Via nu.nl: De Europese Unie en de Verenigde Staten zijn bijna klaar om een nieuwe versie van het dataverdrag Safe Harbor met elkaar te sluiten. Er wordt al twee jaar gediscussieerd over een nieuw Safe Harbor-verdrag, dat de opslag van Europese privégegevens in de Verenigde Staten regelt, maar nu zijn wetgevers in de twee regio's het bijna met elkaar eens.

"Er is in principe een akkoord over deze zaken, maar we bespreken nog hoe we ervoor kunnen zorgen dat deze verplichtingen bindend genoeg zijn om te voldoen aan de eisen van de rechtbank", zei eurocommissaris Věra Jourová (Justitie) maandagavond tegen een groep Europarlementariërs, meldt de Wall Street Journal.
Lees verder >

Gerechtshof Arnhem-Leeuwarden 13 oktober 2015, IT 1903; ECLI:NL:GHARL:2015:7773 (Sport Navigator.nl tegen Clafis Engineering Noord)
Sponsorovereenkomst. Tussen partijen bestaat een logo-overeenkomst. Er is onduidelijkheid over welke informatie Clafis aanspraak kan maken. Volgens het Hof kan Clafis aanspraak maken op de informatie om de exposurepercentage te berekenen evenals de overlegging van de startlijsten. Dat deze lijsten openbare informatie betreffen die Clafis zelf ook kan achterhalen doet daaraan niet af, omdat deze informatie in het domein ligt van Sport Navigator. Wat betreft de informatie om na te gaan of Sport Navigator haar contractuele verplichtingen al dan niet volledig is nagekomen, is de vordering niet toewijsbaar, ook niet op grond van art. 843a. Het gaat dan niet meer om gegevens die noodzakelijk zijn voor de uitvoering van de overeenkomst. Vordering tot afgifte van de stukken die in beslag zijn genomen is niet toewijsbaar. Hof bekrachtigt vonnis van de voorzieningenrechter en veroordeelt Sports Navigator tot betaling van een dwangsom voor iedere dag dat zij in gebreke blijft.

4.19. De vraag is vervolgens op welke informatie Clafis tegen deze achtergrond aanspraak kan maken. In artikel 6 lid 1 van de overeenkomst is bepaald dat partijen elkaar alle informatie zullen verschaffen die redelijkerwijs noodzakelijk is voor de uitvoering van de overeenkomst. Naar het voorlopig oordeel van het hof valt daaronder de informatie die benodigd is om het in artikel 2 lid 1 en 2 bedoelde exposurepercentage tijdens EK’s Allround en WK’s Sprint te berekenen. Volgens artikel 3 lid 5 bepaalt dit immers de uiteindelijke betalingsverplichting van Clafis. Verstrekking van deze informatie is daarmee noodzakelijk voor de uitvoering van de overeenkomst. De in rov. 4.7 vermelde vorderingen onder 1 sub b en c - die op bepaalde punten afwijken van de onderdelen b en c van het dictum van het bestreden vonnis - zijn op deze grond dus toewijsbaar, voor zover het om gegevens over de EK’s Allround en WK’s Sprint tijdens de contractperiode gaat. De vordering tot overlegging van startlijsten van deze evenementen is eveneens toewijsbaar, omdat het daarbij om relevante informatie in dit kader gaat (ook deze informatie heeft Clafis nodig voor berekening van de exposurepercentages). Dat deze lijsten openbare informatie betreffen die Clafis zelf ook kan achterhalen, zoals Sport Navigator stelt, doet daaraan niet af, te meer nu deze informatie in elk geval in het domein van Sport Navigator ligt. Sport Navigator heeft tijdens het pleidooi overigens ook verklaard dat zij over deze gegevens beschikt.

4.20. Bij de andere door Clafis verlangde gegevens (voor zover niet toegewezen door de voorzieningenrechter) ligt dit anders. Clafis vraagt om die gegevens om na te kunnen gaan of Sport Navigator haar contractuele verplichtingen al dan niet volledig is nagekomen, met het oog op een eventuele vordering tot schadevergoeding. Het gaat dan niet meer om gegevens die noodzakelijk zijn voor de uitvoering van de overeenkomst in de zin van artikel 6 lid 1. Aan het bepaalde in artikel 6 lid 3, dat Sport Navigator Clafis inzicht zal verschaffen met welke schaatsbonden/schaatsers tot overeenstemming is gekomen, kan Clafis zonder nadere toelichting, die ontbreekt, ook niet het recht ontlenen om kennis te nemen van de inhoud van de contracten die Sport Navigator met de bonden/schaatsers heeft gesloten.
De vordering is, wat dit betreft, op deze grondslag dus niet toewijsbaar. 

4.21 (...)Artikel 843aRv biedt, gelet op deze beperkingen, niet de mogelijkheid voor het opvragen van documenten waarvan Clafis slechts vermoedt dat zij steun zouden kunnen geven aan de stelling dat Sport Navigator één of meer verplichtingen uit de overeenkomst niet is nagekomen. Naar het oordeel van het hof heeft Clafis, in het licht van de betwisting door Sport Navigator, onvoldoende gesteld om een rechtmatig belang bij verstrekking van deze gegevens aan te kunnen nemen. Ten aanzien van haar vordering tot overlegging van de overeenkomsten tussen Sport Navigator en de schaatsbonden/schaatsers, heeft Clafis gesteld te vermoeden dat Sport Navigator afspraken met bonden/schaatsers heeft gemaakt over plaatsing van logo’s van andere sponsoren op de aan Clafis toegezegde positie, wat uit de overeenkomsten zou kunnen blijken. Haar stellingen daarover heeft Clafis echter niet of nauwelijks onderbouwd. (...)

Bijdrage ingezonden door Menno Weij, SOLV. Eerder in TVIR. Het kan u niet ontgaan zijn: de Amsterdamse voorzieningenrechter1 heeft Facebook onlangs gedwon geplaatst. Saillant: Facebook beweert bij hoog en laag die gegevens niet te hebben. Maar de rechter is bepaald niet overtuigd van dit argument van Facebook, en sluit niet uit dat Facebook nog wel degelijk over enige informatie beschikt. En levert Facebook die informatie niet, dan moet Facebook dulden dat een onafhankelijk deskundige daar nog eens naar speurt.

Dat het die kant op lijkt te gaan, staat al min of meer vast. Facebook heeft inmiddels een officiële verklaring uitgebracht na de publicatie van het vonnis, dat ze echt niet (meer) over de gevraagde informatie beschikt. Hiermee opent Facebook zo ongeveer letterlijk haar deuren, want dan zal Chantal een onafhankelijke IT expert mogen vragen om zelf naar die gegevens te gaan zoeken, en zal die IT-expert daar een rapport over moeten schrijven. Het is dan vervolgens een kwestie van tijd voordat dit rapport in het openbaar verschijnt.

