Privacy  

CALL FOR PAPERS: TILT – Tilburg Institute for Law, Technology, and Society brings to your attention the bi-annual multidisciplinary conference TILTing Perspectives on Technology Regulation

UNDER OBSERVATION – Synergies, benefits and trade-offs of eHealth and surveillance

Tilburg, The Netherlands, 22-23 April 2015

Conference Theme: The notion that people are ‘under observation’ has multiple connotations. Bringing together two hitherto unrelated streams of scholarship interested in observation —eHealth and surveillance studies—this conference aims to inspire cross-fertilisation and bring new insights into the legal, ethical and social meanings of being ‘under observation’.

Care for an aging population and for patients with chronic conditions is expensive. Staying healthy is actively encouraged by policy and practice. Use of eHealth solutions to this end is especially encouraged, as these applications are considered to be ‘lean’, cheap and capable of offering access to healthcare and lifestyle management anywhere, any time. Recent developments in mobile eHealth have led to wearable sensors that gather health data in real time and help take charge of our wellbeing, while Big Data Analytics and Predictive Analytics promise better understanding of disease, prevention and treatment.

But these technologies are not without their caveats. Most notably, they create new opportunities for surveilling and steering health-related behaviours. Recent scholarship on the relationship between the development of new technologies and trends in surveillance points to the multi-directional and mutual nature of the latter. In the field of health, this means that not only are patients watched by technologies, physicians, etc. but also that they are increasingly watching.

These new trends are in line with a general tendency to seek solutions to societal problems – crime, resource allocation, child welfare – in data aggregation, monitoring, profiling and behaviour tracking.

We therefore invite legal, ethical, and social scholars and practitioners, philosophers of technology and engineers, as well as persons working in the areas of health (including eHealth), assisted living, sensor technology, surveillance studies, data protection, data security and privacy to join us in exploring these developments during a two-day conference. We will explore
and discuss the synergies, benefits and trade-offs of developments in eHealth and related changes in surveillance structures and practices.

See full call here

HvJ EU 17 juli 2014, IT 1557, zaak C-141/12 / C-372/12 (Y.S.en MenS tegen Minister voor Immigratie, Integratie en Asiel) - dossier
Zie eerder IT 1355. Persoonsgegevens. Verzoek om een prejudiciële beslissing betreffende de uitlegging van de artikelen 2, sub a, 12, sub a, en 13, lid 1, sub d, f en g, van richtlijn 95/46/EG (Privacyrichtlijn) en van de artikelen 8, lid 2, en 41, lid 2, sub b, van het EU Handvest. Een geding van twee derdelanders die eenzelfde verzoek hebben ingediend, over de weigering van de minister om die derdelanders een afschrift te verstrekken van een bestuurlijk document dat voorafgaand aan de vaststelling van de besluiten over hun verzoeken om een verblijfsvergunning was opgesteld. Het Hof verklaart voor recht dat de aanvrager van een verblijfstitel recht heeft op inzage in de hem betreffende persoonsgegevens, maar niet op de juridische analyse van het intern document. De aanvrager kan zich tegenover de nationale autoriteiten niet beroepen op art. 41 lid 2 sub b van het Handvest.

59      In situaties als die in de hoofdgedingen vloeit uit het in punt 48 van het onderhavige arrest gegeven antwoord voort dat alleen de gegevens betreffende de aanvrager van de verblijfstitel die in de minuut zijn weergegeven, en in voorkomend geval die welke in de juridische analyse in die minuut zijn weergegeven, „persoonsgegevens” in de zin van artikel 2, sub a, van richtlijn 95/46 zijn. Bijgevolg heeft het recht op inzage waarop deze aanvrager zich krachtens artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest kan beroepen, uitsluitend betrekking op die gegevens. Opdat aan dit recht op inzage wordt voldaan, volstaat het dat aan de aanvrager van de verblijfstitel een volledig overzicht, in begrijpelijke vorm, van al deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij de artikelen 12, sub b en c, 14, 22 en 23 van die richtlijn verleende rechten kan uitoefenen.

