Privacy  

Bijdrage ingezonden door Filip van Eeckhoutte, Van Eeckhoutte advocaten. In zijn beroemde arrest EHvJ 13 mei 2014 Gonzalez/AEPD vs. Google [IT 1507] heeft het Hof het recht om vergeten te worden niet willen verheffen tot een superrecht dat andere grondrechten zoals de vrijheid van meningsuiting of de vrijheid van de media prevaleert. Integendeel, het arrest bevestigt dat het recht om uw persoonlijke gegevens te laten wissen niet absoluut is en duidelijk begrensd is. Het verzoek tot verwijdering moet per geval worden beoordeeld. Het recht is slechts van toepassing in het geval waar persoonlijke data-opslag niet langer noodzakelijk of irrelevant is voor de oorspronkelijke verwerkingsdoeleinden waarvoor de gegevens destijds werden verzameld. Het verwijderen van irrelevante en achterhaalde van links is niet gelijk aan het verwijderen van inhoud. Het Hof maakte in het Gonzalez-arrest vooral duidelijk dat een case-by-case beoordeling nodig is.

Het recht op de bescherming van persoonsgegevens noch en het recht op vrijheid van meningsuiting zijn absolute rechten. Er moet goed evenwicht worden gezocht tussen de rechtmatige belangen van internetgebruikers en de fundamentele rechten van de persoon. Vrijheid van meningsuiting brengt verantwoordelijkheden met zich mee en heeft zo zijn grenzen zowel in de online en offline wereld. Dat evenwicht kan afhangen van de aard van de informatie in kwestie, de gevoeligheid voor de persoonlijke levenssfeer en van het algemeen belang in het hebben van die informatie. Het kan ook afhangen van de persoonlijkheid in kwestie: het recht om te worden vergeten is absoluut niet bedoeld om prominente mensen nog meer op de voorgrond te zettten of criminelen minder crimineel te laten ogen.

De behandeling van de casus van Gonzalez is op zichzelf beschouwd een goed voorbeeld van deze evenwichtsoefening. Hoewel het Hof Google beval om de toegang te verwijderen tot informatie die de Spanjaard Gonzalez niet meer relevant achtte, benadrukt het Hof in rechtsoverweging 88 van zijn arrest dat de inhoud van het gewraakte krantenartikel op grond van gegevensbescherming niet hoeft te worden gewijzigd of verwijderd. De gegevens van Gonzalez, of beter gezegd het desbetreffenden krantenartikel over Gonzalez is nog steeds toegankelijk, echter niet langer meer alomtegenwoordig toegankelijk. Dit is voldoende om de privacy van de burger te respecteren.

Google moet verwijderverzoeken op een case- by-case basis beoordelen en de in het EU-recht en het arrest van het Europese Hof genoemde criteria toepassen. Deze criteria hebben betrekking op de nauwkeurigheid, geschiktheid, relevantie - inclusief de verstreken tijd - en het evenredigheidsbeginsel van de links in verhouding tot het doel van de gegevensverwerking (rechtsoverweging 93: "Uit deze vereisten van artikel 6, lid 1, sub c tot en met e, van richtlijn 95/46 vloeit voort dat het mogelijk is dat zelfs een aanvankelijk rechtmatige gegevensverwerking na verloop van tijd niet langer met deze richtlijn verenigbaar is omdat deze gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt. Dit is met name het geval wanneer deze gegevens gelet op deze doeleinden en gelet op de verstreken tijd ontoereikend, niet of niet meer ter zake dienend of bovenmatig zijn.").

De criteria voor de juistheid en relevantie bijvoorbeeld kunnen in belangrijke mate afhangen van hoeveelheid tijd is inmiddels verstreken sinds de oorspronkelijke verwijzingen naar een persoon. Terwijl sommige zoekresultaten, die naar content op andere webpagina's linken, zelfs na een aanzienlijk tijdsverloop nog van belang kunnen zijn, kunnen andere zoekresultaten dat niet zijn en voor die laatste groep voldoende rechtmatig belang bestaan zijn om verwijzing naar hun 'recentere' informatie te laten verwijderen.

Dit is precies de strekking van de voorgestelde EU-verordening inzake gegevensbescherming: de machtiging aan individuen om hun persoonlijke gegevens te beheren, terwijl de bescherming van de vrijheid van meningsuiting en van de media uitdrukkelijk beschermd blijft. Artikel 80 van de voorgestelde verordening bevat een specifieke bepaling die de lidstaten verplicht om de nationale wetgeving op gegevensbescherming te verzoenen met het recht op vrijheid van meningsuiting, met inbegrip van de verwerking van gegevens voor journalistieke doeleinden. De bepaling specifiek vraagt om het type afweging die het Hof heeft uiteengezet in zijn arrest dit in tegenstelling tot de huidige richtlijn van 24 oktober 1995 (Richtlijn 95/46/EG) die zij het impliciet de gegevensbescherming boven de vrijheid van de media stelt.

Deze uitspraak van het Europese Hof van Justitie heeft de belangrijkste pijlers van de hervorming gegevensbescherming bevestigd. De Commissie zal blijven aandringen op een snelle goedkeuring van de hervorming van de bescherming van gegevens, met inbegrip van de versterkte en gemoderniseerde recht om te worden vergeten. De Commissie stelt voor om de vrijheid van meningsuiting en van de media te versterken door middel van een herziening van de Europese regels voor gegevensbescherming. De Commissie verwacht dat zoekmachine-exploitanten zoals Google onder toezicht van de bevoegde autoriteiten in het bijzonder autoriteiten voor gegevensbescherming goed functionerende instrumenten en procedures verder zullen ontwikkelen, zodat er adequaat voor gezorgd kan worden dat individuen de verwijdering van hun persoonsgegevens kunnen aanvragen wanneer zij onjuist , ontoereikend, of irrelevante of niet meer relevant zijn. Google is daarmee goed op weg. Google stemt in met ruim de helft van de Europese aanvragen om links naar persoonlijke informatie uit haar zoekresultaten te verwijderen. Ongeveer 30 procent van de verzoeken zijn afgewezen. Bij ongeveer 15 procent werd om bijkomende informatie gevraagd, aldus De Morgen op 28 juli 2014. Google zei tot midden juli 2014 in totaal 91.000 aanvragen te hebben gekregen om 328.000 links uit de zoekresultaten te verwijderen.

Kortom, de voorgestelde verordening gegevensbescherming bevat een bepaald evenwicht tussen het recht op de bescherming van persoonsgegevens en de vrijheid van meningsuiting.

Vzr. Rechtbank Amsterdam 18 september 2014, IT 1600 (eiser tegen Google)
Uitspraak ingezonden door Remy Chavannes, Brinkhof N.V. . Wbp. Verwijderen gegevens. Costeja-arrest. Rechtspraak.nl: Zoekmachine Google Search hoeft de gegevens van een veroordeelde man niet te verwijderen. Dat heeft de voorzieningenrechter bepaald. De man wilde dat Google verschillende links die verwijzen naar websites (waarop informatie staat over de veroordeling van de man in 2012 voor een ernstig misdrijf) zou verwijderen. De man baseerde zich daarbij op de Wet bescherming persoonsgegevens en een uitspraak van het Hof van Justitie van de EU. Volgens het Costeja-arrest van dat Hof kan men zich alleen verzetten tegen het tonen van zoekresultaten die ‘irrelevant” ‘buitensporig’ of ‘onnodig diffamerend’ zijn. De voorzieningenrechter oordeelt dat negatieve publiciteit als gevolg van een ernstig misdrijf in zijn algemeenheid juist blijvend relevante informatie over een persoon is. Dat de zoekresultaten verwijzen naar berichten die ‘buitensporig’ of ‘onnodig diffamerend’ zijn, heeft de man onvoldoende onderbouwd.

