Seminar Actualiteiten privacyrecht 25 november 2014

Advocaten en notarissen

25 november 2014

Actualiteiten

privacyrecht

Inhoud seminar

• Ontwikkelingen sinds vorige privacyseminar

(sept. ‘13)

• Onderverdeeld in:

– Rechtspraak

– Toezichthouders

– Wetgeving

Privacy. pri·va·cy

/prAjv«si/

de (v.); g.mv.

(na 1950) Eng.

1 persoonlijke

vrijheid, het

ongehinderd alleen,

in eigen kring of

met een partner

ergens kunnen

vertoeven;

gelegenheid om zich

af te zonderen, om

storende invloeden

van de buitenwereld

te ontgaan

«wat is privacy?

Dat is een toestand

waarin een mens er

zeker van is dat

zonder zijn

toestemming zo

weinig mogelijk

andere mensen zich

op zijn terrein

zullen begeven»

(H.J.A. Hofland)

Rechtspraak

Rechtspraak

• Hof van Justitie

• Hoge Raad

• Raad van State

Hof van Justitie

Hof van Justitie

Datum Zaaknummer Zaaknaam

7 november 2013 C-473/12 Privédetectives-arrest

12 december 2013 C-468/12 GBA-uittreksel-arrest

8 april 2014 C-293/12 en C-

594/12

Dataretentierichtlijn-arrest

13 mei 2014 C-131/12 Google-arrest

17 juli 2014 C-141/12 en C-

372/12

Inzagerecht-arrest

Privédetectives-arrest

• Belgische kwestie. Moet ook privédetective

voldoen aan transparantie-eisen?


• Hof: het is aan lidstaten zelf om te bepalen

of zij uitzonderingen opnemen in

privacywetgeving, mits

– de uitzondering ziet op doeleinden genoemd in

artikel 13; (=legaliteit)

– de uitzondering noodzakelijk is om dat doel te

bereiken; (=subsidiariteit)

– de uitzondering beperkt blijft tot het strikt

noodzakelijke; (=proportionaliteit)


• Hof: een wettelijke uitzondering voor privédetectives voldoet in beginsel aan die eisen, mits de werkzaamheden van de privédetective verband houden met “het voorkomen, het onderzoeken, opsporen en vervolgen van strafbare feiten of schendingen van de beroepscodes voor gereglementeerde beroepen”. (=legaliteit)


• Relevantie voor de praktijk:

– Uitgangspunt transparantie staat voorop;

– Hof interpreteert uitzonderingen zeer eng;

– Harmonisatie privacyrecht: lidstaten hebben

alleen nog beleidsvrijheid voor zover richtlijn

die toelaat

GBA-uittreksel-arrest

• Nederlandse kwestie:

– Vrouw ontvangt verkeersboete;

– Vraagt aan gemeente GBA-gegevens in

bepaalde periode te bevestigen;

– Gemeente stuurt uittreksel GBA en brengt

leges in rekening;

– Vrouw weigert leges te betalen, omdat ze nooit

om uittreksel heeft gevraagd maar

inzageverzoek heeft gedaan.


• Vuistregels Hof:

1. Inzagerecht is niet kosteloos

2. Kosten mogen echter niet zo hoog zijn, dat ze

een obstakel voor inzage vormen

3. Overheden mogen maximaal kostprijs in

rekening brengen.


• Hof laat in het midden wanneer kosten te hoog zijn

• In Nederland echter gemaximeerd: Besluit kostenvergoeding rechten betrokkene Wbp

– Tot 100 pagina’s max. €5,-- of €0,23 p.p.

– Daarboven of bij complexe verwerkingen max. €22,50,--

http://wetten.overheid.nl/BWBR0012565/


• Praktische tip voor overheden:

– Verifieer bij onduidelijke verzoeken of

betrokkene een inzageverzoek bedoelt te doen,

of dat betrokkene een uittreksel GBA wenst te

verkrijgen;

– Stel vast wat de kostprijs van een

inzageverzoek is


• Dataretentierichtlijnverplicht providers om verkeersgegevens voor minimaal 6 maanden te bewaren

• Ierse burgerrechten-beweging en Oostenrijkse deelstaat verzetten zich tegen invoeren van de wetgeving


• Hof: – uit verkeersgegevens zijn

zeer persoonlijke gegevens af te leiden;

– opslaan van gegevens leidt wellicht tot ander communicatiegedrag;

– persoonlijke levenssfeer en vrijheid meningsuiting dus mogelijk in geding.


• Niet iedere opslag verkeersgegevens onrechtmatig, mits– legitiem doel;

– voldoet aan eisen proportionaliteit;

– voldoet aan eisen subsidiariteit.

