Redactionele bijdrage ingezonden door Mark Jansen, Dirkzwager. Op diverse websites, waaronder op Tweakers, wordt op dit moment geschreven over een nieuwe techniek om internetters te kunnen volgen: canvas fingerprinting. In dit artikel sta ik kort stil bij de mogelijke juridische complicaties.

Wat is canvas fingerprinting?
Canvas fingerprinting komt, als ik het goed begrijp, in de kern neer op het volgende. Het is in moderne browsers eenvoudig mogelijk om een afbeelding door de browser te laten genereren. De afbeelding staat dan niet opgeslagen op de server van de websitehouder, maar ontstaat pas bij het bekijken van de website. De aanbieder van de website kan hiermee ruimte en bandbreedte uitsparen, maar veel interessanter: dynamische afbeeldingen maken (zoals een afbeelding met de naam van de bezoeker in beeld, of denk ook aan overtype-codes die je wel eens bij formulieren ziet staan).

De locatie op het scherm waar die afbeelding wordt gegenereerd wordt het canvas genoemd. De vingerafdruk komt vervolgens als volgt in beeld: het blijkt dat verschillende browsers op basis van dezelfde instructies, toch een verschillende afbeelding produceren. De verschillen zijn soms slechts heel miniem. Dit verschijnsel kan worden veroorzaakt door de versie van de browser, maar bijvoorbeeld ook de grafische kaart die wordt gebruikt.

De uiteindelijk gemaakte afbeelding, zegt dus iets over het apparaat waarop/waarmee deze is gemaakt. Door de gegenereerde afbeelding tot in detail te onderzoeken, ontstaat dan ook een soort vingerafdruk van het betreffende apparaat. Het lijkt in zoverre dus op een variant van het al bekende device fingerprinting.

Zijn deze handelingen toegestaan of niet?
De cookiewet (eigenlijk: artikel 11.7a Telecommunicatiewet) verbiedt – kort samengevat – om zonder toestemming van de gebruiker “toegang (…) te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens (…) op te slaan in de randapparatuur van de gebruiker“.

Dit roept de vraag op of het analyseren van de wijze waarop een browser een afbeelding genereert, sprake is van het verkrijgen van toegang tot “gegevens die zijn opgeslagen in de randapparatuur van een gebruiker“. Daarvoor is de vraag wat is bedoeld met “opgeslagen“: de gegenereerde afbeelding staat immers niet op de harde schijf van de eindgebruiker, maar zal vermoedelijk wel ergens in het werkgeheugen worden vastgehouden (om te kunnen vertonen). Ik vraag me af of de Europese wetgever bij het opstellen van de eprivacy richtlijn ook dergelijke toegang heeft voorzien en heeft bedoeld op te nemen in de richtlijn. Gelet op punt 24 in de considerans lijkt een ruime privacybescherming bedoeld; aan de andere kant lijkt de richtlijn gelet op overweging 25 toch wel sterk op cookie toegespitst.

Toezichthouder is helder: het mag niet
De toezichthouder ACM is in ieder geval wel heel stellig. In de huidige FAQ op de cookiewet valt immers het volgende te lezen:

'Alle gegevens die na het initiële request worden geplaatst of uitgelezen vallen wel onder het bereik van artikel 11.7a Tw.'

Met andere woorden: het op enige wijze uitlezen van gegevens over de computer van de gebruiker dat niet functioneel is, vereist volgens ACM toestemming van die gebruiker. In een eerder blogbericht signaleerde ik overigens al dat dit nieuwe vragen oproept. Die vragen zullen denk ik alleen maar verder toenemen met de opkomst van technieken als responsive design en progressive enhancement.

Gelet op de (enorme) hoogte van de boetes die ACM op kan leggen, en het gegeven dat je die boete pas aan kunt vechten nadat deze (met persbericht en al) is opgelegd, doen partijen er echter verstandig aan die discussieruimte niet op te zoeken en dergelijke nieuwe technieken dus (voorlopig) niet te gebruiken.

Waarom maken we de privacywet niet duidelijker?
Uit het voorgaande volgt dat er discussie mogelijk is of dergelijke technieken wel of niet onder de specifieke “cookiewet” vallen. Vervolgens kun je nog de discussie voeren of canvas fingerprinting niet onder omstandigheden (ook) functioneel kan zijn (en daarmee toegestaan onder de cookiewet). Dergelijke discussies zijn overigens een logisch bijeffect van wetgeving die heel specifiek gedrag reguleert.

Mijn stelling is dat het zinvoller is het specifieke belang in kwestie te reguleren (bescherming van de privacy) dan een bepaalde techniek (cookies, canvas fingerprinting, een toekomstige techniek, etc.). Voor de bescherming van de privacy is er al lang wetgeving in de vorm van de Wet bescherming persoonsgegevens (zie ook onze privacycheck). Het zou m.i. veel zinvoller zijn wanneer op basis van die wet duidelijke grenzen worden gesteld aan het volgen van individueen, dan dat er middels specifieke wetgeving grenzen worden gesteld aan volgtechnieken.

