Privacy  

Rechtbank Maastricht 29 augustus 2011, LJN B7650 (Eiser tegen gemeente Nuth)

Privaccy, vingerafdruk voor paspoort, geen strijd met EVRM en Handvest, beroep art. 1 EP. Rechtspraak.nl Verweerder stelt zich op het standpunt (kort weergegeven) dat het voorschrift dat een reisdocument is voorzien van vingerafdrukken is gebaseerd op de (EG) Verordening nr. 2252/2004 van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (Verordening). De Verordening heeft rechtstreekse werking en er is geen uitzondering op deze bepaling in de Verordening opgenomen.

Eiser voert in beroep aan (kort samengevat) dat zowel de verplichting tot het afgeven van zijn vingerafdrukken, alvorens een paspoort kan worden aangevraagd en afgegeven, alsook het opslaan van deze vingerafdrukken in een (de)centrale database ingevolge de Paspoortwet in strijd is met artikel 8 van het Europese Verdrag van de Rechten van de Mens (EVRM) en artikel 8 van het Europese Handvest. Voorts stelt eiser dat sprake is van een inbreuk op zijn eigendomsrecht (van zijn biometrische kenmerken) en dat de paspoortchip onvoldoende beveiligd is. Eiser doet ook een beroep op het gelijkheidsbeginsel, omdat personen voor wie het fysiek onmogelijk is vingerafdrukken af te staan wel een reisdocument kunnen krijgen.

Ten slotte stelt eiser dat de Paspoortwet niet voorziet in een procedure waar eiser als burger zijn (principiële) bezwaren kan uiten, hetgeen als een fors gebrek in de wet moet worden gekwalificeerd.
(...)
Ten aanzien van de gestelde inbreuk op eisers eigendomsrecht merkt de rechtbank op dat er in dit geval geen sprake is van bezittingen die een “economische waarde” vertegenwoordigen en dus geen inbreuk op eisers eigendomsecht als bedoeld in artikel 1 van het Eerste Protocol.

Ten aanzien van de gestelde inbreuk op eisers eigendomsrecht merkt de rechtbank op dat er in dit geval geen sprake is van bezittingen die een “economische waarde” vertegenwoordigen en dus geen inbreuk op eisers eigendomsecht als bedoeld in artikel 1 van het Eerste Protocol.

Met betrekking tot eisers stelling dat de Paspoortwet niet voorziet in een procedure waar hij als burger zijn (principiële) bezwaren kan uiten, merkt de rechtbank op dat de wetgever hier niet voor heeft gekozen. Gelet op de doelstelling van de paspoortwet ligt het immers voor de hand dat er in beginsel geen uitzonderingen mogelijk zijn op het vereiste dat bij de aanvraag van een reisdocument vingerafdrukken worden opgenomen. De rechtbank verwerpt deze beroepsgrond van eiser dan ook.

Op grond van voorgaande overwegingen is de rechtbank van oordeel dat verweerder, na eisers weigering tot afgifte van zijn vingerafdrukken en de geboden herstelmogelijkheid, terecht heeft besloten zijn aanvraag voor het verkrijgen van een nieuw paspoort buiten behandeling te stellen.

WIPO Arbitration and Mediation Center 12 oktober 2011, D2011-1446 (Mediq N.V. tegen DomainsByProxy en Janelle Fausett; arbiter Dr. Clive N.A. Trotman)

Domeinnaam. Merkenrecht. Domeinnaam <yourmediq.com> is verwarrend gelijkelijk aan de merken van MEDIQ. Geen recht of legitiem belang en domein wordt niet niet-commercieel of fair gebruikt.

Verweerder had click-through of pay-per-click business model ontwikkeld voor de site en bood dit aan pharmacie- en medicijnwebsites aan te adverteren. Dat is gebruik te kwader trouw. Domeinnaam overgedragen.

Betreft Identiteit van de verweerder: DomainsByProxy biedt een privacy service, zodat contactgegevens van daadwerkelijke registeerder verborgen blijven. Na start van de procedure werden contactgegevens overlegd aan WIPO en werd Janelle Fausette eveneens betrokken in deze procedure. Via emailadres en fysiek adres aan Janelle, postmaster en via DomainsByProxy en aan adres van laatste betekend. Dus voldoende pogingen gedaan om verweerders te contacteren.

