Privacy  

M. Korpershoek, 'Privacy in de cloud', Automatiseringsgids 25 oktober 2012.

Een bijdrage van Marianne Korpershoek, Louwers IP|Technology advocaten.

Nu cloudcomputing een grote vlucht begint te nemen, krijgen ook de privacy risico’s van cloudcomputing aandacht van de Europese privacy waakhonden. Bij cloudcomputing is er immers vaak een keten van leveranciers verantwoordelijk voor het leveren van de clouddienst en is onduidelijk wie waarvoor verantwoordelijk is. Om de verantwoordelijkheid voor het verwerken van privacy gevoelige gegevens in kaart te brengen heeft in WP29 (zie kader) op 1 juli van dit jaar een advies uitgebracht. Het CPB heeft met het advies in het achterhoofd zijn Zienswijze gegeven over het inschakelen van een Amerikaanse cloudleverancier door SURFmarket.

De privacyrisico’s in de cloud volgens WP29
Wat moet een afnemer van een clouddienst doen volgens WP29
De zienswijze van het CPB
Kader artikel 29 Working Party (WP29)
Kader ‘Plannen van Neelie Kroes met cloudcomputing’ en privacy

De privacyrisico’s in de cloud volgens WP29
De WP20 onderkent dat cloudcomputing veel economische en maatschappelijke voordelen heeft, maar dat er ook een aantal grote privacy risico’s zijn, bijvoorbeeld:

• Gebrek aan controle over persoonsgegevens. Bij cloudcomputing is immers vaak sprake van een wijdvertakte keten. In een cloudketen zijn aparte partijen voor hosting, beheer en onderhoud van de hardware, gegevens en de applicaties, ter beschikking stellen van de applicatie etc. Dat betekent dat een opdrachtgever niet weet wie van zijn leveranciers en subleveranciers verantwoordelijk is. Terwijl hij daar wel toe verplicht is op grond van de WBP. Zo kunnen voor een Nederlandse clouddienst de servers in Bulgarije staan, terwijl de helpdesk in Zuid-Afrika in de gegevens kan kijken en de onderhoudspartij uit India ook toegang heeft tot gegevens omdat dat nodig is om het werk goed uit de voeren;
• Onvoldoende informatie over hoe, waar en door wie de persoonsgegevens worden verwerkt. Wanneer de verantwoordelijke voor het verzamelen van de persoonsgegevens niet weet waar en door wie de persoonsgegevens worden opgeslagen, dan kan hij ook niet doen aan zijn informatieverplichting aan de personen van wie de gegevens worden verzameld. Iedereen heeft immers op grond van de WPB het recht om te weten welke gegevens worden opgeslagen.

Wat moet een afnemer van een clouddienst doen volgens WP29
Om bovengenoemde problemen te tackelen stelt de WP29 voor dat iedereen die een clouddienst wil afnemen waarbij privacy gevoelige gegevens worden opgeslagen, eerst een uitgebreide en grondige risicoanalyse maakt. Cloudleveranciers op hun beurt moeten afnemers alle informatie geven die nodig is om de voors en tegens van cloudcomputing voor die betrokken afnemers af te wegen. Veiligheid, transparantie en juridische zekerheid zouden de belangrijke aspecten moeten zijn in een aanbieding voor een cloudleverancier.

De WP29 vindt dat een bedrijf dat een clouddienst afneemt garanties moet vragen van zijn cloudleverancier over het nakomen van de Europese en nationale privacyregels . Dit moet verplichtvastgelegd worden in de bewerkersovereenkomst tussen de cloudleverancier en de afnemer. Deze bewerkersovereenkomst is overigens nu al verplicht op grond van de WBP. Verder moeten er afspraken gemaakt worden over bijvoorbeeld het wissen van gegevens omdat opslag niet langer nodig is. Ten slotte moet de afnemer van de clouddienst garanties vragen van zijn leverancier dat transport van data buiten de EU volgens de strenge wetgeving verloopt.

De zienswijze van het CPB
SURFmarket had het CPB gevraagd of en onder welke voorwaarden zij gegevens van Nederlandse studenten en universitaire medewerkers mochten laten opslaan bij een Amerikaans bedrijf. Het CPB heeft deze vragen beantwoord met het advies van de WP29 in het achterhoofd. Het CPB vindt dat een bedrijf dat gebruik wil maken van een Amerikaanse cloudleverancier op de eerste plaats een risicoanalyse moet doen om vast te stellen of er in zijn specifieke situatie wel gebruikt gemaakt kan worden van cloudcomputing bij een Amerikaanse leverancier. Op de tweede plaats moet de afnemer de afspraken en de garanties van zijn cloudleverancier vastleggen in een bewerkerscontract. Op de derde plaats moeten er in het contract met de cloudleverancier afspraken gemaakt worden over aansprakelijkheid bij een inbreuk op de privacy. Artikel 49 van de WBP bepaalt dat degene die de gegevens verzamelt ook aansprakelijk is voor de schade die wordt veroorzaakt door een privacyinbreuk. Deze aansprakelijkheid moet doorgelegd kunnen worden naar de cloudleverancier, aldus het CPB. Ten slotte moet er in die bewerkers overeenkomst ook afspraken gemaakt worden over de melding van datalekken.

