CBP, Hogescholen verbeteren beveiliging studentgegevens na onderzoek CBP, cbpweb.nl 7 februari 2013.

Uit't persbericht: Hogeschool Utrecht (HU) en Hogeschool van Arnhem en Nijmegen (HAN) hebben onvoldoende beveiligingsmaatregelen getroffen om de studentgegevens in interne informatiesystemen te beveiligen tegen verlies of onrechtmatige verwerking. Dat concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. De hogescholen overtreden hiermee de Wet bescherming persoonsgegevens (Wbp). De beveiliging van studentgegevens zoals studieresultaten, foto's, informatie over leningen of notities van decanen is juist van groot belang. Studenten moeten erop kunnen vertrouwen dat hun persoonsgegevens bij hun school in goede handen zijn en dat hun privacy is gewaarborgd. Scholen moeten voorkomen dat onbevoegden persoonsgegevens zoals cijfers kunnen wijzigen in het systeem. Beide hogescholen hebben naar aanleiding van het CBP-onderzoek maatregelen genomen om de informatiesystemen beter te beveiligen. Bij de HU missen nog meerdere beveiligingsmaatregelen. De HAN heeft nog één overtreding openstaan.

Lees het rapport van definitieve bevindingen mbt Stichting Hogeschool Utrecht (370 KB)

Lees het rapport van definitieve bevindingen mbt Stichting Hogeschool Arnhem en Nijmegen (386 KB)

Raad van State 30 januari 2013, LJN BY9910 (appellante tegen college B&W Zevenaar)

Bij besluit van 23 december 2009 heeft het college aan [appellante] medegedeeld dat haar betreffende persoonsgegevens worden verwerkt in het kader van haar voormalig dienstverband bij de gemeente Zevenaar en kopieën van documenten met haar betreffende persoonsgegevens uit de personeels- en salarisadministratie verstrekt.

Bij besluit van 23 december 2009 heeft het college aan [appellante] medegedeeld dat haar betreffende persoonsgegevens worden verwerkt in het kader van haar voormalig dienstverband bij de gemeente Zevenaar en kopieën van documenten met haar betreffende persoonsgegevens uit de personeels- en salarisadministratie verstrekt.

Bij besluit van 1 juli 2010 heeft het college het door [appellante] daartegen gemaakte bezwaar, voor zover gericht tegen het niet toevoegen van enkele documenten aan haar personeelsdossier, gegrond verklaard en afschriften van die documenten toegevoegd aan het personeelsdossier van [appellante] en deze alsnog aan [appellante] verstrekt. Bij dat besluit is het bezwaar voor het overige ongegrond verklaard.

5.3 (...) De rechtbank heeft het college terecht en op goede gronden gevolgd in zijn standpunt dat de hierboven onder 1, 3 tot en met 13 en 15 vermelde documenten geen deel uitmaken van een bestand als bedoeld in de Wbp. [appellante] heeft niet aannemelijk gemaakt dat de in die documenten opgenomen persoonsgegevens op grond van meer dan één kenmerk een onderlinge samenhang vertonen dan wel dat die persoonsgegevens met de in de personeels- en salarisadministratie verwerkte persoonsgegevens een gestructureerd geheel vormen. Dat het college de onder 8 tot en met 11 vermelde besluitadviezen, onder anonimisering van de daarin vervatte persoonlijke beleidsopvattingen, naar aanleiding van een verzoek op grond van de Wet openbaarheid van bestuur aan [appellante] heeft verstrekt, maakt niet dat de daarin vermelde persoonsgegevens behoren tot een bestand en daarmee onder de Wbp vallen.

