Prejudiciële vragen aan HvJ EU 22 april 2014, IT 1571, zaak C-230/14 (Weltimmo)
Persoonsgegevens. Weltimmo is een in Slowakije gevestigde onderneming die een website beheert met advertenties voor in Hongarije gelegen onroerende zaken. Zij verwerkt daartoe persoonsgegevens van de adverteerders. Na afloop van de plaatsingsduur van de advertentie (één maand gratis) verzoeken veel adverteerders zowel de advertentie als hun persoonsgegevens te verwijderen. Verzoekster voldoet echter niet aan dat verzoek en brengt diensten in rekening aan de adverteerders die na niet-betaling van de facturen aan incassobureaus worden ‘uitgeleverd’. De adverteerders dienen een klacht in bij de Hongaarse autoriteit voor gegevensbescherming. Die verklaart de Hongaarse wet van toepassing aangezien de verwerking en technische bewerking van gegevens van natuurlijke personen op Hongaars grondgebied wordt verricht.

Verzoekster krijgt een boete opgelegd. Zij stelt administratief beroep in waarmee het besluit van de Hongaarse autoriteit wordt vernietigd omdat bepaalde feiten onvoldoende duidelijk zijn. De rechter oordeelt echter dat de plaats waar de gegevens zijn verzameld Hongarije is en niet de plaats waar verzoekster haar statutaire zetel heeft. Daarnaast stelt de rechter vast dat noch artikel 4 lid 1, noch de artikelen 28 en 29 van RL 95/46 rechtstreekse werking hebben op grond waarvan de Hongaarse bepalingen buiten toepassing gelaten zouden moeten worden. Verzoekster kan dan ook gezien haar activiteiten geen beroep doen op het feit dat zij geen vestiging in Hongarije heeft. Zij gaat in cassatie omdat zij meent dat de Hongaarse autoriteit niet bevoegd is maar haar Slowaakse tegenhanger had moeten verzoeken actie te nemen.

De verwijzende Hongaarse cassatierechter stelt vast dat het HvJ EU nog geen relevant arrest heeft gewezen. Hij ziet wel enige aanknopingspunten in de conclusie AG in zaak C-131/12 (Google Spain) maar ziet zich genoodzaakt het HvJEU de volgende vragen voor te leggen:

1) Moet artikel 28, lid 1, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: “richtlijn gegevensbescherming”) aldus worden uitgelegd dat de nationale regeling van een lidstaat op diens grondgebied van toepassing is op een voor de gegevensverwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd en een vastgoedsite beheert waarop hij ook advertenties plaatst voor in de eerstbedoelde lidstaat gelegen onroerend goed, waarvan de eigenaars hun persoonsgegevens naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

2) Moet artikel 4, lid 1, sub a, van de richtlijn gegevensbescherming, junctis de punten 18 tot en met 20 van de considerans en de artikelen 1, lid 2, en 28, lid 1, ervan, aldus worden uitgelegd dat de Magyar Adatvédelmi és Információszabadság Hatóság (hierna: “autoriteit voor gegevensbescherming”) de Hongaarse wet inzake gegevensbescherming als nationaal recht niet kan toepassen op een uitsluitend in een andere lidstaat gevestigde beheerder van een vastgoedsite, ook al publiceert hij daarop ook advertenties voor in Hongarije gelegen onroerend goed, waarvan de eigenaars de desbetreffende gegevens waarschijnlijk vanuit Hongarije naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

3) Is het voor uitleggingsdoeleinden relevant dat de dienst die wordt verricht door de voor de gegevensverwerking verantwoordelijke, die de website beheert, is gericht op het grondgebied van een andere lidstaat?

4) Is het voor uitleggingsdoeleinden relevant dat de gegevens betreffende in de andere lidstaat gelegen onroerend goed en de persoonsgegevens van de eigenaars ervan daadwerkelijk zijn ingevoerd vanop het grondgebied van die andere lidstaat?

5) Is het voor uitleggingsdoeleinden relevant dat de met dat onroerend goed verband houdende persoonsgegevens burgers van een andere lidstaat betreffen?

6) Is het voor uitleggingsdoeleinden relevant dat de eigenaars van de in Slowakije gevestigde onderneming een woonplaats hebben in Hongarije?

7) Indien uit het antwoord op de vorige vragen volgt dat de Hongaarse autoriteit voor gegevensbescherming kan optreden, maar daarbij niet het nationale recht, doch het recht van de lidstaat van vestiging moet toepassen, moet artikel 28, lid 6, van de richtlijn gegevensbescherming dan aldus worden uitgelegd dat de Hongaarse autoriteit voor gegevensbescherming de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met de regeling van de lidstaat van vestiging, en dus niet bevoegd is om een geldboete op te leggen?

