Privacy  

Rechtbank Amsterdam 15 december 2011, LJN BV2295 (Phishing ING) / LJN BV2297

Twee beschikkingen. Wbp. Incidentenregister. Phishing. Bank heeft gerechtvaardigd belang om de persoonsgegevens te verwerken. Proportionaliteitstoets valt uit in het voordeel van de bank.

De benadeelde heeft aangifte gedaan van oplichting althans frauduleuze overboekingen bij de politie Utrecht en heeft de schade eveneens gemeld bij ING. ING heeft de betaalrekening van [B] geblokkeerd.

ING heeft [B] bericht dat in een onderzoek naar fraude naar voren is gekomen dat [B] hiermee te maken had en is deze kwestie voor ING Bank N.V. aanleiding om uw persoonsgegevens op te nemen in het incidentenregister. Verzoek strekt ertoe om gegevens van haar [A] en haar zoon [B] te verwijderen. Er is sprake van opzettelijke benadeling van ING en oneigenlijk gebruik van de producten en diensten van ING. Verwerking van persoonsgegevens in het incidentenregister conform het protocol dat voldoende waarborgen biedt en doorstaat de proportionaliteitstoets.

4.7.  De rechtbank stelt voorop dat het opnemen van de persoonsgegevens van [B] in het incidentenregister en het daaraan gekoppelde EVR is aan te merken als een verwerking van persoonsgegevens, waarop de Wbp van toepassing is. Deze verwerking vindt zijn grondslag in het gerechtvaardigde belang als bedoeld in artikel 8 sub f Wbp van ING en de overige bij het EVR aangesloten financiële instellingen. Dit artikel schrijft voor dat bij het verwerken van persoonsgegevens een afweging wordt gemaakt tussen het gerechtvaardigd belang van – in casu – ING om de gegevens te verwerken in het incidentenregister en het EVR en het belang van [B] op bescherming van zijn persoonlijke levenssfeer. ING voert aan dat zij bij haar besluit de voorwaarden van het protocol in acht heeft genomen. Blijkens de preambule van het protocol is het protocol een toelichting op de aanmelding van het incidentenregister bij het College Bescherming Persoonsgegevens. De doelstelling van het incidentenregister is het ondersteunen van activiteiten gericht op het waarborgen van de veiligheid en de integriteit van de financiële sector. De rechtbank is van oordeel dat het protocol kan worden beschouwd als een regeling die voldoende waarborgen biedt voor een rechtmatige verwerking van persoonsgegevens zoals de Wbp die voorschrijft, zodat het protocol als uitgangspunt zal gelden bij de beoordeling van het onderhavige geschil.

4.10.  Gelet op het voorgaande is de rechtbank van oordeel dat sprake is van opzettelijke benadeling van ING en oneigenlijk gebruik van de producten en diensten van ING door [B]. Dat ING geen aangifte heeft gedaan tegen [B] staat hier niet aan in de weg, nu het feit gelet op de verklaring van [B] jegens de politie reeds voldoende vast is komen te staan, er momenteel een strafrechtelijk onderzoek loopt naar het voorval en de benadeelde zelf aangifte heeft gedaan van de fraude bij de politie. De uiteengezette omstandigheden vormen een bedreiging van de continuïteit en de integriteit van financiële instellingen in het algemeen en voor de onderneming van ING in het bijzonder. ING had derhalve een gerechtvaardigd belang om de persoonsgegevens van [B] te verwerken in het incidentenregister en het daaraan gekoppelde EVR.

4.12.  De rechtbank is van oordeel dat bij de afweging van de belangen van partijen, het onder 4.10 weergegeven belang van ING thans dient te prevaleren boven de door verzoekster gestelde belangen van haar zoon [B]. Vast staat immers dat ING is benadeeld door handelingen die zijn verricht met gebruikmaking van de betaalrekening, betaalpas en pincode van [B] en dat [B] hieraan bewust en vrijwillig heeft meegewerkt. Blijkens het tijdens de mondelinge behandeling overgelegde rapport van de Raad voor de Kinderbescherming (zie hiervoor onder 2.9) is de thans nog minderjarige [B] kwetsbaar en beïnvloedbaar, hetgeen het risico op herhaling vergroot. Naar het oordeel van de rechtbank is derhalve onvoldoende gebleken dat [B] disproportioneel wordt geraakt in zijn belangen door opname van zijn persoonsgegevens in het incidentenregister en het EVR.

