Privacy  

CBP 17 november 2015, IT 1912 (Ontwerpbesluit gegevensverwerking)
Het College bescherming persoonsgegevens (CBP) is voornemens de door de ondernemersvereniging Zuidplein te Rotterdam gemelde gegevensverwerking Protocol Collectieve winkel- en garageontzegging Zuidplein rechtmatig te verklaren. De gemelde verwerking houdt in dat de ondernemersvereniging voornemens is om strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag te verwerken ten behoeve van derden, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b Wbp.

Terinzagelegging van de stukken
Het op de melding betrekking hebbende ontwerpbesluit en de onderliggende stukken liggen tot 26 november 2015 ter inzage van maandag t/m vrijdag tussen 10.00 uur en 16.00 uur bij het CBP, Prins Clauslaan 60 te Den Haag. U dient hiervoor een afspraak te maken via telefoonnummer 070-8888500.
U kunt het ontwerpbesluit van het CBP en het Protocol Collectieve winkel- en garageontzegging Zuidplein downloaden via ‘Publicaties’ aan de rechterkant van deze pagina.

Zienswijze indienen
Belanghebbenden kunnen hun zienswijze over dit ontwerpbesluit om de beschreven verwerking rechtmatig te verklaren naar voren brengen. Zij worden verzocht dit bij voorkeur schriftelijk kenbaar te maken aan het CBP onder vermelding van zaaknummer z2015-00268. Het adres is College bescherming persoonsgegevens, Postbus 93374, 2509 AJ Den Haag.

CBP 17 november 2015, IT 1911 (brief AKP Turkse kiesgerechtigden)
Het College bescherming persoonsgegevens (CBP) heeft een oriënterend onderzoek gedaan naar aanleiding van de verzending van een brief door de AK Parti (AKP). Op basis van de verkregen informatie concludeert het CBP dat in Turkije politieke partijen op grond van Turks recht tegen betaling lijsten van kiesgerechtigden met hun adressen kunnen krijgen. Daarom heeft het CBP besloten op dit moment geen nader onderzoek te doen.

In oktober van dit jaar ontving een groot aantal mensen een brief van de Turkse premier Davutoglu waarin zij werden opgeroepen te stemmen op zijn partij.

CBP november 2015, IT 1917, z2014-00859 (Nike+ Running app)
Uit het persbericht: Nike informeert de gebruikers van de Nike+ Running app onvoldoende over de verwerking van hun gezondheidsgegevens. Nike verkrijgt daardoor ook niet de vereiste uitdrukkelijke toestemming van de app-gebruikers. Dit concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. Nike heeft naar aanleiding van het onderzoek maatregelen getroffen en meer acties in het vooruitzicht gesteld. Het CBP zal de komende tijd controleren of Nike hiermee de geconstateerde overtredingen beëindigt.
Lees verder>

HvJ EU 1 oktober 2015, IT 1915; ECLI:EU:C:2015:639; C-230/14 (Weltimmo)
Persoonsgegevens. Bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens - Richtlijn 95/46/EG - Artikelen 4, lid 1, en 28, leden 1, 3 en 6 - Verantwoordelijke voor de verwerking die formeel in een lidstaat is gevestigd - Schending van het recht op bescherming van de persoonsgegevens van natuurlijke personen in een andere lidstaat - Vaststelling van het toepasselijke recht en de bevoegde toezichthoudende autoriteit - Uitoefening van de bevoegdheden van de toezichthoudende autoriteit - Sanctiebevoegdheid. Het Hof (Derde kamer) verklaart voor recht:

1)      Artikel 4, lid 1, onder a), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens moet aldus worden uitgelegd dat het op grond van dat artikel mogelijk is de wetgeving inzake de bescherming van persoonsgegevens van een andere lidstaat dan die waar de voor de verwerking van die gegevens verantwoordelijke is geregistreerd, toe te passen, voor zover bedoelde verantwoordelijke via een duurzame vestiging op het grondgebied van die lidstaat een, zelfs geringe, reële en daadwerkelijke activiteit uitoefent, in het kader waarvan die verwerking plaatsvindt.

Om in omstandigheden als die van het hoofdgeding vast te stellen of daarvan sprake is, kan de verwijzende rechter met name rekening houden met het feit dat de activiteit van de verantwoordelijke voor de verwerking, in het kader waarvan deze verwerking plaatsvindt, bestaat in de exploitatie van vastgoedsites voor onroerend goed dat is gelegen op het grondgebied van die lidstaat, die in de taal van die lidstaat zijn gesteld, en dat deze activiteit dientengevolge hoofdzakelijk, zo niet volledig, op bedoelde lidstaat is gericht, en voorts met het feit dat deze verantwoordelijke in die lidstaat over een vertegenwoordiger beschikt die is belast met het innen van de uit die activiteit resulterende openstaande rekeningen en de vertegenwoordiging van hem in bestuurlijke en juridische procedures met betrekking tot de verwerking van de betrokken gegevens.

 

De nationaliteit van degenen wier gegevens aldus worden verwerkt, is daarentegen irrelevant.

2)      In het geval dat de toezichthoudende autoriteit van een lidstaat waarbij klachten zijn ingediend in overeenstemming met artikel 28, lid 4, van richtlijn 95/46, tot de conclusie komt dat het recht dat van toepassing is op de verwerking van de betrokken persoonsgegevens niet het nationale recht van die lidstaat is, maar dat van een andere lidstaat, moet artikel 28, leden 1, 3 en 6, van die richtlijn aldus worden uitgelegd dat die toezichthoudende autoriteit de werkelijke bevoegdheden om in te grijpen die haar in overeenstemming met artikel 28, lid 3, van voornoemde richtlijn zijn toegekend slechts op het grondgebied van de lidstaat waartoe zij behoort, zou kunnen uitoefenen. Bijgevolg kan zij op grond van het recht van die lidstaat geen sancties opleggen aan een verantwoordelijke voor de verwerking van die gegevens die niet op dat grondgebied is gevestigd, maar zou zij ingevolge artikel 28, lid 6, van die richtlijn aan de toezichthoudende autoriteit van de lidstaat waarvan het recht van toepassing is, moeten vragen om in te grijpen.

