Post on 05-Jul-2015
description
Advocaten en notarissen
25 november 2014
Actualiteiten
privacyrecht
Inhoud seminar
• Ontwikkelingen sinds vorige privacyseminar
(sept. ‘13)
• Onderverdeeld in:
– Rechtspraak
– Toezichthouders
– Wetgeving
Privacy. pri·va·cy
/prAjv«si/
de (v.); g.mv.
(na 1950) Eng.
1 persoonlijke
vrijheid, het
ongehinderd alleen,
in eigen kring of
met een partner
ergens kunnen
vertoeven;
gelegenheid om zich
af te zonderen, om
storende invloeden
van de buitenwereld
te ontgaan
«wat is privacy?
Dat is een toestand
waarin een mens er
zeker van is dat
zonder zijn
toestemming zo
weinig mogelijk
andere mensen zich
op zijn terrein
zullen begeven»
(H.J.A. Hofland)
Rechtspraak
Rechtspraak
• Hof van Justitie
• Hoge Raad
• Raad van State
Hof van Justitie
Hof van Justitie
Datum Zaaknummer Zaaknaam
7 november 2013 C-473/12 Privédetectives-arrest
12 december 2013 C-468/12 GBA-uittreksel-arrest
8 april 2014 C-293/12 en C-
594/12
Dataretentierichtlijn-arrest
13 mei 2014 C-131/12 Google-arrest
17 juli 2014 C-141/12 en C-
372/12
Inzagerecht-arrest
Privédetectives-arrest
• Belgische kwestie. Moet ook privédetective
voldoen aan transparantie-eisen?
Privédetectives-arrest
• Hof: het is aan lidstaten zelf om te bepalen
of zij uitzonderingen opnemen in
privacywetgeving, mits
– de uitzondering ziet op doeleinden genoemd in
artikel 13; (=legaliteit)
– de uitzondering noodzakelijk is om dat doel te
bereiken; (=subsidiariteit)
– de uitzondering beperkt blijft tot het strikt
noodzakelijke; (=proportionaliteit)
Privédetectives-arrest
• Hof: een wettelijke uitzondering voor privédetectives voldoet in beginsel aan die eisen, mits de werkzaamheden van de privédetective verband houden met “het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen”. (=legaliteit)
Privédetectives-arrest
• Relevantie voor de praktijk:
– Uitgangspunt transparantie staat voorop;
– Hof interpreteert uitzonderingen zeer eng;
– Harmonisatie privacyrecht: lidstaten hebben
alleen nog beleidsvrijheid voor zover richtlijn
die toelaat
GBA-uittreksel-arrest
• Nederlandse kwestie:
– Vrouw ontvangt verkeersboete;
– Vraagt aan gemeente GBA-gegevens in
bepaalde periode te bevestigen;
– Gemeente stuurt uittreksel GBA en brengt
leges in rekening;
– Vrouw weigert leges te betalen, omdat ze nooit
om uittreksel heeft gevraagd maar
inzageverzoek heeft gedaan.
GBA-uittreksel-arrest
• Vuistregels Hof:
1. Inzagerecht is niet kosteloos
2. Kosten mogen echter niet zo hoog zijn, dat ze
een obstakel voor inzage vormen
3. Overheden mogen maximaal kostprijs in
rekening brengen.
GBA-uittreksel-arrest
• Hof laat in het midden wanneer kosten te hoog zijn
• In Nederland echter gemaximeerd: Besluit kostenvergoeding rechten betrokkene Wbp
– Tot 100 pagina’s max. €5,-- of €0,23 p.p.
– Daarboven of bij complexe verwerkingen max. €22,50,--
GBA-uittreksel-arrest
• Praktische tip voor overheden:
– Verifieer bij onduidelijke verzoeken of
betrokkene een inzageverzoek bedoelt te doen,
of dat betrokkene een uittreksel GBA wenst te
verkrijgen;
– Stel vast wat de kostprijs van een
inzageverzoek is
Dataretentierichtlijn-arrest
• Dataretentierichtlijnverplicht providers om verkeersgegevens voor minimaal 6 maanden te bewaren
• Ierse burgerrechten-beweging en Oostenrijkse deelstaat verzetten zich tegen invoeren van de wetgeving
Dataretentierichtlijn-arrest
• Hof: – uit verkeersgegevens zijn
zeer persoonlijke gegevens af te leiden;
– opslaan van gegevens leidt wellicht tot ander communicatiegedrag;
– persoonlijke levenssfeer en vrijheid meningsuiting dus mogelijk in geding.
