Privacy  

Op het Kerkplein in Den Haag staat een reclamezuil van JCDecaux die door ENECO ook wordt ingezet als oplaadpunt voor elektrisch vervoer. Mensen met een OV-chipkaart kunnen hiermee (voorlopig) gratis hun elektrische vervoersmiddel opladen. Na Den Haag krijgen Utrecht, Haarlem en Nijmegen ook dergelijke oplaadzuilen.

Gezien de talloze berichten over gehackte OV-chipkaart (vooral in kort nieuws, links van dit artikel), wordt je hier ook aan een klassiek arrest herinnerd; HR 23 mei 1921, NJ 1921, 564 (elektriciteitsarrest). Het kan dus een fraudegevoelig project worden, gekoppeld aan privacy issues, of oneerlijke concurrentie (elektrische taxi's die ten nadele van concullegae oplaadzuilen bezet houden). Tal van beperkende voorwaarden voor de afname zullen op enigerlei wijze worden vastgelegd; bepaalde hoeveelheid KwH per OV-chipkaart; aantal oplaadbeurten per week, etc..

Wie heeft de hand weten te leggen op de (beperkende) voorwaarden en de privacy-verklaring voor deze service?
Kunt u dat, voorzien van enig commentaar, insturen alstublieft, klik hier. (redactie heeft de deze juridische documenten opgevraagd).

Fotobron: AdFormatie
<!-- AddThis Button BEGIN --><div class="addthis_toolbox addthis_default_style"><a href="https://www.addthis.com/bookmark.php?v=250&username=xa-4cc58b813d6ef585" class="addthis_button_compact">SHARE</a><span class="addthis_separator">|</span> <a class="addthis_button_preferred_1"></a><a class="addthis_button_preferred_2"></a> <a class="addthis_button_preferred_3"></a><a class="addthis_button_preferred_4"></a> </div> <script type="text/javascript" src="https://s7.addthis.com/js/250/addthis_widget.js#username=xa-4cc58b813d6ef585"></script><!-- AddThis Button END -->

De prijs voor de grofste privacyschender maken kans op de Big Brother Award. Jaarlijks neemt burgerrechtenorganisatie Bits of Freedom (BOF) dit initiatitief om privacyschendingen onder de aandacht te brengen. Op 9 maart worden, tijdens een awardsgala in Pakhuis de Zwijger in Amsterdam de winnaars "publiekelijk" gemaakt. Vanaf vandaag  kan iedereen stemmen voor de Publieksprijs.

De genomineerden in categorie overheid, bedrijfsleven, personen en voorstellen zijn...

OVERHEID
De Belastingdienst vanwege de plicht voor ZZP´ers hun Burger Service Nummer te publiceren. De Nederlandse Zorgautoriteit vanwege de plicht voor psychiaters om op declaraties diagnostische gegevens te melden. Het Openbaar Ministerie omdat zij met sleepnetacties wil achterhalen wie bepaalde nieuwsartikelen heeft gelezen. En het ministerie voor Sociale Zaken en Werkgelegenheid voor de huiscontroles door pandbrigades en de komende uitbreiding van die praktijk, waarbij alle uitkeringsgerechtigden worden verplicht huiscontroles te ondergaan.

BEDRIJVEN 
ABN AMRO voor het inzetten en verstoppen van spyware, zelfs nadat de bank eerder door een onderzoeksbureau op de vingers werd getikt. TNO vanwege het ontwikkelen en testen van ‘Hostile Intent Technology’ om ‘verdacht’ gedrag met camera’s op te sporen aan de hand van een zeer breed scala aan verdachte gedragingen, zoals het dragen van een dikke jas. En Trans Link Systems en OV-bedrijven vanwege het doorzetten van de OV-chipkaart, ondanks de vele constateringen dat de kaart onherstelbaar kapot is.

PERSONEN
De Facebook-gebruikers vanwege het schenden van privacy van hun eigen vrienden. Minister van Justitie Ivo Opstelten vanwege het voorstel om gescande kentekens vier weken te bewaren. En tot slot de Haarlemse wethouder Rob van Doorn voor het verplicht aan- en afmelden van parkerend bezoek.

VOORSTELLEN
onderzoek naar de inzet van Deep Packet Inspection, een permanente internettap op het verkeer van alle Nederlandse internetters. En SLIM Prijzen vanwege het registreren van ritgegevens van automobilisten: het rekeningrijden in een nieuw jasje.