De rechtbank heeft de onder 16 vermelde digitale mappen terecht niet aangemerkt als een gestructureerd geheel van persoonsgegevens. Die digitale mappen zijn aangemaakt, gevuld en van informatie voorzien door individuele ambtenaren op de server van de gemeente Zevenaar in het kader van hun dagelijkse werkzaamheden. [appellante] heeft niet aannemelijk gemaakt dat in die mappen opgenomen persoonsgegevens een gestructureerd geheel van persoonsgegevens vormen dat volgens bepaalde criteria toegankelijk is. Gelet hierop wordt [appellante] niet gevolgd in haar standpunt dat de rechtbank voor het geven van haar oordeel gehouden was kennis te nemen van de inhoud en toegankelijkheid van die mappen.

Op andere blogs:
DirkzwagerIEIT

Prejudiciële vragen aan HvJ EU 19 december 2012, zaak C-594/12 (Seitlinger c.s.)

Zie eerder IT 1022. Bescherming persoonsgegevens. Telecommunicatie. Handvest grondrechten.

Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbaar beschikbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG.

In de Oostenrijkse telecommunicatiewet is bepaald dat de exploitant van een netwerk verplicht is bepaalde gegevens te bewaren. In april 2012 is een wijzigingswet in werking getreden waarbij die verplichtingen zijn uitgebreid. Het bestuur van het Land Kärnten gaat in beroep bij het grondwettelijk Hof (de verwijzende rechter in deze zaak) om de nieuwe bepalingen nietig te laten verklaren. Hetzelfde doen vele burgers (er ligt een beroep namens 11 130 verzoekers) die stellen rechtstreeks in hun rechten te worden geschaad door de nieuwe bepalingen. Zij stellen dat met name artikel 8 Handvest geschonden wordt door bewaring van gegevens zonder verdenking of aanleiding. De verwijzingsbeschikking is voor het overgrote deel gewijd aan RL 2006/24 (blz 5 t/m 13) en aan de Telecomwet (blz 13- 18), gevolgd door een pagina (de rest van blz 18) over het grondrecht gegevensbescherming. Pas vanaf blz 19 wordt dieper op de zaak ingegaan. De vraag die hier speelt is met name de geldigheid van RL 2006/24 of dat die RL strijd oplevert met artikelen 7, 8 11 en 20 van het Handvest.

De verwijzende Oostenrijkse rechter stelt het HvJ EU de volgende vragen:

1. Geldigheid van handelingen van instellingen van de Unie: Zijn de artikelen 3 tot en met 9 van [de dataretentierichtlijn 2006/24/EG], verenigbaar met de artikelen 7, 8 en 11 van het Handvest van de grondrechten van de Europese Unie?

2. Uitlegging van de verdragen:

2.1 Moeten, gelet op de toelichting op artikel 8 van het Handvest, die overeenkomstig artikel 52, lid 7, daarvan is opgesteld om richting te geven aan de uitlegging van dit Handvest en door het Verfassungsgerichtshof naar behoren acht moet worden genomen, richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en  betreffende het vrije verkeer van die gegevens, en verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, voor de beoordeling van de toelaatbaarheid van inmengingen, worden beschouwd als gelijkwaardig aan de voorwaarden van artikel 8, lid 2, en artikel 52, lid 1, van het Handvest?

2.2. Hoe verhoudt het in artikel 52, lid 3, laatste zin, van het Handvest genoemde „recht van de Unie” zich tot de richtlijnen op het gebied van het recht inzake gegevensbescherming?

2.3. Moet, gelet op het feit dat richtlijn 95/46/EG en verordening (EG) nr. 45/2001 voorwaarden en beperkingen bevatten voor de uitoefening van het in het Handvest neergelegde fundamentele recht op gegevensbescherming, bij de uitlegging van artikel 8 van het Handvest rekening worden gehouden met wijzigingen tengevolge van afgeleid recht van latere datum?

2.4. Heeft, gelet op artikel 52, lid 4, van het Handvest, het in artikel 53 van het Handvest neergelegde beginsel van handhaving van hogere beschermingsniveaus tot gevolg dat de in het Handvest neergelegde grenzen van de toelaatbare beperkingen door afgeleid recht nauwer moeten worden afgebakend?