Onder C (...)
According to the evidence, the disputed domain name resolves to a website managed by GoDaddy, a company that trades in domain names, website hosting and other Internet services. The GoDaddy website resolved to by the disputed domain name displays the line: “Want to buy this domain? Our Domain Buy Service can help you get it.” The Panel interprets that line as meaning that the disputed domain name is offered for sale to visitors who may have reached it in the process of searching for the Complainant’s trademark or accepting search results containing the Complainant’s trademark. In the absence of any explanation to the contrary, and on the balance of probabilities, it may reasonably be concluded that the Respondent intends to sell the disputed domain name for a price in excess of the costs of registration, and that the registration was made primarily for that purpose, constituting bad faith within the meaning of paragraph 4(b)(i) of the Policy.

A screen capture made on August 22, 2011, produced in evidence, displays the website to which the disputed domain name resolved at that time. The Respondent’s website offered links to other websites generally related to pharmacies and medicines. It may reasonably be concluded that the Respondent has enabled the provision of these links in return for revenue through the business model known as click-through or pay-per-click. By this model the advertiser pays a commission, at least part of which would be received by the Respondent, in return for referrals received through links. Such an operation may be entirely legitimate and is routinely used to provide partial funding for public service or news websites, or as a legitimate stand-alone business.

In order to succeed commercially, however, the operator of a pay-per-click website must attract visitors. The Respondent in the present case must expect to attract visitors seeking the Complainant’s trademark, to which the Respondent does not have rights, thus rendering the operation not bona fide. The Panel finds on the balance of probabilities that the Respondent, pending the primary purpose of selling the disputed domain name, has put it to use in order to attract visitors in the expectation of commercial gain resulting from their initial interest confusion, constituting bad faith within the contemplation of paragraph 4(b)(iv) of the Policy.

Rechtbank Almelo 5 oktober 2011, LJN BT7211 (Shetland Pony Park Slagharen B.V. tegen gedaagde)

Auteursrecht broncode. Opdrachtgeversauteursrecht. Bewijs. Incidentele vordering.

Gedaagde is sinds jaren ´80 werknemer en betrokken bij automatisering. De auteursrechten van de door hem vervaardigde software in opdracht van Slagharen zijn nooit aan Slagharen overgedragen. Dus van onbevoegd toegang verschaffen tot email, LinkedIn en Twitter accounts is geen sprake, en voor zover hij dat deed is dat in opdracht.

Betwisting van auteursrecht overtuigt niet, stukken (continuïteitsverklaringen) waarin staat: "heeft voor u programmatuur ontwikkeld dat gemaakt is in Windev/Webdev/Winde Mobile for Windows. (….) De broncode is eigendom van Attractiepark Slagharen.". Veroordeling volgt.

De incidentele vordering ex 843a Rv betreft vertrouwelijke en concurrentiegevoelige bedrijfsgegevens (email) is voldoende duidelijk, concreet en specifiek omschreven. Met dwangsommen €10.000 / dag(deel) met maximum van €200.000. Proceskostenuitspraak aangehouden tot eindvonnis.

2.5. Uit die feiten, zoals hiervoor weergegeven in rechtsoverweging 1.1., komt duidelijk naar voren dat [gedaagde] bij herhaling en op verschillende manieren heeft gehandeld in strijd met de elementaire zorgvuldigheid die Slagharen van hem als haar ICT-functionaris/systeembeheerder mocht verwachten, met name door actief te bewerkstelligen dat evident vertrouwelijke, en daarom met wachtwoorden en dergelijke beveiligde gegevens, zowel van zakelijke als van persoonlijke aard, in handen kwamen of konden komen van onbevoegden, als gevolg waarvan een aanzienlijke kans ontstond dat van die gegevens misbruik werd gemaakt, waardoor aan Slagharen en/of aan haar medewerkers aanmerkelijke schade kon worden toegebracht. Die onzorgvuldigheid beschouwt de rechtbank als zowel een toerekenbare tekortkoming in de nakoming van de verplichtingen van [gedaagde] uit hoofde van de tussen hem en Slagharen bestaande contractuele relatie, als een jegens Slagharen onrechtmatige daad.

