De belangrijkste ontwikkelingen in het privacyrecht sinds september 2013. Bijvoorbeeld de bekende uitspraak van het Hof van Justitie over het vergeetrecht en de uitspraak over het inzagerecht. Ook uitspraken van Nederlandse rechterlijke instanties komen aan de orde. Verder worden de verwachte toekomstige ontwikkelingen behandeld, zoals de stand van zaken met betrekking tot de nieuwe Europese Privacyverordening. Al deze ontwikkelingen zijn becommentarieerd en in onderling verband geplaatst. Met niet alleen aandacht voor de juridische aspecten van een bepaalde ontwikkeling, maar ook voor de (mogelijke) praktische consequenties daarvan.

1. Advocaten en notarissen

2. Actualiteiten
privacyrecht
25 november 2014

3. Inhoud seminar
• Ontwikkelingen sinds vorige privacyseminar
(sept. ‘13)
• Onderverdeeld in:
– Rechtspraak
– Toezichthouders
– Wetgeving
Privacy. pri·va·cy
/prAjv«si/
de (v.); g.mv.
(na 1950) Eng.
1 persoonlijke
vrijheid, het
ongehinderd alleen,
in eigen kring of
met een partner
ergens kunnen
vertoeven;
gelegenheid om zich
af te zonderen, om
storende invloeden
van de buitenwereld
te ontgaan
«wat is privacy?
Dat is een toestand
waarin een mens er
zeker van is dat
zonder zijn
toestemming zo
weinig mogelijk
andere mensen zich
op zijn terrein
zullen begeven»

4. Rechtspraak

5. Rechtspraak
• Hof van Justitie
• Hoge Raad
• Raad van State

6. Hof van Justitie

7. Hof van Justitie
Datum Zaaknummer Zaaknaam
7 november 2013 C-473/12 Privédetectives-arrest
12 december 2013 C-468/12 GBA-uittreksel-arrest
8 april 2014 C-293/12 en C-
594/12
Dataretentierichtlijn-arrest
13 mei 2014 C-131/12 Google-arrest
17 juli 2014 C-141/12 en C-
372/12
Inzagerecht-arrest

8. Privédetectives-arrest
• Belgische kwestie. Moet ook privédetective
voldoen aan transparantie-eisen?

9. Privédetectives-arrest
• Hof: het is aan lidstaten zelf om te bepalen
of zij uitzonderingen opnemen in
privacywetgeving, mits
– de uitzondering ziet op doeleinden genoemd in
artikel 13; (=legaliteit)
– de uitzondering noodzakelijk is om dat doel te
bereiken; (=subsidiariteit)
– de uitzondering beperkt blijft tot het strikt
noodzakelijke; (=proportionaliteit)

10. Privédetectives-arrest
• Hof: een wettelijke uitzondering voor
privédetectives voldoet in beginsel aan die
eisen, mits de werkzaamheden van de
privédetective verband houden met “het
voorkomen, het onderzoeken, opsporen en
vervolgen van strafbare feiten of
schendingen van de beroepscodes voor
gereglementeerde beroepen”. (=legaliteit)

11. Privédetectives-arrest
• Relevantie voor de praktijk:
– Uitgangspunt transparantie staat voorop;
– Hof interpreteert uitzonderingen zeer eng;
– Harmonisatie privacyrecht: lidstaten hebben
alleen nog beleidsvrijheid voor zover richtlijn
die toelaat

12. GBA-uittreksel-arrest
• Nederlandse kwestie:
– Vrouw ontvangt verkeersboete;
– Vraagt aan gemeente GBA-gegevens in
bepaalde periode te bevestigen;
– Gemeente stuurt uittreksel GBA en brengt
leges in rekening;
– Vrouw weigert leges te betalen, omdat ze nooit
om uittreksel heeft gevraagd maar
inzageverzoek heeft gedaan.

13. GBA-uittreksel-arrest
• Vuistregels Hof:
1. Inzagerecht is niet kosteloos
2. Kosten mogen echter niet zo hoog zijn, dat ze
een obstakel voor inzage vormen
3. Overheden mogen maximaal kostprijs in
rekening brengen.

14. GBA-uittreksel-arrest
• Hof laat in het midden wanneer kosten te
hoog zijn
• In Nederland echter gemaximeerd: Besluit
kostenvergoeding rechten betrokkene Wbp
– Tot 100 pagina’s max. €5,-- of €0,23 p.p.
– Daarboven of bij complexe verwerkingen max.
€22,50,--

15. GBA-uittreksel-arrest
• Praktische tip voor overheden:
– Verifieer bij onduidelijke verzoeken of
betrokkene een inzageverzoek bedoelt te doen,
of dat betrokkene een uittreksel GBA wenst te
verkrijgen;
– Stel vast wat de kostprijs van een
inzageverzoek is

16. Dataretentierichtlijn-arrest
• Dataretentierichtlijn
verplicht providers om
verkeersgegevens voor
minimaal 6 maanden te
bewaren
• Ierse burgerrechten-beweging
en Oostenrijkse
deelstaat verzetten zich
tegen invoeren van de
wetgeving

17. Dataretentierichtlijn-arrest
• Hof:
– uit verkeersgegevens zijn
zeer persoonlijke
gegevens af te leiden;
– opslaan van gegevens
leidt wellicht tot ander
communicatiegedrag;
– persoonlijke levenssfeer
en vrijheid meningsuiting
dus mogelijk in geding.

