Privacy  

Robert Kreuger heeft de Considerati Privacy Scriptieprijs 2015 gewonnen met zijn masterscriptie ‘Your app signature is more distinctive than your DNA’. De scriptie gaat over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app. Specifieker was zijn vraag: in hoeverre is een privacyverklaring van een app een overeenkomst in de zin van het Burgerlijk Wetboek en welke voordelen brengt dit met zich mee? In deze winnende scriptie worden de juridische en commerciële belangen van gegevensverwerking door apps op smart devices grondig uiteengezet. Ook gaat Robert in op de verbintenisrechtelijke classificatie van een privacyverklaring. Daarmee voegt hij een originele invalshoek toe aan de bestaande literatuur. Robert Kreuger heeft met zijn masterscriptie de meeste indruk gemaakt op de jury. Robert, van harte gefeliciteerd!

‘Your app signature is more distinctive than your DNA’
Over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app.
In deze masterscriptie is onderzocht hoe het aanvaarden van een privacyverklaring van een app in een verbintenisrechtelijke sleutel kan worden geplaatst. Naast een grondige uiteenzetting van de juridische en commerciële belangen van gegevensverwerking door apps op smart devices en de verbintenisrechtelijke classificatie van een privacyverklaring, wordt een originele invalshoek toegevoegd aan de bestaande literatuur. In het eerste gedeelte wordt het maatschappelijk en economisch belang van apps op smart devices weergegeven en wordt het juridisch kader rondom apps, gegevensverwerking en de verbintenisrechtelijke status van een privacyverklaring beschreven. In het tweede gedeelte wordt een koppeling gemaakt naar het daarvoor uiteengezette economisch belang en juridisch kader. Voorts worden in het derde gedeelte enkele conclusies getrokken en wordt er een aanbeveling gedaan met betrekking tot de wenselijkheid van de verbintenisrechtelijke status van een privacyverklaring in een app en de mogelijkheden omtrent de verwerking van persoonsgegevens door apps op smart devices. De probleemstelling van deze masterscriptie luidt als volgt: ‘In hoeverre is een privacyverklaring van een app een overeenkomst in de zin van het BW en welke voordelen brengt dit met zich mee?’

Autonomie en zelfbeschikking
Privacy betreft het afschermen van het eigen leven tegen ongewenste inmenging van buitenaf met als onderliggend belang autonomie en zelfbeschikking. Een onderdeel van (informationele) privacy is het recht op bescherming van persoonsgegevens, waarbij het gaat om voorwaarden waaronder persoonsgegevens verwerkt mogen worden. Kernbegrippen zijn bewustzijn, transparantie en doelbinding. Het probleem bij de verwerking van persoonsgegevens door apps op smartphones ligt echter in het ontbreken van bewustzijn (de meeste apps maken enkel gebruik van het aanvinken van een verklaring zonder dat de gebruiker bewust is van de gevolgen), het ontbreken van transparantie (vanwege de onduidelijkheid en onoverzichtelijkheid van een privacyverklaring), en het ontbreken van doelbinding (een groot deel van de apps verzamelt gegevens met een onvoldoende duidelijk omschreven doel).

Waarborgen privacy
In dit onderzoek wordt een (mogelijke) oplossing voor dit probleem gegeven waarbij alle drie de kernbegrippen bij de verwerking van persoonsgegevens door apps gewaarborgd worden: het kwalificeren van de privacyverklaring als wederkerige overeenkomst, het koppelen van economische waarde aan persoonsgegevens en het creëren van een markt voor persoonsgegevens die via apps verwerkt worden. Door persoonsgegevens te kwalificeren als (economisch) ruilmiddel, waarbij de privacyverklaring als wederkerige overeenkomst wordt gehanteerd, wordt er meer bewustzijn gecreëerd. Daarnaast ontstaat er controle over de persoonsgegevens bij de consument, waardoor transparantie zal toenemen en zodoende het principe van doelbinding zal worden nageleefd. Om dit te kunnen bewerkstelligen dienen privacy by design-beginselen (lees: privacyenhancing technologies) omtrent gegevensverwerking door apps op smartphones te worden geïmplementeerd. Gevolg is een sterkere bescherming van de consument, meer rechtszekerheid voor alle partijen en meer mogelijkheden voor maatschappelijke en economische innovatie.

Masterscriptie Privaatrecht in combinatie met Internet, intellectuele eigendom en ICT, 17 juni 2015, Faculteit der Rechtsgeleerdheid, Vrije Universiteit te Amsterdam.
Lees hier de gehele scriptie in R.J. Kreuger – Over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app.