• Regels over afstappen moeten dan ook strikt en precies zijn.


• Richtlijn voldoet niet aan de eisen:

– Geen filter: bijna alles van bijna iedereen bewaard;

– Geen verband tussen bewaarde gegevens en bepaalde dreiging;

– Geen criteria om toegang te beperken;

– Geen procedures omtrent toegang en gebruik;

– Geen toets op rechtmatigheid gebruik;

– Geen onderscheid in bewaartermijnen;

– Geen objectief criterium voor bewaartermijnen.


• Nationale wetgeving

ook van tafel?

– Nee, hoewel

soortgelijke procedure

bij gebreke van wettelijk

ingrijpen wel voor de

hand ligt


• Belang uitspraak:

– Voorbeeld constitutionele toetsing, Hof

corrigeert de EU-wetgever;

– Hof erkent potentiele privacy-impact van

verkeersgegevens;

– Hof erkent dat techniek die mogelijk leidt tot

ander gedrag betrokkene inbreuk op

grondenrechten kan zijn (vgl. discussie tracking

cookies);

Google-arrest

• Spaanse krant publiceert in 1998 dat

vastgoed dhr. González vanwege

socialezekerheidsschulden per opbod

zal worden verkocht

• González ontdekt dat wie zijn naam

anno 2010 intypt in Google, nog

steeds bij deze artikelen komt

Google-arrest

• González verzoekt Spaanse toezichthouder

zowel krant als Google te gelasten om

gegevens te verwijderen

• Toezichthouder weigert verzoek ten aanzien

van krant, honoreert het verzoek ten

aanzien van Google

• Google gaat in beroep

Google-arrest

• Hof:

– Kopiëren van webpagina’s met persoonsgegevens = verwerking

– Google is verantwoordelijke, ook al kopieert ze zonder enige interventie

– Verkoopkantoor in Spanje onlosmakelijk verbonden met Amerikaanse zoekmachine

– Europese privacyrecht dus “vol” van toepassing op Google

Google-arrest

• Hof: betrokkene kan correctierecht inroepen

• Correctierecht heeft vrij ruime strekking:

– Is niet alleen bedoeld om onvolledige of

onjuiste gegevens te corrigeren, maar iedere

vorm van onrechtmatige verwerkingen

Google-arrest

• Hof: betrokkene kan ook recht van verzet

inroepen

• Zoekmachine heeft in beginsel

gerechtvaardigd belang, maar zal na verzet

heroverweging moeten maken

– Belangen betrokkene wegen daarbij (zeer)

zwaar

Google-arrest

• Recht om vergeten te worden?

• Nee, absoluut niet.

• Plicht om te reageren op

correctieverzoek en verzet, waarbij bij

zoekmachines belang betrokkene

zwaar zal wegen

Google-arrest

• In potentie veel verderstrekkende gevolgen:

– Verwerken bijzondere persoonsgegevens in

beginsel verboden

– Niet bovenmatig veel gegevens verwerken en niet

te lang bewaren gegevens, leidt wellicht tot

kleinere zoekindex Google

– Geen “bijvangst” verweer; alle moderne diensten

dus toetsen aan privacywetgeving.

Inzagerecht-arrest • Asielzoeker wil inzage krijgen in de “minuut”

(juridische analyse) die ten grondslag ligt

aan asielbesluit.

• Rb. Middelburg constateert dat Raad van

State en Hoge Raad verschillend oordelen

over inzagerecht. Stelt daarop prejudiciële

vragen.

• Raad van State stelt enkele maanden later

vervolgens soortgelijke prejudiciële vragen.

Inzagerecht-arrest

• Hof van Justitie:

– gegevens over de aanvrager asiel zijn

persoonsgegevens;

– juridische analyse geen persoonsgegeven.

• Doel en strekking richtlijn lijkt hierbij bepalend:

doel privacyrichtlijn is bescherming persoonlijke

levenssfeer, niet openbaarheid van bestuur

Inzagerecht-arrest

• Hof van Justitie verwerpt hiermee wel

expliciet de veel ruimere opvatting van de

WP29 over het begrip persoonsgegevens

• WP29: ook “gegevens die status van

persoon (…) beïnvloeden” zijn

persoonsgegevens

Inzagerecht-arrest

• Hof: geen recht op afschrift documenten, overzicht gegevens volstaat

• Maar…..

• Overzicht moet de betrokkene in staat stellen:– te kunnen controleren of de persoonsgegevens juist

zijn;

– te kunnen controleren of de persoonsgegevens in overeenstemming met de richtlijn worden verwerkt;

– zijn rechten uit te oefenen.