2.6. De rechtbank verwerpt de overigens door [gedaagde] gevoerde verweren als volgt. [gedaagde] betwist de stelling van Slagharen, dat Slagharen het auteursrecht heeft op de door [gedaagde] in opdracht van Slagharen geschreven software. Die betwisting overtuigt echter niet, gezien de volgende door Slagharen overgelegde stukken:
- Een brief (een zgn. ‘continuïteitsverklaring’) d.d. 21 februari 2005 van [gedaagde] aan Slagharen, onder meer inhoudende: “[K-B] automatisering heeft voor u programmatuur ontwikkeld dat gemaakt is in Clarion voor Windows. (….) De broncode is eigendom van Attractiepark Slagharen.”
- Een brief (eveneens een ‘continuïteitsverklaring’) d.d. 17 maart 2008 van [gedaagde] aan Slagharen, onder meer inhoudende: “[K-B] automatisering heeft voor u programmatuur ontwikkeld dat gemaakt is in Windev/Webdev/Winde Mobile for Windows. (….) De broncode is eigendom van Attractiepark Slagharen.”
Op grond van deze stukken gaat de rechtbank er vooralsnog van uit, dat niet [gedaagde], maar Slagharen het auteursrecht heeft, zoals Slagharen heeft gesteld.

2.9. Anders dan [gedaagde] acht de rechtbank de incidentele vordering in het licht van artikel 843a Rv. duidelijk, concreet en specifiek genoeg omschreven, gezien de omstandigheden van dit geval. Slagharen somt de stukken, waarvan zij inzage verlangt, weliswaar niet stuk voor stuk op, maar dit valt van haar ook niet in redelijkheid te vergen. Nu het in de gegeven situatie zeer aannemelijk is dat [gedaagde] e-mailverkeer en (andere) documenten van Slagharen onrechtmatig naar zijn eigen mailadres(sen) heeft gestuurd, behoort Slagharen in de gelegenheid te worden gesteld om door raadpleging van de inbeslaggenomen data te bezien, welke documenten enz. dat zijn, en hoeft zij die stukken niet eerst individueel op te sommen en/of nader te beschrijven.

Lees het vonnis hier (LJN / pdf) 

Vragen van de leden Spekman en Jadnanansing (beiden PvdA) aan de staatssecretaris van Sociale Zaken en Werkgelegenheid en de minister van Onderwijs Cultuur en Wetenschap over de roep van gemeenten om bestandskoppeling tegen fraude (ingezonden 8 september 2011) 2011Z17249

Vraag 1 Bent u bekend met het bericht “Gemeenten: bestanden koppelen tegen fraude” 1) waarin gemeenten pleiten voor de koppeling van bestanden om fraude met uitkeringen beter aan te kunnen pakken?

Antwoord 1 Ja.

Vraag 2 Deelt u de mening dat er grote stappen gemaakt kunnen worden met de fraudebestrijding door bepaalde beschikbare gegevensbestanden aan elkaar te koppelen?

Het kabinet geeft hoge prioriteit aan preventie en opsporing van fraude en gebruikt daarbij ook de mogelijkheden om met bestandskoppeling en gegevensuitwisseling fraude met uitkeringen tegen te gaan. In het Handhavingsprogramma 2011-2014 heb ik aangekondigd te onderzoeken op welke wijze de bepalingen voor gegevensuitwisseling tussen de Wet Structuur uitvoering werk en inkomen (SUWI) en Wet werk en bijstand (WWB) kunnen worden geharmoniseerd1. Uiteraard moet gegevensuitwisseling zorgvuldig gebeuren en moet de Wet bescherming persoonsgegevens daarbij in acht worden genomen.

De afgelopen jaren is er veel gedaan op het gebied van gegevensuitwisseling. Zo kunnen medewerkers van gemeentelijke sociale diensten, het UWV en de SVB in het kader van de uitkeringsintake zien of iemand andere inkomsten of bepaalde vormen van eigen vermogen heeft. Het Inlichtingenbureau ondersteunt gemeenten bij de rechtmatigheidscontroles door bestandskoppelingen tussen verschillende bestanden uit te voeren, bijvoorbeeld de polisadministratie, de Belastingdienst en detentiegegevens. In combinatie met de informatie over de uitkering van cliënten leidt de bestandskoppeling soms tot nader onderzoek door de gemeente.

Aanvullend hierop ben ik gestart met een inventarisatie van de mogelijkheden van een bredere inzet van bestandskoppeling en gegevensuitwisseling om fraude te voorkomen en te bestrijden. Ik betrek hierbij ook de voorbeelden die wethouder Den Besten van de gemeente Utrecht mij, namens een aantal collega’s, heeft aangereikt en ik kijk ook naar de mogelijkheden voor het UWV en de SVB. Aan de hand van deze inventarisatie zal ik bezien of en in hoeverre aanpassing van regelgeving en ICT systemen nodig is en wat de kosten en de baten van de maatregelen zijn. Mijn beeld is dat er ook nog veel onbekendheid is bij gemeenten over de mogelijkheden inzake bestandskoppelingen en ik zal gemeenten informeren over deze mogelijkheden.

