Privacy  

Prejudiciële vragen aan HvJ EU 22 oktober 2012, zaak C-473/12 (Beroepsinstituut van vastgoedmakelaars (BIV) tegen Immo 9 BVBA) - dossier

Het Beroepsinstituut van vastgoedmakelaars BIV waakt over de integriteit van de beroepsgroep die, net als in NL, een beschermde titel voert. Zij vraagt de rechtbank om bepaalde handelingen in strijd met de wet te verklaren en zo ongewenste vastgoedactiviteiten te kunnen stoppen. Om belastende gegevens te verzamelen maakt BIV gebruik van privédetectives. In 2010 heeft het Hof van Beroep te Bergen al geoordeeld dat een door een detective opgesteld verslag gegevens bevatte die in strijd zijn met de Belgische wet van 8 december 1992 (tot bescherming van de persoonlijke levenssfeer). Deze wet legt (onder meer aan) detectives verplichtingen op, maar verzoekster stelt dat indien deze wet strikt wordt toegepast een privédetective zijn werk niet meer kan doen. De rechter in eerste instantie (Rb Charleroi) vraagt zich af of hier strijd is met het gelijkheidsbeginsel, en legt het Grondwettelijk Hof de volgende vraag voor:

„Schendt de wet van 8 december 1992 ‚tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens’ het grondwettelijk[e] gelijkheidsbeginsel, door de overeenkomstig de wet van 19 juli 1991 ‚tot regeling van het beroep van privédetective’ erkende privédetectives niet op te nemen in de uitzonderingen die zij in de paragrafen 3 tot 7 van artikel 3 ervan opsomt voor bepaalde categorieën van beroepen of instellingen waarvan de activiteit door de bepalingen van de wet zou kunnen worden geraakt, waarbij de erkende privédetectives van hun kant zijn onderworpen aan de verplichtingen die zijn vervat in artikel 9 van de wet, dat tot gevolg kan hebben dat hun activiteit gedeeltelijk onwerkzaam wordt?”

Het Grondwettelijk Hof realiseert zich dat het gaat om het juiste evenwicht tussen in het Handvest beschermde grondrechten en legt, alvorens de vraag te beantwoorden, de volgende drie vragen voor aan het HvJEU:

1. Dient artikel 13, lid 1, sub g, in fine, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus te worden geïnterpreteerd dat het de lidstaten vrij staat al dan niet in een uitzondering te voorzien op de in artikel 11, lid 1, bedoelde onmiddellijke informatieplicht, indien dit noodzakelijk is ter bescherming van de rechten en vrijheden van anderen of zijn de lidstaten ter zake aan beperkingen onderworpen?

2. Vallen de beroepsactiviteiten van privédetectives, die door het interne recht worden geregeld en worden uitgeoefend ten dienste van overheden die ertoe zijn gemachtigd elke inbreuk op de bepalingen tot bescherming van een beroepstitel en tot organisatie van een beroep aan te klagen bij de gerechtelijke overheden, naar gelang van de omstandigheden, onder de uitzondering bedoeld in artikel 13, lid 1, sub d en g, in fine, van de voormelde richtlijn?

3. Is, indien het antwoord op de tweede vraag ontkennend zou zijn, artikel 13, lid 1, sub d en g, in fine, van de voormelde richtlijn verenigbaar met artikel 6, lid 3, van het Verdrag betreffende de Europese Unie, meer bepaald met het beginsel van gelijkheid en niet-discriminatie?

HR 27 november 2012, LJN BY0215 (bewakingscamera)

Strafrechtzaak. Beroep op bewijsuitsluiting. Vordering OvJ tot het verstrekken van gegevens, art. 126nd Sv. De HR herhaalt toepasselijke overweging uit HR LJN BL7688. In ’s Hofs overwegingen ligt als diens niet onbegrijpelijke vaststelling besloten dat degene die verantwoordelijk is voor het gebruik van de onderhavige beelden van de bewakingscamera deze beelden eigener beweging en op vrijwillige basis aan de politie heeft verstrekt, althans dat die persoon niet door de politie is gevraagd om op vrijwillige basis deze beelden aan de politie te verstrekken. Het oordeel van het Hof dat in een zodanig geval geen vordering a.b.i. art. 126nd Sv is vereist, is juist. De HR overweegt nog het volgende. Het in de overwegingen van het Hof omschreven geval heeft klaarblijkelijk geen betrekking op verwerking van persoonsgegevens in de vorm van overdracht van zulke gegevens door het ene bestuursorgaan aan het andere. Daarom zou art. 8.(f) Wet bescherming persoonsgegevens (Wbp) geen grondslag kunnen vormen voor het ter beschikking van de opsporingsinstantie stellen van het desbetreffende beeldmateriaal. Voor dit ter beschikking van de opsporingsinstantie stellen van het d.m.v. beveiligingscamera’s verkregen beeldmateriaal zou degene die daartoe toegang heeft (de verantwoordelijke of bewerker in de zin van art. 1 (d/e) Wbp) onder omstandigheden wel een grondslag kunnen ontlenen aan het bepaalde in art. 43 jo. art. 9.1 Wbp.

3.1. Sinds de verklaringen van aangever [betrokkene 1] (19 april 2010) en de verklaring van verbalisant [verbalisant 1] (12 augustus 2010) bij de rechter-commissaris weten wij dat de gang van zaken rond de verkrijging van het beeldmateriaal van de bewakingscamera van de flat aan de [a-straat] niet conform de regels is verlopen. Hierdoor werd afbreuk gedaan aan het recht op een eerlijk proces, inzet van opsporingsmiddelen vergt een voldoende wettelijke basis, tevens werd zijn recht op privacy (art. 8 EVRM) geschonden, nu hij zijn bezoek aan personen in het flatgebouw niet (vrijwillig, zonder vordering van het OM) in de openbaarheid wenste te (doen) brengen.

