Privacy  

Antwoord vragen van het lid Schouw over het bericht dat Nederland overweegt haar steun aan de EU-privacyvoorstellen in te trekken, 13 februari 2013, Aanhangsel van de Handelingen II  nr.1296

Staatssecretaris Teeven geeft antwoord op de vraag op welke punten uit het privacyvoorstel op dit moment in de onderhandelingen een blokkerende minderheid dreigt te ontstaan? lid Schouw stelt tevens de vraag hoe Nederland zich verhoudt tot de kritiekpunten van landen als Duitsland en Groot-Brittannië die mogelijk een blokkerende minderheid zullen vormen? En indien staatssecretaris Teeven niet voornemens is de steun aan de privacyvoorstellen in te trekken, of expliciet kan worden bevestigt dat het steunen van een blokkerende minderheid niet aan de orde is?

Antwoord op de vragen:
Ik heb geen concrete aanwijzingen van het bestaan of vormen van een blokkerende minderheid bij de onderhandelingen over de genoemde voorstellen. Van het zich al dan niet aansluiten bij een dergelijke minderheid is daarom ook geen sprake. Het is de Kamer bekend dat Nederland net als alle andere lidstaten over de privacyvoorstellen standpunten inneemt. Het is de Kamer eveneens bekend welke standpunten Nederland inneemt. Ik houd de Kamer daarvan periodiek op de hoogte. Ik span mij in om die standpunten zo goed mogelijk voor het voetlicht te krijgen, en zo veel mogelijk daarvan in het eindresultaat terug te kunnen zien.

Beantwoording van kamervragen door staatssecretaris Dekker (OCW) mede namens de minister van Economische Zaken over het bericht dat de cookiemuur van de Publieke Omroep niet rechtsgeldig is, Aanhangsel van de Handelingen II, nr.1299

Zie ook IT 980.

Reactie op artikel 'CBP tikt publieke omroep op vingers om cookiemuur'.
OPTA is belast met het toezicht op naleving van de cookiebepaling. Het is dus aan OPTA om een oordeel te vellen over de rechtmatigheid van de handelwijze van de NPO in het licht van de cookiebepaling. OPTA ziet daarbij toe op de eisen die volgen uit artikel 11.7a van de Telecommunicatiewet dat een ieder die cookies wenst te plaatsen hierover de gebruiker moet informeren en daartoe toestemming moet hebben verkregen. In het geval er tevens sprake is van de verwerking van persoonsgegevens is daarnaast het CBP als toezichthouder bevoegd, omdat dan ook de Wet bescherming persoonsgegevens van toepassing is. Hierbij speelt het in artikel 11.7a, eerste lid, van de Telecommunicatiewet opgenomen rechtsvermoeden een rol. Het CBP mag aannemen dat er bij de door de Ster geplaatste tracking cookies sprake is van de verwerking van persoonsgegevens, tenzij de NPO, respectievelijk de Ster aantoont dat er in dit geval geen sprake is van de verwerking van persoonsgegevens. Het rechtsvermoeden in de cookiebepaling brengt niet met zich mee dat er bij tracking cookies per definitie sprake behoeft te zijn van verwerking van persoonsgegevens. Het rechtsvermoeden blijft weerlegbaar, het legt alleen de bewijslast bij de cookieplaatser. Alleen als de NPO niet kan aantonen dat de verzamelde gegevens niet herleidbaar zijn tot een identificeerbaar natuurlijk persoon is sprake van verwerking van persoonsgegevens die aan de eisen van de Wet bescherming persoonsgegevens moet voldoen.

Websites beschikbaar maken voor bezoekers zonder cookies gezien de monopoliepositie van de NPO.
Het is belangrijk dat de websites van de NPO voor een breed publiek toegankelijk zijn. Daarnaast is het belangrijk dat de NPO voldoende inkomsten kan genereren om een interessant (digitaal) aanbod te kunnen doen zeker in tijden van bezuinigingen. Er zal daarom de komende maand met de NPO worden overlegd of een andere aanpak mogelijk is. Dit doet niet af aan het feit dat het aan de beide toezichthouders is, OPTA en CBP, om te beoordelen in hoeverre de Telecommunicatiewet, respectievelijk de Wet bescherming persoonsgegevens door de NPO wordt overtreden.

