Privacy  

CBb 26 november 2014, ECLI:NL:CBB:2014:446 (appellante tegen AFM)
Boete wegens bemiddelen zonder vergunning; doorsturen van leads via website. Indien door de consument een keuze wordt gemaakt voor een bepaalde aanbieder worden de ingevulde gegevens (de ‘lead’) verzonden naar een digitale ruimte op een server die appellante huurt en onderverhuurt aan de desbetreffende aanbieder of bemiddelaar. De aanbieder kan vervolgens tegen betaling de door de consument achtergelaten gegevens ophalen. Indien geen bepaalde aanbieder wordt gekozen door de consument, wordt de lead naar een digitale verzamelplaats verzonden. De aanbieders kunnen vervolgens op hun eigen gehuurde digitale ruimte of op de verzamelplaats inloggen om, als zij dat willen, de lead(s) tegen betaling te downloaden.

De rechtbank is terecht tot het oordeel gekomen dat de activiteiten van appellante aan te merken zijn als bemiddelen in de zin van artikel 1:1 Wft en AFM de bevoegdheid heeft om appellante een boete op te leggen wegens overtreding van artikel 2:80, eerste lid, Wft.

3.4. Wat betreft de vraag of de activiteiten van appellante kunnen worden aangemerkt als bemiddelen in de zin van artikel 1:1 Wft overweegt het College dat op grond van vaste jurisprudentie (zie onder meer de uitspraak van het College van 11 februari 2013, ECLI:NL:CBB:2013:BZ1866) sprake moet zijn van inhoudelijke betrokkenheid bij de totstandkoming van het financiële product. Op grond van de niet door appellante betwiste feiten is het College van oordeel dat haar activiteiten gericht waren op het tot stand brengen van overeenkomsten tussen aanbieders van (hypothecair) krediet en consumenten. De activiteiten van appellante behelsden immers het als lead doorsturen van niet alleen de NAW-gegevens van de consumenten, maar ook van andere gegevens, waaronder de geboortedatum, die relevant zijn voor het afsluiten van een (hypothecaire) lening. De feiten in de voorliggende zaak en hetgeen door appellante in hoger beroep is aangevoerd vormen voor het College geen aanleiding anders te oordelen dan in eerdere zaken is gedaan.
Gelet hierop is de rechtbank terecht tot het oordeel gekomen dat de activiteiten van appellante in de periode in geding zijn aan te merken als bemiddelen in de zin van artikel 1:1 Wft en AFM in beginsel de bevoegdheid toekwam om appellante een boete op te leggen wegens overtreding van artikel 2:80, eerste lid, Wft.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoek geconstateerd dat personenvervoersbedrijf Noot Holding BV meer medische gegevens van werknemers verwerkte dan noodzakelijk was voor de vaststelling van de verplichting om loon door te betalen en de re-integratie van zieke werknemers. Daarmee handelde de werkgever in strijd met de wet. Noot Holding BV vroeg onder meer naar situationele omstandigheden en naar de aard en oorzaak van de ziekte van de werknemer. Ook vroeg het bedrijf in strijd met de wet werknemers om toestemming om hun gezondheidsgegevens op te vragen bij het UWV. Inmiddels heeft Noot Holding BV naar aanleiding van het onderzoek haar werkwijze aangepast en de werknemers over de onrechtmatig verzamelde gegevens geïnformeerd. Ook zijn alle eerder onrechtmatig verzamelde gegevens vernietigd. Hiermee zijn de geconstateerde overtredingen beëindigd.
Lees verder

CBb 3 december 2014, IT 1646 (ACM tegen Digital Magazines en Rivièra Vastgoed)
Zie eerder IT 380, ECLI:NL:RBROT:2013:BZ5151. Boetes wegens overtreding spamverbod. Reikwijdte spamverbod ten aanzien van abonnees en gebruikers. Nader bewijs in hoger beroep toegelaten, maar is niet toereikend. Hoewel bij punitieve sancties onder omstandigheden wel denkbaar, is in dit geval geen toepassing van de bestuurlijke lus om het bestuursorgaan in de gelegenheid te stellen om alsnog nader bewijs bij te brengen. Bevestiging van de aangevallen uitspraak waarin de boetes zijn herroepen.