60      Uit het voorgaande vloeit voort dat op de derde en de vijfde vraag in zaak C‑141/12 en op de eerste en de tweede vraag in zaak C‑372/12 dient te worden geantwoord dat artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest in die zin moeten worden uitgelegd dat de aanvrager van een verblijfstitel een recht heeft op inzage in alle hem betreffende persoonsgegevens die het voorwerp van een verwerking door de nationale overheidsinstanties vormen in de zin van artikel 2, sub b, van deze richtlijn. Om daaraan te voldoen, volstaat het dat aan die aanvrager een volledig overzicht, in begrijpelijke vorm, van deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij die richtlijn verleende rechten kan uitoefenen.

65      Wat de inhoud van deze prejudiciële vragen betreft, menen Y.S., M. en S. alsmede de Griekse regering dat de aanvrager van een verblijfstitel een recht op inzage in het dossier kan baseren op artikel 41, lid 2, sub b, van het Handvest, daar de nationale autoriteiten in het kader van de procedure voor de toekenning van een dergelijke titel richtlijnen op asielgebied ten uitvoer brengen. De Nederlandse, de Tsjechische, de Franse, de Oostenrijkse en de Portugese regering menen daarentegen dat artikel 41 van het Handvest uitsluitend is gericht tot de instellingen van de Unie en bijgevolg niet als grondslag kan dienen voor een recht op inzage in het dossier in het kader van een nationale procedure.

Antwoord:
1) Artikel 2, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet in die zin worden uitgelegd dat gegevens over de aanvrager van een verblijfstitel die zijn weergegeven in een bestuurlijk document, zoals de in het hoofdgeding aan de orde zijnde „minuut”, waarin de gronden worden uiteengezet die de beslismedewerker aanvoert tot staving van het ontwerpbesluit dat hij moet opstellen in het kader van de procedure die voorafgaat aan de vaststelling van een besluit over de aanvraag van een dergelijke titel, en in voorkomend geval die welke zijn weergegeven in de juridische analyse die dat document bevat, „persoonsgegevens” zijn in de zin van deze bepaling, maar dat die analyse als zodanig niet aldus kan worden gekwalificeerd.

2) Artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest van de grondrechten van de Europese Unie moeten in die zin worden uitgelegd dat de aanvrager van een verblijfstitel een recht heeft op inzage in alle hem betreffende persoonsgegevens die het voorwerp van een verwerking door de nationale overheid vormen in de zin van artikel 2, sub b, van deze richtlijn. Om daaraan te voldoen, volstaat het dat aan die aanvrager een volledig overzicht, in begrijpelijke vorm, van deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij die richtlijn verleende rechten kan uitoefenen.

3) Artikel 41, lid 2, sub b, van het Handvest van de grondrechten van de Europese Unie moet in die zin worden uitgelegd dat de aanvrager van een verblijfstitel zich tegenover de nationale autoriteiten niet op deze bepaling kan beroepen.

Gestelde vragen C-141/12:

1) Zijn de gegevens die in de minuut van betrokkene zijn weergegeven en die betrekking hebben op betrokkene, persoonsgegevens in de zin van artikel 2, sub a, van [richtlijn 95/46]?

2) Is de in de minuut opgenomen juridische analyse een persoonsgegeven in de zin van voornoemde bepaling?

3) Wanneer het Hof bevestigt dat de hiervoor omschreven gegevens persoonsgegevens zijn, dient de verwerker/overheidsinstantie dan ook ingevolge artikel 12 van [richtlijn 95/46] en artikel 8, lid 2, van het [Handvest] inzage te geven in deze persoonsgegevens?

4) Kan betrokkene in dit kader ook een rechtstreeks beroep doen op artikel 41, lid 2, sub b, van het [Handvest], en zo ja, moet de hierin opgenomen zinsnede ,met inachtneming van het gerechtvaardigde belang van de vertrouwelijkheid [van de] besluitvorming’ zo worden uitgelegd dat het recht op inzage in de minuut op die grond kan worden geweigerd?

