Reactie op 'CBP tikt Publieke Omroep op de vingers om cookiemuur'
Zie ook IT 980.
Reactie op artikel 'CBP tikt publieke omroep op vingers om cookiemuur'.
OPTA is belast met het toezicht op naleving van de cookiebepaling. Het is dus aan OPTA om een oordeel te vellen over de rechtmatigheid van de handelwijze van de NPO in het licht van de cookiebepaling. OPTA ziet daarbij toe op de eisen die volgen uit artikel 11.7a van de Telecommunicatiewet dat een ieder die cookies wenst te plaatsen hierover de gebruiker moet informeren en daartoe toestemming moet hebben verkregen. In het geval er tevens sprake is van de verwerking van persoonsgegevens is daarnaast het CBP als toezichthouder bevoegd, omdat dan ook de Wet bescherming persoonsgegevens van toepassing is. Hierbij speelt het in artikel 11.7a, eerste lid, van de Telecommunicatiewet opgenomen rechtsvermoeden een rol. Het CBP mag aannemen dat er bij de door de Ster geplaatste tracking cookies sprake is van de verwerking van persoonsgegevens, tenzij de NPO, respectievelijk de Ster aantoont dat er in dit geval geen sprake is van de verwerking van persoonsgegevens. Het rechtsvermoeden in de cookiebepaling brengt niet met zich mee dat er bij tracking cookies per definitie sprake behoeft te zijn van verwerking van persoonsgegevens. Het rechtsvermoeden blijft weerlegbaar, het legt alleen de bewijslast bij de cookieplaatser. Alleen als de NPO niet kan aantonen dat de verzamelde gegevens niet herleidbaar zijn tot een identificeerbaar natuurlijk persoon is sprake van verwerking van persoonsgegevens die aan de eisen van de Wet bescherming persoonsgegevens moet voldoen.
Websites beschikbaar maken voor bezoekers zonder cookies gezien de monopoliepositie van de NPO.
Het is belangrijk dat de websites van de NPO voor een breed publiek toegankelijk zijn. Daarnaast is het belangrijk dat de NPO voldoende inkomsten kan genereren om een interessant (digitaal) aanbod te kunnen doen zeker in tijden van bezuinigingen. Er zal daarom de komende maand met de NPO worden overlegd of een andere aanpak mogelijk is. Dit doet niet af aan het feit dat het aan de beide toezichthouders is, OPTA en CBP, om te beoordelen in hoeverre de Telecommunicatiewet, respectievelijk de Wet bescherming persoonsgegevens door de NPO wordt overtreden.
Voor basisfuncitonaliteiten van NPO-sites zijn geen tracking cookies nodig, voor mensen die hun privacy niet aangetast willen zien moet de sites dus gewoon bruikbaar zijn?
Ja, voor de basisfunctionaliteiten en het vastleggen van gegevens over het gebruik zijn geen tracking cookies nodig. Verder is het ook nadrukkelijk niet de bedoeling van de NPO om mensen in hun privacy aan te tasten. De NPO stelt dan ook dat de door de NPO en Ster gebruikte tracking cookies niet herleidbaar zijn tot individueel identificeerbare personen, en dat het gestelde rechtsvermoeden aldus kan worden weerlegd. De NPO heeft getracht bij de toepassing en het gebruik van cookies een goede balans te vinden tussen toegankelijkheid van publieke audiovisueel materiaal, privacy van gebruikers, de mediawettelijke verplichtingen en de commerciële exploitatie van de Ster op het internet. Gelet op de daaropvolgende maatschappelijke discussie en de verschillende methoden die in het mediaveld worden gebruikt, heeft de NPO na overleg aangegeven de mogelijkheden voor een gedifferentieerde toestemming uitgebreid te zullen onderzoeken.
Boete wegens zorgvuldige computervredebreuk
Rb. Oost-Brabant 15 februari 2013, parketnr. 01/820892-12 (Henk Krol)
Uit 't persbericht: De rechtbank Oost-Brabant heeft een 62-jarige man uit Eindhoven veroordeeld tot een geldboete van 750 euro wegens het meerdere malen plegen van computervredebreuk. De man drong onbevoegd binnen bij cyberlab.diagnostiekvooru.nl en gebruikte daarbij inloggegevens die hij kreeg van een patiënt van het centrum. Die had die gegevens afgeluisterd van een psychiater die in het centrum werkt.
