DOSSIERS
Alle dossiers

Privacy  

IT 186

De grenzen van het privacyrechtelijke inzagerecht

Blog van Mark Jansen. De rechtbank Utrecht heeft op 29 november drie interessante uitspraken gewezen waarin zij de grenzen aangeeft van het inzagerecht dat op grond van het privacyrecht bestaat.

Ruim inzagerecht

Op grond van artikel 35 Wet bescherming persoonsgegevens (WBP) heeft iedereen van wie persoonsgegevens worden verwerkt het recht op inzage welke gegevens worden verwerkt. De Hoge Raad heeft enkele jaren geleden al uitgemaakt dat wie een dergelijk verzoek doet dit niet hoeft te motiveren maar kan “volstaan met een verwijzing naar art. 35 Wbp” en dat hij mag verwachten dat “de vervolgens aan te reiken informatie transparant en volledig zal zijn“. Dat sluit ook aan bij de opmerkingen uit de wetsgeschiedenis dat het inzagerecht samenhangt met het transparantiebeginsel: een ieder moet in beginsel in de gelegenheid zijn om na te kunnen gaan of zijn gegevens worden verwerkt.

Uitzonderingen

Er zijn echter ook grenzen aan het inzagerecht. Op grond van artikel 43 WBP mag een inzageverzoek worden geweigerd voor zover dit noodzakelijk is in het belang van “de bescherming van de betrokkene of van de rechten en vrijheden van anderen“. In twee van de drie hierna te bespreken zaken doet deze uitzondering zich voor.

Verder is van belang te onthouden dat het inzagerecht alleen bestaat wanneer de Wet bescherming persoonsgegevens van toepassing is. Dat lijkt evident, maar zoals hierna zal blijken kan een verzoek op grond van artikel 35 WBP ook daarop stranden (zie de 3e kwestie).

Gegevens uit meldingsysteem ziekenhuis niet ter inzage voor betrokkene

De eerste uitspraak van de rechtbank Utrecht zag op een geschil tussen een (voormalig) patiënte en een ziekenhuis. De patiënte was in het verleden geopereerd en daarbij was – zo bleek later – een spons in de buik van de vrouw achtergebleven. Dit incident is intern in het ziekenhuis gemeld in haar meldingssysteem. Dat systeem is door het ziekenhuis opgesteld in het kader van haar kwaliteitsbeleid en met als bedoeling dat personeel zonder angst voor repercussies incidenten vertrouwelijk kan melden.

In het kader van het verhalen van de schade op het ziekenhuis, heeft de vrouw bij het ziekenhuis met een beroep op artikel 35 WBP zowel afschrift van haar medische dossier als van deze melding in het meldingssysteem opgevraagd. Afschrift van het dossier is door het ziekenhuis verschaft, maar afschrift van de melding is door het ziekenhuis geweigerd. De vrouw verzoekt nu aan de rechtbank het ziekenhuis te bevelen ook deze gegevens te verschaffen.

De rechtbank wijst dit verzoek echter af. De rechtbank volgt het verweer van het ziekenhuis dat “voor het goed functioneren van het meldingssysteem vertrouwelijkheid gegarandeerd moet zijn“. Dat rechtvaardigt volgens de rechtbank ook dat artikel 35 WBP buiten toepassing blijft. Ik kan mij goed vinden in deze overweging.

De rechtbank overweegt ook nog (ten overvloede) dat gegevens in het meldingsysteem niet bestaan uit “persoonsgegevens in de zin van de Wbp“. Gezien de ruime definitie van persoonsgegevens en de ruime uitleg die de gezamenlijke privacytoezichthouders aan dit begrip geven is maar de vraag of die constatering helemaal juist is.

Advies van medisch adviseur verzekraar niet ter inzage voor betrokkene

In de tweede uitspraak gaat het ook om een kwestie over medische aansprakelijkheid. Een vrouw was enkele jaren geleden foutief door een ziekenhuis behandeld. Zij stelt het ziekenhuis aansprakelijk voor deze fout en de dientengevolge geleden schade.