Voor basisfuncitonaliteiten van NPO-sites zijn geen tracking cookies nodig, voor mensen die hun privacy niet aangetast willen zien moet de sites dus gewoon bruikbaar zijn?
Ja, voor de basisfunctionaliteiten en het vastleggen van gegevens over het gebruik zijn geen tracking cookies nodig. Verder is het ook nadrukkelijk niet de bedoeling van de NPO om mensen in hun privacy aan te tasten. De NPO stelt dan ook dat de door de NPO en Ster gebruikte tracking cookies niet herleidbaar zijn tot individueel identificeerbare personen, en dat het gestelde rechtsvermoeden aldus kan worden weerlegd. De NPO heeft getracht bij de toepassing en het gebruik van cookies een goede balans te vinden tussen toegankelijkheid van publieke audiovisueel materiaal, privacy van gebruikers, de mediawettelijke verplichtingen en de commerciële exploitatie van de Ster op het internet. Gelet op de daaropvolgende maatschappelijke discussie en de verschillende methoden die in het mediaveld worden gebruikt, heeft de NPO na overleg aangegeven de mogelijkheden voor een gedifferentieerde toestemming uitgebreid te zullen onderzoeken.

Rb. Oost-Brabant 15 februari 2013, parketnr. 01/820892-12 (Henk Krol)

Uit 't persbericht: De rechtbank Oost-Brabant heeft een 62-jarige man uit Eindhoven veroordeeld tot een geldboete van 750 euro wegens het meerdere malen plegen van computervredebreuk. De man drong onbevoegd binnen bij cyberlab.diagnostiekvooru.nl en gebruikte daarbij inloggegevens die hij kreeg van een patiënt van het centrum. Die had die gegevens afgeluisterd van een psychiater die in het centrum werkt.

De Eindhovenaar heeft diverse medische dossiers en gegevens bekeken en geprint. Volgens hem was dit gerechtvaardigd omdat hij als journalist en Statenlid wilde aantonen dat deze gevoelige informatie over individuele patiënten door onbevoegden gemakkelijk is te raadplegen. Hij gaf aan dat het beschermen van de (gegevens van) patiënten zijn enige doel was.

De rechtbank stelt voorop dat elke inbreuk op een geautomatiseerd werk zonder toestemming van de rechthebbende strafbaar is. Alleen onder zeer bijzondere omstandigheden kunnen er hogere belangen zijn die zo’n inbreuk kunnen rechtvaardigen. De rechtbank is het met de verdachte eens dat het aantonen van gebreken bij de bescherming van vertrouwelijke, medische gegevens een wezenlijk maatschappelijk belang kan dienen.

De rechtbank acht het dan ook gerechtvaardigd dat de man, voordat hij verdere stappen ondernam, eerst zelf vaststelde of de bevindingen van zijn ‘tipgever’ juist waren. Het inloggen op de website en het vervolgens raadplegen van enkele dossiers acht de rechtbank in dit geval dan ook niet wederrechtelijk. Ook vindt de rechtbank het verdedigbaar dat er in deze situatie prints zijn gemaakt om de omvang van de tekortkoming en het gevaar daarvan te kunnen aantonen. De rechtbank oordeelt dat de man daarbij zorgvuldig heeft gehandeld door de prints te anonimiseren.

