De belangrijkste ontwikkelingen in het privacyrecht sinds september 2013. Bijvoorbeeld de bekende uitspraak van het Hof van Justitie over het vergeetrecht en de uitspraak over het inzagerecht. Ook uitspraken van Nederlandse rechterlijke instanties komen aan de orde. Verder worden de verwachte toekomstige ontwikkelingen behandeld, zoals de stand van zaken met betrekking tot de nieuwe Europese Privacyverordening. Al deze ontwikkelingen zijn becommentarieerd en in onderling verband geplaatst. Met niet alleen aandacht voor de juridische aspecten van een bepaalde ontwikkeling, maar ook voor de (mogelijke) praktische consequenties daarvan.
Overzicht van de ontwikkelingen in het privacyrecht uit 2015. Aan bod komt onder meer de komende meldplicht datalekken en de boetebevoegdheid van het CBP. Ook het recente arrest over de Safe Harbor regeling wordt behandeld.
Politie moet gegevens over buitenlandse wegpiraten openbaar maken.Siebe Sietsma
Moet de politie, na het ministerie van Veiligheid en Justitie, ook op het verzoek van RTL Nieuws ingaan en publiceren hoeveel buitenlanders worden geflitst maar geen boete krijgen? Nee, vond de politie. Een onafhankelijke bezwaarcommissie onder leiding van mw. Overkleeft is het daar niet mee eens en komt nu met dit advies.
Wat is het verschil tussen de TNT-staking en de DDoS?-aanvallen op Paypal? Mag je je eigen bank hacken om te zien of ze wel veilig genoeg zijn voor je geld? En als je de ov-chipkaart gekraakt hebt, mag je dan als proof of concept ermee gaan reizen? De wet stelt grenzen aan ethisch hacken, maar is niet zwart-wit. Dezelfde handeling kan legaal of illegaal zijn afhankelijk van je intentie en de omstandigheden waaronder je deze begaat.
Overzicht van de ontwikkelingen in het privacyrecht uit 2015. Aan bod komt onder meer de komende meldplicht datalekken en de boetebevoegdheid van het CBP. Ook het recente arrest over de Safe Harbor regeling wordt behandeld.
Politie moet gegevens over buitenlandse wegpiraten openbaar maken.Siebe Sietsma
Moet de politie, na het ministerie van Veiligheid en Justitie, ook op het verzoek van RTL Nieuws ingaan en publiceren hoeveel buitenlanders worden geflitst maar geen boete krijgen? Nee, vond de politie. Een onafhankelijke bezwaarcommissie onder leiding van mw. Overkleeft is het daar niet mee eens en komt nu met dit advies.
Wat is het verschil tussen de TNT-staking en de DDoS?-aanvallen op Paypal? Mag je je eigen bank hacken om te zien of ze wel veilig genoeg zijn voor je geld? En als je de ov-chipkaart gekraakt hebt, mag je dan als proof of concept ermee gaan reizen? De wet stelt grenzen aan ethisch hacken, maar is niet zwart-wit. Dezelfde handeling kan legaal of illegaal zijn afhankelijk van je intentie en de omstandigheden waaronder je deze begaat.
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...verzekeringsbranchedag
Googelende verzekeraars en privacybescherming
Juridische valkuilen en nieuwe ontwikkelingen
Het is aan de orde van de dag: verzekeraars die internetonderzoek doen naar verzekerden. Het gebeurt in het kader van een gericht fraudeonderzoek, maar ook in het kader van de afhandeling van een claim, of in het kader van het acceptatiebeleid. Of gewoon gedurende de looptijd van een verzekering. Via Facebook, Hyves en andere sociale netwerksites vertellen mensen details over hun privé-leven die voor een verzekeraar bijzonder interessant kunnen zijn. De vraag is echter of het geoorloofd is om gericht het internet af te zoeken naar privé-gegevens van verzekerden. Verzekeraars dienen zich bij het verzamelen van persoonsgegevens immers te houden aan de Wet bescherming persoonsgegevens (Wbp) en de Gedragscode Financiële Instellingen, die is goedgekeurd door het College Bescherming Persoonsgegevens (CBP). Welke regels gelden voor het verzamelen, registreren en analyseren van via het internet verkregen persoonsgegevens? Welke sancties kunnen aan een verzekeraar worden opgelegd wegens een overtreding van de Wbp en de Gedragscode? En wanneer is sprake van onrechtmatig verkregen bewijsmateriaal?
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarAlmereDataCapital
Slides van Prof. mr. Jaap Sijmons (hoogleraar Gezondheidsrecht UU). Huidige wet- en regelgeving belemmert externe data/cloudopslag in de zorg niet! Van wie zijn die zorgdata nu eigenlijk?
Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.
Hoe een correct intern bedrijfsonderzoek voeren en welke onderzoeksdaden kan de werkgever stellen? Van e-mail controle over camera bewaking tot afluisteren van telefoon. Wat is mogelijk en wat schendt de privacy? praktische do's en dont's
Als we de de media moeten geloven is AVG de afkorting voor voor Alles Verandert Gigantisch. Vanuit de optiek van informatiebeveiligers staat AVG voor Alleen Voor Gevorderden. De overheid, waaronder de Autoriteit Persoonsgegevens presenteert de AVG als Aandacht Voor Gegevensbescherming. Is sprake van oude wijn in nieuwe zakken? In deze workshop worden de essentials van de Algemene Verordening Gegevensbescherming besproken voor (bedrijfs)beveiliging, integriteit en fraude.
Big Data in de praktijk: lust of last?
