Privacy  

Opinion of the European Data Protection Supervisor on the Commission's Communication on "Unleashing the potential of Cloud Computing in Europe".

121. As described in the Communication, cloud computing offers many new opportunities to businesses, consumers, and the public sector for the management of data through the use of remote external IT resources. At the same time, it presents many challenges in particular as to the appropriate level of data protection offered to data processed therein.

122. The use of cloud computing services raises a major risk of seeing responsibility evaporating in relation to processing operations carried out by cloud service providers, if the criteria for applicability of EU data protection law are not sufficiently clear and if the role and the responsibility of cloud service providers are defined or understood too narrowly, or are not implemented effectively. The EDPS emphasizes that the use of cloud computing services cannot justify a lowering of data protection standards as compared to those applicable to conventional data processing operations.

123. In this respect, the proposed Data Protection Regulation, as it has been put forward, would provide many clarifications and tools that would help ensure that a satisfactory level of data protection is complied with by cloud service providers offering their services to clients based in Europe, in particular:

- Article 3 would clarify the territorial scope of the EU data protection rules and broaden its scope so that cloud computing services would be covered;
- Article 4(5) would introduce a new element of controllership, that is "conditions". This would be in line with the developing trend according to which, in view of the technical IT complexity underlying the provision of cloud computing services, it is necessary to expand the circumstances in which a cloud service provider may be qualified as the controller. This would better reflect the real level of influence on the processing operations;
- the proposed Regulation would increase the responsibility and accountability of data controllers and processors, by introducing specific obligations such as data protection by design and by default (Article 23), data security breach notifications (Articles 31 and 32), and data protection impact assessments (Article 33). Furthermore, it would require controllers and processors to implement mechanisms to demonstrate the effectiveness of the data protection measures implemented (Article 22);
- Articles 42 and 43 of the proposed Regulation would allow a more flexible use of international data transfer mechanisms, to help cloud clients and cloud service providers adduce appropriate data protection safeguards for the
transfers of personal data to data centres or servers located in third countries;
- Articles 30, 31 and 32 of the proposed Regulation would clarify the obligations of controllers and processors regarding the security of processing and information requirements in case of data breaches, laying the basis for a comprehensive and cooperative approach to the management of security between the different actors in a cloud environment;
- Articles 55 to 63 of the proposed Regulation would reinforce cooperation of supervisory authorities and their coordinated supervision over cross-border processing operations, which is particular crucial in an environment such as cloud computing.

124. The EDPS nonetheless suggests that, after having taken into account the specificities of cloud computing services, further clarifications be made in the proposed Regulation on the following aspects:
- as concerns the territorial scope of the proposed Regulation, to amend Article 3(2)(a) to read "the offering of goods or services involving processing of personal data of such data subjects in the Union", or alternatively to add a new recital specifying that the processing of personal data of data subjects in the Union by non-EU based controllers offering services to EU based legal persons also falls within the territorial scope of the proposed Regulation;
- to add a clear definition of the notion of 'transfer', as stated in his Opinion on the Data Protection Reform package;
- to add a specific provision to clarify the conditions under which access to data stored in cloud computing services by non-EEA countries law enforcement bodies could be allowed. Such provision may also include the obligation for
the recipient of the request to inform and consult the competent supervisory authority in the EU in specific cases.

125. The EDPS also underlines that further guidance will be necessary from the Commission and/or from supervisory authorities (in particular through the future European Data Protection Board) on the following aspects:
- to clarify which mechanisms should be put in place to ensure verification of the effectiveness of the data protection measures in practice;
- to assist processors with the use of BCRs and how they can comply with applicable requirements;
- to provide best practices on issues such as controller/processor's responsibility, the appropriate retention of data in the cloud environment, data portability, and the exercise of data subjects' rights.

126. Furthermore, the EDPS acknowledges that codes of conduct drawn up by the industry and approved by the relevant supervisory authorities could be a useful tool to enhance compliance as well as trust among the various players.

127. The EDPS supports the development by the Commission, in consultation with supervisory authorities, of standard contractual terms for the provision of cloud computing services that respect data protection requirements, in particular:
- to develop model contractual terms and conditions to be included in the commercial terms of cloud computing service offerings;
- to develop common procurement terms and requirements for the public sector, taking into account the sensitivity of the data processed;
- to further tailor international data transfer mechanisms to the cloud computing environment, in particular by updating the current standard contractual clauses and by putting forward standard contractual clauses for the transfer of data from processors based in the EU to processors located outside the EU.

128. The EDPS underlines that appropriate consideration must be given to data protection requirements in the development of standards and certification schemes, in particular:
- to apply the principles of privacy by design and privacy by default in the development of the standards;
- to integrate data protection requirements such as purpose limitation and storage limitation in the standards' design;
- the obligations of providers to provide their clients with the information necessary to perform a valid risk assessment and the security measures they implemented, as well as alerts about security incidents.

129. Finally, the EDPS stresses the need to address the challenges raised by cloud computing at an international level. He encourages the Commission to engage in an international dialogue on the issues raised by cloud computing, including jurisdiction and access by law enforcement, and suggests that many of these issues could be addressed in different international or bilateral agreements, such as Mutual Assistance Agreements and also trade agreements. Global standards should be developed at international level to set forth minimum conditions and principles regarding the access to data by law enforcement bodies. He also supports the development by the supervisory authorities of effective international cooperation mechanisms, in particular as relates to cloud computing issues. 

Walking a Thin Line: The Regulation of EPGs, B. van der Sloot, JIPITEC, 2012-2, p. 138-147.

Due Prominence in Electronic Programme Guides, B. van der Sloot, IRIS Plus, 2012-5.

Google's Dead End, or: on Street View and the Right to Data Protection: An analysis of Google Street View's compatibility with EU data protection law, B. van der Sloot & F. Zuiderveen Borgesius, Computer Law Review International, 2012-4, p. 103-109.

From Data Minimization to Data Minimummization, B. van der Sloot, in: B. Custers, T. Calders, B. Schermer & T. Zarsky (eds.), Discrimination and Privacy in the Information Society. Data Mining and Profiling in Large Databases, Springer: Heidelberg 2012, p. 273-287. ISBN: 9783642304866.

CBP november 2012, Z2012-00068 (Albert Heijn B.V. in het kader van de AH Bonuskaart/het voordeelprogramma Mijn Bonus)

Aangekondigde maatregelen Albert Heijn
Albert Heijn heeft aangegeven dat de verwachting is dat zij begin 2013 op basis van hernieuwde informatie opnieuw opt-ins voor Mijn Bonus zal gaan vragen. Albert Heijn heeft toegezegd de Persoonsgebonden Bonuskaarthouder alsnog adequaat te informeren en (opnieuw) een algehele opt-in te vragen. Albert Heijn heeft, naar aanleiding van de voorlopige bevindingen, de informatievoorziening in het Privacy- en Cookiebeleid aangepast op de (her)introductie van het Mijn Bonusprogramma. Nadere informatie waaruit blijkt op welke wijze de betrokkenen expliciet om toestemming wordt gevraagd, is nog niet van Albert Heijn ontvangen. De hernieuwde informatievoorziening is, mede gelet op stopzetting van Mijn Bonus, niet door het CBP beoordeeld.

Anonieme Bonuskaart
Van Persoonsgebonden en Anonieme Bonuskaarthouders legt Albert Heijn - gekoppeld aan het unieke AH Bonuskaartnummer - aankoopgegevens vast in de Albert Heijn systemen, zoals het AH filiaal, de gekochte artikelen en bijbehorende bedragen en de datum en tijd waarop de transactie heeft plaatsgevonden.