De Eindhovenaar heeft diverse medische dossiers en gegevens bekeken en geprint. Volgens hem was dit gerechtvaardigd omdat hij als journalist en Statenlid wilde aantonen dat deze gevoelige informatie over individuele patiënten door onbevoegden gemakkelijk is te raadplegen. Hij gaf aan dat het beschermen van de (gegevens van) patiënten zijn enige doel was.
De rechtbank stelt voorop dat elke inbreuk op een geautomatiseerd werk zonder toestemming van de rechthebbende strafbaar is. Alleen onder zeer bijzondere omstandigheden kunnen er hogere belangen zijn die zo’n inbreuk kunnen rechtvaardigen. De rechtbank is het met de verdachte eens dat het aantonen van gebreken bij de bescherming van vertrouwelijke, medische gegevens een wezenlijk maatschappelijk belang kan dienen.
De rechtbank acht het dan ook gerechtvaardigd dat de man, voordat hij verdere stappen ondernam, eerst zelf vaststelde of de bevindingen van zijn ‘tipgever’ juist waren. Het inloggen op de website en het vervolgens raadplegen van enkele dossiers acht de rechtbank in dit geval dan ook niet wederrechtelijk. Ook vindt de rechtbank het verdedigbaar dat er in deze situatie prints zijn gemaakt om de omvang van de tekortkoming en het gevaar daarvan te kunnen aantonen. De rechtbank oordeelt dat de man daarbij zorgvuldig heeft gehandeld door de prints te anonimiseren.
Dat de Eindhovenaar daarnaast nog meer gegevens van anderen heeft geraadpleegd en geprint, acht de rechtbank niet proportioneel. Hij had immers met de al verzamelde gegevens zijn punt kunnen maken. Daarnaast oordeelt de rechtbank dat de man niet meteen naar de media had moeten stappen. Hij had Diagnostiek voor U ruimer de kans moeten geven te reageren en het niet bij een poging moeten laten. De rechtbank stelt dat er in dit geval ook geen sprake was van een technisch gebrek aan het computersysteem van Diagnostiek voor U. Eén gebruiker was onzorgvuldig met zijn inloggegevens en wachtwoord omgegaan. De verdachte had dan ook geen concrete aanwijzingen dat andere personen over deze inloggegevens beschikten. Daarom was het probleem ook niet zo acuut dat onmiddellijke inschakeling van de media noodzakelijk was.
Straf
De rechtbank is van oordeel dat het plegen van computervredebreuk een ernstig misdrijf is, zeker als dit met de bedoeling is om schade toe te brengen. In deze zaak wilde de verdachte door het plegen van de feiten de tekortkomingen publiek bekend maken die hij in het computersysteem van Diagnostiek voor U signaleerde.
De rechtbank twijfelt bij dit alles niet aan de goede bedoelingen van de verdachte. De rechtbank is echter van oordeel dat hij daarbij wel de grenzen van proportionaliteit en subsidiariteit heeft overschreden. Er bestaat bij de rechtbank geen aanleiding te vrezen dat de Eindhovenaar dit strafbare feit nogmaals zal plegen en daarom wordt uitsluitend een onvoorwaardelijke geldboete opgelegd. In dit opzicht wijkt de rechtbank af van de eis van de officier van justitie.
Medeverdachte
De rechtbank legt de man die de inloggegevens aan de Eindhovenaar verstrekte en hielp bij het inloggen een geheel voorwaardelijke geldboete op van 250 euro.
Op andere blogs:
Ius Mentis (Henk Krol krijgt pluim en boete voor journalistieke hack EPD)
Webwereld (Rechtbank geeft Henk Krol pluim en boete)
Geen concreet belang tegen bevriezing van IP-adressen
Rechtbank Den Haag 13 februari 2013, zaaknr. C/09/414930 / HA ZA 12-339 (Réseaux IP Européens Network Coordination centre (RIPE NCC) tegen de Staat der Nederlanden (Ministerie van veiligheid en Justitie))
Uitspraak ingezonden door Sikke Kingma, Pels Rijcken
Onrechtmatig overheidshandelen. IP-adressen. Bevriezing. Concreet belang.
