Privacy  

ABRvS 25 mei 2016, IT 2074; ECLI:NL:RVS:2016:1410; ECLI:NL:RVS:2016:1411; ECLI:NL:RVS:2016:1412; ECLI:NL:RVS:2016:1416; ECLI:NL:RVS:2016:1413; ECLI:NL:RVS:2016:1417; ECLI:NL:RVS:2016:1418 (Willems e.a.)
Eerder HvJ EU [IT 1762]. Uit het persbericht: De burgemeesters van Amsterdam, Den Haag, Nuth en Maastricht hebben terecht aanvragen voor een paspoort buiten behandeling gelaten, omdat de aanvragers weigerden de daarvoor verplichte vingerafdrukken af te geven. De burgemeesters van Utrecht, Amsterdam en De Fryske Marren mochten echter niet aanvragen voor een Nederlandse identiteitskaart buiten behandeling laten. Daarvoor is het afgeven van vingerafdrukken niet verplicht. Dit blijkt uit 7 uitspraken die de Afdeling bestuursrechtspraak van de Raad van State vandaag (25 mei 2016) openbaar heeft gemaakt. Tegen de uitspraken is geen hoger beroep mogelijk.

Prejudicieel gestelde vragen aan HvJ EU 25 februari 2016, IEFbe 1807; IT 2073; C-210/16 (Wirtschaftsakademie Schleswig-Holstein)
Gegevensbescherming. Privacy. Via Minbuza: Verzoekster, een privaatrechtelijk georganiseerde onderwijsinstelling, heeft van het ‘Onafhankelijk centrum voor gegevensbescherming van de deelstaat’ (verweerder) op 03-11-2011 opdracht gekregen haar Facebookpagina te deactiveren. Verzoekster maakt via haar ‘fanpage’ bij Facebook Ireland onder meer reclame voor haar onderwijsinstelling. Het aanhouden van ‘fanpages’ geeft de maker onder meer mogelijkheid (via ‘facebook-insights’) geanonimiseerde statistische informatie over gebruikers, bij wie cookies worden geplaatst, te ontvangen. Verzoekster maakt bezwaar maar verweerder bevestigt het besluit, waarna de zaak aan de rechter wordt voorgelegd. Het Verwaltungsgericht vernietigt de beslissing omdat verzoekster geen ‘verantwoordelijk lichaam’ is in de zin van de DUI wet en dan ook geen adressaat van een bevel kan zijn. Verweerders hoger beroep sneuvelt. De zaak ligt nu voor in Revision bij de verwijzende rechter. Verzoekster, ondersteund door medegedaagde Facebook, meent dat zij niet verantwoordelijk is voor gegevensverwerking door Facebook en evenmin voor de geïnstalleerde cookies. Zij heeft daartoe geen opdracht gegeven. Verweerder stelt dat verzoekster door het openen van een ‘fanpage’ wel verantwoordelijk is.

Autoriteit Persoonsgegevens 13 april 2016, IT 2068; z2015-00894 (Stichting Tuchtrecht Banken)
De Autoriteit Persoonsgegevens heeft het Tuchtrechtelijk Register van Stichting Tuchtrecht Banken rechtmatig verklaard. De Autoriteit Persoonsgegevens concludeert dat deze zwarte lijst van bankmedewerkers voldoende privacywaarborgen bevat. Banken zijn wettelijke verplicht om een tuchtrechtelijke regeling te hebben. Een externe, onafhankelijke organisatie moet deze regeling uitvoeren. Deze organisatie is de Stichting Tuchtrecht Banken. De Stichting Tuchtrecht Banken heeft een zwarte lijst opgesteld (het Tuchtrechtelijk Register). Op deze lijst registreert de stichting voortaan bankmedewerkers die een tuchtrechtelijke maatregel opgelegd hebben gekregen, zoals een tijdelijk beroepsverbod. Het feit dat iemand geregistreerd staat, wordt gedeeld met de deelnemende banken. Het doel hiervan is recidive te helpen voorkomen en bij te dragen aan de integriteit van bankmedewerkers.

Vzr. Rechbank Den Haag 11 mei 2016, IEF 15962; IT 2067 (Parfumwebshop tegen Facebook)
Onrechtmatige publicatie. Opvraging gegevens. X heeft een parfumwebwinkel. Op een Facebookgroep konden ontevreden klanten hun mening delen, waarop persoonlijke gegevens van de webshopeigenaar werden gezet en verwijten van malafide praktijken en gebruik van stromannen. Na verwijdering van de gegevens wordt gedreigd met "binnen enkele dagen zullen wij wederom foto en persoonlijke gegevens van de eigenaar plaatsen, zodat u hem kunt vinden".  Na sluiting werd een tweede en een derde Facebookgroep opgericht. X vordert met succes de verstrekking gegevens van de beheerders van de Facebookgroepen. Een krantenartikel, waaraan X zelf heeft meegewerkt, is op zichzelf niet onrechtmatig en de verwijdering hiervan wordt afgewezen.

