Privacy  

Brief CBP aan Staatssecretaris, Tweede nota van wijziging Wetsvoorstel forensische zorg, kenmerk z2012-00824.

Uit't persbericht: Het College bescherming persoonsgegevens (CBP) heeft geadviseerd over een nota van wijziging bij het wetsvoorstel forensische zorg, dat momenteel in behandeling is bij de Tweede Kamer. De nota betreft de regeling die het mogelijk maakt om van verdachten van misdrijven waarvoor tbs opgelegd kan worden bestaande medische gegevens te vorderen bij behandelend artsen. Deze gegevens worden vervolgens gebruikt om een mogelijke psychische stoornis te bepalen bij verdachten die weigeren aan tbs-onderzoek mee te werken. Het CBP adviseert om de behandeling in de Tweede Kamer van de regeling niet voort te zetten.

Uit de brief: Juridisch kader

De voorgestelde regeling dient te voldoen aan artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM), artikel 10 Grondwet alsmede aan de Wet bescherming persoonsgegevens (Wbp), welke uitvoering geeft aan Richtlijn 95/46/EG. De voorgestelde regeling dient tevens te voldoen aan aanverwante wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens, waaronder de regeling inzake het medisch beroepsgeheim, neergelegd in artikel 7:457 van het Burgerlijk Wetboek (BW) en in artikel 88 van de Wet beroepen individuele gezondheidszorg (Wet BIG). Volgens vaste jurisprudentie van het Europese Hof voor de Rechten van de Mens dient iedere beperking van het recht op eerbiediging van de persoonlijke levenssfeer te worden gerechtvaardigd door een ‘pressing social need’. De inmenging moet bovendien evenredig zijn aan het nagestreefde doel (proportionaliteit), dat doel moet niet op andere, minder indringende wijze kunnen worden bereikt (subsidiariteit) en de ter onderbouwing aangevoerde gronden moeten relevant en toereikend zijn.

Voor het verwerken van persoonsgegevens is onder meer een grondslag als bedoeld in artikel 8 Wbp vereist en tevens moet zijn voldaan aan de eisen van noodzakelijkheid en doelbinding (artikel 7 Wbp). Deze vereisten houden kort gezegd in dat persoonsgegevens slechts mogen worden verwerkt indien én voor zover dit noodzakelijk is om het beoogde doel te bereiken alsmede dat het verder verwerken van persoonsgegevens slechts is toegestaan indien die verdere verwerking niet onverenigbaar is met de doeleinden waarvoor de persoonsgegevens zijn ontvangen (artikel 9 Wbp).

Het verwerken van bijzondere persoonsgegevens, zoals persoonsgegevens betreffende gezondheid (hierna: medische persoonsgegevens), is aan strengere regels gebonden. De Wbp verbiedt het verwerken van bijzondere persoonsgegevens (artikel 16 Wbp), tenzij sprake is van een van de in de Wbp opgesomde ontheffingen van dat verbod (artikel 17 t/m 23 Wbp).

Indien geen ontheffing wordt gevonden in de algemene gronden van artikel 21 dan wel 23 Wbp, kan een specifieke ontheffing worden gecreëerd bij wet. Artikel 23 lid 1 sub f Wbp bepaalt dat het verbod om bijzondere persoonsgegevens te verwerken niet van toepassing is voor zover dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer, en dit bij wet wordt bepaald. Bij de implementatie van artikel 8 lid 4 van Richtlijn 95/46 EG in artikel 23 lid 1 sub e Wbp is er uitdrukkelijk voor gekozen dat de grondslag voor de gegevensverwerking moet worden gecreëerd bij wet in formele zin. De grondslag voor gegevensverwerking dient – mede gelet op artikel 8 EVRM en artikel 10 Grondwet – voldoende specifiek te zijn. Ook dient de noodzakelijkheid van de verwerking door de formele wetgever te worden onderbouwd en moeten passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer.

Medische persoonsgegevens mogen slechts worden verwerkt indien een ontheffing wordt gevonden in artikel 21 Wbp dan wel artikel 23 Wbp.  

Indien een wettelijke bepaling er ook op is gericht het medisch beroepsgeheim te doorbreken, dient deze bepaling te voorzien in voldoende specificatie van zowel de doelstelling van de verplichting als de nader bepaalde gegevens waarop die verplichting ziet.

Prejudiciële vragen aan HvJ EU 22 oktober 2012, zaak C-473/12 (Beroepsinstituut van vastgoedmakelaars (BIV) tegen Immo 9 BVBA) - dossier

Het Beroepsinstituut van vastgoedmakelaars BIV waakt over de integriteit van de beroepsgroep die, net als in NL, een beschermde titel voert. Zij vraagt de rechtbank om bepaalde handelingen in strijd met de wet te verklaren en zo ongewenste vastgoedactiviteiten te kunnen stoppen. Om belastende gegevens te verzamelen maakt BIV gebruik van privédetectives. In 2010 heeft het Hof van Beroep te Bergen al geoordeeld dat een door een detective opgesteld verslag gegevens bevatte die in strijd zijn met de Belgische wet van 8 december 1992 (tot bescherming van de persoonlijke levenssfeer). Deze wet legt (onder meer aan) detectives verplichtingen op, maar verzoekster stelt dat indien deze wet strikt wordt toegepast een privédetective zijn werk niet meer kan doen. De rechter in eerste instantie (Rb Charleroi) vraagt zich af of hier strijd is met het gelijkheidsbeginsel, en legt het Grondwettelijk Hof de volgende vraag voor:

