Privacy  

Uit het persbericht: Stichting Abrona handelt bij ziekmelding van haar werknemers in strijd met de Wet bescherming persoonsgegevens. Dat is de conclusie van de Autoriteit Persoonsgegevens na onderzoek. Abrona is gespecialiseerd in dienstverlening aan mensen met een verstandelijke beperking in de provincie Utrecht. Er werken 1300 werknemers en 800 vrijwilligers. De organisatie blijkt bij ziekmelding aard en oorzaak van de ziekte van de zieke werknemer te registeren. Bijvoorbeeld of het gaat om psychische klachten of om fysieke beperkingen. Dat mag niet omdat de wet bepaalt dat werkgevers bij ziekmelding aan zieke werknemers alleen gegevens mogen vragen die noodzakelijk zijn voor de vaststelling van de verplichting om loon door te betalen en hoe het verder moet met hun werkzaamheden. Abrona heeft na sluiting van het onderzoek aan de Autoriteit Persoonsgegevens medegedeeld maatregelen te hebben getroffen. De Autoriteit Persoonsgegevens zal nu gaan bekijken in hoeverre deze maatregelen voldoende zijn om de overtreding van de wet te beëindigen en beslissen of het nemen van handhavende maatregelen noodzakelijk is.

Onderzoek Abrona
Uit het onderzoek blijkt dat Abrona aard en oorzaak van de ziekte vastlegt en ook of een werknemer zwanger is. Dit is ook een gegeven over de gezondheid van de werknemer. Werkgevers mogen volgens de wet deze bijzondere persoonsgegevens van hun medewerkers niet verwerken.

Daarnaast heeft de Autoriteit Persoonsgegevens geconstateerd dat de zieke werknemer zelf het arbeidsongeschiktheidspercentage vaststelt en dat de leidinggevende dit vervolgens invult in het verzuimsysteem. Het vaststellen of een werknemer arbeidsongeschikt is en de advisering daarover aan de werkgever is uitsluitend een taak van de bedrijfsarts. Abrona zou dus hiervoor de arbodienst of bedrijfsarts moeten inschakelen. De werkgever kan vervolgens samen met de werknemer bekijken wat voor werkzaamheden de werknemer (nog) wel kan doen.

Noodzakelijke medische gegevens
Medische gegevens zijn gegevens van gevoelige aard waarvoor strenge wettelijke eisen gelden. Een werkgever mag in het kader van zijn loondoorbetalingsverplichting en voor de re-integratie een beperkt aantal noodzakelijke medische gegevens verwerken van zijn zieke werknemers. Zo mag hij onder meer vragen naar de verwachte duur van het verzuim en of er mogelijkheden zijn voor het doen van (andere) werkzaamheden. De werkgever mag niet vragen naar de aard en oorzaak van de ziekte.

Do’s and don’ts
De Autoriteit Persoonsgegevens heeft bijzondere aandacht voor de verwerking van gevoelige medische gegevens en het gebruik van persoonsgegevens binnen de arbeidsrelatie. De Autoriteit heeft eerder ook al onderzoek gedaan bij onder meer een verzuimbedrijf, arbodiensten en een werkgever die in strijd met de wet medische gegevens van werknemers verwerkten. Ook heeft de Autoriteit Persoonsgegevens do’s & don’ts gepubliceerd voor werkgevers en werknemers.

Vzr. Rechtbank Amsterdam 29 februari 2016, IT 2001, eerder als IEF 15729; ECLI:NL:RBAMS:2016:987 (Kinderdagverblijf tegen Google)
Uitspraak ingezonden door Paul Tjiam en Sophie ten Bosch, Simmons & Simmons LLP. Eiseres (kinderdagverblijf) wordt via Google Reviews lastiggevallen door een anoniem persoon. Eiseres vordert van Google Inc. verwijdering van Google-recensies en vordert NAW-gegevens van de personen die de lasterlijke Google Reviews hebben geschreven. Google weigert recensies te verwijderen en NAW-gegevens te verstrekken. Voorzieningenrechter oordeelt dat sprake is van evident onrechtmatige recensies en dat eiseres een reëel belang heeft bij het verkrijgen van IP-adressen en alle informatie (telefoonnummers, namen en e-mailadressen) en verwijderen van een recensie.

4.4. Voor zover de vordering tot verwijdering van de recensies ook ziet op andere recensies dan de vier die in dit geding centraal staan, is die vordering niet toewijsbaar. Elke keer zal immers opnieuw (door de rechter) de afweging moeten worden gemaakt of een recensie al dan niet evident onrechtmatig is.