5) Wanneer betrokkene verzoekt om inzage in de minuut, dient de verwerker/overheidsinstantie een kopie van dit document te verschaffen om zo recht te doen aan het inzagerecht?

Gestelde vragen C-372/12:
1) Dient artikel 12, aanhef en sub a, tweede streepje, van [richtlijn 95/46] aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt?

2) Dienen de woorden ,recht van inzage’ in artikel 8, lid 2, van het [Handvest] aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt in de zin van artikel 12, aanhef en sub a, tweede streepje, van [richtlijn 95/46]?

3) Is artikel 41, lid 2, aanhef en sub b, van het [Handvest] mede gericht tot de lidstaten van de Europese Unie voor zover zij het recht van de Unie ten uitvoer brengen in de zin van artikel 51, lid 1, van het [Handvest]?

4) Levert de consequentie dat als gevolg van het geven van inzage in minuten daarin niet meer de redenen worden vastgelegd waarom een bepaald besluit wordt voorgesteld, hetgeen de interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie en de ordelijke besluitvorming niet ten goede komt, een gerechtvaardigd belang van de vertrouwelijkheid op in de zin van artikel 41, lid 2, aanhef en sub b, van het [Handvest]?

5) Kan een juridische analyse, zoals neergelegd in een minuut, worden aangemerkt als een persoonsgegeven in de zin van artikel 2, sub a, van [richtlijn 95/46]?

6) Behoort tot de bescherming van rechten en vrijheden van anderen in de zin van artikel 13, lid 1, aanhef en sub g, van [richtlijn 95/46] ook het belang van een interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie? Indien het antwoord hierop negatief luidt, kan dit belang dan worden gebracht onder artikel 13, lid 1, aanhef en sub d of f, van die richtlijn?

EDPS: Report of workshop on Privacy, Consumers, Competition and Big Data, 2 june 2014
In March 2014 the EDPS published a Preliminary Opinion on 'Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy'. The paper has helped stimulate discussions between policy makers, regulators and specialists across these policy areas. The EDPS hosted a workshop in Brussels on 2 June, attended by experts from the European Commission, national regulators, academics and NGOs, as well as the US Federal Trade Commission.

This report of the workshop is structured according to the five big, overlapping themes which were subject of discussions:

1. The features of the digital economy and the importance of personal data to its development
2. The aims of competition law and how those are played out in practice
3. The various ways in which the interests of the ‘consumer’ are understood in competition law and consumer protection law
4. The extent to which privacy is considered a competitive advantage in digital markets
5. Challenges for enforcement cooperation in the fields of competition, consumer protection and data protection. (...)

Conclusions
It was agreed that stakeholders, regulators and experts should continue to talk about how data protection principles, in particular those of purpose limitation and legitimate interest, can be applied to the digital economy, and how the various policy areas could be deployed most effectively to facilitate transparency, choice and competitiveness in privacy policies which protected the fundamental rights and interests of individuals. Data protection and competition specialists do not necessarily speak the same language. Laws may currently be applied effectively to address visible large scale abuses. But the laws seem not to cover the incremental ‘day-by-day drops into the ocean of data’ which are assembled to construct user profiles, where even seemingly innocuous data can reveal sensitive information. This process will be accelerated as more and more devices go online, which will in turn intensify the need for privacy by design, high standards of data security and data minimisation. (…)

Uit het persbericht: De Nederlandse Publieke Omroep (NPO) verzamelt met zogeheten tracking cookies persoonsgegevens van websitebezoekers zonder hiervoor hun ondubbelzinnige toestemming te vragen. Daarmee overtreedt de NPO de Wet bescherming persoonsgegevens (Wbp). Dit concludeert het College bescherming persoonsgegevens (CBP) na onderzoek naar het plaatsen van tracking cookies door de NPO. Met deze tracking cookies kan de NPO het surfgedrag van bezoekers van verschillende omroepwebsites volgen. Het volgen van surfgedrag via cookies zonder adequate informatie en voorafgaande toestemming van de websitebezoeker is niet toegestaan. “Surfgedrag hoort privé te blijven, tenzij je toestemming geeft om gevolgd te worden op internet”, aldus vice-voorzitter van het CBP Wilbert Tomesen. Het CBP zal de komende periode controleren in hoeverre de overtredingen voortduren en beslissen over eventuele inzet van sancties.

