Privacy  

Advies Raad van State 28 juni 2012, W03.12.0188/II (voorlichting over EU-privacywetgeving)

Op 27 juni 2012 heeft de Afdeling advisering van de Raad van State voorlichting uitgebracht aan de Tweede Kamer over EU-privacywetgeving. De Tweede Kamer heeft de voorlichting op 5 juli 2012 openbaar gemaakt.

Uit de samenvatting: Aanleiding
De Europese Commissie heeft op 25 januari 2012 twee voorstellen gepresenteerd voor de herziening van de regels voor de bescherming van persoonsgegevens binnen de Europese Unie. De Voorzitter van de Tweede Kamer der Staten-Generaal heeft aan de Afdeling advisering van de Raad van State gevraagd haar van voorlichting te dienen over die voorstellen. Zij heeft daartoe een vijftal vragen aan de Afdeling advisering voorgelegd. Het is de eerste maal dat de Afdeling advisering op verzoek van de Tweede Kamer voorlichting uitbrengt over EU-ontwerpwetgeving. Voor zover de Afdeling advisering standpunten over de ontwerp¬verordening en –richtlijn naar voren brengt, zien deze uitsluitend op deze voor¬stellen in dit ontwerpstadium. Zij kunnen niet worden geïnterpreteerd als voor¬uitlopend op de wetgevingsadvisering die in een later stadium zal plaatsvinden bij de uitvoering en omzetting van op Europees niveau tot stand gebrachte regelgeving.
De Afdeling advisering merkt, voorafgaand aan de beantwoording van de vijf concrete vragen, in het algemeen het volgende op over de EU-voorstellen.

Bevoegdheidsverdeling
De wens van de Tweede Kamer die aan de voorlichtingsvragen ten grondslag ligt is, zo begrijpt de Afdeling advisering, het verkrijgen van inzicht in de consequenties van deze Europese ontwerpverordening en ontwerprichtlijn voor de lidstaten, in het bijzonder voor Nederland. De belangrijkste veranderingen vloeien voort uit de ontwerpverordening. Een belangrijke consequentie is naar het oordeel van de Afdeling advisering in de eerste plaats de verschuiving in de bevoegdheidsverdeling tussen de lidstaten en de Europese Unie. De nadruk komt veel sterker dan voorheen te liggen op de bevoegdheden van de Europese Unie. De voorgestelde verordening zal op het gebied van de bescherming van persoonsgegevens de nationale beleidsruimte van de lidstaten aanzienlijk inperken. De invulling van dit grondrecht, ook in relatie tot andere grondrechten, zal in de toekomst voornamelijk plaatsvinden op Europees niveau. De verschuiving naar EU-niveau wordt ook zichtbaar in de ruime toekenning van bevoegdheden aan de Europese Commissie en in een versterkt Europees toezicht. Het toezicht wordt meer dan nu het geval is in handen gelegd van het uit de nationale toezichthouders bestaande Europees Comité voor de gegevensbescherming en de Europese Commissie.

Technologische ontwikkelingen
De ontwerpverordening heeft ook tot doel de wetgeving in overeenstemming te brengen met technologische ontwikkelingen. Om dat te bereiken worden de rechten van de betrokkene uitgebreid en de verplichtingen van de voor de verwerking verantwoordelijken versterkt. De Afdeling advisering onderschrijft de genoemde doelstelling, maar waarschuwt voor te hooggespannen verwachtingen. Naar het oordeel van de Afdeling advisering dienen de voorgestelde nieuwe rechten, zoals een "recht om vergeten te worden" in de ontwerpverordening inhoudelijk nauwkeuriger te worden omschreven om daadwerkelijk toegevoegde waarde te kunnen hebben. Bovendien kan de ontwerpverordening leiden tot aanzienlijke lastenverzwaringen voor de verantwoordelijken. De vraag is of het uitgangspunt dat de verantwoordelijke moet kunnen worden aangesproken op de bescherming van persoonsgegevens die door hem worden verwerkt, dergelijke lastenverzwaringen nog kan rechtvaardigen.