4.14.  Ten aanzien van de stelling van verzoekster dat op ING de plicht rust om het fundamentele beginsel van hoor en wederhoor toe te passen, hetgeen concreet inhoudt dat zij een individuele betrokkene confronteert met haar bezwaren en deze in staat stelt daarop te reageren voordat tot registratie wordt overgegaan, overweegt de rechtbank als volgt.

ING voert terecht aan dat er op grond van de hiervoor reeds geschetste omstandigheden in het onderhavige geval geen twijfel mogelijk was omtrent de betrokkenheid van [B] bij de fraude. De rechtbank is derhalve met ING van oordeel dat het niet noodzakelijk was om [B] (dan wel zijn moeder) vooraf te horen. Dit geldt te meer nu er, zoals aangevoerd door ING, op grond van het protocol voldoende mogelijkheden bestaan om achteraf bezwaar te maken tegen opname in het incidentenregister en het EVR. Derhalve is de rechtbank van oordeel dat ING aan de zorgvuldigheidseisen die gelden bij de totstandkoming van een registratie in het incidentenregister en/of het EVR heeft voldaan en dat zij dus niet onzorgvuldig heeft gehandeld jegens [B].

Uit de mededeling: Het College bescherming persoonsgegevens (CBP) heeft in 2011 de Rotterdamse deelgemeente Charlois een last onder dwangsom opgelegd. De sanctie volgde nadat het CBP na onderzoek had geconcludeerd dat de deelgemeente in strijd met de wet handelde. Charlois verwerkte structureel gegevens betreffende ras/etniciteit ten behoeve van een specifieke aanpak van risicojongeren terwijl de deelgemeente niet kon aantonen dat deze aanpak geschikt is om de achterstand van de jongeren te verminderen of op te heffen. Charlois heeft tegen de beslissing van het CBP bezwaar gemaakt. Het CBP heeft in zijn beslissing op bezwaar geoordeeld dat het bezwaar ongegrond is. De deelgemeente is hiertegen in beroep gegaan bij de rechter.

J.J. Oerlemans, US v. Jones (GPS-tracking zaak), ITenRecht.nl, IT 651.

Met dank aan Jan-Jaap oerlemans, Universiteit Leiden.

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek. Met  betrekking tot stelselmatige observatie op internet kan binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke vorowaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclsuie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet beantwoord hoeven worden.

Conclusie
Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:
https://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
https://www.wired.com/threatlevel/2012/01/scotus-gps-ruling/
https://www.scotusblog.com/2012/01/reactions-to-jones-v-united-states-the-government-fared-much-better-than-everyone-realizes/#more-137698

Brief aan Vereniging van Zorgaanbieders voor Zorgcommunicatie, doorstart landelijke infrastructuur (EPD), kenmerk: z2011-901

Het College bescherming persoonsgegevens (CBP) heeft de plannen beoordeeld op basis waarvan de ‘Vereniging van Zorgaanbieders voor Zorgcommunicatie’ de landelijke uitwisseling van medische gegevens – voorheen bekend als het elektronisch patiëntendossier (EPD) – in 2012 zal voortzetten. Het CBP concludeert dat dit zogeheten ‘Doorstartmodel’ geen bijzondere risico’s bevat op overtreding van de Wet bescherming persoonsgegevens (Wbp). Het CBP wijst er op dat deze conclusie slechts een beoordeling van het Doorstartmodel betreft en niets zegt over de praktijk. Het bovenstaande doet ook niet af aan de toekomstige uitoefening van zijn toezicht op het landelijk EPD. Het CBP zal blijven toezien op de gang van zaken rond het landelijk EPD gezien de schaal van de verwerking van persoonsgegevens en de gevoeligheid van de gegevens.

