Privacy  

Rechtbank Amsterdam 17 april 2012, LJN BW2784 (eiseres tegen Burgemeester van Amsterdam)

Artikel 1, tweede lid, van de Verordening (EG) nr. 2252/2004 (hierna: de Verordening), zoals gewijzigd bij Verordening (EG) nr. 444/2009, bevat de verplichting om twee vingerafdrukken in het reisdocument op te nemen. Deze verplichting impliceert dat de aanvrager van het reisdocument ook feitelijk vingerafdrukken moet afstaan. De verbindendheid van de Verordening is door betrokkene nadrukkelijk niet ter discussie gesteld. Nu betrokkene heeft geweigerd om vingerafdrukken af te staan, heeft verweerder terecht besloten om de aanvraag niet (verder) in behandeling te nemen. De omstandigheid dat in de Paspoortuitvoeringsregeling Nederland 2001, in afwijking van de Verordening, de verplichting is opgenomen om vier vingerafdrukken af te staan, leidt niet tot een ander oordeel. Betrokkene heeft immers helemaal geen vingerafdrukken willen afgeven, ook niet de twee door de Verordening vereiste vingerafdrukken. De rechtbank heeft verder geoordeeld dat de nationale wettelijke regeling geen uitzondering op de verplichte afname van vingerafdrukken maakt voor personen met gewetensbezwaren.

3.9. De rechtbank stelt vast dat in de Verordening twee groepen zijn vrijgesteld van de verplichte afname van vingerafdrukken, te weten kinderen jonger dan twaalf jaar en personen bij wie het nemen van vingerafdrukken fysiek onmogelijk is. Verder is een regeling opgenomen voor de situatie dat het nemen van een afdruk tijdelijk onmogelijk is. De Verordening maakt dus geen uitzondering voor personen met gewetensbezwaren.

3.10. Het in de Paspoortwet en de PUN opgenomen wettelijke kader, zoals hiervoor onder overwegingen 2.2 en 2.3 weergegeven, betreft het kader zoals dat op 28 juni 2009 als gevolg van de Rijkswet van 11 juni 2009 tot wijziging van de Paspoortwet in verband met het herinrichten van de reisdocumentenadministratie in werking is getreden. De daarin opgenomen wijzigingen strekken ertoe de wet in lijn te brengen met de Verordening (zie: TK 2007-2008 31 324, nr. 3, p. 2). Uit de wetsgeschiedenis volgt dat de wetgever geen ruimte heeft gezien voor een uitzonderingsmogelijkheid van opname van vingerafdrukken voor zover sprake is van gewetensbezwaren (zie: TK 2007-2008, 31 324, nr. 5, p. 3). Het was, gelet op overweging 4 van de considerans behorende bij de Verordening 444/2009, ook niet de bedoeling dat in de nationale wetgeving zou worden afgeweken van de in de Verordening genoemde uitzonderingen op verplichte afname van vingerafdrukken. De rechtbank leest ook feitelijk in artikel 28a, zesde lid, van de PUN geen ruimere uitzondering op de verplichting om vingerafdrukken af te staan. Uit artikel 28a, zesde lid, van de PUN volgt dat ingeval van een fysieke dan wel een tijdelijke verhindering eerst wordt gekeken of opname van afdrukken van andere vingers wel mogelijk is en voor zover het onmogelijk zou zijn om vier afdrukken op te nemen, een medische verklaring van de aanvrager kan worden verlangd. Dit duidt erop dat met een tijdelijke verhindering is gedoeld op een tijdelijke fysieke verhindering. Het in de Paspoortwet en de PUN opgenomen kader ten aanzien van de afgifte van vingerafdrukken is in zoverre dan ook in overeenstemming met het bepaalde in de Verordening en maakt geen uitzondering op de verplichte afname van vingerafdrukken voor personen met gewetensbezwaren. Het beroep van eiseres op artikel 28a van de PUN slaagt dus niet.

