Privacy  

Wetsvoorstel tot implementatie van richtlijn 2013/40/EU van het Europees Parlement en de Raad over aanvallen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PbEU L 218/8) -  Memorie van Toelichting wetsvoorstel implementatie richtlijn 2013/40/EU
Dit wetsvoorstel strekt tot implementatie van de richtlijn 2013/40/EU van het Europees Parlement en de Raad van 12 augustus 2013 over aanvullen op informatiesystemen en ter vervanging van Kaderbesluit 2005/222/JBZ van de Raad (PbEU L218/8)(hierna: de richtlijn). De implementatietermijn van de richtlijn loopt af op 4 september 2015 (artikel 16 van de richtlijn). Vóór die datum dient de richtlijn door de lidstaten op nationaal niveau te zijn omgezet. Een transponeringstabel is in de bijlage bij deze memorie van toelichting opgenomen.

De implementatie van de richtlijn leidt tot enkele aanscherpingen van strafbaarstellingen van computercriminaliteit in het Wetboek van Strafrecht. De wijzigingen betreffen enkele verhogingen van strafmaxima en de toevoeging van een aantal strafverzwarende omstandigheden aan de computerdelicten.

De richtlijn bouwt voort op het Verdrag van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken (Trb. 2002, 18; hierna: het Cybercrimeverdrag) en vervangt het bestaande kaderbesluit uit 2005 (Kaderbesluit 2005/222/JBZ van 24 februari 2005 over aanvallen op informatiesystemen; PbEU L 69/67; hierna: het kaderbesluit). De richtlijn bevat enkele aanvullingen ten opzichte van het kaderbesluit. Voor een deel zijn deze aanvullingen ontleent aan het Cybercrimeverdrag. Voor een deel zijn deze aanvullingen, ook ten opzichte van het Cybercrimeverdrag, nieuw. Het betreft met name de bepalingen over de strafmaxima en strafverzwarende omstandigheden.

Dit kabinet onderkent de toenemende risico’s van cybercriminaliteit en wil dit fenomeen krachtig aanpakken. Ik verwijs ook naar het thans aan de Raad van State ter advisering voorgelegde wetsvoorstel tot wijziging van het Wetboek van Strafrecht en het Wetboek van Strafvordering in verband met de verbetering en versterking van de opsporing en vervolging van cybercrime (computercriminaliteit III). De richtlijn, waarin onder meer een aantal strafmaatverhogingen is opgenomen, sluit bij deze aanpak aan.

Van cybercriminaliteit gaan grote dreigingen uit, zoals bijvoorbeeld gevaar voor maatschappelijke ontwrichting en voor het vertrouwen in het financieel-economische systeem. Dat risico is vooral aan de orde bij aanvallen via zogenoemde ‘botnets’, waarbij controle op afstand over een aanzienlijk aantal computers tot stand wordt gebracht door deze door middel van gerichte cyberaanvallen te besmetten met kwaadaardige software. Als het eenmaal tot stand is gekomen, kan het netwerk van computers dat de ‘botnet’ vormt, zonder medeweten van de gebruikers ervan, worden ingezet om een grootschalige cyberaanval uit te voeren, die ernstige schade kan veroorzaken. Grootschalige cyberaanvallen kunnen onder andere ernstige economische schade veroorzaken doordat informatiesystemen uitvallen en communicatie wordt onderbroken en doordat er commercieel vertrouwelijke of andere gegevens verloren gaan of worden gewijzigd. Ontwrichting of vernietiging van vitale infrastructuren, zoals energiecentrales, vervoersnetwerken en overheidsnetwerken, kunnen aanzienlijke gevolgen hebben. In verband met de naar zijn aard veelal grensoverschrijdende cybercriminaliteit en grensoverschrijdende gevolgen is het noodzakelijk om een gezamenlijke Europese aanpak te ontwikkelen. Dit voorkomt ‘safe havens’. Voorkomen moet worden dat personen (via computers) in landen waar bepaalde feiten niet strafbaar zijn gesteld of met een lage straf worden bedreigd, computercriminaliteit ten aanzien van de Nederlandse overheid, Nederlandse bedrijven en burgers kunnen plegen.