Lees hier het artikel 'Privacy app dat kan en moet veel beter geregeld' op Netkwesties.nl

Lees hier het artikel 'Masterstudent Robert Kreuger winnaar Considerati Privacy Scriptieprijs 2015' op rechten.vu.nl

CBP 22 oktober 2015, IT 1896 (boetebeleidsregels)
Het College bescherming persoonsgegevens (CBP) heeft vandaag de conceptbeleidsregels voor het opleggen van een bestuurlijke boete door de Autoriteit Persoonsgegevens gepubliceerd. Belanghebbenden kunnen gedurende 4 weken reageren op deze conceptversie van de boetebeleidsregels. Per 1 januari 2016 krijgt het CBP (op dat moment: Autoriteit Persoonsgegevens) de bevoegdheid om boetes op te leggen als organisaties de Wet bescherming persoonsgegevens overtreden. Met de boetebeleidsregels beoogt het CBP inzicht te geven in hoe de hoogte van een bestuurlijke boete zal worden bepaald. De maximale boete is 810.000 euro.

Boetebevoegdheid
De wetgever heeft besloten de sanctiemogelijkheden van het CBP te versterken om zo de naleving van de Wbp te bevorderen. Het CBP vindt hierbij vooral de preventieve werking van de boetebevoegdheid van belang. De verwachting is namelijk dat de boetebevoegdheid bedrijven en overheden zal stimuleren om in een eerder stadium aandacht te besteden aan de bescherming van persoonsgegevens. Hierdoor kunnen privacyovertredingen worden voorkomen. Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. In andere gevallen gaat hier een bindende aanwijzing aan vooraf.

Hoogte boete
Uitgangspunt bij het bepalen van de hoogte van een boete is dat deze in verhouding moet staan tot de begane overtreding. In de conceptboetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte-systematiek. Dit betekent dat de beboetbare wettelijke bepalingen per wettelijk boetemaximum van 810.000 euro, 450.000 euro of 20.250 euro ingedeeld zijn in een aantal boetecategorieën met daaraan verbonden in zwaarte oplopende boetes. Daarnaast geeft het CBP in de beleidsregels inzicht in de relevante factoren die bepalend zijn voor de hoogte van een boete in een concreet geval.

Consultatie boetebeleidsregels
Het CBP nodigt belanghebbenden uit om in de komende 4 weken op de nu gepubliceerde conceptversie te reageren. Het CBP zal rekening houden met deze reacties in de definitieve versie van de boetebeleidsregels. Reacties op de boetebeleidsregels kunnen worden ingezonden via consultatieboetebeleid@cbpweb.nl.

Autoriteit Persoonsgegevens
De definitieve versie van de boetebeleidsregels treedt op 1 januari 2016 in werking. Vanaf die datum heeft het CBP ook een nieuwe naam: Autoriteit Persoonsgegevens.

CBP 21 oktober 2015, IT 1895 (Privacybescherming) - Internationaal
Privacy. Negentien toonaangevende privacyexperts uit de VS en Europa hebben tien praktische voorstellen ontwikkeld om trans-Atlantisch het niveau van bescherming persoonsgegevens te verhogen. De meeste voorstellen kunnen binnen de bestaande wetgeving ter hand genomen worden en wereldwijd worden geïmplementeerd. Het gaat om pragmatische bruggen waar mensen, bedrijven, overheden en toezichthouders voordeel van gaan hebben.
De experts werkten samen in het Privacy Bridges project en presenteren de bruggen tijdens de Internationale Privacy Conferentie eind oktober in Amsterdam. "Ik heb met enthousiasme kennisgenomen van het eindresultaat van het Privacy Bridges project. Ik kijk uit naar de discussie over de voorgestelde bruggen met de 700 conferentiedeelnemers volgende week", zegt Jacob Kohnstamm voorzitter van het College bescherming persoonsgegevens (CBP) en initiatiefnemer van het Privacy Bridges project. De 700 conferentiedeelnemers van over de hele wereld bespreken de voorgestelde bruggen.