Dataretentierichtlijn-arrest
• Niet iedere opslag verkeersgegevens onrechtmatig, mits– legitiem doel;
– voldoet aan eisen proportionaliteit;
– voldoet aan eisen subsidiariteit.
• Regels over afstappen moeten dan ook strikt en precies zijn.
Dataretentierichtlijn-arrest
• Richtlijn voldoet niet aan de eisen:
– Geen filter: bijna alles van bijna iedereen bewaard;
– Geen verband tussen bewaarde gegevens en bepaalde dreiging;
– Geen criteria om toegang te beperken;
– Geen procedures omtrent toegang en gebruik;
– Geen toets op rechtmatigheid gebruik;
– Geen onderscheid in bewaartermijnen;
– Geen objectief criterium voor bewaartermijnen.
Dataretentierichtlijn-arrest
• Nationale wetgeving
ook van tafel?
– Nee, hoewel
soortgelijke procedure
bij gebreke van wettelijk
ingrijpen wel voor de
hand ligt
Dataretentierichtlijn-arrest
• Belang uitspraak:
– Voorbeeld constitutionele toetsing, Hof
corrigeert de EU-wetgever;
– Hof erkent potentiele privacy-impact van
verkeersgegevens;
– Hof erkent dat techniek die mogelijk leidt tot
ander gedrag betrokkene inbreuk op
grondenrechten kan zijn (vgl. discussie tracking
cookies);
Google-arrest
• Spaanse krant publiceert in 1998 dat
vastgoed dhr. González vanwege
socialezekerheidsschulden per opbod
zal worden verkocht
• González ontdekt dat wie zijn naam
anno 2010 intypt in Google, nog
steeds bij deze artikelen komt
Google-arrest
• González verzoekt Spaanse toezichthouder
zowel krant als Google te gelasten om
gegevens te verwijderen
• Toezichthouder weigert verzoek ten aanzien
van krant, honoreert het verzoek ten
aanzien van Google
• Google gaat in beroep
Google-arrest
• Hof:
– Kopiëren van webpagina’s met persoonsgegevens = verwerking
– Google is verantwoordelijke, ook al kopieert ze zonder enige interventie
– Verkoopkantoor in Spanje onlosmakelijk verbonden met Amerikaanse zoekmachine
– Europese privacyrecht dus “vol” van toepassing op Google
Google-arrest
• Hof: betrokkene kan correctierecht inroepen
• Correctierecht heeft vrij ruime strekking:
– Is niet alleen bedoeld om onvolledige of
onjuiste gegevens te corrigeren, maar iedere
vorm van onrechtmatige verwerkingen
Google-arrest
• Hof: betrokkene kan ook recht van verzet
inroepen
• Zoekmachine heeft in beginsel
gerechtvaardigd belang, maar zal na verzet
heroverweging moeten maken
– Belangen betrokkene wegen daarbij (zeer)
zwaar
Google-arrest
• Recht om vergeten te worden?
• Nee, absoluut niet.
• Plicht om te reageren op
correctieverzoek en verzet, waarbij bij
zoekmachines belang betrokkene
zwaar zal wegen
Google-arrest
• In potentie veel verderstrekkende gevolgen:
– Verwerken bijzondere persoonsgegevens in
beginsel verboden
– Niet bovenmatig veel gegevens verwerken en niet
te lang bewaren gegevens, leidt wellicht tot
kleinere zoekindex Google
– Geen “bijvangst” verweer; alle moderne diensten
dus toetsen aan privacywetgeving.
Inzagerecht-arrest • Asielzoeker wil inzage krijgen in de “minuut”
(juridische analyse) die ten grondslag ligt
aan asielbesluit.
• Rb. Middelburg constateert dat Raad van
State en Hoge Raad verschillend oordelen
over inzagerecht. Stelt daarop prejudiciële
vragen.
• Raad van State stelt enkele maanden later
vervolgens soortgelijke prejudiciële vragen.
Inzagerecht-arrest
• Hof van Justitie:
– gegevens over de aanvrager asiel zijn
persoonsgegevens;
– juridische analyse geen persoonsgegeven.
• Doel en strekking richtlijn lijkt hierbij bepalend:
doel privacyrichtlijn is bescherming persoonlijke
levenssfeer, niet openbaarheid van bestuur
Inzagerecht-arrest
• Hof van Justitie verwerpt hiermee wel
expliciet de veel ruimere opvatting van de
WP29 over het begrip persoonsgegevens
• WP29: ook “gegevens die status van
persoon (…) beïnvloeden” zijn
persoonsgegevens
Inzagerecht-arrest
• Hof: geen recht op afschrift documenten, overzicht gegevens volstaat
• Maar…..
