalingen van de lidstaten te harmoniseren voor wat betreft de bewaringsverplichtingen van onder andere ISP’s ten aanzien van gegevens van haar abonnees. Dit ten behoeve van de bestrijding van criminaliteit.

Inhoudsopgave:
1 Inleiding
2 Relevante Europese regelgeving
  2.1 IE-rechtelijke richtlijnen
     2.1.1 E-Commercerichtlijn
     2.1.2 Handhavingsrichtlijn
   2.2 Privacyrichtlijnen
     2.2.1 E-Privacyrichtlijn
     2.2.2 Dataretentierichtlijn
3 Relevante Nederlandse wetgeving
4 Relevante rechtspraak
   4.1 Nationaal
     4.1.1 Lycos/Pessers
   4.2 Europees
     4.2.1 Promusicae-arrest
5 Bonnier Audio c.s.
   5.1 Conclusie HvJ
   5.2 Conclusie A-G
6 Analyse uitspraak HvJ
7 Rechtsgevolgen voor Nederland
8 Conclusie

Lees het gehele artikel, inclusief uitgebreide voetnootverwijzingen hier.

M. Korpershoek, 'Privacy in de cloud', Automatiseringsgids 25 oktober 2012.

Een bijdrage van Marianne Korpershoek, Louwers IP|Technology advocaten.

Nu cloudcomputing een grote vlucht begint te nemen, krijgen ook de privacy risico’s van cloudcomputing aandacht van de Europese privacy waakhonden. Bij cloudcomputing is er immers vaak een keten van leveranciers verantwoordelijk voor het leveren van de clouddienst en is onduidelijk wie waarvoor verantwoordelijk is. Om de verantwoordelijkheid voor het verwerken van privacy gevoelige gegevens in kaart te brengen heeft in WP29 (zie kader) op 1 juli van dit jaar een advies uitgebracht. Het CPB heeft met het advies in het achterhoofd zijn Zienswijze gegeven over het inschakelen van een Amerikaanse cloudleverancier door SURFmarket.

De privacyrisico’s in de cloud volgens WP29
Wat moet een afnemer van een clouddienst doen volgens WP29
De zienswijze van het CPB
Kader artikel 29 Working Party (WP29)
Kader ‘Plannen van Neelie Kroes met cloudcomputing’ en privacy

De privacyrisico’s in de cloud volgens WP29
De WP20 onderkent dat cloudcomputing veel economische en maatschappelijke voordelen heeft, maar dat er ook een aantal grote privacy risico’s zijn, bijvoorbeeld:

• Gebrek aan controle over persoonsgegevens. Bij cloudcomputing is immers vaak sprake van een wijdvertakte keten. In een cloudketen zijn aparte partijen voor hosting, beheer en onderhoud van de hardware, gegevens en de applicaties, ter beschikking stellen van de applicatie etc. Dat betekent dat een opdrachtgever niet weet wie van zijn leveranciers en subleveranciers verantwoordelijk is. Terwijl hij daar wel toe verplicht is op grond van de WBP. Zo kunnen voor een Nederlandse clouddienst de servers in Bulgarije staan, terwijl de helpdesk in Zuid-Afrika in de gegevens kan kijken en de onderhoudspartij uit India ook toegang heeft tot gegevens omdat dat nodig is om het werk goed uit de voeren;
• Onvoldoende informatie over hoe, waar en door wie de persoonsgegevens worden verwerkt. Wanneer de verantwoordelijke voor het verzamelen van de persoonsgegevens niet weet waar en door wie de persoonsgegevens worden opgeslagen, dan kan hij ook niet doen aan zijn informatieverplichting aan de personen van wie de gegevens worden verzameld. Iedereen heeft immers op grond van de WPB het recht om te weten welke gegevens worden opgeslagen.

Wat moet een afnemer van een clouddienst doen volgens WP29
Om bovengenoemde problemen te tackelen stelt de WP29 voor dat iedereen die een clouddienst wil afnemen waarbij privacy gevoelige gegevens worden opgeslagen, eerst een uitgebreide en grondige risicoanalyse maakt. Cloudleveranciers op hun beurt moeten afnemers alle informatie geven die nodig is om de voors en tegens van cloudcomputing voor die betrokken afnemers af te wegen. Veiligheid, transparantie en juridische zekerheid zouden de belangrijke aspecten moeten zijn in een aanbieding voor een cloudleverancier.

