Privacy  

CBP Beslissing op bezwaar 25 november 2011, kenmerk z2011-0063 (GVB)

Uit't persbericht: Het College bescherming persoonsgegevens (CBP) heeft een zogeheten ‘beslissing op bezwaar’ genomen nadat het Amsterdamse vervoerbedrijf GVB bezwaar had aangetekend tegen een last onder dwangsom van het CBP. In de last onder dwangsom heeft het CBP vastgesteld dat reisgegevens van studenten met een studenten OV-chipkaart persoonsgegevens zijn en heeft het GVB verplicht om nieuwe bewaartermijnen voor deze gegevens in te voeren. Reisgegevens zijn volgens het CBP persoonsgegevens, omdat deze zijn te herleiden tot identificeerbare personen. Het CBP handhaaft de last onder dwangsom tegen GVB. Dit betekent dat GVB de bewaartermijnen voor reisgegevens van studenten moet aanpassen. GVB heeft toegezegd aan deze eis te zullen voldoen. Indien dit op 31 december 2011 niet is gebeurd, dan is GVB een dwangsom verschuldigd die kan oplopen tot maximaal 250.000 euro.

Met commentaar in het kort van Walter van Holst, Mitopics

Nog net op de valreep van 2011 publiceerde het College Bescherming Persoonsgegevens (CBP) haar beslissing op bezwaar inzake de transactiegegevens die het Gemeentelijk Vervoersbedrijf (GVB) verwerkt als gevolg van het gebruik van de studenten OV-chipkaart in het Amsterdamse openbaar vervoer. Het CBP had het GVB een dwangsom opgelegd wegens het niet conform artikel 6 Wbp verwerken van persoonsgegevens van houders van  studenten OV-chipkaarten. Kernpunt van de discussie was de vraag of reisgegevens wel of geen persoonsgegevens zijn, waarbij het CBP haar zienswijze in de bezwaarprocedure heeft gehandhaafd. Een kritische noot vanaf de zijlijn.

De feitelijke situatie rondom de OV-chipkaart is dat bij het zogenaamde in- en uitchecken bij OV-chipkaartterminals (de paaltjes op metro- en treinstations en de gele bakken in trams en bussen) zowel op de kaart zelf als in de systemen van de vervoerder (in casu GVB) het kaartnummer, abonnementstype en de daaraan gerelateerde gegevens (‘reisproduct’, ingangsdatum, uitgever abonnement), mutatiegegevens (datum, tijdstip, saldo voor en na transactie) en het apparaat waarbij in- of uitgecheckt wordt, worden vastgelegd. De NAW-gegevens van de kaarthouder zijn alleen bij GVB bekend als GVB de uitgever van het abonnement is. In het geval van de studenten OV-chipkaart zullen deze in het algemeen niet bij  GVB bekend zijn.

Het GVB stelt zich op het standpunt dat er geen sprake is van identificerende informatie, omdat er geen NAW-gegevens bij GVB bekend zijn. Daarmee wordt naar mening van het GVB niet aan de criteria van artikel 1 Wbp voldaan. Sterker nog, GVB is van mening dat er sprake is van privacy by design nu de gegevens noodzakelijk voor daadwerkelijke identificatie van de houders van studenten OV-chipkaarten bij een derde partij, Trans Link Systems (TLS) verwerkt worden en niet door de vervoersbedrijven zelf.

Het CBP en GVB zijn het hier fundamenteel over oneens en het CBP heeft het GVB op 9 juni 2011 dan ook een last onder dwangsom opgelegd. Hierop heeft het GVB bezwaar aangetekend. Interessant daarbij is dat in de beslissing op bezwaar het CBP korte metten maakt met de opvatting van het GVB dat nu de NAW-gegevens bij een derde (TLS) verwerkt worden, er geen sprake is van persoonsgegevens. Het CBP stelt namelijk letterlijk in de beslissing op bezwaar dat:

“Voor de vaststelling of een persoon identificeerbaar is moet blijkens bovengenoemde overweging 26 uit Richtlijn 95/46/EG immers worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren.' (onderstreping toegevoegd)"

