Privacy  

Uit de CBP-nieuwsbrief:

Google’s nieuwe privacyvoorwaarden in strijd met EU-richtlijn
De Europese privacytoezichthouders, verenigd in de zogeheten Artikel 29-werkgroep, hebben na gezamenlijk onderzoek geconstateerd dat de wijzigingen in de privacyvoorwaarden van Google in strijd zijn met de Europese privacyrichtlijn. Lees verder >

Europese privacytoezichthouders geven reactie op nieuwe EU-privacyregelgeving
De Europese privacytoezichthouders hebben een opinie aangenomen over de voorstellen van de Europese Commissie voor een nieuw Europees juridisch raamwerk voor gegevensbescherming. Lees verder >

CBP: online volgen van surfgedrag van internetgebruikers alleen met toestemming
Het CBP wil het belang benadrukken dat een wereldwijde Do Not Track-standaard in overeenstemming moet zijn met Europese privacyregelgeving. Lees verder >

CBP: Interne toegangsbeveiliging patiëntgegevens RPZ-ziekenhuis onvoldoende
Het Ruwaard van Putten Ziekenhuis heeft onvoldoende beveiligingsmaatregelen getroffen om ervoor te zorgen dat uitsluitend bevoegde ziekenhuismedewerkers toegang hebben tot de elektronische patiëntendossiers. Lees verder >

Zienswijze CBP over cloud computing
Het College bescherming persoonsgegevens (CBP) heeft in een zienswijze antwoord gegeven op een drietal vragen van SURFmarket over cloud computing in relatie tot de bescherming van persoonsgegevens. Lees verder >

HvJ EU 16 oktober 2012, zaak C-614/10 (Commissie tegen Oostenrijk)

In navolging van IT 812.

In't kort: Niet-nakoming – Schending van artikel 28, lid 1, tweede alinea van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31) – Verplichting van de lidstaten te verzekeren dat de nationale, met het toezicht op de verwerking van persoonsgegevens belaste toezichthoudende autoriteiten hun opdrachten in volledige onafhankelijkheid kunnen vervullen – Nauwe persoonlijke en organisatorische banden tussen de toezichthoudende autoriteit en de kanselarij van de bondskanselier – Onderwerping van de toezichthoudende autoriteit aan toezicht van de bondskanselier
Advocaat-generaal : Mazák

Antwoord:

Door niet alle nodige maatregelen te nemen om te verzekeren dat de in Oostenrijk geldende wettelijke regeling wat de Datenschutzkommission (commissie voor gegevensbescherming) betreft voldoet aan het criterium van onafhankelijkheid, en meer specifiek, door een regeling in te stellen op grond waarvan
– de bestuurder van de Datenschutzkommission een federale ambtenaar is die is onderworpen aan bestuurlijk toezicht,
– het secretariaat van de Datenschutzkommission is geïntegreerd in de diensten van de bondskanselarij, en
– de bondskanselier een onvoorwaardelijk recht heeft op informatie over alle aspecten van het beheer van de Datenschutzkommission,
is de Republiek Oostenrijk de verplichtingen niet nagekomen die op haar rusten krachtens artikel 28, lid 1, tweede alinea, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

J.V.J. Van Hoboken e.a., Cloud diensten in hoger onderwijs en onderzoek en de USA Patriot Act, IViR.nl.

Uit't persbericht: Utrecht 12 oktober 2012 - Het Instituut voor Informatierecht (IViR) heeft onafhankelijk onderzoek gedaan naar de toegang van overheden tot data die zich in de cloud bevinden. Het onderzoek is uitgevoerd op verzoek van SURF, de ICT samenwerkingsorganisatie voor hoger onderwijs en onderzoek. Belangrijkste aanleiding voor het onderzoek zijn veel gestelde vragen over de Amerikaanse Patriot Act1. Hoofdconclusie van het onderzoek is dat het voor hogeronderwijsinstellingen in Nederland zaak is zicht te krijgen en te houden op de condities waaronder justitie en veiligheidsdiensten toegang hebben tot data en de daarmee samenhangende risico’s. Er moet daarbij verder worden gekeken dan de Patriot Act, die symbool staat voor meer wet- en regelgeving van de VS over overheidstoegang tot (cloud)data. Het volledige rapport, inclusief de managementsamenvatting, is hier te downloaden.