CC BY-SA Sue Waters|Flickr.com

Een bijdrage van Tom Jozak, Mitopics.

Steeds vaker worden gegevens van Europese burgers en bedrijven verwerkt door Amerikaanse aanbieders van cloudcomputing-diensten. Aangezien de Amerikaanse Patriot Act van toepassing is op deze aanbieders, kan de Amerikaanse overheid al deze gegevens inzien. Dit is voor veel Europese landen een onaanvaardbare situatie. De laatste jaren promoten daarom steeds meer Europese landen de regionale cloudcomputing-agenda. Na Duitsland neemt nu ook Frankrijk dit standpunt in. Deze nieuwe ontwikkeling zou enorme gevolgen kunnen hebben voor de uitwisseling van data op het internationaal niveau en voor de huidige aard van cloudcomputing in het algemeen. Stand van zaken nu en een blik naar de toekomst.

France Telecom werkt samen met Thales SA, maker van lucht-, ruimtevaart en industriële elektronica, om een cloud-van-eigen-bodem te realiseren en de cloudsoftware binnen en buiten Frankrijk te kunnen aanbieden, bericht Bloomberg. "Het is het begin van een gevecht tussen twee reuzen [Frankrijk(Europa) en de Verenigde Staten, edit TJ]", zegt Jean-François Audenard, France Telecom Cloud security adviseur. Audenard vervolgt:

“It’s extremely important to have the governments of Europe take care of this issue because if all the data of enterprises were going to be under the control of the U.S., it’s not really good for the future of the European people.”

Deze ontwikkeling is op gang gekomen naar aanleiding van de Amerikaanse Patroit Act. Als gevolg van deze wetgeving zijn de Verenigde Staten (VS) namelijk bevoegd om de data die is opgeslagen in de cloud te raadplegen, indien deze data kan worden gebruikt om een bedreiging van de nationale veiligheid te signaleren en/of te weren. Het mag duidelijk zijn dat deze wetgeving de bevoegde Amerikaanse overheidsinstanties vrije handen geeft om bij een geringst vermoeden van bedreiging van de nationale veiligheid, bepaalde (persoons)gegevens door te lichten. Afgelopen voorjaar heeft ook Microsoft naar buiten gebracht dat zij de beschikbare cloudgegevens aan de Amerikaanse autoriteiten desgevraagd zou overdragen, zelfs als deze data zich in één van haar op het Europese grondgebied gevestigde datacentra zou bevinden.
Dergelijke verklaringen veroorzaken consternatie in landen van de Europese Unie, met name in Duitsland, waar veel strengere eisen gelden op het gebied van privacy dan in de meeste Europese landen.

Vorig jaar september verklaarde Reinhard Clemens, CEO van Deutsche Telekom's T-Systems Group, dat lokale wetgevers en toezichthouders de technische ontwikkelingen om een super beveiligde ‘cloud’ op het Europese grondgebied mogelijk te maken, niet in de weg mogen staan. Dit vraagt harmonisatie-inspanningen van de lidstaten op Europees niveau. Er is immers steeds meer vraag van klanten die niet willen dat hun informatie of informatie van hun klanten toegankelijk is voor derden zoals de Amerikaanse overheid. Ook grotere Europese bedrijven zijn zich hiervan bewust en zien kansen op dit gebied. Zij wachten niet af en zijn op steeds grotere schaal bezig met het (na)bouwen van de oplossingen die voorheen alleen vanuit Amerika afkomstig waren. Een ware concurrentieslag wordt nu uitgevochten als gevolg van de conflicterende Amerikaanse en Europese wetgeving. Het is echter slechts een kwestie van tijd voordat Europese bedrijven (‘de nieuwkomers’) hun diensten naar Amerika uitbreiden en aldaar aan de Amerikaanse wetgeving moeten voldoen. De Europese klant kan hier uiteindelijk de dupe van worden, tenzij de wetgever ingrijpt. Dat een oplossing hiervoor in de maak is, kan uit berichtgeving van Eurocommissaris Viviane Reding (en voorheen Neelie Kroes) worden afgeleid. De nieuwe General Data Protection Regulation (d.d. 29/11/2011), die nu als conceptvoorstel ter beoordeling ligt, geeft onafhankelijke Europese toezichthouders de middelen in handen om op te treden tegen eenzijdige beslissingen van Amerika bij het raadplegen van de uit Europa afkomstige persoonsgegevens (zie bijv. art. 79 lid 4 sub j van deze verordening, die een boete van 5% van de jaarlijkse wereldwijde omzet oplegt aan een bedrijf dat zonder toestemming uit Europa afkomstige data exporteert naar een land buiten Europa). Deze wetgeving gaat waarschijnlijk aanstaande woensdag in werking treden, bericht Tweakers.

