DOSSIERS
Alle dossiers

Privacy  

IT 880

Maatregelen voor de uitwisseling van IP-gegevensverkeer intrekken

HvJ EU 6 september 2012, zaak C-422/11P en C-423/11P (Prezes Urzędu Komunikacji Elektronicznej en Republiek Polen tegen Europese Commissie)

Als randvermelding. Verzoek tot nietigverklaring van de overeenkomstig artikel 7, lid 4, van richtlijn 2002/21/EG van het Europees Parlement en de Raad (PB L 108, blz. 33) vastgestelde beschikking C(2010) 1234 van de Commissie van 3 maart 2010 waarmee de Poolse regelgevende autoriteit op het gebied van elektronische communicatie en postdiensten wordt bevolen twee meegedeelde ontwerpmaatregelen inzake de nationale wholesalemarkt voor de uitwisseling van IP-gegevensverkeer (IP-transit) (zaak PL/2009/1019) en de wholesalemarkt voor IP-peering met het netwerk van Telekomunikacja Polska S.A. (TP) (zaak PL/2009/1020) in te trekken. Waarna een (afgewezen) hogere voorziening.

Hogere voorziening tegen de beschikking van het Gerecht (Zevende kamer) van 23 mei 2011, Prezes Urzędu Komunikacji Elektronicznej / Commissie (T226/10), waarbij het Gerecht niet-ontvankelijk heeft verklaard het beroep van de Prezes Urzędu Komunikacji Elektronicznej tot nietigverklaring van de overeenkomstig artikel 7, lid 4, van richtlijn 2002/21/EG van het Europees Parlement en de Raad (PB L 108, blz. 33) vastgestelde beschikking C(2010) 1234 van de Commissie van 3 maart 2010 waarmee de Poolse regelgevende autoriteit op het gebied van elektronische communicatie en postdiensten wordt bevolen, twee meegedeelde ontwerpmaatregelen inzake de nationale wholesalemarkt voor de uitwisseling van IP-gegevensverkeer (IP-transit) (zaak PL/2009/1019) en de wholesalemarkt voor IP-peering met het netwerk van Telekomunikacja Polska S.A. (TP) (zaak PL/2009/1020) in te trekken – Onjuiste uitlegging van artikel 19, derde en vierde alinea, van het Statuut van het Hof junctis artikel 53, eerste alinea, van het Statuut van het Hof, artikel 254, zesde alinea, VWEU, en artikel 113 van het Reglement voor de procesvoering – Schending van artikel 67, lid 1, VWEU juncto artikel 113 van het Reglement voor de procesvoering – Schending van artikel 5, leden 1 en 2, VEU junctis artikel 4, lid 1, VEU en artikel 113 van het Reglement voor de procesvoering – Schending van artikel 5, lid 4, VEU juncto artikel 113 van het Reglement voor de procesvoering – Ontoereikende motivering – Niet-ontvankelijkheid van het beroep in geval van vertegenwoordiging door advocaten die in dienstbetrekking zijn bij de partij.
IT 869

Working document met belangrijkste wijziging persoonlijke data

WORKING DOCUMENT on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data.

Personal Data.

2. Main elements of the reform
The main elements of the reform are the following:

- data protection as a fundamental right as enshrined in Article 8 of the Charter and Article 16 TFEU, and in that regard improving the ability of individuals to control their data (freely given, informed and explicit consent, right to rectification, to erasure and to be forgotten, right to information and access to own data, data portability, the right to object);