3.7. Bewijsuitsluiting kan als op grond van art. 359a, eerste lid, Sv voorzien rechtsgevolg uitsluitend aan de orde komen indien door de onrechtmatige bewijsgaring een belangrijk (strafvorderlijk) voorschrift of rechtsbeginsel in aanzienlijke mate is geschonden. Wat dat laatste betreft geldt dat de omstandigheid dat, naar aan het verweer ten grondslag is gelegd, verdachtes 'privacy is geschonden' doordat aan de afgifte van de beelden niet een vordering als bedoeld in art. 126nd Sv is voorafgegaan, hetgeen de Hoge Raad verstaat als een beroep op schending van het in art. 8 EVRM gegarandeerde recht op eerbiediging van de persoonlijke levenssfeer, niet zonder meer een inbreuk oplevert op de in art. 6 EVRM vervatte waarborg van een eerlijk proces (vgl. HR 7 juli 2009, LJN BH8889, NJ 2009/399). Ook bij bewijsuitsluiting gaat het overigens om een bevoegdheid van de rechter, waarvan de uitoefening in de eerste plaats moet worden beoordeeld in het licht van de wettelijke beoordelingsfactoren van art. 359a, tweede lid, Sv en van de omstandigheden van het geval (vgl. HR 30 maart 2004, LJN AM2533, NJ 2004/376).

Op andere blogs:
DirkzwagerIEIT (Hoge Raad introduceert aanvullende grondslag verwerking persoonsgegevens)

Daniëlle van der Zande, A penny for your privacy. An analysis of the reimbursements in privacy infringement procedures, masterscriptie Law & Technology, Universiteit van Tilburg.

Een bijdrage van Daniëlle van der Zande, LinkedIn.

Artikel 49 Wbp (Wet Bescherming Persoonsgegevens) geeft een betrokkene de mogelijkheid om immateriële schade te claimen na een privacyschending. Met de invoering van de Europese privacyverordening (naar verwachting in 2015) blijft deze mogelijkheid bestaan in artikel 77. Tot nu toe blijkt het in de praktijk voor betrokkenen lastig om op grond van artikel 49 Wbp immateriële schade te bewijzen. Voor zover bekend is slechts één claim toegewezen. Met de invoering van de nieuwe privacyverordening komt het Europese Hof van Justitie de bevoegdheid toe om uitleg te geven aan immateriële schade. Hoewel het Hof van Justitie in het verleden een andere uitleg heeft gegeven aan het begrip schade dan onze nationale rechters, kan het voor een betrokkene problematisch blijven om immateriële schade te bewijzen. Hierdoor wordt de kans op een adequate vergoeding ontnomen. Een lidstaat is aansprakelijk indien geen effectief rechtsmiddel wordt geboden (artikel 13 EVRM). Het is daarom van belang dat een betrokkene de kans heeft om succesvol immateriële schade te claimen.

In haar scriptie stelt Daniëlle van der Zande een raamwerk voor waarmee immateriële schade kan worden berekend. Dit raamwerk kan worden geïmplementeerd in de privacyverordening. Hierdoor ontstaat binnen Europa een uniforme toepassing over de toekenning en berekening van immateriële schade na een schending van privacy. Bovendien voorkomt een lidstaat aansprakelijkheid onder artikel 13 EVRM.

Uit't persbericht: Mylex lanceert ‘CookieLaw’, een Europese mobiele applicatie voor iOS (iPhone) en Android. De app is gericht naar agencies, webontwikkelaars, webwinkels en bedrijfsjuristen. Voor de Nederlandse markt werd beroep gedaan op de juridische expertise van ICTRecht.nl.

De nieuwe cookiewetgeving is ondertussen al even in het land. De Europese wetgeving werd op 5 juni omgezet via de Telecommunicatiewet (Wet van 19 oktober 1998 houdende regels inzake de telecommunicatie). Verwarring alom bij webwinkels, digitale agencies, webbedrijven en bedrijfsjuristen. Hoe de ‘cookiewet’ precies moet worden toegepast, lijkt niemand echt goed te weten. En hoe springt de online consument om met de cookie-­‐ informatie?

‘Cookies’ zijn kleine tekstbestanden die lokaal worden opgeslagen op de computer van de bezoeker. Ze worden gebruikt voor tal van doeleinden: het onthouden van instellingen (zoals bijvoorbeeld een taalkeuze), het vergaren van informatie, en het bezoekgedrag van de consument bijhouden (tracking cookies). Minder tevreden over dergelijke cookies was de Europese Unie, die al in 2009 besliste dat ‘toestemming’ een cruciale factor moest worden in de privacybescherming van de consument.

Laat dat begrip ‘toestemming’ nu net het grote struikelblok vormen. De Europese e-­‐Privacy Directive – niet meteen het beste voorbeeld van een duidelijke juridische tekst – laat de invulling over aan de lidstaten zelf. En net precies die vrijheid leidt tot tal van praktische-­‐ en interpretatieproblemen, overal in Europa. Neelie Kroes, Eurocommissaris, zette al eerder vraagtekens bij dit fenomeen. In een interview stelt ze: "Mijn ideaal is natuurlijk dat we in alle 27 lidstaten dezelfde interpretatie hebben van een voorstel. Ik kan niet uitleggen aan buitenlandse, potentieel geïnteresseerden in Europa dat je in het ene land anders behandeld wordt dan in het andere land".

“Nochtans is dit vandaag weldegelijk het geval”, stelt Ellen Bruwiere, marketing manager bij mylex. “Bij de creatie van de applicatie zagen we grote verschillen tussen de Europese lidstaten, maar evengoed tal van subtiele afwijkingen in interpretatie. Die interpretatieverschillen mogen dan juridisch als subtiel worden uitgelegd, in de praktijk leveren ze voor cross-­‐border handel grote moeilijkheden op.”