In het kader van deze aansprakelijkheidsstelling heeft zij bij de verzekeraar van het ziekenhuis een kopie opgevraagd van (1) de medische informatie die zij over haar heeft en (2) van het medisch advies dat deze verzekeraar over deze kwestie heeft ontvangen. De kopie van de medische gegevens is aan haar verschaft, het verschaffen van de kopie van het (voor intern gebruik bedoelde) medische advies is echter geweigerd. Tegen deze weigering komt de vrouw nu bij de rechtbank op.

De verzekeraar had (kort samengevat) betoogd dat zij vertrouwelijk met haar adviseur moet kunnen overleggen over lopende aansprakelijkheidskwesties. De rechtbank volgt haar daarin: ” Het zou de ongestoorde gedachtewisseling van de aangesproken persoon – in dit geval de verzekeraar – om te kunnen komen tot een standpunt naar aanleiding van de aansprakelijkstelling en zijn positie ten opzichte van de wederpartij in een eventuele procedure te zeer (kunnen) schaden als van de inhoud van de adviezen van de medisch adviseur aan de betrokkene/wederpartij mededeling zou moeten worden gedaan in de zin van artikel 35 Wbp.”.

Ook in deze uitspraak kan ik me vinden. Soortgelijke kwesties doen zich bijvoorbeeld ook bij advocaten voor. Het zou het beroepsgeheim van advocaten geweld aandoen wanneer betrokkenen met een beroep op de WBP inzage in vertrouwelijke correspondentie zouden kunnen opeisen. De zaak doet wat dat betreft denken aan een eerdere uitspraak van de rechtbank Zutphen waarover ik geblogd heb en waarin uitdrukkelijk is bepaald dat inzage in de correspondentie met de advocaat niet onder het inzagerecht valt.

Klachtdossier seksuele intimidatie valt niet onder de WBP

De derde kwestie handelt over een klacht over seksuele intimidatie die was ingediend bij de klachtcommissie van de betreffende onderneming. Nadat de klachtcommissie uitspraak had gedaan, heeft de klagende vrouw een kopie van het klachtdossier verzocht. Deze kopie is haar geweigerd. Tegen deze weigering komt ze nu op bij de rechtbank.

De rechtbank weigert het verzoek echter, omdat volgens haar de WBP in dit geval niet van toepassing is. Het betreft hier een papieren dossier en voor toepasselijkheid van de wet is in dat geval vereist dat sprake is van een “bestand” in de zin van de WBP. Volgens de rechtbank is het “door de COO aangelegde klachtdossier is niet te kwalificeren als een dergelijk “bestand”. Het heeft immers uitsluitend betrekking op de door [verzoekster] ingediende klachten en bevat geen (vergelijkbare) persoonsgegevens van anderen.“.

Ik vraag me af of de rechtbank de wet hier niet te eng uitlegt. Er mag weliswaar in dit geval sprake zijn van slechts een enkel klachtdossier, ik kan me niet voorstellen dat een commissie die nota bene is aangesteld om klachten te behandelen die klachten niet op gestructureerde wijze bewaart. De redenering van de rechtbank zou bovendien tot de wat wonderlijke consequentie kunnen leiden dat de eerste klager bij een dergelijke commissie geen inzage in het dossier heeft, maar dat zodra de commissie meer klachten heeft behandeld alle individuele klagers opeens wel inzage in hun dossier zouden kunnen krijgen.

Vergelijk in dat kader ook de opinie van de gezamenlijke privacytoezichthouders over personeelsdossiers: “Not all manual records necessarily fall within the Directive’s scope. They only do so if they form part of a ‘personal data filing system’. This is defined as any structured set of personal data, which are accessible according to specific criteria, whether centralised, decentralised or dispersed on a functional or geographical basis. Most employment records are likely to fall within this definition. However, in some countries, the implementing measures may exclude some hand-written notes retained outside any form of filing system but given the necessarily structured nature of employment records will include most information kept about workers whether centrally or by line managers.