Vraag 6 Wat zijn de redenen dat bijvoorbeeld de bijstandsbestanden, woningadministratie en de gemeentelijke basisadministratie niet aan elkaar gekoppeld zijn? Overweegt u dergelijke stappen tot bestandskoppeling te zetten om de fraudeaanpak verder te verbeteren?

De WWB maakt gebruik van het GBA-adres en de bestanden zijn daarmee voor dat doel gekoppeld. De woningadministratie bestaat niet, zoals de bijstandsadministratie en de gemeentelijke basisadministratie, uit één enkele administratie. Veelal voeren woningbouwverenigingen hun eigen administratie en daarnaast worden woningen of kamers ook door privépersonen verhuurd. Op grond van de WWB moeten verhuurders van woningen of kamers gegevens verstrekken aan de gemeenten indien wordt getwijfeld aan de rechtmatigheid van een uitkering. Op deze wijze is uitwisseling van gegevens mogelijk tussen de WWB en de verschillende administraties van (particuliere) woningverhuurders.

Vraag 7 Deelt u de mening van de gemeenten dat een systeem waar alleen de verdachte adressen “uit rollen” de problemen omtrent privacy zou kunnen ondervangen?

Op diverse plaatsen wordt gebruik gemaakt van een dergelijk systeem. Zo gebruiken de interventieteams het Systeem Anonieme Risico Indicatie (SARI). Hiermee worden verschillende bestanden anoniem gekoppeld op basis van door SIOD aangeleverde risicoprofielen. Dit leidt tot een lijst met mogelijke fraudeurs en moet de pakkans verhogen.
Voorts werkt DUO thans in het kader van de aanpak misbruik uitwonendenbeurs reeds met een risicoprofiel. Op hiervan selecteert DUO studerenden met een uitwonendenbeurs bij wie het risico bestaat van onjuistheid van het woonadres. DUO zal vervolgens de gemeenten verzoeken een adrescontrole uit te voeren en zal daartoe persoonsgegevens met de gemeenten uitwisselen. Het gaat om een minimale set van persoonsgegevens. Nadat het onderzoek is uitgevoerd, zullen de resultaten van de adrescontroles worden teruggekoppeld aan DUO.

1) Volkskrant, 07 september 2011

RvdJ 30 september 2011, nr. 2011/65 (Mariko Peters en R. Kluijver tegen hoofdredacteur van HP/De Tijd)

Privacy in Journalistiek. In HP/De Tijd van 5 augustus 2011, verschenen op 3 augustus 2011, is een artikel van de hand van Witteman gepubliceerd met de kop “Het Kamerlid, de liefde & de ontvoering” (link login). Het artikel is op de voorpagina van het weekblad aangekondigd met de ankeiler “GroenLinks-Kamerlid Mariko Peters - Medeplichtig aan kinderontvoering”.
In de inhoudsopgave is vermeld: “Het GroenLinks-Kamerlid heeft een probleem. Ze verleent onderdak aan de kinderen van haar partner, die volgens de rechter bij hun moeder moeten wonen. Dat maakt haar medeplichtig aan ontvoering.”

Het artikel raakt niet alleen de persoonlijke levenssfeer van Peters, maar ook die van Kluijver. De Raad ziet zich dan ook voor de vraag gesteld of met het gewraakte artikel een inbreuk is gemaakt op de privacy van beide klagers afzonderlijk, die niet in redelijke verhouding staat tot het maatschappelijk belang van de publicatie. In dat verband zal de Raad beoordelen of voldoende zorgvuldig onderzoek naar de feiten is verricht en deugdelijk wederhoor is toegepast.

Ten aanzien van de inbreuk op de privacy van Peters overweegt de Raad ten slotte dat zij een openbare functie bekleedt. Voor mensen met publieke c.q. min of meer openbare functies is een zekere mate van blootstelling aan ongewilde publiciteit onvermijdelijk. Hun gedrag in de privésfeer heeft recht op bescherming tegen ongewilde inbreuken, tenzij dat gedrag aantoonbaar van invloed is op hun publiek functioneren. (zie punt 2.4.2. van de Leidraad)

Gelet op hetgeen de Raad eerder heeft overwogen ten aanzien van de maatschappelijke relevantie van de publicatie, moet worden geconcludeerd dat de privacy van Peters in dit geval niet disproportioneel is geschaad.

