Privacy  

Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp.
1. Strekking van het wetsvoorstel
2. Beleidsmatige achtergrond
2.1 Verhouding met voorstel Algemene verordening gegevensbescherming
3. Algemene aspecten van de meldplicht

3.1 Inbreuk op beveiligingsmaatregelen
3.2 Beslismodel meldplicht Wbp
3.3 Verhouding verantwoordelijke voor de verwerking en bewerker
4. Verhouding tot andere rechtsgebieden
4.1 Verhouding tot specifieke meldplicht op grond van de Telecommunicatiewet
4.2 Rol van het Cbp
4.3 Verhouding tot meldplicht incidenten Wet op het financieel toezicht
5. Sanctionering

HvJ EU 11 december 2014, IT 1653, zaak C-212/13 (Ryneš) - dossier
Uit het perscommuniqué: De richtlijn betreffende de bescherming van persoonsgegevens is van toepassing op video-opnames die worden gemaakt met behulp van een bewakingscamera die door een persoon aan zijn huis is bevestigd en op de openbare weg is gericht. De richtlijn laat het echter toe rekening te houden met het gerechtvaardigde belang van deze persoon tot bescherming van zijn eigendom, zijn gezondheid en zijn leven, alsook ook die van zijn familie.

Vraag:

Kan de werking van een camerasysteem dat is gemonteerd op een gezinswoning, met als doel de bescherming van eigendom, gezondheid en leven van de eigenaars van het huis, worden aangemerkt als het verwerken van persoonsgegevens „die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht” in de zin van artikel 3, lid 2, van richtlijn 95/46/EG1 ofschoon dit systeem ook een openbare ruimte in beeld brengt?

Antwoord:

"The second indent of Article 3(2) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as meaning that the operation of a camera system, as a result of which a video recording of people is stored on a continuous recording device such as a hard disk drive, installed by an individual on his family home for the purposes of protecting the property, health and life of the home owners, but which also monitors a public space, does not amount to the processing of data in the course of a purely personal or household activity, for the purposes of that provision."

CBb 26 november 2014, ECLI:NL:CBB:2014:446 (appellante tegen AFM)
Boete wegens bemiddelen zonder vergunning; doorsturen van leads via website. Indien door de consument een keuze wordt gemaakt voor een bepaalde aanbieder worden de ingevulde gegevens (de ‘lead’) verzonden naar een digitale ruimte op een server die appellante huurt en onderverhuurt aan de desbetreffende aanbieder of bemiddelaar. De aanbieder kan vervolgens tegen betaling de door de consument achtergelaten gegevens ophalen. Indien geen bepaalde aanbieder wordt gekozen door de consument, wordt de lead naar een digitale verzamelplaats verzonden. De aanbieders kunnen vervolgens op hun eigen gehuurde digitale ruimte of op de verzamelplaats inloggen om, als zij dat willen, de lead(s) tegen betaling te downloaden.

De rechtbank is terecht tot het oordeel gekomen dat de activiteiten van appellante aan te merken zijn als bemiddelen in de zin van artikel 1:1 Wft en AFM de bevoegdheid heeft om appellante een boete op te leggen wegens overtreding van artikel 2:80, eerste lid, Wft.