Het zou wat mij betreft overtuigender zijn geweest wanneer de rechtbank ook deze kwestie met een beroep op de uitzondering van artikel 43 WBP zou hebben afgedaan. Klachtencommissies voor seksuele intimidatie kunnen vermoedelijk alleen goed functioneren wanneer zij in vertrouwen alle personen kunnen horen die (al dan niet zijdelings) bij de klacht betrokken zijn en/of die de commissie van informatie kunnen voorzien over de klager en/of de beklaagde. Er zijn waarschijnlijk niet veel mensen bereid mee te werken aan onderzoeken van de klachtencommissie wanneer de klagende partij de volledige inhoud van het betreffende klachtdossier – met daarin o.a. verklaringen van de personen die door de commissie gehoord zijn – eenvoudig met een beroep op artikel 35 WBP kan opvragen. Juist omdat transparantie het functioneren van dergelijke commissies ondergraaft, zou wat mij betreft ook hier een beroep op artikel 43 WBP gerechtvaardigd zijn.

Lees de originele blog hier.

IT 174

Onvoldoende beveiligde websites schenden privacywetgeving

De laatste tijd is er in IT-land veel te doen om de open-source software Firesheep. Met deze software is het heel eenvoudig het acccount van een ander op een website over te nemen. De betreffende websites schenden hiermee de verplichting tot het garanderen van een passend niveau van beveiliging. Gebruikmaken van de software is echter ook niet zonder risico.

Met dank aan Mark Jansen, Dirkzwager advocaten & notarissen

Werking software Firesheep

De software Firesheep maakt gebruik van het volgende principe. Op moderne “web 2.0″ websites moet je veelal inloggen om de (volledige) functionaliteit van de website te kunnen gebruiken (sites als Facebook, Hotmail, Hyves, etc.). Na succesvol inloggen wordt meestal een cookie teruggezonden aan de bezoeker, zodat deze bij een volgend bezoek eenvoudig herkend kan worden. Die cookie wordt vaak onversleuteld verzonden en is dus – bijvoorbeeld bij gebruik van draadloos internet – door iedereen af te vangen. Firesheep detecteert dergelijke onbeveiligd verzonden cookies automatisch op ieder draadloos netwerk in de buurt. Na afvangen van de betreffende cookie kan eenvoudig worden ingelogd op de website onder de naam van degene wiens cookie is afgevangen.

Beveiligingsverplichting

Deze software roept juridisch de nodige vragen op. Websites waarop moet worden ingelogd om toegang te krijgen tot het eigen account, verwerken persoonsgegevens in de zin van de Wet bescherming persoonsgegevens (WBP). Op grond van artikel 13 WBP moet de exploitant van de website “passende technische en organisatorische maatregelen” treffen om die gegevens te beveiligen tegen o.a. verlies. Uit de wetsgeschiedenis volgt dat dit onder andere betekent dat de beveiliging in overeenstemming moet zijn “met de stand van de techniek“.

Huidige stand van de techniek

Een korte zoektocht op internet leert dat diverse bedrijven hun beveiliging naar aanleiding van de software hebben aangepast. Ook blijkt uit onderzoek dat bij diverse websites het inlogproces niet af te luisteren is. Daarmee kan denk ik goed verdedigd worden dat, voor zover het hanteren van een versleuteld inlogproces en het versleuteld versturen van cookies niet al tot de stand van de techniek behoorde, dat thans toch in ieder geval wel de stand van de techniek is geworden.

Risico websitehouders die stand techniek niet gebruiken

Websitehouders die deze stand van de techniek niet hanteren voor hun inlogproces, schenden dus hoogstwaarschijnlijk de beveiligingsverplichting die artikel 13 WBP stelt. Het College Bescherming Persoonsgegevens zou hier tegen kunnen optreden door het opleggen van dwangsommen of boetes. Ook is denkbaar dat individuele gebruikers van wie de account gekaapt is, de websitehouder voor alle daaruit voortvloeiende schade aansprakelijk kunnen stellen.

Risico gebruikers software

Overigens is het gebruik van de Firesheep software ook niet zonder risico. Het inloggen op andermans account met gebruikmaking van afgevangen cookies valt zeer waarschijnlijk onder het delict computervredebreuk (artikel 138ab Wetboek van Strafrecht). Op dit misdrijf staat maximaal een jaar gevangenisstraf of € 19.000 boete. Die gevangenisstraf wordt verhoogd naar maximaal vier jaren wanneer na inloggen op het account gegevens worden overgenomen. Wanneer na inloggen op andermans account gegevens worden gewijzigd, is vermoedelijk sprake van het misdrijf beschreven in artikel 350a Sr. Hierop staat maximaal twee jaar gevangenisstraf en dezelfde boete.