RIPE is verantwoordelijk voor de distributie en registratie van IP-adressen, unieke adressen bestemd voor de communicatie tussen computers en andere apparatuur via het internet. De inspecteur van de politie bij de Dienst Nationale Recherche heeft een bevel aan RIPE gegeven dat is gegrond op artikel 2 van de Politiewet 1993 (Pw). RIPE heeft medegedeeld dat zij zich niet gehouden acht tot naleving van het bevel en dat de bevriezing van de IP-adressen per direct zal worden opgeheven. Zij vordert voor recht te verklaren dat RIPE rechtens niet gehouden is uitvoering te geven aan enig bevel op grond van artikel 2 Pw dat strekt tot bevriezing van de registratie van IP-adressen of -adresreeksen. RIPE heeft aan haar vordering onrechtmatig overheidshandelen ten grondslag gelegd.
RIPE voert aan dat de handelwijze van de KLPD en het Openbaar Ministerie jegens RIPE bezwarend en schadelijk is geweest en zorgt voor een blijvende bedreiging van de (continuïteit van de) bedrijfsvoering van RIPE, de integriteit van haar computersystemen en het veilig en onbelemmerd functioneren van het internet. Zij heeft gevorderd dat de Staat wordt verboden om beslag te leggen op de administratie van RIPE voor zover die de registratie van IP-adressen en - adresreeksen betreft. Deze vordering strandt om meerdere redenen. RIPE heeft bij het gevraagde verbod geen belang in de zin van artikel 3:303 BW. Er is geen sprake van een concrete en reële dreiging van (vermeend) onrechtmatig handelen.
De verklaring voor recht dat de Staat jegens RIPE onrechtmatig heeft gehandeld door te dreigen met beslaglegging op en sequestratie van (onderdelen van) de administratie van RIPE is evenmin toewijsbaar. De rechtbank is van oordeel dat door RIPE, in het licht van de gemotiveerde betwisting door de Staat, onvoldoende feiten en omstandigheden heeft gesteld die de conclusie kunnen dragen dat van een werkelijke dreiging met beslaglegging sprake is geweest. De vordering mist feitelijke grondslag.
RIPE heeft niet gesteld welk ander rechtsgevolg dan de (niet toewijsbare) verboden zij aan de verklaring van recht wenst te verbinden en ook niet valt in te zien welk ander rechtsgevolg hieraan valt te verbinden. De rechtbank verklaart RIPE niet-ontvankelijk, vanwege het ontbreken van een concreet belang als bedoeld in artikel 3:302 BW.
4.5. Vooropgesteld wordt dat voor de ontvankelijkheid van een vordering tot verklaring voor recht en/of een verbod is vereist dat de eiser een concreet belang in de zin van artikel 3:303 BW heeft bij die vordering. Ten aanzien van de verbodsactie betekent dit dat moet worden vastgesteld dat er een voldoende grote kans is, een reële dreiging, dat de handelingen waarop de vordering ziet in de voorzienbare toekomst zullen worden verricht. Voor toewijzing van een vordering tot verklaring voor recht dient verder te zijn voldaan aan artikel 3:302 BW, waarin is bepaald dat de verklaring slechts wordt gegeven op vordering van een bij de rechtsverhouding onmiddellijk betrokken persoon. De eis van een rechtsverhouding houdt, volgens vaste jurisprudentie, in dat aan de verklaring enig rechtsgevolg moet kunnen worden verbonden.
4.10. RIPE heeft daarnaast nog gevorderd dat de Staat wordt verboden om jegens haar strafrechtelijke dwangmiddelen toe te passen wegens de niet-naleving van het bevel of teneinde bevriezing van IP-adressen te bewerkstelligen, anders dan in de vorm van beslaglegging (3.1. onder vi). Van een reële dreiging dat de Staat dwangmiddelen zal toepassen is, zoals gezegd, niet gebleken zodat RIPE geen belang heeft bij haar vordering. Overigens heeft RIPE niet concreet gemaakt om welk ander dwangmiddel dan een bevel of beslag het zou kunnen gaan. De vordering tot afgifte van een verklaring voor recht met nagenoeg dezelfde strekking (3.1. onder v) deelt hetzelfde lot als de verbodsactie.