VS en EU
Het internet kent geen grenzen. Via het internet gaan enorme hoeveelheden persoonsgegevens de wereld over. Wet- en regelgeving kennen daarentegen wél grenzen. In de VS gelden bijvoorbeeld ingrijpend andere regels voor het verzamelen en gebruik van persoonsgegevens dan in de EU. Voor burgers is het daardoor lastig om hun rechten te doorgronden en daarvoor op te komen, voor bedrijven is het complex om met de verschillende en soms tegenstrijdige regelgeving om te gaan en voor toezichthouders is de noodzakelijke samenwerking op grensoverschrijdende zaken ingewikkeld. “Al vele jaren worden er pogingen gedaan om de andere kant van de oceaan van het eigen gelijk te overtuigen en wordt op verschillende continenten apart het wiel uitgevonden. Door deze houding zijn voor de hand liggende oplossingen om persoonsgegevens wereldwijd beter te beschermen niet eerder bedacht of van de grond gekomen”, aldus Jacob Kohnstamm. “De leden van het project hebben de verschillen in wetgeving even aan de kant gezet. Zij zijn daardoor gekomen tot een realistische aanzet om praktische bruggen te bouwen die het leven van mensen, bedrijven, overheden en toezichthouders net wat makkelijker kunnen maken en het niveau van bescherming persoonsgegevens zullen verhogen”.

Brug: Regie over eigen persoonsgegevens
Een van de belangrijke bruggen is het verder ontwikkelen van een techniek om internetgebruikers weer ‘in control’ te laten zijn over hun persoonsgegevens. “De internetgebruiker is nu een marionet die niet weet wie er aan de touwtjes, aan zijn persoonsgegevens trekt. Het wordt tijd dat mensen zelf de touwtjes weer in handen krijgen”, aldus Kohnstamm. Bedrijven moeten de techniek kunnen gebruiken om hun internetdienst zo in te richten dat er aan de verschillende regels in de VS en de EU wordt voldaan bij het verzamelen en gebruiken van persoonsgegevens. En internetgebruikers moeten op een simpele manier hun voorkeuren kunnen aangeven. Voor het bouwen van deze brug kan gebruik worden gemaakt van bestaande technische bouwstenen die in het kader van eerdere initiatieven zijn ontwikkeld, onder meer door de W3C Tracking Protection Working Group.

Brug: Standaardisatie meldproces datalekken
Datalekken hebben niet alleen binnen landsgrenzen, maar ook wereldwijd impact. Het antwoord op een datalek zou daar rekening mee moeten houden. Op dit moment gelden er tientallen verschillende wetten voor het melden van datalekken met grote verschillen in de definitie van een datalek en de termijn waarop een lek moet worden gemeld. Het voorstel is te komen tot standaardisatie van het meldproces, zonder nu de wetten te moeten veranderen. Dit kan één formulier zijn waarmee bedrijven het lek kunnen melden aan al hun klanten in de wereld en de betrokken toezichthouders. Kohnstamm: “Dit zou een forse vermindering van de administratieve lasten betekenen”.

Brug: Samenwerking overheden
Beleidsmakers in de VS en de EU werken aan dezelfde privacyvraagstukken. Zij doen dat niet met elkaar, maar naast elkaar. Het zou efficiënt én effectief zijn als er op meer structurele basis informatie-uitwisseling, kennisdeling en samenwerking tussen overheden is bij deze maatschappelijke vraagstukken. Dit begint bij het kennen van rugnummers aan beide zijden van de oceaan en een vorm van overleg. “Het is verbazingwekkend dat dit te weinig en zeker niet structureel gebeurd” zegt Kohnstamm. “Het is tijd dat de regering van de VS en de Europese Commissie gezamenlijk actie ondernemen”. 

Privacy Bridges project
Het Privacy Bridges project stond onder leiding van het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam en het Massachusetts Institute of Technology (MIT). Het project  werd gecoördineerd door Danny Weitzner, plaatsvervangend hoofd Internetbeleid van het Witte Huis in de eerste periode van Obama en Nico van Eijk, hoogleraar Informatierecht aan het IViR, een van de toonaangevende privacyonderzoeksgroepen in Europa.

CBP besluit 5 augustus 2015, IT 1889 (Randstad / Adecco)
Zie eerder IT 1782. Het College bescherming persoonsgegevens (CBP) heeft het ‘Privacyprotocol persoonsgegevens pre-employment screening’ van Randstad Nederland B.V. en Adecco Group Nederland rechtmatig verklaard. Dit protocol beschrijft de werkwijze bij het uitvoeren van pre-employment screeningen om de achtergrond van flexwerkers te controleren of te onderzoeken. Het CBP concludeert dat de beschreven werkwijze in het protocol voldoende privacywaarborgen bevat.

