Privacy  

Rechtbank Utrecht 20 juli 2011, LJN BR2611 (eiser tegen Nieuw Apostolische Kerk in Nederland)

De voorzieningenrechter veroordeelt een kerkgenootschap tot rectificatie van eerder op de website van het kerkgenootschap gedane uitingen jegens eiser. De voorzieningenrechter is van oordeel dat NAK door zonder toestemming van eiser informatie over zijn persoon op haar website te plaatsen in strijd heeft gehandeld met artikel 8 Wbp en daarmee onrechtmatig jegens eiser heeft gehandeld. Dit betekent dat NAK zal worden veroordeeld om de verklaring van haar website te verwijderen. De door eiser gevorderde rectificatie tekst kan echter niet worden toegewezen. Deze suggereert immers dat de verklaring van NAK inhoudelijk onjuist is, hetgeen in het kader van dit kort geding niet is en kan worden vastgesteld

Op de website van gedaagde stond, o.m.:
 ... De werkwijze van de heer [eiser] was niet open en transparant, waardoor het vertrouwen van de kerk in de samenwerking met hem afnam. Hij probeerde zich in zijn werk aan controle door de kerkleiding te ontrekken.
De relatie tussen de heer [eiser] en de kerkleiding verslechterde in de eerste helft van 2009 steeds meer, hetgeen in juni 2009 tot een breuk in de samenwerking leidde. In september 2009 werd de heer [eiser] door de kerk ontslagen.

4.11.  De voorzieningenrechter is op grond van het voorgaande van oordeel dat NAK door zonder toestemming van [eiser] informatie over zijn persoon op haar website te plaatsen in strijd heeft gehandeld met artikel 8 Wbp en daarmee onrechtmatig jegens [eiser] heeft gehandeld. Dit betekent dat NAK zal worden veroordeeld om de verklaring van haar website te verwijderen. De door [eiser] gevorderde rectificatie kan echter niet worden toegewezen. Deze suggereert immers dat de verklaring van NAK inhoudelijk onjuist is, hetgeen in het kader van dit kort geding niet is en kan worden vastgesteld. NAK zal daarom worden veroordeeld om na te melden verklaring op de homepage van haar website te plaatsen gedurende een periode van 4 na betekening van dit vonnis. De gevorderde dwangsom zal eveneens worden toegewezen met dien verstande dat deze wordt gematigd tot € 1.000,- per dag met een maximum van € 50.000,-.
De te plaatsen rectificatie luidt als volgt:
“Bij vonnis in kort geding van 20 juli 2011 is de Nieuw Apostolische Kerk in Nederland veroordeeld om de eerdere verklaring met betrekking tot de voormalig medewerker bouwafdeling van haar site te verwijderen omdat zij hiermee in strijd met artikel 8 Wet bescherming persoonsgegevens en daarmee onrechtmatig heeft gehandeld.
De kerkleiding”

Hoge Raad 5 juli 2011, LJN BQ2009 (ruchtbaarheid op Hyves)

Verdachte heeft cassatie ingesteld. Hof heeft overwogen dat er sprake is van opzettelijk eer en goede naam aanranden door ruchtbaarheid te geven aan bepaald feit door het plaatsen van tekst op Hyves. Tekst is hierdoor ter kennis gebracht aan breder publiek en heeft daardoor geen vertrouwelijk karakter. HR verwerpt beroep, meent dat oordeel Hof niet getuigt van onjuiste opvatting omtrent 261 Sr.

2.5. Het Hof heeft vastgesteld dat de verdachte op haar Hyves-pagina zichtbaar voor 20 à 25 andere personen de tekst heeft geplaatst "ik moet mijn kind meegeven aan een pedo", waarmee zij haar ex-partner bedoelde. Uitgaande van de maatstaf als hiervoor onder 2.4.2 weergegeven, heeft het Hof geoordeeld dat de verdachte aldus haar ex-partner opzettelijk in zijn eer en goede naam heeft aangerand door telastlegging van een bepaald feit met het kennelijke doel om daaraan ruchtbaarheid te geven. Daarbij heeft het Hof in aanmerking genomen dat de in de bewezenverklaring genoemde uitlating niet te vergelijken is met informatie die in de beslotenheid van de huiskamer aan een beperkte kring geadresseerden wordt toevertrouwd en dat het in het onderhavige geval, waarin de tekst op de Hyves-pagina van de verdachte zichtbaar was voor personen die kennelijk naar eigen inzicht en zonder enige restrictie over de uitlating konden beschikken, voor de verdachte voorzienbaar en op voorhand feitelijk te verwachten was dat de geplaatste tekst verder zou worden verspreid. Het oordeel van het Hof getuigt niet van een onjuiste opvatting omtrent art. 261 Sr, terwijl het evenmin onbegrijpelijk is. Het middel faalt.