Dit bericht is oorspronkelijk verschenen op: https://dirkzwagerieit.nl/2010/12/02/onvoldoende-beveiligde-websites-schenden-privacywetgeving/ 

IT 169

Recht op data-portabiliteit en het recht om vergeten te worden

Eurocommissaris Neelie Kroes wil aanvullende privacyregels voor cloud computing. Lees de tekst van de inleiding hier die zij gisteren voordroeg bij een congres op een Parijse universiteit. Kroes lijkt onder meer te zinspelen op regelgeving die het voor een consument mogelijk maakt om de informatie die hij bij een dienstverlener heeft opgeslagen, mee te nemen naar een andere dienstverlener (data-portabiliteit). Ook zinspeelt zij op een recht om "vergeten" te kunnen worden.

De inleiding van Kroes gaat over cloud computing, zonder dat precies wordt duidelijk gemaakt wat daaronder wordt verstaan. Uit de context lijkt te volgen dat Kroes doelt op diensten waarbij consumenten informatie opslaan/plaatsen bij een dienstverlener die gebruik maakt van cloud computing.

Smit Kroes:

"So now we need to change the general data protection framework to ensure our fundamental rights and freedoms are well addressed in the digital era. There are important questions to answer, such as:

How do we ensure transparency in the processing of personal data? People should be aware of what they are signing up to. They should have the possibility to review their choice in a user-friendly manner at any time.

Data minimisation: what can be done to ensure that just the right amount of personal data is collected, and nothing more?

The "right to be forgotten" – how can that work in practice? Here I want to pass my personal thanks to Nathalie Kosciusko-Morizet whose relentless work on this subject has been very valuable. Let me be clear: in my view, the issue is not merely about deleting all data. Just like in real life, when you present yourself on the net, you cannot assume no records exist of your past actions. What matters is that in those cases any data records are made irreversibly anonymous before further use is made of them.

Data portability. This is all about freedom of choice: the right for you to change your mind and preference about the services you need. Freedom of choice is only possible when a user can easily and freely transfer his or her data to him or herself and then possibly to another service provider.

Efficient use of the resources invested in data protection is important – both for the supervisory authorities and for the industry complying with it. Unnecessary administrative burdens should be removed where possible. "

Een deel van deze uitgangspunten lijkt overigens al afgevangen in de huidige privacyregelgeving, zoals het beginsel van "data minimisation".

IT 163

Gemeentes in de fout met privacy bij Wob-verzoeken.

 

Op de -algemeen toegankelijke- website van de Vereniging van Nederlandse Gemeenten (VNG) zijn bij behandeladviezen aan gemeenten onder meer de naam en de woonplaats gepubliceerd van indieners van Wob-verzoeken. Het College bescherming persoonsgegevens (CBP) heeft de VNG laten weten dat dit in strijd is met de Wet bescherming persoonsgegevens (Wbp). Zie hier. Michaël van Leeuwen van ICTRecht schreef een column over deze kwestie.

"Vereniging van Nederlandse Gemeenten de fout in bij publicatie Wob-verzoeken met persoonsgegevens
12-11-2010

Bij het publiceren van verzoeken op grond van de Wet openbaarheid van bestuur (Wob) heeft de Vereniging van Nederlandse Gemeenten (VNG) achterwege gelaten die te ontdoen van persoonsgegevens van de indieners. Dat is in strijd met de Wet bescherming persoonsgegevens omdat geen van de situaties uit artikel 8 van die wet, waarin strikt wordt geregeld onder welke omstandigheden de verwerking (en dus ook publicatie) van persoonsgegevens is toegestaan, van toepassing zou zijn.

Dat oordeelde het College Bescherming Persoonsgegevens (CBP) vorige week na het ontvangen van een klacht over de niet-geanonimiseerde Wob-verzoeken die gepubliceerd werden op de VNG-website. Uit de brief, gepubliceerd op overheidsnetwerk Ambtenaar 2.0, blijkt dat de VNG aangaf de Wob-verzoeken te publiceren om advies te geven aan gemeenten over hoe om te gaan met Wob-verzoeken. Inmiddels zouden de persoonsgegevens verwijderd zijn door de VNG, zo geeft in ieder geval de brief van het CBP aan. Een zoekactie van enkele minuten leidt echter nog altijd tot documenten op de VNG-website waar de naam van de indiener van het Wob-verzoek naar voren komt.