Wat zijn de gevolgen van dit advies?
Het advies van de WP29 is natuurlijk niet meer dan een advies en geen concrete wetgeving. Maar iedereen die zijn persoonsgegevens opslaat in de cloud zal dit advies wel ter harte moeten nemen. Voor afnemers van clouddiensten geldt dat wanneer het misgaat een rechter bij de vaststelling van de aansprakelijkheid rekening zal houden met de aanbevelingen uit dit advies. Wanneer die niet zijn nageleefd door de gebruiker van de clouddienst, dan zal dat gevolgen hebben voor zijn aansprakelijkheid voor de schade van de betrokkenen, bijvoorbeeld omdat er voordat de clouddienst werd afgenomen er geen risicoanalyse is gemaakt of omdat er geen goede bewerkersovereenkomst is, of omdat blijkt dat gegevens buiten de EU zijn getransporteerd zonder dat de wet is nageleefd.

Ook aanbieders van clouddienstverlening zullen rekening moeten houden met dit advies. Bijvoorbeeld wanneer ze nalaten hun afnemers op de hoogte te stellen van alle privacyaspecten die verbandhouden met hun diensten. Ze zullen afnemers actief op de hoogte moeten stellen wanneer servers verplaatst worden of wanneer een contract gesloten wordt met bijvoorbeeld een Indiase beheerder die toegang krijgt tot de gegevens of deze nu binnen of buiten Europa zijn opgeslagen. Niet voldoen aan informatieplichten kan ook voor de cloudleverancier tot aansprakelijkheid leiden wanneer het mis gaat.

Maar niet alleen de rechter zal naar met een schuin oog naar dit advies kijken. Dit advies zal ook een kader geven voor overheden bij aanbestedingen en voor grote en kleine organisaties die een reputatie te verliezen hebben of die het risico lopen op grote schadeclaims. Cloudleveranciers zullen daar actief op moeten inspelen door bijvoorbeeld het ter beschikking stellen van risicoanalyses, externe audits over hun beveiliging etc. om te voorkomen dat zij de boot in deze belangrijke marktmissen.

Kader artikel 29 Working Party (WP29)
In 1995 is de Europese Privacy Richtlijn vastgesteld. Deze richtlijn is bedoeld om de persoonsgegevens binnen Europa op een veilige manier te bewaren en de verwerken. De Wet Bescherming Persoonsgegevens (WBP) is een vertaling van de Privacy richtlijn in de Nederlandse wet. De richtlijn verplicht dat in iedere lidstaat van de EU een toezichthouder voor de bewaking van de privacy moest worden opgericht. In Nederland is dat het College Bescherming Persoonsgegevens (CPB). Artikel 29 van de Privacy Richtlijn bepaalt dat er een werkgroep wordt ingesteld die bestaat uit vertegenwoordigers van alle Europese privacy waakhonden. Deze WP29 adviseert de Europese Commissie over privacyissues en kan ook aanbevelingen doen hoe persoonsgegevens beter beschermd kunnen worden. In dat kader heeft de WP op 1 juli 2012 een uitgebreid advies uitgebracht over de privacyaspecten van cloudcomputing en de verplichtingen van zowel aanbieders als afnemers van clouddiensten.

Kader ‘Plannen van Neelie Kroes met cloudcomputing’ en privacy
Op 27 september 2012 heeft Neelie Kroes de nieuwe Europese strategie gepresenteerd om er voor te zorgen dat cloud computing wordt gepromoot. Met cloudcomputing hoopt de EU 2,5 miljoen nieuwe banen te creëren en verder zou het bbp daardoor jaarlijks met 160 miljard euro groeien. De strategie wil barrières voor cloudcomputing wegnemen. Neelie Kroes ziet drie belangrijke belemmeringen voor de ontwikkeling van de Europese cloudmarkt:

1. Een wildgroei aan standaarden en technische normen;
2. Problemen met contracten. Veel bedrijven en consumenten maken zich zorgen over de toegang tot data en de mogelijkheden om de data mee te nemen naar bijvoorbeeld een andere leverancier. De EU wil daarom bevorderen dat er eerlijke en uitgebalanceerde standaardovereenkomsten worden opgesteld;
3. Last but not least is er de versplinterde en versnipperde Europese cloudmarkt. Ieder land heeft immers zijn eigen regels en beleid op het gebied van contracten, consumentenbescherming, strafrecht en privacy.

Op het punt van de privacy concludeert Neelie Kroes dat verschillende wetgeving in de 27 EU landen in de weg staat aan een kosteneffectieve cloudoplossing die grenzen overschrijdt. Het advies van de WP29 krijgt daarom een belangrijke rol volgens het Strategie Document. Volgend jaar komt er een Europese privacywet die gaat gelden voor alle landen van de EU en met deze nieuwe wet zullen ook specifieke regels opgesteld worden voor privacy in de cloud, zowel voor afnemers als cloudketenpartners.

Antwoord op kamervragen van de SP over de noodzaak om cookies te accepteren voor bezoekers van websites van de publieke omroep, 2012Z17372.

Antwoord op kamervragen over cookies op de websites van de publieke omroep, 2012Z17524.

Analytische cookies noodzakelijk?
Cookies zijn er in vele soorten en maten. De NPO maakt gebruik van vier verschillende soorten cookies voor verschillende doeleinden. Voor de zogenoemde functionele cookies is op grond van de nieuwe wetgeving geen toestemming vereist. Dit zijn cookies die noodzakelijk zijn voor de werking van de website. Daarnaast maakt de NPO gebruik van analytische cookies die worden gebruikt voor het verzamelen van webstatistieken. De analytische cookies geven de NPO inzicht in het gebruik van de website en de daarop aangeboden audio en video. Deze cookies worden niet gebruikt om het surfgedrag van bezoekers van andere websites te bekijken en zijn geen tracking cookies. Zoals bij het Algemeen Overleg Telecommunicatie van 21 november jongstleden is toegezegd wordt momenteel onderzocht of, en zo ja onder welke voorwaarden, analytische cookies kunnen worden beschouwd als noodzakelijk cookies, zodat ook voor deze cookies toestemming achterwege zou kunnen blijven.