3)      Richtlijn 95/46 moet aldus worden uitgelegd, dat het begrip „adatfeldolgozás” (technische bewerking van gegevens), dat wordt gebezigd in de Hongaarse taalversie van deze richtlijn, in het bijzonder in de artikelen 4, lid 1, onder a), en 28, lid 6, ervan, in dezelfde zin moet worden opgevat als de term „adatkezelés” (gegevensverwerking).

Gestelde vragen [IT 1571]:

1)      Moet artikel 28, lid 1, van richtlijn 95/46 aldus worden uitgelegd dat de nationale regeling van een lidstaat op diens grondgebied van toepassing is op een voor de gegevensverwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd en een vastgoedsite beheert waarop hij ook advertenties plaatst voor in de eerstbedoelde lidstaat gelegen onroerend goed, waarvan de eigenaren de persoonsgegevens die daarop betrekking hebben naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?
2)      Moet artikel 4, lid 1, onder a), van richtlijn 95/46, junctis de achttiende tot en met twintigste overweging en de artikelen 1, lid 2, en 28, lid 1, ervan, aldus worden uitgelegd dat de Hongaarse toezichthoudende autoriteit de Hongaarse wet inzake gegevensbescherming als nationaal recht niet kan toepassen op een uitsluitend in een andere lidstaat gevestigde beheerder van een vastgoedsite, ook al publiceert hij daarop ook advertenties voor in Hongarije gelegen onroerend goed, waarvan de eigenaren de desbetreffende gegevens waarschijnlijk vanaf Hongaars grondgebied naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?
3)      Is het voor uitleggingsdoeleinden relevant dat de dienst die wordt verricht door de voor de gegevensverwerking verantwoordelijke, die de website beheert, is gericht op het grondgebied van een andere lidstaat?
4)      Is het voor uitleggingsdoeleinden relevant dat de gegevens betreffende in de andere lidstaat gelegen onroerend goed en de persoonsgegevens van de eigenaren ervan daadwerkelijk zijn ingevoerd vanop het grondgebied van die andere lidstaat?
5)      Is het voor uitleggingsdoeleinden relevant dat de met dat onroerend goed verband houdende persoonsgegevens burgers van een andere lidstaat betreffen?
6)      Is het voor uitleggingsdoeleinden relevant dat de eigenaren van de in Slowakije gevestigde onderneming in Hongarije wonen?
7)      Indien uit het antwoord op de vorige vragen volgt dat de Hongaarse toezichthoudende autoriteit kan optreden, maar daarbij niet het nationale recht, doch het recht van de lidstaat van vestiging moet toepassen, moet artikel 28, lid 6, van richtlijn 95/46 dan aldus worden uitgelegd dat de Hongaarse toezichthoudende autoriteit de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met het recht van de lidstaat van vestiging, en dus geen geldboete kan opleggen?
8)      Mag ervan worden uitgegaan dat het begrip ‚adatfeldolgozás’ (technische bewerking van gegevens) dat zowel in artikel 4, lid 1, onder a), als in artikel 28, lid 6, van richtlijn 95/46 wordt gebruikt, in de terminologie van deze richtlijn overeenkomt met het begrip ‚adatkezelés’ (gegevensverwerking)?

Statement
Following the landmark ruling of the Court of Justice of the European Union (CJEU) of 6 October 2015 in the Maximilian Schrems v Data Protection Commissioner case (C-362-14), the EU data protection authorities assembled in the Article 29 Working Party have discussed the first consequences to be drawn at European and national level. EU data protection authorities consider that it is absolutely essential to have a robust, collective and common position on the implementation of the judgment. Moreover, the Working Party will observe closely the developments of the pending procedures before the Irish High Court.

First, the Working Party underlines that the question of massive and indiscriminate surveillance is a key element of the Court’s analysis.
Lees verder >

Hof Den Haag 27 oktober 2015, IT 1913; ECLI:NL:GHDHA:2015:2881 (Staat der Nederlanden tegen NVSA)
Privacy. Uit het persbericht: Het gerechtshof Den Haag heeft in hoger beroep bepaald dat de AIVD en de MIVD geen telefoongesprekken mogen afluisteren waaraan een advocaat deelneemt. Dit tappen mag alleen indien op deze vorm van tappen onafhankelijk toezicht wordt uitgeoefend, maar dit toezicht ontbreekt op dit moment. Het hof bekrachtigt hiermee de uitspraak van de voorzieningenrechter, die eerder in gelijke zin besliste.

Dit kort geding is aanhangig gemaakt door de advocaten van het Amsterdamse advocatenkantoor Prakken d’Oliveira en de Nederlandse Vereniging van Strafrechtadvocaten tegen de Staat. Zij willen dat de AIVD (de Algemene Inlichtingen- en Veiligheidsdienst) en de MIVD (de Militaire Inlichtingen- en Veiligheidsdienst), samen: ‘de diensten’, ophouden met het afluisteren van advocaten.
 
Op grond van de wet (de Wet op de inlichtingen- en veiligheidsdiensten) mogen de diensten telefoongesprekken afluisteren. Aan die gesprekken kunnen ook advocaten deelnemen, hetzij omdat de advocaat zelf een ‘target’ van de diensten is (‘direct tappen’) of omdat een ‘target’ die wordt afgeluisterd een telefoongesprek voert met zijn advocaat (‘indirect tappen’). Het probleem is dat gesprekken tussen een advocaat en zijn cliënt vertrouwelijk zijn en dat daarop slechts in bijzondere gevallen inbreuk mag worden gemaakt. De huidige wet regelt echter niets over de bijzondere positie van advocaten.
 