Om beter weerstand te kunnen bieden aan deze problematiek is er behoefte aan het verzamelen – op EU niveau – van vergelijkbare gegevens over de in de richtlijn bedoelde strafbare feiten. Met behulp van deze gegevens, zoals bijvoorbeeld over modus operandi en frequentie, kunnen dreigingsevaluaties en strategische evaluaties van cybercriminaliteit worden uitgevoerd. Op basis daarvan kan een beter inzicht ontstaan in huidige en toekomstige dreigingen en kunnen meer passende en gerichte besluiten worden genomen over het bestrijden en voorkomen van aanvallen op informatiesystemen. Het verzamelen en doorgeven van dergelijke gegevens sluiten aan bij de huidige werkzaamheden van het Team High Tech Crime (THTC) van de dienst nationale recherche van de landelijke eenheid van politie, dat nu al het 24/7 contactpunt voor andere staten is als het gaat om de bestrijding van cybercrime door Nederland en bij de huidige werkzaamheden van het nationaal cyber security centrum van de NCTV. Beide organisaties beschikken ook al over regulieren contacten met enerzijds Europol en anderzijds ENISA.

Aanbieding vierde editie van de i-NUPdate, bijlage bij Kamerstuk 26643 nr. 304
In deze uitgave leest u o.a. een interview met de Rotterdamse wethouder Richard Moti over digitalisering en decentralisaties, een artikel over de voordelen bij het gebruik van de Basisregistratie Grootschalige Topografie en wat de ingebruikname van de Berichtenbox de gemeente Eindhoven oplevert.
Doel van deze digitale krant, die ook een beperkte papieren oplage heeft, is het inspireren en motiveren van alle organisaties, die samenwerken aan het i-NUP. Met het programma i-NUP werkt de overheid aan één digitale overheid: betere service, meer gemak.

Lees verder

CBP, CBP adviseert over verwerking persoonsgegevens bij uitvoering van de Wet langdurige intensieve zorg, CBPweb.nl 9 december 2013
Uit de mededeling: Het College bescherming persoonsgegevens (CBP) heeft geadviseerd over het wetsvoorstel Langdurige intensieve zorg (LIZ). Dit voorstel maakt onderdeel uit van een groot wetgevingscomplex, waarvan de kern de decentralisatie van taken naar gemeenten is. Het CBP heeft bezwaar tegen het wetsvoorstel en adviseert het niet in de huidige vorm in te dienen.

​ Het kabinet heeft besloten tot fundamentele hervorming van de langdurige zorg. Het CBP heeft in dat verband eerder ook geadviseerd over de voorstellen voor de Wet maatschappelijke ondersteuning 2015 (Wmo 2015) en de Jeugdwet. De voorstellen leveren een aanzienlijke wijziging op van taken en verantwoordelijkheden van diverse instanties. Gelet hierop heeft het CBP al opgemerkt dat het noodzakelijk is om tot een meer overkoepelende en onderbouwde visie op de verwerking van persoonsgegevens te komen. Transparantie over de verwerking van persoonsgegevens is hierbij een belangrijk aandachtspunt.

Visie op verwerking persoonsgegevens
Het CBP constateert dat ook in het wetsvoorstel LIZ zo'n onderbouwde visie op de verwerking van persoonsgegevens niet aanwezig is. Het CBP adviseert daarom te voorzien in een grondige beschouwing over de verwerking van persoonsgegevens in de nieuwe situatie zoals beschreven in het wetsvoorstel LIZ. Deze verwerking moet ook in samenhang worden bekeken met de veranderingen vanuit de wetsvoorstellen Wmo 2015 en Jeugdwet, die aanleiding kunnen geven tot gegevensuitwisseling bij het afstemmen van de uitvoering van die wetten.