De publicatie van andermans persoonsgegevens is alleen toegestaan als er bijvoorbeeld ondubbelzinnige toestemming is verkregen van de betreffende persoon of als de verwerking noodzakelijk is voor een publiekrechtelijke taak. Van die publiekrechtelijke taak kan in het geval van de VNG wel degelijk sprake zijn, maar het CBP gaf aan dat de documenten ook geanonimiseerd hadden kunnen worden omdat dat geen afbreuk zou doen aan het doel dat de VNG met de publicatie van de Wob-verzoeken probeerde te bereiken.

Het proactief openbaar maken van informatie door de overheid zal alleen maar toenemen. Die actieve houding is namelijk vastgelegd in de Wet openbaarheid van bestuur. Bij de uitvoering blijkt dit vaak te knellen met de privacy van de personen die in de gepubliceerde documenten voorkomen. Belangrijk voor het voldoen aan de privacywetgeving is dat niet alleen NAW-gegevens worden verwijderd, maar ook andere gegevens die ervoor zorgen dat te achterhalen is om welke persoon het gaat. Vorig jaar presenteerde het CBP nog richtsnoeren voor de publicatie van persoonsgegevens door de overheid (saillant detail: aan de VNG)."

Lees de originele column hier.

IT 155

Recht van verzet en de bewoners van dit pand

Rechtbank Amsterdam 5 augustus 2010, 455882 / HA RK 10-319 (LJN: BO3254). Verzoeker verzoekt verwijdering van zijn gegevens uit alle bestanden van de Nationale Postcode Loterij (NPL), zowel de gegevens aangaande zijn woonadres als zijn werkadres. Verzoek wordt gedeeltelijk toegewezen. De rechtbank oordeelt dat na het uitoefenen van het recht van verzet ook geen post meer mag worden gericht aan "de bewoners" van het betreffende adres.

A is opgenomen in het postweigeraarsbestand van NPL. Toch heeft hij nog post van NPL ontvangen, namelijk post die is gericht aan "de bewoners van" het woonadres van A. A stelt dat het postweigeraarsbestand kennelijk niet werkt en vordert verwijdering van zijn gegevens uit het bestand. Tegelijkertijd vordert hij dat NPL niet langer post aan hem stuurt. Dat is tegenstrijdig volgens de rechtbank:

"5.8. De rechtbank is verder van oordeel dat het verzoek van [A] om zowel uit het postweigeraarsbestand als uit de adressenbestanden voor het versturen van direct marketing te worden verwijderd, innerlijk tegenstrijdig is. Het is het één of het ander: of [A] wordt verwijderd uit het postweigeraarsbestand en zijn gegevens kunnen dan in de toekomst niet uit de door NPL aangekochte bestanden worden gefilterd, of [A] wordt als postweigeraar geregistreerd en NPL mag zijn gegevens, gelet op het door hem ingeroepen verzet, niet gebruiken voor de verzending van direct marketing."

De vordering om te worden verwijderd uit het postweigeraarsbestand wordt afgewezen:

"5.6. Het verzoek van [A] om verwijdering van zijn gegevens, zowel van zijn privé- als zijn werkadres, uit het postweigeraarsbestand van NPL zal worden afgewezen. Hiertoe overweegt de rechtbank als volgt. Het recht van verzet ex artikel 41 Wbp betreft een absoluut recht. Dit recht, en daarmee het verbod op gegevensverstrekking indien het recht van verzet wordt ingeroepen, ziet echter alleen op de verwerking van gegevens voor commerciële of charitatieve doeleinden. NPL heeft gemotiveerd aangegeven dat het enkele doel van dit bestand is dat wordt voorkomen dat direct mail worden gestuurd aan personen die hun recht van verzet hebben ingeroepen. De stelling van [A] dat het postweigeraarsbestand van NPL een commercieel doel dient is, gelet op de betwisting door NPL, onvoldoende onderbouwd. Het bestand dient geen commercieel of charitatief doel en is het aangewezen middel voor NPL om te kunnen voldoen aan het bepaalde in artikel 41 Wbp. De door NPL gehanteerde methode is in overeenstemming met de Memorie van Toelichting en de informatie van het College Bescherming Persoonsgegevens."