De WP29 vindt dat een bedrijf dat een clouddienst afneemt garanties moet vragen van zijn cloudleverancier over het nakomen van de Europese en nationale privacyregels . Dit moet verplichtvastgelegd worden in de bewerkersovereenkomst tussen de cloudleverancier en de afnemer. Deze bewerkersovereenkomst is overigens nu al verplicht op grond van de WBP. Verder moeten er afspraken gemaakt worden over bijvoorbeeld het wissen van gegevens omdat opslag niet langer nodig is. Ten slotte moet de afnemer van de clouddienst garanties vragen van zijn leverancier dat transport van data buiten de EU volgens de strenge wetgeving verloopt.

De zienswijze van het CPB
SURFmarket had het CPB gevraagd of en onder welke voorwaarden zij gegevens van Nederlandse studenten en universitaire medewerkers mochten laten opslaan bij een Amerikaans bedrijf. Het CPB heeft deze vragen beantwoord met het advies van de WP29 in het achterhoofd. Het CPB vindt dat een bedrijf dat gebruik wil maken van een Amerikaanse cloudleverancier op de eerste plaats een risicoanalyse moet doen om vast te stellen of er in zijn specifieke situatie wel gebruikt gemaakt kan worden van cloudcomputing bij een Amerikaanse leverancier. Op de tweede plaats moet de afnemer de afspraken en de garanties van zijn cloudleverancier vastleggen in een bewerkerscontract. Op de derde plaats moeten er in het contract met de cloudleverancier afspraken gemaakt worden over aansprakelijkheid bij een inbreuk op de privacy. Artikel 49 van de WBP bepaalt dat degene die de gegevens verzamelt ook aansprakelijk is voor de schade die wordt veroorzaakt door een privacyinbreuk. Deze aansprakelijkheid moet doorgelegd kunnen worden naar de cloudleverancier, aldus het CPB. Ten slotte moet er in die bewerkers overeenkomst ook afspraken gemaakt worden over de melding van datalekken.

Wat zijn de gevolgen van dit advies?
Het advies van de WP29 is natuurlijk niet meer dan een advies en geen concrete wetgeving. Maar iedereen die zijn persoonsgegevens opslaat in de cloud zal dit advies wel ter harte moeten nemen. Voor afnemers van clouddiensten geldt dat wanneer het misgaat een rechter bij de vaststelling van de aansprakelijkheid rekening zal houden met de aanbevelingen uit dit advies. Wanneer die niet zijn nageleefd door de gebruiker van de clouddienst, dan zal dat gevolgen hebben voor zijn aansprakelijkheid voor de schade van de betrokkenen, bijvoorbeeld omdat er voordat de clouddienst werd afgenomen er geen risicoanalyse is gemaakt of omdat er geen goede bewerkersovereenkomst is, of omdat blijkt dat gegevens buiten de EU zijn getransporteerd zonder dat de wet is nageleefd.

Ook aanbieders van clouddienstverlening zullen rekening moeten houden met dit advies. Bijvoorbeeld wanneer ze nalaten hun afnemers op de hoogte te stellen van alle privacyaspecten die verbandhouden met hun diensten. Ze zullen afnemers actief op de hoogte moeten stellen wanneer servers verplaatst worden of wanneer een contract gesloten wordt met bijvoorbeeld een Indiase beheerder die toegang krijgt tot de gegevens of deze nu binnen of buiten Europa zijn opgeslagen. Niet voldoen aan informatieplichten kan ook voor de cloudleverancier tot aansprakelijkheid leiden wanneer het mis gaat.

Maar niet alleen de rechter zal naar met een schuin oog naar dit advies kijken. Dit advies zal ook een kader geven voor overheden bij aanbestedingen en voor grote en kleine organisaties die een reputatie te verliezen hebben of die het risico lopen op grote schadeclaims. Cloudleveranciers zullen daar actief op moeten inspelen door bijvoorbeeld het ter beschikking stellen van risicoanalyses, externe audits over hun beveiliging etc. om te voorkomen dat zij de boot in deze belangrijke marktmissen.

