Privacy  

Toetsmodel Privacy Impact Assessment Rijksdienst, Bijlage bij Kamerstukken II 2013/14, 26 643 nr. 28
Zie eerder IT 1219. 1. Wat is een PIA? Een Privacy Impact Assessment (PIA) is een hulpmiddel om bij ontwikkeling van beleid, en de daarmee gepaard gaande wetgeving of bouw van ICT-systemen en aanleg van databestanden, privacyrisico’s op gestructureerde en heldere wijze in kaart te brengen. Het PIA-toetsmodel is specifiek gericht op de Rijksdienst en bedoeld voor toepassing op alle beleidsgebieden en binnen alle rechtsdomeinen.

2. De PIA heeft de vorm van een toetsmodel/vragenlijst. Op die lijst staan zowel feitelijke en technische vragen als vragen die zijn gebaseerd op nationale en Europese juridische vereisten. Het richt zo in een vroegtijdig stadium en op hoofdlijnen de aandacht op alle onderdelen van de beoogde verwerking.
(...)

2. Wanneer is verwerking van persoonsgegevens door de Rijksdienst, inclusief ZBO noodzakelijk (en komt een PIA aan de orde)?

1. Gebruik van persoonsgegevens, waaronder door de overheid, vormt in veel gevallen een inperking van het grondrecht van bescherming van de persoonlijke levenssfeer (artikel 10, leden 2 en 3 Grondwet, artikel 8 EVRM, artikel 8 EU-Grondrechtenhandvest).
2. Zodra hieraan wordt gedacht in het kader van ontwikkeling van beleid en wetgeving, en de daarmee gepaard gaande bouw van ICT-systemen en aanleg van databestanden, moet eerst worden vastgesteld of verwerking van persoonsgegevens noodzakelijk is voor het te bereiken doel. Hierbij speelt zowel de vraag naar subsidiariteit als proportionaliteit.

Hierboven is slechts een selectie te vinden, lees de Bijlage.

CBP. 'Conferentie wereldwijde privacytoezichthouders: aandacht voor privacy bij apps', CBPweb.nl 27 september 2013
Uit de mededeling: De wereldwijde privacytoezichthouders hebben aangekondigd de privacy van app-gebruikers te willen verbeteren en verschillende spelers in de app-industrie aan te spreken en te wijzen op hun verantwoordelijkheden. Indien nodig zullen de privacytoezichthouders gezamenlijk handhavend optreden. Dit kondigde Jacob Kohnstamm woensdag aan in zijn hoedanigheid als voorzitter van het Uitvoerend Comité van de Internationale Conferentie van Toezichthouders voor Privacy en Gegevensbescherming.

​Lees de slotverklaring en de resoluties op de website van de Internationale Conferentie

​Appification of society
De wereldwijde privacytoezichthouders kwamen onlangs bijeen en bespraken onder meer de `appification of society'. Jacob Kohnstamm presenteerde de gezamenlijke slotverklaring over dit onderwerp tijdens een persconferentie op woensdag 25 september. “Wij willen het gemak en de lol die apps bieden niet bederven, maar wij willen het misbruik van persoonsgegevens tegengaan. Het is belangrijk dat gebruikers zeggenschap houden over hun eigen gegevens. Zij moeten zelf kunnen beslissen welke informatie zij met wie delen en voor welke doelen. Zij moeten niet verrast worden door verborgen functies van de app die zorgen voor geheime overdracht van gegevens”, aldus Jacob Kohnstamm.

App-ontwikkelaars en providers
App-ontwikkelaars moeten voldoen aan bestaande privacy wet- en regelgeving van over de hele wereld. Om dat te bereiken én tegelijk een prettige app in het gebruik te blijven, is het van belang dat al bij de ontwikkeling van een app wordt nagedacht over privacy-aspecten. Op deze manier kan privacy ook een concurrentievoordeel opleveren, omdat het product aan consumentenvertrouwen wint.