2.5. Kunnen, gelet op artikel 52, lid 3, van het Handvest, de vijfde alinea van de preambule en de toelichting op artikel 7 van het Handvest, volgens welke de in artikel 7 gewaarborgde rechten corresponderen met de rechten die in artikel 8 EVRM zijn gewaarborgd, aan de rechtspraak van het Europees Hof voor de Rechten van de Mens inzake artikel 8 EVRM criteria worden ontleend voor de uitlegging van artikel 8 van het Handvest, die de uitlegging van laatstgenoemd artikel beïnvloeden?

Internetconsultatie, Regeling maximum-tarieven 090x-klantenservicenummers en wijziging Nummerplan.

Als randvermelding. Het Ministerie van Economische Zaken verneemt graag de mening van belanghebbenden over de voorgenomen regeling maximum-tarieven klantenservice en bijbehorende wijziging van het Nummerplan telefoon- en ISDN-diensten.

Einddatum consultatie 19-03-2013
Type regeling Ministeriële regeling
Organisatie Economische Zaken

Doel van de regeling
Betere consumentenbescherming bij telefonische klantenservice via 090x-nummers en betere tarieftransparantie bij 090x-nummers. De wijziging van het Nummerplan past de bestemmingen van de reeksen 0900, 0906, 0909 en 0800 aan de bestaande praktijk en regeling maximum-tarieven klantenservice aan.

Concept regeling: Concept-regeling wijziging Rude - Versie 1 |   140 kB
Te wijzigen regeling: Nummerplan telefoon- en ISDN-diensten - Bron: wetten.overheid.nl
Te wijzigen regeling: Regeling universele dienstverlening en eindgebruikersbelangen - Bron: wetten.overheid.nl
Ontwerp toelichting: Concept-besluit wijziging Nummerplan - Versie 1 |   59 kB

Geef uw reactie op deze consultatie: hier

Reactie CBP op gebruik cookies door Nederlandse Publieke Omroep, 31 januari 2013, kenmerk z2013-0056.

Onlangs zijn Kamervragen gesteld en beantwoord over het gebruik van cookies op de websites van de Nederlandse Publieke Omroep (NPO). Als reactie hierop geeft het College bescherming persoonsgegevens (CBP) in een brief een toelichting op het toepasselijke wettelijke kader. Het CBP merkt op dat de NPO bezoekers niet de toegang mag weigeren als zij geen toestemming geven voor het laten volgen van hun surfgedrag.

(...)

Analytische cookies
In de beantwoording van de Kamervragen staat dat de NPO analytische cookies, net als functionele cookies, nodig heeft voor het optimaal uitoefenen van zijn mediawettelijke taak. Dit maakt het gebruik van analytische cookies echter niet noodzakelijk in de zin van de Tw en daarom blijft hiervoor toestemming vereist.

Cookies voor reclamedoeleinden en sociale media
Cookies voor reclamedoeleinden en sociale media zijn niet-functionele cookies waarvoor op grond van de Tw toestemming moet worden gevraagd. Sinds 1 januari 2013 geldt bovendien het rechtsvermoeden dat de gegevens die cookies verzamelen, persoonsgegevens zijn. Daarom is ook op grond van de Wbp toestemming vereist voor het verzamelen en verwerken van deze gegevens.

Wat betreft de tracking cookies voor sociale media is er bovendien een eenvoudig alternatief voor de werkwijze van de NPO. Een veelgebruikte publieks- en privacyvriendelijke oplossing is het werken met niet-actieve, ‘grijze’ knoppen voor sociale media. Als een bezoeker met de muis over de knoppen gaat wordt specifieke informatie getoond. Pas nadat een bezoeker actief op een dergelijke knop heeft geklikt, kan het sociale netwerk een cookie plaatsen.

