Privacy  

S.H. Kingma, De botsing tussen IE- en privacyrechten - het einde van het Lycos/Pessers-tijdperk, Privacy & Informatie Afl. 2012-4, p. 171-176.

Een bijdrage van Sil Kingma, Boekel De Nerée.

Vorig jaar heeft de hoogste civielrechtelijke instantie van Zweden, in de zaak Bonnier Audio AB c.s./Perfect Communication Sweden AB [red. IEF 11204] prejudiciële vragen gesteld aan het Europees Hof van Justitie (HvJ) over het toepassingsbereik van en de verhouding tussen de Dataretentierichtlijn en artikel 8 van de Handhavingsrichtlijn. Inmiddels heeft het HvJ ter zake arrest gewezen. Het arrest van het HvJ en meer in het bijzonder de conclusie van advocaat-generaal Jääskinen bij dit arrest, gaf aanleiding voor het schrijven van dit artikel. De uitkomst van het arrest druist in tegen de in Nederland geldende rechtspraak op dit punt en verdient daarom onze aandacht. Na een bespreking van de relevante (Europese) regelgeving en jurisprudentie, wordt de inhoud van het door het HvJ ter zake gewezen arrest besproken. Vervolgens wordt in dit artikel ingegaan op de vraag of de voor de praktijk erg ongunstige conclusie van de A-G terecht is. Ten slotte zal worden nagegaan welke gevolgen de in mijn ogen juiste conclusie van de A-G heeft voor de Nederlandse rechtspraktijk.

1 Inleiding
De Zweedse rechter heeft in zijn verzoek aan het HvJ gevraagd of de Dataretentierichtlijn eraan in de weg staat dat informatie over een abonnee aan wie een IP-adres is toegewezen, aan civiele partijen wordt medegedeeld. Tot op heden wordt deze vraag voor Nederland veelal beantwoord aan de hand van het in het Lycos/Pessers-arrest bepaalde toetsingskader. Dit door de Hoge Raad der Nederlanden gewezen arrest stamt echter van voor de inwerkingtreding van de Dataretentierichtlijn. Het is dus interessant na te gaan of met de komst van de Dataretentierichtlijn de Lycos/Pessers-criteria naar de prullenbak kunnen worden verwezen.

Het bovengenoemde artikel 8 van de Handhavingsrichtlijn regelt, kort gezegd, dat lidstaten erin moeten voorzien dat een rechter op verzoek van een houder van een intellectuele-eigendomsrecht (IE-recht) de in een procedure betrokken partij kan bevelen informatie over de herkomst en de distributiekanalen van goederen en diensten te verstrekken die inbreuk maken op een IE-recht. De Dataretentierichtlijn heeft tot doel de nationale bepalingen van de lidstaten te harmoniseren voor wat betreft de bewaringsverplichtingen van onder andere ISP’s ten aanzien van gegevens van haar abonnees. Dit ten behoeve van de bestrijding van criminaliteit.

Inhoudsopgave:
1 Inleiding
2 Relevante Europese regelgeving
  2.1 IE-rechtelijke richtlijnen
     2.1.1 E-Commercerichtlijn
     2.1.2 Handhavingsrichtlijn
   2.2 Privacyrichtlijnen
     2.2.1 E-Privacyrichtlijn
     2.2.2 Dataretentierichtlijn
3 Relevante Nederlandse wetgeving
4 Relevante rechtspraak
   4.1 Nationaal
     4.1.1 Lycos/Pessers
   4.2 Europees
     4.2.1 Promusicae-arrest
5 Bonnier Audio c.s.
   5.1 Conclusie HvJ
   5.2 Conclusie A-G
6 Analyse uitspraak HvJ
7 Rechtsgevolgen voor Nederland
8 Conclusie

Lees het gehele artikel, inclusief uitgebreide voetnootverwijzingen hier.

M. Korpershoek, 'Privacy in de cloud', Automatiseringsgids 25 oktober 2012.

Een bijdrage van Marianne Korpershoek, Louwers IP|Technology advocaten.

Nu cloudcomputing een grote vlucht begint te nemen, krijgen ook de privacy risico’s van cloudcomputing aandacht van de Europese privacy waakhonden. Bij cloudcomputing is er immers vaak een keten van leveranciers verantwoordelijk voor het leveren van de clouddienst en is onduidelijk wie waarvoor verantwoordelijk is. Om de verantwoordelijkheid voor het verwerken van privacy gevoelige gegevens in kaart te brengen heeft in WP29 (zie kader) op 1 juli van dit jaar een advies uitgebracht. Het CPB heeft met het advies in het achterhoofd zijn Zienswijze gegeven over het inschakelen van een Amerikaanse cloudleverancier door SURFmarket.

