Privacy  

Ktr. Rechtbank Rotterdam 25 april 2014, IT 1882; ECLI:NL:RBROT:2014:3975 (eiser tegen Stichting Waterweg Wonen)
Privacy. Camerasysteem. De verhouding tussen eiser en Familie B is niet goed. Eiser wil dat Waterweg Wonen het camerasysteem van Familie B verplaatst zodat de voordeur van eiser niet via het camerasysteem kan worden bekeken en de persoonlijke gegevens van eiser uit het camerasysteem verwijdert. Er is geen sprake van ongeoorloofde inbreuk op de privacy van eiser. Als daarvan al sprake zou zijn, dan gaat het om een zodanig beperkte inbreuk dat het belang van het plaatsen van het camerasysteem (vergroten van veiligheid), moet prevaleren boven het belang van eiser. Er kan namelijk niet worden gezegd dat Familie B daadwerkelijk de voordeur van eiser in de gaten houdt. Als daarvan wel sprake zou zijn, dan hoeft dat niet te betekenen dat het via het camerasysteem gaat. Eiser heeft immers ook aangegeven dat de buurvrouw het dichtdoen van zijn voordeur kan horen. Eiser kan daarnaast zelf eenvoudig gegevens uit het camerasysteem verwijderen.

4.2 De kantonrechter overweegt als volgt. Over de werking van het camerasysteem heeft Waterweg Wonen aangevoerd dat het hoofdzakelijk is gericht op de voordeur van de bewoner zelf, dat het niet mogelijk is in de woning van de buren te kijken, dat het niet filmt, dat het automatisch een foto maakt van de bezoeker die aanbelt, maar dat de bewoner niet zelf foto’s kan maken. Nog daargelaten dus of de buren met het camerasysteem ook de voordeur van [eiser] goed kunnen zien, kan niet worden vastgesteld dat zij die voordeur daadwerkelijk in de gaten houden. [eiser] heeft in dat verband aangegeven dat het voorkomt dat de buurvrouw achter hem aangaat, zodra hij de woning heeft verlaten. In het midden latende of de buurvrouw dat inderdaad doet, hoeft het in ieder geval niet te betekenen dat zij hem via het camerasysteem heeft gezien. [eiser] heeft namelijk ook heeft aangegeven dat de buurvrouw het dichtdoen van zijn voordeur kan horen.

4.5 [eiser] vordert verder verwijdering van zijn persoonlijke gegevens uit het camerasysteem. In dit verband heeft Waterweg Wonen, onder overlegging van de handleiding, aangevoerd dat indien [eiser] geen gebruik wil maken van de door het camerasysteem geboden mogelijkheid van video-bellen met medebewoners en ook niet wil dat zijn gegevens voor andere bewoners zichtbaar zijn, hij deze gegevens zelf eenvoudig uit het camerasysteem kan verwijderen. Nu [eiser] deze stellingname niet heeft weersproken, wordt uitgegaan van de juistheid daarvan. Dit brengt de kantonrechter tot het oordeel dat [eiser] geen belang heeft bij dit deel van de vordering, wat daarvan verder ook zij.

Vzr. Rechtbank Noord-Holland 24 september 2015, IT 1881; ECLI:NL:RBNHO:2015:8098 (Triple C Au Pair e.a. tegen Else Globe B.V.)
Rechtspraak.nl: Nakoming overeenkomst (SLA). Gedaagde (ontwikkelaar van app) heeft aan eiseres (een au pair bemiddelingsbureau) de toegang tot de beheersfunctionaliteiten van de app ontzegd, waardoor eiseres haar community van au pairs niet meer kan bereiken. Geschil tussen partijen over het ondertekenen van een Service Level Agreement waarin gedaagde aanspraak maakt op eigenaarschap van de gebruikersdata en aan eiseres beperkingen oplegt in het gebruik van gebruikersdata. Ordemaatregelen getroffen. Vordering tot het verlenen van toegang aan eiseres tot het dashboard toegewezen, alsmede om eiseres in staat te stellen oneigenlijk gebruik van de app te bestrijden, alsmede een verbod aan gedaagde om berichten naar de gebruikers van de app te sturen die niet tevoren met eiseres zijn afgestemd, een en ander op straffe van een dwangsom.