Big Data en privacy: bescherming persoonsgegevens in kort bestek
Door:
mr. Marten van Hasselt advocaat sinds 2003 Specialisaties:
- Intellectueel eigendomsrecht
- Verbintenissenrecht
- Procesrecht
mr. Vincent Rutgers advocaat sinds 1999 Specialisaties:
- Ondernemingsrecht
- Privacy recht
- Media-, entertainment en ICT
Kennedy van der Laan, H. de Vries & E. Nederlof: Googelende verzekeraars en p...verzekeringsbranchedag
Googelende verzekeraars en privacybescherming
Juridische valkuilen en nieuwe ontwikkelingen
Het is aan de orde van de dag: verzekeraars die internetonderzoek doen naar verzekerden. Het gebeurt in het kader van een gericht fraudeonderzoek, maar ook in het kader van de afhandeling van een claim, of in het kader van het acceptatiebeleid. Of gewoon gedurende de looptijd van een verzekering. Via Facebook, Hyves en andere sociale netwerksites vertellen mensen details over hun privé-leven die voor een verzekeraar bijzonder interessant kunnen zijn. De vraag is echter of het geoorloofd is om gericht het internet af te zoeken naar privé-gegevens van verzekerden. Verzekeraars dienen zich bij het verzamelen van persoonsgegevens immers te houden aan de Wet bescherming persoonsgegevens (Wbp) en de Gedragscode Financiële Instellingen, die is goedgekeurd door het College Bescherming Persoonsgegevens (CBP). Welke regels gelden voor het verzamelen, registreren en analyseren van via het internet verkregen persoonsgegevens? Welke sancties kunnen aan een verzekeraar worden opgelegd wegens een overtreding van de Wbp en de Gedragscode? En wanneer is sprake van onrechtmatig verkregen bewijsmateriaal?
Prof. mr. Sijmons (Universiteit Utrecht) @ PIDS seminarAlmereDataCapital
Slides van Prof. mr. Jaap Sijmons (hoogleraar Gezondheidsrecht UU). Huidige wet- en regelgeving belemmert externe data/cloudopslag in de zorg niet! Van wie zijn die zorgdata nu eigenlijk?
Gepresenteerd tijdens Privacy, Identity & Security (PIDS) seminar van Almere DataCapital, zie www.almeredatacapital.nl.
Hoe een correct intern bedrijfsonderzoek voeren en welke onderzoeksdaden kan de werkgever stellen? Van e-mail controle over camera bewaking tot afluisteren van telefoon. Wat is mogelijk en wat schendt de privacy? praktische do's en dont's
Als we de de media moeten geloven is AVG de afkorting voor voor Alles Verandert Gigantisch. Vanuit de optiek van informatiebeveiligers staat AVG voor Alleen Voor Gevorderden. De overheid, waaronder de Autoriteit Persoonsgegevens presenteert de AVG als Aandacht Voor Gegevensbescherming. Is sprake van oude wijn in nieuwe zakken? In deze workshop worden de essentials van de Algemene Verordening Gegevensbescherming besproken voor (bedrijfs)beveiliging, integriteit en fraude.
Big Data in de praktijk: lust of last?
Big Data en privacy: bescherming persoonsgegevens in kort bestek
Door:
mr. Marten van Hasselt advocaat sinds 2003 Specialisaties:
- Intellectueel eigendomsrecht
- Verbintenissenrecht
- Procesrecht
mr. Vincent Rutgers advocaat sinds 1999 Specialisaties:
- Ondernemingsrecht
- Privacy recht
- Media-, entertainment en ICT
3. Inhoud seminar
• Ontwikkelingen sinds vorige privacyseminar
(sept. ‘13)
• Onderverdeeld in:
– Rechtspraak
– Toezichthouders
– Wetgeving
Privacy. pri·va·cy
/prAjv«si/
de (v.); g.mv.
(na 1950) Eng.
1 persoonlijke
vrijheid, het
ongehinderd alleen,
in eigen kring of
met een partner
ergens kunnen
vertoeven;
gelegenheid om zich
af te zonderen, om
storende invloeden
van de buitenwereld
te ontgaan
«wat is privacy?
Dat is een toestand
waarin een mens er
zeker van is dat
zonder zijn
toestemming zo
weinig mogelijk
andere mensen zich
op zijn terrein
zullen begeven»
7. Hof van Justitie
Datum Zaaknummer Zaaknaam
7 november 2013 C-473/12 Privédetectives-arrest
12 december 2013 C-468/12 GBA-uittreksel-arrest
8 april 2014 C-293/12 en C-
594/12
Dataretentierichtlijn-arrest
13 mei 2014 C-131/12 Google-arrest
17 juli 2014 C-141/12 en C-
372/12
Inzagerecht-arrest
9. Privédetectives-arrest
• Hof: het is aan lidstaten zelf om te bepalen
of zij uitzonderingen opnemen in
privacywetgeving, mits
– de uitzondering ziet op doeleinden genoemd in
artikel 13; (=legaliteit)
– de uitzondering noodzakelijk is om dat doel te
bereiken; (=subsidiariteit)
– de uitzondering beperkt blijft tot het strikt
noodzakelijke; (=proportionaliteit)
10. Privédetectives-arrest
• Hof: een wettelijke uitzondering voor
privédetectives voldoet in beginsel aan die
eisen, mits de werkzaamheden van de
privédetective verband houden met “het
voorkomen, het onderzoeken, opsporen en
vervolgen van strafbare feiten of
schendingen van de beroepscodes voor
gereglementeerde beroepen”. (=legaliteit)
11. Privédetectives-arrest
• Relevantie voor de praktijk:
– Uitgangspunt transparantie staat voorop;
– Hof interpreteert uitzonderingen zeer eng;
– Harmonisatie privacyrecht: lidstaten hebben
alleen nog beleidsvrijheid voor zover richtlijn
die toelaat
12. GBA-uittreksel-arrest
• Nederlandse kwestie:
– Vrouw ontvangt verkeersboete;
– Vraagt aan gemeente GBA-gegevens in
bepaalde periode te bevestigen;
– Gemeente stuurt uittreksel GBA en brengt
leges in rekening;
– Vrouw weigert leges te betalen, omdat ze nooit
om uittreksel heeft gevraagd maar
inzageverzoek heeft gedaan.