‘CookieLaw’, de mobiele applicatie, gidst de gebruiker door de verschillende Europese lidstaten, en geeft zowel een snel overzicht weer (“Quick overview”), als telkens de volledige wettekst (“Legal text”). Ook officiële ‘Cookie Guidances’ en video’s werden opgenomen in de applicatie.

De applicatie is Engelstalig, en is duidelijk geschikt voor een Europees nichepubliek. Maar weet de consument het eigenlijk wel? Onderzoek bij Nederlandse consumenten, uitgevoerd door GFK Retail, toont aan dat 63% van de consumenten weet wat een cookie is (of denkt te weten), 56% voor wat een cookie dient en 47% weet hoe de cookies te verwijderen.

Minder goed nieuws bij ‘third party’-­‐cookies. Daar weet 61% (en 74% van de vrouwen tegenover 48% mannen) niet wat dit inhoudt. Op de vraag of ze het bezwaarlijk vinden dat er gegevens worden bewaard via cookies, antwoordt 82% volmondig ja. Afsluitend: 90% van de respondenten geeft aan geïnformeerd te willen worden over cookies die een website of webshop bezoekt (BRON: Consumentenonderzoek Cookies, uitgevoerd door GfK Retail in opdracht van IMNetworks, https://spijkermat.nl/wp-­‐ content/uploads/SPKRMT_IMNetworks_cookies.jpg). Werk aan de winkel dus.

Waarom dit bundelen in een mobiele applicatie? “Er zijn tal van voordelen verbonden aan een mobiele applicatie, versus de klassieke website”, vervolgt Bruwiere. Het belangrijkste argument, naast de onmiddellijke beschikbaarheid van de informatie en de interactiviteit die alleen een applicatie kan bieden, is echter de ‘push’-­‐functie. Gebruikers worden immers automatisch en real-­‐ time op de hoogte gehouden: lidstaten die de Europese wetgeving omzetten, een nieuwe interpretatie of cookie-­‐gids, of een wijziging van de huidige implementatiewijze. De applicatie kan onmiddellijk aangepast worden, middels een achterliggend CMS of content management system. Zo krijgt de gebruiker altijd de meest actuele stand, zonder dat hij hiervoor telkens een nieuwsbrief moet ontvangen, of een duur juridisch abonnement moet afsluiten”.

Voor de Nederlandse informatie werd beroep gedaan op de expertise van het bureau ICTRecht.nl, gespecialiseerd in internetrecht. Wouter Dammers voorzag zijn commentaar in de applicatie.

De applicatie is gratis, en te downloaden in de App Store (Apple) of Google Play (Android). De iPhone-­‐versie werd geoptimaliseerd voor iOS6 en iPhone 5. De versie voor Android-­‐toestellen wordt binnen enkele weken gefinaliseerd. Downloaden – of inschrijven voor de Android-­‐versie – kan via https://cookieapp.eu.

Uit't persbericht van het CBP: Het College bescherming persoonsgegevens (CBP) heeft contact opgenomen met het Openbaar Ministerie (OM) naar aanleiding van berichtgeving in de media over het op internet plaatsen van beelden van getuigen van een misdrijf. Het OM heeft aangegeven in beginsel geen beelden van getuigen meer te publiceren. De Aanwijzing Opsporingsberichtgeving bevat regels voor de opsporingsberichtgeving van het OM. Het gaat daarbij primair om het opsporen van verdachten. Het publiceren van beelden van (toevallige) getuigen raakt aan hun persoonlijke levenssfeer terwijl zij op het plaatsen van de beelden geen invloed hebben. De risico’s en nadelen van publicatie kunnen voor de getuige buitengewoon groot zijn. Dit dient zeer zwaar te wegen bij de zorgvuldige afweging die moet plaatsvinden tussen het algemeen (opsporings)belang en het belang van de getuige.

SOLV-blog: Politie stopt met plaatsen foto's getuigen

Opinion of the European Data Protection Supervisor on the Commission's Communication on "Unleashing the potential of Cloud Computing in Europe".

121. As described in the Communication, cloud computing offers many new opportunities to businesses, consumers, and the public sector for the management of data through the use of remote external IT resources. At the same time, it presents many challenges in particular as to the appropriate level of data protection offered to data processed therein.

122. The use of cloud computing services raises a major risk of seeing responsibility evaporating in relation to processing operations carried out by cloud service providers, if the criteria for applicability of EU data protection law are not sufficiently clear and if the role and the responsibility of cloud service providers are defined or understood too narrowly, or are not implemented effectively. The EDPS emphasizes that the use of cloud computing services cannot justify a lowering of data protection standards as compared to those applicable to conventional data processing operations.

123. In this respect, the proposed Data Protection Regulation, as it has been put forward, would provide many clarifications and tools that would help ensure that a satisfactory level of data protection is complied with by cloud service providers offering their services to clients based in Europe, in particular:

- Article 3 would clarify the territorial scope of the EU data protection rules and broaden its scope so that cloud computing services would be covered;
- Article 4(5) would introduce a new element of controllership, that is "conditions". This would be in line with the developing trend according to which, in view of the technical IT complexity underlying the provision of cloud computing services, it is necessary to expand the circumstances in which a cloud service provider may be qualified as the controller. This would better reflect the real level of influence on the processing operations;
- the proposed Regulation would increase the responsibility and accountability of data controllers and processors, by introducing specific obligations such as data protection by design and by default (Article 23), data security breach notifications (Articles 31 and 32), and data protection impact assessments (Article 33). Furthermore, it would require controllers and processors to implement mechanisms to demonstrate the effectiveness of the data protection measures implemented (Article 22);
- Articles 42 and 43 of the proposed Regulation would allow a more flexible use of international data transfer mechanisms, to help cloud clients and cloud service providers adduce appropriate data protection safeguards for the
transfers of personal data to data centres or servers located in third countries;
- Articles 30, 31 and 32 of the proposed Regulation would clarify the obligations of controllers and processors regarding the security of processing and information requirements in case of data breaches, laying the basis for a comprehensive and cooperative approach to the management of security between the different actors in a cloud environment;
- Articles 55 to 63 of the proposed Regulation would reinforce cooperation of supervisory authorities and their coordinated supervision over cross-border processing operations, which is particular crucial in an environment such as cloud computing.

