Privacy  

Hof 's-Hertogenbosch 9 juni 2015; IT 1783; ECLI:NL:GHSHE:2015:2080 (Houtverwerkingsindustrie)
Tussenarresten ECLI:NL:GHSHE:2014:673 en 20 mei 2014; ECLI:NL:GHSHE:2014:1413. Een deskundigenonderzoek in boekhouding van gedaagde om vast te stellen of gedaagde in de betreffende periode zaken heeft gedaan met vaste relaties van de concurrent, bevestigt verdenkingen dat er onrechtmatig is gehandeld door gebruik te maken van vertrouwelijke bedrijfsgegevens van concurrent, terwijl die via een werknemer van de concurrent zijn verkregen. Er wordt thans een schadevergoeding van ruim € 49.000,-- toegewezen.

9.4.3. [geïntimeerde] heeft in haar memorie na deskundigenbericht betoogd dat zij (ook ten aanzien van de jaren 2008 en 2009) niet onrechtmatig jegens [houtverwerkingsindustrie] heeft gehandeld. Bij de beoordeling van dat verweer roept het hof in herinnering dat [medewerker van Houtverwerkingsindustrie] in 1999 in dienst is getreden bij [houtverwerkingsindustrie], dat [medewerker van Houtverwerkingsindustrie] en [geïntimeerde] in 2005 [Arts] Arts hebben opgericht, dat [medewerker van Houtverwerkingsindustrie] in elk geval vanaf januari 2007 bedrijfsgevoelige informatie over onder meer door [houtverwerkingsindustrie] uitgebrachte offertes aan [Arts] Arts is gaan doorspelen, dat de omzet van [Arts] Arts uit de levering van door [houtverwerkingsindustrie] gevoerde producten aan klanten/relaties van [houtverwerkingsindustrie] vanaf dat moment is begonnen en sterk is toegenomen en dat [houtverwerkingsindustrie] in dezelfde periode een terugloop heeft ondervonden in de omzet die zij bij diezelfde relaties placht te realiseren. Deze feiten duiden er reeds op dat [geïntimeerde] in het kader van [Arts] Arts gebruik heeft gemaakt van de betreffende informatie die [medewerker van Houtverwerkingsindustrie] aan hem heeft verstrekt.

9.4.4. Het standpunt van [geïntimeerde] dat hij dienaangaande passief is geweest en dat van enige samenspanning geen sprake is geweest, is niet te verenigen met de tekst van de e-mail die [geïntimeerde] op 23 januari 2007 om 7:51 uur aan [medewerker van Houtverwerkingsindustrie] heeft gezonden en waarvan zich een afschrift bij prod. 11 bij de inleidende dagvaarding bevindt. Gelet op de bewoordingen van die e-mail probeert [geïntimeerde] in samenspraak met [medewerker van Houtverwerkingsindustrie] zodanige e-mailinstellingen te realiseren dat hij, [geïntimeerde], tijdens kantooruren op zijn werkplek bij [Arts] Arts de e-mails kan lezen die [medewerker van Houtverwerkingsindustrie] hem vanaf diens werkplek bij [houtverwerkingsindustrie] zal zenden. Dit duidt zonder meer op een welbewuste samenspanning tussen [geïntimeerde] en [medewerker van Houtverwerkingsindustrie] waarbij [geïntimeerde] op eenvoudige wijze en onmiddellijk kan beschikking over de concurrentiegevoelige gegevens die [medewerker van Houtverwerkingsindustrie] hem vanaf de werkplek van [houtverwerkingsindustrie] zou mailen. Dat daarvan vervolgens op grote schaal gebruik is gemaakt blijkt uit de vele e-mails die [houtverwerkingsindustrie] in eerste aanleg heeft overgelegd nadat zij daarover met hulp van haar systeembeheerder de beschikking had gekregen. Het hof wijst in dit kader als voorbeeld op het e-mailbericht van augustus 2007 dat is weergegeven in rov. 4.5.2 van tussenarrest van 11 maart 2014 en het e-mail van januari 2007 dat hiervoor is weergegeven in rov. 9.4.2. De bewoordingen van deze berichten laten naar het oordeel van het hof niets aan duidelijkheid te wensen over.