3.4. Wat betreft de vraag of de activiteiten van appellante kunnen worden aangemerkt als bemiddelen in de zin van artikel 1:1 Wft overweegt het College dat op grond van vaste jurisprudentie (zie onder meer de uitspraak van het College van 11 februari 2013, ECLI:NL:CBB:2013:BZ1866) sprake moet zijn van inhoudelijke betrokkenheid bij de totstandkoming van het financiële product. Op grond van de niet door appellante betwiste feiten is het College van oordeel dat haar activiteiten gericht waren op het tot stand brengen van overeenkomsten tussen aanbieders van (hypothecair) krediet en consumenten. De activiteiten van appellante behelsden immers het als lead doorsturen van niet alleen de NAW-gegevens van de consumenten, maar ook van andere gegevens, waaronder de geboortedatum, die relevant zijn voor het afsluiten van een (hypothecaire) lening. De feiten in de voorliggende zaak en hetgeen door appellante in hoger beroep is aangevoerd vormen voor het College geen aanleiding anders te oordelen dan in eerdere zaken is gedaan.
Gelet hierop is de rechtbank terecht tot het oordeel gekomen dat de activiteiten van appellante in de periode in geding zijn aan te merken als bemiddelen in de zin van artikel 1:1 Wft en AFM in beginsel de bevoegdheid toekwam om appellante een boete op te leggen wegens overtreding van artikel 2:80, eerste lid, Wft.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoek geconstateerd dat personenvervoersbedrijf Noot Holding BV meer medische gegevens van werknemers verwerkte dan noodzakelijk was voor de vaststelling van de verplichting om loon door te betalen en de re-integratie van zieke werknemers. Daarmee handelde de werkgever in strijd met de wet. Noot Holding BV vroeg onder meer naar situationele omstandigheden en naar de aard en oorzaak van de ziekte van de werknemer. Ook vroeg het bedrijf in strijd met de wet werknemers om toestemming om hun gezondheidsgegevens op te vragen bij het UWV. Inmiddels heeft Noot Holding BV naar aanleiding van het onderzoek haar werkwijze aangepast en de werknemers over de onrechtmatig verzamelde gegevens geïnformeerd. Ook zijn alle eerder onrechtmatig verzamelde gegevens vernietigd. Hiermee zijn de geconstateerde overtredingen beëindigd.
Lees verder

CBb 3 december 2014, IT 1646 (ACM tegen Digital Magazines en Rivièra Vastgoed)
Zie eerder IT 380, ECLI:NL:RBROT:2013:BZ5151. Boetes wegens overtreding spamverbod. Reikwijdte spamverbod ten aanzien van abonnees en gebruikers. Nader bewijs in hoger beroep toegelaten, maar is niet toereikend. Hoewel bij punitieve sancties onder omstandigheden wel denkbaar, is in dit geval geen toepassing van de bestuurlijke lus om het bestuursorgaan in de gelegenheid te stellen om alsnog nader bewijs bij te brengen. Bevestiging van de aangevallen uitspraak waarin de boetes zijn herroepen.

Rechtbank:
2.    De rechtbank heeft, met beslissingen over de proceskosten en de vergoeding van het griffierecht, de beroepen gegrond verklaard, het besluit van 5 oktober 2011 vernietigd en de boetebesluiten van 19 april 2011 herroepen, omdat ACM niet heeft bewezen dat de e‑mailberichten zijn verzonden aan abonnees (en voor de periode tot 1 oktober 2009: zijnde natuurlijke personen).

4.1.7
ACM betoogt dat het faciliteren van een e-mailadres of e-maildienst valt onder het begrip elektronische communicatiedienst zoals gedefinieerd in artikel 1.1, aanhef en onder f, van de Tw. Deze bepaling definieert een elektronische communicatiedienst als: “gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische communicatienetwerken, waaronder telecommunicatiediensten en transmissiediensten op netwerken die voor omroep worden gebruikt, doch niet de dienst waarbij met behulp van elektronische communicatienetwerken en -diensten overgebrachte inhoud wordt geleverd of redactioneel wordt gecontroleerd. Het omvat niet de diensten van de informatiemaatschappij zoals omschreven in artikel 1 van de notificatierichtlijn die niet geheel of hoofdzakelijk bestaan uit het overbrengen van signalen via elektronische communicatienetwerken”. Een e-maildienst bestaat volgens ACM voor een belangrijk deel uit het transport van signalen om de berichten over te brengen. Een aanbieder van e-maildiensten moet de e-mailberichten immers niet alleen routeren, maar ook transporteren van en naar andere abonnees. Abonnee van een e-maildienst wil dus zeggen dat de gebruiker van de dienst een overeenkomst heeft met een aanbieder van een elektronische communicatiedienst.

4.1.8
Deze uitleg volgt het College niet. De aanbieders van e-maildiensten, zoals Gmail of Hotmail, zijn doorgaans immers niet degenen die de signalen waaruit die e-maildiensten bestaan via elektronische communicatienetwerken overbrengen, zodat de e-maildiensten die zij leveren niet kunnen worden beschouwd als elektronische communicatiediensten als bedoeld in artikel 1.1, aanhef en onder f, van de Tw.

