Post on 15-Apr-2017
Advocaten en notarissen
10 november 2015
Actualiteiten
Privacyrecht
Programma
Ontwikkelingen sinds vorige
privacyseminar (nov. 2014)
Onderverdeeld in:
Rechtspraak
Toezichthouders
Wetgeving
Vanmiddag een selectie (van een
selectie)
te veel ontwikkelingen om alles
te behandelen
Rechtspraak
Rechtspraak
Hof van Justitie
College van Beroep voor het Bedrijfsleven
Raad van State
Gerechtshoven
Rechtbanken
Hof van Justitie
Hof van Justitie
Safe Harbour
Oostenrijker Max Schrems is gebruiker
Heeft als zodanig – als iedere Facebook
gebruiker – een overeenkomst met
Facebook Ierland
Schrems dient klacht in bij Ierse
privacytoezichthouder wegens doorgifte
persoonsgegevens aan USA
USA zou geen passende waarborgen verwerking
persoonsgegevens hebben (“Snowden”).
Safe Harbour
Ierse toezichthouder weigert behandeling
klacht:
Zou geen bewijs zijn van toegang NSA tot
gegevens Snowden;
Bovendien zou toezichthouder gebonden zijn
aan Safe Harbour beslissing Commissie, waaruit
nu juist volgt dat bij bedrijven op Safe Harbour
List passende waarborgen worden geboden
Safe Harbour
Schrems gaat in beroep tegen de weigering
tot handhaving
Ierse rechter worstelt met de kwestie:
Safe Harbour regeling kent niet de waarborgen
die uit eerdere rechtspraak HvJEU volgen;
Maar tegelijkertijd is er wel de Safe Harbour
beschikking van de Europese Commissie;
Stelt vragen aan HvJEU over
onafhankelijkheid toezichthouder en
gebondenheid aan beschikking Commissie
Safe Harbour
HvJEU gaat in op verschillende
deelonderwerpen:
onafhankelijkheid en bevoegdheden nationale
toezichthouders;
verhouding beschikking EC tot andere EU-recht
geldigheid Safe Harbour beschikking;
Safe Harbour
HvJEU:
Nationale toezichthouders moeten volledig
onafhankelijk zijn;
Toezichthouders moeten steeds evenwichtige
afweging maken tussen belangen privacy en vrij
verkeer persoonsgegevens;
Regels ten aanzien van export persoonsgegevens
gelden in aanvulling op overige regels omtrent
eerlijke verwerking
Safe Harbour
HvJEU:
Nationale toezichthouders zijn alleen ten
aanzien van verwerkingen op eigen grondgebied
bevoegd;
Doorgifte van persoonsgegevens naar buiten EER
is verwerking vanaf grondgebied lidstaat, dus de
lokale toezichthouder omtrent die doorgifte
bevoegd
Safe Harbour
HvJEU:
Beschikking EC is verbindend in gehele EU voor
alle organen;
Iedereen moet zich echter tot toezichthouder
kunnen wenden om geldigheid ter discussie te
stellen;
Toezichthouders zijn verplicht klacht te
onderzoeken;
Safe Harbour
HvJEU:
HvJEU is echter als enige bevoegd te oordelen
over geldigheid beschikking
HvJEU toetst beschikking aan hoger EU-recht
(zoals grondrechten);
Rechters moeten dus middels prejudiciële vragen
kwesties voorleggen aan Hof
Nationale wet moet procedure kennen zodat ook
toezichthouders zich tot HvJEU kunnen wenden
Safe Harbour
HvJEU:
Export alleen toegestaan als ontvangende land
“passend beschermingsniveau” biedt
Passend hoeft niet zo hoog te zijn als EU niveau,
maar
in grote lijnen wel met EU niveau
overeenstemmen;
er moeten rechtsmiddelen in nationale recht zijn
opgenomen die doeltreffend genoeg zijn om dat
niveau te borgen
Safe Harbour
HvJEU:
Europese Commissie moet niveau derde landen
periodiek checken
En in ieder geval wanneer aanwijzingen bestaan
die twijfels geven over niveau
Safe Harbour
HvJEU:
zelfcertificering kan, mits doeltreffende detectie-
en controlemechanismen;
beginselen Safe Harbour zijn alleen op bedrijven
en niet op USA overheid van toepassing;
waarborgen USA wetgeving zijn ook niet getoetst;
In Safe Harbour beschikking staat bovendien
uitdrukkelijk dat USA wet per definitie voorrang
heeft;
Effectieve rechtsbescherming burgers ook niet
getoetst of geborgd;
Safe Harbour
HvJEU:
EU-recht vereist duidelijke en precieze regels en
toepassing proportionaliteit en subsidiariteit bij
inbreuk op grondrechten, terwijl USA autoriteiten
juist onbeperkt en onbegrensd toegang hebben
tot gegevens
Betrokkene heeft ook geen recht op toegang,
correctie of verzet m.b.t. verwerkte gegevens
Safe Harbour
HvJEU:
Artikel 1 Safe Harbour Beschikking dus ongeldig
In feite het kernartikel van de gehele beschikking
Artikel 3 Safe Harbour Beschikking beperkt
bevoegdheden toezichthouders en is dus ook
ongeldig
Overige artikelen hangen hiermee samen
Gehele Safe Harbor beschikking ongeldig
Safe Harbour
Gevolgen uitspraak:
Export PG naar USA per direct onrechtmatig;
Oplossing:
Gebruik modelcontracten
(Let op: de vraag is of aan die modelcontracten
niet dezelfde bewaren kleven!)
Overstap naar ander “veilig land”
(Let op: de vraag is of alle “veilige landen” wel
voldoen aan criteria HvJEU uit dit arrest)
Reshoring naar EER
Biometrische gegevens-arrest
Enkele burgers vragen in
verschillende gemeenten
paspoort/identiteitskaart aan, maar
weigeren afgifte vingerafdrukken o.m.
vanwege centrale opslag gegevens
door NL overheid
De betreffende gemeenten weigeren
daarop afgifte van het reisdocument
Biometrische gegevens-arrest
Kwestie komt via bezwaar, beroep,
hoger beroep bij Raad van State
terecht.
Raad van State stelt prejudiciële
vragen over de verordening die tot
toepassing van biometrie heeft geleid
Biometrische gegevens-arrest
Hof van Justitie:
Nationale identiteitskaart valt niet onder
Europese verordening
Paspoort doet dat wel, maar de
betreffende verordening verbiedt niet dat
lidstaten biometrische gegevens ook voor
andere doeleinden gebruiken
Met andere woorden: toetsen aan
nationaal recht.