Specificatie gegevensverwerking
Het CBP acht het daarbij van belang dat het wetsvoorstel LIZ voldoende specificeert over welke gegevens instanties mogen beschikken voor welke taak en welke gegevens ze daarbij aan elkaar moeten verstrekken. Het CBP adviseert ook in het wetsvoorstel LIZ een wettelijke verplichting op te nemen voor het door derden verstrekken van gegevens die noodzakelijk zijn voor de zogeheten indicatiestelling. Toestemming kan hiervoor namelijk niet als grondslag dienen, omdat de mensen om wie het gaat bij dit soort gegevens feitelijk niet in vrijheid toestemming kunnen geven.

Lees het volledige wetgevingsadvies

Lees ook het CBP-advies over het voorstel Wmo 2015

Lees ook het CBP-advies over het voorstel Jeugdwet

CBP Besluit in de Staatscourant van 15 januari 2014, cbpweb.nl
Het College bescherming persoonsgegevens (CBP) heeft besloten een verwerking van screeningsgegevens rechtmatig te verklaren. Deze verwerking houdt in dat de organisatie Curriculum Vitae Zeker B.V. (hierna CV-OK) persoonsgegevens opvraagt en verwerkt in het kader van (pre)employment screening. CV-OK verwerkt hierbij strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag ten behoeve van derden, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b, van de Wet bescherming persoonsgegevens.

Beroep tegen CBP-besluit
Belanghebbenden kunnen ingevolge de Algemene wet bestuursrecht beroep instellen bij de rechtbank tegen het besluit van het CBP om de beschreven verwerking rechtmatig te verklaren. De termijn vangt aan met ingang van de dag na bekendmaking van het besluit in de Staatscourant, nr. 690, 15 januari 2014. Het besluit en de onderliggende stukken liggen ter inzage van maandag t/m vrijdag tussen 10.00 uur en 16.00 bij het CBP, Juliana van Stolberglaan 4-10 te Den Haag. U dient hiervoor een afspraak te maken. Ook is het besluit te downloaden via bovenstaande link.

Prejudiciële vragen HvJ EU 8 oktober 2012, zaak C-446/12 t/m C-449/12 (Willems e.a.)
In zaak C-446/12 gaat het om verzoeker W.P. Willems die een paspoortaanvraag heeft ingediend bij de burgemeester van zijn woonplaats Nuth. Hij weigert echter zijn vingerafdrukken te laten afnemen. Zijn aanvraag wordt (besluit van 22-06-2010) niet in behandeling genomen, bezwaar (22-07-2010) en beroep bij de rechtbank 29-08-2011) afgewezen. Verzoeker gaat in hoger beroep bij de Raad van State.
Verzoeker is van mening dat het vereiste in de paspoortwet om vingerafdrukken in het paspoort op te nemen in strijd is met zijn grondrecht bescherming persoonsgegevens (in zowel handvest als EVRM). Zijn grote bezwaar is de opslag van de vingerafdrukken in zowel het paspoort als in het register dat voor het opslaan van de vingerafdrukken wordt ingericht en het verlies van controle over zijn gegevens. Willems reist vaak naar landen waar corruptie heerst en moet zijn paspoort dan ook regelmatig afgeven, met alle risico’s van dien. Hij stelt schade te lijden door het feit dat hij nu niet buiten de EU kan reizen.

De Raad van State heeft een aantal gelijkluidende zaken op de plank liggen. Vier ervan worden hier aan het HvJEU voorgelegd. De vragen zijn niet identiek, zie bijvoorbeeld de vragen in de zaak C-447/12 waar het om de aanvraag van een identiteitsbewijs gaat. Alleen de vragen in C-446/12 worden hier opgenomen:

1. Is artikel 1, tweede lid, van Verordening (EG) 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (PB L 385, blz. 1), zoals gewijzigd bij Verordening (EG) nr. 444/2009 van het Europees Parlement en de Raad van 28 mei 2009 tot wijziging van Verordening (EG) nr. 2252/2004 (PB L 142, blz. 1), geldig in het licht van de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie en artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden?
2. Indien het antwoord op vraag 1 inhoudt dat artikel 1, tweede lid, van Verordening (EG) 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (PB L 385, blz. 1), zoals gewijzigd bij Verordening (EG) nr. 444/2009 van het Europees Parlement en de Raad van 28 mei 2009 tot wijziging van Verordening (EG) nr. 2252/2004 (PB L 142, blz. 1) geldig is, moet artikel 4, derde lid, van de Verordening, in het licht van de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie, artikel 8, tweede lid, van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en artikel 7, aanhef en onder f, van de Privacyrichtlijn gelezen in verbinding met artikel 6, eerste lid, aanhef en onder b, van die richtlijn zo worden uitgelegd dat ter uitvoering van deze Verordening door de lidstaten wettelijk dient te worden gewaarborgd dat de op grond van deze Verordening verzamelde en opgeslagen biometrische gegevens niet voor andere doeleinden mogen worden verzameld, verwerkt en gebruikt dan voor de afgifte van het document?

In zaak C-447/12 is verzoeker H.J. Kooistra te Terkaple (Friesland). Hij vraagt afgifte van een NL identiteitskaart en ook deze aanvraag wordt niet in behandeling genomen. Hij weigert een gelaatsfoto en vingerafdrukken af te staan omdat hij bezwaar heeft tegen de opslag van die gegevens. De zaak verloopt verder procedureel hetzelfde als C-446/12. Er wordt in deze zaak een extra vraag gesteld omdat het om een identiteitskaart gaat.
In zaak C-448/12 is verzoeker M. Roest te Amsterdam wiens aanvraag voor een paspoort (beroep bij de Rb) in april 2012 wordt afgewezen. De vragen zijn dezelfde als in C-446/12.
In zaak C-449/12 is verzoeker L.J.A. van Luijk te Den Haag. De voor hem afwijzende uitspraak dateert van maart 2011.

Brief Minister BZ Kamerstukken II, 2013-2014, 26 643, nr. 301 en Bijlage bij de kabinetsvisie op de aanpak van identiteitsfraude
Op 10 april 2013 had ik overleg met de vaste commissie voor Binnenlandse Zaken over de toekomstbestendigheid van de identiteitsinfrastructuur. De deelnemers aan dat overleg deelden het besef dat identiteitsfraude een serieus en groeiend probleem is. Er was steun voor de gepresenteerde maatregelen. Tegelijkertijd bestond het beeld dat de aanpak wat gefragmenteerd was. Met deze brief wil ik namens het kabinet een integrale visie op de aanpak van identiteitsfraude delen met uw Kamer. Deze visie hangt samen met de Rijksbrede aanpak van fraude, waarover u door de Minister van V&J wordt geïnformeerd. Het kabinet biedt u deze visie op de aanpak van identiteitsfraude samen aan met de eerste monitor «Identiteit in Cijfers»1. Doel is om die monitor jaarlijks op te stellen, om een altijd actueel en met de jaren steeds scherper inzicht te hebben in ontwikkelingen op het gebied van identiteit en identiteitsfraude.