4.5. Vanwege het evident onrechtmatige karakter van de vier recensies (waarbij geldt dat Google dit voor drie van de vier recensies heeft toegegeven) is er tevens aanleiding Google te veroordelen tot het afgeven van de onder I van het petitum gevorderde gegevens. Aannemelijk is immers dat [eiseres] schade lijdt als gevolg van de onrechtmatige recensies en dat zij hier tegenop moet kunnen treden. Zij heeft dan ook een reëel belang bij het verkrijgen van de NAW-gegevens. Bovendien is voldoende aannemelijk dat voor [eiseres] geen minder ingrijpende mogelijkheden bestaan om de gevorderde gegevens te achterhalen. Tot slot geldt dat een afweging van de betrokken belangen in het voordeel van [eiseres] uitvalt. [eiseres] moet tegen het onrechtmatig handelen kunnen optreden hetgeen zwaarder weegt dan de vrijheid van meningsuiting om evident valse recensies te kunnen plaatsen. Vanwege het evident onrechtmatige karakter van de vier recensies is er onvoldoende aanleiding de veroordeling voorwaardelijk uit te spreken, zoals door Google verzocht. Indien de persoon achter de recensies door [eiseres] (in rechte) wordt aangesproken, zal hij of zij hoe dan ook in de gelegenheid worden gesteld wederhoor te bieden. De vordering onder I sub e zal niet worden toegewezen; Google heeft voorshands terecht aangevoerd dat dit onderdeel van de vordering te onbepaald is.

Lees de uitspraak (pdf/html)

Prejudicieel gestelde vraag HvJ EU 30 december 2015, IT 1993; C-13/16 (Rigas satiksme)
Persoonsgegevens. Via MinBuza.nl: Verzoeker (Gemeentelijk Vervoerbedrijf Riga) is met verweerster (rijkspolitie regio Riga) in een procedure verwikkeld na een verkeersongeval in december 2012. Eén van zijn bussen is beschadigd door een portier van een taxi (door een daaruitstappende passagier). Verzoeker stelt de taxichauffeur aansprakelijk en probeert de schade te verhalen op de verzekeringsmaatschappij. Laatstgenoemde wijst de claim echter af omdat het ongeval aan de passagier te wijten is en niet aan de chauffeur van de taxi. Verzoeker wil een civiele procedure starten en vraagt verweerster die proces-verbaal heeft opgemaakt om gegevens van de passagier, onder vermelding dat de gegevens uitsluitend voor de procedure zullen worden gebruikt. Verweerster verstrekt daarop enkel de voor- en achternaam, maar niet de identiteitskaartgegevens en het adres. Zij baseert zich er daarbij op dat enkel aan partijen die betrokken zijn bij de bestuursrechtelijke procedure (waarbij verzoeker geen partij is) informatie kunnen opvragen en dat de LET privacytoezichthouder verbiedt identiteitskaartnummers en adressen te verstrekken. Verzoeker vecht dit aan bij de bestuursrechter en wordt 16-05-2014 in het gelijk gesteld. Verweerder gaat in cassatie.

De verwijzende LET rechter (hoogste bestuursrechter) heeft advies gevraagd aan de privacytoezichthouder die antwoordt dat persoonsgegevens onder bepaalde voorwaarden mogen worden verstrekt. In deze zaak zou dat niet zijn toegestaan omdat in het Wetboek van administratieve overtredingen is bepaald aan wie de rijkspolitie informatie mag verstrekken (er is geen plicht). Verzoeker zou deze gegevens ook via de burgerlijke stand kunnen opvragen en er is ook nog een mogelijkheid op grond van de Wet burgerlijke rechtsvordering.
De verwijzende rechter twijfelt aan de (praktische) haalbaarheid van de door de toezichthouder genoemde alternatieve mogelijkheden. Hij oordeelt dat verzoeker slechts zijn gerechtvaardigde belangen kan beschermen na verkrijging van de gegevens van verweerster. De LET wet bescherming persoonsgegevens is de omzetting van RL 95/46. Hij is zich op grond van jurisprudentie van het HvJEU ervan bewust dat naast toestemming een ‘noodzakelijkheidstest’ moet worden toegepast, waarbij ‘noodzakelijkheid’ een autonoom begrip van gemeenschapsrecht is (arrest C-524/06). Daarnaast houdt hij rekening met arrest C-468/10 en C-469/10 waarin het HvJEU heeft verklaard dat de toegankelijkheid van te verwerken gegevens niet kan worden beperkt tot voor het publiek toegankelijke bronnen. Om meer duidelijkheid te verkrijgen over het begrip ‘noodzakelijkheid’ legt hij de volgende vraag voor aan het HvJEU:

“Moeten de woorden „de verwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang [...] van de derde(n) aan wie de gegevens worden verstrekt” in artikel 7, onder f), van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus worden uitgelegd dat de rijkspolitie aan het gemeentelijk vervoerbedrijf Riga de gevraagde persoonsgegevens dient te verstrekken die noodzakelijk zijn om de gang naar de civiele rechter te maken?
Is van belang voor het antwoord op deze vraag dat, zoals uit de stukken blijkt, de taxipassagier van wie het gemeentelijk vervoerbedrijf Riga de gegevens heeft opgevraagd, ten tijde van het ongeval minderjarig was?”

Vzr. Rechtbank Amsterdam 18 januari 2016, IT 1990; ECLI:NL:RBAMS:2016:492 (Kind in vechtscheidingsboek)
Onrechtmatige publicatie. Verbod openbaarmaken van persoonsgegevens van (minderjarige) betrokkenen in het boek. Journalist heeft een boek geschreven over vechtscheidingen: “Van oogappel tot twistappel, 25 jaar Stichting Dwaze Vaders; terugblik en handreiking voor de gescheiden man en vrouw”. Op zijn weblog heeft hij in over het verzoek dat door de door zelfmoord omgekomen man aan hem had gedaan en over de begrafenis waarbij gedaagde aanwezig was, geschreven. Op foto's waren familieleden en het kind van de man te zien. In het huidige digitale tijdperk zal in de toekomst iedereen familiegeschiedenis kunnen terugvinden. Het is niet aan de journalist om voor het kind te beslissen of háár familiegeschiedenis met iedereen wordt gedeeld. Zij zal die keuze zelf moeten kunnen maken. Eiseres vordert met succes verbod op openbaarmaking van persoonsgegevens van kind, waaronder ook afkortingen of andere herleidbare gegevens, vermelding van de volledige naam van de man bij publicaties over echtscheiding en zelfmoord en foto's verwijderd te houden.

    4.5. [gedaagde] heeft toegezegd geen foto’s van [eiseres] en/of van [kind] te zullen publiceren en hen in het boek alleen onder pseudoniem aan te zullen duiden. In geschil is derhalve de publicatie van de naam [man] . Hoewel [gedaagde] zich in eerste instantie (zie zijn e-mails van 30 oktober en 2 november 2015, 2.9 en 2.10) op het standpunt stelde dat het verhaal van [man] zou worden gebruikt in een breder kader, en dat dit verhaal slechts een voorbeeld is van hoe het kan aflopen bij een vechtscheiding, heeft [gedaagde] ter zitting gesteld dat het in de eerste plaats zijn bedoeling is om het verhaal van [man] naar buiten te brengen, dat het niet gaat om vechtscheidingen in het algemeen, maar om déze vechtscheiding, en dat het de laatste wens van [man] was dat [gedaagde] zijn verhaal naar buiten zou brengen en dat hij die laatste wens wil vervullen.