Raad van State heeft nog geen
einduitspraak gedaan.
Status IP-adres
Patrick Breyer van Duitse
Piratenpartij vs. Duitse overheid
Breyer heeft procedure tegen
Duitse federale instellingen
gestart tot verwijdering van IP-
adres uit logboeken na bezoek aan
overheidswebsite
Status IP-adres
Breyer verliest in eerste aanleg
In hoger beroep wint hij de
kwestie, voor zover het
betreffende IP-adres is gekoppeld
aan zijn e-mailadres
Hoger beroep rechter lijkt dus daar
omslagpunt te zien in status IP-adres
als “persoonsgegeven”
Beide partijen stellen cassatie in
Status IP-adres
Bundesgerichtshof stelt vragen
aan Hof van Justitie:
Is IP-adres voor websitehouder al een
persoonsgegeven, louter omdat
provider van abonnee weet aan wie
dit adres is toegekend?
Is nationale regel die verzameling en
gebruik van persoonsgegevens
beperkt tot hele specifieke
omstandigheden in strijd met artikel
7 sub f privacyrichtlijn
(“gerechtvaardigd belang”)?
Status IP-adres
Zaak is in februari ingediend bij
Hof, op dit moment nog verder
niets bekend (ook geen conclusie
A-G).
Wordt voor de praktijk voor o.m.
iedereen met een website echter
zeer relevante uitspraak
Status IP-adres
Mijn schot voor de boeg:
1. Hof benadrukt dat voor providers IP-
adressen persoonsgegevens zijn en
wijst er voor overige op dat afhangt
van overige omstandigheden
2. Onder verwijzing naar eerdere
ASNEF-arrest (C-468/10 en C-469/10)
zal Hof oordelen dat nadere
voorwaarden verbinden aan sub f
verwerking niet is toegestaan.
Bewakingscamera
Tsjechisch gezin wordt jarenlang
lastiggevallen door onbekend
persoon
Man des huizes installeert camera.
Camera filmt ingang van het huis,
openbare weg en ingang van huis
aan de overkant van de weg
Bewakingscamera
Ruiten van gezin worden wederom
ingegooid. Ditmaal ligt het vast op
camera.
Camerabeelden worden overhandigd
aan politie, waarop twee verdachten
worden veroordeeld
Een van de daders dient daarop
klacht in bij Tsjechische
privacytoezichthouder.
Bewakingscamera
Tsjechische privacytoezichthouder
treedt op vanwege
Niet vragen toestemming;
Niet informeren over camera;
Niet melden camera bij toezichthouder.
Huiseigenaar start vervolgens
procedure tegen Tsjechische
privacytoezichthouder
Vraag komt uiteindelijk bij HvJEU
Bewakingscamera
Hof van Justitie:
afbeelding persoon gemaakt door
camera is persoonsgegeven;
filmen van persoon is vorm van
verwerking van persoonsgegevens;
richtlijn is dus in beginsel van
toepassing;
Bewakingscamera
Hof van Justitie:
uitzondering persoonlijkheid en
huishoudelijk gebruik strikt uitleggen;
in ieder geval niet van toepassing bij
filmen openbare weg;
privacywetgeving dus (vol) van
toepassing op casus.
Bewakingscamera
Hof van Justitie (overweging ten
overvloede):
bij uitleg privacyrichtlijn mag rekening
worden gehouden met belangen van
verantwoordelijke voor bescherming van
eigendom, gezondheid en leven;
grondslag kan best gelegen zijn in sub f;
er bestaan uitzonderingen op diverse
beginselen uit de richtlijn.
College van Beroep
voor het Bedrijfsleven
College Beroep Bedrijfsleven
Bel-me-niet
Goede Doelen Loterijen bellen in
2009/2010 bijna 900.000 nummers met
aanbieding
Consumenten beklagen zich bij Autoriteit
Consument en Markt (ACM)
Bel-me-niet
ACM treedt op en legt boetes van totaal
845.000 euro op
525.000 euro voor niet ontdubbelen met bel-
me-niet register
320.000 euro voor niet aanbieden verzet en
mogelijkheid inschrijving bel-me-niet register
Bezwaar bij ACM wordt afgewezen
Beroep bij rechtbank wordt afgewezen
Bel-me-niet
CBB benadert kwestie heel principieel:
ACM heeft bewijslast van overtreding;
ACM moet dus aantonen dat ongevraagde
communicatie is overgebracht, hetgeen
verbinding (en niet alleen bellen) impliceert;
ACM moet ook aantonen dat verbinding is
gelegd met nummer op bel-me-niet lijst;
ACM kan niet volstaan met conclusies op
algemeenheden of (statische) logica;
ACM heeft in dit verband echter niet op
detailniveau bewijs aangeleverd, dus boete 1
geschrapt
Bel-me-niet
CBB benadert kwestie heel principieel:
Bovendien staat duidelijk in de wet dat recht
van verzet aan abonnee moet worden
aangeboden
Abonnee is de contractant, niet iedere persoon
die telefoon opneemt
ACM moet dus aantonen dat info over recht
van verzet aan die abonnee is aangeboden
ACM heeft ook dat bewijs niet geleverd, dus
boete verworpen.
Bel-me-niet
Goede doelen kruipen dus door oog van
de naald
Vraag is wel of wetstechnische discussie
over begrip “abonnee” voor praktijk niet
lastig is
Bij telefoonnummers in gebruik bij gezinnen
zal in belscripts waarschijnlijk moeten worden
gevraagd naar de abonnee
Raad van State
Raad van State
Bevoegdheid en beleidsvrijheid
Man die tot 2005 in USA woonde
was bij Amerikaanse verzekeraar
verzekerd tegen arbeidsongeschikt
Man raakt begin deze eeuw
arbeidsongeschikt; verzekeraar
start daarop uitkering
Man verhuist in 2005 naar
Amsterdam
Bevoegdheid en beleidsvrijheid
Verzekeraar laat in NL onderzoek
doen door Engels (2008) en
Nederlands (2010)
onderzoeksbureau
Verzekeraar zet vervolgens
uitkeringen stop
Man dient handhavingsverzoek in
bij het CBP
Bevoegdheid en beleidsvrijheid
CBP acht zich niet bevoegd jegens
Amerikaanse verzekeraar;
Engels onderzoeksbureau.