18. Dataretentierichtlijn-arrest
• Niet iedere opslag
verkeersgegevens
onrechtmatig, mits
– legitiem doel;
– voldoet aan eisen
proportionaliteit;
– voldoet aan eisen
subsidiariteit.
• Regels over afstappen
moeten dan ook strikt
en precies zijn.

19. Dataretentierichtlijn-arrest
• Richtlijn voldoet niet aan de eisen:
– Geen filter: bijna alles van bijna iedereen bewaard;
– Geen verband tussen bewaarde gegevens en bepaalde
dreiging;
– Geen criteria om toegang te beperken;
– Geen procedures omtrent toegang en gebruik;
– Geen toets op rechtmatigheid gebruik;
– Geen onderscheid in bewaartermijnen;
– Geen objectief criterium voor bewaartermijnen.

20. Dataretentierichtlijn-arrest
• Nationale wetgeving
ook van tafel?
– Nee, hoewel
soortgelijke procedure
bij gebreke van wettelijk
ingrijpen wel voor de
hand ligt

21. Dataretentierichtlijn-arrest
• Belang uitspraak:
– Voorbeeld constitutionele toetsing, Hof
corrigeert de EU-wetgever;
– Hof erkent potentiele privacy-impact van
verkeersgegevens;
– Hof erkent dat techniek die mogelijk leidt tot
ander gedrag betrokkene inbreuk op
grondenrechten kan zijn (vgl. discussie tracking
cookies);

22. Google-arrest
• Spaanse krant publiceert in 1998 dat
vastgoed dhr. González vanwege
socialezekerheidsschulden per opbod
zal worden verkocht
• González ontdekt dat wie zijn naam
anno 2010 intypt in Google, nog
steeds bij deze artikelen komt

23. Google-arrest
• González verzoekt Spaanse toezichthouder
zowel krant als Google te gelasten om
gegevens te verwijderen
• Toezichthouder weigert verzoek ten aanzien
van krant, honoreert het verzoek ten
aanzien van Google
• Google gaat in beroep

24. Google-arrest
• Hof:
– Kopiëren van webpagina’s met
persoonsgegevens = verwerking
– Google is verantwoordelijke, ook al kopieert ze
zonder enige interventie
– Verkoopkantoor in Spanje onlosmakelijk
verbonden met Amerikaanse zoekmachine
– Europese privacyrecht dus “vol” van toepassing
op Google

25. Google-arrest
• Hof: betrokkene kan correctierecht inroepen
• Correctierecht heeft vrij ruime strekking:
– Is niet alleen bedoeld om onvolledige of
onjuiste gegevens te corrigeren, maar iedere
vorm van onrechtmatige verwerkingen

26. Google-arrest
• Hof: betrokkene kan ook recht van verzet
inroepen
• Zoekmachine heeft in beginsel
gerechtvaardigd belang, maar zal na verzet
heroverweging moeten maken
– Belangen betrokkene wegen daarbij (zeer)
zwaar

27. Google-arrest
• Recht om vergeten te worden?
• Nee, absoluut niet.
• Plicht om te reageren op
correctieverzoek en verzet, waarbij bij
zoekmachines belang betrokkene
zwaar zal wegen

28. Google-arrest
• In potentie veel verderstrekkende gevolgen:
– Verwerken bijzondere persoonsgegevens in
beginsel verboden
– Niet bovenmatig veel gegevens verwerken en niet
te lang bewaren gegevens, leidt wellicht tot
kleinere zoekindex Google
– Geen “bijvangst” verweer; alle moderne diensten
dus toetsen aan privacywetgeving.

29. Inzagerecht-arrest
• Asielzoeker wil inzage krijgen in de “minuut”
(juridische analyse) die ten grondslag ligt
aan asielbesluit.
• Rb. Middelburg constateert dat Raad van
State en Hoge Raad verschillend oordelen
over inzagerecht. Stelt daarop prejudiciële
vragen.
• Raad van State stelt enkele maanden later
vervolgens soortgelijke prejudiciële vragen.