Lees het gehele arrest hier (link / pdf)

Toestemming van degene wiens gegevens worden verwerkt, is een kernbegrip bij de bescherming van persoonsgegevens. Maar wanneer is toestemming vereist? En aan welke voorwaarden moet toestemming voldoen om geldig te zijn? Dat is niet altijd duidelijk. Tegelijkertijd is het belang van toestemming evident. De verwerking van persoonsgegevens speelt immers een prominente rol in de huidige samenleving – zowel in de digitale als in de ‘normale’ wereld. Daarom hebben de Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep, in een gezamenlijke opinie de criteria voor toestemming in het huidige juridische kader uitgelegd en doen zij verschillende aanbevelingen voor de toekomst.

Een paar van de conclusies (blz. 34 e.v.):

"Individuals who have consented should be able to withdraw their consent, preventing further processing of their data."

"Consent must be specific. Blanket consent without determination of the exact purposes does not meet the threshold. Rather than inserting the information in the general conditions of the contract, this calls for the use of specific consent clauses, separated from the general terms and conditions."

"Consent must be informed. [...] The use of overly complicated legal or technical jargon would not meet the requirements of the law. Second, the information provided to users should be clear and sufficiently conspicuous so that users cannot overlook it. The information must be provided directly to individuals. It is not enough for it to be merely available somewhere."

"express consent cannot be obtained by the presence of a pre-ticked box."

U vindt de opinie hier (pdf) of hier (link).

Zie het oorspronkelijke bericht op de site van het College bescherming persoonsgegevens hier.

Digitale agenda: de Commissie houdt een raadpleging over praktische regels voor het melden van inbreuken op persoonsgegevens. 

Consultatie door de Europese Commissie in verband met datalekken. Vicevoorzitter van de Commissie voor de Digitale Agenda Neelie Kroes zei hierover: "De verplichting om beveiligingsinbreuken te melden is een belangrijk onderdeel van de nieuwe EU-telecomregels. Wij moeten echter in heel de EU consequent zijn zodat bedrijven niet te maken krijgen met een ingewikkelde reeks van onderling afwijkende nationale regelingen. Ik wil ervoor zorgen dat overal gelijke voorwaarden gelden, die de consumenten zekerheid geven en de ondernemingen praktische oplossingen bieden."

Het persbericht:

Digitale agenda: de Commissie houdt een raadpleging over praktische regels voor het melden van inbreuken op persoonsgegevens

Brussel, 14 juli 2011 – De Europese Commissie vraagt telecomexploitanten, aanbieders van internetdiensten, lidstaten, nationale toezichthouders voor gegevensbescherming, consumentenorganisaties en andere belanghebbenden of aanvullende praktische regels nodig zijn om ervoor te zorgen dat inbreuken op de beveiliging van persoonsgegevens overal in de EU consequent worden gemeld. Volgens de herziene ePrivacy-richtlijn (2009/136/EG), die op 25 mei 2011 in werking is getreden als onderdeel van een pakket nieuwe Europese telecomregels, zijn exploitanten en internetaanbieders verplicht de nationale autoriteiten en hun klanten onverwijld op de hoogte te brengen van inbreuken op de beveiliging van gegevens die zij bezitten (zie IP/11/622 en MEMO/11/320). De Commissie wil op basis van de bestaande praktijk en de aanvankelijke ervaring met de nieuwe telecomregels meningen en ideeën verzamelen en kan dan aanvullende praktische regels voorstellen om te verduidelijken wanneer deze inbreuken moeten worden gemeld en welke procedures en formaten daarbij moeten worden gebruikt. Bijdragen voor de raadpleging worden ingewacht tot 9 september 2011.

