Presentatie actualiteiten privacyrecht 2015 10 november 2015

Advocaten en notarissen

10 november 2015

Actualiteiten

Privacyrecht

Programma

Ontwikkelingen sinds vorige

privacyseminar (nov. 2014)

Onderverdeeld in:

Rechtspraak

Toezichthouders

Wetgeving

Vanmiddag een selectie (van een

selectie)

te veel ontwikkelingen om alles

te behandelen

Rechtspraak

Rechtspraak

Hof van Justitie

College van Beroep voor het Bedrijfsleven

Raad van State

Gerechtshoven

Rechtbanken

Hof van Justitie

Safe Harbour

Oostenrijker Max Schrems is gebruiker

Facebook

Heeft als zodanig – als iedere Facebook

gebruiker – een overeenkomst met

Facebook Ierland

Schrems dient klacht in bij Ierse

privacytoezichthouder wegens doorgifte

persoonsgegevens aan USA

USA zou geen passende waarborgen verwerking

persoonsgegevens hebben (“Snowden”).

Safe Harbour

Ierse toezichthouder weigert behandeling

klacht:

Zou geen bewijs zijn van toegang NSA tot

gegevens Snowden;

Bovendien zou toezichthouder gebonden zijn

aan Safe Harbour beslissing Commissie, waaruit

nu juist volgt dat bij bedrijven op Safe Harbour

List passende waarborgen worden geboden

Safe Harbour

Schrems gaat in beroep tegen de weigering

tot handhaving

Ierse rechter worstelt met de kwestie:

Safe Harbour regeling kent niet de waarborgen

die uit eerdere rechtspraak HvJEU volgen;

Maar tegelijkertijd is er wel de Safe Harbour

beschikking van de Europese Commissie;

Stelt vragen aan HvJEU over

onafhankelijkheid toezichthouder en

gebondenheid aan beschikking Commissie

Safe Harbour

HvJEU gaat in op verschillende

deelonderwerpen:

onafhankelijkheid en bevoegdheden nationale

toezichthouders;

verhouding beschikking EC tot andere EU-recht

geldigheid Safe Harbour beschikking;

Safe Harbour

HvJEU:

Nationale toezichthouders moeten volledig

onafhankelijk zijn;

Toezichthouders moeten steeds evenwichtige

afweging maken tussen belangen privacy en vrij

verkeer persoonsgegevens;

Regels ten aanzien van export persoonsgegevens

gelden in aanvulling op overige regels omtrent

eerlijke verwerking

Safe Harbour

HvJEU:

Nationale toezichthouders zijn alleen ten

aanzien van verwerkingen op eigen grondgebied

bevoegd;

Doorgifte van persoonsgegevens naar buiten EER

is verwerking vanaf grondgebied lidstaat, dus de

lokale toezichthouder omtrent die doorgifte

bevoegd

Safe Harbour

HvJEU:

Beschikking EC is verbindend in gehele EU voor

alle organen;

Iedereen moet zich echter tot toezichthouder

kunnen wenden om geldigheid ter discussie te

stellen;

Toezichthouders zijn verplicht klacht te

onderzoeken;

Safe Harbour

HvJEU:

HvJEU is echter als enige bevoegd te oordelen

over geldigheid beschikking

HvJEU toetst beschikking aan hoger EU-recht

(zoals grondrechten);

Rechters moeten dus middels prejudiciële vragen

kwesties voorleggen aan Hof

Nationale wet moet procedure kennen zodat ook

toezichthouders zich tot HvJEU kunnen wenden

Safe Harbour

HvJEU:

Export alleen toegestaan als ontvangende land

“passend beschermingsniveau” biedt

Passend hoeft niet zo hoog te zijn als EU niveau,

maar

in grote lijnen wel met EU niveau

overeenstemmen;

er moeten rechtsmiddelen in nationale recht zijn

opgenomen die doeltreffend genoeg zijn om dat

niveau te borgen

Safe Harbour

HvJEU:

Europese Commissie moet niveau derde landen

periodiek checken

En in ieder geval wanneer aanwijzingen bestaan

die twijfels geven over niveau

Safe Harbour

HvJEU:

zelfcertificering kan, mits doeltreffende detectie-

en controlemechanismen;

beginselen Safe Harbour zijn alleen op bedrijven

en niet op USA overheid van toepassing;

waarborgen USA wetgeving zijn ook niet getoetst;

In Safe Harbour beschikking staat bovendien

uitdrukkelijk dat USA wet per definitie voorrang

heeft;

Effectieve rechtsbescherming burgers ook niet

getoetst of geborgd;

Safe Harbour

HvJEU:

EU-recht vereist duidelijke en precieze regels en

toepassing proportionaliteit en subsidiariteit bij

inbreuk op grondrechten, terwijl USA autoriteiten

juist onbeperkt en onbegrensd toegang hebben

tot gegevens

Betrokkene heeft ook geen recht op toegang,

correctie of verzet m.b.t. verwerkte gegevens

Safe Harbour

HvJEU:

Artikel 1 Safe Harbour Beschikking dus ongeldig

In feite het kernartikel van de gehele beschikking

Artikel 3 Safe Harbour Beschikking beperkt

bevoegdheden toezichthouders en is dus ook

ongeldig

Overige artikelen hangen hiermee samen

Gehele Safe Harbor beschikking ongeldig

Safe Harbour

Gevolgen uitspraak:

Export PG naar USA per direct onrechtmatig;

Oplossing:

Gebruik modelcontracten

(Let op: de vraag is of aan die modelcontracten

niet dezelfde bewaren kleven!)

Overstap naar ander “veilig land”

(Let op: de vraag is of alle “veilige landen” wel

voldoen aan criteria HvJEU uit dit arrest)

Reshoring naar EER

Biometrische gegevens-arrest

Enkele burgers vragen in

verschillende gemeenten

paspoort/identiteitskaart aan, maar

weigeren afgifte vingerafdrukken o.m.

vanwege centrale opslag gegevens

door NL overheid

De betreffende gemeenten weigeren

daarop afgifte van het reisdocument


Kwestie komt via bezwaar, beroep,

hoger beroep bij Raad van State

terecht.

