Privacy

IT 227

Israel is veilig

Veel privacynieuws in de laatste berichten. Ook nu weer. De Europese Commissie heeft formeel besloten dat Israel een passend beschermingsniveau biedt voor persoonsgegevens als bedoeld in Richtlijn 95/46/EG. Voor export van persoonsgegevens naar Israel is dus niet langer een exportvergunning noodzakelijk en hoeft ook geen gebruik te worden gemaakt van de Europese modelcontracten.

Lees het besluit hier.

IT 226

Omvang inzagerecht en belang van vrije gedachtewisseling

Raad van State 2 februari 2011, LJN: BP2831. Geschil over recht op inzage in persoonsgegevens. Het belang van de Staat om geen inzage te verlenen omdat daardoor de vrije gedachtewisseling van ambtenaren zou worden bedreigd, weegt niet zwaar genoeg om inzage te kunnen weigeren. De Wbp voorziet niet in een recht op inzage in stukken waarin persoonsgegevens zijn opgenomen. De verantwoordelijk kan volstaan met het doen van mededeling van persoonsgegevens, voor zover deze stukken deze bevatten.

Enkele overwegingen:

"De Afdeling ziet met de voorzieningenrechter evenmin grond voor het oordeel dat de minister zich in redelijkheid op het standpunt heeft kunnen stellen dat het belang van de bescherming van de rechten en vrijheden van anderen, als bedoeld in artikel 43, aanhef en onder e, van de Wbp, zich ten tijde van de besluiten op bezwaar tegen kennisneming van de in de stukken opgenomen persoonsgegevens verzette. Niet ieder gewichtig belang van een ander dan de verzoeker kan worden aangemerkt als een recht of vrijheid in de zin van deze bepaling (Kamerstukken II 1997/98, 25 892, nr. 3, blz. 171). Het door de minister aangevoerde belang van hemzelf als verantwoordelijke en van de onder zijn verantwoordelijkheid werkzame personen waaronder begrepen de ambtenaren van de IND en de staatssecretaris, kan naar het oordeel van de Afdeling niet worden aangemerkt als een zodanig gewichtig belang, dat dit het buiten toepassing laten van artikel 35, tweede lid, van de Wbp in dit geval rechtvaardigt. Bij een recht of vrijheid van een ander dan de verzoeker als bedoeld in artikel 43, aanhef en onder e, van de Wbp gaat het om gewichtige belangen op grond waarvan het noodzakelijk is een uitzondering te maken op het recht van de betrokkene op kennisneming. Het belang van de ongestoorde gedachtewisseling tussen ambtenaren behoort daar niet toe. De verwijzing naar hetgeen is vermeld in de Nota leidt voorts niet tot het oordeel dat sprake is van een gewichtig belang dat het buiten toepassing laten van artikel 35, tweede lid, van de Wbp rechtvaardigt, reeds omdat het daarbij gaat om een Vreemdelingenwet die niet in deze procedure toepasselijk recht behelst. De stelling van de minister dat sommige belanghebbenden minuten verkeerd interpreteren en daarin de motivering van een besluit zien, tezamen met de omstandigheid dat het verstrekken van afschriften, gelet op de hoge frequentie van het aantal verzoeken, een grote werklast meebrengt, leidt daar evenmin toe.

Het betoog faalt in zoverre.