Dat de Eindhovenaar daarnaast nog meer gegevens van anderen heeft geraadpleegd en geprint, acht de rechtbank niet proportioneel. Hij had immers met de al verzamelde gegevens zijn punt kunnen maken. Daarnaast oordeelt de rechtbank dat de man niet meteen naar de media had moeten stappen. Hij had Diagnostiek voor U ruimer de kans moeten geven te reageren en het niet bij een poging moeten laten. De rechtbank stelt dat er in dit geval ook geen sprake was van een technisch gebrek aan het computersysteem van Diagnostiek voor U. Eén gebruiker was onzorgvuldig met zijn inloggegevens en wachtwoord omgegaan. De verdachte had dan ook geen concrete aanwijzingen dat andere personen over deze inloggegevens beschikten. Daarom was het probleem ook niet zo acuut dat onmiddellijke inschakeling van de media noodzakelijk was.

Straf
De rechtbank is van oordeel dat het plegen van computervredebreuk een ernstig misdrijf is, zeker als dit met de bedoeling is om schade toe te brengen. In deze zaak wilde de verdachte door het plegen van de feiten de tekortkomingen publiek bekend maken die hij in het computersysteem van Diagnostiek voor U signaleerde.

De rechtbank twijfelt bij dit alles niet aan de goede bedoelingen van de verdachte. De rechtbank is echter van oordeel dat hij daarbij wel de grenzen van proportionaliteit en subsidiariteit heeft overschreden. Er bestaat bij de rechtbank geen aanleiding te vrezen dat de Eindhovenaar dit strafbare feit nogmaals zal plegen en daarom wordt uitsluitend een onvoorwaardelijke geldboete opgelegd. In dit opzicht wijkt de rechtbank af van de eis van de officier van justitie.

Medeverdachte
De rechtbank legt de man die de inloggegevens aan de Eindhovenaar verstrekte en hielp bij het inloggen een geheel voorwaardelijke geldboete op van 250 euro.

Op andere blogs:
Ius Mentis (Henk Krol krijgt pluim en boete voor journalistieke hack EPD)
Webwereld (Rechtbank geeft Henk Krol pluim en boete)

OPTA, Veelgestelde vragen over de cookiebepaling, advies 7 februari 2013, opta.nl

OPTA ontvangt regelmatig vragen van bedrijven en (overheids)instellingen over de cookiebepaling. De antwoorden op veelgestelde vragen publiceert OPTA op haar website om duidelijkheid te bieden aan partijen die de wet willen naleven. OPTA vult dit document regelmatig aan met nieuwe veelgestelde vragen en antwoorden. Deze publicatie is een update van de versie van 30 juli 2012.

OPTA geeft geen juridisch advies. Bedrijven en websitebeheerders zijn zelf verantwoordelijk voor de wijze waarop zij praktische invulling geven aan de nieuwe cookiebepaling. Consumenten die meer willen weten over cookies, kunnen terecht op ConsuWijzer.

CBP, Hogescholen verbeteren beveiliging studentgegevens na onderzoek CBP, cbpweb.nl 7 februari 2013.

Uit't persbericht: Hogeschool Utrecht (HU) en Hogeschool van Arnhem en Nijmegen (HAN) hebben onvoldoende beveiligingsmaatregelen getroffen om de studentgegevens in interne informatiesystemen te beveiligen tegen verlies of onrechtmatige verwerking. Dat concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. De hogescholen overtreden hiermee de Wet bescherming persoonsgegevens (Wbp). De beveiliging van studentgegevens zoals studieresultaten, foto's, informatie over leningen of notities van decanen is juist van groot belang. Studenten moeten erop kunnen vertrouwen dat hun persoonsgegevens bij hun school in goede handen zijn en dat hun privacy is gewaarborgd. Scholen moeten voorkomen dat onbevoegden persoonsgegevens zoals cijfers kunnen wijzigen in het systeem. Beide hogescholen hebben naar aanleiding van het CBP-onderzoek maatregelen genomen om de informatiesystemen beter te beveiligen. Bij de HU missen nog meerdere beveiligingsmaatregelen. De HAN heeft nog één overtreding openstaan.