Raad van State stelt prejudiciële

vragen over de verordening die tot

toepassing van biometrie heeft geleid


Hof van Justitie:

Nationale identiteitskaart valt niet onder

Europese verordening

Paspoort doet dat wel, maar de

betreffende verordening verbiedt niet dat

lidstaten biometrische gegevens ook voor

andere doeleinden gebruiken

Met andere woorden: toetsen aan

nationaal recht.

Raad van State heeft nog geen

einduitspraak gedaan.

Status IP-adres

Patrick Breyer van Duitse

Piratenpartij vs. Duitse overheid

Breyer heeft procedure tegen

Duitse federale instellingen

gestart tot verwijdering van IP-

adres uit logboeken na bezoek aan

overheidswebsite

Status IP-adres

Breyer verliest in eerste aanleg

In hoger beroep wint hij de

kwestie, voor zover het

betreffende IP-adres is gekoppeld

aan zijn e-mailadres

Hoger beroep rechter lijkt dus daar

omslagpunt te zien in status IP-adres

als “persoonsgegeven”

Beide partijen stellen cassatie in

Status IP-adres

Bundesgerichtshof stelt vragen

aan Hof van Justitie:

Is IP-adres voor websitehouder al een

persoonsgegeven, louter omdat

provider van abonnee weet aan wie

dit adres is toegekend?

Is nationale regel die verzameling en

gebruik van persoonsgegevens

beperkt tot hele specifieke

omstandigheden in strijd met artikel

7 sub f privacyrichtlijn

(“gerechtvaardigd belang”)?

Status IP-adres

Zaak is in februari ingediend bij

Hof, op dit moment nog verder

niets bekend (ook geen conclusie

A-G).

Wordt voor de praktijk voor o.m.

iedereen met een website echter

zeer relevante uitspraak

Status IP-adres

Mijn schot voor de boeg:

1. Hof benadrukt dat voor providers IP-

adressen persoonsgegevens zijn en

wijst er voor overige op dat afhangt

van overige omstandigheden

2. Onder verwijzing naar eerdere

ASNEF-arrest (C-468/10 en C-469/10)

zal Hof oordelen dat nadere

voorwaarden verbinden aan sub f

verwerking niet is toegestaan.

Bewakingscamera

Tsjechisch gezin wordt jarenlang

lastiggevallen door onbekend

persoon

Man des huizes installeert camera.

Camera filmt ingang van het huis,

openbare weg en ingang van huis

aan de overkant van de weg

Bewakingscamera

Ruiten van gezin worden wederom

ingegooid. Ditmaal ligt het vast op

camera.

Camerabeelden worden overhandigd

aan politie, waarop twee verdachten

worden veroordeeld

Een van de daders dient daarop

klacht in bij Tsjechische

privacytoezichthouder.

Bewakingscamera

Tsjechische privacytoezichthouder

treedt op vanwege

Niet vragen toestemming;

Niet informeren over camera;

Niet melden camera bij toezichthouder.

Huiseigenaar start vervolgens

procedure tegen Tsjechische

privacytoezichthouder

Vraag komt uiteindelijk bij HvJEU

Bewakingscamera

Hof van Justitie:

afbeelding persoon gemaakt door

camera is persoonsgegeven;

filmen van persoon is vorm van

verwerking van persoonsgegevens;

richtlijn is dus in beginsel van

toepassing;

Bewakingscamera

Hof van Justitie:

uitzondering persoonlijkheid en

huishoudelijk gebruik strikt uitleggen;

in ieder geval niet van toepassing bij

filmen openbare weg;

privacywetgeving dus (vol) van

toepassing op casus.

Bewakingscamera

Hof van Justitie (overweging ten

overvloede):

bij uitleg privacyrichtlijn mag rekening

worden gehouden met belangen van

verantwoordelijke voor bescherming van

eigendom, gezondheid en leven;

grondslag kan best gelegen zijn in sub f;

er bestaan uitzonderingen op diverse

beginselen uit de richtlijn.

College van Beroep

voor het Bedrijfsleven

College Beroep Bedrijfsleven

Bel-me-niet

Goede Doelen Loterijen bellen in

2009/2010 bijna 900.000 nummers met

aanbieding

Consumenten beklagen zich bij Autoriteit

Consument en Markt (ACM)

Bel-me-niet

ACM treedt op en legt boetes van totaal

845.000 euro op

525.000 euro voor niet ontdubbelen met bel-

me-niet register

320.000 euro voor niet aanbieden verzet en

mogelijkheid inschrijving bel-me-niet register

Bezwaar bij ACM wordt afgewezen

Beroep bij rechtbank wordt afgewezen

Bel-me-niet

CBB benadert kwestie heel principieel:

ACM heeft bewijslast van overtreding;

ACM moet dus aantonen dat ongevraagde

communicatie is overgebracht, hetgeen

verbinding (en niet alleen bellen) impliceert;

ACM moet ook aantonen dat verbinding is

gelegd met nummer op bel-me-niet lijst;

ACM kan niet volstaan met conclusies op

algemeenheden of (statische) logica;

ACM heeft in dit verband echter niet op

detailniveau bewijs aangeleverd, dus boete 1

geschrapt

Bel-me-niet

CBB benadert kwestie heel principieel:

Bovendien staat duidelijk in de wet dat recht

van verzet aan abonnee moet worden

aangeboden

Abonnee is de contractant, niet iedere persoon

die telefoon opneemt

ACM moet dus aantonen dat info over recht

van verzet aan die abonnee is aangeboden

ACM heeft ook dat bewijs niet geleverd, dus

boete verworpen.

Bel-me-niet

Goede doelen kruipen dus door oog van

de naald

Vraag is wel of wetstechnische discussie

over begrip “abonnee” voor praktijk niet

lastig is

Bij telefoonnummers in gebruik bij gezinnen

zal in belscripts waarschijnlijk moeten worden

gevraagd naar de abonnee

Raad van State

Bevoegdheid en beleidsvrijheid

Man die tot 2005 in USA woonde

was bij Amerikaanse verzekeraar

verzekerd tegen arbeidsongeschikt

Man raakt begin deze eeuw

arbeidsongeschikt; verzekeraar

start daarop uitkering

Man verhuist in 2005 naar

Amsterdam


Verzekeraar laat in NL onderzoek

doen door Engels (2008) en

Nederlands (2010)

onderzoeksbureau

Verzekeraar zet vervolgens

uitkeringen stop

Man dient handhavingsverzoek in

bij het CBP


CBP acht zich niet bevoegd jegens

Amerikaanse verzekeraar;

Engels onderzoeksbureau.