In de recente opinie van de artikel 29 werkgroep over de grondslag van het gerechtvaardigd belang, wordt deze duidelijkheid in grote lijnen gegeven. De privacytoezichthouders laten namelijk weten dat in hun visie, onder de privacywetgeving, er “bijna altijd” toestemming vereist is voor het volgen van mensen:

'In this respect, it is useful to recall the Working Party’s Opinion on purpose limitation, where it is specifically stated that ‘when an organisation specifically wants to analyse or predict the personal preferences, behaviour and attitudes of individual customers, which will subsequently inform ‘measures or decisions’ that are taken with regard to those customers …. free, specific, informed and unambiguous ‘opt-in’ consent would almost always be required, otherwise further use cannot be considered compatible. Importantly, such consent should be required, for example, for tracking and profiling for purposes of direct marketing, behavioural advertisement, data-brokering, location-based advertising or tracking-based digital market research.’

Het is nu alleen nog afwachten wanneer deze redenering voor het eerst wordt toegepast. In rapportages van het CBP over YD Advertising en de cookies bij de NPO is dit al terug te zien. Het is nu wachten op de eerste last onder dwangsom of, zodra de wet daartoe is aangepast, de eerste boetes. Daarna pas kunnen we zien of de rechter het standpunt van de WP29 en het CBP in deze ook volgt. We houden u op de hoogte.

Mark Jansen

Internetconsultatie Wet voorkomen misbruik Wob, 22 juli - 19 augustus 2014.
Onderzoek naar onder meer de werking van de Wet dwangsom en beroep bij niet tijdig beslissen laat zien dat sprake is van grootschalig misbruik van de dwangsomregeling, waarbij verzoeken op grond van de Wet openbaarheid van bestuur (Wob) worden ingediend die niet gericht zijn op het verkrijgen van informatie maar enkel op het innen van dwangsommen. Wob-verzoekers proberen dan bewust het bestuursorgaan op het verkeerde been te zetten of hun verzoek in de ambtelijke molens te laten verzanden, zodat het bestuursorgaan niet tijdig beslist en dientengevolge een dwangsom verbeurt. De afhandeling van deze op innen van geld gerichte Wob-verzoeken jaagt de bestuursorganen op kosten en gaat ten koste van hun functioneren.
Het wetsvoorstel gaat het op innen van geld gerichte misbruik van de Wob tegen. Het regelt dat de dwangsomregeling uit de Algemene wet bestuursrecht niet langer van toepassing is op de Wob. Ook Wob-verzoeken die gericht zijn op inning van proceskosten of – door de rechter opgelegde – dwangsommen in het kader van de regeling van het rechtstreeks beroep bij niet tijdig beslissen worden tegengegaan.
Concept regeling | Te wijzigen regeling | Ontwerp toelichting

Rechtbank Midden-Nederland 23 juli 2014, IT 1562 (Vereniging Praktijkhoudende Huisartsen tegen Vereniging Zorgaanbieders voor Zorgcommunicatie)
De rechtbank heeft de vordering van de Vereniging van Praktijkhoudende Huisartsen (VPH) om de invoering en verdere ontwikkeling van een systeem voor het elektronisch uitwisselen van medische gegevens te verbieden, afgewezen. De rechtbank oordeelde dat de manier waarop het systeem is ingericht niet in strijd is met de wet bescherming persoonsgegevens.

2.3.
Na verwerping door de Eerste Kamer van het wetsvoorstel “Wet gebruik Burgerservicenummer in de zorg in verband met elektronische informatie-uitwisseling in de zorg” hebben de Landelijke Huisartsen Vereniging (LHV), de Vereniging Huisartsenposten Nederland (VHN), de Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) en de Nederlands Vereniging van Ziekenhuizen (NVZ) besloten een doorstart te maken met de reeds ontwikkelde landelijke infrastructuur voor elektronische uitwisseling van medische persoonsgegevens. Zij hebben daartoe een “Doorstartmodel” (hierna: het Doorstartmodel) opgesteld en dit op 21 december 2011 ter advisering voorgelegd aan het College bescherming persoonsgegevens (Cbp)”. Het Doorstartmodel is gebaseerd op de bestaande infrastructuur voor de elektronische uitwisseling van medische persoonsgegevens gegevens, “AORTA-standaard”, die is ontwikkeld door het Nederlands Instituut voor ICT in de zorg (Nictiz). Deze infrastructuur wordt hierna aangeduid als de zorginfrastructuur.