„Schendt de wet van 8 december 1992 ‚tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens’ het grondwettelijk[e] gelijkheidsbeginsel, door de overeenkomstig de wet van 19 juli 1991 ‚tot regeling van het beroep van privédetective’ erkende privédetectives niet op te nemen in de uitzonderingen die zij in de paragrafen 3 tot 7 van artikel 3 ervan opsomt voor bepaalde categorieën van beroepen of instellingen waarvan de activiteit door de bepalingen van de wet zou kunnen worden geraakt, waarbij de erkende privédetectives van hun kant zijn onderworpen aan de verplichtingen die zijn vervat in artikel 9 van de wet, dat tot gevolg kan hebben dat hun activiteit gedeeltelijk onwerkzaam wordt?”

Het Grondwettelijk Hof realiseert zich dat het gaat om het juiste evenwicht tussen in het Handvest beschermde grondrechten en legt, alvorens de vraag te beantwoorden, de volgende drie vragen voor aan het HvJEU:

1. Dient artikel 13, lid 1, sub g, in fine, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus te worden geïnterpreteerd dat het de lidstaten vrij staat al dan niet in een uitzondering te voorzien op de in artikel 11, lid 1, bedoelde onmiddellijke informatieplicht, indien dit noodzakelijk is ter bescherming van de rechten en vrijheden van anderen of zijn de lidstaten ter zake aan beperkingen onderworpen?

2. Vallen de beroepsactiviteiten van privédetectives, die door het interne recht worden geregeld en worden uitgeoefend ten dienste van overheden die ertoe zijn gemachtigd elke inbreuk op de bepalingen tot bescherming van een beroepstitel en tot organisatie van een beroep aan te klagen bij de gerechtelijke overheden, naar gelang van de omstandigheden, onder de uitzondering bedoeld in artikel 13, lid 1, sub d en g, in fine, van de voormelde richtlijn?

3. Is, indien het antwoord op de tweede vraag ontkennend zou zijn, artikel 13, lid 1, sub d en g, in fine, van de voormelde richtlijn verenigbaar met artikel 6, lid 3, van het Verdrag betreffende de Europese Unie, meer bepaald met het beginsel van gelijkheid en niet-discriminatie?

HR 27 november 2012, LJN BY0215 (bewakingscamera)

Strafrechtzaak. Beroep op bewijsuitsluiting. Vordering OvJ tot het verstrekken van gegevens, art. 126nd Sv. De HR herhaalt toepasselijke overweging uit HR LJN BL7688. In ’s Hofs overwegingen ligt als diens niet onbegrijpelijke vaststelling besloten dat degene die verantwoordelijk is voor het gebruik van de onderhavige beelden van de bewakingscamera deze beelden eigener beweging en op vrijwillige basis aan de politie heeft verstrekt, althans dat die persoon niet door de politie is gevraagd om op vrijwillige basis deze beelden aan de politie te verstrekken. Het oordeel van het Hof dat in een zodanig geval geen vordering a.b.i. art. 126nd Sv is vereist, is juist. De HR overweegt nog het volgende. Het in de overwegingen van het Hof omschreven geval heeft klaarblijkelijk geen betrekking op verwerking van persoonsgegevens in de vorm van overdracht van zulke gegevens door het ene bestuursorgaan aan het andere. Daarom zou art. 8.(f) Wet bescherming persoonsgegevens (Wbp) geen grondslag kunnen vormen voor het ter beschikking van de opsporingsinstantie stellen van het desbetreffende beeldmateriaal. Voor dit ter beschikking van de opsporingsinstantie stellen van het d.m.v. beveiligingscamera’s verkregen beeldmateriaal zou degene die daartoe toegang heeft (de verantwoordelijke of bewerker in de zin van art. 1 (d/e) Wbp) onder omstandigheden wel een grondslag kunnen ontlenen aan het bepaalde in art. 43 jo. art. 9.1 Wbp.

3.1. Sinds de verklaringen van aangever [betrokkene 1] (19 april 2010) en de verklaring van verbalisant [verbalisant 1] (12 augustus 2010) bij de rechter-commissaris weten wij dat de gang van zaken rond de verkrijging van het beeldmateriaal van de bewakingscamera van de flat aan de [a-straat] niet conform de regels is verlopen. Hierdoor werd afbreuk gedaan aan het recht op een eerlijk proces, inzet van opsporingsmiddelen vergt een voldoende wettelijke basis, tevens werd zijn recht op privacy (art. 8 EVRM) geschonden, nu hij zijn bezoek aan personen in het flatgebouw niet (vrijwillig, zonder vordering van het OM) in de openbaarheid wenste te (doen) brengen.