Facebook bewijst de internettussenpersoon een slechte dienst. Afgaand op de inhoud van vonnis, laat de processtrategie van Facebook te wensen over. Ik ben mij er bewust van dat elke zaak en dus elk vonnis zijn eigen bijzonderheden kent, zo ook deze, maar waag mij toch aan de volgende stellingen. Het resultaat van deze Facebook-uitspraak is mijns inziens dat je als internettussenpersoon nu kennelijk moet gaan monitoren wat er allemaal op je platform gebeurt. Als dat gedrag van een persoon vervolgens ook maar enigszins onoirbaar lijkt op basis van meldingen van je andere gebruikers, moet je van die persoon kennelijk gegevens bewaren. Kortom, een verkapte bewaarplicht. Maar (i) in welke gevallen je nu precies gegevens moet bewaren, (ii) welke gegevens je dan moet bewaren en (iii) voor over te vinden heeft. Ik doe een poging een an ander uit te leggen.

1. De processtrategie van Facebook|
De processtrategie van Facebook heeft mijns inziens echt te wensen overgelaten.

1. Er was niemand tijdens de zitt ing van Facebook aanwezig, alleen de advocaten

Tot drie keer toe kunnen de advocaten van Facebook tijdens de zitting geen helderheid verschaffen aan de rechter over belangrijke feiten. De rechter straft dit genadeloos af. Het gaat om de volgende feiten.

‘De raadslieden van Facebook hebben ter zitt ing volstaan met de mededeling dat het hen niet bekend is of dergelijke gegevens toegankelijk zijn voor Facebook Nederland, maar dat dat hen onwaarschijnlijk lijkt, omdat Facebook Nederland met name is gericht op de verkoop. Nu een nadere toelicht ing van Facebook ontbreekt, wordt deze stellingname onvoldoende overtuigend geacht. De voorzieningenrechter gaat er daarom vooralsnog vanuit dat ook Facebook Nederland in beginsel toegang heeft tot de gevraagde gegevens en in aansluit ing daarop dat Facebook Nederland (mede) opdracht kan geven tot het verrichten van een onafhankelijk onderzoek als gevorderd. Dat de werkzaamheden van Facebook Nederland in hoofdzaak zouden bestaan uit verkoopact iviteiten is onvoldoende om daarover voorshands anders te oordelen.’

En ten tweede weten de advocaten niet zoveel over de 'rapportages' nadat het filmpje is geplaatst:

‘Eiseres heeft gesteld dat het filmpje op 22 januari 2015, vlak nadat het op Facebook was gepost, minimaal vijf maal (onder meer door eiseres en haar moeder) aan Facebook is ‘gerapporteerd’ als aanstootgevend en/of ongepast. Facebook kon dit desgevraagd ter zitt ing niet beamen of ontkennen, omdat ook deze meldingen volgens Facebook zouden (kunnen) vallen onder de inmiddels verwijderde informat ie. Eiseres heeft terecht gesteld dat het in de rede had gelegen, gezien het beleid van Facebook zelf met betrekking tot ongewenste berichten, dat Facebook dit soort informat ie zou bewaren en/of zich in verbinding zou stellen met degene die de ongepaste content heeft geplaatst. De tekst op haar ‘Help-pagina’ in dit verband wekt immers op zijn minst de suggest ie dat met de verantwoordelijke persoon in voorkomende gevallen contact kan worden opgenomen Vooralsnog bestaat geen aanleiding om eraan te twijfelen dat eiseres en haar moeder het filmpje hebben gerapporteerd. Nu onduidelijk is wat Facebook met die meldingen heeft gedaan (..).’

En ten derde kunnen de advocaten niet duidelijk verklaren over wat er precies is gebeurd toen de melding binnen kwam om het account te verwijderen:

‘Verder is in de verklaring van 8 juni 2015 vermeld dat de gegevens zijn verwijderd naar aanleiding van een op 26 januari 2015 ingediend verzoek om verwijdering van de ‘nep-account’ ‘door de gebruiker’. Op de vraag waarop deze informat ie is gebaseerd en of de gegevens van deze gebruiker niet tot een latere datum nog ergens, bijvoorbeeld op een back-upserver, terug te vinden zijn (geweest), hebben de raadslieden van Facebook bij gebrek aan wetenschap geen duidelijk antwoord gegeven, zodat niet valt uit te sluiten dat nog informat ie voorhanden is.’

Op basis van dit ‘zwalken’ tijdens de zitting, concludeert de voorzieningenrechter dus dat bepaald niet uitgesloten is dat Facebook wel degelijk nog over informatie kan beschikken. Daarmee is één deel van de basis voor de uitspraak gelegd.

2. Facebook heeft zich maar heel beperkt verweerd
Facebook heeft niet betwist dat er een rechtsplicht kan bestaan tot het verstrekken van NAW-gegevens:

‘Een rechtsplicht tot het verstrekken van NAW-gegevens zoals in deze zaak gevorderd, kan voor een provider bestaan als aannemelijk is dat anoniem, althans door een door de benadeelde niet te traceren persoon, onrechtmat ige uit ingen via deze provider openbaar zijn gemaakt en de benadeelde alleen door tussenkomst van de provider, door middel van het verstrekken van NAW-gegevens, dergelijk onrechtmat ig handelen zou kunnen bestrijden. Facebook heeft dat op zichzelf ook niet betwist. Sterker nog, uit voornoemde algemene voorwaarden en richtlijnen volgt duidelijk dat zij er alles aan stelt te doen om dergelijke onrechtmat ige uit ingen (zoals bijvoorbeeld in de vorm van pesten, het plaatsen van privacygevoelige informatie over anderen, seksueel misbruik) te voorkomen en te bestrijden. Ook mogen gebruikers van Facebook volgens haar richtlijnen geen profielen aanmaken met gegevens die niet van hen zijn.’

 Facebook heeft ook niet betwist dat Chantal de NAW-gegevens niet op andere wijze kan achterhalen.

‘Verder heeft Facebook niet betwist dat het openbaar maken van de gewraakte opname waarbij eiseres herkenbaar in beeld seksuele handelingen verricht, jegens haar onrechtmat ig is, noch dat eiseres ten t ijde van het maken van het filmpje minderjarig was. Evenmin heeft Facebook betwist dat eiseres thans niet op andere wijze dan via het benaderen van Facebook de gegevens kan achterhalen van degene die op deze wijze onrechtmat ig jegens haar heeft gehandeld.’

Het gevolg is dat de rechter de hobbel van de rechtsnorm relatief makkelijk kan nemen:

‘Onder deze omstandigheden kan daarom worden aangenomen dat op Facebook in beginsel de rechtsplicht rust om aan eiseres de gevraagde gegevens te verstrekken en dat zij jegens eiseres onrechtmat ig handelt door daartoe niet over te gaan. Facebook heeft, behoudens het navolgende, waarop in r.o. 4.6 en volgende nader wordt ingegaan, geen (juridische) weren, feiten of omstandigheden aangevoerd op grond waarvan zich een dergelijke rechtsplicht in dit concrete geval niet zou voordoen.’

Dan beperk je de juridische strijd. Facebook voert eigenlijk dus maar 1 verweer: namelijk dat ze niet aan de vordering tot verstrekking kan voldoen, omdat de gegevens al gewist zijn:

‘Het inhoudelijke verweer van Facebook dat volgens haar zou moeten leiden tot afwijzing van de vorderingen, is beperkt tot haar stelling dat zij niet aan de vorderingen kan voldoen, omdat de gevraagde gegevens al volledig en permanent gewist zouden zijn.’

Maar zoals ik hiervoor aan aangaf: dat vindt de voorzieningenrechter dit verweer simpelweg niet geloofwaardig. Dat ziet met name op twee fases in het geschil tussen Chantal en Facebook.