4.2.3
De verkeerde uitleg die ACM aan artikel 11.7, eerste lid, (oud) van de Tw heeft gegeven, had tot gevolg dat zij aanvankelijk niet heeft onderzocht of de e‑mailberichten aan abonnees zijn verzonden. De rechtbank heeft naar het oordeel van het College op goede gronden geconcludeerd dat het in dit verband benodigde bewijs ontbrak en zij verbond daaraan terecht de conclusie dat daarmee het inleidende beroep gegrond moest worden verklaard. Artikel 8:72, eerste lid, van de Awb dwingt in zo'n geval de rechtbank tot de vernietiging van het in beroep bestreden besluit. Met die vernietiging bracht de rechtbank de zaak terug in de fase van het bezwaar tegen de boetebesluiten.

Het nadere bewijs
4.3.1 Het College ziet geen reden om het in hoger beroep door ACM overgelegde bewijsmateriaal niet in het geding te betrekken. Het College verwijst naar zijn uitspraak van 2 juli 2010, ECLI:NL:CBB:2010:BN0534. De stelling van Digital, Rivièra, [naam 1] en [naam 2] dat ACM met haar nadere bewijsvoering in strijd handelt met artikel 8:58 van de Awb, gaat ervan uit dat op 23 april 2014 een zitting zou plaats vinden. Dat is een (feitelijk) onjuist vertrekpunt. Weliswaar is van de zijde van het College bij partijen telefonisch geïnformeerd of 23 april 2014 een haalbare zittingsdatum zou zijn, maar toen één van de partijen die dag verhinderd bleek, is er voor die datum geen zitting uitgeschreven.

4.3.2
Het College is het met de rechtbank eens dat in verband met de hier van belang zijnde ambtshalve, belastende besluiten op ACM de bewijsvoeringslast (en daarmee het bewijsrisico) rust om aan te tonen dat commerciële e-mailberichten zijn verzonden aan abonnees (in gelijke zin ECLI:NL:CBB:2010:BN0534). De rechtbank kan tevens worden gevolgd voor wat betreft haar oordeel dat ACM voor de periode vóór 1 oktober 2009 ook dient aan te tonen dat de commerciële e-mailberichten waren gericht aan natuurlijke personen. Dat bewijs was in eerste aanleg niet beschikbaar.

Rechtbank Amsterdam 13 november 2014, IT 1639 (Eiser tegen ING)
Beschikking. Wbp. Incidentenregister. Eiser heeft een zakelijke rekening bij ING. ING heeft eiser geregistreerd in het Incidentenregister. Reden hiervoor is de verdenking van het schuldwitwassen in de zin van artikel 420quater sub b Sr. Eiser betwist dat hij zich schuldig heeft gemaakt aan fraude, omdat het gebruik van zijn bankpas nog geen bewijs voor betrokkenheid vormt. Volgens eiser is daarom niet voldaan aan het proportionaliteitsvereiste. De rechtbank wijst het verzoek af.