Solv hier

CBPweb bericht: Minder administratieve lasten en kosten voor verantwoordelijken

Per 1 juli 2012 zijn drie besluiten die te maken hebben met de Wet bescherming persoonsgegevens (Wbp) op een aantal punten aangepast. Het gaat om het Besluit kostenvergoeding rechten betrokkene Wbp, het Meldingsbesluit Wbp en het Vrijstellingsbesluit Wbp. Het voornaamste doel hiervan is de administratieve lasten en nalevingskosten te verminderen voor verantwoordelijken (degenen die persoonsgegevens verwerken). Het grootste gedeelte van de wijzigingen betreft het Vrijstellingsbesluit Wbp.

Vrijstellingsbesluit Wbp
Het Vrijstellingsbesluit Wbp regelt welke verwerkingen van persoonsgegevens zijn vrijgesteld van de wettelijke meldingsplicht bij het College bescherming persoonsgegevens (CBP) of, als een organisatie deze heeft aangesteld, de functionaris voor de gegevensbescherming (FG).

De wijzigingen van het Vrijstellingsbesluit Wbp zijn in drie categorieën onder te verdelen:

1. Uitbreiding van het aantal vrijstellingen van de meldingsplicht
Dit houdt in dat enkele van de al bestaande artikelen in het Vrijstellingsbesluit Wbp zijn aangevuld. In het bijzonder de wijziging van artikel 38 Vrijstellingsbesluit Wbp (videocameratoezicht) is van belang. De in het artikel opgenomen bewaartermijn voor camerabeelden van 24 uur is vervangen door vier weken.
2. Aanpassing aan de maatschappelijke (technologische) ontwikkelingen
Door deze wijzigingen in het Vrijstellingsbesluit Wbp worden onnodige belemmeringen in de ontwikkeling van inmiddels algemeen gebruikelijke ICT-toepassingen als intranet en persoonlijke websites en weblogs zo veel mogelijk opgeheven. Het gevolg hiervan is dat twee nieuwe vrijstellingen zijn opgenomen in het Vrijstellingsbesluit Wbp, te weten artikel 38a Intranet en artikel 38b Persoonlijke websites.
3. Verruiming van de vrijstelling van de meldingsplicht voor gegevensverkeer met derde landen
Voortaan zijn ook vrijgesteld van de meldingsplicht (artikel 44):
* doorgifte van persoonsgegevens naar een land binnen de Europese Economische Ruimte;
* doorgifte aan de Verenigde Staten in overeenstemming met de zogeheten Safe Harbor Principles;
* doorgifte met een vergunning die betrekking heeft op een intern bindende gedragscode (BCR).

Meldingsbesluit Wbp
In het nieuwe tweede lid van artikel 2 van het Meldingsbesluit Wbp is een voorziening getroffen voor vereenvoudiging van de meldingsplicht voor grote ondernemingen. Onder bepaalde voorwaarden kan een melding die betrekking heeft op verwerkingen door of voor meer dan één verantwoordelijke geschieden door één van deze verantwoordelijken.

Besluit kostenvergoeding rechten betrokkene Wbp
Het besluit leidt tot aanpassing van de maximumbedragen van de vergoeding die een verantwoordelijke op grond van artikel 39 Wbp aan de betrokkene kan vragen wanneer deze een inzageverzoek heeft gedaan. Verder is een expliciete regeling getroffen voor de vergoeding van afdrukken van röntgenfoto’s.

Conclusie A-G HvJ EU 3 juli 2012, zaak C-614/10 (Europese Commissie tegen Republiek Oostenrijk)

In 't kort: Niet-nakoming van de bescherming van natuurlijke personen in verband met verwerking van persoonsgegevens. Vervulling, in volledige onafhankelijkheid, van taken van nationale toezichthoudende autoriteiten belast met toezicht op verwerking van persoonsgegevens en de nauwe persoonlijke en organisatorische banden tussen toezichthoudende autoriteit en Bundeskanzleramt.