30. Inzagerecht-arrest
• Hof van Justitie:
– gegevens over de aanvrager asiel zijn
persoonsgegevens;
– juridische analyse geen persoonsgegeven.
• Doel en strekking richtlijn lijkt hierbij bepalend:
doel privacyrichtlijn is bescherming persoonlijke
levenssfeer, niet openbaarheid van bestuur

31. Inzagerecht-arrest
• Hof van Justitie verwerpt hiermee wel
expliciet de veel ruimere opvatting van de
WP29 over het begrip persoonsgegevens
• WP29: ook “gegevens die status van
persoon (…) beïnvloeden” zijn
persoonsgegevens

32. Inzagerecht-arrest
• Hof: geen recht op afschrift documenten, overzicht
gegevens volstaat
• Maar…..
• Overzicht moet de betrokkene in staat stellen:
– te kunnen controleren of de persoonsgegevens juist
zijn;
– te kunnen controleren of de persoonsgegevens in
overeenstemming met de richtlijn worden verwerkt;
– zijn rechten uit te oefenen.

33. Inzagerecht-arrest
• Met andere woorden: bij inzageverzoek keuze
maken tussen
1. Volledig afschrift verstrekken documenten (evt.
deels zwart gemaakt), met opmerking dat
betrokkene geen correctierecht heeft op inhoud
documenten
2. Alleen overzicht verwerkte persoonsgegevens
verstrekken, met kanttekening dat betrokkene
dan mogelijk stelt dat niet aan wet wordt voldaan.

34. Hoge Raad

35. Hoge Raad
Datum Zaaknummer Zaaknaam
18 april 2014 ECLI:NL:HR:2014:942 Achmea Schadeverze-keringen
v. X

36. Achmea v. X
Datum Omschrijving
1 maart 2001 Man sluit arbeidsongeschiktheidsverzekering af bij Interpolis
8 april 2003 Man meldt zich arbeidsongeschikt. Interpolis start uitkeringen.
juli – sept 2006 Interpolis laat extern bureau onderzoek doen naar man,
waaronder middels observatie.
Sept 2006 Onderzoeksbureau concludeert dat man bewust onjuiste
informatie aan Interpolis heeft verstrekt
10 okt 2006 Interpolis zegt verzekering op per 25 september 2006
28 april 2008 Interpolis sommeert man tot terugbetaling uitkeringen en
vergoeding gemaakte kosten
april 2009 Interpolis beëindigt alle verzekeringen van de man

37. Achmea v. X
• Interpolis start procedure en vordert
terugbetaling uitkeringen en vergoeding
gemaakte kosten; Man eist daarentegen juist
voortzetting verzekering, rectificatie en
schadevergoeding
• Rechtbank stelt Interpolis in gelijk
• In hoger beroep (o.m.) discussie of het rapport
v/h onderzoeksbureau buiten beschouwing
moet blijven

38. Achmea v. X
• Hof:
– Verbond van Verzekeraars heeft Gedragscode
Persoonlijk Onderzoek opgesteld
– Gebaseerd op beginselen proportionaliteit en
subsidiariteit
– De gedragscode stelt dat voor persoonlijk
onderzoek sprake moet zijn van “redelijk
vermoeden van fraude”
– Daarvoor moet sprake zijn van grondige en/of
structurele misleiding door de verzekerde

39. Achmea v. X
• Hof:
– Inbreuk op persoonlijke levenssfeer is
onrechtmatig, behoudens rechtvaardiging
– Interpolis heeft niet onderbouwd dat aan
criteria uit gedragscode was voldaan om
onderzoek in te stellen
– Interpolis heeft ook geen andere
rechtvaardigingsgronden aangevoerd
– Conclusie: onrechtmatig rapport

40. Achmea v. X
“Het strookt – ook in een geval als het
onderhavige waarin de ernst van de inbreuk
op de persoonlijke levenssfeer gering is – niet
met het doel van zelfregulering een
verzekeraar die de Gedragscode schendt te
belonen door het onrechtmatig door haar
verkregen bewijs tot haar voordeel te laten
strekken.”

41. Achmea v. X
• Hoge Raad:
– Schenden van Gedragscode is in beginsel
onrechtmatig, gelet op inhoud en opzet code
– Hof heeft terecht aan de code getoetst
– Hoge Raad kan de code niet toetsen, want
geen recht in de zin van art. 79 RO

42. Achmea v. X
• Hoge Raad:
– Hof heeft terecht geconcludeerd dat niet te snel
tot zware middel van persoonlijk onderzoek
mag worden overgegaan
– Hof heeft terecht geconcludeerd dat in strijd
met gedragscode verkregen bewijs buiten
beschouwing mag worden gelaten, oordeel is
voldoende deugdelijk gemotiveerd

43. Achmea v. X
• Conclusie:
– Verzekering is nooit rechtmatig opgezegd
– Alle meldingen over fraude in registers e.d. zijn nooit
rechtmatig gedaan
• Slotopmerking:
– Casus lijkt sterk gekleurd door bestaan gedragscode.
– Uitkomst wellicht anders zonder dergelijke zelfregulering
– Onder nieuwe verordening lijkt zelfregulering echter wel
in belang toe te nemen