• Overzicht moet de betrokkene in staat stellen:– te kunnen controleren of de persoonsgegevens juist
zijn;
– te kunnen controleren of de persoonsgegevens in overeenstemming met de richtlijn worden verwerkt;
– zijn rechten uit te oefenen.
Inzagerecht-arrest
• Met andere woorden: bij inzageverzoek keuze maken tussen
1. Volledig afschrift verstrekken documenten (evt. deels zwart gemaakt), met opmerking dat betrokkene geen correctierecht heeft op inhoud documenten
2. Alleen overzicht verwerkte persoonsgegevens verstrekken, met kanttekening dat betrokkene dan mogelijk stelt dat niet aan wet wordt voldaan.
Hoge Raad
Hoge Raad
Datum Zaaknummer Zaaknaam
18 april 2014 ECLI:NL:HR:2014:942 Achmea Schadeverze-
keringen v. X
Achmea v. X
Datum Omschrijving
1 maart 2001 Man sluit arbeidsongeschiktheidsverzekering af bij Interpolis
8 april 2003 Man meldt zich arbeidsongeschikt. Interpolis start uitkeringen.
juli – sept 2006 Interpolis laat extern bureau onderzoek doen naar man,
waaronder middels observatie.
Sept 2006 Onderzoeksbureau concludeert dat man bewust onjuiste
informatie aan Interpolis heeft verstrekt
10 okt 2006 Interpolis zegt verzekering op per 25 september 2006
28 april 2008 Interpolis sommeert man tot terugbetaling uitkeringen en
vergoeding gemaakte kosten
april 2009 Interpolis beëindigt alle verzekeringen van de man
Achmea v. X
• Interpolis start procedure en vordert terugbetaling uitkeringen en vergoeding gemaakte kosten; Man eist daarentegen juist voortzetting verzekering, rectificatie en schadevergoeding
• Rechtbank stelt Interpolis in gelijk
• In hoger beroep (o.m.) discussie of het rapport v/h onderzoeksbureau buiten beschouwing moet blijven
Achmea v. X
• Hof: – Verbond van Verzekeraars heeft Gedragscode
Persoonlijk Onderzoek opgesteld
– Gebaseerd op beginselen proportionaliteit en subsidiariteit
– De gedragscode stelt dat voor persoonlijk onderzoek sprake moet zijn van “redelijk vermoeden van fraude”
– Daarvoor moet sprake zijn van grondige en/of structurele misleiding door de verzekerde
Achmea v. X
• Hof:
– Inbreuk op persoonlijke levenssfeer is onrechtmatig, behoudens rechtvaardiging
– Interpolis heeft niet onderbouwd dat aan criteria uit gedragscode was voldaan om onderzoek in te stellen
– Interpolis heeft ook geen andere rechtvaardigingsgronden aangevoerd
– Conclusie: onrechtmatig rapport
Achmea v. X
“Het strookt – ook in een geval als hetonderhavige waarin de ernst van de inbreukop de persoonlijke levenssfeer gering is – nietmet het doel van zelfregulering eenverzekeraar die de Gedragscode schendt tebelonen door het onrechtmatig door haarverkregen bewijs tot haar voordeel te latenstrekken.”
Achmea v. X
• Hoge Raad:
– Schenden van Gedragscode is in beginsel
onrechtmatig, gelet op inhoud en opzet code
– Hof heeft terecht aan de code getoetst
– Hoge Raad kan de code niet toetsen, want
geen recht in de zin van art. 79 RO
Achmea v. X
• Hoge Raad:
– Hof heeft terecht geconcludeerd dat niet te snel
tot zware middel van persoonlijk onderzoek
mag worden overgegaan
– Hof heeft terecht geconcludeerd dat in strijd
met gedragscode verkregen bewijs buiten
beschouwing mag worden gelaten, oordeel is
voldoende deugdelijk gemotiveerd
Achmea v. X
• Conclusie:– Verzekering is nooit rechtmatig opgezegd
– Alle meldingen over fraude in registers e.d. zijn nooit rechtmatig gedaan
• Slotopmerking:– Casus lijkt sterk gekleurd door bestaan gedragscode.