Beslissing:
De klacht is gegrond voor zover:
-          beschuldigingen over kinderontvoering aan het adres van klagers zijn gepubliceerd zonder deugdelijk onderzoek;
-          Kluijver geen gelegenheid tot wederhoor is geboden.
Voor het overige is de klacht ongegrond.
 
De Raad verzoekt verweerders deze beslissing integraal of in samenvatting in HP/De Tijd te publiceren.

Rechtbank 's-Gravenhage 27 september 2009, LJN BT6781 (Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders, Koninklijke Notariële Beroepsorganisatie c.s. tegen OPTA)

OPTA hoeft notarissen en gerechtsdeurwaarders geen langere termijn - dan de reeds gegunde twee weken - te gunnen om gebruik te kunnen blijven maken van door Diginotar - van wie het systeem is "gehackt" - afgegeven gekwalificeerde certificaten met het oog op het rechtsverkeer met het Kadaster. Uit artikel 2.2 lid 4 van de Telecommunicatiewet ("Tw") volgt dat die certificaten onmiddellijk c.q. zo snel mogelijk moeten worden ingetrokken. Dat klemt hier te meer nu na de "hackeractiviteiten" de betrouwbaarheid van de certificaten niet meer voor de volle 100% kan worden gegarandeerd. Beroep op artikel 2.2. lid 4 aanhef en onder c Tw gaat niet op. Belangenafweging valt uit in het voordeel van OPTA.

4.6. Voor zover eisers zich hebben beroepen op het bepaalde in artikel 2.2 lid 4 aanhef en onder c Tw, gaat de voorzieningenrechter daaraan voorbij. Blijkens de parlementaire geschiedenis kan slechts sprake zijn van het stellen van een termijn in geval van mogelijke - tijdelijke of incidentele - niet-naleving van bepaalde vereisten die de betrouwbaarheid van een gekwalificeerd certificaat niet direct in twijfel trekken teneinde de betreffende dienstverlener in de gelegenheid te stellen alsnog aan de eisen te voldoen (Kamerstukken II, 2000/01, 27 743, nr. 3, p. 21). Die situatie is hier niet aan de orde. De overtreding waaraan Diginotar zich schuldig heeft gemaakt brengt immers mee dat de door haar uitgegeven gekwalificeerde certificaten niet meer als volledig betrouwbaar kunnen worden aangemerkt. Bovendien valt niet in te zien dat Diginotar alsnog aan de eisen zou kunnen voldoen. Haar systeem is immers blijvend gecorrumpeerd. In het Besluit heeft OPTA - onder 65 en 66 - ook gemotiveerd aangegeven waarom geen termijn in de zin van voormelde bepaling is gegund.

4.7. Voor het geval OPTA in het Besluit - ondanks de vaststelling daarin (onder 62) dat door de beëindiging van de registratie van Diginotar circa 4.200 gebruikers geen gebruik meer kunnen maken van gekwalificeerde certificaten - geen rekening heeft gehouden met de belangen van eisers, moet worden aangenomen dat indien OPTA dat wel had gedaan de beslissing niet anders zou zijn uitgevallen, ook niet voor wat betreft de termijn van intrekking van de certificaten. Het belang van OPTA bij veilige en betrouwbare gekwalificeerde certificaten moet namelijk als zwaarwegender worden aangemerkt dan het belang van eisers, dat kort gezegd neerkomt op het voorkomen van een verhoging van de kosten verbonden aan de inschrijving van notariële akten en beslagen in het Kadaster. Dat klemt te meer nu de kostenstijging - die per akte/beslag beschouwd als redelijk overzienbaar moet worden aangemerkt - slechts tijdelijk is (tot omstreeks 1 november 2011) en verhaalbaar is op de opdrachtgever. Aan het voorgaande doet niet af dat - zoals eisers stellen - het risico op fraude aan de hand van een vervalst gekwalificeerd certificaat uiterst minimaal is, wat daar verder ook van zij. Over de veiligheid en betrouwbaarheid van een gekwalificeerd certificaat mag immers geen enkele twijfel bestaan, hetgeen niet meer opgaat voor de door certificaten van Diginotar na het "hacken" van haar systeem.

4.8. De slotsom is dat de vordering van eisers zal worden afgewezen. Daarbij merkt de voorzieningenrechter nog op dat hij inziet dat het niet meer digitaal kunnen inschrijven van notariële akten en beslagen de nodige ongemakken meebrengt voor de notarissen en de gerechtsdeurwaarders. Dat is echter onvoldoende om tot een ander oordeel te kunnen leiden.