3.11. Ten aanzien van het beroep op artikel 8 van het EVRM overweegt de rechtbank dat het in de Paspoortwet en de PUN opgenomen kader ten aanzien van de afgifte van (in ieder geval twee) vingerafdrukken in overeenstemming is met het bepaalde in de Verordening. Het beroep op artikel 8 van het EVRM richt zich derhalve in feite op de regeling zoals vervat in de Verordening. Zoals hiervoor in overweging 3.6 al is vastgesteld, heeft de gemachtigde van eiseres desgevraagd echter uitdrukkelijk meegedeeld dat de beroepsgronden niet zijn gericht tegen de Verordening en dat de verbindendheid van de Verordening niet ter discussie wordt gesteld. De rechtbank ziet onder deze omstandigheden geen aanleiding om het beroep op artikel 8 van het EVRM te bespreken.

3.12. De beroepsgrond van eiseres dat zij op grond van artikel 4:3, eerste lid, van de Awb kan weigeren de vingerafdrukken af te staan, faalt. Het tweede lid van artikel 4:3 van de Awb bepaalt immers dat het eerste lid niet van toepassing is op bij wettelijk voorschrift aangegeven gegevens en bescheiden, waarvan is bepaald dat deze dienen te worden overgelegd.

3.13. Ter zitting heeft eiseres desgevraagd verklaard dat zij geen bezwaar heeft tegen het feit dat haar geen termijn is gegund om haar aanvraag aan te vullen omdat zij sowieso geen vingerafdrukken wilde afstaan.

Vzr. Rechtbank Amsterdam 7 februari 2012, LJN BW2576 (Staat tegen European Merchant Services)
Vzr. Rechtbank Amsterdam 8 november 2012, LJN BW2575 (Staat tegen European Merchant Services)

Geschil tussen EMS en de Belastingdienst inzake transactiegegevens van buitenlandse creditcards en debitcards. Na tussenvonnis en na overleg tussen partijen heeft de Belastingdienst de vordering beperkt tot bepaalde gegevens. EMS wordt veroordeeld om bepaalde gegevens te verstrekken onder last van een dwangsom.

EMS is aanbieder van een geldtransactiedienst waarbij cliënten betalingen met behulp van credit- en debitcards kunnen verrichten. De Belastingdienst vraagd gegevens op in het kader van een zogenoemd derdenonderzoek. Het verweer strekt zich tot afwijzing in kort geding, verder zou er strijd zijn met artikel 8 EVRM, 10 Gw en Wbp ook wordt het verzoek in strijd met de algemene beginselen van behoorlijk bestuur geacht. De voorzieningenrechter verwerpt de verweren, maar plaatst de zaak pro forma op de rol, waarna in het eindvonnis EMS alsnog wordt veroordeeld tot afgifte van bepaalde gegevens, na beperking van de vordering.

In citaten (uit tussenvonnis):

Artikel 6 EVRM

4.7.  De voorzieningenrechter verwerpt dit verweer. Het verzoek van de Belastingdienst heeft betrekking op nakoming van verplichtingen ten dienste van de belastingheffing; niet om bewijsvergaring in een strafzaak of voor bestuurlijke boete-oplegging. De enkele mogelijkheid dat de gegevens vervolgens alsnog voor laatstgenoemde doeleinden zullen worden gebruikt staat niet aan nakoming van de verplichting tot medewerking aan de vaststelling van de juiste omvang van de belastingaanslag in de weg. Of de gegevens die EMS in dit kader op verzoek van de Belastingdienst zal verstrekken gebruikt mogen worden in een eventueel strafrechtelijk onderzoek staat niet hier maar in een eventuele latere strafzaak ter beoordeling. 

Artt. 8 EVRM, 10 Gw:

4.11.  Artikel 53 AWR is een bij wet voorziene beperking van het recht op eerbiediging van de persoonlijke levenssfeer. (...)