Lees het rapport van definitieve bevindingen mbt Stichting Hogeschool Utrecht (370 KB)

Lees het rapport van definitieve bevindingen mbt Stichting Hogeschool Arnhem en Nijmegen (386 KB)

Raad van State 30 januari 2013, LJN BY9910 (appellante tegen college B&W Zevenaar)

Bij besluit van 23 december 2009 heeft het college aan [appellante] medegedeeld dat haar betreffende persoonsgegevens worden verwerkt in het kader van haar voormalig dienstverband bij de gemeente Zevenaar en kopieën van documenten met haar betreffende persoonsgegevens uit de personeels- en salarisadministratie verstrekt.

Bij besluit van 23 december 2009 heeft het college aan [appellante] medegedeeld dat haar betreffende persoonsgegevens worden verwerkt in het kader van haar voormalig dienstverband bij de gemeente Zevenaar en kopieën van documenten met haar betreffende persoonsgegevens uit de personeels- en salarisadministratie verstrekt.

Bij besluit van 1 juli 2010 heeft het college het door [appellante] daartegen gemaakte bezwaar, voor zover gericht tegen het niet toevoegen van enkele documenten aan haar personeelsdossier, gegrond verklaard en afschriften van die documenten toegevoegd aan het personeelsdossier van [appellante] en deze alsnog aan [appellante] verstrekt. Bij dat besluit is het bezwaar voor het overige ongegrond verklaard.

5.3 (...) De rechtbank heeft het college terecht en op goede gronden gevolgd in zijn standpunt dat de hierboven onder 1, 3 tot en met 13 en 15 vermelde documenten geen deel uitmaken van een bestand als bedoeld in de Wbp. [appellante] heeft niet aannemelijk gemaakt dat de in die documenten opgenomen persoonsgegevens op grond van meer dan één kenmerk een onderlinge samenhang vertonen dan wel dat die persoonsgegevens met de in de personeels- en salarisadministratie verwerkte persoonsgegevens een gestructureerd geheel vormen. Dat het college de onder 8 tot en met 11 vermelde besluitadviezen, onder anonimisering van de daarin vervatte persoonlijke beleidsopvattingen, naar aanleiding van een verzoek op grond van de Wet openbaarheid van bestuur aan [appellante] heeft verstrekt, maakt niet dat de daarin vermelde persoonsgegevens behoren tot een bestand en daarmee onder de Wbp vallen.

De rechtbank heeft de onder 16 vermelde digitale mappen terecht niet aangemerkt als een gestructureerd geheel van persoonsgegevens. Die digitale mappen zijn aangemaakt, gevuld en van informatie voorzien door individuele ambtenaren op de server van de gemeente Zevenaar in het kader van hun dagelijkse werkzaamheden. [appellante] heeft niet aannemelijk gemaakt dat in die mappen opgenomen persoonsgegevens een gestructureerd geheel van persoonsgegevens vormen dat volgens bepaalde criteria toegankelijk is. Gelet hierop wordt [appellante] niet gevolgd in haar standpunt dat de rechtbank voor het geven van haar oordeel gehouden was kennis te nemen van de inhoud en toegankelijkheid van die mappen.

Op andere blogs:
DirkzwagerIEIT

Reactie CBP op gebruik cookies door Nederlandse Publieke Omroep, 31 januari 2013, kenmerk z2013-0056.

Onlangs zijn Kamervragen gesteld en beantwoord over het gebruik van cookies op de websites van de Nederlandse Publieke Omroep (NPO). Als reactie hierop geeft het College bescherming persoonsgegevens (CBP) in een brief een toelichting op het toepasselijke wettelijke kader. Het CBP merkt op dat de NPO bezoekers niet de toegang mag weigeren als zij geen toestemming geven voor het laten volgen van hun surfgedrag.

(...)

Analytische cookies
In de beantwoording van de Kamervragen staat dat de NPO analytische cookies, net als functionele cookies, nodig heeft voor het optimaal uitoefenen van zijn mediawettelijke taak. Dit maakt het gebruik van analytische cookies echter niet noodzakelijk in de zin van de Tw en daarom blijft hiervoor toestemming vereist.

