Privacy  

Rechtbank Amsterdam 13 november 2014, IT 1639 (Eiser tegen ING)
Beschikking. Wbp. Incidentenregister. Eiser heeft een zakelijke rekening bij ING. ING heeft eiser geregistreerd in het Incidentenregister. Reden hiervoor is de verdenking van het schuldwitwassen in de zin van artikel 420quater sub b Sr. Eiser betwist dat hij zich schuldig heeft gemaakt aan fraude, omdat het gebruik van zijn bankpas nog geen bewijs voor betrokkenheid vormt. Volgens eiser is daarom niet voldaan aan het proportionaliteitsvereiste. De rechtbank wijst het verzoek af.

4.6. Voor deze sterk van het normale patroon afwijkende pinbetalingen heeft [eiser] geen plausibele verklaring gegeven. Met betrekking tot de bedragen € 1.100,00 en € 1.400,00, € 2.260,00 en € 7.000,00 die op respectievelijk 26 september 2013, 16 oktober 2013 en 7 november 2013 zijn afgerekend heeft [eiser] slechts verklaard dat hij over een periode van een kleine anderhalve maand goede klandizie had van een klant met een busje, waarvan hij de naam niet kent, die beweerde dat hij een cateringbedrijf had. Daarbij zou de betaling van € 7.000,00 een betaling zijn voor een viertal aankopen waarvan drie eerder op krediet. Met betrekking tot de overige frauduleuze pintransacties heeft [eiser] in het geheel geen verdere toelichting gegeven. Terecht wijst ING in dit verband op de volgende pintransacties; € 5.000,00 op 22 februari 2013 (19:14 uur), twee betalingen met dezelfde ABN AMRO-betaalpas op 1 en 2 augustus 2013 van € 2.495,00 (19:24 uur) en € 2.493,00 (0:05 uur!); € 7.000,00 op 18 september 2013 (18:52 uur) en € 7.000,00 op 4 oktober 2013 (21:23 uur). Ter gelegenheid van de mondelinge behandeling heeft [eiser] op de vraag of hij ook maar een persoon kent of kan noemen die verantwoordelijk is geweest voor de 35 verdachte pintransacties, geantwoord dat hij die personen kent als hij ze ziet maar dat hij niet weet hoe ze heten of waar ze wonen. Hoewel de rechtbank, bij een bedrijf zoals door [eiser] wordt gevoerd, er begrip voor heeft dat leveringen ook op basis vertrouwen (lees: op krediet) plaatsvinden, acht zij het – zonder nadere toelichting die [eiser] niet heeft gegeven – onbegrijpelijk dat leveringen op krediet plaatsvinden aan iemand die je niet kent en waarvan je niet eens de (voor)naam weet of de naam van zijn bedrijf. Dit brengt met zich dat de rechtbank aan deze “verklaring” van [eiser] in het geheel geen waarde toekent.

4.7. [eiser] stelt in zijn aanvulling op het verzoek, althans zo begrijpt de rechtbank, dat hem geen verwijt kan worden gemaakt, omdat tegenover de frauduleuze pintransacties daadwerkelijk leveringen hebben gestaan. Ter onderbouwing van deze stelling heeft [eiser], thans voor het eerst, een rapport van 22 augustus 2014 van [naam 3] (zie hiervoor onder 2.14) overgelegd. Het rapport concludeert dat de gestelde frauduleuze pintransacties het resultaat zijn van daadwerkelijke leveringen. Het rapport is evenwel, volgens de ter gelegenheid van de mondelinge behandeling afgelegde verklaring van [naam 3], slechts deels gebaseerd op de werkelijke inkoopcijfers zoals die uit de door [eiser] verstrekte administratie blijken maar voor het overige op veronderstellingen en schattingen. Zo heeft [naam 3] tijdens de mondelinge behandeling verklaard dat hij steekproefsgewijze de omvang van de voorraad heeft vastgesteld. Bovendien zijn de werkelijke inkoopcijfers niet door een accountant gecontroleerd. Echter, zelfs als [eiser] voor de frauduleuze pintransacties daadwerkelijk levensmiddelen heeft geleverd, heeft ING terecht kunnen concluderen dat sprake is van schuldwitwassen. Naar het oordeel van de rechtbank had [eiser], gelet op hetgeen hiervoor onder 4.5. is overwogen, moeten begrijpen dat er iets niet in de haak was. De rechtbank wijst in dit verband ook op de door ING als productie 5 overgelegde lijst met frauduleuzepintransacties waaruit blijkt dat bijvoorbeeld op 26 september 2013 de pinbedragen steeds kleiner worden als blijkt dat de pintransacties niet lukken. De rechtbank is dan ook van oordeel dat, nu vaststaat dat (i) via de betaalautomaat van [eiser] frauduleuze transacties zijn verricht, (ii) [eiser] als enige de betaalautomaat bediende, (iii) alle grote pintransacties frauduleuze pintransacties betreffen die afwijken van de normale bedrijfsvoering van de winkel en (iv) [eiser] geen enkele plausibele verklaring heeft gegeven voor deze transacties, ING terecht heeft concluderen dat sprake is van een zwaardere verdenking dan een redelijk vermoeden van schuld van betrokkenheid bij in elk geval (schuld)witwassen.