– Uitkomst wellicht anders zonder dergelijke zelfregulering
– Onder nieuwe verordening lijkt zelfregulering echter wel in belang toe te nemen
Raad van State
Raad van State
Datum Zaaknummer Zaaknaam
5 februari 2014 ECLI:NL:RVS:2014:3
08
X. v. SVOZ
30 april 2014 ECLI:NL:RVS:2014:1
509
X. v. IGZ (Minister VWS)
16 juli 2014 ECLI:NL:RVS:2014:2
594
X. v. Gem. Zevenaar
X. v. SVOZ
• Man was werkzaam als docent-assistent bij SVOZ, raakt arbeidsongeschikt
• Re-integratie werd eerst verzorgd door Arbo Unie, daarna door Tredin
• Gedurende re-integratie doet man herhaalde inzageverzoeken. Deze worden ook gehonoreerd
• In nadien gevoerde ontslagprocedure worden namens SVOZ stukken overgelegd, die destijds niet zijn verstrekt in reactie op inzageverzoek
X. v. SVOZ
• Man doet daarop een nieuw inzageverzoek
en verzoekt tevens alle medische gegevens
te verwijderen
• SVOZ weigert en stelt dat
– man alle gegevens al heeft;
– SVOZ medische gegevens mag verwerken.
X. v. SVOZ
• Man gaat in beroep en hoger beroep
• SVOZ stelt dat man niet ontvankelijk is in hoger beroep, omdat privacyschending reeds geëindigd is.
• Raad van State verwerpt dit: man heeft aannemelijk gemaakt immateriële (!) schade te hebben geleden
X. v. SVOZ
• Raad van State:
– SVOZ had inzage in systeem Tredin;
– Blijkt nergens uit dat SVOZ bij Tredin navraag
heeft gedaan toen man inzageverzoek deed;
– Reactie op inzageverzoek dus onzorgvuldig
voorbereid.
X. v. SVOZ
• Raad van State:
– Directe leidinggevende hield eigen dossier over betrokkene bij;
– Blijkt nergens uit dat bij deze leidinggevende navraag is gedaan n.a.v. inzageverzoek man;
– De betreffende gegevens zijn ook niet verstrekt;
– Daarmee is niet voldaan aan de wettelijke eis een “volledig overzicht” te verstrekken
X. v. SVOZ
• Raad van State:
– Werkgever mag slechts medische gegevens
verwerken binnen kaders rapport CBP 2008;
– Werkgever hield o.m. reden ziekmelding bij en
ontving van Tredin medische informatie bij die
verder ging dan “functionele beperkingen” en
verwachte hersteltijd;
– Rechtbank heeft dus ten onrechte afwijzing op
verwijderverzoek gehandhaafd
X. v. SVOZ
• Raad van State:
– Materiele schade niet voldoende door de man
onderbouwd (schade geleden door ontslag, niet
door privacyschending);
– Immateriële schade aansluiting bij artikel 6:106
BW. Onvoldoende onderbouwd dat aan die
normen is voldaan.
• Opvallend: WBP kent eigen regeling voor
schadevergoeding!
X. v. IGZ
• IGZ heeft onderzoek
gedaan naar arts
• Arts doet
inzageverzoek om
documenten uit
dossier te krijgen
X. v. IGZ
• IGZ verstrekt vervolgens overzicht documenten met persoonsgegevens met:– zakelijke omschrijving van ieder document;
– de daarin over X opgenomen persoonsgegevens, de ontvangers en de herkomst ervan;
– doel van de verwerking van de betreffende persoonsgegevens.
• IGZ beroept zich voorts voor enkele documenten op weigeringsgrond
X. v. IGZ
• Raad van State:
– Het zakelijk overzicht voldoet aan de eisen van
de wet
– Geweigerde documenten voldoen aan
weigeringsgrond, nu deze documenten
gespreksverslagen betroffen en voorkomen
moet worden dat deze tot deelnemers gesprek
zijn te herleiden.