Vicevoorzitter van de Commissie voor de Digitale Agenda Neelie Kroes zei hierover: "De verplichting om beveiligingsinbreuken te melden is een belangrijk onderdeel van de nieuwe EU-telecomregels. Wij moeten echter in heel de EU consequent zijn zodat bedrijven niet te maken krijgen met een ingewikkelde reeks van onderling afwijkende nationale regelingen. Ik wil ervoor zorgen dat overal gelijke voorwaarden gelden, die de consumenten zekerheid geven en de ondernemingen praktische oplossingen bieden."

In de raadpleging wordt gevraagd naar input over de volgende specifieke onderwerpen:

• Omstandigheden: de manier waarop organisaties de nieuwe verplichting van de telecomregels naleven of hoe zij van plan zijn dit te doen; het soort inbreuken dat moet leiden tot toepassing van de verplichte kennisgeving aan de abonnee of de persoon en voorbeelden van beschermingsmaatregelen die gegevens onbegrijpelijk kunnen maken

• Procedures: de deadline voor de kennisgeving, de wijze van kennisgeving en de procedure voor een individueel geval

• Formaten: de inhoud van de kennisgeving aan de nationale autoriteit en aan de persoon, bestaande standaardformaten en de haalbaarheid van een Europees standaardformaat.

Daarnaast wil de Commissie meer vernemen over grensoverschrijdende inbreuken en de naleving van andere Europese verplichtingen met betrekking tot beveiligingsinbreuken.

Achtergrond

Telecomexploitanten en internetdienstenaanbieders bezitten een reeks gegevens over hun klanten, zoals naam, adres en bankgegevens, alsook informatie over telefoonnummers en bezochte websites. Volgens de ePrivacy-richtlijn zijn telecomexploitanten en internetdienstenaanbieders verplicht deze gegevens vertrouwelijk en veilig te bewaren. Het gebeurt echter dat gegevens gestolen worden of dat personen op ongeoorloofde wijze toegang daartoe verkrijgen. Dergelijke gevallen zijn bekend als 'inbreuken op persoonsgegevens'. Wanneer een inbreuk op persoonsgegevens plaatsvindt, vereist de herziene ePrivacy-richtlijn (2009/136/EC) dat de aanbieder dit meldt aan een specifieke nationale autoriteit, gewoonlijk de nationale autoriteit voor gegevensbescherming of de telecomtoezichthouder. Zo moet de aanbieder de betrokken persoon rechtstreeks op de hoogte brengen.

Om te zorgen voor consistente uitvoering van de regels inzake inbreuken op persoonsgegevens in alle lidstaten kan de Commissie volgens de ePrivacy-richtlijn 'technische uitvoeringsmaatregelen' nemen – dit zijn praktische regels ter aanvulling van de bestaande wetgeving – over de omstandigheden, het formaat en de procedures voor de kennisgeving.

Volgende stappen

Als de Commissie op basis van de ontvangen bijdragen besluit technische uitvoeringsmaatregelen vast te stellen, moet zij het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA), de Groep gegevensbescherming artikel 29 en de Europese Toezichthouder voor gegevensbescherming (EDPS) raadplegen. Toezichthouders voor elektronische communicatie worden ook geraadpleegd omdat zij in sommige lidstaten de bevoegde autoriteit voor inbreuken op persoonsgegevens zijn.

In dat geval nemen de technische uitvoeringsmaatregelen de vorm aan van een besluit van de Commissie dat in de 'regelgevende comitologieprocedure' wordt vastgesteld. Volgens deze procedure moeten lidstaten de voorstellen van de Commissie eerst goedkeuren in het comité voor communicatie (COCOM). Het Europees Parlement heeft daarna drie maanden om de maatregelen te toetsen voordat zij in werking treden.

Deze raadpleging staat los van de stappen die ondernomen worden (zie IP/10/1462 en MEMO/10/542) om de algemene gegevensbeschermingsrichtlijn (95/46/EG) te herzien.

Meer informatie

Het document voor de raadpleging is beschikbaar op:

https://ec.europa.eu/information_society/policy/ecomm/library/public_consult/data_breach/index_en.htm

Website van de Digitale agenda: https://ec.europa.eu/digital-agenda

Website van Neelie Kroes: https://ec.europa.eu/commission_2010-2014/kroes/

Gerechtshof Arnhem 24 mei 2011 (Nova Dia), LJN BR1260.