De privacyrisico’s in de cloud volgens WP29
Wat moet een afnemer van een clouddienst doen volgens WP29
De zienswijze van het CPB
Kader artikel 29 Working Party (WP29)
Kader ‘Plannen van Neelie Kroes met cloudcomputing’ en privacy

De privacyrisico’s in de cloud volgens WP29
De WP20 onderkent dat cloudcomputing veel economische en maatschappelijke voordelen heeft, maar dat er ook een aantal grote privacy risico’s zijn, bijvoorbeeld:

• Gebrek aan controle over persoonsgegevens. Bij cloudcomputing is immers vaak sprake van een wijdvertakte keten. In een cloudketen zijn aparte partijen voor hosting, beheer en onderhoud van de hardware, gegevens en de applicaties, ter beschikking stellen van de applicatie etc. Dat betekent dat een opdrachtgever niet weet wie van zijn leveranciers en subleveranciers verantwoordelijk is. Terwijl hij daar wel toe verplicht is op grond van de WBP. Zo kunnen voor een Nederlandse clouddienst de servers in Bulgarije staan, terwijl de helpdesk in Zuid-Afrika in de gegevens kan kijken en de onderhoudspartij uit India ook toegang heeft tot gegevens omdat dat nodig is om het werk goed uit de voeren;
• Onvoldoende informatie over hoe, waar en door wie de persoonsgegevens worden verwerkt. Wanneer de verantwoordelijke voor het verzamelen van de persoonsgegevens niet weet waar en door wie de persoonsgegevens worden opgeslagen, dan kan hij ook niet doen aan zijn informatieverplichting aan de personen van wie de gegevens worden verzameld. Iedereen heeft immers op grond van de WPB het recht om te weten welke gegevens worden opgeslagen.

Wat moet een afnemer van een clouddienst doen volgens WP29
Om bovengenoemde problemen te tackelen stelt de WP29 voor dat iedereen die een clouddienst wil afnemen waarbij privacy gevoelige gegevens worden opgeslagen, eerst een uitgebreide en grondige risicoanalyse maakt. Cloudleveranciers op hun beurt moeten afnemers alle informatie geven die nodig is om de voors en tegens van cloudcomputing voor die betrokken afnemers af te wegen. Veiligheid, transparantie en juridische zekerheid zouden de belangrijke aspecten moeten zijn in een aanbieding voor een cloudleverancier.

De WP29 vindt dat een bedrijf dat een clouddienst afneemt garanties moet vragen van zijn cloudleverancier over het nakomen van de Europese en nationale privacyregels . Dit moet verplichtvastgelegd worden in de bewerkersovereenkomst tussen de cloudleverancier en de afnemer. Deze bewerkersovereenkomst is overigens nu al verplicht op grond van de WBP. Verder moeten er afspraken gemaakt worden over bijvoorbeeld het wissen van gegevens omdat opslag niet langer nodig is. Ten slotte moet de afnemer van de clouddienst garanties vragen van zijn leverancier dat transport van data buiten de EU volgens de strenge wetgeving verloopt.

De zienswijze van het CPB
SURFmarket had het CPB gevraagd of en onder welke voorwaarden zij gegevens van Nederlandse studenten en universitaire medewerkers mochten laten opslaan bij een Amerikaans bedrijf. Het CPB heeft deze vragen beantwoord met het advies van de WP29 in het achterhoofd. Het CPB vindt dat een bedrijf dat gebruik wil maken van een Amerikaanse cloudleverancier op de eerste plaats een risicoanalyse moet doen om vast te stellen of er in zijn specifieke situatie wel gebruikt gemaakt kan worden van cloudcomputing bij een Amerikaanse leverancier. Op de tweede plaats moet de afnemer de afspraken en de garanties van zijn cloudleverancier vastleggen in een bewerkerscontract. Op de derde plaats moeten er in het contract met de cloudleverancier afspraken gemaakt worden over aansprakelijkheid bij een inbreuk op de privacy. Artikel 49 van de WBP bepaalt dat degene die de gegevens verzamelt ook aansprakelijk is voor de schade die wordt veroorzaakt door een privacyinbreuk. Deze aansprakelijkheid moet doorgelegd kunnen worden naar de cloudleverancier, aldus het CPB. Ten slotte moet er in die bewerkers overeenkomst ook afspraken gemaakt worden over de melding van datalekken.

Wat zijn de gevolgen van dit advies?
Het advies van de WP29 is natuurlijk niet meer dan een advies en geen concrete wetgeving. Maar iedereen die zijn persoonsgegevens opslaat in de cloud zal dit advies wel ter harte moeten nemen. Voor afnemers van clouddiensten geldt dat wanneer het misgaat een rechter bij de vaststelling van de aansprakelijkheid rekening zal houden met de aanbevelingen uit dit advies. Wanneer die niet zijn nageleefd door de gebruiker van de clouddienst, dan zal dat gevolgen hebben voor zijn aansprakelijkheid voor de schade van de betrokkenen, bijvoorbeeld omdat er voordat de clouddienst werd afgenomen er geen risicoanalyse is gemaakt of omdat er geen goede bewerkersovereenkomst is, of omdat blijkt dat gegevens buiten de EU zijn getransporteerd zonder dat de wet is nageleefd.

Ook aanbieders van clouddienstverlening zullen rekening moeten houden met dit advies. Bijvoorbeeld wanneer ze nalaten hun afnemers op de hoogte te stellen van alle privacyaspecten die verbandhouden met hun diensten. Ze zullen afnemers actief op de hoogte moeten stellen wanneer servers verplaatst worden of wanneer een contract gesloten wordt met bijvoorbeeld een Indiase beheerder die toegang krijgt tot de gegevens of deze nu binnen of buiten Europa zijn opgeslagen. Niet voldoen aan informatieplichten kan ook voor de cloudleverancier tot aansprakelijkheid leiden wanneer het mis gaat.