Volgens het Europese Hof voor de Rechten van de Mens is het afluisteren van advocaten alleen toegestaan als bijzondere waarborgen zijn getroffen. Met name moet sprake zijn van onafhankelijk toezicht op dat afluisteren. Dat onafhankelijk toezicht ontbreekt op dit moment. De Commissie van toezicht betreffende de inlichtingen- en veiligheidsdiensten (CTIVD) heeft weliswaar een toezichthoudende functie, maar heeft geen rechtstreekse bemoeienis met de afluisterpraktijk. Nu de vereiste waarborgen ontbreken, mogen gesprekken met advocaten niet door de AIVD en de MIVD worden afgeluisterd.
 
De voorzieningenrechter had in zijn vonnis van 1 juli 2015 de Staat bevolen het afluisteren te staken indien niet binnen zes maanden geregeld is dat een onafhankelijk orgaan toezicht houdt op het afluisteren. Het hof verwerpt het argument van de Staat dat deze termijn te kort is om de noodzakelijke wetgeving tot stand te brengen. Volgens het hof had de Staat de uitspraak van de voorzieningenrechter al geruime tijd kunnen zien aankomen. Ook is het hof er niet van overtuigd dat het noodzakelijk is de wet te wijzigen. Een wijziging van beleid kan in beginsel ook voldoende zijn.
 
De voorzieningenrechter had de diensten ook verboden om informatie, die afkomstig is van afgeluisterde gesprekken waaraan een advocaat deelneemt, met het openbaar ministerie te delen. Dit verbod heeft de voorzieningenrechter onmiddellijk in werking laten treden. Ook hierin is het hof het met de voorzieningenrechter eens. Het is in strijd met het recht van de verdachte op een eerlijk proces dat de inhoud van vertrouwelijke gesprekken met zijn advocaat bij het openbaar ministerie bekend zouden kunnen worden.

Op andere blogs:
Wieringa advocaten

Vzr. Rechtbank Amsterdam 22 oktober 2015, IT 1912; ECLI:NL:RBAMS:2015:7501 (deurwaarder tegen Women Capital)
Databankenrecht. Privacy. Woman Capital is een Head Hunters bureau met een ‘Executive Search’ karakter. Het (in beslaggenomen) databestand bestaat uit informatie van circa 10.000 zogenaamde topvrouwen uit het bedrijfsleven verdeeld over circa 6.000 organisaties. De deurwaarder wordt geconfronteerd met ongeveer 40 bezwaren van in de databank opgenomen personen. Volgens Woman Capital dient het databestand te worden vernietigd vanwege de privacy van de daarin opgenomen personen en om misbruik van vertrouwelijke gegevens te voorkomen. De deurwaarder heeft in veilingvoorwaarden opgenomen dat alleen organisaties in dezelfde branche mogen bieden. Ondanks de bezwaren tegen overdracht van gegevens aan derden, staat dit de executieverkoop van het databestand niet in de weg.

3.2. De deurwaarder is onlangs geconfronteerd met (ongeveer veertig) bezwaren van personen die in het databestand zijn opgenomen. De bezwaren werden geuit tegenover Woman Capital, die zeheeft doorgezonden naar de deurwaarder. De bezwaren hadden wat betreft de inhoud een grote gelijkenis met elkaar en luidden als volgt :

“In de krant las ik dat er sprake is van een verkoop van de database van Woman Capital. Mochten er gegevens over en van mij in enige database van Woman Capital zijn opgenomen dan wil ik niet dat Woman Capital deze gegevens aan derden verstrekt, om niet of anderszins.
Kunt u mij de ontvangst van deze email bevestigen en bevestigen dat aan mijn verzoek wordt voldaan?”
Naar aanleiding van deze bezwaren heeft de deurwaarder in de veilingvoorwaarden opgenomen dat alleen organisaties die aantoonbaar in dezelfde branche als Woman Capital opereren een bod mogen uitbrengen tijdens de executieverkoop. Andere partijen zoals “sensatiebladen” en “roddeljournalistiek” zullen worden uitgesloten. Verder is het op dit moment niet mogelijk om de database te raadplegen en gegevens te verwijderen, aldus de deurwaarder.

Woman Capital heeft het databestand gemaakt met als doel een goede match te vinden tussen werkgevers en werknemers. De personen die zich bij Woman Capital hebben aangemeld, hebben zich vrijwillig in het databestand laten opnemen. Volgens Woman Capital dient het databestand thans te worden vernietigd in verband met de privacy van de daarin opgenomen personen en om misbruik van vertrouwelijke gegevens te voorkomen. De deurwaarder heeft echter naar aanleiding van de bezwaren in de veilingvoorwaarden opgenomen dat alleen organisaties die aantoonbaar in dezelfde branche als Woman Capital opereren (arbeidsbemiddeling tussen werkgevers en werknemers) een bod mogen uitbrengen tijdens de executieverkoop op het databestand. Hieruit vloeit voort dat degenen die mogen bieden op het databestand gebonden zullen zijn aan dezelfde regelgeving met betrekking tot persoonsgegevens en privacy als Woman Capital en dezelfde discretie in acht dienen te nemen. Voldoende aannemelijk is dan ook dat de koper van het databestand dit voor hetzelfde doel als Woman Capital zal gebruiken. Hiermee zijn de gegevens van de personen die zijn opgenomen in het databestand en hun privacy vooralsnog voldoende gewaarborgd.

4.4. Op dit moment is de toegang tot het databestand geblokkeerd en kunnen er geen gegevens worden verwijderd. Indien er personen zijn die niet langer in het databestand opgenomen willen zijn wanneer de eigendom van het databestand wordt overgedragen, kunnen zij aan de koper van het databestand een verzoek doen om daaruit te worden verwijderd. De koper zal hierbij uiteindelijk ook gebaat zijn, omdat er dan een databestand zal overblijven met gegevens van personen die daadwerkelijk willen worden benaderd.

4.5. De slotsom is dat de bezwaren van Woman Capital en van de personen die in het databestand zijn opgenomen tegen overdracht van hun gegevens aan derden niet in de weg staan aan de executie van het databestand, mede gelet op het belang van Tuls Beheer.
Het is de deurwaarder dan ook toegestaan om de executie van het databestand voort te zetten.