3.7. Bewijsuitsluiting kan als op grond van art. 359a, eerste lid, Sv voorzien rechtsgevolg uitsluitend aan de orde komen indien door de onrechtmatige bewijsgaring een belangrijk (strafvorderlijk) voorschrift of rechtsbeginsel in aanzienlijke mate is geschonden. Wat dat laatste betreft geldt dat de omstandigheid dat, naar aan het verweer ten grondslag is gelegd, verdachtes 'privacy is geschonden' doordat aan de afgifte van de beelden niet een vordering als bedoeld in art. 126nd Sv is voorafgegaan, hetgeen de Hoge Raad verstaat als een beroep op schending van het in art. 8 EVRM gegarandeerde recht op eerbiediging van de persoonlijke levenssfeer, niet zonder meer een inbreuk oplevert op de in art. 6 EVRM vervatte waarborg van een eerlijk proces (vgl. HR 7 juli 2009, LJN BH8889, NJ 2009/399). Ook bij bewijsuitsluiting gaat het overigens om een bevoegdheid van de rechter, waarvan de uitoefening in de eerste plaats moet worden beoordeeld in het licht van de wettelijke beoordelingsfactoren van art. 359a, tweede lid, Sv en van de omstandigheden van het geval (vgl. HR 30 maart 2004, LJN AM2533, NJ 2004/376).

Op andere blogs:
DirkzwagerIEIT (Hoge Raad introduceert aanvullende grondslag verwerking persoonsgegevens)

Daniëlle van der Zande, A penny for your privacy. An analysis of the reimbursements in privacy infringement procedures, masterscriptie Law & Technology, Universiteit van Tilburg.

Een bijdrage van Daniëlle van der Zande, LinkedIn.

Artikel 49 Wbp (Wet Bescherming Persoonsgegevens) geeft een betrokkene de mogelijkheid om immateriële schade te claimen na een privacyschending. Met de invoering van de Europese privacyverordening (naar verwachting in 2015) blijft deze mogelijkheid bestaan in artikel 77. Tot nu toe blijkt het in de praktijk voor betrokkenen lastig om op grond van artikel 49 Wbp immateriële schade te bewijzen. Voor zover bekend is slechts één claim toegewezen. Met de invoering van de nieuwe privacyverordening komt het Europese Hof van Justitie de bevoegdheid toe om uitleg te geven aan immateriële schade. Hoewel het Hof van Justitie in het verleden een andere uitleg heeft gegeven aan het begrip schade dan onze nationale rechters, kan het voor een betrokkene problematisch blijven om immateriële schade te bewijzen. Hierdoor wordt de kans op een adequate vergoeding ontnomen. Een lidstaat is aansprakelijk indien geen effectief rechtsmiddel wordt geboden (artikel 13 EVRM). Het is daarom van belang dat een betrokkene de kans heeft om succesvol immateriële schade te claimen.

In haar scriptie stelt Daniëlle van der Zande een raamwerk voor waarmee immateriële schade kan worden berekend. Dit raamwerk kan worden geïmplementeerd in de privacyverordening. Hierdoor ontstaat binnen Europa een uniforme toepassing over de toekenning en berekening van immateriële schade na een schending van privacy. Bovendien voorkomt een lidstaat aansprakelijkheid onder artikel 13 EVRM.

Uit't persbericht: Mylex lanceert ‘CookieLaw’, een Europese mobiele applicatie voor iOS (iPhone) en Android. De app is gericht naar agencies, webontwikkelaars, webwinkels en bedrijfsjuristen. Voor de Nederlandse markt werd beroep gedaan op de juridische expertise van ICTRecht.nl.

De nieuwe cookiewetgeving is ondertussen al even in het land. De Europese wetgeving werd op 5 juni omgezet via de Telecommunicatiewet (Wet van 19 oktober 1998 houdende regels inzake de telecommunicatie). Verwarring alom bij webwinkels, digitale agencies, webbedrijven en bedrijfsjuristen. Hoe de ‘cookiewet’ precies moet worden toegepast, lijkt niemand echt goed te weten. En hoe springt de online consument om met de cookie-­‐ informatie?

‘Cookies’ zijn kleine tekstbestanden die lokaal worden opgeslagen op de computer van de bezoeker. Ze worden gebruikt voor tal van doeleinden: het onthouden van instellingen (zoals bijvoorbeeld een taalkeuze), het vergaren van informatie, en het bezoekgedrag van de consument bijhouden (tracking cookies). Minder tevreden over dergelijke cookies was de Europese Unie, die al in 2009 besliste dat ‘toestemming’ een cruciale factor moest worden in de privacybescherming van de consument.

Laat dat begrip ‘toestemming’ nu net het grote struikelblok vormen. De Europese e-­‐Privacy Directive – niet meteen het beste voorbeeld van een duidelijke juridische tekst – laat de invulling over aan de lidstaten zelf. En net precies die vrijheid leidt tot tal van praktische-­‐ en interpretatieproblemen, overal in Europa. Neelie Kroes, Eurocommissaris, zette al eerder vraagtekens bij dit fenomeen. In een interview stelt ze: "Mijn ideaal is natuurlijk dat we in alle 27 lidstaten dezelfde interpretatie hebben van een voorstel. Ik kan niet uitleggen aan buitenlandse, potentieel geïnteresseerden in Europa dat je in het ene land anders behandeld wordt dan in het andere land".

“Nochtans is dit vandaag weldegelijk het geval”, stelt Ellen Bruwiere, marketing manager bij mylex. “Bij de creatie van de applicatie zagen we grote verschillen tussen de Europese lidstaten, maar evengoed tal van subtiele afwijkingen in interpretatie. Die interpretatieverschillen mogen dan juridisch als subtiel worden uitgelegd, in de praktijk leveren ze voor cross-­‐border handel grote moeilijkheden op.”