Als gebruiker van het openbaar vervoer die grote twijfels heeft bij de zorgvuldigheid waarmee het ambitieuze OV-Chipkaart project is neergezet juich ik het gemak waarmee het CBP de door het GVB, RET en NS opgezette constructie, waarin dochter TLS als privacybliksemafleider lijkt te fungeren, heeft doorgeprikt toe. Als praktijkjurist mis ik in deze redenering wat nuances ten behoeve van de rechtszekerheid. Het CBP introduceert namelijk grote onzekerheid over wanneer gegevens nu ophouden persoonsgegevens te zijn. Want anonimisering vindt niet zelden plaats door gegevens te schrappen, terwijl diezelfde gegevens vaak nog wel bij derden voorhanden blijven, derden die veelal toch wel enige vorm van een relatie met de verantwoordelijke hebben. In de casus van het GVB is het inderdaad redelijkerwijs voorzienbaar dat de transactiegegevens van reizen bij het GVB door TLS verwerkt worden en daarmee tot identificeerbaarheid van de kaarthouders leidt. TLS vervult immers de rol van clearing house tussen de vervoerders onderling. Het zou voor de begripsvorming echter wel prettig zijn geweest als uit de beslissing op bezwaar op te maken zou zijn onder welke omstandigheden een partij wel onafhankelijk genoeg is dat aangenomen kan worden dat de gegevens bij een derde niet langer als redelijkerwijs inzetbaar geacht kunnen worden om een betrokkene te identificeren.

Voor de vaststelling dat de transactiegegevens persoonsgegevens zijn, is dit standpunt ook niet strikt noodzakelijk, want het CBP heeft in haar beslissing op bezwaar ruim gemotiveerd dat (kaart)nummers op zichzelf ook identificerend kunnen zijn. Een eventueel beroep van het GVB tegen de beslissing op bezwaar heeft dan ook weinig kans van slagen. Het wachten is op een dossier waar de grenzen van ‘redelijkerwijs’ meer inzichtelijk worden dan in deze zaak.

Internetconsultatie wijziging Wbp (gebruik camerabeelden en meldplicht datalekken) (einddatum 29 februari 2012)

In het wetsvoorstel is een regeling opgenomen voor een verruiming van het gebruik van camerabeelden gemaakt met particuliere beveiligingscamera's van burgers en bedrijven ten behoeve van de opsporing van strafbare feiten. In het wetsvoorstel is ook een regeling opgenomen voor een meldplicht voor datalekken.

Concept regeling wijziging Wbp (2 Mb).

Doel van de regeling Met deze regeling wil Staatssecretaris Teeven bereiken dat beelden van strafbare feiten afkomstig van beveiligingscamera's die door particulieren of bedrijven zijn geïnstalleerd op ruimere schaal kunnen worden ingezet om de opsporing van strafbare feiten te ondersteunen.

Met deze regeling wil Staatssecretaris Teeven ook bereiken dat bedrijven en overheid aan het College bescherming persoonsgegevens gaan melden dat zij zijn geconfronteerd met een lek in de beveiliging van hun geautomatiseerde verwerking van persoonsgegevens. Die melding moet alleen worden gedaan als aannemelijk is dat persoonsgegevens als gevolg van dat lek zijn blootgesteld aan een aanmerkelijke kans op verlies of onrechtmatige verwerking.

Verwachte effecten van de regeling 
Van een ruimer gebruik van camerabeelden wordt verwacht dat de investering in eigen beveiligingsmaatregelen meer gaat opleveren voor burgers en bedrijven. Van de meldplicht datalekken wordt verwacht dat de meldplicht bijdraagt aan een grotere transparantie bij de verwerking van persoonsgegevens, ruimere aandacht voor de noodzaak goed te investeren in beveiligingsmaatregelen, en op den duur toename van het vertrouwen van de samenleving in de geautomatiseerde verwerking van persoonsgegevens.

RvS Afdeling bestuursrechtspraak 30 november 2011, LJN BU6383 (wederpartij tegen Universitair Medisch Centrum Groningen)

Met samenvatting van Marianne Korpershoek, Louwers IP|Technology Advocaten.