Maar niet alleen de rechter zal naar met een schuin oog naar dit advies kijken. Dit advies zal ook een kader geven voor overheden bij aanbestedingen en voor grote en kleine organisaties die een reputatie te verliezen hebben of die het risico lopen op grote schadeclaims. Cloudleveranciers zullen daar actief op moeten inspelen door bijvoorbeeld het ter beschikking stellen van risicoanalyses, externe audits over hun beveiliging etc. om te voorkomen dat zij de boot in deze belangrijke marktmissen.

Kader artikel 29 Working Party (WP29)
In 1995 is de Europese Privacy Richtlijn vastgesteld. Deze richtlijn is bedoeld om de persoonsgegevens binnen Europa op een veilige manier te bewaren en de verwerken. De Wet Bescherming Persoonsgegevens (WBP) is een vertaling van de Privacy richtlijn in de Nederlandse wet. De richtlijn verplicht dat in iedere lidstaat van de EU een toezichthouder voor de bewaking van de privacy moest worden opgericht. In Nederland is dat het College Bescherming Persoonsgegevens (CPB). Artikel 29 van de Privacy Richtlijn bepaalt dat er een werkgroep wordt ingesteld die bestaat uit vertegenwoordigers van alle Europese privacy waakhonden. Deze WP29 adviseert de Europese Commissie over privacyissues en kan ook aanbevelingen doen hoe persoonsgegevens beter beschermd kunnen worden. In dat kader heeft de WP op 1 juli 2012 een uitgebreid advies uitgebracht over de privacyaspecten van cloudcomputing en de verplichtingen van zowel aanbieders als afnemers van clouddiensten.

Kader ‘Plannen van Neelie Kroes met cloudcomputing’ en privacy
Op 27 september 2012 heeft Neelie Kroes de nieuwe Europese strategie gepresenteerd om er voor te zorgen dat cloud computing wordt gepromoot. Met cloudcomputing hoopt de EU 2,5 miljoen nieuwe banen te creëren en verder zou het bbp daardoor jaarlijks met 160 miljard euro groeien. De strategie wil barrières voor cloudcomputing wegnemen. Neelie Kroes ziet drie belangrijke belemmeringen voor de ontwikkeling van de Europese cloudmarkt:

1. Een wildgroei aan standaarden en technische normen;
2. Problemen met contracten. Veel bedrijven en consumenten maken zich zorgen over de toegang tot data en de mogelijkheden om de data mee te nemen naar bijvoorbeeld een andere leverancier. De EU wil daarom bevorderen dat er eerlijke en uitgebalanceerde standaardovereenkomsten worden opgesteld;
3. Last but not least is er de versplinterde en versnipperde Europese cloudmarkt. Ieder land heeft immers zijn eigen regels en beleid op het gebied van contracten, consumentenbescherming, strafrecht en privacy.

Op het punt van de privacy concludeert Neelie Kroes dat verschillende wetgeving in de 27 EU landen in de weg staat aan een kosteneffectieve cloudoplossing die grenzen overschrijdt. Het advies van de WP29 krijgt daarom een belangrijke rol volgens het Strategie Document. Volgend jaar komt er een Europese privacywet die gaat gelden voor alle landen van de EU en met deze nieuwe wet zullen ook specifieke regels opgesteld worden voor privacy in de cloud, zowel voor afnemers als cloudketenpartners.

Antwoord op kamervragen van de SP over de noodzaak om cookies te accepteren voor bezoekers van websites van de publieke omroep, 2012Z17372.

Antwoord op kamervragen over cookies op de websites van de publieke omroep, 2012Z17524.

Analytische cookies noodzakelijk?
Cookies zijn er in vele soorten en maten. De NPO maakt gebruik van vier verschillende soorten cookies voor verschillende doeleinden. Voor de zogenoemde functionele cookies is op grond van de nieuwe wetgeving geen toestemming vereist. Dit zijn cookies die noodzakelijk zijn voor de werking van de website. Daarnaast maakt de NPO gebruik van analytische cookies die worden gebruikt voor het verzamelen van webstatistieken. De analytische cookies geven de NPO inzicht in het gebruik van de website en de daarop aangeboden audio en video. Deze cookies worden niet gebruikt om het surfgedrag van bezoekers van andere websites te bekijken en zijn geen tracking cookies. Zoals bij het Algemeen Overleg Telecommunicatie van 21 november jongstleden is toegezegd wordt momenteel onderzocht of, en zo ja onder welke voorwaarden, analytische cookies kunnen worden beschouwd als noodzakelijk cookies, zodat ook voor deze cookies toestemming achterwege zou kunnen blijven.

Reclamecookies
Naast de wettelijke verplichtingen en de toepassing van reclamecookies gebruikt de NPO ook cookies voor de eigen bedrijfsvoering. Trackingcookies zijn geen onderdeel van de analytische cookies die de NPO hanteert.

Social media - derden via de website - komt voor rekening van betreffende social media aanbieder
Voor het gebruik van social media worden door derden via de websites van de NPO op de computers van eindgebruikers cookies geplaatst. Deze cookies kunnen trackingcookies bevatten waarbij de gegevens die worden verzameld ook aan derden kunnen worden verstrekt. Het gebruik van deze gegevens komt voor rekening van de desbetreffende sociale media aanbieder. Gebruikers kunnen op de websites van deze desbetreffende sociale media aanbieders lezen waar de
verzamelde gegevens voor worden gebruikt.

