Privacy  

Digitale Burgerrechtorganisatie Bits of Freedom (BOF) heeft in 2010 een wetsvoorstel ingediend dat databankbeheerders verplicht om datalekken direct te melden. Tot die tijd vermeld BOF zelf in een zwartboek de haar bekende datalekken (hier). Er wordt gepleit voor invoering van een artikel 13a Wet bescherming persoonsgegevens (pdf; link),

1. De verantwoordelijke die weet, of redelijkerwijs kan vermoeden, dat onbevoegd toegang is verkregen tot door hem verwerkte persoonsgegevens, stelt de betrokkenen daarvan onverwijld op de hoogte.
2. De verantwoordelijke als bedoeld in het eerste lid stelt eveneens het College onverwijld op de hoogte.
3. Het College houdt een openbaar register bij van de meldingen die het ontvangt uit hoofde van het tweede lid.
4. Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over de wijze waarop de meldingen dienen te geschieden.

Enkele datalekken

Datalek: gemeente publiceert klacht én klager
Datalek: Rabo geeft inzage andermans rekening
Datalek: V&D verzendt bestelgegevens 5.900 klanten
Teeven: een man een man of dooie mus?
Mailen is moeilijk: maart 2011
Datalek: gegevens 4Daagse wandelaars publiek
Datalek: Saxion deelt adresgegevens studenten
Succes! Meldplicht datalekken in maart 2011 [VIDEO]
Datalek: Gegevens Postcode loterij klanten op straat
Datalek: Privégegevens NRC-abonnees open en bloot

Lees meer hier

In het ledenmagazine van de Juridische Faculteitsvereniging Rotterdam, staan een aantal interessante artikelen.

Leendert Kloot, 'Interview Francisco van Jole', p. 10-13.
Arnoud Engelfriet, 'De puinhoop van het Europese softwareoctrooi' p.15-20
Mark Putting, 'Interview met een activist van anonymous', p.22-23
Brenno de Winter, 'Ov-chipkaart vanaf begin voer voor juristen', p. 24-27
Tobias Cohen Jehoram, 'Online auteursrechtinbreuk en recht 2.0', p. 31-34.
Christiaan Alberdingk Thijm, 'De toekomst van televisie: rechten rechtenclearing 2.0' p. 40-42.
E-J van de Pas, 'vraagje: welke bewijskracht heeft een e-mail en wat is ‘de cloud’?' p. 46-49.

Download de publicatie hier (link - pdf 5 Mb) 

Uit: Fiat Justitia: Recht 2.0, jaargang 23, nummer 3 | april 2011

Privacybezwaren en gebruikersvoorwaarden van Google Maps zijn dusdanig eenzijdg dat het Ministerie van Binnenlandse Zaken gemeenten waarschuwt voor het gebruik op hun sites. Dat volgt uit een onderzoek van adviesbureau Geon.

Privacybezwaren De zoekmachine van Google registreert het zoekgedrag van gebruikers om dit commercieel te kunnen inzetten. Ook voor Google Maps kan dit een rol spelen. Het is een wezenlijk businessmodel van Google. In de communicatie tussen overheid en burger is dit een onwenselijke situatie.

Data uitbuiten Overheidsgegevens kunnen door Google in andere vorm of in delen worden hergebruikt voor commerciële doeleinden (...) Hoewel Google aangeeft dat zij geen belang heeft bij persoonegegevens, wil dat nog niet zeggen dat de privacy is gewaarborgd. 

Ontraden worden het gebruik niet, omdat er geen evenwaardig alternatief is. Een licentie kopen moet echter wel. Op dit moment wordt vooral gebruik gemaakt van de gratis variant onder het mom: 'we zien wel waar het schip strandt' of 'we merken wel wanneer we door een juridisch bestuurlijke beslissing worden teruggefloten'. Ook op lokaal bestuurlijk niveau (colleges, gemeenteraden) heerst meer het beeld van trots dat de gemeente met haar dienstverlening mee kan gaan in de populariteit van Google dan dat men terughoudend en kritisch is.

Een mogelijk aankomend alternatief met overheidsdata gemaakt is Het project “Geografische zoek- en toondienst”, afgekort GEOZET. Naar verwachting is dit voor de zomer afgerond.