8) Mag ervan worden uitgegaan dat het begrip „adatfeldolgozás” [technische bewerking van gegevens] dat zowel in artikel 4, lid 1, sub a, als in artikel 28, lid 6, van de [Hongaarse taalversie van de] richtlijn gegevensbescherming wordt gebruikt, in de terminologie van deze richtlijn overeenkomt met het begrip „adatkezelés” [gegevensverwerking]?

Prejudiciële vragen aan HvJ EU 21 maart 2014, IT 1570, zaak C-278-14 (Enterprise Focused Solutions)
Verzoekster dient een offerte in naar aanleiding van een aanbesteding van verweerder (ziekenhuis). Het betreft de levering van computers, printers en noodstroomapparaten. Voor het deel van de computers is als vereiste gesteld “minimum Intel Core i5 3,2 GHz of gelijkwaardig”. Verzoeksters offerte wordt afgewezen. Volgens het opgestelde rapport over de procedure voldoet haar aanbod wat het deel ‘computer’ betreft niet aan de voorwaarden omdat de processoren van de door haar aangeboden computers aan het eind van hun levenscyclus zouden zijn gekomen en daarom niet meer worden geproduceerd. Verzoekster stelt een gelijkwaardige of betere processor te hebben aangeboden die overeenkomt met de omschrijving in het bestek. Verweerder stelt dat een natuurlijke vergelijking niet mogelijk is. Het feit dat de producent nog over de aangeboden apparatuur beschikt is niet relevant omdat de door verzoekster aangeboden apparatuur de vergelijking niet kan doorstaan. De producent zou in december 2012 deze apparatuur al als ‘end of life’ hebben ingedeeld. Verzoekster blijft bij haar standpunt dat zij een gelijkwaardige of betere processor heeft aangeboden.

Het hof van Beroep Alba Iulia (Roemenië) oordeelt dat het hier gaat om de vraag of de omschrijving van de technische kenmerken van een product door verwijzing naar een bepaalde reeks van een merk (Intel Core i5 3.2 GHz) impliceert dat, om uit te maken of het gaat om een gelijkwaardig product, moet worden gekeken naar alle producten van de betrokken reeks die ten tijde van de opstelling van de offerte op de markt waren, dan wel alleen naar de producten die nog worden vervaardigd. Hij legt het HvJEU de volgende vraag voor:
“Kan artikel 23, lid 8, van richtlijn 2004/18/EG van het Europees Parlement en de Raad van 31 maart 2004 aldus worden uitgelegd dat wanneer de aanbestedende dienst de technische specificaties van het product dat het voorwerp van de opdracht is, beschrijft door verwijzing naar een bepaald merk, de kenmerken van het als gelijkwaardig aangeboden product alleen mogen worden getoetst aan de technische specificaties van producten die nog worden vervaardigd, dan wel ook kunnen worden getoetst aan die van op de markt aanwezige producten die niet meer worden vervaardigd?”.

Vz. RCC 14 Juli 2014, IT 1569, dossiernr. 2014/00464 (REC Pen)
Voorzitterstoewijzing. Strijd met wet. Het betreft: 1) een televisiecommercial waarin de zogenaamde REC Pen wordt aangeprezen. Dit betreft een ballpoint die is voorzien van een videocamera. In de televisiecommercial worden een aantal situaties nagespeeld waarin het nuttig zou zijn de REC Pen te gebruiken 2) de website www.teltv.com voor zover het betreft de aanprijzing van de hiervoor genoemde ballpoint. Op de website staat een link naar een commercial en onder meer de volgende tekst: “Met deze spionnenpen maakt u ongemerkt opnames!”. Klager stelt, samengevat, dat met de REC Pen in het geheim video opnamen kunnen worden gemaakt van personen in de privé-sfeer, dit zet aan tot wetsovertreding. De voorzitter acht de reclame-uiting in strijd met het bepaalde in artikel 2 NRC.