Kader artikel 29 Working Party (WP29)
In 1995 is de Europese Privacy Richtlijn vastgesteld. Deze richtlijn is bedoeld om de persoonsgegevens binnen Europa op een veilige manier te bewaren en de verwerken. De Wet Bescherming Persoonsgegevens (WBP) is een vertaling van de Privacy richtlijn in de Nederlandse wet. De richtlijn verplicht dat in iedere lidstaat van de EU een toezichthouder voor de bewaking van de privacy moest worden opgericht. In Nederland is dat het College Bescherming Persoonsgegevens (CPB). Artikel 29 van de Privacy Richtlijn bepaalt dat er een werkgroep wordt ingesteld die bestaat uit vertegenwoordigers van alle Europese privacy waakhonden. Deze WP29 adviseert de Europese Commissie over privacyissues en kan ook aanbevelingen doen hoe persoonsgegevens beter beschermd kunnen worden. In dat kader heeft de WP op 1 juli 2012 een uitgebreid advies uitgebracht over de privacyaspecten van cloudcomputing en de verplichtingen van zowel aanbieders als afnemers van clouddiensten.

Kader ‘Plannen van Neelie Kroes met cloudcomputing’ en privacy
Op 27 september 2012 heeft Neelie Kroes de nieuwe Europese strategie gepresenteerd om er voor te zorgen dat cloud computing wordt gepromoot. Met cloudcomputing hoopt de EU 2,5 miljoen nieuwe banen te creëren en verder zou het bbp daardoor jaarlijks met 160 miljard euro groeien. De strategie wil barrières voor cloudcomputing wegnemen. Neelie Kroes ziet drie belangrijke belemmeringen voor de ontwikkeling van de Europese cloudmarkt:

1. Een wildgroei aan standaarden en technische normen;
2. Problemen met contracten. Veel bedrijven en consumenten maken zich zorgen over de toegang tot data en de mogelijkheden om de data mee te nemen naar bijvoorbeeld een andere leverancier. De EU wil daarom bevorderen dat er eerlijke en uitgebalanceerde standaardovereenkomsten worden opgesteld;
3. Last but not least is er de versplinterde en versnipperde Europese cloudmarkt. Ieder land heeft immers zijn eigen regels en beleid op het gebied van contracten, consumentenbescherming, strafrecht en privacy.

Op het punt van de privacy concludeert Neelie Kroes dat verschillende wetgeving in de 27 EU landen in de weg staat aan een kosteneffectieve cloudoplossing die grenzen overschrijdt. Het advies van de WP29 krijgt daarom een belangrijke rol volgens het Strategie Document. Volgend jaar komt er een Europese privacywet die gaat gelden voor alle landen van de EU en met deze nieuwe wet zullen ook specifieke regels opgesteld worden voor privacy in de cloud, zowel voor afnemers als cloudketenpartners.

Antwoord op kamervragen van de SP over de noodzaak om cookies te accepteren voor bezoekers van websites van de publieke omroep, 2012Z17372.

Antwoord op kamervragen over cookies op de websites van de publieke omroep, 2012Z17524.

Analytische cookies noodzakelijk?
Cookies zijn er in vele soorten en maten. De NPO maakt gebruik van vier verschillende soorten cookies voor verschillende doeleinden. Voor de zogenoemde functionele cookies is op grond van de nieuwe wetgeving geen toestemming vereist. Dit zijn cookies die noodzakelijk zijn voor de werking van de website. Daarnaast maakt de NPO gebruik van analytische cookies die worden gebruikt voor het verzamelen van webstatistieken. De analytische cookies geven de NPO inzicht in het gebruik van de website en de daarop aangeboden audio en video. Deze cookies worden niet gebruikt om het surfgedrag van bezoekers van andere websites te bekijken en zijn geen tracking cookies. Zoals bij het Algemeen Overleg Telecommunicatie van 21 november jongstleden is toegezegd wordt momenteel onderzocht of, en zo ja onder welke voorwaarden, analytische cookies kunnen worden beschouwd als noodzakelijk cookies, zodat ook voor deze cookies toestemming achterwege zou kunnen blijven.