X. v. Gemeente Zevenaar
• Voormalig ambtenaar wil inzage in dossier
• Rechtbank wijst beroep ten aanzien van digitale gegevens af, omdat deze geen “bestand” in de zin van de WBP vormen
Gegevens in kwestie zijn
individuele bestanden,
waaronder (concept)
brieven en
gespreksverslagen
X. v. Gemeente Zevenaar
• Raad van State gaat om:– Bestandcriterium niet
relevant bij digitaal verwerkte gegevens;
– Misverstand zou zijn veroorzaakt door onduidelijke tekst memorie van toelichting
– Gemeente wordt opgedragen nieuw besluit te nemen
Lagere rechtspraak
Lagere rechtspraak
Datum Zaaknummer Zaaknaam
13 november 2013 ECLI:NL:RBAMS:2013:7480 Gedragscode
Verwerking
Persoonsgegevens
Zorgverzekeraars
23 juli 2014 ECLI:NL:RBMNE:2014:3097 Verbod regionaal EPD
19 augustus 2014 ECLI:NL:GHSHE:2014:2803 Afgifte
parkeergegevens
Gedragscode
• Zorgverzekeraars hebben Gedragscode
opgesteld
• Goedkeuring gevraagd aan CBP op 29
december 2010
• CBP heeft goedkeuring gegeven op 13
december 2011
Gedragscode
• Stichting Koepel van DBC-vrije Praktijken van Psychotherapeuten en Psychiaters dient zienswijze in op 20 augustus 2011
• CBP past voorgenomen besluit (enigszins) aan en keurt gedragscode goed op 13 december 2011
• Stichting stelt beroep in
Gedragscode
• Rechtbank: goedkeuring vernietigd
– verplicht uitwisselen diagnoses psychische informatie niet noodzakelijk;
– geen waarborgen doelbinding in de regeling;
– gegevens ook toegankelijk voor medewerkers zonder medisch beroepsgeheim
Gedragscode
• Rechtbank draagt CBP op nieuw besluit te nemen
• CBP besluit daarop de Gedragscode alsnog niet goed te keuren
• Conclusie: verzekeraars hebben niet langer gedragscode om op terug te vallen, weer toetsen aan wet
Verbod regionaal EPD
• Landelijk EPD heeft na stranden in Eerste
Kamer doorstart gemaakt als regionaal EPD
• Vereniging Praktijkhoudende Huisartsen
vordert verbod op dit EPD wegens
schending privacy
Verbod regionaal EPD
• Rechtbank:
– streven naar landelijke dekking is niet in strijd met privacyrecht;
– aan de patiënt gevraagde toestemming is geldig: heldere en specifieke uitleg en van dwang blijkt niets;
– VZVZ heeft toegezegd gegevens alleen te gebruiken voor zover toestemming bestaat, dus iedere vrees dat gebruik opgerekt zal worden is ongegrond;
Verbod regionaal EPD
• Rechtbank:
– gekozen “pull” techniek is proportioneel, want
sluit aan bij bestaande standaarden is nu juist
bedoeld voor situaties dat eigen huisarts niet
beschikbaar is;
– beroepsgeheim gaat niet zo ver dat alleen in
casu relevante gegevens mogen worden
uitgewisseld;
Verbod regionaal EPD
• Rechtbank:
– NEN 7512 is relevant bij toetsing beveiliging, systeem blijkt daar materieel aan te voldoen;
– CBP heeft bovendien goedkeuring gebruik UZI-pas gegeven en CBP is ter zake deskundig;
– Logging en toetsing achteraf kan voldoende zijn, gelet op NEN7513 en Besluit gegevensuitwisseling
Verbod regionaal EPD
• Rechtbank:
– dat regionale schotten in de toekomst eenvoudig verwijderd kunnen worden maakt systeem nog niet onrechtmatig;
– toepasselijkheid USA Patriot Act vanwege Amerikaanse moeder niet relevant, omdat bij Europese leveranciers afluisteren ook mogelijk was geweest en leverancier als beste naar boven is gekomen
Verbod regionaal EPD
• Rechtbank:
– Alle vorderingen afgewezen
Afgifte parkeergegevens
• Belastingdienst vorderde bij SMS Parking
alle parkeergegevens klanten op
• SMS Parking weigerde
• Fiscus startte procedure (in kort geding)
Afgifte parkeergegevens
• Rechtbank stelde SMS Parking in het gelijk:
– Volgen burgers is inmenging in priveleven, mag alleen onder strikte voorwaarden
– Vordering fiscus was zo ruim geformuleerd dat van die voorwaarden weinig overbleef;
– Onvoldoende sprake van evenredigheid en proportionaliteit;
Afgifte parkeergegevens
• Gerechtshof:
– Staat heeft (algemeen) belang controle fiscale gegevens;
– Dergelijke controle zijn naar hun aard nu eenmaal grootschalig;
– Er zijn waarborgen getroffen bij fiscus;
– Van Staat kan niet verlangd worden dat het naar een duurder alternatief grijpt, te meer ook omdat dit aan privacyschending niets af doet;
Afgifte parkeergegevens
• Gerechtshof:
– Dat SMS Parking klanten niet ex. art. 33 WBP
heeft geïnformeerd over bevoegdheid fiscus,
maakt de fiscus nog niet onbevoegd;
– SMS Parking komt niet zelf een beroep toe op
artikel 34 WBP, hooguit de belastingplichtige;