Meer weten? klik hier

Opinie/met bijzondere dank aan Milica Antic SOLV...Minister Opstelten van Veiligheid en Justitie heeft zich duidelijk uitgesproken: de politie mag niet zomaar IP-adressen bij journalisten opvragen. Daar moet een belangenafweging aan vooraf gaan, inclusief het belang van journalistieke bronbescherming. Het college van procureurs-generaal komt dit voorjaar met een nieuwe aanwijzing voor de toepassing van dwangmiddelen tegen journalisten, aldus de Minister.

De politie schijnt nogal eens naar de uitbaters van websites te stappen om de IP-adressen van bezoekers van die websites op te vragen. Dat gebeurt ook als het gaat om journalistieke websites zoals crimesite.nl. De vraag is of dat mag. IP-adressen worden door het College Bescherming Persoonsgegevens immers als persoonsgegevens aangemerkt en dus moet je daarmee zorgvuldig omgaan.

Nu zullen veel organisaties, geconfronteerd met een verzoek van de politie, de gevraagde IP-adressen toch wel afgeven, want tegen de politie durf je niet snel nee te zeggen. Crimesite.nl durfde dat wel, en terecht. 

Als de politie persoonsgegevens zou vragen bij telecomaanbieders, dan moet er gebruik worden gemaakt van de vorderingsbevoegdheid zoals geregeld in het Wetboek van Strafvordering. De uitoefening van deze bevoegdheid is met waarborgen omkleed. Een gewoon ‘verzoekje’ van de politie is dus onvoldoende.
In andere gevallen moet de politie volgens het CBP in ieder geval schriftelijk uitleggen op basis van welke wettelijke regeling men verplicht zou zijn de gevraagde IP-adressen te geven. Er moet gekeken worden of de verstrekking noodzakelijk is ter voorkoming, opsporing of vervolging van strafbare feiten, en vervolgens moet er een belangenafweging worden gemaakt. Meestal zal de verstrekking van persoonsgegevens aan de politie buiten het kader van de wettelijk geregelde opsporingsbevoegdheden niet zijn toegelaten, schreef het CBP al in een brochure uit 2006.

Eind vorig jaar maakte de Hoge Raad ook duidelijk dat indien een verzoek tot het opvragen van persoonsgevens onder een bepaalde opsporingsbevoegdheid valt (in dat geval art. 126nd Wetboek van Strafvordering), de politie deze procedure moet volgen. Opvragen op basis van vrijwilligheid is dus niet toegestaan aldus de Hoge Raad in zijn arrest van 21 december 2010.

Klare taal dus door het CPB en de Hoge Raad. En toch blijft de politie al bluffend organisaties onder druk zetten om vrijwillig IP-adressen en andere persoonsgegevens af te staan. Hopelijk is die praktijk met de stellingname van Opstelten (de baas van de politie) definitief ten einde.

Lees het hele bericht hier. 
Nog niet uitgelezen: Oerlemansblog

Iets gezien en ook uw opiniestuk insturen? dat kan hier

Blog van Arnoud Engelfriet. Hof Den Bosch 1 februari 2011, LJN BP3921. Hof laat vrijheid van meningsuiting prevaleren boven de Wbp. Ook journalisten gebonden aan Wbp. Het beroep op de persexceptie (artikel 3 Wbp) wordt genegeerd. De website Kleintje Muurkrant had in een bericht de naam van een zakenman genoemd en in herinnering gebracht dat hij ooit gehoord was in een strafrechtelijk onderzoek naar Johan de V. alias ‘de Hakkelaar’. Deze man begon een procedure met als insteek de Wet bescherming persoonsgegevens: het noemen van zijn naam op een website was een verwerking van persoonsgegevens, en daarvoor was geen toestemming gegeven.

De blog:

Ha, een juridische opsteker. De persvrijheid kan het wel degelijk winnen van de Wet bescherming persoonsgegevens (Wbp). Dat blijkt uit een recent arrest over de zaak-Kleintje Muurkrant. Hoewel de Wbp zeker door journalisten kan worden overtreden, maakt zo’n overtreding niet per se automatisch de publicatie onrechtmatig. Daarmee wordt het vonnis uit 2008 ongedaan gemaakt waarin de site Kleintje Muurkrant niet journalistiek genoeg geacht werd.