4.8. Tot slot dient de rechtbank een belangenafweging te maken en te beoordelen of voldaan is aan de proportionaliteitsvereiste. De persoonsgegevens van [eiser] zijn voor de duur van acht jaar opgenomen in de betreffende registers. Ter gelegenheid van de mondelinge behandeling heeft ING toegelicht dat de persoonsgegevens bij fraude in beginsel altijd voor de duur van acht jaar worden opgenomen, tenzij sprake is van verzachtende omstandigheden. Daarbij moet worden gedacht aan persoonlijke omstandigheden zoals een jeugdige leeftijd en de omvang van de gepleegde fraude. Het is begrijpelijk, zoals ING ook heeft aangegeven, dat [eiser] nadeel ondervindt van de opname in de registers en met name dat hij in de winkel geen gebruik meer kan maken van een betaalautomaat. Hier staat tegenover dat slechts 1/3 deel van alle betalingen via de pin verliepen en dus niet zijn hele inkomen is komen te ontvallen. Daar komt bij dat [eiser] tijdens de mondelinge behandeling wel heeft verklaard dat het slechter gaat met de winkel, maar dat hij van die stelling geen enkel bewijs heeft overgelegd. De omstandigheid dat het (mogelijk) enigszins slechter gaat met de zaak weegt overigens niet op tegen het belang van ING en de overige banken dat betaalautomaten niet worden gebruikt voor fraude.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) zet vraagtekens bij het wetsvoorstel waarin wordt geregeld dat de privacytoezichthouder een bestuurlijke boete voor overtredingen van de privacywetgeving kan opleggen. Dit wetsvoorstel is vandaag door de staatssecretaris van Veiligheid en Justitie aan de Tweede Kamer gezonden.

Het CBP pleit al langere tijd voor een boetebevoegdheid. De verwachting is dat een boetebevoegdheid bedrijven en overheden zal stimuleren om aan de bestuurstafel na te denken over de bescherming van persoonsgegevens.

De voorgestelde werkwijze in het wetsvoorstel maakt echter dat het CBP niet snel en effectief zal kunnen optreden tegen grove schendingen van de privacywetgeving. “Dit wetsvoorstel leidt niet tot een betere naleving van de Wet bescherming persoonsgegevens”, aldus de voorzitter van het CBP Jacob Kohnstamm. “De roep in de samenleving is om een waakhond met tanden. Nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven."

Met samenvatting van Bartosz Sujecki, Bavelaar & Bavelaar. Uit het persbericht: BGH stelt prejudiciële vragen aan het Hof van Justitie over de uitleg van de EU-privacyrichtlijn. In deze procedure gaat het om het opslaan van dynamieke IP-adressen. Daarbij gaat het om IP-adressen die bij een bezoek van een website door de website zelf worden opgeslagen. In deze procedure worden de IP-adressen op websites van de Duitse overheid opgeslagen. Met zijn prejudiciële vragen wil de BGH weten, of IP-adressen als persoonsgebonden gegevens moeten worden beschouwd.

