Privacy  

Rechtbank Middelburg 15 maart 2012, LJN BV8942 (X tegen IND)

Prejudiciële vragen aan het Hof van Justitie EU inzake het verzoek om inzage in de minuut;het begrip "persoonsgegevens" in de zin van artikel 2 van de Privacyrichtlijn en de omvang van het inzagerecht in de zin van artikel 12 van de Privacyrichtlijn.

1. Zijn de gegevens die in de minuut van betrokkene zijn weergegeven en die betrekking hebben op betrokkene, persoonsgegevens in de zin van artikel 2, onder a, van de Privacyrichtlijn?
2. Is de in de minuut opgenomen juridische analyse een persoonsgegeven in de zin van voornoemde bepaling?

 

3. Wanneer het Hof bevestigt dat de hiervoor omschreven gegevens persoonsgegevens zijn, dient de verwerker/overheidsinstantie dan ook ingevolge artikel 12 van de Privacyrichtlijn en artikel 8, tweede lid, van het EU Handvest inzage te geven in deze persoonsgegevens?
4. Kan betrokkene in dit kader ook een rechtstreeks beroep doen op artikel 41, tweede lid, onder b, van het EU Handvest, en zo ja, moet de hierin opgenomen zinsnede “met inachtneming van het gerechtvaardigde belang van de vertrouwelijkheid op besluitvorming” zo worden uitgelegd dat het recht op inzage in de minuut op die grond kan worden geweigerd?
5. Wanneer betrokkene verzoekt om inzage in de minuut, dient de verwerker/overheidsinstantie een kopie van dit document te verschaffen om zo recht te doen aan het inzagerecht?

Op andere blogs:
Dirkzwagerieit

Rechtbank Zwolle-Lelystad, locatie Lelystad 4 mei 2011, LJN BV6594 (eiser tegen AEGON schadeverzekering N.V.)

Aegon was destijds de WAM verzekeraar van de achteropkomende auto en is door [eiser] aangesproken voor de door hem geleden schade. Aegon heeft aansprakelijkheid erkend en heeft vervolgens bureau Cunningham ingeschakeld voor de schadebehandeling. Partijen hebben geen buitengerechtelijke regeling getroffen ten aanzien van de schade.

Vraag of persoonlijk onderzoek door verzekeraar ongerechtvaardigde inbreuk is op recht op eerbiediging van persoonlijke levenssfeer.

4.3.  De rechtbank overweegt als volgt. Aegon was bij haar beslissing tot het instellen van een persoonlijk onderzoek gebonden aan de hiervoor in rechtsoverweging 2.4 aangehaalde gedragscode. Onder de door Aegon geschetste omstandigheden acht de rechtbank het niet onbegrijpelijk dat Aegon destijds van mening was dat zij (nog) niet over voldoende informatie beschikte om een verantwoorde beslissing te nemen dan wel dat bij haar twijfel was ontstaan over de juistheid van de reeds naar voren gekomen feiten. De opvatting van [eiser] dat alleen een onderzoek kon worden ingesteld bij een vermoeden van fraude wordt niet door de tekst van de code ondersteund en is dan ook onjuist.

De vraag of [eiser] de schaderegelaar daadwerkelijk heeft bedreigd kan naar het oordeel van de rechtbank in het midden blijven, aangezien de rechtbank het voorstelbaar acht dat het door [eiser] geschetste scenario met de politiehonden op zijn minst bedreigend is overgekomen bij de schaderegelaar.

4.4. De rechtbank is op grond van bovenstaande overwegingen van oordeel dat voldoende gerechtvaardigde gronden aanwezig waren waarop Aegon, met inachtneming van de toepasselijke gedragscode, kon besluiten tot het instellen van een persoonlijk onderzoek jegens [eiser].

Aegon was destijds gebonden aan de "Gedragscode Persoonlijk Onderzoek" en voortvloeiend daaruit, en mede uit artikel 34 Wbp had AEGON eiser moeten informeren over en diende zij schriftelijke toestemming van eiser tot het instellen van een dergelijk persoonlijk onderzoek. Nu zij dit heeft nagelaten wordt de verklaring voor recht toegewezen en is zij schadeplichting. De rechtbank oordeelt dat er geen sprake is van strijd met de zorgvuldigheidsnorm door de verzekeraar ex artikel 35 Wbp, omdat AEGON niet is aan te merken als verantwoordelijke in de zin van de Wbp.