(i) De rapporteer fase
Allereerst de fase tussen 22 en 26 januari 2015. Dit betreft (i) het aanmaken van het account en het plaatsen van het filmpje, (ii) de meldingen van andere Facebookers over dat filmpje ('rapportages'), en (iii) het verwijderen van het account. Ik schets nog even de tijdslijn: 22 januari wordt het account aangemaakt en het filmpje geplaatst. Er wordt tot aan 26 januari gerapporteerd dat het filmpje, zeg maar even, 'niet OK' is. Volgens Chantal 5x, en volgens de rechter in ieder geval 2x. Op 26 januari wordt het account verwijderd door Facebook op verzoek van de maker van het account.

Facebook is onduidelijk over die rapportages, en zegt niet te weten of zij nog over informatie beschikt van Facebookers die hebben gerapporteerd; zie hiervoor het eerdere citaat. Facebook stelt dus met zoveel woorden dat die informatie misschien al verwijderd was. De rechter vindt dat weinig geloofwaardig, omdat Facebook zelf suggereert dit soort informatie te moeten hebben, bijvoorbeeld om zich in verbinding te kunnen stellen met de Facebooker over wie wordt gerapporteerd.

Bovendien kan die informatie rondom het moment van rapporteren sowieso nooit verwijderd zijn geweest in deze zaak, want Facebook stelt in een (latere) officiële verklaring dat de informatie over het account in ieder geval tot 10 februari beschikbaar was. En hiermee maakt Facebook zichzelf volgens mij opnieuw ongeloofwaardig, want in haar eigen privacybeleid zegt Facebook dat ze gegevens met betrekking tot het account direct verwijdert als het account wordt verwijderd. Dat had in deze zaak dus op 26 januari moeten zijn gebeurd ...

(ii) De fase na de eerste sommatie
De 2e fase is na de eerste officiële sommatie van Chantal, op 30 april. Ik schets weer even de tijdslijn. Op 30 april sommeert de advocaat van Chantal om gegevens te verstrekken over de persoon die het account heeft aangemaakt en het filmpje heeft geplaatst.

Nog diezelfde dag reageert Facebook afhoudend, namelijk:

‘in order to assist you with your request, we’ll need to receive a valid subpoena or court order. Additionally, please be aware that there are situations where we may be unable to retrieve the informat ion you have requested due to technical limitat ions (…)’.

Op 5 mei sommeert de raadsman wederom. Er gebeurt kennelijk niks en dan besluit Chantal Facebook te dagvaarden voor de zitting van 11 juni jl. Maar pas na die dagvaarding komt Facebook op 8 juni met een officiële verklaring van het hoofd van de afdeling Online Safety Policy. Die verklaring luidt:

‘I have invest igated the Facebook account with user ID [naam digitaal adres] (‘Account’). The user who owned the Account requested that the Account be permanently deleted on 26 January 2015. As of that date, the Account was inaccessible to all people using Facebook. After the fourteen-day wait ing period, Facebook’s systems permanently deleted the Account on 10 February 2015. Because Facebook received no preservat ion request for the Account as of that date, all data, including basic subscriber information, was deleted on 10 February 2015. Facebook has had no access to or record of the informat ion requested by Ms. (…)’.

De rechter neemt het Facebook kwalijk dat ze op 30 april niet al heeft gezegd niet meer over die gegevens te beschikken:

‘Hoewel niet op voorhand aanleiding bestaat om aan de juistheid van de inhoud van die verklaring te twijfelen, is de vraag gerechtvaardigd waarom dit pas op 8 juni 2015 en niet reeds meteen naar aanleiding van de brief van 30 april 2015 aan eiseres is meegedeeld. Indien de gegevens na de brief van 30 april 2015 zijn verwijderd, is dat naar het oordeel van de voorzieningenrechter aan te merken als onzorgvuldig omgaan van Facebook met het door (de raadsman van) eiseres genoemde verzoek.’

Al deze onduidelijkheden leiden uiteindelijk tot een hard slotoordeel:

‘Tegen de achtergrond van voornoemde feiten en omstandigheden is de voorzieningenrechter van oordeel dat Facebook, door op de valreep te volstaan met de mededeling dat zij niet meer over de gevraagde gegevens beschikt bij het naleven van haar – in dit geval in beginsel aanwezige – rechtsplicht jegens eiseres tot het verstrekken van NAW-gegevens met betrekking tot degene die onrechtmat ig jegens eiseres heeft gehandeld, onvoldoende zorgvuldigheid in acht heeft genomen. Daarmee heeft Facebook op haar beurt naar het oordeel van de voorzieningenrechter onrechtmat ig gehandeld jegens eiseres.

Van Facebook kan op zijn minst worden gevergd om alles in het werk te stellen om na te gaan of de gegevens toch niet nog ergens traceerbaar zijn en, zo zij erbij blijft dat dit niet het geval is, om aan eiseres antwoord te geven op de (...) genoemde vragen. In het verlengde daarvan ligt besloten dat in het geval Facebook volhardt in haar standpunt dat geen enkel gegeven meer te vinden is, eiseres in dit geval recht op en belang heeft bij een onafhankelijk onderzoek naar de juistheid van de mededelingen van Facebook op dit punt.’

Voor mij is er maar één conclusie: Facebook is volstrekt niet transparant geweest, hetgeen tot argwaan bij de rechter heeft geleid. Die argwaan leidt tot het zelfs toestaan van een speurtocht naar data door een onafhankelijke deskundige. Dit moet pijnlijk zijn voor Facebook.

2. Onduidelijkheid voor internettussenpersonen: een verkapte bewaarplicht
Facebook bewijst niet alleen zichzelf, maar ook internettussenpersonen in het algemeen een slechte dienst met deze uitspraak. De positie van de neutrale, niet-aansprakelijke internettussenpersoon schuift weer een beetje op, en met deze uitspraak wordt kennelijk een verkapte bewaarplicht geïntroduceerd.

Even een stapje terug in de geschiedenis. Met de implementatie van de e-Commerce Richtlijn2 werd het zogenaamde ‘niet-aansprakelijkheidsregime’ voor internettussenpersonen geïntroduceerd. De Hoge Raad heeft in het Lycos/Pessers-arrest3 als volgt geformuleerd:

‘Met betrekking tot de levering van de in de art ikelen 12, 13 en 14 bedoelde diensten leggen de lidstaten de dienstverleners geen algemene verplicht ing op om toe te zien op de informat ie die zij doorgeven of opslaan, noch om act ief te zoeken naar feiten of omstandigheden die op onwett ige act iviteiten duiden.’ (…)
Art. 6:196c BW luidende, voor zover hier van belang:
‘4. Degene die diensten van de informat iemaatschappij verricht als bedoeld in art ikel 15d lid 3 van Boek 3, bestaande uit het op verzoek opslaan van een ander afkomst ige informat ie, is niet aansprakelijk voor de opgeslagen informat ie, indien hij: a. niet weet van de act iviteit of informatie met een onrechtmat ig karakter en, in geval van een schadevergoedingsvordering, niet redelijkerwijs behoort te weten van de act iviteit of informatie met een onrechtmatig karakter, dan wel b. zodra hij dat weet of redelijkerwijs behoort te weten, prompt de informat ie verwijdert of de toegang daartoe onmogelijk maakt.
5. Het hiervoor bepaalde staat niet in de weg aan het verkrijgen van een rechterlijk verbod of bevel.’

