Privacy  

CBP, CBP adviseert over verwerking persoonsgegevens bij uitvoering van de Wet langdurige intensieve zorg, CBPweb.nl 9 december 2013
Uit de mededeling: Het College bescherming persoonsgegevens (CBP) heeft geadviseerd over het wetsvoorstel Langdurige intensieve zorg (LIZ). Dit voorstel maakt onderdeel uit van een groot wetgevingscomplex, waarvan de kern de decentralisatie van taken naar gemeenten is. Het CBP heeft bezwaar tegen het wetsvoorstel en adviseert het niet in de huidige vorm in te dienen.

​ Het kabinet heeft besloten tot fundamentele hervorming van de langdurige zorg. Het CBP heeft in dat verband eerder ook geadviseerd over de voorstellen voor de Wet maatschappelijke ondersteuning 2015 (Wmo 2015) en de Jeugdwet. De voorstellen leveren een aanzienlijke wijziging op van taken en verantwoordelijkheden van diverse instanties. Gelet hierop heeft het CBP al opgemerkt dat het noodzakelijk is om tot een meer overkoepelende en onderbouwde visie op de verwerking van persoonsgegevens te komen. Transparantie over de verwerking van persoonsgegevens is hierbij een belangrijk aandachtspunt.

Visie op verwerking persoonsgegevens
Het CBP constateert dat ook in het wetsvoorstel LIZ zo'n onderbouwde visie op de verwerking van persoonsgegevens niet aanwezig is. Het CBP adviseert daarom te voorzien in een grondige beschouwing over de verwerking van persoonsgegevens in de nieuwe situatie zoals beschreven in het wetsvoorstel LIZ. Deze verwerking moet ook in samenhang worden bekeken met de veranderingen vanuit de wetsvoorstellen Wmo 2015 en Jeugdwet, die aanleiding kunnen geven tot gegevensuitwisseling bij het afstemmen van de uitvoering van die wetten.

Specificatie gegevensverwerking
Het CBP acht het daarbij van belang dat het wetsvoorstel LIZ voldoende specificeert over welke gegevens instanties mogen beschikken voor welke taak en welke gegevens ze daarbij aan elkaar moeten verstrekken. Het CBP adviseert ook in het wetsvoorstel LIZ een wettelijke verplichting op te nemen voor het door derden verstrekken van gegevens die noodzakelijk zijn voor de zogeheten indicatiestelling. Toestemming kan hiervoor namelijk niet als grondslag dienen, omdat de mensen om wie het gaat bij dit soort gegevens feitelijk niet in vrijheid toestemming kunnen geven.

Lees het volledige wetgevingsadvies

Lees ook het CBP-advies over het voorstel Wmo 2015

Lees ook het CBP-advies over het voorstel Jeugdwet

CBP Besluit in de Staatscourant van 15 januari 2014, cbpweb.nl
Het College bescherming persoonsgegevens (CBP) heeft besloten een verwerking van screeningsgegevens rechtmatig te verklaren. Deze verwerking houdt in dat de organisatie Curriculum Vitae Zeker B.V. (hierna CV-OK) persoonsgegevens opvraagt en verwerkt in het kader van (pre)employment screening. CV-OK verwerkt hierbij strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag ten behoeve van derden, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b, van de Wet bescherming persoonsgegevens.

Beroep tegen CBP-besluit
Belanghebbenden kunnen ingevolge de Algemene wet bestuursrecht beroep instellen bij de rechtbank tegen het besluit van het CBP om de beschreven verwerking rechtmatig te verklaren. De termijn vangt aan met ingang van de dag na bekendmaking van het besluit in de Staatscourant, nr. 690, 15 januari 2014. Het besluit en de onderliggende stukken liggen ter inzage van maandag t/m vrijdag tussen 10.00 uur en 16.00 bij het CBP, Juliana van Stolberglaan 4-10 te Den Haag. U dient hiervoor een afspraak te maken. Ook is het besluit te downloaden via bovenstaande link.

