Privacy  

F.J. van Eeckhoutte, Iedereen heeft het recht om met rust gelaten te worden. Of niet? IT 1700.
Bijdrage ingezonden door Filip van Eeckhoutte, Van Eeckhoutte advocaten. In bepaalde media wordt een wat te rooskleurig beeld geschetst over het vergeet-mij-principe dat sinds het Costeja Gonzalez-arrest [HvJ EU 13 mei 2014, zaak C-131/12, ECLI:EU:C:2014:317] onderwerp van debat vormt. Hoe kom je van je online verleden af? Stel je voor: als je jouw naam googelt, verschijnt het kinderachtige artikel dat je ooit voor de schoolkrant schreef bovenaan in de zoekresultaten. En vlak daaronder een reactie op een YouTube-video die je ooit in een opwelling plaatste; de toon ervan bevalt je bij nader inzien totaal niet. En nu ben je aan het solliciteren, dus je wilt dat die informatie niet het eerste is wat HR-medewerkers zien als ze jouw naam intypen in Google voor een background check. Daar is nu een oplossing voor, aldus NRC.
Lees verder

Rechtbank Midden-Nederland 17 februari 2015, IT ; ECLI:NL:RBMNE:2015:922 (Phishing neppagina's Bol.com Wehkamp en Otto)
Strafrecht. Webwinkel. De rechtbank Midden-Nederland veroordeelt een 20-jarige verdachte uit Amsterdam-Zuidoost tot een gevangenisstraf van veertien maanden, waarvan zes maanden voorwaardelijk, en een taakstraf van 160 uur. Volgens de rechtbank heeft de verdachte computers gehackt en vervolgens (klanten van) verschillende webwinkels en klanten van een bank opgelicht.

De verdachte was betrokken bij een criminele organisatie die zich gedurende lange tijd bezighield met phishing fraude. De organisatie verstuurde een phishing e-mail met daarin een link naar een nagemaakte inlogpagina van bijvoorbeeld een webwinkel. Nadat de lezer op deze neppagina zijn inloggegevens had ingevoerd, kon de organisatie met die inloggegevens op de echte pagina van de webwinkel bestellingen plaatsen. Er werden op deze manier onder andere telefoons, tablets, laptops en camera’s besteld. Vervolgens werden de afleveradressen van de bestaande klanten gewijzigd. De gewijzigde adressen werden doorgeven aan postbezorgers, die tevens deel uitmaakten van de criminele organisatie. De postbezorgers tekenden indien nodig voor ontvangst en hielden de pakketten achter. Er werd nooit voor de bestelde goederen betaald.

Verdachte heeft op deze manier op stelselmatige wijze verschillende webwinkels en klanten van een Nederlandse bank opgelicht. Hij heeft hiermee financiële schade en veel overlast veroorzaakt voor de (klanten van) die webwinkels en de bank. Daarbij komt dat het vertrouwen van consumenten in het online bestelproces en betalingsverkeer is geschaad.

Prejudiciële vragen aan HvJ EU 28 oktober 2015, IT 1698; zaak C-582/14 (Breyer tegen Duitsland)
Persoonsgegevens. Privacy. Vragen:

1. Dient artikel 2 richtlijn betreffende gegevensbescherming – aldus te worden uitgelegd dat een internetprotocoladres (IP-adres) dat een aanbieder van diensten in verband met de toegang tot zijn internetsite opslaat, voor deze aanbieder reeds dan een persoonsgegeven vormt, wanneer een derde (in casu: de aanbieder van de toegang) beschikt over de bijkomende kennis die nodig is om de betrokken persoon te identificeren?

2. Verzet artikel 7, onder f, van de richtlijn betreffende gegevensbescherming zich tegen een regel van nationaal recht op grond waarvan de aanbieder van diensten persoonsgegevens van een gebruiker zonder diens toestemming enkel mag verzamelen en benutten, voor zover dit nodig is om het concrete gebruik van het telemedium door de betrokken gebruiker mogelijk te maken en te factureren en op grond waarvan de doelstelling die erin bestaat de goede werking van het telemedium in het algemeen te waarborgen, niet rechtvaardigt dat de gegevens worden benut na afloop van het betrokken gebruik?