- maintaining the principle of covering all kinds of situations and all kinds of sectors (except national security, common foreign and security policy, and exclusively nongainful personal activity) with the same or a similar set of rules, whereby the same principles and mechanisms apply to the public and private sector, with necessary and proportionate limitations for the area of law enforcement;
- adapting data protection rules to the new technological progress in a technically neutral way (for example: privacy by design and privacy by default);
- providing effecting means for safeguarding the fundamental right to data protection (purpose limitation, responsibilities of the controller, notification and communication of data breaches, strong and independent national data protection authorities, data protection officers at all public authorities, in companies above a specific size, or in special situations, effective administrative and judicial remedies);
- preventing fragmentation and providing legal certainty for individuals, enterprises (as regards the single market) and public entities through the introduction of the so-called "one stop shop" system (competence of the data protection authority of the main establishment of the controller or processor), and the "consistency mechanism";
- providing harmonisation on basic data protection principles as regards the handling and exchange of data by police and judicial authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties (data protection aspects being an essential part of existing and proposed EU legislation in that regard), thereby also ending the current situation where EU rules (Framework Decision 2008/977/JHA) applied only if a cross-border element was present;
- providing a safe and sound system of data transfers to third countries (either on an adequacy decision for a country, territory or processing sector - based, inter alia, on rights for effective administrative and judicial redress for data subjects residing in the Union - or on specific appropriate safeguards in legally binding instruments) and to promote the EU system abroad (including agreements with third countries).

IT 853

Inkijken e-mails niet zonder instemming OR

Kantonrechter Rechtbank Amsterdam 17 augustus 2012, LJN BX4940 (OR DWI Gemeente Amsterdam tegen DWI Gemeente Amsterdam)

Samenvatting uit't persbericht: De Dienst Werk en Inkomen (DWI) van de gemeente Amsterdam mag niet zonder toestemming van de medewerker in diens mailbox kijken. DWI voerde deze nieuwe maatregel in maar vroeg vooraf geen instemming aan de Ondernemingsraad. Volgens de OR is er wel sprake van instemmingsrecht en stapte daarop naar de rechter. Deze stelt de OR nu in het gelijk.

DWI wil na een kritisch rapport van de gemeentelijke ombudsman de bereikbaarheid verbeteren, ondermeer door 24 uur na binnenkomst e-mails te beantwoorden. Om dat te bereiken voerde de directie een nieuwe procedure in waarbij in bijzondere situaties de teammanager bij afwezigheid van een medewerker tijdelijk wordt gemachtigd om in diens persoonlijke mailbox te kijken. De OR van DWI is het hier niet mee eens en stelt dat deze nieuwe procedure pas mag worden ingevoerd na instemming van de ondernemingsraad.

Instemmingsrecht
Op grond van de Gedragscode is het medewerkers van DWI toegestaan de e-mail in beperkte mate te gebruiken voor privédoeleinden. Volgens de rechter vormt het kunnen inkijken van e-mailverkeer zonder toestemming een wijziging van de Gedragscode van DWI. Bovendien kan op die manier controle worden uitgeoefend op de werknemer. Aangezien de OR volgens de wet in die gevallen instemmingsrecht heeft volgt daaruit dat een zonder de instemming van de OR genomen besluit ongeldig is.

11.[naam] en [naam] zijn in Inzicht in de Ondernemingsraad (uitgave 2012) van mening dat ‘Naast personeelscontrolesystemen en personeelsinformatiesystemen die als zodanig gebruikt kunnen worden (prikklok, pieper, controlecamera’’s e.d.) (…) ook voorzieningen die als zodanig gebruikt kunnen worden (beveiligingscamera’s, chipkaarten en telefoonrecording) onder het instemmingsrecht (vallen).’ ‘Louter persoonlijk toezicht zonder het gebruik van enig technisch of administratief (hulp)middel is geen ‘voorziening’ als in dit wetsartikel genoemd’, aldus deze schrijvers. De manager kan op grond van het besluit toegang krijgen tot de inbox van de werknemer, waarmee sprake is van een technisch hulpmiddel, en niet louter van persoonlijk toezicht. De opvatting van deze schrijvers is daarom niet in strijd met de hierboven genoemde conclusie.