Logfiles. Kennisnamerecht patiënt. Een patiënte van het UMCG wil op grond van artikel 35 WBP kennis nemen van de namen van de zorgverleners die inzage hebben gehad in haar medisch patiëntendossier. Het UMCG wees het verzoek en bezwaar af. De Rechtbank Groningen verklaart het beroep van patiënte gegrond. Het UMCG stelt hoger beroep in bij de Raad van State.

De rechtbank is van oordeel dat de patiënte op grond van art. 35 lid 2 WBP recht heeft op een overzicht van de zorgverleners die inzage hebben gehad in haar dossier. Het UMCG stelt zich op het standpunt dat kennisneming alleen mogelijk is indien de wens tot kennisname samenhangt met het recht op correctie en aanvulling de inhoud van het dossier. Verder beroept het UMCG op het recht van privacy van de betrokken zorgverleners. De Raad van State wijst deze argumenten en daarmee het beroep van het UMCG af en vernietigt het besluit van het UMCG. De patiënte heeft recht op de logfiles met gegevens van personen die inzage hebben gehad in haar medisch dossier.

2.4.3. Gelet op hetgeen onder 2.4.2 is overwogen, mocht het UMCG ingevolge het bepaalde in artikel 35, tweede lid, van de Wbp niet volstaan met het mededelen van categorieën van ontvangers. Het betoog van het UMCG dienaangaande faalt dan ook.

De rechtbank heeft met juistheid geoordeeld dat artikel 35, tweede lid, van de Wbp, aan [wederpartij] in beginsel het recht toekent op een overzicht van namen van degenen die haar medisch dossier in het Poliplus-systeem hebben geraadpleegd. Met de rechtbank verwerpt de Afdeling het betoog van het UMCG dat de informatie waar artikel 35, tweede lid, van de Wbp op ziet, uitsluitend dient ter uitoefening van het recht op correctie en aanvulling van de inhoud van het dossier. Dat [wederpartij] de informatie zou hebben verzocht teneinde na te gaan of het UMCG het beroepsgeheim in acht neemt, kon derhalve geen grond zijn de door haar verzochte informatie niet mede te delen. Het recht op mededeling of persoonsgegevens worden verwerkt, als neergelegd in artikel 35 van de Wbp, kan weliswaar ten dienste staan van aanwending van de mogelijkheid door een betrokkene om de verantwoordelijke te verzoeken deze persoonsgegevens te verbeteren of aan te vullen, voorzien in artikel 36 van de Wbp, maar dat betekent niet dat de mededeling slechts behoeft te worden gedaan in zoverre dat doel kan worden gediend. Uit de tekst van artikel 35, tweede lid, van de Wbp volgt immers dat de verantwoordelijke een volledig overzicht van de verwerkte persoonsgegevens dient te verstrekken, los van het doel dat betrokkene met het verzoek voor ogen heeft. Zoals de rechtbank voorts met juistheid heeft overwogen, geeft de Wbp aan een ieder het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt en wordt het belang bij een zodanig verzoek door de Wbp verondersteld.

De betogen van het UMCG dat [wederpartij] niet een zodanig belang heeft gesteld dat een inbreuk op de privacy van de medewerkers van het UMCG is gerechtvaardigd en dat het aansprakelijk is voor fouten van ondergeschikten en het zonder wettelijke plicht niet is gehouden om een verklaring tegen zichzelf af te leggen, zijn niet gericht tegen de aangevallen uitspraak en leiden om die reden niet tot vernietiging van de uitspraak.