CBP acht optreden tegen NL bureau

niet opportuun gelet op haar

handhavingsbeleid

Geen indicatie van structurele en

grootschalige overtreding wet

Man gaat in bezwaar, beroep en

hoger beroep


Privacyrichtlijn van toepassing

indien zich middelen in NL

bevinden

Raad van State stelt vragen over uitleg

van dat begrip “middelen”.

Achtergrond is dat UK en NL

onderzoeksbureau vanuit USA werden

aangestuurd

Vraag is of nuttig effect

privacyrichtlijn niet wordt

ondergraven als CBP in dit geval niet

bevoegd zou zijn (anders niemand

bevoegd).


Privacyrichtlijn van toepassing

indien zich middelen in NL

bevinden

Zie overigens ook de (eveneens nog

aanhangige) zaak C-230/14 over de

bevoegdheid bij vanuit buitenland

opererende website


In privacyrichtlijn opgenomen dat

iedere burger zich moet kunnen

wenden tot toezichthouder

In de praktijk heeft CBP beleid dat

niet wordt opgetreden bij

incidenten

Raad van State vraagt zich af of dat

beleid niet strijdig is met richtlijn


Zaak nu aanhangig bij Hof, nog

geen beantwoording.

Potentieel relevant voor velen:

Antwoord op vraag 1 bepaalt of

internationale concerns met één of

juist vele toezichthouders van doen

hebben

Antwoord op vraag 2 beïnvloedt

handhavingscapaciteit CBP

DNB-dossier

Man dient inzageverzoek in bij

DNB

DNB wijst het toe voor uit media

afkomstige artikelen, maar

weigert voor onderzoekdossiers

In beroep stelt rechtbank dat

(digitale!) onderzoekdossiers

geen “bestand” vormen en dus

Wbp niet van toepassing is

DNB-dossier

Raad van State heeft kwestie eerst

aangehouden in afwachting van

beantwoording prejudiciële

vragen over inzagerecht

HvJEU-arrest over inzagerecht gaf

recht op “volledig overzicht in

begrijpelijke vorm”.

DNB-dossier

Raad van State:

Onderscheid maken tussen analoge

en digitale verwerkingen

Bestandscriterium alleen relevant bij

analoge verwerkingen

Betrokkene heeft slechts recht op

overzicht van de over hem verwerkte

persoonsgegevens, niet valt in te

zien dat wettelijke uitzonderingen

snel aan die verstrekking in de wet

zullen staan

DNB-dossier

Raad van State:

DNB krijgt herkansing om het

vereiste “volledig overzicht” op te

maken, hoeft echter afschrift

documenten te verstrekken.

Minuut jurisprudentie

In vreemdelingenrecht lange tijd zeer

gebruikelijk om met beroep op

inzagerecht inzage in de “minuut”

(juridische analyse) te vragen.

Vorig jaar uitspraak Hof van Justitie

hierover gewezen (zie ook slides vorig

jaar)


Oordeel Hof in minuut-arrest

Om aan inzagerecht te voldoen “volstaat

het dat aan die aanvrager een volledig

overzicht, in begrijpelijke vorm, van deze

gegevens wordt gegeven, dat wil zeggen in

een vorm die deze aanvrager in staat stelt

kennis te nemen van die gegevens en te

controleren of zij juist zijn en zijn

verwerkt in overeenstemming met deze

richtlijn, opdat hij eventueel de hem bij die

richtlijn verleende rechten kan uitoefenen”


Raad van State leunt sterk op de

woorden “volledig overzicht” en

oordeelt nu consequent dat geen recht

bestaat op afschrift documenten

Veel hoger beroepen in

vreemdelingenzaken nu dus

consequent afgewezen


De vraag is echter of je met louter

overzicht van persoonsgegevens wel

kunt “controleren of zij (…) zijn

verwerkt in overeenstemming met deze

richtlijn”.

Afwachten dus of andere (civiele)

rechters anders oordelen over deze

kwestie. Krijgt ongetwijfeld nog wel

vervolg.

Gerechtshoven

Enquêterecht vs. privacyrecht

Enquête naar mogelijk wanbeleid gestart ter zake van

Xeikon N.V.

Onderzoeker doet bij Ondernemingskamer verzoek om

inzage in notulen en mailboxen

Verweer Xeikon: ongeclausuleerde inzage mailboxen in

strijd met proportionaliteitstoets Wbp


Ondernemingskamer:

in casu ruime onderzoeksopdracht aan onderzoeker;

gelet op ruime opdracht begrijpelijk dat onderzoeker inzage in

mailboxen wil;

er bestaat bovendien verstrekkende wettelijke verplichting om

informatie aan te leveren;

mailboxen moeten dus afgestaan worden

In oordeel (helaas) geen expliciet oordeel over

privacyrecht. In feite impliciet verworpen.


Enquête naar mogelijk wanbeleid gestart ter zake van

Xeikon N.V.

Onderzoeker doet bij Ondernemingskamer verzoek om

inzage in notulen en mailboxen

Verweer Xeikon: ongeclausuleerde inzage mailboxen in

strijd met proportionaliteitstoets Wbp

Intern incidentenregister

Natuurlijk persoon vraagt hypotheek aan bij SNS Reaal

voor aankoop woning

Daarbij worden vervalste loonstrook en vervalste

werkgeversverklaring ingediend

Woning wordt in strijd met hypotheekakte verhuurd


Hypotheekadviseur wordt als verdachte van

(betrokkenheid bij) fraude en verdachte van illegale

verhuur in interne register opgenomen

Gerechtshof: gelet op gedragscode volstaat in beginsel

vermoeden van betrokkenheid bij fraude/oplichting al

voor opname in IVR

In dit verband bovendien voldoende aanwijzingen van

betrokkenheid


Aldus gerechtvaardigd belang SNS Reaal gegevens in

IVR opgenomen te houden. Belang van de man

prevaleert niet.

