Privacy  

Rechtbank Oost-Brabant 26 november 2013, ECLI:NL:RBOBR:2013:6553 (Belastingdienst tegen SMSparking B.V.)
Belastingdienst vraagt met een beroep op artikel 53 AWR parkeergegevens op bij dienstverlener voor betaald parkeren. Vordering afgewezen in verband met bescherming priveleven in artikel 8 EVRM.

Het voornemen van de Belastingdienst is om alle van SMS Parking te verkrijgen parkeergegevens op basis van kentekeninformatie te filteren op fiscale relevantie. De parkeergegevens zijn niet prima vista herleidbaar tot een bepaald persoon. De Belastingdienst gaat dan ook niet over tot identificatie van alle parkeergegevens. Alleen bij “hits” zet de Belastingdienst het onderzoek voort en worden de bij het kenteken behorende belastingplichtigen zo nodig geïdentificeerd. Alle niet-relevante gegevens worden direct na filtering vernietigd.

Indien SMSParking de door de Belastingdienst gevraagde informatie aan de Belastingdienst zou verstrekken zou zij onrechtmatig handelen jegens haar klanten. SMSParking handelt dan in strijd met artikel 33 van de Wet bescherming persoonsgegevens (Wbp). SMSParking kan hiervoor aansprakelijk gesteld worden door haar klanten en tevens worden beboet door het CBP.

4.23 In deze zaak van SMSParking staat naar het oordeel van de voorzieningenrechter het hiervoor genoemde ongelimiteerde karakter van de aan SMSParking gevraagde privacygevoelige volledige parkeerinformatie van haar klanten, in samenhang met het in algemene termen omschreven oogmerk van de Belastingdienst aan toewijzing van de gevraagde voorlopige voorziening in de weg. Onvoldoende aannemelijk is geworden dat het door de Belastingdienst van SMSParking verlangde meewerken aan een inbreuk op de persoonlijke levenssfeer van alle klanten die in 2012 van haar diensten gebruik hebben gemaakt evenredig is aan het door de Belastingdienst nagestreefde doel en, in de termen van art. 8 EVRM, voldoet aan de noodzakelijkheidseis. Het is niet aan de rechter en zeker niet aan de rechter in kort geding om in algemene zin te bepalen waar de grens precies moet liggen, maar hier gaat het verzoek in deze vorm naar het oordeel van de voorzieningenrechter in ieder geval te ver, beoordeeld binnen het spanningsveld tussen artikel 8 EVRM en de Wbp enerzijds en artikel 53 AWR anderzijds.

4.24. De Belastingdienst heeft nog aangevoerd dat zij in het geval zij informatie over specifieke kentekens bij SMSParking zou opvragen juist bedrijfs- c.q. privacygevoelige informatie naar buiten brengen, namelijk in welke kentekens en de daarbij behorende belastingplichtigen de Belastingdienst geïnteresseerd is. Dat moge op zichzelf zo zijn, maar het daartegenover staande voordeel kan onder omstandigheden wel zijn dat beter inzichtelijk wordt op welke wijze de Belastingdienst haar vergaande bevoegdheden uitoefent.

4.25. Gezien de afwijzing van de vordering behoeve de andere verweren van SMSParking geen bespreking meer.

4.26. De Belastingdienst zal als de in het ongelijk gestelde partij in de proceskosten worden veroordeeld.

Op andere blogs:
SOLV (SMS Parking hoeft parkeergegevens niet aan belastingdienst te verstrekken)

EDPS, Opinion of the European Data Protection Supervisor on the Commission Proposal for a Directive of the European Parliament and the Council on electronic invoicing in public procurement, 11 november 2013.
While the main objective of the Proposal is not the processing of personal data, processing e-invoices under the Proposal may nevertheless require the processing of certain amount of personal data. Therefore, data protection is a relevant consideration for e-invoicing.

4. First, certain elements (data fields) of the e-invoices may contain personal data. The contracting entities can be either legal or natural persons. Where the contracting entities are natural persons, their data will be considered personal data. This will also be the case where the official title of the legal person identifies one or more natural persons.

5. Further, in cases where the contracting entities need to evidence that they have provided certain services (e.g. medical, social or educational services) to a number of defined individuals, the information that they may need to submit to the contracting authority will contain personal data regarding these individuals. This may sometimes also include sensitive data, for example, in the health and social sector the information may include the type of medical/psychological treatment or social services provided, which are linked (or can be linked), to the names of the individuals to whom these treatments/services were provided.