Toestemming voor gebruik cookies
De NPO biedt bezoekers geen andere keuze dan (in een keer) toestemming te geven voor alle soorten cookies, inclusief tracking cookies. Wie deze toestemming weigert, krijgt geen toegang tot de - met publiek geld verspreide - informatie en uitzendingen van de publieke omroepen. Er is echter geen (digitaal) alternatief beschikbaar, waardoor kan worden gesteld dat de NPO een situationele monopoliepositie heeft. Door het afdwingen van toestemming voor tracking cookies betalen bezoekers feitelijk bij elk bezoek met hun persoonsgegevens. Van in vrijheid gegeven, rechtsgeldige toestemming is daarom geen sprake.

Kamerbrief analytische cookies, 5 februari 2013, DGETM-TM / 13017153.

In navolging van de eerdere brief IT 994. Brief van minister Kamp (EZ) aan de Tweede Kamer over de huidige stand van zaken met betrekking tot de analytische cookies en daarbij specifiek het voorziene tijdpad met betrekking tot eventuele aanpassing van de regels/voorwaarden omtrent cookies.

Mede op verzoek van de Kamer heb ik de afgelopen tijd samen met OPTA bekeken op welke wijze kan worden bereikt dat voor cookies bedoeld om de effectiviteit van de website te verbeteren, de zogenoemde analytische cookies, geen toestemming hoeft te worden gevraagd. Zoals ik al meldde in de brief aan de Kamer van 20 december 2012, werk ik momenteel een dergelijke oplossing uit. Daarbij kijk ik uitdrukkelijk naar een structurele oplossing, waarbij het gebruiksgemak van internet wordt verbeterd en beter recht wordt gedaan aan het doel van de cookiebepaling: bescherming van de privacy van internetgebruikers. Daarbij sluit ik de mogelijkheid van een wetswijziging niet uit.

Ik realiseer mij dat er snel duidelijkheid moet worden geboden, maar ik wil wel met een goed doordacht en toekomstbestendig antwoord komen. Ik wil voorkomen dat we met een ad hoc aanpak straks geen antwoord hebben op nieuwe vragen. Ik verwacht binnen een maand meer duidelijkheid te kunnen bieden.

Uit't persbericht: Partijen die kiezen voor arbitrage als alternatief voor rechtspraak, moeten ook in de toekomst verzekerd zijn van flexibele geschiloplossing met voldoende waarborgen voor een volwaardige rechtsgang. Daarom is het nodig de regels voor arbitrage te moderniseren. Hierdoor dalen tegelijkertijd de lasten voor burgers en bedrijfsleven. Dit blijkt uit een wetsvoorstel van minister Opstelten van Veiligheid en Justitie, waarmee de ministerraad heeft ingestemd.

In't kort: Procedure bij het gerechtshof enige middel tot vernietiging van arbitraal vonnis, inzet van elektronische middelen en voor consumenten binnen een maand nog beroep bij gewone rechter.

Gerechtshof
Om tijd en geld te besparen wordt de procedure tot vernietiging van een arbitraal vonnis teruggebracht tot een rechtsgang in één instantie, namelijk bij het gerechtshof. Daarnaast kunnen partijen zelf afspraken maken over hun arbitrageprocedure. Bijvoorbeeld voor de bewijsvoering en het hoger beroep. Slechts bij uitzondering ligt hier een rol voor de gewone rechter.

Elektronische middelen
Ook zorgt het wetsvoorstel ervoor dat gebruik kan worden gemaakt van elektronische middelen, zoals het versturen van processtukken per e-mail. Verder wordt de mogelijkheid geboden dat een onafhankelijke derde, bijvoorbeeld een arbitrage-instituut, een wrakingsverzoek behandelt. Dit sluit aan bij de internationale praktijk en zorgt voor een snellere behandeling. Daarnaast schaft het kabinet deponering van een vonnis bij de rechtbank af. Straks gebeurt dat alleen als partijen hier zelf voor kiezen.