Afgifte parkeergegevens
• Gerechtshof:
– Voorafgaand onderzoek niet van toepassing op
gegevens verkregen van derde;
– Dat gegevens mogelijk niet juist zijn niet
relevant, SMS Parking immers niet gehouden
om voor juistheid in te staan
Afgifte parkeergegevens
• Gerechtshof:
– SMS Parking wordt veroordeeld de
oorspronkelijk gevraagd gegevens alsnog te
geven
– Geen dwangsom vanwege bereidheid mee te
werken aan veroordeling
– Veroordeling SMS Parking in proceskosten
Toezichthouders
Autoriteit Consument &
Markt
Autoriteit Consument & Markt
Datum Zaaknaam
26 maart 2014 Boete Essent bel-me-niet
28 maart 2014 Veelgestelde vragen over de cookiebepaling
15 juli 2014 Dwangsom NPO cookies
Boete Essent bel-me-niet
• Essent verzamelde gegevens via diverse enquêtes/spelletjes/etc. en uit administratie oud-klanten
• Consumenten werden daarop gebeld door Essent
• Consumenten beklaagden zich bij ACM
Boete Essent bel-me-niet
• Toestemming bellen in Bel-Me-Niet-Register
opgenomen consumenten moet expliciet
zijn:
– Toestemming via algemene voorwaarden of via
algemene vraag te vaag
– Afdwingen toestemming via vooraf aangekruist
vakje ook niet juist
Boete Essent bel-me-niet
• Door gelijktijdig verschillende callcenters te laten bellen maakte Essent recht van verzet illusoir – Recht van verzet gaat namelijk onmiddellijk in
• Onvoldoende bewijs dat deze personen na inroepen verzet nogmaals zijn gebeld, dus geen overtreding
• Inschakelen callcenters doet niets af aan eigen verantwoordelijkheid Essent
Boete Essent bel-me-niet
• Boete van 47.500 euro
voor:
– Bellen van
consumenten
opgenomen in BMNR
(bel-me-niet-register)
– Niet ontdubbelen van
belbestanden met
gegevens BMNR
Nieuwe cookie-FAQ
• ACM heeft op 31 maart nieuwe versie FAQ
over cookies geplaatst
– Meer benadrukt dat cookiewet ook over andere
technieken dan cookies gaat
– Uitgelegd dat gerichtheid op NL publiek
bepalend is, niet locatie website
– Sociale media paragraaf toegevoegd
– Bewijs van toestemming is nu vormvrij;
Dwangsom NPO cookies
• Nederlandse publieke omroep (NPO) beheert vele tientallen websites
• Na cookiewet koos NPO in eerste instantie voor “cookiemuur”
– Gestaakt na maatschappelijk verzet
• De daarna door NPO gekozen oplossing al enige tijd onderzoek ACM en CBP
Dwangsom NPO cookies
• ACM over informatieplicht:
– Op direct zichtbare plek;
– Geschreven in bij doelgroep aansluitend
taalgebruik;
– Niet middels globale verwijzingen naar
algemene voorwaarden, privacy en/of
permission statements
Dwangsom NPO cookies
• ACM over toestemming:
– Vrije, specifieke en op informatie berustende
wilsuiting;
– Vormvrij;
– Uit doorklikken of stilzetten kan niet altijd
toestemming worden afgeleid;
Dwangsom NPO cookies
• Constateringen ACM t.a.v. NPO: (1/2)
– Inconsistente informatievoorziening;
– Onvolledige informatievoorziening;
– Toestemming wordt ten onrechte uit doorsurfen
afgeleid;
– Cookies die al voor afnemen dienst bijhouden
of de dienst is gebruikt zijn niet functioneel;
Dwangsom NPO cookies
• Constateringen ACM t.a.v. NPO: (2/2)– Er is niet contractueel geborgd dat third party
statische cookies niet worden gebruikt voor profilering
– Er worden cookies voor sociale media geplaatst, terwijl deze niet functioneel zijn
– Er worden zonder toestemming javascriptsgeplaatst voor advertenties die niet functioneel zijn
– Er worden zonder toestemming web beaconsgeplaatst die niet functioneel zijn
Dwangsom NPO cookies
• ACM legt NPO dan ook verplichting op
binnen een maand aan wet te voldoen, op
straffe van dwangsom van €25.000,-- per
week, met maximum van €125.000,--
College Bescherming
Persoonsgegevens
College Bescherming
PersoonsgegevensDatum Zaaknaam
Maart 2014 Rapport YD Advertising behavioral targeting
12 juni 2014 Rapport NPO Cookies
12 november 2013 Rapport verwerking persoonsgegevens
Reformatorisch Dagblad
13 februari 2014 Persbericht kopietje paspoort
Diverse data Persberichten Google-voorwaarden
YD Advertising
• YD Advertising bemiddelt tussen
adverteerders en websites bij het plaatsen
van advertenties
• CBP doet onderzoek naar volgen
internetters (cookies, pixels en andere technieken)
YD Advertising
• CBP:
– Voor tracken internetters is altijd toestemming
vereist;
• Toestemming werd echter niet gevraagd
• Niet relevant dat identiteit internetter vaak helemaal
niet bekend is, individualiseerbaarheid is al
voldoende.