4.6. Voor deze sterk van het normale patroon afwijkende pinbetalingen heeft [eiser] geen plausibele verklaring gegeven. Met betrekking tot de bedragen € 1.100,00 en € 1.400,00, € 2.260,00 en € 7.000,00 die op respectievelijk 26 september 2013, 16 oktober 2013 en 7 november 2013 zijn afgerekend heeft [eiser] slechts verklaard dat hij over een periode van een kleine anderhalve maand goede klandizie had van een klant met een busje, waarvan hij de naam niet kent, die beweerde dat hij een cateringbedrijf had. Daarbij zou de betaling van € 7.000,00 een betaling zijn voor een viertal aankopen waarvan drie eerder op krediet. Met betrekking tot de overige frauduleuze pintransacties heeft [eiser] in het geheel geen verdere toelichting gegeven. Terecht wijst ING in dit verband op de volgende pintransacties; € 5.000,00 op 22 februari 2013 (19:14 uur), twee betalingen met dezelfde ABN AMRO-betaalpas op 1 en 2 augustus 2013 van € 2.495,00 (19:24 uur) en € 2.493,00 (0:05 uur!); € 7.000,00 op 18 september 2013 (18:52 uur) en € 7.000,00 op 4 oktober 2013 (21:23 uur). Ter gelegenheid van de mondelinge behandeling heeft [eiser] op de vraag of hij ook maar een persoon kent of kan noemen die verantwoordelijk is geweest voor de 35 verdachte pintransacties, geantwoord dat hij die personen kent als hij ze ziet maar dat hij niet weet hoe ze heten of waar ze wonen. Hoewel de rechtbank, bij een bedrijf zoals door [eiser] wordt gevoerd, er begrip voor heeft dat leveringen ook op basis vertrouwen (lees: op krediet) plaatsvinden, acht zij het – zonder nadere toelichting die [eiser] niet heeft gegeven – onbegrijpelijk dat leveringen op krediet plaatsvinden aan iemand die je niet kent en waarvan je niet eens de (voor)naam weet of de naam van zijn bedrijf. Dit brengt met zich dat de rechtbank aan deze “verklaring” van [eiser] in het geheel geen waarde toekent.

4.7. [eiser] stelt in zijn aanvulling op het verzoek, althans zo begrijpt de rechtbank, dat hem geen verwijt kan worden gemaakt, omdat tegenover de frauduleuze pintransacties daadwerkelijk leveringen hebben gestaan. Ter onderbouwing van deze stelling heeft [eiser], thans voor het eerst, een rapport van 22 augustus 2014 van [naam 3] (zie hiervoor onder 2.14) overgelegd. Het rapport concludeert dat de gestelde frauduleuze pintransacties het resultaat zijn van daadwerkelijke leveringen. Het rapport is evenwel, volgens de ter gelegenheid van de mondelinge behandeling afgelegde verklaring van [naam 3], slechts deels gebaseerd op de werkelijke inkoopcijfers zoals die uit de door [eiser] verstrekte administratie blijken maar voor het overige op veronderstellingen en schattingen. Zo heeft [naam 3] tijdens de mondelinge behandeling verklaard dat hij steekproefsgewijze de omvang van de voorraad heeft vastgesteld. Bovendien zijn de werkelijke inkoopcijfers niet door een accountant gecontroleerd. Echter, zelfs als [eiser] voor de frauduleuze pintransacties daadwerkelijk levensmiddelen heeft geleverd, heeft ING terecht kunnen concluderen dat sprake is van schuldwitwassen. Naar het oordeel van de rechtbank had [eiser], gelet op hetgeen hiervoor onder 4.5. is overwogen, moeten begrijpen dat er iets niet in de haak was. De rechtbank wijst in dit verband ook op de door ING als productie 5 overgelegde lijst met frauduleuzepintransacties waaruit blijkt dat bijvoorbeeld op 26 september 2013 de pinbedragen steeds kleiner worden als blijkt dat de pintransacties niet lukken. De rechtbank is dan ook van oordeel dat, nu vaststaat dat (i) via de betaalautomaat van [eiser] frauduleuze transacties zijn verricht, (ii) [eiser] als enige de betaalautomaat bediende, (iii) alle grote pintransacties frauduleuze pintransacties betreffen die afwijken van de normale bedrijfsvoering van de winkel en (iv) [eiser] geen enkele plausibele verklaring heeft gegeven voor deze transacties, ING terecht heeft concluderen dat sprake is van een zwaardere verdenking dan een redelijk vermoeden van schuld van betrokkenheid bij in elk geval (schuld)witwassen.