De geformuleerde doeleinden voor gegevensverwerking
5.9.
In de preambule van het Convenant hebben de bij het Convenant betrokken partijen doeleinden geformuleerd (zie hiervoor in 2.6). De beschreven doeleinden “betere en veiliger zorg”, “het bevorderen van doelmatigheid in de zorg” en “meer betrokkenheid van patiënten bij hun eigen gezondheid” hebben betrekking op de registratie en verwerking van medische persoonsgegeven en vormen naar het oordeel van de rechtbank daarvoor een voldoende rechtvaardiging. Daarbij is in aanmerking genomen dat de noodzaak voor registratie en uitwisseling van medische persoonsgegevens voor een goede en veilige gezondheidszorg algemeen is aanvaard. Dat thans eveneens algemeen is aanvaard dat registratie en uitwisseling plaatsvinden langs elektronische weg blijkt onder meer uit het hiervoor in 5.4 genoemde advies en werkdocument van De Artikel 29 Groep en het advies van het Cbp van 18 januari 2012. In deze documenten wordt niet in twijfel getrokken dat is voldaan aan het vereiste dat het leveren van een betere gezondheidszorg een gerechtvaardigd doel vormt voor de registratie en verwerking van medische persoonsgegevens langs elektronische weg. VPH c.s. erkent dit zelf ook. De omschrijving van de doeleinden in een convenant is naar haar aard in algemene bewoordingen gesteld en zal pas bij de uitwerking daarvan concreter kunnen zijn. De rechtbank acht de in het Convenant gegeven doeleindenomschrijving, anders dan VPH c.s. heeft gesteld, voldoende concreet.

5.11.
In het Businessplan is een financieringsmodel uitgewerkt (pagina 10 van het Businessplan), waarbij de eenmalige kosten die de individuele zorgaanbieders moeten maken om zich aan te sluiten op de zorginfrastructuur worden vergoed op een vooraf vastgesteld normbedrag. De structurele kosten die de individuele zorgaanbieders jaarlijks maken voor hun aansluiting worden vergoed op basis van daadwerkelijk gebruik van de zorginfrastructuur. Niet valt in te zien dat het geven van dergelijke vergoedingen in strijd is met de bepalingen van de Wbp. De individuele zorgaanbieders moeten werkelijk kosten maken om te kunnen aansluiten op de zorginfrastructuur. Dat een - zoals het Businessplan het op pagina 85 formuleert - “adequate” vergoeding mede tot doel heeft om de zorgaanbieders te stimuleren snel op de zorginfrastructuur aan te sluiten, betekent - anders dan VPH c.s. betoogt - dan ook niet dat de vergoeding een ongeoorloofde prikkel is om de zorgaanbieders tot aansluiting te bewegen.

De toestemming
5.12. Op grond van de hiernavolgende overwegingen is de rechtbank van oordeel dat met de wijze waarop de procedure tot het verlenen van toestemming voor de verwerking van persoonsgegevens is vormgegeven, voldoende is gewaarborgd dat wordt voldaan aan de in artikel 23 Wbp gestelde eis dat de betrokkene “uitdrukkelijk toestemming” heeft verleend.

Informed consent
5.21. Op grond van hetgeen hiervoor in 5.13 t/m 5.20 is overwogen is de rechtbank van oordeel dat de procedure voor toestemmingsverlening voldoende waarborgen biedt om te kunnen voldoen aan de vereisten dat de toestemming vrijwillig is gegeven, dat deze voldoende specifiek is en dat deze is gebaseerd op voldoende informatie.

proportionaliteit
5.24 Naar het oordeel van de rechtbank kan de gegevensverstrekking door middel van de professionele standaard daarom ook wat betreft de omvang en de inhoud van de verstrekte gegevens de proportionaliteitstoets doorstaan.

5.27. Het betoog van VPH c.s. dat gebruikmaking van de zorginfrastructuur de huisarts noopt tot schending van zijn geheimhoudingsplicht als bedoeld in artikel 7:457 BW, artikel 88 van de wet BIG en artikel 272 WvS treft gelet op het voorgaande geen doel.

Andere blogs:
SOLV

Rechtbank Den Haag 23 juli 2014, id=ECLI:NL:RBDHA:2014:8966 (eisers tegen Staat der Nederlanden)
Persbericht: De uitwisseling van telecommunicatie tussen de Nederlandse Algemene Inlichtingen- en veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) en de Amerikaanse National Security Agency (NSA) kan door de beugel. De mogelijkheid bestaat dat de Nederlandse diensten bij de uitwisseling van telecommunicatiegegevens met buitenlandse diensten, zoals de NSA, gegevens ontvangen die door de buitenlandse diensten in het buitenland zijn verzameld met de inzet van bevoegdheden waarover de Nederlandse diensten niet beschikken. De enkele mogelijkheid dat dit het geval is, betekent niet dat Nederland met de ontvangst en het eventuele gebruik van die gegevens internationale verdragen en nationale regelgeving overtreedt. (...) Lees het persbericht verder