Het ‘niet-aansprakelijk, tenzij’ regime ziet op onmiskenbaar onrechtmatige content. De Hoge Raad introduceert in genoemd Lycos/Pessers-arrest vervolgens ook de algemene rechtsplicht voor het moeten vrijgeven van NAW-gegevens, die leidt tot onrechtmatig handelen als je dat niet doet. Niet onbelangrijk in deze kwestie: Lycos betwist als zodanig niet over deze gegevens te beschikken. Dat ligt in de Facebook zaak natuurlijk wezenlijk anders.

Inmiddels zien we dat de lijn van ‘niet aansprakelijk, tenzij’ aan het schuiven is; ik veronderstel die verschuiving enigszins bekend. Voorbeelden uit het verleden zijn onder andere de uitspraken rondom Marktplaats en Mininova. En recentelijk natuurlijk ook nog de Delfi-uitspraak van het EHRM.4 Rechters zoeken– kennelijk – naar argumenten waaruit blijkt dat je je als internettussenpersoon als het ware toch ‘bemoeit’ met de content. Dat lijkt de voorzieningenrechter in de Facebook-zaak ook te doen:

‘Wat betreft de grondslag van de vorderingen, wordt het volgende voorop gesteld. Onder omstandigheden kan op een provider de rechtsplicht rusten om NAW-gegevens te verstrekken aan een benadeelde (vgl. Hoge Raad 25 november 2005, Lycos/Pessers, ECLI: NL: HR: 2005: AU4019). Dit geldt temeer voor een provider van USG (User Generated Content) als Facebook, die zelf (mede) invloed uitoefent op hetgeen via haar medium wordt verspreid, onder meer door middel van het kenbaar maken van haar richtlijnen, het stellen van voorwaarden aan personen die een account aanmaken en het (al dan niet) ingrijpen wanneer ongepaste of aanstootgevende content wordt geplaatst.’

Ik ben het hier niet mee eens. Het enkel stellen van spelregels om lid te kunnen worden van een platformgemeenschap – die er feitelijk op neerkomen dat je geen onrechtmatige content mag plaatsen – betekent in mijn ogen niet dat je wetenschap hebt van die content. Het is sowieso niet toegestaan om onrechtmatige content te plaatsen, dus ik zie niet in waarom je kleur als neutrale internettussenpersoon verschiet als je contractuele borging van die regel zoekt.

3. Verkapte Bewaarplicht
Facebook betwist over de gegevens te beschikken, maar wordt toch veroordeeld deze gegevens te verstrekken. Dit is wat ik als de ‘verkapte bewaarplicht’ zie. Op drie plaatsen in het vonnis kan je deze verkapte bewaarplicht mijns inziens inlezen. Allereerst met betrekking tot de ‘rapporteer’ knop. Daarvan overweegt de voorzieningenrechter als volgt: ‘eiseres heeft terecht gesteld dat het in de rede had gelegen, gezien het beleid van Facebook zelf met betrekking tot ongewenste berichten, dat Facebook dit soort informat ie zou bewaren’. Met ‘dit soort informatie’ wordt gedoeld op meldingen van Facebookers dat content is ‘gerapporteerd’ als aanstootgevend en/of ongepast. Dat kan wat mij betreft niet anders betekenen dan dat je informatie moet bewaren over de (i) de content, en (ii) persoon over wie gerapporteerd wordt, maar ook over (iii) de Facebookers die rapporteren. Maar wat je dan precies moet bewaren? En in welke omstandigheden moet je die meldingen serieus nemen? Toegegeven, in het filmpje over Chantal is dat eigenlijk klip-en-klaar, maar er zijn ongetwijfeld minder duidelijke gevallen te bedenken. Bovendien kan je dit als gebruikers van een platform beïnvloeden. Even een berichtje aan je ‘vrienden’ om te rapporteren over bepaalde (negatieve) content. Klaar is kees.

Ten tweede met betrekking tot het gebruikersprofiel. Daarvan overweegt de voorzieningenrechter het volgende: ‘indien de gegevens na de brief van 30 april 2015 zijn verwijderd, is dat naar het oordeel van de voorzieningenrechter aan te merken als onzorgvuldig omgaan van Facebook met het door (de raadsman van) eiseres genoemde verzoek.’ Nog even voor de duidelijkheid: dit ziet op het verzoek van Chantal om onder andere naam, adres en woonplaats gegevens te verstrekken. Vast staat dat deze gebruiker zijn profiel heeft verwijderd op 26 januari. Ook staat vast dat de sommatie van Chantal gedateerd is op 30 april. Dat betekent mijns inziens dat je informatie over het gebruiksprofiel kennelijk minimaal 3 maanden moet bewaren.

Ten derde het dictum zelf. De voorzieningenrechter oordeelt dat Facebook de volgende gegevens moet afgeven:

‘a. de (opgegeven) voor- en achternaam
b. het e-mailadres en het mobiele nummer
c. de geboortedatum
d. het IP-adres van de computer die is gebruikt om de account aan te maken
e. de datum en tijd (en andere log-gegevens waarover Facebook mocht beschikken) ten aanzien van het aanmaken, gebruik en het verwijderen van de account’

Saillant: je bent bij Facebook niet verplicht je telefoonnummer op te geven als je een profiel aanmaakt. En nog saillanter wellicht: onderschat niet de reikwijdte en impact van de gegevens onder sub d. en sub e: dit is nogal wat om allemaal te moeten bewaren.

Als uitsmijter is mijn voorspelling dat Facebook (maar ook een beetje de voorzieningenrechter natuurlijk) de internettussenpersoon in een bijna onmogelijke spagaat brengt. Want deze uitspraak bevestigt immers dat je (persoons-)gegevens over onrechtmatig gedrag van je gebruikers moet bewaren. Dan word je op de voet van art. 31 van de Wet Bescherming Persoonsgegevens in de armen van het College Bescherming Persoonsgegevens gedreven. Die dient namelijk ‘voorafgaand aan een verwerking’ een onderzoek te verrichten naar de verwerking van persoonsgegevens over onrechtmatig gedrag te behoeve van derden, met name om de rechtmatigheid van die verwerking te toetsen. Daarmee heeft Facebook haar collega internettussenpersonen dus een slechte dienst bewezen. Wordt ongetwijfeld vervolgd.

Robert Kreuger heeft de Considerati Privacy Scriptieprijs 2015 gewonnen met zijn masterscriptie ‘Your app signature is more distinctive than your DNA’. De scriptie gaat over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app. Specifieker was zijn vraag: in hoeverre is een privacyverklaring van een app een overeenkomst in de zin van het Burgerlijk Wetboek en welke voordelen brengt dit met zich mee? In deze winnende scriptie worden de juridische en commerciële belangen van gegevensverwerking door apps op smart devices grondig uiteengezet. Ook gaat Robert in op de verbintenisrechtelijke classificatie van een privacyverklaring. Daarmee voegt hij een originele invalshoek toe aan de bestaande literatuur. Robert Kreuger heeft met zijn masterscriptie de meeste indruk gemaakt op de jury. Robert, van harte gefeliciteerd!