Inzagerecht-arrest

• Met andere woorden: bij inzageverzoek keuze maken tussen

1. Volledig afschrift verstrekken documenten (evt. deels zwart gemaakt), met opmerking dat betrokkene geen correctierecht heeft op inhoud documenten

2. Alleen overzicht verwerkte persoonsgegevens verstrekken, met kanttekening dat betrokkene dan mogelijk stelt dat niet aan wet wordt voldaan.

Hoge Raad

Hoge Raad


18 april 2014 ECLI:NL:HR:2014:942 Achmea Schadeverze-

keringen v. X

Achmea v. X

Datum Omschrijving

1 maart 2001 Man sluit arbeidsongeschiktheidsverzekering af bij Interpolis

8 april 2003 Man meldt zich arbeidsongeschikt. Interpolis start uitkeringen.

juli – sept 2006 Interpolis laat extern bureau onderzoek doen naar man,

waaronder middels observatie.

Sept 2006 Onderzoeksbureau concludeert dat man bewust onjuiste

informatie aan Interpolis heeft verstrekt

10 okt 2006 Interpolis zegt verzekering op per 25 september 2006

28 april 2008 Interpolis sommeert man tot terugbetaling uitkeringen en

vergoeding gemaakte kosten

april 2009 Interpolis beëindigt alle verzekeringen van de man

Achmea v. X

• Interpolis start procedure en vordert terugbetaling uitkeringen en vergoeding gemaakte kosten; Man eist daarentegen juist voortzetting verzekering, rectificatie en schadevergoeding

• Rechtbank stelt Interpolis in gelijk

• In hoger beroep (o.m.) discussie of het rapport v/h onderzoeksbureau buiten beschouwing moet blijven

Achmea v. X

• Hof: – Verbond van Verzekeraars heeft Gedragscode

Persoonlijk Onderzoek opgesteld

– Gebaseerd op beginselen proportionaliteit en subsidiariteit

– De gedragscode stelt dat voor persoonlijk onderzoek sprake moet zijn van “redelijk vermoeden van fraude”

– Daarvoor moet sprake zijn van grondige en/of structurele misleiding door de verzekerde

Achmea v. X

• Hof:

– Inbreuk op persoonlijke levenssfeer is onrechtmatig, behoudens rechtvaardiging

– Interpolis heeft niet onderbouwd dat aan criteria uit gedragscode was voldaan om onderzoek in te stellen

– Interpolis heeft ook geen andere rechtvaardigingsgronden aangevoerd

– Conclusie: onrechtmatig rapport

Achmea v. X

“Het strookt – ook in een geval als hetonderhavige waarin de ernst van de inbreukop de persoonlijke levenssfeer gering is – nietmet het doel van zelfregulering eenverzekeraar die de Gedragscode schendt tebelonen door het onrechtmatig door haarverkregen bewijs tot haar voordeel te latenstrekken.”

Achmea v. X

• Hoge Raad:

– Schenden van Gedragscode is in beginsel

onrechtmatig, gelet op inhoud en opzet code

– Hof heeft terecht aan de code getoetst

– Hoge Raad kan de code niet toetsen, want

geen recht in de zin van art. 79 RO

Achmea v. X

• Hoge Raad:

– Hof heeft terecht geconcludeerd dat niet te snel

tot zware middel van persoonlijk onderzoek

mag worden overgegaan

– Hof heeft terecht geconcludeerd dat in strijd

met gedragscode verkregen bewijs buiten

beschouwing mag worden gelaten, oordeel is

voldoende deugdelijk gemotiveerd

Achmea v. X

• Conclusie:– Verzekering is nooit rechtmatig opgezegd

– Alle meldingen over fraude in registers e.d. zijn nooit rechtmatig gedaan

• Slotopmerking:– Casus lijkt sterk gekleurd door bestaan gedragscode.

– Uitkomst wellicht anders zonder dergelijke zelfregulering

– Onder nieuwe verordening lijkt zelfregulering echter wel in belang toe te nemen

Raad van State

Raad van State


5 februari 2014 ECLI:NL:RVS:2014:3

08

X. v. SVOZ

30 april 2014 ECLI:NL:RVS:2014:1

509

X. v. IGZ (Minister VWS)

16 juli 2014 ECLI:NL:RVS:2014:2

594

X. v. Gem. Zevenaar

X. v. SVOZ

• Man was werkzaam als docent-assistent bij SVOZ, raakt arbeidsongeschikt

• Re-integratie werd eerst verzorgd door Arbo Unie, daarna door Tredin

• Gedurende re-integratie doet man herhaalde inzageverzoeken. Deze worden ook gehonoreerd

• In nadien gevoerde ontslagprocedure worden namens SVOZ stukken overgelegd, die destijds niet zijn verstrekt in reactie op inzageverzoek

X. v. SVOZ

• Man doet daarop een nieuw inzageverzoek

en verzoekt tevens alle medische gegevens

te verwijderen

• SVOZ weigert en stelt dat

– man alle gegevens al heeft;

– SVOZ medische gegevens mag verwerken.