12.Het door een werknemer inzage moeten geven aan een buddy of aan zijn leidinggevende heeft ook privacyaspecten. Op grond van de gedragscode is het de werknemer toegestaan de DWI-email in beperkte mate voor privé doeleinden te gebruiken. Denkbaar is dat dit gebeurt om met instanties als een arts of andere vormen van hulpverlening te communiceren. Indien van een dergelijke hulpverlener een bericht in de inbox verschijnt kan reeds de titel van het e-mailbericht privacygevoelig zijn (bijvoorbeeld: de afspraak met uw behandelaar gaat niet door). Niet uitgesloten is dat hiermee sprake is van ‘de bescherming van persoonsgegevens’ zoals bepaald in artikel 27 lid 1 sub k WOR.

13.Het bovenstaande betekent dat de OR instemmingsrecht had ten aanzien van het besluit. DWI heeft de OR niet om instemming met het besluit gevraagd, en de OR heeft die instemming ook niet eigener beweging gegeven. Het besluit is daarmee nietig. De OR heeft die nietigheid tijdig ingeroepen. De vorderingen van de OR zijn daarmee voor toewijzing vatbaar, zij het dat aan de verzochte dwangsom een maximum wordt verbonden.

IT 851

NS wijzigt gebruik reisgegevens OV-chipkaart voor marketingdoeleinden

Uit't persbericht: en het rapport (5 Mb) Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoek geconstateerd dat NS de wet heeft overtreden bij het gebruik van persoonsgegevens van OV-chipkaarthouders voor marketingdoeleinden. NS heeft naar aanleiding van deze constatering maatregelen getroffen waardoor de overtredingen van de Wet bescherming persoonsgegevens (Wbp) inmiddels zijn beëindigd.

Uit de door het CBP onderzochte verwerkingen van reisgegevens voor marketingdoeleinden bleek dat NS een gedetailleerd beeld van het reisgedrag van de OV-chipkaarthouders vastlegde. NS gebruikte deze gedetailleerde reisgegevens zonder de vereiste toestemming hiervoor van de reizigers. Daarmee leefde het vervoerbedrijf de eerder door het CBP geformuleerde voorwaarden waaronder OV-bedrijven reisgegevens mogen verwerken voor marketingdoeleinden, niet na. NS heeft zich in 2008 aan de uitwerking van de wet in de voorwaarden uitdrukkelijk verbonden.

Uit het onderzoek kwam ook naar voren dat NS persoonsgegevens van anonieme OV-chipkaarthouders verzamelde. Het OV-bedrijf gebruikte namelijk de e-mailadressen van de anonieme OV-chipkaarthouders die hun saldo via de website van NS activeerden voor direct marketingdoeleinden.

IT 847

WOB-verzoek, onder eigen naam handelsnaam voeren en privacy

Rechtbank Amsterdam 26 juni 2012, LJN BX5021 (Stichting Foodwatch Nederland tegen staatssecretaris van ELI)

Wob-verzoek. Privacy van natuurlijke personen die onder eigen naam een handelsnaam voeren.

Rechtspraak.nl: Verzocht is om openbaarmaking van inspectie bevindingen in de horeca door het ministerie van Economische Zaken, Landbouw en Innovatie (ELI) en/of de voedsel- en warenautoriteit. De rechtbank oordeelt dat weigering van vestigingsplaats van individuele horecaonderneming niet is gerechtvaardigd. Weigering om privacyredenen van een handelsnaam die hetzelfde is als de naam van de eigenaar is evenmin gerechtvaardigd. De openbaarmaking van naam, postcode en adres van de horecaondernemingen, wat leidt tot identificatie mocht worden geweigerd wegens onevenredige benadeling, nu inspectiegegevens geen enkele contextinformatie over de omvang en de ernst van een overtreding bevatten en de gegevens grotendeels verouderd zijn.