Randstad en Adecco Group Nederland bemiddelen in (tijdelijk) werk tussen flexkrachten en opdrachtgevers. Het komt daarbij regelmatig voor dat opdrachtgevers een pre-employment screening eisen voordat zij een flexkracht willen inhuren. Een pre-employment screening is het doorlichten van het (arbeids)verleden van de kandidaat. Bij zo’n screening verwerken Randstad en Adecco Group Nederland mogelijk strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag. Dit zijn zogeheten bijzondere persoonsgegevens, die een organisatie alleen bij uitzondering mag verwerken.

Beroep tegen CBP-besluit
Bent u belanghebbende? Dan kunt u beroep instellen tegen het besluit van het CBP bij de rechtbank. U heeft 6 weken de tijd om een beroepschrift in te dienen. Deze termijn loopt vanaf 5 augustus 2015, de datum waarop het CBP-besluit is gepubliceerd in de Staatscourant.

Bijdrage ingezonden door Gerrit-Jan Zwenne, Universiteit Leiden. Een tijd geleden alweer ontving ik van Cbp, waarvan de collegeleden inmiddels terug zijn van vakantie, het besluit op mijn wobverzoekje, met daarbij de eerst nog als vertrouwelijk gekwalificeerde consultatieversie van de richtsnoeren cameratoezicht.

Erin staan een handvol interessante dingen. Ik noem er een paar van. Zo is volgens de richtsnoeren geen sprake is van een gegevensverwerking (in de zin van art. 1, onder b, Wbp) als een videocamera ‘slechts monitort, dat wil zeggen alleen ‘meeloopt’ en niets vastlegt’. (par. 2.2, bldz. 13). Ik vraag mij af of dat juist is. De verwijzing naar de toelichting op het Vrijstellingsbesluit Wbp (Stb. 2001, 250, p. 71) vind ik niet overtuigend.

Ook interessant is de wijze hoe in het document wordt aangekeken tegen bijzondere gegevens (in de zin van art. 16 Wbp). In HR 23 maart 2010 (ECLI:NL:HR:2010:BK6331) heeft ons hoogste rechtscollege met zoveel woorden uitgemaakt dat op beeldmateriaal wél de bepalingen betreffende ras- of gezondheidsgegevens van toepassing zijn, ook als niet beoogd zou zijn om aan de beeldmateriaal dergelijke gevoelige of bijzondere gegevens te ontlenen (overw. 2.6). De concept richtsnoeren gaan daaraan op de volgende creatieve wijze voorbij:

Op camerabeelden van personen zijn de fysieke kenmerken van die personen zichtbaar. Zo is bijvoorbeeld zichtbaar of iemand een bril draagt (wat iets zegt over zijn visuele gezondheid) of een hoofddoek (wat iets kan zeggen over godsdienstige overtuiging). Tevens kan iemands ras van de camerabeelden worden afgeleid. Dit zou in de praktijk betekenen dat àlle camerabeelden van personen bijzondere persoonsgegevens zijn. Daarvoor zal in veel gevallen geen uitzondering te vinden zijn in artikel 17 tot en met 23 Wbp, terwijl het betreffende cameratoezicht an Bich niet als onaanvaardbaar hoeft te worden aangemerkt. Het CBP acht een strikte uitleg van het begrip ‘bijzondere persoonsgegevens’ derhalve een (juridisch) onwerkbare situatie. Het idee achter de bescherming van bijzondere persoonsgegevens is immers de mogelijkheid van discriminatie op basis van die gegevens. Indien die mogelijkheid niet aanwezig is, dan wel niet voor de hand ligt, hoeft niet te worden voldaan aan de uitzonderingssituaties van artikel 17 tot en met 23 Wbp. Gelet hierop merkt het CBP camerabeelden van een persoon niet als bijzondere persoonsgegevens aan als (1) het doeleinde van de verwerking niet gericht is op het verwerken van bijzondere persoonsgegevens dan wel op het onderscheid maken op grond van een bijzonder persoonsgegeven; (2) het voor de verantwoordelijke redelijkerwijs niet voorzienbaar is dat de verwerking zal leiden tot het maken van onderscheid; en (3) de verwerking van die bijzondere persoonsgegevens onvermijdelijk is bij die verwerking.

De redenering is ook opmerkelijk omdat die niet lijkt te verenigen met de in 2012 door Cbp gepubliceerde richtsnoeren over het kopietje paspoort. Daarin staat (par. 4.1, bldz. 13) dat het begrip ‘ras’ “ruim moet worden uitgelegd” en dat het “zowel iemands nationaliteit [omvat] als kenmerken waaruit zijn of haar etnische afkomst kan worden afgeleid, zoals bij een pasfoto.”