2 Uitgangspunten

2.1. Triple C is een au pair bemiddelingsbureau. Zij is in mei 2014 tijdens de Australian Youth Tourism Exchange-conferentie in Sydney in contact gekomen met Else, die daar aanwezig was voor de promotie van haar app.

2.2. Else ontwikkelt sinds 2009 een computerprogramma en sinds 2014 een app waarmee jonge rugzaktoeristen (backpackers) onderling contact kunnen houden. De backpackers-app van Else kan gratis worden gedownload. Else verdient haar investeringen in deze app terug door de gebruikers aan de hand van hun persoonsgegevens te categoriseren en vervolgens aan commerciële derde partijen de mogelijkheid aan te bieden om via Else commerciële berichten naar gebruikers te versturen. Teneinde voldoende gebruikers te krijgen die haar app downloaden sluit Else overeenkomsten met zogenaamde ‘brand partners’. Dit zijn meestal reisorganisaties. Brand partners beschikken over een klanten- of relatiebestand van potentiële gebruikers. De app van Else wordt dan ‘gebrand’ (gemerkt) overeenkomstig de huisstijl van de brand partner. Dit kost enkele honderden euro’s. De brand partners kunnen op deze wijze de app tegen lage kosten aanbieden aan hun klanten.

2.3. Triple C heeft medio 2014 aan Else opdracht gegeven om een app te realiseren waarmee au pairs contact met elkaar kunnen leggen en een sociaal netwerk kunnen opbouwen in het land waar ze verblijven. Ook wilde Triple C via deze app informatie aan de au pairs toezenden over culturele uitjes en andere informatie ter bevordering van hun culturele uitwisseling.

2.6. Else heeft op 31 augustus 2014 een offerte aan Triple C toegezonden. In de offerte wordt een totaalbedrag van € 2.395,- voor de realisatie van de au-pair app vermeld, alsmede dat de kosten voor updates € 29,- per maand bedragen vanaf de beschikbaarheid van de au pair-app in de Androidstore en Appstore. Triple C heeft de offerte op 11 september 2014 ondertekend en geretourneerd.

2.9. Op 10 november 2014 is de au pair-app in gebruik genomen. Inmiddels maken ongeveer 2000 au pairs gebruik van de app. Dit betreft voornamelijk jonge vrouwen met een gemiddelde leeftijd tussen de 18 en 25 jaar. Sinds november 2014 heeft Triple C tientallen oneigenlijke gebruikers, voornamelijk mannen, geïdentificeerd. Deze zijn op verzoek van Triple C door Else van de app verwijderd.

2.12. Tussen partijen is een geschil ontstaan over de SLA, dat Else in verschillende varianten ter ondertekening aan Triple C heeft voorgelegd. Partijen zijn daar niet uitgekomen. Else heeft op 20 april 2015 Triple C de toegang tot het dashboard van de app ontzegd, waardoor Triple C haar gebruikersgroep en hun gegevens niet meer kan bereiken.

2.13. Triple C heeft Else bij e-mail van 24 april 2015 om opheldering gevraagd, in gebreke gesteld en gesommeerd om haar onmiddellijk toegang tot de app te verlenen. Else heeft hier geen gehoor aan gegeven.

4 De beoordeling

4.2. Blijkens de e-mailwisseling van 24 juli 2014 en 29 juli 2014 is tussen partijen van meet af aan gesproken over het exclusieve beheer van de au pair-app, onder meer over de toegang tot de gebruikersgroep en de gebruikersgegevens. Else schrijft daarover letterlijk aan Triple C dat zij toegang krijgen tot de gegevens zoals zij worden ingevoerd binnen de app en dat de branded app in principe de app van Triple C is, met toegang tot haar gebruikers.