YD Advertising
• CBP:
– Bovendien transparantie vereist, hoge eisen
aan in dat kader te hanteren privacystatement
• Gebruikt statement te beperkt (niet alle doelen) en
bovendien te vaag (niet expliciet met wie informatie
wordt gedeeld)
YD Advertising
• CBP nodigt YD uit voor hoorzitting
• CBP beslist na de hoorzitting over eventuele
verdere maatregelen
NPO Cookies
• CBP doet onderzoek bij NPO naar gebruik
cookies op verschillende websites
• Al veelvuldig over gecorrespondeerd tussen
partijen
NPO Cookies
• Uitgangspunten CBP:
– Individualiseerbare gegevens zijn al persoonsgegevens, directe herleidbaarheid niet relevant;
– Verwijderen laatste octet IP-adres is geen anonimisering;
– Cookies pas plaatsen na toestemming gebruiker;
– Gegevens over surfgedrag zijn gevoelige gegevens
NPO Cookies
• Uitgangspunten CBP:
– Cookies voor (3rd party) statistiek en sociale
media zijn niet functioneel
• Dus toestemming vereist
– Omdat voor cookie toestemming vereist is, is
dat ook vereist voor uit cookies voortvloeiende
analyses
NPO Cookies
• Uitgangspunten CBP:
– Third party statistiekdiensten als Google
Analytics en Comscore hebben potentieel grote
impact op privacy betrokkene
– Bewerkersovereenkomst vereist met
afbakening gebruik gegevens
NPO Cookies
• NPO dus op diverse punten in overtreding
• CBP kondigt aan NPO in de gaten te
houden en eventueel handhavend op te
treden
Reformatorisch Dagblad
• Uitgever Reformatorisch Dagblad bood
adresgegevens abonnees te koop aan
• CBP stelt onderzoek in naar handelswijze
Reformatorisch Dagblad
• CBP:
– Adresgegevens abonnees RD zijn bijzondere
persoonsgegevens
– Uit gegevens immers af te leiden tot welke
religieuze gezindte persoon behoort
– Hoofdregel: verwerking verboden, behoudens
wettelijke uitzondering of toestemming
Reformatorisch Dagblad
• CBP:
– Geen wettelijke uitzondering voor gebruik
religieuze gegevens voor marketingdoeleinden
– Ook geen toestemming van abonnees
verkregen
– Handel in adresgegevens dus onrechtmatig
Reformatorisch Dagblad
• Verweer uitgever dat aanmerken
adresgegeven tot bijzonder
persoonsgegeven uitvoeren abonnement
onmogelijk maakt wordt niet behandeld.
• Verweer lijkt echter, alles afwegend, wat ver
gezocht
Reformatorisch Dagblad
• Oordeel ook relevant voor bijvoorbeeld:
– vakbonden;
– patiëntenverenigingen;
– politieke partijen;
– belangengroepen rondom thema’s als religie,
seksualiteit, ziekte, strafrecht;
– bedrijven die handelen in erotische producten;
– etc.
Kopietje paspoort
• CBP publiceert richtlijnen voor “kopietje paspoort”
• Voorvraag: kopie paspoort überhaupt noodzakelijk?
• Paspoort bevat BSN (verwerking verboden!) en andere niet relevante gegevens– Irrelevante gegevens afschermen bij maken kopie
Kopietje paspoort
• Waarborgen dat kopie niet te lang wordt
bewaard, goed wordt beveiligd en niet wordt
gebruikt voor andere doeleinden dan
verzameldoel
Google-voorwaarden
Datum Gebeurtenis
24-01-2012 Aankondiging geïntegreerd privacybeleid per 01-03-2012
27-02-2012 Voorlopige conclusie WP29: nieuwe beleid voldoet niet,
aankondiging vervolgonderzoek
16-10-2012 Definitieve conclusie WP29: nieuwe beleid voldoet niet.
Aanbevelingen aan Google met uitnodiging gesprek.
Google-voorwaarden
Datum Gebeurtenis
27-02-2013 WP29 constateert geen verbetering. Aankondiging
20-06-2013 Persbericht CNIL: sommatie Google om binnen drie maanden
voldoen. Parallel hieraan zijn ook toezichthouders in IT, ES, DE
NL bezig met onderzoek.
28-11-2013 CBP concludeert: Google voldoet niet aan wet. Uitnodiging
hoorzitting.