    4.6. Het verhaal dat [gedaagde] wil vertellen is het verhaal van [man] . Het is echter óók het – zeer persoonlijke – verhaal van [eiseres] en van hun dochter [kind] . De stukken met betrekking tot de echtscheidingsprocedure zijn niet in het geding gebracht, maar duidelijk is dat sprake is geweest van een heftige strijd om het gezag en de zorgregeling met betrekking tot [kind] en dat [kind] onder toezicht is gesteld. Op een kind heeft dit hoe dan ook een bijzonder grote impact en daarbij komt voor [kind] de traumatische ervaring van de zelfmoord van haar vader. Voorstelbaar is dat zij deze privacygevoelige informatie, op dit moment en als zij ouder is, niet met iedereen zal willen delen. Indien de (weinig gangbare) naam [man] in het boek van [gedaagde] wordt opgenomen, is het verhaal makkelijk te herleiden tot [kind] , al wordt in het boek van [gedaagde] voor haar persoon een andere voornaam gebruikt. In het huidige digitale tijdperk zal in de toekomst iedereen haar familiegeschiedenis kunnen terugvinden. [gedaagde] heeft weliswaar aangevoerd dat zijn boek geen negatieve reacties kan oproepen als het treurige verhaal van [kind] bij anderen bekend is, maar dat valt te betwijfelen. Los daarvan is het niet aan [gedaagde] om voor [kind] te beslissen of háár familiegeschiedenis met iedereen wordt gedeeld. Zij zal die keuze zelf moeten kunnen maken.
    Dit belang weegt naar het oordeel van de voorzieningenrechter zwaarder dan het belang van [gedaagde] bij het vermelden van de naam [man] .
    Indien het, zoals [gedaagde] in eerste instantie heeft gesteld, erom gaat ‘de zaak- [man] ’ als voorbeeld te gebruiken in een breder kader van vechtscheidingen en om het publiek en de politiek bewust te maken van de fouten die naar zijn mening in dit geval door verschillende instanties zijn gemaakt, valt niet in te zien dat het noodzakelijk is om de naam [man] te noemen om die boodschap over te brengen. Het ter verantwoording roepen van de verschillende instanties is kennelijk reeds gedaan of zal door de familie [man] worden gedaan door middel van het indienen van klachten, zodat ook om die reden het noemen van de naam niet noodzakelijk is.
    Indien de insteek is dat [kind] haar vaders kant van het verhaal leert kennen valt evenmin in te zien waarom het noodzakelijk is om de naam [man] te noemen in een boek dat door iedereen kan worden gelezen. Er zijn immers andere manieren om [kind] bekend te maken met haar vaders kant van het verhaal, zonder dat dat verhaal publiekelijk bekend wordt gemaakt. Ook het belang van [gedaagde] om de laatste wens van [man] te vervullen weegt niet op tegen het nadeel dat [kind] mogelijk zal kunnen ondervinden indien haar privé-leven publiekelijk bekend wordt. Bovendien is op geen enkele wijze gebleken dat [gedaagde] het verhaal van [man] niet zou kunnen vertellen zonder het noemen van zijn naam.

    4.7. De afweging van alle omstandigheden van het geval brengt in dit geval mee dat het [gedaagde] moet worden verboden in zijn boek de naam [man] te vermelden. Daarmee wordt de vrijheid van meningsuiting van [gedaagde] slechts in geringe mate beperkt. Het staat [gedaagde] immers vrij om het verhaal van [man] naar buiten te brengen en zijn mening te geven over het familierechtelijke geschil waarin [man] was betrokken, zolang hij daarbij niet de naam [man] gebruikt. De vorderingen onder I en III zullen dan ook worden toegewezen. Ook de vordering onder V zal worden toegewezen. [gedaagde] heeft met betrekking tot die vordering immers geen toezeggingen gedaan, zodat [eiseres] belang heeft bij de vordering. Bij de vorderingen onder II en IV heeft [eiseres] geen belang, nu [gedaagde] heeft toegezegd zich daarvan te zullen onthouden. Van [gedaagde] , een professional, wordt verwacht dat hij zich aan die toezegging zal houden.
    De gevorderde dwangsom zal worden gematigd en gemaximeerd als na te melden.

    De voorzieningenrechter
    5.1. verbiedt [gedaagde] de persoonsgegevens van [kind] [man] openbaar te maken in welke zin dan ook, daaronder begrepen haar (volledige) naam, afkortingen, delen van haar naam, of andere tot de natuurlijke persoon van [kind] herleidbare gegevens,

    5.2. verbiedt [gedaagde] de volledige naam van [man] openbaar te maken, voor zover het een publicatie over echtscheidingen en/of zelfmoord betreft,

    5.3. gebiedt [gedaagde] de op [blog] gepubliceerde artikelen, waarnaar in het lichaam van de dagvaarding wordt verwezen, alsmede de daarop gepubliceerde foto’s van [kind] [man] verwijderd te houden,

Uit het persbericht: De Autoriteit Persoonsgegevens (voorheen: College bescherming persoonsgegevens) heeft een aantal grote zorgverzekeraars aangeschreven over het opvragen van verwijsbrieven en behandelplannen van verzekerden met een privacyverklaring. Uit de door de zorgverzekeraars verstrekte inlichtingen blijkt dat één zorgverzekeraar om een verwijsbrief vroeg aan verzekerden met een privacyverklaring. Dit is in strijd met de wet omdat er zo diagnosegegevens naar de zorgverzekeraar gaan. Deze zorgverzekeraar heeft de overtreding op dit punt inmiddels naar aanleiding van het optreden van de Autoriteit Persoonsgegevens beëindigd. De overige aangeschreven zorgverzekeraars hebben verklaard zich ook in de toekomst aan de hiervoor geldende regelgeving te houden.