Wet bescherming persoonsgegevens. Geschil tussen detacheringsbureau Nova Dia en gedetacheerde over geschreven uren. Een urenschrijver wordt achteraf geconfronteerd met gegevens uit de aanwezigheidsregistratie van de onderneming waar hij was gedetacheerd (ASR). Zonder dat hij het wist is door middel van zijn werknemerspas precies bijgehouden hoe laat hij aankwam en vertrok. In 4 jaar tijd zou 450 uur meer gedeclareerd zijn dan hij aanwezig was. Gedetacheerde beroept zich erop dat de registratie van zijn aankomst- en vertrektijden strijdig is met de Wbp. Volgens hem is gebruik van deze gegevens onrechtmatig. Het hof oordeelt dat van onrechtmatig bewijs geen sprake is en waarheidsvinding prevaleert.

Het hof overweegt:

"3.6 Het hof oordeelt dat – ook indien het er voor zou moeten worden gehouden dat het door ASR registreren van de aankomst- en vertrektijden van haar werknemers, waaronder [appellant], in strijd is met de Wbp en/of de WOR en dat ASR daarmee onrechtmatig jegens [appellant] heeft gehandeld– zulks nog niet betekent dat Nova Dia onrechtmatig jegens [appellant] heeft gehandeld door de betreffende gegevens in de onderhavige procedure aan haar vordering ten grondslag te leggen. Uitgangspunt is immers dat het gebruik in een civiele procedure van door een ander op onrechtmatige wijze verkregen bewijs niet per definitie onrechtmatig is en zou moeten worden uitgesloten, maar slechts indien daartoe bijzondere omstandigheden aanwezig zijn in het kader van een afweging van de betrokken belangen in het concrete geval. Dergelijke bijzondere omstandigheden zijn door [appellant] niet (voldoende) gesteld dan wel anderszins gebleken. Gelet hierop kan niet worden geoordeeld dat het belang van [appellant] om verschoond te blijven van het gebruik door Nova Dia van het door ASR (veronderstellenderwijs) onrechtmatig verkregen bewijs dient te prevaleren boven het zwaarwegende belangvan Nova Dia bij de waarheidsvinding in de onderhavige procedure. Grief 3 stuit hierop af."

Lees het arrest hier.

L. de Gier en J. Kuhlmann, ‘Vrijheidsbeeld op het Rode Plein’, in Automatiseringsgids 11 februari 2011, p. 12-13.

^{I-Stock / edited by Automatisering Gids, february 2011}Met dank aan Louise de Gier en Joost Kuhlmann,

Een BP-logo verandert in een lekkend olievat, het Vrijheidsbeeld op het Rode Plein, het kenteken van een auto onthult direct of de eigenaar lid is van een criminele organisatie. Dat is allemaal mogelijk met augmented-realitytoepassingen. Maar wat zijn de juridische gevolgen van AR?
 
Iedereen herinnert zich de rel die de zogenaamde Bavaria-babes bij het laatste wereldkampioenschap voetbal veroorzaakten. Hoofdsponsor Budweiser van de FIFA kon weer rustig ademhalen nadat de dames het stadion waren uitgezet. Maar wat als de dames en de Bavaria-jurkjes virtueel weer tevoorschijn zouden komen, als men simpelweg een telefoon met camera op de tribune had gericht? Met een augmentedrealitytoepassing (‘AR’) en een smartphone met camera is een dergelijke situatie niet ondenkbaar. AR voegt virtuele informatie toe aan de werkelijkheid. Dergelijke toepassingen hebben grote invloed op de rechten van personen en hebben vele juridische consequenties.
 
Louise de Gier en Joost Kuhlmann bespreken, in een artikel dat werd gepubliceerd in de Automatiseringsgids, onder meer het merkenrecht, het auteursrecht, het privacy- en het internationaal privaatrecht, lees verder hier.

Antwoord Kamervragen Verhoeven over omgang van de Kamer van Koophandel (KvK) met persoonsgegevens Aanhangsel Handelingen II 2010/11, nr. 2951.

Verkoop van contactgegevens door KvK zorgt voor ongevraagde reclamezendingen. De minister antwoord dat men kan opteren voor Non Mailing. Van de nieuwe inschrijvingen kiest 40% daar ook voor. Rond de zomer verwacht de Minister "een meer principiële afweging [te] maken in de openbaarheid, beschikbaarheid en het mogen gebruiken van de gegevens in het handelsregister."