Het oordeel van de voorzitter
1) De voorzitter constateert dat in de bestreden televisiecommercial en de commercial die op de bestreden webpagina kan worden geopend, het gebruik van de REC Pen in het bijzonder wordt aangeprezen als een mogelijkheid om daarmee heimelijk personen te filmen. De voorzitter verwijst naar de in de commercial getoonde scenes waarin personen in woningen en andere niet-publieke plaatsen worden gefilmd zonder dat dit kennelijk duidelijk vooraf is aangekondigd en met de bedoeling achter bepaalde geheimen te komen. Het betreft een moeder die op deze wijze ontdekt dat haar dochter een relatie met een leraar heeft, respectievelijk het ontdekken van het feit dat men door collega’s stiekem wordt uitgelachen en het ontdekken van schoenendiefstal. Het op een dergelijke wijze gebruiken van de REC Pen, dat wil zeggen zonder dat dit duidelijk vooraf is aangekondigd, kan ertoe leiden dat in strijd met artikel 139f Wetboek van Strafrecht wordt gehandeld. Nu het onderhavige product specifiek wordt aangeprezen voor een gebruik dat op zichzelf genomen verboden kan worden geacht, is de voorzitter van oordeel dat de onderhavige commercials in strijd zijn met de goede smaak en het fatsoen. Derhalve heeft adverteerder ten aanzien van de commercials gehandeld in strijd met het bepaalde in artikel 2 van de Nederlandse Reclame Code (NRC).
2) Ten aanzien van de tekst op de website ligt het voorgaande in zoverre anders, dat in deze tekst op meer algemene wijze wordt gewezen op de mogelijkheid de pen ongemerkt te gebruiken. Dit neemt evenwel niet weg dat deze tekst dient te worden bezien in samenhang met de commercial die op de website kan worden aangeklikt. Als gevolg van dit laatste zal de consument ook de tekst in deze zin uitleggen dat de REC Pen in het bijzonder geschikt is om daarmee heimelijk personen in een besloten ruimte te filmen. Ook bedoelde tekst dient, gelet op de hiervoor bedoelde commercial, in strijd met artikel 2 NRC te worden geacht.
3) Voor zover klager nog stelt dat de REC Pen zelf aanzet tot wetsovertreding, merkt de voorzitter op dat het adverteerder vrijstaat om reclame te maken voor het onderhavige product, mits deze reclame niet oproept of aanzet tot een gebruik dat een strafbaar feit kan opleveren en de reclame ook verder voldoet aan de eisen van de Nederlandse Reclame Code.
4) Ten aanzien van het verzoek van adverteerder om een termijn van 4 tot 6 weken te krijgen voor aanpassing van de reclame-uitingen, volstaat de voorzitter met op te merken dat dit verzoek niet aan de orde kan zijn, reeds omdat voorkomen moet worden dat de consument op grond van de uitingen de REC Pen zal kopen om daarmee heimelijk in woningen en andere niet-publieke plaatsen mensen te filmen, waardoor hij mogelijk een strafbaar feit zal begaan.

ABRvS 16 juli 2014, IT 1568 (appellant tegen College B&W Zevenaar)
Tussenarrest. Persoonsgegevens. Een oud-ambtenaar van de gemeente Zevenaar doet beroep op het inzagerecht van art. 35 Wbp om de hem betreffende persoonsgegevens uit zijn digitale personeelsdossier te ontvangen. De rechtbank had dit verzoek na een eerdere uitspraak van de RvS afgewezen, omdat de documenten uit het dossier geen bestand zouden vormen. De Afdeling wijkt nu van dit eerder ingenomen standpunt af: in geval van geautomatiseerde verwerking van persoonsgegevens is niet van belang of deze gegevens een bestand vormen. Zij draagt het College van B&W van Zevenaar op om nieuwe besluiten te nemen.

5.3. De Afdeling heeft met toepassing van artikel 8:29, vijfde lid, van de Awb de documenten die digitaal zijn opgeslagen ingezien. Deze documenten zijn voornamelijk door medewerkers van de gemeente gemaakte brieven en verslagen van gevoerde gesprekken en concepten daarvan, die niet in het personeelsdossier van [appellant] zijn opgenomen. Zij zijn gemaakt met het programma Word en door bedoelde medewerkers met een gemeentelijke computer digitaal opgeslagen.

5.4. Deze digitale wijze van verzamelen van documenten die persoonsgegevens bevatten, is een vorm van geautomatiseerde verwerking van persoonsgegevens als bedoeld in artikel 2, eerste lid, van de Wbp. Dit artikel is de implementatie van artikel 3, eerste lid, van de Privacyrichtlijn.

In de bewoordingen van beide bepalingen wordt geautomatiseerde verwerking van persoonsgegevens onderscheiden van niet-geautomatiseerde verwerking.

Dat artikel 3 van de Privacyrichtlijn beoogt onderscheid tussen deze twee wijzen van verwerkingen te maken blijkt mede uit de overwegingen 15 en 27 van de bij de Privacyrichtlijn behorende preambule. In overweging 15 staat dat verwerking van persoonsgegevens slechts onder deze richtlijn valt als zij geautomatiseerd is of als de betrokken gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand dat gestructureerd is volgens specifieke persoonscriteria. In overweging 27 staat dat de bescherming van personen zowel op automatische als op niet-automatische verwerking van toepassing is en dat wat de niet-automatische verwerking betreft alleen bestanden en geen ongestructureerde dossiers onder de richtlijn vallen. Hieruit en ook uit de tekst in de Franse, Engelse en Duitse taalversies van artikel 3, eerste lid, van de Privacyrichtlijn en overweging 27 van de preambule blijkt het oogmerk om geautomatiseerd verwerkte persoonsgegevens ook onder de reikwijdte van de Privacyrichtlijn te brengen als het geheel van de verwerkte gegevens niet is aan te merken als een bestand in de zin van artikel 2, aanhef en onder c, van de Privacyrichtlijn, omdat het bij geautomatiseerde verwerking gemakkelijker is dan bij niet-geautomatiseerde verwerking om persoonsgegevens te zoeken en te vinden.