13. GBA-uittreksel-arrest
• Vuistregels Hof:
1. Inzagerecht is niet kosteloos
2. Kosten mogen echter niet zo hoog zijn, dat ze
een obstakel voor inzage vormen
3. Overheden mogen maximaal kostprijs in
rekening brengen.
14. GBA-uittreksel-arrest
• Hof laat in het midden wanneer kosten te
hoog zijn
• In Nederland echter gemaximeerd: Besluit
kostenvergoeding rechten betrokkene Wbp
– Tot 100 pagina’s max. €5,-- of €0,23 p.p.
– Daarboven of bij complexe verwerkingen max.
€22,50,--
15. GBA-uittreksel-arrest
• Praktische tip voor overheden:
– Verifieer bij onduidelijke verzoeken of
betrokkene een inzageverzoek bedoelt te doen,
of dat betrokkene een uittreksel GBA wenst te
verkrijgen;
– Stel vast wat de kostprijs van een
inzageverzoek is
16. Dataretentierichtlijn-arrest
• Dataretentierichtlijn
verplicht providers om
verkeersgegevens voor
minimaal 6 maanden te
bewaren
• Ierse burgerrechten-beweging
en Oostenrijkse
deelstaat verzetten zich
tegen invoeren van de
wetgeving
17. Dataretentierichtlijn-arrest
• Hof:
– uit verkeersgegevens zijn
zeer persoonlijke
gegevens af te leiden;
– opslaan van gegevens
leidt wellicht tot ander
communicatiegedrag;
– persoonlijke levenssfeer
en vrijheid meningsuiting
dus mogelijk in geding.
18. Dataretentierichtlijn-arrest
• Niet iedere opslag
verkeersgegevens
onrechtmatig, mits
– legitiem doel;
– voldoet aan eisen
proportionaliteit;
– voldoet aan eisen
subsidiariteit.
• Regels over afstappen
moeten dan ook strikt
en precies zijn.
19. Dataretentierichtlijn-arrest
• Richtlijn voldoet niet aan de eisen:
– Geen filter: bijna alles van bijna iedereen bewaard;
– Geen verband tussen bewaarde gegevens en bepaalde
dreiging;
– Geen criteria om toegang te beperken;
– Geen procedures omtrent toegang en gebruik;
– Geen toets op rechtmatigheid gebruik;
– Geen onderscheid in bewaartermijnen;
– Geen objectief criterium voor bewaartermijnen.
20. Dataretentierichtlijn-arrest
• Nationale wetgeving
ook van tafel?
– Nee, hoewel
soortgelijke procedure
bij gebreke van wettelijk
ingrijpen wel voor de
hand ligt
21. Dataretentierichtlijn-arrest
• Belang uitspraak:
– Voorbeeld constitutionele toetsing, Hof
corrigeert de EU-wetgever;
– Hof erkent potentiele privacy-impact van
verkeersgegevens;
– Hof erkent dat techniek die mogelijk leidt tot
ander gedrag betrokkene inbreuk op
grondenrechten kan zijn (vgl. discussie tracking
cookies);
22. Google-arrest
• Spaanse krant publiceert in 1998 dat
vastgoed dhr. González vanwege
socialezekerheidsschulden per opbod
zal worden verkocht
• González ontdekt dat wie zijn naam
anno 2010 intypt in Google, nog
steeds bij deze artikelen komt
23. Google-arrest
• González verzoekt Spaanse toezichthouder
zowel krant als Google te gelasten om
gegevens te verwijderen
• Toezichthouder weigert verzoek ten aanzien
van krant, honoreert het verzoek ten
aanzien van Google
• Google gaat in beroep
24. Google-arrest
• Hof:
– Kopiëren van webpagina’s met
persoonsgegevens = verwerking
– Google is verantwoordelijke, ook al kopieert ze
zonder enige interventie
– Verkoopkantoor in Spanje onlosmakelijk
verbonden met Amerikaanse zoekmachine
– Europese privacyrecht dus “vol” van toepassing
op Google
25. Google-arrest
• Hof: betrokkene kan correctierecht inroepen
• Correctierecht heeft vrij ruime strekking:
– Is niet alleen bedoeld om onvolledige of
onjuiste gegevens te corrigeren, maar iedere
vorm van onrechtmatige verwerkingen
26. Google-arrest
• Hof: betrokkene kan ook recht van verzet
inroepen
• Zoekmachine heeft in beginsel
gerechtvaardigd belang, maar zal na verzet
heroverweging moeten maken
– Belangen betrokkene wegen daarbij (zeer)
zwaar
27. Google-arrest
• Recht om vergeten te worden?
• Nee, absoluut niet.
• Plicht om te reageren op
correctieverzoek en verzet, waarbij bij
zoekmachines belang betrokkene
zwaar zal wegen
28. Google-arrest
• In potentie veel verderstrekkende gevolgen:
– Verwerken bijzondere persoonsgegevens in
beginsel verboden
– Niet bovenmatig veel gegevens verwerken en niet
te lang bewaren gegevens, leidt wellicht tot
kleinere zoekindex Google
– Geen “bijvangst” verweer; alle moderne diensten
dus toetsen aan privacywetgeving.
29. Inzagerecht-arrest
• Asielzoeker wil inzage krijgen in de “minuut”
(juridische analyse) die ten grondslag ligt
aan asielbesluit.