De privacytoezichthouders spreken in de slotverklaring ook providers van besturingssytemen aan. De providers zijn in de eerste plaats verantwoordelijk voor hun platform. Deze partijen  bieden weliswaar algemene privacy-instellingen aan op hun apparaten, maar deze instellingen zijn onvoldoende specifiek om de gebruiker volledige zeggenschap over zijn persoonsgegevens te geven.

Resoluties
Tijdens de besloten vergadering hebben de wereldwijde privacytoezichthouders meerdere resoluties aangenomen. Een belangrijke resolutie roept op tot een aanvulling van het Verdrag inzake Burgerrechten en Politieke rechten. In een speciaal protocol zouden standaarden moeten worden vastgelegd om van gegevensbescherming een wereldwijd erkend grondrecht te maken.

De toezichthouders namen ook een resolutie aan die criteria bevat voor webtracking, waarbij onder meer speciale aandacht zou moeten uitgaan naar kinderen en naar een betere standaard voor zeggenschap van de gebruiker. In een andere resolutie is vastgelegd dat de toezichthouders internationaal nog actiever gaan samenwerken.

CBP, 'Grote woonbemiddelaar past online zoekportaal aan na optreden CPB , CPBweb.nl 17 september 2013
Uit de mededeling: E​en grote woonbemiddelaar in de sociale huurmarkt heeft zijn online zoekportaal aangepast zodat de persoonsgegevens van woningzoekenden niet langer zonder hun toestemming worden gebruikt voor marketingdoeleinden. De aanpassing vond plaats naar aanleiding van onderzoek van het College bescherming persoonsgegevens (CBP). Uit het onderzoek bleek dat de wijze waarop de woonbemiddelaar aan woningzoekenden toestemming vroeg voor het gebruik van hun persoonsgegevens in strijd met de wet was. Zo stond in het privacyreglement dat de gegevens van woningzoekenden met andere partijen worden gedeeld voor marketingdoeleinden. Als woningzoekenden hiermee niet akkoord gingen, konden zij zich niet inschrijven en kwamen zij niet in aanmerking voor een (sociale) huurwoning. Het niet geven van toestemming had aldus belangrijke nadelige gevolgen voor de woningzoekende. Omdat de woonbemiddelaar woningzoekenden nu de mogelijkheid biedt om vrijelijk aan te geven of gebruik mag worden gemaakt van hun persoonsgegevens voor bepaalde marketingdoeleinden zoals marktrapportages, is niet langer sprake van strijd met de Wet bescherming persoonsgegevens.

CBP, 'Besluit waarschuwingsregister Hotel Waarschuwingsnetwerk, CPBweb.nl 30 augustus 2013
Uit de mededeling: Het College bescherming persoonsgegevens (CBP) heeft de door de organisatie Hotel Waarschuwingsnetwerk gemelde verwerking van persoonsgegevens (Protocol Waarschuwingsregister Hotel Waarschuwingsnetwerk) rechtmatig verklaard. De gemelde verwerking houdt in dat de organisatie strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag verwerkt ten behoeve van derden, terwijl de organisatie geen vergunning heeft op grond van de Wet particuliere beveiligingsorganisaties en recherchebureaus. De goedkeuring geldt voor een termijn van zes jaar na de datum van bekendmaking in de Staatscourant.

​Waarschuwingsregister (zwarte lijst) HWN
Hotels hebben steeds vaker last van ongewenst gedrag van personeel, gasten of bezoekers, dat schade en/of onveiligheid veroorzaakt. Het gaat daarbij onder meer om geweld, bedreigingen, uitlokking, handelen in drugs, fraude, oplichting, diefstal en discriminerend gedrag.
 
Omdat bestaande maatregelen tegen dit ongewenste gedrag onvoldoende werken, hebben de hotels die zijn aangesloten bij Hotel Waarschuwingsnetwerk (HWN) besloten een zwarte lijst op te stellen van overlastveroorzakers (het zogeheten waarschuwingsregister HWN).
 