Van de in totaal ongeveer [VERTROUWELIJK: (...)] door Albert Heijn uitgegeven AH Bonuskaarten (actieve AH Bonuskaarthouders plus verloren, versleten of weggegooide en weer vervangen AH Bonuskaarten) zijn er [VERTROUWELIJK: (...)] anoniem ([VERTROUWELIJK: (...)]). Het CBP heeft vastgesteld dat Albert Heijn persoonsgegevens verwerkt van Persoonsgebonden en Anonieme Bonuskaarthouders.

Bij de registratie van een Persoonsgebonden Bonuskaart worden, naast het AH Bonuskaartnummer, in alle gevallen direct identificeerbare persoonsgegevens (NAWgegevens) vastgelegd van de Persoonsgebonden Bonuskaarthouder en is sprake van een identificeerbare persoon.

Klanten die hun persoonsgegevens niet bekend willen maken, wordt door Albert Heijn de mogelijkheid geboden om gebruik te maken van Bonuskortingen zonder NAW-gegevens aan Albert Heijn op te hoeven geven (de Anonieme Bonuskaart). Het CBP heeft vastgesteld dat de gegevens van Anonieme Bonuskaarthouders (doorgaans) toch direct of indirect te herleiden zijn tot individuele personen. In het geval van gebruik van een Anonieme Bonuskaart, in combinatie met:
- een Mijn ah.nl account en/of gebruik van de AH Boodschappen webwinkel 
- een Mijn ah.nl account en gebruik van Appie
- een Air Mileskaart
- vragen en klachten in de winkel inzake betalingen
blijkt een koppeling mogelijk tussen het Anonieme Bonuskaartnummer en (andere) persoonsidentificerende gegevens (bijvoorbeeld NAW-gegevens en/of e-mailadres).

Circa [VERTROUWELIJK: (...)] AH Bonuskaarthouders gebruiken de hiervoor genoemde online diensten van Albert Heijn. Van de circa [VERTROUWELIJK: (...)] AH Bonuskaarthouders die gebruik maken van zulke online diensten, zijn er [VERTROUWELIJK: (...)] Anonieme Bonuskaarthouders (dat is [VERTROUWELIJK: (...)] van alle Anonieme Bonuskaarthouders).

Albert Heijn geeft aan een Anonieme Bonuskaart met bij haar bekende NAWgegevens en/of e-mailadres wel anoniem te blijven behandelen. Zolang echter een koppeling mogelijk is tussen het Anonieme Bonuskaartnummer en direct of indirect identificerende persoonsgegevens, is sprake van (in)directe herleidbaarheid tot een individuele persoon en is de Wbp van toepassing. Dit betekent dat Albert Heijn met betrekking tot de Anonieme Bonuskaarthouder moet voldoen aan de verplichtingen uit de Wbp, waaronder de artikelen 33 jo. 34 (informatieplicht) en 35 (inzagerecht).

De Anonieme Bonuskaarthouder moet zicht (kunnen) hebben op het aantal en de soort verwerkingen die plaatsvinden met zijn persoonsgegevens en de (lange termijn)gevolgen daarvan. Bij gebrek aan kennis over de gegevensverwerking kan hij zijn rechten, zoals het vragen om inzage, niet uitoefenen.

Doordat Albert Heijn de Anonieme Bonuskaarthouders (aanvankelijk) niet, althans onvolledig en onvoldoende duidelijk nader informeerde over de gevallen waarin de Anonieme Bonuskaarthouder zijn anonieme status (alsnog) verliest (dat wil zeggen: wanneer sprake is van verwerking van persoonsgegevens in de zin van de Wbp) alsmede over de categorieën van verwerkte persoonsgegevens (naast aankoopgegevens) teneinde tegenover de betrokkenen een behoorlijke en zorgvuldige verwerking te waarborgen, heeft Albert Heijn in strijd gehandeld met artikel 33 jo. 34 van de Wbp.

Albert Heijn heeft, voorafgaand aan het rapport van voorlopige bevindingen van het CBP, ten aanzien van gebruik van een Anonieme Bonuskaart, in combinatie met gebruik van de AH Boodschappen webwinkel en ten aanzien van vragen en klachten in de winkel inzake betalingen, in een nieuw privacybeleid vermeld dat de Anonieme Bonuskaart dan “strikt genomen niet langer meer "anoniem" is”. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn haar informatievoorziening over gebruik van een Anonieme Bonuskaart, in combinatie met een Mijn ah.nl account, bepaald gebruik van Appie, en koppeling met een Air Mileskaart aangepast. In haar nieuwe Privacy- en Cookiebeleid maakt Albert Heijn duidelijk dat de Anonieme Bonuskaarthouder (ook) in de hiervoor genoemde gevallen zijn anonieme status verliest en welke categorieën van gegevens Albert Heijn in dat geval verwerkt. Hierdoor handelt Albert Heijn niet langer in strijd met artikel 33 jo. 34 van de Wbp.

Doordat Albert Heijn de Anonieme Bonuskaarthouders niet op verzoek mededeelde of en zo ja, welke hen betreffende persoonsgegevens zij verwerkt, ontnam Albert Heijn de Anonieme Bonuskaarthouders hun inzagerecht en heeft zij daarmee voorts in strijd gehandeld met artikel 35 van de Wbp. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn haar inzagebeleid aangepast, in die zin dat Albert Heijn ook voldoet aan inzageverzoeken van Anonieme Bonuskaarthouders van wie zij identificerende gegevens heeft. Hierdoor handelt Albert Heijn niet langer in strijd met artikel 35 van de Wbp.

Mijn Bonus
Op 3 januari 2012 heeft Albert Heijn een nieuw voordeelprogramma aangekondigd voor Persoonsgebonden Bonuskaarthouders, Mijn Bonus. Het ging om persoonlijke Bonusaanbiedingen/-kortingen, gebaseerd op aankoopgegevens in aanvulling op de bestaande algemene Bonusaanbiedingen. Persoonsgebonden Bonuskaarthouders hebben een brief ontvangen van Albert Heijn met een korte toelichting op Mijn Bonus. Daarmee samenhangend is de privacyverklaring met betrekking tot de AH Bonuskaart gewijzigd.

Albert Heijn heeft in de periode 2010 tot en met 2012 op verschillende manieren gepersonaliseerde marketingactiviteiten verricht. (De pilot voor) Mijn Bonus is medio februari 2012 stopgezet, mede naar aanleiding van dit onderzoek van het CBP.

(De pilot voor) Mijn Bonus zag enerzijds op korting op producten die de Persoonsgebonden Bonuskaarthouder veel koopt. Anderzijds op korting op producten die andere klanten kopen die vergelijkbare producten kopen, maar die de Persoonsgebonden Bonuskaarthouder tot dan toe nog niet heeft gekocht. Van de producten in de aanbieding werden dan de artikelen geselecteerd die het beste aansluiten op de bekende aankoopgegevens van de Persoonsgebonden Bonuskaarthouder (uitkomstwaarden op basis van koopgedrag).

Albert Heijn verwerkte in dit kader onder andere het Persoonsgebonden Bonuskaartnummer en NAW-gegevens, met aankoopgegevens.

