DOSSIERS
Alle dossiers

Privacy  

IT 474

Het zichtbare klantnummer

Vz RCC 10 augustus 2011, Dossiernr. 2011/00614 (Neckermann reclamekaart klantnummer)

Als randvermelding. De RCC oordeelt over gebruik van 'privacy-gegevens'. De twee reclamefolders, die per post aan klager zijn toegestuurd, zijn niet alleen voorzien van klagers naam en adres, maar ook van klagers klantnummer, en wel zo, dat dit voor een ieder zichtbaar is. Na ontvangst van de eerste folder heeft klager zijn bezwaar daartegen aan adverteerder kenbaar gemaakt, doch heden ontving hij een tweede folder, wederom voorzien van zijn klantnummer. Hierdoor kan een ieder, die deze uitingen onder ogen krijgt zich voor klager uitgeven.

Klantnummer is slechts serviceoverweging. Door zich van een dergelijke wijze van reclame maken te bedienen, is geen inbreuk op klagers privacy, aldus de voorzitter..


 

Het verweer
Van strijd met de Nederlandse Reclame Code (hierna: NRC) is geen sprake.
Ook zonder dat het klantnummer zou zijn vermeld, bestaat het risico dat iemand anders zich voor klager uitgeeft. Het klantnummer is vermeld uit serviceoverwegingen. Hierdoor hoeft de klant zijn klantnummer niet op te zoeken of na te vragen.  
 
Het oordeel van de voorzitter
De voorzitter is van oordeel dat de Commissie de klacht zal afwijzen. Hij overweegt daartoe het volgende.
Het feit dat naast klagers naam en adres zijn klantnummer is vermeld waardoor beide voor derden zichtbaar zijn, kan niet worden aangemerkt als een schending van klagers persoonlijke levenssfeer. Evenmin kan dit handelen in strijd met de NRC worden geacht.

IT 469

Registratie zegt niets

Hof Leeuwarden 12 juli 2007 LJN BR5585 (verzoekster tegen Stichting Inschrijving Op Naam)

Geen recht op verwijdering persoonsgegevens uit huisartsenregister (ION). Het enkele feit dat met de registratie duidelijk kan worden bij welke huisarts zij als patiënt staat ingeschreven, zegt over haar geestelijke of lichamelijke gezondheid niets, ook niet als de persoon van die arts bij deze beoordeling wordt betrokken. Dat betekent dat artikel 16 juncto 21 Wbp toepassing mist.

6.  Het hof stelt voorop dat de door ION geregistreerde gegevens noch expliciet, noch impliciet betrekking hebben op de gezondheid van [verzoekster]. Het enkele feit dat met de registratie duidelijk kan worden bij welke huisarts zij als patiënt staat ingeschreven, zegt over haar geestelijke of lichamelijke gezondheid niets, ook niet als de persoon van die arts bij deze beoordeling wordt betrokken. Dat betekent dat artikel 16 juncto 21 Wbp toepassing mist.

10.  Aan [verzoekster] moet worden toegegeven dat de registratie - zoals elke registratie van persoonsgegevens - haar persoonlijke levenssfeer raakt. Bij de beantwoording van de vraag in hoeverre haar recht op bescherming daarvan wordt aangetast, dient echter wel te worden bedacht dat de geregistreerde gegevens slechts toegankelijk zijn voor huisartsen en zorgverzekeraars, en in wezen slechts inzichtelijk maken bij welke huisarts [verzoekster] staat ingeschreven. Niet is aangevoerd dat daar wat betreft de zorgverzekeraars enig bezwaar tegen bestaat; [verzoekster] richt haar pijlen
uitsluitend op het feit dat andere huisartsen dan degene bij wie zij staat ingeschreven, die informatie tot zich kunnen nemen. De gevoeligheid van de gegevens is dus tot dat feit beperkt.