‘CookieLaw’, de mobiele applicatie, gidst de gebruiker door de verschillende Europese lidstaten, en geeft zowel een snel overzicht weer (“Quick overview”), als telkens de volledige wettekst (“Legal text”). Ook officiële ‘Cookie Guidances’ en video’s werden opgenomen in de applicatie.

De applicatie is Engelstalig, en is duidelijk geschikt voor een Europees nichepubliek. Maar weet de consument het eigenlijk wel? Onderzoek bij Nederlandse consumenten, uitgevoerd door GFK Retail, toont aan dat 63% van de consumenten weet wat een cookie is (of denkt te weten), 56% voor wat een cookie dient en 47% weet hoe de cookies te verwijderen.

Minder goed nieuws bij ‘third party’-­‐cookies. Daar weet 61% (en 74% van de vrouwen tegenover 48% mannen) niet wat dit inhoudt. Op de vraag of ze het bezwaarlijk vinden dat er gegevens worden bewaard via cookies, antwoordt 82% volmondig ja. Afsluitend: 90% van de respondenten geeft aan geïnformeerd te willen worden over cookies die een website of webshop bezoekt (BRON: Consumentenonderzoek Cookies, uitgevoerd door GfK Retail in opdracht van IMNetworks, https://spijkermat.nl/wp-­‐ content/uploads/SPKRMT_IMNetworks_cookies.jpg). Werk aan de winkel dus.

Waarom dit bundelen in een mobiele applicatie? “Er zijn tal van voordelen verbonden aan een mobiele applicatie, versus de klassieke website”, vervolgt Bruwiere. Het belangrijkste argument, naast de onmiddellijke beschikbaarheid van de informatie en de interactiviteit die alleen een applicatie kan bieden, is echter de ‘push’-­‐functie. Gebruikers worden immers automatisch en real-­‐ time op de hoogte gehouden: lidstaten die de Europese wetgeving omzetten, een nieuwe interpretatie of cookie-­‐gids, of een wijziging van de huidige implementatiewijze. De applicatie kan onmiddellijk aangepast worden, middels een achterliggend CMS of content management system. Zo krijgt de gebruiker altijd de meest actuele stand, zonder dat hij hiervoor telkens een nieuwsbrief moet ontvangen, of een duur juridisch abonnement moet afsluiten”.

Voor de Nederlandse informatie werd beroep gedaan op de expertise van het bureau ICTRecht.nl, gespecialiseerd in internetrecht. Wouter Dammers voorzag zijn commentaar in de applicatie.

De applicatie is gratis, en te downloaden in de App Store (Apple) of Google Play (Android). De iPhone-­‐versie werd geoptimaliseerd voor iOS6 en iPhone 5. De versie voor Android-­‐toestellen wordt binnen enkele weken gefinaliseerd. Downloaden – of inschrijven voor de Android-­‐versie – kan via https://cookieapp.eu.

Uit't persbericht van het CBP: Het College bescherming persoonsgegevens (CBP) heeft contact opgenomen met het Openbaar Ministerie (OM) naar aanleiding van berichtgeving in de media over het op internet plaatsen van beelden van getuigen van een misdrijf. Het OM heeft aangegeven in beginsel geen beelden van getuigen meer te publiceren. De Aanwijzing Opsporingsberichtgeving bevat regels voor de opsporingsberichtgeving van het OM. Het gaat daarbij primair om het opsporen van verdachten. Het publiceren van beelden van (toevallige) getuigen raakt aan hun persoonlijke levenssfeer terwijl zij op het plaatsen van de beelden geen invloed hebben. De risico’s en nadelen van publicatie kunnen voor de getuige buitengewoon groot zijn. Dit dient zeer zwaar te wegen bij de zorgvuldige afweging die moet plaatsvinden tussen het algemeen (opsporings)belang en het belang van de getuige.

SOLV-blog: Politie stopt met plaatsen foto's getuigen

Opinion of the European Data Protection Supervisor on the Commission's Communication on "Unleashing the potential of Cloud Computing in Europe".

121. As described in the Communication, cloud computing offers many new opportunities to businesses, consumers, and the public sector for the management of data through the use of remote external IT resources. At the same time, it presents many challenges in particular as to the appropriate level of data protection offered to data processed therein.

122. The use of cloud computing services raises a major risk of seeing responsibility evaporating in relation to processing operations carried out by cloud service providers, if the criteria for applicability of EU data protection law are not sufficiently clear and if the role and the responsibility of cloud service providers are defined or understood too narrowly, or are not implemented effectively. The EDPS emphasizes that the use of cloud computing services cannot justify a lowering of data protection standards as compared to those applicable to conventional data processing operations.