Gewone rechter
Ten slotte wil het kabinet het vertrouwen van consumenten in arbitrage vergroten. Consumenten kunnen binnen een maand alsnog beslissen naar de gewone rechter te stappen.

De ministerraad heeft ermee ingestemd het wetsvoorstel voor advies aan de Raad van State te zenden. De tekst van het wetsvoorstel en van het advies van de Raad van State worden openbaar bij indiening bij de Tweede Kamer.

Rechtbank Oost-Nederland, locatie Almelo 22 januari 2013, LJN BZ0324 (Privatescan B.V. tegen Prescan B.V.)

Executievonnis. LinkedIn-profiel is persoonlijke profiel. Door maatman-consument te googelen profielpagina. Overtreding verbod van ondergeschikte aard. Verbod op executie van dwangsommen en opheffing executoriaal (derden)beslag.

In het eindvonnis (IEF 11704) is onder meer bevolen om de mededeling ‘Privatescan is marktleider’ te staken en gestaakt te houden, onder last van een dwangsom. In elk geval van 25 oktober 2012 tot en met 19 november 2012 stond er op het LinkedIn-profiel van eiser sub 1: ‘Privatescan is marktleider’.

De voorzieningenrechter is van oordeel dat het LinkedIn profiel een persoonlijk profiel van eiser is omdat allereerst de naam en foto van zijn gezicht is opgenomen. De maatman-consument zal niet worden beïnvloed door een mededeling op een LinkedIn-profiel. Het LinkedIn-profiel is te benaderen door 'Privatescan' te googelen en dus is het vonnis overtreden. Het is veel waarschijnlijker dat de maatman-consument op andere sites zal kijken, indien hij informatie over Privatescan dan wel Prescan zoekt, dan dat hij op het persoonlijke LinkedIn profiel van de directeur van Privatescan kijkt. De voorzieningenrechter is in dit geval van oordeel dat de overtreding van ondergeschikte aard is, waardoor geen dwangsommen zijn verbeurd.

De voorzieningenrechter verbiedt Prescan de executie van de dwangsommen op basis van het vonnis te staken en gestaakt te houden voor zover deze executie van de dwangsommen betrekking heeft op de zin ‘Privatescan is marktleider’, zoals deze is geplaatst op LinkedIn vanaf de betekening van het bestreden vonnis tot het moment dat deze zin van LinkedIn is verwijderd en heft de gelegde executoriale (derden)beslagen en executoriale aandelenbeslagen op.

4.3.  De voorzieningenrechter is van oordeel dat het LinkedIn profiel een persoonlijk profiel van [eiser sub 1] is en overweegt daartoe als volgt. Bovenaan het LinkedIn profiel is allereerst de naam van [eiser sub 1] opgenomen, met daarnaast een foto van zijn gezicht. Onder de naam van [eiser sub 1] staat vermeld dat hij ‘owner’ van Privatescan is. LinkedIn is een online sociaal netwerk dat de deelnemers in de gelegenheid stelt gebruik te maken van elkaars zakelijke netwerk. Het idee achter LinkedIn is juist dat het persoonlijk profiel wordt gebruikt voor zakelijke en carrièregerichte doeleinden. Dat het LinkedIn profiel van [eiser sub 1] kennelijk voornamelijk wordt gebruikt voor zakelijke doeleinden met betrekking tot zijn bedrijf Privatescan (zoals diverse polls en een beschrijving van Privatescan), maakt niet dat dit profiel daardoor van Privatescan is. LinkedIn biedt namelijk aan bedrijven de mogelijkheid om een eigen zakelijk profiel aan te maken. Ook Privatescan heeft zo’n zakelijk profiel, zo blijkt uit productie 9 bij de conclusie van antwoord. Dat een aantal medewerkers van Privatescan toegang heeft tot het profiel van [eiser sub 1] en het account betaald wordt door Privatescan, doet aan het voorgaande niet af. Het is het persoonlijke profiel van [eiser sub 1], dat hij gebruikt voor zakelijke doeleinden door onder meer Privatescan te promoten.