124. The EDPS nonetheless suggests that, after having taken into account the specificities of cloud computing services, further clarifications be made in the proposed Regulation on the following aspects:
- as concerns the territorial scope of the proposed Regulation, to amend Article 3(2)(a) to read "the offering of goods or services involving processing of personal data of such data subjects in the Union", or alternatively to add a new recital specifying that the processing of personal data of data subjects in the Union by non-EU based controllers offering services to EU based legal persons also falls within the territorial scope of the proposed Regulation;
- to add a clear definition of the notion of 'transfer', as stated in his Opinion on the Data Protection Reform package;
- to add a specific provision to clarify the conditions under which access to data stored in cloud computing services by non-EEA countries law enforcement bodies could be allowed. Such provision may also include the obligation for
the recipient of the request to inform and consult the competent supervisory authority in the EU in specific cases.

125. The EDPS also underlines that further guidance will be necessary from the Commission and/or from supervisory authorities (in particular through the future European Data Protection Board) on the following aspects:
- to clarify which mechanisms should be put in place to ensure verification of the effectiveness of the data protection measures in practice;
- to assist processors with the use of BCRs and how they can comply with applicable requirements;
- to provide best practices on issues such as controller/processor's responsibility, the appropriate retention of data in the cloud environment, data portability, and the exercise of data subjects' rights.

126. Furthermore, the EDPS acknowledges that codes of conduct drawn up by the industry and approved by the relevant supervisory authorities could be a useful tool to enhance compliance as well as trust among the various players.

127. The EDPS supports the development by the Commission, in consultation with supervisory authorities, of standard contractual terms for the provision of cloud computing services that respect data protection requirements, in particular:
- to develop model contractual terms and conditions to be included in the commercial terms of cloud computing service offerings;
- to develop common procurement terms and requirements for the public sector, taking into account the sensitivity of the data processed;
- to further tailor international data transfer mechanisms to the cloud computing environment, in particular by updating the current standard contractual clauses and by putting forward standard contractual clauses for the transfer of data from processors based in the EU to processors located outside the EU.

128. The EDPS underlines that appropriate consideration must be given to data protection requirements in the development of standards and certification schemes, in particular:
- to apply the principles of privacy by design and privacy by default in the development of the standards;
- to integrate data protection requirements such as purpose limitation and storage limitation in the standards' design;
- the obligations of providers to provide their clients with the information necessary to perform a valid risk assessment and the security measures they implemented, as well as alerts about security incidents.

129. Finally, the EDPS stresses the need to address the challenges raised by cloud computing at an international level. He encourages the Commission to engage in an international dialogue on the issues raised by cloud computing, including jurisdiction and access by law enforcement, and suggests that many of these issues could be addressed in different international or bilateral agreements, such as Mutual Assistance Agreements and also trade agreements. Global standards should be developed at international level to set forth minimum conditions and principles regarding the access to data by law enforcement bodies. He also supports the development by the supervisory authorities of effective international cooperation mechanisms, in particular as relates to cloud computing issues. 

Walking a Thin Line: The Regulation of EPGs, B. van der Sloot, JIPITEC, 2012-2, p. 138-147.

Due Prominence in Electronic Programme Guides, B. van der Sloot, IRIS Plus, 2012-5.

Google's Dead End, or: on Street View and the Right to Data Protection: An analysis of Google Street View's compatibility with EU data protection law, B. van der Sloot & F. Zuiderveen Borgesius, Computer Law Review International, 2012-4, p. 103-109.

From Data Minimization to Data Minimummization, B. van der Sloot, in: B. Custers, T. Calders, B. Schermer & T. Zarsky (eds.), Discrimination and Privacy in the Information Society. Data Mining and Profiling in Large Databases, Springer: Heidelberg 2012, p. 273-287. ISBN: 9783642304866.

CBP november 2012, Z2012-00068 (Albert Heijn B.V. in het kader van de AH Bonuskaart/het voordeelprogramma Mijn Bonus)

Aangekondigde maatregelen Albert Heijn
Albert Heijn heeft aangegeven dat de verwachting is dat zij begin 2013 op basis van hernieuwde informatie opnieuw opt-ins voor Mijn Bonus zal gaan vragen. Albert Heijn heeft toegezegd de Persoonsgebonden Bonuskaarthouder alsnog adequaat te informeren en (opnieuw) een algehele opt-in te vragen. Albert Heijn heeft, naar aanleiding van de voorlopige bevindingen, de informatievoorziening in het Privacy- en Cookiebeleid aangepast op de (her)introductie van het Mijn Bonusprogramma. Nadere informatie waaruit blijkt op welke wijze de betrokkenen expliciet om toestemming wordt gevraagd, is nog niet van Albert Heijn ontvangen. De hernieuwde informatievoorziening is, mede gelet op stopzetting van Mijn Bonus, niet door het CBP beoordeeld.

Anonieme Bonuskaart
Van Persoonsgebonden en Anonieme Bonuskaarthouders legt Albert Heijn - gekoppeld aan het unieke AH Bonuskaartnummer - aankoopgegevens vast in de Albert Heijn systemen, zoals het AH filiaal, de gekochte artikelen en bijbehorende bedragen en de datum en tijd waarop de transactie heeft plaatsgevonden.