Conclusie:
1) De Republiek Oostenrijk is de verplichtingen niet nagekomen die op haar rusten krachtens artikel 28, lid 1, tweede alinea, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, ten eerste door de functies van bestuurder van de Datenschutzkommission en van federaal ambtenaar te cumuleren, ten tweede door het secretariaat van de Datenschutzkommission in het Bundeskanzleramt te integreren, en ten derde door de bondskanselier een recht op informatie ten aanzien van de Datenschutzkommission toe te kennen, waardoor zij het vereiste dat de toezichthoudende autoriteiten de hun opgedragen taken „in volledige onafhankelijkheid” vervullen, onjuist heeft uitgevoerd.

2) De Bondsrepubliek Duitsland wordt verwezen in de kosten van de Europese Commissie.
3) De Europese Toezichthouder voor gegevensbescherming en de Bondsrepubliek Duitsland worden verwezen in hun eigen kosten.

Een bijdrage van Wouter Dammers, ICTRecht.

Zie onderaan voor een praktische lijst. De nieuwe cookieregels vereisen dat specifieke, vrije en op informatie berustende toestemming (de zogenaamde “informed consent”) moet worden verkregen van gebruikers voordat informatie wordt opgeslagen of wordt opgevraagd op de randapparatuur (computer, mobieltje, tablet, e.d.) van de gebruiker.

Echter, niet altijd is deze informed consent vereist. Uitgezonderd zijn de zogenaamde functionele cookies. Functionele cookies? Ja. Functionele cookies. Gelukkig heeft de Article 29 Data Protection Working Party (de “Werkgroep”, een Europees adviesorgaan waar alle Europese toezichthouders op het gebied van privacy zijn aangesloten), inmiddels meer duidelijkheid verschaft over welke cookies onder deze uitzondering valt (overigens heeft zij eerder al meer uitleg gegeven over wat onder “informed consent” moet worden verstaan in twee opinies (deze en deze)).

De Werkgroep omschrijft functionele cookies als cookies die (A) uitsluitend dienen ter uitvoering van communicatie (“Communicatie Cookies”) of (B) dienen ter uitvoering van een “dienst van de informatiemaatschappij” (“Dienst Cookies”).

Communicatie Cookies
Communicatie Cookies moeten noodzakelijk zijn om communicatie mogelijk te maken – enkel het vergemakkelijken of versnellen van communicatie is dus niet voldoende. De Werkgroep noemt drie elementen die als strikt noodzakelijk kunnen worden aangemerkt voor het plaatsvinden van communicatie tussen twee partijen via een netwerk:

De mogelijkheid om informatie te routeren via het netwerk, met name door de eindpunten van de communicatie te identificeren;
De mogelijkheid om gegevens uit te wisselen in de bedoelde volgorde, met name door de data pakketjes te nummeren;
De mogelijkheid om tranmissiefouten of verlies van data te ontdekken.
Overigens hoeft er niet per sé sprake te zijn van een “netwerk”, ook op applicatieniveau kunnen deze Communicatie Cookies voorkomen.

Indien minimaal één van de voornoemde functies worden gebruikt, is er sprake van Communicatie Cookies. De nieuwe cookieregels gelden in dat geval dus niet.

Dienst Cookies
Om als Dienst Cookie te kunnen worden aangemerkt, dient aan de volgende vereisten te zijn voldaan:

De dienst moet uitdrukkelijk zijn verzocht door de betreffende gebruiker – er moet daarvoor een actieve wilsuiting hebben plaatsgevonden (zoals het klikken op een button);
De cookie moet strikt noodzakelijk zijn om die betreffende dienst uit te kunnen voeren: als cookies zijn uitgeschakeld werkt de betreffende dienst niet.
Wordt aan beide vereisten voldaan, dan is er sprake van een Dienst Cookie. De nieuwe cookieregels gelden in dat geval dus niet.