3 Het geschil
3.1. Eiser vordert na eiswijziging samengevat - gedaagden op straffe van een dwangsom te veroordelen:
I. tot het rectificeren, uitwissen en/of afschermen van de (bijzondere) persoonsgegevens van eiser door verwijdering van de in het lichaam van de dagvaarding en bij pleidooi genoemde URL’s die met zijn persoon in verband worden gebracht bij het invoeren van de naam/namen van eiser in de (resultaten van de) zoekmachine(s) van gedaagden;
II. elke en alle zoekresultaten, althans de door gedaagden gepubliceerde URL’s waarin de persoonsgegevens van eiser niet (meer), althans niet (meer) volledig genoemd worden, uit de (resultaten van de) zoekmachine(s) van gedaagden bij het invoeren van de naam/namen van eiser te verwijderen en verwijderd te houden;
III. de onderaan de webpagina van de zoekresultaten van de zoekmachine(s) van gedaagden bij de invoeren van de naam/namen van eiser weergegeven mededeling “Sommige resultaten zijn mogelijk verwijderd op grond van Europese wetgeving inzake gegevensbescherming. Meer informatie.” te verwijderen en verwijderd te houden;
IV. de naam/namen van eiser te ontkoppelen van de naam van “Peter R. de Vries” in de (geautomatiseerde) zoekbalk van de zoekmachine(s) van gedaagden;
V. zich te onthouden van iedere inbreuk op de privacy van eiser door het (doen) openbaar maken en/of verveelvoudigen van de in het lichaam van de dagvaarding en bij pleidooi genoemde URL’s in haar zoekmachine(s) in verband met de geautomatiseerde verwerking van de naam/namen van eiser voor commerciële doeleinden, dan wel het doen van publicitaire en/of andere reclame-uitingen van gelijke aard of strekking, in enigerlei vorm of op enigerlei wijze (met inbegrip van Google Books).

Eiser vordert ten slotte gedaagden te veroordelen in de proceskosten, te vermeerderen met de wettelijke rente en het vonnis uitvoerbaar bij voorraad te verklaren. De bij eiswijziging opgenomen aanvulling “bij pleidooi genoemde URL’s” heeft betrekking op een URL die verwijst naar een pagina van het Algemeen Dagblad waarin melding wordt gemaakt van de onder 2.2 vermelde veroordeling van eiser.

3.2. Eiser heeft zich met betrekking tot zijn vorderingen beroepen op de Wet bescherming persoonsgegevens (Wbp) en een recent arrest van Hof van Justitie van de EU van 13 mei 2014 (inzake Google Spanje/Costeja), hierna het Costeja-arrest, alsmede op onrechtmatig handelen van gedaagden.

4 De beoordeling
Ontvankelijkheid
4.2. De voorzieningenrechter onderschrijft de stelling van gedaagden dat voor vorderingen gebaseerd op artikel 36 en 40 Wbp en het Costeja-arrest, zoals hier (onder meer) aan de orde, op grond van artikel 46 Wbp een verzoekschriftprocedure is aangewezen, maar volgt gedaagden niet in hun stelling dat eiser daarmee niet-ontvankelijk is. Als de aangewezen rechtsgang voor spoedeisende gevallen geen met voldoende waarborgen omklede snelle rechtsgang biedt waarin eiser een met het kort geding vergelijkbaar resultaat kan bereiken, kan de voorzieningenrechter immers als ‘restrechter’ van de vorderingen kennis nemen. De in artikel 46 Wbp aangewezen verzoekschriftprocedure biedt niet een dergelijke met voldoende waarborgen omklede snelle rechtsgang. Gedaagden hebben weliswaar gesteld dat in de verzoekschriftprocedure om een verkorting van termijnen kan worden gevraagd, maar dat is niet vergelijkbaar met een kortgedingprocedure. Aan het niet-ontvankelijkheidsverweer wordt derhalve voorbij gegaan.

Vordering I
4.12. Bij de vraag of de zoekresultaten irrelevant zijn, moet bovendien worden bedacht dat de zoekterm, bestaande uit de naam van eiser niet samenvalt met de persoon van eiser. Meerdere mensen kunnen dezelfde naam dragen en in dit geval wordt de naam van eiser ook door een personage in een boek gedragen. Dat personage is weliswaar geënt op de persoon van eiser, maar valt daarmee nog niet samen met de persoon van eiser. Het boek wordt gepresenteerd als een combinatie van fictie en werkelijkheid. Dit maakt naar het oordeel van de voorzieningenrechter dat de verwijzing naar het boek mogelijk irrelevant is ten opzichte van de persoon van eiser maar niet ten opzichte van de zoekterm die, als gesteld, niet samenvalt met de persoon van eiser.

4.13. Ter zitting heeft eiser nog aangevoerd dat hij in de berichten over het feit waarvoor hij is veroordeeld niet met zijn volledige naam wordt genoemd, maar in het boek van [auteur] wel. Zo kunnen internetgebruikers hem alsnog aan dat feit linken, aldus eiser. Dit maakt echter naar het oordeel van de voorzieningenrechter nog niet dat de bestreden zoekresultaten (de sites waarop het boek te koop wordt aangeboden) als buitensporig negatief kwalificerend of bovenmatig ten aanzien van het doel van de verwerking door Google Inc zijn aan te merken. Verwezen zij hier allereest naar hetgeen in 4.11 is overwogen. Verder gaat eiser er kennelijk vanuit dat er een afdwingbare norm is die journalisten – en daarmee volgens eiser kennelijk ook zoekmachines als Google Search – onder alle omstandigheden verplicht tot het anonimiseren van een verdachte of veroordeelde van een strafbaar feit. Een dergelijke afdwingbare norm bestaat echter niet. Tot slot gaat de redenering van eiser eraan voorbij dat het boek een mix van fictie en werkelijkheid is en ook als zodanig aan het publiek wordt gepresenteerd. Dus anders dan door eiser is gesteld, kan niet als vanzelfsprekend worden aanvaard dat gebruikers van het internet door de berichten over het feit waarvoor eiser is veroordeeld (waarin eiser volgens in Nederland heersend journalistiek gebruik niet met zijn volledige naam wordt aangeduid) in combinatie met de verwijzingen naar het boek (waarin de opgevoerde opdrachtgever tot de moord dezelfde naam heeft als eiser) zullen weten dat eiser is veroordeeld voor poging tot het uitlokken van een huurmoord. De internetgebruiker die nog niet weet dat eiser voor dit strafrechtelijke feit is veroordeeld kan uit de zoekresultaten niet afleiden dat dit het geval is. Van bovenmatige zoekresultaten ten aanzien van het doel van de verwerking door Google is dan ook geenszins sprake.