Over rasgegevens en beeldopnamen, en het arrest van de Hoge Raad, schreef ik in 2010 een bijdrage voor het Privacy & Informatie.

Ktr. Rechtbank Rotterdam 25 april 2014, IT 1882; ECLI:NL:RBROT:2014:3975 (eiser tegen Stichting Waterweg Wonen)
Privacy. Camerasysteem. De verhouding tussen eiser en Familie B is niet goed. Eiser wil dat Waterweg Wonen het camerasysteem van Familie B verplaatst zodat de voordeur van eiser niet via het camerasysteem kan worden bekeken en de persoonlijke gegevens van eiser uit het camerasysteem verwijdert. Er is geen sprake van ongeoorloofde inbreuk op de privacy van eiser. Als daarvan al sprake zou zijn, dan gaat het om een zodanig beperkte inbreuk dat het belang van het plaatsen van het camerasysteem (vergroten van veiligheid), moet prevaleren boven het belang van eiser. Er kan namelijk niet worden gezegd dat Familie B daadwerkelijk de voordeur van eiser in de gaten houdt. Als daarvan wel sprake zou zijn, dan hoeft dat niet te betekenen dat het via het camerasysteem gaat. Eiser heeft immers ook aangegeven dat de buurvrouw het dichtdoen van zijn voordeur kan horen. Eiser kan daarnaast zelf eenvoudig gegevens uit het camerasysteem verwijderen.

4.2 De kantonrechter overweegt als volgt. Over de werking van het camerasysteem heeft Waterweg Wonen aangevoerd dat het hoofdzakelijk is gericht op de voordeur van de bewoner zelf, dat het niet mogelijk is in de woning van de buren te kijken, dat het niet filmt, dat het automatisch een foto maakt van de bezoeker die aanbelt, maar dat de bewoner niet zelf foto’s kan maken. Nog daargelaten dus of de buren met het camerasysteem ook de voordeur van [eiser] goed kunnen zien, kan niet worden vastgesteld dat zij die voordeur daadwerkelijk in de gaten houden. [eiser] heeft in dat verband aangegeven dat het voorkomt dat de buurvrouw achter hem aangaat, zodra hij de woning heeft verlaten. In het midden latende of de buurvrouw dat inderdaad doet, hoeft het in ieder geval niet te betekenen dat zij hem via het camerasysteem heeft gezien. [eiser] heeft namelijk ook heeft aangegeven dat de buurvrouw het dichtdoen van zijn voordeur kan horen.

4.5 [eiser] vordert verder verwijdering van zijn persoonlijke gegevens uit het camerasysteem. In dit verband heeft Waterweg Wonen, onder overlegging van de handleiding, aangevoerd dat indien [eiser] geen gebruik wil maken van de door het camerasysteem geboden mogelijkheid van video-bellen met medebewoners en ook niet wil dat zijn gegevens voor andere bewoners zichtbaar zijn, hij deze gegevens zelf eenvoudig uit het camerasysteem kan verwijderen. Nu [eiser] deze stellingname niet heeft weersproken, wordt uitgegaan van de juistheid daarvan. Dit brengt de kantonrechter tot het oordeel dat [eiser] geen belang heeft bij dit deel van de vordering, wat daarvan verder ook zij.

Vzr. Rechtbank Noord-Holland 24 september 2015, IT 1881; ECLI:NL:RBNHO:2015:8098 (Triple C Au Pair e.a. tegen Else Globe B.V.)
Rechtspraak.nl: Nakoming overeenkomst (SLA). Gedaagde (ontwikkelaar van app) heeft aan eiseres (een au pair bemiddelingsbureau) de toegang tot de beheersfunctionaliteiten van de app ontzegd, waardoor eiseres haar community van au pairs niet meer kan bereiken. Geschil tussen partijen over het ondertekenen van een Service Level Agreement waarin gedaagde aanspraak maakt op eigenaarschap van de gebruikersdata en aan eiseres beperkingen oplegt in het gebruik van gebruikersdata. Ordemaatregelen getroffen. Vordering tot het verlenen van toegang aan eiseres tot het dashboard toegewezen, alsmede om eiseres in staat te stellen oneigenlijk gebruik van de app te bestrijden, alsmede een verbod aan gedaagde om berichten naar de gebruikers van de app te sturen die niet tevoren met eiseres zijn afgestemd, een en ander op straffe van een dwangsom.