5.5. Nu de tekst van de artikelen 2, eerste lid, van de Wbp en artikel 3, eerste lid, van de Privacyrichtlijn duidelijk is, kan wat hierover in de memorie van toelichting bij de Wbp is vermeld (Kamerstukken II 1997/98, 25892, nr. 3, blz. 53) daaraan niet afdoen.

Gezien het vorenstaande volgt uit de bewoordingen van artikel 2, eerste lid, van de Wbp en artikel 3, eerste lid, van de Privacyrichtlijn, gelezen in samenhang met de overwegingen uit de preambule bij die richtlijn, dat het in geval van geautomatiseerde verwerking van persoonsgegevens niet van belang is of deze gegevens een bestand als bedoeld in artikel 1, aanhef en onder c, van de Wbp, vormen.

Met dit oordeel wijkt de Afdeling af van hetgeen is overwogen in de uitspraak van 30 januari 2013 (zaak nr.201112022/1/A3), in welke uitspraak de betekenis van de Privacyrichtlijn onvoldoende is onderkend.

5.6. De rechtbank heeft derhalve ten onrechte van belang geacht of de door [appellant] gevraagde digitale documenten een bestand vormen, als bedoeld in artikel 1, eerste lid, aanhef en onder c, van de Wbp en het beroep van [appellant] ten onrechte ongegrond verklaard omdat het niet een zodanig bestand is. De aangevallen uitspraak dient in zoverre te worden vernietigd. Het college heeft ten onrechte het verzoek van [appellant] niet beoordeeld op grond van de Wbp en met toepassing van de in die wet opgenomen weigeringsgronden. Het betoog slaagt.

Vzr. Rechtbank Midden-Nederland 11 juli 2014, IT 1567 (eiseres tegen gedaagden)
Ontbinding koopovereenkomst. Ontvangsttheorie. Eiseres en gedaagden hebben een koopovereenkomst gesloten met betrekking tot een woning. In de koopovereenkomst is een ontbindende voorwaarde opgenomen, wanneer de bank weigert de hypotheek te royeren. Gedaagden beroepen zich op de ontbindende voorwaarde en hebben hiertoe een e-mail verzonden naar eiseres. Eiseres stelt dat gedaagden tekort zijn gekomen in de nakoming van hun verplichtingen uit hoofde van de koopovereenkomst door de woning niet te leveren en vordert nakoming. Tevens betwist zij de ontvangst van de e-mail. Er kan geen beroep worden gedaan op de ontbindende voorwaarde op grond van de ontvangsttheorie.

4.5. Nog daargelaten of de inhoud van de e-mail van 9 mei 2014 van 15:28:03 uur voldoet aan hetgeen is bepaald in artikel 23 jo artikel 16.3. van de koopovereenkomst kan er voorshands niet van worden uit gegaan dat deze e-mail [eiseres] heeft bereikt. [eiseres] heeft de ontvangst van deze e-mail betwist. De voorzieningenrechter is van oordeel dat ingevolge artikel 3:37 BW de zogenaamde ontvangsttheorie dient te gelden, hetgeen betekent dat een tot een bepaalde persoon gerichte verklaring (in dit geval het beroep op artikel 23 van de koopovereenkomst richting [eiseres]) pas zijn werking heeft als de verklaring die persoon heeft bereikt. Verzending alleen is niet voldoende. Een verklaring die de geadresseerde niet bereikt heeft geen werking. De bewijslast ligt op degene die zich op de gevolgen van de mededeling – in casu ontbinding van de koopovereenkomst – beroept. Het is aan [gedaagde 1] en [gedaagde 2] om aan te tonen dat de e-mail van 9 mei 2014 van 15:28:03 uur [eiseres] ook heeft bereikt. Nu deze e-mail zonder ontvangstbevestiging is verstuurd, kan van de ontvangst niet worden uitgegaan. Het aanbod ter zitting van [gedaagde 1] en [gedaagde 2] om bij Google te laten onderzoeken of de e-mail daadwerkelijk is verstuurd, wordt gepasseerd nu voor nadere bewijslevering in het kader van dit kort geding geen plaats is.

De voorzieningenrechter is van oordeel dat van een professionele partij, als de door [gedaagde 1] en [gedaagde 2] ingeschakelde makelaar, mag worden verwacht dat hij in het geval er sprake is van een cruciale verklaring, zoals het onderhavige beroep op een ontbindende voorwaarde, zich ervan vergewist dat deze verklaring is ontvangen door de wederpartij, door middel van het vragen van ontvangstbevestiging en/of leesbevestiging, dan wel had de makelaar in de e-mail zelf om een bevestiging van ontvangst moeten vragen of moeten verifiëren bij [eiseres] of zij de e-mail in goede orde heeft ontvangen.
De voorzieningenrechter voegt hieraan nog toe dat de door [gedaagde 1] en [gedaagde 2] overgelegde e-mail van 9 mei 2014 van 15:28:03 uur waar zij zich op beroepen niet is voorzien van een geadresseerde en dat er geen stukken van de bank zijn toegevoegd, zodat er voorshands niet vanuit kan worden gegaan dat [gedaagde 1] en [gedaagde 2] hebben voldaan aan de “documentatie-eis” van artikel 16.3. van de koopovereenkomst. De omstandigheid dat de makelaar van [gedaagde 1] en [gedaagde 2] heeft verzuimd zich overeenkomstig het bepaalde in de koopovereenkomst te beroepen op de ontbindende voorwaarde komt voor rekening en risico van [gedaagde 1] en [gedaagde 2].