123. In this respect, the proposed Data Protection Regulation, as it has been put forward, would provide many clarifications and tools that would help ensure that a satisfactory level of data protection is complied with by cloud service providers offering their services to clients based in Europe, in particular:

- Article 3 would clarify the territorial scope of the EU data protection rules and broaden its scope so that cloud computing services would be covered;
- Article 4(5) would introduce a new element of controllership, that is "conditions". This would be in line with the developing trend according to which, in view of the technical IT complexity underlying the provision of cloud computing services, it is necessary to expand the circumstances in which a cloud service provider may be qualified as the controller. This would better reflect the real level of influence on the processing operations;
- the proposed Regulation would increase the responsibility and accountability of data controllers and processors, by introducing specific obligations such as data protection by design and by default (Article 23), data security breach notifications (Articles 31 and 32), and data protection impact assessments (Article 33). Furthermore, it would require controllers and processors to implement mechanisms to demonstrate the effectiveness of the data protection measures implemented (Article 22);
- Articles 42 and 43 of the proposed Regulation would allow a more flexible use of international data transfer mechanisms, to help cloud clients and cloud service providers adduce appropriate data protection safeguards for the
transfers of personal data to data centres or servers located in third countries;
- Articles 30, 31 and 32 of the proposed Regulation would clarify the obligations of controllers and processors regarding the security of processing and information requirements in case of data breaches, laying the basis for a comprehensive and cooperative approach to the management of security between the different actors in a cloud environment;
- Articles 55 to 63 of the proposed Regulation would reinforce cooperation of supervisory authorities and their coordinated supervision over cross-border processing operations, which is particular crucial in an environment such as cloud computing.

124. The EDPS nonetheless suggests that, after having taken into account the specificities of cloud computing services, further clarifications be made in the proposed Regulation on the following aspects:
- as concerns the territorial scope of the proposed Regulation, to amend Article 3(2)(a) to read "the offering of goods or services involving processing of personal data of such data subjects in the Union", or alternatively to add a new recital specifying that the processing of personal data of data subjects in the Union by non-EU based controllers offering services to EU based legal persons also falls within the territorial scope of the proposed Regulation;
- to add a clear definition of the notion of 'transfer', as stated in his Opinion on the Data Protection Reform package;
- to add a specific provision to clarify the conditions under which access to data stored in cloud computing services by non-EEA countries law enforcement bodies could be allowed. Such provision may also include the obligation for
the recipient of the request to inform and consult the competent supervisory authority in the EU in specific cases.

125. The EDPS also underlines that further guidance will be necessary from the Commission and/or from supervisory authorities (in particular through the future European Data Protection Board) on the following aspects:
- to clarify which mechanisms should be put in place to ensure verification of the effectiveness of the data protection measures in practice;
- to assist processors with the use of BCRs and how they can comply with applicable requirements;
- to provide best practices on issues such as controller/processor's responsibility, the appropriate retention of data in the cloud environment, data portability, and the exercise of data subjects' rights.

126. Furthermore, the EDPS acknowledges that codes of conduct drawn up by the industry and approved by the relevant supervisory authorities could be a useful tool to enhance compliance as well as trust among the various players.

127. The EDPS supports the development by the Commission, in consultation with supervisory authorities, of standard contractual terms for the provision of cloud computing services that respect data protection requirements, in particular:
- to develop model contractual terms and conditions to be included in the commercial terms of cloud computing service offerings;
- to develop common procurement terms and requirements for the public sector, taking into account the sensitivity of the data processed;
- to further tailor international data transfer mechanisms to the cloud computing environment, in particular by updating the current standard contractual clauses and by putting forward standard contractual clauses for the transfer of data from processors based in the EU to processors located outside the EU.

128. The EDPS underlines that appropriate consideration must be given to data protection requirements in the development of standards and certification schemes, in particular:
- to apply the principles of privacy by design and privacy by default in the development of the standards;
- to integrate data protection requirements such as purpose limitation and storage limitation in the standards' design;
- the obligations of providers to provide their clients with the information necessary to perform a valid risk assessment and the security measures they implemented, as well as alerts about security incidents.

129. Finally, the EDPS stresses the need to address the challenges raised by cloud computing at an international level. He encourages the Commission to engage in an international dialogue on the issues raised by cloud computing, including jurisdiction and access by law enforcement, and suggests that many of these issues could be addressed in different international or bilateral agreements, such as Mutual Assistance Agreements and also trade agreements. Global standards should be developed at international level to set forth minimum conditions and principles regarding the access to data by law enforcement bodies. He also supports the development by the supervisory authorities of effective international cooperation mechanisms, in particular as relates to cloud computing issues. 

Walking a Thin Line: The Regulation of EPGs, B. van der Sloot, JIPITEC, 2012-2, p. 138-147.

Due Prominence in Electronic Programme Guides, B. van der Sloot, IRIS Plus, 2012-5.

Google's Dead End, or: on Street View and the Right to Data Protection: An analysis of Google Street View's compatibility with EU data protection law, B. van der Sloot & F. Zuiderveen Borgesius, Computer Law Review International, 2012-4, p. 103-109.

From Data Minimization to Data Minimummization, B. van der Sloot, in: B. Custers, T. Calders, B. Schermer & T. Zarsky (eds.), Discrimination and Privacy in the Information Society. Data Mining and Profiling in Large Databases, Springer: Heidelberg 2012, p. 273-287. ISBN: 9783642304866.

CBP november 2012, Z2012-00068 (Albert Heijn B.V. in het kader van de AH Bonuskaart/het voordeelprogramma Mijn Bonus)

Aangekondigde maatregelen Albert Heijn
Albert Heijn heeft aangegeven dat de verwachting is dat zij begin 2013 op basis van hernieuwde informatie opnieuw opt-ins voor Mijn Bonus zal gaan vragen. Albert Heijn heeft toegezegd de Persoonsgebonden Bonuskaarthouder alsnog adequaat te informeren en (opnieuw) een algehele opt-in te vragen. Albert Heijn heeft, naar aanleiding van de voorlopige bevindingen, de informatievoorziening in het Privacy- en Cookiebeleid aangepast op de (her)introductie van het Mijn Bonusprogramma. Nadere informatie waaruit blijkt op welke wijze de betrokkenen expliciet om toestemming wordt gevraagd, is nog niet van Albert Heijn ontvangen. De hernieuwde informatievoorziening is, mede gelet op stopzetting van Mijn Bonus, niet door het CBP beoordeeld.