Rechtbank:
2.    De rechtbank heeft, met beslissingen over de proceskosten en de vergoeding van het griffierecht, de beroepen gegrond verklaard, het besluit van 5 oktober 2011 vernietigd en de boetebesluiten van 19 april 2011 herroepen, omdat ACM niet heeft bewezen dat de e‑mailberichten zijn verzonden aan abonnees (en voor de periode tot 1 oktober 2009: zijnde natuurlijke personen).

4.1.7
ACM betoogt dat het faciliteren van een e-mailadres of e-maildienst valt onder het begrip elektronische communicatiedienst zoals gedefinieerd in artikel 1.1, aanhef en onder f, van de Tw. Deze bepaling definieert een elektronische communicatiedienst als: “gewoonlijk tegen vergoeding aangeboden dienst die geheel of hoofdzakelijk bestaat in het overbrengen van signalen via elektronische communicatienetwerken, waaronder telecommunicatiediensten en transmissiediensten op netwerken die voor omroep worden gebruikt, doch niet de dienst waarbij met behulp van elektronische communicatienetwerken en -diensten overgebrachte inhoud wordt geleverd of redactioneel wordt gecontroleerd. Het omvat niet de diensten van de informatiemaatschappij zoals omschreven in artikel 1 van de notificatierichtlijn die niet geheel of hoofdzakelijk bestaan uit het overbrengen van signalen via elektronische communicatienetwerken”. Een e-maildienst bestaat volgens ACM voor een belangrijk deel uit het transport van signalen om de berichten over te brengen. Een aanbieder van e-maildiensten moet de e-mailberichten immers niet alleen routeren, maar ook transporteren van en naar andere abonnees. Abonnee van een e-maildienst wil dus zeggen dat de gebruiker van de dienst een overeenkomst heeft met een aanbieder van een elektronische communicatiedienst.

4.1.8
Deze uitleg volgt het College niet. De aanbieders van e-maildiensten, zoals Gmail of Hotmail, zijn doorgaans immers niet degenen die de signalen waaruit die e-maildiensten bestaan via elektronische communicatienetwerken overbrengen, zodat de e-maildiensten die zij leveren niet kunnen worden beschouwd als elektronische communicatiediensten als bedoeld in artikel 1.1, aanhef en onder f, van de Tw.

4.2.3
De verkeerde uitleg die ACM aan artikel 11.7, eerste lid, (oud) van de Tw heeft gegeven, had tot gevolg dat zij aanvankelijk niet heeft onderzocht of de e‑mailberichten aan abonnees zijn verzonden. De rechtbank heeft naar het oordeel van het College op goede gronden geconcludeerd dat het in dit verband benodigde bewijs ontbrak en zij verbond daaraan terecht de conclusie dat daarmee het inleidende beroep gegrond moest worden verklaard. Artikel 8:72, eerste lid, van de Awb dwingt in zo'n geval de rechtbank tot de vernietiging van het in beroep bestreden besluit. Met die vernietiging bracht de rechtbank de zaak terug in de fase van het bezwaar tegen de boetebesluiten.

Het nadere bewijs
4.3.1 Het College ziet geen reden om het in hoger beroep door ACM overgelegde bewijsmateriaal niet in het geding te betrekken. Het College verwijst naar zijn uitspraak van 2 juli 2010, ECLI:NL:CBB:2010:BN0534. De stelling van Digital, Rivièra, [naam 1] en [naam 2] dat ACM met haar nadere bewijsvoering in strijd handelt met artikel 8:58 van de Awb, gaat ervan uit dat op 23 april 2014 een zitting zou plaats vinden. Dat is een (feitelijk) onjuist vertrekpunt. Weliswaar is van de zijde van het College bij partijen telefonisch geïnformeerd of 23 april 2014 een haalbare zittingsdatum zou zijn, maar toen één van de partijen die dag verhinderd bleek, is er voor die datum geen zitting uitgeschreven.