44. Raad van State

45. Raad van State
Datum Zaaknummer Zaaknaam
5 februari 2014 ECLI:NL:RVS:2014:3
08
X. v. SVOZ
30 april 2014 ECLI:NL:RVS:2014:1
509
X. v. IGZ (Minister VWS)
16 juli 2014 ECLI:NL:RVS:2014:2
594
X. v. Gem. Zevenaar

46. X. v. SVOZ
• Man was werkzaam als docent-assistent bij SVOZ, raakt
arbeidsongeschikt
• Re-integratie werd eerst verzorgd door Arbo Unie,
daarna door Tredin
• Gedurende re-integratie doet man herhaalde
inzageverzoeken. Deze worden ook gehonoreerd
• In nadien gevoerde ontslagprocedure worden namens
SVOZ stukken overgelegd, die destijds niet zijn verstrekt
in reactie op inzageverzoek

47. X. v. SVOZ
• Man doet daarop een nieuw inzageverzoek
en verzoekt tevens alle medische gegevens
te verwijderen
• SVOZ weigert en stelt dat
– man alle gegevens al heeft;
– SVOZ medische gegevens mag verwerken.

48. X. v. SVOZ
• Man gaat in beroep en hoger beroep
• SVOZ stelt dat man niet ontvankelijk is in
hoger beroep, omdat privacyschending
reeds geëindigd is.
• Raad van State verwerpt dit: man heeft
aannemelijk gemaakt immateriële (!) schade
te hebben geleden

49. X. v. SVOZ
• Raad van State:
– SVOZ had inzage in systeem Tredin;
– Blijkt nergens uit dat SVOZ bij Tredin navraag
heeft gedaan toen man inzageverzoek deed;
– Reactie op inzageverzoek dus onzorgvuldig
voorbereid.

50. X. v. SVOZ
• Raad van State:
– Directe leidinggevende hield eigen dossier over
betrokkene bij;
– Blijkt nergens uit dat bij deze leidinggevende
navraag is gedaan n.a.v. inzageverzoek man;
– De betreffende gegevens zijn ook niet verstrekt;
– Daarmee is niet voldaan aan de wettelijke eis een
“volledig overzicht” te verstrekken

51. X. v. SVOZ
• Raad van State:
– Werkgever mag slechts medische gegevens
verwerken binnen kaders rapport CBP 2008;
– Werkgever hield o.m. reden ziekmelding bij en
ontving van Tredin medische informatie bij die
verder ging dan “functionele beperkingen” en
verwachte hersteltijd;
– Rechtbank heeft dus ten onrechte afwijzing op
verwijderverzoek gehandhaafd

52. X. v. SVOZ
• Raad van State:
– Materiele schade niet voldoende door de man
onderbouwd (schade geleden door ontslag, niet
door privacyschending);
– Immateriële schade aansluiting bij artikel 6:106
BW. Onvoldoende onderbouwd dat aan die
normen is voldaan.
• Opvallend: WBP kent eigen regeling voor
schadevergoeding!

53. X. v. IGZ
• IGZ heeft onderzoek
gedaan naar arts
• Arts doet
inzageverzoek om
documenten uit
dossier te krijgen

54. X. v. IGZ
• IGZ verstrekt vervolgens overzicht documenten
met persoonsgegevens met:
– zakelijke omschrijving van ieder document;
– de daarin over X opgenomen persoonsgegevens,
de ontvangers en de herkomst ervan;
– doel van de verwerking van de betreffende
persoonsgegevens.
• IGZ beroept zich voorts voor enkele
documenten op weigeringsgrond

55. X. v. IGZ
• Raad van State:
– Het zakelijk overzicht voldoet aan de eisen van
de wet
– Geweigerde documenten voldoen aan
weigeringsgrond, nu deze documenten
gespreksverslagen betroffen en voorkomen
moet worden dat deze tot deelnemers gesprek
zijn te herleiden.

56. X. v. Gemeente Zevenaar
• Voormalig ambtenaar
wil inzage in dossier
• Rechtbank wijst beroep
ten aanzien van digitale
gegevens af, omdat
deze geen “bestand” in
de zin van de WBP
vormen
Gegevens in kwestie zijn
individuele bestanden,
waaronder (concept)
brieven en
gespreksverslagen

57. X. v. Gemeente Zevenaar
• Raad van State gaat om:
– Bestandcriterium niet
relevant bij digitaal
verwerkte gegevens;
– Misverstand zou zijn
veroorzaakt door
onduidelijke tekst memorie
van toelichting
– Gemeente wordt
opgedragen nieuw besluit te
nemen