ABRvS 28 september 2012, uitspraken met zaaknummers 201205423/1 (Amsterdam), 201110934/1 (Nuth), 201110242/1 (Skarsterlân) en 201105172/1 (Den Haag).

De Afdeling bestuursrechtspraak van de Raad van State, recht doende in naam der Koningin:

I. verzoekt het Hof van Justitie van de Europese Unie bij wege van prejudiciële beslissing uitspraak te doen op de volgende vragen:

1. Is artikel 1, tweede lid, van Verordening (EG) 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (PB L 385, blz. 1), zoals gewijzigd bij Verordening (EG) nr. 444/2009 van het Europees Parlement en de Raad van 28 mei 2009 tot wijziging van Verordening (EG) nr. 2252/2004 (PB L 142, blz. 1), geldig in het licht van de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie en artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden?

2. Indien het antwoord op vraag 1 inhoudt dat artikel 1, tweede lid, van Verordening (EG) 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (PB L 385, blz. 1), zoals gewijzigd bij Verordening (EG) nr. 444/2009 van het Europees Parlement en de Raad van 28 mei 2009 tot wijziging van Verordening (EG) nr. 2252/2004 (PB L 142, blz. 1) geldig is, moet artikel 4, derde lid, van de Verordening, in het licht van de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie, artikel 8, tweede lid, van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en artikel 7, aanhef en onder f, van de Privacyrichtlijn gelezen in verbinding met artikel 6, eerste lid, aanhef en onder b, van die richtlijn zo worden uitgelegd dat ter uitvoering van deze Verordening door de lidstaten wettelijk dient te worden gewaarborgd dat de op grond van deze Verordening verzamelde en opgeslagen biometrische gegevens niet voor andere doeleinden mogen worden verzameld, verwerkt en gebruikt dan voor de afgifte van het document?

Op andere blogs:
SOLV (Prejudiciële vragen over vingerafdrukken in reisdocument)

Vzr. Rechtbank 's-Gravenhage 26 september 2012, LJN BX8427 (The Royal Bank of Scotland N.V. tegen gedaagde)

Gedaagde handelt onrechtmatig door over eiseres ongefundeerde verdachtmakingen van fraude via e-mailberichten, internet en Twitter te verspreiden. [gedaagde] stuurt (medewerkers van) RBS ongeveer acht e-mails per dag. En verstuurt onder meer via Twitter: "We seek contact with #Anonymous to take action against #RBS_UK to take out all websites around the Globe, hack and take down as a warning". De uitkomst is het gemakkelijkst te lezen in het dictum:

Dictum: De voorzieningenrechter:

- verbiedt [gedaagde] na betekening van dit vonnis op welke manier dan ook en via welk telefoonnummer of welk e-mailadres dan ook, contact op te nemen met (medewerkers van) RBS;
- verbiedt [gedaagde] e-mailadressen te registreren en te gebruiken waarin namen van afdelingen van RBS, medewerkers van RBS of de namen 'RBS', The Royal Bank of Scotland en/of variaties daarop voorkomen, dan wel op enige andere wijze de identiteit van (afdelingen van) RBS of medewerkers van RBS te gebruiken, al dan niet voor het opstellen van correspondentie die ten onrechte suggereert dat deze van RBS afkomstig is;

- gebiedt [gedaagde] iedere verspreiding, openbaarmaking en/of het (in de media) doen van uitlatingen waarin hij RBS van fraude beschuldigt, alsmede soortgelijke uitingen, te staken en gestaakt te houden en van het internet, waaronder begrepen van de [account 2]' en '#[account 1]' Twitter-accounts, te verwijderen en verwijderd te houden;

- gebiedt [gedaagde] iedere verspreiding, openbaarmaking en/of het (in de media) doen van uitlatingen waarin hij persoonsgegevens van RBS-medewekers publiceert te staken en gestaakt te houden;

- gebiedt [gedaagde] alle media, waarin publicaties of reacties zijn verschenen waarin RBS door [gedaagde], al dan niet onder een alias, wordt beschuldigd van fraude en waarin door [gedaagde] persoonsgegevens van RBS-medewerkers worden gepubliceerd, op deugdelijke wijze te verzoeken, onder toezending van een kopie van dit vonnis, met een gelijktijdig afschrift aan de raadsman van RBS, deze uitingen te verwijderen en verwijderd te houden met uitsluitend het volgende verzoek:

"Omdat de voorzieningenrechter van de rechtbank te 's-Gravenhage bij vonnis van 26 september 2012 heeft geoordeeld dat de hierna te noemen bericht(en) of artikel(en) onrechtmatig is/zijn jegens The Royal Bank of Scotland N.V., verzoek ik u deze te verwijderen en verwijderd te houden:"

- gebiedt [gedaagde] Google te verzoeken, op de wijze die Google hiertoe voorschrijft, de publicaties of reacties waarin RBS door [gedaagde], al dan niet onder een alias, wordt beschuldigd van fraude en waarin door [gedaagde] persoonsgegevens van RBS-medewerkers worden gepubliceerd te verwijderen en verwijderd te houden uit de Google zoekresultaten en uit haar cache, opdat deze publicaties niet meer vindbaar zijn via Google;

- verbiedt [gedaagde] derden op te roepen om op enige wijze schade toe te brengen aan RBS, waaronder begrepen maar niet beperkt tot het oproepen van derden om websites van RBS te hacken en offline te halen;

- een en ander op straffe van verbeurte van een onmiddellijk opeisbare dwangsom van € 500,-- voor iedere keer, dag of gedeelte van een dag dat [gedaagde] in strijd handelt met een van voornoemde verboden c.q. geboden met een maximum van € 50.000,--;

Strafrecht Rechtbank Rotterdam 5 september 2012, LJN BX6605 (DigiD fraude)

Strafrecht. Grootschalige belastingfraude met DigiD en BSN. Bewijs van het valselijk opmaken van digitale aanvragen zorg-, huur- en kinderopvangtoeslag en aangiften inkomstenbelasting. Deelname aan een criminele organisatie. Witwassen door omzetten en overdragen.

Dat het om wijd verbreide criminaliteit is gegaan, blijkt verder uit de wijze waarop de verdachte en de medeverdachten aan de persoonsgegevens van hun slachtoffers kwamen. Er werd post uit brievenbussen gehengeld, er werd gebruik gemaakt van post die aan de TNT was toevertrouwd maar kennelijk was verduisterd en er werd gebruik gemaakt van bescheiden die bij inbraken bij bedrijven werden ontvreemd.

Daar komt bij, dat misbruik is gemaakt van het vertrouwen van anderen, die aan de verdachte en zijn medeverdachten gegevens van hun bankrekeningen toevertrouwden. Daarbij hebben de verdachte en zijn mededaders meer dan eens druk uitgeoefend op hun slachtoffers en gedreigd met geweld tegen hen of hun familieleden.

HvJ EU 6 september 2012, zaak C-422/11P en C-423/11P (Prezes Urzędu Komunikacji Elektronicznej en Republiek Polen tegen Europese Commissie)

Als randvermelding. Verzoek tot nietigverklaring van de overeenkomstig artikel 7, lid 4, van richtlijn 2002/21/EG van het Europees Parlement en de Raad (PB L 108, blz. 33) vastgestelde beschikking C(2010) 1234 van de Commissie van 3 maart 2010 waarmee de Poolse regelgevende autoriteit op het gebied van elektronische communicatie en postdiensten wordt bevolen twee meegedeelde ontwerpmaatregelen inzake de nationale wholesalemarkt voor de uitwisseling van IP-gegevensverkeer (IP-transit) (zaak PL/2009/1019) en de wholesalemarkt voor IP-peering met het netwerk van Telekomunikacja Polska S.A. (TP) (zaak PL/2009/1020) in te trekken. Waarna een (afgewezen) hogere voorziening.