4.11. In het voorgaande is aan de orde gekomen dat in de stellingen van RIPE geen deugdelijke grondslag ligt besloten voor de door haar hiervoor onder 3.1 weergegeven vorderingen strekkende tot het verbieden van - kort gezegd - vervolging, (dreigen met) beslaglegging en de toepassing van andere strafvorderlijke dwangmiddelen. Dan resteert de vraag of er gronden bestaan voor de toewijzing van het onder 3.1 onder i) en vii) gevorderde. Het betreft de verklaring voor recht dat RIPE rechtens niet gehouden is uitvoering te geven aan enig bevel op grond van artikel 2 Pw. en de verklaring voor recht dat RIPE niet gehouden was het bevel na te leven. Nu RIPE niet heeft gesteld welk ander rechtsgevolg dan de (niet toewijsbare) verboden zij aan de verklaring van recht wenst te verbinden en in de omstandigheden van het geval ook niet valt in te zien welk ander rechtsgevolg hieraan valt te verbinden, luidt de conclusie van de rechtbank dat RIPE ook bij deze vorderingen geen concreet belang heeft als bedoeld in artikel 3:302 BW.
Op andere blogs:
Webwereld (RIPE verliest tegen Justitie over IP-bevriezing)
Bits of Freedom (Rechtszaak RIPE NCC eindigt met anticlimax)
Iusmentis (Geen uitspraak over IP-bevriesbevel, dat schiet niet op natuurlijk)
European Case Law Identifier (ECLI) vervangt Landelijk Jurisprudentie Nummer (LJN)
Rechtspraak.nl - Tijdelijke publicatiestop uitspraken: Van vrijdagmiddag 8 februari 13.00 uur tot en met vrijdag 15 februari worden er geen uitspraken gepubliceerd in het uitsprakenregister. In de betreffende week wordt in een omvangrijke operatie het landelijke publicatienummer (LJN) van ruim een miljoen uitspraken vervangen door een Europees publicatienummer (ECLI). Over uitspraken in belangrijke zaken wordt in de betreffende periode wel een nieuwsbericht aangemaakt waar de tekst van de uitspraak als pdf-bestand aan toe is gevoegd. Uitspraken die op deze wijze zijn gepubliceerd, worden na 15 februari alsnog ingevoerd en gepubliceerd om ze via het uitsprakenregister terug te kunnen vinden. Lees verder voor informatie over ECLI en de hernummering.
ECLI:landcode:instantiecode:jaar:nummer
Het formaat van een ECLI is overal in Europa hetzelfde: ‘ECLI:landcode:instantiecode:jaar:nummer’. De landcode is tweeletterig, in het geval van Nederland ‘NL’. De instantiecodes worden door de Rechtspraak bepaald en vastgelegd in de ECLI-index. Het laatste gedeelte, nummer, is door elk land naar eigen inzicht in te vullen. In Nederland zal dit een volgnummer zijn. Een ECLI van een uitspraak van de Hoge Raad uit 2013 kan er dus zo uitzien: ECLI:NL:HR:2013:897. Dat is langer dan het huidige LJN, maar ook betekenisvoller.
Hernummering
Bestaande LJN’s blijven na hernummering herkenbaar. Zo zal de ECLI van LJN:BR5216 (een arrest van de Hoge Raad uit 2011) luiden: ECLI:NL:HR:2011:BR5216. Een één-op-één vertaling van LJN naar ECLI is echter niet altijd mogelijk. Anders dan nu krijgen een conclusie van de advocaat-generaal en een arrest van de HR voortaan beide een eigen ECLI, met een verschillende instantiecode. Ook voor oude zaken zal dit worden doorgevoerd. De Rechtspraak zorgt ervoor dat inzichtelijk is hoe hernummering heeft plaatsgevonden. Zoeken op de oude LJN’s blijft mogelijk. Ook de deeplinks die met behulp van een LJN zijn aangebracht, blijven gewoon werken.
Internetconsultatie wetsvoorstel afschaffing geschriftenbescherming
Uit't persbericht: De Auteurswet beschermt straks alleen nog geschriften waaraan een creatieve prestatie van de maker ten grondslag ligt. Dit blijkt uit een ontwerp-wetsvoorstel van staatssecretaris Teeven van Veiligheid en Justitie dat voor internetconsultatie is openbaar gemaakt. Het voorstel is onderdeel van de modernisering van het auteursrecht die in het regeerakkoord is aangekondigd.