CBP ontwerpbesluit 20 mei 2015, IT 1782 (Randstad / Adecco)
Het College bescherming persoonsgegevens (CBP) is voornemens om een door Randstad Nederland B.V. (en Adecco Group Nederland) gemelde verwerking van persoonsgegevens rechtmatig te verklaren. De gemelde verwerking houdt in dat Randstad (en Adecco Group Nederland) strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag verwerkt ten behoeve van derden, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b, van de Wet bescherming persoonsgegevens. Randstad (en Adecco Group Nederland) verwerkt deze gegevens voor pre-employment screeningen om de achtergrond van flexwerkers te controleren of te onderzoeken.

Hof Arnhem-Leeuwarden 22 april 2015, IT 1779 (smartphone doorzoeking)
Strafrecht. Schending privacy. Onherstelbaar vormverzuim. X wordt strafrechtelijk vervolgd voor openlijke geweldpleging c.q. opzettelijke mishandeling. De politie heeft in het kader van de waarheidsvinding de iPhone van verdachte in beslag genomen. De inhoud van deze smartphone is onderzocht en gegevens (een whatsapp gesprek) zijn uit deze smartphone gelicht. De verdediging stelt dat dit  een inbreuk vormt op de eerbiediging van het privé-leven en de correspondentie van de verdachte. De Nederlandse regelgeving schiet tekort in het bieden van een redelijke begrenzing van de onderzoeksbevoegdheid van de politie, met name tot hetgeen noodzakelijk en proportioneel is. Volgens de verdediging is hier feitelijk sprake van een onbegrensde onderzoeksbevoegdheid van de politie, hetgeen in strijd is met artikel 8 EVRM, wat dient te leiden tot bewijsuitsluiting. Het hof is van oordeel dat sprake is van een zodanig ingrijpende bevoegdheid dat artikel 94 Sv. heden ten dage niet meer kan worden aangemerkt als een wettelijk voorschrift dat als voldoende kenbaar en voorzienbaar kan worden aangemerkt bij de uitoefening van de verleende bevoegdheid. Het kan derhalve de toets van artikel 8 EVRM niet (meer) doorstaan. Privacy van verdachte is geschonden wat een onherstelbaar vormverzuim oplevert. Het hof verbindt verder geen rechtsgevolgen aan het vormverzuim nu het geen onderdeel vormt van de bewijsconstructie van het hof.

Het hof onderschrijft het standpunt van de verdediging in die zin dat verdachte ten aanzien van de inhoud van zijn smartphone een beroep op bescherming op artikel 8 EVRM (en artikel 10 Grondwet) toekomt. De inbeslagname, het onderzoek aan de srnartphone en het lichten van gegevens van die smartphone door de politie op grond van artikel 94 Sv. vormen een inbreuk op de door artikel 8 EVRM verleende bescherming van de persoonlijke levenssfeer. De bevoegdheid van de politie tot het maken van een inbreuk op dit recht moet voldoende kenbaar en voorzienbaar in de wet zijn omschreven. De technische ontwikkelingen anno 2015 brengen met zich dat er via een smartphone niet alleen toegang wordt verkregen tot verkeersgegevens, maar ook tot de inhoud van communicatie en privé-informatie van de gebruiker van de smartphone. En dat zonder enige vorm van voorafgaande beoordeling van de subsidiariteit en/of proportionaliteit van de bevoegdheid. Dat brengt het hof tot het oordeel dat sprake is van een zodanig ingrijpende bevoegdheid dat, mede gelet op artikel 1 Sv., de algemene bevoegdheidsomschrijving van artikel 94 Sv. heden ten dage niet meer kan worden aangemerkt als een wettelijk voorschrift dat als voldoende kenbaar en voorzienbaar kan worden aangemerkt bij de uitoefening van de verleende bevoegdheid. Het kan derhalve de toets van artikel 8 EVRM niet (meer) doorstaan.