Cookies voor reclamedoeleinden en sociale media
Cookies voor reclamedoeleinden en sociale media zijn niet-functionele cookies waarvoor op grond van de Tw toestemming moet worden gevraagd. Sinds 1 januari 2013 geldt bovendien het rechtsvermoeden dat de gegevens die cookies verzamelen, persoonsgegevens zijn. Daarom is ook op grond van de Wbp toestemming vereist voor het verzamelen en verwerken van deze gegevens.

Wat betreft de tracking cookies voor sociale media is er bovendien een eenvoudig alternatief voor de werkwijze van de NPO. Een veelgebruikte publieks- en privacyvriendelijke oplossing is het werken met niet-actieve, ‘grijze’ knoppen voor sociale media. Als een bezoeker met de muis over de knoppen gaat wordt specifieke informatie getoond. Pas nadat een bezoeker actief op een dergelijke knop heeft geklikt, kan het sociale netwerk een cookie plaatsen.

Toestemming voor gebruik cookies
De NPO biedt bezoekers geen andere keuze dan (in een keer) toestemming te geven voor alle soorten cookies, inclusief tracking cookies. Wie deze toestemming weigert, krijgt geen toegang tot de - met publiek geld verspreide - informatie en uitzendingen van de publieke omroepen. Er is echter geen (digitaal) alternatief beschikbaar, waardoor kan worden gesteld dat de NPO een situationele monopoliepositie heeft. Door het afdwingen van toestemming voor tracking cookies betalen bezoekers feitelijk bij elk bezoek met hun persoonsgegevens. Van in vrijheid gegeven, rechtsgeldige toestemming is daarom geen sprake.

Rb. Rotterdam 23 januari 2013, zaaknr. C/10/402317 / HA ZA 12-455 (eiser tegen ING BANK N.V.)

Niet-ontvankelijk. Persoonsgegevens in extern incidentenregister art. 46 jo 36 Wbp. Blokkering betaalrekening. Phishing - fraude. Money mule. Zorgplicht bank.

Een bedrag van € 5.000,00 is naar de rekening van eiser overgeboekt, afkomstig van een rekening waarvan de houder daartoe geen opdracht had gegeven. Diezelfde dag hebben meerdere geldopnames plaatsgevonden. In totaal is daarbij een bedrag van € 4.733,10 van de rekening gehaald. ING is van mening dat eiser is opgetreden als een zogenaamde “money-mule” in een omvangrijke “phishing-fraude”. ING heeft de betaalrekening van eiser en de daaraan gekoppelde bankpas met bijbehorende pincode geblokkeerd en de relatie met eiser opgezegd. Als deelnemer aan het interbancaire incidentenwaarschuwingssysteem heeft ING de persoonsgegevens van eiser opgenomen in het zogenaamde extern verwijzingsregister (EVR). Eiser vordert verwijdering van onderhavig incident uit het EVR. De vordering is niet tijdig ingediend, daarom wordt de eiser niet-ontvankelijk verklaard.

Met betrekking tot de door ING geblokkeerde rekening is het uitgangspunt dat wanneer een bank het gerechtvaardigde vermoeden heeft dat haar dienstverlening wordt misbruikt en aldus sprake is van een vertrouwensbreuk met een klant, of indien de bank beargumenteerd van mening is dat de voortzetting van de dienstverlening tot onacceptabele risico’s leidt, die bank bevoegd is de relatie met die klant op te zeggen. Die bevoegdheid is echter niet onbegrensd. Immers dient de bank rekening te houden met haar zorgplicht die zij heeft jegens haar relaties.

De stellingen van eiser voor zover deze ertoe strekken om de conclusie van betrokkenheid bij benadeling van ING door middel van frauduleuze handelingen te weerleggen, zijn naar het oordeel van de rechtbank ongeloofwaardig en ongenoegzaam. Mede gelet op de uitleg die ING heeft gegeven aan de aard en de achtergrond van de mutaties die hebben plaatsgevonden op de betaalrekening van de eiser, blijkt dat sprake is van ongebruikelijk betalingsverkeer en derhalve van een concreet of reëel integriteitsrisico. De rechtbank wijst de vordering af.