Het BGH heeft twijfels of dit het geval is, omdat hiermee geen rechtstreekse identificatie van een persoon mogelijk is en bovendien de ISP geen informatie omtrent de indentiteit van de gebruiker aan de bevoegde instanties mocht verstrekken. Indien het Hof van oordeel is dat het bij IP-adressen om persoonsgebonden gegevens gaat, wil de BGH van het Hof weten of het op grond van de EU-privacyrichtlijn mogelijk is om een bepaling in de nationale wetgeving op te nemen, waarmee het opslaan van een IP-adres mogelijk is, indien dit noodzakelijk is voor het gebruik van de website. In dit geval mag het opslaan niet langer duren dan het bezoek van de website.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft kennis genomen van de reactie van het kabinet op de uitspraak van het Europees Hof van Justitie over de bewaarplicht verkeersgegevens. Het Hof bepaalde in mei van dit jaar dat een algemene bewaarplicht van verkeersgegevens in strijd is met het fundamentele recht op de bescherming van persoonsgegevens zoals dat is verankerd in Europees recht. Uit een brief die gisteren aan de Tweede Kamer is gezonden blijkt dat het kabinet voor Nederland desalniettemin vasthoudt aan de opslag van verkeersgegevens. Het CBP zal de kabinetsreactie en het bijbehorende in consultatie gegeven wetsvoorstel zorgvuldig bestuderen. In eerdere adviezen benadrukte het CBP een aantal keer dat aangetoond moet worden waarom het bewaren van deze gegevens noodzakelijk zou zijn.
Lees verder

Brief versterking van DigiD, kamerstukken II 2014-2015, 26 643, nr. 332 - lijst vragen/antwoorden nr. 333
Naar aanleiding van berichtgeving rondom de veiligheid van DigiD in een tv-uitzending van Opgelicht! op 18 oktober 2014 hebben de regering en minister de Tweede Kamer als volgt geïnformeerd:

2. Recent doorgevoerde maatregelen
– Er worden voortaan e-mails verstuurd aan burgers bij belangrijke wijzigingen aan hun DigiD, zoals bij het wijzigen van een wachtwoord. Op die manier wordt het makkelijker voor burgers om misbruik van hun DigiD te herkennen.
– Op dit moment worden DigiD activeringscodes in kwetsbare postcodegebieden thuisbezorgd. In totaal zijn in 2014 ca. 7500 brieven thuisbezorgd per koerier.
– Er zijn maatregelen tegen DDoS-aanvallen genomen. Dit is belangrijk voor de beschikbaarheid en continuïteit van DigiD maar ook voor de veiligheid.
– Onlangs is DigiD beveiligd om het mogelijk te maken beter de integriteit en authenticiteit van de website te controleren en phishing te bemoeilijken.

3. Nog door te voeren maatregelen ter versterking van DigiD

Het komend jaar wordt er naar alternatieven voor de bestaande twee-factor authenticatie met SMS (DigiD Midden) gekeken, die tegen lagere kosten op grote schaal kunnen worden toegepast. Dit kan bijvoorbeeld een app zijn waarmee een extra verificatiecode op smartphone of tablet kan worden ontvangen. De eerste pilots starten naar verwachting medio 2015.
Om een nog grotere mate van zekerheid over iemands identiteit te verkrijgen bij het inloggen t.o.v. DigiD Midden met SMS, wordt er een aantal mogelijkheden onderzocht waarbij er een extra controle plaatsvindt, nadat iemand is ingelogd met DigiD, door het uitlezen van gegevens op de chip van een wettelijk identiteitsdocument (bv identiteitskaart, rijbewijs). Die gegevens worden vervolgens geverifieerd aan de hand van de betreffende documentregisters. Hiermee wordt het mogelijk om digitaal diensten aan te bieden die dat hogere betrouwbaarheidsniveau vereisen.

Mede naar aanleiding van de aanbeveling van de Algemene Rekenkamer, wordt ook uitvoering gegeven aan een Actieplan voor het oplossen van de bevindingen op DigiD. Hiermee zal de robuustheid van DigiD verder toenemen. Inmiddels zijn enkele van de bevindingen opgelost. Zoals eerder gemeld wordt er naar gestreefd ook de overige bevindingen vóór het einde van het jaar op te lossen.