Met de verdediging is het hof daarom van oordeel dat het onderzoek door de politie aan de srnartphone van de verdachte oplevert een schending van zijn recht op privacy. De verdachte is hierdoor getroffen in een belang dat de overtreden norm beoogt te beschermen. De verdachte is ook concreet benadeeld in zijn (verdedigings)belang nu gegevens (een whatsapp gesprek) uit de smartphone van de verdachte zijn gelicht en geprint en toegevoegd aan het strafdossier en de verdachte door de politie is verhoord en door de rechtbank is veroordeeld mede op basis van een onderdeel van het whatsapp gesprek.

Aldus is sprake van een onherstelbaar vormverzuim in het voorbereidend onderzoek in de zin van artikel 359a van het Wetboek van Strafvordering. De rechtsgevolgen hiervan blijken niet uit de wet. De vraag is of~ en zo ja, welke rechtsgevolgen aan voormeld vormverzuim moeten worden verbonden. Bij de beoordeling hiervan dient het hof rekening te houden met de in artikel 359a, tweede lid, van het Wetboek van Strafvordering genoemde factoren, te weten het belang van het geschonden voorschrift, de ernst van het verzuim en het nadeel dat daardoor wordt veroorzaakt. Verdachte zal van dit vormverzuim geen nadeel ondervinden nu het onderzoeksresultaat dat door middel van het vormverzuirn is verkregen geen onderdeel vormt van de bewijsconstructie van het hof. Het hof zal daarom verder geen rechtsgevolgen verbinden aan het vormverzuim.

Prejudiciële vragen aan HvJEU 28 april 2015, IT&R 1778, zaak C-191/15 (Rease & Wullems)
Vragen gesteld door de Raad van State.  Rease woont sinds 2005 bij zijn levenspartner Wullems in Amsterdam. Hij ontving tussen 2000 tot eind 2010 een arbeidsongeschiktheidsuitkering van Prudential Insurance Company of America (PICA). PICA stopt de uitkering na een onderzoek in 2008 door eerst een in het VK gevestigd detectivebureau (JHI) en daarna door een Amerikaans bureau (G4S), die beide gegevens over de persoonlijke omstandigheden van Rease hebben verzameld en doorgespeeld aan PICA. PICA heeft ook medische informatie laten opvragen door het Britse Health Claims Bureau (HCB) bij een arts van het Academisch Medisch Centrum (AMC). Verzoekers starten een procedure bij het College bescherming persoonsgegevens (Cbp). Zij vragen Cbp een onderzoek in te stellen naar overtreding van de Wbp door PICA en de ingeschakelde recherchebureaus. Daarnaast eisen zij optreden tegen de verstrekking van medische gegevens door een arts van het AMC aan HCB. Cbp stelt dat hij niet bevoegd is handhavend op te treden jegens in de VS gevestigde PICA en evenmin jegens HCB dat onderworpen is aan Brits recht.

In deze gevallen heeft de verwerking van persoonsgegevens niet op NL grondgebied plaatsgevonden. Cbp kan wel handhavend optreden tegen G4S dat gebruik heeft gemaakt van zijn vestiging in NL, en onderzoek doen naar het doorgeven van gegevens door het AMC. Maar op grond van beleidsregels (overtredingen niet ernstig en structureel en er worden niet veel mensen getroffen) wordt het verzoek toch afgewezen.In beroep bij de Rb AMS vernietigt deze het besluit voor zover daarbij het bezwaar tegen de onbevoegdheid van het Cbp met betrekking tot het AMC ongegrond is verklaard. Verder laat de Rb de rechtsgevolgen van het vernietigde deel in stand. Verzoekers zijn het niet eens dat het Cbp tegen PICA, JHI en HCB niet bevoegd zou zijn en zij laken het voor individuen ontbreken van effectieve rechtsbescherming. Zij gaan in hoger beroep bij de verwijzende rechter.