2.5.2. Het vorenstaande betekent echter niet dat de minister zonder meer is gehouden de minuten en het interne dossier integraal aan [wederpartij] te verstrekken. Zoals uit de uitspraak van de Afdeling van 24 januari 2007 in zaak nr. 200600780/1 volgt, voorziet de Wbp niet in een recht op inzage in stukken waarin persoonsgegevens zijn opgenomen. Gegeven het aan de Wbp ten grondslag liggende transparantiebeginsel is inzage in stukken waarin persoonsgegevens zijn opgenomen aan de orde indien niet op andere wijze adequaat kan worden voorzien in kennisgeving van die persoonsgegevens dan wel mededeling van de herkomst daarvan, behoudens toepasselijkheid van de in artikel 43 van de Wbp vervatte weigeringsgronden. Dat in dit geval niet anders dan door de integrale verstrekking van de minuten en het interne dossier adequaat kan worden voorzien in kennisgeving van de daarin opgenomen persoonsgegevens dan wel mededeling van de herkomst daarvan, is niet gebleken. Hierbij neemt de Afdeling in aanmerking dat deze stukken zijn opgesteld ter voorbereiding van de besluitvorming in de vreemdelingenzaak van [wederpartij] en hij reeds in het bezit is van de processtukken. Volstaan kan worden met het doen van mededeling van persoonsgegevens, voor zover deze stukken deze bevatten. De staatssecretaris was op grond van de Wbp niet gehouden tot het verstrekken van afschriften van alle gevraagde stukken en heeft het verzoek om verstrekking van de stukken reeds daarom kunnen weigeren. Dat voorheen op verzoek minuten aan betrokkenen zijn verstrekt, doet daar niet aan af. Het betoog slaagt in zoverre. De voorzieningenrechter heeft ten onrechte aanleiding gezien met toepassing van artikel 8:72, vijfde lid, van de Awb ten aanzien van de minuten een voorlopige voorziening te treffen en te bepalen dat de minister afschriften daarvan aan [wederpartij] dient te verstrekken."

Lees de uitspraak hier (link) of hier (pdf).

IT 223

Beleidsregels handhaving door het CBP

Het College Bescherming Persoonsgegevens heeft op 31 januari 2011 haar beleidsregels voor handhaving gepubliceerd. Het CBP geeft in de beleidsregels aan dat het prioriteit geeft aan zaken waarbij het een vermoeden heeft van ernstige, structurele overtredingen die veel mensen treffen (cumulatief) en waarbij het CBP door de inzet van handhavingsinstrumenten effectief verschil kan maken. De beleidsregels vindt u hier, het persbericht op de website van het CBP hier.

IT 215

Toch geen opt-in bij cookies?

Benjamin Docquir (Simont Braun) wees ITenRecht.nl op een artikel uit Emerce waarin staat dat Internetbedrijven niet expliciet toestemming hoeven te vragen om cookies op iemands computer te mogen plaatsten. Dat zou blijken uit een vertrouwlijk rapport van de Europese Commissie. Het rapport zou vorige week zijn verzonden aan de Europese lidstaten en kwam in handen van de Wall Street Journal. De krant meldt vanochtend dat Europa geen zware technische eisen aan het bedrijfsleven stelt, maar de voorkeur geeft aan zelfregulering. Het document is bedoeld om enige sturing te geven aan de Europese landen over de uitleg van een richtlijn. Eerder berichtte ITenRecht.nl dat de Artikel 29 Werkgroep van mening was dat opt-in wèl noodzakelijk was, zie IT nr 9.

IT 211

Ongevraagd wervend bericht?

Een dienstverlener biedt abonnementen aan voor het downloaden van games, ringtones of het gebruik van msn. Het abonnement kost  € 9 per week en om dat te incasseren stuurt dienstverlener 6 SMS-jes à € 1,50 per week. Berichten als “Veel plezier met een extra week msn op je mobiel. Maak er gebruik van!”. Is hier sprake van spam? OPTA is vindt van wel, het College van Beroep voor het bedrijfsleven vindt (voorlopig) van niet. OPTA legt toch een boete op van € 550.000, zo werd eind vorige week bekend.

U vindt het persbericht van OPTA en haar besluiten hier.

U vindt de uitspraak van het College van Beroep voor het bedrijfsleven hier.

Het persbericht van de bewuste aanbieder SD&P vindt u hier.