4.3.2
Het College is het met de rechtbank eens dat in verband met de hier van belang zijnde ambtshalve, belastende besluiten op ACM de bewijsvoeringslast (en daarmee het bewijsrisico) rust om aan te tonen dat commerciële e-mailberichten zijn verzonden aan abonnees (in gelijke zin ECLI:NL:CBB:2010:BN0534). De rechtbank kan tevens worden gevolgd voor wat betreft haar oordeel dat ACM voor de periode vóór 1 oktober 2009 ook dient aan te tonen dat de commerciële e-mailberichten waren gericht aan natuurlijke personen. Dat bewijs was in eerste aanleg niet beschikbaar.

Rechtbank Amsterdam 13 november 2014, IT 1639 (Eiser tegen ING)
Beschikking. Wbp. Incidentenregister. Eiser heeft een zakelijke rekening bij ING. ING heeft eiser geregistreerd in het Incidentenregister. Reden hiervoor is de verdenking van het schuldwitwassen in de zin van artikel 420quater sub b Sr. Eiser betwist dat hij zich schuldig heeft gemaakt aan fraude, omdat het gebruik van zijn bankpas nog geen bewijs voor betrokkenheid vormt. Volgens eiser is daarom niet voldaan aan het proportionaliteitsvereiste. De rechtbank wijst het verzoek af.

4.6. Voor deze sterk van het normale patroon afwijkende pinbetalingen heeft [eiser] geen plausibele verklaring gegeven. Met betrekking tot de bedragen € 1.100,00 en € 1.400,00, € 2.260,00 en € 7.000,00 die op respectievelijk 26 september 2013, 16 oktober 2013 en 7 november 2013 zijn afgerekend heeft [eiser] slechts verklaard dat hij over een periode van een kleine anderhalve maand goede klandizie had van een klant met een busje, waarvan hij de naam niet kent, die beweerde dat hij een cateringbedrijf had. Daarbij zou de betaling van € 7.000,00 een betaling zijn voor een viertal aankopen waarvan drie eerder op krediet. Met betrekking tot de overige frauduleuze pintransacties heeft [eiser] in het geheel geen verdere toelichting gegeven. Terecht wijst ING in dit verband op de volgende pintransacties; € 5.000,00 op 22 februari 2013 (19:14 uur), twee betalingen met dezelfde ABN AMRO-betaalpas op 1 en 2 augustus 2013 van € 2.495,00 (19:24 uur) en € 2.493,00 (0:05 uur!); € 7.000,00 op 18 september 2013 (18:52 uur) en € 7.000,00 op 4 oktober 2013 (21:23 uur). Ter gelegenheid van de mondelinge behandeling heeft [eiser] op de vraag of hij ook maar een persoon kent of kan noemen die verantwoordelijk is geweest voor de 35 verdachte pintransacties, geantwoord dat hij die personen kent als hij ze ziet maar dat hij niet weet hoe ze heten of waar ze wonen. Hoewel de rechtbank, bij een bedrijf zoals door [eiser] wordt gevoerd, er begrip voor heeft dat leveringen ook op basis vertrouwen (lees: op krediet) plaatsvinden, acht zij het – zonder nadere toelichting die [eiser] niet heeft gegeven – onbegrijpelijk dat leveringen op krediet plaatsvinden aan iemand die je niet kent en waarvan je niet eens de (voor)naam weet of de naam van zijn bedrijf. Dit brengt met zich dat de rechtbank aan deze “verklaring” van [eiser] in het geheel geen waarde toekent.