Reclamecookies
Naast de wettelijke verplichtingen en de toepassing van reclamecookies gebruikt de NPO ook cookies voor de eigen bedrijfsvoering. Trackingcookies zijn geen onderdeel van de analytische cookies die de NPO hanteert.

Social media - derden via de website - komt voor rekening van betreffende social media aanbieder
Voor het gebruik van social media worden door derden via de websites van de NPO op de computers van eindgebruikers cookies geplaatst. Deze cookies kunnen trackingcookies bevatten waarbij de gegevens die worden verzameld ook aan derden kunnen worden verstrekt. Het gebruik van deze gegevens komt voor rekening van de desbetreffende sociale media aanbieder. Gebruikers kunnen op de websites van deze desbetreffende sociale media aanbieders lezen waar de
verzamelde gegevens voor worden gebruikt.

Op andere blogs:
ICTRecht

Verslag wijziging van de Paspoortwet in verband met onder meer de status van de Nederlandse identiteitskaart, Kamerstukken II 2012/13, 33 440-(R1990), nr. 5.

Inhoudsopgave
1. Inleiding
2. Verlenging geldigheidsduur reisdocumenten en Nederlandse identiteitskaart
3. Wijziging van de status van de Nederlandse identiteitskaart
4. Het opnemen van een grondslag voor heffing van rechten
5. Het opnemen van vingerafdrukken in de reisdocumentenadministratie
6. Gevolgen van het wetsvoorstel voor de privacy
7. Gevolgen van het wetsvoorstel voor de administratieve lasten
8. Uitvoeringslasten en financiële gevolgen

De leden van de SGP-fractie vinden het belangrijk dat er voldoende aandacht is voor een passend beveiligingsniveau dat bestand is tegen toenemende technische mogelijkheden om in te breken op chips. Het is een noodzaak. Bij een geldigheidsduur van tien jaar zijn de risico’s groter. Zij vragen de regering of er op dit moment mogelijkheden zijn opgenomen in de wet om in het geval van zeer grote risico’s paspoorten en andere documenten terug te roepen. Zo niet, is het te overwegen om die mogelijkheid uitdrukkelijk in de wet op te nemen om daarmee een waarborg te hebben tegen onvoorziene technische ontwikkelingen die de privacy bedreigen?

6. Gevolgen van het wetsvoorstel voor de privacy

De leden van de PvdA-fractie zijn tevreden over de stevige doelbinding en tijdsbeperking van de opslag van vingerafdrukken, namelijk alleen voor de verwerking van de aanvraag en voor de duur van de aanvraag. Als we ze dan toch moeten verwerken, dan zo beperkt mogelijk. Deze leden constateren echter ook dat er toezeggingen gedaan zijn over het vernietigen van vingerafdrukken die voor 23 juni 2011 zijn vastgelegd. Zij willen graag van de regering weten wat de stand van zaken is van deze vernietiging. Is al aan alle technische voorwaarden voldaan, zijn alle vingerafdrukken en de sporen daarnaar vernietigd, en is daar nog controle naar gedaan?

De leden van de PvdA-fractie constateren dat de vingerafdrukken op basis van het, nog niet in werking getreden, artikel 4b.4 nog raadpleegbaar zijn door het OM. Deze leden willen graag weten hoe dit zich verhoudt tot de doelbinding van de afname van vingerafdrukken en of dit artikel niet beter geschrapt kan worden voor de duidelijkheid.

 

Eén van de onderwerpen waar de leden van de PvdA-fractie zich zorgen over maken is de veiligheid van de RFID-chip in het paspoort en de NIK? In juli is nog aangetoond dat met de juiste apparatuur het relatief eenvoudig is om van een niet-beveiligde chip het ID uit te lezen en dit vervolgens naar een dupli-caat-tag te schrijven. De paspoortchip bevat onder meer de naam, foto, BSN, geboortedatum, en vingerafdrukken van de houder. Met deze gegevens is het relatief eenvoudig identiteitsfraude te plegen. Daarom willen deze leden graag weten waarop de regering zijn mening baseert dat de gegevens op het paspoort maximaal beschermd worden. Kan de regering aantonen dat de huidige bescherming nog optimaal is? Welke aanpassingen en verbeteringen zijn er de afgelopen jaren in de chips in het paspoort aangebracht? Zijn er noodplannen om de integriteit van oude identiteitsdocumenten met kwetsbaarheden in de beveiliging te garanderen of weer op het vereiste niveau te brengen?