Volgens het persbericht van SD&P bereidt zij een "rechtszaak en schadeclaim voor tegen de OPTA inzake opgelegde boete." Een zaak om met interesse te blijven volgen. Hoe vaak komt het niet voor dat het verzenden van (wervende) berichten wordt gegoten in een overeenkomst en dus (mede) onderwerp is van de dienst?

IT 205

Art. 29 WG over toepasselijk recht

Artikel 29 Werkgroep, WP 179, Opinie 8/2010 inzake toepasselijk recht. De praktijk worstelt met de vraag welk recht van toepassing is op verwerking van persoonsgegevens in internationale context. De Werkgroep heeft de volgende mening (p. 2):

"With regard to Article 4(1)a, the reference to "an" establishment means that the applicability of a Member State's law will be triggered by the location of an establishment of the controller in that Member State, and other Member States’ laws could be triggered by the location of other establishments of that controller in those Member States. To trigger the application of the national law, the notion of the "context of activities" of the establishment is decisive. It implies that the establishment of the controller is involved in activities implying the processing of personal data, taking into consideration its degree of involvement in the processing activities, the nature of the activities and the need to guarantee effective data protection."

Dit kan als volgt uitwerken (p. 13):

"In the third scenario, the controller is established in Austria and outsources the processing to a processor in Germany. The processing in Germany is in the context of the activities of the controller in Austria. That is to say, the processing is carried out for the business purposes of, and on instructions from the Austrian establishment. Austrian law will be applicable to the processing carried out by the processor in Germany. In addition, the processor will be subject to the requirements of German law in relation to the security measures it is obliged to put in place in connection with the processing. Such arrangements would require coordinated supervision by the German and Austrian DPAs."

Tot slot doet de Artikel 29 Werkgroep de suggestie om de wetgeving als volgt aan te passen (p. 31):

"[...] The Working Party considers that Article 4(1)a as it stands now leads to a workable but sometimes complex solution, which seems to argue in favour of a more centralised and harmonised approach.

c. The change envisaged in order to simplify the rules for determining applicable law would consist of a shift back to the country of origin principle: all establishments of a controller within the EU would then apply the same law regardless of the territory in which they are located. In this perspective, the location of the main establishment of the controller would be the first criterion to be applied. The fact that several establishments exist within the EU would not trigger a distributed application of national laws."

De (Engelstalige) opinie vindt u hier als pdf of via deze link.

Voor een interessante discussie over toepasselijk recht tussen Lokke Moerel en het Cbp, zie Computerrecht 2008, 61, 168 en 169.

Update 10/1/2010: Zie ook dit interessante artikel van Lokke Moerel d.d. 23 december 2010 (pdf of link), met de makkelijke titel: "The long arm of EU data protection law: Does the Data Protection Directive apply to processing of personal data of EU citizens by websites worldwide?", International Data Privacy Law, 2011.

 

IT 186

De grenzen van het privacyrechtelijke inzagerecht

Blog van Mark Jansen. De rechtbank Utrecht heeft op 29 november drie interessante uitspraken gewezen waarin zij de grenzen aangeeft van het inzagerecht dat op grond van het privacyrecht bestaat.

Ruim inzagerecht

Op grond van artikel 35 Wet bescherming persoonsgegevens (WBP) heeft iedereen van wie persoonsgegevens worden verwerkt het recht op inzage welke gegevens worden verwerkt. De Hoge Raad heeft enkele jaren geleden al uitgemaakt dat wie een dergelijk verzoek doet dit niet hoeft te motiveren maar kan “volstaan met een verwijzing naar art. 35 Wbp” en dat hij mag verwachten dat “de vervolgens aan te reiken informatie transparant en volledig zal zijn“. Dat sluit ook aan bij de opmerkingen uit de wetsgeschiedenis dat het inzagerecht samenhangt met het transparantiebeginsel: een ieder moet in beginsel in de gelegenheid zijn om na te kunnen gaan of zijn gegevens worden verwerkt.