Lees het onderzoek hier.

Met dank aan Wouter Dammers, SOLV. Dagblad De Pers bericht vandaag over de onduidelijkheid van privacyvoorwaarden van bedrijven als Facebook, Google en Apple. Dit naar aanleiding van de recente berichten over de opslag van locatiedata door de Apple iPhone en Google Android telefoons en de (vermeende) verkoop van data door TomTom, dat heeft gezorgd voor een licentiewijziging. Stuk voor stuk betreffen dit voorbeelden van hoe jouw persoonsgegevens gebruikt kunnen worden, zonder dat je je daar bewust van bent, of hoe het mis kan gaan met jouw (persoons)gegevens. Het artikel in De Pers geeft aan dat je als gebruiker van de diensten van deze bedrijven vaak (onbewust) akkoord hebt gegeven voor de opslag van jouw locatiedata, of dat het bedrijf jouw persoonsgegevens mag delen met derden...

In het artikel in De Pers leg ik uit dat de gebruiks- en privacy voorwaarden van deze bedrijven aan duidelijkheid te wensen over laat. Natuurlijk gaat de gemiddelde gebruiker deze voorwaarden niet stuk voor stuk doorlezen. Het betreffen meestal lange, lastige juridische documenten, waar het aan duidelijkheid te wensen over laat. Vaak wordt ook nog eens in het ene document verwezen naar een ander document, welke vervolgens weer verwijst naar een ander document. Door de spreekwoordelijke bomen zie je het bos niet meer.

Gelukkig heeft ook de Europese wetgever in de gaten dat "gewone mensentaal" veel meer duidelijkheid geeft aan de betrokkene - degene waar het om draait bij de verwerking van persoonsgegevens. Europa heeft, onder meer om deze reden, aangegeven om de huidige Privacy richtlijn - de richtlijn waarop onze Wet bescherming persoonsgegevens is gebaseerd - te herzien.

Een van de speerpunten bij die herziening is dat er meer duidelijkheid en transparantie moet komen voor de betrokkene (lees: de gebruiker).

Transparantie vormt een basisvoorwaarden, willen individuen controle kunnen uitoefenen over hun eigen gegevens en zich van een effectieve bescherming van hun persoonsgegevens kunnen verzekeren. Daarom is het van wezenlijk belang dat individuen door degenen die voor de verwerking verantwoordelijk zijn goed en duidelijk, op een transparante wijze, worden geïnformeerd over hoe en door wie hun gegevens worden verzameld en verwerkt, voor welke doeleinden, gedurende welke periode en in hoeverre zij het recht hebben hun gegevens in te zien, te corrigeren of te wissen.,

aldus een mededeling van de Europese Commissie. De huidige bepalingen die op de informatieverplichting voorzien, zouden niet meer volstaan:

Transparantie vereist in essentie dat de informatie vlot toegankelijk en gemakkelijk te begrijpen is en dat duidelijke en eenvoudige taal wordt gebruikt. Dit is in het bijzonder relevant in een online-omgeving, waarin privacyverklaringen vaak onduidelijk, moeilijk te vinden, ondoorzichtig en niet steeds conform de bestaande voorschriften zijn. Waar dit met name het geval zou kunnen zijn, is bij online "behavioural advertising" (gerichte reclame op basis van het surfgedrag). Zowel het grote aantal spelers dat zich ermee bezighoudt als de technologische complexiteit van deze praktijk maken dat het voor een individu moeilijk is te weten en te begrijpen of, door wie en met welk doel persoonsgegevens worden verzameld."

De Commissie overweegt bijvoorbeeld om een of meer EU-standaardformulieren (privacyverklaringen) op te stellen die door de voor de verwerking van gegevens verantwoordelijken moeten worden gebruikt. Een privacybijsluiter in normale mensentaal dus. Wat dat betreft is dat alleen maar aan te moedigen. Maar of het de situaties als in de inleiding van deze blog genoemd zal voorkomen durf ik te betwisten. Privacy by Design, een van de andere speerpunten van de herziening van de privacy richtlijn, zal in mijn optiek meer resultaat hebben in deze gevallen. Zo was het een 'foutje' van Apple dat de locatiedata werden opgeslagen. Iets wat met een software update gecorrigeerd zal worden.