Commentaar in't kort door Silvia van Schaik en Wouter Seinen, C'M'S' Derks Star Busmann.
In navolging van Hoge Raad 9 september 2011, IT 492

De belangenafweging als verplichte lakmoesproef voor de wettelijke rechtvaardigingsgronden voor verwerking van persoonsgegevens

Onlangs heeft de Hoge Raad een principiële uitspraak gedaan over de toetsing van de rechtvaardigingsgronden die in de Wet bescherming persoonsgegevens (Wbp) zijn opgenomen. Het ging om de vraag bij welke van de wettelijke verwerkingsgronden ruimte bestaat voor een belangenafweging. In cassatie werd namelijk aangevoerd dat een dergelijke belangenafweging wel hoort plaats te vinden bij een beroep op artikel 8 sub f Wbp (noodzakelijk voor de behartiging van gerechtvaardigde belangen), maar niet bij een beroep op bijvoorbeeld art. 8 b (noodzakelijk voor uitvoering overeenkomst).
 
Hoe luidt de casus?
Een natuurlijk persoon (Kredietnemer) had al 9 jaren een doorlopend krediet bij Santander. In juni 2007 heeft Kredietnemer een betalingsachterstand van € 20,- opgelopen, waardoor uiteindelijk zijn volledige restschuld - van € 315,18 – opeisbaar werd. Zowel de betalingsachterstand als het opeisbaar worden van de restschuld werden vervolgens door Santander gemeld bij het Bureau Kredietregistratie (BKR) conform het BKR-reglement. In oktober 2007 betaalt Kredietnemer de volledige vordering aan Santander.

Ongeveer een jaar later verneemt Kredietnemer van de BKR-registraties en verzoekt hij Santander om ongedaanmaking. Santander geeft aan dit verzoek geen gevolg.

Verwijdering BKR-registraties op grond van de Wbp
Kredietnemer wendt zich daarop tot de rechtbank met een beroep op de Wbp. De rechtbank en daarna het hof oordelen dat Santander de BKR-registraties moet (laten) verwijderen. Santander stelt cassatie in.

De Wbp bepaalt onder welke voorwaarden persoonsgegevens mogen worden verwerkt. Eén van die voorwaarden is dat een verwerking van persoonsgegevens alleen toegestaan is als deze terug te voeren is op één van de in art. 8 Wbp (limitatief) genoemde grondslagen. Art. 8 Wbp luidt:

Persoonsgegevens mogen slechts worden verwerkt indien:
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

De hoofdvraag in deze procedure, is of bij een verwerking van persoonsgegevens altijd een belangenafweging tussen het belang van registratie en het belang van de betreffende persoon moet worden gemaakt of alleen in geval van een registratie op grond van art. 8 sub f Wbp.

Belangenafweging
Kredietnemer heeft kennelijk betoogd dat bij de BKR-registraties onvoldoende rekening met zijn belangen was gehouden. Volgens Santander was een belangenafweging alleen vereist wanneer art. 8 sub f van toepassing is en niet wanneer de verwerking is gebaseerd op een andere grondslag uit art. 8 Wbp. Zij betoogde dat haar verwerking was gebaseerd op art. 8 sub a, b en/of c Wbp en dat zij daarom geen belangenafweging hoefde te maken.

De Hoge Raad is het daar niet mee eens: de “verantwoordelijke” moet altijd een belangenafweging maken.

Bij elke gegevensverwerking moet worden voldaan aan de beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het doel van de verwerking. Ook is vereist dat het doel niet op een andere, voor de betrokkene minder nadelige, wijze kan worden bereikt. De aanwezigheid van een wettelijke rechtvaardigheidsgrond uit art. 8 Wbp maakt een afweging van deze belangen niet overbodig. Bij de afweging moeten alle omstandigheden van het geval in aanmerking worden genomen. Dat Santander wettelijk verplicht is om zich aan te sluiten bij een stelsel van kredietregistratie en dat dat met zich meebrengt dat zij zich moet houden aan het BKR-reglement en daarom verplicht was om de onregelmatigheden te melden, maakt dat niet anders.