A vordert verwijdering van de persoonsgegevens en aanschrijvingen betreffende zijn werkadres en woonadres die op naam zijn gesteld. Omdat hij op beide adressen na opname in het postweigeraarsbestand geen op naam gestelde post meer heeft ontvangen van NPL, wordt de vordering afgewezen.

De rechter laat A echter niet geheel in de kou staan. A wordt gelijkgesteld met de bewoners van zijn adres:

"5.12. De rechtbank is van oordeel dat NPL wel de correspondentie die is gericht aan “de bewoner(s) van” het woonadres van [A] dient te staken. [A] heeft aangegeven dat hij op zijn woonadres geen post wenst te ontvangen van NPL en zijn recht van verzet ingeroepen. Hieronder valt ook post die niet op zijn naam is gesteld, waarvan niet uit de adressering kan worden afgeleid dat deze post niet voor hem bedoeld is maar voor een ander. [A] valt immers ook onder “de bewoner(s) van” dat adres. Als het mogelijk blijft voor NPL om aldus post aan [A] te sturen, al is deze post volgens NPL niet voor hem bedoeld en ook niet in naam aan hem geadresseerd, dan zou de wet haar doelstelling in dit geval niet bereiken.

5.13. Het door NPL aan het einde van de mondelinge behandeling naar voren gebrachte, nieuwe procedé waardoor wordt voorkomen dat personen die zich als postweigeraar hebben laten registreren post ontvangen die is gericht aan “de bewoner(s) van”, maakt het oordeel van de rechtbank niet anders. Het procedé wordt pas recentelijk toegepast en het is nog te vroeg om vast te kunnen stellen of het systeem werkt. Thans kan niet redelijkerwijs al worden aangenomen dat [A] geen belang heeft bij dit gedeelte van het verzoek. Derhalve zal, ondanks deze nieuwe maatregel, het gedeelte van het verzoek van [A] dat ziet op de ontvangst van aanschrijvingen gericht aan “de bewoner(s) van” zijn woonadres, gelegen aan de -- te --, worden toegewezen. NPL zal worden bevolen deze aanschrijvingen te staken en gestaakt houden."

Lees de uitspraak hier.

IT 153

Diverse commentaren inzake depot verkeersgegevens

De rechtbank Alkmaar oordeelde onlangs dat iemand zijn internetprovider moest verzoeken de verkeersgegevens (als bedoeld in de telecommunicatiewet) over zijn privé internetgebruik over een bepaalde periode ter bewaring te geven aan een notaris (zie IT en Recht IT 146). Inmiddels zijn er diverse commentaren verschenen bij de uitspraak en kunnen wij zelfs een noot uit Internetrecht voorpubliceren van Tina van der Linden.

Met veel dank aan Arnoud Engelfriet, die deze commentaren bij elkaar heeft gebracht en de toestemming voor de voorpublicatie heeft geregeld. Arnoud vond ook nog deze oudere opmerking van Gerrit-Jan Zwenne in een noot bij Promusicae:

"Een interessante vraag is of de gegevens die op grond van de nieuwe wet moeten worden bewaard, al dan niet aan rechthebbenden zouden mogen worden verstrekt in het kader van civiele procedures tegen vermeende inbreukmakers. Het komt mij voor dat de tekst van de Data Retentie Richtlijn daarvoor géén mogelijkheden biedt. Omdat auteursrechthebbenden dit waarschijnlijk anders zien, zou dit wel eens aanleiding kunnen zijn voor nieuwe procedures en wellicht nieuwe prejudiciële vragen."

Zie hier.

IT 152

Nadere regels voor gedragsgericht adverteren?