Rechtspraak.nl: Procedure naar aanleiding van ‘Snowden-onthullingen’, ingeleid door enige natuurlijke personen, waaronder een strafrechtadvocaat en journalist, en de rechtspersonen de Nederlandse Vereniging voor strafrechtadvocaten, de Nederlandse Vereniging voor Journalisten, de vereniging Internet Society Nederland en de Stichting Privacy First tegen de Staat. Onrechtmatige daad. Vraag of de Staat handelt in strijd met de Wet op de inlichtingen- en veiligheidsdiensten 2002 (Wiv 2002) en internationale verdragsverplichtingen, in het bijzonder de artikelen 8 van het Europees Verdrag tot Bescherming van de Rechten van de Mens en de fundamentele Vrijheden (EVRM) en 7 en/of 8 van het Handvest van de grondrechten van de Europese Unie (het Handvest) en/of 10 EVRM en 11 van het Handvest, door van buitenlandse inlichtingen- en veiligheidsdiensten, waaronder de Amerikaanse National Security Agency (NSA), gegevens te ontvangen en/of te gebruiken die zijn vergaard met de inzet van bevoegdheden waarover de Nederlandse Algemene Inlichtingen en Veiligheidsdienst (AIVD) en Militaire Inlichtingen- en Veiligheidsdienst (MIVD) niet beschikken.

Verder vraag of op de Staat een positieve verplichting rust om betrokkenen over wie de Staat in strijd met het Nederlandse recht en/of internationale verdragsverplichtingen gegevens heeft ontvangen schriftelijk te informeren en uitsluitsel te geven over het al dan niet hebben ontvangen van gegevens betreffende hun persoon van buitenlandse diensten en om die gegevens te wissen. Ontvankelijkheid eisers. Voldoende concreet en eigen belang eisers-natuurlijke personen als bedoeld in artikel 3:303 van het Burgerlijk Wetboek (BW). Collectieve actie NVSA en NVJ op grond van artikel 3:305a BW. Eigen belang Privacy First en Internet Society bij gevorderde gebod tot het nemen van passende maatregelen te nemen ter bescherming van privéleven. Taakverdeling bestuursrechter en burgerlijke rechter. Verhouding zwaarwegende belangen (van individuen en “eenieder”) waarvoor eisers opkomen, waaronder het belang bij respect voor het privéleven van het individu, en zwaarwegende algemene belang van nationale veiligheid. Afwijzing algemeen geformuleerde vorderingen. De mogelijkheid bestaat dat de Nederlandse diensten bij de uitwisseling van gegevens met buitenlandse diensten, zoals de NSA, gegevens ontvangen die door de buitenlandse diensten in het buitenland zijn verzameld met de inzet van bevoegdheden waarover de Nederlandse diensten niet beschikken. De enkele mogelijkheid dat dit het geval is, betekent niet dat Nederland met de ontvangst en het eventuele gebruik van die gegevens internationale verdragen en nationale regelgeving overtreedt. Toetsing EVRM. Internationale samenwerking. Karakter van gegevensuitwisseling, in ‘bulk’, zonder dat deze op relevantie zijn beoordeeld. Onderscheid ontvangst gegevens en de verdere verwerking ervan. De nationale veiligheid geeft de doorslag. De zwaarwegende belangen van eiseres zullen op individuele basis tot hun recht moeten komen in de waarborgen die de Wiv 2002 biedt of toelaat in het geval van gebruik in hun nadeel, te weten een beroep op de Commissie toezicht betreffende de inlichtingen- en veiligheidsdiensten (CTIVD), op de Nationale ombudsman of - in bijzondere gevallen, indien aan de desbetreffende voorwaarden is voldaan - op de nationale civiele of bestuursrechter.

Op andere blogs:
bureau Brandeis

CALL FOR PAPERS: TILT – Tilburg Institute for Law, Technology, and Society brings to your attention the bi-annual multidisciplinary conference TILTing Perspectives on Technology Regulation

UNDER OBSERVATION – Synergies, benefits and trade-offs of eHealth and surveillance

Tilburg, The Netherlands, 22-23 April 2015

Conference Theme: The notion that people are ‘under observation’ has multiple connotations. Bringing together two hitherto unrelated streams of scholarship interested in observation —eHealth and surveillance studies—this conference aims to inspire cross-fertilisation and bring new insights into the legal, ethical and social meanings of being ‘under observation’.

Care for an aging population and for patients with chronic conditions is expensive. Staying healthy is actively encouraged by policy and practice. Use of eHealth solutions to this end is especially encouraged, as these applications are considered to be ‘lean’, cheap and capable of offering access to healthcare and lifestyle management anywhere, any time. Recent developments in mobile eHealth have led to wearable sensors that gather health data in real time and help take charge of our wellbeing, while Big Data Analytics and Predictive Analytics promise better understanding of disease, prevention and treatment.

But these technologies are not without their caveats. Most notably, they create new opportunities for surveilling and steering health-related behaviours. Recent scholarship on the relationship between the development of new technologies and trends in surveillance points to the multi-directional and mutual nature of the latter. In the field of health, this means that not only are patients watched by technologies, physicians, etc. but also that they are increasingly watching.

These new trends are in line with a general tendency to seek solutions to societal problems – crime, resource allocation, child welfare – in data aggregation, monitoring, profiling and behaviour tracking.