4.9.  [Eiser sub 1 c.s.] heeft aangevoerd dat de maatman-consument niet zal worden beïnvloed door een mededeling op een LinkedIn profiel, omdat een LinkedIn profiel, anders dan veel andere websites, niet voor het informeren van consumenten wordt gebruikt. Bovendien voert [eiser sub 1 c.s.] aan dat bij LinkedIn eerst door de gebruiker van een profiel eerst toegang tot dat profiel moet zijn verleend, voordat de consument toegang heeft tot informatie op dat profiel. Prescan heeft de stellingen van [eiser sub 1 c.s.] weersproken.

4.10.  De voorzieningenrechter overweegt als volgt. Een LinkedIn profiel kan ook bezocht worden door personen die niet in het bezit zijn van een eigen LinkedIn profiel of die niet ingelogd zijn op hun profiel, afhankelijk van de instellingen van het LinkedIn profiel wat zij willen bekijken. De instellingen van het LinkedIn profiel van [eiser sub 1] waren ten tijde van de zitting dusdanig, dat het profiel ook voor mensen zonder LinkedIn profiel toegankelijk was, bijvoorbeeld via google. Dat betekent dat ook de ‘maatman-consument’ op het profiel van [eiser sub 1] terecht kon komen, bijvoorbeeld door ‘Privatescan’ te googelen. Zo bezien heeft [eiser sub 1] het vonnis van de rechtbank ’s-Gravenhage dus overtreden. De vraag die de voorzieningenrechter echter dient te beantwoorden is of deze overtreding, met inachtneming van de eisen van redelijkheid en billijkheid, voldoende ernstig is om te rechtvaardigen dat daardoor dwangsommen zijn verbeurd.

4.12.   De voorzieningenrechter is in dit geval van oordeel dat de overtreding van ondergeschikte aard is, waardoor geen dwangsommen zijn verbeurd en heeft daarbij het volgende in aanmerking genomen. De rechtbank ‘s-Gravenhage heeft de veroordeling uitgesproken naar aanleiding van artikelen die te vinden waren op de De Standaard Online (een Belgische website) en op Medical Facts (een Nederlandse website), waarin stond vermeldt dat Privatescan marktleider was. Het is veel waarschijnlijker dat de maatman-consument op dergelijke sites zal kijken, indien hij informatie over Privatescan dan wel Prescan zoekt, dan dat hij op het persoonlijke LinkedIn profiel van de directeur van Privatescan kijkt. De maatman-consument zal op zoek gaan naar reviews van andere consumenten, (nieuws)artikelen of vergelijkingen van Privatescan en Prescan. [Eiser sub 1] heeft bovendien – onbetwist – aangevoerd dat er sinds het vonnis van de rechtbank ’s-Gravenhage (vrijwel) geen consumenten op zijn LinkedIn profiel hebben gekeken, maar dat het profiel voornamelijk is bezocht door Prescan en door de deurwaarder die door Prescan is ingeschakeld. Nadat Prescan [eiser sub 1 c.s.] op de hoogte stelde van de zinsnede op het LinkedIn profiel, heeft [eiser sub 1 c.s]. de zinsnede bovendien direct verwijderd.

4.13.  Hoewel het plaatsen van de zinsnede ‘Privatescan is marktleider’ dus valt binnen het doel van de veroordeling in het vonnis van de rechtbank ’s-Gravenhage, is de overtreding van zodanige ondergeschikte betekenis dat naar het oordeel van de voorzieningenrechter door de overtreding geen dwangsommen zijn verbeurd.

Op andere blogs:
Ius Mentis (Een uitingsverbod geldt ook voor de LinkedIn van de directeur)
MediaReport (Linkedinprofiel is een persoonlijk profiel voor zakelijke doeleinden)

Rb. Rotterdam 23 januari 2013, zaaknr. C/10/402317 / HA ZA 12-455 (eiser tegen ING BANK N.V.)