4.7. [eiser] stelt in zijn aanvulling op het verzoek, althans zo begrijpt de rechtbank, dat hem geen verwijt kan worden gemaakt, omdat tegenover de frauduleuze pintransacties daadwerkelijk leveringen hebben gestaan. Ter onderbouwing van deze stelling heeft [eiser], thans voor het eerst, een rapport van 22 augustus 2014 van [naam 3] (zie hiervoor onder 2.14) overgelegd. Het rapport concludeert dat de gestelde frauduleuze pintransacties het resultaat zijn van daadwerkelijke leveringen. Het rapport is evenwel, volgens de ter gelegenheid van de mondelinge behandeling afgelegde verklaring van [naam 3], slechts deels gebaseerd op de werkelijke inkoopcijfers zoals die uit de door [eiser] verstrekte administratie blijken maar voor het overige op veronderstellingen en schattingen. Zo heeft [naam 3] tijdens de mondelinge behandeling verklaard dat hij steekproefsgewijze de omvang van de voorraad heeft vastgesteld. Bovendien zijn de werkelijke inkoopcijfers niet door een accountant gecontroleerd. Echter, zelfs als [eiser] voor de frauduleuze pintransacties daadwerkelijk levensmiddelen heeft geleverd, heeft ING terecht kunnen concluderen dat sprake is van schuldwitwassen. Naar het oordeel van de rechtbank had [eiser], gelet op hetgeen hiervoor onder 4.5. is overwogen, moeten begrijpen dat er iets niet in de haak was. De rechtbank wijst in dit verband ook op de door ING als productie 5 overgelegde lijst met frauduleuzepintransacties waaruit blijkt dat bijvoorbeeld op 26 september 2013 de pinbedragen steeds kleiner worden als blijkt dat de pintransacties niet lukken. De rechtbank is dan ook van oordeel dat, nu vaststaat dat (i) via de betaalautomaat van [eiser] frauduleuze transacties zijn verricht, (ii) [eiser] als enige de betaalautomaat bediende, (iii) alle grote pintransacties frauduleuze pintransacties betreffen die afwijken van de normale bedrijfsvoering van de winkel en (iv) [eiser] geen enkele plausibele verklaring heeft gegeven voor deze transacties, ING terecht heeft concluderen dat sprake is van een zwaardere verdenking dan een redelijk vermoeden van schuld van betrokkenheid bij in elk geval (schuld)witwassen.

4.8. Tot slot dient de rechtbank een belangenafweging te maken en te beoordelen of voldaan is aan de proportionaliteitsvereiste. De persoonsgegevens van [eiser] zijn voor de duur van acht jaar opgenomen in de betreffende registers. Ter gelegenheid van de mondelinge behandeling heeft ING toegelicht dat de persoonsgegevens bij fraude in beginsel altijd voor de duur van acht jaar worden opgenomen, tenzij sprake is van verzachtende omstandigheden. Daarbij moet worden gedacht aan persoonlijke omstandigheden zoals een jeugdige leeftijd en de omvang van de gepleegde fraude. Het is begrijpelijk, zoals ING ook heeft aangegeven, dat [eiser] nadeel ondervindt van de opname in de registers en met name dat hij in de winkel geen gebruik meer kan maken van een betaalautomaat. Hier staat tegenover dat slechts 1/3 deel van alle betalingen via de pin verliepen en dus niet zijn hele inkomen is komen te ontvallen. Daar komt bij dat [eiser] tijdens de mondelinge behandeling wel heeft verklaard dat het slechter gaat met de winkel, maar dat hij van die stelling geen enkel bewijs heeft overgelegd. De omstandigheid dat het (mogelijk) enigszins slechter gaat met de zaak weegt overigens niet op tegen het belang van ING en de overige banken dat betaalautomaten niet worden gebruikt voor fraude.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) zet vraagtekens bij het wetsvoorstel waarin wordt geregeld dat de privacytoezichthouder een bestuurlijke boete voor overtredingen van de privacywetgeving kan opleggen. Dit wetsvoorstel is vandaag door de staatssecretaris van Veiligheid en Justitie aan de Tweede Kamer gezonden.

Het CBP pleit al langere tijd voor een boetebevoegdheid. De verwachting is dat een boetebevoegdheid bedrijven en overheden zal stimuleren om aan de bestuurstafel na te denken over de bescherming van persoonsgegevens.

De voorgestelde werkwijze in het wetsvoorstel maakt echter dat het CBP niet snel en effectief zal kunnen optreden tegen grove schendingen van de privacywetgeving. “Dit wetsvoorstel leidt niet tot een betere naleving van de Wet bescherming persoonsgegevens”, aldus de voorzitter van het CBP Jacob Kohnstamm. “De roep in de samenleving is om een waakhond met tanden. Nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven."