• Rb. Middelburg constateert dat Raad van
State en Hoge Raad verschillend oordelen
over inzagerecht. Stelt daarop prejudiciële
vragen.
• Raad van State stelt enkele maanden later
vervolgens soortgelijke prejudiciële vragen.
30. Inzagerecht-arrest
• Hof van Justitie:
– gegevens over de aanvrager asiel zijn
persoonsgegevens;
– juridische analyse geen persoonsgegeven.
• Doel en strekking richtlijn lijkt hierbij bepalend:
doel privacyrichtlijn is bescherming persoonlijke
levenssfeer, niet openbaarheid van bestuur
31. Inzagerecht-arrest
• Hof van Justitie verwerpt hiermee wel
expliciet de veel ruimere opvatting van de
WP29 over het begrip persoonsgegevens
• WP29: ook “gegevens die status van
persoon (…) beïnvloeden” zijn
persoonsgegevens
32. Inzagerecht-arrest
• Hof: geen recht op afschrift documenten, overzicht
gegevens volstaat
• Maar…..
• Overzicht moet de betrokkene in staat stellen:
– te kunnen controleren of de persoonsgegevens juist
zijn;
– te kunnen controleren of de persoonsgegevens in
overeenstemming met de richtlijn worden verwerkt;
– zijn rechten uit te oefenen.
33. Inzagerecht-arrest
• Met andere woorden: bij inzageverzoek keuze
maken tussen
1. Volledig afschrift verstrekken documenten (evt.
deels zwart gemaakt), met opmerking dat
betrokkene geen correctierecht heeft op inhoud
documenten
2. Alleen overzicht verwerkte persoonsgegevens
verstrekken, met kanttekening dat betrokkene
dan mogelijk stelt dat niet aan wet wordt voldaan.
35. Hoge Raad
Datum Zaaknummer Zaaknaam
18 april 2014 ECLI:NL:HR:2014:942 Achmea Schadeverze-keringen
v. X
36. Achmea v. X
Datum Omschrijving
1 maart 2001 Man sluit arbeidsongeschiktheidsverzekering af bij Interpolis
8 april 2003 Man meldt zich arbeidsongeschikt. Interpolis start uitkeringen.
juli – sept 2006 Interpolis laat extern bureau onderzoek doen naar man,
waaronder middels observatie.
Sept 2006 Onderzoeksbureau concludeert dat man bewust onjuiste
informatie aan Interpolis heeft verstrekt
10 okt 2006 Interpolis zegt verzekering op per 25 september 2006
28 april 2008 Interpolis sommeert man tot terugbetaling uitkeringen en
vergoeding gemaakte kosten
april 2009 Interpolis beëindigt alle verzekeringen van de man
37. Achmea v. X
• Interpolis start procedure en vordert
terugbetaling uitkeringen en vergoeding
gemaakte kosten; Man eist daarentegen juist
voortzetting verzekering, rectificatie en
schadevergoeding
• Rechtbank stelt Interpolis in gelijk
• In hoger beroep (o.m.) discussie of het rapport
v/h onderzoeksbureau buiten beschouwing
moet blijven
38. Achmea v. X
• Hof:
– Verbond van Verzekeraars heeft Gedragscode
Persoonlijk Onderzoek opgesteld
– Gebaseerd op beginselen proportionaliteit en
subsidiariteit
– De gedragscode stelt dat voor persoonlijk
onderzoek sprake moet zijn van “redelijk
vermoeden van fraude”
– Daarvoor moet sprake zijn van grondige en/of
structurele misleiding door de verzekerde
39. Achmea v. X
• Hof:
– Inbreuk op persoonlijke levenssfeer is
onrechtmatig, behoudens rechtvaardiging
– Interpolis heeft niet onderbouwd dat aan
criteria uit gedragscode was voldaan om
onderzoek in te stellen
– Interpolis heeft ook geen andere
rechtvaardigingsgronden aangevoerd
– Conclusie: onrechtmatig rapport
40. Achmea v. X
“Het strookt – ook in een geval als het
onderhavige waarin de ernst van de inbreuk
op de persoonlijke levenssfeer gering is – niet
met het doel van zelfregulering een
verzekeraar die de Gedragscode schendt te
belonen door het onrechtmatig door haar
verkregen bewijs tot haar voordeel te laten
strekken.”
41. Achmea v. X
• Hoge Raad:
– Schenden van Gedragscode is in beginsel
onrechtmatig, gelet op inhoud en opzet code
– Hof heeft terecht aan de code getoetst
– Hoge Raad kan de code niet toetsen, want
geen recht in de zin van art. 79 RO
42. Achmea v. X
• Hoge Raad:
– Hof heeft terecht geconcludeerd dat niet te snel
tot zware middel van persoonlijk onderzoek
mag worden overgegaan
– Hof heeft terecht geconcludeerd dat in strijd
met gedragscode verkregen bewijs buiten
beschouwing mag worden gelaten, oordeel is
voldoende deugdelijk gemotiveerd
43. Achmea v. X
• Conclusie:
– Verzekering is nooit rechtmatig opgezegd
– Alle meldingen over fraude in registers e.d. zijn nooit
rechtmatig gedaan
• Slotopmerking:
– Casus lijkt sterk gekleurd door bestaan gedragscode.