4.14. Ten slotte is voorshands ook niet gebleken van zwaarwegende en gerechtvaardigde redenen, verband houden met de bijzondere situatie van eiser, die maken dat Google Inc tot verwijdering van de verwijzingen naar het boek dient over te gaan.

Vordering II
4.17. De vordering strekkende tot het verwijderen van zoekresultaten waarin de naam van eiser niet (meer) althans niet (meer) volledig genoemd wordt, is als te algemeen geformuleerd niet toewijsbaar. Toewijzing van deze vordering zou betekenen dat zonder enige afweging van concrete feiten en omstandigheden een algemeen publicatieverbod zou worden opgelegd, hetgeen in strijd zou zijn met artikel 10 EVRM en artikel 7 Grondwet (recht op informatievrijheid). Bovendien wil het feit dat een bepaalde website de naam van eiser niet noemt nog niet zeggen dat die pagina niet over hem gaat of relevant kan zijn voor een zoekopdracht naar zijn naam.

Vordering III
4.18. Met betrekking tot de vordering over te gaan tot verwijdering van de op de zoekresultatenpagina vermelde mededeling “Sommige resultaten zijn mogelijk verwijderd op grond van Europese wetgeving inzake gegevensbescherming. Meer informatie.” heeft Google Inc aangevoerd dat zij deze mededeling sinds juni 2014 standaard vermeldt onder zoekresultaten voor zoekacties die zijn verricht op basis van een persoonsnaam, tenzij het de naam van een bekend persoon betreft. Volgens Google Inc staat deze mededeling volledig los van een al dan niet bij haar ingediend verwijderingsverzoek. Eiser heeft hier onvoldoende tegenover gesteld, zodat voorshands van de juistheid van hetgeen door Google Inc is aangevoerd wordt uitgegaan. Dat, zoals eiser stelt, met deze mededeling enige onjuiste suggestie wordt gewekt kan dan ook niet worden geconcludeerd. Deze vordering wordt derhalve afgewezen.

Vordering IV
4.19. Vordering IV heeft betrekking op de hiervoor, in 2.4 vermelde autocomplete-functie van Google Search. De vordering strekt tot verwijdering van de toevoeging van ‘peter r de vries’ aan de volledige naam van eiser als één van de zoeksuggesties voor de gebruiker. Google Inc heeft voldoende aannemelijk gemaakt dat de autocomplete-functie een voorspelling is die automatisch wordt gegenereerd door een algoritme op basis van een aantal objectieve factoren, waaronder het aantal keren dat gebruikers op basis van een bepaalde zoekterm gezocht hebben, de inhoud van webpagina’s en de zoekopdrachten die de gebruiker eerder heeft uitgevoerd. Anders dan eiser heeft gesteld, is naar het oordeel van de voorzieningenrechter de autocomplete-toevoeging “peter r de vries” aan de volledige naam van eiser, gelet op de feiten die in 2.1 en 2.2 zijn vermeld, niet irrelevant of onlogisch te noemen. De autocomplete-toevoeging kan voorshands evenmin als onrechtmatig worden aangemerkt. Het enkele feit dat in de getoonde zoekresultaten de naam van eiser veelal niet voluit wordt genoemd, maakt de zoeksuggestie nog niet onrechtmatig. De vordering van eiser is kennelijk gebaseerd op de gedachte dat Google Inc met haar zoeksuggestie zou onthullen wat de volledige naam is van de persoon die in de berichten over het strafbare feit niet met zijn volledige naam wordt aangeduid. Dit is echter niet het geval. Allereerst wordt de volledige naam van eiser op internet al in verband gebracht met die van Peter R. de Vries, met name door het boek van [auteur]. Ook afgezien daarvan valt niet aanstonds in te zien dat de gebruiker van Google Search de autocomplete-suggestie zal opvatten als (betrouwbare) informatie die iets toevoegt aan de links waarnaar de gebruiker wordt verwezen. Omstandigheden die de zoeksuggestie in dit specifieke geval niettemin onrechtmatig maken, zijn niet gesteld of gebleken.

Vordering V
4.20. De vordering om Google Inc te veroordelen om zich te onthouden van iedere inbreuk op de privacy van eiser is, als te algemeen geformuleerd, niet toewijsbaar. Het recht op privacy is niet absoluut. Het recht op privacy van eiser zal van geval tot geval moeten worden afgewogen tegen de rechten en belangen van Google Inc, de rechten en belangen van degenen naar wiens publicaties de zoekmachine van Google Inc verwijst en de gebruikers van het internet. Toewijzing van deze vordering zou bovendien aanleiding kunnen geven tot executiegeschillen.

5 De beslissing
De voorzieningenrechter
5.1. weigert de gevraagde voorzieningen,
5.2. veroordeelt eiser in de proceskosten, aan de zijde van gedaagden tot op heden begroot op € 1.424,00,
5.3. verklaart dit vonnis wat betreft de kostenveroordeling uitvoerbaar bij voorraad.

Recht op inzage van gegevens bij klachtafhandeling door telecomaanbieders, CBPweb.nl 16 september 2014
Uit het persbericht: In een uitzending van het tv-programma Radar van maandagavond 15 september 2014 heeft de voorzitter van het College bescherming persoonsgegevens (CBP) onderstreept dat de wet verplicht om klanten inzage te geven in gegevens die een telecomaanbieder over hen bewaart.

Telecomaanbieders mogen gegevens over het dataverkeer voor facturering en netwerkbeheer in een beperkt aantal gevallen zonder toestemming bewaren. De gegevens mogen niet langer worden bewaard dan noodzakelijk en moeten zo snel mogelijk worden geanonimiseerd of verwijderd. Telecomaanbieders mogen bepaalde gegevens - welke websites of apps (op het niveau van domeinnamen) op welk moment hoeveel data hebben verbruikt - langer bewaren als de klant daar vooraf uitdrukkelijke toestemming voor geeft. Het CBP herbevestigt bovendien dat het zonder toestemming gebruiken van gegevens over bezochte websites en gebruikte apps voor eigen doeleinden van de telecomaanbieders zoals voor marktanalyse in strijd met de wet is.

J. van Groenendaal, De gestolen naaktfoto’s van Kate Upton, Jennifer Lawrence en tientallen anderen, IT 1593
Bijdrage ingezonden door Jurian van Groenendaal, Boekx Advocaten. Het is even schrikken voor een flink aantal actrices, popsterren en modellen. Een hacker heeft toegang gekregen tot hun iCloud account met daarop persoonlijke foto’s en filmpjes. In deze cloud worden - in beginsel automatisch - kopieën opgeslagen van beelden die met Apple-apparaten zijn gemaakt. En de celebs houden er nogal wat naaktfoto’s en pikante video’s op na. Van onder meer model Kate Upton en actrice Jennifer Lawrence werd dit soort materiaal online gezet. Sommigen ontkenden de authenticiteit van de beelden, maar andere gaven toe dat het om echte foto’s gaat. En er zou nog veel meer gepubliceerd worden. Een lijst met tientallen bekende vrouwen werd gepubliceerd op internetforum 4Chan, waar de hackers hun buit presenteerden.