Juridische kader
Via een privacyverklaring kunnen GGZ-patiënten regelen dat er op de declaratie aan hun zorgverzekeraar geen diagnosegegevens staan. De Autoriteit Persoonsgegevens heeft inmiddels álle zorgverzekeraars in Nederland het juridisch kader gestuurd dat geldt voor het opvragen van diagnose-informatie uit verwijsbrieven en behandelplannen van verzekerden met een privacyverklaring. De Autoriteit Persoonsgegevens benadrukt daarbij dat zij zal optreden als zij aanwijzingen krijgt dat de wet op dit punt wordt overtreden. Het juridisch kader is afgestemd met de Nederlandse Zorgautoriteit die toezicht houdt op de uitvoering van rechtmatigheidscontroles door zorgverzekeraars.

Voor het opvragen van diagnose-informatie uit verwijsbrieven en behandelplannen van verzekerden met een privacyverklaring geldt het volgende:

• in het kader van formele controle (onderzoek waarbij de zorgverzekeraar nagaat of de prestatie die in rekening is gebracht door een zorgaanbieder valt onder het verzekerde pakket) mogen zorgverzekeraars niet vragen om een behandelplan en / of diagnose-informatie uit de verwijsbrief;
• ook een medisch adviseur van de zorgverzekeraar mag de diagnose-informatie uit de verwijsbrief en/of het behandelplan niet inzien ten behoeve van formele controle.
• in het kader van materiële controle (onderzoek waarbij de zorgverzekeraar nagaat of de door de zorgaanbieder in rekening gebrachte prestatie is geleverd en of deze het meest was aangewezen) is het mogelijk dat een behandelplan en / of diagnose-informatie uit de verwijsbrief wordt gevraagd. Hierbij moeten wel de daarvoor geldende – strikte – regels worden gevolgd.  Bovendien mag de zorgverzekeraar zo’n controle niet uitvoeren om het enkele feit dat er sprake is van een privacyverklaring.
• zorgverzekeraars mogen ook bij formele controle van de declaraties van verzekerden zonder privacyverklaring niet vragen om behandelplan en diagnose-informatie uit de verwijsbrief (met uitzondering van de diagnosebehandelcombinatie [DBC]).

Privacyverklaring
In beginsel staat er een DBC op de factuur voor behandeling in de geestelijke gezondheidszorg (GGZ). Zorgverzekeraars kunnen daarmee de rekening controleren. De DBC wordt weggelaten op de factuur voor behandeling in de GGZ als verzekerden in het bezit zijn van een privacyverklaring.

Persbericht: Gemeenten hebben na onderzoek van de Autoriteit Persoonsgegevens de beveiliging van persoonsgegevens die met Suwinet worden uitgewisseld verbeterd. Dat concludeert de Autoriteit Persoonsgegevens na onderzoek bij 13 gemeenten. “ Een aantal gemeenten voldoet nu aan de onderzochte normen. Maar we zien ook gemeenten waar het nog steeds niet goed gaat”, zegt Wilbert Tomesen, vicevoorzitter van de Autoriteit Persoonsgegevens. “Hoe positief de ontwikkeling op sommige plaatsen ook is, het is onacceptabel dat elders het risico blijft bestaan dat gegevens in verkeerde handen komen. Als dit niet verandert, is het onvermijdelijk dat wij gaan handhaven”.

Suwinet is een besloten systeem waarmee verschillende overheidsorganisaties maatschappelijk gevoelige persoonsgegevens uitwisselen in het kader van werk en inkomen. Via Suwinet kan veel informatie over iemand worden verkregen. Dit kan bijvoorbeeld gaan om gegevens over arbeidsverleden, opleiding, alimentatie, uitkering of boetes. Het is van groot belang dat deze gegevens goed zijn beschermd en dat alleen de daartoe bevoegde medewerkers bij deze gevoelige gegevens kunnen. In het verleden is bovendien verschillende keren misbruik van Suwinet gemaakt. Zo bleken gemeenteambtenaren via Suwinet zonder noodzaak de gegevens van bekende Nederlanders te raadplegen en is de verblijfplaats van een (ex)partner in een blijf-van-mijn-lijf huis achterhaald. Adequate beveiligingsmaatregelen kunnen er voor zorgen dat dergelijke incidenten worden voorkomen. Tomesen: “Gemeentebestuurders moeten de beveiliging van de persoonsgegevens van hun burgers serieus nemen”.

