Privacy  

Rechtbank Rotterdam 19 augustus 2012, LJN BX7261 KG ZA 12-555  (eiser tegen Gosh Sports & Healthclub)

Opheffen beslag (in conventie). Geldvordering (in reconventie). Relatiebeding overtreden in verband met uitlatingen op facebook. Boetebeding. Herbegroting.

In 2011 is het dienstverband tussen eiser en Gosh beëindigd. Eiser heeft een eigen facebookpagina. Eiser heeft op 6 maart 2012 de volgende status van The Training Room op zijn facebookpagina heeft gedeeld. “Vandaag start de voorverkoop om lid te worden van The Training Room! Kijk op de website voor de aanbieding. Voorkom een wachtlijst en maak nu vast een afspraak. thetrainingroom.nl”.  Nu eiser het relatiebeding heeft overtreden met uitlatingen op facebook, laat Gosh laat conservatoir beslag leggen op rekening van Eiser vanwege het niet betalen van het boetebeding. Rechtbank oordeelt tot opheffing beslag. De Rechtbank wijst een deel van de geldvordering toe nu bewezen is dat Eiser door de (mede)oprichting van Training Room b.v. het relatiebeding heeft overtreden. De Rechtbank acht de uitlatingen op facebookpagina niet als een overtreding van het relatiebeding nu Gosh hiervoor te weinig bewijs aanvoert.

5.6. Personeel van Gosh
Het enkele gegeven dat [eiser] tezamen met [D] (die - naast een collega bij Gosh - reeds gedurende 14 jaar een vriend van [eiser] is, aldus [eiser]) op 24 februari 2012, voor het einde van het dienstverband van [D] bij Gosh, The Training Room B.V. heeft opgericht doet vermoeden dat sprake is geweest van één of meerdere contacten tussen [eiser] en [D] die te duiden zijn als zakelijk. Dit vermoeden wordt ondersteund door hetgeen [eiser] daarover ter zitting heeft opgemerkt, te weten dat hij aan [D] heeft voorgesteld voor zichzelf te beginnen op het moment dat de arbeidsrelatie met Gosh vertroebeld was, maar kennelijk nog niet (formeel) beëindigd. [eiser] kan daarmee voorshands geacht worden het initiatief te hebben genomen voor het leggen van een met het relatiebeding strijdig contact met [D]. Gerechtvaardigd lijkt dan ook de conclusie dat [eiser] het relatiebeding heeft overtreden. Van overtredingen van [eiser] ten aanzien van andere personeelsleden van Gosh is niet gebleken en evenmin is dit expliciet gesteld door Gosh. De voorzieningenrechter is in het kader van dit kort geding van oordeel dat sprake is geweest van één enkele duidelijke overtreding van het relatiebeding met betrekking tot personeel van Gosh, te weten de handeling die tot de gezamenlijke (indirecte) betrokkenheid van [eiser] en [D] bij de oprichting van The Training Room B.V. heeft geleid. Voorshands aannemelijk is dan dat [eiser] als gevolg daarvan jegens Gosh een boete van € 5.000,00 heeft verbeurd.
Dat [eiser] (al dan niet via [Y]) binnen The Training Room B.V. alleen fungeert als geldschieter (zoals hij zelf - door Gosh betwist - heeft betoogd), en niet ook bij de bedrijfsvoering is betrokken, doet aan het voorgaande niet af.

5.8. Ook overigens kunnen de berichten die op de openbare facebookpagina van The Training Room zijn geplaatst of rechtshandelingen die namens The Training Room zijn verricht op het eerste gezicht niet zonder meer aan [eiser] worden toegerekend als ware sprake van het maken van misbruik door [eiser] van identiteitsverschil tussen [eiser] (Holding B.V.) en The Training Room B.V. (‘vereenzelviging’).
Hoewel vaststaat dat [eiser] bestuurder en voor 50% aandeelhouder is in The Training Room en dus directe (beleids-) betrokkenheid bij The Training Room aannemelijk lijkt, is ter zitting tussen partijen vast komen te staan dat [eiser] (op lichamelijke en psychische gronden) voor 100% arbeidsongeschikt is verklaard, een ziektewetuitkering ontvangt en het hem dus uit dien hoofde niet is toegestaan arbeid te verrichten en hij daartoe ook niet in staat kan worden geacht. [eiser] stelt verder dat hij, mede gelet op zijn arbeidsongeschiktheid, bij The Training Room enkel betrokken is als geldschieter en dat het [D] is die (overwegend) de facebookpagina van The Training Room vult (overigens, heeft [eiser] erkend dat hij wel in privé berichten kan plaatsen op de facebookpagina van The Training Room, zoals ook is gebleken (zie 5.7.2)). Hetgeen Gosh daartegenin heeft gebracht, heeft zij onvoldoende gestaafd met concrete bewijzen, zodat de voorzieningenrechter vooralsnog van de juistheid van de stellingen van [eiser] uitgaat. De twitterberichten die [eiser] blijkens productie 18 van Gosh heeft gepost (op 24 februari 2012: “[email-adres] De voorbereidingen voor The Training Room zijn begonnen. Ready, steady… Go!” en op 25 februari 2012: “@TrainingRoom: Zoveel mensen vinden The Training Room leuk op Facebook! Binnen 8 uur zoveel! Leuk en bedankt!! Retweet”) zijn onvoldoende om daaruit af te leiden dat [eiser] meer is voor The Training Room dan geldschieter. Dat [eiser] op zondag 12 augustus 2012 voor The Training Room yogales in het park zou hebben gegeven is door hem betwist en verder door Gosh niet met bewijzen gestaafd, zodat de voorzieningenrechter hieraan voorbij gaat.