4.13.  Uitgangspunt is dat wanneer een bank het gerechtvaardigde vermoeden heeft dat haar dienstverlening wordt misbruikt en aldus sprake is van een vertrouwensbreuk met een klant, of indien de bank beargumenteerd van mening is dat de voortzetting van de dienstverlening tot onacceptabele risico’s leidt, die bank bevoegd is de relatie met die klant op te zeggen. Dit volgt onder meer uit artikel 30 van de algemene bankvoorwaarden.

4.14.  Die bevoegdheid is echter niet onbegrensd. Immers dient de bank rekening te houden met haar zorgplicht die zij heeft jegens haar relaties. Banken hebben, nu zij bij uitsluiting het betalingsverkeer verzorgen, een belangrijke publieke rol en een bijzondere positie, hetgeen een bepaalde verantwoordelijkheid met zich brengt jegens klanten. Beoordeeld moet worden beoordeeld of de reden voor de opzegging voldoende zwaarwegend is in verhouding tot het belang van de klant bij de voortzetting van de relatie. Het belang om te kunnen beschikken over een betaalrekening moet daarbij als het in beginsel meest zwaarwegende belang worden gezien.

4.15.  Als door ING gesteld en door [eiser] niet of onvoldoende gemotiveerd weersproken staat vast dat [eiser] is opgetreden als zogenaamde “money-mule” in een omvangrijke “phishing-fraude” en dat [eiser] in het verlengde daarvan een (ernstig) gevaar vormt voor de integere uitoefening van het bankbedrijf. De rechtbank is van oordeel dat de stellingen van [eiser] voorzover deze ertoe strekken om de conclusie van betrokkenheid bij (poging tot) benadeling van ING door middel van frauduleuze handelingen te weerleggen, ongeloofwaardig en ongenoegzaam zijn. Mede gelet op de uitleg die ING heeft gegeven aan de aard en de achtergrond van de mutaties die hebben plaatsgevonden op de betaalrekening van de [eiser], blijkt dat sprake is van ongebruikelijk betalingsverkeer en derhalve van een concreet of reëel integriteitsrisico.

T.A.P. de Wit, Oostenrijkse Constitutionele Hof stelt prejudiciële vragen over Dataretentierichtlijn, ITenRecht IT 1022.

Een bijdrage van Tom de Wit, Louwers IP|Technology advocaten.

Het Oostenrijkse constitutionele Hof heeft vragen gesteld over de rechtmatigheid van de Europese Dataretentierichtlijn (hierna: ‘richtlijn’) . De betreffende richtlijn is vorig jaar in de Oostenrijkse wetgeving geïmplementeerd. De richtlijn legt onder andere verplichtingen op aan aanbieders van openbare elektronische communicatiediensten tot het bewaren van een bepaalde lijst van telecommunicatiegegevens gedurende een bepaalde periode.

Aanleiding voor de vragen vormen de bezwaren tegen de (implementatie van de) richtlijn die verschillende partijen, waaronder veel burgers, een medewerker van een telecommunicatiebedrijf en de regering van de provincie Karinthië, hebben voorgelegd aan de nationale Oostenrijkse rechter.

Het Oostenrijkse constitutionele Hof heeft met name moeite met het feit dat in het overgrote gedeelte van de gevallen waarin er verplicht telecommunicatiegegevens worden opgeslagen het personen betreft die geen aanleiding geven tot opslag van de gegevens. Ondertussen kunnen de persoonsgegevens wel in het bezit komen van de autoriteiten en ligt mogelijk misbruik van persoonsgegevens op de loer. Het Oostenrijkse constitutionele hof vraagt zich met name af of de verplichtingen die door de richtlijn worden opgelegd wel in overeenstemming zijn met het Handvest van de grondrechten van de Europese Unie (hierna: ‘handvest’).