X. v. SVOZ

• Man gaat in beroep en hoger beroep

• SVOZ stelt dat man niet ontvankelijk is in hoger beroep, omdat privacyschending reeds geëindigd is.

• Raad van State verwerpt dit: man heeft aannemelijk gemaakt immateriële (!) schade te hebben geleden

X. v. SVOZ

• Raad van State:

– SVOZ had inzage in systeem Tredin;

– Blijkt nergens uit dat SVOZ bij Tredin navraag

heeft gedaan toen man inzageverzoek deed;

– Reactie op inzageverzoek dus onzorgvuldig

voorbereid.

X. v. SVOZ

• Raad van State:

– Directe leidinggevende hield eigen dossier over betrokkene bij;

– Blijkt nergens uit dat bij deze leidinggevende navraag is gedaan n.a.v. inzageverzoek man;

– De betreffende gegevens zijn ook niet verstrekt;

– Daarmee is niet voldaan aan de wettelijke eis een “volledig overzicht” te verstrekken

X. v. SVOZ

• Raad van State:

– Werkgever mag slechts medische gegevens

verwerken binnen kaders rapport CBP 2008;

– Werkgever hield o.m. reden ziekmelding bij en

ontving van Tredin medische informatie bij die

verder ging dan “functionele beperkingen” en

verwachte hersteltijd;

– Rechtbank heeft dus ten onrechte afwijzing op

verwijderverzoek gehandhaafd

X. v. SVOZ

• Raad van State:

– Materiele schade niet voldoende door de man

onderbouwd (schade geleden door ontslag, niet

door privacyschending);

– Immateriële schade aansluiting bij artikel 6:106

BW. Onvoldoende onderbouwd dat aan die

normen is voldaan.

• Opvallend: WBP kent eigen regeling voor

schadevergoeding!

X. v. IGZ

• IGZ heeft onderzoek

gedaan naar arts

• Arts doet

inzageverzoek om

documenten uit

dossier te krijgen

X. v. IGZ

• IGZ verstrekt vervolgens overzicht documenten met persoonsgegevens met:– zakelijke omschrijving van ieder document;

– de daarin over X opgenomen persoonsgegevens, de ontvangers en de herkomst ervan;

– doel van de verwerking van de betreffende persoonsgegevens.

• IGZ beroept zich voorts voor enkele documenten op weigeringsgrond

X. v. IGZ

• Raad van State:

– Het zakelijk overzicht voldoet aan de eisen van

de wet

– Geweigerde documenten voldoen aan

weigeringsgrond, nu deze documenten

gespreksverslagen betroffen en voorkomen

moet worden dat deze tot deelnemers gesprek

zijn te herleiden.

X. v. Gemeente Zevenaar

• Voormalig ambtenaar wil inzage in dossier

• Rechtbank wijst beroep ten aanzien van digitale gegevens af, omdat deze geen “bestand” in de zin van de WBP vormen

Gegevens in kwestie zijn

individuele bestanden,

waaronder (concept)

brieven en

gespreksverslagen

X. v. Gemeente Zevenaar

• Raad van State gaat om:– Bestandcriterium niet

relevant bij digitaal verwerkte gegevens;

– Misverstand zou zijn veroorzaakt door onduidelijke tekst memorie van toelichting

– Gemeente wordt opgedragen nieuw besluit te nemen

Lagere rechtspraak

Lagere rechtspraak


13 november 2013 ECLI:NL:RBAMS:2013:7480 Gedragscode

Verwerking

Persoonsgegevens

Zorgverzekeraars

23 juli 2014 ECLI:NL:RBMNE:2014:3097 Verbod regionaal EPD

19 augustus 2014 ECLI:NL:GHSHE:2014:2803 Afgifte

parkeergegevens

Gedragscode

• Zorgverzekeraars hebben Gedragscode

opgesteld

• Goedkeuring gevraagd aan CBP op 29

december 2010

• CBP heeft goedkeuring gegeven op 13

december 2011

Gedragscode

• Stichting Koepel van DBC-vrije Praktijken van Psychotherapeuten en Psychiaters dient zienswijze in op 20 augustus 2011