Uitgezonderd? En dan?
Wanneer je uitgezonderd bent van de nieuwe cookieregels, betekent dit nog niet dat er geen verplichtingen voor je gelden. Het Communicatie Cookie of Dienst Cookie moet zodanig ingesteld zijn dat ze niet meer werken wanneer ze niet meer nodig zijn. Een goed moment is wanneer de browser sessie eindigt, en soms zelf eerder (verlaten van de website). Voor winkelwagen cookies (een Dienst Cookie bij uitstek) kan het wenselijk zijn om de cookies ook te houden na beëindiging van de browser sessie – bijvoorbeeld omdat de gebruiker zijn browser per ongeluk kan hebben afgesloten. De redelijke verwachtingen van de gemiddelde gebruiker zijn hierbij van belang – houd dat dus goed in de gaten als criterium.

Praktisch: een tabel om te bepalen of de nieuwe cookieregels gelden:
Allemaal leuk en aardig die regels, maar we hebben natuurlijk veel liever een gemakkelijk en praktisch overzicht waarin we kunnen opzoeken of de nieuwe cookieregels gelden voor het betreffende cookie of niet. Wel nu, bij deze:

Algemene voorbeelden

Specifieke voorbeelden:

Peter Hustinx, EU Data Protection Supervisor: "Towards More Effective and Consistent Data Protection across the EU", 14th Annual Conference DuD 2012 - Datenschutz und Datensicherheit Berlin, 18 June 2012.

However, let me say very clearly that I consider the proposal for a General Data Protection Regulation as “a huge step forward” towards a more effective and consistent protection of personal data across the EU, but that there is also a need for clarification and improvement on a number of important details.

For further information on both, I would like to refer to the substantial Opinion of the EDPS on the data reform package, submitted on 7 March 2012, and available on our website, with other relevant documentation. This also includes an Opinion of the Article 29 Working Party adopted on 23 March 2012.

Drivers of EU Review
Continuity and change
General scope
User control
Responsibility
Supervision and enforcement
Global Privacy
Final remarks

ABRvS 13 juni 2012, LJN BW8137 (appellanten tegen Stichting Openbaar Onderwijs Groep Groningen)

Inzagerecht. Privacy. Algemeen bestuursrecht.

Verzoek tot afschrift van dossiers, stukken en schoolinformatie over zoon van appellanten (ex. artikel 35 Wbp). De brief van de rector waarin appellanten worden uitgenodigd, is een besluit in de zin van de Awb. Het is een uitnodiging en een verwijzing klaarblijkelijk met het doel vast te stellen waarvan afschrift wordt verzocht.

Bij brief van 16 maart 2010 heeft [appellant] het Praedinius Gymnasium te Groningen verzocht afschriften te verstrekken van alle complete dossiers, schoolrapporten, het schoolreglement, alle stukken met betrekking tot de medezeggenschapsraad (hierna: de MR) en schoolinformatie met betrekking tot zijn [zoon].

[appellant] betoogt dat de rechtbank de informatieve brief van de rector van 27 april 2010 ten onrechte als een besluit in de zin van de Awb heeft aangemerkt. Het is een uitnodiging en een verwijzing klaarblijkelijk met het doel vast te stellen waarvan afschrift wordt verzocht. Ook ontbreekt de wettelijk verplichte rechtsmiddelenverwijzing en is de brief ondertekend met de woorden "met vriendelijke groet", waardoor [appellant] mocht menen dat deze brief dan ook geen besluit was, aldus [appellant]. Volgens hem houdt de brief mededelingen van feitelijke handelingen in en is deze niet op rechtsgevolg gericht.