– Uitkomst wellicht anders zonder dergelijke zelfregulering
– Onder nieuwe verordening lijkt zelfregulering echter wel
in belang toe te nemen
45. Raad van State
Datum Zaaknummer Zaaknaam
5 februari 2014 ECLI:NL:RVS:2014:3
08
X. v. SVOZ
30 april 2014 ECLI:NL:RVS:2014:1
509
X. v. IGZ (Minister VWS)
16 juli 2014 ECLI:NL:RVS:2014:2
594
X. v. Gem. Zevenaar
46. X. v. SVOZ
• Man was werkzaam als docent-assistent bij SVOZ, raakt
arbeidsongeschikt
• Re-integratie werd eerst verzorgd door Arbo Unie,
daarna door Tredin
• Gedurende re-integratie doet man herhaalde
inzageverzoeken. Deze worden ook gehonoreerd
• In nadien gevoerde ontslagprocedure worden namens
SVOZ stukken overgelegd, die destijds niet zijn verstrekt
in reactie op inzageverzoek
47. X. v. SVOZ
• Man doet daarop een nieuw inzageverzoek
en verzoekt tevens alle medische gegevens
te verwijderen
• SVOZ weigert en stelt dat
– man alle gegevens al heeft;
– SVOZ medische gegevens mag verwerken.
48. X. v. SVOZ
• Man gaat in beroep en hoger beroep
• SVOZ stelt dat man niet ontvankelijk is in
hoger beroep, omdat privacyschending
reeds geëindigd is.
• Raad van State verwerpt dit: man heeft
aannemelijk gemaakt immateriële (!) schade
te hebben geleden
49. X. v. SVOZ
• Raad van State:
– SVOZ had inzage in systeem Tredin;
– Blijkt nergens uit dat SVOZ bij Tredin navraag
heeft gedaan toen man inzageverzoek deed;
– Reactie op inzageverzoek dus onzorgvuldig
voorbereid.
50. X. v. SVOZ
• Raad van State:
– Directe leidinggevende hield eigen dossier over
betrokkene bij;
– Blijkt nergens uit dat bij deze leidinggevende
navraag is gedaan n.a.v. inzageverzoek man;
– De betreffende gegevens zijn ook niet verstrekt;
– Daarmee is niet voldaan aan de wettelijke eis een
“volledig overzicht” te verstrekken
51. X. v. SVOZ
• Raad van State:
– Werkgever mag slechts medische gegevens
verwerken binnen kaders rapport CBP 2008;
– Werkgever hield o.m. reden ziekmelding bij en
ontving van Tredin medische informatie bij die
verder ging dan “functionele beperkingen” en
verwachte hersteltijd;
– Rechtbank heeft dus ten onrechte afwijzing op
verwijderverzoek gehandhaafd
52. X. v. SVOZ
• Raad van State:
– Materiele schade niet voldoende door de man
onderbouwd (schade geleden door ontslag, niet
door privacyschending);
– Immateriële schade aansluiting bij artikel 6:106
BW. Onvoldoende onderbouwd dat aan die
normen is voldaan.
• Opvallend: WBP kent eigen regeling voor
schadevergoeding!
53. X. v. IGZ
• IGZ heeft onderzoek
gedaan naar arts
• Arts doet
inzageverzoek om
documenten uit
dossier te krijgen
54. X. v. IGZ
• IGZ verstrekt vervolgens overzicht documenten
met persoonsgegevens met:
– zakelijke omschrijving van ieder document;
– de daarin over X opgenomen persoonsgegevens,
de ontvangers en de herkomst ervan;
– doel van de verwerking van de betreffende
persoonsgegevens.
• IGZ beroept zich voorts voor enkele
documenten op weigeringsgrond
55. X. v. IGZ
• Raad van State:
– Het zakelijk overzicht voldoet aan de eisen van
de wet
– Geweigerde documenten voldoen aan
weigeringsgrond, nu deze documenten
gespreksverslagen betroffen en voorkomen
moet worden dat deze tot deelnemers gesprek
zijn te herleiden.
56. X. v. Gemeente Zevenaar
• Voormalig ambtenaar
wil inzage in dossier
• Rechtbank wijst beroep
ten aanzien van digitale
gegevens af, omdat
deze geen “bestand” in
de zin van de WBP
vormen
Gegevens in kwestie zijn
individuele bestanden,
waaronder (concept)
brieven en
gespreksverslagen
57. X. v. Gemeente Zevenaar
• Raad van State gaat om:
– Bestandcriterium niet
relevant bij digitaal
verwerkte gegevens;
– Misverstand zou zijn
veroorzaakt door
onduidelijke tekst memorie
van toelichting
– Gemeente wordt
opgedragen nieuw besluit te
nemen
59. Lagere rechtspraak
Datum Zaaknummer Zaaknaam
13 november 2013 ECLI:NL:RBAMS:2013:7480 Gedragscode
Verwerking
Persoonsgegevens
Zorgverzekeraars
23 juli 2014 ECLI:NL:RBMNE:2014:3097 Verbod regionaal EPD
19 augustus 2014 ECLI:NL:GHSHE:2014:2803 Afgifte
parkeergegevens
60. Gedragscode
• Zorgverzekeraars hebben Gedragscode
opgesteld
• Goedkeuring gevraagd aan CBP op 29
december 2010
• CBP heeft goedkeuring gegeven op 13
december 2011
61. Gedragscode
• Stichting Koepel van DBC-vrije Praktijken van
Psychotherapeuten en Psychiaters dient
zienswijze in op 20 augustus 2011
• CBP past voorgenomen besluit (enigszins) aan
en keurt gedragscode goed op 13 december
2011
• Stichting stelt beroep in
62. Gedragscode
• Rechtbank: goedkeuring vernietigd
– verplicht uitwisselen diagnoses psychische
informatie niet noodzakelijk;
– geen waarborgen doelbinding in de regeling;
– gegevens ook toegankelijk voor medewerkers
zonder medisch beroepsgeheim
63. Gedragscode
• Rechtbank draagt CBP op nieuw besluit te
nemen
• CBP besluit daarop de Gedragscode alsnog
niet goed te keuren