De taak om een wettelijke verplichting uit te voeren, rechtvaardigt niet iedere gegevensverwerking (r.o. 3.5.2). Ook de argumenten met betrekking tot het doel van de kredietregistratie helpen Santander niet. Het doel van registratie had tegen de gevolgen ervan voor betrokkene moeten worden afgewogen in het licht van de omstandigheden. Omstandigheden als het langdurig correcte betaalgedrag, de geringe betaalachterstand en het direct voldoen van de gehele openstaande vordering nadat deze bij Kredietnemer bekend was, brengen volgens het hof met zich mee dat de belangenafweging ten gunste van Kredietnemer uitvalt. De Hoge Raad schaart zich acht het oordeel van het hof dat Santander in redelijkheid niet tot registratie over had moeten gaan, althans na het door betrokkene geuite bezwaar de registratie alsnog had moeten verwijderen.

Toestemming
Overigens bevat de uitspraak nog een opmerkelijke overweging over toestemming. Wanneer betrokkene toestemming heeft gegeven voor een verwerking (art. 8 sub a Wbp), mag de verwerking in beginsel plaatsvinden. Echter, ook toestemming ontslaat de verantwoordelijke niet zonder meer van de verplichting tot het maken van een belangenafweging. Wanneer de betrokkene erop wijst dat met zijn belangen onvoldoende rekening is gehouden, moet de verantwoordelijke in ieder geval alsnog een belangenafweging maken, volgens de Hoge Raad (r.o. 3.3. onder (e)).

Onduidelijk is hoe dit laatste zich nu precies verhoudt tot intrekking van toestemming. Toestemming kan namelijk op grond van art. 5 lid 2 Wbp worden ingetrokken. Over het algemeen wordt aangenomen dat de verantwoordelijke na het intrekken van een toestemming de gegevensverwerking die op die toestemming gebaseerd is, moet stoppen. Men kan de verwerking niet na intrekking alsnog baseren op een andere verwerkingsgrond. Dat zou in strijd zijn met het beginsel van “fair processing” dat is verankerd in art. 6 Wbp (MvT, Kamerstukken II 1997/98, 25892, nr. 3, p.80-81).

Volgens de A-G hebben het hof en de rechtbank “klaarblijkelijk en terecht” uit de opstelling van Kredietnemer de intrekking van een (eventueel) gegeven toestemming afgeleid (r.o. 4.4). De Hoge Raad benadrukt alleen dat bij een verwerking op basis van toestemming een belangenafweging in ieder geval dient plaats te vinden wanneer de betrokkene erop wijst dat met zijn belangen onvoldoende rekening is gehouden (r.o. 3.3 onder (e)). Is dat daadwerkelijk iets anders dan het intrekken van een toestemming? De Hoge Raad heeft hiermee o.i. de deur opengezet voor een belangenafweging na intrekking van een toestemming. Tot nu toe werd aangenomen dat een toestemming altijd kan worden ingetrokken en dat de verantwoordelijke daarna de verwerking onmiddellijk moet stoppen. Uit de uitspraak leiden wij af dat de verantwoordelijke na een intrekking alsnog een belangenafweging moet maken en de verwerking dus niet altijd hoeft te stoppen. Kennelijk kan, in geval van intrekking van toestemming, een belangenafweging er (onder omstandigheden) toe leiden dat een verdere verwerking toch rechtmatig blijft.

De laatste tijd lijkt het aan de orde van de dag: datalekken. Webwereld organiseert zelfs Lektober. Soms zijn de datalekken klein, maar soms ook groot. DigiNotar heeft het niet overleefd (IT 509), en ondertussen hebben we de miljoenennota ook bijna een week voor prinsjesdag al kunnen lezen (hier). Mede vanwege dit soort incidenten staan datalekken hoog op de agenda van toezichthouders en wetgevers. Als gevolg van een gewijzigde Europese richtlijn, zijn telecom providers straks verplicht datalekken direct bij de OPTA te melden. Een geplande wijziging van de Wet bescherming persoonsgegevens zal een bredere meldplicht introduceren, waar bijvoorbeeld ook banken en andere dienstverleners zich aan moeten houden. Ondertussen roert ook het College Bescherming Persoonsgegevens zich: bedrijven van wie de klantgegevens op straat komen te liggen hebben wat uit te leggen.

In deze bijeenkomst gaan wij dieper in op het fenomeen datalekken. Een cybersecurity deskundige van Fox-it zal eerst de technische kant van datalekken toelichten. Een spreker van Bits of Freedom laat vervolgens haar kritische licht schijnen over het fenomeen datalekken. En Huub de Jong van Bird & Bird LLP en Milica Antic van SOLV zullen tenslotte ingaan op juridische aspecten, de rol van toezichthouders en de status van (toekomstige) wetgeving.