De website Kleintje Muurkrant had in een bericht de naam van een zakenman genoemd en in herinnering gebracht dat hij ooit gehoord was in een strafrechtelijk onderzoek naar Johan de V. alias ‘de Hakkelaar’. Deze man begon een procedure met als insteek de Wet bescherming persoonsgegevens: het noemen van zijn naam op een website was een verwerking van persoonsgegevens, en daarvoor was geen toestemming gegeven.

Het is me al geruime tijd een doorn in het oog dat de kaartenbakwet ingezet zou kunnen worden tegen journalistieke publicaties. Ja, de Wbp is breed bedoeld en ja ook een artikel op een website (zeker in een doorzoekbaar archief) valt onder de definitie van “verwerking” maar ik kan me werkelijk niet voorstellen dat het de bedoeling was om nieuwsvoorziening op dezelfde manier te behandelen als een klantenbestand.

Hoe dan ook, het Hof kiest hier een mooie middenweg: de Wbp kan wel gelden bij een journalistieke uiting, maar de vraag of deze wordt overtreden is niet altijd doorslaggevend. Een overtreding van de Wbp in een journalistieke context dient

te worden meegewogen bij beantwoording van de vraag of degene die verantwoordelijk is voor (handhaving van) publicatie van de beweringen hierdoor onrechtmatig handelt.

Het Hof maakt vervolgens eerst een algemene afweging en concludeert daaruit dat er geen onrechtmatige publicatie is geweest. Daarna wordt dat nog eens dunnetjes overgedaan vanuit het perspectief van de Wbp. In plaats van te spreken van “voldoende basis in de feiten” wordt. nu bijvoorbeeld gezegd dat er een aantoonbare noodzaak tot publicatie was die zwaarder weegt dan de privacy van de eiser (artikel 8 sub f Wbp).

Het beroep op de persexceptie (artikel 3 Wbp) wordt genegeerd. Dat doet er immers niet doe, merkt het Hof terecht op: de persexceptie zegt in feite alleen dat het College Bescherming Persoonsgegevens niets mag doen met klachten over privacyschendingen (art. 47 en 65 Wbp, lees maar na).

Op basis van zowel de Wbp als het algemene recht concludeert het Hof dat de artikelen niet onrechtmatig zijn. En datzelfde geldt dan ook voor het archief, waarover men nog opmerkt:

Bij de belangenafweging stelt het hof voorop dat een publicatie over een persoon op Internet waarvan de onrechtmatigheid niet aannemelijk is geworden of is komen vast te staan, in beginsel op Internet mag worden gearchiveerd. Degene die het artikel archiveert dient hierbij echter wel behoorlijk en zorgvuldig om te gaan met de belangen van de desbetreffende persoon, bijvoorbeeld door af te wegen voor welke doelgroep hij het archief openstelt en gedurende welke termijn.

Dat is dus in lijn met de vaste rechtspraak over archieven die zich de afgelopen jaren heeft ontwikkeld.

Een mooie uitspraak: de Wbp is géén apart kanaal om verwijdering te eisen als dat via de gewone regels van smaad en andere onrechtmatige publicaties niet lukt.

Arnoud

De originele blog vind je hier.

Veel privacynieuws in de laatste berichten. Ook nu weer. De Europese Commissie heeft formeel besloten dat Israel een passend beschermingsniveau biedt voor persoonsgegevens als bedoeld in Richtlijn 95/46/EG. Voor export van persoonsgegevens naar Israel is dus niet langer een exportvergunning noodzakelijk en hoeft ook geen gebruik te worden gemaakt van de Europese modelcontracten.

Lees het besluit hier.

Raad van State 2 februari 2011, LJN: BP2831. Geschil over recht op inzage in persoonsgegevens. Het belang van de Staat om geen inzage te verlenen omdat daardoor de vrije gedachtewisseling van ambtenaren zou worden bedreigd, weegt niet zwaar genoeg om inzage te kunnen weigeren. De Wbp voorziet niet in een recht op inzage in stukken waarin persoonsgegevens zijn opgenomen. De verantwoordelijk kan volstaan met het doen van mededeling van persoonsgegevens, voor zover deze stukken deze bevatten.