We therefore invite legal, ethical, and social scholars and practitioners, philosophers of technology and engineers, as well as persons working in the areas of health (including eHealth), assisted living, sensor technology, surveillance studies, data protection, data security and privacy to join us in exploring these developments during a two-day conference. We will explore
and discuss the synergies, benefits and trade-offs of developments in eHealth and related changes in surveillance structures and practices.

See full call here

CBb 10 juli 2014, IT 1559 (NS tegen Minister van EZ)
Nieuw besluit. Uitbesteden programmeren. Besluit inzake aanvullende aftrek voor speur- en ontwikkelingswerk is afgewezen. Appellanten voeren aan dat door hen binnen de projecten wel technisch nieuwe (onderdelen van) programmatuur wordt ontwikkeld en dat de door appellanten te verrichten werkzaamheden daarom als S&O-werkzaamheden kwalificeren. Appellanten stellen dat in beide projecten sprake is van het zelf ontwikkelen van technisch nieuwe (onderdelen) van programmatuur.

Appellanten betogen dat programmeren niet noodzakelijk is om zelf te ontwikkelen en dat dit ook niet uit de definitie van programmatuur in de Wva en toelichting daarbij volgt. Wanneer programmeren wordt gezien als het invoeren van de code dan kan het zoeken en bewijzen in de fasen voorafgaand aan het feitelijk programmeren hebben plaatsgevonden.

Als binnen een onderneming gewerkt wordt aan functioneel en technisch ontwerp c.q. architectuur van een systeem, maar de omzetting van het ontwerp naar programmatuur wordt uitbesteed, is volgens verweerder geen sprake van het ontwikkelen van technisch nieuwe (onderdelen) van programmatuur en geeft verweerder geen S&O verklaring af. Het College is van oordeel dat deze maatstaf van verweerder, geplaatst tegen de achtergrond van de hier toepasselijke bepalingen, waaronder artikel 1, eerste lid, onder n, sub 2º en onder o, van de Wva, te beperkt is.

5. Appellanten voeren aan dat door hen binnen de projecten wel technisch nieuwe (onderdelen van) programmatuur wordt ontwikkeld en dat de door appellanten te verrichten werkzaamheden daarom als S&O-werkzaamheden kwalificeren. Appellanten hebben werkzaamheden die volgens appellanten kunnen worden samengevat als “het bouwen van de programmatuur” uitbesteed aan derden. Anders dan verweerder zijn appellanten van mening dat de programmering zelf geen wezenlijke S&O-werkzaamheid vormt en dat het uitbesteden ervan niet van invloed kan zijn op de vraag of de eraan voorafgaande werkzaamheden wel kwalificeren als S&O-werkzaamheden. Appellanten betogen dat de opvatting van verweerder dat (ook) de programmering door de aanvrager zelf moet worden uitgevoerd gebaseerd is op een achterhaald begrip van de functie van programmeren binnen het ontwikkelingsproces. Technische knelpunten (en de oplossing daarvan) doen zich in de huidige tijd niet voor bij de programmering, maar in de fasen die daaraan voorafgaan, ook zonder dat gespecificeerd wordt op pseudo-codeniveau. Appellanten stellen dat in beide projecten sprake is van het zelf ontwikkelen van technisch nieuwe (onderdelen) van programmatuur.

6.2. (...) Het College is van oordeel dat dit betoog van verweerder de conclusie dat appellanten niet aannemelijk hebben gemaakt dat zij in de aangevraagde periode in 2012 voor de projecten GRIP en Railpocket speur- en ontwikkelingswerk hebben verricht niet kan dragen, nu verweerder bij de beoordeling van de aanvragen een te beperkte maatstaf heeft toegepast. De vraag of door appellanten zelf technische knelpunten in de ontwikkeling van technisch nieuwe onderdelen van programmatuur worden opgelost, is daardoor onderbelicht gebleven. Gelet op de stukken, waaronder de aanvragen, de bezwaarschriften en het opgestelde verslag naar aanleiding van een bedrijfsbezoek van verweerder, acht het College niet onaannemelijk dat appellanten op onderdelen wel technische knelpunten hebben opgelost. Appellanten hebben in hun aanvragen en bezwaarschriften concreet gewezen op specifieke programmatuur-componenten en daarbij ook technisch vernieuwende elementen genoemd. Naar het oordeel van het College is derhalve de vraag of binnen de projecten op onderdelen technisch nieuwe programmatuur wordt ontwikkeld, gelet op de te beperkt te achten maatstaf die verweerder heeft gehanteerd, tot nu toe onvoldoende aan de orde gekomen.
Het College concludeert dat de bestreden besluiten, voor zover die zien op de Wva, een deugdelijke motivering missen en dat daarmee, gelet op hun samenhang, ook aan de bestreden besluiten, voor zover die betrekking hebben op de RDA, een deugdelijke motivering is komen te ontvallen, zodat alle bestreden besluiten, wegens strijd met artikel 7:12 van de Algemene wet bestuursrecht (Awb), niet in stand kunnen blijven.