CBP acht optreden tegen NL bureau
niet opportuun gelet op haar
handhavingsbeleid
Geen indicatie van structurele en
grootschalige overtreding wet
Man gaat in bezwaar, beroep en
hoger beroep
Bevoegdheid en beleidsvrijheid
Privacyrichtlijn van toepassing
indien zich middelen in NL
bevinden
Raad van State stelt vragen over uitleg
van dat begrip “middelen”.
Achtergrond is dat UK en NL
onderzoeksbureau vanuit USA werden
aangestuurd
Vraag is of nuttig effect
privacyrichtlijn niet wordt
ondergraven als CBP in dit geval niet
bevoegd zou zijn (anders niemand
bevoegd).
Bevoegdheid en beleidsvrijheid
Privacyrichtlijn van toepassing
indien zich middelen in NL
bevinden
Zie overigens ook de (eveneens nog
aanhangige) zaak C-230/14 over de
bevoegdheid bij vanuit buitenland
opererende website
Bevoegdheid en beleidsvrijheid
In privacyrichtlijn opgenomen dat
iedere burger zich moet kunnen
wenden tot toezichthouder
In de praktijk heeft CBP beleid dat
niet wordt opgetreden bij
incidenten
Raad van State vraagt zich af of dat
beleid niet strijdig is met richtlijn
Bevoegdheid en beleidsvrijheid
Zaak nu aanhangig bij Hof, nog
geen beantwoording.
Potentieel relevant voor velen:
Antwoord op vraag 1 bepaalt of
internationale concerns met één of
juist vele toezichthouders van doen
hebben
Antwoord op vraag 2 beïnvloedt
handhavingscapaciteit CBP
DNB-dossier
Man dient inzageverzoek in bij
DNB
DNB wijst het toe voor uit media
afkomstige artikelen, maar
weigert voor onderzoekdossiers
In beroep stelt rechtbank dat
(digitale!) onderzoekdossiers
geen “bestand” vormen en dus
Wbp niet van toepassing is
DNB-dossier
Raad van State heeft kwestie eerst
aangehouden in afwachting van
beantwoording prejudiciële
vragen over inzagerecht
HvJEU-arrest over inzagerecht gaf
recht op “volledig overzicht in
begrijpelijke vorm”.
DNB-dossier
Raad van State:
Onderscheid maken tussen analoge
en digitale verwerkingen
Bestandscriterium alleen relevant bij
analoge verwerkingen
Betrokkene heeft slechts recht op
overzicht van de over hem verwerkte
persoonsgegevens, niet valt in te
zien dat wettelijke uitzonderingen
snel aan die verstrekking in de wet
zullen staan
DNB-dossier
Raad van State:
DNB krijgt herkansing om het
vereiste “volledig overzicht” op te
maken, hoeft echter afschrift
documenten te verstrekken.
Minuut jurisprudentie
In vreemdelingenrecht lange tijd zeer
gebruikelijk om met beroep op
inzagerecht inzage in de “minuut”
(juridische analyse) te vragen.
Vorig jaar uitspraak Hof van Justitie
hierover gewezen (zie ook slides vorig
jaar)
Minuut jurisprudentie
Oordeel Hof in minuut-arrest
Om aan inzagerecht te voldoen “volstaat
het dat aan die aanvrager een volledig
overzicht, in begrijpelijke vorm, van deze
gegevens wordt gegeven, dat wil zeggen in
een vorm die deze aanvrager in staat stelt
kennis te nemen van die gegevens en te
controleren of zij juist zijn en zijn
verwerkt in overeenstemming met deze
richtlijn, opdat hij eventueel de hem bij die
richtlijn verleende rechten kan uitoefenen”
Minuut jurisprudentie
Raad van State leunt sterk op de
woorden “volledig overzicht” en
oordeelt nu consequent dat geen recht
bestaat op afschrift documenten
Veel hoger beroepen in
vreemdelingenzaken nu dus
consequent afgewezen
Minuut jurisprudentie
De vraag is echter of je met louter
overzicht van persoonsgegevens wel
kunt “controleren of zij (…) zijn
verwerkt in overeenstemming met deze
richtlijn”.
Afwachten dus of andere (civiele)
rechters anders oordelen over deze
kwestie. Krijgt ongetwijfeld nog wel
vervolg.
Gerechtshoven
Gerechtshoven
Enquêterecht vs. privacyrecht
Enquête naar mogelijk wanbeleid gestart ter zake van
Xeikon N.V.
Onderzoeker doet bij Ondernemingskamer verzoek om
inzage in notulen en mailboxen
Verweer Xeikon: ongeclausuleerde inzage mailboxen in
strijd met proportionaliteitstoets Wbp
Enquêterecht vs. privacyrecht
Ondernemingskamer:
in casu ruime onderzoeksopdracht aan onderzoeker;
gelet op ruime opdracht begrijpelijk dat onderzoeker inzage in
mailboxen wil;
er bestaat bovendien verstrekkende wettelijke verplichting om
informatie aan te leveren;
mailboxen moeten dus afgestaan worden
In oordeel (helaas) geen expliciet oordeel over
privacyrecht. In feite impliciet verworpen.
Enquêterecht vs. privacyrecht
Enquête naar mogelijk wanbeleid gestart ter zake van
Xeikon N.V.
Onderzoeker doet bij Ondernemingskamer verzoek om
inzage in notulen en mailboxen
Verweer Xeikon: ongeclausuleerde inzage mailboxen in
strijd met proportionaliteitstoets Wbp
Intern incidentenregister
Natuurlijk persoon vraagt hypotheek aan bij SNS Reaal
voor aankoop woning
Daarbij worden vervalste loonstrook en vervalste
werkgeversverklaring ingediend
Woning wordt in strijd met hypotheekakte verhuurd
Intern incidentenregister
Hypotheekadviseur wordt als verdachte van
(betrokkenheid bij) fraude en verdachte van illegale
verhuur in interne register opgenomen
Gerechtshof: gelet op gedragscode volstaat in beginsel
vermoeden van betrokkenheid bij fraude/oplichting al
voor opname in IVR
In dit verband bovendien voldoende aanwijzingen van
betrokkenheid
Intern incidentenregister
Aldus gerechtvaardigd belang SNS Reaal gegevens in
IVR opgenomen te houden. Belang van de man
prevaleert niet.