Prejudiciële vragen aan HvJ EU 6 november 2013, zaak C-568/13 (Azienda Ospedaliero Universitaria di Careggi-Firenze tegen Data Medical Service) - dossier
Gegevensverwerking. Aanbestedingsrecht. De zaak betreft de openbare aanbesteding in 2005, uitgeschreven door de Italiaanse Regio Lombardia, van het verwerken van (medische) gegevens voor externe kwaliteitsbeoordeling en het verstrekken van controlemateriaal voor een periode van drie jaar. Criterium was de economisch voordeligste offerte. De opdracht wordt op basis daarvan gegund aan de Azienda Ospedaliero-Universitaria di Careggi (AOUC); haar prijs is 59% lager dan die van de andere. Data Medical Service (DMS) heeft ook ingeschreven en eindigt als tweede. Zij start een procedure omdat zij van mening is dat AOUC niet had mogen deelnemen aangezien zij een openbaar lichaam is. Zij wordt in het gelijk gesteld; in de Italiaanse regelgeving (Wetboek van overeenkomsten) is het voor openbare lichamen daadwerkelijk verboden deel te nemen aan een procedure voor het plaatsen van een overheidsopdracht. Zij kunnen een opdracht slechts onder bepaalde voorwaarden bij wege van rechtstreekse plaatsing verkrijgen. AOUC komt op tegen die beslissing omdat zij meent dat het begrip ondernemer daarin zo extensief is uitgelegd dat daaronder ook de op bedrijfsmatige leest geschoeide openbare lichamen vallen.

De verwijzende Italiaanse rechter (RvS) stelt aller allereerst vast dat er al enkele jaren verstreken zijn en de opdracht inmddels al volledig is uitgevoerd. De AOUC heeft echter aangegeven dat zij groot belang heeft bij een uitspraak, ook om eventueel nog een schadevergoeding te kunnen eisen. Gezien de evolutie binnen de steeds meer op bedrijfsmatige leest geschoeide openbare lichamen moet er een juiste afbakening van het communautaire begrip ondernemer geformuleerd worden. Hij legt het HvJEU de volgende vragen voor:

1) Staat artikel 1 van richtlijn 50/1992, mede gelezen tegen de achtergrond van het latere artikel 1, lid 8, van richtlijn 18/2004, in de weg aan een interne regeling die aldus werd uitgelegd dat rekwirante in de onderhavige zaak, als ziekenhuisbedrijf dat naar de aard ervan een op bedrijfsmatige leest geschoeid openbaar lichaam is, van deelneming aan de aanbestedingen wordt uitgesloten?
2) Staat het Unierecht op het gebied van overheidsopdrachten – in het bijzonder de algemene beginselen van vrije mededinging, non-discriminatie en evenredigheid – in de weg aan een nationale regeling die een rechtssubject als het ziekenhuisbedrijf dat rekwirante in de onderhavige zaak is, dat op vaste basis overheidsgeld ontvangt en rechtstreeks is belast met de openbare gezondheidsdienst, toestaat uit die situatie een doorslaggevend concurrentievoordeel te halen ten opzichte van andere ondernemers – zoals blijkt uit de omvang het prijsverschil – zonder dat tegelijkertijd wordt voorzien in maatregelen om een dergelijke distorsie van de mededinging te voorkomen?

CBP Rapport 12 november 2013, z2013-00290.
Uit het persbericht: Erdee Media B.V, uitgever van onder meer het Reformatorisch Dagblad en het tijdschrift Terdege, heeft zónder toestemming van abonnees hun naam- en adresgegevens aan andere partijen verstrekt voor directmarketingdoeleinden. Dat concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. Erdee Media handelt hiermee in strijd met de Wet bescherming persoonsgegevens (Wbp). Deze zaak draait om de bescherming van bijzondere persoonsgegevens, namelijk gegevens over iemands godsdienst, waarvoor strenge wettelijke eisen gelden. Deze gegevens mogen alleen met uitdrukkelijke toestemming van betrokkenen worden verwerkt. Als het CBP constateert dat Erdee Media B.V. de overtreding niet beëindigt, kan het CBP handhavend optreden.

​Uit verschillende communicatiemiddelen van Erdee Media B.V. wordt duidelijk dat de lezers van het Reformatorisch Dagblad en Terdege volgens Erdee Media B.V. behoren tot de gereformeerde gezindte. Erdee Media B.V. stelt via onder meer haar website tegenover (potentiële) adverteerders dat de verschillende media van Erdee Media B.V. volop mogelijkheden bieden als adverteerders de ‘gereformeerde gezindte’ willen bereiken. Het label ‘behorende tot de gereformeerde gezindte’ zorgt voor een rechtstreeks verband tussen de naam- en adresgegevens van de abonnees en gegevens over hun godsdienst. De verstrekking van de abonneegegevens moet dan ook worden aangemerkt als een verwerking van bijzondere persoonsgegevens.