3.11.  De rechtbank stelt allereerst vast dat verweerder, naast naam van de onderneming, straatnaam, huisnummer en postcode, ook de vestigingsplaats(en) van de betreffende horecaondernemingen niet openbaar heeft gemaakt, terwijl verweerder ten aanzien hiervan geen motivering heeft opgenomen in het bestreden besluit dan wel in zijn brief van 14 november 2011. Voor zover verweerder beoogd heeft de openbaarmaking van de plaatsnamen op grond van artikel 10, tweede lid, aanhef en onder g, van de Wob te weigeren, heeft verweerder dit ten onrechte niet (alsnog) gemotiveerd. De rechtbank is in dat verband overigens van oordeel dat de enkele vermelding van de naam van de plaats waar de horecagelegenheid gevestigd is onvoldoende is om de individuele horecaonderneming te identificeren. Dit motiveringsgebrek is eveneens reden voor de rechtbank om te concluderen dat het bestreden besluit niet in stand kan blijven.

3.12.  Ten aanzien van de weigering door verweerder om de namen van de ondernemingen, waaronder eigennamen van de eigenaar als handelsnaam, straatnamen, huisnummers en postcodes van de betreffende horecaondernemingen niet openbaar te maken, overweegt de rechtbank het volgende. Daargelaten of door openbaarmaking van de gegevens het door eiseres gestelde algemeen belang van de volksgezondheid, gelet op de gedateerdheid van de gegevens, gediend is, dient voor de beoordeling van de weigering om de gegevens openbaar te maken slechts het algemeen belang van openbaarheid afgewogen te worden tegen het belang in artikel 10, tweede lid, aanhef en onder g, van de Wob. De rechtbank overweegt dat een naam van de onderneming, straatnaam en huisnummer, dan wel een postcode, ook elk voor zich, voldoende informatie bieden om een individuele horecaonderneming te identificeren. De rechtbank is van oordeel dat verweerder afdoende aannemelijk heeft gemaakt dat de horecaondernemingen benadeeld worden door reputatieschade die kan ontstaan als de inspectiegegevens openbaar gemaakt worden.

Vervolgens is de vraag aan de orde of verweerder die benadeling ook als onevenredig heeft kunnen aanmerken. De rechtbank beantwoordt die vraag bevestigend. Het gebrek aan contextinformatie, bijvoorbeeld over de maatregelen die genomen zijn naar aanleiding van de inspecties, het feit dat de betreffende horecaondernemingen wellicht inmiddels van eigenaar veranderd zijn en gelet op de gedateerdheid van de gegevens, maakt naar het oordeel van de rechtbank dat deze ondernemers door de aanzienlijke reputatieschade die te verwachten valt onevenredig benadeeld zouden worden wanneer de gegevens in de huidige vorm openbaar gemaakt zouden worden. Verweerder heeft naar het oordeel van de rechtbank dan ook mogen concluderen dat de onevenredige benadeling van de gecontroleerde en gesanctioneerde ondernemingen in dit geval zwaarder moet wegen dan het algemeen belang van openbaarmaking van die gegevens.

3.13.  Eiseres heeft nog aangevoerd dat de gezondheidswet op korte termijn zal worden gewijzigd, in die zin dat daarin een systeem zal worden opgenomen op grond waarvan alle controlegegevens horeca en retail van de VWA openbaar gemaakt zullen worden. Volgens eiseres valt niet in te zien waarom gegevens die de wetgever openbaar wil gaan maken thans niet op basis van het onderhavige Wob-verzoek openbaar kunnen worden gemaakt.
Verweerder heeft in dit verband opgemerkt dat op dit moment wordt gewerkt aan een aanpassing van de gezondheidswet. Eerst nadat deze wet is aangepast, zal het proces van uitbreiding van het actief openbaar maken van dit soort controlegegevens worden ingezet. Er zal worden toegewerkt naar gehele openbaarmaking van alle controlegegevens horeca en retail van de VWA, zowel de positieve als de negatieve resultaten. Daarbij zal er zorg voor worden gedragen dat die te openbaren gegevens met de nodige contextinformatie worden verstrekt en dat deze een zo duidelijk en juist mogelijk beeld schetsen van de situatie. De voorbereiding van dit proces kost veel tijd, waarbij zorgvuldigheid geboden is en de uitkomst afhankelijk is van de technische en financiële mogelijkheden, aldus verweerder.