6. Finally, if and when the data contained in the e-invoices will be used for further purposes that ultimately aim linking the data to specific individuals (such as corporate officers, shareholders or employees of a company) - for example, to investigate a specific incident of tax fraud - the initially seemingly innocuous and non-personal data on the invoices will also be considered personal data.

7. In all these cases, personal data will require appropriate protection, and the national rules transposing Directive 95/46/EC become applicable.

Lees verder hier.

Vzr. Rechtbank Den Haag 1 november 2013, KG ZA 13-925 (Eksmo Publishing House tegen Ecatel Ltd)
Zie eerder IEF 13200. Geen auteursrechtinbreuk e-books. Wel onrechtmatig door IP-adres niet te blokkeren. Tijdelijk veranderen van provider en terugkomen. Eksmo is een Russische uitgeverij die met een groot aantal auteurs (licentie-)overeenkomsten heeft gesloten met betrekking tot (de exploitatie van) de auteursrechten op werken van die auteurs.

[Y] exploiteert en is verantwoordelijk voor de websites waarop digitale kopieën van een groot aantal boeken worden aangeboden, waaronder werken van auteurs met wie Eksmo overeenkomsten heeft gesloten. Voor het hosten van de genoemde sites maakt [Y] gebruik van de diensten van de hostingprovider Ecatel.

Er is geen sprake van auteursrechtinbreuk. Ecatel maakt immers zelf geen auteursrechtelijk beschermde werken openbaar, noch verveelvoudigt zij die werken. Zij biedt uitsluitend diensten aan die door derden gebruikt worden om dit te doen Ecatel voert aan dat zij de websites eerder in de tussenliggende periode al eens ontoegankelijk heeft gemaakt. [Y] zou de websites vervolgens tijdelijk bij een andere provider hebben ondergebracht en enige tijd later opnieuw de diensten van Ecatel hebben ingeroepen. Er is bovendien gebruik gemaakt van hetzelfde IP-adres, dat is niet te rijmen met de toelichting van Ecatel dat de websites een ander IP-adres zouden krijgen als ze opnieuw door Ecatel zouden worden gehost. Ecatel heeft pas eerst in augustus 2013 gehoor heeft gegeven aan het verzoek van Eksmo.

Er kan niet gesproken worden van prompt handelen in de zin van artikel 6:196c lid 4 onder b BW. Ecatel wordt bevolen de websites “lib.rus.ec” en/of “coollib.net” en/of de website die door haar is gehost onder het genoemde IP-adres binnen 24 uur na betekening van dit vonnis te blokkeren en geblokkeerd te houden.

4.4. Naar door Eksmo onweersproken is gesteld, zijn de auteurs van wie kopieën van werken op de desbetreffende websites zijn opgenomen hetzij onderdaan van de Russische Federatie dan wel zijn de desbetreffende werken voor het eerst in de Russische Federatie gepubliceerd, zodat de werken volgens de Berner Conventie (waar zowel de Russische Federatie als Nederland bij zijn aangesloten) in Nederland worden beschermd onder de Auteurswet (Aw). Dat op de websites waartegen de vorderingen zich richten inbreukmakend materiaal wordt aangeboden, is niet bestreden. Dat Eksmo rechthebbende is met betrekking tot dit materiaal, althans in rechte kan optreden ter handhaving van de ingeroepen auteursrechten, is evenmin bestreden. Ten slotte is geen verweer gevoerd tegen de stelling van Eksmo dat [Y] verantwoordelijk is voor de inhoud van de desbetreffende websites en deze exploiteert. Gelet hierop is voorshands sprake van inbreuk door [Y] op de auteursrechten van Eksmo door het via internet door de desbetreffende websites beschikbaar maken van e-books.

4.5. De vorderingen tegen Ecatel voor zover gericht op het geven van een verbod op auteursrechtinbreuk zullen echter worden afgewezen. De handelingen van Ecatel zijn naar voorlopig oordeel weliswaar onrechtmatig, zoals hierna zal worden toegelicht, ze zijn niet aan te merken als inbreuken op het auteursrecht. Ecatel maakt immers zelf geen auteursrechtelijk beschermde werken openbaar, noch verveelvoudigt zij die werken. Zij biedt uitsluitend diensten aan die door derden gebruikt worden om dit te doen.