2.8.1. Zoals onder 2.4.3 is overwogen mocht het UMCG, nu degenen die het medisch dossier van [wederpartij] in het Poliplus-systeem hebben geraadpleegd, geen ontvangers zijn in de zin van artikel 1, aanhef en onder h, van de Wbp, ingevolge het bepaalde in artikel 35, tweede lid, van de Wbp, niet volstaan met het mededelen van categorieën van ontvangers. Artikel 35, tweede lid, van de Wbp, kent aan [wederpartij] het recht toe op een volledig overzicht van namen van degenen die haar medisch dossier in het Poliplus-systeem hebben geraadpleegd. Het UMCG heeft artikel 35, tweede lid, van de Wbp op grond van artikel 43, aanhef en onder e, van de Wbp buiten toepassing gelaten in zoverre het verzoek van [wederpartij] strekt tot mededeling van de namen van degenen die het medisch dossier in het Poliplus-systeem hebben geraadpleegd. Het UMCG heeft echter niet deugdelijk gemotiveerd waarom het buiten toepassing laten van artikel 35, tweede lid, van de Wbp in dit geval noodzakelijk is in het belang van de bescherming van de rechten en vrijheden van anderen. Zoals onder 2.4.3 is overwogen, geeft de Wbp aan een ieder het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt in de zin van artikel 1, aanhef en onder b, van de Wbp. Het belang bij een zodanig verzoek wordt door de Wbp verondersteld. Daarom en omdat het in dit geval verwerking van persoonsgegevens in het kader van een digitaal medisch dossier betreft, staat het belang van [wederpartij] om haar rechten op grond van artikel 35 en 36 van de Wbp uit te kunnen oefenen, zoals zij terecht betoogt, voorop. Met de enkele overweging in het besluit van 9 december 2010 dat ook een inbreuk op de privacy van medewerkers van het UMCG moet zijn voorzien bij de wet en moet voldoen aan de eisen van proportionaliteit en subsidiariteit heeft het UMCG niet een weging verricht die hieraan recht doet. Het betoog van [wederpartij] slaagt.

Vzr. Rechtbank 's-Gravenhage 6 december 2011, KG ZA 11-1183 (Stichting BREIN tegen Techno Design "Internet programming" B.V.) -  persbericht BREIN

Met dank aan Dirk visser, Marloes Bakker en Arnout Groen, Klos Morel Vos & Schaap.

Auteursrecht. Provider als tussenpersoon. Klantgegevens. Technodesign is een payment provider en biedt een online-betaaldienst aan met behulp waarvan bezoekers van een website betalingen kunnen verrichten aan de beheerder van de website. Op internet was tot voor kort een website beschikbaar die fungeerde als platform voor het uitwisselen van entertainmentbestanden, via zogenaamde torrents. BREIN heeft, zonder succes, getracht de identiteit van de verantwoordelijken te achterhalen omdat die naar haar oordeel met de website auteursrechtinbreuken door derden faciliteerden. Bezoekers konden tokens kopen waarmee ze gebruik konden maken van betere functionaliteiten en sneller konden downloaden. Voor de afhandeling van de betaling van de tokens worden diensten van Techno Design gebruikt.

Conform criteria uit de rechtspraak, waaronder Lycos/Pessers, moet Techno Design de gegevens van de verantwoordelijken verstrekken aan BREIN. Hieronder wordt verstaan de naw-gegevens, e-mail en ip-adressen en het bankrekeningnummer. De gegevens van personen die "anderszins als tussenpersoon tussen Techno Design en de verantwoordelijken voor de website diensten verlenen voor de verantwoordelijken voor de website" hoeven niet te worden overlegd. Dit alles onder last van een dwangsom ad €1.000 tot een maximum van €25.000. Techno Design wordt veroordeeld in de kosten ex liquidatietarief ad €1.466,81.

4.3. Naar voorlopig oordeel kan bij de beoordeling van de gevorderde gegevensverstrekking worden aangesloten bij de criteria die in de rechtspraak zijn ontwikkeld voor de beantwoording van de vraag onder welke omstandigheden een hosting provider identificerende gegevens van zijn klant moet verstrekken aan een derde die stelt dat die klant onrechtmatig jegens hem handelt via een door de provider gehoste website ([Lycos - Pessers]). In beide gevallen gaat het immers om een partij die gegevens wil hebben van een dienstverlener teneinde een klant van die dienstverlener te kunnen aanspreken op onrechtmatig gedrag.

a. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
b. de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens;
c. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen;
d. afweging van de betrokken belangen van de derde, de serviceprovider en de websitehouder (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

Zoals hierna per criterium zal worden toegelicht, moet toetsend aan die criteria voorhands worden geoordeeld dat op Techno Design een op maatschappelijke zorgvuldigheidnormen gebaseerde rechtsplicht rust om identificerende gegevens betreffende de verantwoordelijken te verstrekken aan BREIN.