3.14.  De rechtbank overweegt dat het voornemen van verweerder om in de toekomst dergelijke controlegegevens actief openbaar te maken, op zichzelf geen belang is dat afgewogen dient te worden in het kader van de vraag of de geweigerde openbaarmaking op grond van de Wob op dit moment gerechtvaardigd is. Het feit dat verweerder in de toekomst, met inachtneming van andere condities en onder toepassing van nog op te stellen beleid, mogelijk tot een andere afweging zal komen tussen het algemeen belang bij openbaarmaking en de belangen die beschermd worden door de uitzonderingen in artikel 10 en 11 van de Wob, maakt niet dat de afweging die verweerder in de voorliggende zaak op dit moment in de tijd heeft gemaakt reeds om die reden onjuist is.

Conclusie
3.15.  Gelet op hetgeen hiervoor is overwogen, zal de rechtbank het beroep gegrond verklaren en het bestreden besluit vernietigen wegens strijd met de artikelen 3:2 en 7:12 van de Awb. De besluitvorming vergt een nadere motivering en belangenafweging van verweerder, zodat de rechtbank geen ruimte ziet om in het kader van finale geschilbeslechting de rechtgevolgen van het bestreden besluit in stand te laten, dan wel anderszins thans zelf in de zaak te voorzien. Verweerder zal een nieuw besluit moeten nemen op het bezwaar van eiseres met inachtneming van hetgeen hiervoor is overwogen.

IT 840

Rijksoverheid miskent dat zij gehouden is aan de cookiewet

Een bijdrage van Wouter Dammers, ICTRecht

Naar aanleiding van het onderzoek van ICTRecht in samenwerking met WUA! meldt Webwereld vandaag dat Rijksoverheid.nl third party analytics cookies plaatst (van NedStat), maar dat zij niet voldoet aan de cookiewet. De Rijksoverheid zou in een reactie hebben laten weten dat zij cookies gebruikt “om kwantitatieve en anonieme gegevens over het gebruik van de website te verzamelen en zo de website nu en in de toekomst beter te maken en niet voor commerciële doeleinden.” De cookiewet zou volgens Rijksoverheid ruimte bieden aan cookies die bedoeld zijn om de werking en communicatie van een website mogelijk te maken. Een melding met informatie welke cookies door welke partijen worden geplaatst, en voor welke doeleinden ze worden gebruikt zou daarom – net als toestemming – niet zijn vereist. Deze beweringen slaan nergens op en de website Rijksoverheid.nl is evident in overtreding.

Wat Rijksoverheid wel – heel netjes – doet is een gedetailleerde uitleg geven over welke cookies waarom worden gebruikt. Zij doet dit echter in een cookieverklaring, te vinden in de footer op haar website. Een duidelijke melding met de vereiste informatie en het verkrijgen van toestemming vóórdat de NedStat cookies worden geplaatst, zoals de cookiewet vereist, ontbreekt.

Het Ministerie van Algemene Zaken, het departement dat ook Rijksoverheid.nl beheert, meent dat dit overbodig is en niet zou zijn vereist voor Rijksoverheid.nl omdat het cookie noodzakelijk zou zijn voor de werking en communicatie van de website en omdat de cookies niet voor commerciële doeleinden worden gebruikt.