7. Het beroep is gegrond. Het College zal de bestreden besluiten vernietigen. Het College maakt geen gebruik van zijn bevoegdheid op grond van artikel 19, zesde lid, van de Wet bestuursrechtspraak bedrijfsorganisatie. Verweerder zal opnieuw op de bezwaren van appellanten moeten beslissen, zulks met inachtneming van deze uitspraak. Daarbij zal inhoudelijk moeten worden beoordeeld of bij de projecten sprake is van de ontwikkeling van technisch nieuwe (onderdelen van) programmatuur. Gelet op het stadium van de (aanvraag)procedure in de onderhavige zaken en de complexiteit van de projecten, acht het College een voortgezet debat tussen partijen in het kader van de bezwaarprocedure dienstig aan de geschilbeslechting in deze zaak.

Op andere blogs:
Cloudrecht
Nederland ICT

Vzr. Rechtbank Noord-Holland 18 juli 2014, IEF 14052 (Creditline tegen Gerechtsdeurwaarderskantoor Baldinger)
Uitspraak ingezonden door Bert Gravendeel, Gravendeel advocaten. Hoger beroep is ingesteld, mogelijk gevoegd. Eerder als IEF 14052 gepubliceerd. Databankrecht. Auteursrecht. Privacy. Creditline vordert met succes elektronische toegang tot Databank-D en het geactualiseerd houden van deze databank. In een eerder kort geding IEF 13878. werd het blokkeren van elektronische toegang niet als inbreuk op een databankrecht aangenomen, deze vordering is dan ook niet toewijsbaar. De databank is ook geen verzamelwerk ex artikel 5 Auteurswet (Aw), omdat het geen eigen, oorspronkelijk karakter bezit noch het persoonlijk stempel van de maker draagt. Dat CreditLine de mogelijkheid heeft om inbreuk te maken op de privacy van debiteuren is onvoldoende grond om toegang af te sluiten.

4.4. Creditline baseert haar vordering voorts op het auteursrecht. Zij stelt dat databank-D is te beschouwen als een verzamelwerk ex artikel 5 Auteurswet (Aw) waarvan Creditline op voet van artikel 6 Aw als de maker moet worden aangemerkt. Dienaangaande overweegt de voorzieningenrechter als volgt. Om aanspraak te kunnen maken op bescherming op grond van de Auteurswet dient een werk een eigen , oorspronkelijk karakter te bezitten en het persoonlijk stempel van de maker te dragen. Creditline heeft onvoldoende gesteld om aannemelijk te achten dat daarvan, voor zover het de onderhavige databank betreft, sprake is.

4.6. (...) De enige situatie die Baldinger noemt waarin Creditline privacygevoelige klantgegevens aan derden heeft verstrekt is in de klachtenprocedure van Creditline tegen Baldinger bij de Kamer voor Gerechtsdeurwaarders. Dat Creditline in dat kader stukken heeft overlegd waarop klantgegevens staan, kan haar echter niet worden tegengeworpen, nu dat noodzkaelijk was voor de onderbouwing van haar klacht. Voor het overige heeft Baldinger slechts aangevoerd dat Creditline de mogelijkheid heeft om inbreuk te maken op de privacy van de debiteuren. Dat zij van die mogelijkheid gebuik maakt, door onjuist gebruik te maken van privacygevoelige gegevens waarover zij via Databank-D kan beschikken heeft Baldinger niet onderbouwd met concrete feiten gesteld. Het voorgaande voert tot de conclusie dat Baldinger zonder goede grond de toegang voor Creditline tot de databank heeft afgesloten.

HvJ EU 17 juli 2014, IT 1557, zaak C-141/12 / C-372/12 (Y.S.en MenS tegen Minister voor Immigratie, Integratie en Asiel) - dossier
Zie eerder IT 1355. Persoonsgegevens. Verzoek om een prejudiciële beslissing betreffende de uitlegging van de artikelen 2, sub a, 12, sub a, en 13, lid 1, sub d, f en g, van richtlijn 95/46/EG (Privacyrichtlijn) en van de artikelen 8, lid 2, en 41, lid 2, sub b, van het EU Handvest. Een geding van twee derdelanders die eenzelfde verzoek hebben ingediend, over de weigering van de minister om die derdelanders een afschrift te verstrekken van een bestuurlijk document dat voorafgaand aan de vaststelling van de besluiten over hun verzoeken om een verblijfsvergunning was opgesteld. Het Hof verklaart voor recht dat de aanvrager van een verblijfstitel recht heeft op inzage in de hem betreffende persoonsgegevens, maar niet op de juridische analyse van het intern document. De aanvrager kan zich tegenover de nationale autoriteiten niet beroepen op art. 41 lid 2 sub b van het Handvest.