Advertenties die zijn gebaseerd op het surfgedrag van de gebruiker moeten voortaan aangeven dat er sprake is van gedragsgericht adverteren ('behavioural advertisement'). Daarnaast moet worden aangegeven welke informatie is gebruikt om de advertentie te selecteren. Deze en andere aanbevelingen met betrekking tot gedragsgericht adverteren doet de Commissie Interne Markt en Consumentenbescherming van het Europees Parlement in haar ontwerpverslag over de gevolgen van adverteren voor het consumentengedrag (2010/2052(INI)). Het verslag zal volgende maand ter stemming worden voorgelegd aan het Europees Parlement. Met dank aan Eva de Vries, Vondst Advocaten.

IT 145

Bevoegdheden curator vs privacy

Gerechtshof 's-Hertogenbosch 2 november 2010, zaaknummer HD 200.014.156. Het hof heeft zich in dit arrest uitgelaten over de vraag of een curator gerechtigd is tot het kopiëren van een harde schijf van een laptop van een bedrijfsjurist van een failliete onderneming, teneinde de gemaakte kopie te laten onderzoeken op bestanden die (mogelijk) toebehoren aan de failliete boedel. De bedrijfsjurist heeft zich met succes verweerd met een beroep op zijn privacyrechten. Met dank aan Christel Jeunink, Van Iersel Luchtman Advocaten.

De curator van Rynart Transport vermoedt fraude. Om de fraude vast te kunnen stellen wenst de curator de inhoud van de privélaptop van de bedrijfsjurist te onderzoeken. Deze privélaptop is ook op het werk gebruikt en bevat naast privébestanden ook zakelijke informatie. De curator vordert dat de bedrijfsjurist meewerkt aan deponering van een kopie van de harde schijf van de laptop bij een notaris en dat de bestanden doorzocht mogen worden door het bedrijf IRS. Het hof overweegt:

"4.4.3. Naar het voorlopig oordeel van het hof was de curator in de omstandigheden van het onderhavige geval bevoegd om de privélaptop, als drager van zakelijke bestanden van de failliet, onder zich te nemen en, in nauw overleg met [X], kopieën van de harde schijf te maken en deze te deponeren onder een notaris.

4.5.1 Een geheel andere vraag betreft de vraag of de curator ook bevoegd was om van [X] te verlangen dat de volledige kopieën, inclusief de privébestanden van [X], ter beschikking werden gesteld aan IRS."

Het hof somt de wederzijdse belangen op in r.o. 4.5.2 en 4.5.3. Uit r.o. 4.5.5 blijkt waarom het hof alles afwegende tot de conclusie komt dat de curator IRS geen toegang had mogen geven.

Lees het arrest hier.

IT 144

Europese Commissie over nieuwe privacyrichtlijn

De Europese Commissie is van plan om de Europese privacyregelgeving te herzien. Lees de mededeling hier. De Commissie is van oordeel dat de huidige regelgeving onvoldoende kan worden toegepast op nieuwe technologieën. Ook merkt de Commissie op dat de verschillen in nationale wetgeving binnen Europa te groot zijn. Internationale doorgfite van gegevens moet volgende de Commisie worden vereenvoudigd. De Commissie is voorts van oordeel dat privacytoezicht meer tanden moet krijgen. Door Polo van der Putt, Vondst Advocaten.

Het College bescherming persoonsgegevens (Cbp) heeft verheugd gereageerd. Het Cbp merkt het volgende op:

"Het CBP onderschrijft de ambitie om het privacyrecht waar mogelijk te vereenvoudigen, de administratieve lasten te verlagen en meer harmonisatie in de Europese landen te bereiken. Ook het streven naar een hoog beschermingsniveau voor burgers en versterking van hun rechten zodat zij deze ook daadwerkelijk kunnen doen gelden, is een noodzakelijke stap voorwaarts."

Uit dit citaat blijkt precies het krachtenveld dat de nieuwe regelgeving zal bepalen. Aan de ene kant is er de roep uit met name het bedrijfsleven om vereenvoudiging en lastenverlichting. Aan de andere kant staan de privacyhoeders, met name de toezichthouders, die opmerken dat burgers zich niet genoeg bewust zijn van hun rechten en dat toezichthouders meer macht moeten krijgen.