Uitzonderingen

Er zijn echter ook grenzen aan het inzagerecht. Op grond van artikel 43 WBP mag een inzageverzoek worden geweigerd voor zover dit noodzakelijk is in het belang van “de bescherming van de betrokkene of van de rechten en vrijheden van anderen“. In twee van de drie hierna te bespreken zaken doet deze uitzondering zich voor.

Verder is van belang te onthouden dat het inzagerecht alleen bestaat wanneer de Wet bescherming persoonsgegevens van toepassing is. Dat lijkt evident, maar zoals hierna zal blijken kan een verzoek op grond van artikel 35 WBP ook daarop stranden (zie de 3e kwestie).

Gegevens uit meldingsysteem ziekenhuis niet ter inzage voor betrokkene

De eerste uitspraak van de rechtbank Utrecht zag op een geschil tussen een (voormalig) patiënte en een ziekenhuis. De patiënte was in het verleden geopereerd en daarbij was – zo bleek later – een spons in de buik van de vrouw achtergebleven. Dit incident is intern in het ziekenhuis gemeld in haar meldingssysteem. Dat systeem is door het ziekenhuis opgesteld in het kader van haar kwaliteitsbeleid en met als bedoeling dat personeel zonder angst voor repercussies incidenten vertrouwelijk kan melden.

In het kader van het verhalen van de schade op het ziekenhuis, heeft de vrouw bij het ziekenhuis met een beroep op artikel 35 WBP zowel afschrift van haar medische dossier als van deze melding in het meldingssysteem opgevraagd. Afschrift van het dossier is door het ziekenhuis verschaft, maar afschrift van de melding is door het ziekenhuis geweigerd. De vrouw verzoekt nu aan de rechtbank het ziekenhuis te bevelen ook deze gegevens te verschaffen.

De rechtbank wijst dit verzoek echter af. De rechtbank volgt het verweer van het ziekenhuis dat “voor het goed functioneren van het meldingssysteem vertrouwelijkheid gegarandeerd moet zijn“. Dat rechtvaardigt volgens de rechtbank ook dat artikel 35 WBP buiten toepassing blijft. Ik kan mij goed vinden in deze overweging.

De rechtbank overweegt ook nog (ten overvloede) dat gegevens in het meldingsysteem niet bestaan uit “persoonsgegevens in de zin van de Wbp“. Gezien de ruime definitie van persoonsgegevens en de ruime uitleg die de gezamenlijke privacytoezichthouders aan dit begrip geven is maar de vraag of die constatering helemaal juist is.

Advies van medisch adviseur verzekraar niet ter inzage voor betrokkene

In de tweede uitspraak gaat het ook om een kwestie over medische aansprakelijkheid. Een vrouw was enkele jaren geleden foutief door een ziekenhuis behandeld. Zij stelt het ziekenhuis aansprakelijk voor deze fout en de dientengevolge geleden schade.

In het kader van deze aansprakelijkheidsstelling heeft zij bij de verzekeraar van het ziekenhuis een kopie opgevraagd van (1) de medische informatie die zij over haar heeft en (2) van het medisch advies dat deze verzekeraar over deze kwestie heeft ontvangen. De kopie van de medische gegevens is aan haar verschaft, het verschaffen van de kopie van het (voor intern gebruik bedoelde) medische advies is echter geweigerd. Tegen deze weigering komt de vrouw nu bij de rechtbank op.

De verzekeraar had (kort samengevat) betoogd dat zij vertrouwelijk met haar adviseur moet kunnen overleggen over lopende aansprakelijkheidskwesties. De rechtbank volgt haar daarin: ” Het zou de ongestoorde gedachtewisseling van de aangesproken persoon – in dit geval de verzekeraar – om te kunnen komen tot een standpunt naar aanleiding van de aansprakelijkstelling en zijn positie ten opzichte van de wederpartij in een eventuele procedure te zeer (kunnen) schaden als van de inhoud van de adviezen van de medisch adviseur aan de betrokkene/wederpartij mededeling zou moeten worden gedaan in de zin van artikel 35 Wbp.”.