Op andere blogs:
ICTRecht

Verslag wijziging van de Paspoortwet in verband met onder meer de status van de Nederlandse identiteitskaart, Kamerstukken II 2012/13, 33 440-(R1990), nr. 5.

Inhoudsopgave
1. Inleiding
2. Verlenging geldigheidsduur reisdocumenten en Nederlandse identiteitskaart
3. Wijziging van de status van de Nederlandse identiteitskaart
4. Het opnemen van een grondslag voor heffing van rechten
5. Het opnemen van vingerafdrukken in de reisdocumentenadministratie
6. Gevolgen van het wetsvoorstel voor de privacy
7. Gevolgen van het wetsvoorstel voor de administratieve lasten
8. Uitvoeringslasten en financiële gevolgen

De leden van de SGP-fractie vinden het belangrijk dat er voldoende aandacht is voor een passend beveiligingsniveau dat bestand is tegen toenemende technische mogelijkheden om in te breken op chips. Het is een noodzaak. Bij een geldigheidsduur van tien jaar zijn de risico’s groter. Zij vragen de regering of er op dit moment mogelijkheden zijn opgenomen in de wet om in het geval van zeer grote risico’s paspoorten en andere documenten terug te roepen. Zo niet, is het te overwegen om die mogelijkheid uitdrukkelijk in de wet op te nemen om daarmee een waarborg te hebben tegen onvoorziene technische ontwikkelingen die de privacy bedreigen?

6. Gevolgen van het wetsvoorstel voor de privacy

De leden van de PvdA-fractie zijn tevreden over de stevige doelbinding en tijdsbeperking van de opslag van vingerafdrukken, namelijk alleen voor de verwerking van de aanvraag en voor de duur van de aanvraag. Als we ze dan toch moeten verwerken, dan zo beperkt mogelijk. Deze leden constateren echter ook dat er toezeggingen gedaan zijn over het vernietigen van vingerafdrukken die voor 23 juni 2011 zijn vastgelegd. Zij willen graag van de regering weten wat de stand van zaken is van deze vernietiging. Is al aan alle technische voorwaarden voldaan, zijn alle vingerafdrukken en de sporen daarnaar vernietigd, en is daar nog controle naar gedaan?

De leden van de PvdA-fractie constateren dat de vingerafdrukken op basis van het, nog niet in werking getreden, artikel 4b.4 nog raadpleegbaar zijn door het OM. Deze leden willen graag weten hoe dit zich verhoudt tot de doelbinding van de afname van vingerafdrukken en of dit artikel niet beter geschrapt kan worden voor de duidelijkheid.

 

Eén van de onderwerpen waar de leden van de PvdA-fractie zich zorgen over maken is de veiligheid van de RFID-chip in het paspoort en de NIK? In juli is nog aangetoond dat met de juiste apparatuur het relatief eenvoudig is om van een niet-beveiligde chip het ID uit te lezen en dit vervolgens naar een dupli-caat-tag te schrijven. De paspoortchip bevat onder meer de naam, foto, BSN, geboortedatum, en vingerafdrukken van de houder. Met deze gegevens is het relatief eenvoudig identiteitsfraude te plegen. Daarom willen deze leden graag weten waarop de regering zijn mening baseert dat de gegevens op het paspoort maximaal beschermd worden. Kan de regering aantonen dat de huidige bescherming nog optimaal is? Welke aanpassingen en verbeteringen zijn er de afgelopen jaren in de chips in het paspoort aangebracht? Zijn er noodplannen om de integriteit van oude identiteitsdocumenten met kwetsbaarheden in de beveiliging te garanderen of weer op het vereiste niveau te brengen?

 

De leden van de PVV-fractie vragen de regering haar visie te geven over het feit dat experts verwachten dat in de toekomst het aantal kwetsbaarheden in de chips, en het tempo waarin ze worden gevonden, zal toenemen, terwijl een paspoort dadelijk tien jaar geldig is en op afstand uitleesbare vingerafdrukken bevat. Ziet de regering daar geen grote risico’s voor privacy, veiligheid en mogelijkheden tot misbruik? Welke maatregelen, anders dan gebruikmaken van chips die aan de huidige beveiligingsstandaarden voldoen, worden er genomen om dit risico terug te brengen?

 

De leden van de CDA-fractie lezen dat de regering van opvatting is, dat kwetsbaarheden in de chip van een uitgegeven reisdocument niet kunnen worden hersteld, dat daar althans geen mogelijkheden voor zijn. Deze leden vragen, wat daarvan de gevolgen kunnen zijn voor de houder van een dergelijk reisdocument.

 

Ondanks dat de regering aangeeft dat het verlengen van de geldigheidsduur van reisdocumenten bepaalde risico’s met zich meebrengt rondom identificatie, menen de leden van de D66-fractie dat er onvoldoende wordt ingegaan op de mogelijkheid om de chip op de documenten beter te beveiligen tegen identiteitsdiefstal, bijv. door middel van een toegangs-vergrendeling. Deze leden vragen zich af of de voorgestelde methode de meest veilige is, en waar deze conclusie op gebaseerd is. Waarom is niet gekozen voor additionele beveiligingsmogelijkheden? De aan het woord zijnde leden delen hierbij de door het College Bescherming Persoonsgegevens geuitte zorgen over het realiseren van een passend beveiligingsniveau conform het bepaalde in artikel 13 Wet bescherming persoonsgegevens (Wbp). Zij ontvangen graag een nadere motivering op dit punt.