HR 13 oktober 2015, IT 1907; ECLI:NL:HR:2015:3024 (Kopschopperzaak Eindhoven)
Uit het persbericht: Het Openbaar Ministerie mag in de openbare ruimte opgenomen camerabeelden van ernstige publieke geweldincidenten in het openbaar tonen om zo dader(s) van dit geweld te kunnen opsporen. In het algemeen vormt dat geen ontoelaatbare inbreuk op de persoonlijke levenssfeer van de verdachte. Dat kan anders liggen als ook voor een lichter opsporingsmiddel had kunnen worden gekozen om het doel te bereiken. In zo’n geval kan dat gevolgen hebben voor de op te leggen straf. Dat heeft de Hoge Raad vandaag geoordeeld in de zaak van een minderjarige verdachte die samen met anderen in Eindhoven in 2013 meermalen tegen het hoofd van een weerloos slachtoffer schopte.

In deze zaak had het OM bewegende beelden van het ernstige geweldsincident op de lokale televisie laten uitzenden om achter de identiteit van de daders te komen. Door deze uitzending en de daarop volgende landelijke verspreiding daarvan ontstond veel negatieve (media-) aandacht, werd verdachte belaagd door media, werd hij op straat herkend en heeft hij zich zeer bedreigd gevoeld door reacties via de sociale media. Het hof had geoordeeld dat met het uitzenden van de bewegende beelden van de opname inbreuk was gemaakt op de persoonlijke levenssfeer van de verdachte. Dit omdat het OM de identiteit van de daders ook had kunnen achterhalen met minder vergaande middelen, zoals de openbaarmaking van zogenoemde ‘stills’ i.p.v. bewegende beelden. Tijdens het geding heeft het OM zich ook zelf in die zin uitgelaten. Het hof kon en mocht daarmee rekening houden door een lagere straf op te leggen dan het anders zou hebben gedaan.

Bij de strafoplegging kan altijd rekening worden gehouden met de negatieve gevolgen van media-aandacht, maar een verdachte heeft geen recht op zo’n matiging van de straf, aldus de Hoge Raad.

Op andere blogs:
Ius Mentis

CvB 5 oktober 2015, IT 1904; ECLI:NL:CBB:2015:347 (appellant tegen de staatssecretaris van Economische zaken)
Appellant is paardenhouder. Verweerder heeft geconstateerd dat de paarden niet zijn geïdentificeerd en geregisteerd overeenkomstig de regeling I&R, omdat bij de paarden geen transporter is ingebracht. Appellant heeft hier bezwaar tegen omdat chippen geen garantie is tegen fraude. Appellant heeft samen met andere een alternatief uitgewerkt. Volgens het College mogen de lidstaten geschikte alternatieve methoden voor de verificatie van de identiteit toestaan, mits alle toegelaten alternatieve methoden ten minste dezelfde garanties bieden. De regelgever heeft niet in strijd gehandeld met het verbod van willekeur. Geen inbreuk op het recht op vrijheid van geweten (art. 9 EVRM) omdat de inperking van het recht is gerechtvaardigd. De identificatieplicht is een bij wet voorziene beperking en deze verplichting is noodzakelijk in het belang van de bescherming van de gezondheid van mens en dier. De voorschreven methode is niet in strijd met het verbod op lichamelijke ingrepen bij dieren. Het beroep is ongegrond.

4.4. Het College oordeelt allereerst dat voor zover appellant betoogt dat de keuze om één methode van identificatie toe te staan in strijd is met Verordening (EG) 504/2008, waarbij om dit argument kracht bij te zetten is verwezen naar de nog in werking te treden Verordening (EG) 262/2015, dit betoog niet slaagt. Op grond van de hiervoor weergegeven Unierechtelijke regels op dit gebied mogen de lidstaten geschikte alternatieve methoden voor de verificatie van de identiteit van in de Unie geboren paardachtigen, met inbegrip van merken, toestaan, mits alle toegelaten alternatieve methoden voor de verificatie van de identiteit of alle combinaties van deze methoden ten minste dezelfde garanties bieden als de geïmplanteerde transponder én de alternatieve methoden niet worden toegepast als de enige methode om de identiteit van de meerderheid van de overeenkomstig deze verordening op hun grondgebied geïdentificeerde paardachtigen te verifiëren. Gelet op de term ‘mogen’ en de hierbij gestelde voorwaarden, waarvan ook sprake is in artikel 21 van de nog in werking te treden Verordening (EG) 262/2015, volgt duidelijk dat het toestaan van een alternatieve methode geen voorgeschreven verplichting is. Gelet op hetgeen in 4.3 is weergegeven, ziet het College geen grond voor het oordeel dat de regelgever door geen alternatieve identificatiemethode toe te staan heeft gehandeld in strijd met het verbod van willekeur zoals hiervoor omschreven.

4.5. Het recht op vrijheid van geweten, waar appellant zich op beroept, is neergelegd in artikel 9 EVRM. In het tweede lid van dat artikel is bepaald dat de vrijheid zijn godsdienst te belijden of overtuiging tot uiting te brengen aan geen andere beperkingen kan worden onderworpen dan die bij de wet zijn voorzien en in een democratische samenleving noodzakelijk zijn in het belang van de openbare veiligheid, voor de bescherming van de openbare orde, gezondheid of goede zeden of voor de bescherming van de rechten en vrijheden van anderen. Anders dan door appellant betoogt, ziet het College geen grond voor het oordeel dat het handhaven van de in Nederland geldende methode van identificatie, op grond waarvan de last onder dwangsom is opgelegd, in het onderhavige geval in strijd is met het recht op vrijheid van geweten, reeds omdat de inperking van dat recht gerechtvaardigd is. De identificatieplicht is een bij de wet voorziene beperking en deze verplichting is naar het oordeel van het College noodzakelijk in het belang van de bescherming van de gezondheid van mens en dier, alsmede evenredig aan het nagestreefde doel. De wijze waarop invulling is gegeven aan de identificatieverplichting kan naar het oordeel van het College bovendien niet als disproportioneel worden aangemerkt. Uit het enkele bestaan van andere identificatiemiddelen volgt dit niet. Ook hetgeen appellant verder in dit kader heeft aangevoerd is, mede in het licht van hetgeen verweerder daar tegenover heeft gesteld, onvoldoende voor die conclusie.