2.6.1. De Afdeling is met de rechtbank van oordeel dat de brief van 27 april 2010 een besluit is op het verzoek van [appellant] van 16 maart 2010. De stichting heeft er terecht op gewezen dat in de brief van 27 april 2010 puntsgewijs is gereageerd op de verschillende gegevens waarom [appellant] heeft gevraagd. Zoals hiervoor is overwogen, diende het verzoek gelet op de bewoordingen te worden opgevat als gedaan ingevolge artikel 35 van de Wbp. Deze wet verplicht niet tot het verstrekken van afschriften van de beschikbare gegevens. De Afdeling deelt daarom het oordeel van de rechtbank dat met het bieden bij brief van 27 april 2010 van de mogelijkheid tot inzage in het schooldossier de rector namens de stichting op de aanvraag van [appellant] heeft beslist. Het al dan niet opnemen van de verplichte rechtsmiddelenverwijzing en de wijze van ondertekening is voor het antwoord op de vraag of de stichting op 27 april 2010 een besluit in de zin van de Awb heeft genomen niet doorslaggevend.

2.6.2. De rechtbank heeft terecht overwogen dat het beslissen op de aanvraag van [appellant] betekent dat geen beroep meer kon worden ingesteld tegen het niet tijdig nemen van een besluit. Daarom heeft de rechtbank het beroep van [appellant] als bedoeld in artikel 6:2, aanhef en onder b, van de Awb terecht niet-ontvankelijk verklaard en doorgezonden naar de stichting ter behandeling als bezwaar.

Op andere blogs:
Dirkzwagerieit (Raad van State: aan inzage recht Wbp voldaan door uitnodiging gesprek)

Artikel 29 data protection working party, Opinion 04/2012 on Cookie Consent Exemption, 00879/12/EN, 7 juni 2012.

In een recente opinie heeft de artikel29-werkgroep een opinie aangenomen inzake de vrijstelling van toestemming voor cookies, zij eindigt met de woorden:

Ultimately, to decide if a cookie is exempt from the principle of informed consent it is important to verify carefully if it fulfils one of the two exemption criteria defined in Article 5.3 of Directive 2009/136/EC. After a careful examination, if substantial doubts remain on whether or not an exemption criterion applies, website operators should closely examine if there is not in practice an opportunity to gain consent from users in a simple unobtrusive way, thus avoiding any legal uncertainty.

Website: Artikel 29 werkgroep

CBP 'verstrekken inkomensgegevens aan verhuurder door Belastingdienst in strijd met wet, CBPweb, 31 mei 2012.

De verstrekking van inkomensgegevens van huurders aan woningverhuurders door de Belastingdienst was in strijd met de Wet bescherming persoonsgegevens (Wbp). Dit is de conclusie van het College bescherming persoonsgegevens (CBP) dat de staatssecretaris van Financiën hiervan in een brief op de hoogte heeft gesteld. De Belastingdienst verstrekte informatie over het feit of het huishoudinkomen al dan niet meer bedroeg dan € 43.000. De gegevensverstrekking liep vooruit op een wetsvoorstel dat huurverhoging op grond van inkomen mogelijk maakt in het kader van de zogeheten ‘aanpak scheefwonen’

Brief aan de staatsscretaris

DDMA handleiding Cookiewet ‘Wet en werkelijkheid', mei 2012.

DDMA publiceert vandaag een uitgebreide handleiding Cookiewet. In deze handleiding wordt een vertaalslag gemaakt van de juridische materie naar de Nederlandse beroepspraktijk. Aan de hand van diverse voorbeelden en een stappenplan wordt de lezer geïnformeerd over de wijzigingen die respectievelijk begin juni en per 1 januari 2013 in de bedrijfsvoering moeten zijn aangepast.

Zie verder: hier

Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)

In deze toelichting wordt nader ingegaan op het nieuwe EU-rechtskader voor persoonsgegevensbescherming dat wordt voorgesteld in Mededeling COM(2012) 9 definitief. Het voorgestelde rechtskader omvat twee wetgevingsvoorstellen:
– een voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene
verordening gegevensbescherming); en

– een voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en betreffende het vrije verkeer van die gegevens 2.

Deze toelichting heeft betrekking op het wetgevingsvoorstel voor een algemene verordening gegevensbescherming.