• CBP past voorgenomen besluit (enigszins) aan en keurt gedragscode goed op 13 december 2011

• Stichting stelt beroep in

Gedragscode

• Rechtbank: goedkeuring vernietigd

– verplicht uitwisselen diagnoses psychische informatie niet noodzakelijk;

– geen waarborgen doelbinding in de regeling;

– gegevens ook toegankelijk voor medewerkers zonder medisch beroepsgeheim

Gedragscode

• Rechtbank draagt CBP op nieuw besluit te nemen

• CBP besluit daarop de Gedragscode alsnog niet goed te keuren

• Conclusie: verzekeraars hebben niet langer gedragscode om op terug te vallen, weer toetsen aan wet

Verbod regionaal EPD

• Landelijk EPD heeft na stranden in Eerste

Kamer doorstart gemaakt als regionaal EPD

• Vereniging Praktijkhoudende Huisartsen

vordert verbod op dit EPD wegens

schending privacy


• Rechtbank:

– streven naar landelijke dekking is niet in strijd met privacyrecht;

– aan de patiënt gevraagde toestemming is geldig: heldere en specifieke uitleg en van dwang blijkt niets;

– VZVZ heeft toegezegd gegevens alleen te gebruiken voor zover toestemming bestaat, dus iedere vrees dat gebruik opgerekt zal worden is ongegrond;


• Rechtbank:

– gekozen “pull” techniek is proportioneel, want

sluit aan bij bestaande standaarden is nu juist

bedoeld voor situaties dat eigen huisarts niet

beschikbaar is;

– beroepsgeheim gaat niet zo ver dat alleen in

casu relevante gegevens mogen worden

uitgewisseld;


• Rechtbank:

– NEN 7512 is relevant bij toetsing beveiliging, systeem blijkt daar materieel aan te voldoen;

– CBP heeft bovendien goedkeuring gebruik UZI-pas gegeven en CBP is ter zake deskundig;

– Logging en toetsing achteraf kan voldoende zijn, gelet op NEN7513 en Besluit gegevensuitwisseling


• Rechtbank:

– dat regionale schotten in de toekomst eenvoudig verwijderd kunnen worden maakt systeem nog niet onrechtmatig;

– toepasselijkheid USA Patriot Act vanwege Amerikaanse moeder niet relevant, omdat bij Europese leveranciers afluisteren ook mogelijk was geweest en leverancier als beste naar boven is gekomen


• Rechtbank:

– Alle vorderingen afgewezen

Afgifte parkeergegevens

• Belastingdienst vorderde bij SMS Parking

alle parkeergegevens klanten op

• SMS Parking weigerde

• Fiscus startte procedure (in kort geding)


• Rechtbank stelde SMS Parking in het gelijk:

– Volgen burgers is inmenging in priveleven, mag alleen onder strikte voorwaarden

– Vordering fiscus was zo ruim geformuleerd dat van die voorwaarden weinig overbleef;

– Onvoldoende sprake van evenredigheid en proportionaliteit;


• Gerechtshof:

– Staat heeft (algemeen) belang controle fiscale gegevens;

– Dergelijke controle zijn naar hun aard nu eenmaal grootschalig;

– Er zijn waarborgen getroffen bij fiscus;

– Van Staat kan niet verlangd worden dat het naar een duurder alternatief grijpt, te meer ook omdat dit aan privacyschending niets af doet;


• Gerechtshof:

– Dat SMS Parking klanten niet ex. art. 33 WBP

heeft geïnformeerd over bevoegdheid fiscus,

maakt de fiscus nog niet onbevoegd;

– SMS Parking komt niet zelf een beroep toe op

artikel 34 WBP, hooguit de belastingplichtige;


• Gerechtshof:

– Voorafgaand onderzoek niet van toepassing op

gegevens verkregen van derde;

– Dat gegevens mogelijk niet juist zijn niet

relevant, SMS Parking immers niet gehouden

om voor juistheid in te staan


• Gerechtshof:

– SMS Parking wordt veroordeeld de

oorspronkelijk gevraagd gegevens alsnog te

geven

– Geen dwangsom vanwege bereidheid mee te

werken aan veroordeling

– Veroordeling SMS Parking in proceskosten

Toezichthouders

Autoriteit Consument &

Markt

Autoriteit Consument & Markt

Datum Zaaknaam

26 maart 2014 Boete Essent bel-me-niet

28 maart 2014 Veelgestelde vragen over de cookiebepaling

15 juli 2014 Dwangsom NPO cookies

Boete Essent bel-me-niet

• Essent verzamelde gegevens via diverse enquêtes/spelletjes/etc. en uit administratie oud-klanten