Uit de consultatie: De consultatie betreft de afschaffing van de geschriftenbescherming voor niet-oorspronkelijke geschriften. Het wetsvoorstel beoogt de Auteurswet te wijzigen. Het strekt ertoe te bewerkstelligen dat voortaan slechts geschriften met een oorspronkelijk karakter of persoonlijk stempel van de maker bescherming genieten op grond van de Auteurswet. De bescherming van andere geschriften op grond van de zogeheten geschriftenbescherming komt te vervallen.
Concept regeling - Wetsvoorstel afschaffing geschriftenbescherming
Ontwerp toelichting - Wetsvoorstel afschaffing geschriftenbescherming
Verwachte effecten van de regeling
Afschaffing van de geschriftenbescherming brengt meer duidelijkheid. In de rechtspraktijk kan onduidelijkheid bestaan over de reikwijdte van de regeling. Daaraan komt nu een einde. Afschaffing van de geschriftenbescherming leidt tot betere beschikbaarheid van feitelijke informatie. Zij werkt mogelijk ook concurrentiebevorderend.
Doel van de consultatie
De consultatie dient ter verkrijging van meer informatie over de belangen die door de afschaffing van de geschriftenbescherming worden geraakt en de mening van belanghebbenden over het ontwerp-wetsvoorstel.
Doelgroepen die door de regeling worden geraakt
Bedrijven en consumenten. Gebruikers van feitelijke informatie.
Op welke onderdelen van de regeling wordt een reactie gevraagd
Gehele wetsvoorstel
Publicatie reacties
Reacties worden gepubliceerd tijdens de loop van de consultatie. Alleen die reacties worden gepubliceerd waarvan is aangeven, door de inzender, dat deze openbaar mogen zijn. Voordat reacties gepubliceerd worden, worden deze eerst gecontroleerd op beledigende of aanstootgevende uitspraken. Deze controle kan enkele dagen duren.
Inzagerecht strekt zich niet uit over persoonsgegevens uit interne notities
Hoge Raad 8 februari 2013, LJN BY4196 (Verzoekster tegen THE ROYAL BANK OF SCOTLAND N.V. en ABN AMRO BANK N.V.) 
Art. 81 lid 1 RO. Verzoek inzage persoonsgegevens. Art. 35 WBP. Het gaat in deze zaak om een verzoek om inzage van verwerkte persoonsgegevens (Wbp) op grond van art. 35 van de Wet Bescherming Persoonsgegevens. Tussen verzoekster en ABN AMBRO bestaat er sinds 2001 een arbeidsovereenkomst. Naar het oordeel van de Hoge Raad kunnen de in het middel aangevoerde klachten niet tot cassatie leiden. Het oordeel van de Hoge Raad behoeft gezien art. 81 lid 1 RO, geen nadere motivering nu de klachten niet nopen tot beantwoording van rechtsvragen in het belang van de rechtseenheid of de rechtsontwikkeling.
Conclusie A-G: Verzoekster heeft op grond van art. 35 van de WBP verzocht een overzicht en afschrift van alle haar betreffende persoonsgegevens die door ABN AMRO worden verwerkt. ABN AMRO heeft niet binnen vier weken gereageerd. Naar aanleiding hiervan heeft verzoekster de rechtbank verzocht om ABN AMRO op de voet van art. 46 Wbp te veroordelen om binnen vier weken de betreffende informatie schriftelijk mede te delen. ABN AMBRO heeft een beroep gedaan op de uitzondering van artikel 43(4) onder e Wbp en gesteld dat deze niet hoeven te worden verstrekt omdat het interne notities/correspondentie zijn die de persoonlijke gedachten van medewerkers bevatten en uitsluitend zijn bedoeld voor persoonlijk gebruik.
Partijen zouden in onderling overleg vaststellen over welke onderwerpen geen discussie meer bestaat en over welke principiële punten nog wel een oordeel van de rechtbank is gewenst. Partijen hebben hier niet op gereageerd waar de rechtbank de conclusie uit heeft getrokken dat er geen onderwerpen meer zijn waarover nog een oordeel van de rechtbank wordt verlangd en heeft het verzoek van verzoekster afgewezen.
Het cassatie beroep, dat drie onderdelen bevat, richt zich tegen het oordeel van het hof dat de door verzoekster verzochte gegevens niet onder het inzagerecht van art. 35 Wbp vallen, blijk geeft van een te beperkte rechtsopvatting van het inzagerecht als bedoeld in art. 35 Wbp en/of een te ruime rechtsopvatting omtrent de uitzonderingsgrond als bedoeld in art. 43 onder e Wbp.