Prejudiciële vragen HvJ EU 8 oktober 2012, zaak C-446/12 t/m C-449/12 (Willems e.a.)
In zaak C-446/12 gaat het om verzoeker W.P. Willems die een paspoortaanvraag heeft ingediend bij de burgemeester van zijn woonplaats Nuth. Hij weigert echter zijn vingerafdrukken te laten afnemen. Zijn aanvraag wordt (besluit van 22-06-2010) niet in behandeling genomen, bezwaar (22-07-2010) en beroep bij de rechtbank 29-08-2011) afgewezen. Verzoeker gaat in hoger beroep bij de Raad van State.
Verzoeker is van mening dat het vereiste in de paspoortwet om vingerafdrukken in het paspoort op te nemen in strijd is met zijn grondrecht bescherming persoonsgegevens (in zowel handvest als EVRM). Zijn grote bezwaar is de opslag van de vingerafdrukken in zowel het paspoort als in het register dat voor het opslaan van de vingerafdrukken wordt ingericht en het verlies van controle over zijn gegevens. Willems reist vaak naar landen waar corruptie heerst en moet zijn paspoort dan ook regelmatig afgeven, met alle risico’s van dien. Hij stelt schade te lijden door het feit dat hij nu niet buiten de EU kan reizen.

De Raad van State heeft een aantal gelijkluidende zaken op de plank liggen. Vier ervan worden hier aan het HvJEU voorgelegd. De vragen zijn niet identiek, zie bijvoorbeeld de vragen in de zaak C-447/12 waar het om de aanvraag van een identiteitsbewijs gaat. Alleen de vragen in C-446/12 worden hier opgenomen:

1. Is artikel 1, tweede lid, van Verordening (EG) 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (PB L 385, blz. 1), zoals gewijzigd bij Verordening (EG) nr. 444/2009 van het Europees Parlement en de Raad van 28 mei 2009 tot wijziging van Verordening (EG) nr. 2252/2004 (PB L 142, blz. 1), geldig in het licht van de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie en artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden?
2. Indien het antwoord op vraag 1 inhoudt dat artikel 1, tweede lid, van Verordening (EG) 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (PB L 385, blz. 1), zoals gewijzigd bij Verordening (EG) nr. 444/2009 van het Europees Parlement en de Raad van 28 mei 2009 tot wijziging van Verordening (EG) nr. 2252/2004 (PB L 142, blz. 1) geldig is, moet artikel 4, derde lid, van de Verordening, in het licht van de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie, artikel 8, tweede lid, van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en artikel 7, aanhef en onder f, van de Privacyrichtlijn gelezen in verbinding met artikel 6, eerste lid, aanhef en onder b, van die richtlijn zo worden uitgelegd dat ter uitvoering van deze Verordening door de lidstaten wettelijk dient te worden gewaarborgd dat de op grond van deze Verordening verzamelde en opgeslagen biometrische gegevens niet voor andere doeleinden mogen worden verzameld, verwerkt en gebruikt dan voor de afgifte van het document?

In zaak C-447/12 is verzoeker H.J. Kooistra te Terkaple (Friesland). Hij vraagt afgifte van een NL identiteitskaart en ook deze aanvraag wordt niet in behandeling genomen. Hij weigert een gelaatsfoto en vingerafdrukken af te staan omdat hij bezwaar heeft tegen de opslag van die gegevens. De zaak verloopt verder procedureel hetzelfde als C-446/12. Er wordt in deze zaak een extra vraag gesteld omdat het om een identiteitskaart gaat.
In zaak C-448/12 is verzoeker M. Roest te Amsterdam wiens aanvraag voor een paspoort (beroep bij de Rb) in april 2012 wordt afgewezen. De vragen zijn dezelfde als in C-446/12.
In zaak C-449/12 is verzoeker L.J.A. van Luijk te Den Haag. De voor hem afwijzende uitspraak dateert van maart 2011.