59      In situaties als die in de hoofdgedingen vloeit uit het in punt 48 van het onderhavige arrest gegeven antwoord voort dat alleen de gegevens betreffende de aanvrager van de verblijfstitel die in de minuut zijn weergegeven, en in voorkomend geval die welke in de juridische analyse in die minuut zijn weergegeven, „persoonsgegevens” in de zin van artikel 2, sub a, van richtlijn 95/46 zijn. Bijgevolg heeft het recht op inzage waarop deze aanvrager zich krachtens artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest kan beroepen, uitsluitend betrekking op die gegevens. Opdat aan dit recht op inzage wordt voldaan, volstaat het dat aan de aanvrager van de verblijfstitel een volledig overzicht, in begrijpelijke vorm, van al deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij de artikelen 12, sub b en c, 14, 22 en 23 van die richtlijn verleende rechten kan uitoefenen.

60      Uit het voorgaande vloeit voort dat op de derde en de vijfde vraag in zaak C‑141/12 en op de eerste en de tweede vraag in zaak C‑372/12 dient te worden geantwoord dat artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest in die zin moeten worden uitgelegd dat de aanvrager van een verblijfstitel een recht heeft op inzage in alle hem betreffende persoonsgegevens die het voorwerp van een verwerking door de nationale overheidsinstanties vormen in de zin van artikel 2, sub b, van deze richtlijn. Om daaraan te voldoen, volstaat het dat aan die aanvrager een volledig overzicht, in begrijpelijke vorm, van deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij die richtlijn verleende rechten kan uitoefenen.

65      Wat de inhoud van deze prejudiciële vragen betreft, menen Y.S., M. en S. alsmede de Griekse regering dat de aanvrager van een verblijfstitel een recht op inzage in het dossier kan baseren op artikel 41, lid 2, sub b, van het Handvest, daar de nationale autoriteiten in het kader van de procedure voor de toekenning van een dergelijke titel richtlijnen op asielgebied ten uitvoer brengen. De Nederlandse, de Tsjechische, de Franse, de Oostenrijkse en de Portugese regering menen daarentegen dat artikel 41 van het Handvest uitsluitend is gericht tot de instellingen van de Unie en bijgevolg niet als grondslag kan dienen voor een recht op inzage in het dossier in het kader van een nationale procedure.

Antwoord:
1) Artikel 2, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet in die zin worden uitgelegd dat gegevens over de aanvrager van een verblijfstitel die zijn weergegeven in een bestuurlijk document, zoals de in het hoofdgeding aan de orde zijnde „minuut”, waarin de gronden worden uiteengezet die de beslismedewerker aanvoert tot staving van het ontwerpbesluit dat hij moet opstellen in het kader van de procedure die voorafgaat aan de vaststelling van een besluit over de aanvraag van een dergelijke titel, en in voorkomend geval die welke zijn weergegeven in de juridische analyse die dat document bevat, „persoonsgegevens” zijn in de zin van deze bepaling, maar dat die analyse als zodanig niet aldus kan worden gekwalificeerd.

2) Artikel 12, sub a, van richtlijn 95/46 en artikel 8, lid 2, van het Handvest van de grondrechten van de Europese Unie moeten in die zin worden uitgelegd dat de aanvrager van een verblijfstitel een recht heeft op inzage in alle hem betreffende persoonsgegevens die het voorwerp van een verwerking door de nationale overheid vormen in de zin van artikel 2, sub b, van deze richtlijn. Om daaraan te voldoen, volstaat het dat aan die aanvrager een volledig overzicht, in begrijpelijke vorm, van deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of zij juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, opdat hij eventueel de hem bij die richtlijn verleende rechten kan uitoefenen.

3) Artikel 41, lid 2, sub b, van het Handvest van de grondrechten van de Europese Unie moet in die zin worden uitgelegd dat de aanvrager van een verblijfstitel zich tegenover de nationale autoriteiten niet op deze bepaling kan beroepen.

Gestelde vragen C-141/12:

1) Zijn de gegevens die in de minuut van betrokkene zijn weergegeven en die betrekking hebben op betrokkene, persoonsgegevens in de zin van artikel 2, sub a, van [richtlijn 95/46]?

2) Is de in de minuut opgenomen juridische analyse een persoonsgegeven in de zin van voornoemde bepaling?

3) Wanneer het Hof bevestigt dat de hiervoor omschreven gegevens persoonsgegevens zijn, dient de verwerker/overheidsinstantie dan ook ingevolge artikel 12 van [richtlijn 95/46] en artikel 8, lid 2, van het [Handvest] inzage te geven in deze persoonsgegevens?

4) Kan betrokkene in dit kader ook een rechtstreeks beroep doen op artikel 41, lid 2, sub b, van het [Handvest], en zo ja, moet de hierin opgenomen zinsnede ,met inachtneming van het gerechtvaardigde belang van de vertrouwelijkheid [van de] besluitvorming’ zo worden uitgelegd dat het recht op inzage in de minuut op die grond kan worden geweigerd?