• Consumenten werden daarop gebeld door Essent

• Consumenten beklaagden zich bij ACM


• Toestemming bellen in Bel-Me-Niet-Register

opgenomen consumenten moet expliciet

zijn:

– Toestemming via algemene voorwaarden of via

algemene vraag te vaag

– Afdwingen toestemming via vooraf aangekruist

vakje ook niet juist


• Door gelijktijdig verschillende callcenters te laten bellen maakte Essent recht van verzet illusoir – Recht van verzet gaat namelijk onmiddellijk in

• Onvoldoende bewijs dat deze personen na inroepen verzet nogmaals zijn gebeld, dus geen overtreding

• Inschakelen callcenters doet niets af aan eigen verantwoordelijkheid Essent


• Boete van 47.500 euro

voor:

– Bellen van

consumenten

opgenomen in BMNR

(bel-me-niet-register)

– Niet ontdubbelen van

belbestanden met

gegevens BMNR

Nieuwe cookie-FAQ

• ACM heeft op 31 maart nieuwe versie FAQ

over cookies geplaatst

– Meer benadrukt dat cookiewet ook over andere

technieken dan cookies gaat

– Uitgelegd dat gerichtheid op NL publiek

bepalend is, niet locatie website

– Sociale media paragraaf toegevoegd

– Bewijs van toestemming is nu vormvrij;

Dwangsom NPO cookies

• Nederlandse publieke omroep (NPO) beheert vele tientallen websites

• Na cookiewet koos NPO in eerste instantie voor “cookiemuur”

– Gestaakt na maatschappelijk verzet

• De daarna door NPO gekozen oplossing al enige tijd onderzoek ACM en CBP


• ACM over informatieplicht:

– Op direct zichtbare plek;

– Geschreven in bij doelgroep aansluitend

taalgebruik;

– Niet middels globale verwijzingen naar

algemene voorwaarden, privacy en/of

permission statements


• ACM over toestemming:

– Vrije, specifieke en op informatie berustende

wilsuiting;

– Vormvrij;

– Uit doorklikken of stilzetten kan niet altijd

toestemming worden afgeleid;


• Constateringen ACM t.a.v. NPO: (1/2)

– Inconsistente informatievoorziening;

– Onvolledige informatievoorziening;

– Toestemming wordt ten onrechte uit doorsurfen

afgeleid;

– Cookies die al voor afnemen dienst bijhouden

of de dienst is gebruikt zijn niet functioneel;


• Constateringen ACM t.a.v. NPO: (2/2)– Er is niet contractueel geborgd dat third party

statische cookies niet worden gebruikt voor profilering

– Er worden cookies voor sociale media geplaatst, terwijl deze niet functioneel zijn

– Er worden zonder toestemming javascriptsgeplaatst voor advertenties die niet functioneel zijn

– Er worden zonder toestemming web beaconsgeplaatst die niet functioneel zijn


• ACM legt NPO dan ook verplichting op

binnen een maand aan wet te voldoen, op

straffe van dwangsom van €25.000,-- per

week, met maximum van €125.000,--

College Bescherming

Persoonsgegevens

College Bescherming

PersoonsgegevensDatum Zaaknaam

Maart 2014 Rapport YD Advertising behavioral targeting

12 juni 2014 Rapport NPO Cookies

12 november 2013 Rapport verwerking persoonsgegevens

Reformatorisch Dagblad

13 februari 2014 Persbericht kopietje paspoort

Diverse data Persberichten Google-voorwaarden

YD Advertising

• YD Advertising bemiddelt tussen

adverteerders en websites bij het plaatsen

van advertenties

• CBP doet onderzoek naar volgen

internetters (cookies, pixels en andere technieken)

YD Advertising

• CBP:

– Voor tracken internetters is altijd toestemming

vereist;

• Toestemming werd echter niet gevraagd

• Niet relevant dat identiteit internetter vaak helemaal

niet bekend is, individualiseerbaarheid is al

voldoende.