4.8. Het heeft er alle schijn van dat Else tijdens het traject met Triple C veel meer uit handen heeft gegeven dan zij later wilde, toen zij steeds meer mogelijkheden voor haar eigen app zag op basis van de input en wensen van Triple C, en dat zij toen heeft getracht haar positie tegenover Triple C te verstevigen. Else heeft betoogd dat zij aan al haar branded partners een SLA voorlegt die qua privacy policy en terms of use luiden als de SLA’s die aan Triple C zijn voorgelegd, maar Else heeft daarvan geen enkel exemplaar in het geding gebracht. Ook gaat Else eraan voorbij dat er in dit geval geen sprake meer was van een standaard branded app, maar een app die afweek van de app die zij tot mei 2014 aan haar klanten aanbood. De au pair-app betrof een in samenwerking met Triple C door-ontwikkelde dan wel omgebouwde app.

4.9. De Lissabon-SLA voldoet op zich aan de wens van Triple C om te komen tot het exclusieve beheer van de app (daarbij stuurt Else geen berichten meer door aan de gebruikers, zodat partijen geen discussie zullen krijgen over de relevantie van de berichten voor de au pairs) maar daar hangt een prijskaartje aan. Gezien het feit dat de au pair-app inmiddels al een community van 2000 gebruikers heeft (dankzij de promotie van Triple C) zal Triple C daarvoor nu maandelijks 5 keer zoveel voor de app moeten betalen dan zij thans doet. Dat strookt niet met de doelstelling van Triple C, die de app anders dan Else niet gebruikt voor commerciële doeleinden. En dat strookt ook niet met afspraken tussen partijen waarbij Triple C al toegang tot de gebruikers en de gebruikersgegevens zou krijgen, wat later via het dashboard is gerealiseerd.

4.10. Thans probeert Else Triple C in feite te dwingen tot het ondertekenen van de WYSTC-SLA dan wel de Lissabon-SLA, door haar de toegang tot het dashboard te onthouden. Onder voornoemde omstandigheden staat haar dat echter niet vrij. Daarom zal de voorzieningenrechter de onderhavige ordemaatregelen treffen.

4.11. Else dient Triple C onmiddellijk weer de toegang tot het dashboard te verschaffen op de wijze vóór de afsluiting. Ter zitting is van de zijde van Else toegezegd dat zij dat zou doen, mede gelet op de schikkingsonderhandelingen tussen partijen. Triple C heeft nadien niet aangegeven dat zij (nog steeds) geen toegang (meer) heeft, zodat de voorzieningen-rechter ervan uitgaat dat Else zich aan haar toezegging heeft gehouden. Zekerheidshalve zal de voorzieningenrechter de vordering van Triple C desalniettemin toewijzen.

4.12. De vordering tot het in staat stellen van Triple C tot het zelf bestrijden van oneigenlijk gebruik van de app zal eveneens worden toegewezen. Gesteld noch gebleken is dat dat technisch onmogelijk is terwijl het voor Triple C gelet op de kwetsbaarheid van de au pairs van groot belang is dat voortvarend tegen oneigenlijk gebruik wordt opgetreden. Indien dat door tussenkomst van Else moet plaatsvinden gaat dat kennelijk niet snel genoeg. Else schermt in dit verband met de privacy policy en de Wet bescherming persoonsgegevens, maar vooralsnog is onduidelijk in hoeverre dat in de weg staat aan het door Triple C bestrijden van oneigenlijk gebruik, nu zij op grond van de afspraken tussen partijen al in vergaande mate toegang heeft tot de gegevens die door de gebruikers worden ingevoerd in de app.