Reclamecookies
Naast de wettelijke verplichtingen en de toepassing van reclamecookies gebruikt de NPO ook cookies voor de eigen bedrijfsvoering. Trackingcookies zijn geen onderdeel van de analytische cookies die de NPO hanteert.

Social media - derden via de website - komt voor rekening van betreffende social media aanbieder
Voor het gebruik van social media worden door derden via de websites van de NPO op de computers van eindgebruikers cookies geplaatst. Deze cookies kunnen trackingcookies bevatten waarbij de gegevens die worden verzameld ook aan derden kunnen worden verstrekt. Het gebruik van deze gegevens komt voor rekening van de desbetreffende sociale media aanbieder. Gebruikers kunnen op de websites van deze desbetreffende sociale media aanbieders lezen waar de
verzamelde gegevens voor worden gebruikt.

Op andere blogs:
ICTRecht

Verslag wijziging van de Paspoortwet in verband met onder meer de status van de Nederlandse identiteitskaart, Kamerstukken II 2012/13, 33 440-(R1990), nr. 5.

Inhoudsopgave
1. Inleiding
2. Verlenging geldigheidsduur reisdocumenten en Nederlandse identiteitskaart
3. Wijziging van de status van de Nederlandse identiteitskaart
4. Het opnemen van een grondslag voor heffing van rechten
5. Het opnemen van vingerafdrukken in de reisdocumentenadministratie
6. Gevolgen van het wetsvoorstel voor de privacy
7. Gevolgen van het wetsvoorstel voor de administratieve lasten
8. Uitvoeringslasten en financiële gevolgen

De leden van de SGP-fractie vinden het belangrijk dat er voldoende aandacht is voor een passend beveiligingsniveau dat bestand is tegen toenemende technische mogelijkheden om in te breken op chips. Het is een noodzaak. Bij een geldigheidsduur van tien jaar zijn de risico’s groter. Zij vragen de regering of er op dit moment mogelijkheden zijn opgenomen in de wet om in het geval van zeer grote risico’s paspoorten en andere documenten terug te roepen. Zo niet, is het te overwegen om die mogelijkheid uitdrukkelijk in de wet op te nemen om daarmee een waarborg te hebben tegen onvoorziene technische ontwikkelingen die de privacy bedreigen?

6. Gevolgen van het wetsvoorstel voor de privacy

De leden van de PvdA-fractie zijn tevreden over de stevige doelbinding en tijdsbeperking van de opslag van vingerafdrukken, namelijk alleen voor de verwerking van de aanvraag en voor de duur van de aanvraag. Als we ze dan toch moeten verwerken, dan zo beperkt mogelijk. Deze leden constateren echter ook dat er toezeggingen gedaan zijn over het vernietigen van vingerafdrukken die voor 23 juni 2011 zijn vastgelegd. Zij willen graag van de regering weten wat de stand van zaken is van deze vernietiging. Is al aan alle technische voorwaarden voldaan, zijn alle vingerafdrukken en de sporen daarnaar vernietigd, en is daar nog controle naar gedaan?

De leden van de PvdA-fractie constateren dat de vingerafdrukken op basis van het, nog niet in werking getreden, artikel 4b.4 nog raadpleegbaar zijn door het OM. Deze leden willen graag weten hoe dit zich verhoudt tot de doelbinding van de afname van vingerafdrukken en of dit artikel niet beter geschrapt kan worden voor de duidelijkheid.

 

Eén van de onderwerpen waar de leden van de PvdA-fractie zich zorgen over maken is de veiligheid van de RFID-chip in het paspoort en de NIK? In juli is nog aangetoond dat met de juiste apparatuur het relatief eenvoudig is om van een niet-beveiligde chip het ID uit te lezen en dit vervolgens naar een dupli-caat-tag te schrijven. De paspoortchip bevat onder meer de naam, foto, BSN, geboortedatum, en vingerafdrukken van de houder. Met deze gegevens is het relatief eenvoudig identiteitsfraude te plegen. Daarom willen deze leden graag weten waarop de regering zijn mening baseert dat de gegevens op het paspoort maximaal beschermd worden. Kan de regering aantonen dat de huidige bescherming nog optimaal is? Welke aanpassingen en verbeteringen zijn er de afgelopen jaren in de chips in het paspoort aangebracht? Zijn er noodplannen om de integriteit van oude identiteitsdocumenten met kwetsbaarheden in de beveiliging te garanderen of weer op het vereiste niveau te brengen?

 

De leden van de PVV-fractie vragen de regering haar visie te geven over het feit dat experts verwachten dat in de toekomst het aantal kwetsbaarheden in de chips, en het tempo waarin ze worden gevonden, zal toenemen, terwijl een paspoort dadelijk tien jaar geldig is en op afstand uitleesbare vingerafdrukken bevat. Ziet de regering daar geen grote risico’s voor privacy, veiligheid en mogelijkheden tot misbruik? Welke maatregelen, anders dan gebruikmaken van chips die aan de huidige beveiligingsstandaarden voldoen, worden er genomen om dit risico terug te brengen?