Van de in totaal ongeveer [VERTROUWELIJK: (...)] door Albert Heijn uitgegeven AH Bonuskaarten (actieve AH Bonuskaarthouders plus verloren, versleten of weggegooide en weer vervangen AH Bonuskaarten) zijn er [VERTROUWELIJK: (...)] anoniem ([VERTROUWELIJK: (...)]). Het CBP heeft vastgesteld dat Albert Heijn persoonsgegevens verwerkt van Persoonsgebonden en Anonieme Bonuskaarthouders.

Bij de registratie van een Persoonsgebonden Bonuskaart worden, naast het AH Bonuskaartnummer, in alle gevallen direct identificeerbare persoonsgegevens (NAWgegevens) vastgelegd van de Persoonsgebonden Bonuskaarthouder en is sprake van een identificeerbare persoon.

Klanten die hun persoonsgegevens niet bekend willen maken, wordt door Albert Heijn de mogelijkheid geboden om gebruik te maken van Bonuskortingen zonder NAW-gegevens aan Albert Heijn op te hoeven geven (de Anonieme Bonuskaart). Het CBP heeft vastgesteld dat de gegevens van Anonieme Bonuskaarthouders (doorgaans) toch direct of indirect te herleiden zijn tot individuele personen. In het geval van gebruik van een Anonieme Bonuskaart, in combinatie met:
- een Mijn ah.nl account en/of gebruik van de AH Boodschappen webwinkel 
- een Mijn ah.nl account en gebruik van Appie
- een Air Mileskaart
- vragen en klachten in de winkel inzake betalingen
blijkt een koppeling mogelijk tussen het Anonieme Bonuskaartnummer en (andere) persoonsidentificerende gegevens (bijvoorbeeld NAW-gegevens en/of e-mailadres).

Circa [VERTROUWELIJK: (...)] AH Bonuskaarthouders gebruiken de hiervoor genoemde online diensten van Albert Heijn. Van de circa [VERTROUWELIJK: (...)] AH Bonuskaarthouders die gebruik maken van zulke online diensten, zijn er [VERTROUWELIJK: (...)] Anonieme Bonuskaarthouders (dat is [VERTROUWELIJK: (...)] van alle Anonieme Bonuskaarthouders).

Albert Heijn geeft aan een Anonieme Bonuskaart met bij haar bekende NAWgegevens en/of e-mailadres wel anoniem te blijven behandelen. Zolang echter een koppeling mogelijk is tussen het Anonieme Bonuskaartnummer en direct of indirect identificerende persoonsgegevens, is sprake van (in)directe herleidbaarheid tot een individuele persoon en is de Wbp van toepassing. Dit betekent dat Albert Heijn met betrekking tot de Anonieme Bonuskaarthouder moet voldoen aan de verplichtingen uit de Wbp, waaronder de artikelen 33 jo. 34 (informatieplicht) en 35 (inzagerecht).

De Anonieme Bonuskaarthouder moet zicht (kunnen) hebben op het aantal en de soort verwerkingen die plaatsvinden met zijn persoonsgegevens en de (lange termijn)gevolgen daarvan. Bij gebrek aan kennis over de gegevensverwerking kan hij zijn rechten, zoals het vragen om inzage, niet uitoefenen.

Doordat Albert Heijn de Anonieme Bonuskaarthouders (aanvankelijk) niet, althans onvolledig en onvoldoende duidelijk nader informeerde over de gevallen waarin de Anonieme Bonuskaarthouder zijn anonieme status (alsnog) verliest (dat wil zeggen: wanneer sprake is van verwerking van persoonsgegevens in de zin van de Wbp) alsmede over de categorieën van verwerkte persoonsgegevens (naast aankoopgegevens) teneinde tegenover de betrokkenen een behoorlijke en zorgvuldige verwerking te waarborgen, heeft Albert Heijn in strijd gehandeld met artikel 33 jo. 34 van de Wbp.

Albert Heijn heeft, voorafgaand aan het rapport van voorlopige bevindingen van het CBP, ten aanzien van gebruik van een Anonieme Bonuskaart, in combinatie met gebruik van de AH Boodschappen webwinkel en ten aanzien van vragen en klachten in de winkel inzake betalingen, in een nieuw privacybeleid vermeld dat de Anonieme Bonuskaart dan “strikt genomen niet langer meer "anoniem" is”. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn haar informatievoorziening over gebruik van een Anonieme Bonuskaart, in combinatie met een Mijn ah.nl account, bepaald gebruik van Appie, en koppeling met een Air Mileskaart aangepast. In haar nieuwe Privacy- en Cookiebeleid maakt Albert Heijn duidelijk dat de Anonieme Bonuskaarthouder (ook) in de hiervoor genoemde gevallen zijn anonieme status verliest en welke categorieën van gegevens Albert Heijn in dat geval verwerkt. Hierdoor handelt Albert Heijn niet langer in strijd met artikel 33 jo. 34 van de Wbp.

Doordat Albert Heijn de Anonieme Bonuskaarthouders niet op verzoek mededeelde of en zo ja, welke hen betreffende persoonsgegevens zij verwerkt, ontnam Albert Heijn de Anonieme Bonuskaarthouders hun inzagerecht en heeft zij daarmee voorts in strijd gehandeld met artikel 35 van de Wbp. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn haar inzagebeleid aangepast, in die zin dat Albert Heijn ook voldoet aan inzageverzoeken van Anonieme Bonuskaarthouders van wie zij identificerende gegevens heeft. Hierdoor handelt Albert Heijn niet langer in strijd met artikel 35 van de Wbp.