Ledenlijst coffeeshops
Overheid scherpt gedoogbeleid
softdrugs aan: voortaan alleen
verkoop aan (i) ingezetenen die (ii)
lid zijn van besloten club
Diverse exploitanten van
coffeeshops komen op tegen nieuwe
beleid
Voeren o.m. schending van persoonlijke
levenssfeer aan
Ledenlijst coffeeshops
Gerechtshof:
Artikel 8 EVRM is van toepassing,
wettelijke grondslag inbreuk privacy
vereist
Artikel 8 sub e Wbp biedt deze grondslag
echter (hiertegen was door partijen kennelijk ook
niet gegriefd)
Rechtbank: publiekrechtelijke taak is
handhaving openbare orde door
burgemeester
Ledenlijst coffeeshops
Gerechtshof:
Ledenadministratie bevat geen
bijzondere persoonsgegevens
Geen gegevens “die een als een strafbaar
feit te kwalificeren bewezenverklaring in
de zin van artikel 350 Wetboek van
Strafvordering konden dragen”
Norm is bekend uit
ECLI:NL:HR:2009:BH4720
Zwarte lijst als pressiemiddel
Vrouw wordt bestolen van bankpas en ID-kaart
Nog datzelfde weekend worden
vier telefoonabonnementen op naam van de vrouw
afgesloten;
vier telefoons op naam van de vrouw verstrekt.
De vrouw doet maandag aangifte van diefstal
van ID-kaart en bankpas
Zwarte lijst als pressiemiddel
De vrouw meldt woensdag bij KPN dat
kennelijk allerlei abonnementen op haar naam
zijn afgesloten
Op vrijdag stelt KPN dat overeenkomsten
rechtsgeldig zijn gesloten
Vrouw roept vernietiging van overeenkomsten
in. KPN stopt abonnementen, maar handhaaft
vordering toestellen
Zwarte lijst als pressiemiddel
KPN bericht vervolgens aan de vrouw dat
vordering niet geïnd wordt, maar dat vrouw
wordt aangemeld bij Preventel
Effect van aanmelding is jarenlang geen abonnement
meer kunnen afsluiten
Vrouw stapt naar de rechter, vordert
ongedaanmaking registratie
Vordering toegewezen met dwangsom
KPN in hoger beroep
Zwarte lijst als pressiemiddel
Grief 1 KPN: er had eerst inzageverzoek
moeten plaatsvinden
Hof: grief faalt, in casu volstrekt overbodige
handeling. Bekend welke gegevens het betrof
Zwarte lijst als pressiemiddel
Grief 2 KPN: rechtbank heeft ten onrechte
meegewogen dat KPN geen kopie ID-bewijs in
geding heeft gebracht
Hof: technisch juist, maar irrelevant
Zwarte lijst als pressiemiddel
Op grond van art. 8 Wbp dient KPN grondslag
voor zwarte lijst te hebben
Enig aangevoerde legitimatie registratie is
pressiemiddel tot betaling.
Daar tegenover staat belang verzoekster om
telefoonabonnement te kunnen afsluiten.
Behoorlijke hindernis in deze tijd.
Zwarte lijst als pressiemiddel
Registratie alleen gerechtvaardigd bij “sterke
aanwijzingen” die “gestelde identiteitsfraude
niet op voorhand aannemelijk” maken
KPN verweert zich met algemene belang en
algehele twijfel aan verklaring vrouw
Vrouw versterkt ter zitting juist haar verhaal.
Bovendien blijken de handtekeningen niet te
lijken op de ter zitting door vrouw verstrekte
handtekening.
Zwarte lijst als pressiemiddel
Oordeel rechtbank wordt dan ook bekrachtigd,
met veroordeling van KPN in kosten van de
procedure.
Extern verwijzingsregister
Fiscalist verricht op detacheringsbasis
werkzaamheden voor SNS
Brengt ook diverse andere medewerkers aan
en laat facturering via schimmige constructies
verlopen
SNS ontdekt misstanden na onderzoek. Ook
FIOD doet onderzoek
SNS meldt twee medewerkers aan bij Extern
Verwijzingsregister
Extern verwijzingsregister
In eerste aanleg komen zowel natuurlijke
personen als rechtspersonen op tegen
registratie
Rechtbank wijst verzoek rechtspersonen af:
WBP niet van toepassing;
Rechtspersonen niet in EVR opgenomen.
Overigens wijst rechtbank verzoek natuurlijke
personen af
Gerechtvaardigd belang voor opname in EVR
Extern verwijzingsregister
Gerechtshof
Alleen de verantwoordelijke kan in procedure ex
WBP worden betrokken; rechtbank dus correct in
afwijzing verzoek jegens personeels-BV
Protocol EVR biedt voldoende waarborgen voor
verwerking persoonsgegevens
Zware verdenking strafbaar feit voldoende voor
opname in EVR
Aangifte doen niet vereist
Extern verwijzingsregister
Gerechtshof
Beroep op disproportionaliteit slaagt, omdat
registratie de facto tot onmogelijkheid werk leidt.
Registratie om die reden beperkt tot 3 jaar
(was: 8 jaar)
Gevorderde dwangsom wordt sterk gematigd;
Natuurlijk personen worden veroordeeld in
proceskosten, omdat zij in feite in ongelijk gestelde
partij zijn
Rechtbanken
Rechtbanken
GPS-gegevens vrachtwagens
Inspectie bij transportbedrijf inzake rittenadministratie
O.m. GPS-gegevens vrachtwagens worden opgevraagd
Er worden achttien overtredingen ten aanzien van
voeren deugdelijke administratie geconstateerd ten
aanzien van drie chauffeurs
GPS-gegevens vrachtwagens
Onderneming stelt dat WBP aan opvragen van die GPS-
gegevens in de weg staat
Rechtbank: Wbp is niet van toepassing, omdat gegevens
aan vrachtwagens en niet aan chauffeurs zijn
gekoppeld
Onder verwijzing naar Raad van State uitspraak
GPS-gegevens vrachtwagens
Uitspraak lijkt grensgeval van begrip persoonsgegevens
Er is immers geconstateerd dat “ten aanzien van drie
chauffeurs” overtredingen zijn begaan
Er is dus ten aanzien van in ieder geval bepaalde gegevens
koppeling gelegd met natuurlijke personen
(persoonsgegeven!)