Het College bescherming persoonsgegevens (CBP) heeft het protocol beoordeeld dat het opnemen van persoonsgegevens op de zwarte lijst regelt en de uitwisseling van deze gegevens tussen de hotels. Het CBP heeft het protocol in overeenstemming bevonden met de eisen van de Wet bescherming persoonsgegevens.
 
Beroep tegen CBP-besluit
Belanghebbenden kunnen ingevolge de Algemene wet bestuursrecht beroep instellen bij de rechtbank tegen het besluit van het CBP om de beschreven verwerking rechtmatig te verklaren. De termijn vangt aan met ingang van de dag na bekendmaking van het besluit in de Staatscourant, nr. 24198, 30 augustus 2013.  
 
Het besluit en de onderliggende stukken liggen ter inzage van maandag t/m vrijdag tussen 10.00 uur en 16.00 bij het CBP, Juliana van Stolberglaan 4-10 te Den Haag. U dient hiervoor een afspraak te maken. Ook zijn het besluit en het protocol te downloaden via bovenstaande links.

LEAFLET with studies related to Data protection.
Zie eerder IT 869. Data verwerking heeft een behoorlijke evolutie doorstaan. Als antwoord hierop heeft de Europese Commissie voorstellen gedaan om in een modern, consistent en sterk wettelijk raamwerk te voorzien. Het betreft data verwerking processen in de EU door zowel private als publieke instellingen. In deze folder wordt een compilatie van documenten, voorbereid door het Europees Parlement, weergegeven.

Background
Data processing has changed extensively in the last two decades and attitudes towards data privacy have undergone considerable evolution. In response to all these issues, the European Commission proposed a package of proposals in January 2012 - a Regulation and a Directive - to eliminate the current legal fragmentation and provide a modern, consistent and strong legal framework for all data processing activities in the EU for the years to come.

The Regulation lays down the legal framework applicable to data processing activities in the EU, either by private or public entities. The Directive sets out the legal framework applicable to processing activities by law enforcement authorities for law enforcement purposes.  The European Parliament is co-legislator with the Council.

Inside
This leaflet provides extracts from a compilation of papers prepared by the European Parliament’s Policy Departments on “Economic and Scientific Policy” and on “Citizens’ Rights and Constitutional Affairs” in relation to broad data protection issues in the EU.

Vzr. Rechtbank Limburg 31 juli 2013, ECLI:NL:RBLIM:2013:4624 (Via Facebook lastigvallen)
Facebook, smaad, lastigvallen. Te ruime vordering: noemen van de naam op familiefeest. Partijen hadden gedurende ongeveer veertien jaren een relatie met elkaar gehad en hieruit zijn twee thans nog minderjarige kinderen geboren. De vrouw heeft reeds eerder jegens de man een kort geding procedure geëntameerd (zaaknummer 178734 / KG ZA 13-83 [red. opgevraagd bij de Rechtbank]).

Ter zitting van 20 maart 2013 hebben partijen afspraken gemaakt, waarna de vrouw haar vorderingen - met instemming van de man - heeft ingetrokken. Al vrij snel na 20 maart 2013 hield de man zich niet meer aan de gemaakte afspraken: hij viel de vrouw lastig via Whatsapp en verspreidde via Facebook informatie over de vrouw en de kinderen.

De vrouw vordert dat de voorzieningenrechter de man verbiedt om de vrouw telefonisch danwel via internet of enig elektronisch berichtenverkeer lastig te vallen en/of privégegevens van de vrouw en/of de kinderen van partijen, waaronder begrepen haar naam in het openbaar te doen circuleren op welke wijze dan ook met name via internet en ander elektronisch verkeer, onder verbeurte van een dwangsom.

Volgens de voorzieningenrechter kan er niet, althans niet zonder nadere toelichting, worden geoordeeld dat de door de man geplaatste berichten op Facebook waarin hij zich richt tot derden/bekenden, als het “lastigvallen van de vrouw” kunnen worden gekwalificeerd.