Niet-ontvankelijk. Persoonsgegevens in extern incidentenregister art. 46 jo 36 Wbp. Blokkering betaalrekening. Phishing - fraude. Money mule. Zorgplicht bank.

Een bedrag van € 5.000,00 is naar de rekening van eiser overgeboekt, afkomstig van een rekening waarvan de houder daartoe geen opdracht had gegeven. Diezelfde dag hebben meerdere geldopnames plaatsgevonden. In totaal is daarbij een bedrag van € 4.733,10 van de rekening gehaald. ING is van mening dat eiser is opgetreden als een zogenaamde “money-mule” in een omvangrijke “phishing-fraude”. ING heeft de betaalrekening van eiser en de daaraan gekoppelde bankpas met bijbehorende pincode geblokkeerd en de relatie met eiser opgezegd. Als deelnemer aan het interbancaire incidentenwaarschuwingssysteem heeft ING de persoonsgegevens van eiser opgenomen in het zogenaamde extern verwijzingsregister (EVR). Eiser vordert verwijdering van onderhavig incident uit het EVR. De vordering is niet tijdig ingediend, daarom wordt de eiser niet-ontvankelijk verklaard.

Met betrekking tot de door ING geblokkeerde rekening is het uitgangspunt dat wanneer een bank het gerechtvaardigde vermoeden heeft dat haar dienstverlening wordt misbruikt en aldus sprake is van een vertrouwensbreuk met een klant, of indien de bank beargumenteerd van mening is dat de voortzetting van de dienstverlening tot onacceptabele risico’s leidt, die bank bevoegd is de relatie met die klant op te zeggen. Die bevoegdheid is echter niet onbegrensd. Immers dient de bank rekening te houden met haar zorgplicht die zij heeft jegens haar relaties.

De stellingen van eiser voor zover deze ertoe strekken om de conclusie van betrokkenheid bij benadeling van ING door middel van frauduleuze handelingen te weerleggen, zijn naar het oordeel van de rechtbank ongeloofwaardig en ongenoegzaam. Mede gelet op de uitleg die ING heeft gegeven aan de aard en de achtergrond van de mutaties die hebben plaatsgevonden op de betaalrekening van de eiser, blijkt dat sprake is van ongebruikelijk betalingsverkeer en derhalve van een concreet of reëel integriteitsrisico. De rechtbank wijst de vordering af.

4.13.  Uitgangspunt is dat wanneer een bank het gerechtvaardigde vermoeden heeft dat haar dienstverlening wordt misbruikt en aldus sprake is van een vertrouwensbreuk met een klant, of indien de bank beargumenteerd van mening is dat de voortzetting van de dienstverlening tot onacceptabele risico’s leidt, die bank bevoegd is de relatie met die klant op te zeggen. Dit volgt onder meer uit artikel 30 van de algemene bankvoorwaarden.

4.14.  Die bevoegdheid is echter niet onbegrensd. Immers dient de bank rekening te houden met haar zorgplicht die zij heeft jegens haar relaties. Banken hebben, nu zij bij uitsluiting het betalingsverkeer verzorgen, een belangrijke publieke rol en een bijzondere positie, hetgeen een bepaalde verantwoordelijkheid met zich brengt jegens klanten. Beoordeeld moet worden beoordeeld of de reden voor de opzegging voldoende zwaarwegend is in verhouding tot het belang van de klant bij de voortzetting van de relatie. Het belang om te kunnen beschikken over een betaalrekening moet daarbij als het in beginsel meest zwaarwegende belang worden gezien.