Anonieme Bonuskaart
Van Persoonsgebonden en Anonieme Bonuskaarthouders legt Albert Heijn - gekoppeld aan het unieke AH Bonuskaartnummer - aankoopgegevens vast in de Albert Heijn systemen, zoals het AH filiaal, de gekochte artikelen en bijbehorende bedragen en de datum en tijd waarop de transactie heeft plaatsgevonden.

Van de in totaal ongeveer [VERTROUWELIJK: (...)] door Albert Heijn uitgegeven AH Bonuskaarten (actieve AH Bonuskaarthouders plus verloren, versleten of weggegooide en weer vervangen AH Bonuskaarten) zijn er [VERTROUWELIJK: (...)] anoniem ([VERTROUWELIJK: (...)]). Het CBP heeft vastgesteld dat Albert Heijn persoonsgegevens verwerkt van Persoonsgebonden en Anonieme Bonuskaarthouders.

Bij de registratie van een Persoonsgebonden Bonuskaart worden, naast het AH Bonuskaartnummer, in alle gevallen direct identificeerbare persoonsgegevens (NAWgegevens) vastgelegd van de Persoonsgebonden Bonuskaarthouder en is sprake van een identificeerbare persoon.

Klanten die hun persoonsgegevens niet bekend willen maken, wordt door Albert Heijn de mogelijkheid geboden om gebruik te maken van Bonuskortingen zonder NAW-gegevens aan Albert Heijn op te hoeven geven (de Anonieme Bonuskaart). Het CBP heeft vastgesteld dat de gegevens van Anonieme Bonuskaarthouders (doorgaans) toch direct of indirect te herleiden zijn tot individuele personen. In het geval van gebruik van een Anonieme Bonuskaart, in combinatie met:
- een Mijn ah.nl account en/of gebruik van de AH Boodschappen webwinkel 
- een Mijn ah.nl account en gebruik van Appie
- een Air Mileskaart
- vragen en klachten in de winkel inzake betalingen
blijkt een koppeling mogelijk tussen het Anonieme Bonuskaartnummer en (andere) persoonsidentificerende gegevens (bijvoorbeeld NAW-gegevens en/of e-mailadres).

Circa [VERTROUWELIJK: (...)] AH Bonuskaarthouders gebruiken de hiervoor genoemde online diensten van Albert Heijn. Van de circa [VERTROUWELIJK: (...)] AH Bonuskaarthouders die gebruik maken van zulke online diensten, zijn er [VERTROUWELIJK: (...)] Anonieme Bonuskaarthouders (dat is [VERTROUWELIJK: (...)] van alle Anonieme Bonuskaarthouders).

Albert Heijn geeft aan een Anonieme Bonuskaart met bij haar bekende NAWgegevens en/of e-mailadres wel anoniem te blijven behandelen. Zolang echter een koppeling mogelijk is tussen het Anonieme Bonuskaartnummer en direct of indirect identificerende persoonsgegevens, is sprake van (in)directe herleidbaarheid tot een individuele persoon en is de Wbp van toepassing. Dit betekent dat Albert Heijn met betrekking tot de Anonieme Bonuskaarthouder moet voldoen aan de verplichtingen uit de Wbp, waaronder de artikelen 33 jo. 34 (informatieplicht) en 35 (inzagerecht).

De Anonieme Bonuskaarthouder moet zicht (kunnen) hebben op het aantal en de soort verwerkingen die plaatsvinden met zijn persoonsgegevens en de (lange termijn)gevolgen daarvan. Bij gebrek aan kennis over de gegevensverwerking kan hij zijn rechten, zoals het vragen om inzage, niet uitoefenen.

Doordat Albert Heijn de Anonieme Bonuskaarthouders (aanvankelijk) niet, althans onvolledig en onvoldoende duidelijk nader informeerde over de gevallen waarin de Anonieme Bonuskaarthouder zijn anonieme status (alsnog) verliest (dat wil zeggen: wanneer sprake is van verwerking van persoonsgegevens in de zin van de Wbp) alsmede over de categorieën van verwerkte persoonsgegevens (naast aankoopgegevens) teneinde tegenover de betrokkenen een behoorlijke en zorgvuldige verwerking te waarborgen, heeft Albert Heijn in strijd gehandeld met artikel 33 jo. 34 van de Wbp.

Albert Heijn heeft, voorafgaand aan het rapport van voorlopige bevindingen van het CBP, ten aanzien van gebruik van een Anonieme Bonuskaart, in combinatie met gebruik van de AH Boodschappen webwinkel en ten aanzien van vragen en klachten in de winkel inzake betalingen, in een nieuw privacybeleid vermeld dat de Anonieme Bonuskaart dan “strikt genomen niet langer meer "anoniem" is”. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn haar informatievoorziening over gebruik van een Anonieme Bonuskaart, in combinatie met een Mijn ah.nl account, bepaald gebruik van Appie, en koppeling met een Air Mileskaart aangepast. In haar nieuwe Privacy- en Cookiebeleid maakt Albert Heijn duidelijk dat de Anonieme Bonuskaarthouder (ook) in de hiervoor genoemde gevallen zijn anonieme status verliest en welke categorieën van gegevens Albert Heijn in dat geval verwerkt. Hierdoor handelt Albert Heijn niet langer in strijd met artikel 33 jo. 34 van de Wbp.