Beveiligingsplan en toegangsrechten

De Autoriteit Persoonsgegevens heeft onderzocht of de gemeenten voldoen aan de belangrijkste beveiligingsnormen. Zo moet er een door het management goedgekeurd beveiligingsplan zijn voor Suwinet, moeten de toegangsrechten goed zijn geregeld in een formele procedure en moet het gebruik van Suwinet worden gecontroleerd.

Twee van de onderzochte gemeenten, Delft en Eindhoven, voldoen inmiddels aan de onderzochte wettelijke vereisten voor de beveiliging van Suwinet. Andere gemeenten voldeden bij sluiting van het onderzoek niet aan alle onderzochte eisen. Zo ontbrak het bij een aantal onderzochte gemeenten aan een formele autorisatieprocedure waarin is beschreven hoe toegangsrechten worden toegekend, gewijzigd en beëindigd. Tomesen: “Daarmee stel je vast wie wel en vooral ook wie niet bij deze gevoelige gegevens mogen”. Verder was er bij sommige gemeenten geen beveiligingsplan specifiek voor Suwinet. Andere gemeenten hebben wel een beveiligingsplan, maar droegen dit onvoldoende uit in de organisatie of evalueerden het plan niet.

Onderzochte gemeenten

De Autoriteit Persoonsgegevens heeft onderzoek gedaan bij de gemeenten Delft, Eindhoven, Enschede, Nunspeet, Zutphen, Baarle-Nassau, Brielle, Brummen, Heerenveen, Midden-Drenthe, Moerdijk, Werkendam en Woudenberg.

Een aantal gemeenten heeft na het onderzoek maatregelen getroffen of aangekondigd maatregelen te nemen om de resterende overtredingen te beëindigen. De Autoriteit Persoonsgegevens zal de komende tijd beoordelen of de gemeenten de overtredingen hebben beëindigd en kan zonodig handhavende maatregelen inzetten.

Prejudiciële vragen gesteld aan HvJ EU 9 december 2016, LS&R 1256; C-698/15 (PPA Davis ea)
Via minbuza.nl: Prejudiciële vragen over:
- EVRM artikel 8 (eerbiediging privé familie- en gezinsleven);
- Handvest grondrechten artikel 7 (eerbiediging privéleven) en artikel 8 (bescherming persoonsgegevens); 51 en 52 (uitlegging en toepassing);
- Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (Pb L 201, blz. 37), zoals gewijzigd bij richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 (Pb L 337, blz. 11).

Verzoekers zijn in eerste instantie ieder een zaak gestart, later in de procedure zijn de zaken gevoegd. Verzoekers stellen dat de VK-regeling bewaren gegevens in strijd is met de artikelen 7 en 8 Handvest, en met EVRM artikel 8. Verweerder (MinBZK) ontkent dat. De eerste rechter oordeelt 17-07-2015, mede gezien de Digital Rights-uitspraak van het HvJEU, dat er strijd is met het EUrecht met name wegens ontbreken van duidelijke regels voor de toegang en die toegang niet aan enige voorafgaande (onafhankelijke) controle is onderworpen. Verweerder gaat in beroep. Het Court of Appeal oordeelt 20-11-2015 dat het HvJEU in de Digital Rights-uitspraak geen dwingende eisen heeft gesteld maar slechts bescherming vaststelde die ontbrak in de geharmoniseerde EUregeling. Hij twijfelt dan ook of het HvJEU verder wilde gaan dat de al strengere eisen in rechtspraak van het EHRM.

De verwijzende VK rechter (Court of Appeal England and Wales) gaat met name in op de verschillen in inzicht over het Digital Rights-arrest. Partijen en interveniënten trekken verschillende conclusies voor wat betreft de door het HvJ aan de nationale wetgeving gestelde eisen. Daarnaast twijfelt de verwijzende rechter aan de juistheid van het door verzoekers aangevoerde argument dat de Digital Rights-uitspraak de werking van Handvestartikelen 7 en/of 8 niet ruimer maakt dan EVRM artikel 8. Naast ondervolgende vragen verzoekt hij het HvJEU om versnelde behandeling, bij voorkeur gezamenlijke behandeling met de zaak C-203/15 Tele2 Sverige. Belangrijkste argument voor de versnelde behandeling is dat de VK-regeling ‘horizon-wetgeving’ betreft.