In de onderhavige zaak heeft het hof onderscheid gemaakt tussen, interne notities die de persoonlijke gedachten van medewerkers van de verantwoordelijke bevatten en die uitsluitend zijn bedoeld voor intern overleg en beraad en het definitieve op basis van bedoelde notities opgemaakte rapport. Het hof heeft geoordeeld dat het inzagerecht zich niet uitstrekt tot de notities van de eerste categorie. Dit oordeel geeft niet blijk van een onjuiste rechtsopvatting. Met betrekking tot de tweede klacht heeft het hof geoordeeld dat de eerste grief (enkel) slaagt voor zover dit betreft de vaststelling van de rechtbank dat er geen geschilpunten zijn en dat het hof vervolgens het door verzoekster aan het hof gerichte verzoek inclusief de grondslag daarvan heeft omschreven en daarop in de thans bestreden rechtsoverwegingen heeft beslist.
Gelet op het partijdebat is het oordeel van het hof voldoende begrijpelijk gemotiveerd. Voor het overige voldoet het onderdeel niet aan de eisen van art. 407 lid 2 Rv. Nu alle klachten falen, dient het principale cassatieberoep te worden verworpen.
3. Beoordeling van het middel
De in het middel aangevoerde klachten kunnen niet tot cassatie leiden. Dit behoeft, gezien art. 81 lid 1 RO, geen nadere motivering nu de klachten niet nopen tot beantwoording van rechtsvragen in het belang van de rechtseenheid of de rechtsontwikkeling.
Nu het middel in het principale beroep faalt, komt het voorwaardelijk ingestelde incidentele beroep niet aan de orde.
2.2 Onderdeel 1 klaagt in de eerste plaats (paragraaf 4.1.2) dat het oordeel van het hof dat de door [verzoekster] verzochte gegevens niet onder het inzagerecht van artikel 35 Wbp vallen, blijk geeft van een te beperkte rechtsopvatting van het inzagerecht als bedoeld in art. 35 Wbp en/of een te ruime rechtsopvatting omtrent de uitzonderingsgrond als bedoeld in art. 43 onder e Wbp.(...)
2.6 In de onderhavige zaak heeft het hof in aansluiting op deze jurisprudentie in rechtsoverweging 4.5.2 onderscheid gemaakt tussen (i) interne notities die de persoonlijke gedachten van medewerkers van de verantwoordelijke bevatten en die uitsluitend zijn bedoeld voor intern overleg en beraad en (ii) het definitieve op basis van bedoelde notities opgemaakte rapport, en geoordeeld dat het inzagerecht zich niet uitstrekt tot de notities van de eerste categorie. Dit oordeel geeft niet blijk van een onjuiste rechtsopvatting.
2.7 Vervolgens heeft het hof in rechtsoverweging 4.5.3 feitelijk geoordeeld dat de verzochte gegevens zien op correspondentie tussen medewerkers, welke de persoonlijke gedachten van medewerkers van de verantwoordelijke bevatten en die uitsluitend bedoeld zijn voor intern overleg en beraad en daaraan de gevolgtrekking verbonden dat de door [verzoekster] verzochte gegevens niet onder het inzagerecht van art. 35 Wbp vallen. Het hof heeft zich - anders dan het onderdeel tot uitgangspunt neemt - niet uitgelaten over de vraag of de gegevens als persoonsgegevens dienen te worden aangemerkt of dat de gegevens onder de uitzondering van art. 43 onder e Wbp vallen. Omdat de desbetreffende gegevens niet bedoeld zijn om in een bestand te worden opgenomen als bedoeld in art. 1 onder c Wbp en daarmee buiten de reikwijdte van de Wbp vallen (art. 2 Wbp), kon het hof het verzoek reeds op die grond afwijzen en behoefde het het beroep van [verzoekster] op eerdergenoemde aanbeveling niet te bespreken.
OPTA: Veelgestelde vragen over cookiebepaling
OPTA, Veelgestelde vragen over de cookiebepaling, advies 7 februari 2013, opta.nl .jpg)
OPTA ontvangt regelmatig vragen van bedrijven en (overheids)instellingen over de cookiebepaling. De antwoorden op veelgestelde vragen publiceert OPTA op haar website om duidelijkheid te bieden aan partijen die de wet willen naleven. OPTA vult dit document regelmatig aan met nieuwe veelgestelde vragen en antwoorden. Deze publicatie is een update van de versie van 30 juli 2012.