4.13. De vordering van Triple C om Else te verbieden om berichten van commerciële derde partijen te sturen aan de gebruikers van de au pair-app zal worden toegewezen als na te melden, als een minder verstrekkende variant van het gevorderde. Triple C heeft erkend dat zij wist van het verdienmodel van Else en dat zij heeft ingestemd met het zenden van commerciële berichten. Zij kan thans in redelijkheid niet verwachten dat de berichtgeving door Else in zijn geheel wordt gestaakt. Echter, nu Else zelf stelt dat voorkomen dient te worden dat aan de gebruikers van de au pair-app ongepaste aanbiedingen worden gedaan of dat de gebruikers de app als een irritant reclamekanaal ervaren, is het niet onredelijk van Triple C dat zij zeggenschap wil hebben over de frequentie en de aard van de berichten die Else stuurt. Partijen dienen daarover in overleg te treden, waarbij Triple C zich coulant dient op te stellen.

5 De beslissing

De voorzieningenrechter:

5.1. veroordeelt Else om binnen één dag na betekening van dit vonnis aan Triple C vrije toegang te verlenen tot het dashboard van de Au Pairs Around app;
5.2. veroordeelt Else om binnen één week na betekening van dit vonnis Triple C in staat te stellen om zonder tussenkomst van Else oneigenlijk gebruik van de Au Pairs Around app te bestrijden;
5.3. bepaalt dat Else een dwangsom verbeurt van € 1.000,- voor ieder(e) dag(deel) dat Else in gebreke blijft met de nakoming van de veroordelingen onder 5.1. en 5.2., met een maximum van € 25.000,-;
5.4. verbiedt Else berichten te sturen aan de gebruikers van de Au Pairs Around app die niet tevoren in redelijk overleg met Triple C zijn afgestemd, op straffe van verbeurte van een dwangsom van € 200,- voor iedere keer dat zij dit verbod overtreedt, met een maximum van € 5.000,-;
5.5. veroordeelt Else in de proceskosten, tot op heden aan de zijde van Triple C begroot op
€ 707,19 aan verschotten en op € 816,- voor salaris advocaat;
5.6. verklaart dit vonnis uitvoerbaar bij voorraad;
5.7. wijst af het meer of anders gevorderde.

HvJEU 1 oktober 2015, IT 1879; C-201/14 (Smaranda Bara e.a./Președintele Casei Naționale de Asigurări de Sănătate e.a.)
Uit het persbericht: De richtlijn betreffende de verwerking van persoonsgegevens (red. Richtlijn 95/46/EG) regelt de verwerking van persoonsgegevens wanneer deze zich in een gegevensbestand bevinden of zullen bevinden. Smaranda Bara en verschillende andere Roemeense burgers zijn zelfstandigen. De Roemeense belastingdienst heeft de gegevens betreffende hun aangegeven inkomsten overgedragen aan het nationale socialezekerheidsfonds, dat vervolgens betaling heeft gevorderd van achterstallige bijdragen aan het ziekteverzekeringsstelsel. De betrokkenen betwisten voor het Curtea de Apel Cluj (hof van beroep te Cluj, Roemenië) dat deze overdracht wettig is uit het oogpunt van de richtlijn. Zij zijn van mening dat hun gegevens zijn gebruikt  voor andere doeleinden dan die waarvoor ze oorspronkelijk zijn meegedeeld aan de belastingdienst, zonder daarover op voorhand te zijn geïnformeerd. Het Hof oordeelt dat het recht van de Unie in de weg staat aan de overdracht en verwerking van persoonsgegevens tussen twee overheidsinstanties van een lidstaat zonder dat de betrokken en daarover op voorhand werden geïnformeerd.

Lees hier het volledige persbericht.