4.9.  Aegon stelt dat zij gehandeld heeft conform de toepasselijke gedragscode en dat derhalve geen sprake kan zijn van schending van een zorgvuldigheidsnorm. Bovendien kan een verzoek aan een schaderegelaar niet worden aangemerkt als een verzoek zoals beschreven in artikel 35 lid 1 Wbp, zodat dit artikel toepassing mist. Volgens Aegon had [eiser] zijn verzoek aan de verantwoordelijke persoon -in de zin van de Wbp- binnen Aegon moeten richten.

 

CBP stuurt brief met reactie op hoofdpunten aan Eerste en Tweede Kamer en het voorlopig standpunt.

Uit't persbericht. De Europese Commissie heeft op 25 januari 2012 voorstellen gepubliceerd voor een grootscheepse herziening van het Europees juridisch raamwerk voor dataprotectie. Dat raamwerk omvat een nieuwe Europese verordening voor de verwerking van persoonsgegevens die de huidige privacyrichtlijn moet gaan vervangen en daarnaast een nieuwe richtlijn voor gegevensverwerking door politie en justitie.

Het College bescherming persoonsgegevens staat positief tegenover de harmonisatie van privacyregelgeving zoals voorgesteld in het ontwerp voor een nieuwe Europese verordening. Het vastleggen van een gelijk speelveld voor alle lidstaten van de EU is van groot belang in een tijdperk waarin gegevensverwerking in toenemende mate grensoverschrijdend is.

Aan de alomvattendheid van het wetgevingspakket wordt naar de mening van het CBP echter afbreuk gedaan door het ontwerp voor een nieuwe Europese richtlijn op het gebied van gegevensbescherming in de rechtshandhavingssector. De teksten van beide instrumenten lopen op punten behoorlijk uiteen. Het CBP dringt er op aan dat de samenhang tussen beide instrumenten wordt gewaarborgd en op een aantal punten fors versterkt.

Het CBP heeft in een brief van 2 maart 2012 zijn voorlopig standpunt over de voorstellen van de Commissie aan de beide Kamers gestuurd.

White paper 'Cookies Under Control', SOLV-blog 29 februari 2012.

Een bijdrage van Milica Antic, SOLV.

De nieuwe regels over het gebruik van cookies is een onderwerp waar Milica Antic inmiddels al veel over heeft gezegd en geschreven. Vandaag verschijnt van haar hand een overzichtelijke white paper met daarin informatie over de actuele stand van zaken met betrekking tot de nieuwe regels, de implicaties voor de praktijk, tips en antwoord op 5 belangrijke vragen:

1) Voor welke technologiën gelden de nieuwe regels?
2) Wie is verantwoordelijk?
3) Hoe moet worden voldaan aan de regels?
4) Hoe zit het met zelfregulering?
5) Wie gaat er handhaven?

De white paper is het Engels opgesteld.

Voor opmerkingen, aanbevelingen of vragen kunt u terecht bij Milica: antic@solv.nl of via Twitter: milica_antic. Wij zijn benieuwd naar uw mening!

Uit't persbericht: Naar aanleiding van de uitzending van Nieuwsuur van gisteravond over het filmen van personen op de spoedeisende hulp van het VU medisch centrum in Amsterdam, zal het College bescherming persoonsgegevens (CBP) het VU medisch centrum en Eyeworks om inlichtingen verzoeken.

De vraag is of deze beelden hadden mogen worden opgenomen. Voor het verwerken van persoonsgegevens is een wettelijke grondslag nodig. Voor het filmen van mensen op een dergelijke locatie en in een dergelijke situatie komt mogelijk alleen de grondslag ‘ondubbelzinnige toestemming’ in aanmerking. Aan de wijze waarop rechtsgeldig toestemming moet worden gegeven stelt de wet hoge eisen, zeker wanneer het gaat om medische gegevens, die vanzelfsprekend gevoelig van aard zijn.

W.H. van Holst, De derde landen problematiek van de Wbp en de beroepsaansprakelijkheid van de juridisch adviseur, IT 682.

Commentaar van Walter van Holst, Mitopics.

Onlangs is een aantal wijzigingen in de Wet bescherming persoonsgegevens (Wbp) van kracht geworden die met name de doorgifte van persoonsgegevens naar zogenaamde derde landen beoogt te vereenvoudigen. Enige kritische kanttekeningen bij de meest in het oog springende wijziging: het mogelijk maken van doorgifte van persoonsgegevens naar derde landen zonder een vergunningsprocedure.