20 Wat gaat u doen om de slachtoffers te helpen die er nu al zijn in verband met ongeautoriseerde toegang tot DigiD?
21 Bent u voornemens een afdeling op te zetten die casus van benadeelden beoordeeld? Zo ja, hoe wordt die vormgegeven? Of ligt die bevoegdheid, of blijft die bevoegdheid liggen, bij respectievelijk Logius en de afnemers? Welk risico houdt dat in voor het afschuiven van problemen binnen de keten?
22 Vindt u het terecht dat mensen, die buiten hun eigen schuld slachtoffer worden van veiligheids-problemen rond DigiD, bijvoorbeeld door uit de brievenbus geviste brieven, geld, dat ze nooit hebben aangevraagd en nooit hebben ontvangen, moeten terugbetalen aan de overheid?
In de uitzending kwamen enkele slachtoffers van fraude via DigiD aan het woord. Deze fraudegevallen staan overigens los van de betreffende kwetsbaarheid.
De inzet van de overheid is slachtoffers snel te helpen en schadeloos te (doen) stellen. Slachtoffers van identiteitsfraude kunnen ook altijd bij het Centraal Meldpunt Identiteitsfraude terecht. Bij vastgestelde fraude wordt altijd aangifte gedaan. Wel blijkt zorgvuldig onderzoek van groot belang omdat helaas blijkt dat niet altijd op voorhand eenvoudig vast te stellen is wat er precies gebeurd is en daders en slachtoffers niet altijd eenduidig te onderscheiden zijn. De zaken van de in uitzending aan het woord gekomen slachtoffers worden nader onderzocht.

Hof Arnhem-Leeuwarden 7 november 2014, IT 1632 (Appellant tegen SNS Reaal)
Privacy. Bescherming persoonsgegevens. Verzoek tot verwijdering van persoonsgegevens op grond van art. 46 Wet bescherming persoonsgegevens (Wbp). Fiscaal jurist en registeraccountant verrichten werkzaamheden bij financiële dienstverlener en worden wegens o.m. het voorhanden hebben en opmaken van valse facturen geregistreerd in het interbancaire waarschuwingssysteem. In casu toetsing aan Protocol Incidentenwaarschuwingssysteem financiële instellingen. Voor registratie bestaat voldoende feitelijke grond, de duur van de interbancaire registratie (acht jaren) is in dit geval echter niet proportioneel. Het hof neemt daarbij in aanmerking dat de registratie voor verzoekers feitelijk op een vrijwel volledige uitsluiting om hun beroep uit te oefenen neerkomt. Het hof acht, alles afwegend, een termijn van drie jaren op zijn plaats.