Ledenlijst coffeeshops

Overheid scherpt gedoogbeleid

softdrugs aan: voortaan alleen

verkoop aan (i) ingezetenen die (ii)

lid zijn van besloten club

Diverse exploitanten van

coffeeshops komen op tegen nieuwe

beleid

Voeren o.m. schending van persoonlijke

levenssfeer aan


Gerechtshof:

Artikel 8 EVRM is van toepassing,

wettelijke grondslag inbreuk privacy

vereist

Artikel 8 sub e Wbp biedt deze grondslag

echter (hiertegen was door partijen kennelijk ook

niet gegriefd)

Rechtbank: publiekrechtelijke taak is

handhaving openbare orde door

burgemeester


Gerechtshof:

Ledenadministratie bevat geen

bijzondere persoonsgegevens

Geen gegevens “die een als een strafbaar

feit te kwalificeren bewezenverklaring in

de zin van artikel 350 Wetboek van

Strafvordering konden dragen”

Norm is bekend uit

ECLI:NL:HR:2009:BH4720

Zwarte lijst als pressiemiddel

Vrouw wordt bestolen van bankpas en ID-kaart

Nog datzelfde weekend worden

vier telefoonabonnementen op naam van de vrouw

afgesloten;

vier telefoons op naam van de vrouw verstrekt.

De vrouw doet maandag aangifte van diefstal

van ID-kaart en bankpas


De vrouw meldt woensdag bij KPN dat

kennelijk allerlei abonnementen op haar naam

zijn afgesloten

Op vrijdag stelt KPN dat overeenkomsten

rechtsgeldig zijn gesloten

Vrouw roept vernietiging van overeenkomsten

in. KPN stopt abonnementen, maar handhaaft

vordering toestellen


KPN bericht vervolgens aan de vrouw dat

vordering niet geïnd wordt, maar dat vrouw

wordt aangemeld bij Preventel

Effect van aanmelding is jarenlang geen abonnement

meer kunnen afsluiten

Vrouw stapt naar de rechter, vordert

ongedaanmaking registratie

Vordering toegewezen met dwangsom

KPN in hoger beroep


Grief 1 KPN: er had eerst inzageverzoek

moeten plaatsvinden

Hof: grief faalt, in casu volstrekt overbodige

handeling. Bekend welke gegevens het betrof


Grief 2 KPN: rechtbank heeft ten onrechte

meegewogen dat KPN geen kopie ID-bewijs in

geding heeft gebracht

Hof: technisch juist, maar irrelevant


Op grond van art. 8 Wbp dient KPN grondslag

voor zwarte lijst te hebben

Enig aangevoerde legitimatie registratie is

pressiemiddel tot betaling.

Daar tegenover staat belang verzoekster om

telefoonabonnement te kunnen afsluiten.

Behoorlijke hindernis in deze tijd.


Registratie alleen gerechtvaardigd bij “sterke

aanwijzingen” die “gestelde identiteitsfraude

niet op voorhand aannemelijk” maken

KPN verweert zich met algemene belang en

algehele twijfel aan verklaring vrouw

Vrouw versterkt ter zitting juist haar verhaal.

Bovendien blijken de handtekeningen niet te

lijken op de ter zitting door vrouw verstrekte

handtekening.


Oordeel rechtbank wordt dan ook bekrachtigd,

met veroordeling van KPN in kosten van de

procedure.

Extern verwijzingsregister

Fiscalist verricht op detacheringsbasis

werkzaamheden voor SNS

Brengt ook diverse andere medewerkers aan

en laat facturering via schimmige constructies

verlopen

SNS ontdekt misstanden na onderzoek. Ook

FIOD doet onderzoek

SNS meldt twee medewerkers aan bij Extern

Verwijzingsregister


In eerste aanleg komen zowel natuurlijke

personen als rechtspersonen op tegen

registratie

Rechtbank wijst verzoek rechtspersonen af:

WBP niet van toepassing;

Rechtspersonen niet in EVR opgenomen.

Overigens wijst rechtbank verzoek natuurlijke

personen af

Gerechtvaardigd belang voor opname in EVR


Gerechtshof

Alleen de verantwoordelijke kan in procedure ex

WBP worden betrokken; rechtbank dus correct in

afwijzing verzoek jegens personeels-BV

Protocol EVR biedt voldoende waarborgen voor

verwerking persoonsgegevens

Zware verdenking strafbaar feit voldoende voor

opname in EVR

Aangifte doen niet vereist


Gerechtshof

Beroep op disproportionaliteit slaagt, omdat

registratie de facto tot onmogelijkheid werk leidt.

Registratie om die reden beperkt tot 3 jaar

(was: 8 jaar)

Gevorderde dwangsom wordt sterk gematigd;

Natuurlijk personen worden veroordeeld in

proceskosten, omdat zij in feite in ongelijk gestelde

partij zijn

Rechtbanken

GPS-gegevens vrachtwagens

Inspectie bij transportbedrijf inzake rittenadministratie

O.m. GPS-gegevens vrachtwagens worden opgevraagd

Er worden achttien overtredingen ten aanzien van

voeren deugdelijke administratie geconstateerd ten

aanzien van drie chauffeurs


Onderneming stelt dat WBP aan opvragen van die GPS-

gegevens in de weg staat

Rechtbank: Wbp is niet van toepassing, omdat gegevens

aan vrachtwagens en niet aan chauffeurs zijn

gekoppeld

Onder verwijzing naar Raad van State uitspraak


Uitspraak lijkt grensgeval van begrip persoonsgegevens

Er is immers geconstateerd dat “ten aanzien van drie

chauffeurs” overtredingen zijn begaan

Er is dus ten aanzien van in ieder geval bepaalde gegevens

koppeling gelegd met natuurlijke personen

(persoonsgegeven!)

Onduidelijk is of dat ook voor GPS-gegevens geldt

Zuiverder lijkt mij om te overwegen dat

gegevensverwerking noodzakelijk is op grond van

publiekrechtelijke taak inspectie (artikel 8 sub e Wbp)

Afgifte beelden beveiligingscamera

Verdachte wordt vervolgd voor pinnen met frauduleus

verkregen passen

Onder bewijsstukken bevinden zich beelden van

Holland Casino en Jack’s Casino.