4.7. Ecatel heeft er ter zitting op gewezen dat zij voldoende voortvarend heeft gehandeld voor een succesvol beroep op de uitzonderingsgrond van artikel 6:196c lid 4 van het Burgerlijk Wetboek (hierna: BW). Zij zou “zo spoedig als de jegens haar klant in acht te nemen zorgvuldigheid toestond” hebben gehandeld. Volgens Eksmo heeft Ecatel echter te lang gewacht met het ontoegankelijk maken van de websites, zodat zij niet heeft voldaan aan het conform sub b van het artikel vereiste “prompt” te handelen zodra zij door Eksmo op de hoogte was gesteld van het onrechtmatige karakter van de websites.

4.8. Ecatel voert in dit verband aan dat zij de websites eerder in de tussenliggende periode al eens ontoegankelijk heeft gemaakt. [Y] zou de websites vervolgens tijdelijk bij een andere provider hebben ondergebracht en enige tijd later opnieuw de diensten van Ecatel hebben ingeroepen. Ecatel heeft ter onderbouwing van deze stelling niets in het geding gebracht. Bovendien is sprake van een IP-adres dat zowel in januari als in augustus werd gebruikt, wat niet te rijmen is met de toelichting van Ecatel dat de websites een ander IP-adres zouden krijgen als ze – na enige tijd ergens anders te zijn ondergebracht – opnieuw door Ecatel zouden worden gehost. Gelet hierop neemt de voorzieningenrechter als uitgangspunt dat Ecatel eerst in augustus 2013 gehoor heeft gegeven aan het verzoek van Eksmo.

4.9. Gelet op het voorgaande is de voorzieningenrechter van oordeel dat niet kan worden gesproken van prompt handelen in de zin van artikel 6:196c lid 4 onder b BW. De door Ecatel ingeroepen uitzonderingsgrond is niet aan de orde, nu naar voorlopig oordeel te veel tijd is verstreken tussen de eerste melding van Eksmo, in januari 2013, en de specificering van haar bezwaren in februari enerzijds, en het ontoegankelijk maken van de websites door Ecatel in augustus anderzijds. De verplichting zorgvuldig te handelen jegens haar klanten, waarop Ecatel in dit verband heeft gewezen, is voorshands geen rechtvaardiging voor de maanden die zijn verstreken alvorens zij heeft gehandeld. Ook het feit dat zij grote aantallen meldingen krijgt over onrechtmatige websites is – zonder meer – niet voldoende om de lange periode van stilzitten van Ecatel aanvaardbaar te maken.

4.12. Ecatel zal worden bevolen de websites “lib.rus.ec” en/of “coollib.net” en/of de website die door haar is gehost onder het IP-adres 93.174.88.192 binnen 24 uur na betekening van dit vonnis te blokkeren voor zover zij deze niet reeds heeft geblokkeerd, en deze geblokkeerd te houden. De aan dit bevel te verbinden dwangsom zal worden gemaximeerd.

Op andere blogs:
BREIN (Hosting provider Ecatel door rechter op vingers getikt)
MediaReport (Hostingprovider haalt illegale ebookwebsites te laat offline)

Uit het persbericht I,: Persbericht II: Een coalitie van burgers en organisaties start vandaag een rechtszaak tegen de Nederlandse Staat, vertegenwoordigd door minister Plasterk van Binnenlandse Zaken. Zij eisen dat de Staat stopt met het gebruiken van gegevens die niet in overeenstemming met de Nederlandse wet zijn verkregen. Op 27 november moet Plasterk bij de rechtbank Den Haag verschijnen om zijn beleid te verdedigen.

Plasterk zegt de spionage- en afluisterpraktijken van de Amerikanen te veroordelen, maar tegenover de Tweede Kamer erkent hij dat gegevens tussen de AIVD en de NSA nog steeds worden uitgewisseld. Zo komen gegevens die door de NSA in strijd met de Nederlandse wet zijn verkregen in handen van de Nederlandse inlichtingendiensten. De coalitie Burgers tegen Plasterk verzet zich hiertegen. Bovendien eist de coalitie dat Plasterk burgers wiens onrechtmatig verkregen data zijn gebruikt, daarover informeert.