De toevoeging van sub g aan lid 1 van artikel 77 Wbp is een intrigerende wijziging in het licht van de wetsgeschiedenis van Richtlijn 95/46/EG waar de Wbp nu eenmaal een implementatie van is. Met de memorie van toelichting in de hand valt uit de huidige tekst inderdaad op te maken dat er zelfs geen sprake meer is van een meldplicht voor een doorgifte aan een zogenaamd ‘derde land’ (lees: een land buiten de Europese Vrijhandelsassociatie), mits er gebruik wordt gemaakt van de bekende modelcontracten van de Europese Commissie. Dit is mogelijk gemaakt door Besluit 2004/915/EC van de Europese Commissie om Beschikking 2001/497/EG aan te passen en eerst nu geïmplementeerd in de Nederlandse wetgeving. De redactie van artikel 77 Wbp heeft daarbij niet aan leesbaarheid gewonnen, maar daar zullen we in het licht van de 25 januari jl. voorgestelde Algemene Verordening Bescherming Persoonsgegevens niet lang last van hebben.

Het blijft echter de vraag of deze wijziging, die in feite een aanvulling geeft op artikel 25 lid 1 van Richtlijn 95/46/EG (zonder de richtlijn aan te passen, een innovatieve wijze van een richtlijn herzien) nog wel beantwoordt aan de materiële eisen van artikel 8 van het Europees Handvest voor de Rechten van de Mens en artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Immers, het inzage-, correctie- en verwijderingsrecht van betrokkene wordt nu geheel afhankelijk gesteld van het effectueren van de bevoegdheden uit de conform modelcontracten aangegane bewerkersovereenkomst van de verantwoordelijke.

Perspectief van een praktijkjurist
Vanuit het perspectief van een praktijkjurist is een andere vraag inmiddels minstens zo interessant: is het, ondanks het bestaan van deze formele opening voor doorgifte naar derde landen, wel verstandig om een cliënt te adviseren hier gebruik van te maken?

Er zijn een aantal aanleidingen om te stellen dat een redelijk, vakbekwaam handelend jurist een negatief advies dient uit te brengen in het geval hem of haar gevraagd wordt een uitspraak te doen over doorgifte van persoonsgegevens naar een derde land. In dit blog zal ik twee aanleidingen nader bespreken.

Datagraaierij
Allereerst het fenomeen “datagraaierij” waar met name de overheid van de Verenigde Staten zich schuldig aan maakt. Het gaat hier om het opvragen van gegevens uit hoofde van onder andere de bekende PATRIOT Act. Minder bekend is dat een andere Amerikaanse wet, de Protect America Act uit 2007, de bevoegdheid in het leven heeft geroepen om alle communicatie waarbij tenminste één van de betrokkenen zich buiten de grenzen van de Verenigde Staten bevindt, onder electronische surveillance te plaatsen zonder voorafgaand rechterlijk bevel. Service providers die gehoor geven aan een dergelijk bevel, hebben civielrechtelijke immuniteit tegenover derden.

Interessant daarbij is dat de Amerikaanse overheid met name aan de PATRIOT Act een extraterritoriale werking toekennen: als de gevraagde gegevens zich niet op het grondgebied van de Verenigde Staten bevinden maar wel beheerst worden door bedrijven met een substantiële presentie in de Verenigde Staten, worden dergelijke bedrijven voor de de facto keuze gesteld aan inzageverzoeken te voldoen of hun activiteiten in de Verenigde Staten te beëindigen. Dit zou vanuit het oogpunt van gegevensbescherming geen probleem hoeven te zijn als de Verenigde Staten een toetsingskader zouden hanteren wat vergelijkbaar is met ons EVRM en de Richtlijn 95/46/EG in termen van proportionaliteit.

Niet alleen de overheid van de Verenigde Staten heeft een forse datahonger, ook de overheden van populaire uitbestedingslanden zoals India en China tonen weinig scrupules op dit terrein en hebben evenmin een niveau van waarborgen wat als gelijkwaardig met dat van de EU beschouwd kan worden.