Het staat bedrijven natuurlijk vrij om verder te gaan dan enkel een privacybijsluiter. Het is alleen maar aan te moedigen om met duidelijke grafische of audiovisuele uitleg aan te geven welke persoonsgegevens voor welke doeleinden worden gebruikt. Maar mijns inziens zou dit geen verplichting moeten zijn: Een duidelijke privacy verklaring - in combinatie met privacy by design - kan in mijn optiek volstaan.

Bron afbeelding: Onder CC BY-ND 2.0 licentie https://geekandpoke.typepad.com/geekandpoke/2006/11/googles_privacy.html

Vorige week werd bekend dat Apple en Google locatiegegevens opslaan op hun mobiele telefoons. Zonder toestemming van de gebruiker worden tijdstippen en locaties opgeslagen op Iphone en Android telefoons. Deze gegevens zijn niet beveiligd. Intussen blijkt ook Microsoft gebruik te maken van dergelijke locatie verzameling.

Apple heeft het recht deze gegevens te verzamelen en verkopen aan derde partijen blijkt uit de privacyvoorwaarden die het vorig jaar heeft ingevoerd. Google zegt dat gebruikers wel expliciet om toestemming wordt gevraagd om gebruik van de locatiegegevens, zodat Google hen een betere gebruikservaring kan leveren. Beide partijen stellen dat deze gegevens worden geanonimiseerd dus niet te herleiden zijn naar de gebruiker.

Intussen zijn in de Verenigde Staten al twee rechtszaken tegen Apple hierover aangespannen. Deze consumenten klagen over misleiding en fraude en eisen de optie om locatiediensten uit te schakelen.

Lees meer hierover op webwereld.nl (link)

Het tijdschrift Bright publiceerde afgelopen vrijdag een onderzoek naar de gebruikersvoorwaarden van enkele bedrijven zoals o.a. Apple, eBay, Facebook, Flickr, Google, Marktplaats en Skype. Hieruit blijkt dat de voorwaarden regelmatig herschreven worden, vaak ten nadele van de consument. Bright stelt dat de voorwaarden in moeilijke juridische taal worden opgeschreven en dat daarom niet duidelijk is wat ze precies inhouden. Bright concludeert kortweg dat door ondertekening van de voorwaarden, de gebruiker afstand doet van al zijn rechten en veel verplichtingen krijgt.

Hierbij de voornaamste conclusies uit het rapport.

1. De voorwaarden worden regelmatig aangepast zonder de gebruiker hierover in te lichten.
2. De aansprakelijkheid van de diensten zelf wordt zoveel mogelijk beperkt.
3. Gekochte applicaties zijn geen eigendom van de gebruiker, deze koopt alleen een licentie voor gebruik, welke kan worden ingetrokken en niet kan worden overgedragen.
4. Garantiemogelijkheden zijn zeer beperkt en er wordt veelvuldig gebruik gemaakt van het koppelen en dataminen van persoonlijke gegevens.
5. Ook wordt privé informatie van gebruikers wordt zonder expliciete toestemming van de gebruiker gebruikt voor financieel gewin en doorgespeeld naar derde partijen waardoor het niet meer controleerbaar is voor de gebruiker.
6. Verder worden vaak de (intellectuele) eigendomsrechten van foto's en video's die de gebruiker uploadt naar de diensten overgeheveld.

Lees het gehele rapport hier (link en pdf).

De Europese digitale burger organisatie heeft een samenvatting gemaakt van (eventuele) misstanden die plaatsvinden in Europa.

Lees meer hier

Persbericht CBP 19 april 2011: "Het College bescherming persoonsgegevens (CBP) heeft Google een last onder dwangsom opgelegd. Uit onderzoek van het CBP blijkt dat Google door middel van Street View auto’s twee jaar lang systematisch en buiten medeweten van de betrokkenen het unieke nummer (het MAC-adres) van ruim 3,6 miljoen wifi-routers heeft vastgelegd in combinatie met de berekende locatie van de wifi-router. MAC-adressen in combinatie met een berekende locatie zijn in deze context persoonsgegevens omdat de gegevens informatie kunnen verschaffen over de houder van de wifi-router. Het CBP stelt ook vast dat Google met dezelfde Street View auto’s inhoudelijke communicatiegegevens (zogeheten ’payload data’) heeft verzameld. Uit het onderzoek blijkt dat deze informatie persoonsgegevens bevat, zoals emailadressen, medische gegevens en informatie over financiële transacties."