4.4. Ten eerste staat voorshands vast dat via de onder 2.4 beschreven website (hierna: de website) structureel en grootschalig inbreuken zijn gepleegd op auteursrechten en naburige rechten van bij BREIN aangesloten rechthebbenden en dat ook de verantwoordelijken voor de website zelf grootschalig inbreuk hebben gepleegd op die rechten. Techno Design heeft dat niet betwist. Techno Design heeft ook niet bestreden dat er sprake is van “evident onrechtmatig handelen”, dat wil zeggen: handelen waarvan ook voor een derde die erop wordt gewezen, zoals Techno Design, duidelijk moet zijn dat het onrechtmatig is. In zoverre is de positie van Techno Design in dit geval minder lastig dan die van de gedaagde in de hiervoor genoemde Lycos – Pessers zaak. In die zaak ging het immers om handelingen waarvan de aangesproken provider volgens het hof niet zonder meer kon vaststellen of die onrechtmatig waren.

4.5. Ten tweede is niet in geschil dat BREIN een reëel belang heeft bij verkrijging van identificerende gegevens van de verantwoordelijken voor de website. BREIN heeft die gegevens immers nodig om die verantwoordelijken te kunnen aanspreken en aldus de voortdurende inbreuken op de rechten van de bij haar aangesloten partijen te kunnen stoppen. Dat belang bestaat ook nog na de verandering van de domeinnaam waaronder de website wordt gepubliceerd. Niet in geschil is namelijk dat de verantwoordelijken hun onrechtmatig gedrag onverminderd voortzetten onder de nieuwe domeinnaam.

4.6. Ten derde is voorhands niet aannemelijk dat BREIN in dit geval minder ingrijpende mogelijkheden heeft om de gevorderde gegevens te achterhalen. Het enige alternatief dat Techno Design naar voren heeft gebracht, is het starten van een procedure tegen de hosting provider. Dat alternatief is zowel voor de betreffende provider, als voor de personen op wie de gegevens betrekking hebben, naar voorlopig oordeel even ingrijpend als de onderhavige procedure. Techno Design heeft ook niet toegelicht waarom haar alternatief minder ingrijpend is. Bovendien heeft BREIN aangevoerd dat als het gaat om de verkrijging van gegevens, het effectiever is om een payment provider aan te spreken dan een hosting provider. Een payment provider zoals Techno Design moet op zijn minst bepaalde identificerende gegevens van zijn klanten bijhouden om de dienst te kunnen uitvoeren. Om de geïncasseerde gelden door te leiden naar haar klant moet Techno Design immers beschikking hebben over ten minste de naam en het rekeningnummer van die klant. Techno Design heeft ook niet bestreden dat zij over die gegevens beschikt. Een hosting provider daarentegen kan zijn diensten verrichten zonder identificerende gegevens van de klant en een eventuele betaling voor die dienst kan anoniem worden verricht. Volgens BREIN leert de ervaring dan ook dat de partijen die zich schuldig maken aan grootschalige inbreuken, doorgaans niet traceerbaar zijn op basis van de gegevens die hosting providers bijhouden. Ook dat heeft Techno Design niet bestreden. Gelet daarop kan naar voorlopig oordeel niet

4.7. Ten vierde moet naar voorlopig oordeel in dit geval het hiervoor genoemde belang van de bij BREIN aangesloten partijen om te kunnen optreden tegen de grootschalige inbreuken op hun rechten zwaarder wegen dan de belangen van de verantwoordelijken voor de website en de belangen van Techno Design. Het belang van de verantwoordelijken om anoniem te blijven prevaleert in dit geval niet. De verantwoordelijken opereren namelijk niet in de privé-sfeer, maar zijn in het economisch verkeer actief. Daarom moet hun identiteit duidelijk kunnen worden vastgesteld (vgl. HvJ EU 12 juli 2011, LJN BR3605, r.o. 142 (L’Oréal – eBay)). De dienst die zij aanbieden moet bovendien worden gekwalificeerd als een dienst van de informatiemaatschappij in de zin van artikel 3:15d lid 3 van het Burgerlijk Wetboek. BREIN heeft er naar voorlopig oordeel terecht op gewezen dat die diensten niet anoniem mogen worden aangeboden (art. 3:15d lid 1 sub a BW).