4.8. Tot slot dient de rechtbank een belangenafweging te maken en te beoordelen of voldaan is aan de proportionaliteitsvereiste. De persoonsgegevens van [eiser] zijn voor de duur van acht jaar opgenomen in de betreffende registers. Ter gelegenheid van de mondelinge behandeling heeft ING toegelicht dat de persoonsgegevens bij fraude in beginsel altijd voor de duur van acht jaar worden opgenomen, tenzij sprake is van verzachtende omstandigheden. Daarbij moet worden gedacht aan persoonlijke omstandigheden zoals een jeugdige leeftijd en de omvang van de gepleegde fraude. Het is begrijpelijk, zoals ING ook heeft aangegeven, dat [eiser] nadeel ondervindt van de opname in de registers en met name dat hij in de winkel geen gebruik meer kan maken van een betaalautomaat. Hier staat tegenover dat slechts 1/3 deel van alle betalingen via de pin verliepen en dus niet zijn hele inkomen is komen te ontvallen. Daar komt bij dat [eiser] tijdens de mondelinge behandeling wel heeft verklaard dat het slechter gaat met de winkel, maar dat hij van die stelling geen enkel bewijs heeft overgelegd. De omstandigheid dat het (mogelijk) enigszins slechter gaat met de zaak weegt overigens niet op tegen het belang van ING en de overige banken dat betaalautomaten niet worden gebruikt voor fraude.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) zet vraagtekens bij het wetsvoorstel waarin wordt geregeld dat de privacytoezichthouder een bestuurlijke boete voor overtredingen van de privacywetgeving kan opleggen. Dit wetsvoorstel is vandaag door de staatssecretaris van Veiligheid en Justitie aan de Tweede Kamer gezonden.

Het CBP pleit al langere tijd voor een boetebevoegdheid. De verwachting is dat een boetebevoegdheid bedrijven en overheden zal stimuleren om aan de bestuurstafel na te denken over de bescherming van persoonsgegevens.

De voorgestelde werkwijze in het wetsvoorstel maakt echter dat het CBP niet snel en effectief zal kunnen optreden tegen grove schendingen van de privacywetgeving. “Dit wetsvoorstel leidt niet tot een betere naleving van de Wet bescherming persoonsgegevens”, aldus de voorzitter van het CBP Jacob Kohnstamm. “De roep in de samenleving is om een waakhond met tanden. Nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven."

Met samenvatting van Bartosz Sujecki, Bavelaar & Bavelaar. Uit het persbericht: BGH stelt prejudiciële vragen aan het Hof van Justitie over de uitleg van de EU-privacyrichtlijn. In deze procedure gaat het om het opslaan van dynamieke IP-adressen. Daarbij gaat het om IP-adressen die bij een bezoek van een website door de website zelf worden opgeslagen. In deze procedure worden de IP-adressen op websites van de Duitse overheid opgeslagen. Met zijn prejudiciële vragen wil de BGH weten, of IP-adressen als persoonsgebonden gegevens moeten worden beschouwd.

Het BGH heeft twijfels of dit het geval is, omdat hiermee geen rechtstreekse identificatie van een persoon mogelijk is en bovendien de ISP geen informatie omtrent de indentiteit van de gebruiker aan de bevoegde instanties mocht verstrekken. Indien het Hof van oordeel is dat het bij IP-adressen om persoonsgebonden gegevens gaat, wil de BGH van het Hof weten of het op grond van de EU-privacyrichtlijn mogelijk is om een bepaling in de nationale wetgeving op te nemen, waarmee het opslaan van een IP-adres mogelijk is, indien dit noodzakelijk is voor het gebruik van de website. In dit geval mag het opslaan niet langer duren dan het bezoek van de website.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft kennis genomen van de reactie van het kabinet op de uitspraak van het Europees Hof van Justitie over de bewaarplicht verkeersgegevens. Het Hof bepaalde in mei van dit jaar dat een algemene bewaarplicht van verkeersgegevens in strijd is met het fundamentele recht op de bescherming van persoonsgegevens zoals dat is verankerd in Europees recht. Uit een brief die gisteren aan de Tweede Kamer is gezonden blijkt dat het kabinet voor Nederland desalniettemin vasthoudt aan de opslag van verkeersgegevens. Het CBP zal de kabinetsreactie en het bijbehorende in consultatie gegeven wetsvoorstel zorgvuldig bestuderen. In eerdere adviezen benadrukte het CBP een aantal keer dat aangetoond moet worden waarom het bewaren van deze gegevens noodzakelijk zou zijn.
Lees verder

Brief versterking van DigiD, kamerstukken II 2014-2015, 26 643, nr. 332 - lijst vragen/antwoorden nr. 333
Naar aanleiding van berichtgeving rondom de veiligheid van DigiD in een tv-uitzending van Opgelicht! op 18 oktober 2014 hebben de regering en minister de Tweede Kamer als volgt geïnformeerd:

2. Recent doorgevoerde maatregelen
– Er worden voortaan e-mails verstuurd aan burgers bij belangrijke wijzigingen aan hun DigiD, zoals bij het wijzigen van een wachtwoord. Op die manier wordt het makkelijker voor burgers om misbruik van hun DigiD te herkennen.
– Op dit moment worden DigiD activeringscodes in kwetsbare postcodegebieden thuisbezorgd. In totaal zijn in 2014 ca. 7500 brieven thuisbezorgd per koerier.
– Er zijn maatregelen tegen DDoS-aanvallen genomen. Dit is belangrijk voor de beschikbaarheid en continuïteit van DigiD maar ook voor de veiligheid.
– Onlangs is DigiD beveiligd om het mogelijk te maken beter de integriteit en authenticiteit van de website te controleren en phishing te bemoeilijken.

3. Nog door te voeren maatregelen ter versterking van DigiD

Het komend jaar wordt er naar alternatieven voor de bestaande twee-factor authenticatie met SMS (DigiD Midden) gekeken, die tegen lagere kosten op grote schaal kunnen worden toegepast. Dit kan bijvoorbeeld een app zijn waarmee een extra verificatiecode op smartphone of tablet kan worden ontvangen. De eerste pilots starten naar verwachting medio 2015.
Om een nog grotere mate van zekerheid over iemands identiteit te verkrijgen bij het inloggen t.o.v. DigiD Midden met SMS, wordt er een aantal mogelijkheden onderzocht waarbij er een extra controle plaatsvindt, nadat iemand is ingelogd met DigiD, door het uitlezen van gegevens op de chip van een wettelijk identiteitsdocument (bv identiteitskaart, rijbewijs). Die gegevens worden vervolgens geverifieerd aan de hand van de betreffende documentregisters. Hiermee wordt het mogelijk om digitaal diensten aan te bieden die dat hogere betrouwbaarheidsniveau vereisen.

Mede naar aanleiding van de aanbeveling van de Algemene Rekenkamer, wordt ook uitvoering gegeven aan een Actieplan voor het oplossen van de bevindingen op DigiD. Hiermee zal de robuustheid van DigiD verder toenemen. Inmiddels zijn enkele van de bevindingen opgelost. Zoals eerder gemeld wordt er naar gestreefd ook de overige bevindingen vóór het einde van het jaar op te lossen.

20 Wat gaat u doen om de slachtoffers te helpen die er nu al zijn in verband met ongeautoriseerde toegang tot DigiD?
21 Bent u voornemens een afdeling op te zetten die casus van benadeelden beoordeeld? Zo ja, hoe wordt die vormgegeven? Of ligt die bevoegdheid, of blijft die bevoegdheid liggen, bij respectievelijk Logius en de afnemers? Welk risico houdt dat in voor het afschuiven van problemen binnen de keten?
22 Vindt u het terecht dat mensen, die buiten hun eigen schuld slachtoffer worden van veiligheids-problemen rond DigiD, bijvoorbeeld door uit de brievenbus geviste brieven, geld, dat ze nooit hebben aangevraagd en nooit hebben ontvangen, moeten terugbetalen aan de overheid?
In de uitzending kwamen enkele slachtoffers van fraude via DigiD aan het woord. Deze fraudegevallen staan overigens los van de betreffende kwetsbaarheid.
De inzet van de overheid is slachtoffers snel te helpen en schadeloos te (doen) stellen. Slachtoffers van identiteitsfraude kunnen ook altijd bij het Centraal Meldpunt Identiteitsfraude terecht. Bij vastgestelde fraude wordt altijd aangifte gedaan. Wel blijkt zorgvuldig onderzoek van groot belang omdat helaas blijkt dat niet altijd op voorhand eenvoudig vast te stellen is wat er precies gebeurd is en daders en slachtoffers niet altijd eenduidig te onderscheiden zijn. De zaken van de in uitzending aan het woord gekomen slachtoffers worden nader onderzocht.