Onduidelijk is of dat ook voor GPS-gegevens geldt
Zuiverder lijkt mij om te overwegen dat
gegevensverwerking noodzakelijk is op grond van
publiekrechtelijke taak inspectie (artikel 8 sub e Wbp)
Afgifte beelden beveiligingscamera
Verdachte wordt vervolgd voor pinnen met frauduleus
verkregen passen
Onder bewijsstukken bevinden zich beelden van
Holland Casino en Jack’s Casino.
Beelden zijn verkregen zonder machtiging RC voor
verkrijging bijzondere persoonsgegevens.
Vraag is of die beelden rechtmatig zijn verkregen
Afgifte beelden beveiligingscamera
Rechtbank:
In herinnering arrest Hoge Raad 23 maart 2010
(ECLI:NL:HR:2010:BK6331): gegevens waaruit ras-informatie
kan worden afgeleid, zoals een foto, zijn bijzondere
persoonsgegevens.
In casu was OvJ echter, anders dan bij voornoemd Trans Link–
arrest, niet op zoek naar persoonsgegevens
Bovendien weet een ieder dat in casino’s wordt gefilmd
Bewijs rechtmatig verkregen
Afgifte beelden beveiligingscamera
De vraag is of redenering rechtbank in evt. hoger
beroep stand houdt
Hoge Raad heeft immers uitdrukkelijk overwogen dat:
alle gegevens waaruit gevoelige gegevens kunnen worden
afgeleid gevoelige gegevens zijn;
niet relevant is of beoogd is om gevoelige gegevens uit
bepaalde gegevens te ontlenen.
Dat OvJ met vordering niet op zoek was naar
persoonsgegevens komt gekunsteld over. Bovendien op
gespannen voet met HvJEU over camerabeelden.
Opschorten bewaarplicht
Enkele privacyorganisaties en
telecombedrijven starten procedure
tegen de Staat inzake bewaarplicht
Zaak leunt sterk op arrest HvJEU d.d. 8
april 2014, waarbij dataretentierichtlijn
ongeldig is verklaard
Eisers stellen dat gelet op die bestaande
rechtspraak NL (implementatie)wetgeving
buiten werking gesteld moet worden
Opschorten bewaarplicht
Rechtbank:
KG-rechter kan wet slechts buiten toepassing
verklaren voor zover deze onmiskenbare
onverbindend is wegens strijd met eenieder
verbindende bepalingen van verdragen en
besluiten volkenrechtelijke organisaties.
Grote terughoudendheid rechter, taak
grondrechtenafweging ligt in NL stelsel
primair bij wetgever
Opschorten bewaarplicht
Rechtbank:
NL wetgeving op eigen merites beoordelen, is
niet automatisch komen te vervallen door
verval richtlijn
NL wetgeving is uitvoering EU-richtlijn, dus
(mede) toetsen aan EU Handvest
Enkele opslag van verkeersgegevens is een
inbreuk op de rechten uit Handvest. Vraag is
of die inbreuk gerechtvaardigd is.
Uitgangspunt is dat bewaarplicht op zichzelf
noodzakelijk en effectief is. Al diverse zaken
mee opgelost.
Opschorten bewaarplicht
Rechtbank:
NL wetgeving bevat echter geen of
onvoldoende objectieve criteria ter
begrenzing van toegang en gebruik gegevens.
Onvoldoende afgegrensd voor welke
misdrijven gegevens mogen worden gebruikt.
Ook geen toetsing vooraf wie er toegang heeft
tot gegevens
Bewaarplicht maakt ontoelaatbare inbreuk op
rechten Handvest en is dus onmiskenbaar
onverbindend.
Opschorten bewaarplicht
Rechtbank:
Wet bewaarplicht telecom wordt buiten
werking gesteld.
Staat heeft daarmee ook geen grondslag meer
gegevens op te vragen bij providers
Opschorten bewaarplicht
Enkele observaties:
Rechtstreekse toetsing aan Handvest.
In opkomst. Interessant ook omdat catalogus
grondrechten in Handvest ruimer is dan in
Grondwet of verdragen.
Wet buiten werking gesteld in kort geding
Belang privacy weegt dus (heel) zwaar
Wet bovendien algeheel buiten werking gesteld
en niet alleen jegens eisers
Vrij genuanceerde en doordachte uitspraak,
zeker voor kort geding.
Niettemin binnen drie weken na zitting al
uitspraak gedaan
Uitdraai GSM-locatiegegevens
Klant doet bij T-Mobile inzageverzoek ex
WBP
T-Mobile reageert:
verstrekt contactgegevens;
verstrekt contractgegevens;
verstrekt factuurgegevens;
informeert dat verkeers- en locatiegegevens
worden verwerkt, meldt dat die inzage wordt
beperkt tot 10 kalenderdagen en verzoekt
betrokkene gewenste datumbereik te
specificeren
Uitdraai GSM-locatiegegevens
Betrokkene reageert en verzoekt om
locatiegegevens voor gehele jaar vanaf
bepaalde datum
T-Mobile stelt dat het slechts gegevens tot
jaar terug bewaart.
Verstrekt daarop overzicht locatiegegevens
vanaf verzochte datum voor de duur van
10 dagen.
Uitdraai GSM-locatiegegevens
Betrokkene beklaagt zich over beperkte
afgifte locatiegegevens
T-Mobile verweert zich met stelling dat
locatiegegevens niet worden opgeslagen en
dat zij al meer dan voldoende tegemoet is
gekomen aan wensen betrokkene
Uitdraai GSM-locatiegegevens
In procedure blijkt (onweersproken) dat
zendmasten voorzien zijn van “cell ID” (unieke
code);
deze ID niets zegt over de locatie;
ID in het locatieplan aan locatie gekoppeld is;
Bij gesprekken alleen het cell ID wordt
geregistreerd;
T-Mobile alleen indien noodzakelijk relatie
tussen cell ID en locatie legt.