Verzoeker Patrick Breyer heeft een vordering tegen Duitsland ingesteld tot staking van opslag van internetprotocoladressen (IP-adressen). Deze adressen worden op door computergebruikers bezochte internetportalen (het gaat hier over openbare internetportalen van de federale overheden) opgeslagen met gegevens over tijdstip van opvraging en de hoeveelheid gegevens die zijn geraadpleegd. Verzoeker eist staking van het (doen) bewaren van die gegevens. Het geadieerde Amtsgericht verwerpt zijn beroep. In hoger beroep wordt hij gedeeltelijk in het gelijk gesteld: verweerster wordt veroordeeld tot staking van het na afloop van het betrokken gebruik, samen met het tijdstip van het betrokken gebruik, bewaren of door derden doen bewaren van het IP-adres van het host-systeem van verzoeker waarmee de toegang plaatsvindt, dat in verband met het gebruik van voor het publiek toegankelijke telemedia van verweerster via internet wordt verstuurd, voor zover verzoeker zijn personalia tijdens het gebruik ook opgeeft in de vorm van een e-mailadres waaruit zijn personalia blijken en tenzij de bewaring in geval van storing nodig is om de beschikbaarheid van het telemedium te herstellen. Beide partijen vragen ‘revision’: verzoeker vordert veroordeling zonder de door de appelrechter gegeven beperkingen; verweerster handhaaft haar standpunt dat het beroep in zijn geheel moet worden afgewezen.

De verwijzende DUI rechter (Bundesgerichtshof) is van mening dat het IP-adres tezamen met het tijdstip van gebruik en in gevallen waarin de gebruiker zijn echte naam meedeelt een persoonsgegeven vormt. Gebruik na afloop is naar DUI recht ongeoorloofd indien verzoeker daarvoor geen toestemming heeft verleend en er geen rechtvaardigingsgrond is of een in de wet vereiste ‘noodzaak’ (bijvoorbeeld voor facturering). Voor verweerster vormt het enkele IP-adres echter geen persoonsgegeven omdat de houder/gebruiker zo niet kan worden geïdentificeerd. Het doorgeven aan derden is slechts in beperkte gevallen toegestaan (bijvoorbeeld voor een strafrechtelijk onderzoek). Veilige exploitatie valt daar niet onder. Voor wat betreft de vraag of verzoeker „identificeerbaar” was (voorwaarde voor een persoonsgegeven) constateert hij dat de heersende opvatting is dat sprake moet zijn van een relatief criterium. Dat wil zeggen dat identificatie voor de betreffende instantie gepaard moet gaan met een onevenredige besteding van tijd, kosten en inspanning, zodat het risico op identificatie nagenoeg onbestaande lijkt (zie ook overweging 26 bij RL 95/46). Voor de uitlegging van het nationale recht is bepalend hoe de kwalificatie als persoonsgegeven in artikel 2, onder a, van de richtlijn betreffende gegevensbescherming dient te worden begrepen.

Vzr. Rechtbank Gelderland 24 december 2014, IT 1680; ECLI:NL:RBGEL:2014:8167 (SNS Bank tegen Stichting Krediet Verdriet)
Stichting Krediet Verdriet plaatst namen, telefoonnummers, emailadressen en links naar persoonlijke en/of zakelijke profielen van (oud-)werknemers van de SNS Bank op de website bankenboeven.nl. De belangenafweging van vrijheid van meningsuiting (7 Grondwet en 10 EVRM) tegenover inbreuk op persoonlijke levenssfeer (285b Sr en 8 Wbp), slaat uit naar de laatste. Zij krijgt een verbod op het internet publiceren van deze persoonlijke gegevens.

De voorzieningenrechter veroordeelt gedaagde en Stichting Krediet Verdriet om binnen twaalf uur na betekening van het vonnis alle persoonsgegevens van werknemers en/of oud-werknemers van SNS Bank als bedoeld in artikel 1 sub a van de Wet Bescherming Persoonsgegevens waaronder tenminste namen, links naar persoonlijke of zakelijke profielen op andere websites en telefoonnummers en e-mailadressen te verwijderen en verwijderd te houden van de website Bankenboeven.nl of elke andere openbare bron, digitaal of anderszins,

Rechtbank Amsterdam 29 januari 2015, IT 1678; ECLI:NL:RBAMS:2015:207 (verzoeker tegen T-Mobile)
Wbp. Verzoek om inzage persoonsgegevens inclusief verkeersgegevens en locatiegegevens subsidiair Cell-ID's afgewezen, nu reeds op de My T-Mobile site inzage wordt gegeven. T-Mobile is met betrekking tot de overige verzochte gegevens niet gehouden om inzage te geven.