"In de last onder dwangsom wordt Google onder meer gesommeerd om binnen drie maanden de betrokkenen zowel offline als online te informeren over de verzameling van gegevens over wifi-routers met Street View auto’s door Google ten behoeve van zijn geolocatiedienst. Bovendien moet Google binnen drie maanden een online opt-out mogelijkheid aanbieden waarmee mensen zich kunnen verzetten tegen de verwerking van gegevens over hun wifi-routers. Als Google de in de last genoemde maatregelen niet binnen de gestelde termijnen neemt, is het een dwangsom verschuldigd die kan oplopen tot maximaal een miljoen euro. Voorts moet Google de in Nederland verzamelde payload data binnen vier weken vernietigen."

Lees het persbericht hier.

Zie ook Webwereld, Emerce en Automatiseringsgids.

De Europese Commissie heeft vandaag de evaluatie van de Dataretentierichtlijn (2006/24/EC) gepubliceerd.De conclusie is dat de richtlijn een belangrijke rol heeft bij de bestrijding van zware misdaad. Problemen zijn er wel bij de implementatie van de richtlijn, aangezien deze niet geharmoniseerd is tussen de lidstaten, met name over de retentieperiodes. Ook voldoet de richtlijn niet aan de huidige privacy en dataprotectie wetgeving. De EC zal een consultatieronde houden onder politie, justitie, dataprotectieorganisaties en consumentenorganisaties, waarna een verbeterde versie van de richtlijn zal worden gepresenteerd.

Tegelijkertijd heeft de Europese digitale burgerrechtenorganisatie EDRi een 'schaduwrapport' over de dataretentierichtlijn gepubliceerd. EDRi stelt dat de richtlijn een zware inbreuk is op het recht op privacy van alle EU burgers. Ook stelt EDRi dat de harmonisatie van de interne markt niet door deze richtijn wordt gerealiseerd en het ook niet bijdraagt aan een effectieve bestrijding van de misdaad.

Lees het volledige rapport van de Europese Commissie hier en hier. 

In navolging van IT 240 volgt het antwoord op de kamervragen die zijn gesteld:

Klopt het dat Stichting Brein servers in beslag heeft genomen zonder  gerechtelijk bevel?  Klopt het dat Stichting Brein zich vervolgens toegang  heeft verschaft tot de servers, en dus ook de privé- en zakelijke  administratie van de servereigenaar en alle content die voor derden op  de servers stond? Klopt het dat Stichting Brein afgifte van de servers op  basis van de auteurswet heeft gevorderd? Is Stichting Brein hiertoe  bevoegd? Zo ja, waarom? Zo nee, welke maatregelen zal u in deze  nemen? 

Naar mij is gebleken, gaat het hier om servers van een derde die bij een provider  waren ondergebracht. Stichting Brein heeft deze provider gesommeerd om de  servers aan hen te overhandigen. De provider heeft aan deze sommatie voldaan.  Volgens Stichting Brein is de sommatie gebaseerd op artikel 28 van de  Auteurswet. Dit artikel geeft de bevoegdheid aan de auteursrechthebbende om  roerende zaken, die in strijd met het aan hem toekomende auteursrecht zijn  openbaar gemaakt of een niet geoorloofde verveelvoudiging vormen of die  materialen of werktuigen zijn die voornamelijk bij de schepping of vervaardiging  van deze zaken zijn gebruikt, als zijn eigendom op te eisen. In de situatie die  door het aangehaalde bericht is beschreven, was daarom geen sprake van een  beslaglegging.