Doordat Albert Heijn de Anonieme Bonuskaarthouders niet op verzoek mededeelde of en zo ja, welke hen betreffende persoonsgegevens zij verwerkt, ontnam Albert Heijn de Anonieme Bonuskaarthouders hun inzagerecht en heeft zij daarmee voorts in strijd gehandeld met artikel 35 van de Wbp. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn haar inzagebeleid aangepast, in die zin dat Albert Heijn ook voldoet aan inzageverzoeken van Anonieme Bonuskaarthouders van wie zij identificerende gegevens heeft. Hierdoor handelt Albert Heijn niet langer in strijd met artikel 35 van de Wbp.

Mijn Bonus
Op 3 januari 2012 heeft Albert Heijn een nieuw voordeelprogramma aangekondigd voor Persoonsgebonden Bonuskaarthouders, Mijn Bonus. Het ging om persoonlijke Bonusaanbiedingen/-kortingen, gebaseerd op aankoopgegevens in aanvulling op de bestaande algemene Bonusaanbiedingen. Persoonsgebonden Bonuskaarthouders hebben een brief ontvangen van Albert Heijn met een korte toelichting op Mijn Bonus. Daarmee samenhangend is de privacyverklaring met betrekking tot de AH Bonuskaart gewijzigd.

Albert Heijn heeft in de periode 2010 tot en met 2012 op verschillende manieren gepersonaliseerde marketingactiviteiten verricht. (De pilot voor) Mijn Bonus is medio februari 2012 stopgezet, mede naar aanleiding van dit onderzoek van het CBP.

(De pilot voor) Mijn Bonus zag enerzijds op korting op producten die de Persoonsgebonden Bonuskaarthouder veel koopt. Anderzijds op korting op producten die andere klanten kopen die vergelijkbare producten kopen, maar die de Persoonsgebonden Bonuskaarthouder tot dan toe nog niet heeft gekocht. Van de producten in de aanbieding werden dan de artikelen geselecteerd die het beste aansluiten op de bekende aankoopgegevens van de Persoonsgebonden Bonuskaarthouder (uitkomstwaarden op basis van koopgedrag).

Albert Heijn verwerkte in dit kader onder andere het Persoonsgebonden Bonuskaartnummer en NAW-gegevens, met aankoopgegevens.

Albert Heijn baseerde deze gegevensverwerking voor het doeleinde van het maken van persoonlijke analyses voor het doen van gepersonaliseerde aanbiedingen op ondubbelzinnige toestemming (artikel 8, aanhef en onder a, van de Wbp). Om te kunnen spreken van ondubbelzinnige toestemming dient te zijn voldaan aan de volgende criteria: een vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke mag niet uitgaan van toestemming indien de betrokkene geen opmerkingen maakt over de gegevensverwerking ( ‘toestemming’ die wordt geacht voort te vloeien uit het uitblijven van actie of het stilzwijgen van de betrokkene). Het CBP heeft vastgesteld dat de toestemming niet aan deze criteria voldeed.

Uit het papieren registratie- en wijzigingsformulier en het online registratieformulier (webformulier) bleek onvoldoende duidelijk wat de gegevensverwerking behelsde. De toestemmingsvraag ‘Ik wil wel/niet door Albert Heijn op de hoogte worden gehouden van nieuws, persoonlijke aanbiedingen en speciale services voor Bonuskaarthouders’ respectievelijk ‘Albert Heijn mag mij informatie (zoals nieuws, persoonlijke aanbiedingen) toesturen’ was onvoldoende specifiek. Daaruit volgde dat niet voor elk verwerkingsdoeleinde/-element (het maken van persoonlijke analyses en het doen van gepersonaliseerde aanbiedingen) toestemming werd verkregen.

De verschillende elementen van de verwerking van persoonsgegevens en de categorieën van verwerkte persoonsgegevens waren niet althans onvoldoende begrijpelijk omschreven in het papieren registratie- en wijzigingsformulier, het online registratieformulier, het oude privacybeleid, de webpagina ah.nl/bonuskaart. Dit gold ook voor de Mijn Bonus brief van op of rond 3 januari 2012, met de woorden: ‘(informeren over/ontvangen van) persoonlijke aanbiedingen’, ‘om u te kunnen bereiken en om te bepalen of een service of aanbieding voor u interessant kan zijn. Bijvoorbeeld (…) korting op een product dat u regelmatig koopt’, ‘voor het verstrekken van (eventueel op basis van uw aankopen) kortingen en voordelen’ en ‘persoonlijke Bonusaanbiedingen, speciaal voor u geselecteerd’. De informatie was voorts fragmentarisch aangeboden, in die vijf documenten. Er was derhalve geen sprake van duidelijke, volledige, begrijpelijke en nauwkeurige informatie.