Beelden zijn verkregen zonder machtiging RC voor

verkrijging bijzondere persoonsgegevens.

Vraag is of die beelden rechtmatig zijn verkregen


Rechtbank:

In herinnering arrest Hoge Raad 23 maart 2010

(ECLI:NL:HR:2010:BK6331): gegevens waaruit ras-informatie

kan worden afgeleid, zoals een foto, zijn bijzondere

persoonsgegevens.

In casu was OvJ echter, anders dan bij voornoemd Trans Link–

arrest, niet op zoek naar persoonsgegevens

Bovendien weet een ieder dat in casino’s wordt gefilmd

Bewijs rechtmatig verkregen


De vraag is of redenering rechtbank in evt. hoger

beroep stand houdt

Hoge Raad heeft immers uitdrukkelijk overwogen dat:

alle gegevens waaruit gevoelige gegevens kunnen worden

afgeleid gevoelige gegevens zijn;

niet relevant is of beoogd is om gevoelige gegevens uit

bepaalde gegevens te ontlenen.

Dat OvJ met vordering niet op zoek was naar

persoonsgegevens komt gekunsteld over. Bovendien op

gespannen voet met HvJEU over camerabeelden.

Opschorten bewaarplicht

Enkele privacyorganisaties en

telecombedrijven starten procedure

tegen de Staat inzake bewaarplicht

Zaak leunt sterk op arrest HvJEU d.d. 8

april 2014, waarbij dataretentierichtlijn

ongeldig is verklaard

Eisers stellen dat gelet op die bestaande

rechtspraak NL (implementatie)wetgeving

buiten werking gesteld moet worden


Rechtbank:

KG-rechter kan wet slechts buiten toepassing

verklaren voor zover deze onmiskenbare

onverbindend is wegens strijd met eenieder

verbindende bepalingen van verdragen en

besluiten volkenrechtelijke organisaties.

Grote terughoudendheid rechter, taak

grondrechtenafweging ligt in NL stelsel

primair bij wetgever


Rechtbank:

NL wetgeving op eigen merites beoordelen, is

niet automatisch komen te vervallen door

verval richtlijn

NL wetgeving is uitvoering EU-richtlijn, dus

(mede) toetsen aan EU Handvest

Enkele opslag van verkeersgegevens is een

inbreuk op de rechten uit Handvest. Vraag is

of die inbreuk gerechtvaardigd is.

Uitgangspunt is dat bewaarplicht op zichzelf

noodzakelijk en effectief is. Al diverse zaken

mee opgelost.


Rechtbank:

NL wetgeving bevat echter geen of

onvoldoende objectieve criteria ter

begrenzing van toegang en gebruik gegevens.

Onvoldoende afgegrensd voor welke

misdrijven gegevens mogen worden gebruikt.

Ook geen toetsing vooraf wie er toegang heeft

tot gegevens

Bewaarplicht maakt ontoelaatbare inbreuk op

rechten Handvest en is dus onmiskenbaar

onverbindend.


Rechtbank:

Wet bewaarplicht telecom wordt buiten

werking gesteld.

Staat heeft daarmee ook geen grondslag meer

gegevens op te vragen bij providers


Enkele observaties:

Rechtstreekse toetsing aan Handvest.

In opkomst. Interessant ook omdat catalogus

grondrechten in Handvest ruimer is dan in

Grondwet of verdragen.

Wet buiten werking gesteld in kort geding

Belang privacy weegt dus (heel) zwaar

Wet bovendien algeheel buiten werking gesteld

en niet alleen jegens eisers

Vrij genuanceerde en doordachte uitspraak,

zeker voor kort geding.

Niettemin binnen drie weken na zitting al

uitspraak gedaan

Uitdraai GSM-locatiegegevens

Klant doet bij T-Mobile inzageverzoek ex

WBP

T-Mobile reageert:

verstrekt contactgegevens;

verstrekt contractgegevens;

verstrekt factuurgegevens;

informeert dat verkeers- en locatiegegevens

worden verwerkt, meldt dat die inzage wordt

beperkt tot 10 kalenderdagen en verzoekt

betrokkene gewenste datumbereik te

specificeren


Betrokkene reageert en verzoekt om

locatiegegevens voor gehele jaar vanaf

bepaalde datum

T-Mobile stelt dat het slechts gegevens tot

jaar terug bewaart.

Verstrekt daarop overzicht locatiegegevens

vanaf verzochte datum voor de duur van

10 dagen.


Betrokkene beklaagt zich over beperkte

afgifte locatiegegevens

T-Mobile verweert zich met stelling dat

locatiegegevens niet worden opgeslagen en

dat zij al meer dan voldoende tegemoet is

gekomen aan wensen betrokkene


In procedure blijkt (onweersproken) dat

zendmasten voorzien zijn van “cell ID” (unieke

code);

deze ID niets zegt over de locatie;

ID in het locatieplan aan locatie gekoppeld is;

Bij gesprekken alleen het cell ID wordt

geregistreerd;

T-Mobile alleen indien noodzakelijk relatie

tussen cell ID en locatie legt.


Rechtbank:

“Er is geen grond om T-Mobile te verzoeken tot

verstrekking van locatiegegevens die zij in haar

normale bedrijfsvoering niet creëert”

Dat T-Mobile feitelijk de gegevens wel voor

periode 10 dagen wil verstrekken, maakt dit niet

anders

Verzoeker heeft geen rechtens te respecteren

belang bij het verzoeken om creatie van

locatiegegevens


Rechtbank:

Inzagerecht ziet wel op gegevens die T-Mobile in

normale bedrijfsvoering wel verwerkt

Voor groot deel verkeersgegevens is al aan

inzageverzoek voldaan door inzage middels “My

T-mobile”

Cell-Ids zijn geen persoonsgegevens, aangezien

deze alleen tot zendmast en niet tot persoon te

herleiden zijn. Onbetwist is dat T-Mobile in

normale bedrijfsvoering die koppeling niet legt.

Verzoek afgewezen, verzoeker veroordeeld in de

kosten

Boete na hack

In januari 2012 werd bekend dat hacker had

ingebroken op netwerk KPN

ACM stelt onderzoek in. Aandachtspunten

onderzoek:

opzetten en handhaven beveiligingsbeleid;

netwerkinrichting;

afscherming;

netwerk- en systeembewaking;

patchmanagement.