De Amerikaanse cloudmarktleiders (Amazon, Facebook, Google, IBM en Microsoft) protesteren uiteraard tegen deze protectionistische benadering. Zij zijn namelijk bezig om een nieuw universeel clouddatanetwerk te creëren door middel van efficiënte, gedecentraliseerde datacenters om daarmee hun enorme cloudoperaties uit te voeren, en eigen (commerciële) belangen in Europa veilig te stellen. Als de Europese landen deze ontwikkelingen tegengaan, kan de waarde van cloudcomputing, niet alleen voor deze bedrijven, maar ook voor hun klanten aanzienlijk verminderen, zij het dat dit vooralsnog ‘slechts’ tussen de in de VS en de in EU gevestigde bedrijven parten zal spelen.

Deze Europese protectionistische benadering van cloudcomputing, initieel veroorzaakt door Amerikaanse wetgeving zal, als de patstelling langer voortduurt, ook nadelen brengen voor de Europese bedrijven, stelt Informa. Zij vervolgt:

“The European telecom operators who promote this strategy risk being sidelined in the global cloud computing market as aggressive North American and Asian operators spend billions to build international presence.”

The Informa Telecom Cloud Monitor (pdf) laat zien dat Europese operators slechts 7 procent uitmaken van de totale wereld cloudactiva, gemeten vanaf 2011, terwijl hun Noord-Amerikaanse en Aziatische collega's goed zijn voor 90 procent.

GigaOM meldde vorige maand nog, dat de Amerikaanse technologiegiganten deze bedreiging niet ongemoeid voorbij laten gaan. Google, IBM, Citi en een aantal andere grote Amerikaanse bedrijven en federale banken lobbyen bij hun regering voor verdragen die de vrije stroom van informatie over de grenzen waarborgen. De Patriot Act staat hun inspanningen echter in de weg en dat zal binnen afzienbare tijd ook niet veranderen, aangezien de nationale veiligheid vóór commerciële belangen gaat. De wil om een vrije stroom van informatie te waarborgen is er echter aan beide kanten van de Atlantische oceaan – als we een informeel commentaar op het nieuw voorstel voor General Data Protection Regulation mogen geloven en beide partijen lijken hetzelfde doel na te streven. Dit biedt hoop op een blijvende oplossing met betrekking tot vrije uitwisselbaarheid van gegevens tussen de twee nog steeds tegenstrijdige benaderingen. We zullen dus nog een tijdje geduld moeten hebben voordat bezorgdheden en openstaande punten worden weggewerkt en dat geeft op een korte termijn weinig troost.

Bron: Bloomberg, GigaOm)
Tags: General Data Protection Regulation, privacy, cloud computing

Antwoord Staatssecretaris Teeven vragen Elissen over het registreren van routers, Aanhangsel Handelingen II, 2011/2012, nr. 964.

In reactie op artikel van Webwereld, Misverstanden over Google's router opt-out zijn kamervragen gesteld.