4.7. Appellant heeft voorts aangevoerd dat de voorgeschreven methode van identificatie in strijd is met een aantal bepalingen uit de Wet Dieren. In artikel 2.1, eerste lid, van de Wet Dieren is bepaald dat het verboden is om zonder redelijk doel of met overschrijding van hetgeen ter bereiking van zodanig doel toelaatbaar is, bij een dier pijn of letsel te veroorzaken dan wel de gezondheid of het welzijn van het dier te benadelen. Het ter identificatie inbrengen van een chip levert geen overtreding op van dit verbod, nu dit een redelijk doel dient en in artikel 2.8, tweede lid, sub b, van de Wet Dieren juncto artikel 2.6, sub b, van het Besluit diergeneeskundigen voor het inbrengen van een chip ter identificatie een uitzondering is gemaakt op het verbod lichamelijke ingrepen te verrichten bij dieren. Hieruit volgt dat ook het beroep op artikel 1.3 van de wet Dieren niet kan slagen, terwijl het beroep op artikel 1.4 van de Wet Dieren buiten beschouwing kan worden gelaten nu deze bepaling nog niet in werking is getreden.

5. Het vorenstaande leidt tot de conclusie dat het beroep ongegrond is.

Bijdrage ingezonden door Menno Weij, SOLV. Eerder in TVIR. Het kan u niet ontgaan zijn: de Amsterdamse voorzieningenrechter1 heeft Facebook onlangs gedwon geplaatst. Saillant: Facebook beweert bij hoog en laag die gegevens niet te hebben. Maar de rechter is bepaald niet overtuigd van dit argument van Facebook, en sluit niet uit dat Facebook nog wel degelijk over enige informatie beschikt. En levert Facebook die informatie niet, dan moet Facebook dulden dat een onafhankelijk deskundige daar nog eens naar speurt.

Dat het die kant op lijkt te gaan, staat al min of meer vast. Facebook heeft inmiddels een officiële verklaring uitgebracht na de publicatie van het vonnis, dat ze echt niet (meer) over de gevraagde informatie beschikt. Hiermee opent Facebook zo ongeveer letterlijk haar deuren, want dan zal Chantal een onafhankelijke IT expert mogen vragen om zelf naar die gegevens te gaan zoeken, en zal die IT-expert daar een rapport over moeten schrijven. Het is dan vervolgens een kwestie van tijd voordat dit rapport in het openbaar verschijnt.

Facebook bewijst de internettussenpersoon een slechte dienst. Afgaand op de inhoud van vonnis, laat de processtrategie van Facebook te wensen over. Ik ben mij er bewust van dat elke zaak en dus elk vonnis zijn eigen bijzonderheden kent, zo ook deze, maar waag mij toch aan de volgende stellingen. Het resultaat van deze Facebook-uitspraak is mijns inziens dat je als internettussenpersoon nu kennelijk moet gaan monitoren wat er allemaal op je platform gebeurt. Als dat gedrag van een persoon vervolgens ook maar enigszins onoirbaar lijkt op basis van meldingen van je andere gebruikers, moet je van die persoon kennelijk gegevens bewaren. Kortom, een verkapte bewaarplicht. Maar (i) in welke gevallen je nu precies gegevens moet bewaren, (ii) welke gegevens je dan moet bewaren en (iii) voor over te vinden heeft. Ik doe een poging een an ander uit te leggen.

1. De processtrategie van Facebook|
De processtrategie van Facebook heeft mijns inziens echt te wensen overgelaten.

1. Er was niemand tijdens de zitt ing van Facebook aanwezig, alleen de advocaten

Tot drie keer toe kunnen de advocaten van Facebook tijdens de zitting geen helderheid verschaffen aan de rechter over belangrijke feiten. De rechter straft dit genadeloos af. Het gaat om de volgende feiten.

‘De raadslieden van Facebook hebben ter zitt ing volstaan met de mededeling dat het hen niet bekend is of dergelijke gegevens toegankelijk zijn voor Facebook Nederland, maar dat dat hen onwaarschijnlijk lijkt, omdat Facebook Nederland met name is gericht op de verkoop. Nu een nadere toelicht ing van Facebook ontbreekt, wordt deze stellingname onvoldoende overtuigend geacht. De voorzieningenrechter gaat er daarom vooralsnog vanuit dat ook Facebook Nederland in beginsel toegang heeft tot de gevraagde gegevens en in aansluit ing daarop dat Facebook Nederland (mede) opdracht kan geven tot het verrichten van een onafhankelijk onderzoek als gevorderd. Dat de werkzaamheden van Facebook Nederland in hoofdzaak zouden bestaan uit verkoopact iviteiten is onvoldoende om daarover voorshands anders te oordelen.’

En ten tweede weten de advocaten niet zoveel over de 'rapportages' nadat het filmpje is geplaatst:

‘Eiseres heeft gesteld dat het filmpje op 22 januari 2015, vlak nadat het op Facebook was gepost, minimaal vijf maal (onder meer door eiseres en haar moeder) aan Facebook is ‘gerapporteerd’ als aanstootgevend en/of ongepast. Facebook kon dit desgevraagd ter zitt ing niet beamen of ontkennen, omdat ook deze meldingen volgens Facebook zouden (kunnen) vallen onder de inmiddels verwijderde informat ie. Eiseres heeft terecht gesteld dat het in de rede had gelegen, gezien het beleid van Facebook zelf met betrekking tot ongewenste berichten, dat Facebook dit soort informat ie zou bewaren en/of zich in verbinding zou stellen met degene die de ongepaste content heeft geplaatst. De tekst op haar ‘Help-pagina’ in dit verband wekt immers op zijn minst de suggest ie dat met de verantwoordelijke persoon in voorkomende gevallen contact kan worden opgenomen Vooralsnog bestaat geen aanleiding om eraan te twijfelen dat eiseres en haar moeder het filmpje hebben gerapporteerd. Nu onduidelijk is wat Facebook met die meldingen heeft gedaan (..).’