De verwijzende NL rechter (RvS) oordeelt dat de Wbp hier van toepassing is. Niet in geschil is dat het Cbp bevoegd is voor zover het de verwerking van de persoonsgegevens door het AMC en G4S betreft. Maar beoordeeld moet worden of het Cbp bevoegd is te oordelen over verwerking in NL van persoonsgegevens door JHI in opdracht van PICA. Een medewerker van JHI heeft persoonlijk in NL onderzoek gedaan door onder meer de woning van verzoekers in de gaten te houden en daarvan filmverslag te doen. Daarnaast vraagt de verwijzende rechter zich af of het EULS is toegestaan beleidsregels op te stellen die ruimte geven om gemotiveerd af te zien van handhaving. Hij stelt het HvJEU de volgende vragen:

1) Valt het door een voor de verwerking verantwoordelijke, als bedoeld in artikel 2, aanhef en onder d, van de Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995 L 281), buiten de EU opdrachtgeven aan een recherchebureau gevestigd binnen de EU om middelen in te zetten voor de verwerking van persoonsgegevens op het grondgebied van een lidstaat onder het gebruik maken van middelen als bedoeld in artikel 4, eerste lid, aanhef en onder c, van die richtlijn?

2) Laat de Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB 1995 L 281), in het bijzonder artikel 28, derde en vierde lid, gelet op de doelstelling van die richtlijn, ruimte aan de nationale autoriteiten om bij handhaving van de in die richtlijn gegeven bescherming van de individuele persoon door de toezichthoudende autoriteit prioriteiten te stellen die ertoe leiden dat handhaving achterwege blijft in het geval slechts een individu of een kleine groep personen over de overtreding van die richtlijn klaagt?

Rechtbank Zwolle-Lelystad 4 juli 2012, IT 1773; ECLI:NL:RBZLY:2012:BY2941 (X tegen Y Bedrijfsrecherche B.V.)
Bescherming persoonsgegevens. X is van 1 augustus 1991 tot en met 31 december 2008 werkzaam geweest bij Education International en haar rechtsvoorgangers. X heeft een bedrijfslaptop mede gebruikt voor contact met zijn thuisfront en het bijhouden van een dagboek/jaarboek. Na anoniem verstuurde aantijgingen heeft de werkgever onderzoek laten doen naar de laptops van werknemers. Hieruit is geconcludeerd dat X de bron was. X vernam dat stukken uit zijn jaarboek gebruikt en gedeeld zijn in het onderzoek. X vordert met succes schadevergoeding nu Y onrechtmatig gehandeld heeft door kennis te nemen van en diens (voormalig) werkgever in staat te stellen kennis te nemen van de inhoud van diens dagboeknotities. Het feit dat een werknemer (al dan niet vrijwillig) zijn laptop heeft ingeleverd kan niet worden aangemerkt als toestemming in de zin van de WBP voor het onderzoek zoals dat door Y Bedrijfsrecherche is verricht.

4.6. Gelet op deze voorschriften en in aanmerking genomen dat [eiser] werknemer was van EI en er sprake was van een situatie waarin EI wenste te achterhalen of een van haar medewerkers betrokken was bij het anonieme e-mailbericht, kan het inleveren van de laptop - of het nu bevolen of verzocht is en of nu wel of niet de toezegging is gedaan dat er geen privébestanden zouden worden geopend - niet worden aangemerkt als toestemming in de zin van de Wbp voor het onderzoek zoals dat door [gedaagde] is verricht en evenmin als toestemming voor het verstrekken van de (inhoud van de) (gekopieerde) bestanden en het onderzoeksresultaat aan EI. [gedaagde] kan ook niet worden gevolgd in haar standpunt dat zij er vanuit mocht gaan dat [eiser] de vereiste toestemming had verleend op grond van de enkele mededeling van EI dat [eiser] vrijwillig zijn laptop had afgestaan. [gedaagde] had zich van de vereiste toestemming van [eiser] moeten vergewissen. Nu zij dat niet heeft gedaan, heeft zij naar het oordeel van de rechtbank onrechtmatig gehandeld jegens [eiser]. De enkele omstandigheid dat [gedaagde] handelde in opdracht van EI kan in het onderhavige geval niet afdoen aan de aansprakelijkheid van [gedaagde] jegens [eiser]. Hetzelfde geldt voor de omstandigheid dat [eiser] (wel) zijn vrijwillige medewerking heeft verleend aan het gesprek op 30 oktober 2007. Op dat moment was de verwerking van persoonsgegevens betreffende [eiser] immers al een feit.