En daarmee slaan ze compleet de plank mis, zoals ik ook op Webwereld laat weten:

“Hun lezing is onjuist: iedere site die cookies plaatst, ongeacht of deze commercieel of niet-commercieel van aard zijn, moet voldoen aan de cookiewet – dus ook Rijksoverheid.nl."(...) “Enkel en alleen wanneer de cookies als “functionele cookies” kunnen worden aangemerkt, zijn de regels niet van toepassing. Van een “functionele cookie” is sprake wanneer deze uitsluitend wordt geplaatst om communicatie mogelijk te maken via internet, of om een door de gebruiker gevraagde dienst te verlenen waarvoor de opslag van de cookie strikt noodzakelijk is. Het gebruik van NedStat – een third party analytics dienst – valt niet aan te merken als een functionele cookie”.

Ik wijs daarbij ook op de uitleg van waakhond OPTA die toeziet op naleving van de omstreden Nederlandse cookiewet. OPTA schrijft namelijk: “Een cookie dat gebruikt wordt om webstatistieken bij te houden, zoals bijvoorbeeld een Google Analytics cookie, is niet noodzakelijk voor het uitvoeren van communicatie of strikt noodzakelijk voor het leveren van een door een gebruiker gevraagde dienst.”

En dus concludeer ik dat Rijksoverheid.nl de cookiewet overtreedt door het niet tonen van een melding en het ontbreken van een opt-in.

Lees hier het bericht.

IT 839

Nederlandse bedrijven voldoen nauwelijks aan wet-en regelgeving cookies

Uit't persbericht: Uit onafhankelijk onderzoek dat juridisch adviesbureau ICTRecht uitvoerde in samenwerking met online onderzoeksbureau WUA! blijkt dat het treurig gesteld is met het voldoen aan de nieuwe regels voor cookies. Slechts 3 van 143 door ICTRecht onderzochte homepages van grote Nederlandse bedrijven voldoen volledig of grotendeels aan de wet- en regelgeving die sinds 5 juni geldt.

(...)
De volledige lijst met resultaten is hier te vinden op de website van WUA! Deze lijst zal de voedingsbodem zijn voor een onderzoek onder 100 respondenten naar conversieverlies door de nieuwe wetgeving dat WUA! de komende week zal uitvoeren, en waarvan het rapport online te bestellen is.
(...)
Over het vervolgonderzoek
Het onderzoek dat WUA! zal uitvoeren op basis van de vandaag gepubliceerde lijst zal vanaf volgende week beschikbaar zijn. Er worden twintig websites geselecteerd die verschillende methodes hanteren voor het vragen van toestemming en informeren over cookies; deze websites voldoen volgens ICTRecht volledig of grotendeels aan de cookiewetgeving. Een groep van honderd respondenten krijgt een tiental websites voorgelegd met als doelstelling: welke methode vindt de gebruiker het handigst en voor welke methode zou hij het liefst toestemming geven?
(...)
Lees het volledige persbericht hier

IT 823

Advies RvS EU-privacywetgeving

Advies Raad van State 28 juni 2012, W03.12.0188/II (voorlichting over EU-privacywetgeving)

Op 27 juni 2012 heeft de Afdeling advisering van de Raad van State voorlichting uitgebracht aan de Tweede Kamer over EU-privacywetgeving. De Tweede Kamer heeft de voorlichting op 5 juli 2012 openbaar gemaakt.

Uit de samenvatting: Aanleiding
De Europese Commissie heeft op 25 januari 2012 twee voorstellen gepresenteerd voor de herziening van de regels voor de bescherming van persoonsgegevens binnen de Europese Unie. De Voorzitter van de Tweede Kamer der Staten-Generaal heeft aan de Afdeling advisering van de Raad van State gevraagd haar van voorlichting te dienen over die voorstellen. Zij heeft daartoe een vijftal vragen aan de Afdeling advisering voorgelegd. Het is de eerste maal dat de Afdeling advisering op verzoek van de Tweede Kamer voorlichting uitbrengt over EU-ontwerpwetgeving. Voor zover de Afdeling advisering standpunten over de ontwerp¬verordening en –richtlijn naar voren brengt, zien deze uitsluitend op deze voor¬stellen in dit ontwerpstadium. Zij kunnen niet worden geïnterpreteerd als voor¬uitlopend op de wetgevingsadvisering die in een later stadium zal plaatsvinden bij de uitvoering en omzetting van op Europees niveau tot stand gebrachte regelgeving.
De Afdeling advisering merkt, voorafgaand aan de beantwoording van de vijf concrete vragen, in het algemeen het volgende op over de EU-voorstellen.