Voyeurisme
Een schrale troost voor de vrouwen is dat het civielrechtelijk een makkelijke zaak wordt. Het publiceren van foto’s, in de beslotenheid van een privéomgeving genomen, schendt de persoonlijke levenssfeer evident. Al helemaal wanneer er naakt of erotiek in beeld is. Alhoewel het publiek op zichzelf wel informatie mag ontvangen over het privéleven van celebrities, wordt er een grens overschreden wanneer de publicatie niet bijdraagt aan een publiek debat. In de Von Hannover I en II uitspraken heeft het Europese Hof voor de Rechten van de Mens (“EHRM”) het publieke debat als essentieel criterium aangemerkt in de belangenafweging van grondrechten.1 Het grondrecht op bescherming van de persoonlijke levenssfeer aan de ene kant en het grondrecht op vrijheid van meningsuiting aan de andere kant. In de Von Hannover II uitspraak is bovendien overwogen dat het louter bevredigen van nieuwsgierigheid geen zwaarwegend belang is. Het gaat natuurlijk om puur voyeurisme wanneer naaktfoto’s worden gestolen en gedeeld. De manier waarop de foto’s zijn verkregen speelt ook een relevante rol. Het is alsof een inbreker door je onderbroekenla gaat, maar dan voor het oog van de hele wereld. Een belangenafweging door de rechter dient onder deze omstandigheden in het voordeel van de celebrities uit te vallen.

Axel Springer en Naomi Campbell
Het openbaar maken van deze naaktfoto’s is in die zin heel anders dan de zaak over een Duitse acteur door Axel Springer.2 De acteur werd voor bezit van cocaïne gearresteerd op een openbaar festival. Dat vond hij ook tot zijn loutere privésfeer behoren. Een dagblad publiceerde over het voorval met de volledige naam van de acteur en zijn foto. Dat was volgens het EHRM toelaatbaar. Zijn bekendheid bij het publiek, de betrouwbaarheid van de feiten (een openbaar aanklager had het voorval bevestigd) en een drugsverleden speelden in de belangenafweging een rol. Naast het feit dat bekende personen ook een voorbeeldfunctie bezitten voor het publiek. Een soortgelijke zaak betrof supermodel Naomi Campbell die werd gefotografeerd buiten een afkickkliniek.3 Het publiceren van de foto’s ging echter te ver volgens het EHRM. Al was het op zichzelf gerechtvaardigd om over het feit dat zij onder behandeling was te berichten. In het oordeel speelde mee dat de met telelens genomen foto’s een negatief effect op haar behandeling zouden kunnen hebben, en ook niets wezenlijks bijdroegen aan de berichtgeving.

Strafbaar
Het stelen van beeldmateriaal uit de cloud en het openbaar maken van dat materiaal heeft ook zeker strafrechtelijke gevolgen. Computervredebreuk, het omzeilen van een beveiliging en het binnendringen van een computer, is een strafbaar feit. Daarvoor zullen de autoriteiten de hackers van de cloud van de celebrities moeten zien te vervolgen. Maar ook al wordt in deze opinie het woord “stelen” herhaaldelijk gebruikt, van diefstal in de zin van het Wetboek van Strafrecht is geen sprake. Dat is relevant voor iedereen die de foto’s overneemt en openbaar maakt. Zij lopen anders het risico zelf vervolgd te worden voor heling. Volgens de Hoge Raad is diefstal van virtuele items uit een game weliswaar te kwalificeren als diefstal, maar daar ging het om virtuele spullen waarover de eigenaar feitelijk de beschikkingsmacht verloor.4 Dat is bij de foto’s niet het geval. Wel kan het openbaar maken van beeldmateriaal waarvan de verkrijger weet dat het door een misdrijf is verkregen, onrechtmatig zijn.5 SBS mocht geen beelden uitzenden van de gestolen digitale camera van (toen nog) prinses Máxima.

Manon Thomas
In Nederland hebben we de zaak Manon Thomas gehad. Naaktfoto’s en een filmpje van Thomas werden gestolen door haar buurman, die toegang had gekregen tot haar computer. Die foto’s werden gedeeld via MSN aan een klein groepje personen en het filmpje werd op Youtube gezet. De strafrechtelijke veroordeling door rechtbank en gerechtshof voor inbreuk op het auteursrecht, werd door de Hoge Raad gecasseerd wegens een vormfout.6 De primair ten laste gelegde computervredebreuk en belediging konden niet bewezen worden. Voor de ad informandum aan de dagvaarding toegevoegde feiten met betrekking tot inbreuk op het auteursrecht, had een nieuwe dagvaarding gemaakt moeten worden. Dat was niet gebeurd waardoor het OM niet ontvankelijk werd verklaard. Wel was Thomas toen al succesvol in het verwijderen van de foto’s en het filmpje van internet. Naast de strafrechtelijke relevantie van het auteursrecht in deze zaak, in de praktijk zeldzaam, kon zij het ook gebruiken voor civielrechtelijke vorderingen tot verwijdering natuurlijk.

Secundaire openbaarmakers
Of de hackers ooit gevonden en vervolgd worden valt zeer te betwijfelen. Wat wel gaat gebeuren is dat er een leger advocaten achter alle websites aangaat die de foto’s hebben overgenomen en openbaar (blijven) maken. Dat geldt natuurlijk ook voor Nederlandse partijen die inhaken op het verspreiden van de foto’s. Zij lopen een risico. Al is het de vraag of de foto’s werkelijk van het internet af te halen zijn. In geval van bekende persoonlijkheden gaat het verspreiden van “verboden” beeldmateriaal zo snel dat het niet meer in te dammen is. Het Britse koningshuis ondernam geen actie tegen foto’s van prins Harry die zich naakt in een hotelkamer in Las Vegas vermaakte met een onbekende dame. Wel werd er een procedure gestart tegen openbaarmaking van foto’s van Kate Middleton die topless aan het zonnen was in de tuin van een vakantiehuis. De Franse rechter verbood publicatie van de foto’s maar deze waren inmiddels al zo ver verspreid dat daar geen actie meer tegen werd genomen. Om praktische redenen hoogstwaarschijnlijk. Het aanspreken van honderden partijen in talloze jurisdicties is geen makkelijke klus.

1 EHRM 7 februari 2012, ECLI:NL:XX:2012:BW0603 (Von Hannover II), EHRM 24 september 2004, zaak 59320/00 (Von Hannover I)
2 EHRM 7 februari 2012, zaak 39954/08, (Springer / Duitsland)
3 EHRM 18 januari 2011, zaak 39401/04, (MGN Limited / Verenigd Koninkrijk)
4 HR 31 januari 2012, ECLI:NL:HR:2012:BQ9251 (Runescape)
5 Rb. Amsterdam, 20 april 2005, ECLI:NL:RBAMS:2005:AT4199 (digitale camera Máxima)
6 HR 20 maart 2012, ECLI:NL:HR:2012:BU8695 (Manon Thomas)

mr. Jurian van Groenendaal is advocaat media en intellectuele eigendom bij Boekx Advocaten in Amsterdam.

Vzr. Rechtbank Amsterdam 30 juni 2014, IT 1587 (AquaServa tegen accountantskantoor)
843a Rv-vordering nadat bewijsbeslag is gelegd. Het maatschappelijk belang dat de waarheid in rechte boven tafel komt, weegt zwaarder dan het belang van de accountant bij bescherming van zijn privacy en bij zijn geheimhoudingsverplichting jegens zijn cliënten. De privé e-mailaccounts van (medewerkers van ) de accountant mogen worden doorzocht omdat de accountant erkent dat met gebruikmaking van privé e-mailadressen over zakelijke aangelegenheden is gecorrespondeerd. Ter beperking van de inbreuk op de privacy en de geheimhoudingsverplichting mogen de door DigiJuris gevonden zoekresultaten pas aan eiseressen worden verstrekt nadat een notaris de zoekresultaten heeft doorgenomen en maatregelen heeft getroffen om te voorkomen dat irrelevante informatie bij eiseressen terecht komt.