OPTA geeft geen juridisch advies. Bedrijven en websitebeheerders zijn zelf verantwoordelijk voor de wijze waarop zij praktische invulling geven aan de nieuwe cookiebepaling. Consumenten die meer willen weten over cookies, kunnen terecht op ConsuWijzer.
Hogescholen verbeteren beveiliging studentgegevens na onderzoek CBP
CBP, Hogescholen verbeteren beveiliging studentgegevens na onderzoek CBP, cbpweb.nl 7 februari 2013.
.jpg)
Uit't persbericht: Hogeschool Utrecht (HU) en Hogeschool van Arnhem en Nijmegen (HAN) hebben onvoldoende beveiligingsmaatregelen getroffen om de studentgegevens in interne informatiesystemen te beveiligen tegen verlies of onrechtmatige verwerking. Dat concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. De hogescholen overtreden hiermee de Wet bescherming persoonsgegevens (Wbp). De beveiliging van studentgegevens zoals studieresultaten, foto's, informatie over leningen of notities van decanen is juist van groot belang. Studenten moeten erop kunnen vertrouwen dat hun persoonsgegevens bij hun school in goede handen zijn en dat hun privacy is gewaarborgd. Scholen moeten voorkomen dat onbevoegden persoonsgegevens zoals cijfers kunnen wijzigen in het systeem. Beide hogescholen hebben naar aanleiding van het CBP-onderzoek maatregelen genomen om de informatiesystemen beter te beveiligen. Bij de HU missen nog meerdere beveiligingsmaatregelen. De HAN heeft nog één overtreding openstaan.
Digitale mappen geen gestructureerd geheel van persoonsgegevens
Raad van State 30 januari 2013, LJN BY9910 (appellante tegen college B&W Zevenaar)
Bij besluit van 23 december 2009 heeft het college aan [appellante] medegedeeld dat haar betreffende persoonsgegevens worden verwerkt in het kader van haar voormalig dienstverband bij de gemeente Zevenaar en kopieën van documenten met haar betreffende persoonsgegevens uit de personeels- en salarisadministratie verstrekt.
Bij besluit van 23 december 2009 heeft het college aan [appellante] medegedeeld dat haar betreffende persoonsgegevens worden verwerkt in het kader van haar voormalig dienstverband bij de gemeente Zevenaar en kopieën van documenten met haar betreffende persoonsgegevens uit de personeels- en salarisadministratie verstrekt.
Bij besluit van 1 juli 2010 heeft het college het door [appellante] daartegen gemaakte bezwaar, voor zover gericht tegen het niet toevoegen van enkele documenten aan haar personeelsdossier, gegrond verklaard en afschriften van die documenten toegevoegd aan het personeelsdossier van [appellante] en deze alsnog aan [appellante] verstrekt. Bij dat besluit is het bezwaar voor het overige ongegrond verklaard.
5.3 (...) De rechtbank heeft het college terecht en op goede gronden gevolgd in zijn standpunt dat de hierboven onder 1, 3 tot en met 13 en 15 vermelde documenten geen deel uitmaken van een bestand als bedoeld in de Wbp. [appellante] heeft niet aannemelijk gemaakt dat de in die documenten opgenomen persoonsgegevens op grond van meer dan één kenmerk een onderlinge samenhang vertonen dan wel dat die persoonsgegevens met de in de personeels- en salarisadministratie verwerkte persoonsgegevens een gestructureerd geheel vormen. Dat het college de onder 8 tot en met 11 vermelde besluitadviezen, onder anonimisering van de daarin vervatte persoonlijke beleidsopvattingen, naar aanleiding van een verzoek op grond van de Wet openbaarheid van bestuur aan [appellante] heeft verstrekt, maakt niet dat de daarin vermelde persoonsgegevens behoren tot een bestand en daarmee onder de Wbp vallen.
De rechtbank heeft de onder 16 vermelde digitale mappen terecht niet aangemerkt als een gestructureerd geheel van persoonsgegevens. Die digitale mappen zijn aangemaakt, gevuld en van informatie voorzien door individuele ambtenaren op de server van de gemeente Zevenaar in het kader van hun dagelijkse werkzaamheden. [appellante] heeft niet aannemelijk gemaakt dat in die mappen opgenomen persoonsgegevens een gestructureerd geheel van persoonsgegevens vormen dat volgens bepaalde criteria toegankelijk is. Gelet hierop wordt [appellante] niet gevolgd in haar standpunt dat de rechtbank voor het geven van haar oordeel gehouden was kennis te nemen van de inhoud en toegankelijkheid van die mappen.