De eerder aangehaalde beslissing van de Europese Commissie (2004/915/EC) bevat echter een aantal elementen die in samenhang met de eerdergenoemde datagraaierij op gespannen voet staan met een eventuele doorgifte naar derde landen zoals de Verenigde Staten, India en China. Zo vermelden de overwegingen onder andere het volgende:

“(…) de gegevensexporteur is ook aansprakelijk indien hij geen redelijke inspanning doet om zich ervan te vergewissen dat de gegevensimporteur in staat is om aan zijn wettelijke verplichtingen volgens de contractbepalingen te voldoen ("culpa in eligendo") (…).”  (2004/915/EC, overweging 5)

In het licht van de vergaande inzagebevoegdheden die overheden van derde landen hebben, valt te betwijfelen of een verantwoordelijke nog wel gepaste zorg heeft betracht indien persoonsgegevens naar derde landen zoals genoemd worden doorgegeven. Ook wordt in dit kader de vraag opgeroepen of verantwoordelijke niet aansprakelijk is voor de eventuele schade die een betrokkene lijdt als gevolg van een dergelijke inzage.

Tweede punt: waarborgen
Het tweede punt is dat een toezichthouder tot de conclusie kan komen dat, ondanks het gebruik van de standaardcontracten, de verwerking niet met voldoende waarborgen omkleed is en dat onmiddellijke opschorting van de verwerking geëist kan worden. Juist nu meer en meer kritische bedrijfsprocessen van organisaties voorwerp zijn van uitbesteding in enigerlei vorm, kan een dergelijk besluit een enorme impact hebben op de continuïteit van de bedrijfsprocessen. Deze situatie heeft zich nog niet voorgedaan, maar het is een kwestie van tijd dat dit zich eens gaat voordoen.

Om deze redenen acht ik het dan ook hoogst twijfelachtig of het uit oogpunt van juridische vakbekwaamheid verdedigbaar is om te adviseren om van deze route gebruik te maken.

W.H. van Holst
Wilt u reageren? Klik hier of stuurt u uw bijdrage in naar redactie@itenrecht.nl.

De Wet bescherming persoonsgegevens (Wbp) is op een aantal punten aangepast. Het voornaamste doel hiervan is de administratieve lasten en nalevingskosten voor verantwoordelijken - bedrijven en instellingen die persoonsgegevens verwerken - te verminderen. De wet ‘Wijziging Wbp in verband met de vermindering van administratieve lasten en nalevingskosten, wijzigingen teneinde wetstechnische gebreken te herstellen en enige andere wijzigingen’ (31 841) treedt in werking op 9 februari 2012 .

Hieronder volgt een overzicht van de aanpassingen die lastenverlichting opleveren voor verantwoordelijken en van de belangrijkste overige wijzigingen. Het Wbp-artikel waarin een genoemde wijziging zich voordoet, staat tussen haakjes achter de beschrijving. Zie hier.

Met dank aan Jan-Jaap Oerlemans, promovendus Universiteit Leiden en juridisch adviseur Fox-IT.

Tot en met 29 februari 2012 wordt een wijzigingswet van de Wet bescherming persoonsgegevens (Wbp) ter consultatie gegeven. In het concept van de wijzigingswet wordt onder andere ingegaan op de algemene meldplicht datalekken. Tegelijkertijd bestaan er nog een aantal sectorspecifieke meldplichten. In dit bericht wil ik overzicht geven van de meldplichten die al bestaan en nog in de maak zijn.

Meldplicht datalekken I
Bij de Eerste Kamer ligt nu een voorstel voor een meldplicht datalekken voor aanbieders van openbare elektronische communicatiediensten (denk aan telefoniebedrijven en internet service providers) dat betrekking heeft tot beveiligingsincidenten die nadelige gevolgen hebben voor de privacy van de betrokkenen. De meldplicht wordt geïmplementeerd naar aanleiding van Europese richtlijnen die wij inmiddels al in onze nationale wetgeving geïmplementeerd hadden moeten hebben.

Betrokkenen hoeven niet geïnformeerd te worden wanneer naar het oordeel van het College (hier nog de OPTA) gepaste technische maatregelen zijn genomen, waardoor geen toegang kan worden verschaft tot de persoonsgegevens. De OPTA moet dus wel in kennis worden gesteld, maar de melding aan de betrokkenen kan eventueel achterwege blijven. De OPTA heeft hierbij het laatste woord.

Daarnaast komt er een meldplicht voor ‘veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Die melding moet (hoogstwaarschijnlijk?) worden gedaan aan het Agentschap Telecom. Een meldpunt zou ervoor moeten zorgen dat geen overlap of onduidelijkheid optreed bij welke instantie nu een melding moet worden gedaan als het incident zowel gevolgen heeft voor zowel de bescherming van persoonsgegevens als de integriteit van het netwerk. Zie over deze meldplicht dit verhelderende artikel in het tijdschrift Computerrecht van Frederik Borgesius (UvA).