Albert Heijn heeft verklaard dat een opt-in is gevraagd middels een online registratieformulier, waarop het vakje ‘Ja’ al was aangevinkt. De verantwoordelijke mag niet uitgaan van toestemming indien de betrokkene geen opmerkingen maakt over de gegevensverwerking (oftewel: bij ‘toestemming’ die wordt geacht voort te vloeien uit het uitblijven van actie of het stilzwijgen van de betrokkene, zoals een vooraangevinkt vakje). Albert Heijn heeft ook zelf met zoveel woorden verklaard dat zij zich thans realiseert dat doordat het vakje al was aangevinkt de toestemming voor het doen van persoonlijke aanbiedingen niet goed was vormgegeven. Dit is voorafgaand aan het rapport van voorlopige bevindingen op de website gewijzigd in die zin dat het vakje niet langer vooraf is aangevinkt. Ten slotte was in veel gevallen het tijdsverloop tussen het moment van toestemmingverlening (soms zelfs vanaf 1998) en de gewijzigde werkwijze van algemene naar gepersonaliseerde marketingactiviteiten (wijze van verwerking van persoonsgegevens vanaf 2010) te groot. Albert Heijn diende in zo’n geval niet te volstaan met het aannemen van een impliciete toestemming voor de nieuwe wijze van verwerking van persoonsgegevens, maar had de Persoonsgebonden Bonuskaarthouder (opnieuw) expliciet om toestemming moeten vragen alvorens deze gewijzigde verwerking toe te passen. Albert Heijn heeft dit echter nagelaten.

Doordat geen sprake was van ondubbelzinnige toestemming beschikte Albert Heijn niet over een rechtsgeldige grondslag voor het verwerken van de persoonsgegevens die zijn verkregen met behulp van de Persoonsgebonden Bonuskaart. Met het verwerken van persoonsgegevens voor het doeleinde van het maken van persoonlijke analyses voor het doen van gepersonaliseerde aanbiedingen, heeft Albert Heijn daarom in strijd gehandeld met artikel 8 van de Wbp.

Het CBP heeft vastgesteld dat Albert Heijn ten tijde van het rapport van voorlopige bevindingen beschikte over de bestanden van de pilots in 2010 en 2011 ([VERTROUWELIJK: (...)]) waarop uiteindelijk een gepersonaliseerde marketing mailing werd gedaan. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn verklaard de mailbestanden met uitkomstwaarden van analyses onomkeerbaar te hebben verwijderd. Doordat (de pilot voor) Mijn Bonus is stopgezet en Albert Heijn niet meer beschikt over de achterliggende persoonsgegevens in deze bewaarde mailbestanden (het Persoonsgebonden Bonuskaartnummer, NAWgegevens en aankoopgegevens), handelt Albert Heijn niet langer in strijd met artikel 8 van de Wbp.

Op andere blogs:
CBP-web (Albert Heijn past privacybeleid ´Mijn Bonus´ aan na optreden CBP)
Nederlands Juridisch Dagblad (Albert Heijn past privacybeleid ´Mijn Bonus´ aan na optreden CBP)

Kantonrechter Rechtbank Rotterdam 2 november 2012, zaaknr. 1320252 CV EXPL 12-8002 (GayGroup B.V. tegen *** h.o.d.n. Feya Entertainment, La Belle)

Uitspraak ingezonden door Wouter Dammers en Arnoud Engelfriet, ICTRecht.

Algemene voorwaarden. Gay Group exploiteert de website Gay.nl, een platform voor dienstverlening gericht op homoseksuelen. *** organiseert feesten met als doelgroep homoseksuelen, heeft een Gay.nl-account aangemaakt en is daarmee akkoord gegaan met de algemene voorwaarden waar o.a. een spam/harvesten-bepaling in staat. *** heeft 378 berichten verstuurd met een wervende tekst voor haar Gay-minded dance event.

Voor vernietiging van het boetebeding ex 6:233 sub a BW omdat het onredelijk bezwarend zou zijn, zijn onvoldoende feiten en omstandigheden gebleken. Subsidiair beroep op 6:248 lid 2 BW slaagt evenmin. "Nu het feit dat *** procedeert met een toevoeging met de laagste eigen bijdrage, een indicatie oplevert dat haar financiële armslag beperkt is, ligt het in de rede dat het gewenste effect ook bij een lager op te leggen boetebedrag wordt bereikt. In die zin zal toewijzing van het gevorderde bedrag naar het oordeel van de kantonrechter leiden tot een onaanvaardbaar resultaat. Het gevorderde bedrag [red. €15.000] zal daarom worden gematigd tot €5.000."(r.o. 4.10)

4.6. (...) Niet valt in te zien dat en in hoeverre het beginnend ondernemerschap van *** en haar leeftijd van 22 jaar tot een ander oordeel zouden moeten leiden. *** heeft er zelf voor gekozen op deze leeftijd een eigen onderneming te beginnen.

4.7. Verder zij opgemerkt dat *** ondanks dat haar account werd geblokkeerd en door Gay Group via facebook en per e-mail is gewezen op het verschuldigd worden van een boete omdat zij e-mailberichten had verzonden op de website, via een nieuw account wederom e-mailberichten heeft verzonden. Dat *** ondanks de waarschuwing is doorgegaan is een omstandigheid die voor haar rekening en risico komt. Een en ander overziend, komt de kantonrechter dan ook tot het oordeel dat toepassing van het boetebeding in onderhavige geval naar maatstaven van redelijkheid en billijkheid niet onaanvaardbaar is.