4.7. Van een fishing expedition is naar het oordeel van de voorzieningenrechter vooralsnog geen sprake. [het accountantskantoor] betwist immers niet dat ook met gebruikmaking van privé e-mailadressen werd gecorrespondeerd over zakelijke aangelegenheden en
e-mails die zijn verstuurd van of naar privé e-mailadressen zijn kennelijk – gelet op het verzet van [het accountantskantoor] daartegen – nog niet aan AquaServa verstrekt. AquaServa heeft dan ook een rechtmatig belang bij het doorzoeken van de beslagen informatie op de in de dagvaarding genoemde zoektermen. Hoewel AquaServa niet exact kan omschrijven welke stukken zij verwacht te vinden aan de hand van deze zoektermen, is naar het oordeel van de voorzieningenrechter voldaan aan het wettelijke vereiste dat het moet gaan om ‘bepaalde bescheiden’. De voorzieningenrechter die het verlof voor bewijsbeslag heeft verleend, heeft eerder ook al geoordeeld dat de stukken waarvoor het verlof zou gelden voldoende bepaalbaar zijn.

4.8. Bij het te verrichten onderzoek aan de beslagen informatie mogen ook de privé e-mailaccounts worden betrokken. Hetzelfde geldt voor de interne correspondentie van [het accountantskantoor], voor zover de inhoud daarvan betrekking heeft op de totstandkoming en/of de vaststelling van het dividendbesluit ProCas 2008. Voor zover hiervan het gevolg is dat [het accountantskantoor] haar geheimhoudingsverplichting jegens haar cliënten schendt, geldt dat het belang van [het accountantskantoor] bij geheimhouding in het onderhavige geval en tegen de achtergrond van de genoemde beperkingen, naar het oordeel van de voorzieningenrechter minder zwaar weegt dan het maatschappelijk belang dat de waarheid in rechte aan het licht komt. Gesteld noch gebleken is dat een behoorlijke rechtsbedeling zonder de gevraagde gegevens kan worden gewaarborgd.

4.9. Om de inbreuk op de geheimhoudingsverplichting en de privacy van (medewerkers en cliënten van) [het accountantskantoor] zoveel mogelijk te beperken, zal worden bepaald dat DigiJuris B.V. de zoekresultaten zal moeten voorleggen aan[de notaris]

Hof 's-Hertogenbosch 19 augustus 2014, IT 1583 (De Staat tegen SMSParking)
Privacy. Bescherming persoonsgegevens. SMSParking biedt in Nederland diensten aan voor betaald parkeren via sms-bericht, internet, smartphone of app. Op grond van deze bedrijfsactiviteiten beschikt SMSParking over zowel persoonlijke gegevens van de klant die zich bij haar heeft aangemeld als over parkeergegevens van het betreffende voertuig. In december 2012 is SMSParking bericht door de Bealstingdienst, die het voornemen had om alle van SMS Parking te verkrijgen parkeergegevens op basis van kentekeninformatie te filteren op fiscale relevantie. De Staat vordert - samengevat - SMSParking te veroordelen om volledig en onvoorwaardelijk mee te werken aan het verstrekken van de door de Belastingdienst gevraagde gegevens en inlichtingen. De voorzieningenrechter heeft de vorderingen van de Staat afgewezen en de Staat in de proceskosten veroordeeld (IT 1339). Het Hof oordeelt dat noch uit het oogpunt van proportionaliteit noch uit het oogpunt van subsidiariteit in relatie tot artikel 8 EVRM SMSParking een gerechtvaardigd belang heeft om afgifte van de gevraagde gegevens te weigeren. Ook een beroep op de Wbp slaagt niet.

3.5.4. Door SMSParking is verder naar voren gebracht dat de Staat andere en veel minder belastende controlemethodes ter beschikking staan, zodat zij niet behoeft uit te wijken naar het bevragen van SMSParking met betrekking tot de daar aanwezige parkeergegevens. SMSParking heeft daarbij onder meer gewezen op het fotograferen en scannen van kentekens op verschillende wegen. Bovendien, zo stelt zij, zijn 90 tot 95% van de gegevens van SMSParking reeds bekend doordat deze reeds verstrekt zijn door (de gemeenten samenwerkend in verband van) het SHPV, dus door gemeente waarin ook SMSParking haar diensten aanbiedt.
Het hof overweegt het volgende. De stellingen van SMSParking lijken allereerst geen onderscheid te maken tussen de bescherming die voortvloeit uit artikel 8 EVRM voor de daarbij betrokken burgers en het eigen belang dat SMSParking heeft om verstrekking van gegevens te weigeren. Het doet immers wat merkwaardig aan of is zoal niet onbegrijpelijk dat in de visie van SMSParking de Belastingdienst in haar geval naar een minder belastende controlemethode voor de individuele burger zou dienen uit te wijken, nadat de Belastingdienst door gebruikmaking van diezelfde methode bij andere parkeerbedrijven of gemeenten reeds een groot deel van de gewenste gegevens heeft verkregen. De daartoe gehanteerde methode is immers dezelfde als bij SMSParking te weten het bevragen van organisaties zoals SMSParking. Daarnaast kan naar het oordeel van het hof in redelijkheid niet worden volgehouden dat het fotograferen van kentekens (en dus ook de voertuigen die deze dragen) minder belastend zou zijn voor de burger dan het opvragen van kentekens bij SMSParking. Dat laat bovendien onverlet dat een dergelijke methode aanzienlijk arbeidsintensiever is dan het opvragen van de gegevens bij bedrijven als SMSParking, zodat ook reeds om die reden niet gezegd kan worden dat de betreffende methode is aan te merken als gelijkwaardig en even effectief. Evenmin kan van de Belastingdienst worden gevergd dat zij kiest voor een methode waarbij de voor haar interessante kentekens aan SMSParking ter controle worden aangereikt. Een dergelijk handelen zou immers de privacy van een groot aantal burgers kunnen aantasten, waarbij SMSParking niet, zoals de overheid, is onderworpen aan een groot aantal spelregels, die de bevoegdheid van de overheid op dit punt nu juist in goede banen leiden.

3.5.5. De slotsom is dat noch uit het oogpunt van proportionaliteit noch uit het oogpunt van subsidiariteit in relatie tot artikel 8 EVRM SMSParking een gerechtvaardigd belang heeft om afgifte van de gevraagde gegevens te weigeren.