Meldplicht datalekken II
Het kabinet wil de voorgestelde meldplicht uit de Telecommunicatiewet blijkbaar nú al wijzigen. In het conceptwetsvoorstel (.pdf) voor wijziging van de Wet bescherming persoonsgegevens wordt namelijk een meldplicht voorgesteld die zeer vergelijkbaar is met die uit de Telecommunicatiewet, maar die nu aan College Bescherming Persoonsgegevens moet worden gedaan. Op zich wordt een wirwar aan instanties voor dezelfde meldplicht (m.b.t. persoonsgegevens) deels voorkomen door het CBP als instantie voor te wijzen, maar de toezicht zou nog steeds moeten liggen bij de OPTA. Bovendien is het onduidelijk wat nu de bedoeling is met dat meldpunt waar in de toelichting van de wijzigingswet voor de Telecommunicatiewet over wordt gesproken.

In het conceptwetsvoorstel wordt van een algemene meldplicht uitgegaan voor zowel private als publieke partijen. Dat is een discrepantie met het regeerakkoord waar slechts werd gesproken over een meldplicht voor verlies bij persoonsgegevens voor ‘diensten in de informatiemaatschappij’. Bij dit begrip moet vooral gedacht worden aan webwinkels en hosting providers.

Betrokken moeten alleen worden geïnformeerd indien het incident heeft geleid tot een ‘aanmerkelijk risico dat het incident leidt tot verlies of de onrechtmatige verwerking van persoonsgegevens’. De verantwoordelijke in de zin van de Wbp moet de melding doen en betrokkenen inlichten. Hoe deze melding precies moet plaatsvinden is afhankelijk van het aantal betrokkenen bij het beveiligingsincident. Een kleine kring betrokkenen kan volgens de toelichting op het voorstel persoonlijk worden ingelicht en anders kan met een advertentie in een dagblad worden volstaan. Het verbaast mij dat e-mail niet expliciet als voorbeeld wordt genoemd.

Het blijft natuurlijk vaag wanneer precies zo’n melding moet worden gedaan aan betrokkenen. Eventueel kan de toezichthouder hier in beleidsregels duidelijkheid over geven. Versleuteling wordt als voorbeeld gegeven dat zo’n meldplicht aan betrokkenen (niet de toezichthouder) kan worden voorkomen. Echter, als een bedrijf echt goed gehackt wordt kan wellicht ook toegang worden verschaft tot de versleutelde bestanden.

Zie ook dit blogbericht van Dirkzwager Advocaten over het conceptvoorstel en de algemene meldplicht. 

Meldplicht voor financiële instellingen
In het conceptwetsvoorstel wordt uitgebreid ingegaan op meldplichten voor financiële instellingen. Het komt er op neer dat zij ook een soort meldplicht hebben, maar dan op grond van de artikelen 3:10 lid 3 en 4:11 lid 4 Wet op het financieel toezicht (Wft). Zij zijn verplicht informatie te verstrekken aan De Nederlandsche Bank (DNB en de Autoriteit Financiële Markten (AFM) over ‘incidenten die betrekking hebben op de integere bedrijfsvoering’. Skimmingspraktijken worden als voorbeeld genoemd als een incident dat valt onder de meldplicht. Financiële instellingen moeten hun cliënten informeren over het incident en als daartoe aanleiding bestaat schadeloos stellen. Indien nodig kan de DNB of AFM interveniëren bij de onderneming.

Let op: een openbare kennisgeving van het beveiligingsincident zoals voorgesteld in de Wbp is voor de financiële instellingen niet van toepassing. Door de informeringsplicht aan de cliënten van de banken en eventuele schadeloosstelling is volgens het conceptwetsvoorstel de bescherming van persoonsgegevens voldoende gewaarborgd. Voorkomen wordt dus dat nog een extra meldplicht aan de financiële instellingen wordt opgelegd. Opgemerkt wordt nog:

“Dergelijke openbare kennisgevingen in de financiële sector zijn - mede tegen de achtergrond van de financiële crisis – te risicovol om dwingend te worden voorgeschreven. Onvoorspelbaar is of een openbare kennisgeving kan leiden tot het ontstaan van geruchten die niet meer op zakelijke wijze ontzenuwd kunnen worden en die daardoor nodeloos aanleiding geven tot vermindering van vertrouwen van het publieke of de relevante markt.”

Daar kan ik mij op zich wel wat bij voorstellen, maar het is de vraag of de Kamerleden het ook voldoende vinden.