2 Uitgangspunten

2.1. Triple C is een au pair bemiddelingsbureau. Zij is in mei 2014 tijdens de Australian Youth Tourism Exchange-conferentie in Sydney in contact gekomen met Else, die daar aanwezig was voor de promotie van haar app.

2.2. Else ontwikkelt sinds 2009 een computerprogramma en sinds 2014 een app waarmee jonge rugzaktoeristen (backpackers) onderling contact kunnen houden. De backpackers-app van Else kan gratis worden gedownload. Else verdient haar investeringen in deze app terug door de gebruikers aan de hand van hun persoonsgegevens te categoriseren en vervolgens aan commerciële derde partijen de mogelijkheid aan te bieden om via Else commerciële berichten naar gebruikers te versturen. Teneinde voldoende gebruikers te krijgen die haar app downloaden sluit Else overeenkomsten met zogenaamde ‘brand partners’. Dit zijn meestal reisorganisaties. Brand partners beschikken over een klanten- of relatiebestand van potentiële gebruikers. De app van Else wordt dan ‘gebrand’ (gemerkt) overeenkomstig de huisstijl van de brand partner. Dit kost enkele honderden euro’s. De brand partners kunnen op deze wijze de app tegen lage kosten aanbieden aan hun klanten.

2.3. Triple C heeft medio 2014 aan Else opdracht gegeven om een app te realiseren waarmee au pairs contact met elkaar kunnen leggen en een sociaal netwerk kunnen opbouwen in het land waar ze verblijven. Ook wilde Triple C via deze app informatie aan de au pairs toezenden over culturele uitjes en andere informatie ter bevordering van hun culturele uitwisseling.

2.6. Else heeft op 31 augustus 2014 een offerte aan Triple C toegezonden. In de offerte wordt een totaalbedrag van € 2.395,- voor de realisatie van de au-pair app vermeld, alsmede dat de kosten voor updates € 29,- per maand bedragen vanaf de beschikbaarheid van de au pair-app in de Androidstore en Appstore. Triple C heeft de offerte op 11 september 2014 ondertekend en geretourneerd.

2.9. Op 10 november 2014 is de au pair-app in gebruik genomen. Inmiddels maken ongeveer 2000 au pairs gebruik van de app. Dit betreft voornamelijk jonge vrouwen met een gemiddelde leeftijd tussen de 18 en 25 jaar. Sinds november 2014 heeft Triple C tientallen oneigenlijke gebruikers, voornamelijk mannen, geïdentificeerd. Deze zijn op verzoek van Triple C door Else van de app verwijderd.

2.12. Tussen partijen is een geschil ontstaan over de SLA, dat Else in verschillende varianten ter ondertekening aan Triple C heeft voorgelegd. Partijen zijn daar niet uitgekomen. Else heeft op 20 april 2015 Triple C de toegang tot het dashboard van de app ontzegd, waardoor Triple C haar gebruikersgroep en hun gegevens niet meer kan bereiken.

2.13. Triple C heeft Else bij e-mail van 24 april 2015 om opheldering gevraagd, in gebreke gesteld en gesommeerd om haar onmiddellijk toegang tot de app te verlenen. Else heeft hier geen gehoor aan gegeven.

4 De beoordeling

4.2. Blijkens de e-mailwisseling van 24 juli 2014 en 29 juli 2014 is tussen partijen van meet af aan gesproken over het exclusieve beheer van de au pair-app, onder meer over de toegang tot de gebruikersgroep en de gebruikersgegevens. Else schrijft daarover letterlijk aan Triple C dat zij toegang krijgen tot de gegevens zoals zij worden ingevoerd binnen de app en dat de branded app in principe de app van Triple C is, met toegang tot haar gebruikers.

4.8. Het heeft er alle schijn van dat Else tijdens het traject met Triple C veel meer uit handen heeft gegeven dan zij later wilde, toen zij steeds meer mogelijkheden voor haar eigen app zag op basis van de input en wensen van Triple C, en dat zij toen heeft getracht haar positie tegenover Triple C te verstevigen. Else heeft betoogd dat zij aan al haar branded partners een SLA voorlegt die qua privacy policy en terms of use luiden als de SLA’s die aan Triple C zijn voorgelegd, maar Else heeft daarvan geen enkel exemplaar in het geding gebracht. Ook gaat Else eraan voorbij dat er in dit geval geen sprake meer was van een standaard branded app, maar een app die afweek van de app die zij tot mei 2014 aan haar klanten aanbood. De au pair-app betrof een in samenwerking met Triple C door-ontwikkelde dan wel omgebouwde app.