4.7.
Voorgaande betekent dat de gevorderde veroordeling tot nakoming van de koopovereenkomst toewijsbaar is en dat [gedaagde 1] en [gedaagde 2] zullen worden veroordeeld om binnen vijf dagen na betekening van dit vonnis te verschijnen bij de notaris en mee te werken aan de levering van de woning. Voorts zal worden bepaald dat dit vonnis zo nodig in de plaats treedt van de (handtekening onder de) akte tot levering als bedoeld in artikel 3:300 BW, indien [gedaagde 1] en [gedaagde 2] niet verschijnen bij de notaris en de notaris bericht heeft ontvangen dat het gekochte vrij is van hypotheken en beslagen.

Rechtbank Den Haag 23 juli 2014, IT 1566 (Stichting ICTU tegen CGI Nederland/Gemeente Haarlemmermeer)
Uitspraak ingezonden door Jeroen Koëter en Lieneke Viergever, Project Moore. Ontstaan schuld. Betaling factuur. CGI levert en implementeert Triple C bij de gemeente Haarlemmermeer. Stichting ICTU betaalt namens de gemeente aan CGI de facturen op grond van een contract . Nu weigert de gemeente de betaalde bedragen aan Stichting ICTU te betalen, het staat (na tussenvonnis) niet vast dat er (telefonisch) toestemming tot betaling is. Oftewel geen nakomingsverbintenis. De vordering van de ongerechtvaardigde verrijking echter slaagt. De gemeente voert aan dat er klachten zijn en dat er tekortkomingen bij de oplevering van het Triple C-project zijn, daarmee is nog niet bewezen dat er geen 'schuld' is. Er is, nadat harde afspraken zijn gemaakt, verder ook geen actie ondernomen (ontbinding of schadevordering). De Gemeente wordt veroordeeld om de door ICTU betaalde facturen te betalen op grond van ongerechtvaardigde verrijking.

2.13. Logica en de Gemeente hebben vervolgens nadere afspraken gemaakt over het oplossen van in totaal 114 (nog) uitstaande probleempunten van de Gemeente, waama in april 2011 een tweede acceptatietest heeft plaatsgevonden (de april-release). De Gemeente heeft deze april-release niet geaccepteerd. In de maand juli is een nieuwe release opgeleverd. Naar aanleiding daarvan zijn de Gemeente en Logica in de aanvullende leveringsovereenkomst van 30 augustus 2011 overeengekomen dat de laatste uitstaande klachten worden verholpen, en dat de facturering - in afwijking van de leveringsovereenkomst van 31 december 2010 - als volgt zou geschieden:(...)

2.14. De rechtbank leidt uit deze gang van zaken af dat er wel degelijk een contractuele verplichting voor de Gemeente bestond om over te gaan tot betaling. ICTU heeft in productie 6 bij dagvaarding een onderbouwd overzicht gegeven van de desbetreffende facturen, de relevante contractsbepaling waarop de betalingsverplichting is gegrond, factuurdatum en de betalingsdatum.

2.16. Nu op grond van het voorgaande moet worden aangenomen dat de Gemeente - anders dan zij heeft betoogd - een schuld aan Logica had uit hoofde van de (aanvullende) leveringsovereenkomst, en voorts vast staat dat ICTU die schuld van de Gemeente heeft voldaan, is de Gemeente ongerechtvaardigd verrijkt ten koste van ICTU. De rechtbank acht het redelijk dat de Gemeente de schade van ICTU tot het bedrag van de betaalde facturen aan ICTU vergoedt. De Gemeente zal aldus worden veroordeeld tot betaling aan ICTU van een bedrag van € 418.260,70, inclusief BTW, vermeerderd met de wettelijke handelsrente als gevorderd en onweersproken.

Rechtbank Rotterdam 17 juli 2014, (eiser tegen ACM, voorheen OPTA) ECLI:NL:RBROT:2014:5821
Persbericht: De Autoriteit Consument & Markt (ACM) -destijds OPTA- heeft in 2007 aan een overtreder van het spamverbod  een boete opgelegd van 55.000 euro. Nadat deze boete definitief was geworden wilde ACM de boete gaan invorderen. De overtreder heeft ACM verzocht de invordering van de opgelegde boete op te schorten omdat hij de boete naar eigen zeggen niet kon betalen.