De belangrijkste vragen die het Oostenrijkse constitutionele hof voorlegt aan het Europese Hof van Justitie zijn de navolgende . In de eerste plaats is de vraag of de artikelen 3 tot en met 9 van de richtlijn verenigbaar zijn met de artikelen 7, 8 en 11 van het handvest? In de tweede plaats wil het Oostenrijkse Constitutionele Hof weten wat de rol is van Richtlijn 95/46/EG en Verordening 45/2001/EG bij de beoordeling van de vraag of maatregelen geoorloofd zijn in het licht van artikel 8 van het handvest.

[artikel is ingekort, lees de opgemaakte pdf onder de citeerwijze]

Als het Europese Hof van Justitie tot hetzelfde oordeel komt als de Duitse rechter, kunnen de gevolgen groot zijn. Dat betekent niet alleen dat de huidige Europese en nationale regelgeving met betrekking tot dataretentie die gebaseerd is op de richtlijn op de schop moet. Ook de huidige voorstellen om de verplichtingen uit te breiden naar social media en zoekmachines kunnen dan voorlopig in de ijskast. Los van het oordeel van het Europese Hof van Justitie in deze zaak, alsmede vragen met betrekking tot Verordening 2252/2004/EG, nopen deze ontwikkelingen de Europese wetgever wel om meer aandacht te besteden aan de verenigbaarheid tussen Europese regelgeving en verdragsrechtelijke grondrechten zoals vervat in het Handvest en het EVRM. Alleen dat is reeds een positieve ontwikkeling te noemen.

Tom de Wit

​Persbericht van het College Bescherming Persoonsgegevens 28 januari 2013

Uit 't persbericht: Het College bescherming persoonsgegevens (CBP) heeft vandaag samen met de Canadese privacytoezichthouder (Office of the Privacy Commissioner [OPC]) het rapport met de bevindingen gepubliceerd van het gezamenlijke onderzoek naar de verwerking van persoonsgegevens door WhatsApp, de ontwikkelaar van de populaire mobiele app whatsapp.  Na aanvang van het onderzoek constateerden de privacytoezichthouders verschillende overtredingen van de privacywetten. WhatsApp heeft enkele daarvan inmiddels beëindigd en stappen ondernomen om de app uit privacy-oogpunt beter te beveiligen. Een aantal overtredingen duurt op dit moment nog voort.

Het is de eerste keer dat twee nationale privacytoezichthouders van beide zijden van de oceaan gezamenlijk onderzoek doen naar de naleving van privacywetgeving door een in de Verenigde Staten gevestigd bedrijf met wereldwijd honderden miljoenen klanten. Het is een mijlpaal binnen de mondiale privacybescherming. “Wij zijn heel trots dat wij dit belangrijke moment markeren samen met onze Nederlandse counterparts, vooral in het licht van de in toenemende mate online en mobiele wereld die geen grenzen kent”, aldus Jennifer Stoddart, voorzitter van de Canadese privacytoezichthouder. “Ons onderzoek heeft ertoe geleid dat WhatsApp verbeteringen heeft aangebracht en toegezegd heeft verdere veranderingen te zullen doorvoeren die leiden tot een betere bescherming van persoonsgegevens van hun klanten.”

De voorzitter van het CBP, Jacob Kohnstamm, voegt daaraan toe: “Maar we zijn er nog niet. Het onderzoek wijst uit dat gebruikers van WhatsApp – behalve iPhone-bezitters met besturingssysteem iOS 6 – verplicht zijn toegang te geven tot hun volledige elektronische adresboek. Hierin staan ook telefoonnummers van contacten die de app niet gebruiken. Dit is in strijd met Canadees en Nederlands privacyrecht. Zowel gebruikers als niet-gebruikers van de app moeten zeggenschap hebben over hun eigen persoonsgegevens. Dat betekent in ieder geval dat gebruikers van de app vrijelijk moeten kunnen beslissen welke contactgegevens zij willen delen met WhatsApp.”

Op andere blogs:
SOLV (Whatsapp schendt privacy)