Vraag 2
Deelt u de analyse van het College bescherming persoonsgegevens (Cbp) dat ten aanzien van het verzamelen van routerdata artikel 8 onder F, van de Wet bescherming persoonsgegevens (Wbp) van toepassing is en dat dus krachtens de Nederlandse wet een “opt-out” volstaat? Zo nee, welke andere interpretatie is er volgens u mogelijk en kan hieruit de verplichting voor een opt-in blijken? Bent u bereid hier nader onderzoek naar te doen, te meer het op grote schaal verzamelen en aggregeren van gegevens die in potentie de privacy kunnen schaden steeds vaker voor komt?

Antwoord 2
Ja. Artikel 8 onder f van de Wbp biedt een grondslag voor het verzamelen en verwerken van routerdata. De onderzochte verwerking betreft de combinatie van het MAC-adres (het unieke nummer van de wifi-router) in combinatie met de berekende locatie van de wifi-router. Deze verwerking is van andere aard dan bijvoorbeeld de verwerking van gegevens over surfgedrag met behulp van cookies of de locatiegegevens van smartphones. Deze verwerking brengt derhalve in tegenstelling tot gegevens die informatie verschaffen over het gedrag van de betrokkene geen grote inbreuk op de persoonlijke levenssfeer met zich mee.

Bij de belangenafweging tussen enerzijds de persoonlijke levenssfeer van betrokkenen en anderzijds het belang van de verantwoordelijken die gegevens willen verwerken speelt de mate van gevoeligheid van de gegevens die de verantwoordelijke wil verwerken een rol, evenals de waarborgen die de verantwoordelijke heeft getroffen voor een zorgvuldig gebruik van de gegevens. Een belangrijke waarborg is transparantie, duidelijke informatie aan betrokkenen voor welk gerechtvaardigd doel hun persoonsgegevens worden verzameld en verwerkt. Een andere veelvoorkomende waarborg is de mogelijkheid van een opt-out.

Vraag 3
Kunt u één of meer scenario’s schetsen waarbij het verzamelen en publiceren van Service Set Identifier (SSID)’s (in combinatie met samenhangende gegevens, zoals de locatie) resulteert in een aantasting van de privacy? Kunt u hierbij rekening houden met de mogelijkheid om deze gegevens met andere databestanden te combineren?

Antwoord 3
Het CBP heeft in zijn rapport van definitieve bevindingen als voorbeeld genoemd dat het MAC-adres van de wifi-router, eventueel samen met het SSID, in combinatie met de locatiegegevens gebruikt zou kunnen worden om een persoon te stalken. Het CBP heeft vastgesteld dat het verzamelen en verwerken van SSID’s niet noodzakelijk is voor het kunnen aanbieden van de geolocatiedienst, en heeft Google een last opgelegd om alle in Nederland verzamelde SSID’s te vernietigen.

vraag 4
Deelt u de mening dat een “opt-in” (in tegenstelling tot een “opt-out”) een veel kleinere inbreuk op de privacy inhoudt en dat een “opt-in”, door bijvoorbeeld het SSID op ‘_yesmap’ te laten eindigen, vanuit privacyperspectief een betere optie is dan de door Google voorgestelde ‘_nomap’? Zo nee, waarom niet? Denkt u dat huidige regelgeving volstaat?

Antwoord 4
Vanuit het perspectief van betrokkenen is een opt-in (toestemming) vaak te verkiezen boven een opt-out (verzet). Echter, zoals uiteengezet in mijn antwoord op vraag 2 biedt de Wbp naast het toestemmingsvereiste ook de mogelijkheid om te volstaan met een opt-out constructie. Het gaat dan om diensten, waarbij het bedrijfsbelang van de verantwoordelijke in het algemeen opweegt tegen het recht op bescherming van persoonsgegevens en de persoonlijke levenssfeer. Aangezien ik met het CBP van mening ben dat met het verzamelen van routergegevens geen aanzienlijke inbreuk op de
privacy wordt gemaakt deel ik de in uw vraag verwoorde mening niet. In de reeds toegezegde brief aan uw Kamer naar aanleiding van de Motie Van Toorenburg e.a. (Kamerstukken II 2011/12 32 761, nr. 12) zal ik hier nader op ingaan.