Boete na hack

Conclusie rapport 22 juli 2013: KPN heeft niet

aan beveiligingsverplichting voldaan.

Boete van € 364.000,-- opgelegd

potentieel ernstige schade eindgebruikers;

belang beveiliging raakt fundamentele rechten en vrijheden

betrokkenen;

KPN heeft bovendien bewust risico aanvaard, nu niet is

opgetreden na eerder incident en KPN advies om

penetratietesten te houden niet heeft opgevolgd.

Boete na hack

Verweer KPN:

dat er gehackt wordt wil nog niet zeggen dat

beveiligingsnorm is overtreden;

ACM heeft ten onrechte niet gelet op wijze van afhandeling

van incident door KPN;

ACM zou verkeerde stand van techniek in acht hebben

genomen;

ACM legt de lat te hoog te aanzien van de te nemen

maatregelen;

ACM heeft de overtreding als te ernstig aangemerkt, nu er

geen persoonsgegevens verloren zijn gegaan en KPN goed

heeft geregeerd op ontdekking hack

Boete na hack

Rechtbank

Beveiligingsplicht artikel 11.3 Tw betreft “een

zorgplicht die een verstrekkende inspanningsplicht

inhoudt”

NB. Tekst artikel 13 WBP is nagenoeg gelijk

ACM heeft toereikend gemotiveerd waarom in onderzoek

aandacht is gelegd op voornoemde vijf aandachtsgebieden

Wel moet in ogenschouw worden genomen dat mogelijke

tekortkoming bij één van genoemde onderwerpen kan

worden opgeheven door adequate tegenmaatregelen

Boete na hack

Rechtbank

KPN heeft veel van de verwijten van ACM niet

weersproken.

Onderzoek ACM niet onzorgvuldig om enkele feit dat niet

gekeken is welke maatregelen andere providers nemen

Onderzoek ACM evenmin onzorgvuldig omdat slechts

beperkt literatuuronderzoek plaats heeft gevonden

Dat KPN adequaat heeft gereageerd op incident doet aan

schending beveiliging niets af. Adequaat reageren op hack

is afzonderlijke wettelijke plicht.

Ook niet gebleken dat kosten voor te nemen maatregelen

niet in verhouding staan tot beveiligingsdoel

Boete na hack

Rechtbank

ACM heeft terecht geconcludeerd dat sprake is van

ernstige overtreding

Overtreding is KPN ook toerekenbaar, mede gelet op eerder

incident bij dochteronderneming

WOB biedt voldoende grondslag om boeterapport in

ongeschoonde vorm te publiceren

Beroep (dus) volledig afgewezen

Boete na hack

Interessante kwestie, ook voor partijen buiten

telecom:

1e kwestie voor de rechter over boete na hack;

artikel over beveiligingsplicht in Tw nagenoeg gelijk

aan corresponderende artikel in Wbp;

per 1 januari staat op overtreding artikel 13 Wbp dankzij

wetswijziging ook boete (zie hierna).

Wetgeving

Wetgeving EU

Privacyverordening

12/03/2014 door Parlement goedgekeurd in 12e lezing;

Vervolgens beraadslagingen in Raad op 06-06-2014, 10-

10-2014, 13-03-2015 en 15-06-2015

Planning rond de zomer was om er rond december uit

te zijn.

Formeel is het echter al tijdje stil

Signalen zijn dat het later wordt

Beoogde inwerkingtreding: 2 jaar na publicatie

Wetgeving NL

Introductie boetebevoegdheid CBP en meldplicht

datalekken per 1 januari 2016

Hierna in twee delen behandeld

Aanpassing cookiewet

Iets minder vaak toestemming nodig, maar voor praktijk

verandert er niet veel

Diverse wetstechnische wijzigingen

Veelal in verband met decentralisatie diverse zorgtaken

overheid

Wijziging boetebevoegdheden (I)

Boete schending meldplicht vervallen.

Nieuw: boete 4e categorie (=€ 22.250) op:

Niet aanwijzen NL vertegenwoordiger door verantwoordelijke

buiten EU

Data-export naar land dat door EU-besluit als onveilig is

aangemerkt

Wijziging boetebevoegdheden (II)

Nieuw: (lid 2) boete op schending materiele normen

WBP van maximaal 6e categorie (=€ 810.000,--) c.q. 10%

jaaromzet

Direct op te leggen bij:

Opzet (incl. voorwaardelijke opzet!)

Ernstig verwijtbare nalatigheid

In andere gevallen eerst na schending door CBP opgelegde

bindende aanwijzing

Nieuw: (lid 5) boete van maximaal 6e categorie (=€

810.000,--) c.q. 10% jaaromzet bij niet-naleven

bindende aanwijzing

Rode kaart situaties (I)

Criterium Omschrijving & voorbeeld(en) uit wetsgeschiedenis

Opzet “Willens en wetens” (de handeling, niet de opzet op overtreding van de Wbp!)

• commerciële handel in persoonsgegevens voor financieel gewin

• vermarkten medische gegevens

• zonder toestemming filmen patiënten in zwakke positie (casus

VUmc)

Voorwaar-

delijke opzet

“willen en wetens aanmerkelijke kans op intreden

negatieve gevolgen aanvaarden (incl. behoren te weten)”

• Niet ingrijpen terwijl geavanceerde monitoringsoftware op

netwerk waarschuwt voor incidenten

Ernstig

verwijtbare

nalatigheid

“het gevolg is van grof, aanzienlijk onzorgvuldig,

onachtzaam dan wel onoordeelkundig handelen.”

• Arboarts die het tot verdienmodel maakt systematisch dossiers

te mailen naar werkgever

• Kinderen met spelletje ontlokken om vragen over ouders te

beantwoorden

• zonder toestemming filmen patiënten in zwakke positie (casus

VUmc)

Rode kaart situaties (II)

Voorbeelden in wetsgeschiedenis (behoorlijk)

willekeurig en arbitrair

Onderscheid in verschillende gradaties van ernst ook

behoorlijk willekeurig en arbitrair

Illustratief dat VUmc-casus zowel bij gradatie 1 als gradatie 3

wordt genoemd!