Het CBP heeft vastgesteld dat op alle NPO-websites al bij het laden van een webpagina analytische tracking cookies worden geplaatst. Dit gebeurt dus vóór de websitebezoeker een keuze heeft kunnen maken om in te stemmen met het gebruik van zijn persoonsgegevens of dit te weigeren. Op de NPO-websites worden daarnaast andere tracking cookies geplaatst zonder dat een bezoeker hiervoor zijn ondubbelzinnige toestemming heeft gegeven. Het CBP heeft ook geconcludeerd dat de NPO bezoekers onvolledig, inconsistent en in sommige gevallen feitelijk onjuist informeert.

Gegevens over surfgedrag zijn gevoelige gegevens die een indringend beeld kunnen geven van iemands (communicatie)gedrag en belangstelling. Internetgebruikers hebben het recht om te weten wie welke persoonsgegevens van hen verzamelt en met welk doel dat gebeurt. De NPO verzamelt gegevens van zijn websitebezoekers onder meer om het publieksbereik te meten, om gepersonaliseerde advertenties te tonen en om het delen via social media mogelijk te maken. De informatie van de NPO aan bezoekers schiet op verschillende punten tekort. Websitebezoekers horen eerst informatie te krijgen over de verschillende soorten cookies en welke van hun persoonsgegevens waarvoor worden gebruikt zodat zij weten waarvoor zij precies toestemming geven.

Het onderzoeksrapport is buiten toedoen van het CBP publiek geworden. Het CBP heeft daarom besloten het rapport vervroegd te publiceren.
Lees het rapport (7Mb!)

Prejudiciële vragen aan HvJ EU 31 maart 2014, IT 1551, zaak C-201/14 (Bara e.a. tegen CNAS)
Privacy. De groep van verzoeker en vele medestanders bestaat uit (kleine) zelfstandigen. Zij komen op tegen het feit dat zij als gevolg van het onvoorspelbare handelen van de bestuursorganen van de Roemeense Staat verschillende bedragen hebben moeten betalen wegens toepassing met terugwerkende kracht van die bestuurshandelingen. Daarnaast zou bij de overdracht van hun persoonsgegevens RL 95/46/EG geschonden zijn doordat op basis van een nationaal protocol tussen de belastingadministratie en het ziekenfonds (dat volgens hen geen rechtskracht heeft) persoonsgegevens van de belastingdienst zijn overgedragen aan het ziekenfonds.

De verwijzende Roemeense rechter van het Hof van Beroep vraagt zich af of deze wijze van overdracht van informatie op Europeesrechtelijke gronden is toegestaan, en een juiste toepassing vormt van VWEU artikel 124. Hij stelt het HvJEU de volgende vragen:

1. Is de nationale belastingdienst, als vertegenwoordiger van het bevoegde ministerie van een lidstaat, een financiële instelling in de zin van artikel 124?
2. Kan door middel van een met een bestuurshandeling gelijkgestelde handeling, of een protocol tussen de nationale belastingdienst en een andere overheidsinstelling, de overdracht worden geregeld van de database over de inkomsten van de staatsburgers van een lidstaat door de nationale belastingdienst aan een andere instelling van de lidstaat, zonder dat sprake is van een bevoorrechte toegang als omschreven in artikel 124 VWEU?
3. Valt de overdracht van de database, met als doel de staatsburgers van de lidstaat te verplichten sociale bijdragen te betalen aan de instelling van de lidstaat waaraan de database wordt overgedragen, onder het begrip overweging van bedrijfseconomisch toezicht in de zin van artikel 124 VWEU?
4. Kunnen persoonsgegevens worden verwerkt door een autoriteit waarvoor die gegevens niet waren bestemd, waarbij met terugwerkende kracht financieel verlies voor de betrokkenen ontstaat?