4.14. De proceskosten zullen niet worden begroot op basis van artikel 1019h van het Wetboek van Burgerlijke Rechtsvordering, alleen al omdat BREIN dat niet heeft gevorderd en zij geen overzicht van haar kosten in het geding heeft gebracht. De proceskosten zullen dus worden begroot op basis van het reguliere liquidatietarief, te weten op € 816,00 aan salaris advocaat, te vermeerderen met € 560,00 aan griffierecht en € 90,81 aan kosten deurwaarder.

HvJ EU 24 november 2011, zaak C-468/10(Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) en C-469/10 (Federación de Comercio Electrónico y Marketing Directo (FECEMD) tegen Administración del Estado)

Verwerking van persoonsgegevens. Artikel 7, sub f Richtlijn 95/46/EG heeft rechtstreekse werking”.

Artikel 7, sub f, van richtlijn 95/46/EG (...), moet in die zin worden uitgelegd dat het zich verzet tegen een nationale wettelijke regeling die, bij ontbreken van toestemming van de betrokkene, de mogelijkheid tot verwerking van diens persoonsgegevens, die noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de voor die verwerking verantwoordelijke of van de derde(n) aan wie de gegevens zullen worden meegedeeld, niet alleen afhankelijk stelt van de voorwaarde dat de fundamentele rechten en vrijheden van de betrokkene niet worden geschonden, maar ook van het vereiste dat de gegevens in voor het publiek toegankelijke bronnen zijn opgenomen, en aldus elke verwerking van gegevens die niet in dergelijke voor het publiek toegankelijke bronnen zijn opgenomen, categorisch en generiek uitsluit.

Kantonrechter Rechtbank Rotterdam 21 september 2011, LJN BU4848 (Lezen e-mail)

Ontbinding arbeidsovereenkomst wegens verstoorde arbeidsverhouding. Lezen e-mailberichten van werknemer door werkgever. Geen reglement. E-mailberichten aan een klant van, met daarin: "(..) I can tell you it is impossible tot work with pigs, and that is what I am facing now!”, en ook “(..) Das wissen wir auch night was da los ist, es ist hier ein komplett chaos.(..)”. Inbreuk op privacy werknemer in de gegeven omstandigheden gerechtvaardigd en proportioneel.

3.4 Volgens [verzoekster] zijn de uitlatingen van [verweerder] zeer beschadigend voor het bedrijf. Daarnaast getuigen de e-mails van dusdanig grensoverschrijdend gedrag aan de zijde van [verweerder], dat van [verzoekster] in redelijkheid niet kan worden verwacht het dienstverband nog langer te laten voortduren.

5.4 In onderhavig geval heeft [verzoekster] ten aanzien van het bestaan van een gerechtvaardigd doel voor controle van de e-mailberichten gesteld, dat er verdenkingen bestonden dat meer werknemers bij de malversaties van [verweerder] betrokken waren en dat daarom controle van de e-mailberichten noodzakelijk was. De kantonrechter overweegt dat het hier om controle van zakelijke e-mailberichten gaat, waarvoor geldt dat de werknemer, eerder dan bij privé e-mailberichten, mag verwachten dat de werkgever van de inhoud van deze e-mails kennis kan nemen. Tegen deze achtergrond en gezien de familiare betrekkingen tussen [verweerder] en zijn vader en het feit dat laatstgenoemde betrokken was bij de misstanden binnen [verzoekster], is de kantonrechter van oordeel dat [verzoekster] in de gegeven omstandigheden redelijkerwijs heeft kunnen besluiten om tot controle van de e-mailberichten van [verweerder] over te gaan. Derhalve wordt geoordeeld dat [verzoekster] een gerechtvaardig doel had voor controle van de zakelijke e-mailberichten van [verweerder]. De kantonrechter is voorts van oordeel dat het gekozen middel proportioneel is nu een minder belastend middel om de betrokkenheid van [verweerder] te controleren niet voorhanden was.