Meldplicht beveiligingslekken?
Kamerlid Jeanine Hennis-Plasschaert heeft tenslotte een motie voorgesteld (Kamerstukken II 2011/12, 26 643, nr. 202) die is aangenomen over de meldplicht voor inbreuken bij organisaties die zijn betrokken bij vitale informatiesystemen. Deze meldplicht is aangenomen in de tijd van het Diginotar-incident. Het is bedoeling dat het Nationaal Cyber Security Centrum daar dan over wordt ingelicht en er eventueel naar handelt. Opstelten heeft in zijn Kamerbrief over cybersecurity aangegeven dat hij vóór het zomerreces van 2012 laat weten of en op welke manier aan de motie uitvoer wordt gegeven.

Conclusie
Ik heb er niet zoveel ideeën over of de invoering van nieuwe meldplichten nu wel of niet verstandig is. Helemaal nieuw zijn ze niet, want voor beursgenoteerde bedrijven bestaat al een meldplicht bij incidenten die van invloed kunnen zijn op de koers en daarnaast bestaat er al een meldplicht voor het lekken van staatsgeheimen. Tenslotte kan een meldplicht ook contractueel overeen worden gekomen tussen partijen. Duidelijk is wel dat ook met het conceptwetsvoorstel bedrijven met verschillende instanties te maken kunnen hebben die toezien op de meldplichten. Dat maakt het wel allemaal wel ingewikkeld en bureaucratisch. Positief is dat bedrijven onder dreiging van een boete van 200.000 euro de beveiligingsplicht voor persoonsgegevens (zoals vastgelegd in artikel 13 Wbp) in de toekomst wellicht (nog) serieuzer zullen nemen.

Brief regering betreffende de ICT-beveiligingsassessments DigiD gebruikende organisaties, Kamerstukken II, 26 643, nr. 224.

In deze brief ga ik in op de inzet van een aantal specifieke maatregelen zoals aangekondigd in de brief van 11 oktober 2011 met onderwerp: “Lekken in aantal gemeentelijke websites”. Daarin is u gemeld dat organisaties die gebruik maken van DigiD jaarlijks hun ICT-beveiliging, voor zover deze DigiD raakt, dienen te toetsen op basis van een ICT-beveiligingassessment.

Inhoudsopgave [red.]:
De norm voor ICT beveiliging
Uitvoeren ICT beveiligingassessments
Gefaseerdde aanpak
Grootgebruikers
Gemeenten, Provincies en Unie van Waterschappen.
Uitvoeren ‘hack’-testen
Communicatie richting organisaties
Tot slot

De norm voor ICT beveiliging
De ICT-beveiligingassessments worden uitgevoerd met de ICTBeveiligingsrichtlijnen voor webapplicaties van het Nationaal Cyber Security Centrum (NCSC,voorheen GOVCERT.NL) als basis. Deze beveiligingsrichtlijnen bevatten maatregelen op het gebied van netwerkveiligheid, besturingssysteem, basisbeveiliging (virusscanner, firewall) en
applicatiebeveiliging. Ook een ‘hack’-test ofwel een zogenaamde penetratietest maakt deel uit van de richtlijnen. De beveiligingsrichtlijnen zijn opgesteld in samenspraak met een aantal publieke en private partijen, waaronder beveiligingsexperts. De richtlijnen worden gepubliceerd op de website van het NCSC. Bij nieuwe dreigingen stelt het NCSC de beveiligingsrichtlijnen bij. De normstelling voor de assessments wordt bepaald door de belangrijkste elementen van de bovengenoemde richtlijnen. Met deze normstelling wordt een forse impuls gegeven aan de verdere kwaliteitsverhoging van de ICTbeveiliging bij de overheid.

Uitvoeren ICT beveiligingassessments Allereerst zullen de organisaties die DigiD gebruiken, geïnformeerd worden over de bovengenoemde normstelling. Op deze wijze kunnen de DigiD gebruikende organisaties de benodigde aanpassingen in hun organisaties treffen en zich adequaat voorbereiden op de ICT-beveiligingsassessments. Daarnaast dienen zij de ICT-beveiligingassessments te laten uitvoeren onder verantwoordelijkheid van een Register EDP-auditor.1 Deze auditors beschikken over de benodigde kennis en ervaring voor dergelijke onderzoeken. Organisaties die een Register EDP-auditor in dienst hebben, kunnen desgewenst een zogeheten self-assessment uitvoeren. Vervolgens dienen de conclusies van de ICT-beveiligingsassessments in de vorm van een rapportage door de gebruikende organisaties aan Logius2 te worden opgeleverd.