5) Wanneer betrokkene verzoekt om inzage in de minuut, dient de verwerker/overheidsinstantie een kopie van dit document te verschaffen om zo recht te doen aan het inzagerecht?

Gestelde vragen C-372/12:
1) Dient artikel 12, aanhef en sub a, tweede streepje, van [richtlijn 95/46] aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt?

2) Dienen de woorden ,recht van inzage’ in artikel 8, lid 2, van het [Handvest] aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt in de zin van artikel 12, aanhef en sub a, tweede streepje, van [richtlijn 95/46]?

3) Is artikel 41, lid 2, aanhef en sub b, van het [Handvest] mede gericht tot de lidstaten van de Europese Unie voor zover zij het recht van de Unie ten uitvoer brengen in de zin van artikel 51, lid 1, van het [Handvest]?

4) Levert de consequentie dat als gevolg van het geven van inzage in minuten daarin niet meer de redenen worden vastgelegd waarom een bepaald besluit wordt voorgesteld, hetgeen de interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie en de ordelijke besluitvorming niet ten goede komt, een gerechtvaardigd belang van de vertrouwelijkheid op in de zin van artikel 41, lid 2, aanhef en sub b, van het [Handvest]?

5) Kan een juridische analyse, zoals neergelegd in een minuut, worden aangemerkt als een persoonsgegeven in de zin van artikel 2, sub a, van [richtlijn 95/46]?

6) Behoort tot de bescherming van rechten en vrijheden van anderen in de zin van artikel 13, lid 1, aanhef en sub g, van [richtlijn 95/46] ook het belang van een interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie? Indien het antwoord hierop negatief luidt, kan dit belang dan worden gebracht onder artikel 13, lid 1, aanhef en sub d of f, van die richtlijn?

EDPS: Report of workshop on Privacy, Consumers, Competition and Big Data, 2 june 2014
In March 2014 the EDPS published a Preliminary Opinion on 'Privacy and competitiveness in the age of big data: The interplay between data protection, competition law and consumer protection in the Digital Economy'. The paper has helped stimulate discussions between policy makers, regulators and specialists across these policy areas. The EDPS hosted a workshop in Brussels on 2 June, attended by experts from the European Commission, national regulators, academics and NGOs, as well as the US Federal Trade Commission.

This report of the workshop is structured according to the five big, overlapping themes which were subject of discussions:

1. The features of the digital economy and the importance of personal data to its development
2. The aims of competition law and how those are played out in practice
3. The various ways in which the interests of the ‘consumer’ are understood in competition law and consumer protection law
4. The extent to which privacy is considered a competitive advantage in digital markets
5. Challenges for enforcement cooperation in the fields of competition, consumer protection and data protection. (...)

Conclusions
It was agreed that stakeholders, regulators and experts should continue to talk about how data protection principles, in particular those of purpose limitation and legitimate interest, can be applied to the digital economy, and how the various policy areas could be deployed most effectively to facilitate transparency, choice and competitiveness in privacy policies which protected the fundamental rights and interests of individuals. Data protection and competition specialists do not necessarily speak the same language. Laws may currently be applied effectively to address visible large scale abuses. But the laws seem not to cover the incremental ‘day-by-day drops into the ocean of data’ which are assembled to construct user profiles, where even seemingly innocuous data can reveal sensitive information. This process will be accelerated as more and more devices go online, which will in turn intensify the need for privacy by design, high standards of data security and data minimisation. (…)

Uit het persbericht. De ministerraad heeft ingestemd met het plan van staatssecretaris Teeven van Veiligheid en Justitie om het kansspelbeleid te hervormen. De ministerraad heeft ingestemd met toezending aan de Tweede Kamer van het wetsvoorstel Kansspelen op afstand en de visie op de toekomst van de loterijen- en casinomarkt.

Op 3 terreinen wordt het beleid gemoderniseerd. Allereerst worden online kansspelen per 2015 gereguleerd, zodat spelers veilig en verantwoord kunnen spelen bij aanbieders waarop toezicht mogelijk is. Daarnaast worden de loterijmarkt en de casinomarkt hervormd. Holland Casino wordt per 2017 geprivatiseerd. Aan aanbieders van loterijen wordt de ruimte gegeven om meer te innoveren. Ook de maatschappelijke goede doelen, die jaarlijks ruim € 580 miljoen ontvangen vanuit de loterijensector, zullen hiervan profiteren. Het belang van de samenleving bij een goed functionerend loterijstelsel is daarom groot.

Het kabinet kiest voor een systeem waarbij de doelstellingen van het kansspelbeleid (voorkomen van kansspelverslaving, consumentenbescherming en het tegengaan van fraude en overige criminaliteit) niet meer worden bereikt door het aanbod te beperken, maar door strikte vergunningsvoorwaarden en strenge handhaving door de Kansspelautoriteit (Ksa). Na de oprichting van de Ksa in 2012, is hiermee een volgende stap in de modernisering van het Nederlandse kansspelbeleid gezet.