Met samenvatting van Bartosz Sujecki, Bavelaar & Bavelaar. Uit het persbericht: BGH stelt prejudiciële vragen aan het Hof van Justitie over de uitleg van de EU-privacyrichtlijn. In deze procedure gaat het om het opslaan van dynamieke IP-adressen. Daarbij gaat het om IP-adressen die bij een bezoek van een website door de website zelf worden opgeslagen. In deze procedure worden de IP-adressen op websites van de Duitse overheid opgeslagen. Met zijn prejudiciële vragen wil de BGH weten, of IP-adressen als persoonsgebonden gegevens moeten worden beschouwd.

Het BGH heeft twijfels of dit het geval is, omdat hiermee geen rechtstreekse identificatie van een persoon mogelijk is en bovendien de ISP geen informatie omtrent de indentiteit van de gebruiker aan de bevoegde instanties mocht verstrekken. Indien het Hof van oordeel is dat het bij IP-adressen om persoonsgebonden gegevens gaat, wil de BGH van het Hof weten of het op grond van de EU-privacyrichtlijn mogelijk is om een bepaling in de nationale wetgeving op te nemen, waarmee het opslaan van een IP-adres mogelijk is, indien dit noodzakelijk is voor het gebruik van de website. In dit geval mag het opslaan niet langer duren dan het bezoek van de website.

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft kennis genomen van de reactie van het kabinet op de uitspraak van het Europees Hof van Justitie over de bewaarplicht verkeersgegevens. Het Hof bepaalde in mei van dit jaar dat een algemene bewaarplicht van verkeersgegevens in strijd is met het fundamentele recht op de bescherming van persoonsgegevens zoals dat is verankerd in Europees recht. Uit een brief die gisteren aan de Tweede Kamer is gezonden blijkt dat het kabinet voor Nederland desalniettemin vasthoudt aan de opslag van verkeersgegevens. Het CBP zal de kabinetsreactie en het bijbehorende in consultatie gegeven wetsvoorstel zorgvuldig bestuderen. In eerdere adviezen benadrukte het CBP een aantal keer dat aangetoond moet worden waarom het bewaren van deze gegevens noodzakelijk zou zijn.
Lees verder

Brief versterking van DigiD, kamerstukken II 2014-2015, 26 643, nr. 332 - lijst vragen/antwoorden nr. 333
Naar aanleiding van berichtgeving rondom de veiligheid van DigiD in een tv-uitzending van Opgelicht! op 18 oktober 2014 hebben de regering en minister de Tweede Kamer als volgt geïnformeerd:

2. Recent doorgevoerde maatregelen
– Er worden voortaan e-mails verstuurd aan burgers bij belangrijke wijzigingen aan hun DigiD, zoals bij het wijzigen van een wachtwoord. Op die manier wordt het makkelijker voor burgers om misbruik van hun DigiD te herkennen.
– Op dit moment worden DigiD activeringscodes in kwetsbare postcodegebieden thuisbezorgd. In totaal zijn in 2014 ca. 7500 brieven thuisbezorgd per koerier.
– Er zijn maatregelen tegen DDoS-aanvallen genomen. Dit is belangrijk voor de beschikbaarheid en continuïteit van DigiD maar ook voor de veiligheid.
– Onlangs is DigiD beveiligd om het mogelijk te maken beter de integriteit en authenticiteit van de website te controleren en phishing te bemoeilijken.

3. Nog door te voeren maatregelen ter versterking van DigiD

Het komend jaar wordt er naar alternatieven voor de bestaande twee-factor authenticatie met SMS (DigiD Midden) gekeken, die tegen lagere kosten op grote schaal kunnen worden toegepast. Dit kan bijvoorbeeld een app zijn waarmee een extra verificatiecode op smartphone of tablet kan worden ontvangen. De eerste pilots starten naar verwachting medio 2015.
Om een nog grotere mate van zekerheid over iemands identiteit te verkrijgen bij het inloggen t.o.v. DigiD Midden met SMS, wordt er een aantal mogelijkheden onderzocht waarbij er een extra controle plaatsvindt, nadat iemand is ingelogd met DigiD, door het uitlezen van gegevens op de chip van een wettelijk identiteitsdocument (bv identiteitskaart, rijbewijs). Die gegevens worden vervolgens geverifieerd aan de hand van de betreffende documentregisters. Hiermee wordt het mogelijk om digitaal diensten aan te bieden die dat hogere betrouwbaarheidsniveau vereisen.