4.9. [eiser] stelt dat hij schade heeft geleden als gevolg van het onrechtmatig handelen door [gedaagde]. Door de op zijn laptop aangetroffen bestanden (integraal) te verstrekken aan EI heeft [gedaagde] de relatie tussen het management van EI als werkgever en [eiser] als werknemer, zodanig onherstelbaar beschadigd dat deze relatie is beëindigd met alle gevolgen van dien voor zijn gezondheid, zijn financiële positie en zijn reputatie, aldus [eiser]. [gedaagde] betwist dat [eiser] schade heeft geleden.

4.10. Voor toewijzing van een vordering tot vergoeding van schade op te maken bij staat is, wat het element schade betreft, vaste rechtspraak dat voldoende is dat de mogelijkheid van schade aannemelijk is. [eiser] heeft (met stukken onderbouwd) gesteld dat de salariëring in zijn huidige functie aanzienlijk lager is dan in zijn functie van senior coördinator bij EI (naar welke functie hij kortgeleden nog was gepromoveerd). [eiser] [eiser] heeft voorts (met stukken onderbouwd) gesteld dat hij als gevolg van de gebeurtenissen van eind oktober 2007 en daarna een post traumatische stress stoornis heeft ontwikkeld. De rechtbank acht de mogelijkheid van schade dan ook aannemelijk.

RCC 8 april 2015, IT 1770, dossiernr. 2015/00143 (Dekamarkt)
Persoonsgegevens. Oneerlijke handelspraktijk. Aanbeveling. De uiting: Het betreft een uiting op www.dekamarkt.nl. Links op de betreffende webpagina staat onder de aanhef “KRAS JE KRATJE” onder meer: “Van 25 januari t/m 21 februari ontvangt u een Kras je Kratje kraskaart cadeau bij elke € 15* aan boodschappen (…). Met elke kraskaart maakt u kans op één van de 12.000 kratjes boordevol verse en heel handige producten, ter waarde van meer dan € 50,-! Een vol kratje winnen is altijd leuk. Zo kunt u er één winnen: 1 Bij de kassa ontvangt u een Kras je Kratje kraskaart. 2 Kras het vakje open. 3 Vul de code in en u ziet direct of u een kratje gewonnen hebt”. Rechts op de bewuste webpagina staat onder meer: “Kras je Kratje Vul hieronder uw codes in en maak direct kans op één van de 12.000 kratjes! U kunt hier de actievoorwaarden lezen. Uw codes (…) Uw gegevens Aanhef* Dhr Mevr Naam* Tussenvoegsel Achternaam* E-mail* Telefoon Filiaal* (..) Ja, stuur mij wekelijks de aanbiedingen van DekaMarkt Ik ga akkoord met de actievoorwaarden * verzend”.

De klacht:

De klacht kan als volgt worden samengevat. In de uiting staat: “Vul de code in en u ziet direct of u een kratje gewonnen hebt”. Dit is niet juist. Na het invullen van de code en een klik op ‘controleren’ moet je eerst persoonsgegevens invullen. Klager begrijpt dat dit nodig is om je prijs te kunnen innen, maar hij acht het vooraf invullen van deze gegevens misleidend en strijdig met de ‘handleiding’. Als je geen prijs hebt gewonnen, heeft de Dekamarkt jouw persoonsgegevens verkregen. Voorts is het de vraag of Dekamarkt in het kader van de Wet Bescherming persoonsgegevens niet onevenredig veel persoonsgegevens verzamelt. Een e-mailadres of telefoonnummer zou voldoende moeten zijn.