De beoordeling
4.3 Voor wat betreft het eerste deel van de vordering onder 1 overweegt de voorzieningenrechter als volgt. Er kan niet, althans niet zonder nadere toelichting, worden geoordeeld dat de door de man geplaatste berichten op Facebook waarin hij zich richt tot derden/bekenden, als het “lastigvallen van de vrouw” kunnen worden gekwalificeerd.

 

4.4 Het tweede deel van de vordering onder 2 dient te worden afgewezen, nu dit deel van de vordering te ruim is geformuleerd en te onbepaald is. Toewijzing van dit deel van de vordering zou bijvoorbeeld betekenen dat de man zelfs niet de naam van de vrouw zou mogen noemen op Facebook of tijdens een familiefeest.
Overigens heeft de man heeft ter zitting toegezegd dat hij op de dag van de zitting vóór 24.00 uur de zijdens hem over de vrouw geplaatste berichten op Facebook zal verwijderen voor zover die nog niet door hem waren verwijderd en dergelijke berichten ook niet meer zal plaatsen.

Lees de uitspraak hier: Rechtspraak.nl.

TP Vision niet transparant over verzamelen en bewaren gegevens online kijkgedrag
Uit het persbericht​: TP Vision verzamelt en bewaart per smart tv wanneer er tv wordt gekeken, welke uitzendingen en apps favoriet zijn, welke uitzendingen de tv-kijker opneemt, welke video's deze huurt en welke 'uitzending gemist'-uitzendingen deze bekijkt. Dit zijn persoonsgegevens waarover mensen zelf zeggenschap moeten hebben. Dat betekent dat gebruikers van smart tv’s informatie moeten krijgen over het feit dat TP Vision deze gegevens van hen verzamelt en wat het bedrijf daarmee doet.

Lees het rapport van definitieve bevindingen onderzoek smart tv's

Lees verder

Advies RvS 16 augustus 2013, Wijziging van de Wet bescherming persoonsgegevens en de Telecommunicatiewet in verband met de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (meldplicht datalekken), Kamerstukken II 2012/13, 33 662 nr. 4.
Zie eerder IT 1202. Zie ook Koninklijke Boodschap, Voorstel van Wet en Memorie van Toelichting. Hieronder zijn opgenomen het advies van de Afdeling advisering van de Raad van State d.d. 14 september 2012 en het nader rapport d.d. 12 juni 2013, aangeboden aan de Koning door de staatssecretaris van Veiligheid en Justitie, mede namens de minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Economische Zaken. Het advies van de Afdeling advisering van de Raad van State is cursief afgedrukt.

Inhoud:
1. Splitsing
2. Verruiming gebruik camerabeelden strafbare feiten
3. Meldplicht datalekken

Lees verder

CBP, Brief aan minister van Binnenlandse zaken inzake nadere uitwerking basisregistratie personen, z2013-00339, CBPweb.nl
Op verzoek van de minister van Binnenlandse Zaken en Koninkrijksrelaties heeft het College bescherming persoonsgegevens (CBP) geadviseerd over het ontwerpbesluit basisregistratie personen (BRP). Dit ontwerpbesluit bevat de nadere uitwerking van bepalingen uit de Wet BRP. Het CBP adviseert het ontwerpbesluit op een aantal punten aan te passen.

SILA
Een van die nadere uitwerkingen is de opname van een lijst van derden (niet-overheidsorganen) die werkzaamheden verrichten met een gewichtig maatschappelijk belang en die daarom systematisch gegevens uit de basisregistratie verstrekt krijgen. De Stichting Interkerkelijke Ledenadministratie (SILA) wordt hierbij als derde genoemd. Het CBP vraagt zich echter af of het bijhouden van een kerkelijke ledenadministratie onder de definitie van ‘gewichtig maatschappelijk belang’ valt zoals geformuleerd in de Wet BRP. Het CBP acht de opname van SILA als derde onvoldoende onderbouwd en adviseert deze nader te motiveren. Verder wil het CBP benadrukken dat het enkele feit dat iemand een SILA-afnemersindicatie achter zijn of haar naam heeft staan in de basisregistratie prijsgeeft dat deze persoon lid is van een kerkgenootschap. Daarmee is er sprake van het verwerken van bijzondere persoonsgegevens en dit behoeft daarom een nadere motivering.