4.15.  Als door ING gesteld en door [eiser] niet of onvoldoende gemotiveerd weersproken staat vast dat [eiser] is opgetreden als zogenaamde “money-mule” in een omvangrijke “phishing-fraude” en dat [eiser] in het verlengde daarvan een (ernstig) gevaar vormt voor de integere uitoefening van het bankbedrijf. De rechtbank is van oordeel dat de stellingen van [eiser] voorzover deze ertoe strekken om de conclusie van betrokkenheid bij (poging tot) benadeling van ING door middel van frauduleuze handelingen te weerleggen, ongeloofwaardig en ongenoegzaam zijn. Mede gelet op de uitleg die ING heeft gegeven aan de aard en de achtergrond van de mutaties die hebben plaatsgevonden op de betaalrekening van de [eiser], blijkt dat sprake is van ongebruikelijk betalingsverkeer en derhalve van een concreet of reëel integriteitsrisico.

T.A.P. de Wit, Oostenrijkse Constitutionele Hof stelt prejudiciële vragen over Dataretentierichtlijn, ITenRecht IT 1022.

Een bijdrage van Tom de Wit, Louwers IP|Technology advocaten.

Het Oostenrijkse constitutionele Hof heeft vragen gesteld over de rechtmatigheid van de Europese Dataretentierichtlijn (hierna: ‘richtlijn’) . De betreffende richtlijn is vorig jaar in de Oostenrijkse wetgeving geïmplementeerd. De richtlijn legt onder andere verplichtingen op aan aanbieders van openbare elektronische communicatiediensten tot het bewaren van een bepaalde lijst van telecommunicatiegegevens gedurende een bepaalde periode.

Aanleiding voor de vragen vormen de bezwaren tegen de (implementatie van de) richtlijn die verschillende partijen, waaronder veel burgers, een medewerker van een telecommunicatiebedrijf en de regering van de provincie Karinthië, hebben voorgelegd aan de nationale Oostenrijkse rechter.

Het Oostenrijkse constitutionele Hof heeft met name moeite met het feit dat in het overgrote gedeelte van de gevallen waarin er verplicht telecommunicatiegegevens worden opgeslagen het personen betreft die geen aanleiding geven tot opslag van de gegevens. Ondertussen kunnen de persoonsgegevens wel in het bezit komen van de autoriteiten en ligt mogelijk misbruik van persoonsgegevens op de loer. Het Oostenrijkse constitutionele hof vraagt zich met name af of de verplichtingen die door de richtlijn worden opgelegd wel in overeenstemming zijn met het Handvest van de grondrechten van de Europese Unie (hierna: ‘handvest’).

De belangrijkste vragen die het Oostenrijkse constitutionele hof voorlegt aan het Europese Hof van Justitie zijn de navolgende . In de eerste plaats is de vraag of de artikelen 3 tot en met 9 van de richtlijn verenigbaar zijn met de artikelen 7, 8 en 11 van het handvest? In de tweede plaats wil het Oostenrijkse Constitutionele Hof weten wat de rol is van Richtlijn 95/46/EG en Verordening 45/2001/EG bij de beoordeling van de vraag of maatregelen geoorloofd zijn in het licht van artikel 8 van het handvest.

[artikel is ingekort, lees de opgemaakte pdf onder de citeerwijze]

Als het Europese Hof van Justitie tot hetzelfde oordeel komt als de Duitse rechter, kunnen de gevolgen groot zijn. Dat betekent niet alleen dat de huidige Europese en nationale regelgeving met betrekking tot dataretentie die gebaseerd is op de richtlijn op de schop moet. Ook de huidige voorstellen om de verplichtingen uit te breiden naar social media en zoekmachines kunnen dan voorlopig in de ijskast. Los van het oordeel van het Europese Hof van Justitie in deze zaak, alsmede vragen met betrekking tot Verordening 2252/2004/EG, nopen deze ontwikkelingen de Europese wetgever wel om meer aandacht te besteden aan de verenigbaarheid tussen Europese regelgeving en verdragsrechtelijke grondrechten zoals vervat in het Handvest en het EVRM. Alleen dat is reeds een positieve ontwikkeling te noemen.

Tom de Wit