Privacy  

CBb 16 november 2016, IT 2173; ECLI:NL:CBB:2016:346 (KPN – ACM) Persoonsgegevens. Bestuurlijke boete. De boete van ACM waartegen KPN beroep had aangetekend blijft in stand. Hierdoor wordt de zorgplicht die bedrijven hebben om klantgegevens goed te beveiligen, bevestigd. De boete was door ACM opgelegd omdat de systemen van KPN waarin persoonsgegevens van klanten zijn opgeslagen, onvoldoende beveiligd zijn. Op grond van de Telecomwet heeft KPN de plicht om persoonsgegevens en de persoonlijke levenssfeer van klanten voldoende te beschermen, zodat derden er geen toegang tot hebben.

Rechtbank Rotterdam 26 oktober 2016, IEF 16346; IT 2161; ECLI:NL:RBROT:2016:8270 (verspreiding privacygevoelige informatie zaaddonor) Schending privacy. Internetzaaddonor. Man en vrouw hebben samen een dochter. De man was actief als (internet)zaaddonor. Na beëindiging van deze relatie komt de vrouw erachter dat meerdere kinderen die door de zaaddonor verwekt zijn een vorm van autisme hebben. Een andere persoon was door de man niet geïnformeerd over het feit dat hij was gediagnosticeerd met het syndroom van Asperger en hij had gesteld dat ik erfelijk gezien geen rol kan spelen. Deze persoon was boos dat de man haar dit verzwegen had nu ook haar kind, een kind van de zaaddonor, een vorm van autisme heeft. De vrouw geeft aan deze persoon privacygevoelige informatie door over de man. Media zijn geïnformeerd en die hadden belangstelling voor de zaak. Zo verschijnt hierover een artikel met een foto van de man in het AD en heeft het programma ‘Undercover in Nederland’ een aflevering gewijd aan de man. De man vordert nu voor recht te verklaren dat de vrouw onrechtmatig heeft gehandeld en schade dient te vergoeden en daarnaast dat de vrouw een publicatie- dan wel verspreidingsverbod wordt opgelegd. In de context waarin de vrouw contact met de andere vrouw gezocht heeft en vervolgens de privacygevoelige informatie heeft verstrekt, acht de rechtbank dit niet onrechtmatig. Ook heeft gedaagde niet onrechtmatig gehandeld wat betreft het openlijk verhaal doen aan een journalist van het AD en interview met Undercover in Nederland, omdat de vrouw mocht menen dat het niet aan de man was om deze relevante informatie achter te houden voor de wensmoeders en deze correct geïnformeerd een beslissing behoorden te kunnen nemen over het gebruik van zijn zaad.

HvJ EU 18 oktober 2016, zaak C‑582/14; IT 2155; IEFBE 1968 (Patrick Breyer tegen Bundesrepublik Deutschland) Verwerking van persoonsgegeven. In deze zaak gaat het om de vraag of dynamische IP‑adressen een persoonsgegeven zijn in de zin van artikel 2, onder a), van richtlijn 95/46/EG. Voor het antwoord daarop moet eerst worden bepaald hoe relevant het daarvoor is dat de aanvullende gegevens die nodig zijn voor de identificatie van de gebruiker, niet in het bezit zijn van de eigenaar van de website, maar van een derde (concreet, de internetprovider).
HvJ EU: In het vandaag uitgesproken arrest antwoordt het Hof in de eerste plaats dat een dynamisch IP- adres dat door een „aanbieder van onlinemediadiensten” (dat wil zeggen door de exploitant van een website, in casu de Duitse federale instellingen) wordt geregistreerd telkens als zijn voor het publiek toegankelijke website wordt bezocht, ten aanzien van de exploitant een persoonsgegeven vormt wanneer deze over wettige middelen beschikt waarmee hij de bezoeker kan identificeren aan de hand van extra informatie die bij diens internetprovider berust.

Rechtbank Gelderland 6 oktober 2016, IEF 16306; IT 2151; ECLI:NL:RBGEL:2016:5286 (OM tegen X) Privacy. Mediarecht. Het kort geding tussen partijen strekt tot het verkrijgen van een veroordeling van gedaagde om gedurende zes maanden de verklaringen van zijn website te verwijderen en verwijderd te houden. De Staat heeft in dit kort geding een verlenging van het op opgelegde verbod gevorderd. Gedaagde heeft benadrukt dat zijn vrijheid van meningsuiting in het geding is door het verbod en dat de vertrouwelijke documenten op dit moment niet op zijn website gepubliceerd staan. Daarom bestaat volgens hem geen aanleiding voor een verlenging van het verbod. Hij heeft zich er voorts op beroepen dat de Staat geen belang heeft bij een verlenging van het verbod, omdat de vertrouwelijke informatie ook op andere websites staat gepubliceerd. Dit argument wordt verworpen. Het staat vast dat de Staat een algemeen belang heeft om zoveel als mogelijk te proberen om vertrouwelijke informatie uit de beide strafzaken uit de openbaarheid te krijgen en te houden. Dit betekent dat voldoende gronden aanwezig zijn om een nader verbod op het openbaar maken van de vertrouwelijke informatie toe te wijzen. De Staat heeft ter zitting aangevoerd dat alle stukken die zich in een strafdossier bevinden naar hun aard vertrouwelijke stukken zijn. Ten aanzien van het verbod wordt gesteld dat zolang de verhoren nog niet zijn afgerond, een verbod op openbaarmaking van die vertrouwelijke informatie niet op zijn plaats is. Geen verstoring van de waarheidsvinding en de veiligheid van de betrokken getuigen wegen in dit geval zwaarder dan het grondrecht van vrijheid van meningsuiting.