 

De leden van de PVV-fractie vragen de regering haar visie te geven over het feit dat experts verwachten dat in de toekomst het aantal kwetsbaarheden in de chips, en het tempo waarin ze worden gevonden, zal toenemen, terwijl een paspoort dadelijk tien jaar geldig is en op afstand uitleesbare vingerafdrukken bevat. Ziet de regering daar geen grote risico’s voor privacy, veiligheid en mogelijkheden tot misbruik? Welke maatregelen, anders dan gebruikmaken van chips die aan de huidige beveiligingsstandaarden voldoen, worden er genomen om dit risico terug te brengen?

 

De leden van de CDA-fractie lezen dat de regering van opvatting is, dat kwetsbaarheden in de chip van een uitgegeven reisdocument niet kunnen worden hersteld, dat daar althans geen mogelijkheden voor zijn. Deze leden vragen, wat daarvan de gevolgen kunnen zijn voor de houder van een dergelijk reisdocument.

 

Ondanks dat de regering aangeeft dat het verlengen van de geldigheidsduur van reisdocumenten bepaalde risico’s met zich meebrengt rondom identificatie, menen de leden van de D66-fractie dat er onvoldoende wordt ingegaan op de mogelijkheid om de chip op de documenten beter te beveiligen tegen identiteitsdiefstal, bijv. door middel van een toegangs-vergrendeling. Deze leden vragen zich af of de voorgestelde methode de meest veilige is, en waar deze conclusie op gebaseerd is. Waarom is niet gekozen voor additionele beveiligingsmogelijkheden? De aan het woord zijnde leden delen hierbij de door het College Bescherming Persoonsgegevens geuitte zorgen over het realiseren van een passend beveiligingsniveau conform het bepaalde in artikel 13 Wet bescherming persoonsgegevens (Wbp). Zij ontvangen graag een nadere motivering op dit punt.

 

De leden van de SGP-fractie vinden het belangrijk dat er voldoende aandacht is voor een passend beveiligingsniveau dat bestand is tegen toenemende technische mogelijkheden om in te breken op chips. Het is een noodzaak. Bij een geldigheidsduur van tien jaar zijn de risico’s groter. Zij vragen de regering of er op dit moment mogelijkheden zijn opgenomen in de wet om in het geval van zeer grote risico’s paspoorten en andere documenten terug te roepen. Zo niet, is het te overwegen om die mogelijkheid uitdrukkelijk in de wet op te nemen om daarmee een waarborg te hebben tegen onvoorziene technische ontwikkelingen die de privacy bedreigen?

Brief CBP aan Staatssecretaris, Tweede nota van wijziging Wetsvoorstel forensische zorg, kenmerk z2012-00824.

Uit't persbericht: Het College bescherming persoonsgegevens (CBP) heeft geadviseerd over een nota van wijziging bij het wetsvoorstel forensische zorg, dat momenteel in behandeling is bij de Tweede Kamer. De nota betreft de regeling die het mogelijk maakt om van verdachten van misdrijven waarvoor tbs opgelegd kan worden bestaande medische gegevens te vorderen bij behandelend artsen. Deze gegevens worden vervolgens gebruikt om een mogelijke psychische stoornis te bepalen bij verdachten die weigeren aan tbs-onderzoek mee te werken. Het CBP adviseert om de behandeling in de Tweede Kamer van de regeling niet voort te zetten.