Het HvJEU heeft met dat voorstel ingestemd. De termijn voor het indienen van schriftelijke opmerkingen wordt daarmede teruggebracht tot minder dan één maand. NL heeft opmerkingen in zaak C-203/15 ingebracht.

1. Legt het arrest van het Hof van Justitie in de gevoegde zaken C-293/12 en C-594/12, Digital Rights Ireland en Seitlinger, ECLI:EU:C:2014:238 (hierna: „Digital Rights Ireland”) (waaronder met name de punten 60 tot en met 62 ervan) dwingende vereisten van Unierecht op die van toepassing zijn op de nationale regeling van een lidstaat met betrekking tot de toegang tot gegevens die overeenkomstig nationale wetgeving worden bewaard, teneinde te voldoen aan de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”)?

2. Verruimt het arrest van het Hof van Justitie in de zaak Digital Rights Ireland de werkingssfeer van de artikelen 7 en 8 van het Handvest ten opzichte van deze van artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (hierna: „EVRM”), zoals vastgelegd in de rechtspraak van het Europees Hof voor de Rechten van de Mens (hierna: „EHRM”)?

SCL The IT Law Community bericht: Two new official opinions were adopted by the Article 29 Data Protection Working Party on 16 December and are now published: one on ‘applicable law’ following Google Spain and one on automatic exchange of personal data for tax purposes

Although adopted in December, the latest opinions of the Article 29 Working Party have only now been published.

The first, Opinion 175/16/EN WP 234, has the full title 'Guidelines for Member States on the criteria to ensure compliance with data protection requirements in the context of the automatic exchange of personal data for tax purposes' is a 17-page document and can be accessed as a pdf here.

The second, Opinion 176/16/EN WP 179 update, has the full title 'Update of Opinion 8/2010 on applicable law in light of the CJEU judgement in Google Spain'. That is a much shorter document (12 pages but that includes annexes, including one annex identifying changes to the 2010 Opinion). It does not seem, on a very quick read, to say anything new or profound but SCL members may think differently. The Opinion can be accessed here. The nub of what is communicated is set out below:

'In conclusion, on the basis of the judgement in Google Spain, an additional element should be added to the criteria described in the WP29 Opinion on applicable law, which may trigger the applicability of EU/national law: the criteria of an 'inextricable' (in this specific case economic) 'link' between an activity and the data processing. In its judgement, the CJEU identified this 'inextricable link' taking into consideration the advertisement-financed business model of free on-line services, which is currently the most common mode of operating businesses on the internet. In addition, the judgement suggests that other business models, and different forms of activity (including revenue raising) in an EU Member State may also trigger the applicability of EU law, although the assessment must be made on a case by case basis. Irrespective of where the data processing itself takes place, so long as a company has establishments in several EU Member States which promote and sell advertisement space, raise revenues or carry out other activities, and it can be established that these activities and the data processing are "inextricably linked", the national laws of each such establishments will apply. The judgement provides useful clarification on two aspects: first, the judgement makes it clear that the scope of current EU law extends to processing carried out by non-EU entities with a 'relevant' establishment whose activities in the EU are 'inextricably linked' to the processing of data, even where the applicability of EU law would not have been triggered based on more traditional criteria. Second, the judgement also confirms that - where there is an 'inextricable link' - according to Article 4(1)(a) of Directive 95/46/EC, there may be several national laws applicable to the activities of a controller having multiple establishments in various Member States.'

 

BGH 14 januari 2016, I ZR 65/14 (Freunde finden)
Uit het persbericht. Het BGH Zivilsenat heeft geoordeeld dat de functie “vrienden zoeken” op Facebook een ongeoorloofde vorm van reclame is. Eiser was de Duitse Federatie van consumentenorganisaties (Bundesverband der Verbraucherzentralen und Verbraucherverbände). Zij stelde dat het verzenden van uitnodigingen via e-mail aan nog niet geregistreerde gebruikers van het platform een intimiderende vorm van reclame is. Het BGH oordeelt dat dit inderdaad het geval is. Dat de verzending wordt geïnitieerd door geregistreerde gebruikers van Facebook, via de “vrienden zoeken” functie, doet hier niet aan af.