Rechtbank Amsterdam 21-09-2016, IT 2149; ECLI:NL:RBAMS:2016:5976 (X tegen gemeente Amsterdam) Privacy. De Gemeente is niet gehouden om het handhaven van parkeerbelasting door gebruikmaking van het systeem van kentekenparkeren aan te passen. Er is geen sprake van onrechtmatige inbreuk op het recht op privacy; met de door de Gemeente gehanteerde waarborgen kan het invoeren van het kenteken noodzakelijk worden beschouwd voor het gediende doel. Het oordeel van het Gerechtshof van 7 januari 2016 wordt gevolgd. Ook het elektronisch betalen maakt geen onrechtmatige inbreuk op het recht op privacy. Uit bestuursrechtuitspraken volgt niet dat kentekenparkeren in strijd is met artikel 20 Awr. Voorzieningen geweigerd.

Vzr. Rechtbank Gelderland 3 oktober 2016, IEF 16297; IT 2146; ECLI:NL:RBGEL:2016:5230 (eiseres tegen Facebook) Geen dwangsom. Proceskosten gecompenseerd. Eiseres is via Facebook in contact gekomen met X en een steeds intiemere relatie opgebouwd en ontstonden gevoelens van verliefdheid. In die setting heeft eiseres enkele intieme beelden aan de facebookgebruiker verstuurd. Eiseres vordert van Facebook gegevensverstrekking van X. Nu aannemelijk is dat een mede-facebookgebruiker onrechtmatig handelt, handelt ook Facebook onrechtmatig door de gegevens die benodigd zijn om de medegebruiker te kunnen opsporen niet prijs te geven. Voor zover Facebook over de gegevens beschikt moeten contactgegevens worden verstrekt. De dwangsom zal worden afgewezen nu Facebook heeft verklaard zonder meer mee te werken aan een veroordelend vonnis. Proceskosten gecompenseerd: terecht uitspraak van de rechter afgewacht.

Rechtbank Oost-Brabant 20 september 2016, IT 2148; ECLI:NL:RBOBR:2016:5172 (Omron Europe B.V. tegen Ondernemingsraad van Omron Europe B.V.) Privacy. Omron wil camera’s gebruiken om diefstal op de werkvloer tegen te gaan en vraagt de rechter vervangende toestemming voor het gebruik deze camera’s, nu de ondernemingsraad van Omron hier geen toestemming voor wil verlenen. De kantonrechter is van oordeel dat Omron voldoende heeft onderbouwd dat de camerabeveiliging noodzakelijk is voor de behartiging van haar gerechtvaardigde belang om haar bedrijfseigendommen te beschermen en diefstal daarvan te voorkomen, dat de voorgenomen camerabeveiliging in verhouding tot deze doeleinden geen onevenredige inbreuk maakt op de belangen van de werknemers (waaronder het recht op bescherming van de persoonlijke levenssfeer). De doeleinden kunnen niet op een andere wijze worden verwezenlijkt die minder nadelig voor de werknemers is. De kantonrechter verleent daarom toestemming.

Rechtbank Rotterdam 20 juli 2016, IEF 16296; IT 2145; ECLI:NL:RBROT:2016:7505 (eiseres tegen VVE Media) De vordering is gebaseerd op artikel 843a Rv en betreft de persoonsgegevens van onbekende derde, "ikke", met het doel hun anonimiteit op te heffen. Beroep op arrest Lycos/Pessers (HR 25 november 2005; ECLI:NL:HR:2005:AU4019; IEF 546). In dat kader is gedaagde, een website-exploitant, op één lijn te stellen met een provider. Vanwege het incidentele en niet ernstige karakter van de uitlatingen weegt het belang van eiseres niet zwaarder dan de andere betrokken belangen. De vordering wordt afgewezen.

Rechtbank Rotterdam 21 september 2016, IEF 16287; IT 2143; ECLI:NL:RBROT:2016:7441 (IAP tegen verzekeraars) Verzekeringszaak over waardebepaling IE-rechten. IAP hield zich bezig met diensten op het gebied van cyber- en creditcard security ten behoeve van onder meer creditcardmaatschappijen. De PCI programmamanager en twee medewerkers in Tunesië verdwenen en hebben laptops van IAP, waarop vertrouwelijke klantgegevens stonden en gegevens waarop IAP de IE-rechten had, meegenomen. IAP heeft de inhoud van deze laptops via satelliettechnologie op afstand vernietigd. Dat IAP de gegevens heeft vernietigd heeft het causaal verband niet te niet gedaan; zij was daartoe gehouden, gelet op de vertrouwelijke aard van die gegevens. Het relateren van de waarde aan het aantal bestede uren is geen geschikte maatstaf om de waarde van deze IE-rechten te bepalen. Het gaat om de waarde in het economisch verkeer van die kennis. Dat die, rechtstreeks, zou afhangen van het aantal bestede uren is onvoldoende aannemelijk. Bij gebreke van een duidelijke maatstaf, van kenbare gegevens, zoals activering op de balans, en van een inhoudelijk standpunt zijdens verzekeraars over de toe te kennen waarde, waardeert de rechtbank deze rechten ex aequo et bono op € 10.000,-.

The recently introduced obligation to report personal data breaches under the Dutch Data Protection Act (Wet bescherming persoonsgegevens  or "WBP") and the adoption of the EU General Data Protection Regulation ("GDPR") earlier this year, have been attracting attention. By introducing the obligation to report data breaches, the Dutch government clearly anticipated the GDPR – which was expected to include some sort of notification obligation. The GDPR has now entered into force and will apply from 25 May 2018. As it turns out, the WBP's provisions regarding data breach notification are not in full agreement with the GDPR's.