11.  De in het licht van al het voorgaande te maken belangenafweging kan naar het oordeel van het hof niet de conclusie dragen dat de fundamentele rechten en vrijheden van [verzoekster] in de weg staan aan de registratie van haar persoonsgegevens in de database. Dat betekent dat die gegevens niet geacht kunnen worden in strijd met een wettelijk voorschrift te zijn verwerkt. Het in artikel 36 Wbp geregelde recht om verwijdering van die gegevens te verzoeken, komt [verzoekster] dan ook niet toe. De bestreden beschikking zal reeds om die reden worden bekrachtigd. In aanvulling daarop overweegt het hof het volgende.

12.  Teneinde aan de bezwaren van [verzoekster] tegemoet te komen, zijn zowel de historische gegevens (definitief) als de persoonsgegevens door ION uit het bestand verwijderd, en voert ION nadien periodiek een handmatige controle uit. Daardoor kan alleen nog sprake zijn van door haar nietgewenste registratie van de persoonlijke gegevens van [verzoekster] gedurende maximaal drie maanden. Indien ION maatregelen zou moeten nemen om uit te sluiten dat gedurende een dergelijke, korte periode een andere dan [verzoekster]s eigen huisarts zou kunnen zien wie haar huisarts is, dan zou (naar ten pleidooie onbestreden is gebleven) een investering noodzakelijk zijn van tussen de € 50.000,= en € 100.000,=. Sinds de invoering van de registratie is [verzoekster] de enige die om een dergelijke verstrekkende aanpassing van het systeem heeft verzocht. Een belangenafweging zou ook om die reden in de weg staan aan honorering van het verzoek.

IT 458

OM: KPN overtreedt wet niet met DPI

Het onderzoek wat het Openbaar Ministerie (OM) heeft gedaan bij KPN over het gebruik van Deep Packet Inspection (DPI) heeft geen aanwijzingen opgeleverd dat de wet wordt overtreden. KPN heeft geen inzicht in de inhoudelijke communicatie van haar klanten omdat de pakketten niet integraal worden opgeslagen. De OPTA concludeerde eerder dat KPN mogelijk de wet overtrad en het College Bescherming Persoonsgegevens (CBP) is nog bezig met haar onderzoek. Naast KPN maken ook Vodafone en T-mobile gebruik van DPI. Hiermee kunnen zij monitoren welke klanten veel data gebruiken en die eventueel extra belasten.

Lees ook het bericht op Webwereld.

IT 457

CBP gaat regionale medische databases onderzoeken

Webwereld bericht dat het CBP onderzoek gaat doen naar de naleving van de privacywetgeving door aanbieders vaan regionale elektronische patiëntendossiers. De reden hiervoor is dat er op dit moment een wettelijke basis ontbreekt voor de opslag van persoonsgegevens in medische databases. Het is nog onduidelijk hoe het onderzoek eruit komt te zien, maar het gaat zeker dit jaar nog van start. De uitkomsten worden dan waarschijnlijk in 2012 verwacht.

Voorts wordt op 22 augustus meer bekend over de toekomst van het landelijke EPD. Dan komt Nictiz (Nederland ict-instituut) met haar definitieve advies aan de minister. Waarschijnlijk zal het LSP (landelijke schakelpunt) worden overgedragen aan de zorgsector. Het CBP is bij deze gesprekken betrokken.

Lees het oorspronkelijke bericht hier

IT 453

Ook kerk kan onrechtmatig handelen

Rechtbank Utrecht 20 juli 2011, LJN BR2611 (eiser tegen Nieuw Apostolische Kerk in Nederland)

De voorzieningenrechter veroordeelt een kerkgenootschap tot rectificatie van eerder op de website van het kerkgenootschap gedane uitingen jegens eiser. De voorzieningenrechter is van oordeel dat NAK door zonder toestemming van eiser informatie over zijn persoon op haar website te plaatsen in strijd heeft gehandeld met artikel 8 Wbp en daarmee onrechtmatig jegens eiser heeft gehandeld. Dit betekent dat NAK zal worden veroordeeld om de verklaring van haar website te verwijderen. De door eiser gevorderde rectificatie tekst kan echter niet worden toegewezen. Deze suggereert immers dat de verklaring van NAK inhoudelijk onjuist is, hetgeen in het kader van dit kort geding niet is en kan worden vastgesteld