En ten derde kunnen de advocaten niet duidelijk verklaren over wat er precies is gebeurd toen de melding binnen kwam om het account te verwijderen:

‘Verder is in de verklaring van 8 juni 2015 vermeld dat de gegevens zijn verwijderd naar aanleiding van een op 26 januari 2015 ingediend verzoek om verwijdering van de ‘nep-account’ ‘door de gebruiker’. Op de vraag waarop deze informat ie is gebaseerd en of de gegevens van deze gebruiker niet tot een latere datum nog ergens, bijvoorbeeld op een back-upserver, terug te vinden zijn (geweest), hebben de raadslieden van Facebook bij gebrek aan wetenschap geen duidelijk antwoord gegeven, zodat niet valt uit te sluiten dat nog informat ie voorhanden is.’

Op basis van dit ‘zwalken’ tijdens de zitting, concludeert de voorzieningenrechter dus dat bepaald niet uitgesloten is dat Facebook wel degelijk nog over informatie kan beschikken. Daarmee is één deel van de basis voor de uitspraak gelegd.

2. Facebook heeft zich maar heel beperkt verweerd
Facebook heeft niet betwist dat er een rechtsplicht kan bestaan tot het verstrekken van NAW-gegevens:

‘Een rechtsplicht tot het verstrekken van NAW-gegevens zoals in deze zaak gevorderd, kan voor een provider bestaan als aannemelijk is dat anoniem, althans door een door de benadeelde niet te traceren persoon, onrechtmat ige uit ingen via deze provider openbaar zijn gemaakt en de benadeelde alleen door tussenkomst van de provider, door middel van het verstrekken van NAW-gegevens, dergelijk onrechtmat ig handelen zou kunnen bestrijden. Facebook heeft dat op zichzelf ook niet betwist. Sterker nog, uit voornoemde algemene voorwaarden en richtlijnen volgt duidelijk dat zij er alles aan stelt te doen om dergelijke onrechtmat ige uit ingen (zoals bijvoorbeeld in de vorm van pesten, het plaatsen van privacygevoelige informatie over anderen, seksueel misbruik) te voorkomen en te bestrijden. Ook mogen gebruikers van Facebook volgens haar richtlijnen geen profielen aanmaken met gegevens die niet van hen zijn.’

 Facebook heeft ook niet betwist dat Chantal de NAW-gegevens niet op andere wijze kan achterhalen.

‘Verder heeft Facebook niet betwist dat het openbaar maken van de gewraakte opname waarbij eiseres herkenbaar in beeld seksuele handelingen verricht, jegens haar onrechtmat ig is, noch dat eiseres ten t ijde van het maken van het filmpje minderjarig was. Evenmin heeft Facebook betwist dat eiseres thans niet op andere wijze dan via het benaderen van Facebook de gegevens kan achterhalen van degene die op deze wijze onrechtmat ig jegens haar heeft gehandeld.’

Het gevolg is dat de rechter de hobbel van de rechtsnorm relatief makkelijk kan nemen:

‘Onder deze omstandigheden kan daarom worden aangenomen dat op Facebook in beginsel de rechtsplicht rust om aan eiseres de gevraagde gegevens te verstrekken en dat zij jegens eiseres onrechtmat ig handelt door daartoe niet over te gaan. Facebook heeft, behoudens het navolgende, waarop in r.o. 4.6 en volgende nader wordt ingegaan, geen (juridische) weren, feiten of omstandigheden aangevoerd op grond waarvan zich een dergelijke rechtsplicht in dit concrete geval niet zou voordoen.’

Dan beperk je de juridische strijd. Facebook voert eigenlijk dus maar 1 verweer: namelijk dat ze niet aan de vordering tot verstrekking kan voldoen, omdat de gegevens al gewist zijn:

‘Het inhoudelijke verweer van Facebook dat volgens haar zou moeten leiden tot afwijzing van de vorderingen, is beperkt tot haar stelling dat zij niet aan de vorderingen kan voldoen, omdat de gevraagde gegevens al volledig en permanent gewist zouden zijn.’

Maar zoals ik hiervoor aan aangaf: dat vindt de voorzieningenrechter dit verweer simpelweg niet geloofwaardig. Dat ziet met name op twee fases in het geschil tussen Chantal en Facebook.

(i) De rapporteer fase
Allereerst de fase tussen 22 en 26 januari 2015. Dit betreft (i) het aanmaken van het account en het plaatsen van het filmpje, (ii) de meldingen van andere Facebookers over dat filmpje ('rapportages'), en (iii) het verwijderen van het account. Ik schets nog even de tijdslijn: 22 januari wordt het account aangemaakt en het filmpje geplaatst. Er wordt tot aan 26 januari gerapporteerd dat het filmpje, zeg maar even, 'niet OK' is. Volgens Chantal 5x, en volgens de rechter in ieder geval 2x. Op 26 januari wordt het account verwijderd door Facebook op verzoek van de maker van het account.

Facebook is onduidelijk over die rapportages, en zegt niet te weten of zij nog over informatie beschikt van Facebookers die hebben gerapporteerd; zie hiervoor het eerdere citaat. Facebook stelt dus met zoveel woorden dat die informatie misschien al verwijderd was. De rechter vindt dat weinig geloofwaardig, omdat Facebook zelf suggereert dit soort informatie te moeten hebben, bijvoorbeeld om zich in verbinding te kunnen stellen met de Facebooker over wie wordt gerapporteerd.

Bovendien kan die informatie rondom het moment van rapporteren sowieso nooit verwijderd zijn geweest in deze zaak, want Facebook stelt in een (latere) officiële verklaring dat de informatie over het account in ieder geval tot 10 februari beschikbaar was. En hiermee maakt Facebook zichzelf volgens mij opnieuw ongeloofwaardig, want in haar eigen privacybeleid zegt Facebook dat ze gegevens met betrekking tot het account direct verwijdert als het account wordt verwijderd. Dat had in deze zaak dus op 26 januari moeten zijn gebeurd ...