G.J. Zwenne, 'CBP te weinig oog voor wetgever en consument', Financieel Dagblad, 18 juni 2014.
Iets minder dan twee jaar geleden trad in Nederland een nieuwe cookiewet in werking. Sindsdien worden we bij het bezoek van websites geconfronteerd met ongevraagde cookiemededelingen en toestemmingsverzoeken, die door de meesten van ons ongelezen worden weggeklikt.De bedoeling van de cookiewet — privacybescherming — was goed. De toepassing ervan stuitte op onbegrip. De wet wil internetgebruikers beschermen tegen cookies waarmee heimelijk hun surfgedrag wordt gevolgd. Maar veel internetters ergeren zich vooral aan de pop-ups en banners. Onze cookiewet is bovendien veel strenger dan de wetgeving in andere EU-lidstaten. Nederland heeft een zogeheten bewijsvermoeden in de cookiewet opgenomen. Zogeheten trackingcookies worden volgens onze wet vermoed persoonsgegevens te zijn. En dat betekent dat daarop verschillende juridische voorschriften van toepassing kunnen zijn en dat verschillende toezichthouders daarop toezicht houden. Het gaat om de Telecomwet waarop ACM toezicht houdt, én om de Wet bescherming persoonsgegevens waarop toezicht wordt gehouden door het College Bescherming Persoonsgegevens (CBP).
Lees verder

Ktr. Rechtbank Amsterdam 30 juni 2014, IT 1542 (HKH Koning, Koningin en prinses Amalia tegen Sanoma)
Grondrechten. Belangenafweging. Mediacode. Sanoma is uitgever van het blad Nieuwe Revu. In 2013 verscheen in de Nieuwe Revu een artikel met de titel “Amalia heeft een vriendje! En wat we volgens de mediacode nog meer niet mogen weten over onze koningin”. In dit artikel uiten een aantal mensen kritiek op de mediacode. Daarnaast zijn in dezelfde aflevering twee foto's geplaatst van prinses Amalia tijdens een hockeytraining. De foto's zijn ook op het internet gepubliceerd. De Rijksvoorlichtingsdienst (RVD) heeft Sanoma bericht dat de publicatie van de voormelde foto's onrechtmatig is. De kantonrechter verklaart voor recht dat gedaagden onrechtmatig hebben gehandeld jegens prinses Amalia door het publiceren van de foto's. Beveelt gedaagden om binnen 48 uur na betekening van het vonnis de foto's van hun website te verwijderen en veroordeelt hen tot betaling van een schadevergoeding van 1.000 euro.