 

Op de website van gedaagde stond, o.m.:
 ... De werkwijze van de heer [eiser] was niet open en transparant, waardoor het vertrouwen van de kerk in de samenwerking met hem afnam. Hij probeerde zich in zijn werk aan controle door de kerkleiding te ontrekken.
De relatie tussen de heer [eiser] en de kerkleiding verslechterde in de eerste helft van 2009 steeds meer, hetgeen in juni 2009 tot een breuk in de samenwerking leidde. In september 2009 werd de heer [eiser] door de kerk ontslagen.

4.11.  De voorzieningenrechter is op grond van het voorgaande van oordeel dat NAK door zonder toestemming van [eiser] informatie over zijn persoon op haar website te plaatsen in strijd heeft gehandeld met artikel 8 Wbp en daarmee onrechtmatig jegens [eiser] heeft gehandeld. Dit betekent dat NAK zal worden veroordeeld om de verklaring van haar website te verwijderen. De door [eiser] gevorderde rectificatie kan echter niet worden toegewezen. Deze suggereert immers dat de verklaring van NAK inhoudelijk onjuist is, hetgeen in het kader van dit kort geding niet is en kan worden vastgesteld. NAK zal daarom worden veroordeeld om na te melden verklaring op de homepage van haar website te plaatsen gedurende een periode van 4 na betekening van dit vonnis. De gevorderde dwangsom zal eveneens worden toegewezen met dien verstande dat deze wordt gematigd tot € 1.000,- per dag met een maximum van € 50.000,-.
De te plaatsen rectificatie luidt als volgt:
“Bij vonnis in kort geding van 20 juli 2011 is de Nieuw Apostolische Kerk in Nederland veroordeeld om de eerdere verklaring met betrekking tot de voormalig medewerker bouwafdeling van haar site te verwijderen omdat zij hiermee in strijd met artikel 8 Wet bescherming persoonsgegevens en daarmee onrechtmatig heeft gehandeld.
De kerkleiding”

IT 445

Hyves is niet vertrouwelijk

Hoge Raad 5 juli 2011, LJN BQ2009 (ruchtbaarheid op Hyves)

Verdachte heeft cassatie ingesteld. Hof heeft overwogen dat er sprake is van opzettelijk eer en goede naam aanranden door ruchtbaarheid te geven aan bepaald feit door het plaatsen van tekst op Hyves. Tekst is hierdoor ter kennis gebracht aan breder publiek en heeft daardoor geen vertrouwelijk karakter. HR verwerpt beroep, meent dat oordeel Hof niet getuigt van onjuiste opvatting omtrent 261 Sr.

2.5. Het Hof heeft vastgesteld dat de verdachte op haar Hyves-pagina zichtbaar voor 20 à 25 andere personen de tekst heeft geplaatst "ik moet mijn kind meegeven aan een pedo", waarmee zij haar ex-partner bedoelde. Uitgaande van de maatstaf als hiervoor onder 2.4.2 weergegeven, heeft het Hof geoordeeld dat de verdachte aldus haar ex-partner opzettelijk in zijn eer en goede naam heeft aangerand door telastlegging van een bepaald feit met het kennelijke doel om daaraan ruchtbaarheid te geven. Daarbij heeft het Hof in aanmerking genomen dat de in de bewezenverklaring genoemde uitlating niet te vergelijken is met informatie die in de beslotenheid van de huiskamer aan een beperkte kring geadresseerden wordt toevertrouwd en dat het in het onderhavige geval, waarin de tekst op de Hyves-pagina van de verdachte zichtbaar was voor personen die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlating konden beschikken, voor de verdachte voorzienbaar en op voorhand feitelijk te verwachten was dat de geplaatste tekst verder zou worden verspreid. Het oordeel van het Hof getuigt niet van een onjuiste opvatting omtrent art. 261 Sr, terwijl het evenmin onbegrijpelijk is. Het middel faalt.