(ii) De fase na de eerste sommatie
De 2e fase is na de eerste officiële sommatie van Chantal, op 30 april. Ik schets weer even de tijdslijn. Op 30 april sommeert de advocaat van Chantal om gegevens te verstrekken over de persoon die het account heeft aangemaakt en het filmpje heeft geplaatst.

Nog diezelfde dag reageert Facebook afhoudend, namelijk:

‘in order to assist you with your request, we’ll need to receive a valid subpoena or court order. Additionally, please be aware that there are situations where we may be unable to retrieve the informat ion you have requested due to technical limitat ions (…)’.

Op 5 mei sommeert de raadsman wederom. Er gebeurt kennelijk niks en dan besluit Chantal Facebook te dagvaarden voor de zitting van 11 juni jl. Maar pas na die dagvaarding komt Facebook op 8 juni met een officiële verklaring van het hoofd van de afdeling Online Safety Policy. Die verklaring luidt:

‘I have invest igated the Facebook account with user ID [naam digitaal adres] (‘Account’). The user who owned the Account requested that the Account be permanently deleted on 26 January 2015. As of that date, the Account was inaccessible to all people using Facebook. After the fourteen-day wait ing period, Facebook’s systems permanently deleted the Account on 10 February 2015. Because Facebook received no preservat ion request for the Account as of that date, all data, including basic subscriber information, was deleted on 10 February 2015. Facebook has had no access to or record of the informat ion requested by Ms. (…)’.

De rechter neemt het Facebook kwalijk dat ze op 30 april niet al heeft gezegd niet meer over die gegevens te beschikken:

‘Hoewel niet op voorhand aanleiding bestaat om aan de juistheid van de inhoud van die verklaring te twijfelen, is de vraag gerechtvaardigd waarom dit pas op 8 juni 2015 en niet reeds meteen naar aanleiding van de brief van 30 april 2015 aan eiseres is meegedeeld. Indien de gegevens na de brief van 30 april 2015 zijn verwijderd, is dat naar het oordeel van de voorzieningenrechter aan te merken als onzorgvuldig omgaan van Facebook met het door (de raadsman van) eiseres genoemde verzoek.’

Al deze onduidelijkheden leiden uiteindelijk tot een hard slotoordeel:

‘Tegen de achtergrond van voornoemde feiten en omstandigheden is de voorzieningenrechter van oordeel dat Facebook, door op de valreep te volstaan met de mededeling dat zij niet meer over de gevraagde gegevens beschikt bij het naleven van haar – in dit geval in beginsel aanwezige – rechtsplicht jegens eiseres tot het verstrekken van NAW-gegevens met betrekking tot degene die onrechtmat ig jegens eiseres heeft gehandeld, onvoldoende zorgvuldigheid in acht heeft genomen. Daarmee heeft Facebook op haar beurt naar het oordeel van de voorzieningenrechter onrechtmat ig gehandeld jegens eiseres.

Van Facebook kan op zijn minst worden gevergd om alles in het werk te stellen om na te gaan of de gegevens toch niet nog ergens traceerbaar zijn en, zo zij erbij blijft dat dit niet het geval is, om aan eiseres antwoord te geven op de (...) genoemde vragen. In het verlengde daarvan ligt besloten dat in het geval Facebook volhardt in haar standpunt dat geen enkel gegeven meer te vinden is, eiseres in dit geval recht op en belang heeft bij een onafhankelijk onderzoek naar de juistheid van de mededelingen van Facebook op dit punt.’

Voor mij is er maar één conclusie: Facebook is volstrekt niet transparant geweest, hetgeen tot argwaan bij de rechter heeft geleid. Die argwaan leidt tot het zelfs toestaan van een speurtocht naar data door een onafhankelijke deskundige. Dit moet pijnlijk zijn voor Facebook.

2. Onduidelijkheid voor internettussenpersonen: een verkapte bewaarplicht
Facebook bewijst niet alleen zichzelf, maar ook internettussenpersonen in het algemeen een slechte dienst met deze uitspraak. De positie van de neutrale, niet-aansprakelijke internettussenpersoon schuift weer een beetje op, en met deze uitspraak wordt kennelijk een verkapte bewaarplicht geïntroduceerd.

Even een stapje terug in de geschiedenis. Met de implementatie van de e-Commerce Richtlijn2 werd het zogenaamde ‘niet-aansprakelijkheidsregime’ voor internettussenpersonen geïntroduceerd. De Hoge Raad heeft in het Lycos/Pessers-arrest3 als volgt geformuleerd:

‘Met betrekking tot de levering van de in de art ikelen 12, 13 en 14 bedoelde diensten leggen de lidstaten de dienstverleners geen algemene verplicht ing op om toe te zien op de informat ie die zij doorgeven of opslaan, noch om act ief te zoeken naar feiten of omstandigheden die op onwett ige act iviteiten duiden.’ (…)
Art. 6:196c BW luidende, voor zover hier van belang:
‘4. Degene die diensten van de informat iemaatschappij verricht als bedoeld in art ikel 15d lid 3 van Boek 3, bestaande uit het op verzoek opslaan van een ander afkomst ige informat ie, is niet aansprakelijk voor de opgeslagen informat ie, indien hij: a. niet weet van de act iviteit of informatie met een onrechtmat ig karakter en, in geval van een schadevergoedingsvordering, niet redelijkerwijs behoort te weten van de act iviteit of informatie met een onrechtmatig karakter, dan wel b. zodra hij dat weet of redelijkerwijs behoort te weten, prompt de informat ie verwijdert of de toegang daartoe onmogelijk maakt.
5. Het hiervoor bepaalde staat niet in de weg aan het verkrijgen van een rechterlijk verbod of bevel.’