 

De leden van de SGP-fractie vinden het belangrijk dat er voldoende aandacht is voor een passend beveiligingsniveau dat bestand is tegen toenemende technische mogelijkheden om in te breken op chips. Het is een noodzaak. Bij een geldigheidsduur van tien jaar zijn de risico’s groter. Zij vragen de regering of er op dit moment mogelijkheden zijn opgenomen in de wet om in het geval van zeer grote risico’s paspoorten en andere documenten terug te roepen. Zo niet, is het te overwegen om die mogelijkheid uitdrukkelijk in de wet op te nemen om daarmee een waarborg te hebben tegen onvoorziene technische ontwikkelingen die de privacy bedreigen?

Brief CBP aan Staatssecretaris, Tweede nota van wijziging Wetsvoorstel forensische zorg, kenmerk z2012-00824.

Uit't persbericht: Het College bescherming persoonsgegevens (CBP) heeft geadviseerd over een nota van wijziging bij het wetsvoorstel forensische zorg, dat momenteel in behandeling is bij de Tweede Kamer. De nota betreft de regeling die het mogelijk maakt om van verdachten van misdrijven waarvoor tbs opgelegd kan worden bestaande medische gegevens te vorderen bij behandelend artsen. Deze gegevens worden vervolgens gebruikt om een mogelijke psychische stoornis te bepalen bij verdachten die weigeren aan tbs-onderzoek mee te werken. Het CBP adviseert om de behandeling in de Tweede Kamer van de regeling niet voort te zetten.

Uit de brief: Juridisch kader

De voorgestelde regeling dient te voldoen aan artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM), artikel 10 Grondwet alsmede aan de Wet bescherming persoonsgegevens (Wbp), welke uitvoering geeft aan Richtlijn 95/46/EG. De voorgestelde regeling dient tevens te voldoen aan aanverwante wet- en regelgeving met betrekking tot de verwerking van persoonsgegevens, waaronder de regeling inzake het medisch beroepsgeheim, neergelegd in artikel 7:457 van het Burgerlijk Wetboek (BW) en in artikel 88 van de Wet beroepen individuele gezondheidszorg (Wet BIG). Volgens vaste jurisprudentie van het Europese Hof voor de Rechten van de Mens dient iedere beperking van het recht op eerbiediging van de persoonlijke levenssfeer te worden gerechtvaardigd door een ‘pressing social need’. De inmenging moet bovendien evenredig zijn aan het nagestreefde doel (proportionaliteit), dat doel moet niet op andere, minder indringende wijze kunnen worden bereikt (subsidiariteit) en de ter onderbouwing aangevoerde gronden moeten relevant en toereikend zijn.

Voor het verwerken van persoonsgegevens is onder meer een grondslag als bedoeld in artikel 8 Wbp vereist en tevens moet zijn voldaan aan de eisen van noodzakelijkheid en doelbinding (artikel 7 Wbp). Deze vereisten houden kort gezegd in dat persoonsgegevens slechts mogen worden verwerkt indien én voor zover dit noodzakelijk is om het beoogde doel te bereiken alsmede dat het verder verwerken van persoonsgegevens slechts is toegestaan indien die verdere verwerking niet onverenigbaar is met de doeleinden waarvoor de persoonsgegevens zijn ontvangen (artikel 9 Wbp).

Het verwerken van bijzondere persoonsgegevens, zoals persoonsgegevens betreffende gezondheid (hierna: medische persoonsgegevens), is aan strengere regels gebonden. De Wbp verbiedt het verwerken van bijzondere persoonsgegevens (artikel 16 Wbp), tenzij sprake is van een van de in de Wbp opgesomde ontheffingen van dat verbod (artikel 17 t/m 23 Wbp).

Indien geen ontheffing wordt gevonden in de algemene gronden van artikel 21 dan wel 23 Wbp, kan een specifieke ontheffing worden gecreëerd bij wet. Artikel 23 lid 1 sub f Wbp bepaalt dat het verbod om bijzondere persoonsgegevens te verwerken niet van toepassing is voor zover dit noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer, en dit bij wet wordt bepaald. Bij de implementatie van artikel 8 lid 4 van Richtlijn 95/46 EG in artikel 23 lid 1 sub e Wbp is er uitdrukkelijk voor gekozen dat de grondslag voor de gegevensverwerking moet worden gecreëerd bij wet in formele zin. De grondslag voor gegevensverwerking dient – mede gelet op artikel 8 EVRM en artikel 10 Grondwet – voldoende specifiek te zijn. Ook dient de noodzakelijkheid van de verwerking door de formele wetgever te worden onderbouwd en moeten passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer.

Medische persoonsgegevens mogen slechts worden verwerkt indien een ontheffing wordt gevonden in artikel 21 Wbp dan wel artikel 23 Wbp.  