3 Bent u bekend met het feit dat deze verkoop van contactgegevens leidt tot veel ongevraagde reclamezendingen.

Antwoord Iedere onderneming of rechtspersoon die is ingeschreven in het handelsregister kan bij de KvK opteren voor de zogeheten Non Mailing Indicator (NMI). De NMI houdt in dat het de directe of indirecte afnemer van adresgegevens (in bulk) niet is toegestaan reclame-uitingen (per post) toe te zenden aan de betreffende onderneming of rechtspersoon. Bij evidente aanwijzingen dat ongewenste mailing zijn oorsprong vindt in door de KvK verstrekte adressen bestaat de mogelijkheid via klachtenprocedure de KvK daarop opmerkzaam te maken. De KvK beziet vervolgens of binnen de gegeven wettelijke kaders overgegaan kan worden tot het staken van de levering. Voor mailings die langs elektronische weg worden toegezonden, geldt op grond van de Telecomwet het beginsel van opting in.De KvK wijzen sinds medio 2009 bij iedere nieuwe inschrijving op de NMI; inmiddels kiest bij nieuwe inschrijvingen 40% van betrokkenen voor de NMI. Ook reeds bestaande inschrijvingen zijn enkele malen door middel van de Kamerkrant erop geattendeerd. Het is dus aan ingeschrevenen zelf of zij reclame-uitingen (per post) wensen te ontvangen die gebaseerd zijn op levering van adresgegevens door de KvK. Dit sluit uiteraard niet uit dat er ook andere wegen zijn om adressen van ondernemingen of andere organisaties te weten te komen. Correcte naleving van de NMI vormt dus geen absolute garantie tegen het ongewenst ontvangen van reclamezendingen.

4 Wat vindt u van het idee om over te schakelen op opt-out in plaats van opt-in, dat wil zeggen de ‘non mailing indicator’ standaard uitzetten in plaats van standaard op aan? 
5. Denkt u ook dat dit veel meer zou passen voor een publieke organisatie?

Antwoord 4 en 5 De Non Mailing Indicator is in de huidige vorm gebaseerd op het opting out beginsel. Ik begrijp deze vragen daarom aldus dat wordt voorgesteld, in plaats van opting out, over te schakelen op opting in. In de beantwoording van bovengenoemde eerdere vragen (in het bijzonder vraag 5 daarvan) is ingegaan op de overwegingen om het stelsel van opting out te behouden. Ik merk daarbij op dat het gebruik van door de KvK geleverde adresgegevens voor het toezenden van commerciële mailings niet los kan worden gezien van andere toepassingen van dat adressenmateriaal. Ik doel daarbij op andere commerciële toepassingen zoals opname in elektronische telefoonboeken, en op gebruik uit hoofde van de rechtszekerheidsfunctie van het handelsregister. Daarom wil ik op korte termijn een meer principiële afweging maken in de openbaarheid, beschikbaarheid en het mogen gebruiken van de gegevens in het handelsregister. Ik verwacht die afweging rond de zomer bij brief aan uw Kamer te kunnen voorleggen.

Antwoord vragen Van der Steur over het CBP besluit over verzamelen van privégegevens door Google, Aanhangsel Handelingen II 2010-11, nr. 2707

2. Bent u het eens met het besluit van het CBP dat de per abuis verzamelde privégegevens (de zogenaamde “payload data) door Google moeten worden vernietigd? Zo nee, waarom niet?

Antwoord: Het College bescherming persoonsgegevens (hierna: Cbp) is een onafhankelijke toezichthouder, belast met het toezicht op de naleving en de handhaving van de Wet bescherming persoonsgegevens (hierna: Wbp). Het past mij niet om uitspraken te doen over een besluit van het Cbp in een individuele casus. Ingevolge de Algemene wet bestuursrecht kan een belanghebbende een rechtsmiddel instellen tegen een besluit van het Cbp. Het is uiteindelijk aan de rechter om te beslissen of het Cbp zijn handhavende bevoegdheden terecht heeft ingezet.

3. Bent u van mening dat het verzamelen van openbare gegevens van Wifi netwerken voor consumenten en bedrijven meerwaarde heeft?