Mijn Bonus
Op 3 januari 2012 heeft Albert Heijn een nieuw voordeelprogramma aangekondigd voor Persoonsgebonden Bonuskaarthouders, Mijn Bonus. Het ging om persoonlijke Bonusaanbiedingen/-kortingen, gebaseerd op aankoopgegevens in aanvulling op de bestaande algemene Bonusaanbiedingen. Persoonsgebonden Bonuskaarthouders hebben een brief ontvangen van Albert Heijn met een korte toelichting op Mijn Bonus. Daarmee samenhangend is de privacyverklaring met betrekking tot de AH Bonuskaart gewijzigd.

Albert Heijn heeft in de periode 2010 tot en met 2012 op verschillende manieren gepersonaliseerde marketingactiviteiten verricht. (De pilot voor) Mijn Bonus is medio februari 2012 stopgezet, mede naar aanleiding van dit onderzoek van het CBP.

(De pilot voor) Mijn Bonus zag enerzijds op korting op producten die de Persoonsgebonden Bonuskaarthouder veel koopt. Anderzijds op korting op producten die andere klanten kopen die vergelijkbare producten kopen, maar die de Persoonsgebonden Bonuskaarthouder tot dan toe nog niet heeft gekocht. Van de producten in de aanbieding werden dan de artikelen geselecteerd die het beste aansluiten op de bekende aankoopgegevens van de Persoonsgebonden Bonuskaarthouder (uitkomstwaarden op basis van koopgedrag).

Albert Heijn verwerkte in dit kader onder andere het Persoonsgebonden Bonuskaartnummer en NAW-gegevens, met aankoopgegevens.

Albert Heijn baseerde deze gegevensverwerking voor het doeleinde van het maken van persoonlijke analyses voor het doen van gepersonaliseerde aanbiedingen op ondubbelzinnige toestemming (artikel 8, aanhef en onder a, van de Wbp). Om te kunnen spreken van ondubbelzinnige toestemming dient te zijn voldaan aan de volgende criteria: een vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem betreffende persoonsgegevens worden verwerkt. De verantwoordelijke mag niet uitgaan van toestemming indien de betrokkene geen opmerkingen maakt over de gegevensverwerking ( ‘toestemming’ die wordt geacht voort te vloeien uit het uitblijven van actie of het stilzwijgen van de betrokkene). Het CBP heeft vastgesteld dat de toestemming niet aan deze criteria voldeed.

Uit het papieren registratie- en wijzigingsformulier en het online registratieformulier (webformulier) bleek onvoldoende duidelijk wat de gegevensverwerking behelsde. De toestemmingsvraag ‘Ik wil wel/niet door Albert Heijn op de hoogte worden gehouden van nieuws, persoonlijke aanbiedingen en speciale services voor Bonuskaarthouders’ respectievelijk ‘Albert Heijn mag mij informatie (zoals nieuws, persoonlijke aanbiedingen) toesturen’ was onvoldoende specifiek. Daaruit volgde dat niet voor elk verwerkingsdoeleinde/-element (het maken van persoonlijke analyses en het doen van gepersonaliseerde aanbiedingen) toestemming werd verkregen.

De verschillende elementen van de verwerking van persoonsgegevens en de categorieën van verwerkte persoonsgegevens waren niet althans onvoldoende begrijpelijk omschreven in het papieren registratie- en wijzigingsformulier, het online registratieformulier, het oude privacybeleid, de webpagina ah.nl/bonuskaart. Dit gold ook voor de Mijn Bonus brief van op of rond 3 januari 2012, met de woorden: ‘(informeren over/ontvangen van) persoonlijke aanbiedingen’, ‘om u te kunnen bereiken en om te bepalen of een service of aanbieding voor u interessant kan zijn. Bijvoorbeeld (…) korting op een product dat u regelmatig koopt’, ‘voor het verstrekken van (eventueel op basis van uw aankopen) kortingen en voordelen’ en ‘persoonlijke Bonusaanbiedingen, speciaal voor u geselecteerd’. De informatie was voorts fragmentarisch aangeboden, in die vijf documenten. Er was derhalve geen sprake van duidelijke, volledige, begrijpelijke en nauwkeurige informatie.

Albert Heijn heeft verklaard dat een opt-in is gevraagd middels een online registratieformulier, waarop het vakje ‘Ja’ al was aangevinkt. De verantwoordelijke mag niet uitgaan van toestemming indien de betrokkene geen opmerkingen maakt over de gegevensverwerking (oftewel: bij ‘toestemming’ die wordt geacht voort te vloeien uit het uitblijven van actie of het stilzwijgen van de betrokkene, zoals een vooraangevinkt vakje). Albert Heijn heeft ook zelf met zoveel woorden verklaard dat zij zich thans realiseert dat doordat het vakje al was aangevinkt de toestemming voor het doen van persoonlijke aanbiedingen niet goed was vormgegeven. Dit is voorafgaand aan het rapport van voorlopige bevindingen op de website gewijzigd in die zin dat het vakje niet langer vooraf is aangevinkt. Ten slotte was in veel gevallen het tijdsverloop tussen het moment van toestemmingverlening (soms zelfs vanaf 1998) en de gewijzigde werkwijze van algemene naar gepersonaliseerde marketingactiviteiten (wijze van verwerking van persoonsgegevens vanaf 2010) te groot. Albert Heijn diende in zo’n geval niet te volstaan met het aannemen van een impliciete toestemming voor de nieuwe wijze van verwerking van persoonsgegevens, maar had de Persoonsgebonden Bonuskaarthouder (opnieuw) expliciet om toestemming moeten vragen alvorens deze gewijzigde verwerking toe te passen. Albert Heijn heeft dit echter nagelaten.

Doordat geen sprake was van ondubbelzinnige toestemming beschikte Albert Heijn niet over een rechtsgeldige grondslag voor het verwerken van de persoonsgegevens die zijn verkregen met behulp van de Persoonsgebonden Bonuskaart. Met het verwerken van persoonsgegevens voor het doeleinde van het maken van persoonlijke analyses voor het doen van gepersonaliseerde aanbiedingen, heeft Albert Heijn daarom in strijd gehandeld met artikel 8 van de Wbp.