 

De leden van de CDA-fractie lezen dat de regering van opvatting is, dat kwetsbaarheden in de chip van een uitgegeven reisdocument niet kunnen worden hersteld, dat daar althans geen mogelijkheden voor zijn. Deze leden vragen, wat daarvan de gevolgen kunnen zijn voor de houder van een dergelijk reisdocument.

 

Ondanks dat de regering aangeeft dat het verlengen van de geldigheidsduur van reisdocumenten bepaalde risico’s met zich meebrengt rondom identificatie, menen de leden van de D66-fractie dat er onvoldoende wordt ingegaan op de mogelijkheid om de chip op de documenten beter te beveiligen tegen identiteitsdiefstal, bijv. door middel van een toegangs-vergrendeling. Deze leden vragen zich af of de voorgestelde methode de meest veilige is, en waar deze conclusie op gebaseerd is. Waarom is niet gekozen voor additionele beveiligingsmogelijkheden? De aan het woord zijnde leden delen hierbij de door het College Bescherming Persoonsgegevens geuitte zorgen over het realiseren van een passend beveiligingsniveau conform het bepaalde in artikel 13 Wet bescherming persoonsgegevens (Wbp). Zij ontvangen graag een nadere motivering op dit punt.

 

De leden van de SGP-fractie vinden het belangrijk dat er voldoende aandacht is voor een passend beveiligingsniveau dat bestand is tegen toenemende technische mogelijkheden om in te breken op chips. Het is een noodzaak. Bij een geldigheidsduur van tien jaar zijn de risico’s groter. Zij vragen de regering of er op dit moment mogelijkheden zijn opgenomen in de wet om in het geval van zeer grote risico’s paspoorten en andere documenten terug te roepen. Zo niet, is het te overwegen om die mogelijkheid uitdrukkelijk in de wet op te nemen om daarmee een waarborg te hebben tegen onvoorziene technische ontwikkelingen die de privacy bedreigen?

Brief CBP aan Staatssecretaris, Tweede nota van wijziging Wetsvoorstel forensische zorg, kenmerk z2012-00824.

Uit't persbericht: Het College bescherming persoonsgegevens (CBP) heeft geadviseerd over een nota van wijziging bij het wetsvoorstel forensische zorg, dat momenteel in behandeling is bij de Tweede Kamer. De nota betreft de regeling die het mogelijk maakt om van verdachten van misdrijven waarvoor tbs opgelegd kan worden bestaande medische gegevens te vorderen bij behandelend artsen. Deze gegevens worden vervolgens gebruikt om een mogelijke psychische stoornis te bepalen bij verdachten die weigeren aan tbs-onderzoek mee te werken. Het CBP adviseert om de behandeling in de Tweede Kamer van de regeling niet voort te zetten.

Uit de brief: Juridisch kader

De voorgestelde regeling dient te voldoen aan artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM), artikel 10 Grondwet alsmede aan de Wet bescherming persoonsgegevens (Wbp), welke uitvoering geeft aan Richtlijn 95/46/EG. De voorgestelde regeling dient tevens te voldoen aan aanverwante wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens, waaronder de regeling inzake het medisch beroepsgeheim, neergelegd in artikel 7:457 van het Burgerlijk Wetboek (BW) en in artikel 88 van de Wet beroepen individuele gezondheidszorg (Wet BIG). Volgens vaste jurisprudentie van het Europese Hof voor de Rechten van de Mens dient iedere beperking van het recht op eerbiediging van de persoonlijke levenssfeer te worden gerechtvaardigd door een ‘pressing social need’. De inmenging moet bovendien evenredig zijn aan het nagestreefde doel (proportionaliteit), dat doel moet niet op andere, minder indringende wijze kunnen worden bereikt (subsidiariteit) en de ter onderbouwing aangevoerde gronden moeten relevant en toereikend zijn.

Voor het verwerken van persoonsgegevens is onder meer een grondslag als bedoeld in artikel 8 Wbp vereist en tevens moet zijn voldaan aan de eisen van noodzakelijkheid en doelbinding (artikel 7 Wbp). Deze vereisten houden kort gezegd in dat persoonsgegevens slechts mogen worden verwerkt indien én voor zover dit noodzakelijk is om het beoogde doel te bereiken alsmede dat het verder verwerken van persoonsgegevens slechts is toegestaan indien die verdere verwerking niet onverenigbaar is met de doeleinden waarvoor de persoonsgegevens zijn ontvangen (artikel 9 Wbp).

Het verwerken van bijzondere persoonsgegevens, zoals persoonsgegevens betreffende gezondheid (hierna: medische persoonsgegevens), is aan strengere regels gebonden. De Wbp verbiedt het verwerken van bijzondere persoonsgegevens (artikel 16 Wbp), tenzij sprake is van een van de in de Wbp opgesomde ontheffingen van dat verbod (artikel 17 t/m 23 Wbp).

Indien geen ontheffing wordt gevonden in de algemene gronden van artikel 21 dan wel 23 Wbp, kan een specifieke ontheffing worden gecreëerd bij wet. Artikel 23 lid 1 sub f Wbp bepaalt dat het verbod om bijzondere persoonsgegevens te verwerken niet van toepassing is voor zover dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer, en dit bij wet wordt bepaald. Bij de implementatie van artikel 8 lid 4 van Richtlijn 95/46 EG in artikel 23 lid 1 sub e Wbp is er uitdrukkelijk voor gekozen dat de grondslag voor de gegevensverwerking moet worden gecreëerd bij wet in formele zin. De grondslag voor gegevensverwerking dient – mede gelet op artikel 8 EVRM en artikel 10 Grondwet – voldoende specifiek te zijn. Ook dient de noodzakelijkheid van de verwerking door de formele wetgever te worden onderbouwd en moeten passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer.