Bijzondere persoonsgegevens
Voor de verwerking van bijzondere persoonsgegevens geldt een wettelijk verbod. Dit betekent voor Erdee Media B.V. dat verstrekking van abonneegegevens aan derde partijen voor direct-marketingdoeleinden slechts rechtmatig kan zijn als de abonnees hiervoor hun uitdrukkelijke toestemming hebben gegeven. Het CBP heeft geconcludeerd dat Erdee Media B.V. geen toestemming heeft gevraagd en daarom met de verstrekking van de gegevens in strijd met de wet handelt.

CBP nieuw besluit 19 december 2013.
Uit het persbericht: Bij uitspraak van de Rechtbank Amsterdam van 13 november 2013 [hier] is het besluit van het College bescherming persoonsgegevens (CBP) tot afgifte van een goedkeurende verklaring voor de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars met bijbehorend Protocol Materiële Controle (d.d. 13 december 2011) van Zorgverzekeraars Nederland vernietigd. De Rechtbank Amsterdam heeft in die uitspraak een aantal beroepsgronden tegen de afgifte van die goedkeurende verklaring zoals aangevoerd door de Stichting Koepel van DBC-vrije Praktijken van Psychotherapeuten en Psychiaters gegrond verklaard. Zorgverzekeraars Nederland heeft op 17 december 2013 hoger beroep ingesteld tegen de uitspraak van de Rechtbank Amsterdam bij de Afdeling Bestuursrechtspraak van de Raad van State.

De rechtbank Amsterdam heeft het CBP een termijn van zes weken gesteld voor het nemen van een nieuw besluit. In die termijn heeft Zorgverzekeraars Nederland geen – aan de uitspraak van de Rechtbank Amsterdam – aangepaste versie van de Gedragscode ter beoordeling aan het CBP voorgelegd. Het instellen van hoger beroep door Zorgverzekeraars Nederland heeft geen schorsende werking ten aanzien van de door de Rechtbank Amsterdam gestelde termijn voor het nemen van een nieuw besluit door het CBP.

Tegen die achtergrond heeft het CBP op 19 december 2013 met inachtneming van de uitspraak van de Rechtbank Amsterdam een nieuw besluit genomen, houdende afwijzing van het verzoek van Zorgverzekeraars Nederland tot afgifte van een goedkeurende verklaring voor de Gedragscode.
Dit besluit wordt openbaar gemaakt door plaatsing van deze mededeling en het besluit op de website van het CBP en door plaatsing van het besluit in de Staatscourant.

SMART Privacy - Actualiteiten internetrecht 28 november 2013
Paper ingezonden door Lars Leemeijer en Robert Kreuger, Vrije Universiteit Amsterdam.
SMART devices verzamelen een enorme hoeveelheid data waaronder het e-mailadres van de gebruiker, locatiegegevens, contactlijsten, agenda en foto’s. Deze gegevens worden gekoppeld aan een uniek ID nummer van het SMART device. Tegelijkertijd is sprake van een ontwikkeling waarbij (persoonlijke) data wordt prijsgegeven in ruil voor (gratis) diensten. Het behoeft weinig uitleg dat dit privacyrechtelijke problemen met zich meebrengt.

In deze paper staat de impact van SMART devices op de persoonlijke levenssfeer centraal. De volgende hoofdvraag wordt beantwoord: Welke privacyrechtelijke normen moeten van toepassing zijn op Apps? Doel is te komen tot een global approach. Om de centrale probleemstelling te beantwoorden wordt in paragraaf 1 het begrip privacy uitgelicht. Vervolgens wordt in paragraaf 2 de ontwikkeling rondom SMART devices beschreven. In paragraaf 3 wordt een aanzet gedaan tot een global approach.

Lees hier de volledige versie.