Rechtbank Oost-Brabant 16 februari 2016, IT 2061; ECLI:NL:RBOBR:2016:2529 (Beukenlaan Facility Manager tegen SNS)
Wbp. BFM vordert ex 35, 36 en 46 Wbp verwijdering uit het Intern Incidentenregister (IR) en Extern verwijzingsregister (EVR). SHR N.V. is ecther niet de verantwoordelijke in de zin van de Wbp en daarom zijn verzoekers niet ontvankelijk. Dat BFM het verzoek (mede) tegen SNS Reaal hebben gericht is begrijpelijk nu de brieven, waarin aan hen gemeld werd dat zij in het IR en het EVR waren opgenomen van SNS Reaal afkomstig waren en niet blijkt dat duidelijk is gecommuniceerd dat SNS Reaal niet meer als zodanig bestaat. Er wordt vanwege voorstaande geen kostenveroordeling aan verbonden.

Conclusie AG HvJ EU 12 mei 2016, IT 2055; IEFbe 1796; C-582/14; ECLI:EU:C:2016:339 (Breyer)
Zie eerder IT 1698; IEFbe 1206. Begrip ‚persoonsgegevens’ – IP-adressen – Bewaring door een aanbieder van elektronische mediadiensten. Nationale regeling volgens welke geen rekening kan worden gehouden met het legitieme belang van de voor de verwerking verantwoordelijke.

1)      Overeenkomstig artikel 2, onder a), [richtlijn gegevensbescherming], vormt een dynamisch IP‑adres waarmee een gebruiker toegang heeft gekregen tot de website van een aanbieder van elektronische mediadiensten voor deze laatste een ‚persoonsgegeven’, wanneer een internetprovider beschikt over de aanvullende gegevens die het, samen met het dynamische IP‑adres, mogelijk maken de gebruiker te identificeren.

Sinds vorige maand staat de tekst van de EU Privacy Verordening ('GDPR') vast en weten we hoe de regels eruitzien die in 2018 in werking treden. Veel daarvan is echter gelijk aan de nu geldende EU Privacy Richtlijn ('95/46'), waarop ook de huidige Nederlandse Privacy wet ('Wbp') is gebaseerd. Als gevolg daarvan blijft veel van de tot nu toe gevormde juridische theorie en praktijk ook straks relevant. Wij merken in de praktijk dat het handig is om snel te kunnen schakelen tussen de vindplaatsen in GDPR, Richtlijn 95/46 en de Wbp. CMS stelt daarom graag de GDPR Transponeringstabel beschikbaar voor geïnteresseerden.

De Nederlandstalige versie (GDPR/Richtlijn/Wbp) kan [hier] direct worden gedownload.
De Engelstalige versie (GDPR/Richtlijn) kan [hier] direct worden gedownload.

Hof Amsterdam 2 februari 2016, IT [2046] (Centramed c.s. tegen X)
Art. 35 en 46 Wbp. Medisch onderzoeksrapport. Verzoek om afgifte. De rechtbank heeft het verzoek om afgifte van het medisch onderzoeksrapport onterecht toegewezen. Partij had dergelijk verzoek binnen de door de Wbp gestelde termijn van zes weken (art. 46 lid 2) moeten indienen bij de rechtbank. 

Rechtbank Rotterdam 29 maart 2016, IEF 15879; IT 2043; ECLI:NL:RBROT:2016:2395 (advocaat-verzoeker tegen Google)
Mediarecht. Privacy. Verzoeker is advocaat en is strafrechtelijk veroordeeld voor verboden wapenbezit. Een lokale blogger heeft op zijn internetwebsite een stuk gepubliceerd met naam en foto van verzoeker en citaten uit de terechtzitting. Met een succesvol beroep op het Costeja-arrest vordert verzoeker om verwijdering van strafrechtelijke persoonsgegevens uit de zoekmachine onder last van een dwangsom van €5.000 per dag. Hoewel een advocaat een belangrijke rol speelt in het maatschappelijke verkeer door het verlenen van juridische bijstand, gaat het de rechtbank te ver om er vanuit te gaan dat iedere advocaat een zodanige maatschappelijke rol heeft dat het publiek steeds belang heeft om ervan kennis te kunnen nemen dat een advocaat strafrechtelijk is veroordeeld.

CBP 22 oktober 2015, z2015-00689 (Wetgevingsadvies gegevensuitwisseling mbo-studenten)
Gegevensuitwisseling. Het wetsvoorstel introduceert de plicht voor scholen in het voortgezet onderwijs, mbo-instellingen en gemeenten om gegevens uit te wisselen over de aanmeldingen van studenten die overstappen naar het mbo. Het wetsvoorstel beoogt studenten beter te begeleiden bij de overstap naar het mbo, meer duidelijkheid en zekerheid te geven over hun mogelijkheden in het mbo en de risico’s op uitval te verminderen.