YD Advertising

• CBP:

– Bovendien transparantie vereist, hoge eisen

aan in dat kader te hanteren privacystatement

• Gebruikt statement te beperkt (niet alle doelen) en

bovendien te vaag (niet expliciet met wie informatie

wordt gedeeld)

YD Advertising

• CBP nodigt YD uit voor hoorzitting

• CBP beslist na de hoorzitting over eventuele

verdere maatregelen

NPO Cookies

• CBP doet onderzoek bij NPO naar gebruik

cookies op verschillende websites

• Al veelvuldig over gecorrespondeerd tussen

partijen

NPO Cookies

• Uitgangspunten CBP:

– Individualiseerbare gegevens zijn al persoonsgegevens, directe herleidbaarheid niet relevant;

– Verwijderen laatste octet IP-adres is geen anonimisering;

– Cookies pas plaatsen na toestemming gebruiker;

– Gegevens over surfgedrag zijn gevoelige gegevens

NPO Cookies


– Cookies voor (3rd party) statistiek en sociale

media zijn niet functioneel

• Dus toestemming vereist

– Omdat voor cookie toestemming vereist is, is

dat ook vereist voor uit cookies voortvloeiende

analyses

NPO Cookies


– Third party statistiekdiensten als Google

Analytics en Comscore hebben potentieel grote

impact op privacy betrokkene

– Bewerkersovereenkomst vereist met

afbakening gebruik gegevens

NPO Cookies

• NPO dus op diverse punten in overtreding

• CBP kondigt aan NPO in de gaten te

houden en eventueel handhavend op te

treden


• Uitgever Reformatorisch Dagblad bood

adresgegevens abonnees te koop aan

• CBP stelt onderzoek in naar handelswijze


• CBP:

– Adresgegevens abonnees RD zijn bijzondere

persoonsgegevens

– Uit gegevens immers af te leiden tot welke

religieuze gezindte persoon behoort

– Hoofdregel: verwerking verboden, behoudens

wettelijke uitzondering of toestemming


• CBP:

– Geen wettelijke uitzondering voor gebruik

religieuze gegevens voor marketingdoeleinden

– Ook geen toestemming van abonnees

verkregen

– Handel in adresgegevens dus onrechtmatig


• Verweer uitgever dat aanmerken

adresgegeven tot bijzonder

persoonsgegeven uitvoeren abonnement

onmogelijk maakt wordt niet behandeld.

• Verweer lijkt echter, alles afwegend, wat ver

gezocht


• Oordeel ook relevant voor bijvoorbeeld:

– vakbonden;

– patiëntenverenigingen;

– politieke partijen;

– belangengroepen rondom thema’s als religie,

seksualiteit, ziekte, strafrecht;

– bedrijven die handelen in erotische producten;

– etc.

Kopietje paspoort

• CBP publiceert richtlijnen voor “kopietje paspoort”

• Voorvraag: kopie paspoort überhaupt noodzakelijk?

• Paspoort bevat BSN (verwerking verboden!) en andere niet relevante gegevens– Irrelevante gegevens afschermen bij maken kopie

Kopietje paspoort

• Waarborgen dat kopie niet te lang wordt

bewaard, goed wordt beveiligd en niet wordt

gebruikt voor andere doeleinden dan

verzameldoel

Google-voorwaarden

Datum Gebeurtenis

24-01-2012 Aankondiging geïntegreerd privacybeleid per 01-03-2012

27-02-2012 Voorlopige conclusie WP29: nieuwe beleid voldoet niet,

aankondiging vervolgonderzoek

16-10-2012 Definitieve conclusie WP29: nieuwe beleid voldoet niet.

Aanbevelingen aan Google met uitnodiging gesprek.

Google-voorwaarden

Datum Gebeurtenis

27-02-2013 WP29 constateert geen verbetering. Aankondiging

20-06-2013 Persbericht CNIL: sommatie Google om binnen drie maanden

voldoen. Parallel hieraan zijn ook toezichthouders in IT, ES, DE

NL bezig met onderzoek.

28-11-2013 CBP concludeert: Google voldoet niet aan wet. Uitnodiging

hoorzitting.

Google-voorwaarden

• Kern van de kritiek:

– Google verzamelt te veel;

– Google combineert te veel;

– Google is onvoldoende transparant;

– Google vraagt ten onrechte geen toestemming

aan de gebruiker;

– Google biedt geen opt-out;

Artikel 29 werkgroep

WP29: Meest interessante opinies

2013/2014

• Opinie over toestemming bij cookies

(WP208);

• Opinie over doelbinding (WP203);

• Opinie over gerechtvaardigd belang

(WP217);

• Opinie over kennisgeving bij inbreuken in

verband met persoonsgegevens (WP213).