58. Lagere rechtspraak

59. Lagere rechtspraak
Datum Zaaknummer Zaaknaam
13 november 2013 ECLI:NL:RBAMS:2013:7480 Gedragscode
Verwerking
Persoonsgegevens
Zorgverzekeraars
23 juli 2014 ECLI:NL:RBMNE:2014:3097 Verbod regionaal EPD
19 augustus 2014 ECLI:NL:GHSHE:2014:2803 Afgifte
parkeergegevens

60. Gedragscode
• Zorgverzekeraars hebben Gedragscode
opgesteld
• Goedkeuring gevraagd aan CBP op 29
december 2010
• CBP heeft goedkeuring gegeven op 13
december 2011

61. Gedragscode
• Stichting Koepel van DBC-vrije Praktijken van
Psychotherapeuten en Psychiaters dient
zienswijze in op 20 augustus 2011
• CBP past voorgenomen besluit (enigszins) aan
en keurt gedragscode goed op 13 december
2011
• Stichting stelt beroep in

62. Gedragscode
• Rechtbank: goedkeuring vernietigd
– verplicht uitwisselen diagnoses psychische
informatie niet noodzakelijk;
– geen waarborgen doelbinding in de regeling;
– gegevens ook toegankelijk voor medewerkers
zonder medisch beroepsgeheim

63. Gedragscode
• Rechtbank draagt CBP op nieuw besluit te
nemen
• CBP besluit daarop de Gedragscode alsnog
niet goed te keuren
• Conclusie: verzekeraars hebben niet langer
gedragscode om op terug te vallen, weer
toetsen aan wet

64. Verbod regionaal EPD
• Landelijk EPD heeft na stranden in Eerste
Kamer doorstart gemaakt als regionaal EPD
• Vereniging Praktijkhoudende Huisartsen
vordert verbod op dit EPD wegens
schending privacy

65. Verbod regionaal EPD
• Rechtbank:
– streven naar landelijke dekking is niet in strijd
met privacyrecht;
– aan de patiënt gevraagde toestemming is
geldig: heldere en specifieke uitleg en van
dwang blijkt niets;
– VZVZ heeft toegezegd gegevens alleen te
gebruiken voor zover toestemming bestaat, dus
iedere vrees dat gebruik opgerekt zal worden is
ongegrond;

66. Verbod regionaal EPD
• Rechtbank:
– gekozen “pull” techniek is proportioneel, want
sluit aan bij bestaande standaarden is nu juist
bedoeld voor situaties dat eigen huisarts niet
beschikbaar is;
– beroepsgeheim gaat niet zo ver dat alleen in
casu relevante gegevens mogen worden
uitgewisseld;

67. Verbod regionaal EPD
• Rechtbank:
– NEN 7512 is relevant bij toetsing beveiliging,
systeem blijkt daar materieel aan te voldoen;
– CBP heeft bovendien goedkeuring gebruik UZI-pas
gegeven en CBP is ter zake deskundig;
– Logging en toetsing achteraf kan voldoende
zijn, gelet op NEN7513 en Besluit
gegevensuitwisseling

68. Verbod regionaal EPD
• Rechtbank:
– dat regionale schotten in de toekomst
eenvoudig verwijderd kunnen worden maakt
systeem nog niet onrechtmatig;
– toepasselijkheid USA Patriot Act vanwege
Amerikaanse moeder niet relevant, omdat bij
Europese leveranciers afluisteren ook mogelijk
was geweest en leverancier als beste naar
boven is gekomen

69. Verbod regionaal EPD
• Rechtbank:
– Alle vorderingen afgewezen

70. Afgifte parkeergegevens
• Belastingdienst vorderde bij SMS Parking
alle parkeergegevens klanten op
• SMS Parking weigerde
• Fiscus startte procedure (in kort geding)

71. Afgifte parkeergegevens
• Rechtbank stelde SMS Parking in het gelijk:
– Volgen burgers is inmenging in priveleven, mag
alleen onder strikte voorwaarden
– Vordering fiscus was zo ruim geformuleerd dat
van die voorwaarden weinig overbleef;
– Onvoldoende sprake van evenredigheid en
proportionaliteit;

72. Afgifte parkeergegevens
• Gerechtshof:
– Staat heeft (algemeen) belang controle fiscale
gegevens;
– Dergelijke controle zijn naar hun aard nu
eenmaal grootschalig;
– Er zijn waarborgen getroffen bij fiscus;
– Van Staat kan niet verlangd worden dat het
naar een duurder alternatief grijpt, te meer ook
omdat dit aan privacyschending niets af doet;

73. Afgifte parkeergegevens
• Gerechtshof:
– Dat SMS Parking klanten niet ex. art. 33 WBP
heeft geïnformeerd over bevoegdheid fiscus,
maakt de fiscus nog niet onbevoegd;
– SMS Parking komt niet zelf een beroep toe op
artikel 34 WBP, hooguit de belastingplichtige;