‘Your app signature is more distinctive than your DNA’
Over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app.
In deze masterscriptie is onderzocht hoe het aanvaarden van een privacyverklaring van een app in een verbintenisrechtelijke sleutel kan worden geplaatst. Naast een grondige uiteenzetting van de juridische en commerciële belangen van gegevensverwerking door apps op smart devices en de verbintenisrechtelijke classificatie van een privacyverklaring, wordt een originele invalshoek toegevoegd aan de bestaande literatuur. In het eerste gedeelte wordt het maatschappelijk en economisch belang van apps op smart devices weergegeven en wordt het juridisch kader rondom apps, gegevensverwerking en de verbintenisrechtelijke status van een privacyverklaring beschreven. In het tweede gedeelte wordt een koppeling gemaakt naar het daarvoor uiteengezette economisch belang en juridisch kader. Voorts worden in het derde gedeelte enkele conclusies getrokken en wordt er een aanbeveling gedaan met betrekking tot de wenselijkheid van de verbintenisrechtelijke status van een privacyverklaring in een app en de mogelijkheden omtrent de verwerking van persoonsgegevens door apps op smart devices. De probleemstelling van deze masterscriptie luidt als volgt: ‘In hoeverre is een privacyverklaring van een app een overeenkomst in de zin van het BW en welke voordelen brengt dit met zich mee?’

Autonomie en zelfbeschikking
Privacy betreft het afschermen van het eigen leven tegen ongewenste inmenging van buitenaf met als onderliggend belang autonomie en zelfbeschikking. Een onderdeel van (informationele) privacy is het recht op bescherming van persoonsgegevens, waarbij het gaat om voorwaarden waaronder persoonsgegevens verwerkt mogen worden. Kernbegrippen zijn bewustzijn, transparantie en doelbinding. Het probleem bij de verwerking van persoonsgegevens door apps op smartphones ligt echter in het ontbreken van bewustzijn (de meeste apps maken enkel gebruik van het aanvinken van een verklaring zonder dat de gebruiker bewust is van de gevolgen), het ontbreken van transparantie (vanwege de onduidelijkheid en onoverzichtelijkheid van een privacyverklaring), en het ontbreken van doelbinding (een groot deel van de apps verzamelt gegevens met een onvoldoende duidelijk omschreven doel).

Waarborgen privacy
In dit onderzoek wordt een (mogelijke) oplossing voor dit probleem gegeven waarbij alle drie de kernbegrippen bij de verwerking van persoonsgegevens door apps gewaarborgd worden: het kwalificeren van de privacyverklaring als wederkerige overeenkomst, het koppelen van economische waarde aan persoonsgegevens en het creëren van een markt voor persoonsgegevens die via apps verwerkt worden. Door persoonsgegevens te kwalificeren als (economisch) ruilmiddel, waarbij de privacyverklaring als wederkerige overeenkomst wordt gehanteerd, wordt er meer bewustzijn gecreëerd. Daarnaast ontstaat er controle over de persoonsgegevens bij de consument, waardoor transparantie zal toenemen en zodoende het principe van doelbinding zal worden nageleefd. Om dit te kunnen bewerkstelligen dienen privacy by design-beginselen (lees: privacyenhancing technologies) omtrent gegevensverwerking door apps op smartphones te worden geïmplementeerd. Gevolg is een sterkere bescherming van de consument, meer rechtszekerheid voor alle partijen en meer mogelijkheden voor maatschappelijke en economische innovatie.

Masterscriptie Privaatrecht in combinatie met Internet, intellectuele eigendom en ICT, 17 juni 2015, Faculteit der Rechtsgeleerdheid, Vrije Universiteit te Amsterdam.
Lees hier de gehele scriptie in R.J. Kreuger – Over de verbintenisrechtelijke status en de mogelijkheden van een privacyverklaring in een app.

Lees hier het artikel 'Privacy app dat kan en moet veel beter geregeld' op Netkwesties.nl

Lees hier het artikel 'Masterstudent Robert Kreuger winnaar Considerati Privacy Scriptieprijs 2015' op rechten.vu.nl

Gerechtshof Arnhem-Leeuwarden 4 augustus 2015, IT 1900; ECLI:NL:GHARL:2015:5803(Proximedia tegen geïntimeerde)
Beëindiging contract. Hoger beroep tegen minderjarige erfgenamen en uitgeschreven en ontbonden v.o.f. Proximedia is niet-ontvankelijk t.o.v. de minderjarige erfgenamen. De vennootschap blijft echter voortbestaan voor zover dit voor de vereffening van het vennootschappelijk vermogen nodig is. Het Hof is het met de rechtbank eens dat geïntimeerden onvoldoende hebben gesteld dat hen de bescherming toekomt van de Richtlijn oneerlijke bedingen, de grijze en zwarte lijst en de wanprestatie/dwaling. Wel keert het beroep zich tegen het oordeel dat de overeenkomst voor 6 maart 2008 is opgezegd. Voor toepassing van art. 6:236 en 6:237 BW is dan ook geen plaats. Vast staat dat ten tijde van de overeenkomst het verkoopgesprek heeft plaatsgevonden, Proximedia de laptop ter beschikking heeft gesteld en de apparatuur heeft geïnstalleerd en de toegezegde opleiding heeft gegeven. De verbrekingsvergoeding die door Proximedia wordt gevorderd is niet onredelijk bezwarend, evenals het beding in de overeenkomst. Geïntimeerde moest als ondernemer weten dat aan beeïndiging binnen de termijn financiële consequenties zouden kunnen zijn verbonden. Een beroep op art. 6:248 lid 2 jo art. 6:2 BW gaat niet op. Het is onvoldoende dat er bij een kleine ondernemer juist onvoorziene omstandigheden voordoen die maken dat deze niet langer gebonden wenst te zijn aan een duurovereenkomst.  

3.16 In het onderhavige geval is de overeenkomst gesloten op 14 februari 2008 en door [geïntimeerde 1] opgezegd op 6 maart 2008. Vast staat dat gedurende deze periode het verkoopgesprek heeft plaatsgevonden, Proximedia de laptop ter beschikking heeft gesteld, op 28 februari 2008 de apparatuur heeft geïnstalleerd en de toegezegde opleiding heeft gegeven. De website was op die datum daarentegen nog niet door Proximedia ontwikkeld. Proximedia heeft gesteld de onderhavige verbrekingsvergoeding te vorderen in verband met de gemaakte kosten, waarbij zij tevens onvoldoende weersproken heeft gesteld dat haar hiervoor beschreven bedrijfsmodel aldus is ingericht dat – zoals onvermijdelijk is bij commerciële ondernemingen – alle kosten, ook die van niet succesvolle acquisitie – uiteindelijk aan gesloten contracten moeten worden toegerekend en dat derhalve alle klanten samen betalen voor overheadkosten zoals de helpdesk, de klantenservice, de technische ondersteuning, ongeacht of zij daarvan gebruik maken of niet. Tegenover deze gemotiveerde betwisting door Proximedia hebben [geïntimeerde 1] c.s. – op wie als hiervoor overwogen in beginsel de stelplicht en bewijslast rusten – onvoldoende (onderbouwd) gesteld dat de (hoogte van de) verbrekingsvergoeding desalniettemin onredelijk bezwarend is. De omstandigheid dat in dit concrete geval als gevolg van de tussentijdse opzegging op 6 maart 2008 nog niet alle van de onder 3.15 genoemde prestaties waren verricht, is daartoe naar het oordeel van het hof onvoldoende. Wat de aan haar ter beschikking gestelde (in dit geval bovendien niet geretourneerde) apparatuur betreft, heeft [geïntimeerde 1] c.s. onvoldoende onderbouwd dat voor eenmaal uitgepakte en bij een klant geïnstalleerde apparatuur na teruggave nog een economisch relevante restwaarde bestaat. Het voorgaande is niet anders, indien bij de beoordeling van de in de onderhavige (gestandaardiseerde) overeenkomst geregelde verbrekingsvergoeding – zoals [geïntimeerde 1] c.s. hebben gesteld – de gezichtspunten van artikel 7:411 lid 1 BW worden betrokken. Het hof neemt bij dit laatste nog in aanmerking dat, zoals hiervoor is overwogen, de door [geïntimeerde 1] c.s. in eerste aanleg gestelde tekortkomingen niet zijn komen vast te staan, zodat het ervoor moet worden gehouden dat de belangrijkste reden voor [geïntimeerde 1] om de overeenkomst te beëindigen haar ongenoegen met de door haar aangegane financiële verplichtingen is geweest.