4.12.  De voorzieningenrechter stelt voorop dat artikel 53 AWR bepaalt dat derden verplicht kunnen worden gegevens te verstrekken die belastingplichtigen op basis van de artikelen 47 en 48 tot en met 50 AWR zelf dienen te verschaffen. Daarmee is de omvang van de in artikel 53 neergelegde bevoegdheid, anders dan het EHRM kennelijk heeft aangenomen in het door EMS aangehaalde arrest, wettelijk geclausuleerd. Ook bevat de AWR bepalingen over de wijze waarop de betreffende bevoegdheid wordt uitgeoefend. Dat de Belastingdienst een discretionaire bevoegdheid heeft om artikel 53 AWR te gebruiken brengt niet met zich dat de bepaling daarmee onvoldoende bescherming biedt tegen willekeur. De Belastingdienst is immers gebonden aan het in artikel 47 AWR gebonden doelvoorschrift dat het moet gaan om gegevens die voor de belastingheffing ten aanzien van de betreffende belastingplichtige van belang kunnen zijn. Een en ander leidt tot de conclusie dat de in artikel 53 AWR aan de Belastingdienst toegekende bevoegdheid niet buiten de in artikel 8 EVRM aangegeven grenzen gaat.

A.b.b.b.

4.25.  Verder acht EMS het verzoek van de Belastingdienst in strijd met de algemene beginselen van behoorlijk bestuur, meer in het bijzonder het zorgvuldigheidsbeginsel. Daartoe voert EMS aan dat er in Nederland meerdere bedrijven actief zijn die gelijksoortige geldtransactiediensten aanbieden. Door het onderzoek te beperken tot EMS zal zij, indien bekend wordt dat EMS gegevens aan de Belastingdienst verstrekt, een minder aantrekkelijke partner kunnen worden voor haar huidige opdrachtgevers. Dit leidt tot een concurrentienadeel.

4.26.  De voorzieningenrechter verwerpt dit verweer. Het gaat in onderhavig geval om naleving van een wettelijke verplichting, welke in voorkomend geval ook aan anderen kan worden opgelegd en waarover de Belastingdienst heeft gesteld dat deze ook daadwerkelijk aan met EMS vergelijkbare ondernemingen is opgelegd. Een beperking van het opleggen van deze verplichting tot uitsluitend EMS kan dan ook niet als vaststaand worden aangenomen.

4.33.  Uit het voorgaande volgt dat het door EMS gevoerde verweer tegen de vordering niet kan slagen. De Belastingdienst heeft voldoende aannemelijk gemaakt dat zij een spoedeisend belang bij haar vordering heeft in verband met het tijdig kunnen opleggen van een (zogenaamde) primitieve aanslag. Dat toewijzing van de vordering een onomkeerbaar gevolg met zich brengt, leidt volgens vaste jurisprudentie niet tot de conclusie dat deze in kort geding niet toewijsbaar is. De vordering is derhalve toewijsbaar. Nu partijen zijn overeengekomen dat ingeval van toewijzing van de vordering nader overleg zal plaatsvinden omtrent de exacte omvang van de te verstrekken informatie en over een regeling omtrent vernietiging van niet voor het beoogde doel te gebruiken gegevens zal de zaak pro forma worden aangehouden tot 1 december 2011. Op deze datum kunnen partijen de voorzieningenrechter berichten of zij in onderling overleg tot een regeling zijn gekomen en zo ja, of en zo ja op welke wijze zij die regeling in een vonnis willen zien vastgelegd dan wel een nadere behandeling noodzakelijk is.