Albert Heijn baseerde deze gegevensverwerking voor het doeleinde van het maken van persoonlijke analyses voor het doen van gepersonaliseerde aanbiedingen op ondubbelzinnige toestemming (artikel 8, aanhef en onder a, van de Wbp). Om te kunnen spreken van ondubbelzinnige toestemming dient te zijn voldaan aan de volgende criteria: een vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke mag niet uitgaan van toestemming indien de betrokkene geen opmerkingen maakt over de gegevensverwerking ( ‘toestemming’ die wordt geacht voort te vloeien uit het uitblijven van actie of het stilzwijgen van de betrokkene). Het CBP heeft vastgesteld dat de toestemming niet aan deze criteria voldeed.

Uit het papieren registratie- en wijzigingsformulier en het online registratieformulier (webformulier) bleek onvoldoende duidelijk wat de gegevensverwerking behelsde. De toestemmingsvraag ‘Ik wil wel/niet door Albert Heijn op de hoogte worden gehouden van nieuws, persoonlijke aanbiedingen en speciale services voor Bonuskaarthouders’ respectievelijk ‘Albert Heijn mag mij informatie (zoals nieuws, persoonlijke aanbiedingen) toesturen’ was onvoldoende specifiek. Daaruit volgde dat niet voor elk verwerkingsdoeleinde/-element (het maken van persoonlijke analyses en het doen van gepersonaliseerde aanbiedingen) toestemming werd verkregen.

De verschillende elementen van de verwerking van persoonsgegevens en de categorieën van verwerkte persoonsgegevens waren niet althans onvoldoende begrijpelijk omschreven in het papieren registratie- en wijzigingsformulier, het online registratieformulier, het oude privacybeleid, de webpagina ah.nl/bonuskaart. Dit gold ook voor de Mijn Bonus brief van op of rond 3 januari 2012, met de woorden: ‘(informeren over/ontvangen van) persoonlijke aanbiedingen’, ‘om u te kunnen bereiken en om te bepalen of een service of aanbieding voor u interessant kan zijn. Bijvoorbeeld (…) korting op een product dat u regelmatig koopt’, ‘voor het verstrekken van (eventueel op basis van uw aankopen) kortingen en voordelen’ en ‘persoonlijke Bonusaanbiedingen, speciaal voor u geselecteerd’. De informatie was voorts fragmentarisch aangeboden, in die vijf documenten. Er was derhalve geen sprake van duidelijke, volledige, begrijpelijke en nauwkeurige informatie.

Albert Heijn heeft verklaard dat een opt-in is gevraagd middels een online registratieformulier, waarop het vakje ‘Ja’ al was aangevinkt. De verantwoordelijke mag niet uitgaan van toestemming indien de betrokkene geen opmerkingen maakt over de gegevensverwerking (oftewel: bij ‘toestemming’ die wordt geacht voort te vloeien uit het uitblijven van actie of het stilzwijgen van de betrokkene, zoals een vooraangevinkt vakje). Albert Heijn heeft ook zelf met zoveel woorden verklaard dat zij zich thans realiseert dat doordat het vakje al was aangevinkt de toestemming voor het doen van persoonlijke aanbiedingen niet goed was vormgegeven. Dit is voorafgaand aan het rapport van voorlopige bevindingen op de website gewijzigd in die zin dat het vakje niet langer vooraf is aangevinkt. Ten slotte was in veel gevallen het tijdsverloop tussen het moment van toestemmingverlening (soms zelfs vanaf 1998) en de gewijzigde werkwijze van algemene naar gepersonaliseerde marketingactiviteiten (wijze van verwerking van persoonsgegevens vanaf 2010) te groot. Albert Heijn diende in zo’n geval niet te volstaan met het aannemen van een impliciete toestemming voor de nieuwe wijze van verwerking van persoonsgegevens, maar had de Persoonsgebonden Bonuskaarthouder (opnieuw) expliciet om toestemming moeten vragen alvorens deze gewijzigde verwerking toe te passen. Albert Heijn heeft dit echter nagelaten.

Doordat geen sprake was van ondubbelzinnige toestemming beschikte Albert Heijn niet over een rechtsgeldige grondslag voor het verwerken van de persoonsgegevens die zijn verkregen met behulp van de Persoonsgebonden Bonuskaart. Met het verwerken van persoonsgegevens voor het doeleinde van het maken van persoonlijke analyses voor het doen van gepersonaliseerde aanbiedingen, heeft Albert Heijn daarom in strijd gehandeld met artikel 8 van de Wbp.

Het CBP heeft vastgesteld dat Albert Heijn ten tijde van het rapport van voorlopige bevindingen beschikte over de bestanden van de pilots in 2010 en 2011 ([VERTROUWELIJK: (...)]) waarop uiteindelijk een gepersonaliseerde marketing mailing werd gedaan. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn verklaard de mailbestanden met uitkomstwaarden van analyses onomkeerbaar te hebben verwijderd. Doordat (de pilot voor) Mijn Bonus is stopgezet en Albert Heijn niet meer beschikt over de achterliggende persoonsgegevens in deze bewaarde mailbestanden (het Persoonsgebonden Bonuskaartnummer, NAWgegevens en aankoopgegevens), handelt Albert Heijn niet langer in strijd met artikel 8 van de Wbp.

Op andere blogs:
CBP-web (Albert Heijn past privacybeleid ´Mijn Bonus´ aan na optreden CBP)
Nederlands Juridisch Dagblad (Albert Heijn past privacybeleid ´Mijn Bonus´ aan na optreden CBP)

Kantonrechter Rechtbank Rotterdam 2 november 2012, zaaknr. 1320252 CV EXPL 12-8002 (GayGroup B.V. tegen *** h.o.d.n. Feya Entertainment, La Belle)

Uitspraak ingezonden door Wouter Dammers en Arnoud Engelfriet, ICTRecht.

Algemene voorwaarden. Gay Group exploiteert de website Gay.nl, een platform voor dienstverlening gericht op homoseksuelen. *** organiseert feesten met als doelgroep homoseksuelen, heeft een Gay.nl-account aangemaakt en is daarmee akkoord gegaan met de algemene voorwaarden waar o.a. een spam/harvesten-bepaling in staat. *** heeft 378 berichten verstuurd met een wervende tekst voor haar Gay-minded dance event.

Voor vernietiging van het boetebeding ex 6:233 sub a BW omdat het onredelijk bezwarend zou zijn, zijn onvoldoende feiten en omstandigheden gebleken. Subsidiair beroep op 6:248 lid 2 BW slaagt evenmin. "Nu het feit dat *** procedeert met een toevoeging met de laagste eigen bijdrage, een indicatie oplevert dat haar financiële armslag beperkt is, ligt het in de rede dat het gewenste effect ook bij een lager op te leggen boetebedrag wordt bereikt. In die zin zal toewijzing van het gevorderde bedrag naar het oordeel van de kantonrechter leiden tot een onaanvaardbaar resultaat. Het gevorderde bedrag [red. €15.000] zal daarom worden gematigd tot €5.000."(r.o. 4.10)

4.6. (...) Niet valt in te zien dat en in hoeverre het beginnend ondernemerschap van *** en haar leeftijd van 22 jaar tot een ander oordeel zouden moeten leiden. *** heeft er zelf voor gekozen op deze leeftijd een eigen onderneming te beginnen.

4.7. Verder zij opgemerkt dat *** ondanks dat haar account werd geblokkeerd en door Gay Group via facebook en per e-mail is gewezen op het verschuldigd worden van een boete omdat zij e-mailberichten had verzonden op de website, via een nieuw account wederom e-mailberichten heeft verzonden. Dat *** ondanks de waarschuwing is doorgegaan is een omstandigheid die voor haar rekening en risico komt. Een en ander overziend, komt de kantonrechter dan ook tot het oordeel dat toepassing van het boetebeding in onderhavige geval naar maatstaven van redelijkheid en billijkheid niet onaanvaardbaar is.