Op andere blogs:
DirkzwagerIEIT
Prejudiciële vragen: telecommunicatiewet en het EU-Handvest
Prejudiciële vragen aan HvJ EU 19 december 2012, zaak C-594/12 (Seitlinger c.s.)
Zie eerder IT 1022. Bescherming persoonsgegevens. Telecommunicatie. Handvest grondrechten.
Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG.
In de Oostenrijkse telecommunicatiewet is bepaald dat de exploitant van een netwerk verplicht is bepaalde gegevens te bewaren. In april 2012 is een wijzigingswet in werking getreden waarbij die verplichtingen zijn uitgebreid. Het bestuur van het Land Kärnten gaat in beroep bij het grondwettelijk Hof (de verwijzende rechter in deze zaak) om de nieuwe bepalingen nietig te laten verklaren. Hetzelfde doen vele burgers (er ligt een beroep namens 11 130 verzoekers) die stellen rechtstreeks in hun rechten te worden geschaad door de nieuwe bepalingen. Zij stellen dat met name artikel 8 Handvest geschonden wordt door bewaring van gegevens zonder verdenking of aanleiding. De verwijzingsbeschikking is voor het overgrote deel gewijd aan RL 2006/24 (blz 5 t/m 13) en aan de Telecomwet (blz 13- 18), gevolgd door een pagina (de rest van blz 18) over het grondrecht gegevensbescherming. Pas vanaf blz 19 wordt dieper op de zaak ingegaan. De vraag die hier speelt is met name de geldigheid van RL 2006/24 of dat die RL strijd oplevert met artikelen 7, 8 11 en 20 van het Handvest.
De verwijzende Oostenrijkse rechter stelt het HvJ EU de volgende vragen:
1. Geldigheid van handelingen van instellingen van de Unie: Zijn de artikelen 3 tot en met 9 van [de dataretentierichtlijn 2006/24/EG], verenigbaar met de artikelen 7, 8 en 11 van het Handvest van de grondrechten van de Europese Unie?
2. Uitlegging van de verdragen:
2.1 Moeten, gelet op de toelichting op artikel 8 van het Handvest, die overeenkomstig artikel 52, lid 7, daarvan is opgesteld om richting te geven aan de uitlegging van dit Handvest en door het Verfassungsgerichtshof naar behoren acht moet worden genomen, richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, voor de beoordeling van de toelaatbaarheid van inmengingen, worden beschouwd als gelijkwaardig aan de voorwaarden van artikel 8, lid 2, en artikel 52, lid 1, van het Handvest?
2.2. Hoe verhoudt het in artikel 52, lid 3, laatste zin, van het Handvest genoemde „recht van de Unie” zich tot de richtlijnen op het gebied van het recht inzake gegevensbescherming?
2.3. Moet, gelet op het feit dat richtlijn 95/46/EG en verordening (EG) nr. 45/2001 voorwaarden en beperkingen bevatten voor de uitoefening van het in het Handvest neergelegde fundamentele recht op gegevensbescherming, bij de uitlegging van artikel 8 van het Handvest rekening worden gehouden met wijzigingen tengevolge van afgeleid recht van latere datum?
2.4. Heeft, gelet op artikel 52, lid 4, van het Handvest, het in artikel 53 van het Handvest neergelegde beginsel van handhaving van hogere beschermingsniveaus tot gevolg dat de in het Handvest neergelegde grenzen van de toelaatbare beperkingen door afgeleid recht nauwer moeten worden afgebakend?
2.5. Kunnen, gelet op artikel 52, lid 3, van het Handvest, de vijfde alinea van de preambule en de toelichting op artikel 7 van het Handvest, volgens welke de in artikel 7 gewaarborgde rechten corresponderen met de rechten die in artikel 8 EVRM zijn gewaarborgd, aan de rechtspraak van het Europees Hof voor de Rechten van de Mens inzake artikel 8 EVRM criteria worden ontleend voor de uitlegging van artikel 8 van het Handvest, die de uitlegging van laatstgenoemd artikel beïnvloeden?