HvJ EU 6 oktober 2015, IT 1878; ECLI:EU:C:2015:650; C-362/14 (Maximillian Schrems/Data Protection Commissioner)
Safe harbour. Uit het persbericht: Het Hof verklaart de beschikking van de Commissie dat de Verenigde Staten een passend niveau van bescherming van doorgegeven persoonsgegevens waarborgen, ongeldig. Terwijl het Hof als enige bevoegd is om een handeling van de Unie ongeldig te verklaren, mogen de nationale toezichthouders waarbij een verzoek is ingediend, ook wanneer er een beschikking van de Commissie is waarbij wordt vastgesteld dat een derde land waarborgen voor een passend niveau van bescherming van de persoonsgegevens biedt, onderzoeken of de doorgifte van de gegevens van een persoon naar dat land voldoet aan de vereisten van de Unieregelgeving over de bescherming van deze gegevens en zich, zoals de betrokkene, tot de rechter wenden met het oog op een prejudiciële verwijzing om de geldigheid van die beschikking te laten onderzoeken

Op andere blogs:
IViR
Ius Mentis
CBP
Mediareport

Prejudiciële vragen aan HvJ EU 1 oktober 2015, zaak C-201/14 (Smaranda Bara tegen Presedintele Casei Nationale de Asigurari de Sanatate)
Prejudiciële verwijzing. Verwerking persoonsgegevens. De prejudiciële beslissing betreft de uitleg van art. 124 VWEU en art. 10,11 en 13 van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Het Hof verklaart voor recht: Dat de artikelen 10,11 en 13 van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer moeten worden uitgelegd dat nationale maatregelen, zoals die welke in het hoofdgeding, een overheidsinstantie van een lidstaat toestaan om persoonlijke gegevens door te geven aan een andere overheidsdienst en daaropvolgende behandeling, zonder dat de betrokkenen op de hoogte zijn van deze transmissie of behandeling.

Sur les dépens
47      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (troisième chambre) dit pour droit:
Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.

Ktr. Rechtbank Oost-Brabant 7 augustus 2015, IT 1871; ECLI:NL:RBOBR:2015:4762 (Ondernemingsraad Hermes tegen Hermes Groep)
Arbeidsrecht. Cameratoezicht. Hermes zet sinds 2010 af en toe Mystery Guests (anonieme rijinstructeurs) in op ritten. De desbetreffende chauffeur wordt dan beoordeeld op 51 punten betreffende het gedrag en rijvaardigheid. Daarnaast worden hier camerabeelden van gemaakt. De kantonrechter oordeelt dat de video-opnames niet als bewijs mogen dienen omdat het Reglement dat Hermes heeft opgesteld een te ruime uitleg geeft aan de Regeling Cameratoezicht van Connexxion. De ondernemingsraad krijgt gelijk: de camerabeelden mogen slechts worden gebruikt als bewijs wanneer ze onderdeel zijn van een formele aangifte van een misdrijf of betrokkenheid daarbij en/of justitie/politie die beelden heeft opgevraagd. Hermes moet het gebruik van de beelden staken wanneer het doel 'ter observatie van houding en gedrag' is. Daarnaast is het besluit tot inzet van Mystery Guests niet instemmingsplichtig op grond van art. 27 lid 1 sub g WOR. 

3.9.5. Op grond van het voorgaande is, naar het oordeel van de kantonrechter, voldoende komen vast te staan dat het beoordelen van een chauffeur van Hermes door rijinstructeurs aan de hand van het als productie 1 bij het verzoekschrift overgelegde beoordelingsformulier geschiedt op basis van beslissingen van Hermes die incidentele situaties betreffen en die buiten de geldende, met instemming van de OR tot stand gekomen regeling ten aanzien van de personeelsbeoordeling van Hermes vallen. Dat was ook al zo in de situatie vóór 2010. De slotsom is derhalve dat het in 2010 genomen besluit van Hermes om rijinstructeurs in de hiervoor genoemde gevallen ook anoniem als Mystery Guest in te zetten, geen besluit betreft dat de vaststelling, of wijziging of intrekking van een regeling als bedoeld in artikel 27 lid 1 sub g WOR tot doel heeft. De door de OR verzochte verklaring voor recht en het verbod zijn dan ook niet toewijsbaar.