Indien een wettelijke bepaling er ook op is gericht het medisch beroepsgeheim te doorbreken, dient deze bepaling te voorzien in voldoende specificatie van zowel de doelstelling van de verplichting als de nader bepaalde gegevens waarop die verplichting ziet.

Prejudiciële vragen aan HvJ EU 22 oktober 2012, zaak C-473/12 (Beroepsinstituut van vastgoedmakelaars (BIV) tegen Immo 9 BVBA) - dossier

Het Beroepsinstituut van vastgoedmakelaars BIV waakt over de integriteit van de beroepsgroep die, net als in NL, een beschermde titel voert. Zij vraagt de rechtbank om bepaalde handelingen in strijd met de wet te verklaren en zo ongewenste vastgoedactiviteiten te kunnen stoppen. Om belastende gegevens te verzamelen maakt BIV gebruik van privédetectives. In 2010 heeft het Hof van Beroep te Bergen al geoordeeld dat een door een detective opgesteld verslag gegevens bevatte die in strijd zijn met de Belgische wet van 8 december 1992 (tot bescherming van de persoonlijke levenssfeer). Deze wet legt (onder meer aan) detectives verplichtingen op, maar verzoekster stelt dat indien deze wet strikt wordt toegepast een privédetective zijn werk niet meer kan doen. De rechter in eerste instantie (Rb Charleroi) vraagt zich af of hier strijd is met het gelijkheidsbeginsel, en legt het Grondwettelijk Hof de volgende vraag voor:

„Schendt de wet van 8 december 1992 ‚tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens’ het grondwettelijk[e] gelijkheidsbeginsel, door de overeenkomstig de wet van 19 juli 1991 ‚tot regeling van het beroep van privédetective’ erkende privédetectives niet op te nemen in de uitzonderingen die zij in de paragrafen 3 tot 7 van artikel 3 ervan opsomt voor bepaalde categorieën van beroepen of instellingen waarvan de activiteit door de bepalingen van de wet zou kunnen worden geraakt, waarbij de erkende privédetectives van hun kant zijn onderworpen aan de verplichtingen die zijn vervat in artikel 9 van de wet, dat tot gevolg kan hebben dat hun activiteit gedeeltelijk onwerkzaam wordt?”

Het Grondwettelijk Hof realiseert zich dat het gaat om het juiste evenwicht tussen in het Handvest beschermde grondrechten en legt, alvorens de vraag te beantwoorden, de volgende drie vragen voor aan het HvJEU:

1. Dient artikel 13, lid 1, sub g, in fine, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus te worden geïnterpreteerd dat het de lidstaten vrij staat al dan niet in een uitzondering te voorzien op de in artikel 11, lid 1, bedoelde onmiddellijke informatieplicht, indien dit noodzakelijk is ter bescherming van de rechten en vrijheden van anderen of zijn de lidstaten ter zake aan beperkingen onderworpen?

2. Vallen de beroepsactiviteiten van privédetectives, die door het interne recht worden geregeld en worden uitgeoefend ten dienste van overheden die ertoe zijn gemachtigd elke inbreuk op de bepalingen tot bescherming van een beroepstitel en tot organisatie van een beroep aan te klagen bij de gerechtelijke overheden, naar gelang van de omstandigheden, onder de uitzondering bedoeld in artikel 13, lid 1, sub d en g, in fine, van de voormelde richtlijn?

3. Is, indien het antwoord op de tweede vraag ontkennend zou zijn, artikel 13, lid 1, sub d en g, in fine, van de voormelde richtlijn verenigbaar met artikel 6, lid 3, van het Verdrag betreffende de Europese Unie, meer bepaald met het beginsel van gelijkheid en niet-discriminatie?

HR 27 november 2012, LJN BY0215 (bewakingscamera)

Strafrechtzaak. Beroep op bewijsuitsluiting. Vordering OvJ tot het verstrekken van gegevens, art. 126nd Sv. De HR herhaalt toepasselijke overweging uit HR LJN BL7688. In ’s Hofs overwegingen ligt als diens niet onbegrijpelijke vaststelling besloten dat degene die verantwoordelijk is voor het gebruik van de onderhavige beelden van de bewakingscamera deze beelden eigener beweging en op vrijwillige basis aan de politie heeft verstrekt, althans dat die persoon niet door de politie is gevraagd om op vrijwillige basis deze beelden aan de politie te verstrekken. Het oordeel van het Hof dat in een zodanig geval geen vordering a.b.i. art. 126nd Sv is vereist, is juist. De HR overweegt nog het volgende. Het in de overwegingen van het Hof omschreven geval heeft klaarblijkelijk geen betrekking op verwerking van persoonsgegevens in de vorm van overdracht van zulke gegevens door het ene bestuursorgaan aan het andere. Daarom zou art. 8.(f) Wet bescherming persoonsgegevens (Wbp) geen grondslag kunnen vormen voor het ter beschikking van de opsporingsinstantie stellen van het desbetreffende beeldmateriaal. Voor dit ter beschikking van de opsporingsinstantie stellen van het d.m.v. beveiligingscamera’s verkregen beeldmateriaal zou degene die daartoe toegang heeft (de verantwoordelijke of bewerker in de zin van art. 1 (d/e) Wbp) onder omstandigheden wel een grondslag kunnen ontlenen aan het bepaalde in art. 43 jo. art. 9.1 Wbp.