3.6.1. SMSParking heeft daarnaast nog een beroep gedaan op diverse bepalingen uit de Wet Bescherming Persoonsgegevens. Voor zover dit beroep ziet op de noodzaak om haar cliënten voorafgaand aan dit soort verzoeken van de fiscus te kunnen waarschuwen, hetgeen, nu dit achterwege is gebleven, in de weg zou staan aan het verschaffen van de gevraagde gegevens merkt het hof het volgende op. SMSParking betwist niet dat zij is te beschouwen als een administratieplichtige in de zin van de AWR. In relatie tot de Wbp kan van haar verlangd worden dat zij ingevolge artikel 33 Wbp haar klanten van tevoren informeert over de wijze waarop zij zelf de betreffende gegevens verwerkt. Daarmee heeft zij aan haar wettelijke verplichting voldaan. Desgewenst kan zij haar klanten ook informeren over haar (andere) wettelijke verplichtingen, onder meer als administratieplichtige in de zin van de AWR. Dat zij dit echter tot op heden heeft nagelaten kan (uiteraard) de bevoegdheid van de Belastingdienst om de gewenste gegevens van SMSParking te verkrijgen niet beïnvloeden.
In die zin faalt ook grief 1 in het incidenteel appel.

Andere blogs:
ICTRecht
SOLV

Brief aan de Voorzitter van de Tweede Kamer der Staten-Generaal, Kamerstukken II 2013-2014, 26 643, nr. 320.
Tijdens het algemeen overleg Cybersecurity van 27 maart jongstleden (Kamerstuk 26 643, nr. 312) is een aantal vragen gesteld over de aanpak van botnets in Nederland. Deze vragen hebben betrekking op de verantwoordelijkheidsverdeling en de samenhang van de activiteiten van de private en publieke organisaties die betrokken zijn bij de aanpak van botnets, alsmede op aspecten als privacy en aansprakelijkheid. Met deze brief voldoe ik, mede namens mijn ambtgenoot van Economische Zaken, aan de toezegging uw Kamer voor de zomer te informeren over de aanpak van botnets in Nederland.

Met enige regelmaat worden burgers het slachtoffer van cybercriminaliteit. Daarbij maken criminelen geregeld gebruik van botnets. Een botnet is een netwerk van samenwerkende apparaten, meestal privé- of bedrijfscomputers, de zogeheten «bots», die met dezelfde malware zijn besmet. Criminelen kunnen een botnet centraal aansturen om de bots voor eigen doeleinden in te zetten. Deze problematiek is door het NCSC in de opeenvolgende Cyber Security Beelden Nederland geschetst.

De dreiging die uitgaat van botnets neemt het kabinet serieus. De aanpak van deze dreiging vraagt inzet van overheid, bedrijfsleven en burgers. De overheid handelt daarbij op verschillende vlakken en vanuit verschillende rollen, zoals hieronder wordt geschetst. Vanuit het bedrijfsleven pakken de Internet Service Providers een actieve rol in de bestrijding van botnets en geven daarbij invulling aan de in de tweede Nationale Cyber Security Strategie (NCSS 2)1 beschreven zorgplicht die leveranciers jegens hun klanten hebben. Daarnaast ligt er voor burgers in de rol als eindgebruiker een belangrijke rol in het verbeteren van de eigen cyberhygiëne.

Bij het bestrijden van botnets is het van belang dat genoemde partijen de volgende maatregelen nemen: het verhogen van veiligheidsbewustzijn en het tegengaan van besmettingen, het actief bestrijden van besmettingen, het opsporen en vervolgen van beheerders van botnets en het verstoren van de werking van botnets.


Verhogen van veiligheidsbewustzijn en het tegengaan van besmettingen
De eigenaar van een computer is zelf verantwoordelijk voor de eigen informatiebeveiliging en heeft daarmee de taak om voldoende maatregelen te nemen om zijn of haar computer vrij te houden van malware. De samenleving dient zich daarom in toenemende mate bewust te zijn van de dreigingen en daarbij bekwaam te handelen. Hiertoe zet de overheid vanuit de NCSS-2 actief in op het verhogen van dit bewustzijn en het versterken van de bekwaamheid. Van 27 oktober tot 6 november 2014 zal voor de derde keer de awareness-campagne Alert Online worden gehouden. Deze draagt bij aan de bewustwording van iedereen in de samenleving om veilig om te gaan met computers. Ook werkt het Ministerie van Economische Zaken samen met het Ministerie van Veiligheid en Justitie en ECP, platform voor de informatiesamenleving, aan een nieuwe informatiebron voor burgers, veiliginternetten.nl. Deze zal in het najaar tijdens de campagne Alert Online worden gelanceerd.

Bestrijden van besmettingen
Bij brief van 17 mei 2011 is uw Kamer geïnformeerd over de Digitale Agenda Nederland2. Hierin is de actielijn Schone computers door aanpak van Botnets opgenomen. Uit deze actielijn is met eenmalige steun van het Ministerie van Economische Zaken het private initiatief van de vereniging Abuse Information Exchange ontstaan. Deze vereniging van internet service providers heeft recent een centrum (Abuse HUB) opgericht dat centraal informatie over botnetbesmettingen verzamelt en verwerkt. Deze informatie wordt ter beschikking gesteld aan leden van de vereniging. Zij kunnen zo besmette computers sneller opmerken en hun klanten beter helpen bij de ontsmetting van hun computers. Bij Abuse Information Exchange zijn de meeste nationale internetproviders aangesloten, samen goed voor meer dan 90% van de vaste internettoegangsmarkt. Het Ministerie van Economische Zaken doet in 2014 onderzoek naar de vraag of botnetbesmettingen bij eindgebruikers in Nederland zijn afgenomen ten opzichte van landen die geen vergelijkbare initiatieven als Abuse Information Exchange hebben ontplooid. Eind 2014 zullen de uitkomsten daarvan beschikbaar zijn. Deze kunnen bruikbaar zijn voor de verbetering van de werking van Abuse HUB en van de aanpak van botnets in Nederland in het algemeen.

Opsporen en vervolgen van botnetbeheerders
Het creëren en gebruiken van een botnet is in Nederland strafbaar. De politie is belast met de opsporing, het Openbaar Ministerie is belast met de vervolging en heeft de leiding bij opsporingsonderzoeken. Botnets zijn een prioriteit voor het Team High Tech Crime (THTC) van de politie. Het THTC heeft in 2013 15 grote onderzoeken uitgevoerd. Bij het merendeel van die onderzoeken maakte een botnet deel uit van de werkwijze van de criminelen. Ook wordt door de politie bijgedragen aan gecoördineerde internationale acties tegen botnets. Botnets worden vaak aangestuurd via computers uit het buitenland. Het is mede daarom vaak lastig de identiteit en locatie van de desbetreffende crimineel te achterhalen. Indien het land waar de crimineel zich bevindt bekend is, dan kan een rechtshulpverzoek worden gedaan of kan de opsporing gezamenlijk ter hand worden genomen. Het is van belang dat het creëren en gebruiken van botnets ook in dat land strafbaar is en dat de autoriteiten voldoende capaciteit en expertise beschikbaar hebben om op te treden. Dat is helaas niet altijd het geval. Het kabinet zet daarom in op het versterken van de internationale samenwerking en het harmoniseren van de (straf)wetgeving. Richtlijn 2013/40 van de Europese Unie over aanvallen tegen informatiesystemen verplicht lidstaten onder meer het stellen van een bepaalde maximumstraf voor het gebruik van botnets bij bepaalde vormen van cybercrime in de strafwetgeving op te nemen. Ik heb een wetsvoorstel in procedure gebracht om de Nederlandse wetgeving in overeenstemming te brengen met deze richtlijn. Dit wetsvoorstel is thans aanhangig bij de afdeling advisering van de Raad van State.