Vraag 5
Deelt u de stelling uit het artikel dat bedrijven als Microsoft, Apple, Blackberry en Skyhook in overtreding zijn? Bent u bereid het Cbp te vragen dit te onderzoeken? Zo nee, bent u dan bereid een strafrechtelijk onderzoek in te stellen? Zo nee, waarom niet? Welke bedrijven zijn er nog meer in overtreding wanneer het gaat om het verzamelen van gegevens van routers? Wat bent u van plan hieraan te gaan doen?

Antwoord 5
Het oordeel of de in het artikel genoemde bedrijven in overtreding zijn is aan het CBP. Het CBP is een onafhankelijke toezichthouder die zelf kiest bij welke bedrijven en instellingen het onderzoek doet en die bovendienexclusief bevoegd is ten aanzien van de handhaving de Wbp. Er is geen aanknopingspunt voor strafrechtelijk optreden. Ik beschik niet over gegevenswelke bedrijven gegevens van routers verzamelen.

Hof Arnhem 10 januari 2012, LJN BV0470 (appellant tegen Aveant Thuishulp B.V.)

Inzage medisch dossier in verband met rechtsgeldigheid testament.

In eerder kort geding vordert `jr.´ inzage in het medisch en verpleegkundig dossier van zijn overleden vader "Sr.". Jr. stelt belang te hebben bij die inzage omdat hij zich op het standpunt stelt dat [sr.] op 26 februari 2010 een uiterste wilsbeschikking heeft vastgesteld terwijl Sr. op dat moment in een zodanige geestelijke toestand verkeerde dat hij niet bekwaam was tot het verrichten van rechtshandelingen. Aveant c.s. hebben die inzage geweigerd met een beroep op het medisch beroepsgeheim. De voorzieningenrechter heeft de vorderingen afgewezen.

In dit hoger beroep wordt geoordeeld dat er geen voldoende concrete aanwijzingen aannemelijk zijn geworden waaruit volgt dat een zwaarwegend belang geschaad wordt indien de geheimhouding van het medisch en verpleegkundig dossier van [sr.] wordt gehandhaafd.

Kort geding wordt bekrachtigd.

4.7  De verdere argumenten die [jr.] heeft aangevoerd ter onderbouwing van zijn stelling dat sprake is van voldoende concrete aanwijzingen in de zin van r.o. 4.4 hiervoor, kunnen – voorshands oordelend – zijn vordering evenmin dragen. Dat [sr.] [leeftijd] oud was toen hij, kort voor zijn overlijden, het testament heeft ondertekend en dat hij daarbij de dochters van zijn buren als erfgenamen heeft aangewezen, zijn geen zodanig ongewone omstandigheden dat daaruit zonder meer zou kunnen worden afgeleid dat [sr.] handelingsonbekwaam was toen hij het testament ondertekende. Zowel de notaris als [geïntimeerde sub 2] hebben verklaard dat [sr.] tegen hen heeft gezegd dat de relatie met zijn (voormalige) partner Van Leeuwen was geëindigd. Dat Van Leeuwen en/of [jr.] – zonder daaraan een concrete onderbouwing te geven – op dit punt een andere mening zijn toegedaan, kan er in dit kort geding niet toe leiden dat voldoende aannemelijk is geworden dat [sr.] handelingsonbekwaam was toen hij het testament ondertekende.