3.1. Sinds de verklaringen van aangever [betrokkene 1] (19 april 2010) en de verklaring van verbalisant [verbalisant 1] (12 augustus 2010) bij de rechter-commissaris weten wij dat de gang van zaken rond de verkrijging van het beeldmateriaal van de bewakingscamera van de flat aan de [a-straat] niet conform de regels is verlopen. Hierdoor werd afbreuk gedaan aan het recht op een eerlijk proces, inzet van opsporingsmiddelen vergt een voldoende wettelijke basis, tevens werd zijn recht op privacy (art. 8 EVRM) geschonden, nu hij zijn bezoek aan personen in het flatgebouw niet (vrijwillig, zonder vordering van het OM) in de openbaarheid wenste te (doen) brengen.

3.7. Bewijsuitsluiting kan als op grond van art. 359a, eerste lid, Sv voorzien rechtsgevolg uitsluitend aan de orde komen indien door de onrechtmatige bewijsgaring een belangrijk (strafvorderlijk) voorschrift of rechtsbeginsel in aanzienlijke mate is geschonden. Wat dat laatste betreft geldt dat de omstandigheid dat, naar aan het verweer ten grondslag is gelegd, verdachtes 'privacy is geschonden' doordat aan de afgifte van de beelden niet een vordering als bedoeld in art. 126nd Sv is voorafgegaan, hetgeen de Hoge Raad verstaat als een beroep op schending van het in art. 8 EVRM gegarandeerde recht op eerbiediging van de persoonlijke levenssfeer, niet zonder meer een inbreuk oplevert op de in art. 6 EVRM vervatte waarborg van een eerlijk proces (vgl. HR 7 juli 2009, LJN BH8889, NJ 2009/399). Ook bij bewijsuitsluiting gaat het overigens om een bevoegdheid van de rechter, waarvan de uitoefening in de eerste plaats moet worden beoordeeld in het licht van de wettelijke beoordelingsfactoren van art. 359a, tweede lid, Sv en van de omstandigheden van het geval (vgl. HR 30 maart 2004, LJN AM2533, NJ 2004/376).

Op andere blogs:
DirkzwagerIEIT (Hoge Raad introduceert aanvullende grondslag verwerking persoonsgegevens)

Daniëlle van der Zande, A penny for your privacy. An analysis of the reimbursements in privacy infringement procedures, masterscriptie Law & Technology, Universiteit van Tilburg.

Een bijdrage van Daniëlle van der Zande, LinkedIn.

Artikel 49 Wbp (Wet Bescherming Persoonsgegevens) geeft een betrokkene de mogelijkheid om immateriële schade te claimen na een privacyschending. Met de invoering van de Europese privacyverordening (naar verwachting in 2015) blijft deze mogelijkheid bestaan in artikel 77. Tot nu toe blijkt het in de praktijk voor betrokkenen lastig om op grond van artikel 49 Wbp immateriële schade te bewijzen. Voor zover bekend is slechts één claim toegewezen. Met de invoering van de nieuwe privacyverordening komt het Europese Hof van Justitie de bevoegdheid toe om uitleg te geven aan immateriële schade. Hoewel het Hof van Justitie in het verleden een andere uitleg heeft gegeven aan het begrip schade dan onze nationale rechters, kan het voor een betrokkene problematisch blijven om immateriële schade te bewijzen. Hierdoor wordt de kans op een adequate vergoeding ontnomen. Een lidstaat is aansprakelijk indien geen effectief rechtsmiddel wordt geboden (artikel 13 EVRM). Het is daarom van belang dat een betrokkene de kans heeft om succesvol immateriële schade te claimen.

In haar scriptie stelt Daniëlle van der Zande een raamwerk voor waarmee immateriële schade kan worden berekend. Dit raamwerk kan worden geïmplementeerd in de privacyverordening. Hierdoor ontstaat binnen Europa een uniforme toepassing over de toekenning en berekening van immateriële schade na een schending van privacy. Bovendien voorkomt een lidstaat aansprakelijkheid onder artikel 13 EVRM.

Uit't persbericht: Mylex lanceert ‘CookieLaw’, een Europese mobiele applicatie voor iOS (iPhone) en Android. De app is gericht naar agencies, webontwikkelaars, webwinkels en bedrijfsjuristen. Voor de Nederlandse markt werd beroep gedaan op de juridische expertise van ICTRecht.nl.

De nieuwe cookiewetgeving is ondertussen al even in het land. De Europese wetgeving werd op 5 juni omgezet via de Telecommunicatiewet (Wet van 19 oktober 1998 houdende regels inzake de telecommunicatie). Verwarring alom bij webwinkels, digitale agencies, webbedrijven en bedrijfsjuristen. Hoe de ‘cookiewet’ precies moet worden toegepast, lijkt niemand echt goed te weten. En hoe springt de online consument om met de cookie-­‐ informatie?

‘Cookies’ zijn kleine tekstbestanden die lokaal worden opgeslagen op de computer van de bezoeker. Ze worden gebruikt voor tal van doeleinden: het onthouden van instellingen (zoals bijvoorbeeld een taalkeuze), het vergaren van informatie, en het bezoekgedrag van de consument bijhouden (tracking cookies). Minder tevreden over dergelijke cookies was de Europese Unie, die al in 2009 besliste dat ‘toestemming’ een cruciale factor moest worden in de privacybescherming van de consument.