Het oordeel:

A. In de bestreden uiting staat onder meer: “Een vol kratje winnen is altijd leuk. Zo kunt u er één winnen: 1 Bij de kassa ontvangt u een Kras je Kratje kraskaart. 2 Kras het vakje open. 3 Vul de code in en u ziet direct of u een kratje gewonnen hebt”. Hierdoor wordt de indruk gewekt dat men kan volstaan met het invullen van de code die zich kennelijk op de kraskaart bevindt, om erachter te komen of men een kratje gewonnen heeft. In werkelijkheid, zo blijkt uit de actievoorwaarden die elders op de website staan, dient de klant niet alleen de code, maar ook een aantal persoonsgegevens in te vullen op www.dekamarkt.nl om kans te maken op “een gevuld kratje”. Volgens het verweer dienen in elk geval te worden ingevuld: geslacht, voornaam, achternaam, e-mail en het filiaal van Dekamarkt waar de klant de eventuele prijs wenst op te halen.

Gelet op het bovenstaande gaat de reclame-uiting gepaard met onjuiste informatie als bedoeld in 8.2 aanhef van de Nederlandse Reclame Code (NRC). Bovendien kan de gemiddelde consument er toe worden gebracht een besluit over een transactie te nemen dat hij anders niet had genomen. Zo kan hij besluiten om inkopen te doen bij Dekamarkt teneinde een kraskaartje te ontvangen, waarmee hij enkel aan de hand van de code zou kunnen nagaan of hij een kratje heeft gewonnen. Gelet hierop is de uiting misleidend en daardoor oneerlijk in de zin van artikel 7 NRC.

B. Wat betreft het verzamelen/het gebruiken van persoonsgegevens op zich zelf ziet de Commissie geen aanleiding om te oordelen dat de Wet Bescherming persoonsgegevens is overtreden. De Commissie neemt daarbij in overweging dat adverteerder bij verweer het volgende heeft meegedeeld.

Dekamarkt verwerkt de gevraagde persoonsgegevens uitsluitend om te kunnen bepalen welke meespelende klanten een prijs hebben gewonnen en om te verifiëren dat de gewonnen prijs aan de juiste persoon wordt meegegeven. Gebruik van uitsluitend een telefoonnummer of e-mailadres is fraudegevoelig en om die reden kan daarmee niet worden volstaan.

HvJ EU 16 april 2015, IT 1762, ECLI:EU:C;2015:238; zaken C-446-449/12 (Willems e.a.)
Uit het persbericht: De EU-paspoortverordening bevat geen regels voor opslag en gebruik van biometrische gegevens voor andere doeleinden dan voor afgifte van paspoorten. Om die reden kan een nationale rechter de opslag en het gebruik alleen toetsen aan nationale grondrechten inzake privacy en bescherming van persoonsgegevens. De identiteitskaart valt ook niet onder deze verordening. Er is dus geen EU-plicht om daarvoor vingerafdrukken af te nemen. Dat antwoordt het EU-Hof op vragen (IT 1388) van de Nederlandse Raad van State.

Adviesverzoek aan HvJ EU 30 januari 2015, IT 1759 1328, A-1/15 (Doorgifte Passenger Name Record gegevens)
Privacy. Van de website van MinBuZa: Het EP buigt zich sinds juli 2014 over het voorstel van de Raad betreffende de sluiting van de overeenkomst tussen Canada en de Europese Unie inzake de doorgifte en verwerking van gegevens uit het Passenger Name Record. Belangrijkste vraagstuk is de eerbiediging van het privéleven en bescherming van persoonsgegevens, tegenover bestrijding van terrorisme en andere vormen van zware grensoverschrijdende criminaliteit. In juli 2005 is reeds een eerste overeenkomst met Canada gesloten (in werking sinds 22-03-2006) die als rechtsgrondslag heeft artikel 95 jo. VEU artikel 300. Hieruit blijkt duidelijk de wens van de Gemeenschap om de grondrechten en met name het recht op eerbiediging van het privéleven ten volle te respecteren. Het Verdrag van Lissabon (VvL) heeft dat nog eens versterkt. De ‘passendverklaring’ (qua beschermingsniveau) met Canada liep in 2009 af zodat vanaf dat moment over een nieuwe overeenkomst wordt onderhandeld, nu geheel op grond van het VvL. De achtergrond van de procedure tot nu toe worden in de aanvraag (die 50 bladzijden telt) uitgebreid beschreven onder II B.