ACM heeft het verzoek afgewezen, omdat de overtreder zijn verzoek onvoldoende had onderbouwd. Deze beslissing heeft de overtreder vervolgens aangevochten. In beroep oordeelt de rechtbank dat ACM de overtreder voldoende mogelijkheden heeft gegeven om  te onderbouwen waarom hij de boete niet kon betalen. In de stukken die de overtreder had overgelegd, werd onvoldoende duidelijk of de overtreder de boete wel of niet kon betalen. De rechtbank is van oordeel dat ACM voor de onderbouwing mocht vragen naar een accountantsverklaring en geen genoegen hoefde te nemen met een verklaring van een boekhouder.

Bovendien vindt de rechtbank de klacht van die de overtreder bij het Europese Hof van de Rechten van de Mens heeft ingediend geen reden om de invordering van de boete op te schorten. De boete is namelijk onherroepelijk vast komen te staan na de uitspraak van het College van Beroep voor het bedrijfsleven. Volgens de rechtbank mocht ACM in deze zaak weigeren om de invordering van de boete op te schorten.

Redactionele bijdrage ingezonden door Mark Jansen, Dirkzwager. Op diverse websites, waaronder op Tweakers, wordt op dit moment geschreven over een nieuwe techniek om internetters te kunnen volgen: canvas fingerprinting. In dit artikel sta ik kort stil bij de mogelijke juridische complicaties.

Wat is canvas fingerprinting?
Canvas fingerprinting komt, als ik het goed begrijp, in de kern neer op het volgende. Het is in moderne browsers eenvoudig mogelijk om een afbeelding door de browser te laten genereren. De afbeelding staat dan niet opgeslagen op de server van de websitehouder, maar ontstaat pas bij het bekijken van de website. De aanbieder van de website kan hiermee ruimte en bandbreedte uitsparen, maar veel interessanter: dynamische afbeeldingen maken (zoals een afbeelding met de naam van de bezoeker in beeld, of denk ook aan overtype-codes die je wel eens bij formulieren ziet staan).

De locatie op het scherm waar die afbeelding wordt gegenereerd wordt het canvas genoemd. De vingerafdruk komt vervolgens als volgt in beeld: het blijkt dat verschillende browsers op basis van dezelfde instructies, toch een verschillende afbeelding produceren. De verschillen zijn soms slechts heel miniem. Dit verschijnsel kan worden veroorzaakt door de versie van de browser, maar bijvoorbeeld ook de grafische kaart die wordt gebruikt.

De uiteindelijk gemaakte afbeelding, zegt dus iets over het apparaat waarop/waarmee deze is gemaakt. Door de gegenereerde afbeelding tot in detail te onderzoeken, ontstaat dan ook een soort vingerafdruk van het betreffende apparaat. Het lijkt in zoverre dus op een variant van het al bekende device fingerprinting.

Zijn deze handelingen toegestaan of niet?
De cookiewet (eigenlijk: artikel 11.7a Telecommunicatiewet) verbiedt – kort samengevat – om zonder toestemming van de gebruiker “toegang (…) te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens (…) op te slaan in de randapparatuur van de gebruiker“.

Dit roept de vraag op of het analyseren van de wijze waarop een browser een afbeelding genereert, sprake is van het verkrijgen van toegang tot “gegevens die zijn opgeslagen in de randapparatuur van een gebruiker“. Daarvoor is de vraag wat is bedoeld met “opgeslagen“: de gegenereerde afbeelding staat immers niet op de harde schijf van de eindgebruiker, maar zal vermoedelijk wel ergens in het werkgeheugen worden vastgehouden (om te kunnen vertonen). Ik vraag me af of de Europese wetgever bij het opstellen van de eprivacy richtlijn ook dergelijke toegang heeft voorzien en heeft bedoeld op te nemen in de richtlijn. Gelet op punt 24 in de considerans lijkt een ruime privacybescherming bedoeld; aan de andere kant lijkt de richtlijn gelet op overweging 25 toch wel sterk op cookie toegespitst.

Toezichthouder is helder: het mag niet
De toezichthouder ACM is in ieder geval wel heel stellig. In de huidige FAQ op de cookiewet valt immers het volgende te lezen:

'Alle gegevens die na het initiële request worden geplaatst of uitgelezen vallen wel onder het bereik van artikel 11.7a Tw.'

Met andere woorden: het op enige wijze uitlezen van gegevens over de computer van de gebruiker dat niet functioneel is, vereist volgens ACM toestemming van die gebruiker. In een eerder blogbericht signaleerde ik overigens al dat dit nieuwe vragen oproept. Die vragen zullen denk ik alleen maar verder toenemen met de opkomst van technieken als responsive design en progressive enhancement.

Gelet op de (enorme) hoogte van de boetes die ACM op kan leggen, en het gegeven dat je die boete pas aan kunt vechten nadat deze (met persbericht en al) is opgelegd, doen partijen er echter verstandig aan die discussieruimte niet op te zoeken en dergelijke nieuwe technieken dus (voorlopig) niet te gebruiken.