Enkele overwegingen:

"De Afdeling ziet met de voorzieningenrechter evenmin grond voor het oordeel dat de minister zich in redelijkheid op het standpunt heeft kunnen stellen dat het belang van de bescherming van de rechten en vrijheden van anderen, als bedoeld in artikel 43, aanhef en onder e, van de Wbp, zich ten tijde van de besluiten op bezwaar tegen kennisneming van de in de stukken opgenomen persoonsgegevens verzette. Niet ieder gewichtig belang van een ander dan de verzoeker kan worden aangemerkt als een recht of vrijheid in de zin van deze bepaling (Kamerstukken II 1997/98, 25 892, nr. 3, blz. 171). Het door de minister aangevoerde belang van hemzelf als verantwoordelijke en van de onder zijn verantwoordelijkheid werkzame personen waaronder begrepen de ambtenaren van de IND en de staatssecretaris, kan naar het oordeel van de Afdeling niet worden aangemerkt als een zodanig gewichtig belang, dat dit het buiten toepassing laten van artikel 35, tweede lid, van de Wbp in dit geval rechtvaardigt. Bij een recht of vrijheid van een ander dan de verzoeker als bedoeld in artikel 43, aanhef en onder e, van de Wbp gaat het om gewichtige belangen op grond waarvan het noodzakelijk is een uitzondering te maken op het recht van de betrokkene op kennisneming. Het belang van de ongestoorde gedachtewisseling tussen ambtenaren behoort daar niet toe. De verwijzing naar hetgeen is vermeld in de Nota leidt voorts niet tot het oordeel dat sprake is van een gewichtig belang dat het buiten toepassing laten van artikel 35, tweede lid, van de Wbp rechtvaardigt, reeds omdat het daarbij gaat om een Vreemdelingenwet die niet in deze procedure toepasselijk recht behelst. De stelling van de minister dat sommige belanghebbenden minuten verkeerd interpreteren en daarin de motivering van een besluit zien, tezamen met de omstandigheid dat het verstrekken van afschriften, gelet op de hoge frequentie van het aantal verzoeken, een grote werklast meebrengt, leidt daar evenmin toe.

Het betoog faalt in zoverre.

2.5.2. Het vorenstaande betekent echter niet dat de minister zonder meer is gehouden de minuten en het interne dossier integraal aan [wederpartij] te verstrekken. Zoals uit de uitspraak van de Afdeling van 24 januari 2007 in zaak nr. 200600780/1 volgt, voorziet de Wbp niet in een recht op inzage in stukken waarin persoonsgegevens zijn opgenomen. Gegeven het aan de Wbp ten grondslag liggende transparantiebeginsel is inzage in stukken waarin persoonsgegevens zijn opgenomen aan de orde indien niet op andere wijze adequaat kan worden voorzien in kennisgeving van die persoonsgegevens dan wel mededeling van de herkomst daarvan, behoudens toepasselijkheid van de in artikel 43 van de Wbp vervatte weigeringsgronden. Dat in dit geval niet anders dan door de integrale verstrekking van de minuten en het interne dossier adequaat kan worden voorzien in kennisgeving van de daarin opgenomen persoonsgegevens dan wel mededeling van de herkomst daarvan, is niet gebleken. Hierbij neemt de Afdeling in aanmerking dat deze stukken zijn opgesteld ter voorbereiding van de besluitvorming in de vreemdelingenzaak van [wederpartij] en hij reeds in het bezit is van de processtukken. Volstaan kan worden met het doen van mededeling van persoonsgegevens, voor zover deze stukken deze bevatten. De staatssecretaris was op grond van de Wbp niet gehouden tot het verstrekken van afschriften van alle gevraagde stukken en heeft het verzoek om verstrekking van de stukken reeds daarom kunnen weigeren. Dat voorheen op verzoek minuten aan betrokkenen zijn verstrekt, doet daar niet aan af. Het betoog slaagt in zoverre. De voorzieningenrechter heeft ten onrechte aanleiding gezien met toepassing van artikel 8:72, vijfde lid, van de Awb ten aanzien van de minuten een voorlopige voorziening te treffen en te bepalen dat de minister afschriften daarvan aan [wederpartij] dient te verstrekken."

Lees de uitspraak hier (link) of hier (pdf).

Het College Bescherming Persoonsgegevens heeft op 31 januari 2011 haar beleidsregels voor handhaving gepubliceerd. Het CBP geeft in de beleidsregels aan dat het prioriteit geeft aan zaken waarbij het een vermoeden heeft van ernstige, structurele overtredingen die veel mensen treffen (cumulatief) en waarbij het CBP door de inzet van handhavingsinstrumenten effectief verschil kan maken. De beleidsregels vindt u hier, het persbericht op de website van het CBP hier.