3.17. Naar het oordeel van de kantonrechter miskent Hermes met haar uitleg dat de Regeling Cameratoezicht reeds voorschrijft bij welke incidenten de camerabeelden rechtspositioneel tegen medewerkers kunnen worden gebruikt, namelijk slechts als onderdeel van een formele aangifte van een misdrijf of betrokkenheid daarbij en/of politie/justitie de beelden heeft opgevraagd. Door Hermes is niet weersproken dat de desbetreffende passage na uitvoerig overleg met de COR in de Regeling Cameratoezicht is opgenomen. Voor zover Hermes meent ook buiten deze gevallen de beelden rechtspositioneel tegen haar medewerkers te kunnen gebruiken, bijvoorbeeld na een klacht over het tijdens het rijden door een chauffeur bedienen van een smartphone geeft Hermes naar het oordeel van de kantonrechter een te ruime uitleg aan de regeling. De verwijzing naar het doel van de Regeling Cameratoezicht en haar zorgplicht als vervoerder kan Hermes daarbij niet baten. Zonder toelichting valt niet in te zien dat het doel van de regeling en de zorgplicht van Hermes in het gedrang kunnen komen door een juiste toepassing van de in die regeling opgenomen rechtspositionele bescherming van haar chauffeurs. De verwijzing naar de ontbindingsprocedure bij de kantonrechter te Arnhem kan Hermes evenmin baten. De vraag die in die procedure door de kantonrechter beantwoord moest worden, namelijk of de camerabeelden als (onrechtmatig verkregen) bewijs dienden te worden uitgesloten, was een andere dan de vraag die in de onderhavige procedure aan de orde is en kan aan het hiervoor overwogene daarom niet af doen.

3.18. De conclusie van het voorgaande is dat Hermes de Regeling Cameratoezicht te ruim uitlegt zodat het door de OR verzochte verbod toewijsbaar is.

Andere blogs:
ICTarbeidsrecht

Conclusie AG HvJ EU 23 september 2015, IT 1868; C-362/14 (Maximillian Schrems/Data Protection Commissioner)
Uit het perscommuniqué: Volgens advocaat-generaal Bot mogen nationale autoriteiten de doorgifte van gegevens van Europese Facebookgebruikers aan servers in de VS opschorten, niettegenstaande de beschikking van de Commissie dat de VS een passend niveau van bescherming van persoonsgegevens bieden. De advocaat-generaal is bovendien van mening dat deze beschikking ongeldig is. Conclusie:

Article 28 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, read in the light of Articles 7 and 8 of the Charter of Fundamental Rights of the European Union, must be interpreted as meaning that the existence of a decision adopted by the European Commission on the basis of Article 25(6) of Directive 95/46 does not have the effect of preventing a national supervisory authority from investigating a complaint alleging that a third country does not ensure an adequate level of protection of the personal data transferred and, where appropriate, from suspending the transfer of that data.

Commission Decision 2000/520/EC of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the Department of Commerce of the United States of America is invalid.

Gestelde vragen:

Wanneer bij een onafhankelijke ambtsdrager, aan wie bij de wet de toepassing en de uitvoering van de wetgeving inzake gegevensbescherming is opgedragen, een klacht wordt ingediend dat persoonsgegevens worden doorgegeven aan een derde land (in casu de Verenigde Staten van Amerika) waarvan het recht en de praktijk volgens de klager de betrokkenen geen passende bescherming bieden, is die ambtsdrager dan absoluut gebonden aan de communautaire bevinding van het tegendeel [in de beschikking van de Commissie van 26 juli 2000 (2000/520/EG1 )], gelet op de artikelen 7, 8 en 47 van het Handvest van de grondrechten van de Europese Unie (PB 2000/C 364/012 ), niettegenstaande artikel 25, lid 6, van richtlijn 95/46/EG3 ?

Of kan en/of moet de ambtsdrager overgaan tot een eigen onderzoek van de zaak in het licht van de feitelijke ontwikkelingen die zich sinds de bekendmaking van die Commissiebeschikking hebben voorgedaan?