Hogere voorziening tegen de beschikking van het Gerecht (Zevende kamer) van 23 mei 2011, Prezes Urzędu Komunikacji Elektronicznej / Commissie (T226/10), waarbij het Gerecht niet-ontvankelijk heeft verklaard het beroep van de Prezes Urzędu Komunikacji Elektronicznej tot nietigverklaring van de overeenkomstig artikel 7, lid 4, van richtlijn 2002/21/EG van het Europees Parlement en de Raad (PB L 108, blz. 33) vastgestelde beschikking C(2010) 1234 van de Commissie van 3 maart 2010 waarmee de Poolse regelgevende autoriteit op het gebied van elektronische communicatie en postdiensten wordt bevolen, twee meegedeelde ontwerpmaatregelen inzake de nationale wholesalemarkt voor de uitwisseling van IP-gegevensverkeer (IP-transit) (zaak PL/2009/1019) en de wholesalemarkt voor IP-peering met het netwerk van Telekomunikacja Polska S.A. (TP) (zaak PL/2009/1020) in te trekken – Onjuiste uitlegging van artikel 19, derde en vierde alinea, van het Statuut van het Hof junctis artikel 53, eerste alinea, van het Statuut van het Hof, artikel 254, zesde alinea, VWEU, en artikel 113 van het Reglement voor de procesvoering – Schending van artikel 67, lid 1, VWEU juncto artikel 113 van het Reglement voor de procesvoering – Schending van artikel 5, leden 1 en 2, VEU junctis artikel 4, lid 1, VEU en artikel 113 van het Reglement voor de procesvoering – Schending van artikel 5, lid 4, VEU juncto artikel 113 van het Reglement voor de procesvoering – Ontoereikende motivering – Niet-ontvankelijkheid van het beroep in geval van vertegenwoordiging door advocaten die in dienstbetrekking zijn bij de partij.

WORKING DOCUMENT on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation) on the protection of individuals with regard to the processing of personal data by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties, and the free movement of such data.

2. Main elements of the reform
The main elements of the reform are the following:

- data protection as a fundamental right as enshrined in Article 8 of the Charter and Article 16 TFEU, and in that regard improving the ability of individuals to control their data (freely given, informed and explicit consent, right to rectification, to erasure and to be forgotten, right to information and access to own data, data portability, the right to object);

- maintaining the principle of covering all kinds of situations and all kinds of sectors (except national security, common foreign and security policy, and exclusively nongainful personal activity) with the same or a similar set of rules, whereby the same principles and mechanisms apply to the public and private sector, with necessary and proportionate limitations for the area of law enforcement;
- adapting data protection rules to the new technological progress in a technically neutral way (for example: privacy by design and privacy by default);
- providing effecting means for safeguarding the fundamental right to data protection (purpose limitation, responsibilities of the controller, notification and communication of data breaches, strong and independent national data protection authorities, data protection officers at all public authorities, in companies above a specific size, or in special situations, effective administrative and judicial remedies);
- preventing fragmentation and providing legal certainty for individuals, enterprises (as regards the single market) and public entities through the introduction of the so-called "one stop shop" system (competence of the data protection authority of the main establishment of the controller or processor), and the "consistency mechanism";
- providing harmonisation on basic data protection principles as regards the handling and exchange of data by police and judicial authorities for the purposes of the prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties (data protection aspects being an essential part of existing and proposed EU legislation in that regard), thereby also ending the current situation where EU rules (Framework Decision 2008/977/JHA) applied only if a cross-border element was present;
- providing a safe and sound system of data transfers to third countries (either on an adequacy decision for a country, territory or processing sector - based, inter alia, on rights for effective administrative and judicial redress for data subjects residing in the Union - or on specific appropriate safeguards in legally binding instruments) and to promote the EU system abroad (including agreements with third countries).

Kantonrechter Rechtbank Amsterdam 17 augustus 2012, LJN BX4940 (OR DWI Gemeente Amsterdam tegen DWI Gemeente Amsterdam)

Samenvatting uit't persbericht: De Dienst Werk en Inkomen (DWI) van de gemeente Amsterdam mag niet zonder toestemming van de medewerker in diens mailbox kijken. DWI voerde deze nieuwe maatregel in maar vroeg vooraf geen instemming aan de Ondernemingsraad. Volgens de OR is er wel sprake van instemmingsrecht en stapte daarop naar de rechter. Deze stelt de OR nu in het gelijk.

DWI wil na een kritisch rapport van de gemeentelijke ombudsman de bereikbaarheid verbeteren, ondermeer door 24 uur na binnenkomst e-mails te beantwoorden. Om dat te bereiken voerde de directie een nieuwe procedure in waarbij in bijzondere situaties de teammanager bij afwezigheid van een medewerker tijdelijk wordt gemachtigd om in diens persoonlijke mailbox te kijken. De OR van DWI is het hier niet mee eens en stelt dat deze nieuwe procedure pas mag worden ingevoerd na instemming van de ondernemingsraad.