3.1. [verzoeker] verzoekt de rechtbank T-Mobile te bevelen om aan [verzoeker] inzage te verlenen in alle persoonsgegevens, inclusief verkeersgegevens, inclusief locatiegegevens, op straffe van een dwangsom van 500 euro per dag. Subsidiair verzoekt [verzoeker] T-Mobileom met betrekking tot de verkeersgegevens alleen de Cell ID’s waarmee zijn telefoon verbinding heeft gemaakt te verstrekken, en niet ook het radioplan.

4.3.
De rechtbank volgt T-Mobile op dit punt. Er is geen grond om T-Mobile te verzoeken tot verstrekking van locatiegegevens die zij in haar normale bedrijfsvoering niet creëert. Dat T-Mobile op grond van de wet op last van het bevoegd gezag gehouden kan zijn om de persoonsgegevens die zij verwerkt te combineren met het radioplan en zodoende de locatie van een klant op een bepaald moment vast te kunnen stellen, maakt niet dat dergelijke locatiegegevens deel uitmaken van de persoonsgegevens die T-Mobile in haar bedrijfsvoering verwerkt. Artikel 35 Wbp geeft [verzoeker] dan ook niet het recht om T-Mobile om een overzicht van dergelijke locatiegegevens te vragen.

4.4.
Dat T-Mobile op verzoek wel bereid is voor een periode van 10 dagen aan een klant locatiegegevens te verstrekken, in de vorm van de postcode van de zendmast(en) waarmee contact is gemaakt aan het begin en het einde van de mobiele contacten van die klant, maakt dit niet anders. Ook is de beperking van deze inzage tot 10 dagen naar het oordeel van de rechtbank gerechtvaardigd, nu T-Mobile onbetwist heeft gesteld dat zij hiervoor handmatig de gegevens uit het radioplan omzet in postcodes, omwille van de bedrijfsvertrouwelijkheid en de geheime nummers in de verkeersgegevens anonimiseert, omwille van de privacy. Het belang van T-Mobile om deze handelingen niet voor een heel jaar aan verkeersgegevens te hoeven uitvoeren hoeft bovendien niet te worden afgewogen tegen een belang van [verzoeker], omdat T-Mobile niet gehouden is tot het geven van een overzicht van locatiegegevens en [verzoeker] geen rechtens te respecteren belang heeft bij het verzoeken om creatie van locatiegegevens.

4.5.
Anders ligt het wat betreft de persoonsgegevens die T-Mobile wel in haar normale bedrijfsvoering verwerkt.

4.7.
De rechtbank is van oordeel dat de codes van de zendmasten waarmee een telefoon contact heeft gemaakt geen persoonsgegevens zijn waarin op grond van de Wbp inzage moet worden verstrekt. Persoonsgegevens in de zin van de Wbp zijn herleidbaar tot een geïdentificeerde of identificeerbare natuurlijke persoon. Een code die alleen tot een zendmast is te herleiden is dat niet. Ook het radioplan is geen persoonsgegeven in de zin van de Wbp, nu het een database betreft waarin slechts gegevens van de zendmasten van T-Mobile zijn opgenomen. Dit zijn gegevens die zijn te herleiden tot een zendmast, en niet tot een identificeerbare persoon.

4.8.
Slechts wanneer de code van de zendmast wordt gekoppeld aan het radioplan, kan de locatie van een natuurlijk persoon op een moment dat zijn mobiele telefoon contact maakt(e) met een zendmast, worden vastgesteld.