De Register EDP-auditors die in het register van de NOREA zijn ingeschreven, zijn onderworpen aan internationale regelgeving op het terrein van audit en assurance, waaronder de ‘Code of Ethics’ en de Richtlijn ‘Assurance Opdrachten’.

Gefaseerde aanpak
In de brief van mijn voorganger van 11 oktober jl. is aangegeven dat alle organisaties voor 1 april 2012 de ICT-beveiligingsassessments moesten hebben doorlopen. Omdat het belangrijk is te komen tot een duurzame richtlijn heeft dit zijn tijd gekost. Verder heeft nader onderzoek laten zien dat de markt op deze termijn niet kan voldoen aan de benodigde expertise met betrekking tot de assessments en penetratietesten. Ook zijn er signalen van DigiD gebruikende organisaties, waaronder VNG en KING3, dat de benodigde aanpassingen en de doorlooptijd niet onderschat moet worden. Naast de huidige aanpak waarbij ingeval van signalen altijd nader onderzoek plaatsvindt en ingeval van inbraak onverwijld wordt afgesloten van DigiD, heb ik gekozen voor een gefaseerde aanpak met betrekking tot de beveiligingsassessments. Daarbij wordt ingezet op prioriteiten als het gaat om type organisatie en het belang voor de burger. Grootgebruikers van DigiD dienen voor het eind van het jaar het ICTbeveiligingsassessment te hebben uitgevoerd. Overige organisaties dienen het assessment uiterlijk een jaar later uitgevoerd te hebben.

Grootgebruikers
Logius start per direct een samenwerkingstraject met de grootgebruikers van DigiD omdat deze cruciaal zijn voor de overheidsdienstverlening. Organisaties als de Belastingdienst, DUO en de UWV behoren daartoe. Het is ons streven om te komen tot een spoedige afronding van de assessments bij deze organisaties. Andere organisaties kunnen vanzelfsprekend daarop aansluiten. Logius biedt daarnaast ondersteuning aan organisaties (niet gemeenten) door voorlichting en het delen van best practices. Bij de vormgeving van het traject voor deze organisaties zal gebruik worden gemaakt van de ervaringen die bij de grootverbruikers zijn opgedaan, alsmede de impactanalyse bij een aantal gemeenten.

1 Electronic Data Processing auditor.
2 Logius is onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
3 Kwaliteits Instituut Nederlandse Gemeenten

Gemeenten, Provincies en Unie van Waterschappen.      VNG start, ondersteund door KING, per direct een samenwerkingstraject meteen vertegenwoordiging van auditors en ICT-leveranciers van gemeenten overde aanpak van de ICT-beveiligingassessments bij gemeenten. Dit traject heeftals doel om een efficiënte uitvoering en eenduidige toepassing van de ICTbeveiligingsrichtlijnen bij gemeenten te bewerkstellingen. Dit doel wordt versterkt door het feit dat bepaalde auditors en ICT-leveranciers in opdrachtvan meerdere gemeenten werken. In dit traject kunnen desgewenst ook het Interprovinciaal Overleg en de Unie van Waterschappen worden betrokken.

KING voert de eerste helft van dit jaar bij een aantal gemeenten, waaronder kleine, middelgrote en grote gemeenten, een impactanalyse uit. De uitkomsten hiervan bieden input voor een gestandaardiseerde aanpak voor het uitvoeren van de ICT-beveiligingassessment bij gemeenten. Dit mede met het oog op het beperken van de uitvoeringslasten.

Daarnaast onderzoeken VNG en KING hoe zij gemeenten structureel op het terrein van ICT-beveiliging kunnen ondersteunen. Afhankelijk van de uitkomsten van deze onderzoeken bepalen VNG en KING hoe zij gemeenten
ondersteunen bij de assessments (te denken valt aan het inrichten van een helpdesk).

Tevens zal ik het onderwerp ICT-beveliging agenderen in mijn eerstvolgende overleg met de mede-overheden, en bezien of nadere bestuursafspraken nodig zijn.