Een bijdrage van Femke Vos, Louwers IP|Technology Advocaten.

Eerder verschenen in Automatiseringsgids 2012-11 (klik afbeelding voor vergroting van het kader). De Cookiewet is door de Eerste Kamer. Wedsitebezoekers zullen binnenkort vooraf om toestemming gevraagd moeten worden voor het gebruik van niet-functionele cookies. Dat geldt ook voor webanalysediensten, zoals het veelgebruikte Google Analytics. Hoe het toezicht geregeld gaat worden, is echter nog de vraag, concludeert Femke Vos.

Op 8 mei jl. ging de Eerste Kamer akkoord met de zogenaamde ‘Cookiewet’. Deze wet is gebaseerd op nieuwe Europese regelgeving die onder meer de privacyrechten van internetgebruikers moet versterken. De nieuwe Cookiewet treedt vrij snel in werking, waarschijnlijk al per 1 juli 2012.

Wat zijn cookies eigenlijk? Cookies zijn kleine tekstbestanden met informatie die een webserver naar een browser van de bezoeker van de website stuurt met de bedoeling dat deze informatie bij een volgend bezoek weer naar de webserver wordt teruggestuurd. De cookies worden opgeslagen op de pc van de bezoeker.

Er bestaan verschillende soorten cookies. Zo kunnen zij bijvoorbeeld worden gebruikt voor het onthouden van de gebruikersnaam, gekozen taalinstellingen of geplaatste bestellingen. Denk bij dat laatste aan het winkelmandje in het online bestelproces. Dat soort cookies worden ook wel aangeduid als functionele cookies.

Cookies kunnen echter ook worden gebruikt om informatie te verzamelen over de voorkeuren van websitebezoekers door bezoekers te volgen, de zogenaamde tracking cookies. Dit kan gebeuren door cookies die door de websitehouder worden gebruikt (first party cookies). Er kan echter ook gebruik worden gemaakt van cookies van andere partijen dan de websitehouder (third party cookies). Iedereen kent wel de Like-button van Facebook die op veel websites staat.

Het volgen van bezoekers beperkt zich overigens niet altijd tot het volgen van het bezoekgedrag van een gebruiker op een bepaalde website. Soms worden bezoekers zelfs over diverse websites gevolgd waarbij hun bezoekgedrag wordt vastgelegd. Denk daarbij bijvoorbeeld aan het geval dat je een website van een bepaalde vakantieaanbieder hebt bezocht. In de dagen daarna word je vervolgens op diverse websites geconfronteerd met advertenties van de betreffende aanbieder, maar ook met advertenties van andere vakantieaanbieders.

Dat laatste wordt door internetters nog wel eens als online stalking ervaren. Je kunt immers dagen of zelfs maanden ‘achtervolgd’ worden met advertenties van een product of dienst op basis van een enkel websitebezoek. Dat kan ook tot rare situaties leiden als een ander achter jouw pc heeft gezeten. Kreeg je voorheen met name reclame voor nieuwe auto’s of biermerken te zien, spitst de reclame zich plots toe op damesschoenen of zelfs maandverband. Dat is een van de redenen waarom er op Europees niveau nieuwe, strengere regels voor het gebruik van cookies zijn opgesteld.

Cookieregeling
Hoe luidt de huidige cookieregeling? Op basis van de huidige regels is het toegestaan om cookies te gebruiken als er aan de volgende voorwaarden is voldaan:

• De bezoeker van de website wordt vooraf voldoende geïnformeerd over het gebruik van cookies. Aan deze voorwaarden wordt in de praktijk overigens vaak niet voldaan.
• De bezoeker van de website wordt de mogelijkheid geboden om bezwaar te maken tegen het gebruik van cookies (de zogenaamde opt-out). Onder de huidige regeling kan de bezoeker deze opt-out benutten door zijn browserinstellingen aan te passen. In het verleden werden op die manier alle cookies geweigerd, ook de cookies die nodig zijn voor de technische werking van de website. Inmiddels bieden de grote browsers overigens ook de optie om alleen third party cookies te weigeren. De optie om first party cookies die niet-functioneel zijn te weigeren, ontbreekt echter nog.

Er geldt echter een uitzondering voor functionele cookies. Het gebruik van functionele cookies hoeft niet aan voornoemde voorwaarden te voldoen.

Wat gaat er veranderen? Onder de nieuwe Cookiewet is het gebruik van cookies alleen nog toegestaan als er vooraf toestemming is gegeven door de websitebezoeker (de zogenaamde opt-in). De bezoeker moet echter eerst duidelijk en volledig zijn geïnformeerd over het gebruik van de cookies, onder meer over de manier waarop de verzamelde informatie zal worden gebruikt.

Ook hier geldt een uitzondering voor functionele cookies. De informatieverplichting en opt-in geldt onder de nieuwe Cookiewet niet voor functionele cookies. Van functionele cookies is sprake als:
• de cookie nodig is voor de uitvoering van de communicatie (bijvoorbeeld het inloggen bij een bank);
• de cookie strikt noodzakelijk is voor de uitvoering van een dienst waar de bezoeker expliciet om heeft gevraagd (bijvoorbeeld het winkelwagentje bij onlinebestellingen).

Het vervelende is overigens dat toestemming op ieder moment ingetrokken kan worden.

Toestemming
In de praktijk zal er straks dus vooraf geïnformeerd moeten worden en toestemming moeten worden gevraagd voor het gebruik van cookies die niet-functioneel zijn. Let wel, voor webanalysediensten – zoals het veelgebruikte Google Analytics – zal ook vooraf toestemming moeten worden gevraagd. Dergelijke diensten maken namelijk gebruik van cookies om het bezoekgedrag bij te houden en vallen niet onder het begrip ‘functionele cookies’. Hetzelfde geldt bijvoorbeeld voor diensten die integratie van sociale media leveren en daarbij gebruik maken van cookies, zoals Addthis.com. Ook voor dit soort diensten is dus toestemming vereist. Verder is de nieuwe Cookiewet van toepassing op het volgen van internetters aan de hand van technische kenmerken van hun apparatuur (het zogenaamde ‘device fingerprinting’).

Er is inmiddels veel discussie geweest over de manier waarop toestemming moet worden gegeven. Voor het gebruikersgemak is het immers niet praktisch om bij ieder bezoek van een website waarbij een niet-functionele cookie wordt geplaatst, de bezoeker te confronteren met een pop-upscherm waarin om toestemming wordt gevraagd voordat de website wordt geopend. Toestemming door middel van de browserinstelling van de bezoeker zou de meest praktische en werkbare oplossing zijn.

De gezamenlijke Europese privacytoezichthouders hebben echter al laten weten dat de thans beschikbare browsers niet geschikt zijn om toestemming te verlenen in de zin van de nieuwe wetgeving. Op den duur zullen er overigens wel geschikte browsers op de markt komen, maar daar hebben websitehouders nu natuurlijk niets aan.