Brief Minister BZ Kamerstukken II, 2013-2014, 26 643, nr. 301 en Bijlage bij de kabinetsvisie op de aanpak van identiteitsfraude
Op 10 april 2013 had ik overleg met de vaste commissie voor Binnenlandse Zaken over de toekomstbestendigheid van de identiteitsinfrastructuur. De deelnemers aan dat overleg deelden het besef dat identiteitsfraude een serieus en groeiend probleem is. Er was steun voor de gepresenteerde maatregelen. Tegelijkertijd bestond het beeld dat de aanpak wat gefragmenteerd was. Met deze brief wil ik namens het kabinet een integrale visie op de aanpak van identiteitsfraude delen met uw Kamer. Deze visie hangt samen met de Rijksbrede aanpak van fraude, waarover u door de Minister van V&J wordt geïnformeerd. Het kabinet biedt u deze visie op de aanpak van identiteitsfraude samen aan met de eerste monitor «Identiteit in Cijfers»1. Doel is om die monitor jaarlijks op te stellen, om een altijd actueel en met de jaren steeds scherper inzicht te hebben in ontwikkelingen op het gebied van identiteit en identiteitsfraude.

Prejudiciële vragen aan HvJ EU 6 november 2013, zaak C-568/13 (Azienda Ospedaliero Universitaria di Careggi-Firenze tegen Data Medical Service) - dossier
Gegevensverwerking. Aanbestedingsrecht. De zaak betreft de openbare aanbesteding in 2005, uitgeschreven door de Italiaanse Regio Lombardia, van het verwerken van (medische) gegevens voor externe kwaliteitsbeoordeling en het verstrekken van controlemateriaal voor een periode van drie jaar. Criterium was de economisch voordeligste offerte. De opdracht wordt op basis daarvan gegund aan de Azienda Ospedaliero-Universitaria di Careggi (AOUC); haar prijs is 59% lager dan die van de andere. Data Medical Service (DMS) heeft ook ingeschreven en eindigt als tweede. Zij start een procedure omdat zij van mening is dat AOUC niet had mogen deelnemen aangezien zij een openbaar lichaam is. Zij wordt in het gelijk gesteld; in de Italiaanse regelgeving (Wetboek van overeenkomsten) is het voor openbare lichamen daadwerkelijk verboden deel te nemen aan een procedure voor het plaatsen van een overheidsopdracht. Zij kunnen een opdracht slechts onder bepaalde voorwaarden bij wege van rechtstreekse plaatsing verkrijgen. AOUC komt op tegen die beslissing omdat zij meent dat het begrip ondernemer daarin zo extensief is uitgelegd dat daaronder ook de op bedrijfsmatige leest geschoeide openbare lichamen vallen.

De verwijzende Italiaanse rechter (RvS) stelt aller allereerst vast dat er al enkele jaren verstreken zijn en de opdracht inmddels al volledig is uitgevoerd. De AOUC heeft echter aangegeven dat zij groot belang heeft bij een uitspraak, ook om eventueel nog een schadevergoeding te kunnen eisen. Gezien de evolutie binnen de steeds meer op bedrijfsmatige leest geschoeide openbare lichamen moet er een juiste afbakening van het communautaire begrip ondernemer geformuleerd worden. Hij legt het HvJEU de volgende vragen voor:

1) Staat artikel 1 van richtlijn 50/1992, mede gelezen tegen de achtergrond van het latere artikel 1, lid 8, van richtlijn 18/2004, in de weg aan een interne regeling die aldus werd uitgelegd dat rekwirante in de onderhavige zaak, als ziekenhuisbedrijf dat naar de aard ervan een op bedrijfsmatige leest geschoeid openbaar lichaam is, van deelneming aan de aanbestedingen wordt uitgesloten?
2) Staat het Unierecht op het gebied van overheidsopdrachten – in het bijzonder de algemene beginselen van vrije mededinging, non-discriminatie en evenredigheid – in de weg aan een nationale regeling die een rechtssubject als het ziekenhuisbedrijf dat rekwirante in de onderhavige zaak is, dat op vaste basis overheidsgeld ontvangt en rechtstreeks is belast met de openbare gezondheidsdienst, toestaat uit die situatie een doorslaggevend concurrentievoordeel te halen ten opzichte van andere ondernemers – zoals blijkt uit de omvang het prijsverschil – zonder dat tegelijkertijd wordt voorzien in maatregelen om een dergelijke distorsie van de mededinging te voorkomen?