Lees het gehele arrest hier (link / pdf)

IT 444

Wat is toestemming?

Toestemming van degene wiens gegevens worden verwerkt, is een kernbegrip bij de bescherming van persoonsgegevens. Maar wanneer is toestemming vereist? En aan welke voorwaarden moet toestemming voldoen om geldig te zijn? Dat is niet altijd duidelijk. Tegelijkertijd is het belang van toestemming evident. De verwerking van persoonsgegevens speelt immers een prominente rol in de huidige samenleving – zowel in de digitale als in de ‘normale’ wereld. Daarom hebben de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, in een gezamenlijke opinie de criteria voor toestemming in het huidige juridische kader uitgelegd en doen zij verschillende aanbevelingen voor de toekomst.

Een paar van de conclusies (blz. 34 e.v.):

"Individuals who have consented should be able to withdraw their consent, preventing further processing of their data."

"Consent must be specific. Blanket consent without determination of the exact purposes does not meet the threshold. Rather than inserting the information in the general conditions of the contract, this calls for the use of specific consent clauses, separated from the general terms and conditions."

"Consent must be informed. [...] The use of overly complicated legal or technical jargon would not meet the requirements of the law. Second, the information provided to users should be clear and sufficiently conspicuous so that users cannot overlook it. The information must be provided directly to individuals. It is not enough for it to be merely available somewhere."

"express consent cannot be obtained by the presence of a pre-ticked box."

U vindt de opinie hier (pdf) of hier (link).

Zie het oorspronkelijke bericht op de site van het College bescherming persoonsgegevens hier.

IT 441

Consultatie inzake praktische regels datalekken

Digitale agenda: de Commissie houdt een raadpleging over praktische regels voor het melden van inbreuken op persoonsgegevens. 

Consultatie door de Europese Commissie in verband met datalekken. Vicevoorzitter van de Commissie voor de Digitale Agenda Neelie Kroes zei hierover: "De verplichting om beveiligingsinbreuken te melden is een belangrijk onderdeel van de nieuwe EU-telecomregels. Wij moeten echter in heel de EU consequent zijn zodat bedrijven niet te maken krijgen met een ingewikkelde reeks van onderling afwijkende nationale regelingen. Ik wil ervoor zorgen dat overal gelijke voorwaarden gelden, die de consumenten zekerheid geven en de ondernemingen praktische oplossingen bieden."

Het persbericht:

Digitale agenda: de Commissie houdt een raadpleging over praktische regels voor het melden van inbreuken op persoonsgegevens

Brussel, 14 juli 2011 – De Europese Commissie vraagt telecomexploitanten, aanbieders van internetdiensten, lidstaten, nationale toezichthouders voor gegevensbescherming, consumentenorganisaties en andere belanghebbenden of aanvullende praktische regels nodig zijn om ervoor te zorgen dat inbreuken op de beveiliging van persoonsgegevens overal in de EU consequent worden gemeld. Volgens de herziene ePrivacy-richtlijn (2009/136/EG), die op 25 mei 2011 in werking is getreden als onderdeel van een pakket nieuwe Europese telecomregels, zijn exploitanten en internetaanbieders verplicht de nationale autoriteiten en hun klanten onverwijld op de hoogte te brengen van inbreuken op de beveiliging van gegevens die zij bezitten (zie IP/11/622 en MEMO/11/320). De Commissie wil op basis van de bestaande praktijk en de aanvankelijke ervaring met de nieuwe telecomregels meningen en ideeën verzamelen en kan dan aanvullende praktische regels voorstellen om te verduidelijken wanneer deze inbreuken moeten worden gemeld en welke procedures en formaten daarbij moeten worden gebruikt. Bijdragen voor de raadpleging worden ingewacht tot 9 september 2011.