13. Voor wat betreft de belangenafweging is het volgende relevant. De foto’s zijn gemaakt vanaf grote afstand vanaf de openbare weg, terwijl prinses Amalia – toen zes jaar oud – op het hockeyveld van de hockeyvereniging bezig is met het beoefenen van haar hobby. Gedaagden hebben niet bestreden dat de activiteit plaats vond in de privésfeer en in die omstandigheden mag zij zich in beginsel onbespied wanen, anders dan bijvoorbeeld tijdens een evenement als Koningsdag. Bijzondere omstandigheden die dit anders maken, zijn gesteld noch gebleken. Voor zover in dit verband door gedaagden nog is opgemerkt dat het een eerste training zou zijn geweest, mist dit feitelijke grondslag, nog afgezien van het feit dat prinses Amalia in zijn algemeenheid ook niet voor iedere eerste activiteit die zij verricht hoeft te dulden dat haar privacy wordt geschonden, althans de angst moet hebben dat dit zal gebeuren. De bijdrage aan een onderwerp van algemeen belang is door de publicatie naar het oordeel van de kantonrechter voorts nihil, nu een foto van prinses Amalia tijdens een training geen enkel algemeen belang heeft. Gedaagden hebben weliswaar aangevoerd dat velen geïnteresseerd zijn in het toekomstig staatshoofd en dat velen willen weten dat zij hockey speelt maar dat enkele feit rechtvaardigt nog niet de publicatie van een foto als de onderhavige. Ten tijde van de publicatie was van de zijde van eiser al bekend gemaakt dat prinses Amalia deze hobby had. De foto’s hebben voorts geen samenhang met de rol die prinses Amalia als toekomstig staatshoofd gaat vervullen. Bovendien zijn de foto’s gepubliceerd bij een artikel waarin de mediacode aan de orde wordt gesteld. Het staat gedaagden uiteraard vrij over de mediacode te publiceren, maar dit brengt niet met zich mee dat prinses Amalia enkel daarom openbaarmaking van de gewraakte foto’s moet dulden. Terecht is in dit verband door eisers opgemerkt dat de publicatie van een in beginsel onrechtmatige foto niet rechtmatig wordt door een artikel over de rechtmatigheid van die foto daaraan te verbinden. Voorts is door eisers gesteld en is door gedaagden ook erkend dat eisers belang hechten aan privacy en optreden tegen (onrechtmatige) schendingen daarvan, in het bijzonder van hun kinderen. In een eerder geschil tussen partijen is namens eisers ter terechtzitting een toelichting gegeven over het belang dat zij hechten aan het hebben van een ongestoorde jeugd voor hun kinderen, welk betoog in de onderhavige procedure deels is herhaald. Dat eisers daarin willekeurig zouden opereren in de zin dat daaraan een argument voor rechtvaardiging van de publicatie kan worden ontleend is door gedaagden niet dan wel onvoldoende toegelicht.

13. Het voorgaande leidt tot het oordeel dat een afweging van de belangen meebrengt dat de bescherming tegen het recht van inbreuk op de persoonlijke levenssfeer in het onderhavige geval zwaarder weegt dan het recht van vrijheid van meningsuiting. De publicatie van de foto’s jegens prinses Amalia is dan ook onrechtmatig.

15. Eisers stellen voorts terecht dat het aan de betreffende persoon is om al dan niet op te treden tegen inbreuken op het recht op privacy. Dat in voorkomende gevallen tegen bepaalde foto’s niet wordt geageerd ontneemt de onrechtmatigheid aan deze publicatie derhalve niet. De gevorderde verklaring voor recht is toewijsbaar. De hieruit voortvloeiende beperking van het recht van vrijheid van meningsuiting acht de kantonrechter in een democratische samenleving gerechtvaardigd en noodzakelijk.

Op andere blogs:
Charlotte's Law

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft in een brief de minister van BZ gewaarschuwd dat gemeenten de bescherming van persoonsgegevens niet uit het oog mogen verliezen bij de voorbereidingen op de decentralisaties in het sociaal domein. Het CBP reageert met deze brief op de Beleidsvisie over privacy in het sociaal domein van 27 mei jl. In deze visie wordt gesproken over een ‘lerende praktijk’ binnen gemeenten die na enige tijd wordt geëvalueerd. Het CBP benadrukt dat gemeenten de naleving van de Wet bescherming persoonsgegevens (Wbp) niet kunnen opschorten als gevolg van een ‘lerende praktijk’. Het gaat vaak om de verwerking van bijzondere persoonsgegevens, waarvoor strenge wettelijke eisen gelden. Het CBP volgt de ontwikkelingen binnen gemeenten op dit terrein nauwgezet en zal zo nodig gebruik maken van zijn handhavende bevoegdheden.

Het CBP constateert dat het kabinet geen duidelijke kaders geeft waarbinnen gemeenten bij de verwerking van persoonsgegevens binnen het sociaal domein moeten blijven. De acties die het kabinet in zijn visie voorstelt als waarborgen voor de privacy, blijven ruimte bieden voor variatie die gemeenten kunnen geven aan de verwerking van persoonsgegevens. Het CBP wijst erop dat die variatie mogelijk is, maar wel wordt beperkt door de Wbp en dat gemeenten hier van meet af aan rekening mee moeten houden.