Tja. Respect krijg je, maar laat zich moeilijk afdwingen. De bescherming van privacy is een groot goed. Daarom moet je er ook voorzichting mee om gaan. Als je het opblaast en contact met de realiteit verliest, zou er wel eens een anti-privacy gevoel kunnen ontstaan. De vraag is of het helpt om de burgers een privacycomplex aan te praten en met strenge straffen respect af te dwingen. Er zal ongetwijfeld een interessante discussie volgen binnen Europa.

IT 138

Update Privacyrichtlijn

De organisatie Statewatch heeft een gelekt concept van een van de eerste officiële documenten in verband met de update van de Privacyrichtlijn gepubliceerd: A Comprehensive Strategy on Data Protection in the European Union. Deze ‘Communication’ spreekt over twee doelen: ten eerste het veiligstellen van het vrije (internationale) verkeer van persoonsgegevens, en ten tweede het veiligstellen van fundamentele rechten, waaronder het recht op bescherming van persoonsgegevens. De Commissie noemt vijf zaken die speciale aandacht verdienen, waarvan de eerste ziet op technologische ontwikkelingen. In dit kader wijst de Commissie meteen op de eerste pagina expliciet op cloud computing, social networks, cookies en locatiegegevens van bijvoorbeeld smart phones. Zie de SOLV blog (via Wouter Dammers van SOLV).

Enkele citaten:

 

“Fifteen years later, this twofold objective is still valid and the principles enshrined in the Directive remain sound. However, rapid technological developments and globalisation have profoundly changed the world around us, and brought new challenges to the protection of personal data.

Indeed technology nowadays allows individuals to disseminate information about their behaviour and preferences easily and make it publicly and globally available on an unprecedented scale. Social networking sites, with hundreds of millions of members spread across the globe, are perhaps the most evident, but not unique, example of this phenomenon.

"Cloud computing" - i.e., Internet-based computing whereby software, shared resources and information are on remote servers ("in the cloud") - also poses challenges to data protection, as it involves the loss of individuals' control over their potentially sensitive information when they store their data with programs hosted on someone else's hardware. A recent study confirmed that there seems to be a convergence of views – of Data Protection Authorities, business associations and consumers' organisations – that risks to privacy and the protection of personal data associated with online activity are increasing.

At the same time, the means of collecting personal data have become increasingly sophisticated and less easily detectable: for example, the use of cookies allows economic operators to better target individuals online with advertisements, thanks to the monitoring of their web browsing (so-called "behavioural advertising") and the growing use of geo-location devices makes it easy to determine the location of individuals simply because they possess a

mobile phone. Public authorities also use more and more personal data for various purposes, such as tracing individuals in the event of an outbreak of a communicable disease, for preventing and fighting terrorism and crime more effectively, to administer social security schemes or for taxation purposes, in the framework of their e-government applications etc.”

 

“All this inevitably raises the question whether existing EU data protection legislation can still fully and effectively cope with these challenges. In order to address this question, the Commission launched a process of review of the current legal framework, which started with a high level conference in May 2009, followed by a public consultation until the end of 20093 and by more targeted stakeholders' consultations throughout 2010. A number of studies were also launched. The results of this process confirmed that the core principles of the Directive are still valid and that its technologically neutral character should be preserved. However, several issues have been identified as being problematic and posing specific challenges. These include:

• Addressing the impact of new technologies

Responses to the consultations, both from private individuals and organisations, have confirmed the need to clarify and specify the application of data protection principles to new technologies, in order to ensure that individuals' personal data are actually effectively protected, whatever the technology used to process their data, and that data controllers are fully aware of the implications of new technologies on data protection. It is to be noted that, in

the electronic communication sector, this has been addressed by Directive 2002/58/EC (socalled "e-Privacy" Directive), which particularises and complements the general Data Protection Directive.”

 

“Complexity is also growing due to globalisation and the development of technologies:

data controllers are increasingly operating in different Member States and jurisdictions, providing services and assistance around-the-clock. The Internet makes it much easier for data controllers established outside the European Economic Area (EEA) to provide services from a distance and to process personal data in a virtual environment; and cloud computing makes it difficult to determine the location of personal data and of equipments used at any given time.

However, the Commission considers that the fact that the processing of personal data is carried out by a data controller established in a third country should not deprive individuals of the protection to which they are entitled under the EU Charter of Fundamental Rights and EU data protection legislation.”

 

Lees hier het gehele document.