Antwoord. Uit het dwangsombesluit van het Cbp leid ik af dat het Cbp niet ontkent dat Google een gerechtvaardigd belang kan hebben voor het verzamelen van  MAC-adressen in combinatie met de berekende locatie ten behoeve van haar geolocatiedienstverlening. Het Cbp oordeelt dat Google niet heeft voorzien in waarborgen voor een zorgvuldig gebruik van geolocatiegegevens.

Hof Amsterdam 15 februari 2011, LJN BQ4006 (appelant tegen Nationale Postcode Loterij)

Met dank aan Herwin Roerdink, Van Doorne.

In navolging van IT 155. Verwijdering persoonsgegevens. Appelant verzocht verwijdering uit alle bestanden van de Nationale Postcode Loterij (NPL), waaronder het door de NPL aangehouden post-/mailweigeraarsbestand. Dit verzoek werd door de Rechtbank Amsterdam afgewezen. In hoger beroep bekrachtigt het hof deze beschikking. Immer om uitvoering te geven aan recht van verzet, is NPL verplicht een weigeraarsbestand aan te houden om te voorkomen dat de betrokkene (weer) wordt benaderd voor commerciële doeleinden, geen bestand zoals art. 41  Wbp.

3.4 In hoger beroep beperkt [appellant] zijn verzoek tot het mailweigeraarsbestand van NPL. Het beroep richt zich in de kern tegen het oordeel van de rechtbank dat het recht van verzet als bedoeld in artikel 41 Wbp zich niet uitstrekt tot het postweigeraarsbestand van NPL omdat dit geen commercieel doel dient. Volgens [appellant] dient het aanhouden van een weigeraarsbestand wel een commercieel doel omdat dit een instrument is waarmee het aanschrijven van non-respondenten, zijnde een verliespost, voorkomen wordt. Voorts heeft [appellant] tijdens de mondelinge behandeling aangevoerd dat gelet op de woorden “in verband met” in de tekst van artikel 41 Wbp (“Indien gegevens worden verwerkt in verband met…” ) een weigeraarsbestand hieronder valt.
Subsidiair doet [appellant] een beroep op de overige artikelen van de Wbp, meer in het bijzonder op artikel 35 juncto 36 Wbp.

3.5 Het hof oordeelt als volgt.
Artikel 41 Wbp is een uitvloeisel van de keuze van de wetgever voor een systeem waarbij degene wiens gegevens worden verwerkt met het oog op werving voor commerciële doeleinden hiertegen bezwaar kan maken. Om uitvoering te kunnen geven aan dit recht van verzet is de verantwoordelijke, zoals NPL, verplicht om een weigeraarsbestand aan te houden om te voorkomen dat de betrokkene, zoals [appellant], (weer) wordt benaderd voor commerciële doeleinden. Naar ’s hofs oordeel legt NPL conform haar wettelijke plicht terecht een weigeraarsbestand aan. Indien, zoals [appellant] betoogt, het aanhouden van een weigeraarsbestand een commercieel doel zou dienen en daartegen dus de mogelijkheid van verzet zou openstaan, zou daarmee de nakoming door NPL van haar wettelijke plicht illusoir worden. Het weigeraarsbestand kan daarom niet worden aangemerkt als een bestand als bedoeld in artikel 41 Wbp.
Ook overigens ziet het hof in de tekst van artikel 41 Wbp geen aanknopingspunten voor de door [appellant] voorgestane uitleg.

3.6 Een beroep op artikel 36 Wbp kan evenmin slagen. Dit artikel heeft betrekking op vermelding van onjuiste persoonsgegevens. Niet gesteld of gebleken is dat daarvan in dit geval sprake is. Voor zover [appellant] een beroep doet op schending door NPL van enig ander artikel uit de Wbp, faalt dit beroep bij gebreke van enige feitelijke onderbouwing.

Lees de uitspraak hier (link / pdf)

Met dank aan Mark Jansen, Dirkzwager advocaten & notarissen (zie eerder hier).

Op verzoek van de Deense gemeente Odense heeft de Deense privacytoezichthouder geoordeeld over de vraag of het gebruik van Google Apps te verenigen is met het privacyrecht. De toezichthouder concludeert dat dit niet het geval is.