Bij de decentralisaties gaat het om een door het kabinet ingezette overheveling van taken naar gemeenten op het gebied van jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen. De wetsvoorstellen die de decentralisatie regelen hebben tot gevolg dat gemeenten meer persoonsgegevens van meer burgers verwerken. Daaronder vallen ook gevoelige gegevens zoals medische en strafrechtelijke gegevens. Voor de verwerking van deze gegevens gelden de eisen uit de Wbp. Zo mogen er niet meer gegevens gedeeld worden dan noodzakelijk, mogen de gegevens niet gebruikt worden voor een doel dat niet verenigbaar is met het oorspronkelijke doel waarvoor zij zijn verzameld en moeten ze adequaat worden beveiligd. Het CBP uitte in oktober 2013 in een brief ook al zorgen over de privacygevolgen van de decentralisatie van taken naar gemeenten.

Bijdrage ingezonden door Filip van Eeckhoutte, Van Eeckhoutte advocaten. In 2010 diende de Spanjaard Maria Costeja Gonzalez een klacht in tegen een Spaanse krant, Google Spanje en Google Inc bij de Spaanse autoriteit voor bescherming van persoonsgegevens (AEPD) [IT 1507]. De man klaagde dat een aankondiging van openbare executie van zijn huis in de zoekresultaten van Google inbreuk maakte op zijn privacy, omdat zijn financiële debacle allang was opgelost en dus de verwijzing naar die openbare veiling niet meer relevant was. Hij verzocht daarom dat de krant de gegevens zou verwijderen en dat Google Spanje of Google Inc zijn persoonsgegevens uit de Google databank zou verwijderen, zodat die niet meer zouden verschijnen in de zoekresultaten.

De Spaanse rechter verwees de zaak naar het Europese Hof van Justitie (EHvJ) en vroeg:
( a) of EU-richtlijn uit 1995 betreffende gegevensbescherming van toepassing is op zoekmachines zoals Google;
( b ) of de EU-wetgeving van toepassing was op Google Spanje, aangezien de verwerking van persoonsgegevens feitelijk plaatsvindt in de Verenigde Staten;
( c ) of een individu het recht heeft te verzoeken dat zijn of haar persoonlijke gegevens worden verwijderd uit een zoekmachine (het recht om te worden vergeten' - 'right to be forgotten').
In zijn arrest van 13 mei 20141 oordeelde dat het EHvJ kort gezegd:
a) qua territorialiteit van de EU-regels : zelfs als de fysieke server van een bedrijf dat persoonsgegevens verwerkt, buiten Europa staat, zijn de EU-regels van toepassing op dat bedrijf als het een filiaal of een dochteronderneming heeft in een lidstaat van de EU;
b) qua toepasselijkheid van de EU-privacyregels op zoekmachines: zoekmachines zijn verwerkers van persoonsgegevens. Google kan daarom haar verantwoordelijkheid niet ontlopen. EU -privacywetgeving is van toepassing en dus ook het recht om te worden vergeten.
c ) qua het 'recht om vergeten te worden': Individuen hebben - onder bepaalde voorwaarden - het recht om zoekmachines te vragen om de banden met persoonlijke informatie over hen te verwijderen . Dit geldt wanneer de informatie onjuist, ontoereikend, irrelevant of overmatig is voor de doeleinden van de gegevensverwerking (r.o. 93 van het arrest) .
Het EHvJ vond in dit specifieke geval dat de inbreuk op het recht op privacy van Gonzalez niet reeds kon worden gerechtvaardigd door het economisch belang van de zoekmachine/Google. Tegelijkertijd heeft het EHvJ expliciet verduidelijkt dat het recht om te worden vergeten niet absoluut is, maar altijd moet worden afgewogen tegen andere grondrechten, zoals de vrijheid van meningsuiting en van de media (r.o. 85 van de arrest). Een beoordeling per geval is dus nodig waarbij dienen te worden afgewogen de aard van de informatie in kwestie, de gevoeligheid voor de persoonlijke levenssfeer en het belang van het publiek in het hebben van toegang tot die informatie. De rol die de verzoeker in het openbare leven speelt, kan daarbij ook van belang zijn.