Het EP heeft met name bedenkingen bij de bewaartermijn van vijf jaar, zonder dat gepreciseerd wordt dat een dergelijke (lange) termijn op grond van objectieve criteria is vastgesteld tot hetgeen strikt noodzakelijk is. Er zijn geen duidelijke voorschriften voor toezicht door een onafhankelijke autoriteit op de bescherming van de persoonsgegevens. Het EP twijfelt dus aan de eerbiediging van VWEU artikel 16 in de beoogde overeenkomst. Het doel van de overeenkomst is enerzijds de veiligheid van het publiek waarborgen en anderzijds zorg voor de bescherming van persoonsgegevens. Bij een maatregel met twee doelen is het zaak één van de twee als hoofddoel aan te wijzen. Het EP vraagt het HvJEU een hoofdmaatregel aan te wijzen. Het EP ziet drie componenten van de overeenkomst maar geen aangewezen ‘hoofdcomponent’; het EP meent dat ‘bescherming persoonsgegevens’ de hoofdcomponent is en de beide andere (‘praktische regeling van de doorgifte’ en de ‘algemene begrippen’) daaraan ondergeschikt.
Het EP wijst nog op de ontwerp-richtlijn PNR waarvan de rechtsgrondslag VWEU artikel 16 is.
De vragen die het EP aan het HvJEU voor advies voorlegt luiden:

- Is de beoogde overeenkomst verenigbaar met de verdragsbepalingen (artikel 16 VWEU) en het Handvest van de grondrechten van de Europese Unie (artikelen 7, en 52, lid 1) waar het gaat om het recht van natuurlijke personen op bescherming van hun persoonsgegevens?

- Vormen artikel 82, lid 1, punt d), en artikel 87, lid 2, punt a), VWEU de juiste rechtsgrondslag voor de handeling van de Raad houdende sluiting van de beoogde overeenkomst, of moet die handeling worden gebaseerd op artikel 16 VWEU?

Internetconsultatie Wetsvoorstel camerabeelden, 23 april tot 4 juni 2015.
Doel van de regeling. 1) De identificatie (en daarmee de feitelijke opsporing) van gefilmde verdachten vergemakkelijken en de pakkans doen toenemen. 2) De omgang met beelden zorgvuldiger te laten plaatsvinden door het stellen van voorwaarden aan de publicatie. Doel van de consultatie. Met deze consultatie wordt een ieder uitgenodigd een reactie te geven op het concept-wetsvoorstel. De reacties zullen worden betrokken bij de nadere uitwerking van het concept-wetsvoorstel.

Doelgroepen die door de regeling worden geraakt
Burgers en bedrijven. Het wetsvoorstel heeft geen betrekking op journalisten, omdat het verbod om strafrechtelijke gegevens te verwerken nu reeds niet van toepassing is op journalistieke publicaties.

Verwachte effecten van de regeling
Met deze nieuwe vorm van burgerparticipatie bij de opsporing wordt optimaal gebruikgemaakt van de burger als informatiebron en als ondersteuner in opsporingsonderzoeken. Gevolg voor de maatschappij als geheel is dat meer daders kunnen worden gepakt. Nu is het particulieren en ondernemers wettelijk nog niet toegestaan om camerabeelden van verdachten te publiceren. Het publiceren van beelden wordt optioneel en moet aan voorwaarden voldoen. Burgers en bedrijven krijgen zo de kans bij te dragen aan de opsporing en verantwoordelijkheid te nemen voor een veilige samenleving.