De gemeente Odense wilde haar leraren gebruik laten maken van Google Apps (de verzameling van Google producten, zoals Google Docs, Google Maps, etc.) voor onder meer het registreren van lesroosters, het toetsen van leerontwikkeling van leerlingen en het communiceren met andere leraren, leerlingen en hun ouders. Hiervoor vraagt ze advies aan de Deense privacytoezichthouder: Datatilsynet.

Het oordeel van de Deense toezichthouder is interessant, omdat de Deense privacywet, net als de Nederlandse privacywetgeving, voorkomt uit dezelfde EU privacyrichtlijn. Het zou dus heel goed kunnen dat het Nederlandse College Bescherming Persoonsgegevens soortgelijk over een dergelijke kwestie oordeelt.

Datatisynet concludeert dat de privacybescherming bij gebruik van de cloud computing oplossing Google Apps onvoldoende gewaarborgd is. Meer specifiek signaleert zij de volgende vijf aandachtspunten:

1. Export van data buiten de EER;
2. Het ontbreken van een goede risico-inventarisatie;
3. Eisen die worden gesteld aan de bewerkersovereenkomst;
4. Eisen rond het verwijderen van data;
5. Overige eisen die het privacyrecht stelt.

Deze zal ik hierna kort behandelen.

1. . Export van data buiten de EER

Persoonsgegevens mogen in beginsel niet naar buiten de EER (Europese Economische Ruimte) worden geexporteerd, tenzij er sprake is van export naar een land dat een voldoende passend beschermingsniveau heeft. Datatisynet concludeert dat niet alle datacentra van Google in landen in de EER of in landen met zo’n passend beschermingsniveau staan.

The transmission of data to data centres located in other insecure third countries than the USA, may only occur if the conditions in Section 27(3) or Section 27(4) of the Act on Processing of Personal Data are met. It has not been stated whether all of Google Inc.’s data centres in Europe are located within the EU/EEA.

Based on the information presented, it must be assumed that there is not the necessary compliance with Section 27(3) to transfer data to such data centres.

Dat betekent dat deze data-export alleen is toegestaan onder specifieke nadere voorwaarden. Er moet een modelovereenkomst worden gesloten en er moet toestemming worden gevraagd aan de toezichthouder. Dergelijke voorwaarden gelden naar Nederlands recht ook.

If data centres in Europe – but outside of the EU/EEA – are to be used, Odense Municipality and the individual data centres may enter into an agreement based on the EU Commission’s standard contractual clauses, or Odense Municipality may grant Google Ireland Limited a clear mandate to enter into agreements, in Odense Municipality’s name and on behalf of Odense Municipality, based on the EU Commission’s standard contractual clauses with the individual data centres. In addition, it would be necessary to apply for authorisation from the Danish Data Protection Agency pursuant to Section 27(4) of the Act on Processing of Personal Data.

2.  Het ontbreken van een goede risico-inventarisatie

Naar Deens recht is het kennelijk zo dat een verantwoordelijke een inventarisatie moet maken van de veiligheidsrisico’s wanneer persoonsgegevens worden geexporteerd. Volgens Datatisynet voldoet de inventarisatie die de gemeente gemaakt heeft niet aan de eisen die de toezichthouder daar aan stelt.

Een dergelijke verplichting staat niet zo letterlijk in de Nederlandse wet, maar een verantwoordelijke is wel in het algemeen verplicht om passende beveiligingsmaatregelen te nemen die er onder meer toe bijdragen dat persoonsgegevens overeenkomstig de wet worden verwerkt (artikel 13 WBP). Dat zal in de praktijk al snel betekenen dat er ter zake een beleid moet worden geformuleerd. Uit het jaarverslag van het CBP, waar wij recent al over hebben geschreven, blijkt dat het CBP het ontbreken van dergelijk beleid al kwalificeert als een schending van de WBP.

3. Eisen die worden gesteld aan de bewerkersovereenkomst

Wanneer de verwerking van persoonsgegevens wordt uitbesteed – zoals bij de cloud – dan moet hiervoor een overeenkomst tussen de verantwoordelijke (de uitbestedene partij) en de bewerker (de uitvoerende partij) worden gesloten. Dat is naar Nederlands recht zo en dat is, kennelijk, naar Deens recht niet anders.