OPTA
De verwachting is dat de toezichthouder, in dit geval de OPTA, vanaf de inwerkingtreding van de Cookiewet in ieder geval zal handhaven op naleving van de informatieplicht. Wat betreft het toestemmingsvereiste, zit er voor websitehouders vooralsnog niets anders op dan bijvoorbeeld met pop-ups te werken als er gebruik wordt gemaakt van cookies die niet-functioneel zijn. Een dergelijke pop-up zal informatie moeten geven over het gebruik van cookies en zal een checkbox moeten bevatten waarmee de gebruiker toestemming kan geven voor het gebruik van cookies. Een alternatief is het inrichten van een soort ‘voorportaal’, een webpagina die de noodzakelijke informatie geeft en aan de gebruiker de keuze laat om de website met of juist zonder gebruikmaking van tracking cookies te openen.

Femke Vos is advocaat bij Louwers IP|Technology Advocaten.

Rechtbank Rotterdam 19 augustus 2012, LJN BX7261 KG ZA 12-555  (eiser tegen Gosh Sports & Healthclub)

Opheffen beslag (in conventie). Geldvordering (in reconventie). Relatiebeding overtreden in verband met uitlatingen op facebook. Boetebeding. Herbegroting.

In 2011 is het dienstverband tussen eiser en Gosh beëindigd. Eiser heeft een eigen facebookpagina. Eiser heeft op 6 maart 2012 de volgende status van The Training Room op zijn facebookpagina heeft gedeeld. “Vandaag start de voorverkoop om lid te worden van The Training Room! Kijk op de website voor de aanbieding. Voorkom een wachtlijst en maak nu vast een afspraak. thetrainingroom.nl”.  Nu eiser het relatiebeding heeft overtreden met uitlatingen op facebook, laat Gosh laat conservatoir beslag leggen op rekening van Eiser vanwege het niet betalen van het boetebeding. Rechtbank oordeelt tot opheffing beslag. De Rechtbank wijst een deel van de geldvordering toe nu bewezen is dat Eiser door de (mede)oprichting van Training Room b.v. het relatiebeding heeft overtreden. De Rechtbank acht de uitlatingen op facebookpagina niet als een overtreding van het relatiebeding nu Gosh hiervoor te weinig bewijs aanvoert.

5.6. Personeel van Gosh
Het enkele gegeven dat [eiser] tezamen met [D] (die - naast een collega bij Gosh - reeds gedurende 14 jaar een vriend van [eiser] is, aldus [eiser]) op 24 februari 2012, voor het einde van het dienstverband van [D] bij Gosh, The Training Room B.V. heeft opgericht doet vermoeden dat sprake is geweest van één of meerdere contacten tussen [eiser] en [D] die te duiden zijn als zakelijk. Dit vermoeden wordt ondersteund door hetgeen [eiser] daarover ter zitting heeft opgemerkt, te weten dat hij aan [D] heeft voorgesteld voor zichzelf te beginnen op het moment dat de arbeidsrelatie met Gosh vertroebeld was, maar kennelijk nog niet (formeel) beëindigd. [eiser] kan daarmee voorshands geacht worden het initiatief te hebben genomen voor het leggen van een met het relatiebeding strijdig contact met [D]. Gerechtvaardigd lijkt dan ook de conclusie dat [eiser] het relatiebeding heeft overtreden. Van overtredingen van [eiser] ten aanzien van andere personeelsleden van Gosh is niet gebleken en evenmin is dit expliciet gesteld door Gosh. De voorzieningenrechter is in het kader van dit kort geding van oordeel dat sprake is geweest van één enkele duidelijke overtreding van het relatiebeding met betrekking tot personeel van Gosh, te weten de handeling die tot de gezamenlijke (indirecte) betrokkenheid van [eiser] en [D] bij de oprichting van The Training Room B.V. heeft geleid. Voorshands aannemelijk is dan dat [eiser] als gevolg daarvan jegens Gosh een boete van € 5.000,00 heeft verbeurd.
Dat [eiser] (al dan niet via [Y]) binnen The Training Room B.V. alleen fungeert als geldschieter (zoals hij zelf - door Gosh betwist - heeft betoogd), en niet ook bij de bedrijfsvoering is betrokken, doet aan het voorgaande niet af.

5.8. Ook overigens kunnen de berichten die op de openbare facebookpagina van The Training Room zijn geplaatst of rechtshandelingen die namens The Training Room zijn verricht op het eerste gezicht niet zonder meer aan [eiser] worden toegerekend als ware sprake van het maken van misbruik door [eiser] van identiteitsverschil tussen [eiser] (Holding B.V.) en The Training Room B.V. (‘vereenzelviging’).
Hoewel vaststaat dat [eiser] bestuurder en voor 50% aandeelhouder is in The Training Room en dus directe (beleids-) betrokkenheid bij The Training Room aannemelijk lijkt, is ter zitting tussen partijen vast komen te staan dat [eiser] (op lichamelijke en psychische gronden) voor 100% arbeidsongeschikt is verklaard, een ziektewetuitkering ontvangt en het hem dus uit dien hoofde niet is toegestaan arbeid te verrichten en hij daartoe ook niet in staat kan worden geacht. [eiser] stelt verder dat hij, mede gelet op zijn arbeidsongeschiktheid, bij The Training Room enkel betrokken is als geldschieter en dat het [D] is die (overwegend) de facebookpagina van The Training Room vult (overigens, heeft [eiser] erkend dat hij wel in privé berichten kan plaatsen op de facebookpagina van The Training Room, zoals ook is gebleken (zie 5.7.2)). Hetgeen Gosh daartegenin heeft gebracht, heeft zij onvoldoende gestaafd met concrete bewijzen, zodat de voorzieningenrechter vooralsnog van de juistheid van de stellingen van [eiser] uitgaat. De twitterberichten die [eiser] blijkens productie 18 van Gosh heeft gepost (op 24 februari 2012: “[email-adres] De voorbereidingen voor The Training Room zijn begonnen. Ready, steady… Go!” en op 25 februari 2012: “@TrainingRoom: Zoveel mensen vinden The Training Room leuk op Facebook! Binnen 8 uur zoveel! Leuk en bedankt!! Retweet”) zijn onvoldoende om daaruit af te leiden dat [eiser] meer is voor The Training Room dan geldschieter. Dat [eiser] op zondag 12 augustus 2012 voor The Training Room yogales in het park zou hebben gegeven is door hem betwist en verder door Gosh niet met bewijzen gestaafd, zodat de voorzieningenrechter hieraan voorbij gaat.

Boetebeding
5.9. Vooropgesteld zij dat een boete in principe alleen verschuldigd is bij wanprestatie. Blijkens het hiervoor overwogene is daarvan aan de zijde van [eiser] jegens Gosh op het eerste gezicht in zekere mate sprake. De discussie tussen partijen op het punt van het boetebeding spitst zich toe op de vraag of een aanmaning of een andere voorafgaande verklaring nodig is teneinde nakoming van het boetebeding te vorderen. Deze vraag beantwoordt de voorzieningenrechter in dit geval ontkennend. Immers, bij nakoming van de hoofdverbintenis - te weten het naleven van het vanaf 31 augustus 2011 gedurende twaalf maanden voortdurend geldende relatiebeding - is ten aanzien van de voorshands geconstateerde in het verleden opgetreden wanprestaties blijvend onmogelijk. De bedongen boete is dan zonder nadere aanmaning verschuldigd. Dat de voorshands aannemelijk geworden wanprestaties van [eiser] voor de aanmaning d.d. 16/17 april 2012 van Gosh (zie 2.7) hebben plaatsgevonden, is dus niet relevant. De wettelijke rente over een verbeurde boete wordt echter pas na schriftelijke aanmaning op de voet van artikel 6:82 BW verschuldigd. Op matiging van de verschuldigde boetes heeft [eiser] in dit kort geding geen expliciet beroep gedaan, zodat op hetgeen Gosh hierover heeft opgemerkt in de beoordeling niet nader behoeft te worden ingegaan.