3.17. Naast de gestelde onredelijkheid van de hoogte van de verbrekingsvergoeding, hebben [geïntimeerde 1] c.s. (in eerste aanleg) aan hun beroep op artikel 6:233 aanhef en onder a BW nog ten grondslag gelegd: dat Proximedia zich dagelijks van de onderhavige algemene voorwaarden bedient, terwijl [geïntimeerde 1] daarmee slechts deze enkele keer is geconfronteerd, dat tegenover artikel 7.1 geen compenserende voorwaarde staat, de aansprakelijkheden van Proximedia integendeel op allerhande manieren worden beperkt en uitgesloten, terwijl ook geen feiten of omstandigheden worden genoemd waaronder wel kosteloze beëindiging van de overeenkomst mogelijk is. Voorts is het beding geen onderwerp van gesprek geweest, is [geïntimeerde 1] de voorwaarde gesteld dat de overeenkomst tijdens het bezoek van haar vertegenwoordiger moest worden getekend en is [geïntimeerde 1] geen tijd en mogelijkheid geboden om de algemene voorwaarden waaronder artikel 7.1 te bestuderen, aldus [geïntimeerde 1] c.s. Ten slotte hebben [geïntimeerde 1] c.s. aangevoerd dat het voor Proximedia kenbaar moet zijn dat bij de kleine ondernemer sprake kan zijn van (al dan niet onvoorziene) omstandigheden die maken dat deze niet langer gebonden wenst te zijn aan een duurovereenkomst als de onderhavige, waarvan de financiële lasten zwaar kunnen wegen.

3.18. Naar het oordeel van het hof is ook hetgeen [geïntimeerde 1] c.s. in dit verband hebben aangevoerd onvoldoende om te kunnen oordelen dat het beding jegens [geïntimeerde 1] onredelijk bezwarend is in de zin van artikel 6:233 sub a BW. De overeenkomst is na een daartoe telefonisch gemaakte afspraak tot stand gekomen tijdens een gesprek tussen de verkoper van Proximedia en [geïntimeerde 1]. Dat op [A] – die de overeenkomst in hoedanigheid van vennoot van [geïntimeerde 1] in de uitoefening van het met [geïntimeerde 4] gevoerde bedrijf heeft gesloten – ontoelaatbare druk is uitgeoefend en hem feitelijk de mogelijkheid is onthouden de overeenkomst en de voorwaarden te lezen, is door Proximedia betwist en door [geïntimeerde 1] c.s. ook niet voldoende gesteld of gebleken. Hierbij neemt het hof nog in aanmerking dat op het eerste blad van de overeenkomst, nog voor artikel 1, staat vermeld dat de overeenkomst is aangegaan voor een niet reduceerbare en onherroepelijke termijn van (vetgedrukt) 48 maanden. [A] diende – zeker als ondernemer – te begrijpen dat aan beëindiging binnen die termijn financiële consequenties zouden (kunnen) zijn verbonden. Ook voor zover [geïntimeerde 1] c.s. kennelijk ervan uitgaan dat tegenover beperkingen in de aansprakelijkheid van Proximedia een kosteloze beëindiging van de overeenkomst mogelijk moet zijn, kan zij daarin niet worden gevolgd. Voor zover [geïntimeerde 1] c.s. zich in dit verband mede mochten hebben beroepen op de door hen gestelde wanprestatie van Proximedia is die niet komen vast te staan. Zoals hiervoor is overwogen, kunnen de (financiële) voorwaarden van tussentijdse beëindiging als zodanig niet als onredelijk worden aangemerkt. Dat [geïntimeerde 1] zich door de verkoper die de voordelen van de overeenkomst heeft benadrukt kennelijk heeft laten overtuigen, dient voor haar rekening te blijven. Dat sprake is geweest van dwaling aan de zijde van [geïntimeerde 1] is, zoals al overwogen, niet komen vast te staan. De omstandigheid dat Proximedia zich dagelijks van deze algemene voorwaarden bedient in tegenstelling tot [geïntimeerde 1] die er slechts eenmaal, in het onderhavige geval, mee werd geconfronteerd is evenmin voldoende. Evenmin is voldoende dat, naar [geïntimeerde 1] c.s. hebben gesteld, voor Proximedia kenbaar moet zijn geweest dat zich juist bij een kleine ondernemer onvoorziene omstandigheden kunnen voordoen die maken dat deze niet langer gebonden wenst te zijn aan een duurovereenkomst, nu daaraan verbonden financiële lasten voor een kleine ondernemer zwaar kunnen gaan wegen.

3.19. Aan hun beroep op 6:248 lid 2 respectievelijk 6:2 BW, dan wel hun in eerste aanleg gedane beroep op matiging van hetgeen zij op grond (het volgens hen als boetebeding aan te merken) artikel 7.1 van de overeenkomst verschuldigd zijn, hebben [geïntimeerde 1] c.s. geen andere feiten en omstandigheden ten grondslag gelegd dan die welke hiervoor zijn besproken. Ook in dat verband schieten de stellingen van [geïntimeerde 1] c.s. tekort om te kunnen oordelen dat toepassing van de overeengekomen verbrekingsvergoeding in dit geval naar maatstaven van redelijkheid en billijkheid onaanvaardbaar moet worden geacht dan wel (zo artikel 7.1 als een boetebeding zou worden aangemerkt) de billijkheid klaarblijkelijk matiging van het krachtens de bepaling verschuldigde bedrag eist.

De Autoriteit Consument & Markt (ACM) is via haar loket ConsuWijzer de actie ‘Elke app heeft een prijs’ gestart. Deze actie is erop gericht consumenten ervan bewust te maken dat zij bij het installeren van een app toegang geven tot grote hoeveelheden gegevens. Zij betalen weinig of geen geld voor de app, maar realiseren zich niet dat hun gegevens ook een betaalmiddel zijn: Hoeveel gegevens heeft Nederland over voor een gratis cappuccino? Bekijk de campagnevideo ‘Elke app heeft een prijs’.