Instemmingsrecht
Op grond van de Gedragscode is het medewerkers van DWI toegestaan de e-mail in beperkte mate te gebruiken voor privédoeleinden. Volgens de rechter vormt het kunnen inkijken van e-mailverkeer zonder toestemming een wijziging van de Gedragscode van DWI. Bovendien kan op die manier controle worden uitgeoefend op de werknemer. Aangezien de OR volgens de wet in die gevallen instemmingsrecht heeft volgt daaruit dat een zonder de instemming van de OR genomen besluit ongeldig is.

11.[naam] en [naam] zijn in Inzicht in de Ondernemingsraad (uitgave 2012) van mening dat ‘Naast personeelscontrolesystemen en personeelsinformatiesystemen die als zodanig gebruikt kunnen worden (prikklok, pieper, controlecamera’’s e.d.) (…) ook voorzieningen die als zodanig gebruikt kunnen worden (beveiligingscamera’s, chipkaarten en telefoonrecording) onder het instemmingsrecht (vallen).’ ‘Louter persoonlijk toezicht zonder het gebruik van enig technisch of administratief (hulp)middel is geen ‘voorziening’ als in dit wetsartikel genoemd’, aldus deze schrijvers. De manager kan op grond van het besluit toegang krijgen tot de inbox van de werknemer, waarmee sprake is van een technisch hulpmiddel, en niet louter van persoonlijk toezicht. De opvatting van deze schrijvers is daarom niet in strijd met de hierboven genoemde conclusie.

12.Het door een werknemer inzage moeten geven aan een buddy of aan zijn leidinggevende heeft ook privacyaspecten. Op grond van de gedragscode is het de werknemer toegestaan de DWI-email in beperkte mate voor privé doeleinden te gebruiken. Denkbaar is dat dit gebeurt om met instanties als een arts of andere vormen van hulpverlening te communiceren. Indien van een dergelijke hulpverlener een bericht in de inbox verschijnt kan reeds de titel van het e-mailbericht privacygevoelig zijn (bijvoorbeeld: de afspraak met uw behandelaar gaat niet door). Niet uitgesloten is dat hiermee sprake is van ‘de bescherming van persoonsgegevens’ zoals bepaald in artikel 27 lid 1 sub k WOR.

13.Het bovenstaande betekent dat de OR instemmingsrecht had ten aanzien van het besluit. DWI heeft de OR niet om instemming met het besluit gevraagd, en de OR heeft die instemming ook niet eigener beweging gegeven. Het besluit is daarmee nietig. De OR heeft die nietigheid tijdig ingeroepen. De vorderingen van de OR zijn daarmee voor toewijzing vatbaar, zij het dat aan de verzochte dwangsom een maximum wordt verbonden.

Uit't persbericht: en het rapport (5 Mb) Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoek geconstateerd dat NS de wet heeft overtreden bij het gebruik van persoonsgegevens van OV-chipkaarthouders voor marketingdoeleinden. NS heeft naar aanleiding van deze constatering maatregelen getroffen waardoor de overtredingen van de Wet bescherming persoonsgegevens (Wbp) inmiddels zijn beëindigd.

Uit de door het CBP onderzochte verwerkingen van reisgegevens voor marketingdoeleinden bleek dat NS een gedetailleerd beeld van het reisgedrag van de OV-chipkaarthouders vastlegde. NS gebruikte deze gedetailleerde reisgegevens zonder de vereiste toestemming hiervoor van de reizigers. Daarmee leefde het vervoerbedrijf de eerder door het CBP geformuleerde voorwaarden waaronder OV-bedrijven reisgegevens mogen verwerken voor marketingdoeleinden, niet na. NS heeft zich in 2008 aan de uitwerking van de wet in de voorwaarden uitdrukkelijk verbonden.

Uit het onderzoek kwam ook naar voren dat NS persoonsgegevens van anonieme OV-chipkaarthouders verzamelde. Het OV-bedrijf gebruikte namelijk de e-mailadressen van de anonieme OV-chipkaarthouders die hun saldo via de website van NS activeerden voor direct marketingdoeleinden.