Beslag
5.10. Vooruitlopend op een beslissing in de bodemprocedure gaat de voorzieningenrechter ervan uit dat Gosh ten aanzien van [eiser] gerechtvaardigd nakoming van het boetebeding voor een bedrag van in totaal € 15.000,00 zal kunnen vorderen. Verwezen wordt naar hetgeen is overwogen onder 5.6 en 5.7.4/5.7.5. De vordering waarvoor de beslagen ten laste van [eiser] zijn gelegd, kan, gelet hierop, daarom voorshands niet als summierlijk ondeugdelijk worden aangemerkt voor zover dit een bedrag van € 19.500,00 (het bedrag van € 15.000,00 vermeerderd met een opslag van 30% aan rente en kosten) niet te boven gaat. Dit brengt mee dat de voorzieningenrechter opportuun acht de vordering ten laste van [eiser] te herbegroten op voormeld bedrag van € 19.500,00 en de ten laste van [eiser] gelegde beslagen op te heffen voor zover deze het bedrag van € 19.500,00 (inclusief rente en kosten) te boven gaan.

De voorzieningenrechter beslist:
7.1. herbegroot de vordering waarvoor ten laste van [eiser] door Gosh beslag is gelegd op € 19.500,00,

7.2. heft op het ten laste van [eiser] gelegde conservatoir beslag rustend op de op naam van [eiser] in privé staande betaalrekening met nummer [1] gehouden bij de Coöperatieve Rabobank Rotterdam U.A. te Rotterdam, het ten laste van [eiser] gelegde conservatoir beslag op de op naam van [eiser] in privé staande betaalrekening gehouden bij de ING Bank N.V. te Rotterdam en het beslag dat onder de Rabobank is gelegd op een op naam van [eiser] staande effectenrekening met nummer [2] voor zover dit een bedrag van € 19.500,00 te boven gaat,

7.3. compenseert de kosten van deze procedure tussen partijen, in die zin dat iedere partij de eigen kosten draagt, 
 5.6.  Personeel van Gosh
Het enkele gegeven dat [eiser] tezamen met [D] (die - naast een collega bij Gosh - reeds gedurende 14 jaar een vriend van [eiser] is, aldus [eiser]) op 24 februari 2012, voor het einde van het dienstverband van [D] bij Gosh, The Training Room B.V. heeft opgericht doet vermoeden dat sprake is geweest van één of meerdere contacten tussen [eiser] en [D] die te duiden zijn als zakelijk. Dit vermoeden wordt ondersteund door hetgeen [eiser] daarover ter zitting heeft opgemerkt, te weten dat hij aan [D] heeft voorgesteld voor zichzelf te beginnen op het moment dat de arbeidsrelatie met Gosh vertroebeld was, maar kennelijk nog niet (formeel) beëindigd. [eiser] kan daarmee voorshands geacht worden het initiatief te hebben genomen voor het leggen van een met het relatiebeding strijdig contact met [D]. Gerechtvaardigd lijkt dan ook de conclusie dat [eiser] het relatiebeding heeft overtreden. Van overtredingen van [eiser] ten aanzien van andere personeelsleden van Gosh is niet gebleken en evenmin is dit expliciet gesteld door Gosh. De voorzieningenrechter is in het kader van dit kort geding van oordeel dat sprake is geweest van één enkele duidelijke overtreding van het relatiebeding met betrekking tot personeel van Gosh, te weten de handeling die tot de gezamenlijke (indirecte) betrokkenheid van [eiser] en [D] bij de oprichting van The Training Room B.V. heeft geleid. Voorshands aannemelijk is dan dat [eiser] als gevolg daarvan jegens Gosh een boete van € 5.000,00 heeft verbeurd.
Dat [eiser] (al dan niet via [Y]) binnen The Training Room B.V. alleen fungeert als geldschieter (zoals hij zelf - door Gosh betwist - heeft betoogd), en niet ook bij de bedrijfsvoering is betrokken, doet aan het voorgaande niet af.

5.8. Ook overigens kunnen de berichten die op de openbare facebookpagina van The Training Room zijn geplaatst of rechtshandelingen die namens The Training Room zijn verricht op het eerste gezicht niet zonder meer aan [eiser] worden toegerekend als ware sprake van het maken van misbruik door [eiser] van identiteitsverschil tussen [eiser] (Holding B.V.) en The Training Room B.V. (‘vereenzelviging’).
Hoewel vaststaat dat [eiser] bestuurder en voor 50% aandeelhouder is in The Training Room en dus directe (beleids-) betrokkenheid bij The Training Room aannemelijk lijkt, is ter zitting tussen partijen vast komen te staan dat [eiser] (op lichamelijke en psychische gronden) voor 100% arbeidsongeschikt is verklaard, een ziektewetuitkering ontvangt en het hem dus uit dien hoofde niet is toegestaan arbeid te verrichten en hij daartoe ook niet in staat kan worden geacht. [eiser] stelt verder dat hij, mede gelet op zijn arbeidsongeschiktheid, bij The Training Room enkel betrokken is als geldschieter en dat het [D] is die (overwegend) de facebookpagina van The Training Room vult (overigens, heeft [eiser] erkend dat hij wel in privé berichten kan plaatsen op de facebookpagina van The Training Room, zoals ook is gebleken (zie 5.7.2)). Hetgeen Gosh daartegenin heeft gebracht, heeft zij onvoldoende gestaafd met concrete bewijzen, zodat de voorzieningenrechter vooralsnog van de juistheid van de stellingen van [eiser] uitgaat. De twitterberichten die [eiser] blijkens productie 18 van Gosh heeft gepost (op 24 februari 2012: “[email-adres] De voorbereidingen voor The Training Room zijn begonnen. Ready, steady… Go!” en op 25 februari 2012: “@TrainingRoom: Zoveel mensen vinden The Training Room leuk op Facebook! Binnen 8 uur zoveel! Leuk en bedankt!! Retweet”) zijn onvoldoende om daaruit af te leiden dat [eiser] meer is voor The Training Room dan geldschieter. Dat [eiser] op zondag 12 augustus 2012 voor The Training Room yogales in het park zou hebben gegeven is door hem betwist en verder door Gosh niet met bewijzen gestaafd, zodat de voorzieningenrechter hieraan voorbij gaat.

Boetebeding
5.9. Vooropgesteld zij dat een boete in principe alleen verschuldigd is bij wanprestatie. Blijkens het hiervoor overwogene is daarvan aan de zijde van [eiser] jegens Gosh op het eerste gezicht in zekere mate sprake. De discussie tussen partijen op het punt van het boetebeding spitst zich toe op de vraag of een aanmaning of een andere voorafgaande verklaring nodig is teneinde nakoming van het boetebeding te vorderen. Deze vraag beantwoordt de voorzieningenrechter in dit geval ontkennend. Immers, bij nakoming van de hoofdverbintenis - te weten het naleven van het vanaf 31 augustus 2011 gedurende twaalf maanden voortdurend geldende relatiebeding - is ten aanzien van de voorshands geconstateerde in het verleden opgetreden wanprestaties blijvend onmogelijk. De bedongen boete is dan zonder nadere aanmaning verschuldigd. Dat de voorshands aannemelijk geworden wanprestaties van [eiser] voor de aanmaning d.d. 16/17 april 2012 van Gosh (zie 2.7) hebben plaatsgevonden, is dus niet relevant. De wettelijke rente over een verbeurde boete wordt echter pas na schriftelijke aanmaning op de voet van artikel 6:82 BW verschuldigd. Op matiging van de verschuldigde boetes heeft [eiser] in dit kort geding geen expliciet beroep gedaan, zodat op hetgeen Gosh hierover heeft opgemerkt in de beoordeling niet nader behoeft te worden ingegaan.