5.  De beslissingDe voorzieningenrechter
5.1.  verwijst de zaak pro forma naar 1 december 2011;

De voorzieningenrechter (eindvonnis)

3.1.  beveelt EMS om uiterlijk 15 februari 2012 de gegevens zoals vermeld op de aan dit vonnis gehechte bijlage “Overzicht door EMS te verstrekken velden”, voor zover betrekking hebbend op in Nederland verrichte transacties met buitenlandse betaalkaarten in de periode van 1 januari 2009 tot en met 31 december 2011, waaronder in ieder geval alle transacties met buitenlandse betaalkaarten verricht bij in Nederland gevestigde merchants waar EMS een (betaaldienstverlenings)overeenkomst mee heeft gesloten;

3.2.  veroordeelt EMS aan de Belastingdienst een dwangsom te betalen van EUR 5.000,00 voor iedere dag waarop zij niet aan de in 3.1 uitgesproken veroordeling heeft voldaan, tot een maximum van EUR 150.000,00 is bereikt;

Focus CBP 2012: profilering, datalekken, toegang tot medische gegevens - Privacytoezichthouder presenteert Jaarverslag 2011

De voorzitter van het CBP, Jacob Kohnstamm, presenteerde vandaag het Jaarverslag 2011. Kohnstamm kondigde daarbij aan dat de privacytoezichthouder zich in 2012 zal richten op de ondoorzichtigheid van de verwerking van persoonsgegevens ten behoeve van profilering. Burgers moeten meer inzicht hebben in het gebruik van profielen door bedrijven en overheden stelt de CBP-voorzitter.

Lees het beknopte jaarverslag: ‘Het CBP in 2011’ (2,2 MB)
Lees de uitgebreide versie van het jaarverslag (1,6 MB)

ICT~Office start de commissie privacy om de ICT-branche op het gebied van het thema 'privacy' te organiseren en zodoende een bijdrage te leveren aan de discussie over de balans tussen ICT, innovatie en privacy. De commissie staat open voor vertegenwoordigers van lidbedrijven van ICT~Office die binnen hun organisatie op strategisch niveau verantwoordelijk zijn voor privacy en de impact van privacy op de business. Lees meer hier

Rechtbank ’s-Gravenhage 15 maart 2012, LJN BV9594 / LJN BV9587

Met samenvatting van Hanneke van Lith, masterstudent IVIR.

Vergelijkbaar met IT 660: Phishing en incidentenregister. Twee beschikkingen. Wbp. Incidentenregister. Phishing.

Het verzoek van de ouders om de persoonsgegevens van hun kind bij de Stichting CIS en van het incidentenregister van de ING te verwijderen is afgewezen.

De rechtbank geeft in beide zaken te kennen dat onbetwist vast staat dat de pinpas en pincode van de minderjarige zijn gebruikt bij zogenaamde ‘phishing-fraude’. Het kind heeft namelijk verklaard dat hij vrijwillig zijn pinpas en pincode heeft afgegeven, om makkelijk geld te verdienen. Door de ouders van het kind wordt echter aangevoerd dat hun kind onder valse voorwendselen is overgehaald zijn/haar pinpas en pincode te verstrekken aan een derde. De rechtbank geeft de ouders de mogelijkheid dit te bewijzen door middel van getuigenverklaringen.

Tot die tijd heeft de rechtbank bepaalt dat de persoonsgegevens van het kind niet hoeven te worden verwijderd door de ING.

4.11. Tussen partijen is niet in geschil dat de betaalrekening van [kind van verzoekers] is gebruikt voor frauduleuze transacties. Gezien de verklaring van [kind van verzoekers] tegenover de politie is vast komen te staan dat [kind van verzoekers] daarbij betrokken was. Hij heeft in zijn verklaring toegegeven dat hij met het oog op een snelle verdienste van wel een paar honderd euro zijn pas en pincode aan een derde heeft afgegeven, zodat die zijn rekening zou kunnen gebruiken. Hij kwam zelf tot het besef dat een en ander niet klopte. Dat [kind van verzoekers] er daarom spijt van kreeg en zijn moeder informeerde en vervolgens openheid van zaken heeft gegeven bij de politie, doet op zich aan zijn betrokkenheid bij de fraude niet af. In de gegeven omstandigheden is naar het oordeel van de rechtbank aan de criteria voor opneming in het incidentenregister en het daaraan gekoppelde EVR voldaan en had ING derhalve een gerechtvaardigd belang de persoonsgegevens van [kind van verzoekers] daarin op te nemen.