Filip van Eeckhoutte

Bijdrage ingezonden door Filip van Eeckhoutte, Van Eeckhoutte advocaten. Het 'Recht om te worden vergeten' staat al in de Privacy-richtlijn uit 1995. De privacyrichtlijn bevat als kerngedachte het recht om te worden vergeten. Een persoon kan aan beheerders van o.a. zoekmachines verzoeken dat zijn persoonlijke gegevens worden gewist zodra de gegevens niet langer nodig zijn (artikel 12 Richtlijn). Wat dat betreft heeft de Commissie niets nieuws voorgesteld in de (aanstaande) privacyverordening.

Waarom is de voorgestelde privacyverordening dan nodig?
De voorgestelde verordening gegevensbescherming betreft veel meer dan het recht om te worden vergeten. Het bevat een fundamentele modernisering van de regels inzake gegevensbescherming in Europa, de vestiging van een aantal nieuwe rechten voor burgers waarvan het recht om te worden vergeten er een van is (andere zijn o.a. mobiliteitsbeheer van persoonsgegevens en data-inbreukmeldingen), de vorming van een interne markt voor persoonsgegevens in de Europese Unie en de stroomlijning van samenwerking tussen de regelgevende instanties van de lidstaten. In het besef dat het recht om te worden vergeten bestaat, heeft het Hof van Justitie een algemeen principe neergezet. Dit principe moet worden geactualiseerd en verduidelijkt voor het digitale tijdperk. De privacyverordening versterkt het principe en de rechtszekerheid (artikel 17 voorgestelde verordening).

Het recht om vergeten te worden zou een lege huls zijn als de EU-regels inzake gegevensbescherming niet van toepassing zouden zijn op niet-Europese bedrijven en voor zoekmachines. De voorgestelde privacyverordening stelt buiten twijfel dat het niet uitmaakt waar de fysieke server van een bedrijf (dat persoonsgegevens verwerkt) staat. Ook op niet-Europese ondernemingen die diensten aan de Europese consumenten aanbieden, zijn de Europese regels van toepassing (artikel 3 voorgestelde verordening).

Om het recht voor particulieren om te worden vergeten te versterken, heeft de Commissie voorgesteld de bewijslast om te keren: het bedrijf - en niet het individu - moet bewijzen dat de gegevens niet mogen worden verwijderd, omdat ze nog steeds nodig of relevant zijn.

De voorgestelde verordening gegevensbescherming schept een verplichting voor een databeheerder (bijv. zoekmachine) die persoonsgegevens openbaar maakt om redelijke maatregelen te nemen opdat derden worden geïnformeerd over het feit dat het individu wenst dat zijn persoonsgegevens worden verwijderd. Het Europees Parlement ging nog verder door de databeheerder te verplichten het wissen van deze persoonsgegevens te laten waarborgen. Het Parlement wil dat mensen ook het recht hebben op verwijdering wanneer een rechterlijke of regelgevende instantie in EU in kracht van gewijsde heeft geoordeeld dat de betrokken gegevens moeten worden gewist.

De voorgestelde verordening gegevensbescherming maakt het voor privacy-autoriteiten, zoals het CBP (College Bescherming Persoonsgegevens) voorts mogelijk om boetes van maximaal 2 % van de jaarlijkse wereldwijde omzet op te leggen van/aan bedrijven die de rechten van burgers met voeten treden, zoals het recht om te worden vergeten.

De voorgestelde privacyverordening is bepaalt ook de redenen van algemeen belang op grond waarvan het online in stand houden van persoonsgegevens kan worden gerechtvaardigd. De uitzonderingen op het recht om te worden vergeten, zijn beperkt en afgebakend. Deze omvatten de uitoefening van het recht van vrijheid van meningsuiting, het belang van de volksgezondheid, alsmede de gevallen waarin gegevens worden verwerkt voor historische, statistische en wetenschappelijke doeleinden.

Filip van Eeckhoutte