4.9. De Lissabon-SLA voldoet op zich aan de wens van Triple C om te komen tot het exclusieve beheer van de app (daarbij stuurt Else geen berichten meer door aan de gebruikers, zodat partijen geen discussie zullen krijgen over de relevantie van de berichten voor de au pairs) maar daar hangt een prijskaartje aan. Gezien het feit dat de au pair-app inmiddels al een community van 2000 gebruikers heeft (dankzij de promotie van Triple C) zal Triple C daarvoor nu maandelijks 5 keer zoveel voor de app moeten betalen dan zij thans doet. Dat strookt niet met de doelstelling van Triple C, die de app anders dan Else niet gebruikt voor commerciële doeleinden. En dat strookt ook niet met afspraken tussen partijen waarbij Triple C al toegang tot de gebruikers en de gebruikersgegevens zou krijgen, wat later via het dashboard is gerealiseerd.

4.10. Thans probeert Else Triple C in feite te dwingen tot het ondertekenen van de WYSTC-SLA dan wel de Lissabon-SLA, door haar de toegang tot het dashboard te onthouden. Onder voornoemde omstandigheden staat haar dat echter niet vrij. Daarom zal de voorzieningenrechter de onderhavige ordemaatregelen treffen.

4.11. Else dient Triple C onmiddellijk weer de toegang tot het dashboard te verschaffen op de wijze vóór de afsluiting. Ter zitting is van de zijde van Else toegezegd dat zij dat zou doen, mede gelet op de schikkingsonderhandelingen tussen partijen. Triple C heeft nadien niet aangegeven dat zij (nog steeds) geen toegang (meer) heeft, zodat de voorzieningen-rechter ervan uitgaat dat Else zich aan haar toezegging heeft gehouden. Zekerheidshalve zal de voorzieningenrechter de vordering van Triple C desalniettemin toewijzen.

4.12. De vordering tot het in staat stellen van Triple C tot het zelf bestrijden van oneigenlijk gebruik van de app zal eveneens worden toegewezen. Gesteld noch gebleken is dat dat technisch onmogelijk is terwijl het voor Triple C gelet op de kwetsbaarheid van de au pairs van groot belang is dat voortvarend tegen oneigenlijk gebruik wordt opgetreden. Indien dat door tussenkomst van Else moet plaatsvinden gaat dat kennelijk niet snel genoeg. Else schermt in dit verband met de privacy policy en de Wet bescherming persoonsgegevens, maar vooralsnog is onduidelijk in hoeverre dat in de weg staat aan het door Triple C bestrijden van oneigenlijk gebruik, nu zij op grond van de afspraken tussen partijen al in vergaande mate toegang heeft tot de gegevens die door de gebruikers worden ingevoerd in de app.

4.13. De vordering van Triple C om Else te verbieden om berichten van commerciële derde partijen te sturen aan de gebruikers van de au pair-app zal worden toegewezen als na te melden, als een minder verstrekkende variant van het gevorderde. Triple C heeft erkend dat zij wist van het verdienmodel van Else en dat zij heeft ingestemd met het zenden van commerciële berichten. Zij kan thans in redelijkheid niet verwachten dat de berichtgeving door Else in zijn geheel wordt gestaakt. Echter, nu Else zelf stelt dat voorkomen dient te worden dat aan de gebruikers van de au pair-app ongepaste aanbiedingen worden gedaan of dat de gebruikers de app als een irritant reclamekanaal ervaren, is het niet onredelijk van Triple C dat zij zeggenschap wil hebben over de frequentie en de aard van de berichten die Else stuurt. Partijen dienen daarover in overleg te treden, waarbij Triple C zich coulant dient op te stellen.

5 De beslissing

De voorzieningenrechter:

5.1. veroordeelt Else om binnen één dag na betekening van dit vonnis aan Triple C vrije toegang te verlenen tot het dashboard van de Au Pairs Around app;
5.2. veroordeelt Else om binnen één week na betekening van dit vonnis Triple C in staat te stellen om zonder tussenkomst van Else oneigenlijk gebruik van de Au Pairs Around app te bestrijden;
5.3. bepaalt dat Else een dwangsom verbeurt van € 1.000,- voor ieder(e) dag(deel) dat Else in gebreke blijft met de nakoming van de veroordelingen onder 5.1. en 5.2., met een maximum van € 25.000,-;
5.4. verbiedt Else berichten te sturen aan de gebruikers van de Au Pairs Around app die niet tevoren in redelijk overleg met Triple C zijn afgestemd, op straffe van verbeurte van een dwangsom van € 200,- voor iedere keer dat zij dit verbod overtreedt, met een maximum van € 5.000,-;
5.5. veroordeelt Else in de proceskosten, tot op heden aan de zijde van Triple C begroot op
€ 707,19 aan verschotten en op € 816,- voor salaris advocaat;
5.6. verklaart dit vonnis uitvoerbaar bij voorraad;
5.7. wijst af het meer of anders gevorderde.