Medische persoonsgegevens mogen slechts worden verwerkt indien een ontheffing wordt gevonden in artikel 21 Wbp dan wel artikel 23 Wbp.  

Indien een wettelijke bepaling er ook op is gericht het medisch beroepsgeheim te doorbreken, dient deze bepaling te voorzien in voldoende specificatie van zowel de doelstelling van de verplichting als de nader bepaalde gegevens waarop die verplichting ziet.

Prejudiciële vragen aan HvJ EU 22 oktober 2012, zaak C-473/12 (Beroepsinstituut van vastgoedmakelaars (BIV) tegen Immo 9 BVBA) - dossier

Het Beroepsinstituut van vastgoedmakelaars BIV waakt over de integriteit van de beroepsgroep die, net als in NL, een beschermde titel voert. Zij vraagt de rechtbank om bepaalde handelingen in strijd met de wet te verklaren en zo ongewenste vastgoedactiviteiten te kunnen stoppen. Om belastende gegevens te verzamelen maakt BIV gebruik van privédetectives. In 2010 heeft het Hof van Beroep te Bergen al geoordeeld dat een door een detective opgesteld verslag gegevens bevatte die in strijd zijn met de Belgische wet van 8 december 1992 (tot bescherming van de persoonlijke levenssfeer). Deze wet legt (onder meer aan) detectives verplichtingen op, maar verzoekster stelt dat indien deze wet strikt wordt toegepast een privédetective zijn werk niet meer kan doen. De rechter in eerste instantie (Rb Charleroi) vraagt zich af of hier strijd is met het gelijkheidsbeginsel, en legt het Grondwettelijk Hof de volgende vraag voor:

„Schendt de wet van 8 december 1992 ‚tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens’ het grondwettelijk[e] gelijkheidsbeginsel, door de overeenkomstig de wet van 19 juli 1991 ‚tot regeling van het beroep van privédetective’ erkende privédetectives niet op te nemen in de uitzonderingen die zij in de paragrafen 3 tot 7 van artikel 3 ervan opsomt voor bepaalde categorieën van beroepen of instellingen waarvan de activiteit door de bepalingen van de wet zou kunnen worden geraakt, waarbij de erkende privédetectives van hun kant zijn onderworpen aan de verplichtingen die zijn vervat in artikel 9 van de wet, dat tot gevolg kan hebben dat hun activiteit gedeeltelijk onwerkzaam wordt?”

Het Grondwettelijk Hof realiseert zich dat het gaat om het juiste evenwicht tussen in het Handvest beschermde grondrechten en legt, alvorens de vraag te beantwoorden, de volgende drie vragen voor aan het HvJEU:

1. Dient artikel 13, lid 1, sub g, in fine, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus te worden geïnterpreteerd dat het de lidstaten vrij staat al dan niet in een uitzondering te voorzien op de in artikel 11, lid 1, bedoelde onmiddellijke informatieplicht, indien dit noodzakelijk is ter bescherming van de rechten en vrijheden van anderen of zijn de lidstaten ter zake aan beperkingen onderworpen?

2. Vallen de beroepsactiviteiten van privédetectives, die door het interne recht worden geregeld en worden uitgeoefend ten dienste van overheden die ertoe zijn gemachtigd elke inbreuk op de bepalingen tot bescherming van een beroepstitel en tot organisatie van een beroep aan te klagen bij de gerechtelijke overheden, naar gelang van de omstandigheden, onder de uitzondering bedoeld in artikel 13, lid 1, sub d en g, in fine, van de voormelde richtlijn?

3. Is, indien het antwoord op de tweede vraag ontkennend zou zijn, artikel 13, lid 1, sub d en g, in fine, van de voormelde richtlijn verenigbaar met artikel 6, lid 3, van het Verdrag betreffende de Europese Unie, meer bepaald met het beginsel van gelijkheid en niet-discriminatie?

HR 27 november 2012, LJN BY0215 (bewakingscamera)

Strafrechtzaak. Beroep op bewijsuitsluiting. Vordering OvJ tot het verstrekken van gegevens, art. 126nd Sv. De HR herhaalt toepasselijke overweging uit HR LJN BL7688. In ’s Hofs overwegingen ligt als diens niet onbegrijpelijke vaststelling besloten dat degene die verantwoordelijk is voor het gebruik van de onderhavige beelden van de bewakingscamera deze beelden eigener beweging en op vrijwillige basis aan de politie heeft verstrekt, althans dat die persoon niet door de politie is gevraagd om op vrijwillige basis deze beelden aan de politie te verstrekken. Het oordeel van het Hof dat in een zodanig geval geen vordering a.b.i. art. 126nd Sv is vereist, is juist. De HR overweegt nog het volgende. Het in de overwegingen van het Hof omschreven geval heeft klaarblijkelijk geen betrekking op verwerking van persoonsgegevens in de vorm van overdracht van zulke gegevens door het ene bestuursorgaan aan het andere. Daarom zou art. 8.(f) Wet bescherming persoonsgegevens (Wbp) geen grondslag kunnen vormen voor het ter beschikking van de opsporingsinstantie stellen van het desbetreffende beeldmateriaal. Voor dit ter beschikking van de opsporingsinstantie stellen van het d.m.v. beveiligingscamera’s verkregen beeldmateriaal zou degene die daartoe toegang heeft (de verantwoordelijke of bewerker in de zin van art. 1 (d/e) Wbp) onder omstandigheden wel een grondslag kunnen ontlenen aan het bepaalde in art. 43 jo. art. 9.1 Wbp.