• Conclusie: verzekeraars hebben niet langer
gedragscode om op terug te vallen, weer
toetsen aan wet
64. Verbod regionaal EPD
• Landelijk EPD heeft na stranden in Eerste
Kamer doorstart gemaakt als regionaal EPD
• Vereniging Praktijkhoudende Huisartsen
vordert verbod op dit EPD wegens
schending privacy
65. Verbod regionaal EPD
• Rechtbank:
– streven naar landelijke dekking is niet in strijd
met privacyrecht;
– aan de patiënt gevraagde toestemming is
geldig: heldere en specifieke uitleg en van
dwang blijkt niets;
– VZVZ heeft toegezegd gegevens alleen te
gebruiken voor zover toestemming bestaat, dus
iedere vrees dat gebruik opgerekt zal worden is
ongegrond;
66. Verbod regionaal EPD
• Rechtbank:
– gekozen “pull” techniek is proportioneel, want
sluit aan bij bestaande standaarden is nu juist
bedoeld voor situaties dat eigen huisarts niet
beschikbaar is;
– beroepsgeheim gaat niet zo ver dat alleen in
casu relevante gegevens mogen worden
uitgewisseld;
67. Verbod regionaal EPD
• Rechtbank:
– NEN 7512 is relevant bij toetsing beveiliging,
systeem blijkt daar materieel aan te voldoen;
– CBP heeft bovendien goedkeuring gebruik UZI-pas
gegeven en CBP is ter zake deskundig;
– Logging en toetsing achteraf kan voldoende
zijn, gelet op NEN7513 en Besluit
gegevensuitwisseling
68. Verbod regionaal EPD
• Rechtbank:
– dat regionale schotten in de toekomst
eenvoudig verwijderd kunnen worden maakt
systeem nog niet onrechtmatig;
– toepasselijkheid USA Patriot Act vanwege
Amerikaanse moeder niet relevant, omdat bij
Europese leveranciers afluisteren ook mogelijk
was geweest en leverancier als beste naar
boven is gekomen
70. Afgifte parkeergegevens
• Belastingdienst vorderde bij SMS Parking
alle parkeergegevens klanten op
• SMS Parking weigerde
• Fiscus startte procedure (in kort geding)
71. Afgifte parkeergegevens
• Rechtbank stelde SMS Parking in het gelijk:
– Volgen burgers is inmenging in priveleven, mag
alleen onder strikte voorwaarden
– Vordering fiscus was zo ruim geformuleerd dat
van die voorwaarden weinig overbleef;
– Onvoldoende sprake van evenredigheid en
proportionaliteit;
72. Afgifte parkeergegevens
• Gerechtshof:
– Staat heeft (algemeen) belang controle fiscale
gegevens;
– Dergelijke controle zijn naar hun aard nu
eenmaal grootschalig;
– Er zijn waarborgen getroffen bij fiscus;
– Van Staat kan niet verlangd worden dat het
naar een duurder alternatief grijpt, te meer ook
omdat dit aan privacyschending niets af doet;
73. Afgifte parkeergegevens
• Gerechtshof:
– Dat SMS Parking klanten niet ex. art. 33 WBP
heeft geïnformeerd over bevoegdheid fiscus,
maakt de fiscus nog niet onbevoegd;
– SMS Parking komt niet zelf een beroep toe op
artikel 34 WBP, hooguit de belastingplichtige;
74. Afgifte parkeergegevens
• Gerechtshof:
– Voorafgaand onderzoek niet van toepassing op
gegevens verkregen van derde;
– Dat gegevens mogelijk niet juist zijn niet
relevant, SMS Parking immers niet gehouden
om voor juistheid in te staan
75. Afgifte parkeergegevens
• Gerechtshof:
– SMS Parking wordt veroordeeld de
oorspronkelijk gevraagd gegevens alsnog te
geven
– Geen dwangsom vanwege bereidheid mee te
werken aan veroordeling
– Veroordeling SMS Parking in proceskosten
78. Autoriteit Consument & Markt
Datum Zaaknaam
26 maart 2014 Boete Essent bel-me-niet
28 maart 2014 Veelgestelde vragen over de cookiebepaling
15 juli 2014 Dwangsom NPO cookies
79. Boete Essent bel-me-niet
• Essent verzamelde
gegevens via diverse
enquêtes/spelletjes/etc. en
uit administratie oud-klanten
• Consumenten werden
daarop gebeld door Essent
• Consumenten beklaagden
zich bij ACM
80. Boete Essent bel-me-niet
• Toestemming bellen in Bel-Me-Niet-Register
opgenomen consumenten moet expliciet
zijn:
– Toestemming via algemene voorwaarden of via
algemene vraag te vaag
– Afdwingen toestemming via vooraf aangekruist
vakje ook niet juist
81. Boete Essent bel-me-niet
• Door gelijktijdig verschillende callcenters te laten
bellen maakte Essent recht van verzet illusoir
– Recht van verzet gaat namelijk onmiddellijk in
• Onvoldoende bewijs dat deze personen na
inroepen verzet nogmaals zijn gebeld, dus geen
overtreding
• Inschakelen callcenters doet niets af aan eigen
verantwoordelijkheid Essent
82. Boete Essent bel-me-niet
• Boete van 47.500 euro
voor:
– Bellen van
consumenten
opgenomen in BMNR
(bel-me-niet-register)
– Niet ontdubbelen van
belbestanden met
gegevens BMNR
83. Nieuwe cookie-FAQ
• ACM heeft op 31 maart nieuwe versie FAQ
over cookies geplaatst
– Meer benadrukt dat cookiewet ook over andere
technieken dan cookies gaat
– Uitgelegd dat gerichtheid op NL publiek
bepalend is, niet locatie website
– Sociale media paragraaf toegevoegd
– Bewijs van toestemming is nu vormvrij;
84. Dwangsom NPO cookies
• Nederlandse publieke omroep (NPO) beheert
vele tientallen websites