Het ‘niet-aansprakelijk, tenzij’ regime ziet op onmiskenbaar onrechtmatige content. De Hoge Raad introduceert in genoemd Lycos/Pessers-arrest vervolgens ook de algemene rechtsplicht voor het moeten vrijgeven van NAW-gegevens, die leidt tot onrechtmatig handelen als je dat niet doet. Niet onbelangrijk in deze kwestie: Lycos betwist als zodanig niet over deze gegevens te beschikken. Dat ligt in de Facebook zaak natuurlijk wezenlijk anders.

Inmiddels zien we dat de lijn van ‘niet aansprakelijk, tenzij’ aan het schuiven is; ik veronderstel die verschuiving enigszins bekend. Voorbeelden uit het verleden zijn onder andere de uitspraken rondom Marktplaats en Mininova. En recentelijk natuurlijk ook nog de Delfi-uitspraak van het EHRM.4 Rechters zoeken– kennelijk – naar argumenten waaruit blijkt dat je je als internettussenpersoon als het ware toch ‘bemoeit’ met de content. Dat lijkt de voorzieningenrechter in de Facebook-zaak ook te doen:

‘Wat betreft de grondslag van de vorderingen, wordt het volgende voorop gesteld. Onder omstandigheden kan op een provider de rechtsplicht rusten om NAW-gegevens te verstrekken aan een benadeelde (vgl. Hoge Raad 25 november 2005, Lycos/Pessers, ECLI: NL: HR: 2005: AU4019). Dit geldt temeer voor een provider van USG (User Generated Content) als Facebook, die zelf (mede) invloed uitoefent op hetgeen via haar medium wordt verspreid, onder meer door middel van het kenbaar maken van haar richtlijnen, het stellen van voorwaarden aan personen die een account aanmaken en het (al dan niet) ingrijpen wanneer ongepaste of aanstootgevende content wordt geplaatst.’

Ik ben het hier niet mee eens. Het enkel stellen van spelregels om lid te kunnen worden van een platformgemeenschap – die er feitelijk op neerkomen dat je geen onrechtmatige content mag plaatsen – betekent in mijn ogen niet dat je wetenschap hebt van die content. Het is sowieso niet toegestaan om onrechtmatige content te plaatsen, dus ik zie niet in waarom je kleur als neutrale internettussenpersoon verschiet als je contractuele borging van die regel zoekt.

3. Verkapte Bewaarplicht
Facebook betwist over de gegevens te beschikken, maar wordt toch veroordeeld deze gegevens te verstrekken. Dit is wat ik als de ‘verkapte bewaarplicht’ zie. Op drie plaatsen in het vonnis kan je deze verkapte bewaarplicht mijns inziens inlezen. Allereerst met betrekking tot de ‘rapporteer’ knop. Daarvan overweegt de voorzieningenrechter als volgt: ‘eiseres heeft terecht gesteld dat het in de rede had gelegen, gezien het beleid van Facebook zelf met betrekking tot ongewenste berichten, dat Facebook dit soort informat ie zou bewaren’. Met ‘dit soort informatie’ wordt gedoeld op meldingen van Facebookers dat content is ‘gerapporteerd’ als aanstootgevend en/of ongepast. Dat kan wat mij betreft niet anders betekenen dan dat je informatie moet bewaren over de (i) de content, en (ii) persoon over wie gerapporteerd wordt, maar ook over (iii) de Facebookers die rapporteren. Maar wat je dan precies moet bewaren? En in welke omstandigheden moet je die meldingen serieus nemen? Toegegeven, in het filmpje over Chantal is dat eigenlijk klip-en-klaar, maar er zijn ongetwijfeld minder duidelijke gevallen te bedenken. Bovendien kan je dit als gebruikers van een platform beïnvloeden. Even een berichtje aan je ‘vrienden’ om te rapporteren over bepaalde (negatieve) content. Klaar is kees.

Ten tweede met betrekking tot het gebruikersprofiel. Daarvan overweegt de voorzieningenrechter het volgende: ‘indien de gegevens na de brief van 30 april 2015 zijn verwijderd, is dat naar het oordeel van de voorzieningenrechter aan te merken als onzorgvuldig omgaan van Facebook met het door (de raadsman van) eiseres genoemde verzoek.’ Nog even voor de duidelijkheid: dit ziet op het verzoek van Chantal om onder andere naam, adres en woonplaats gegevens te verstrekken. Vast staat dat deze gebruiker zijn profiel heeft verwijderd op 26 januari. Ook staat vast dat de sommatie van Chantal gedateerd is op 30 april. Dat betekent mijns inziens dat je informatie over het gebruiksprofiel kennelijk minimaal 3 maanden moet bewaren.

Ten derde het dictum zelf. De voorzieningenrechter oordeelt dat Facebook de volgende gegevens moet afgeven:

‘a. de (opgegeven) voor- en achternaam
b. het e-mailadres en het mobiele nummer
c. de geboortedatum
d. het IP-adres van de computer die is gebruikt om de account aan te maken
e. de datum en tijd (en andere log-gegevens waarover Facebook mocht beschikken) ten aanzien van het aanmaken, gebruik en het verwijderen van de account’

Saillant: je bent bij Facebook niet verplicht je telefoonnummer op te geven als je een profiel aanmaakt. En nog saillanter wellicht: onderschat niet de reikwijdte en impact van de gegevens onder sub d. en sub e: dit is nogal wat om allemaal te moeten bewaren.

Als uitsmijter is mijn voorspelling dat Facebook (maar ook een beetje de voorzieningenrechter natuurlijk) de internettussenpersoon in een bijna onmogelijke spagaat brengt. Want deze uitspraak bevestigt immers dat je (persoons-)gegevens over onrechtmatig gedrag van je gebruikers moet bewaren. Dan word je op de voet van art. 31 van de Wet Bescherming Persoonsgegevens in de armen van het College Bescherming Persoonsgegevens gedreven. Die dient namelijk ‘voorafgaand aan een verwerking’ een onderzoek te verrichten naar de verwerking van persoonsgegevens over onrechtmatig gedrag te behoeve van derden, met name om de rechtmatigheid van die verwerking te toetsen. Daarmee heeft Facebook haar collega internettussenpersonen dus een slechte dienst bewezen. Wordt ongetwijfeld vervolgd.