4.12. Tegenover dit belang van ING staan de mogelijke nadelige gevolgen voor [kind van verzoekers] als gevolg van opnemen van zijn persoonsgegevens in de registers. De afweging van deze belangen valt in het nadeel van [kind van verzoekers] uit. De rechtbank heeft daarbij in aanmerking genomen dat [kind van verzoekers] nog wel kan bankieren. Weliswaar is de zogenaamde convenantenrekening - een basale bancaire rekening waarop betalingen kunnen worden ontvangen en waarvan betalingen kunnen worden verricht - alleen te openen door meerderjarigen, maar ter zitting heeft ING aangegeven bereid te zijn een rekening voor [kind van verzoekers] te openen die identiek is aan de convenantenrekening. Bovendien is de opname in verband met de leeftijd van [kind van verzoekers] beperkt tot vier jaar.

Vzr. Rechtbank Utrecht 21 maart 2012, LJN BW1070 (eiser tegen NS Groep)

Rechtspraak.nl: Kort geding. Geschil draait om vraag of er voor een student die met de trein wil reizen in de zogenaamde vrij reizen periode een verplichting bestaat tot het in- en uitchecken met zijn (persoonlijke) OV-chipkaart (althans dat alleen aldus een geldig elektronisch vervoersbewijs wordt verkregen) en zo ja, of deze verplichting in strijd is met de Wet bescherming persoonsgegevens. Voldoende aannemelijk is dat er een contractuele grondslag bestaat voor de (invoering van de) verplichting tot inchecken op basis van artikel 18.2 van de geldende Algemene Voorwaarden (AVR-NS). Geen nietigheid van deze bepaling op grond van artikel 3:40 BW, want geen strijd met artikel 5 Besluit Personenvervoer. Tevens is voldoende aannemelijk dat de gegevensverwerking die plaatsvindt bij het in- en uitchecken noodzakelijk is voor de uitvoering van de vervoersovereenkomst tussen NS en reiziger (artikel 8 onder b Wet bescherming persoonsgegevens). De op basis van artikel 18.2 AVR-NS ingevoerde verplichting tot in- en uitchecken is immers een vereiste geworden voor het hebben van een geldig vervoersbewijs (artikel 8.7 AVR-NS).

Vzr. Rechtbank Rotterdam 1 december 2011, LJN BU6967 (A tegen Stichting AFM)

Doorgeven van leads. Onderbemiddelen. Gegevensbescherming.

Onder verwijzing naar uitspraken is de voorzieningenrechter vooralsnog van oordeel dat, gelet op de wetsgeschiedenis met betrekking tot het begrip bemiddelen en de ruime definitie daarvan zoals weergegeven in artikel 1:1 van de Wft, in het geval van verzoeker sprake is van werkzaamheden in de uitoefening van een beroep of bedrijf die gericht zijn op het als tussenpersoon tot stand brengen van een overeenkomst tussen consument en aanbieder en er derhalve sprake van (onder)bemiddelen is. Hierbij is van belang dat, nadat de consument zijn gegevens had achtergelaten op de website van [B], via die website automatisch een ‘lead’ werd verzonden aan financiëledienstverlener [E]...

...dan wel financiële dienstverlener [G], de door de consument in te vullen gegevens meer inhielden dan alleen zogenaamde NAW-gegevens, en de omstandigheid dat verzoeker werd betaald voor de via zijn website verkregen ‘leads’. Het feit dat sprake is van een door verzoeker geheel geautomatiseerd systeem van gegevensoverdracht tussen consument en de financiële dienstverleners maakt het voorgaande niet anders evenmin als het gegeven dat verzoeker heeft bemiddeld voor bemiddelaars die wel in het bezit zijn een vergunning.