CBP Rapport 12 november 2013, z2013-00290.
Uit het persbericht: Erdee Media B.V, uitgever van onder meer het Reformatorisch Dagblad en het tijdschrift Terdege, heeft zónder toestemming van abonnees hun naam- en adresgegevens aan andere partijen verstrekt voor directmarketingdoeleinden. Dat concludeert het College bescherming persoonsgegevens (CBP) na onderzoek. Erdee Media handelt hiermee in strijd met de Wet bescherming persoonsgegevens (Wbp). Deze zaak draait om de bescherming van bijzondere persoonsgegevens, namelijk gegevens over iemands godsdienst, waarvoor strenge wettelijke eisen gelden. Deze gegevens mogen alleen met uitdrukkelijke toestemming van betrokkenen worden verwerkt. Als het CBP constateert dat Erdee Media B.V. de overtreding niet beëindigt, kan het CBP handhavend optreden.

​Uit verschillende communicatiemiddelen van Erdee Media B.V. wordt duidelijk dat de lezers van het Reformatorisch Dagblad en Terdege volgens Erdee Media B.V. behoren tot de gereformeerde gezindte. Erdee Media B.V. stelt via onder meer haar website tegenover (potentiële) adverteerders dat de verschillende media van Erdee Media B.V. volop mogelijkheden bieden als adverteerders de ‘gereformeerde gezindte’ willen bereiken. Het label ‘behorende tot de gereformeerde gezindte’ zorgt voor een rechtstreeks verband tussen de naam- en adresgegevens van de abonnees en gegevens over hun godsdienst. De verstrekking van de abonneegegevens moet dan ook worden aangemerkt als een verwerking van bijzondere persoonsgegevens.

Bijzondere persoonsgegevens
Voor de verwerking van bijzondere persoonsgegevens geldt een wettelijk verbod. Dit betekent voor Erdee Media B.V. dat verstrekking van abonneegegevens aan derde partijen voor direct-marketingdoeleinden slechts rechtmatig kan zijn als de abonnees hiervoor hun uitdrukkelijke toestemming hebben gegeven. Het CBP heeft geconcludeerd dat Erdee Media B.V. geen toestemming heeft gevraagd en daarom met de verstrekking van de gegevens in strijd met de wet handelt.

CBP nieuw besluit 19 december 2013.
Uit het persbericht: Bij uitspraak van de Rechtbank Amsterdam van 13 november 2013 [hier] is het besluit van het College bescherming persoonsgegevens (CBP) tot afgifte van een goedkeurende verklaring voor de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars met bijbehorend Protocol Materiële Controle (d.d. 13 december 2011) van Zorgverzekeraars Nederland vernietigd. De Rechtbank Amsterdam heeft in die uitspraak een aantal beroepsgronden tegen de afgifte van die goedkeurende verklaring zoals aangevoerd door de Stichting Koepel van DBC-vrije Praktijken van Psychotherapeuten en Psychiaters gegrond verklaard. Zorgverzekeraars Nederland heeft op 17 december 2013 hoger beroep ingesteld tegen de uitspraak van de Rechtbank Amsterdam bij de Afdeling Bestuursrechtspraak van de Raad van State.

De rechtbank Amsterdam heeft het CBP een termijn van zes weken gesteld voor het nemen van een nieuw besluit. In die termijn heeft Zorgverzekeraars Nederland geen – aan de uitspraak van de Rechtbank Amsterdam – aangepaste versie van de Gedragscode ter beoordeling aan het CBP voorgelegd. Het instellen van hoger beroep door Zorgverzekeraars Nederland heeft geen schorsende werking ten aanzien van de door de Rechtbank Amsterdam gestelde termijn voor het nemen van een nieuw besluit door het CBP.