Verstoren van de werking van botnets
Naast op het opsporen van daders, wordt ingezet op het effectief verstoren van botnets zodat burgers en bedrijven die als gevolg van een besmetting onderdeel zijn van een botnet, niet langer bloot staan aan de kwaadaardige invloed van de comman and control server (de centrale computer waarmee een botnet wordt aangestuurd). Bij het verstoren wordt veelal op vordering van het Openbaar Ministerie het dataverkeer van deze command and control server uitgeschakeld door de betrokken provider en worden de voor de opsporing relevante gegevens zeker gesteld. Verder vraagt het NCSC met enige regelmaat, bij gebleken aanwijzingen voor een botnet, nadrukkelijke aandacht hiervoor van de providers. Soms is er sprake van zogenoemde bad hosters. Dat zijn providers die bewust of onbewust een platform bieden aan bad hosting, het aanbieden van servers die onder meer gebruikt worden in botnets. In het najaar zullen politie en OM een pilot starten om bad hosters effectief aan te kunnen pakken. De pilot bestaat uit een samenwerking met de TU Delft om de omvang van bad hosting in kaart te brengen. Daarnaast worden publieke en private partners bij elkaar gebracht om tot een gezamenlijke aanpak van bad hosters te komen.

Rol van het NCSC
Het NCSC, als onderdeel van de NCTV van het Ministerie van Veiligheid en Justitie, vervult zijn taken ter voorkoming en beperking van verstoringen in het digitale domein in het belang van de nationale veiligheid. Het NCSC richt zich daarom op de (rijks)overheid en vitale sectoren. Als spin in het web heeft het centrum toegang tot een veelheid aan informatie over ICT-gerelateerde kwetsbaarheden en dreigingen, waaronder botnets. Wanneer het NCSC, zoals reeds geschetst in mijn brief d.d. 18 maart 20133 over de aanpak van het Pobelka-botnet, de beschikking krijgt over IP-adressen van computers die deel uit maken van een botnet, dan streeft het NCSC ernaar de eigenaar hiervan zo mogelijk op de hoogte te stellen. Bij vitale organisaties en (rijks)overheid gebeurt dat in de regel rechtstreeks. In andere gevallen wordt zo mogelijk samengewerkt met organisaties die op hun beurt de eigenaar op de hoogte stellen. In geval van een grootschalig cyberincident waar botnets bij betrokken zijn en dat kan leiden tot maatschappelijke ontwrichting zal het NCSC conform haar rol, met inachtneming van de bestaande publiek-private contacten en crisismanagementstructuren, de coördinatie op zich nemen voor een gezamenlijke respons. Daarbij voert het NCSC, in samenspraak met andere betrokken overheidspartijen, de eerste analyse uit van de aard van de verstoring en geeft een inschatting van de potentiële maatschappelijke gevolgen. Dit is bijvoorbeeld gebeurd bij het onderzoek naar het Pobelka botnet in het voorjaar van 2013, waarover ik uw Kamer per brief heb geïnformeerd.

Privacybescherming
Bij de activiteiten die worden ondernomen op het gebied van botnetbestrijding is het van belang om zorgvuldig om te gaan met informatiestromen, in het bijzonder daar waar het persoonsgegevens betreft. Bedrijven en overheden die persoonsgegevens verwerken moeten in beginsel aan de eisen van de Wet bescherming persoonsgegevens voldoen. Dit betekent onder meer het nemen van passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen, rekening houdend met de stand van de techniek en afgezet tegen de risico’s die met de specifieke gegevensverwerking(en) zijn gemoeid. In specifieke gevallen kan in aanvulling hierop sectorale wet- en regelgeving van toepassing zijn. De politie verwerkt (persoons)gegevens op basis van een specifieke wet, te weten de Wet politiegegevens (Wpg). Het College bescherming persoonsgegevens is met het toezicht op de naleving en de handhaving van de Wbp en de Wpg belast.

Aansprakelijkheid
Op het punt van civielrechtelijke aansprakelijkheid geldt als uitgangspunt dat wanneer iemand als gevolg van handelen door de overheid of private partijen schade lijdt, ook als dat handelen plaatsvindt in het kader van de aanpak van botnets, in voorkomende gevallen een actie uit onrechtmatige daad kan worden gestart.

Ter afsluiting
Uit het bovenstaande wordt duidelijk dat de aanpak van botnets een samenspel van activiteiten van private en publieke partners vormt. Op 20 juni jongstleden heeft op initiatief van de Ministeries van Veiligheid en Justitie en Economische Zaken en ECP, een publiek-private bijeenkomst plaats gevonden om de aanpak van botnets te bespreken. Naar aanleiding van deze bijeenkomst is besloten tot het instellen een publiek-private botnetwerkgroep, waarin sleutelorganisaties bij botnetaanpak in Nederland vertegenwoordigd zullen zijn. ECP zal het secretariaat van deze werkgroep verzorgen. De werkgroep start na de zomer en zal voor afstemming en regie zorgen op de botnetaanpak in Nederland, kennis en informatie uitwisselen en nieuwe initiatieven ontwikkelen en aanjagen.
Hiermee is het kabinet van mening dat er een samenhangende, brede aanpak van botnets bestaat, die verder wordt uitgebouwd en verdiept. Een veiliger internet door minder botnets versterkt het vertrouwen van eindgebruikers bij het internetgebruik, geeft een impuls voor de ontwikkeling van meer online diensten en leidt tot meer economische groei. Zo wordt een bijdrage geleverd aan een samenleving waarin de kansen die digitalisering ons biedt volop worden benut, dreigingen het hoofd worden geboden en fundamentele rechten en waarden worden beschermd.

De Minister van Veiligheid en Justitie,
I.W. Opstelten

CBP adviseert over 'hackbevoegdheid' politie en opsporingsdiensten, CBPweb.nl 17 februari 2014
Uit de mededeling: Op verzoek van de minister van Veiligheid en Justitie heeft het College bescherming persoonsgegevens (CBP) geadviseerd over het conceptwetsvoorstel Computercriminaliteit III. Hierin worden onder meer nieuwe bevoegdheden voorgesteld om de opsporing en vervolging van computercriminaliteit te verbeteren. Het CBP adviseert het voorstel niet aldus in te dienen.

​In zijn advies bespreekt het CBP de voorgestelde bevoegdheid voor de politie en opsporingsdiensten tot zogeheten 'onderzoek in een geautomatiseerd werk', ook wel aangeduid als 'hackbevoegdheid'. Volgens het CBP wordt onvoldoende onderkend dat deze nieuwe bevoegdheid een ongekend verreikend karakter heeft. Het gaat namelijk om zeer veel gegevens van een uitgebreide kring mensen.
 
De 'hackbevoegdheid' maakt onder meer volledige toegang mogelijk tot alle historische - en ook toekomstige - gegevens opgeslagen op randapparatuur en uitgewisseld met alle hiermee verbonden communicatiekanalen. Dit zijn niet alleen gegevens die de verdachte zelf betreffen, maar ook gegevens van iedereen die in documenten voorkomt of met wie er digitaal contact is geweest. Daarmee raakt de toepassing van deze bevoegdheid een grote groep mensen die geen verdachten zijn.
 