Rechtbank Rotterdam 16 september 2014, IT 1664; ECLI:NL:RBROT:2014:7633 (Ijsselkids tegen verweerder)
Bewijs. Ontslag. Naar aanleiding van een bezoekersklacht omtrent ongewenste benadering van een minderjarige scholier via Facebook door verweerder stelt Ijsselkids (werkgever) een onderzoek in. Verweerder verstrekt vrijwillig inloggegevens voor zijn Facebook-account. Daarin wordt een vriendschapsverwijdering aangetroffen, terwijl verweerder heeft gesteld nooit ‘bevriend’ geweest te zijn. Ook worden intimiderende chat-berichten aangetroffen, waarvan het versturen door werknemer wordt ontkend. De kantonrechter acht het verweer niet overtuigend en ontbindt van de arbeidsovereenkomst.

5.5.2 Vast staat dat [verweerder] de 12-jarige [de scholiere]aan zijn vriendenaccount van Facebook heeft toegevoegd, waardoor hij de gedragsregel, zoals hiervoor onder 2.3 weergegeven, met voeten heeft getreden. Dat [de scholiere](tot nog maar kort daarvoor) geen gebruik meer maakte van de buitenschoolse opvang, maakt dit, gelet op hetgeen hiervoor in 5.5.1 is overwogen, niet anders. Dat [verweerder] wist dat een dergelijk contact niet de bedoeling was, althans dat dit binnen de organisatie van IJsselkids niet wenselijk was, is eveneens voldoende gebleken, aangezien [verweerder] besloot, direct nadat hij met de klacht werd geconfronteerd, om [de scholiere]uit zijn Facebook-account te verwijderen, haar account te blokkeren en een gemanipuleerde versie van zijn vriendenlijst uit te printen, die hij tijdens het gesprek met zijn leidinggevende heeft overhandigd. Door aldus te verdoezelen dat [de scholiere]wel degelijk tot zijn vriendengroep behoorde, is [verweerder] naar het oordeel van de kantonrechter alle grenzen van goed werknemerschap te buiten gegaan. De enkele stelling van [verweerder] dat hij dit in een opwelling zou hebben gedaan, waarbij zijn angst leidend was, overtuigt de kantonrechter niet, nu hij hierna ruim de tijd heeft gehad om zijn handelen te overdenken en alsnog open kaart te spelen, waarmee hij uiteindelijk nog ruim een week heeft gewacht. Bovendien is voor een ontbinding op grond van een dringende reden verwijtbaarheid niet per se vereist.

5.5.4 Tegenover de – blote – ontkenning door [verweerder] staat het onderzoeksrapport, dat op 19 juni 2014 is uitgebracht. Opvallend is dat het Facebook-account van [verweerder] vanaf 11 juni 2014 – een dag na de schorsing – frequent gedeactiveerd en weer geactiveerd is en er wijzigingen zijn aangebracht. Hoewel [verweerder] betwist dat het betreffende IP-adres van hem afkomstig is, merkt de kantonrechter op dat net nadat [verweerder] de door hem op 10 juni 2014 gedownloade – bewerkte – vriendenlijst heeft uitgeprint (10 juni 2014 om 19:02 uur, vgl. productie 5) de eerste “Checkpoint” is gemaakt en het “Password” is gewijzigd, zoals blijkt uit het rapport (om 19:18 uur). Ook blijkt uit het rapport dat de chatberichten handmatig uit de historie zijn verwijderd op het moment dat de klacht over [verweerder] is ingediend. Hoewel [verweerder] zijn bedenkingen heeft geuit tegen de conclusies van dit rapport, heeft hij daartegenover niets gesteld om de inhoud van dit rapport ongeloofwaardig te doen zijn.

Rechtbank Noord-Nederland 17 december 2014, IT 1661; ECLI:NL:RBNNE:2014:6365 (X tegen Dokterswacht Friesland)
Beëindiging waarneemovereenkomst met huisarts door huisartsenpost vanwege disfunctioneren van huisarts, bestaande uit schending van privacyregels en beroepsgeheim en onjuist medisch professioneel handelen. Schending privacyregels en beroepsgeheim in verband met activiteiten van de werkzaamheden van de partner. Aan X is een veertiental brieven en verklaringen voorgehouden, waaruit blijkt dat X privacygevoelige informatie omtrent patiënten doorgeeft aan X's echtgenoot, die werkzaam is als letselschadejurist. Rechtmatigheid verkregen bewijs. Duurovereenkomst tussen huisarts en huisartsenpost.