Tegen die achtergrond heeft het CBP op 19 december 2013 met inachtneming van de uitspraak van de Rechtbank Amsterdam een nieuw besluit genomen, houdende afwijzing van het verzoek van Zorgverzekeraars Nederland tot afgifte van een goedkeurende verklaring voor de Gedragscode.
Dit besluit wordt openbaar gemaakt door plaatsing van deze mededeling en het besluit op de website van het CBP en door plaatsing van het besluit in de Staatscourant.

SMART Privacy - Actualiteiten internetrecht 28 november 2013
Paper ingezonden door Lars Leemeijer en Robert Kreuger, Vrije Universiteit Amsterdam.
SMART devices verzamelen een enorme hoeveelheid data waaronder het e-mailadres van de gebruiker, locatiegegevens, contactlijsten, agenda en foto’s. Deze gegevens worden gekoppeld aan een uniek ID nummer van het SMART device. Tegelijkertijd is sprake van een ontwikkeling waarbij (persoonlijke) data wordt prijsgegeven in ruil voor (gratis) diensten. Het behoeft weinig uitleg dat dit privacyrechtelijke problemen met zich meebrengt.

In deze paper staat de impact van SMART devices op de persoonlijke levenssfeer centraal. De volgende hoofdvraag wordt beantwoord: Welke privacyrechtelijke normen moeten van toepassing zijn op Apps? Doel is te komen tot een global approach. Om de centrale probleemstelling te beantwoorden wordt in paragraaf 1 het begrip privacy uitgelicht. Vervolgens wordt in paragraaf 2 de ontwikkeling rondom SMART devices beschreven. In paragraaf 3 wordt een aanzet gedaan tot een global approach.

Lees hier de volledige versie.

CBP publiceert onderzoeken gebruik en uitwisseling patiëntgegevens door apothekers
Uit de Mededeling: Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoeken naar de verwerking van medische gegevens door apothekers overtredingen van de wet geconstateerd. Apothekers zijn net als andere zorgverleners gebonden aan het medisch beroepsgeheim. Zij hebben de plicht om hun patiëntgegevens vertrouwelijk te behandelen, adequaat te beschermen en te beveiligen. Dat geldt zowel intern als extern richting derden. Het CBP heeft geconstateerd dat alle, steekproefsgewijs onderzochte apothekers op verschillende punten tekortschoten. Zo bleken vier onderzochte apothekers in strijd met hun medisch beroepsgeheim patiëntgegevens te hebben verstrekt aan een fabrikant van incontinentiemateriaal. Vier andere apothekers bleken tijdens een onderzoek naar de beveiliging van de toegang van patiëntgegevens niet alle benodigde maatregelen te hebben genomen die gelden voor een adequate beveiliging van patiëntgegevens.

Inmiddels zijn de meeste overtredingen beëindigd. Ten aanzien van de geconstateerde overtredingen die nog openstaan in het kader van de toegangsbeveiliging, hebben de betrokken apothekers aangegeven dat deze binnen afzienbare tijd zullen zijn beëindigd. De bescherming van medische gegevens is een van de speerpunten van het CBP. De toezichthouder zal de komende tijd controleren of alle geconstateerde overtredingen in de apothekersbranche zijn beëindigd.