74. Afgifte parkeergegevens
• Gerechtshof:
– Voorafgaand onderzoek niet van toepassing op
gegevens verkregen van derde;
– Dat gegevens mogelijk niet juist zijn niet
relevant, SMS Parking immers niet gehouden
om voor juistheid in te staan

75. Afgifte parkeergegevens
• Gerechtshof:
– SMS Parking wordt veroordeeld de
oorspronkelijk gevraagd gegevens alsnog te
geven
– Geen dwangsom vanwege bereidheid mee te
werken aan veroordeling
– Veroordeling SMS Parking in proceskosten

76. Toezichthouders

77. Autoriteit Consument &
Markt

78. Autoriteit Consument & Markt
Datum Zaaknaam
26 maart 2014 Boete Essent bel-me-niet
28 maart 2014 Veelgestelde vragen over de cookiebepaling
15 juli 2014 Dwangsom NPO cookies

79. Boete Essent bel-me-niet
• Essent verzamelde
gegevens via diverse
enquêtes/spelletjes/etc. en
uit administratie oud-klanten
• Consumenten werden
daarop gebeld door Essent
• Consumenten beklaagden
zich bij ACM

80. Boete Essent bel-me-niet
• Toestemming bellen in Bel-Me-Niet-Register
opgenomen consumenten moet expliciet
zijn:
– Toestemming via algemene voorwaarden of via
algemene vraag te vaag
– Afdwingen toestemming via vooraf aangekruist
vakje ook niet juist

81. Boete Essent bel-me-niet
• Door gelijktijdig verschillende callcenters te laten
bellen maakte Essent recht van verzet illusoir
– Recht van verzet gaat namelijk onmiddellijk in
• Onvoldoende bewijs dat deze personen na
inroepen verzet nogmaals zijn gebeld, dus geen
overtreding
• Inschakelen callcenters doet niets af aan eigen
verantwoordelijkheid Essent

82. Boete Essent bel-me-niet
• Boete van 47.500 euro
voor:
– Bellen van
consumenten
opgenomen in BMNR
(bel-me-niet-register)
– Niet ontdubbelen van
belbestanden met
gegevens BMNR

83. Nieuwe cookie-FAQ
• ACM heeft op 31 maart nieuwe versie FAQ
over cookies geplaatst
– Meer benadrukt dat cookiewet ook over andere
technieken dan cookies gaat
– Uitgelegd dat gerichtheid op NL publiek
bepalend is, niet locatie website
– Sociale media paragraaf toegevoegd
– Bewijs van toestemming is nu vormvrij;

84. Dwangsom NPO cookies
• Nederlandse publieke omroep (NPO) beheert
vele tientallen websites
• Na cookiewet koos NPO in eerste instantie voor
“cookiemuur”
– Gestaakt na maatschappelijk verzet
• De daarna door NPO gekozen oplossing al
enige tijd onderzoek ACM en CBP

85. Dwangsom NPO cookies
• ACM over informatieplicht:
– Op direct zichtbare plek;
– Geschreven in bij doelgroep aansluitend
taalgebruik;
– Niet middels globale verwijzingen naar
algemene voorwaarden, privacy en/of
permission statements

86. Dwangsom NPO cookies
• ACM over toestemming:
– Vrije, specifieke en op informatie berustende
wilsuiting;
– Vormvrij;
– Uit doorklikken of stilzetten kan niet altijd
toestemming worden afgeleid;

87. Dwangsom NPO cookies
• Constateringen ACM t.a.v. NPO: (1/2)
– Inconsistente informatievoorziening;
– Onvolledige informatievoorziening;
– Toestemming wordt ten onrechte uit doorsurfen
afgeleid;
– Cookies die al voor afnemen dienst bijhouden
of de dienst is gebruikt zijn niet functioneel;

88. Dwangsom NPO cookies
• Constateringen ACM t.a.v. NPO: (2/2)
– Er is niet contractueel geborgd dat third party
statische cookies niet worden gebruikt voor
profilering
– Er worden cookies voor sociale media geplaatst,
terwijl deze niet functioneel zijn
– Er worden zonder toestemming javascripts
geplaatst voor advertenties die niet functioneel zijn
– Er worden zonder toestemming web beacons
geplaatst die niet functioneel zijn

89. Dwangsom NPO cookies
• ACM legt NPO dan ook verplichting op
binnen een maand aan wet te voldoen, op
straffe van dwangsom van €25.000,-- per
week, met maximum van €125.000,--

90. College Bescherming
Persoonsgegevens

91. College Bescherming
Persoonsgegevens
Datum Zaaknaam
Maart 2014 Rapport YD Advertising behavioral targeting
12 juni 2014 Rapport NPO Cookies
12 november 2013 Rapport verwerking persoonsgegevens
Reformatorisch Dagblad
13 februari 2014 Persbericht kopietje paspoort
Diverse data Persberichten Google-voorwaarden

92. YD Advertising
• YD Advertising bemiddelt tussen
adverteerders en websites bij het plaatsen
van advertenties
• CBP doet onderzoek naar volgen
internetters (cookies, pixels en andere technieken)

93. YD Advertising
• CBP:
– Voor tracken internetters is altijd toestemming
vereist;
• Toestemming werd echter niet gevraagd
• Niet relevant dat identiteit internetter vaak helemaal
niet bekend is, individualiseerbaarheid is al
voldoende.