4.8  Het voorgaande brengt mee dat op basis van de hiervoor besproken stellingen van [jr.] – ook als die worden beoordeeld in hun onderlinge samenhang en in samenhang met hetgeen [jr.] overigens heeft aangevoerd – in dit kort geding geen voldoende concrete aanwijzingen aannemelijk zijn geworden waaruit volgt dat een zwaarwegend belang geschaad wordt indien de geheimhouding van het medisch en verpleegkundig dossier van [sr.] wordt gehandhaafd. Dat geldt niet alleen ten aanzien van de primair gevorderde inzage door [jr.] zelf, maar ook ten aanzien van de subsidiair gevorderde inzage door een aan te wijzen deskundige. Reeds daaruit volgt dat die vorderingen moeten worden afgewezen en dat de grieven 4 tot en met 9 falen.

Uit´t persbericht. Na onderzoek heeft het College bescherming persoonsgegevens (CBP) vastgesteld dat TomTom de Wet bescherming persoonsgegevens (Wbp) overtreedt omdat de aan de gebruiker gevraagde toestemming voor verwerking van geolocatiegegevens en de bijbehorende informatie onvoldoende specifiek is. TomTom verwerkt voor zichzelf de geolocatiegegevens die worden opgeslagen op de offline en online apparaten om verkeer en wegen in kaart te brengen. Aangezien geolocatiegegevens gevoelige persoonsgegevens zijn, mogen deze alleen met voorafgaande toestemming van de gebruiker worden verwerkt en moet de gebruiker voldoende worden geïnformeerd. TomTom heeft toegezegd de informatie aan zijn klanten in februari 2012 aan te zullen passen aan de wettelijke vereisten.

Het CBP onderzocht tevens de wijze waarop TomTom geolocatiegegevens verstrekt aan derde partijen, waaronder indirect aan de politie. Het concludeert dat TomTom deze gegevens onomkeerbaar heeft ontdaan van identificerende kenmerken en de gegevens alleen op geaggregeerd niveau verstrekt. Het CBP concludeert daarom dat TomTom bij de verstrekking van geolocatiegegevens aan derden niet in strijd handelt met de Wbp.

CBP Beslissing op bezwaar 25 november 2011, kenmerk z2011-0063 (GVB)

Uit't persbericht: Het College bescherming persoonsgegevens (CBP) heeft een zogeheten ‘beslissing op bezwaar’ genomen nadat het Amsterdamse vervoerbedrijf GVB bezwaar had aangetekend tegen een last onder dwangsom van het CBP. In de last onder dwangsom heeft het CBP vastgesteld dat reisgegevens van studenten met een studenten OV-chipkaart persoonsgegevens zijn en heeft het GVB verplicht om nieuwe bewaartermijnen voor deze gegevens in te voeren. Reisgegevens zijn volgens het CBP persoonsgegevens, omdat deze zijn te herleiden tot identificeerbare personen. Het CBP handhaaft de last onder dwangsom tegen GVB. Dit betekent dat GVB de bewaartermijnen voor reisgegevens van studenten moet aanpassen. GVB heeft toegezegd aan deze eis te zullen voldoen. Indien dit op 31 december 2011 niet is gebeurd, dan is GVB een dwangsom verschuldigd die kan oplopen tot maximaal 250.000 euro.

Met commentaar in het kort van Walter van Holst, Mitopics

Nog net op de valreep van 2011 publiceerde het College Bescherming Persoonsgegevens (CBP) haar beslissing op bezwaar inzake de transactiegegevens die het Gemeentelijk Vervoersbedrijf (GVB) verwerkt als gevolg van het gebruik van de studenten OV-chipkaart in het Amsterdamse openbaar vervoer. Het CBP had het GVB een dwangsom opgelegd wegens het niet conform artikel 6 Wbp verwerken van persoonsgegevens van houders van  studenten OV-chipkaarten. Kernpunt van de discussie was de vraag of reisgegevens wel of geen persoonsgegevens zijn, waarbij het CBP haar zienswijze in de bezwaarprocedure heeft gehandhaafd. Een kritische noot vanaf de zijlijn.