Coalitie Burgers tegen Plasterk De advocaten van bureau Brandeis voeren het proces voor de coalitie van burgers en organisaties. Oprichter Christiaan Alberdingk Thijm: “Door NSA-data te gebruiken wordt illegaal verkregen data door Plasterk en zijn diensten witgewassen. Deze zaak moet daar een einde aan maken.”

De deelnemende burgers zijn: Rop Gonggrijp, Jeroen van Beek, Bart Nooitgedagt, Brenno de Winter en Mathieu Paapst. De aangesloten organisaties zijn: de Nederlandse Vereniging voor Strafrechtadvocaten, de Nederlandse Vereniging voor Journalisten, de Internet Society Nederland en Stichting Privacy First.

Jeroen van Beek over de zaak: “Het lijkt alsof Nederland bij buitenlandse overheden gegevens ‘shopt’ die het hier niet legaal kan krijgen. Niemand lijkt verantwoordelijk te zijn of inzicht te geven in wat er precies gebeurt. Hier moet de rechter kritisch naar kijken.”

Over bureau Brandeis
bureau Brandeis is een advocatenkantoor gespecialiseerd in het voeren van complexe rechtszaken en het recht op privacy. Het behandelt bij voorkeur zaken met een maatschappelijk belang. bureau Brandeis is in 2013 opgericht door de bekende internetadvocaat Christiaan Alberdingk Thijm.

Uit het Persbericht van de NVJ: NVJ, de Nederlandse Vereniging voor Strafrechtadvocaten, Stichting Privacy First en de Internet Society starten vandaag onder de titel Burgers tegen de Staat een rechtszaak tegen de Nederlandse Staat. Volgens de procespartijen is het onacceptabel dat Nederlandse inlichtingendiensten gegevens over Nederlandse burgers gebruiken die zij op basis van de Nederlandse wet zelf niet hadden mogen verzamelen. ‘Het op grote schaal afluisteren en aftappen van burgers is niet alleen een ernstige schending van de privacy, het heeft ook een negatief effect op het goed functioneren van de journalistiek’, aldus Thomas Bruning, algemeen secretaris van de NVJ.

Met de zaak willen de partijen een einde maken aan het 'witwassen' van gegevens die illegaal zijn verkregen en daarnaast de Staat verplichten mensen wiens gegevens zijn gebruikt te informeren. Ook moet de zaak de maatschappelijke discussie over het afluisteren van Nederlandse burgers door buitenlandse inlichtingendiensten bevorderen.

De NVJ doet mee vanwege het persvrijheidsbelang dat in het geding is. ‘Het op grote schaal afluisteren en aftappen van burgers heeft ook een negatief effect op het goed functioneren van de journalistiek’, aldus NVJ-secretaris Thomas Bruning. ‘Het brengt de anonimiteit van bronnen of klokkenluiders die op een anonieme wijze misstanden willen melden in gevaar. In een eerdere zaak tegen de Staat en AIVD waarbij NVJ mede-eiser was, werd dit belang uiteindelijk ook door de hoogste rechterlijke instantie, EHRM (Europees Hof voor de Rechten van de Mens) erkend. Het betrof de zaak over het afluisteren en gijzelen van twee journalisten van De Telegraaf. Het EHRM oordeelde in november 2012 dat dat onterecht was gebeurd.

De coalitie van procespartijen bestaat uit verschillende organisaties en burgers. De deelnemende organisaties zijn:
- De Nederlandse Vereniging voor Strafrechtadvocaten;
- Stichting Privacy First;
- De Nederlandse Vereniging voor Journalisten, NVJ.
- de Internet Society.

De procespartijen op persoonlijke titel zijn:
- Rop Gonggrijp;
- Bart Nooitgedagt (vertegenwoordigd door de NVSA);
- Brenno de Winter (vertegenwoordigd door de NVJ);
- Matthieu Paapst ( vertegenwoordigd door ISOC).

De regie ligt in handen van advocatenkantoor Bureau Brandeis. Dagvaarding hier.

Hof Amsterdam 2 juli 2013, ECLI:NL:GHAMS:2013:1876 (uitleg overeenkomst)
Uitleg overeenkomst. Haviltex. Common Law. Engelstalige grieven. Geen toewijzing helft van (onbekende) cash position. Appellant en geïntimeerde 2 zijn van Britse origine en hebben samengewerkt op het gebied van salarisadministratie en het detacheren van IT-specialisten. Deze samenwerking is beëindigd en partijen hebben een overeenkomst (SPA) gesloten. Er was een non-concurrentiebeding overeengekomen. Deze moet worden uitgelegd aan de hand van de Haviltexmaatstaf. Hierbij zijn ook de omstandigheden van het concrete geval van belang en de redelijkheid en billijkheid.