Laat dat begrip ‘toestemming’ nu net het grote struikelblok vormen. De Europese e-­‐Privacy Directive – niet meteen het beste voorbeeld van een duidelijke juridische tekst – laat de invulling over aan de lidstaten zelf. En net precies die vrijheid leidt tot tal van praktische-­‐ en interpretatieproblemen, overal in Europa. Neelie Kroes, Eurocommissaris, zette al eerder vraagtekens bij dit fenomeen. In een interview stelt ze: "Mijn ideaal is natuurlijk dat we in alle 27 lidstaten dezelfde interpretatie hebben van een voorstel. Ik kan niet uitleggen aan buitenlandse, potentieel geïnteresseerden in Europa dat je in het ene land anders behandeld wordt dan in het andere land".

“Nochtans is dit vandaag weldegelijk het geval”, stelt Ellen Bruwiere, marketing manager bij mylex. “Bij de creatie van de applicatie zagen we grote verschillen tussen de Europese lidstaten, maar evengoed tal van subtiele afwijkingen in interpretatie. Die interpretatieverschillen mogen dan juridisch als subtiel worden uitgelegd, in de praktijk leveren ze voor cross-­‐border handel grote moeilijkheden op.”

‘CookieLaw’, de mobiele applicatie, gidst de gebruiker door de verschillende Europese lidstaten, en geeft zowel een snel overzicht weer (“Quick overview”), als telkens de volledige wettekst (“Legal text”). Ook officiële ‘Cookie Guidances’ en video’s werden opgenomen in de applicatie.

De applicatie is Engelstalig, en is duidelijk geschikt voor een Europees nichepubliek. Maar weet de consument het eigenlijk wel? Onderzoek bij Nederlandse consumenten, uitgevoerd door GFK Retail, toont aan dat 63% van de consumenten weet wat een cookie is (of denkt te weten), 56% voor wat een cookie dient en 47% weet hoe de cookies te verwijderen.

Minder goed nieuws bij ‘third party’-­‐cookies. Daar weet 61% (en 74% van de vrouwen tegenover 48% mannen) niet wat dit inhoudt. Op de vraag of ze het bezwaarlijk vinden dat er gegevens worden bewaard via cookies, antwoordt 82% volmondig ja. Afsluitend: 90% van de respondenten geeft aan geïnformeerd te willen worden over cookies die een website of webshop bezoekt (BRON: Consumentenonderzoek Cookies, uitgevoerd door GfK Retail in opdracht van IMNetworks, https://spijkermat.nl/wp-­‐ content/uploads/SPKRMT_IMNetworks_cookies.jpg). Werk aan de winkel dus.

Waarom dit bundelen in een mobiele applicatie? “Er zijn tal van voordelen verbonden aan een mobiele applicatie, versus de klassieke website”, vervolgt Bruwiere. Het belangrijkste argument, naast de onmiddellijke beschikbaarheid van de informatie en de interactiviteit die alleen een applicatie kan bieden, is echter de ‘push’-­‐functie. Gebruikers worden immers automatisch en real-­‐ time op de hoogte gehouden: lidstaten die de Europese wetgeving omzetten, een nieuwe interpretatie of cookie-­‐gids, of een wijziging van de huidige implementatiewijze. De applicatie kan onmiddellijk aangepast worden, middels een achterliggend CMS of content management system. Zo krijgt de gebruiker altijd de meest actuele stand, zonder dat hij hiervoor telkens een nieuwsbrief moet ontvangen, of een duur juridisch abonnement moet afsluiten”.

Voor de Nederlandse informatie werd beroep gedaan op de expertise van het bureau ICTRecht.nl, gespecialiseerd in internetrecht. Wouter Dammers voorzag zijn commentaar in de applicatie.

De applicatie is gratis, en te downloaden in de App Store (Apple) of Google Play (Android). De iPhone-­‐versie werd geoptimaliseerd voor iOS6 en iPhone 5. De versie voor Android-­‐toestellen wordt binnen enkele weken gefinaliseerd. Downloaden – of inschrijven voor de Android-­‐versie – kan via https://cookieapp.eu.

Uit't persbericht van het CBP: Het College bescherming persoonsgegevens (CBP) heeft contact opgenomen met het Openbaar Ministerie (OM) naar aanleiding van berichtgeving in de media over het op internet plaatsen van beelden van getuigen van een misdrijf. Het OM heeft aangegeven in beginsel geen beelden van getuigen meer te publiceren. De Aanwijzing Opsporingsberichtgeving bevat regels voor de opsporingsberichtgeving van het OM. Het gaat daarbij primair om het opsporen van verdachten. Het publiceren van beelden van (toevallige) getuigen raakt aan hun persoonlijke levenssfeer terwijl zij op het plaatsen van de beelden geen invloed hebben. De risico’s en nadelen van publicatie kunnen voor de getuige buitengewoon groot zijn. Dit dient zeer zwaar te wegen bij de zorgvuldige afweging die moet plaatsvinden tussen het algemeen (opsporings)belang en het belang van de getuige.

SOLV-blog: Politie stopt met plaatsen foto's getuigen