Hopelijk komt CBP (AP) met duidelijkere criteria in

handhavingsbeleid

Bindende aanwijzing (I)

Artikel 1 sub q WBP: “de zelfstandige last die wegens

een overtreding wordt opgelegd”.

Vrij vertaald: de last zonder dwangsom

Geïntroduceerd na advies van RvS vanwege lex-certa

beginsel

Concretiseert de abstracte normen uit Wbp in specifieke

situatie

Vereist in alle gevallen behalve de “rode kaart” situaties

Bindende aanwijzing (II)

Overeenkomst:

Beide gericht op herstel van overtreding

In beide gevallen termijnstelling vereist

Verschil:

Last onder dwangsom per definitie geld verbeurd indien

overtreding niet tijdig gestaakt.

Na bindende aanwijzing afzonderlijk boetebesluit vereist

Dwangsom kan ook per tijdseenheid of overtreding

Onduidelijk of na de last een dwangsom kan volgen, of

dat alleen een boete mag

Normen waarop boete staat (I)

Artikel Omschrijving

Artikel 6 Eerlijke verwerking

Artikel 7 Verzameldoel bepalen

Artikel 8 Grondslagen gegevensverwerking

Artikel 9 lid 1 Doelbinding

Artikel 9 lid 4 Onverenigbare verwerking vanwege geheimhouding

Artikel 10 lid 1 Bewaartermijnen

Artikel 11 Gegevenskwaliteit

Artikel 12 Gezag en geheimhouding

Normen waarop boete staat (II)


Artikel 13 Passende beveiliging

Artikel 16 Verbod verwerking bijzondere persoonsgegevens

Artikel 24 Verbod verwerking persoonsnummers

Artikel 33 Transparantie richting betrokkene bij verkrijging bij

betrokkene

Artikel 34 lid 1 – 3 Transparantie richting betrokkene bij verkrijging

anderszins

Artikel 34a Meldplicht datalekken

Artikel 35 lid 1 – 4 Inzagerecht

Artikel 36 lid 2 – 4 Correctierecht

Normen waarop boete staat (III)


Artikel 38 Kennisgeving derden

Artikel 39 Kostenvergoeding rechten betrokkene

Artikel 40 lid 2 – 3 Recht van verzet

Artikel 41 lid 2- 3 Opt-out commercieel gebruik

Artikel 42 lid 1 en 4 Geautomatiseerde individuele besluiten

Artikel 76 Verbod op doorgifte buiten EU

Artikel 77 Voorwaardelijke uitzonderingen verbod op

doorgifte

Artikel 78 lid 3 en 4 Verbod doorgifte na opschorting minister

Artikel 5:20 Awb Medewerkingsplicht onderzoek

Normen waarop geen boete staat

Artikel 14 WBP: verplichte bewerkersovereenkomst

Artikel 32 WBP: verplicht melden verwerking waarop

voorafgaand onderzoek van toepassing is

Artikel 37 WBP: (o.m.) deugdelijk vaststellen identiteit

verzoeker bij uitoefening rechten en communiceren

met wettelijk vertegenwoordigers indien betrokkene

minderjarig is

Cumulatie bestuurs-/strafrecht (I)

Artikel 5:44 Awb

Geen bestuurlijke boete indien strafvervolging is ingesteld

Bovendien voorafgaand overleg met OM vereist

Primaat vervolging ligt bij OM, CBP slechts bevoegd indien OM

besluit van vervolging af te zien

Artikel 243 lid 2 Sv

Bestuurlijke boete en/of mededeling niet opleggen daarvan

geldt als kennisgeving niet verdere vervolging

“Una via”-beginsel lijkt niet in de weg te staan aan

vervolging na 12 Sv klacht

Cumulatie bestuurs-/strafrecht (II)

Relevant voor (o.m.) schending geheimhouding (artikel

272 Sr)

MvT WBP: “De geheimhoudingsbepaling [van art. 12 Wbp, MJ] is

een verplichting uit hoofde van een wettelijk voorschrift als

bedoeld in artikel 272 van het Wetboek van Strafrecht.”

Denk echter ook aan heimelijk opnemen/aftappen

gesprekken c.q. maken (video)opnames (139a e.v. Sr),

laster/smaad in digitale context, div. computerdelicten,

etc.

Adressant boete

Verschillende adressanten:

Pleger (verantwoordelijke)

Medepleger (bijv. de bewerker)

Feitelijk leidinggever / feitelijk opdrachtgever

Bewijslast ligt steeds hoger

In de praktijk zal boete primair aan verantwoordelijke

worden opgelegd

Meldplicht datalekken

Meldingsplicht van inbreuken op de

beveiliging

Onverwijld (binnen 24 uur)

Aan College bij “(aanzienlijke kans op)

ernstig nadelen gevolgen voor de

bescherming van persoonsgegevens”

Daarnaast aan betrokkene “indien de

inbreuk waarschijnlijk ongunstige

gevolgen zal hebben voor diens

persoonlijke levenssfeer.”

Tenzij gegevens adequaat versleuteld

waren


Melding College bevat minimaal:

geconstateerde gevolgen;

vermoedelijke gevolgen;

genomen en/of voorgestelde maatregelen

om gevolgen te verhelpen.

Melding betrokkene:

Gelet op alle omstandigheden moet

behoorlijke en zorgvuldige

informatievoorziening zijn geborgd

College kan melding betrokkene eisen

indien deze eerst achterwege is gelaten


Administratieplicht inbreuken:

Feiten en gegevens omtrent aard van de

inbreuk

Tekst van de kennisgeving aan de

betrokkene

Wet onduidelijk over hoe lang dit

bewaard moet worden. Uit

behandeling EK blijkt (minimaal) een

jaar.


Niet naleven meldplicht of administratieplicht is

beboetbaar

Zie vorige slides

Toezichthouders

Nieuwe FAQ cookies

Meest recente wetswijziging inzake verruiming

uitzondering verwerkt

Informatie toegevoegd over rechtsgeldigheid

“cookiewalls” bij private partijen en overheidspartijen

Interactieve TV Ziggo

Onderzoek naar interactieve TV diensten Ziggo

Constateringen:

Ziggo gebruikte kijkgedrag interactieve TV voor

kijkcijferanalyse zonder toestemming;

Ziggo stelde interesseprofiel klant op bij gebruik On Demand

diensten, zonder hiervoor toestemming te vragen;

Ziggo gebruikte gegevens On Demand voor direct marketing

doeleinden zonder toestemming.