Uitdraai GSM-locatiegegevens
Rechtbank:
“Er is geen grond om T-Mobile te verzoeken tot
verstrekking van locatiegegevens die zij in haar
normale bedrijfsvoering niet creëert”
Dat T-Mobile feitelijk de gegevens wel voor
periode 10 dagen wil verstrekken, maakt dit niet
anders
Verzoeker heeft geen rechtens te respecteren
belang bij het verzoeken om creatie van
locatiegegevens
Uitdraai GSM-locatiegegevens
Rechtbank:
Inzagerecht ziet wel op gegevens die T-Mobile in
normale bedrijfsvoering wel verwerkt
Voor groot deel verkeersgegevens is al aan
inzageverzoek voldaan door inzage middels “My
T-mobile”
Cell-Ids zijn geen persoonsgegevens, aangezien
deze alleen tot zendmast en niet tot persoon te
herleiden zijn. Onbetwist is dat T-Mobile in
normale bedrijfsvoering die koppeling niet legt.
Verzoek afgewezen, verzoeker veroordeeld in de
kosten
Boete na hack
In januari 2012 werd bekend dat hacker had
ingebroken op netwerk KPN
ACM stelt onderzoek in. Aandachtspunten
onderzoek:
opzetten en handhaven beveiligingsbeleid;
netwerkinrichting;
afscherming;
netwerk- en systeembewaking;
patchmanagement.
Boete na hack
Conclusie rapport 22 juli 2013: KPN heeft niet
aan beveiligingsverplichting voldaan.
Boete van € 364.000,-- opgelegd
potentieel ernstige schade eindgebruikers;
belang beveiliging raakt fundamentele rechten en vrijheden
betrokkenen;
KPN heeft bovendien bewust risico aanvaard, nu niet is
opgetreden na eerder incident en KPN advies om
penetratietesten te houden niet heeft opgevolgd.
Boete na hack
Verweer KPN:
dat er gehackt wordt wil nog niet zeggen dat
beveiligingsnorm is overtreden;
ACM heeft ten onrechte niet gelet op wijze van afhandeling
van incident door KPN;
ACM zou verkeerde stand van techniek in acht hebben
genomen;
ACM legt de lat te hoog te aanzien van de te nemen
maatregelen;
ACM heeft de overtreding als te ernstig aangemerkt, nu er
geen persoonsgegevens verloren zijn gegaan en KPN goed
heeft geregeerd op ontdekking hack
Boete na hack
Rechtbank
Beveiligingsplicht artikel 11.3 Tw betreft “een
zorgplicht die een verstrekkende inspanningsplicht
inhoudt”
NB. Tekst artikel 13 WBP is nagenoeg gelijk
ACM heeft toereikend gemotiveerd waarom in onderzoek
aandacht is gelegd op voornoemde vijf aandachtsgebieden
Wel moet in ogenschouw worden genomen dat mogelijke
tekortkoming bij één van genoemde onderwerpen kan
worden opgeheven door adequate tegenmaatregelen
Boete na hack
Rechtbank
KPN heeft veel van de verwijten van ACM niet
weersproken.
Onderzoek ACM niet onzorgvuldig om enkele feit dat niet
gekeken is welke maatregelen andere providers nemen
Onderzoek ACM evenmin onzorgvuldig omdat slechts
beperkt literatuuronderzoek plaats heeft gevonden
Dat KPN adequaat heeft gereageerd op incident doet aan
schending beveiliging niets af. Adequaat reageren op hack
is afzonderlijke wettelijke plicht.
Ook niet gebleken dat kosten voor te nemen maatregelen
niet in verhouding staan tot beveiligingsdoel
Boete na hack
Rechtbank
ACM heeft terecht geconcludeerd dat sprake is van
ernstige overtreding
Overtreding is KPN ook toerekenbaar, mede gelet op eerder
incident bij dochteronderneming
WOB biedt voldoende grondslag om boeterapport in
ongeschoonde vorm te publiceren
Beroep (dus) volledig afgewezen
Boete na hack
Interessante kwestie, ook voor partijen buiten
telecom:
1e kwestie voor de rechter over boete na hack;
artikel over beveiligingsplicht in Tw nagenoeg gelijk
aan corresponderende artikel in Wbp;
per 1 januari staat op overtreding artikel 13 Wbp dankzij
wetswijziging ook boete (zie hierna).
Wetgeving
Wetgeving EU
Privacyverordening
12/03/2014 door Parlement goedgekeurd in 12e lezing;
Vervolgens beraadslagingen in Raad op 06-06-2014, 10-
10-2014, 13-03-2015 en 15-06-2015
Planning rond de zomer was om er rond december uit
te zijn.
Formeel is het echter al tijdje stil
Signalen zijn dat het later wordt
Beoogde inwerkingtreding: 2 jaar na publicatie
Wetgeving NL
Introductie boetebevoegdheid CBP en meldplicht
datalekken per 1 januari 2016
Hierna in twee delen behandeld
Aanpassing cookiewet
Iets minder vaak toestemming nodig, maar voor praktijk
verandert er niet veel
Diverse wetstechnische wijzigingen
Veelal in verband met decentralisatie diverse zorgtaken
overheid
Wijziging boetebevoegdheden (I)
Boete schending meldplicht vervallen.
Nieuw: boete 4e categorie (=€ 22.250) op:
Niet aanwijzen NL vertegenwoordiger door verantwoordelijke
buiten EU
Data-export naar land dat door EU-besluit als onveilig is
aangemerkt
Wijziging boetebevoegdheden (II)
Nieuw: (lid 2) boete op schending materiele normen
WBP van maximaal 6e categorie (=€ 810.000,--) c.q. 10%
jaaromzet
Direct op te leggen bij:
Opzet (incl. voorwaardelijke opzet!)
Ernstig verwijtbare nalatigheid
In andere gevallen eerst na schending door CBP opgelegde
bindende aanwijzing
Nieuw: (lid 5) boete van maximaal 6e categorie (=€
810.000,--) c.q. 10% jaaromzet bij niet-naleven
bindende aanwijzing
Rode kaart situaties (I)
Criterium Omschrijving & voorbeeld(en) uit wetsgeschiedenis
Opzet “Willens en wetens” (de handeling, niet de opzet op overtreding van de Wbp!)
• commerciële handel in persoonsgegevens voor financieel gewin
• vermarkten medische gegevens
• zonder toestemming filmen patiënten in zwakke positie (casus
VUmc)
Voorwaar-
delijke opzet
“willen en wetens aanmerkelijke kans op intreden
negatieve gevolgen aanvaarden (incl. behoren te weten)”
• Niet ingrijpen terwijl geavanceerde monitoringsoftware op
netwerk waarschuwt voor incidenten
Ernstig
verwijtbare
nalatigheid
“het gevolg is van grof, aanzienlijk onzorgvuldig,
onachtzaam dan wel onoordeelkundig handelen.”