Het College bescherming persoonsgegevens (CBP) heeft vandaag de conceptrichtsnoeren over de nieuwe meldplicht datalekken gepubliceerd. Belanghebbenden kunnen gedurende 4 weken reageren op deze conceptversie van de richtsnoeren. De meldplicht datalekken houdt in dat organisaties die persoonsgegevens verwerken een melding moeten doen bij de privacytoezichthouder zodra zich een ernstig datalek voordoet. Als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor betrokkenen zal de organisatie ook hen moeten informeren. De meldplicht datalekken geldt met ingang van 1 januari 2016.

Datalek
Bij een datalek is sprake van een inbreuk op de beveiliging waardoor persoonsgegevens zijn blootgesteld aan verlies of onrechtmatige verwerking. Onder een datalek valt dus niet alleen het vrijkomen (lekken) van persoonsgegevens, maar ook vernietiging daarvan en andere vormen van onrechtmatige verwerking.

Voorbeelden van datalekken
Voorbeelden van datalekken zijn: een kwijtgeraakte USB-stick met persoonsgegevens, een gestolen laptop of een inbraak in een databestand.

Melden of niet?
Of organisaties verplicht zijn om een melding van een datalek te doen, hangt af van de ernst van het datalek. De ernst wordt onder meer bepaald door het soort persoonsgegevens dat is gelekt. Een datalek moet volgens de wet bij de toezichthouder worden gemeld als dit “leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens”. In sommige gevallen moeten organisaties het datalek ook melden aan de betrokkenen. Dit zijn de mensen van wie persoonsgegevens worden verwerkt. Zij moeten worden geïnformeerd als een datalek “waarschijnlijk ongunstige gevolgen zal hebben” voor hun persoonlijke levenssfeer.

Richtsnoeren meldplicht datalekken
De richtsnoeren zijn bedoeld om organisaties te helpen bij het bepalen of sprake is van een datalek dat zij moeten melden bij de toezichthouder en eventueel aan de betrokkenen.

Consultatie richtsnoeren
Het CBP nodigt belanghebbenden uit om in de komende 4 weken op de nu gepubliceerde conceptversie te reageren. Het CBP zal rekening houden met deze reacties in de definitieve versie van de richtsnoeren. Reacties op de richtsnoeren kunnen worden ingezonden via consultatiedatalekken@cbpweb.nl.

Autoriteit Persoonsgegevens
De definitieve versie van de richtsnoeren treedt op 1 januari 2016 in werking. Vanaf die datum heeft het CBP ook een nieuwe naam: Autoriteit Persoonsgegevens. Eventuele datalekken zullen dan ook bij de Autoriteit Persoonsgegevens moeten worden gemeld. De Autoriteit Persoonsgegevens kan organisaties een boete geven als zij een datalek ten onrechte niet melden. De maximale boete is € 810.000.

Meer informatie
Zie meldplicht datalekken voor meer informatie over de nieuwe meldplicht datalekken.

Lees het persbericht hier,
Zie eerder bericht [IT 1839].

EHRM 3 september 2015, IT 1861, nr. 27013/10 (Affaire Sérvulo & Associados, Sociedade de advogados tegen Portugal)
Inbeslagname bestanden. Volgens het EHRM is er geen schending van art. 8 (recht op eerbiediging van het privé- en gezinsleven) van het Europees Verdrag voor de Mensenrechten. De zaak betrof het onderzoek van advocatenkantoren en de inbeslagname van computerbestanden en emailberichten, tijdens een onderzoek naar vermoedelijke corruptie, het witwassen van geld in verband met de aankoop door de Portugese regering van twee onderzeeërs van een Duits consortium. Het hof constateerde dat de procedurele waarborgen in acht zijn genomen om misbruik en willekeur te voorkomen.

119. Au vu des observations qui précèdent, la Cour estime qu’en dépit de l’étendue des mandats de perquisition et saisie, les garanties offertes aux requérants pour prévenir les abus, l’arbitraire et les atteintes au secret professionnel des avocats, en particulier le contrôle du juge d’instruction complété par l’intervention du président de la cour d’appel au titre de l’article 72 du statut de l’Ordre des avocats, ont été adéquates et suffisantes. La perquisition et la saisie des documents informatiques et messages électroniques dénoncées en l’espèce n’a donc pas porté une atteinte disproportionnée au but légitime poursuivi.