Ook in deze uitspraak kan ik me vinden. Soortgelijke kwesties doen zich bijvoorbeeld ook bij advocaten voor. Het zou het beroepsgeheim van advocaten geweld aandoen wanneer betrokkenen met een beroep op de WBP inzage in vertrouwelijke correspondentie zouden kunnen opeisen. De zaak doet wat dat betreft denken aan een eerdere uitspraak van de rechtbank Zutphen waarover ik geblogd heb en waarin uitdrukkelijk is bepaald dat inzage in de correspondentie met de advocaat niet onder het inzagerecht valt.

Klachtdossier seksuele intimidatie valt niet onder de WBP

De derde kwestie handelt over een klacht over seksuele intimidatie die was ingediend bij de klachtcommissie van de betreffende onderneming. Nadat de klachtcommissie uitspraak had gedaan, heeft de klagende vrouw een kopie van het klachtdossier verzocht. Deze kopie is haar geweigerd. Tegen deze weigering komt ze nu op bij de rechtbank.

De rechtbank weigert het verzoek echter, omdat volgens haar de WBP in dit geval niet van toepassing is. Het betreft hier een papieren dossier en voor toepasselijkheid van de wet is in dat geval vereist dat sprake is van een “bestand” in de zin van de WBP. Volgens de rechtbank is het “door de COO aangelegde klachtdossier is niet te kwalificeren als een dergelijk “bestand”. Het heeft immers uitsluitend betrekking op de door [verzoekster] ingediende klachten en bevat geen (vergelijkbare) persoonsgegevens van anderen.“.

Ik vraag me af of de rechtbank de wet hier niet te eng uitlegt. Er mag weliswaar in dit geval sprake zijn van slechts een enkel klachtdossier, ik kan me niet voorstellen dat een commissie die nota bene is aangesteld om klachten te behandelen die klachten niet op gestructureerde wijze bewaart. De redenering van de rechtbank zou bovendien tot de wat wonderlijke consequentie kunnen leiden dat de eerste klager bij een dergelijke commissie geen inzage in het dossier heeft, maar dat zodra de commissie meer klachten heeft behandeld alle individuele klagers opeens wel inzage in hun dossier zouden kunnen krijgen.

Vergelijk in dat kader ook de opinie van de gezamenlijke privacytoezichthouders over personeelsdossiers: “Not all manual records necessarily fall within the Directive’s scope. They only do so if they form part of a ‘personal data filing system’. This is defined as any structured set of personal data, which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis. Most employment records are likely to fall within this definition. However, in some countries, the implementing measures may exclude some hand-written notes retained outside any form of filing system but given the necessarily structured nature of employment records will include most information kept about workers whether centrally or by line managers.

Het zou wat mij betreft overtuigender zijn geweest wanneer de rechtbank ook deze kwestie met een beroep op de uitzondering van artikel 43 WBP zou hebben afgedaan. Klachtencommissies voor seksuele intimidatie kunnen vermoedelijk alleen goed functioneren wanneer zij in vertrouwen alle personen kunnen horen die (al dan niet zijdelings) bij de klacht betrokken zijn en/of die de commissie van informatie kunnen voorzien over de klager en/of de beklaagde. Er zijn waarschijnlijk niet veel mensen bereid mee te werken aan onderzoeken van de klachtencommissie wanneer de klagende partij de volledige inhoud van het betreffende klachtdossier – met daarin o.a. verklaringen van de personen die door de commissie gehoord zijn – eenvoudig met een beroep op artikel 35 WBP kan opvragen. Juist omdat transparantie het functioneren van dergelijke commissies ondergraaft, zou wat mij betreft ook hier een beroep op artikel 43 WBP gerechtvaardigd zijn.