Rechtbank Noord-Holland 26 november 2015, IT 1965; ECLI:NL:RBNHO:2015:11680 ([verzoeker] tegen International Card Services)
Privacy. Art. 46 Wbp. Verzoeker heeft tijdens zijn vakantie extra kosten moeten maken omdat hij vervangend verblijf heeft moeten zoeken. De creditcard betaling waarmee hij het vakantieverblijf had betaald wilt hij ongedaan maken. Dit verzoek wordt door ICS gehonoreerd, maar later teruggedraaid wegens schending van de algemene voorwaarden. Verzoeker wilt hier niet aan mee werken en wordt geregistreerd in het Centraal Krediet Informatiesysteem (CKI). Verzoeker eist nu dat ICS meewerkt aan de verwijdering van zijn persoonsgegevens uit het CKI. ICS heeft de registratie in redelijkheid kunnen handhaven nu verzoeker zijn belang bij verwijdering onvoldoende aannemelijk heeft gemaakt. Het verzoek wordt afgewezen.

3.6. De rechtbank is van oordeel dat ICS na afweging van de betrokken belangen na het verzoek van [verzoeker] tot verwijdering van zijn registratie in redelijkheid de registratie in het CKI van de stichting BKR heeft kunnen handhaven. Daarbij heeft de rechtbank het volgende overwogen.

[verzoeker] heeft zijn belang bij verwijdering onvoldoende aannemelijk gemaakt door enkel te stellen dat hij geen huis kan kopen en/of zijn hypotheek niet kan oversluiten. Ter gelegenheid van de zitting heeft [verzoeker] slechts verklaard dat hij enkele huizen op het oog heeft maar zijn plannen ‘on hold’ heeft gezet, zonder het bestaan of de inhoud van deze plannen concreet te maken. Ook van zijn door de registratie gefrustreerde wens om zijn hypotheek over te sluiten heeft hij geen concrete gegevens overgelegd. Daarbij heeft te gelden dat het ook bij een BKR registratie in beginsel niet onmogelijk is een (her)financiering te verkrijgen. De genuanceerde afweging door kredietverstrekkers die volgens ICS een ervaringsfeit is, wordt door het antwoord van vier financiers op de (te) globale vraag van [verzoeker] in elk geval niet weerlegd. Verder heeft [verzoeker] in het kader van de belangenafweging aangevoerd dat er geen sprake is van betalingsonmacht, dat hij overigens van onbesproken betalingsgedrag is, dat hij ICS al heeft betaald en dat het om een gering bedrag ging, zodat ICS na de betaling ten onrechte niet heeft besloten tot verwijdering van de registratie. De rechtbank is van oordeel dat deze argumenten van [verzoeker] samen minder zwaarwegend zijn dan de overwegingen van ICS om de registratie te handhaven. Met name de wijze waarop [verzoeker] de transactie ongedaan heeft gemaakt door in strijd met de waarheid in te vullen dat hij geen opdracht tot de betaling heeft verstrekt en, ook nadat dit was opgehelderd, bijna twee jaren onwillig bleef met betalen acht de rechtbank daarbij van doorslaggevend belang. Dat [verzoeker] betaling is blijven weigeren omdat hij een andere opvatting over de rol van ICS in de kwestie rond het tegenvallende vakantiehuis heeft, maakt dit niet anders. Immers, ICS is geen partij in de overeenkomst tussen de reisorganisatie en [verzoeker] en regels daarover in de algemene voorwaarden, waar ICS [verzoeker] in elk geval in haar brief van 9 oktober 2013 ook op heeft gewezen, zijn duidelijk op dit punt. Niettemin heeft [verzoeker] erin volhard het financiële nadeel van zijn geschil met de reisorganisatie langdurig door ICS te laten dragen en ICS aldus te noodzaken aanvullende kosten te maken ter incassering. Ook betalingsonwil als hier aan de orde vormt een risico voor kredietverstrekkers. Tegenover het belang om de registratie te handhaven en aldus het risico van betalingsonwil en misbruik in te perken, zijn de belangen van [verzoeker] onvoldoende zwaarwegend om tot doorhaling van de registratie te nopen.

De stelling van [verzoeker] dat de zitting niet had behoeven door te gaan omdat [verzoeker] in april 2015 tijdig, dat wil zeggen uiterlijk 48 uur voor de zittingsdatum, heeft betaald, behoeft geen nadere bespreking, nu dit niet relevant is voor de vraag of de belangenafweging na deze betaling anders had dienen uit te vallen.

De rechtbank is dan ook van oordeel dat ICS de gevraagde heroverweging van de registratie na de betaling in april 2015 op goede gronden heeft afgewezen.