Concept regeling | Te wijzigen regeling | Toelichting

Bijdrage ingezonden door Mark Jansen,  Dirkzwager. De Raad van State heeft op 15 april 2015 twee prejudiciële vragen gesteld aan het Hof van Justitie. De Raad wil allereerst weten in hoeverre het College Bescherming Persoonsgegevens bevoegd is wanneer door een buitenlands onderzoeksbureau in Nederland een persoonsonderzoek is verricht. De Raad wil verder weten of het beleid van het College Bescherming Persoonsgegevens om niet handhavend op te treden in individuele gevallen, wel in overeenstemming is met de privacyrichtlijn.

Onderzoek door Amerikaanse verzekeraar in Nederland

De zaak gaat in de kern over het volgende. Een man die tot 2005 in de USA woonachtig was, raakte begin deze eeuw arbeidsongeschikt. Hij was op dat moment verzekerd bij een Amerikaanse verzekeringsmaatschappij. Deze maatschappij startte daarop uitkeringen. In 2005 is de man verhuisd naar Amsterdam.

In 2008 en in 2010 is in opdracht van de Amerikaanse verzekeraar onderzoek verricht naar de man. Het onderzoek in 2008 is uitgevoerd door een Engels bedrijf en het onderzoek in 2010 door een Nederlands bedrijf. Naar aanleiding van deze onderzoeken heeft de Amerikaanse verzekeringsmaatschappij de uitkering van de man stopgezet.

Verzoek tot handhaving afgewezen

De man dient daarop een verzoek tot handhaving in bij het College Bescherming Persoonsgegevens (CBP). Dit verzoek wordt door het CBP afgewezen. Met betrekking tot de Amerikaanse en Engelse partij stelt het CBP zich op het standpunt dat het niet bevoegd is handhavend jegens hen op te treden.

Met betrekking tot de betrokken Nederlandse partijen stelt het CBP zich – conform zijn handhavingsbeleid - op het standpunt dat handhavend optreden niet opportuun is, omdat er geen aanwijzingen zijn dat sprake is van een structurele overtreding van de wet.

Beroep en hoger beroep

De man gaat vervolgens in bezwaar en beroep. De rechtbank heeft het beroep van de man afgewezen. De rechtbank oordeelde dat het CBP het beleid goed heeft toegepast en dat er geen aanleiding was prejudiciele vragen te stellen. Overigens heb ik over die uitspraak al een eerder blogbericht geschreven.

De man gaat van die uitspraak in hoger beroep. Daarmee komt de zaak dus bij de Raad van State terecht.

Raad van State: aanleiding voor twee vragen

De Raad van State -de hoogste rechter op bestuursrechtelijk gebied – concludeert dat er aanleiding is om twee vragen te stellen.

Eerste vraag: maakt onderzoek doen in Nederland het CBP bevoegd?

In de privacyrichtlijn staat onder meer dat de Wbp van toepassing is – en daarmee het CBP bevoegd – als er zich middelen in Nederland bevinden waarmee persoonsgegevens worden verwerkt, tenzij die middelen louter voor doorvoer worden gebruikt. In de regel wordt hierbij gedacht aan bijv. een serverpark op Nederlandse bodem.

De Raad van State vraagt zich nu af hoe ruim je dit begrip “middelen” moet lezen. Daarbij is ook relevant dat de privacyrichtlijn is bedoeld om een goede privacybescherming te borgen. Vast staat namelijk dat er mensen in Nederland zijn geweest die de man hebben geobserveerd, aantekeningen hebben gemaakt en hem hebben gefilmd. De vraag is dan ook in hoeverre de privacyrichtlijn nog wel nuttig effect heeft, als de privacyregels niet van toepassing (zouden) zijn op observaties die in de EU plaatsvinden, maar van buiten de EU worden aangestuurd. Het is nu aan het Hof van Justitie om hierop antwoord te geven.

Tweede vraag: is effectieve privacybescherming wel geborgd bij huidige beleid CBP?

De eerste vraag is nog wat juridisch-technisch van aard en voor velen wellicht niet zo 1-2-3 toepasbaar. De tweede vraag raakt echter iedereen die zich met privacy bezighoudt en is in zoverre nog veel relevanter.

Lees hier het gehele artikel.