94. YD Advertising
• CBP:
– Bovendien transparantie vereist, hoge eisen
aan in dat kader te hanteren privacystatement
• Gebruikt statement te beperkt (niet alle doelen) en
bovendien te vaag (niet expliciet met wie informatie
wordt gedeeld)

95. YD Advertising
• CBP nodigt YD uit voor hoorzitting
• CBP beslist na de hoorzitting over eventuele
verdere maatregelen

96. NPO Cookies
• CBP doet onderzoek bij NPO naar gebruik
cookies op verschillende websites
• Al veelvuldig over gecorrespondeerd tussen
partijen

97. NPO Cookies
• Uitgangspunten CBP:
– Individualiseerbare gegevens zijn al
persoonsgegevens, directe herleidbaarheid niet
relevant;
– Verwijderen laatste octet IP-adres is geen
anonimisering;
– Cookies pas plaatsen na toestemming gebruiker;
– Gegevens over surfgedrag zijn gevoelige
gegevens

98. NPO Cookies
• Uitgangspunten CBP:
– Cookies voor (3rd party) statistiek en sociale
media zijn niet functioneel
• Dus toestemming vereist
– Omdat voor cookie toestemming vereist is, is
dat ook vereist voor uit cookies voortvloeiende
analyses

99. NPO Cookies
• Uitgangspunten CBP:
– Third party statistiekdiensten als Google
Analytics en Comscore hebben potentieel grote
impact op privacy betrokkene
– Bewerkersovereenkomst vereist met
afbakening gebruik gegevens

100. NPO Cookies
• NPO dus op diverse punten in overtreding
• CBP kondigt aan NPO in de gaten te
houden en eventueel handhavend op te
treden

101. Reformatorisch Dagblad
• Uitgever Reformatorisch Dagblad bood
adresgegevens abonnees te koop aan
• CBP stelt onderzoek in naar handelswijze

102. Reformatorisch Dagblad
• CBP:
– Adresgegevens abonnees RD zijn bijzondere
persoonsgegevens
– Uit gegevens immers af te leiden tot welke
religieuze gezindte persoon behoort
– Hoofdregel: verwerking verboden, behoudens
wettelijke uitzondering of toestemming

103. Reformatorisch Dagblad
• CBP:
– Geen wettelijke uitzondering voor gebruik
religieuze gegevens voor marketingdoeleinden
– Ook geen toestemming van abonnees
verkregen
– Handel in adresgegevens dus onrechtmatig

104. Reformatorisch Dagblad
• Verweer uitgever dat aanmerken
adresgegeven tot bijzonder
persoonsgegeven uitvoeren abonnement
onmogelijk maakt wordt niet behandeld.
• Verweer lijkt echter, alles afwegend, wat ver
gezocht

105. Reformatorisch Dagblad
• Oordeel ook relevant voor bijvoorbeeld:
– vakbonden;
– patiëntenverenigingen;
– politieke partijen;
– belangengroepen rondom thema’s als religie,
seksualiteit, ziekte, strafrecht;
– bedrijven die handelen in erotische producten;
– etc.

106. Kopietje paspoort
• CBP publiceert richtlijnen voor “kopietje
paspoort”
• Voorvraag: kopie paspoort überhaupt
noodzakelijk?
• Paspoort bevat BSN (verwerking verboden!) en
andere niet relevante gegevens
– Irrelevante gegevens afschermen bij maken kopie

107. Kopietje paspoort
• Waarborgen dat kopie niet te lang wordt
bewaard, goed wordt beveiligd en niet wordt
gebruikt voor andere doeleinden dan
verzameldoel

108. Google-voorwaarden
Datum Gebeurtenis
24-01-2012 Aankondiging geïntegreerd privacybeleid per 01-03-2012
27-02-2012 Voorlopige conclusie WP29: nieuwe beleid voldoet niet,
aankondiging vervolgonderzoek
16-10-2012 Definitieve conclusie WP29: nieuwe beleid voldoet niet.
Aanbevelingen aan Google met uitnodiging gesprek.

109. Google-voorwaarden
Datum Gebeurtenis
27-02-2013 WP29 constateert geen verbetering. Aankondiging
20-06-2013 Persbericht CNIL: sommatie Google om binnen drie maanden
voldoen. Parallel hieraan zijn ook toezichthouders in IT, ES, DE
NL bezig met onderzoek.
28-11-2013 CBP concludeert: Google voldoet niet aan wet. Uitnodiging
hoorzitting.