Daarom moet het wetsvoorstel blijk geven van een zorgvuldige afweging binnen de grondrechtelijke kaders van het recht op eerbiediging van de persoonlijke levenssfeer, aldus het CBP. Dit recht is vastgelegd in artikel 10 van de Grondwet en artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM).
 
Inbreuken op grondrechten zijn alleen rechtmatig als wordt voldaan aan de eisen van noodzakelijkheid, proportionaliteit en subsidiariteit. Uit de toelichting op het wetsvoorstel blijken echter onvoldoende de gronden en overwegingen die de noodzaak van invoering van een zo ingrijpende bevoegdheid kunnen rechtvaardigen. Het CBP adviseert daarom het wetsvoorstel beter te onderbouwen.
 

ACM 15 juli 2014, ACM/DC/2014/201822_OV (NPO Cookies)
De Autoriteit Consument & Markt (ACM) heeft vastgesteld dat de Stichting Nederlandse Publieke Omroep (NPO) de regels voor het plaatsen van cookies overtreedt. Op verschillende websites die de NPO beheert, plaatst de NPO cookies bij gebruikers zonder dat zij daarover voldoende zijn geïnformeerd en zonder dat zij daarvoor op de juiste wijze toestemming hebben gegeven. Hiermee overtreedt de NPO de regels rondom het plaatsen van cookies uit artikel 11.7a van de Telecommunicatiewet. Om de NPO te dwingen tot aanpassingen legt ACM een last onder dwangsom op. Als de NPO niet binnen vier weken de vereiste verbeteringen doorvoert, moet zij een dwangsom betalen van EUR 25.000 per week tot een maximum van EUR 125.000. ACM heeft de NPO de afgelopen maanden diverse malen in de gelegenheid gesteld haar websites op de genoemde punten aan te passen en daarmee aan de regels te voldoen. Aangezien dit tot nu toe niet tot het gewenste resultaat heeft geleid, legt ACM nu een last onder dwangsom op. Persbericht

Prejudiciële vragen aan HvJ EU 22 april 2014, IT 1571, zaak C-230/14 (Weltimmo)
Persoonsgegevens. Weltimmo is een in Slowakije gevestigde onderneming die een website beheert met advertenties voor in Hongarije gelegen onroerende zaken. Zij verwerkt daartoe persoonsgegevens van de adverteerders. Na afloop van de plaatsingsduur van de advertentie (één maand gratis) verzoeken veel adverteerders zowel de advertentie als hun persoonsgegevens te verwijderen. Verzoekster voldoet echter niet aan dat verzoek en brengt diensten in rekening aan de adverteerders die na niet-betaling van de facturen aan incassobureaus worden ‘uitgeleverd’. De adverteerders dienen een klacht in bij de Hongaarse autoriteit voor gegevensbescherming. Die verklaart de Hongaarse wet van toepassing aangezien de verwerking en technische bewerking van gegevens van natuurlijke personen op Hongaars grondgebied wordt verricht.

Verzoekster krijgt een boete opgelegd. Zij stelt administratief beroep in waarmee het besluit van de Hongaarse autoriteit wordt vernietigd omdat bepaalde feiten onvoldoende duidelijk zijn. De rechter oordeelt echter dat de plaats waar de gegevens zijn verzameld Hongarije is en niet de plaats waar verzoekster haar statutaire zetel heeft. Daarnaast stelt de rechter vast dat noch artikel 4 lid 1, noch de artikelen 28 en 29 van RL 95/46 rechtstreekse werking hebben op grond waarvan de Hongaarse bepalingen buiten toepassing gelaten zouden moeten worden. Verzoekster kan dan ook gezien haar activiteiten geen beroep doen op het feit dat zij geen vestiging in Hongarije heeft. Zij gaat in cassatie omdat zij meent dat de Hongaarse autoriteit niet bevoegd is maar haar Slowaakse tegenhanger had moeten verzoeken actie te nemen.

De verwijzende Hongaarse cassatierechter stelt vast dat het HvJ EU nog geen relevant arrest heeft gewezen. Hij ziet wel enige aanknopingspunten in de conclusie AG in zaak C-131/12 (Google Spain) maar ziet zich genoodzaakt het HvJEU de volgende vragen voor te leggen:

1) Moet artikel 28, lid 1, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna: “richtlijn gegevensbescherming”) aldus worden uitgelegd dat de nationale regeling van een lidstaat op diens grondgebied van toepassing is op een voor de gegevensverwerking verantwoordelijke die uitsluitend in een andere lidstaat is gevestigd en een vastgoedsite beheert waarop hij ook advertenties plaatst voor in de eerstbedoelde lidstaat gelegen onroerend goed, waarvan de eigenaars hun persoonsgegevens naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

2) Moet artikel 4, lid 1, sub a, van de richtlijn gegevensbescherming, junctis de punten 18 tot en met 20 van de considerans en de artikelen 1, lid 2, en 28, lid 1, ervan, aldus worden uitgelegd dat de Magyar Adatvédelmi és Információszabadság Hatóság (hierna: “autoriteit voor gegevensbescherming”) de Hongaarse wet inzake gegevensbescherming als nationaal recht niet kan toepassen op een uitsluitend in een andere lidstaat gevestigde beheerder van een vastgoedsite, ook al publiceert hij daarop ook advertenties voor in Hongarije gelegen onroerend goed, waarvan de eigenaars de desbetreffende gegevens waarschijnlijk vanuit Hongarije naar een middel (server) voor opslag en technische bewerking van gegevens sturen dat aan de sitebeheerder toebehoort en in een andere lidstaat staat?

3) Is het voor uitleggingsdoeleinden relevant dat de dienst die wordt verricht door de voor de gegevensverwerking verantwoordelijke, die de website beheert, is gericht op het grondgebied van een andere lidstaat?

4) Is het voor uitleggingsdoeleinden relevant dat de gegevens betreffende in de andere lidstaat gelegen onroerend goed en de persoonsgegevens van de eigenaars ervan daadwerkelijk zijn ingevoerd vanop het grondgebied van die andere lidstaat?

5) Is het voor uitleggingsdoeleinden relevant dat de met dat onroerend goed verband houdende persoonsgegevens burgers van een andere lidstaat betreffen?

6) Is het voor uitleggingsdoeleinden relevant dat de eigenaars van de in Slowakije gevestigde onderneming een woonplaats hebben in Hongarije?

7) Indien uit het antwoord op de vorige vragen volgt dat de Hongaarse autoriteit voor gegevensbescherming kan optreden, maar daarbij niet het nationale recht, doch het recht van de lidstaat van vestiging moet toepassen, moet artikel 28, lid 6, van de richtlijn gegevensbescherming dan aldus worden uitgelegd dat de Hongaarse autoriteit voor gegevensbescherming de haar overeenkomstig artikel 28, lid 3, daarvan verleende bevoegdheden enkel mag uitoefenen in overeenstemming met de regeling van de lidstaat van vestiging, en dus niet bevoegd is om een geldboete op te leggen?

8) Mag ervan worden uitgegaan dat het begrip „adatfeldolgozás” [technische bewerking van gegevens] dat zowel in artikel 4, lid 1, sub a, als in artikel 28, lid 6, van de [Hongaarse taalversie van de] richtlijn gegevensbescherming wordt gebruikt, in de terminologie van deze richtlijn overeenkomt met het begrip „adatkezelés” [gegevensverwerking]?