Vicevoorzitter van de Commissie voor de Digitale Agenda Neelie Kroes zei hierover: "De verplichting om beveiligingsinbreuken te melden is een belangrijk onderdeel van de nieuwe EU-telecomregels. Wij moeten echter in heel de EU consequent zijn zodat bedrijven niet te maken krijgen met een ingewikkelde reeks van onderling afwijkende nationale regelingen. Ik wil ervoor zorgen dat overal gelijke voorwaarden gelden, die de consumenten zekerheid geven en de ondernemingen praktische oplossingen bieden."

In de raadpleging wordt gevraagd naar input over de volgende specifieke onderwerpen:

  • Omstandigheden: de manier waarop organisaties de nieuwe verplichting van de telecomregels naleven of hoe zij van plan zijn dit te doen; het soort inbreuken dat moet leiden tot toepassing van de verplichte kennisgeving aan de abonnee of de persoon en voorbeelden van beschermingsmaatregelen die gegevens onbegrijpelijk kunnen maken

  • Procedures: de deadline voor de kennisgeving, de wijze van kennisgeving en de procedure voor een individueel geval

  • Formaten: de inhoud van de kennisgeving aan de nationale autoriteit en aan de persoon, bestaande standaardformaten en de haalbaarheid van een Europees standaardformaat.

Daarnaast wil de Commissie meer vernemen over grensoverschrijdende inbreuken en de naleving van andere Europese verplichtingen met betrekking tot beveiligingsinbreuken.

Achtergrond

Telecomexploitanten en internetdienstenaanbieders bezitten een reeks gegevens over hun klanten, zoals naam, adres en bankgegevens, alsook informatie over telefoonnummers en bezochte websites. Volgens de ePrivacy-richtlijn zijn telecomexploitanten en internetdienstenaanbieders verplicht deze gegevens vertrouwelijk en veilig te bewaren. Het gebeurt echter dat gegevens gestolen worden of dat personen op ongeoorloofde wijze toegang daartoe verkrijgen. Dergelijke gevallen zijn bekend als 'inbreuken op persoonsgegevens'. Wanneer een inbreuk op persoonsgegevens plaatsvindt, vereist de herziene ePrivacy-richtlijn (2009/136/EC) dat de aanbieder dit meldt aan een specifieke nationale autoriteit, gewoonlijk de nationale autoriteit voor gegevensbescherming of de telecomtoezichthouder. Zo moet de aanbieder de betrokken persoon rechtstreeks op de hoogte brengen.

Om te zorgen voor consistente uitvoering van de regels inzake inbreuken op persoonsgegevens in alle lidstaten kan de Commissie volgens de ePrivacy-richtlijn 'technische uitvoeringsmaatregelen' nemen – dit zijn praktische regels ter aanvulling van de bestaande wetgeving – over de omstandigheden, het formaat en de procedures voor de kennisgeving.

Volgende stappen

Als de Commissie op basis van de ontvangen bijdragen besluit technische uitvoeringsmaatregelen vast te stellen, moet zij het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA), de Groep gegevensbescherming artikel 29 en de Europese Toezichthouder voor gegevensbescherming (EDPS) raadplegen. Toezichthouders voor elektronische communicatie worden ook geraadpleegd omdat zij in sommige lidstaten de bevoegde autoriteit voor inbreuken op persoonsgegevens zijn.

In dat geval nemen de technische uitvoeringsmaatregelen de vorm aan van een besluit van de Commissie dat in de 'regelgevende comitologieprocedure' wordt vastgesteld. Volgens deze procedure moeten lidstaten de voorstellen van de Commissie eerst goedkeuren in het comité voor communicatie (COCOM). Het Europees Parlement heeft daarna drie maanden om de maatregelen te toetsen voordat zij in werking treden.

Deze raadpleging staat los van de stappen die ondernomen worden (zie IP/10/1462 en MEMO/10/542) om de algemene gegevensbeschermingsrichtlijn (95/46/EG) te herzien.

Meer informatie

Het document voor de raadpleging is beschikbaar op:

https://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

Website van de Digitale agenda: https://ec.europa.eu/digital-agenda

Website van Neelie Kroes: https://ec.europa.eu/commission_2010-2014/kroes/

IT 438

Strijd met Wbp: onrechtmatig bewijs?