5.5 Gezien het voorgaande dient de inbreuk van [verzoekster] op de privacy van [verweerder] onder de gegeven omstandigheden als gerechtvaardigd en proportioneel te worden aangemerkt. Derhalve kunnen de door [verzoekster] in het geding gebrachte e-mailberichten worden meegenomen bij de beoordeling of sprake is van een dringende reden dan wel verandering in de omstandigheden.

HvJ EU 17 november 2011, zaak C-461/10 (Bonnier Audio AB, Earbooks AB, Norstedts Förlagsgrupp AB, Piratförlaget Aktiebolag, Storyside AB tegen Perfect Communications Sweden AB ("ePhone") - dossier

Prejudiciële vragen Högsta domstol, Zweden. Auteursrechten en naburige rechten. Luisterboeken en bestanduitwisseling. Recht op doeltreffende bescherming van intellectuele eigendom. Handhavingsrichtlijn 2004/48/EG artikel 8 Bescherming van persoonsgegevens, elektronische communicatie en het bewaren van bepaalde gegenereerde gegevens, openbaarmaking van persoonsgegevens. Richtlijn 2002/58/EG: een vordering tot staking tegen een internet service provider, de naam en het adres van de gebruiker van een IP-adres informatie - artikel 15 - richtlijn 2006/24/EG - Artikel 4. bestanden delen

Vraag

Staat richtlijn 2006/24/EG [...gegevensbewaring], in de weg aan de toepassing van een op artikel 8 van [handhavings]richtlijn 2004/48/EG gebaseerde nationale bepaling volgens welke in een civielrechtelijke procedure een internetprovider met het oog op de identificatie van een abonnee kan worden gelast aan een auteursrechthouder of diens vertegenwoordiger informatie te verstrekken over de abonnee aan wie de internetprovider het IP-adres heeft toegewezen dat is gebruikt om inbreuk te maken op het auteursrecht, wanneer de verzoeker een duidelijk bewijs van de inbreuk op een bepaald auteursrecht heeft overgelegd en die maatregel in overeenstemming is met het evenredigheidsbeginsel?

Heeft de omstandigheid dat de lidstaat de richtlijn bewaring van gegevens nog niet in nationaal recht heeft omgezet ofschoon de termijn daarvoor is verstreken, invloed op het antwoord op vraag 1?

Conclusie AG - lees verder voor computervertaling

63. Nach alledem schlage ich dem Gerichtshof vor, auf die Vorlagefragen des Högsta domstol wie folgt zu antworten: Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG gilt nicht für die Verarbeitung personenbezogener Daten für andere als die in Art. 1 Abs. 1 dieser Richtlinie genannten Zwecke. Demzufolge steht diese Richtlinie der Anwendung einer nationalen Vorschrift nicht entgegen, nach der in einem zivilrechtlichen Verfahren einem Internetdienstleister zu dem Zweck, einen bestimmten Teilnehmer identifizieren zu können, aufgegeben wird, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP‑Adresse zugeteilt hat, von der aus die Verletzung begangen worden sein soll. Diese Angaben müssen jedoch gemäß detaillierten nationalen Rechtsvorschriften, die unter Beachtung der für den Schutz personenbezogener Daten geltenden unionsrechtlichen Bestimmungen erlassen worden sind, im Hinblick auf ihre Weitergabe und Verwendung zu diesem Zweck auf Vorrat gespeichert worden sein. In Anbetracht der Antwort auf die erste Frage ist die zweite Frage gegenstandslos geworden.