Mede naar aanleiding van de aanbeveling van de Algemene Rekenkamer, wordt ook uitvoering gegeven aan een Actieplan voor het oplossen van de bevindingen op DigiD. Hiermee zal de robuustheid van DigiD verder toenemen. Inmiddels zijn enkele van de bevindingen opgelost. Zoals eerder gemeld wordt er naar gestreefd ook de overige bevindingen vóór het einde van het jaar op te lossen.

20 Wat gaat u doen om de slachtoffers te helpen die er nu al zijn in verband met ongeautoriseerde toegang tot DigiD?
21 Bent u voornemens een afdeling op te zetten die casus van benadeelden beoordeeld? Zo ja, hoe wordt die vormgegeven? Of ligt die bevoegdheid, of blijft die bevoegdheid liggen, bij respectievelijk Logius en de afnemers? Welk risico houdt dat in voor het afschuiven van problemen binnen de keten?
22 Vindt u het terecht dat mensen, die buiten hun eigen schuld slachtoffer worden van veiligheids-problemen rond DigiD, bijvoorbeeld door uit de brievenbus geviste brieven, geld, dat ze nooit hebben aangevraagd en nooit hebben ontvangen, moeten terugbetalen aan de overheid?
In de uitzending kwamen enkele slachtoffers van fraude via DigiD aan het woord. Deze fraudegevallen staan overigens los van de betreffende kwetsbaarheid.
De inzet van de overheid is slachtoffers snel te helpen en schadeloos te (doen) stellen. Slachtoffers van identiteitsfraude kunnen ook altijd bij het Centraal Meldpunt Identiteitsfraude terecht. Bij vastgestelde fraude wordt altijd aangifte gedaan. Wel blijkt zorgvuldig onderzoek van groot belang omdat helaas blijkt dat niet altijd op voorhand eenvoudig vast te stellen is wat er precies gebeurd is en daders en slachtoffers niet altijd eenduidig te onderscheiden zijn. De zaken van de in uitzending aan het woord gekomen slachtoffers worden nader onderzocht.

Hof Arnhem-Leeuwarden 7 november 2014, IT 1632 (Appellant tegen SNS Reaal)
Privacy. Bescherming persoonsgegevens. Verzoek tot verwijdering van persoonsgegevens op grond van art. 46 Wet bescherming persoonsgegevens (Wbp). Fiscaal jurist en registeraccountant verrichten werkzaamheden bij financiële dienstverlener en worden wegens o.m. het voorhanden hebben en opmaken van valse facturen geregistreerd in het interbancaire waarschuwingssysteem. In casu toetsing aan Protocol Incidentenwaarschuwingssysteem financiële instellingen. Voor registratie bestaat voldoende feitelijke grond, de duur van de interbancaire registratie (acht jaren) is in dit geval echter niet proportioneel. Het hof neemt daarbij in aanmerking dat de registratie voor verzoekers feitelijk op een vrijwel volledige uitsluiting om hun beroep uit te oefenen neerkomt. Het hof acht, alles afwegend, een termijn van drie jaren op zijn plaats.