• Arboarts die het tot verdienmodel maakt systematisch dossiers
te mailen naar werkgever
• Kinderen met spelletje ontlokken om vragen over ouders te
beantwoorden
• zonder toestemming filmen patiënten in zwakke positie (casus
VUmc)
Rode kaart situaties (II)
Voorbeelden in wetsgeschiedenis (behoorlijk)
willekeurig en arbitrair
Onderscheid in verschillende gradaties van ernst ook
behoorlijk willekeurig en arbitrair
Illustratief dat VUmc-casus zowel bij gradatie 1 als gradatie 3
wordt genoemd!
Hopelijk komt CBP (AP) met duidelijkere criteria in
handhavingsbeleid
Bindende aanwijzing (I)
Artikel 1 sub q WBP: “de zelfstandige last die wegens
een overtreding wordt opgelegd”.
Vrij vertaald: de last zonder dwangsom
Geïntroduceerd na advies van RvS vanwege lex-certa
beginsel
Concretiseert de abstracte normen uit Wbp in specifieke
situatie
Vereist in alle gevallen behalve de “rode kaart” situaties
Bindende aanwijzing (II)
Overeenkomst:
Beide gericht op herstel van overtreding
In beide gevallen termijnstelling vereist
Verschil:
Last onder dwangsom per definitie geld verbeurd indien
overtreding niet tijdig gestaakt.
Na bindende aanwijzing afzonderlijk boetebesluit vereist
Dwangsom kan ook per tijdseenheid of overtreding
Onduidelijk of na de last een dwangsom kan volgen, of
dat alleen een boete mag
Normen waarop boete staat (I)
Artikel Omschrijving
Artikel 6 Eerlijke verwerking
Artikel 7 Verzameldoel bepalen
Artikel 8 Grondslagen gegevensverwerking
Artikel 9 lid 1 Doelbinding
Artikel 9 lid 4 Onverenigbare verwerking vanwege geheimhouding
Artikel 10 lid 1 Bewaartermijnen
Artikel 11 Gegevenskwaliteit
Artikel 12 Gezag en geheimhouding
Normen waarop boete staat (II)
Artikel Omschrijving
Artikel 13 Passende beveiliging
Artikel 16 Verbod verwerking bijzondere persoonsgegevens
Artikel 24 Verbod verwerking persoonsnummers
Artikel 33 Transparantie richting betrokkene bij verkrijging bij
betrokkene
Artikel 34 lid 1 – 3 Transparantie richting betrokkene bij verkrijging
anderszins
Artikel 34a Meldplicht datalekken
Artikel 35 lid 1 – 4 Inzagerecht
Artikel 36 lid 2 – 4 Correctierecht
Normen waarop boete staat (III)
Artikel Omschrijving
Artikel 38 Kennisgeving derden
Artikel 39 Kostenvergoeding rechten betrokkene
Artikel 40 lid 2 – 3 Recht van verzet
Artikel 41 lid 2- 3 Opt-out commercieel gebruik
Artikel 42 lid 1 en 4 Geautomatiseerde individuele besluiten
Artikel 76 Verbod op doorgifte buiten EU
Artikel 77 Voorwaardelijke uitzonderingen verbod op
doorgifte
Artikel 78 lid 3 en 4 Verbod doorgifte na opschorting minister
Artikel 5:20 Awb Medewerkingsplicht onderzoek
Normen waarop geen boete staat
Artikel 14 WBP: verplichte bewerkersovereenkomst
Artikel 32 WBP: verplicht melden verwerking waarop
voorafgaand onderzoek van toepassing is
Artikel 37 WBP: (o.m.) deugdelijk vaststellen identiteit
verzoeker bij uitoefening rechten en communiceren
met wettelijk vertegenwoordigers indien betrokkene
minderjarig is
Cumulatie bestuurs-/strafrecht (I)
Artikel 5:44 Awb
Geen bestuurlijke boete indien strafvervolging is ingesteld
Bovendien voorafgaand overleg met OM vereist
Primaat vervolging ligt bij OM, CBP slechts bevoegd indien OM
besluit van vervolging af te zien
Artikel 243 lid 2 Sv
Bestuurlijke boete en/of mededeling niet opleggen daarvan
geldt als kennisgeving niet verdere vervolging
“Una via”-beginsel lijkt niet in de weg te staan aan
vervolging na 12 Sv klacht
Cumulatie bestuurs-/strafrecht (II)
Relevant voor (o.m.) schending geheimhouding (artikel
272 Sr)
MvT WBP: “De geheimhoudingsbepaling [van art. 12 Wbp, MJ] is
een verplichting uit hoofde van een wettelijk voorschrift als
bedoeld in artikel 272 van het Wetboek van Strafrecht.”
Denk echter ook aan heimelijk opnemen/aftappen
gesprekken c.q. maken (video)opnames (139a e.v. Sr),
laster/smaad in digitale context, div. computerdelicten,
etc.
Adressant boete
Verschillende adressanten:
Pleger (verantwoordelijke)
Medepleger (bijv. de bewerker)
Feitelijk leidinggever / feitelijk opdrachtgever
Bewijslast ligt steeds hoger
In de praktijk zal boete primair aan verantwoordelijke
worden opgelegd
Meldplicht datalekken
Meldingsplicht van inbreuken op de
beveiliging
Onverwijld (binnen 24 uur)
Aan College bij “(aanzienlijke kans op)
ernstig nadelen gevolgen voor de
bescherming van persoonsgegevens”
Daarnaast aan betrokkene “indien de
inbreuk waarschijnlijk ongunstige
gevolgen zal hebben voor diens
persoonlijke levenssfeer.”
Tenzij gegevens adequaat versleuteld
waren
Meldplicht datalekken
Melding College bevat minimaal:
geconstateerde gevolgen;
vermoedelijke gevolgen;
genomen en/of voorgestelde maatregelen
om gevolgen te verhelpen.
Melding betrokkene:
Gelet op alle omstandigheden moet
behoorlijke en zorgvuldige
informatievoorziening zijn geborgd
College kan melding betrokkene eisen
indien deze eerst achterwege is gelaten
Meldplicht datalekken
Administratieplicht inbreuken:
Feiten en gegevens omtrent aard van de
inbreuk
Tekst van de kennisgeving aan de
betrokkene
Wet onduidelijk over hoe lang dit
bewaard moet worden. Uit
behandeling EK blijkt (minimaal) een
jaar.