Datum: donderdag 13 oktober.
Duur: van 15.30 uur (aanvang) tot ongeveer 18.00, en daarna borrel.
Locatie: Bird & Bird, Van Alkemadelaan 700 (2597 AW) te Den Haag.
Kosten: NVVIR leden EUR 0,= / niet-leden EUR 45,=.
 
Aanmelden via: ella.meijaard@twobirds.com

Aanhangsel Handelingen II, 2011-12, nr. 86; 2011Z16964 Antwoord vragen Van Dam en Recourt over inbreuk op de privacy door LinkedIn

2. Hanteert het College bescherming persoonsgegevens (Cbp) specifieke richtlijnen voor de omgang met en het beschermen van persoonsgegevens door sociale netwerksites? Zo ja, wat zijn deze regels? Zo nee, waarom niet? Bent u in dat laatste geval voor of tegenstander van nadere regelgeving?

Desgevraagd heeft het Cbp mij laten weten dat het de volgende richtlijnen hanteert met betrekking tot de omgang en het beschermen van persoonsgegevens door sociale netwerksites:

• de standaardinstellingen van sociale netwerksites dienen op privacyvriendelijk te staan;
• voor de beoordeling van de vraag of sprake is van ondubbelzinnige toestemming van de betrokkene, zoals vereist in de Wet bescherming persoonsgegevens (Wbp) dient de toestemming in vrijheid gegeven te zijn en specifiek op een bepaalde gegevensverwerking betrekking te hebben;
• de betrokkene dient vooraf over de noodzakelijke inlichtingen te beschikken om de toestemming te kunnen geven;
• het uitblijven van een reactie (opt-out) staat niet gelijk aan het geven van toestemming.
  Voornoemde uitgangspunten zijn tevens terug te vinden in een gemeenschappelijk standpunt over het begrip toestemming van 13 juli 2011 van de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep (zie met name pagina 35).¹

3. Deelt u de mening dat, los van deze specifieke casus, het principeel onjuist is indien sociale netwerksites persoonlijke gegevens van hun gebruikers zonder (expliciete) toestemming vooraf voor reclame dan wel andere commerciële doeleinden gebruiken?
Eén van de eisen die de Wbp stelt aan de verwerking van persoonsgegevens is de aanwezigheid van een grondslag voor de gegevensverwerking. De Wbp bevat een aantal rechtsgeldige grondslagen, waaronder ondubbelzinnige toestemming van de betrokkene voor de verwerking. Sociale netwerksites moeten zich bij de verwerking van persoonsgegevens te allen tijde houden aan de eisen van de Wbp.

4. Deelt u tevens de mening dat, indien het sociale netwerksites binnen de huidige richtlijnen van het Cbp is toegestaan accountinstellingen van hun gebruikers ongevraagd te wijzigen teneinde persoonsgegevens te gebruiken voor commerciële doeleinden, dit ongewenst is? Zo ja, bent u bereid het Cbp op te dragen deze te wijzigen. Zo nee,
waarom niet?
Het Cbp vult haar toezicht- en handhavingsbevoegdheden nader in via handhavingsbeleid. Met betrekking tot de omgang met en bescherming van persoonsgegevens door sociale netwerksites hanteert het Cbp richtlijnen zoals in mijn antwoord op vraag 2 weergegeven. Daaruit leid ik af dat het Cbp al diverse kwalitatieve eisen stelt aan de omgang van en de bescherming van persoonsgegevens door sociale netwerksites, in het bijzonder waar het de invulling van het begrip
ondubbelzinnige toestemming betreft.
Overigens heeft het Cbp een wettelijk gegarandeerde onafhankelijke positie. Gelet hierop beschik ik
niet over bevoegdheden om het Cbp voor te schrijven hoe zich te gedragen in individuele
toezichtszaken.

1 Zie https://www.cbpweb.nl/downloads_int/wp187_en.pdf

Vanaf vandaag kan ieder bedrijf eenvoudig en kostenloos zijn eigen social media gedragscode opstellen met de Social Media Policy Generator op Policygenerator.nl. Na het beantwoorden van een aantal vragen ontvangt een bedrijf een gepersonaliseerde gedragscode voor het gebruik van social media door zijn medewerkers. Hiermee wordt gestimuleerd dat uitingen van medewerkers via social media bijdragen aan de positieve uitstraling van een bedrijf, terwijl tegelijkertijd het risico op imagoschade wordt vermeden. De tool is door MarketingMonday ontwikkeld omdat een dergelijke policy nog niet in alle bedrijven aanwezig is, maar wel noodzakelijk.

BRON: MarketingMonday en PolicyGenerator.nl