Lees de originele blog hier.

IT 174

Onvoldoende beveiligde websites schenden privacywetgeving

De laatste tijd is er in IT-land veel te doen om de open-source software Firesheep. Met deze software is het heel eenvoudig het acccount van een ander op een website over te nemen. De betreffende websites schenden hiermee de verplichting tot het garanderen van een passend niveau van beveiliging. Gebruikmaken van de software is echter ook niet zonder risico.

Met dank aan Mark Jansen, Dirkzwager advocaten & notarissen

Werking software Firesheep

De software Firesheep maakt gebruik van het volgende principe. Op moderne “web 2.0″ websites moet je veelal inloggen om de (volledige) functionaliteit van de website te kunnen gebruiken (sites als Facebook, Hotmail, Hyves, etc.). Na succesvol inloggen wordt meestal een cookie teruggezonden aan de bezoeker, zodat deze bij een volgend bezoek eenvoudig herkend kan worden. Die cookie wordt vaak onversleuteld verzonden en is dus – bijvoorbeeld bij gebruik van draadloos internet – door iedereen af te vangen. Firesheep detecteert dergelijke onbeveiligd verzonden cookies automatisch op ieder draadloos netwerk in de buurt. Na afvangen van de betreffende cookie kan eenvoudig worden ingelogd op de website onder de naam van degene wiens cookie is afgevangen.

Beveiligingsverplichting

Deze software roept juridisch de nodige vragen op. Websites waarop moet worden ingelogd om toegang te krijgen tot het eigen account, verwerken persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (WBP). Op grond van artikel 13 WBP moet de exploitant van de website “passende technische en organisatorische maatregelen” treffen om die gegevens te beveiligen tegen o.a. verlies. Uit de wetsgeschiedenis volgt dat dit onder andere betekent dat de beveiliging in overeenstemming moet zijn “met de stand van de techniek“.

Huidige stand van de techniek

Een korte zoektocht op internet leert dat diverse bedrijven hun beveiliging naar aanleiding van de software hebben aangepast. Ook blijkt uit onderzoek dat bij diverse websites het inlogproces niet af te luisteren is. Daarmee kan denk ik goed verdedigd worden dat, voor zover het hanteren van een versleuteld inlogproces en het versleuteld versturen van cookies niet al tot de stand van de techniek behoorde, dat thans toch in ieder geval wel de stand van de techniek is geworden.

Risico websitehouders die stand techniek niet gebruiken

Websitehouders die deze stand van de techniek niet hanteren voor hun inlogproces, schenden dus hoogstwaarschijnlijk de beveiligingsverplichting die artikel 13 WBP stelt. Het College Bescherming Persoonsgegevens zou hier tegen kunnen optreden door het opleggen van dwangsommen of boetes. Ook is denkbaar dat individuele gebruikers van wie de account gekaapt is, de websitehouder voor alle daaruit voortvloeiende schade aansprakelijk kunnen stellen.

Risico gebruikers software

Overigens is het gebruik van de Firesheep software ook niet zonder risico. Het inloggen op andermans account met gebruikmaking van afgevangen cookies valt zeer waarschijnlijk onder het delict computervredebreuk (artikel 138ab Wetboek van Strafrecht). Op dit misdrijf staat maximaal een jaar gevangenisstraf of € 19.000 boete. Die gevangenisstraf wordt verhoogd naar maximaal vier jaren wanneer na inloggen op het account gegevens worden overgenomen. Wanneer na inloggen op andermans account gegevens worden gewijzigd, is vermoedelijk sprake van het misdrijf beschreven in artikel 350a Sr. Hierop staat maximaal twee jaar gevangenisstraf en dezelfde boete.

Dit bericht is oorspronkelijk verschenen op: http://dirkzwagerieit.nl/2010/12/02/onvoldoende-beveiligde-websites-schenden-privacywetgeving/