120. Partant, il n’y a pas eu violation de l’article 8 de la Convention.

Hof Den Haag 1 september 2015, IT 1860; ECLI:NL:GHDHA:2015:2332 (verzoeker tegen KPN Callfactory per 14 september 2010 ontbonden, activiteiten voortgezet door KPN en per 1 juli 2014 door CM Group)
Wet bescherming persoonsgegevens. Artikel 46 Wbp brengt niet mee dat in een procedure op de voet van deze bepaling in hoger beroep, het beroepschrift moet worden ingediend door een advocaat. Dat het beroepschrift van verzoeker niet door een advocaat is ingediend doch door hemzelf, staat dus niet in de weg aan de ontvankelijkheid van het beroep. Ingevolge art. 46 Wbp kan een belanghebbende zich bij verzoekschrift wenden tot de rechter met een verzoek ex. artikel 30 lid 3, 35, 36 of 38 lid 2 dan wel een verzet als bedoeld in art. 40, 41. Artikel 49 Wbp, over schadevergoeding, wordt in die opsomming niet genoemd. Proceseconomie en effectiviteit van de Wbp brengen mee dat een verzoek tot schadevergoeding (ook) kan worden meegenomen in de verzoekschriftprocedure ex art. 46 Wbp. Het hoger beroep van verzoeker slaagt en schadevergoeding wordt toegewezen.

5. Ambtshalve overweegt het hof dat artikel 46 Wbp niet meebrengt dat, in een procedure op de voet van deze bepaling in hoger beroep, het beroepschrift moet worden ingediend door een advocaat (in dezelfde zin Gerechtshof Amsterdam 5 juli 2011, ECLI:NL:GHAMS:2011:BR3020). Dat het beroepschrift van [verzoeker] niet door een advocaat is ingediend doch door hemzelf, staat dus niet aan de ontvankelijkheid van zijn beroep in de weg.

17. Het hof overweegt als volgt. Ingevolge artikel 46 Wbp kan een belanghebbende zich bij verzoekschrift wenden tot de rechter met een verzoek ex artikel 30 lid 3, 35, 36 of 38 lid 2 dan wel een verzet als bedoeld in artikel 40 of 41. Artikel 49 Wbp, over schadevergoeding, wordt in die opsomming niet genoemd.
Artikel 49 Wbp is grotendeels overgenomen uit artikel 9 Wet persoonsregistraties (Stb. 1988, 665; hierna WPR), de voorganger van de huidige Wbp (Kamerstukken II 1997-1998, 25 892, nr. 3, p. 176). (...) Het voorgaande in aanmerking nemende, moet naar het oordeel van het hof worden aangenomen dat proceseconomie en effectiviteit van de Wbp meebrengen dat een verzoek tot schadevergoeding (ook) kan worden meegenomen in de verzoekschriftprocedure ex artikel 46 Wbp.

19. Uit het vorenstaande volgt dat het hoger beroep van [verzoeker] slaagt. Het hof zal de bestreden beschikking vernietigen en, opnieuw rechtdoende, het verzoek van [verzoeker] tot schadevergoeding toewijzen. KPN zal als de in het ongelijk te stellen partij worden veroordeeld in de kosten van de beide instanties. Het gaat daarbij alleen om griffierechten, [verzoeker] heeft zich immers niet laten bijstaan door een advocaat. De proceskostenveroordeling zal uitvoerbaar bij voorraad worden verklaard, zoals door [verzoeker] gevorderd. De vernietiging van de beschikking brengt mee dat voor zover [verzoeker] de proceskosten van het geding in eerste aanleg aan KPN heeft voldaan, KPN deze aan [verzoeker] zal moeten terugbetalen.