3.1. Sinds de verklaringen van aangever [betrokkene 1] (19 april 2010) en de verklaring van verbalisant [verbalisant 1] (12 augustus 2010) bij de rechter-commissaris weten wij dat de gang van zaken rond de verkrijging van het beeldmateriaal van de bewakingscamera van de flat aan de [a-straat] niet conform de regels is verlopen. Hierdoor werd afbreuk gedaan aan het recht op een eerlijk proces, inzet van opsporingsmiddelen vergt een voldoende wettelijke basis, tevens werd zijn recht op privacy (art. 8 EVRM) geschonden, nu hij zijn bezoek aan personen in het flatgebouw niet (vrijwillig, zonder vordering van het OM) in de openbaarheid wenste te (doen) brengen.

3.7. Bewijsuitsluiting kan als op grond van art. 359a, eerste lid, Sv voorzien rechtsgevolg uitsluitend aan de orde komen indien door de onrechtmatige bewijsgaring een belangrijk (strafvorderlijk) voorschrift of rechtsbeginsel in aanzienlijke mate is geschonden. Wat dat laatste betreft geldt dat de omstandigheid dat, naar aan het verweer ten grondslag is gelegd, verdachtes 'privacy is geschonden' doordat aan de afgifte van de beelden niet een vordering als bedoeld in art. 126nd Sv is voorafgegaan, hetgeen de Hoge Raad verstaat als een beroep op schending van het in art. 8 EVRM gegarandeerde recht op eerbiediging van de persoonlijke levenssfeer, niet zonder meer een inbreuk oplevert op de in art. 6 EVRM vervatte waarborg van een eerlijk proces (vgl. HR 7 juli 2009, LJN BH8889, NJ 2009/399). Ook bij bewijsuitsluiting gaat het overigens om een bevoegdheid van de rechter, waarvan de uitoefening in de eerste plaats moet worden beoordeeld in het licht van de wettelijke beoordelingsfactoren van art. 359a, tweede lid, Sv en van de omstandigheden van het geval (vgl. HR 30 maart 2004, LJN AM2533, NJ 2004/376).

Op andere blogs:
DirkzwagerIEIT (Hoge Raad introduceert aanvullende grondslag verwerking persoonsgegevens)

Daniëlle van der Zande, A penny for your privacy. An analysis of the reimbursements in privacy infringement procedures, masterscriptie Law & Technology, Universiteit van Tilburg.

Een bijdrage van Daniëlle van der Zande, LinkedIn.

Artikel 49 Wbp (Wet Bescherming Persoonsgegevens) geeft een betrokkene de mogelijkheid om immateriële schade te claimen na een privacyschending. Met de invoering van de Europese privacyverordening (naar verwachting in 2015) blijft deze mogelijkheid bestaan in artikel 77. Tot nu toe blijkt het in de praktijk voor betrokkenen lastig om op grond van artikel 49 Wbp immateriële schade te bewijzen. Voor zover bekend is slechts één claim toegewezen. Met de invoering van de nieuwe privacyverordening komt het Europese Hof van Justitie de bevoegdheid toe om uitleg te geven aan immateriële schade. Hoewel het Hof van Justitie in het verleden een andere uitleg heeft gegeven aan het begrip schade dan onze nationale rechters, kan het voor een betrokkene problematisch blijven om immateriële schade te bewijzen. Hierdoor wordt de kans op een adequate vergoeding ontnomen. Een lidstaat is aansprakelijk indien geen effectief rechtsmiddel wordt geboden (artikel 13 EVRM). Het is daarom van belang dat een betrokkene de kans heeft om succesvol immateriële schade te claimen.

In haar scriptie stelt Daniëlle van der Zande een raamwerk voor waarmee immateriële schade kan worden berekend. Dit raamwerk kan worden geïmplementeerd in de privacyverordening. Hierdoor ontstaat binnen Europa een uniforme toepassing over de toekenning en berekening van immateriële schade na een schending van privacy. Bovendien voorkomt een lidstaat aansprakelijkheid onder artikel 13 EVRM.

Uit't persbericht: Mylex lanceert ‘CookieLaw’, een Europese mobiele applicatie voor iOS (iPhone) en Android. De app is gericht naar agencies, webontwikkelaars, webwinkels en bedrijfsjuristen. Voor de Nederlandse markt werd beroep gedaan op de juridische expertise van ICTRecht.nl.

De nieuwe cookiewetgeving is ondertussen al even in het land. De Europese wetgeving werd op 5 juni omgezet via de Telecommunicatiewet (Wet van 19 oktober 1998 houdende regels inzake de telecommunicatie). Verwarring alom bij webwinkels, digitale agencies, webbedrijven en bedrijfsjuristen. Hoe de ‘cookiewet’ precies moet worden toegepast, lijkt niemand echt goed te weten. En hoe springt de online consument om met de cookie-­‐ informatie?