Uit de brief: Juridisch kader

De voorgestelde regeling dient te voldoen aan artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM), artikel 10 Grondwet alsmede aan de Wet bescherming persoonsgegevens (Wbp), welke uitvoering geeft aan Richtlijn 95/46/EG. De voorgestelde regeling dient tevens te voldoen aan aanverwante wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens, waaronder de regeling inzake het medisch beroepsgeheim, neergelegd in artikel 7:457 van het Burgerlijk Wetboek (BW) en in artikel 88 van de Wet beroepen individuele gezondheidszorg (Wet BIG). Volgens vaste jurisprudentie van het Europese Hof voor de Rechten van de Mens dient iedere beperking van het recht op eerbiediging van de persoonlijke levenssfeer te worden gerechtvaardigd door een ‘pressing social need’. De inmenging moet bovendien evenredig zijn aan het nagestreefde doel (proportionaliteit), dat doel moet niet op andere, minder indringende wijze kunnen worden bereikt (subsidiariteit) en de ter onderbouwing aangevoerde gronden moeten relevant en toereikend zijn.

Voor het verwerken van persoonsgegevens is onder meer een grondslag als bedoeld in artikel 8 Wbp vereist en tevens moet zijn voldaan aan de eisen van noodzakelijkheid en doelbinding (artikel 7 Wbp). Deze vereisten houden kort gezegd in dat persoonsgegevens slechts mogen worden verwerkt indien én voor zover dit noodzakelijk is om het beoogde doel te bereiken alsmede dat het verder verwerken van persoonsgegevens slechts is toegestaan indien die verdere verwerking niet onverenigbaar is met de doeleinden waarvoor de persoonsgegevens zijn ontvangen (artikel 9 Wbp).

Het verwerken van bijzondere persoonsgegevens, zoals persoonsgegevens betreffende gezondheid (hierna: medische persoonsgegevens), is aan strengere regels gebonden. De Wbp verbiedt het verwerken van bijzondere persoonsgegevens (artikel 16 Wbp), tenzij sprake is van een van de in de Wbp opgesomde ontheffingen van dat verbod (artikel 17 t/m 23 Wbp).

Indien geen ontheffing wordt gevonden in de algemene gronden van artikel 21 dan wel 23 Wbp, kan een specifieke ontheffing worden gecreëerd bij wet. Artikel 23 lid 1 sub f Wbp bepaalt dat het verbod om bijzondere persoonsgegevens te verwerken niet van toepassing is voor zover dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer, en dit bij wet wordt bepaald. Bij de implementatie van artikel 8 lid 4 van Richtlijn 95/46 EG in artikel 23 lid 1 sub e Wbp is er uitdrukkelijk voor gekozen dat de grondslag voor de gegevensverwerking moet worden gecreëerd bij wet in formele zin. De grondslag voor gegevensverwerking dient – mede gelet op artikel 8 EVRM en artikel 10 Grondwet – voldoende specifiek te zijn. Ook dient de noodzakelijkheid van de verwerking door de formele wetgever te worden onderbouwd en moeten passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer.

Medische persoonsgegevens mogen slechts worden verwerkt indien een ontheffing wordt gevonden in artikel 21 Wbp dan wel artikel 23 Wbp.  

Indien een wettelijke bepaling er ook op is gericht het medisch beroepsgeheim te doorbreken, dient deze bepaling te voorzien in voldoende specificatie van zowel de doelstelling van de verplichting als de nader bepaalde gegevens waarop die verplichting ziet.

Prejudiciële vragen aan HvJ EU 22 oktober 2012, zaak C-473/12 (Beroepsinstituut van vastgoedmakelaars (BIV) tegen Immo 9 BVBA) - dossier

Het Beroepsinstituut van vastgoedmakelaars BIV waakt over de integriteit van de beroepsgroep die, net als in NL, een beschermde titel voert. Zij vraagt de rechtbank om bepaalde handelingen in strijd met de wet te verklaren en zo ongewenste vastgoedactiviteiten te kunnen stoppen. Om belastende gegevens te verzamelen maakt BIV gebruik van privédetectives. In 2010 heeft het Hof van Beroep te Bergen al geoordeeld dat een door een detective opgesteld verslag gegevens bevatte die in strijd zijn met de Belgische wet van 8 december 1992 (tot bescherming van de persoonlijke levenssfeer). Deze wet legt (onder meer aan) detectives verplichtingen op, maar verzoekster stelt dat indien deze wet strikt wordt toegepast een privédetective zijn werk niet meer kan doen. De rechter in eerste instantie (Rb Charleroi) vraagt zich af of hier strijd is met het gelijkheidsbeginsel, en legt het Grondwettelijk Hof de volgende vraag voor:

„Schendt de wet van 8 december 1992 ‚tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens’ het grondwettelijk[e] gelijkheidsbeginsel, door de overeenkomstig de wet van 19 juli 1991 ‚tot regeling van het beroep van privédetective’ erkende privédetectives niet op te nemen in de uitzonderingen die zij in de paragrafen 3 tot 7 van artikel 3 ervan opsomt voor bepaalde categorieën van beroepen of instellingen waarvan de activiteit door de bepalingen van de wet zou kunnen worden geraakt, waarbij de erkende privédetectives van hun kant zijn onderworpen aan de verplichtingen die zijn vervat in artikel 9 van de wet, dat tot gevolg kan hebben dat hun activiteit gedeeltelijk onwerkzaam wordt?”

Het Grondwettelijk Hof realiseert zich dat het gaat om het juiste evenwicht tussen in het Handvest beschermde grondrechten en legt, alvorens de vraag te beantwoorden, de volgende drie vragen voor aan het HvJEU:

1. Dient artikel 13, lid 1, sub g, in fine, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus te worden geïnterpreteerd dat het de lidstaten vrij staat al dan niet in een uitzondering te voorzien op de in artikel 11, lid 1, bedoelde onmiddellijke informatieplicht, indien dit noodzakelijk is ter bescherming van de rechten en vrijheden van anderen of zijn de lidstaten ter zake aan beperkingen onderworpen?

2. Vallen de beroepsactiviteiten van privédetectives, die door het interne recht worden geregeld en worden uitgeoefend ten dienste van overheden die ertoe zijn gemachtigd elke inbreuk op de bepalingen tot bescherming van een beroepstitel en tot organisatie van een beroep aan te klagen bij de gerechtelijke overheden, naar gelang van de omstandigheden, onder de uitzondering bedoeld in artikel 13, lid 1, sub d en g, in fine, van de voormelde richtlijn?

3. Is, indien het antwoord op de tweede vraag ontkennend zou zijn, artikel 13, lid 1, sub d en g, in fine, van de voormelde richtlijn verenigbaar met artikel 6, lid 3, van het Verdrag betreffende de Europese Unie, meer bepaald met het beginsel van gelijkheid en niet-discriminatie?

HR 27 november 2012, LJN BY0215 (bewakingscamera)

Strafrechtzaak. Beroep op bewijsuitsluiting. Vordering OvJ tot het verstrekken van gegevens, art. 126nd Sv. De HR herhaalt toepasselijke overweging uit HR LJN BL7688. In ’s Hofs overwegingen ligt als diens niet onbegrijpelijke vaststelling besloten dat degene die verantwoordelijk is voor het gebruik van de onderhavige beelden van de bewakingscamera deze beelden eigener beweging en op vrijwillige basis aan de politie heeft verstrekt, althans dat die persoon niet door de politie is gevraagd om op vrijwillige basis deze beelden aan de politie te verstrekken. Het oordeel van het Hof dat in een zodanig geval geen vordering a.b.i. art. 126nd Sv is vereist, is juist. De HR overweegt nog het volgende. Het in de overwegingen van het Hof omschreven geval heeft klaarblijkelijk geen betrekking op verwerking van persoonsgegevens in de vorm van overdracht van zulke gegevens door het ene bestuursorgaan aan het andere. Daarom zou art. 8.(f) Wet bescherming persoonsgegevens (Wbp) geen grondslag kunnen vormen voor het ter beschikking van de opsporingsinstantie stellen van het desbetreffende beeldmateriaal. Voor dit ter beschikking van de opsporingsinstantie stellen van het d.m.v. beveiligingscamera’s verkregen beeldmateriaal zou degene die daartoe toegang heeft (de verantwoordelijke of bewerker in de zin van art. 1 (d/e) Wbp) onder omstandigheden wel een grondslag kunnen ontlenen aan het bepaalde in art. 43 jo. art. 9.1 Wbp.