4.21. De rechtbank overweegt als volgt. Het door Dokterswacht gestelde disfunctioneren van [A] valt uiteen in een tweetal onderdelen, te weten schending van de privacyregels en het beroepsgeheim en onjuist medisch professioneel handelen, in het bijzonder de wijze van verslaglegging, bejegening en klachtafhandeling door [A]. Ingevolge het Protocol is disfunctioneren omschreven als "een structurele situatie van onverantwoorde zorg, waarin een patiënt wordt geschaad of het risico loopt te worden geschaad en waarbij de betreffende arts niet (meer) in staat of bereid is zelf de problemen op te lossen. Disfunctioneren kan er ook uit bestaan dat een arts niet of onvoldoende in staat is tot collegiale samenwerking dan wel zich niet aan de samenwerkingsovereenkomst met Dokterswacht Friesland houdt."

4.22. De rechtbank stelt vast dat [A] in de verschillende procedures heeft erkend dat zij patiënten, ook nadat zij daarop begin 2008 is aangesproken en haar is verboden aldus te handelen, heeft doorverwezen naar het letselschadebureau van haar echtgenoot. Zo heeft zij blijkens het advies van de LCA in de stukken en tijdens de hoorzitting erkend dat zij patiënten doorverwijst en zal blijven doorverwijzen naar het letselschadebureau van haar echtgenoot. Ook in de onderhavige procedure leest de rechtbank in de stellingen van [A] met betrekking tot het doorgeven van gegevens van patiënten, die een ongeval hebben gehad, een erkenning dat zij dergelijke gegevens heeft doorgegeven aan haar echtgenoot ten behoeve van zijn letselschadepraktijk. Naar het oordeel van de rechtbank levert dergelijk handelen (op zijn minst) schijn van belangenverstrengeling en een schending van haar beroepsgeheim op. Dat, zoals zij heeft gesteld, zij enkel nadat zij daarvoor toestemming heeft gekregen van de patiënt de gegevens aan haar echtgenoot doorgeeft, doet naar het oordeel van de rechtbank aan het voorgaande niet af. Immers, met het vragen van bedoelde toestemming heeft [A] op eigen initiatief de juridische belangen van patiënten aan de orde gesteld. De rechtbank acht dit handelen laakbaar, gelet op de setting waarin dit handelen heeft plaatsgevonden, namelijk in de relatie arts en patiënt. Volgens de KNMG Gedragsregels voor artsen (2002) is het hoofddoel van de relatie tussen een arts en een patiënt adequate hulpverlening en mag van deze relatie door de arts nimmer misbruik worden gemaakt. De rechtbank is van oordeel dat dit handelen van [A] valt onder de definitie van disfunctioneren.

Rechtbank Noord-Holland 24 september 2014, IT 1655 (Eiser tegen Stöbich B.V.)
Kort geding. Cameratoezicht. Werkgever heeft aan ontslag informatie ten grondslag gelegd die is verkregen door middel van een verborgen camera. De bodemrechter zal vermoedelijk oordelen dat de camerabeelden onrechtmatig verkregen zijn, omdat niet vooraf kenbaar is gemaakt dat cameratoezicht zou (kunnen) plaatsvinden. De camerabeelden worden echter wel toegelaten als bewijs, omdat in beginsel het algemene maatschappelijke belang dat de waarheid in rechte aan het licht komt en het belang dat partijen erbij hebben hun stellingen in rechte aannemelijk te kunnen maken, zwaarder weegt dan het belang van uitsluiting van bewijs.