Interactieve TV Ziggo

Overtredingen ondertussen gestaakt:

Ziggo anonimiseert kijkcijfergegevens al op apparaat;

Ziggo vraagt toestemming voor interesseprofiel On Demand;

dienst is ook zonder toestemming te gebruiken.

Beveiliging Humannet

Naar aanleiding van Zembla-uitzending onderzoek naar

verzuimapplicatie Humannet in 2012

Destijds toezeggingen Humannet bepaalde

verbeteringen door te voeren

Nadien nieuwe signalen CBP dat Humannet zich niet

aan wet houdt

Ambtshalve onderzoek gestart

Beveiliging Humannet

CBP:

Toepassing beveiligingsrichtlijnen NCSC, Code

Informatiebeveiliging en NEN 7510

CBP:

Ten onrechte geen meerfactorauthenticatie;

Ten onrechte geen periodieke evaluatie beveiligingsrisico’s;

Ten onrechte geen aandacht voor kwetsbaarheden die tijdens

audits naar voren kwamen;

Dwangsom Google

Langlopende discussie met (bijna) alle EU

toezichthouders n.a.v. wijziging

privacybeleid per 01-03-2012

In vele landen al diverse maatregelen

getroffen

Dwangsom Google

CBP legt op 17-11-2014 last onder

dwangsom op:

Toestemming vragen voor combineren van

persoonsgegevens;

Beter informeren dat YouTube onderdeel is van

Google;

Beter privacystatement hanteren:

Combineren Google Analytics met andere gegevens;

Google+ gegevens in advertenties;

Monitoring verkeer voor advertenties;

Betere uitleg over gebruik MAC, UUID’s,

locatiegegevens, etc. op pagina binnen twee

muisklikken

Dwangsom Google

Iedere last 20.000 euro per dag,

oplopend tot maximaal 5 miljoen euro

Ongeveer 3,5 minuut winst per dag

Google in bezwaar tegen dwangsom

Beslissing op bezwaar 9 juni 2015

CBP acht maatregelen evenredig en proportioneel;

CBP verlengt de begunstigingstermijnen;

Mij onbekend of Google in beroep is gedaan

(verwacht ik wel)

Randstad en Adecco

Ambtshalve onderzoek bij uitzendbureaus, mede naar

aanleiding van signalen van betrokkenen

Bevindingen:

Kopie paspoort mag eerst gemaakt worden als

uitzendovereenkomst gesloten, dus niet al bij eerste

inschrijving;

Verstrekken kopie paspoort aan opdrachtgevers is, behoudens

bij vreemdelingen, niet toegestaan;

Registreren gegevens over ziekte is in strijd met de wet;

Randstad en Adecco

Ambtshalve onderzoek bij uitzendbureaus, mede naar

aanleiding van signalen van betrokkenen

Bevindingen:

Verstrekken strafrechtelijke gegevens (pre-employment

screening) niet toegestaan;

Registreren BSN voordat uitzendovereenkomst bestaat niet

toegestaan;

Verwerking gegevens loonbeslagen door intercedenten niet

toegestaan;

Niet hebben van bewaartermijnen, en dus al 24 jaar bewaren

gegevens, in strijd met Wbp

Randstad en Adecco

Opvallend:

Adecco heeft vervolgens voorafgaand onderzoek bij CBP

aangevraagd voor verwerking strafrechtelijke gegevens

CBP heeft bij besluit van 05-08-2015 besloten de verwerking

(vooralsnog) rechtmatig te achten

Suwinet

Suwinet systeem voor uitwisseling overheden gevoelige

persoonsgegevens uitwisselen in het kader van werk en

inkomen

Najaar 2014 onderzoek bij gemeente Den Bosch:

Geen up-to-date beveiliging;

Geen registratie en analyse van beveiligingsincidenten;

Geen goede logging;

Geen goede autorisatie;

Toegang tot SUWInet voor Ierse ministerie Sociale Zaken.

Suwinet

Naar aanleiding van onderzoek Den Bosch heeft SZW

bepaalde verbeteringen doorgevoerd

CBP kondigt 5 juni 2015 nader onderzoek naar Suwinet

aan:

8 extra gemeenten worden in onderzoek betrokken

Verantwoording

In deze presentatie wordt algemene en beknopte informatie

verstrekt over een aantal juridisch relevante ontwikkelingen.

Niet beoogd is om hiermee juridisch advies te geven voor

concrete situaties.

Hoewel veel zorg is besteed aan het opstellen van deze

presentatie, aanvaardt Dirkzwager advocaten & notarissen N.V.

geen aansprakelijkheid voor de inhoud ervan.

Actuele kennis van weten regelgeving

Jurispruden

tie

Dirkzwager zorgt

dat

u het weet. Advocatuur Arnhem

Postbus 3045

6802 DA Arnhem

Kantoor Velperpoort

Velperweg 1

6824 BZ Arnhem

T +31 (0)26 353 83 00

F +31 (0)26 351 07 93

E [email protected]

I www.dirkzwager.nl

Postbus 111

6800 AC Arnhem

Kantoor Velperpoort

Verlperweg 1

6824 BZ Arnhem

T +31 (0)26 365 55 55

F +31 (0)26 365 55 00

E [email protected]

I www.dirkzwager.nl

Postbus 55

6500 AB Nijmegen

Kantoor Stella Maris

Van Schaeck Mathonsingel 4

6512 AN Nijmegen

T +31 (0)24 381 31 31

F +31 (0)24 322 20 74

E [email protected]

I www.dirkzwager.nl

Postbus 1104

6501 BC Nijmegen

Kantoor Stella Maris

Van Schaeck Mathonsingel 4

6512 AN Nijmegen

T +31 (0)24 381 27 27

F +31 (0)24 324 07 26

E [email protected]

I www.dirkzwager.nl

Presentatie actualiteiten privacyrecht 2015 10 november 2015

Law

Transcript of Presentatie actualiteiten privacyrecht 2015 10 november 2015