Dat partijen uit "common law landen" komen waar een grammaticale uitleg leidend is, doet hier niet aan af. Het was de bedoeling dat ook appellant in persoon gebonden was aan het non-concurrentiebeding. Appellant heeft dit beding 14 keer overtreden. Geïntimeerde 2 kreeg wel vergoeding volgens het boetebeding toegekend maar geïntimeerde 1 niet. Het hof gaat hier in mee,  het is niet aangetoond dat geïntimeerde 1 schade heeft geleden door de niet-nakoming van het non-concurrentiebeding. Appellant voerde nog in (Engelstalige) grieven aan waarom geen beroep op de SPA mogelijk was, maar zonder toelichting in het Nederlands gaat het hof hieraan voorbij.

Er was ook een laptop in beslag genomen. Volgens het hof was appellant ten tijde van inbeslagneming bezitter, maar geïntimeerde eigenaar. Voor zover appellant persoonlijke gegevens of gegevens met betrekking tot zijn vennootschap(pen) op een laptop heeft bewaard die niet van hem is, heeft hij het risico voor lief genomen dat de eigenaar van die laptop daarvan kennis neemt. Op grond van de SPA heeft appellant recht op de helft van de "cash position". Nu de hoogte van de "cash position" niet door partijen is vastgesteld, kan het hof ook niet de helft toewijzen.

Beoordeling
3.8 Volgens [appellant] moet de overeenkomst grammaticaal, althans zo grammaticaal mogelijk, worden uitgelegd, mede omdat [appellant] en [geïntimeerde sub 2] afkomstig zijn uit “common law landen” en dus niet gerekend hebben op een uitleg van de overeenkomst aan de hand van de Haviltexmaatstaf en in de overeenkomst onderscheid is gemaakt tussen [appellant] in persoon en [appellant] B.V. [appellant] miskent daarbij evenwel dat [appellant] B.V. nooit is opgericht en Octium Holding B.V. geen partij bij de overeenkomst is.[geïntimeerden] hoefden, ook gezien de letterlijke tekst van de SPA, niet te verwachten en te begrijpen dat zij contracteerden met een door [appellant] nimmer opgerichte vennootschap. In de gegeven omstandigheden van dit geval mochten zij daarom begrijpen en verwachten dat waar [appellant] B.V. in de SPA verplichtingen aanging, daarmee [appellant] in persoon werd bedoeld, niettegenstaande de omstandigheid dat in artikel 4 van de SPA de persoonlijke aansprakelijkheid van [appellant] wordt beperkt tot – kort gezegd – de fiscale aspecten van de afrekening van de cash positie en in artikel 9.2 [appellant] alleen persoonlijk gebonden is aan het non-concurrentiebeding zonder dat hem in de letterlijke tekst van de overeenkomst de in het derde lid van het artikel genoemde boete wordt opgelegd. Daaraan doet niet af dat [appellant] en [geïntimeerde sub 2] uit “common law landen” afkomstig zijn.
Het hof acht het overigens naar maatstaven van redelijkheid en billijkheid onaanvaardbaar dat [appellant] zich ter ecartering van zijn persoonlijke gebondenheid aan de in het geding zijnde contractuele afspraken beroept op de gebondenheid van een rechtspersoon, die ten tijde van het sluiten van de overeenkomst en de levering van de aandelen nog niet was opgericht, terwijl het in de macht van [appellant] lag die wel of niet nog op te richten. [appellant] is dus zowel gebonden aan het non-concurrentiebeding als aan het daaraan gekoppelde boetebeding. Daaraan doet niet af dat partijen ter gelegenheid van de contractonderhandelingen werden bijgestaan door een advocaat, noch dat deze advocaat thans optreedt voor[geïntimeerden]

CBP. 'Europees Parlement stemt over nieuwe EU-privacywetgeving', CBPweb.nl 22 oktober 2013
Uit het persbericht: De commissie Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken van het Europees Parlement heeft op 21 oktober 2013 gestemd voor belangrijke hervorming van de Europese privacyregelgeving. Hiermee is een belangrijke stap gezet op weg naar een fundamentele verbetering van de bescherming van persoonsgegevens van Europese burgers.
Jacob Kohnstamm, voorzitter van de Europese privacytoezichthouders die zijn verenigd in de zogeheten Artikel 29-werkgroep, is verheugd over de voortgang. 'Deze grote stap voorwaarts in het hervormingsproces van de privacyregelgeving stemt hoopvol dat de onderhandelingen over een stevig en uniform Europees privacyraamwerk zullen zijn afgerond voor de nieuwe Europese verkiezingen in het voorjaar van 2014', aldus Kohnstamm. Hij roept de Raad van Ministers op om de vaart erin te houden en de behandeling van de voorstellen zo snel mogelijk te voltooien.