• Na cookiewet koos NPO in eerste instantie voor
“cookiemuur”
– Gestaakt na maatschappelijk verzet
• De daarna door NPO gekozen oplossing al
enige tijd onderzoek ACM en CBP
85. Dwangsom NPO cookies
• ACM over informatieplicht:
– Op direct zichtbare plek;
– Geschreven in bij doelgroep aansluitend
taalgebruik;
– Niet middels globale verwijzingen naar
algemene voorwaarden, privacy en/of
permission statements
86. Dwangsom NPO cookies
• ACM over toestemming:
– Vrije, specifieke en op informatie berustende
wilsuiting;
– Vormvrij;
– Uit doorklikken of stilzetten kan niet altijd
toestemming worden afgeleid;
87. Dwangsom NPO cookies
• Constateringen ACM t.a.v. NPO: (1/2)
– Inconsistente informatievoorziening;
– Onvolledige informatievoorziening;
– Toestemming wordt ten onrechte uit doorsurfen
afgeleid;
– Cookies die al voor afnemen dienst bijhouden
of de dienst is gebruikt zijn niet functioneel;
88. Dwangsom NPO cookies
• Constateringen ACM t.a.v. NPO: (2/2)
– Er is niet contractueel geborgd dat third party
statische cookies niet worden gebruikt voor
profilering
– Er worden cookies voor sociale media geplaatst,
terwijl deze niet functioneel zijn
– Er worden zonder toestemming javascripts
geplaatst voor advertenties die niet functioneel zijn
– Er worden zonder toestemming web beacons
geplaatst die niet functioneel zijn
89. Dwangsom NPO cookies
• ACM legt NPO dan ook verplichting op
binnen een maand aan wet te voldoen, op
straffe van dwangsom van €25.000,-- per
week, met maximum van €125.000,--
91. College Bescherming
Persoonsgegevens
Datum Zaaknaam
Maart 2014 Rapport YD Advertising behavioral targeting
12 juni 2014 Rapport NPO Cookies
12 november 2013 Rapport verwerking persoonsgegevens
Reformatorisch Dagblad
13 februari 2014 Persbericht kopietje paspoort
Diverse data Persberichten Google-voorwaarden
92. YD Advertising
• YD Advertising bemiddelt tussen
adverteerders en websites bij het plaatsen
van advertenties
• CBP doet onderzoek naar volgen
internetters (cookies, pixels en andere technieken)
93. YD Advertising
• CBP:
– Voor tracken internetters is altijd toestemming
vereist;
• Toestemming werd echter niet gevraagd
• Niet relevant dat identiteit internetter vaak helemaal
niet bekend is, individualiseerbaarheid is al
voldoende.
94. YD Advertising
• CBP:
– Bovendien transparantie vereist, hoge eisen
aan in dat kader te hanteren privacystatement
• Gebruikt statement te beperkt (niet alle doelen) en
bovendien te vaag (niet expliciet met wie informatie
wordt gedeeld)
95. YD Advertising
• CBP nodigt YD uit voor hoorzitting
• CBP beslist na de hoorzitting over eventuele
verdere maatregelen
96. NPO Cookies
• CBP doet onderzoek bij NPO naar gebruik
cookies op verschillende websites
• Al veelvuldig over gecorrespondeerd tussen
partijen
97. NPO Cookies
• Uitgangspunten CBP:
– Individualiseerbare gegevens zijn al
persoonsgegevens, directe herleidbaarheid niet
relevant;
– Verwijderen laatste octet IP-adres is geen
anonimisering;
– Cookies pas plaatsen na toestemming gebruiker;
– Gegevens over surfgedrag zijn gevoelige
gegevens
98. NPO Cookies
• Uitgangspunten CBP:
– Cookies voor (3rd party) statistiek en sociale
media zijn niet functioneel
• Dus toestemming vereist
– Omdat voor cookie toestemming vereist is, is
dat ook vereist voor uit cookies voortvloeiende
analyses
99. NPO Cookies
• Uitgangspunten CBP:
– Third party statistiekdiensten als Google
Analytics en Comscore hebben potentieel grote
impact op privacy betrokkene
– Bewerkersovereenkomst vereist met
afbakening gebruik gegevens
100. NPO Cookies
• NPO dus op diverse punten in overtreding
• CBP kondigt aan NPO in de gaten te
houden en eventueel handhavend op te
treden
101. Reformatorisch Dagblad
• Uitgever Reformatorisch Dagblad bood
adresgegevens abonnees te koop aan
• CBP stelt onderzoek in naar handelswijze
102. Reformatorisch Dagblad
• CBP:
– Adresgegevens abonnees RD zijn bijzondere
persoonsgegevens
– Uit gegevens immers af te leiden tot welke
religieuze gezindte persoon behoort
– Hoofdregel: verwerking verboden, behoudens
wettelijke uitzondering of toestemming
103. Reformatorisch Dagblad
• CBP:
– Geen wettelijke uitzondering voor gebruik
religieuze gegevens voor marketingdoeleinden
– Ook geen toestemming van abonnees
verkregen
– Handel in adresgegevens dus onrechtmatig
104. Reformatorisch Dagblad
• Verweer uitgever dat aanmerken
adresgegeven tot bijzonder
persoonsgegeven uitvoeren abonnement
onmogelijk maakt wordt niet behandeld.
• Verweer lijkt echter, alles afwegend, wat ver
gezocht
105. Reformatorisch Dagblad
• Oordeel ook relevant voor bijvoorbeeld:
– vakbonden;
– patiëntenverenigingen;
– politieke partijen;
– belangengroepen rondom thema’s als religie,
seksualiteit, ziekte, strafrecht;
– bedrijven die handelen in erotische producten;
– etc.