‘Cookies’ zijn kleine tekstbestanden die lokaal worden opgeslagen op de computer van de bezoeker. Ze worden gebruikt voor tal van doeleinden: het onthouden van instellingen (zoals bijvoorbeeld een taalkeuze), het vergaren van informatie, en het bezoekgedrag van de consument bijhouden (tracking cookies). Minder tevreden over dergelijke cookies was de Europese Unie, die al in 2009 besliste dat ‘toestemming’ een cruciale factor moest worden in de privacybescherming van de consument.

Laat dat begrip ‘toestemming’ nu net het grote struikelblok vormen. De Europese e-­‐Privacy Directive – niet meteen het beste voorbeeld van een duidelijke juridische tekst – laat de invulling over aan de lidstaten zelf. En net precies die vrijheid leidt tot tal van praktische-­‐ en interpretatieproblemen, overal in Europa. Neelie Kroes, Eurocommissaris, zette al eerder vraagtekens bij dit fenomeen. In een interview stelt ze: "Mijn ideaal is natuurlijk dat we in alle 27 lidstaten dezelfde interpretatie hebben van een voorstel. Ik kan niet uitleggen aan buitenlandse, potentieel geïnteresseerden in Europa dat je in het ene land anders behandeld wordt dan in het andere land".

“Nochtans is dit vandaag weldegelijk het geval”, stelt Ellen Bruwiere, marketing manager bij mylex. “Bij de creatie van de applicatie zagen we grote verschillen tussen de Europese lidstaten, maar evengoed tal van subtiele afwijkingen in interpretatie. Die interpretatieverschillen mogen dan juridisch als subtiel worden uitgelegd, in de praktijk leveren ze voor cross-­‐border handel grote moeilijkheden op.”

‘CookieLaw’, de mobiele applicatie, gidst de gebruiker door de verschillende Europese lidstaten, en geeft zowel een snel overzicht weer (“Quick overview”), als telkens de volledige wettekst (“Legal text”). Ook officiële ‘Cookie Guidances’ en video’s werden opgenomen in de applicatie.

De applicatie is Engelstalig, en is duidelijk geschikt voor een Europees nichepubliek. Maar weet de consument het eigenlijk wel? Onderzoek bij Nederlandse consumenten, uitgevoerd door GFK Retail, toont aan dat 63% van de consumenten weet wat een cookie is (of denkt te weten), 56% voor wat een cookie dient en 47% weet hoe de cookies te verwijderen.

Minder goed nieuws bij ‘third party’-­‐cookies. Daar weet 61% (en 74% van de vrouwen tegenover 48% mannen) niet wat dit inhoudt. Op de vraag of ze het bezwaarlijk vinden dat er gegevens worden bewaard via cookies, antwoordt 82% volmondig ja. Afsluitend: 90% van de respondenten geeft aan geïnformeerd te willen worden over cookies die een website of webshop bezoekt (BRON: Consumentenonderzoek Cookies, uitgevoerd door GfK Retail in opdracht van IMNetworks, https://spijkermat.nl/wp-­‐ content/uploads/SPKRMT_IMNetworks_cookies.jpg). Werk aan de winkel dus.

Waarom dit bundelen in een mobiele applicatie? “Er zijn tal van voordelen verbonden aan een mobiele applicatie, versus de klassieke website”, vervolgt Bruwiere. Het belangrijkste argument, naast de onmiddellijke beschikbaarheid van de informatie en de interactiviteit die alleen een applicatie kan bieden, is echter de ‘push’-­‐functie. Gebruikers worden immers automatisch en real-­‐ time op de hoogte gehouden: lidstaten die de Europese wetgeving omzetten, een nieuwe interpretatie of cookie-­‐gids, of een wijziging van de huidige implementatiewijze. De applicatie kan onmiddellijk aangepast worden, middels een achterliggend CMS of content management system. Zo krijgt de gebruiker altijd de meest actuele stand, zonder dat hij hiervoor telkens een nieuwsbrief moet ontvangen, of een duur juridisch abonnement moet afsluiten”.

Voor de Nederlandse informatie werd beroep gedaan op de expertise van het bureau ICTRecht.nl, gespecialiseerd in internetrecht. Wouter Dammers voorzag zijn commentaar in de applicatie.

De applicatie is gratis, en te downloaden in de App Store (Apple) of Google Play (Android). De iPhone-­‐versie werd geoptimaliseerd voor iOS6 en iPhone 5. De versie voor Android-­‐toestellen wordt binnen enkele weken gefinaliseerd. Downloaden – of inschrijven voor de Android-­‐versie – kan via https://cookieapp.eu.

Uit't persbericht van het CBP: Het College bescherming persoonsgegevens (CBP) heeft contact opgenomen met het Openbaar Ministerie (OM) naar aanleiding van berichtgeving in de media over het op internet plaatsen van beelden van getuigen van een misdrijf. Het OM heeft aangegeven in beginsel geen beelden van getuigen meer te publiceren. De Aanwijzing Opsporingsberichtgeving bevat regels voor de opsporingsberichtgeving van het OM. Het gaat daarbij primair om het opsporen van verdachten. Het publiceren van beelden van (toevallige) getuigen raakt aan hun persoonlijke levenssfeer terwijl zij op het plaatsen van de beelden geen invloed hebben. De risico’s en nadelen van publicatie kunnen voor de getuige buitengewoon groot zijn. Dit dient zeer zwaar te wegen bij de zorgvuldige afweging die moet plaatsvinden tussen het algemeen (opsporings)belang en het belang van de getuige.