110. Google-voorwaarden
• Kern van de kritiek:
– Google verzamelt te veel;
– Google combineert te veel;
– Google is onvoldoende transparant;
– Google vraagt ten onrechte geen toestemming
aan de gebruiker;
– Google biedt geen opt-out;

111. Artikel 29 werkgroep

112. WP29: Meest interessante opinies
2013/2014
• Opinie over toestemming bij cookies
(WP208);
• Opinie over doelbinding (WP203);
• Opinie over gerechtvaardigd belang
(WP217);
• Opinie over kennisgeving bij inbreuken in
verband met persoonsgegevens (WP213).

113. WP29: opinies in 2013
• Opinie over toestemming bij cookies
(WP208)
• Opinie over open overheidsdata en
hergebruik daarvan (WP207)
• Opinie over “slimme” grensbewaking
(WP206)
• Opinie over DPIA Template smart grids
(WP205/WP209)

114. WP29: opinies in 2013
• Toelichting op BCR voor bewerkers
(WP204)
• Opinie over doelbinding (WP203)
• Opinie over apps (WP202)
• Opinie over nieuwe wetgeving
(WP200/WP201)

115. WP29: opinies in 2014
• Opinie over de ontwikkelingen op het vlak
van “Internet of things” (WP223);
• Verklaring WP29 over big data en privacy
(WP221);
• Verklaring over ongeldig verklaren
dataretentierichtlijn door HvJEU (WP220);
• Opinie over beschermingsniveau in Quebec
(WP219);

116. WP29: opinies in 2014
• Verklaring over belang om risicogerichte
benadering te hanteren bij privacywetgeving
(WP218);
• Opinie over gerechtvaardigd belang (WP217);
• Opinie over anonimiseringstechnieken op het
web (WP215);
• Opinie over contractsvoorwaarden doorgifte EU
bewerker aan niet-EU bewerker (WP214);

117. WP29: opinies in 2014
• Opinie over kennisgeving bij inbreuken in
verband met persoonsgegevens (WP213)
• Advies over referentiedocument met eisen
die aan BCR worden gesteld (WP212)
• Opinie over noodzakelijkheid en
evenredigheid in rechtshandhavingssector
(WP211)

118. Wetgeving

119. Wetgeving
• EU:
– Parlement keurt privacyverordening goed in
voorjaar 2014.
– Op dit moment Commissie en Raad aan zet.
– Status onduidelijk

120. Wetgeving
• NL (1/2)
– Meldplicht datalekken nog steeds aanhangig
(dossier 33662)
• Laatste stand: 19 mei 2014 nader verslag in TK, TK
heeft nog veel vragen
– Diverse wetswijzigingen in het kader van
decentralisaties en controle uitkeringen

121. Wetgeving
• NL (2/2)
– Introductie boetebevoegdheid CBP
• Max. 810.000 euro op overtreding van (bijna) alle
materiele beginselen Wbp;
• Eerst na aanwijzing, tenzij opzet
• Beleidsregels door CBP vooraf voorgelegd aan
minister

122. Contactgegevens
Mark Jansen
(026) 353 83 67
m.jansen@dirkzwager.nl
Neeltje van der Veeken
(026) 353 83 77
vanderveeken@dirkzwager.nl
www.dirkzwagerieit.nl
@ieitrecht
www.dirkzwagerieit.nl/privacycheck/
WEBLOG:
TWITTER:
PRIVACYCHECK:

124. Verantwoording
In deze presentatie wordt algemene en beknopte informatie verstrekt over een
aantal juridisch relevante ontwikkelingen. Niet beoogd is om hiermee
juridisch advies te geven voor concrete situaties.
Hoewel veel zorg is besteed aan het opstellen van deze presentatie, aanvaardt
Dirkzwager advocaten & notarissen N.V. geen aansprakelijkheid voor de
inhoud ervan.
© 2014 Dirkzwager advocaten & notarissen N.V.

125. Actuele kennis van wet- en regelgeving
Jurisprudentie
Dirkzwager zorgt dat
u het weet.
Advocatuur Arnhem
Postbus 3045
6802 DA Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 353 83 00
F +31 (0)26 351 07 93
E info@dirkzwager.nl
I www.dirkzwager.nl
Notariaat Arnhem
Postbus 111
6800 AC Arnhem
Kantoor Velperpoort
Verlperweg 1
6824 BZ Arnhem
T +31 (0)26 365 55 55
F +31 (0)26 365 55 00
E info@dirkzwager.nl
I www.dirkzwager.nl
Advocatuur Nijmegen
Postbus 55
6500 AB Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 31 31
F +31 (0)24 322 20 74
E info@dirkzwager.nl
I www.dirkzwager.nl
Notariaat Nijmegen
Postbus 1104
6501 BC Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 27 27
F +31 (0)24 324 07 26
E info@dirkzwager.nl
I www.dirkzwager.nl