BSN en derden
Het CBP had in zijn eerdere advies over de Wet BRP al gewezen op de te algemene formulering van het artikel in deze wet dat de verwerking van het burgerservicenummer (BSN) door niet-overheidsorganen regelt. Hoewel het artikel is aangepast, kan dit toch nog tot  interpretatieverschillen leiden. Het artikel behoeft derhalve nog een nadere verduidelijking. Het CBP benadrukt hierbij dat het verwerken van het BSN door niet-overheidsorganen een bedreiging voor de persoonlijke levenssfeer kan vormen.

Achtergrond brp en Wet BRP
De basisregistratie personen (brp) is de toekomstige opvolger van de gemeentelijke basisadministratie persoonsgegevens (GBA). De Wet GBA wordt daartoe vervangen door de Wet BRP. Het wetsvoorstel BRP is op 2 juli 2013 aangenomen door de Eerste Kamer (Kamerstukken 33 219).

CBP, Brief aan minister van Binnenlandse zaken inzake sluiten dossier vingerafdrukken, z2013-00122, CBPweb.nl.
Het College bescherming persoonsgegevens (CBP) heeft u bij brief van 26 maart 2013 verzocht om inlichtingen betreffende de verwerking van vingerafdrukken in de reisdocumentenadministraties van gemeenten.

Dit verzoek heeft betrekking op de vraag of de vingerafdrukken die worden of zijn afgenomen bij het indienen van een aanvraag voor een reisdocument, niet langer in de reisdocumentenadministraties van gemeenten worden bewaard dan noodzakelijk conform artikel 10, eerste lid, Wet bescherming persoonsgegevens (Wbp) j° artikel 72, vijfde lid, Paspoortuitvoeringsregeling Nederland 2001 (PUN) en artikel III Regeling van de Minister van Binnenlandse Zaken en Koninkrijksrelaties van 14 juni 2011, nr. CZW/WBI 2011-2000223491 (hierna: de Regeling). Bij brief van 8 april 2013 heeft u op dit verzoek gereageerd. Het CBP heeft u bij brief van 2 mei 2013 om nadere inlichtingen verzocht. U heeft deze  inlichtingen bij brief van 15 mei 2013 verstrekt.

Oordeel CBP
In uw voornoemde reacties op de inlichtingenverzoeken alsmede in uw brief van 21 december  2012 aan de burgemeester2 heeft u aangegeven dat er updates zijn geïnstalleerd op de programmatuur van de reisdocumentenadministraties van alle gemeenten ter verwijdering van de vingerafdrukken. Tevens heeft u aangegeven dat de back-uptapes en apparatuur met eventuele restsporen van vingerafdrukken dit jaar zullen worden vervangen. U heeft toegezegd het CBP hiervan op de hoogte te houden.

Deze door u gegeven informatie geeft het CBP geen aanleiding om te veronderstellen dat de vingerafdrukken in de reisdocumentenadministraties van gemeenten langer worden bewaard dan noodzakelijk als bedoeld in de eerdergenoemde artikelen 10, eerste lid, Wbp j° 72, vijfde lid, PUN en III van de Regeling. Het CBP zal het dossier daarom sluiten. Nieuwe informatie over de verwerking van vingerafdrukken kan ertoe leiden dat het CBP nadere inlichtingen bij u opvraagt of een onderzoek opent.

Openbaarmaking
Het CBP is voornemens om deze brief openbaar te maken. U kunt tot 17 juni 2013 schriftelijk en gemotiveerd aan het CBP mededelen of deze brief, en zo ja welke onderdelen daarvan, volgens u vertrouwelijke informatie bevat als bedoeld in artikel 10 Wet openbaarheid van bestuur. Een afschrift van deze en bijgevoegde brief zendt het CBP aan de functionaris voor de gegevensbescherming van uw ministerie.