5.11 Gelet op het voorgaande moet de conclusie zijn dat het er voldoende feitelijke grond bestond om [appellant 1] en [appellant 2] in het interbancaire waarschuwingssysteem te registreren. Daarmee falen de grieven 2, 3 en 4.
De vraag die vervolgens nog moet worden beantwoord, en die in grief 5 aan de orde wordt gesteld, is of die registratie ook proportioneel is (art. 5.2.1. onder c Protocol).
Het hof stelt vast dat opname in het incidentenregister, en met name in het daaraan gekoppelde EVR, verstrekkende consequenties kan hebben. Alle deelnemende banken en financiële instellingen kunnen immers door toetsing aan het EVR vaststellen dat er sprake is van opname in het incidentenregister van (een) andere deelnemer(s). Vervolgens kunnen zij nadere informatie omtrent de reden van opname opvragen. Dit kan ertoe leiden dat niet alleen de deelnemer die tot opname in het incidentenregister is overgegaan, maar ook andere deelnemers hun (financiële) diensten aan de opgenomen persoon zullen weigeren. Gelet daarop dienen hoge eisen te worden gesteld aan de grond(en) voor opname in de registers. In het voorgaande ligt besloten dat aan die gronden is voldaan. In het onderhavige geval brengt de registratie echter niet alleen een uitsluiting van financiële diensten mee, maar heeft zij ook gevolgen voor de broodwinning van de geregistreerden. [appellant 1] en [appellant 2] achten de registratie om die reden disproportioneel. Subsidiair stellen zij dat deze niet langer dan een jaar (een periode die intussen reeds is verlopen) zou mogen duren.
[appellant 1] en [appellant 2] hebben overtuigend aangevoerd dat hun opname in de registers hen tot persona non grata in de financiële wereld heeft gemaakt en het nagenoeg wegvallen van hun inkomen heeft veroorzaakt. Dat wordt door SNS Reaal op zichzelf ook niet betwist. SNS Reaal heeft aangevoerd dat van een volledige blokkade op de arbeidsmarkt geen sprake is omdat alleen de banken toegang hebben tot de registratie, zodat een dienstverband buiten de financiële sector of bij justitie of de belastingdienst gewoon tot de mogelijkheden behoort. SNS Reaal miskent daarbij echter dat de professie van [appellant 1] en [appellant 2], die respectievelijk fiscaal jurist en registeraccountant zijn, meebrengt dat zij een EVR registratie aan een eventuele toekomstige werk- of opdrachtgever hebben te melden en dat deze vervolgens minder genegen zal zijn om met hen in zee te gaan. Het is naar het oordeel van het hof dan ook voldoende aannemelijk dat de maatregel in hun geval, gelet op hun werkervaring tot nu toe, de facto op een vrijwel volledige uitsluiting om hun beroep uit te oefenen neerkomt. Die zware repercussie wordt voor een belangrijk deel gerechtvaardigd door het gegeven dat financiële integriteit in het beroep dat zij bekleden hoog in het vaandel staat en dat van hen, meer nog dan van ieder ander, op dat punt betrouwbaarheid en onkreukbaarheid mag worden verwacht. Het hof is evenwel van oordeel een registratietermijn van acht jaren in dit geval de grenzen van proportionaliteit overschrijdt. Het hof acht hier, alles afwegend, een termijn van drie jaren op zijn plaats. Dit betreft evenwel uitsluitend voor de vermelding in het EVR. De gebeurtenissenadministratie en het IVR maken deel uit van de eigen administratie van SNS Reaal en zijn als zodanig niet voor anderen toegankelijk, zodat het bezwaar van een beroepsblokkade daar niet (of in veel mindere mate) aan kleeft. Dat betekent dat grief 5 ten dele slaagt.
Uitgaande van een registratie per 2 april 2013 betekent dat dat het verzoek tot verwijdering uit het EVR met ingang van 2 april 2016 toewijsbaar is. De daaraan verbonden vordering tot het opleggen van dwangsommen is eveneens toewijsbaar, zij het dat het hof deze zal matigen en aan een maximum zal verbinden zoals hierna vermeld.

Hof Arnhem-Leeuwarden 4 november 2014, IT 1629 (KPN geïntimeerde)
Wet bescherming persoonsgegevens. Registratie gerechtvaardigd? Belangenafweging. Op naam van geïntimeerde zijn meerdere telefoonabonnementen met mobiele telefoons afgesloten. [geïntimeerde] heeft op 8 april 2013 op het politiebureau te Nieuwegein aangifte gedaan van diefstal van haar ID-kaart en bankpas. Contracten worden niet ontbonden, maar wel kosteloos beëindigd, vordering zal niet aan een incassobureau worden overgedragen en geïntimeerde wordt bij stichting Preventel aangemeld. Geïntimeerde verzoekt om verwijdering van haar gegevens. Omdat geïntimeerde daadwerkelijk slachtoffer is van identiteitsfraude kan het niet-betalen niet leiden tot registratie bij Preventel.