Lees verder >

Vzr. Rechtbank Gelderland 24 september 2015, IT 1898; ECLI:NL:RBGEL:2015:6550 (St. Scholengroep Spinoza voor voortgezet onderwijs en Stichting Digitaal Leren tegen Merces)
IE-Recht. Contracten. Merces levert aan Scholengroep Spinoza en Stichting Digitaal Leren programmatuur op het gebied van personeels-, salaris- en financiële administratie. Merces biedt voortaan het administratiepakket HR2day aan in plaats van Merces@Work. Kern van het geschil is of Spinoza en Stichting Digitaal Leren op grond van art. 13 lid 1 sub c van de Algemene Voorwaarden van Merces de overeenkomst konden beeïndigen daar Merces per dezelfde datum haar gebruiksrecht op intellectuele eigendomsrecht van Merces@Work heeft beëindigd. De voorzieningenrechter oordeelt dat uit de tekst van het artikel niet valt af te leiden dat het alleen is geschreven voor de situatie waarin er door Merces geen andere intellectuele eigendomsrechten kunnen worden ingezet. Nu het beëindigen van het gebruik van Merces@Work ook gevolgen heeft voor Spinoza en Stichting Digitaal Leren, is het redelijk te veronderstellen dat zij de dienstverleningsovereenkomst mochten beëindigen. De voorzieningenrechter verbiedt Merces nog werkzaamheden voor Spinoza en Stichting Digitaal Leren uit te voeren en daarvoor facturen te sturen.

4.5. In het onderhavige geval gaat het om de uitleg van artikel 13 lid 1 sub c van de algemene voorwaarden. Nu over dergelijke voorwaarden niet tussen partijen onderhandeld pleegt te worden en niet gesteld of gebleken is dat zulks in dit geval anders is, is de uitleg daarvan met name afhankelijk van de objectieve bewoordingen waarin de desbetreffende bepaling is gesteld, gelezen in het licht van de overeenkomst als geheel (vgl. HR 16 mei 2008, NJ 2008/284). Hieromtrent wordt het volgende overwogen.

4.6. Vast staat dat Merces het recht op het gebruik van Merces@Work voor haar dienstverlening met ingang van 1 januari 2016 heeft beëindigd en dat zij haar dienstverlening vanaf deze datum zal gaan uitvoeren met behulp van een ander softwarepakket, te weten HR2day. Het nieuwe softwarepakket is niet zoals Merces@Work gebaseerd op SAP (een Duits softwarepakket) maar op SalesForce, een softwarepakket dat werkt met cloudoplossingen. In die zin is dus sprake van een beëindiging van het recht van Merces om de voor de dienstverlening benodigde intellectuele eigendomsrechten van derden - in dit geval SAP - te gebruiken. Uit de tekst van artikel 13 lid 1 sub c van de Algemene Voorwaarden van Merces kan niet worden afgeleid wie een beroep op dit artikel mag doen. In het artikel staat slechts is algemene zin dat de overeenkomst eindigt als het gebruiksrecht van Merces op de voor haar dienstverlening benodigde intellectuele eigendomsrechten van derden eindigt. Verder valt uit de tekst van het artikel ook niet af te leiden dat het alleen is geschreven voor de situatie waarin er door Merces geen andere intellectuele eigendomsrechten kunnen worden ingezet en niet voor de onderhavige situatie waarbij Merces haar diensten door middel van een ander softwarepakket wil gaan aanbieden. Merces heeft niet betwist dat het overstappen op een ander pakket voor de medewerkers van de salarisadministratie van Spinoza en Stichting Digitaal Leren een groot verschil maakt omdat de zogeheten “look en feel” van HR2day verschilt van Merces@Work. Nu het beëindigen van het gebruik van Merces@Work dus ook gevolgen heeft voor (medewerkers van de salarisadministratie van) Spinoza en Stichting Digitaal Leren, is het redelijk te veronderstellen dat Spinoza en Stichting Digitaal Leren het artikel zo hebben opgevat en ook zo hebben mogen opvatten dat ook zij de dienstverleningsovereenkomst op grond van artikel 13 lid 1 sub c van de algemene voorwaarden mochten beëindigen met ingang van 1 januari 2016. Dit geldt temeer nu onduidelijkheden in de eenzijdig door Merces opgestelde algemene voorwaarden voor rekening en risico van Merces dienen te blijven.

HvJ EU 22 oktober 2015, IT 1897; C-264/14 (Skatteverket tegen David Hedqvist)
Inwisselen van de virtuele valuta "bitcoin" tegen traditionele valuta's - vrijstelling.  Het Hof verklaart voor recht:

1) Artikel 2, lid 1, onder c), van [BTW-richtlijn] moet aldus worden uitgelegd dat handelingen zoals die aan de orde in het hoofdgeding – die bestaan in het inwisselen van traditionele valuta’s tegen eenheden van de virtuele valuta „bitcoin” en omgekeerd, die worden verricht tegen betaling van een bedrag dat overeenkomt met de marge die ontstaat uit het verschil tussen de prijs waarvoor de betrokken marktdeelnemer de valuta’s koopt en de prijs waarvoor hij deze verkoopt aan zijn klanten –, diensten onder bezwarende titel in de zin van deze bepaling vormen.

2) Artikel 135, lid 1, onder e), van richtlijn 2006/112 moet aldus worden uitgelegd dat diensten zoals die aan de orde in het hoofdgeding – die bestaan in het inwisselen van traditionele valuta’s tegen eenheden van de virtuele valuta „bitcoin” en omgekeerd, die worden verricht tegen betaling van een bedrag dat overeenkomt met de marge die ontstaat uit het verschil tussen de prijs waarvoor de betrokken marktdeelnemer de valuta koopt en de prijs waarvoor hij deze verkoopt aan zijn klanten –, van de btw vrijgestelde handelingen vormen in de zin van deze bepaling. Artikel 135, lid 1, onder d), en f), van richtlijn 2006/112 moet aldus worden uitgelegd dat dergelijke diensten niet binnen de werkingssfeer van deze bepalingen vallen.

Prejudiciële vragen die gesteld zijn:

1)      Moet artikel 2, lid 1, van de btw-richtlijn aldus worden uitgelegd dat handelingen in de vorm van wat is omschreven als de inwisseling van virtuele valuta’s tegen traditionele valuta’s en omgekeerd, die worden verricht voor een tegenprestatie die de dienstverrichter bij de vaststelling van de wisselkoers mede aanrekent, een dienst onder bezwarende titel vormen?
2)      Indien de eerste vraag bevestigend wordt beantwoord, moet artikel 135, lid 1, [van deze richtlijn] dan aldus worden uitgelegd dat voormelde wisselhandelingen zijn vrijgesteld van belasting?”

Op andere blogs:
Hln.be
Legalworld.be

CBP 22 oktober 2015, IT 1896 (boetebeleidsregels)
Het College bescherming persoonsgegevens (CBP) heeft vandaag de conceptbeleidsregels voor het opleggen van een bestuurlijke boete door de Autoriteit Persoonsgegevens gepubliceerd. Belanghebbenden kunnen gedurende 4 weken reageren op deze conceptversie van de boetebeleidsregels. Per 1 januari 2016 krijgt het CBP (op dat moment: Autoriteit Persoonsgegevens) de bevoegdheid om boetes op te leggen als organisaties de Wet bescherming persoonsgegevens overtreden. Met de boetebeleidsregels beoogt het CBP inzicht te geven in hoe de hoogte van een bestuurlijke boete zal worden bepaald. De maximale boete is 810.000 euro.