Beslag
5.10. Vooruitlopend op een beslissing in de bodemprocedure gaat de voorzieningenrechter ervan uit dat Gosh ten aanzien van [eiser] gerechtvaardigd nakoming van het boetebeding voor een bedrag van in totaal € 15.000,00 zal kunnen vorderen. Verwezen wordt naar hetgeen is overwogen onder 5.6 en 5.7.4/5.7.5. De vordering waarvoor de beslagen ten laste van [eiser] zijn gelegd, kan, gelet hierop, daarom voorshands niet als summierlijk ondeugdelijk worden aangemerkt voor zover dit een bedrag van € 19.500,00 (het bedrag van € 15.000,00 vermeerderd met een opslag van 30% aan rente en kosten) niet te boven gaat. Dit brengt mee dat de voorzieningenrechter opportuun acht de vordering ten laste van [eiser] te herbegroten op voormeld bedrag van € 19.500,00 en de ten laste van [eiser] gelegde beslagen op te heffen voor zover deze het bedrag van € 19.500,00 (inclusief rente en kosten) te boven gaan.

De voorzieningenrechter beslist:
7.1. herbegroot de vordering waarvoor ten laste van [eiser] door Gosh beslag is gelegd op € 19.500,00,

7.2. heft op het ten laste van [eiser] gelegde conservatoir beslag rustend op de op naam van [eiser] in privé staande betaalrekening met nummer [1] gehouden bij de Coöperatieve Rabobank Rotterdam U.A. te Rotterdam, het ten laste van [eiser] gelegde conservatoir beslag op de op naam van [eiser] in privé staande betaalrekening gehouden bij de ING Bank N.V. te Rotterdam en het beslag dat onder de Rabobank is gelegd op een op naam van [eiser] staande effectenrekening met nummer [2] voor zover dit een bedrag van € 19.500,00 te boven gaat,

7.3. compenseert de kosten van deze procedure tussen partijen, in die zin dat iedere partij de eigen kosten draagt,

Rapport Fox-IT Black Tulip, Bijlage bij Kamerstukken II 26 643, nr. 256

In navolging van IT 507, IT 731  Eindelijk, op 1 november 2012 is het zover en ligt het rapport van Fox-IT genaamd: "Black Tulip" klaar. Het rapport bevat het onderzoek over de inbreuk in DigiNotar (Certificaat Autoriteit). Het onderzoek spitst zich toe op vraag hoe het mogelijk is geweest dat er valse certificaten, voor onder andere google.nl, namens Diginotar zijn uitgegeven. Voor het overzicht volgt hier de inhoudsopgave en management summary.

Table of Contents
Management summary
Investigative summary
Table of Contents
1 Introduction
2 Incident response investigation
3 State of affairs
4 Investigation of web server log files
5 Investigation of firewall log files
6 Investigation of CA servers
7 System access and tools
8 Remaining investigation
9 Summary of findings
10 MITM attack
11 Lessons learned
12 Potential follow-up investigation
13 Terminology

Management summary
DigiNotar B.V. was founded as a privately-owned notarial collaboration in 1998. DigiNotar provided digital certificate services as a Trusted Third Party and hosted a number of Certificate Authorities (CAs). The certificates issued by DigiNotar were trusted worldwide to secure digital communication on the basis of a Public Key Infrastructure (PKI). The services that DigiNotar provided included issuing Secure Sockets Layer (SSL) certificates to secure websites, issuing accredited qualified certificates that could be used as the legal equivalent of a handwritten signature and issuing PKIoverheid certificates for various Dutch eGovernment purposes. In June and July of 2011 DigiNotar suffered a breach, which resulted in rogue certificates being issued that were subsequently abused in a large scale attack in August of 2011. Following the detection of the breach on July 19 of 2011, DigiNotar took several measures to control the incident, including the revocation of known rogue certificates and the hiring of a third party specialized in IT security to investigate the intrusion. At the end of July 2011, DigiNotar was under the impression that the intrusion of its network and services had been contained. On August 28, 2011, the content of a rogue wildcard certificate for the google.com domain was posted publicly, which had been issued by DigiNotar but which had not yet been revoked. For weeks the rogue certificate had been abused in a large scale
Man-In-The-Middle (MITM) attack on approximately 300,000 users that were almost exclusively located in the Islamic Republic of Iran. Traffic that was intended for Google subdomains is likely to have been intercepted or redirected during the MITM-attack, potentially exposing the contents of the intercepted traffic as well as the Google credentials of the affected users.

On August 30, 2011, Fox-IT was asked to investigate the breach at DigiNotar. In the ensuing investigation traces were recovered that indicated that the outer limits of DigiNotar's network were first breached on June 17, 2011. The network that was used by DigiNotar was segmented and the Secure-net network segment that contained all the CA servers could not directly be reached from the Internet. By tunneling connections through other compromised systems in DigiNotar's network, the intruder gained access to the Secure-net network segment on July 1, 2011. The first attempts to create rogue certificates were made on July 2 and the first rogue certificate was successfully issued on July 10, 2011.

The investigation by Fox-IT showed that all eight servers that managed Certificate Authorities had been
compromised by the intruder. The log files were generally stored on the same servers that had been
compromised and evidence was found that they had been tampered with. Consequently, while these log
files could be used to make inconclusive observations regarding unauthorized actions that took place, the
absence of suspicious entries could not be used to conclude that no unauthorized actions took place.
Serial numbers for certificates that did not match the official records of DigiNotar were recovered on
multiple CA servers, including the Qualified-CA server which was used to issue both accredited qualified
and government certificates, indicating that these servers may have been used to issue additional and
currently unknown rogue certificates.

A fingerprint that was left by the intruder was recovered on a Certificate Authority server, which was also identified after the breach of the Certificate Service Provider Comodo in March of 2011. Over the course of the intrusion at DigiNotar, the intruder used multiple systems as proxies in order to obscure his true identity. However, several traces were recovered during the investigation by Fox-IT that independently point to a perpetrator located in the Islamic Republic of Iran. A complete list of all the IP-addresses that were identified during the investigation that are suspected to have been abused by the intruder were handed over to the Dutch police (KLPD).

The intruder at DigiNotar appears to have had the specific intention of abusing certificates that had been issued by a trusted party in order to spy on a large number of users in the Islamic Republic of Iran. The intrusion at DigiNotar and the ensuing MITM-attack resulted in an erosion of trust of the general public in the existing Public Key Infrastructure, which is central to its operation. Given the impact of a breach at a Certificate Authority on the Public Key Infrastructure as a whole, ensuring the security of every Certificate Authority is paramount to the trust in a Public Key Infrastructure and its role in providing security for a diverse range of activities on the Internet. While the approach to protecting the potential targets from this type of intrusion does not differ significantly from other threats, the range of scenarios that need to be taken into account is rapidly expanding.

OPTA besluit 2 oktober 2012, Zaaknummer: 11.0242.37 (Campaneo)

Besluit van het College van de Onafhankelijke Post en Telecommunicatie Autoriteit tot het opleggen van een boete ter zake van overtredingen van artikel 11.7, eerste lid, van de Telecommunicatiewet (spamverbod).