De stemming in het Europees Parlement had betrekking op voorstellen voor een nieuwe Europese verordening voor de verwerking van persoonsgegevens en voor een privacyrichtlijn voor gegevensverwerking door politie en justitie. De commissie Burgerlijke Vrijheden, Justitie en Binnenlandse Zaken van het Europees parlement vormt een van de spelers in dit wetgevingsproces. Nu de eerste stemming in het Europees Parlement is afgerond, zijn de nationale ministers van Justitie, verenigd in de Raad van Ministers, aan zet om te komen tot een gezamenlijk standpunt. Daarna starten de onderhandelingen tussen het Europees Parlement, de Europese Commissie en de Raad van Ministers.

Lees het Engelstalige persbericht van de Artikel 29-werkgroep

CBP. 'CBP-brief over decentralisatie van taken in het sociale domein', CBPweb.nl 30 oktober 2013
Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft in een brief aan de minister van Binnenlandse Zaken en Koninkrijksrelaties zijn zorgen geuit over de privacygevolgen van de decentralisatie van taken naar gemeenten. Het gaat om de door het kabinet ingezette overheveling van taken naar gemeenten op het gebied van jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen. Het kabinet wil dat gemeenten deze taken integraal gaan uitvoeren. Het ontbreken van een adequate uitwerking van privacywaarborgen voor deze aanpak levert ernstige risico’s op voor de persoonlijke levenssfeer van betrokkenen, aldus het CBP in zijn brief.

De privacytoezichthouder benadrukt dat zonder een duidelijke omschrijving van het doel en een beschrijving van welke gegevens daarvoor nodig zijn de verwerking van persoonsgegevens bij de genoemde integrale aanpak niet in overeenstemming kan zijn met de privacyregelgeving. Het CBP dringt met het oog hierop bij het Rijk aan op een Privacy Impact Assessment (PIA) die de risico’s en privacywaarborgen in kaart brengt. Van belang daarbij is dat de afzonderlijke wetsvoorstellen in samenhang worden bezien.

De risico’s waar het CBP in zijn brief op wijst hebben betrekking op het bovenmatig delen van persoonsgegevens, het gebruiken van de gegevens voor een doel dat niet verenigbaar is met het oorspronkelijke doel waarvoor zij zijn verzameld en de beveiliging. Bovendien dreigt volstrekte intransparantie waardoor het noch voor burgers noch voor de overheid zelf inzichtelijk is wie welke gegevens verzamelt en gebruikt en met welk doel dat gebeurt.
 
Het CBP mist bij de wetsvoorstellen een overkoepelende visie van de wetgever op hoe een integrale uitvoering van taken en de verwerking van persoonsgegevens in het sociale domein zich verhoudt tot de waarborgen in nationale en Europese privacyregelgeving.

De wetsvoorstellen die de decentralisatie regelen hebben tot gevolg dat gemeenten meer persoonsgegevens van meer burgers verwerken. Daaronder vallen ook gevoelige gegevens zoals medische en strafrechtelijke gegevens.

Lees de brief

Brief van de minister betreffende informatie- en communicatietechnologie (ICT) Kamerstukken II 2013/14, 22643 nr. 291
Cyber Security Strategie. Zoals toegezegd tijdens het algemeen overleg cybersecurity van 29 mei 2013 (Kamerstuk 26 643, nr. 286), bied ik u hierbij, vanuit mijn coördinerende verantwoordelijkheid voor cybersecurity, namens het kabinet de tweede Nationale Cyber Security Strategie (NCSS2) aan.
Voor het functioneren van onze samenleving is het waarborgen van de digitale veiligheid en vrijheid en het behouden van een open en innovatief cyberdomein een randvoorwaarde. Daarom is in 2011 de eerste Nationale Cybersecurity Strategie verschenen. De (internationale) ontwikkelingen in het cyberdomein gaan echter snel. De afgelopen jaren is de (potentiële) impact van cyberdreigingen door uiteenlopende incidenten steeds duidelijker geworden. Om adequaat te kunnen blijven reageren, zal Nederland de komende jaren inzetten op het verder versterken en bundelen van de krachten van betrokken publieke en private partijen, zowel nationaal als internationaal.