Hof 's-Gravenhage 23 maart 2012, LJN BV9836 (virus & trojan)

Strafzaak. De verdachte heeft zich samen met een ander schuldig gemaakt aan het maken en verspreiden van een virus en een trojan, welke (onder andere) de functie hadden om inloggegevens en wachtwoorden af te vangen, op te slaan en naar een voor de verdachte en zijn medeverdachte toegankelijke bestandslocatie te verzenden. Van die gegevens kon misbruik worden gemaakt en dat is ook gebeurd. Aldus heeft de verdachte opzettelijk een stoornis in de besmette computers veroorzaakt, zodat er gemeen gevaar voor een ongestoorde dienstverlening te duchten is geweest. De verdachte heeft welbewust misbruik gemaakt van zijn kennis van informatie- en communicatietechnologie.

Het Hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 730 (zevenhonderddertig) dagen. Tevens wordt bepaald dat een gedeelte van de gevangenisstraf, groot 405 (vierhonderdvijf) dagen, niet ten uitvoer zal worden gelegd, tenzij de rechter later anders mocht gelasten omdat de verdachte zich voor het einde van een proeftijd van 2 (twee) jaren aan een strafbaar feit heeft schuldig gemaakt.

Het hof heeft de op te leggen straf bepaald op grond van de ernst van de feiten en de omstandigheden waaronder deze zijn begaan en op grond van de persoon en de persoonlijke omstandigheden van de verdachte, zoals daarvan is gebleken uit het onderzoek ter terechtzitting.

Daarbij heeft het hof in het bijzonder het volgende in aanmerking genomen. De verdachte heeft zich samen met een ander schuldig gemaakt aan het maken en verspreiden van een virus en een trojan, welke (onder andere) de functie hadden om inloggegevens en wachtwoorden af te vangen, op te slaan en naar een voor de verdachte en zijn medeverdachte toegankelijke bestandslocatie te verzenden. Van die gegevens kon misbruik worden gemaakt en dat is ook gebeurd. Aldus heeft de verdachte opzettelijk een stoornis in de besmette computers veroorzaakt, zodat er gemeen gevaar voor een ongestoorde dienstverlening te duchten is geweest. De verdachte heeft welbewust misbruik gemaakt van zijn kennis van informatie- en communicatietechnologie. Daarmee heeft de verdachte het vertrouwen ondermijnd dat internetgebruikers in een ongestoorde afwikkeling van creditcard- en bancaire diensten moeten kunnen stellen. Dat is schadelijk voor het functioneren van dat systeem.

Nieuw op MijnPrivacy.nl: ‘Privacy bij een zwarte lijst’

Mag een bedrijf mij zomaar op een zwarte lijst zetten? Wat doe ik als ik ten onrechte op een zwarte lijst sta? Antwoord op deze vragen vindt u in het nieuwe dossier ‘Privacy bij een zwarte lijst’ op MijnPrivacy.nl, de publiekssite van het CBP. Ook vindt u op deze website vernieuwde informatie over het toetsen van uw kredietwaardigheid.

Wat is een zwarte lijst?
Wie heeft toegang tot een zwarte lijst?
Is de Wet bescherming persoonsgegevens (Wbp) van toepassing op een zwarte lijst?
Mag een bedrijf mij zomaar op een zwarte lijst zetten?
Hoe kom ik te weten of ik op een zwarte lijst sta?
Kan ik mijn persoonsgegevens op een zwarte lijst inzien?
Kan ik mijn persoonsgegevens op een zwarte lijst laten corrigeren of verwijderen?
Wat kan ik doen als ik een vraag of klacht heb over een zwarte lijst?

Wetsvoorstel introduceert boetebevoegdheid toezichthouder bij datalekken
22 maart 2012
Uit't persbericht: Het CBP heeft de staatssecretaris van Veiligheid en Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties geadviseerd over het wetsvoorstel ‘gebruik camerabeelden en meldplicht datalekken’. Het wetsvoorstel introduceert de plicht voor bedrijven en overheden die persoonsgegevens verzamelen en gebruiken om een datalek zo snel mogelijk te melden bij het CBP. Als een datalek niet wordt gemeld, kan het CBP een boete van maximaal € 200.000,- opleggen.