WP29: opinies in 2013

• Opinie over toestemming bij cookies

(WP208)

• Opinie over open overheidsdata en

hergebruik daarvan (WP207)

• Opinie over “slimme” grensbewaking

(WP206)

• Opinie over DPIA Template smart grids

(WP205/WP209)


• Toelichting op BCR voor bewerkers

(WP204)

• Opinie over doelbinding (WP203)

• Opinie over apps (WP202)

• Opinie over nieuwe wetgeving

(WP200/WP201)


• Opinie over de ontwikkelingen op het vlak van “Internet of things” (WP223);

• Verklaring WP29 over big data en privacy (WP221);

• Verklaring over ongeldig verklaren dataretentierichtlijn door HvJEU (WP220);

• Opinie over beschermingsniveau in Quebec(WP219);


• Verklaring over belang om risicogerichte benadering te hanteren bij privacywetgeving (WP218);

• Opinie over gerechtvaardigd belang (WP217);

• Opinie over anonimiseringstechnieken op het web (WP215);

• Opinie over contractsvoorwaarden doorgifte EU bewerker aan niet-EU bewerker (WP214);


• Opinie over kennisgeving bij inbreuken in verband met persoonsgegevens (WP213)

• Advies over referentiedocument met eisen die aan BCR worden gesteld (WP212)

• Opinie over noodzakelijkheid en evenredigheid in rechtshandhavingssector (WP211)

Wetgeving

Wetgeving

• EU:

– Parlement keurt privacyverordening goed in

voorjaar 2014.

– Op dit moment Commissie en Raad aan zet.

– Status onduidelijk

http://eur-lex.europa.eu/legal-content/NL/HIS/?uri=CELEX:52012PC0011

Wetgeving

• NL (1/2)

– Meldplicht datalekken nog steeds aanhangig

(dossier 33662)

• Laatste stand: 19 mei 2014 nader verslag in TK, TK

heeft nog veel vragen

– Diverse wetswijzigingen in het kader van

decentralisaties en controle uitkeringen

Wetgeving

• NL (2/2)

– Introductie boetebevoegdheid CBP

• Max. 810.000 euro op overtreding van (bijna) alle

materiele beginselen Wbp;

• Eerst na aanwijzing, tenzij opzet

• Beleidsregels door CBP vooraf voorgelegd aan

minister

Contactgegevens

Mark Jansen

(026) 353 83 67

[email protected]

Neeltje van der Veeken

(026) 353 83 77

[email protected]

www.dirkzwagerieit.nl

@ieitrecht

www.dirkzwagerieit.nl/privacycheck/

WEBLOG:

TWITTER:

PRIVACYCHECK:

mailto:[email protected]

mailto:[email protected]

http://www.dirkzwagerieit.nl/

http://www.dirkzwagerieit.nl/privacycheck/

http://www.dirkzwager.nl/mensen/veekenn

http://www.dirkzwager.nl/mensen/veekenn

http://www.youtube.com/watch?v=Og4J-_xqNfE

http://www.youtube.com/watch?v=Og4J-_xqNfE

Verantwoording

In deze presentatie wordt algemene en beknopte informatie verstrekt over een

aantal juridisch relevante ontwikkelingen. Niet beoogd is om hiermee

juridisch advies te geven voor concrete situaties.

Hoewel veel zorg is besteed aan het opstellen van deze presentatie, aanvaardt

Dirkzwager advocaten & notarissen N.V. geen aansprakelijkheid voor de

inhoud ervan.

© 2014 Dirkzwager advocaten & notarissen N.V.

Actuele kennis van wet- en regelgeving

Jurisprudentie

Dirkzwager zorgt dat

u het weet.Advocatuur Arnhem

Postbus 3045

6802 DA Arnhem

Kantoor Velperpoort

Velperweg 1

6824 BZ Arnhem

T +31 (0)26 353 83 00

F +31 (0)26 351 07 93

E [email protected]

I www.dirkzwager.nl

Notariaat Arnhem

Postbus 111

6800 AC Arnhem

Kantoor Velperpoort

Verlperweg 1

6824 BZ Arnhem

T +31 (0)26 365 55 55

F +31 (0)26 365 55 00

E [email protected]

I www.dirkzwager.nl

Advocatuur Nijmegen

Postbus 55

6500 AB Nijmegen

Kantoor Stella Maris

Van Schaeck Mathonsingel 4

6512 AN Nijmegen

T +31 (0)24 381 31 31

F +31 (0)24 322 20 74

E [email protected]

I www.dirkzwager.nl

Notariaat Nijmegen

Postbus 1104

6501 BC Nijmegen

Kantoor Stella Maris

Van Schaeck Mathonsingel 4

6512 AN Nijmegen

T +31 (0)24 381 27 27

F +31 (0)24 324 07 26

E [email protected]

I www.dirkzwager.nl

Seminar Actualiteiten privacyrecht 25 november 2014

Business

Transcript of Seminar Actualiteiten privacyrecht 25 november 2014