4.4. Deze grief faalt. De brief van 31 juli 2013 van de gemachtigde van [geïntimeerde], in samenhang gelezen met de brief van 4 juni 2013 van KPN en de brieven van 12 juni 2013 en 31 juli 2013 van Preventel, kan immers niet anders worden verstaan dan als een verzoek van [geïntimeerde] om verwijdering van haar gegevens bij Preventel.
Het betoog van KPN dat aan [geïntimeerde] nog niet bekend kon zijn welke gegevens geregistreerd waren bij Preventel, zodat zij eerst daarover nog bij KPN opheldering had moeten verzoeken, faalt eveneens. Uit de mededeling van KPN in haar brief van 4 juni 2013, gevolgd door de brieven van Preventel, dat de gegevens van [geïntimeerde] geregistreerd staan, kon [geïntimeerde] immers afleiden dat het hier om de voor de verkrijging van een (mobiel) telefoonabonnement benodigde gegevens gaat, welke KPN klaarblijkelijk via de op naam van [geïntimeerde] aangevraagde telefoonabonnementen had verkregen. In dat kader was het voor [geïntimeerde] een overbodige handeling om bij KPN na te vragen welke gegevens van haar bij Preventel waren geregistreerd.
[geïntimeerde] is om die reden terecht ontvankelijk verklaard in haar verzoek.

4.8. Op grond van artikel 8 Wbp mogen persoonsgegevens onder meer worden verwerkt indien de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke (KPN) of van een derde (andere telefoonaanbieders) aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van degene wiens gegevens worden verwerkt ([geïntimeerde]), prevaleert.
Artikel 8 Wbp bevat een limitatieve opsomming van de gronden die een gegevensverwerking rechtvaardigen. Het artikel behelst bovendien dat bij elke verwerking moet zijn voldaan aan de beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van [geïntimeerde] mogen dus niet onevenredig zijn in verhouding tot het met de verwerking te dienen doel van KPN en het doel waarvoor de persoonsgegevens worden verwerkt mag in redelijkheid niet op een andere, voor [geïntimeerde] minder nadelige wijze kunnen worden verwerkelijkt.
De verwerking is derhalve uitsluitend toelaatbaar indien zij noodzakelijk is met het oog op het belang van KPN of een andere telefoonaanbieder én het belang van [geïntimeerde] niet prevaleert.

4.9. KPN heeft als grondslag voor de registratie aangevoerd haar niet voldane vordering op [geïntimeerde] uit hoofde van de verstrekking van de telefoons.
Zij heeft daarbij vermeld dat zij er, om haar moverende redenen, voor heeft gekozen om deze vordering niet te innen, maar te kiezen voor registratie van de gegevens van [geïntimeerde] totdat [geïntimeerde] de vordering van KPN heeft voldaan. Een ander belang bij de registratie heeft zij niet aangevoerd.
Daarmee heeft zij deze registratie in feite als een dwangmiddel gebruikt om [geïntimeerde] tot betaling te bewegen.

4.11. Gelet op deze wederzijdse belangen van partijen, is naar het oordeel van het hof een registratie van de persoonsgegevens van [geïntimeerde] bij Preventel slechts gerechtvaardigd als er aan de zijde van KPN zodanig sterke aanwijzingen worden aangevoerd dat de door [geïntimeerde] gestelde identiteitsfraude niet op voorhand aannemelijk is. In dit kader is niet van belang of [geïntimeerde] een verwijt valt te maken dat er civielrechtelijk toe zou kunnen leiden dat zij de vordering van KPN zou dienen te voldoen, nu in het onderhavige geval niet de verschuldigdheid van de vordering, maar de noodzakelijkheid van registratie onder de omstandigheden van dit geval, centraal staat.

4.14. Al deze onder 4.13 vermelde feiten en omstandigheden lijken er op te duiden dat [geïntimeerde] daadwerkelijk het slachtoffer is geworden van diefstal van haar ID-kaart en bankpas. Het enkele niet betalen door [geïntimeerde] van de vordering van KPN kan onder die omstandigheden niet leiden tot het oordeel dat de registratie van de gegevens van [geïntimeerde] bij Preventel in die mate noodzakelijk is voor de behartiging van het gerechtvaardigde belang van KPN dat dit belang dient te prevaleren boven het gerechtvaardigde belang van [geïntimeerde] om niet geregistreerd te zijn.
Het verzoek is om die reden dan ook terecht toegewezen, wat er verder zij van de daartoe gebezigde gronden.

Dirkzwager IE IT