Het CBP heeft vastgesteld dat Albert Heijn ten tijde van het rapport van voorlopige bevindingen beschikte over de bestanden van de pilots in 2010 en 2011 ([VERTROUWELIJK: (...)]) waarop uiteindelijk een gepersonaliseerde marketing mailing werd gedaan. Naar aanleiding van het rapport van voorlopige bevindingen heeft Albert Heijn verklaard de mailbestanden met uitkomstwaarden van analyses onomkeerbaar te hebben verwijderd. Doordat (de pilot voor) Mijn Bonus is stopgezet en Albert Heijn niet meer beschikt over de achterliggende persoonsgegevens in deze bewaarde mailbestanden (het Persoonsgebonden Bonuskaartnummer, NAWgegevens en aankoopgegevens), handelt Albert Heijn niet langer in strijd met artikel 8 van de Wbp.

Op andere blogs:
CBP-web (Albert Heijn past privacybeleid ´Mijn Bonus´ aan na optreden CBP)
Nederlands Juridisch Dagblad (Albert Heijn past privacybeleid ´Mijn Bonus´ aan na optreden CBP)

Kantonrechter Rechtbank Rotterdam 2 november 2012, zaaknr. 1320252 CV EXPL 12-8002 (GayGroup B.V. tegen *** h.o.d.n. Feya Entertainment, La Belle)

Uitspraak ingezonden door Wouter Dammers en Arnoud Engelfriet, ICTRecht.

Algemene voorwaarden. Gay Group exploiteert de website Gay.nl, een platform voor dienstverlening gericht op homoseksuelen. *** organiseert feesten met als doelgroep homoseksuelen, heeft een Gay.nl-account aangemaakt en is daarmee akkoord gegaan met de algemene voorwaarden waar o.a. een spam/harvesten-bepaling in staat. *** heeft 378 berichten verstuurd met een wervende tekst voor haar Gay-minded dance event.

Voor vernietiging van het boetebeding ex 6:233 sub a BW omdat het onredelijk bezwarend zou zijn, zijn onvoldoende feiten en omstandigheden gebleken. Subsidiair beroep op 6:248 lid 2 BW slaagt evenmin. "Nu het feit dat *** procedeert met een toevoeging met de laagste eigen bijdrage, een indicatie oplevert dat haar financiële armslag beperkt is, ligt het in de rede dat het gewenste effect ook bij een lager op te leggen boetebedrag wordt bereikt. In die zin zal toewijzing van het gevorderde bedrag naar het oordeel van de kantonrechter leiden tot een onaanvaardbaar resultaat. Het gevorderde bedrag [red. €15.000] zal daarom worden gematigd tot €5.000."(r.o. 4.10)

4.6. (...) Niet valt in te zien dat en in hoeverre het beginnend ondernemerschap van *** en haar leeftijd van 22 jaar tot een ander oordeel zouden moeten leiden. *** heeft er zelf voor gekozen op deze leeftijd een eigen onderneming te beginnen.

4.7. Verder zij opgemerkt dat *** ondanks dat haar account werd geblokkeerd en door Gay Group via facebook en per e-mail is gewezen op het verschuldigd worden van een boete omdat zij e-mailberichten had verzonden op de website, via een nieuw account wederom e-mailberichten heeft verzonden. Dat *** ondanks de waarschuwing is doorgegaan is een omstandigheid die voor haar rekening en risico komt. Een en ander overziend, komt de kantonrechter dan ook tot het oordeel dat toepassing van het boetebeding in onderhavige geval naar maatstaven van redelijkheid en billijkheid niet onaanvaardbaar is.

Een bijdrage van Femke Vos, Louwers IP|Technology Advocaten.

Eerder verschenen in Automatiseringsgids 2012-11 (klik afbeelding voor vergroting van het kader). De Cookiewet is door de Eerste Kamer. Wedsitebezoekers zullen binnenkort vooraf om toestemming gevraagd moeten worden voor het gebruik van niet-functionele cookies. Dat geldt ook voor webanalysediensten, zoals het veelgebruikte Google Analytics. Hoe het toezicht geregeld gaat worden, is echter nog de vraag, concludeert Femke Vos.

Op 8 mei jl. ging de Eerste Kamer akkoord met de zogenaamde ‘Cookiewet’. Deze wet is gebaseerd op nieuwe Europese regelgeving die onder meer de privacyrechten van internetgebruikers moet versterken. De nieuwe Cookiewet treedt vrij snel in werking, waarschijnlijk al per 1 juli 2012.

Wat zijn cookies eigenlijk? Cookies zijn kleine tekstbestanden met informatie die een webserver naar een browser van de bezoeker van de website stuurt met de bedoeling dat deze informatie bij een volgend bezoek weer naar de webserver wordt teruggestuurd. De cookies worden opgeslagen op de pc van de bezoeker.

Er bestaan verschillende soorten cookies. Zo kunnen zij bijvoorbeeld worden gebruikt voor het onthouden van de gebruikersnaam, gekozen taalinstellingen of geplaatste bestellingen. Denk bij dat laatste aan het winkelmandje in het online bestelproces. Dat soort cookies worden ook wel aangeduid als functionele cookies.

Cookies kunnen echter ook worden gebruikt om informatie te verzamelen over de voorkeuren van websitebezoekers door bezoekers te volgen, de zogenaamde tracking cookies. Dit kan gebeuren door cookies die door de websitehouder worden gebruikt (first party cookies). Er kan echter ook gebruik worden gemaakt van cookies van andere partijen dan de websitehouder (third party cookies). Iedereen kent wel de Like-button van Facebook die op veel websites staat.