Gerechtshof Arnhem 24 mei 2011 (Nova Dia), LJN BR1260.

Wet bescherming persoonsgegevens. Geschil tussen detacheringsbureau Nova Dia en gedetacheerde over geschreven uren. Een urenschrijver wordt achteraf geconfronteerd met gegevens uit de aanwezigheidsregistratie van de onderneming waar hij was gedetacheerd (ASR). Zonder dat hij het wist is door middel van zijn werknemerspas precies bijgehouden hoe laat hij aankwam en vertrok. In 4 jaar tijd zou 450 uur meer gedeclareerd zijn dan hij aanwezig was. Gedetacheerde beroept zich erop dat de registratie van zijn aankomst- en vertrektijden strijdig is met de Wbp. Volgens hem is gebruik van deze gegevens onrechtmatig. Het hof oordeelt dat van onrechtmatig bewijs geen sprake is en waarheidsvinding prevaleert.

Het hof overweegt:

"3.6 Het hof oordeelt dat – ook indien het er voor zou moeten worden gehouden dat het door ASR registreren van de aankomst- en vertrektijden van haar werknemers, waaronder [appellant], in strijd is met de Wbp en/of de WOR en dat ASR daarmee onrechtmatig jegens [appellant] heeft gehandeld– zulks nog niet betekent dat Nova Dia onrechtmatig jegens [appellant] heeft gehandeld door de betreffende gegevens in de onderhavige procedure aan haar vordering ten grondslag te leggen. Uitgangspunt is immers dat het gebruik in een civiele procedure van door een ander op onrechtmatige wijze verkregen bewijs niet per definitie onrechtmatig is en zou moeten worden uitgesloten, maar slechts indien daartoe bijzondere omstandigheden aanwezig zijn in het kader van een afweging van de betrokken belangen in het concrete geval. Dergelijke bijzondere omstandigheden zijn door [appellant] niet (voldoende) gesteld dan wel anderszins gebleken. Gelet hierop kan niet worden geoordeeld dat het belang van [appellant] om verschoond te blijven van het gebruik door Nova Dia van het door ASR (veronderstellenderwijs) onrechtmatig verkregen bewijs dient te prevaleren boven het zwaarwegende belangvan Nova Dia bij de waarheidsvinding in de onderhavige procedure. Grief 3 stuit hierop af."

Lees het arrest hier.

IT 419

Vrijheidsbeeld op het Rode Plein

L. de Gier en J. Kuhlmann, ‘Vrijheidsbeeld op het Rode Plein’, in Automatiseringsgids 11 februari 2011, p. 12-13.

I-Stock / edited by Automatisering Gids, february 2011Met dank aan Louise de Gier en Joost Kuhlmann, De Gier | Stam & Advocaten.

Een BP-logo verandert in een lekkend olievat, het Vrijheidsbeeld op het Rode Plein, het kenteken van een auto onthult direct of de eigenaar lid is van een criminele organisatie. Dat is allemaal mogelijk met augmented-realitytoepassingen. Maar wat zijn de juridische gevolgen van AR?
 
Iedereen herinnert zich de rel die de zogenaamde Bavaria-babes bij het laatste wereldkampioenschap voetbal veroorzaakten. Hoofdsponsor Budweiser van de FIFA kon weer rustig ademhalen nadat de dames het stadion waren uitgezet. Maar wat als de dames en de Bavaria-jurkjes virtueel weer tevoorschijn zouden komen, als men simpelweg een telefoon met camera op de tribune had gericht? Met een augmentedrealitytoepassing (‘AR’) en een smartphone met camera is een dergelijke situatie niet ondenkbaar. AR voegt virtuele informatie toe aan de werkelijkheid. Dergelijke toepassingen hebben grote invloed op de rechten van personen en hebben vele juridische consequenties.
 
Louise de Gier en Joost Kuhlmann bespreken, in een artikel dat werd gepubliceerd in de Automatiseringsgids, onder meer het merkenrecht, het auteursrecht, het privacy- en het internationaal privaatrecht, lees verder hier.