Daarbij is het belangrijk cybersecurity niet geïsoleerd te benaderen, maar te bezien in samenhang met mensenrechten, internetvrijheid, privacy, maatschappelijke groei en innovatie. De NCSS2 zet deze bredere kabinetsvisie op cybersecurity uiteen en benoemt verantwoordelijkheden en concrete acties.
Bij de totstandkoming van deze nieuwe cybersecuritystrategie zijn circa 130 partijen (publieke en private partijen, kennisinstellingen en maatschappelijke organisaties) betrokken. Daarnaast is de Cyber Security Raad geconsulteerd over de koers van de nieuwe strategie en is de dialoog met de bredere ICT-community gevoerd.
Met deze strategie wil Nederland leidend blijven op het gebied van cybersecurity. Het kabinet neemt met deze nieuwe strategie het voortouw en zal jaarlijks rapporteren over de voortgang.


Nationale Cybersecurity. Strategie van bewust naar bekwaam 2, Bijlage bij Kamerstsukken II 2013/14, 26643 nr. 291

Zie ook IT 1189. Uit het persbericht: Huisartsenposten verbeteren beveiliging na onderzoek CBP.
Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoek bij drie verschillende huisartsenposten geconcludeerd dat deze onvoldoende technische maatregelen troffen om te zorgen dat alleen bevoegde personen toegang hebben tot hun patiëntgegevens. De drie steekproefsgewijs gekozen huisartsenposten handelden hiermee in strijd met de Wet bescherming persoonsgegevens (Wbp). Deze huisartsenposten hebben inmiddels naar aanleiding van het onderzoek maatregelen getroffen om de overtredingen te beëindigen. Uit het onderzoek bleek dat de onderzochte huisartsenposten niet alle benodigde beveiligingsmaatregelen hebben genomen om te voldoen aan de eisen die te maken hebben met de beveiliging van de toegang tot patiëntgegevens. 

Hierdoor ontstond het risico dat medewerkers medische gegevens kunnen inzien van mensen met wie zij geen behandelrelatie hebben. Het CBP zal de komende tijd controleren of alle overtredingen zijn beëindigd.
Lees de definitieve onderzoeksbevindingen Huisartsendienst Nightcare BV
Lees de definitieve onderzoeksbevindingen Huisartsendienst Twente-Oost
Lees de definitieve onderzoeksbevindingen Stichting Gezondheidscentra Haarlemmermeer

Gerechtshof Amsterdam 5 maart 2013, ECLI:NL:GHAMS:2013:697 (Atradius Credit Insurance)
Privacy. Appellant is grafisch ontwerper en leidt zijn eenmanszaak Studio. Atradius is een kredietverzekeringsmaatschappij en zij heeft gegevens van appellant verzameld in het kader van kredietwaardigheidonderzoeken. Appellant wil dat Atradius deze gegevens verwijdert uit haar bestand. Het hof is het niet eens met de rechtbank. Het gaat om persoonsgegevens in de zin van de Wbp nu ze herleidbaar zijn tot de persoon van appellant.

Het hof hecht meer gewicht aan de bescherming van de persoonlijke levenssfeer van appellant dan de bedrijfseconomische belangen van Atradius. Al helemaal nu Atradius niet aannemelijk maakt waarom het noodzakelijk is de stamgegevens te bewaren nu ze opvraagbaar zijn bij de Kamer van Koophandel en zij geen inzicht bieden in de kredietwaardigheid van appellant. De administratieve hinder van Atradius weegt niet op tegen het belang van appellant. Appellant was te laat met het indienen van haar verzoek tot verwijdering, maar volgens het hof had het Atradius meteen duidelijk moeten zijn dat appellant geen verwerking van zijn gegevens wenste. Het hof vernietigt de bestreden beschikking en veroordeelt Atradius tot het verwijderen van de persoonsgegevens van appellant uit haar bestanden op straffe van een eenmalige dwangsom.