SOLV-blog: Politie stopt met plaatsen foto's getuigen

Opinion of the European Data Protection Supervisor on the Commission's Communication on "Unleashing the potential of Cloud Computing in Europe".

121. As described in the Communication, cloud computing offers many new opportunities to businesses, consumers, and the public sector for the management of data through the use of remote external IT resources. At the same time, it presents many challenges in particular as to the appropriate level of data protection offered to data processed therein.

122. The use of cloud computing services raises a major risk of seeing responsibility evaporating in relation to processing operations carried out by cloud service providers, if the criteria for applicability of EU data protection law are not sufficiently clear and if the role and the responsibility of cloud service providers are defined or understood too narrowly, or are not implemented effectively. The EDPS emphasizes that the use of cloud computing services cannot justify a lowering of data protection standards as compared to those applicable to conventional data processing operations.

123. In this respect, the proposed Data Protection Regulation, as it has been put forward, would provide many clarifications and tools that would help ensure that a satisfactory level of data protection is complied with by cloud service providers offering their services to clients based in Europe, in particular:

- Article 3 would clarify the territorial scope of the EU data protection rules and broaden its scope so that cloud computing services would be covered;
- Article 4(5) would introduce a new element of controllership, that is "conditions". This would be in line with the developing trend according to which, in view of the technical IT complexity underlying the provision of cloud computing services, it is necessary to expand the circumstances in which a cloud service provider may be qualified as the controller. This would better reflect the real level of influence on the processing operations;
- the proposed Regulation would increase the responsibility and accountability of data controllers and processors, by introducing specific obligations such as data protection by design and by default (Article 23), data security breach notifications (Articles 31 and 32), and data protection impact assessments (Article 33). Furthermore, it would require controllers and processors to implement mechanisms to demonstrate the effectiveness of the data protection measures implemented (Article 22);
- Articles 42 and 43 of the proposed Regulation would allow a more flexible use of international data transfer mechanisms, to help cloud clients and cloud service providers adduce appropriate data protection safeguards for the
transfers of personal data to data centres or servers located in third countries;
- Articles 30, 31 and 32 of the proposed Regulation would clarify the obligations of controllers and processors regarding the security of processing and information requirements in case of data breaches, laying the basis for a comprehensive and cooperative approach to the management of security between the different actors in a cloud environment;
- Articles 55 to 63 of the proposed Regulation would reinforce cooperation of supervisory authorities and their coordinated supervision over cross-border processing operations, which is particular crucial in an environment such as cloud computing.

124. The EDPS nonetheless suggests that, after having taken into account the specificities of cloud computing services, further clarifications be made in the proposed Regulation on the following aspects:
- as concerns the territorial scope of the proposed Regulation, to amend Article 3(2)(a) to read "the offering of goods or services involving processing of personal data of such data subjects in the Union", or alternatively to add a new recital specifying that the processing of personal data of data subjects in the Union by non-EU based controllers offering services to EU based legal persons also falls within the territorial scope of the proposed Regulation;
- to add a clear definition of the notion of 'transfer', as stated in his Opinion on the Data Protection Reform package;
- to add a specific provision to clarify the conditions under which access to data stored in cloud computing services by non-EEA countries law enforcement bodies could be allowed. Such provision may also include the obligation for
the recipient of the request to inform and consult the competent supervisory authority in the EU in specific cases.

125. The EDPS also underlines that further guidance will be necessary from the Commission and/or from supervisory authorities (in particular through the future European Data Protection Board) on the following aspects:
- to clarify which mechanisms should be put in place to ensure verification of the effectiveness of the data protection measures in practice;
- to assist processors with the use of BCRs and how they can comply with applicable requirements;
- to provide best practices on issues such as controller/processor's responsibility, the appropriate retention of data in the cloud environment, data portability, and the exercise of data subjects' rights.

126. Furthermore, the EDPS acknowledges that codes of conduct drawn up by the industry and approved by the relevant supervisory authorities could be a useful tool to enhance compliance as well as trust among the various players.

127. The EDPS supports the development by the Commission, in consultation with supervisory authorities, of standard contractual terms for the provision of cloud computing services that respect data protection requirements, in particular:
- to develop model contractual terms and conditions to be included in the commercial terms of cloud computing service offerings;
- to develop common procurement terms and requirements for the public sector, taking into account the sensitivity of the data processed;
- to further tailor international data transfer mechanisms to the cloud computing environment, in particular by updating the current standard contractual clauses and by putting forward standard contractual clauses for the transfer of data from processors based in the EU to processors located outside the EU.

128. The EDPS underlines that appropriate consideration must be given to data protection requirements in the development of standards and certification schemes, in particular:
- to apply the principles of privacy by design and privacy by default in the development of the standards;
- to integrate data protection requirements such as purpose limitation and storage limitation in the standards' design;
- the obligations of providers to provide their clients with the information necessary to perform a valid risk assessment and the security measures they implemented, as well as alerts about security incidents.

129. Finally, the EDPS stresses the need to address the challenges raised by cloud computing at an international level. He encourages the Commission to engage in an international dialogue on the issues raised by cloud computing, including jurisdiction and access by law enforcement, and suggests that many of these issues could be addressed in different international or bilateral agreements, such as Mutual Assistance Agreements and also trade agreements. Global standards should be developed at international level to set forth minimum conditions and principles regarding the access to data by law enforcement bodies. He also supports the development by the supervisory authorities of effective international cooperation mechanisms, in particular as relates to cloud computing issues.