Meldplicht datalekken
Niet naleven meldplicht of administratieplicht is
beboetbaar
Zie vorige slides
Toezichthouders
Toezichthouders
Nieuwe FAQ cookies
Meest recente wetswijziging inzake verruiming
uitzondering verwerkt
Informatie toegevoegd over rechtsgeldigheid
“cookiewalls” bij private partijen en overheidspartijen
Interactieve TV Ziggo
Onderzoek naar interactieve TV diensten Ziggo
Constateringen:
Ziggo gebruikte kijkgedrag interactieve TV voor
kijkcijferanalyse zonder toestemming;
Ziggo stelde interesseprofiel klant op bij gebruik On Demand
diensten, zonder hiervoor toestemming te vragen;
Ziggo gebruikte gegevens On Demand voor direct marketing
doeleinden zonder toestemming.
Interactieve TV Ziggo
Overtredingen ondertussen gestaakt:
Ziggo anonimiseert kijkcijfergegevens al op apparaat;
Ziggo vraagt toestemming voor interesseprofiel On Demand;
dienst is ook zonder toestemming te gebruiken.
Beveiliging Humannet
Naar aanleiding van Zembla-uitzending onderzoek naar
verzuimapplicatie Humannet in 2012
Destijds toezeggingen Humannet bepaalde
verbeteringen door te voeren
Nadien nieuwe signalen CBP dat Humannet zich niet
aan wet houdt
Ambtshalve onderzoek gestart
Beveiliging Humannet
CBP:
Toepassing beveiligingsrichtlijnen NCSC, Code
Informatiebeveiliging en NEN 7510
CBP:
Ten onrechte geen meerfactorauthenticatie;
Ten onrechte geen periodieke evaluatie beveiligingsrisico’s;
Ten onrechte geen aandacht voor kwetsbaarheden die tijdens
audits naar voren kwamen;
Dwangsom Google
Langlopende discussie met (bijna) alle EU
toezichthouders n.a.v. wijziging
privacybeleid per 01-03-2012
In vele landen al diverse maatregelen
getroffen
Dwangsom Google
CBP legt op 17-11-2014 last onder
dwangsom op:
Toestemming vragen voor combineren van
persoonsgegevens;
Beter informeren dat YouTube onderdeel is van
Google;
Beter privacystatement hanteren:
Combineren Google Analytics met andere gegevens;
Google+ gegevens in advertenties;
Monitoring verkeer voor advertenties;
Betere uitleg over gebruik MAC, UUID’s,
locatiegegevens, etc. op pagina binnen twee
muisklikken
Dwangsom Google
Iedere last 20.000 euro per dag,
oplopend tot maximaal 5 miljoen euro
Ongeveer 3,5 minuut winst per dag
Google in bezwaar tegen dwangsom
Beslissing op bezwaar 9 juni 2015
CBP acht maatregelen evenredig en proportioneel;
CBP verlengt de begunstigingstermijnen;
Mij onbekend of Google in beroep is gedaan
(verwacht ik wel)
Randstad en Adecco
Ambtshalve onderzoek bij uitzendbureaus, mede naar
aanleiding van signalen van betrokkenen
Bevindingen:
Kopie paspoort mag eerst gemaakt worden als
uitzendovereenkomst gesloten, dus niet al bij eerste
inschrijving;
Verstrekken kopie paspoort aan opdrachtgevers is, behoudens
bij vreemdelingen, niet toegestaan;
Registreren gegevens over ziekte is in strijd met de wet;
Randstad en Adecco
Ambtshalve onderzoek bij uitzendbureaus, mede naar
aanleiding van signalen van betrokkenen
Bevindingen:
Verstrekken strafrechtelijke gegevens (pre-employment
screening) niet toegestaan;
Registreren BSN voordat uitzendovereenkomst bestaat niet
toegestaan;
Verwerking gegevens loonbeslagen door intercedenten niet
toegestaan;
Niet hebben van bewaartermijnen, en dus al 24 jaar bewaren
gegevens, in strijd met Wbp
Randstad en Adecco
Opvallend:
Adecco heeft vervolgens voorafgaand onderzoek bij CBP
aangevraagd voor verwerking strafrechtelijke gegevens
CBP heeft bij besluit van 05-08-2015 besloten de verwerking
(vooralsnog) rechtmatig te achten
Suwinet
Suwinet systeem voor uitwisseling overheden gevoelige
persoonsgegevens uitwisselen in het kader van werk en
inkomen
Najaar 2014 onderzoek bij gemeente Den Bosch:
Geen up-to-date beveiliging;
Geen registratie en analyse van beveiligingsincidenten;
Geen goede logging;
Geen goede autorisatie;
Toegang tot SUWInet voor Ierse ministerie Sociale Zaken.
Suwinet
Naar aanleiding van onderzoek Den Bosch heeft SZW
bepaalde verbeteringen doorgevoerd
CBP kondigt 5 juni 2015 nader onderzoek naar Suwinet
aan:
8 extra gemeenten worden in onderzoek betrokken
Verantwoording
In deze presentatie wordt algemene en beknopte informatie
verstrekt over een aantal juridisch relevante ontwikkelingen.
Niet beoogd is om hiermee juridisch advies te geven voor
concrete situaties.
Hoewel veel zorg is besteed aan het opstellen van deze
presentatie, aanvaardt Dirkzwager advocaten & notarissen N.V.
geen aansprakelijkheid voor de inhoud ervan.
Actuele kennis van wet- en regelgeving
Jurispruden
tie
Dirkzwager zorgt
dat
u het weet. Advocatuur Arnhem
Postbus 3045
6802 DA Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 353 83 00
F +31 (0)26 351 07 93
E info@dirkzwager.nl
I www.dirkzwager.nl
Postbus 111
6800 AC Arnhem
Kantoor Velperpoort
Verlperweg 1
6824 BZ Arnhem
T +31 (0)26 365 55 55
F +31 (0)26 365 55 00
E info@dirkzwager.nl
I www.dirkzwager.nl
Postbus 55
6500 AB Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 31 31
F +31 (0)24 322 20 74
E info@dirkzwager.nl
I www.dirkzwager.nl
Postbus 1104
6501 BC Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 27 27
F +31 (0)24 324 07 26
E info@dirkzwager.nl
I www.dirkzwager.nl