5.11 Gelet op het voorgaande moet de conclusie zijn dat het er voldoende feitelijke grond bestond om [appellant 1] en [appellant 2] in het interbancaire waarschuwingssysteem te registreren. Daarmee falen de grieven 2, 3 en 4.
De vraag die vervolgens nog moet worden beantwoord, en die in grief 5 aan de orde wordt gesteld, is of die registratie ook proportioneel is (art. 5.2.1. onder c Protocol).
Het hof stelt vast dat opname in het incidentenregister, en met name in het daaraan gekoppelde EVR, verstrekkende consequenties kan hebben. Alle deelnemende banken en financiële instellingen kunnen immers door toetsing aan het EVR vaststellen dat er sprake is van opname in het incidentenregister van (een) andere deelnemer(s). Vervolgens kunnen zij nadere informatie omtrent de reden van opname opvragen. Dit kan ertoe leiden dat niet alleen de deelnemer die tot opname in het incidentenregister is overgegaan, maar ook andere deelnemers hun (financiële) diensten aan de opgenomen persoon zullen weigeren. Gelet daarop dienen hoge eisen te worden gesteld aan de grond(en) voor opname in de registers. In het voorgaande ligt besloten dat aan die gronden is voldaan. In het onderhavige geval brengt de registratie echter niet alleen een uitsluiting van financiële diensten mee, maar heeft zij ook gevolgen voor de broodwinning van de geregistreerden. [appellant 1] en [appellant 2] achten de registratie om die reden disproportioneel. Subsidiair stellen zij dat deze niet langer dan een jaar (een periode die intussen reeds is verlopen) zou mogen duren.
[appellant 1] en [appellant 2] hebben overtuigend aangevoerd dat hun opname in de registers hen tot persona non grata in de financiële wereld heeft gemaakt en het nagenoeg wegvallen van hun inkomen heeft veroorzaakt. Dat wordt door SNS Reaal op zichzelf ook niet betwist. SNS Reaal heeft aangevoerd dat van een volledige blokkade op de arbeidsmarkt geen sprake is omdat alleen de banken toegang hebben tot de registratie, zodat een dienstverband buiten de financiële sector of bij justitie of de belastingdienst gewoon tot de mogelijkheden behoort. SNS Reaal miskent daarbij echter dat de professie van [appellant 1] en [appellant 2], die respectievelijk fiscaal jurist en registeraccountant zijn, meebrengt dat zij een EVR registratie aan een eventuele toekomstige werk- of opdrachtgever hebben te melden en dat deze vervolgens minder genegen zal zijn om met hen in zee te gaan. Het is naar het oordeel van het hof dan ook voldoende aannemelijk dat de maatregel in hun geval, gelet op hun werkervaring tot nu toe, de facto op een vrijwel volledige uitsluiting om hun beroep uit te oefenen neerkomt. Die zware repercussie wordt voor een belangrijk deel gerechtvaardigd door het gegeven dat financiële integriteit in het beroep dat zij bekleden hoog in het vaandel staat en dat van hen, meer nog dan van ieder ander, op dat punt betrouwbaarheid en onkreukbaarheid mag worden verwacht. Het hof is evenwel van oordeel een registratietermijn van acht jaren in dit geval de grenzen van proportionaliteit overschrijdt. Het hof acht hier, alles afwegend, een termijn van drie jaren op zijn plaats. Dit betreft evenwel uitsluitend voor de vermelding in het EVR. De gebeurtenissenadministratie en het IVR maken deel uit van de eigen administratie van SNS Reaal en zijn als zodanig niet voor anderen toegankelijk, zodat het bezwaar van een beroepsblokkade daar niet (of in veel mindere mate) aan kleeft. Dat betekent dat grief 5 ten dele slaagt.
Uitgaande van een registratie per 2 april 2013 betekent dat dat het verzoek tot verwijdering uit het EVR met ingang van 2 april 2016 toewijsbaar is. De daaraan verbonden vordering tot het opleggen van dwangsommen is eveneens toewijsbaar, zij het dat het hof deze zal matigen en aan een maximum zal verbinden zoals hierna vermeld.

Hof Arnhem-Leeuwarden 4 november 2014, IT 1629 (KPN geïntimeerde)
Wet bescherming persoonsgegevens. Registratie gerechtvaardigd? Belangenafweging. Op naam van geïntimeerde zijn meerdere telefoonabonnementen met mobiele telefoons afgesloten. [geïntimeerde] heeft op 8 april 2013 op het politiebureau te Nieuwegein aangifte gedaan van diefstal van haar ID-kaart en bankpas. Contracten worden niet ontbonden, maar wel kosteloos beëindigd, vordering zal niet aan een incassobureau worden overgedragen en geïntimeerde wordt bij stichting Preventel aangemeld. Geïntimeerde verzoekt om verwijdering van haar gegevens. Omdat geïntimeerde daadwerkelijk slachtoffer is van identiteitsfraude kan het niet-betalen niet leiden tot registratie bij Preventel.

4.4. Deze grief faalt. De brief van 31 juli 2013 van de gemachtigde van [geïntimeerde], in samenhang gelezen met de brief van 4 juni 2013 van KPN en de brieven van 12 juni 2013 en 31 juli 2013 van Preventel, kan immers niet anders worden verstaan dan als een verzoek van [geïntimeerde] om verwijdering van haar gegevens bij Preventel.
Het betoog van KPN dat aan [geïntimeerde] nog niet bekend kon zijn welke gegevens geregistreerd waren bij Preventel, zodat zij eerst daarover nog bij KPN opheldering had moeten verzoeken, faalt eveneens. Uit de mededeling van KPN in haar brief van 4 juni 2013, gevolgd door de brieven van Preventel, dat de gegevens van [geïntimeerde] geregistreerd staan, kon [geïntimeerde] immers afleiden dat het hier om de voor de verkrijging van een (mobiel) telefoonabonnement benodigde gegevens gaat, welke KPN klaarblijkelijk via de op naam van [geïntimeerde] aangevraagde telefoonabonnementen had verkregen. In dat kader was het voor [geïntimeerde] een overbodige handeling om bij KPN na te vragen welke gegevens van haar bij Preventel waren geregistreerd.
[geïntimeerde] is om die reden terecht ontvankelijk verklaard in haar verzoek.