HvJEU 1 oktober 2015, IT 1879; C-201/14 (Smaranda Bara e.a./Președintele Casei Naționale de Asigurări de Sănătate e.a.)
Uit het persbericht: De richtlijn betreffende de verwerking van persoonsgegevens (red. Richtlijn 95/46/EG) regelt de verwerking van persoonsgegevens wanneer deze zich in een gegevensbestand bevinden of zullen bevinden. Smaranda Bara en verschillende andere Roemeense burgers zijn zelfstandigen. De Roemeense belastingdienst heeft de gegevens betreffende hun aangegeven inkomsten overgedragen aan het nationale socialezekerheidsfonds, dat vervolgens betaling heeft gevorderd van achterstallige bijdragen aan het ziekteverzekeringsstelsel. De betrokkenen betwisten voor het Curtea de Apel Cluj (hof van beroep te Cluj, Roemenië) dat deze overdracht wettig is uit het oogpunt van de richtlijn. Zij zijn van mening dat hun gegevens zijn gebruikt  voor andere doeleinden dan die waarvoor ze oorspronkelijk zijn meegedeeld aan de belastingdienst, zonder daarover op voorhand te zijn geïnformeerd. Het Hof oordeelt dat het recht van de Unie in de weg staat aan de overdracht en verwerking van persoonsgegevens tussen twee overheidsinstanties van een lidstaat zonder dat de betrokken en daarover op voorhand werden geïnformeerd.

Lees hier het volledige persbericht.

HvJ EU 6 oktober 2015, IT 1878; ECLI:EU:C:2015:650; C-362/14 (Maximillian Schrems/Data Protection Commissioner)
Safe harbour. Uit het persbericht: Het Hof verklaart de beschikking van de Commissie dat de Verenigde Staten een passend niveau van bescherming van doorgegeven persoonsgegevens waarborgen, ongeldig. Terwijl het Hof als enige bevoegd is om een handeling van de Unie ongeldig te verklaren, mogen de nationale toezichthouders waarbij een verzoek is ingediend, ook wanneer er een beschikking van de Commissie is waarbij wordt vastgesteld dat een derde land waarborgen voor een passend niveau van bescherming van de persoonsgegevens biedt, onderzoeken of de doorgifte van de gegevens van een persoon naar dat land voldoet aan de vereisten van de Unieregelgeving over de bescherming van deze gegevens en zich, zoals de betrokkene, tot de rechter wenden met het oog op een prejudiciële verwijzing om de geldigheid van die beschikking te laten onderzoeken

Op andere blogs:
IViR
Ius Mentis
CBP
Mediareport

Prejudiciële vragen aan HvJ EU 1 oktober 2015, zaak C-201/14 (Smaranda Bara tegen Presedintele Casei Nationale de Asigurari de Sanatate)
Prejudiciële verwijzing. Verwerking persoonsgegevens. De prejudiciële beslissing betreft de uitleg van art. 124 VWEU en art. 10,11 en 13 van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens. Het Hof verklaart voor recht: Dat de artikelen 10,11 en 13 van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer moeten worden uitgelegd dat nationale maatregelen, zoals die welke in het hoofdgeding, een overheidsinstantie van een lidstaat toestaan om persoonlijke gegevens door te geven aan een andere overheidsdienst en daaropvolgende behandeling, zonder dat de betrokkenen op de hoogte zijn van deze transmissie of behandeling.

Sur les dépens
47      La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.
Par ces motifs, la Cour (troisième chambre) dit pour droit:
Les articles 10, 11 et 13 de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doivent être interprétés en ce sens qu’ils s’opposent à des mesures nationales, telles que celles en cause au principal, qui permettent à une administration publique d’un État membre de transmettre des données personnelles à une autre administration publique et leur traitement subséquent, sans que les personnes concernées n’aient été informées de cette transmission ou de ce traitement.