Nadat de eigenaar van de servers met de afgifte van de servers bekend is  geworden, heeft deze verzocht om beslaglegging met gerechtelijke bewaring. Dit  verzoek is door de rechter op 18 februari 2011 toegewezen. Vervolgens heeft  Stichting Brein beslag laten leggen op de servers die in gerechtelijke bewaring  waren gesteld. Voor deze beslaglegging is door de rechter op 9 maart 2011 verlof  gegeven. Het is tussen partijen in geschil of op basis van artikel 28 van de  Auteurswet de afgifte van servers gevraagd kan worden van een derde die niet de  eigenaar is. Ook is tussen partijen in geschil of Stichting Brein zich toegang heeft  verschaft tot de servers. Het is in eerste instantie aan partijen om hier uit te  komen. Zij kunnen hun geschil eventueel aan de rechter voorleggen die op basis  van alle feiten en omstandigheden uitspraak zal doen.  

5 Bent u van mening dat met de Stichting Brein met deze handelswijze zich  schuldig maakt aan een vorm van eigenrichting en bovendien de privacy  van anderen schendt? Zo nee, waarom niet? Zo ja, welke maatregelen  bent u voornemens te nemen?  
Op dit moment zijn de partijen nog met elkaar in gesprek. Komen zij hier  onderling niet uit, dan kunnen zij hun geschil aan de rechter voorleggen die op basis van alle feiten en omstandigheden uitspraak zal doen.  Auteursrechthebbenden hebben het recht om de handhaving van de aan hen  toekomende rechten af te dwingen zolang zij binnen het kader van het recht  opereren. Dit betekent ook dat handhaving zelf onder bepaalde omstandigheden  onrechtmatig kan zijn en kan leiden tot een plicht om de daardoor geleden schade  te vergoeden. In bepaalde omstandigheden kan er bovendien sprake zijn van een  strafbaar feit. Ik ben van mening dat hiermee voldoende middelen beschikbaar  zijn om tegen mogelijke onrechtmatigheden op te treden. 

2011Z03851 
Aanvullende vragen van het lid Gesthuizen (SP) aan de staatssecretaris van  Justitie over inbeslagnames door de stichting BREIN (ingezonden 24 februari  2011)   

1 Wat is uw reactie op het bericht 'Brein nam servers van piraten illegaal in  beslag'?   
Naar aanleiding van het bericht en de gestelde vragen heb ik bij de betrokken  partijen navraag laten doen. Daaruit blijkt dat partijen verschillen van mening  over wat zich precies heeft voorgedaan. Zij zijn op dit moment nog met elkaar in  gesprek. Mogelijk volgt nog een procedure bij de rechter. Ik onthoud mij daarom  van een inhoudelijke reactie. Verder verwijs ik naar mijn antwoorden op de  vragen 2, 3 en 4 van de vragen van de leden Hennis-Plasschaert, Taverne en Van  der Steur (nr. 2011Z03793). 

2 Klopt het dat eigendom onrechtmatig in beslag is genomen?  
Hiervoor verwijs ik naar mijn antwoorden op de vragen 2, 3 en 4 van de vragen  van de leden Hennis-Plasschaert, Taverne en Van der Steur (nr. 2011Z03793). 

3 Deelt u de mening dat dergelijke eigenrichting onwenselijk is en dat om  soortgelijke toestanden in de toekomst te voorkomen de handhaving van  de naleving van het auteursrecht beter kan worden toevertrouwd aan een  overheidsinstantie? 
Het uitgangspunt bij het auteursrecht is dat het in beginsel aan de  rechthebbenden is om te zorgen voor de handhaving. Daarbij staat het partijen  bijvoorbeeld vrij om rechtsmaatregelen te treffen, voor zover deze in  overeenstemming zijn met de daarvoor geldende regels, zoals onder meer  neergelegd in het Wetboek van Burgerlijke Rechtsvordering. Overtreedt een  rechthebbende de regels, dan kan dit leiden tot een plicht om de daardoor  geleden schade te vergoeden. In bepaalde omstandigheden kan er bovendien  sprake zijn van een strafbaar feit. Ik ben van mening dat deze middelen afdoende  zijn om eventuele misstanden aan te pakken. De mening dat de handhaving van  de naleving van het auteursrecht beter kan worden toevertrouwd aan een  overheidsinstantie deel ik niet.     

Klik hier (link) en hier (pdf)