Bevoegdheidsverdeling
De wens van de Tweede Kamer die aan de voorlichtingsvragen ten grondslag ligt is, zo begrijpt de Afdeling advisering, het verkrijgen van inzicht in de consequenties van deze Europese ontwerpverordening en ontwerprichtlijn voor de lidstaten, in het bijzonder voor Nederland. De belangrijkste veranderingen vloeien voort uit de ontwerpverordening. Een belangrijke consequentie is naar het oordeel van de Afdeling advisering in de eerste plaats de verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de Europese Unie. De nadruk komt veel sterker dan voorheen te liggen op de bevoegdheden van de Europese Unie. De voorgestelde verordening zal op het gebied van de bescherming van persoonsgegevens de nationale beleidsruimte van de lidstaten aanzienlijk inperken. De invulling van dit grondrecht, ook in relatie tot andere grondrechten, zal in de toekomst voornamelijk plaatsvinden op Europees niveau. De verschuiving naar EU-niveau wordt ook zichtbaar in de ruime toekenning van bevoegdheden aan de Europese Commissie en in een versterkt Europees toezicht. Het toezicht wordt meer dan nu het geval is in handen gelegd van het uit de nationale toezichthouders bestaande Europees Comité voor de gegevensbescherming en de Europese Commissie.

Technologische ontwikkelingen
De ontwerpverordening heeft ook tot doel de wetgeving in overeenstemming te brengen met technologische ontwikkelingen. Om dat te bereiken worden de rechten van de betrokkene uitgebreid en de verplichtingen van de voor de verwerking verantwoordelijken versterkt. De Afdeling advisering onderschrijft de genoemde doelstelling, maar waarschuwt voor te hooggespannen verwachtingen. Naar het oordeel van de Afdeling advisering dienen de voorgestelde nieuwe rechten, zoals een "recht om vergeten te worden" in de ontwerpverordening inhoudelijk nauwkeuriger te worden omschreven om daadwerkelijk toegevoegde waarde te kunnen hebben. Bovendien kan de ontwerpverordening leiden tot aanzienlijke lastenverzwaringen voor de verantwoordelijken. De vraag is of het uitgangspunt dat de verantwoordelijke moet kunnen worden aangesproken op de bescherming van persoonsgegevens die door hem worden verwerkt, dergelijke lastenverzwaringen nog kan rechtvaardigen.

 

Solv hier

IT 817

Wijziging drie besluiten Wet bescherming persoonsgegevens.

CBPweb bericht: Minder administratieve lasten en kosten voor verantwoordelijken

Per 1 juli 2012 zijn drie besluiten die te maken hebben met de Wet bescherming persoonsgegevens (Wbp) op een aantal punten aangepast. Het gaat om het Besluit kostenvergoeding rechten betrokkene Wbp, het Meldingsbesluit Wbp en het Vrijstellingsbesluit Wbp. Het voornaamste doel hiervan is de administratieve lasten en nalevingskosten te verminderen voor verantwoordelijken (degenen die persoonsgegevens verwerken). Het grootste gedeelte van de wijzigingen betreft het Vrijstellingsbesluit Wbp.

Vrijstellingsbesluit Wbp
Het Vrijstellingsbesluit Wbp regelt welke verwerkingen van persoonsgegevens zijn vrijgesteld van de wettelijke meldingsplicht bij het College bescherming persoonsgegevens (CBP) of, als een organisatie deze heeft aangesteld, de functionaris voor de gegevensbescherming (FG).