In het geval van de partnermailings betreft het berichten die in opdracht van derden worden verzonden met daarin advertenties voor (de verkoop van) producten en diensten van die specifieke derden. Companeo wordt betaald door de betreffende adverteerders voor het maken en het verzenden van dergelijke berichten.

89. Het college is echter van oordeel dat op basis van voornoemde wilsuiting de abonnee redelijkerwijs niet kan verwachten dat hij toestemming geeft voor e-mailberichten zoals beschreven in randnummer 86. De term “Companeo partners” is naar het oordeel van het college niet voldoende specifiek. De abonnee weet niet wie de partners van Companeo zijn, noch welke diensten en producten door die partners worden aangeboden. Companeo heeft dit bevestigd tijdens de hoorzitting.53 In de praktijk kwam het er immers op neer dat Companeo zich vrij achtte om abonnees, die hadden ingestemd met de hiervoor genoemde passage, te benaderen met advertenties van iedere willekeurige adverteerder waar Companeo zaken mee deed. Daaruit volgt dat de betreffende geïnteresseerde zich geen duidelijk beeld kon vormen van de producten die in de partnermailings zouden worden aangeprezen.

163. Het college van de Onafhankelijke Post en Telecommunicatie Autoriteit:
a) stelt vast dat de gedragingen van de rechtspersoon Companeo S.A., zoals beschreven in het onderhavige besluit, overtredingen vormen van artikel 11.7, eerste lid, van de Telecommunicatiewet. De gedragingen die als overtredingen kwalificeren bestaan eruit dat Companeo S.A., gedurende de periode van 3 december 2009 tot en met 23 maart 2011, ongevraagde elektronische berichten heeft verzonden met een commercieel doeleinde zonder voorafgaande toestemming van de betreffende abonnee waar de e-mailberichten naartoe werden gezonden.
b) legt wegens de onder a) bedoelde overtredingen aan de rechtspersoon Companeo S.A., statutair gevestigd te Brussel (België), een boete op van € 100.000.

164. Bovengenoemde boete dient overeenkomstig het bepaalde in artikel 15.13, eerste lid, van de Telecommunicatiewet binnen zes weken nadat de beschikking waarbij de boete is opgelegd in werking is getreden, in euro’s te worden betaald. Na het verstrijken van bovengenoemde termijn wordt de betreffende boete vermeerderd met de wettelijke rente overeenkomstig artikel 15.13, tweede lid, van de Telecommunicatiewet.
165. Het college zal dit boetebesluit publiceren op zijn website, waarbij hij namen van de betrokken personen alsmede de bedrijfsvertrouwelijke gegevens zal anonimiseren.

Op andere blogs:
DeBrauw Legal Alert (New decision by OPTA: Opt-in of consumers for direct e-mail with commercial offers from 'partners' is valid only if the third parties and their products are specified)

Prejudiciële vragen aan HvJ EU 1 augustus 2012, zaak C-372/1212 (verzoekers tegen IND)

Bescherming persoonsgegevens (privacyrichtlijn); Handvest grondrechten; EVRM, uitleg
Richtlijn 95/46/EG.

Verzoekers M en S vragen de IND inzage in 'de minuut' een stuk dat onderdeel uitmaakt van de besluitvorming tot verlening aan verzoekers van hun verblijfsvergunning (asiel, regulier verblijf). De bezwaren van verzoekers worden ongegrond verklaard.
De verzoekers willen inzage in de juridische analyses, niet zozeer inzage in de persoonsgegevens die in 'de minuut' verwerkt zijn. Met name in asielzaken kan de analyse indrukken van medewerkers bevatten over de geloofwaardigheid van de door aanvragers afgelegde verklaringen.

S stelt met name het nuttig effect van de privacyrichtlijn ter discussie (artikel 12) en doet ook een beroep op artikel 8.2 en 41.2 EU-handvest. M stelt dat een juridische analyse een ‘persoonsgegeven’ is, een begrip dat ruim geïnterpreteerd zou moeten worden.

De verwijzende rechter (NL RvS) moet de vraag beantwoorden of en hoe de Minister inzage in de minuut moet geven, en of de juridische analyse een persoonsgegeven is. Hij stelt het HvJEU de volgende zes vragen:

1. Dient artikel 12, aanhef en onder a, tweede streepje, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt?

2. Dienen de woorden "recht van inzage" in artikel 8, tweede lid, van het Handvest van de grondrechten van de Europese Unie aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt in de zin van artikel 12, aanhef en onder a, tweede streepje, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens?

3. Is artikel 41, tweede lid, aanhef en onder b, van het Handvest van de grondrechten van de Europese Unie mede gericht tot de lidstaten van de Europese Unie voor zover zij het recht van de Unie ten uitvoer brengen in de zin van artikel 51, eerste lid, van het Handvest van de grondrechten van de Europese Unie?

4. Levert de consequentie dat als gevolg van het geven van inzage in "minuten" daarin niet meer de redenen worden vastgelegd waarom een bepaald besluit wordt voorgesteld, hetgeen de interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie en de ordelijke besluitvorming niet ten goede komt, een gerechtvaardigd belang van de vertrouwelijkheid op in de zin van artikel 41, tweede lid, aanhef en onder b, van het Handvest van de grondrechten van de Europese Unie?

5. Kan een juridische analyse, zoals neergelegd in een "minuut", worden aangemerkt als een persoonsgegeven in de zin van artikel 2, onder a, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens?

6. Behoort tot de bescherming van rechten en vrijheden van anderen in de zin van artikel 13, eerste lid, aanhef en onder g, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens ook het belang van een interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie? Indien het antwoord hierop negatief luidt, kan dit belang dan worden gebracht onder artikel 13, eerste lid, aanhef en onder d of f, van die richtlijn?

Op andere blogs:
Dirkzwagerieit (Ook Raad van State vraagt uitleg over privacyrecht aan Hof van Justitie)

Uit de CBP-nieuwsbrief:

Google’s nieuwe privacyvoorwaarden in strijd met EU-richtlijn
De Europese privacytoezichthouders, verenigd in de zogeheten Artikel 29-werkgroep, hebben na gezamenlijk onderzoek geconstateerd dat de wijzigingen in de privacyvoorwaarden van Google in strijd zijn met de Europese privacyrichtlijn. Lees verder >

Europese privacytoezichthouders geven reactie op nieuwe EU-privacyregelgeving
De Europese privacytoezichthouders hebben een opinie aangenomen over de voorstellen van de Europese Commissie voor een nieuw Europees juridisch raamwerk voor gegevensbescherming. Lees verder >

CBP: online volgen van surfgedrag van internetgebruikers alleen met toestemming
Het CBP wil het belang benadrukken dat een wereldwijde Do Not Track-standaard in overeenstemming moet zijn met Europese privacyregelgeving. Lees verder >

CBP: Interne toegangsbeveiliging patiëntgegevens RPZ-ziekenhuis onvoldoende
Het Ruwaard van Putten Ziekenhuis heeft onvoldoende beveiligingsmaatregelen getroffen om ervoor te zorgen dat uitsluitend bevoegde ziekenhuismedewerkers toegang hebben tot de elektronische patiëntendossiers. Lees verder >

Zienswijze CBP over cloud computing
Het College bescherming persoonsgegevens (CBP) heeft in een zienswijze antwoord gegeven op een drietal vragen van SURFmarket over cloud computing in relatie tot de bescherming van persoonsgegevens. Lees verder >