19. Vast staat dat Stöbich met een verborgen camera opnamen heeft gemaakt van [werknemer] op haar werkplek. Ook staat vast dat [werknemer] niet vooraf op duidelijke wijze in kennis is gesteld van de mogelijkheid dat een verborgen camera zou kunnen worden gebruikt. Gelet hierop acht de kantonrechter het waarschijnlijk dat de bodemrechter zal oordelen dat de camerabeelden onrechtmatig zijn verkregen. Immers, in artikel 139f van het Wetboek van Strafrecht is – na inwerkingtreding per 1 januari 2004 van de Wet uitbreiding strafbaarstelling heimelijk cameratoezicht – neergelegd dat het strafbaar is om met een camera waarvan de aanwezigheid niet op duidelijke wijze kenbaar is gemaakt, opzettelijk en wederrechtelijk van een persoon, aanwezig in een woning of op een andere niet voor het publiek toegankelijke plaats, een afbeelding te vervaardigen. Verder volgt uit de artikelen 33 en 34 van de Wet bescherming persoonsgegevens dat een betrokkene op de hoogte moet worden gesteld van de vastlegging van persoonsgegevens. Ook uit de toelichting bij Wet uitbreiding strafbaarstelling heimelijk cameratoezicht blijkt dat het wel is toegestaan om in kantoor- en bedrijfsruimten gebruik te maken van cameratoezicht, maar alleen onder de voorwaarde dat dit voor de werknemer kenbaar is (Kamerstukken II, 2000-2001, 27 732, nr. 3, pag. 13).

20. Echter, de omstandigheid dat de camerabeelden onrechtmatig zijn verkregen, brengt niet zonder meer mee dat die beelden in deze zaak buiten beschouwing moeten blijven en niet als bewijs mogen worden gebruikt. De kantonrechter neemt tot uitgangspunt dat in beginsel het algemene maatschappelijke belang dat de waarheid in rechte aan het licht komt en het belang dat partijen erbij hebben hun stellingen in rechte aannemelijk te kunnen maken, zwaarder weegt dan het belang van uitsluiting van bewijs (zie de uitspraak van de Hoge Raad van 11 juli 2014 (…)ECLI:NL:HR:2014:1632). Slechts indien sprake is van bijkomende omstandigheden, is uitsluiting van dat bewijs gerechtvaardigd. Bijkomende, bijzondere omstandigheden zijn in dit verband door [werknemer] niet gesteld en daarvan is de kantonrechter ook niet gebleken. De camerabeelden worden dus toegelaten als bewijs in deze zaak, zoals de kantonrechter partijen op de zitting al heeft meegedeeld.

Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met meldplicht datalekken en uitbreiding bestuurlijke boetebevoegdheid Cbp.
1. Strekking van het wetsvoorstel
2. Beleidsmatige achtergrond
2.1 Verhouding met voorstel Algemene verordening gegevensbescherming
3. Algemene aspecten van de meldplicht

3.1 Inbreuk op beveiligingsmaatregelen
3.2 Beslismodel meldplicht Wbp
3.3 Verhouding verantwoordelijke voor de verwerking en bewerker
4. Verhouding tot andere rechtsgebieden
4.1 Verhouding tot specifieke meldplicht op grond van de Telecommunicatiewet
4.2 Rol van het Cbp
4.3 Verhouding tot meldplicht incidenten Wet op het financieel toezicht
5. Sanctionering

HvJ EU 11 december 2014, IT 1653, zaak C-212/13 (Ryneš) - dossier
Uit het perscommuniqué: De richtlijn betreffende de bescherming van persoonsgegevens is van toepassing op video-opnames die worden gemaakt met behulp van een bewakingscamera die door een persoon aan zijn huis is bevestigd en op de openbare weg is gericht. De richtlijn laat het echter toe rekening te houden met het gerechtvaardigde belang van deze persoon tot bescherming van zijn eigendom, zijn gezondheid en zijn leven, alsook ook die van zijn familie.

Vraag:

Kan de werking van een camerasysteem dat is gemonteerd op een gezinswoning, met als doel de bescherming van eigendom, gezondheid en leven van de eigenaars van het huis, worden aangemerkt als het verwerken van persoonsgegevens „die door een natuurlijk persoon in activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden wordt verricht” in de zin van artikel 3, lid 2, van richtlijn 95/46/EG1 ofschoon dit systeem ook een openbare ruimte in beeld brengt?

Antwoord:

"The second indent of Article 3(2) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data must be interpreted as meaning that the operation of a camera system, as a result of which a video recording of people is stored on a continuous recording device such as a hard disk drive, installed by an individual on his family home for the purposes of protecting the property, health and life of the home owners, but which also monitors a public space, does not amount to the processing of data in the course of a purely personal or household activity, for the purposes of that provision."