De feitelijke situatie rondom de OV-chipkaart is dat bij het zogenaamde in- en uitchecken bij OV-chipkaartterminals (de paaltjes op metro- en treinstations en de gele bakken in trams en bussen) zowel op de kaart zelf als in de systemen van de vervoerder (in casu GVB) het kaartnummer, abonnementstype en de daaraan gerelateerde gegevens (‘reisproduct’, ingangsdatum, uitgever abonnement), mutatiegegevens (datum, tijdstip, saldo voor en na transactie) en het apparaat waarbij in- of uitgecheckt wordt, worden vastgelegd. De NAW-gegevens van de kaarthouder zijn alleen bij GVB bekend als GVB de uitgever van het abonnement is. In het geval van de studenten OV-chipkaart zullen deze in het algemeen niet bij  GVB bekend zijn.

Het GVB stelt zich op het standpunt dat er geen sprake is van identificerende informatie, omdat er geen NAW-gegevens bij GVB bekend zijn. Daarmee wordt naar mening van het GVB niet aan de criteria van artikel 1 Wbp voldaan. Sterker nog, GVB is van mening dat er sprake is van privacy by design nu de gegevens noodzakelijk voor daadwerkelijke identificatie van de houders van studenten OV-chipkaarten bij een derde partij, Trans Link Systems (TLS) verwerkt worden en niet door de vervoersbedrijven zelf.

Het CBP en GVB zijn het hier fundamenteel over oneens en het CBP heeft het GVB op 9 juni 2011 dan ook een last onder dwangsom opgelegd. Hierop heeft het GVB bezwaar aangetekend. Interessant daarbij is dat in de beslissing op bezwaar het CBP korte metten maakt met de opvatting van het GVB dat nu de NAW-gegevens bij een derde (TLS) verwerkt worden, er geen sprake is van persoonsgegevens. Het CBP stelt namelijk letterlijk in de beslissing op bezwaar dat:

“Voor de vaststelling of een persoon identificeerbaar is moet blijkens bovengenoemde overweging 26 uit Richtlijn 95/46/EG immers worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren.' (onderstreping toegevoegd)"

Als gebruiker van het openbaar vervoer die grote twijfels heeft bij de zorgvuldigheid waarmee het ambitieuze OV-Chipkaart project is neergezet juich ik het gemak waarmee het CBP de door het GVB, RET en NS opgezette constructie, waarin dochter TLS als privacybliksemafleider lijkt te fungeren, heeft doorgeprikt toe. Als praktijkjurist mis ik in deze redenering wat nuances ten behoeve van de rechtszekerheid. Het CBP introduceert namelijk grote onzekerheid over wanneer gegevens nu ophouden persoonsgegevens te zijn. Want anonimisering vindt niet zelden plaats door gegevens te schrappen, terwijl diezelfde gegevens vaak nog wel bij derden voorhanden blijven, derden die veelal toch wel enige vorm van een relatie met de verantwoordelijke hebben. In de casus van het GVB is het inderdaad redelijkerwijs voorzienbaar dat de transactiegegevens van reizen bij het GVB door TLS verwerkt worden en daarmee tot identificeerbaarheid van de kaarthouders leidt. TLS vervult immers de rol van clearing house tussen de vervoerders onderling. Het zou voor de begripsvorming echter wel prettig zijn geweest als uit de beslissing op bezwaar op te maken zou zijn onder welke omstandigheden een partij wel onafhankelijk genoeg is dat aangenomen kan worden dat de gegevens bij een derde niet langer als redelijkerwijs inzetbaar geacht kunnen worden om een betrokkene te identificeren.

Voor de vaststelling dat de transactiegegevens persoonsgegevens zijn, is dit standpunt ook niet strikt noodzakelijk, want het CBP heeft in haar beslissing op bezwaar ruim gemotiveerd dat (kaart)nummers op zichzelf ook identificerend kunnen zijn. Een eventueel beroep van het GVB tegen de beslissing op bezwaar heeft dan ook weinig kans van slagen. Het wachten is op een dossier waar de grenzen van ‘redelijkerwijs’ meer inzichtelijk worden dan in deze zaak.