Benjamin Docquir (Simont Braun) wees ITenRecht.nl op een artikel uit Emerce waarin staat dat Internetbedrijven niet expliciet toestemming hoeven te vragen om cookies op iemands computer te mogen plaatsten. Dat zou blijken uit een vertrouwlijk rapport van de Europese Commissie. Het rapport zou vorige week zijn verzonden aan de Europese lidstaten en kwam in handen van de Wall Street Journal. De krant meldt vanochtend dat Europa geen zware technische eisen aan het bedrijfsleven stelt, maar de voorkeur geeft aan zelfregulering. Het document is bedoeld om enige sturing te geven aan de Europese landen over de uitleg van een richtlijn. Eerder berichtte ITenRecht.nl dat de Artikel 29 Werkgroep van mening was dat opt-in wèl noodzakelijk was, zie IT nr 9.

Een dienstverlener biedt abonnementen aan voor het downloaden van games, ringtones of het gebruik van msn. Het abonnement kost  € 9 per week en om dat te incasseren stuurt dienstverlener 6 SMS-jes à € 1,50 per week. Berichten als “Veel plezier met een extra week msn op je mobiel. Maak er gebruik van!”. Is hier sprake van spam? OPTA is vindt van wel, het College van Beroep voor het bedrijfsleven vindt (voorlopig) van niet. OPTA legt toch een boete op van € 550.000, zo werd eind vorige week bekend.

U vindt het persbericht van OPTA en haar besluiten hier.

U vindt de uitspraak van het College van Beroep voor het bedrijfsleven hier.

Het persbericht van de bewuste aanbieder SD&P vindt u hier.

Volgens het persbericht van SD&P bereidt zij een "rechtszaak en schadeclaim voor tegen de OPTA inzake opgelegde boete." Een zaak om met interesse te blijven volgen. Hoe vaak komt het niet voor dat het verzenden van (wervende) berichten wordt gegoten in een overeenkomst en dus (mede) onderwerp is van de dienst?

Artikel 29 Werkgroep, WP 179, Opinie 8/2010 inzake toepasselijk recht. De praktijk worstelt met de vraag welk recht van toepassing is op verwerking van persoonsgegevens in internationale context. De Werkgroep heeft de volgende mening (p. 2):

"With regard to Article 4(1)a, the reference to "an" establishment means that the applicability of a Member State's law will be triggered by the location of an establishment of the controller in that Member State, and other Member States’ laws could be triggered by the location of other establishments of that controller in those Member States. To trigger the application of the national law, the notion of the "context of activities" of the establishment is decisive. It implies that the establishment of the controller is involved in activities implying the processing of personal data, taking into consideration its degree of involvement in the processing activities, the nature of the activities and the need to guarantee effective data protection."

Dit kan als volgt uitwerken (p. 13):

"In the third scenario, the controller is established in Austria and outsources the processing to a processor in Germany. The processing in Germany is in the context of the activities of the controller in Austria. That is to say, the processing is carried out for the business purposes of, and on instructions from the Austrian establishment. Austrian law will be applicable to the processing carried out by the processor in Germany. In addition, the processor will be subject to the requirements of German law in relation to the security measures it is obliged to put in place in connection with the processing. Such arrangements would require coordinated supervision by the German and Austrian DPAs."

Tot slot doet de Artikel 29 Werkgroep de suggestie om de wetgeving als volgt aan te passen (p. 31):

"[...] The Working Party considers that Article 4(1)a as it stands now leads to a workable but sometimes complex solution, which seems to argue in favour of a more centralised and harmonised approach.

c. The change envisaged in order to simplify the rules for determining applicable law would consist of a shift back to the country of origin principle: all establishments of a controller within the EU would then apply the same law regardless of the territory in which they are located. In this perspective, the location of the main establishment of the controller would be the first criterion to be applied. The fact that several establishments exist within the EU would not trigger a distributed application of national laws."

De (Engelstalige) opinie vindt u hier als pdf of via deze link.

Voor een interessante discussie over toepasselijk recht tussen Lokke Moerel en het Cbp, zie Computerrecht 2008, 61, 168 en 169.

Update 10/1/2010: Zie ook dit interessante artikel van Lokke Moerel d.d. 23 december 2010 (pdf of link), met de makkelijke titel: "The long arm of EU data protection law: Does the Data Protection Directive apply to processing of personal data of EU citizens by websites worldwide?", International Data Privacy Law, 2011.