3.1. Sinds de verklaringen van aangever [betrokkene 1] (19 april 2010) en de verklaring van verbalisant [verbalisant 1] (12 augustus 2010) bij de rechter-commissaris weten wij dat de gang van zaken rond de verkrijging van het beeldmateriaal van de bewakingscamera van de flat aan de [a-straat] niet conform de regels is verlopen. Hierdoor werd afbreuk gedaan aan het recht op een eerlijk proces, inzet van opsporingsmiddelen vergt een voldoende wettelijke basis, tevens werd zijn recht op privacy (art. 8 EVRM) geschonden, nu hij zijn bezoek aan personen in het flatgebouw niet (vrijwillig, zonder vordering van het OM) in de openbaarheid wenste te (doen) brengen.

3.7. Bewijsuitsluiting kan als op grond van art. 359a, eerste lid, Sv voorzien rechtsgevolg uitsluitend aan de orde komen indien door de onrechtmatige bewijsgaring een belangrijk (strafvorderlijk) voorschrift of rechtsbeginsel in aanzienlijke mate is geschonden. Wat dat laatste betreft geldt dat de omstandigheid dat, naar aan het verweer ten grondslag is gelegd, verdachtes 'privacy is geschonden' doordat aan de afgifte van de beelden niet een vordering als bedoeld in art. 126nd Sv is voorafgegaan, hetgeen de Hoge Raad verstaat als een beroep op schending van het in art. 8 EVRM gegarandeerde recht op eerbiediging van de persoonlijke levenssfeer, niet zonder meer een inbreuk oplevert op de in art. 6 EVRM vervatte waarborg van een eerlijk proces (vgl. HR 7 juli 2009, LJN BH8889, NJ 2009/399). Ook bij bewijsuitsluiting gaat het overigens om een bevoegdheid van de rechter, waarvan de uitoefening in de eerste plaats moet worden beoordeeld in het licht van de wettelijke beoordelingsfactoren van art. 359a, tweede lid, Sv en van de omstandigheden van het geval (vgl. HR 30 maart 2004, LJN AM2533, NJ 2004/376).

Op andere blogs:
DirkzwagerIEIT (Hoge Raad introduceert aanvullende grondslag verwerking persoonsgegevens)

Daniëlle van der Zande, A penny for your privacy. An analysis of the reimbursements in privacy infringement procedures, masterscriptie Law & Technology, Universiteit van Tilburg.

Een bijdrage van Daniëlle van der Zande, LinkedIn.

Artikel 49 Wbp (Wet Bescherming Persoonsgegevens) geeft een betrokkene de mogelijkheid om immateriële schade te claimen na een privacyschending. Met de invoering van de Europese privacyverordening (naar verwachting in 2015) blijft deze mogelijkheid bestaan in artikel 77. Tot nu toe blijkt het in de praktijk voor betrokkenen lastig om op grond van artikel 49 Wbp immateriële schade te bewijzen. Voor zover bekend is slechts één claim toegewezen. Met de invoering van de nieuwe privacyverordening komt het Europese Hof van Justitie de bevoegdheid toe om uitleg te geven aan immateriële schade. Hoewel het Hof van Justitie in het verleden een andere uitleg heeft gegeven aan het begrip schade dan onze nationale rechters, kan het voor een betrokkene problematisch blijven om immateriële schade te bewijzen. Hierdoor wordt de kans op een adequate vergoeding ontnomen. Een lidstaat is aansprakelijk indien geen effectief rechtsmiddel wordt geboden (artikel 13 EVRM). Het is daarom van belang dat een betrokkene de kans heeft om succesvol immateriële schade te claimen.

In haar scriptie stelt Daniëlle van der Zande een raamwerk voor waarmee immateriële schade kan worden berekend. Dit raamwerk kan worden geïmplementeerd in de privacyverordening. Hierdoor ontstaat binnen Europa een uniforme toepassing over de toekenning en berekening van immateriële schade na een schending van privacy. Bovendien voorkomt een lidstaat aansprakelijkheid onder artikel 13 EVRM.