Waarom maken we de privacywet niet duidelijker?
Uit het voorgaande volgt dat er discussie mogelijk is of dergelijke technieken wel of niet onder de specifieke “cookiewet” vallen. Vervolgens kun je nog de discussie voeren of canvas fingerprinting niet onder omstandigheden (ook) functioneel kan zijn (en daarmee toegestaan onder de cookiewet). Dergelijke discussies zijn overigens een logisch bijeffect van wetgeving die heel specifiek gedrag reguleert.

Mijn stelling is dat het zinvoller is het specifieke belang in kwestie te reguleren (bescherming van de privacy) dan een bepaalde techniek (cookies, canvas fingerprinting, een toekomstige techniek, etc.). Voor de bescherming van de privacy is er al lang wetgeving in de vorm van de Wet bescherming persoonsgegevens (zie ook onze privacycheck). Het zou m.i. veel zinvoller zijn wanneer op basis van die wet duidelijke grenzen worden gesteld aan het volgen van individueen, dan dat er middels specifieke wetgeving grenzen worden gesteld aan volgtechnieken.

In de recente opinie van de artikel 29 werkgroep over de grondslag van het gerechtvaardigd belang, wordt deze duidelijkheid in grote lijnen gegeven. De privacytoezichthouders laten namelijk weten dat in hun visie, onder de privacywetgeving, er “bijna altijd” toestemming vereist is voor het volgen van mensen:

'In this respect, it is useful to recall the Working Party’s Opinion on purpose limitation, where it is specifically stated that ‘when an organisation specifically wants to analyse or predict the personal preferences, behaviour and attitudes of individual customers, which will subsequently inform ‘measures or decisions’ that are taken with regard to those customers …. free, specific, informed and unambiguous ‘opt-in’ consent would almost always be required, otherwise further use cannot be considered compatible. Importantly, such consent should be required, for example, for tracking and profiling for purposes of direct marketing, behavioural advertisement, data-brokering, location-based advertising or tracking-based digital market research.’

Het is nu alleen nog afwachten wanneer deze redenering voor het eerst wordt toegepast. In rapportages van het CBP over YD Advertising en de cookies bij de NPO is dit al terug te zien. Het is nu wachten op de eerste last onder dwangsom of, zodra de wet daartoe is aangepast, de eerste boetes. Daarna pas kunnen we zien of de rechter het standpunt van de WP29 en het CBP in deze ook volgt. We houden u op de hoogte.

Mark Jansen

Internetconsultatie Wet voorkomen misbruik Wob, 22 juli - 19 augustus 2014.
Onderzoek naar onder meer de werking van de Wet dwangsom en beroep bij niet tijdig beslissen laat zien dat sprake is van grootschalig misbruik van de dwangsomregeling, waarbij verzoeken op grond van de Wet openbaarheid van bestuur (Wob) worden ingediend die niet gericht zijn op het verkrijgen van informatie maar enkel op het innen van dwangsommen. Wob-verzoekers proberen dan bewust het bestuursorgaan op het verkeerde been te zetten of hun verzoek in de ambtelijke molens te laten verzanden, zodat het bestuursorgaan niet tijdig beslist en dientengevolge een dwangsom verbeurt. De afhandeling van deze op innen van geld gerichte Wob-verzoeken jaagt de bestuursorganen op kosten en gaat ten koste van hun functioneren.
Het wetsvoorstel gaat het op innen van geld gerichte misbruik van de Wob tegen. Het regelt dat de dwangsomregeling uit de Algemene wet bestuursrecht niet langer van toepassing is op de Wob. Ook Wob-verzoeken die gericht zijn op inning van proceskosten of – door de rechter opgelegde – dwangsommen in het kader van de regeling van het rechtstreeks beroep bij niet tijdig beslissen worden tegengegaan.
Concept regeling | Te wijzigen regeling | Ontwerp toelichting

Rechtbank Midden-Nederland 23 juli 2014, IT 1562 (Vereniging Praktijkhoudende Huisartsen tegen Vereniging Zorgaanbieders voor Zorgcommunicatie)
De rechtbank heeft de vordering van de Vereniging van Praktijkhoudende Huisartsen (VPH) om de invoering en verdere ontwikkeling van een systeem voor het elektronisch uitwisselen van medische gegevens te verbieden, afgewezen. De rechtbank oordeelde dat de manier waarop het systeem is ingericht niet in strijd is met de wet bescherming persoonsgegevens.