Uitvoeren ‘hack’-testen
In het kader van de jaarlijkse ICT-beveiligingsassessments heeft Logius de mogelijkheid om enkele betrouwbare marktpartijen opdracht te geven tot het kraken van de ICT-beveiliging van gebruikende organisaties. Deze mogelijkheid staat los van de ‘hack’-testen of zogenaamde penetratietesten die Logius zelf jaarlijks laat uitvoeren op DigiD. Communicatie richting organisaties In de afgelopen periode is het effectief gebleken de communicatie te stroomlijnen. Daarom zijn er afspraken gemaakt over wie de aanspreekpunten zullen zijn. Voor vragen over het proces, kunnen organisaties bij Logius terecht. VNG is aanspreekpunt voor gemeenten. NCSC levert informatie over de beveiligingsrichtlijn. EDP-auditors kunnen met vragen bij NOREA terecht.

Tot slot
Hoewel 100% veiligheid nooit te garanderen is, wordt met deze samenwerking een belangrijke en haalbare impuls gegeven aan de kwaliteitsverbetering van ICT- beveiliging bij de overheid. In het derde kwartaal van 2012 zal ik u informeren over de stand van zaken met betrekking tot de genomen kwaliteitsmaatregelen.

De minister van Binnenlandse Zaken en Koninkrijksrelaties,
J.W.E. Spies

Hof Amsterdam, nevenzittingsplaats Arnhem 31 januari 2012, LJN BV2565 (appellant tegen waarborgmaatschappij Medirisk)

Verwerking persoonsgegevens; inzage op grond van Wet bescherming persoonsgegevens. [appellant] heeft op verzoek van Medirisk de medisch directeur, alsmede het medisch en paramedisch personeel van het OLVG gemachtigd de bij hen berustende medische en paramedische gegevens met betrekking tot de aansprakelijkstelling over te leggen aan de medisch adviseur van Medirisk. [appellant] is er verder mee akkoord gegaan dat de medisch adviseur voor de behandeling van de schadekwestie inzage van de medische gegevens verstrekt aan en ten behoeve van bij Medirisk werkzame medewerkers en adviseurs. Medirisk dient uiteindelijk, aldus het Hof, inzage te geven in het medisch rapport van een chirurg en ten aanzien van alle stukken aan tegeven waarover het stuk handelt en om welke reden zij vn mening is dat er Wbp-uitzonderingen van toepassing zijn.

4.7 Ten aanzien van overige stukken die zich in het dossier dat Medirisk over [appellant] houdt bevinden, overweegt het hof als volgt. Medirisk heeft tot op heden geweigerd een overzicht te verstrekken van de informatie die zich in haar dossier bevindt.

Ook ten aanzien van het verzoek een overzicht te verstrekken faalt het betoog van Medirisk dat [appellant] misbruik van recht maakt. Het hof verwijst naar het hiervoor overwogene.

Zonder een nadere toelichting - die ontbreekt - valt voorts niet in te zien dat het verstrekken van een overzicht er reeds toe kan leiden dat het belang dat Medirisk heeft bij het vrijelijk kunnen voeren van overleg geschaad wordt. Om te kunnen beoordelen of het hier gegevens betreft die Medirisk op grond van artikel 2 sub a van de Wbp dan wel artikel 43 sub e van de Wbp niet aan [appellant] hoeft te verstrekken, dient Medirisk derhalve een overzicht over te leggen van de stukken, inclusief eventuele bijbehorende bijlagen, die zich in haar dossier ten aanzien van [appellant] bevinden, waarbij zij per dossierstuk beknopt dient aan te geven waarover dit stuk handelt en om welke reden zij meent dat de uitzondering als bedoeld in artikel 2 sub a van de Wbp en/of artikel 43 sub e van de Wbp op dat stuk van toepassing is.

Dictum
Het hof, beschikkende in hoger beroep:
bepaalt dat Medirisk uiterlijk twee weken nadat deze beschikking in kracht van gewijsde is gegaan aan het hof en de advocaat van de wederpartij het medisch rapport van dr. J.E.L. Cremers (chirurg) zal verstrekken;

bepaalt dat Medirisk uiterlijk twee weken nadat deze beschikking in kracht van gewijsde is gegaan aan het hof en de advocaat van de wederpartij een overzicht zal verstrekken van alle zich in het dossier ten aanzien van [appellant] bevindende stukken, inclusief eventueel daarbij behorende bijlagen, waarbij Medirisk per dossierstuk beknopt dient aan te geven waarover dit stuk handelt en om welke reden zij van mening is dat de uitzondering als bedoeld in artikel 2 sub a van de Wbp en/of artikel 43 sub e van de Wbp op dat stuk van toepassing is;

bepaalt dat van deze beschikking terstond beroep in cassatie kan worden ingesteld;