4.8. Op grond van artikel 8 Wbp mogen persoonsgegevens onder meer worden verwerkt indien de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke (KPN) of van een derde (andere telefoonaanbieders) aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van degene wiens gegevens worden verwerkt ([geïntimeerde]), prevaleert.
Artikel 8 Wbp bevat een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen. Het artikel behelst bovendien dat bij elke verwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van [geïntimeerde] mogen dus niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel van KPN en het doel waarvoor de persoonsgegevens worden verwerkt mag in redelijkheid niet op een andere, voor [geïntimeerde] minder nadelige wijze kunnen worden verwerkelijkt.
De verwerking is derhalve uitsluitend toelaatbaar indien zij noodzakelijk is met het oog op het belang van KPN of een andere telefoonaanbieder én het belang van [geïntimeerde] niet prevaleert.

4.9. KPN heeft als grondslag voor de registratie aangevoerd haar niet voldane vordering op [geïntimeerde] uit hoofde van de verstrekking van de telefoons.
Zij heeft daarbij vermeld dat zij er, om haar moverende redenen, voor heeft gekozen om deze vordering niet te innen, maar te kiezen voor registratie van de gegevens van [geïntimeerde] totdat [geïntimeerde] de vordering van KPN heeft voldaan. Een ander belang bij de registratie heeft zij niet aangevoerd.
Daarmee heeft zij deze registratie in feite als een dwangmiddel gebruikt om [geïntimeerde] tot betaling te bewegen.

4.11. Gelet op deze wederzijdse belangen van partijen, is naar het oordeel van het hof een registratie van de persoonsgegevens van [geïntimeerde] bij Preventel slechts gerechtvaardigd als er aan de zijde van KPN zodanig sterke aanwijzingen worden aangevoerd dat de door [geïntimeerde] gestelde identiteitsfraude niet op voorhand aannemelijk is. In dit kader is niet van belang of [geïntimeerde] een verwijt valt te maken dat er civielrechtelijk toe zou kunnen leiden dat zij de vordering van KPN zou dienen te voldoen, nu in het onderhavige geval niet de verschuldigdheid van de vordering, maar de noodzakelijkheid van registratie onder de omstandigheden van dit geval, centraal staat.

4.14. Al deze onder 4.13 vermelde feiten en omstandigheden lijken er op te duiden dat [geïntimeerde] daadwerkelijk het slachtoffer is geworden van diefstal van haar ID-kaart en bankpas. Het enkele niet betalen door [geïntimeerde] van de vordering van KPN kan onder die omstandigheden niet leiden tot het oordeel dat de registratie van de gegevens van [geïntimeerde] bij Preventel in die mate noodzakelijk is voor de behartiging van het gerechtvaardigde belang van KPN dat dit belang dient te prevaleren boven het gerechtvaardigde belang van [geïntimeerde] om niet geregistreerd te zijn.
Het verzoek is om die reden dan ook terecht toegewezen, wat er verder zij van de daartoe gebezigde gronden.

Dirkzwager IE IT

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) constateert dat het in de praktijk lastig blijkt om een vereiste grondslag te vinden voor iedere verwerking van persoonsgegevens in het sociaal domein. Vanaf 1 januari 2015 gaan gemeenten belangrijke taken uitvoeren op het gebied van jeugdzorg, werk en inkomen en de zorg aan langdurig zieken en ouderen. In het sociaal domein worden veel taken op verschillende manieren door verschillende partijen uitgevoerd. Gemeenten moeten steeds vaststellen op welke grondslag uit de Wet bescherming persoonsgegevens de gegevensverwerking kan worden gebaseerd. Dat is tijdrovend, ingewikkeld en soms zelfs onmogelijk.