Boetebevoegdheid
De wetgever heeft besloten de sanctiemogelijkheden van het CBP te versterken om zo de naleving van de Wbp te bevorderen. Het CBP vindt hierbij vooral de preventieve werking van de boetebevoegdheid van belang. De verwachting is namelijk dat de boetebevoegdheid bedrijven en overheden zal stimuleren om in een eerder stadium aandacht te besteden aan de bescherming van persoonsgegevens. Hierdoor kunnen privacyovertredingen worden voorkomen. Als sprake is van een overtreding van de Wbp die opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid, kan de toezichthouder direct een boete opleggen. In andere gevallen gaat hier een bindende aanwijzing aan vooraf.

Hoogte boete
Uitgangspunt bij het bepalen van de hoogte van een boete is dat deze in verhouding moet staan tot de begane overtreding. In de conceptboetebeleidsregels is gekozen voor een categorie-indeling en bandbreedte-systematiek. Dit betekent dat de beboetbare wettelijke bepalingen per wettelijk boetemaximum van 810.000 euro, 450.000 euro of 20.250 euro ingedeeld zijn in een aantal boetecategorieën met daaraan verbonden in zwaarte oplopende boetes. Daarnaast geeft het CBP in de beleidsregels inzicht in de relevante factoren die bepalend zijn voor de hoogte van een boete in een concreet geval.

Consultatie boetebeleidsregels
Het CBP nodigt belanghebbenden uit om in de komende 4 weken op de nu gepubliceerde conceptversie te reageren. Het CBP zal rekening houden met deze reacties in de definitieve versie van de boetebeleidsregels. Reacties op de boetebeleidsregels kunnen worden ingezonden via consultatieboetebeleid@cbpweb.nl.

Autoriteit Persoonsgegevens
De definitieve versie van de boetebeleidsregels treedt op 1 januari 2016 in werking. Vanaf die datum heeft het CBP ook een nieuwe naam: Autoriteit Persoonsgegevens.

CBP 21 oktober 2015, IT 1895 (Privacybescherming) - Internationaal
Privacy. Negentien toonaangevende privacyexperts uit de VS en Europa hebben tien praktische voorstellen ontwikkeld om trans-Atlantisch het niveau van bescherming persoonsgegevens te verhogen. De meeste voorstellen kunnen binnen de bestaande wetgeving ter hand genomen worden en wereldwijd worden geïmplementeerd. Het gaat om pragmatische bruggen waar mensen, bedrijven, overheden en toezichthouders voordeel van gaan hebben.
De experts werkten samen in het Privacy Bridges project en presenteren de bruggen tijdens de Internationale Privacy Conferentie eind oktober in Amsterdam. "Ik heb met enthousiasme kennisgenomen van het eindresultaat van het Privacy Bridges project. Ik kijk uit naar de discussie over de voorgestelde bruggen met de 700 conferentiedeelnemers volgende week", zegt Jacob Kohnstamm voorzitter van het College bescherming persoonsgegevens (CBP) en initiatiefnemer van het Privacy Bridges project. De 700 conferentiedeelnemers van over de hele wereld bespreken de voorgestelde bruggen.

VS en EU
Het internet kent geen grenzen. Via het internet gaan enorme hoeveelheden persoonsgegevens de wereld over. Wet- en regelgeving kennen daarentegen wél grenzen. In de VS gelden bijvoorbeeld ingrijpend andere regels voor het verzamelen en gebruik van persoonsgegevens dan in de EU. Voor burgers is het daardoor lastig om hun rechten te doorgronden en daarvoor op te komen, voor bedrijven is het complex om met de verschillende en soms tegenstrijdige regelgeving om te gaan en voor toezichthouders is de noodzakelijke samenwerking op grensoverschrijdende zaken ingewikkeld. “Al vele jaren worden er pogingen gedaan om de andere kant van de oceaan van het eigen gelijk te overtuigen en wordt op verschillende continenten apart het wiel uitgevonden. Door deze houding zijn voor de hand liggende oplossingen om persoonsgegevens wereldwijd beter te beschermen niet eerder bedacht of van de grond gekomen”, aldus Jacob Kohnstamm. “De leden van het project hebben de verschillen in wetgeving even aan de kant gezet. Zij zijn daardoor gekomen tot een realistische aanzet om praktische bruggen te bouwen die het leven van mensen, bedrijven, overheden en toezichthouders net wat makkelijker kunnen maken en het niveau van bescherming persoonsgegevens zullen verhogen”.

Brug: Regie over eigen persoonsgegevens
Een van de belangrijke bruggen is het verder ontwikkelen van een techniek om internetgebruikers weer ‘in control’ te laten zijn over hun persoonsgegevens. “De internetgebruiker is nu een marionet die niet weet wie er aan de touwtjes, aan zijn persoonsgegevens trekt. Het wordt tijd dat mensen zelf de touwtjes weer in handen krijgen”, aldus Kohnstamm. Bedrijven moeten de techniek kunnen gebruiken om hun internetdienst zo in te richten dat er aan de verschillende regels in de VS en de EU wordt voldaan bij het verzamelen en gebruiken van persoonsgegevens. En internetgebruikers moeten op een simpele manier hun voorkeuren kunnen aangeven. Voor het bouwen van deze brug kan gebruik worden gemaakt van bestaande technische bouwstenen die in het kader van eerdere initiatieven zijn ontwikkeld, onder meer door de W3C Tracking Protection Working Group.

Brug: Standaardisatie meldproces datalekken
Datalekken hebben niet alleen binnen landsgrenzen, maar ook wereldwijd impact. Het antwoord op een datalek zou daar rekening mee moeten houden. Op dit moment gelden er tientallen verschillende wetten voor het melden van datalekken met grote verschillen in de definitie van een datalek en de termijn waarop een lek moet worden gemeld. Het voorstel is te komen tot standaardisatie van het meldproces, zonder nu de wetten te moeten veranderen. Dit kan één formulier zijn waarmee bedrijven het lek kunnen melden aan al hun klanten in de wereld en de betrokken toezichthouders. Kohnstamm: “Dit zou een forse vermindering van de administratieve lasten betekenen”.

Brug: Samenwerking overheden
Beleidsmakers in de VS en de EU werken aan dezelfde privacyvraagstukken. Zij doen dat niet met elkaar, maar naast elkaar. Het zou efficiënt én effectief zijn als er op meer structurele basis informatie-uitwisseling, kennisdeling en samenwerking tussen overheden is bij deze maatschappelijke vraagstukken. Dit begint bij het kennen van rugnummers aan beide zijden van de oceaan en een vorm van overleg. “Het is verbazingwekkend dat dit te weinig en zeker niet structureel gebeurd” zegt Kohnstamm. “Het is tijd dat de regering van de VS en de Europese Commissie gezamenlijk actie ondernemen”. 

Privacy Bridges project
Het Privacy Bridges project stond onder leiding van het Instituut voor Informatierecht (IViR) van de Universiteit van Amsterdam en het Massachusetts Institute of Technology (MIT). Het project  werd gecoördineerd door Danny Weitzner, plaatsvervangend hoofd Internetbeleid van het Witte Huis in de eerste periode van Obama en Nico van Eijk, hoogleraar Informatierecht aan het IViR, een van de toonaangevende privacyonderzoeksgroepen in Europa.