Computergestuurde vertaling

Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG is niet van toepassing op de verwerking van persoonsgegevens voor andere dan de genoemde doeleinden als bedoeld in artikel 1, paragraaf 1 van deze richtlijn. Daarom staat de richtlijn de toepassing van een nationale bepaling niet in de weg, in het kader van een civiele procedure, om een specifieke abonnee te identificeren, indien de rechter opdracht gaf aan een internet service provider bekend te maken aan de houder van het auteursrecht, of zijn rechtverkrijgende, informatie over de identiteit van de abonnee aan wie de handelaar heeft toegewezen een IP-adres dat zou zijn gebruikt om dat recht te bewerkstelligen. Toch moet deze informatie in overeenstemming met gedetailleerde nationale wetgeving, die is aangenomen in overeenstemming met de EU-wetgeving inzake de bescherming van persoonsgegevens worden, opgeslagen in het kader van distributie en het gebruik voor dit uiteindelijke doel. Gelet op het antwoord op de eerste vraag, is de tweede vraag niet relevant.

Antwoord vragen van het lid Schouw over het bericht ‘PVV verzamelt privé-gegevens journalisten’ Aanhangsel Handelingen II 2011-2012, 505.

1 Bent u bekend met het bericht dat de Partij Voor de Vrijheid van journalisten – in opdracht van de Dienst Koninklijke en Diplomatieke Bescherming (DKDB) – het Burgerservicenummer (BSN) zou vragen als vereiste voor het bijwonen van persconferenties?

Het is juist dat de PVV op verzoek van de Dienst Koninklijke en Diplomatieke Bescherming (DKDB) van het Korps Landelijke Politiediensten gegevens vraagt aan bezoekers van bijeenkomsten. Het gaat daarbij om partijbijeenkomsten en persconferenties, waarbij toegangscontrole is in verband met de beveiliging van de heer Wilders.

Bij bewaken en beveiligen staat het veilig en ongestoord functioneren van de te beveiligen persoon voorop. Bij een publiek optreden van de te beveiligen persoon in een afgesloten gebied of ruimte kunnen door bepaalde vormen van toegangscontrole, waaronder een screening vooraf van de deelnemers, eventuele veiligheidsrisico’s eerder in beeld worden gebracht zodat kan worden gezorgd voor een maximale bewegingsvrijheid van de heer Wilders. Om deze reden zijn persoonsgegevens van bezoekers noodzakelijk. Indien er op basis van naslag van deze persoonsgegevens sprake is van een mogelijk risico voor de veiligheid van de heer Wilders, dan adviseert de DKDB aan de PVV de betrokken bezoeker niet toe te laten. Er worden daarbij geen nadere gegevens over de betrokken persoon verstrekt. Het is vervolgens aan de partij om de bezoeker wel of niet uit te nodigen.

In artikel 2, tweede lid, van de Wet bescherming persoonsgegevens (Wbp) is bepaald dat die wet niet van toepassing is bij de uitvoering van de politietaak. Onder de politietaak wordt ook het waken voor de veiligheid van personen begrepen.

Het BSN is een doelmatig middel om de verstrekte gegevens te verifiëren. De DKDB als onderdeel van de politie is bevoegd dat nummer te gebruiken (artikel 10 van de Wet algemene bepalingen burgerservicenummer).

De gegevens werden via de PVV opgevraagd omdat dit de meest doelmatige manier is voor alle betrokken partijen: zowel voor de deelnemer, als voor de organisator en de DKDB. Voor de goede orde wil ik nog benadrukken dat de betrokkenen de gegevens vrijwillig verstrekken.

Inmiddels heb ik er voor gekozen dat er voortaan geen Burgerservicenummers meer via de PVV worden opgevraagd, maar zal ik samen met de DKDB een meer transparante werkwijze opstellen.

Kamerstukken II 2011-2012, 27 529, nr. 85 Motie regionale dossiers ICT in de zorg 

 overwegende, de constatering van de Eerste Kamer dat regionale elektronische patiëntendossiers veelal niet voldoen aan de in vigerende wetgeving (BIG, WGBO, WBP) gestelde eisen;

overwegende, de aan de unanieme afwijzing van de systematiek van een landelijk elektronisch patiëntendossier door de Eerste Kamer verbonden voorkeur voor een regionaal systeem dat van onderop is georganiseerd;

verzoekt de regering de regionale dossiers van een wettelijk kader te voorzien en hierbij normen voor inzage en overdracht van gegevens alsmede het toezicht en de handhaving op veiligheid te regelen,

Beeld CC-BY-SA Govert de Roos/SP