De beoordeling
3.2 Het hof stelt voorop dat de gegevens waarop het verzoek is gericht, herleidbaar zijn tot de persoon van [appellant] en derhalve persoonsgegevens zijn in de zin van artikel 1 sub a Wbp.

3.3. Het hof is van oordeel dat aan het belang van [appellant] bij bescherming van zijn persoonlijke levenssfeer groter gewicht toekomt dan aan de bedrijfseconomische belangen van Atradius. Daarbij neemt het hof in aanmerking dat Atradius onvoldoende duidelijk heeft gemaakt waarom het noodzakelijk is om de stamgegevens van [appellant], die in voorkomende gevallen digitaal bij de Kamer van Koophandel opvraagbaar zijn, met het oog op die belangen te verwerken, nu deze gegevens geen inzicht bieden in de kredietwaardigheid van [appellant] en derhalve niet noodzakelijk zijn voor de bedrijfsvoering van Atradius. Uit het vorenstaande volgt dat de persoonsgegevens van [appellant] door Atradius in strijd met artikel 8 sub f van Wbp worden verwerkt.

3.4 Dat Atradius administratieve hinder zal ondervinden van het verwijderen van de stamgegevens van [appellant] uit haar bestanden, omdat zij in dat geval bij iedere kredietaanvraag ten aanzien van [appellant] opnieuw een brief aan [appellant] als bedoeld in 2.3 zal moeten versturen, gegevens bij de Kamer van Koophandel zal moeten opvragen en die in haar bestanden moet verwerken, weegt tegen voornoemd belang van [appellant] niet op. Dat Atradius mogelijk ook in andere gevallen tot verwijdering van persoonsgegevens zal moeten overgaan en dat dit nadelige gevolgen voor de bedrijfsvoering van Atradius zal hebben, is niet voldoende aannemelijk geworden en weegt overigens, indien juist, evenmin op tegen het belang van [appellant] bij bescherming van zijn persoonlijke levenssfeer. Een en ander geldt temeer nu namens Atradius ter zitting in hoger beroep is verklaard dat bedoelde gegevens van de Kamer van Koophandel in ieder geval iedere twaalf maanden opnieuw moeten worden opgevraagd, dat ten aanzien van ondernemingen als die van [appellant] weinig kredietaanvragen worden gedaan en dat ten aanzien van [appellant] slechts éénmaal een kredietaanvraag is gedaan.

3.5. In eerste aanleg heeft Atradius nog aangevoerd dat het verzoek van [appellant] in strijd met artikel 46 Wbp niet eerst aan Atradius is gedaan en bovendien te laat is ingediend. Artikel 46 lid 2 Wbp bepaalt dat het verzoekschrift moet worden ingediend binnen zes weken na ontvangst van het antwoord van de verantwoordelijke – in casu Atradius – en dat indien deze niet binnen de gestelde termijn heeft geantwoord, het verzoekschrift moet worden ingediend binnen zes weken na afloop van die termijn. [appellant] heeft bij brief van 28 februari 2011 een verzoek ex art 35 Wbp aan Atradius gericht en geconstateerd dat het antwoord van Atradius in haar e-mailbericht van 15 maart 2011 niet aan dat verzoek ex artikel 35 Wbp voldeed. [appellant] heeft zijn verzoek daarop herhaald. Niet gebleken is dat Atradius binnen vier weken na 28 februari 2011 alsnog heeft geantwoord. Ingevolge art 46 lid 2 Wbp vangt in dat geval de beroepstermijn van zes weken aan op 28 maart 2011. [appellant] heeft het verzoekschrift binnen die termijn, op 2 mei 2011, ingediend. Dat [appellant] het verzoek tot verwijdering van zijn persoonsgegevens ex artikel 36 Wbp niet eerst bij Atradius heeft ingediend, kan naar het oordeel van het hof in het onderhavige geval niet tot een ander oordeel leiden, omdat het Atradius van meet af aan duidelijk moet zijn geweest dat [appellant] geen verwerking van zijn gegevens wenste.

3.6. Gelet op deze uitkomst behoeven de overige door van [appellant] aangevoerde grieven geen nadere bespreking.

3.7. Het hof zal de bestreden beschikking vernietigen en Atradius veroordelen tot het verwijderen van de persoonsgegevens van [appellant] als bedoeld in artikel 46 lid 1 juncto artikel 36 lid 1 Wbp.