Het volgen van bezoekers beperkt zich overigens niet altijd tot het volgen van het bezoekgedrag van een gebruiker op een bepaalde website. Soms worden bezoekers zelfs over diverse websites gevolgd waarbij hun bezoekgedrag wordt vastgelegd. Denk daarbij bijvoorbeeld aan het geval dat je een website van een bepaalde vakantieaanbieder hebt bezocht. In de dagen daarna word je vervolgens op diverse websites geconfronteerd met advertenties van de betreffende aanbieder, maar ook met advertenties van andere vakantieaanbieders.

Dat laatste wordt door internetters nog wel eens als online stalking ervaren. Je kunt immers dagen of zelfs maanden ‘achtervolgd’ worden met advertenties van een product of dienst op basis van een enkel websitebezoek. Dat kan ook tot rare situaties leiden als een ander achter jouw pc heeft gezeten. Kreeg je voorheen met name reclame voor nieuwe auto’s of biermerken te zien, spitst de reclame zich plots toe op damesschoenen of zelfs maandverband. Dat is een van de redenen waarom er op Europees niveau nieuwe, strengere regels voor het gebruik van cookies zijn opgesteld.

Cookieregeling
Hoe luidt de huidige cookieregeling? Op basis van de huidige regels is het toegestaan om cookies te gebruiken als er aan de volgende voorwaarden is voldaan:

• De bezoeker van de website wordt vooraf voldoende geïnformeerd over het gebruik van cookies. Aan deze voorwaarden wordt in de praktijk overigens vaak niet voldaan.
• De bezoeker van de website wordt de mogelijkheid geboden om bezwaar te maken tegen het gebruik van cookies (de zogenaamde opt-out). Onder de huidige regeling kan de bezoeker deze opt-out benutten door zijn browserinstellingen aan te passen. In het verleden werden op die manier alle cookies geweigerd, ook de cookies die nodig zijn voor de technische werking van de website. Inmiddels bieden de grote browsers overigens ook de optie om alleen third party cookies te weigeren. De optie om first party cookies die niet-functioneel zijn te weigeren, ontbreekt echter nog.

Er geldt echter een uitzondering voor functionele cookies. Het gebruik van functionele cookies hoeft niet aan voornoemde voorwaarden te voldoen.

Wat gaat er veranderen? Onder de nieuwe Cookiewet is het gebruik van cookies alleen nog toegestaan als er vooraf toestemming is gegeven door de websitebezoeker (de zogenaamde opt-in). De bezoeker moet echter eerst duidelijk en volledig zijn geïnformeerd over het gebruik van de cookies, onder meer over de manier waarop de verzamelde informatie zal worden gebruikt.

Ook hier geldt een uitzondering voor functionele cookies. De informatieverplichting en opt-in geldt onder de nieuwe Cookiewet niet voor functionele cookies. Van functionele cookies is sprake als:
• de cookie nodig is voor de uitvoering van de communicatie (bijvoorbeeld het inloggen bij een bank);
• de cookie strikt noodzakelijk is voor de uitvoering van een dienst waar de bezoeker expliciet om heeft gevraagd (bijvoorbeeld het winkelwagentje bij onlinebestellingen).

Het vervelende is overigens dat toestemming op ieder moment ingetrokken kan worden.

Toestemming
In de praktijk zal er straks dus vooraf geïnformeerd moeten worden en toestemming moeten worden gevraagd voor het gebruik van cookies die niet-functioneel zijn. Let wel, voor webanalysediensten – zoals het veelgebruikte Google Analytics – zal ook vooraf toestemming moeten worden gevraagd. Dergelijke diensten maken namelijk gebruik van cookies om het bezoekgedrag bij te houden en vallen niet onder het begrip ‘functionele cookies’. Hetzelfde geldt bijvoorbeeld voor diensten die integratie van sociale media leveren en daarbij gebruik maken van cookies, zoals Addthis.com. Ook voor dit soort diensten is dus toestemming vereist. Verder is de nieuwe Cookiewet van toepassing op het volgen van internetters aan de hand van technische kenmerken van hun apparatuur (het zogenaamde ‘device fingerprinting’).

Er is inmiddels veel discussie geweest over de manier waarop toestemming moet worden gegeven. Voor het gebruikersgemak is het immers niet praktisch om bij ieder bezoek van een website waarbij een niet-functionele cookie wordt geplaatst, de bezoeker te confronteren met een pop-upscherm waarin om toestemming wordt gevraagd voordat de website wordt geopend. Toestemming door middel van de browserinstelling van de bezoeker zou de meest praktische en werkbare oplossing zijn.

De gezamenlijke Europese privacytoezichthouders hebben echter al laten weten dat de thans beschikbare browsers niet geschikt zijn om toestemming te verlenen in de zin van de nieuwe wetgeving. Op den duur zullen er overigens wel geschikte browsers op de markt komen, maar daar hebben websitehouders nu natuurlijk niets aan.

OPTA
De verwachting is dat de toezichthouder, in dit geval de OPTA, vanaf de inwerkingtreding van de Cookiewet in ieder geval zal handhaven op naleving van de informatieplicht. Wat betreft het toestemmingsvereiste, zit er voor websitehouders vooralsnog niets anders op dan bijvoorbeeld met pop-ups te werken als er gebruik wordt gemaakt van cookies die niet-functioneel zijn. Een dergelijke pop-up zal informatie moeten geven over het gebruik van cookies en zal een checkbox moeten bevatten waarmee de gebruiker toestemming kan geven voor het gebruik van cookies. Een alternatief is het inrichten van een soort ‘voorportaal’, een webpagina die de noodzakelijke informatie geeft en aan de gebruiker de keuze laat om de website met of juist zonder gebruikmaking van tracking cookies te openen.

Femke Vos is advocaat bij Louwers IP|Technology Advocaten.