106. Kopietje paspoort
• CBP publiceert richtlijnen voor “kopietje
paspoort”
• Voorvraag: kopie paspoort überhaupt
noodzakelijk?
• Paspoort bevat BSN (verwerking verboden!) en
andere niet relevante gegevens
– Irrelevante gegevens afschermen bij maken kopie
107. Kopietje paspoort
• Waarborgen dat kopie niet te lang wordt
bewaard, goed wordt beveiligd en niet wordt
gebruikt voor andere doeleinden dan
verzameldoel
108. Google-voorwaarden
Datum Gebeurtenis
24-01-2012 Aankondiging geïntegreerd privacybeleid per 01-03-2012
27-02-2012 Voorlopige conclusie WP29: nieuwe beleid voldoet niet,
aankondiging vervolgonderzoek
16-10-2012 Definitieve conclusie WP29: nieuwe beleid voldoet niet.
Aanbevelingen aan Google met uitnodiging gesprek.
109. Google-voorwaarden
Datum Gebeurtenis
27-02-2013 WP29 constateert geen verbetering. Aankondiging
20-06-2013 Persbericht CNIL: sommatie Google om binnen drie maanden
voldoen. Parallel hieraan zijn ook toezichthouders in IT, ES, DE
NL bezig met onderzoek.
28-11-2013 CBP concludeert: Google voldoet niet aan wet. Uitnodiging
hoorzitting.
110. Google-voorwaarden
• Kern van de kritiek:
– Google verzamelt te veel;
– Google combineert te veel;
– Google is onvoldoende transparant;
– Google vraagt ten onrechte geen toestemming
aan de gebruiker;
– Google biedt geen opt-out;
112. WP29: Meest interessante opinies
2013/2014
• Opinie over toestemming bij cookies
(WP208);
• Opinie over doelbinding (WP203);
• Opinie over gerechtvaardigd belang
(WP217);
• Opinie over kennisgeving bij inbreuken in
verband met persoonsgegevens (WP213).
113. WP29: opinies in 2013
• Opinie over toestemming bij cookies
(WP208)
• Opinie over open overheidsdata en
hergebruik daarvan (WP207)
• Opinie over “slimme” grensbewaking
(WP206)
• Opinie over DPIA Template smart grids
(WP205/WP209)
114. WP29: opinies in 2013
• Toelichting op BCR voor bewerkers
(WP204)
• Opinie over doelbinding (WP203)
• Opinie over apps (WP202)
• Opinie over nieuwe wetgeving
(WP200/WP201)
115. WP29: opinies in 2014
• Opinie over de ontwikkelingen op het vlak
van “Internet of things” (WP223);
• Verklaring WP29 over big data en privacy
(WP221);
• Verklaring over ongeldig verklaren
dataretentierichtlijn door HvJEU (WP220);
• Opinie over beschermingsniveau in Quebec
(WP219);
116. WP29: opinies in 2014
• Verklaring over belang om risicogerichte
benadering te hanteren bij privacywetgeving
(WP218);
• Opinie over gerechtvaardigd belang (WP217);
• Opinie over anonimiseringstechnieken op het
web (WP215);
• Opinie over contractsvoorwaarden doorgifte EU
bewerker aan niet-EU bewerker (WP214);
117. WP29: opinies in 2014
• Opinie over kennisgeving bij inbreuken in
verband met persoonsgegevens (WP213)
• Advies over referentiedocument met eisen
die aan BCR worden gesteld (WP212)
• Opinie over noodzakelijkheid en
evenredigheid in rechtshandhavingssector
(WP211)
119. Wetgeving
• EU:
– Parlement keurt privacyverordening goed in
voorjaar 2014.
– Op dit moment Commissie en Raad aan zet.
– Status onduidelijk
120. Wetgeving
• NL (1/2)
– Meldplicht datalekken nog steeds aanhangig
(dossier 33662)
• Laatste stand: 19 mei 2014 nader verslag in TK, TK
heeft nog veel vragen
– Diverse wetswijzigingen in het kader van
decentralisaties en controle uitkeringen
121. Wetgeving
• NL (2/2)
– Introductie boetebevoegdheid CBP
• Max. 810.000 euro op overtreding van (bijna) alle
materiele beginselen Wbp;
• Eerst na aanwijzing, tenzij opzet
• Beleidsregels door CBP vooraf voorgelegd aan
minister
122. Contactgegevens
Mark Jansen
(026) 353 83 67
m.jansen@dirkzwager.nl
Neeltje van der Veeken
(026) 353 83 77
vanderveeken@dirkzwager.nl
www.dirkzwagerieit.nl
@ieitrecht
www.dirkzwagerieit.nl/privacycheck/
WEBLOG:
TWITTER:
PRIVACYCHECK:
125. Actuele kennis van wet- en regelgeving
Jurisprudentie
Dirkzwager zorgt dat
u het weet.
Advocatuur Arnhem
Postbus 3045
6802 DA Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 353 83 00
F +31 (0)26 351 07 93
E info@dirkzwager.nl
I www.dirkzwager.nl
Notariaat Arnhem
Postbus 111
6800 AC Arnhem
Kantoor Velperpoort
Verlperweg 1
6824 BZ Arnhem
T +31 (0)26 365 55 55
F +31 (0)26 365 55 00
E info@dirkzwager.nl
I www.dirkzwager.nl
Advocatuur Nijmegen
Postbus 55
6500 AB Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 31 31
F +31 (0)24 322 20 74
E info@dirkzwager.nl
I www.dirkzwager.nl
Notariaat Nijmegen
Postbus 1104
6501 BC Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 27 27
F +31 (0)24 324 07 26
E info@dirkzwager.nl
I www.dirkzwager.nl