Zo ontbreekt een wettelijke basis als gemeenten – zoals nu blijkt uit de praktijk - persoonsgegevens willen uitwisselen voor taken die niet concreet terug te vinden zijn in de wetten over jeugdzorg, werk en inkomen en zorg voor langdurig zieken en ouderen. Het CBP adviseert daarom een deugdelijke wettelijke basis te creëren voor het werken met gegevens van burgers in het sociaal domein. Hiermee worden de rechtszekerheid en transparantie voor gemeenten en burgers over het doel, de noodzaak en de rechtmatigheid van de verwerking van persoonsgegevens bevorderd.
Meer lezen

N. Helberger, oratie: Media and users: towards a new balance, IViR, 19 september 2014.
In the digital media environment user attention is scarce and competition for ‘eyeballs’ is fierce. Profiling and targeting users with customized news and advertisements is widely seen as a solution, and part of a larger trend to invest in what the New York Times has called ‘smart new strategies for growing our audience’. The shift from public information intermediary to personal information service creates new dynamics but also new imbalances in the relationship between the media and their users. In my inaugural speech I will state that to restore the balance, the media and regulators in Brussels and The Hague need to develop a vision of how to deal with issues such as media user privacy, editorial integrity and more generally ‘fair algorithmic media practices’."

CBb 30 september 2014, IT 1615 (appellant tegen ACM)
Zie eerder IT 377. Begrip verzender in artikel 11.7 Tw. De essentie van het verzenden van een e-mailbericht is dat een elektronisch bericht (de inhoud, de boodschap) door de afzender wordt verstuurd aan de geadresseerde. De afzender kan daarbij een hulpmiddel, hulpdienst of hulppersoon gebruiken. Hulppersonen rekent het College niet tot de verzenders als zij naar maatschappelijke opvatting de verantwoordelijkheid voor de verzending niet dragen. Daarmee sluit het College aan bij de opvatting van de wetgever, die uitdrukkelijk van het begrip verzender uitsluit de provider die alleen de elektronische overbrengingsfaciliteit biedt. Het College sluit daarbij tevens aan bij ECLI:NL:CBB:2012:BW8802, waarvan de overwegingen reeds een aanwijzing vormen voor het belang dat het College hecht aan de mate van invloed op de samenstelling van de verzendlijsten voor de vraag of iemand als (mede-)verzender kan worden aangemerkt.

Appellant heeft met de IPS-dienstverlening een adressenbestand aan derden ter beschikking gesteld waarbij het voor deze derden niet mogelijk was te controleren of de in het bestand voorkomende adressen werden gebruikt door ontvangers die toestemming hadden gegeven voor het gebruik van dat adres voor de betreffende mailing.

4.4.3. De Tw kent geen definitie van het begrip verzender. De term komt ook niet voor in Richtlijn 2002/58/EG die alleen, zonder dat die term is gedefinieerd, het begrip afzender kent. Oorspronkelijk stond het begrip verzender ook niet in artikel 11.7 Tw. Een wetswijziging van 19 mei 2004 (Stb 2004, 189) introduceerde deze term.

4.4.5. Appellant heeft met de IPS-dienstverlening een adressenbestand aan derden ter beschikking gesteld waarbij het voor deze derden niet mogelijk was te controleren of de in het bestand voorkomende adressen werden gebruikt door ontvangers die toestemming hadden gegeven voor het gebruik van dat adres voor de betreffende mailing. De vergelijking die appellant maakt met een online malingprogramma gaat niet op, omdat de afnemers van de diensten van de website IPS betaalden voor de mailing vanwege het door appellant via de website IPS aangeboden adressenbestand. Dat de betrokken afnemer vanaf 15 september 2008 de mogelijkheid had om een eigen adresbestand toe te voegen, is van ondergeschikte belang. Daar komt bij dat de verzending van de berichten plaats vond vanaf de servers van appellant en dat in de via de website IPS verzonden berichten het e-mailadres van Serinco was opgenomen (ten behoeve van de bouncende mails). Daarmee had appellant een zodanig bepalende rol bij het opstellen van de verzendlijst van de mailings, dat hij, nu hij ook (als enige) het profijt had van de website IPS, terecht als verzender is aangemerkt.

4.8. Het hoger beroep slaagt voor wat betreft de hoogte van de boete in verband met de overschrijding van de redelijke termijn. Voor het overige slaagt het hoger beroep niet. Het College zal de aangevallen uitspraak, voor zover aangevochten, vernietigen voor zover het de hoogte van de boete betreft, het bij de rechtbank ingestelde beroep gegrond verklaren en het besluit van 29 oktober 2009 vernietigen voor zover het de hoogte van de opgelegde boete betreft. Zelf in de zaak voorziend, zal het College het boetebesluit van 17 juni 2009 gedeeltelijk herroepen en het boetebedrag lager vaststellen.

ACM