Google-voorwaarden
• Kern van de kritiek:
– Google verzamelt te veel;
– Google combineert te veel;
– Google is onvoldoende transparant;
– Google vraagt ten onrechte geen toestemming
aan de gebruiker;
– Google biedt geen opt-out;
Artikel 29 werkgroep
WP29: Meest interessante opinies
2013/2014
• Opinie over toestemming bij cookies
(WP208);
• Opinie over doelbinding (WP203);
• Opinie over gerechtvaardigd belang
(WP217);
• Opinie over kennisgeving bij inbreuken in
verband met persoonsgegevens (WP213).
WP29: opinies in 2013
• Opinie over toestemming bij cookies
(WP208)
• Opinie over open overheidsdata en
hergebruik daarvan (WP207)
• Opinie over “slimme” grensbewaking
(WP206)
• Opinie over DPIA Template smart grids
(WP205/WP209)
WP29: opinies in 2013
• Toelichting op BCR voor bewerkers
(WP204)
• Opinie over doelbinding (WP203)
• Opinie over apps (WP202)
• Opinie over nieuwe wetgeving
(WP200/WP201)
WP29: opinies in 2014
• Opinie over de ontwikkelingen op het vlak van “Internet of things” (WP223);
• Verklaring WP29 over big data en privacy (WP221);
• Verklaring over ongeldig verklaren dataretentierichtlijn door HvJEU (WP220);
• Opinie over beschermingsniveau in Quebec(WP219);
WP29: opinies in 2014
• Verklaring over belang om risicogerichte benadering te hanteren bij privacywetgeving (WP218);
• Opinie over gerechtvaardigd belang (WP217);
• Opinie over anonimiseringstechnieken op het web (WP215);
• Opinie over contractsvoorwaarden doorgifte EU bewerker aan niet-EU bewerker (WP214);
WP29: opinies in 2014
• Opinie over kennisgeving bij inbreuken in verband met persoonsgegevens (WP213)
• Advies over referentiedocument met eisen die aan BCR worden gesteld (WP212)
• Opinie over noodzakelijkheid en evenredigheid in rechtshandhavingssector (WP211)
Wetgeving
Wetgeving
• EU:
– Parlement keurt privacyverordening goed in
voorjaar 2014.
– Op dit moment Commissie en Raad aan zet.
– Status onduidelijk
Wetgeving
• NL (1/2)
– Meldplicht datalekken nog steeds aanhangig
(dossier 33662)
• Laatste stand: 19 mei 2014 nader verslag in TK, TK
heeft nog veel vragen
– Diverse wetswijzigingen in het kader van
decentralisaties en controle uitkeringen
Wetgeving
• NL (2/2)
– Introductie boetebevoegdheid CBP
• Max. 810.000 euro op overtreding van (bijna) alle
materiele beginselen Wbp;
• Eerst na aanwijzing, tenzij opzet
• Beleidsregels door CBP vooraf voorgelegd aan
minister
Contactgegevens
Mark Jansen
(026) 353 83 67
m.jansen@dirkzwager.nl
Neeltje van der Veeken
(026) 353 83 77
vanderveeken@dirkzwager.nl
www.dirkzwagerieit.nl
@ieitrecht
www.dirkzwagerieit.nl/privacycheck/
WEBLOG:
TWITTER:
PRIVACYCHECK:
Verantwoording
In deze presentatie wordt algemene en beknopte informatie verstrekt over een
aantal juridisch relevante ontwikkelingen. Niet beoogd is om hiermee
juridisch advies te geven voor concrete situaties.
Hoewel veel zorg is besteed aan het opstellen van deze presentatie, aanvaardt
Dirkzwager advocaten & notarissen N.V. geen aansprakelijkheid voor de
inhoud ervan.
© 2014 Dirkzwager advocaten & notarissen N.V.
Actuele kennis van wet- en regelgeving
Jurisprudentie
Dirkzwager zorgt dat
u het weet.Advocatuur Arnhem
Postbus 3045
6802 DA Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 353 83 00
F +31 (0)26 351 07 93
E info@dirkzwager.nl
I www.dirkzwager.nl
Notariaat Arnhem
Postbus 111
6800 AC Arnhem
Kantoor Velperpoort
Verlperweg 1
6824 BZ Arnhem
T +31 (0)26 365 55 55
F +31 (0)26 365 55 00
E info@dirkzwager.nl
I www.dirkzwager.nl
Advocatuur Nijmegen
Postbus 55
6500 AB Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 31 31
F +31 (0)24 322 20 74
E info@dirkzwager.nl
I www.dirkzwager.nl
Notariaat Nijmegen
Postbus 1104
6501 BC Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 27 27
F +31 (0)24 324 07 26
E info@dirkzwager.nl
I www.dirkzwager.nl