​Profielen van incontinentiepatiënten
Het CBP heeft bij vier apotheken onderzoek gedaan naar de verwerking van medische persoonsgegevens ten behoeve van het bepalen van patiëntprofielen met betrekking tot incontinentiemateriaal. Het bepalen van deze patiëntprofielen werd uitbesteed aan een eveneens door het CBP onderzochte derde partij, te weten een fabrikant van incontinentiemateriaal.
Het CBP constateerde dat de apothekers onvoldoende waarborgen hadden getroffen om de patiëntgegevens te beschermen. Zo ontbrak een zogeheten bewerkersovereenkomst tussen de apotheken en de fabrikant waarin afspraken opgenomen moeten zijn over onder meer de beveiliging van de gegevens en het doel waarvoor de bewerker de verschillende gegevens verwerkt. Inmiddels heeft de fabrikant met de onderzochte apothekers met wie nog wordt samengewerkt een bewerkersovereenkomst gesloten waardoor de overtredingen op dit punt zijn beëindigd. Uit het onderzoek bleek ook dat niet alle apothekers aan alle patiënten toestemming hebben gevraagd om hun patiëntgegevens door te geven aan de fabrikant. Dat was in strijd met de wet. Deze overtredingen zijn inmiddels beëindigd omdat deze patiënten alsnog toestemming hebben gegeven en de gegevens van patiënten die geen toestemming hebben gegeven, zijn vernietigd.

Uitwisseling gegevens
Uit het onderzoek naar de beveiliging van de toegang tot patiëntgegevens bleek dat vier (andere) apothekers niet alle vereiste maatregelen hebben genomen om te zorgen dat alleen bevoegde personen toegang hebben tot hun patiëntgegevens. Dat geldt bijvoorbeeld voor de eis van de zogeheten twee-factor authenticatie (bijvoorbeeld een chipcard in combinatie met een pincode) voor toegang tot het systeem. De apothekers bleken enkel gebruik te maken van wachtwoorden om in te loggen en dat is onvoldoende. Twee apothekers hebben aangegeven maatregelen te hebben genomen waardoor de overtredingen binnen afzienbare tijd zullen zijn beëindigd. Een apotheker heeft na de vaststelling van het onderzoeksrapport laten weten dat de overtreding inmiddels is beëindigd. Het CBP zal binnenkort controleren in hoeverre de geconstateerde overtredingen nog voortduren.

HvJ EU 12 december 2013, zaaknr. C-486/12 (X) - dossier
Prejudiciële vragen gesteld door Hof ’s-Hertogenbosch.
Uitlegging van artikel 12, sub a, tweede streepje, van richtlijn 95/46/EG. 79 lid 2 Wet GBA. Recht op toegang tot gegevens. Verstrekking van de gegevens die zijn verwerkt. Begrip "Verlening van toegang tot de gegevens". Inning van leges. Heffing van bovenmatige kosten.

Het Hof verklaart voor recht:

1) Artikel 12, sub a, van richtlijn 95/46/EG van het Europees Parlement en de Raad van du 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, moet in die zin worden uitgelegd dat het zich er niet tegen verzet dat voor de verstrekking van persoonsgegevens door een overheidsinstantie kosten in rekening worden gebracht.

2) Artikel 12, sub a, van richtlijn 95/46 moet in die zin worden uitgelegd dat, teneinde te waarborgen dat de ter zake van de uitoefening van het recht van toegang tot persoonsgegevens in rekening gebrachte kosten niet bovenmatig zijn in de zin van deze bepaling, het bedrag ervan niet mag uitgaan boven de kostprijs van de verstrekking van die gegevens. Het staat aan de nationale rechter een en ander na te gaan gelet op de omstandigheden van het hoofdgeding.

De gestelde vragen:

1) Wordt voldaan aan de in artikel 12, [sub a,] tweede gedachtestreepje, van richtlijn [95/46/EG] bedoelde verstrekking van de gegevens, die zijn verwerkt, door het verlenen van inzage (op de voet van artikel 79, lid 2, van de Wet GBA)?
2) Staat artikel 12, [sub a,] van [deze] richtlijn in de weg aan de heffing van leges ter zake van de verstrekking van persoonsgegevens, die zijn verwerkt, door middel van een afschrift uit de GBA?
3) Zo vraag [2] ontkennend moet worden beantwoord: Is de heffing van onderhavige leges bovenmatig als bedoeld in artikel 12, [sub a,] van [deze] richtlijn?