De wijzigingen van het Vrijstellingsbesluit Wbp zijn in drie categorieën onder te verdelen:

1. Uitbreiding van het aantal vrijstellingen van de meldingsplicht
Dit houdt in dat enkele van de al bestaande artikelen in het Vrijstellingsbesluit Wbp zijn aangevuld. In het bijzonder de wijziging van artikel 38 Vrijstellingsbesluit Wbp (videocameratoezicht) is van belang. De in het artikel opgenomen bewaartermijn voor camerabeelden van 24 uur is vervangen door vier weken.
2. Aanpassing aan de maatschappelijke (technologische) ontwikkelingen
Door deze wijzigingen in het Vrijstellingsbesluit Wbp worden onnodige belemmeringen in de ontwikkeling van inmiddels algemeen gebruikelijke ICT-toepassingen als intranet en persoonlijke websites en weblogs zo veel mogelijk opgeheven. Het gevolg hiervan is dat twee nieuwe vrijstellingen zijn opgenomen in het Vrijstellingsbesluit Wbp, te weten artikel 38a Intranet en artikel 38b Persoonlijke websites.
3. Verruiming van de vrijstelling van de meldingsplicht voor gegevensverkeer met derde landen
Voortaan zijn ook vrijgesteld van de meldingsplicht (artikel 44):
* doorgifte van persoonsgegevens naar een land binnen de Europese Economische Ruimte;
* doorgifte aan de Verenigde Staten in overeenstemming met de zogeheten Safe Harbor Principles;
* doorgifte met een vergunning die betrekking heeft op een intern bindende gedragscode (BCR).

Meldingsbesluit Wbp
In het nieuwe tweede lid van artikel 2 van het Meldingsbesluit Wbp is een voorziening getroffen voor vereenvoudiging van de meldingsplicht voor grote ondernemingen. Onder bepaalde voorwaarden kan een melding die betrekking heeft op verwerkingen door of voor meer dan één verantwoordelijke geschieden door één van deze verantwoordelijken.

Besluit kostenvergoeding rechten betrokkene Wbp
Het besluit leidt tot aanpassing van de maximumbedragen van de vergoeding die een verantwoordelijke op grond van artikel 39 Wbp aan de betrokkene kan vragen wanneer deze een inzageverzoek heeft gedaan. Verder is een expliciete regeling getroffen voor de vergoeding van afdrukken van röntgenfoto’s.

IT 812

Geen volledige onafhankelijkheid Datenschutzcommission

Conclusie A-G HvJ EU 3 juli 2012, zaak C-614/10 (Europese Commissie tegen Republiek Oostenrijk)

In 't kort: Niet-nakoming van de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens. Vervulling, in volledige onafhankelijkheid, van taken van nationale toezichthoudende autoriteiten belast met toezicht op verwerking van persoonsgegevens en de nauwe persoonlijke en organisatorische banden tussen toezichthoudende autoriteit en Bundeskanzleramt.

Conclusie:
1) De Republiek Oostenrijk is de verplichtingen niet nagekomen die op haar rusten krachtens artikel 28, lid 1, tweede alinea, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, ten eerste door de functies van bestuurder van de Datenschutzkommission en van federaal ambtenaar te cumuleren, ten tweede door het secretariaat van de Datenschutzkommission in het Bundeskanzleramt te integreren, en ten derde door de bondskanselier een recht op informatie ten aanzien van de Datenschutzkommission toe te kennen, waardoor zij het vereiste dat de toezichthoudende autoriteiten de hun opgedragen taken „in volledige onafhankelijkheid” vervullen, onjuist heeft uitgevoerd.

2) De Bondsrepubliek Duitsland wordt verwezen in de kosten van de Europese Commissie.
3) De Europese Toezichthouder voor gegevensbescherming en de Bondsrepubliek Duitsland worden verwezen in hun eigen kosten.