2.3.
Na verwerping door de Eerste Kamer van het wetsvoorstel “Wet gebruik Burgerservicenummer in de zorg in verband met elektronische informatie-uitwisseling in de zorg” hebben de Landelijke Huisartsen Vereniging (LHV), de Vereniging Huisartsenposten Nederland (VHN), de Koninklijke Nederlandse Maatschappij ter bevordering der Pharmacie (KNMP) en de Nederlands Vereniging van Ziekenhuizen (NVZ) besloten een doorstart te maken met de reeds ontwikkelde landelijke infrastructuur voor elektronische uitwisseling van medische persoonsgegevens. Zij hebben daartoe een “Doorstartmodel” (hierna: het Doorstartmodel) opgesteld en dit op 21 december 2011 ter advisering voorgelegd aan het College bescherming persoonsgegevens (Cbp)”. Het Doorstartmodel is gebaseerd op de bestaande infrastructuur voor de elektronische uitwisseling van medische persoonsgegevens gegevens, “AORTA-standaard”, die is ontwikkeld door het Nederlands Instituut voor ICT in de zorg (Nictiz). Deze infrastructuur wordt hierna aangeduid als de zorginfrastructuur.

De geformuleerde doeleinden voor gegevensverwerking
5.9.
In de preambule van het Convenant hebben de bij het Convenant betrokken partijen doeleinden geformuleerd (zie hiervoor in 2.6). De beschreven doeleinden “betere en veiliger zorg”, “het bevorderen van doelmatigheid in de zorg” en “meer betrokkenheid van patiënten bij hun eigen gezondheid” hebben betrekking op de registratie en verwerking van medische persoonsgegeven en vormen naar het oordeel van de rechtbank daarvoor een voldoende rechtvaardiging. Daarbij is in aanmerking genomen dat de noodzaak voor registratie en uitwisseling van medische persoonsgegevens voor een goede en veilige gezondheidszorg algemeen is aanvaard. Dat thans eveneens algemeen is aanvaard dat registratie en uitwisseling plaatsvinden langs elektronische weg blijkt onder meer uit het hiervoor in 5.4 genoemde advies en werkdocument van De Artikel 29 Groep en het advies van het Cbp van 18 januari 2012. In deze documenten wordt niet in twijfel getrokken dat is voldaan aan het vereiste dat het leveren van een betere gezondheidszorg een gerechtvaardigd doel vormt voor de registratie en verwerking van medische persoonsgegevens langs elektronische weg. VPH c.s. erkent dit zelf ook. De omschrijving van de doeleinden in een convenant is naar haar aard in algemene bewoordingen gesteld en zal pas bij de uitwerking daarvan concreter kunnen zijn. De rechtbank acht de in het Convenant gegeven doeleindenomschrijving, anders dan VPH c.s. heeft gesteld, voldoende concreet.

5.11.
In het Businessplan is een financieringsmodel uitgewerkt (pagina 10 van het Businessplan), waarbij de eenmalige kosten die de individuele zorgaanbieders moeten maken om zich aan te sluiten op de zorginfrastructuur worden vergoed op een vooraf vastgesteld normbedrag. De structurele kosten die de individuele zorgaanbieders jaarlijks maken voor hun aansluiting worden vergoed op basis van daadwerkelijk gebruik van de zorginfrastructuur. Niet valt in te zien dat het geven van dergelijke vergoedingen in strijd is met de bepalingen van de Wbp. De individuele zorgaanbieders moeten werkelijk kosten maken om te kunnen aansluiten op de zorginfrastructuur. Dat een - zoals het Businessplan het op pagina 85 formuleert - “adequate” vergoeding mede tot doel heeft om de zorgaanbieders te stimuleren snel op de zorginfrastructuur aan te sluiten, betekent - anders dan VPH c.s. betoogt - dan ook niet dat de vergoeding een ongeoorloofde prikkel is om de zorgaanbieders tot aansluiting te bewegen.

De toestemming
5.12. Op grond van de hiernavolgende overwegingen is de rechtbank van oordeel dat met de wijze waarop de procedure tot het verlenen van toestemming voor de verwerking van persoonsgegevens is vormgegeven, voldoende is gewaarborgd dat wordt voldaan aan de in artikel 23 Wbp gestelde eis dat de betrokkene “uitdrukkelijk toestemming” heeft verleend.

Informed consent
5.21. Op grond van hetgeen hiervoor in 5.13 t/m 5.20 is overwogen is de rechtbank van oordeel dat de procedure voor toestemmingsverlening voldoende waarborgen biedt om te kunnen voldoen aan de vereisten dat de toestemming vrijwillig is gegeven, dat deze voldoende specifiek is en dat deze is gebaseerd op voldoende informatie.

proportionaliteit
5.24 Naar het oordeel van de rechtbank kan de gegevensverstrekking door middel van de professionele standaard daarom ook wat betreft de omvang en de inhoud van de verstrekte gegevens de proportionaliteitstoets doorstaan.

5.27. Het betoog van VPH c.s. dat gebruikmaking van de zorginfrastructuur de huisarts noopt tot schending van zijn geheimhoudingsplicht als bedoeld in artikel 7:457 BW, artikel 88 van de wet BIG en artikel 272 WvS treft gelet op het voorgaande geen doel.

Andere blogs:
SOLV