De bewerker moet zich daarbij richten naar de instructies van de verantwoordelijke. Volgens Datatisynet is die instructieverhouding bij Google Apps onvoldoende gewaarborgd:

If the general requirements cited by Odense Municipality are to solely comprise the processor agreement, this requirement would be described as follows: “Customer … instructs Google to provide the Services and process End User personal data in accordance with the Google Privacy Policies and Google agrees to do the same.” (cf. section 1.4 of “Google Apps General Terms”).

In the view of the Danish Data Protection Agency, this solely obliges Google Ireland Limited to process the personal data in accordance with Google Inc.’s own Privacy Policy. Thus, Odense Municipality solely instructs Google Ireland Limited to process data in accordance with the Google Inc. group’s own guidelines. The Danish Data Protection Agency finds that such instructions must be deemed devoid of content, in purely material terms.

Bovendien is de toezichthouder kritisch over het feit dat Google de betreffende voorwaarden eenzijdig kan wijzigen:

In addition, it does not appear to be out of question that Google Ireland Limited can unilaterally change the agreement terms in the company’s general terms and conditions, nor is there anything in the processor agreement that prevents Google Inc. from unilaterally changing the company’s Privacy Policy. On this basis, the Danish Data Protection Agency’s view is that Odense Municipality, in reality, has no control of how the data will be processed. The agency therefore assumes that Google Ireland Limited – and Google Inc. – decide how the data will be processed.

Naar mijn inschatting zal de Nederlandse privacytoezichthouder hier niet anders over oordelen.

4. Eisen rond het verwijderen van data

De Deense privacywetgeving bepaalt kennelijk dat gegevensdragers die worden weggegooid en die nog persoonsgegevens bevatten, zodanig moeten worden vernietigd dat die persoonsgegevens niet langer leesbaar zijn. Datatisynet concludeert dat het niet kan verifieren of Google aan deze eis voldoet:

The Danish Data Protection Agency’s view is that, based on the information provided in this case, it is impossible to assess whether the deletion of data media at Google Ireland Limited’s and Google Inc.’s data centres is adequate. Further, the Danish Data Protection Agency finds it to be unclear whether the data are deleted in such a way that they cannot possibly be recreated from Google’s servers. On this basis, the agency finds it difficult to deem the requirements for deletion in Section 9 of Executive Order on Security and Section 5 of the Act on Processing of Personal Data as being met.

Opnieuw geldt dat een dergelijke vernietigingsplicht niet zo letterlijk in de Nederlandse wet staat, maar dat analoge toepassing hiervan goed denkbaar is. Naar Nederlands recht zijn personen die persoonsgegevens verwerken verplicht tot geheimhouding daarvan (artikel 12 lid 2 WBP) en het opzettelijk schenden hiervan vormt een misdrijf (272 Sr). Van opzet is volgens de wetsgeschiedenis (al) sprake wanneer “wordt gehandeld in strijd met een uitdrukkelijke aanwijzing van de verantwoordelijke of een waarschuwing van enige toezichthouder“. Onder omstandigheden zou het slordig omspringen met een gegevensdrager met persoonsgegevens dus strafbaar kunnen zijn. Ook is denkbaar dat dergelijk gedrag kwalificeert als een onrechtmatige daad.

5. Overige eisen die het privacyrecht stelt

De Deense toezichthouder concludeert verder dat in de Google Apps wel eens bijzondere persoonsgegevens zouden kunnen worden uitgewisseld en dat om die reden strenge eisen gesteld moeten worden aan het inlogproces (zoals het gebruik van elektronische handtekeningen). Ook is volgens Datatisynet het loggen van mislukte inlogpogingen onvoldoende gewaarborg. Ook een algemene logging lijkt te ontbreken, terwijl ook dit volgens de toezichthouder zou mogen worden verwacht:

9.3. It has not be stated whether Google Ireland Limited and Google Inc.’s data centres perform logging of uses of personal data, what information is logged, or how long the log is stored. As the case stands, the Danish Data Protection Agency does not find it to be substantiated that the municipality will be able to comply with the logging requirements in Section 19 of the Executive Order on Security.

De parallel is wederom opvallend. Soortgelijke eisen komen naar Nederlands recht naar voren in het, alweer tien jaar oude, rapport “Beveiliging van persoonsgegevens” van het College Bescherming Persoonsgegevens.