Boetebeding
5.9. Vooropgesteld zij dat een boete in principe alleen verschuldigd is bij wanprestatie. Blijkens het hiervoor overwogene is daarvan aan de zijde van [eiser] jegens Gosh op het eerste gezicht in zekere mate sprake. De discussie tussen partijen op het punt van het boetebeding spitst zich toe op de vraag of een aanmaning of een andere voorafgaande verklaring nodig is teneinde nakoming van het boetebeding te vorderen. Deze vraag beantwoordt de voorzieningenrechter in dit geval ontkennend. Immers, bij nakoming van de hoofdverbintenis - te weten het naleven van het vanaf 31 augustus 2011 gedurende twaalf maanden voortdurend geldende relatiebeding - is ten aanzien van de voorshands geconstateerde in het verleden opgetreden wanprestaties blijvend onmogelijk. De bedongen boete is dan zonder nadere aanmaning verschuldigd. Dat de voorshands aannemelijk geworden wanprestaties van [eiser] voor de aanmaning d.d. 16/17 april 2012 van Gosh (zie 2.7) hebben plaatsgevonden, is dus niet relevant. De wettelijke rente over een verbeurde boete wordt echter pas na schriftelijke aanmaning op de voet van artikel 6:82 BW verschuldigd. Op matiging van de verschuldigde boetes heeft [eiser] in dit kort geding geen expliciet beroep gedaan, zodat op hetgeen Gosh hierover heeft opgemerkt in de beoordeling niet nader behoeft te worden ingegaan.

Beslag
5.10. Vooruitlopend op een beslissing in de bodemprocedure gaat de voorzieningenrechter ervan uit dat Gosh ten aanzien van [eiser] gerechtvaardigd nakoming van het boetebeding voor een bedrag van in totaal € 15.000,00 zal kunnen vorderen. Verwezen wordt naar hetgeen is overwogen onder 5.6 en 5.7.4/5.7.5. De vordering waarvoor de beslagen ten laste van [eiser] zijn gelegd, kan, gelet hierop, daarom voorshands niet als summierlijk ondeugdelijk worden aangemerkt voor zover dit een bedrag van € 19.500,00 (het bedrag van € 15.000,00 vermeerderd met een opslag van 30% aan rente en kosten) niet te boven gaat. Dit brengt mee dat de voorzieningenrechter opportuun acht de vordering ten laste van [eiser] te herbegroten op voormeld bedrag van € 19.500,00 en de ten laste van [eiser] gelegde beslagen op te heffen voor zover deze het bedrag van € 19.500,00 (inclusief rente en kosten) te boven gaan.

De voorzieningenrechter beslist:
7.1. herbegroot de vordering waarvoor ten laste van [eiser] door Gosh beslag is gelegd op € 19.500,00,

7.2. heft op het ten laste van [eiser] gelegde conservatoir beslag rustend op de op naam van [eiser] in privé staande betaalrekening met nummer [1] gehouden bij de Coöperatieve Rabobank Rotterdam U.A. te Rotterdam, het ten laste van [eiser] gelegde conservatoir beslag op de op naam van [eiser] in privé staande betaalrekening gehouden bij de ING Bank N.V. te Rotterdam en het beslag dat onder de Rabobank is gelegd op een op naam van [eiser] staande effectenrekening met nummer [2] voor zover dit een bedrag van € 19.500,00 te boven gaat,

7.3. compenseert de kosten van deze procedure tussen partijen, in die zin dat iedere partij de eigen kosten draagt, 
 5.6.  Personeel van Gosh
Het enkele gegeven dat [eiser] tezamen met [D] (die - naast een collega bij Gosh - reeds gedurende 14 jaar een vriend van [eiser] is, aldus [eiser]) op 24 februari 2012, voor het einde van het dienstverband van [D] bij Gosh, The Training Room B.V. heeft opgericht doet vermoeden dat sprake is geweest van één of meerdere contacten tussen [eiser] en [D] die te duiden zijn als zakelijk. Dit vermoeden wordt ondersteund door hetgeen [eiser] daarover ter zitting heeft opgemerkt, te weten dat hij aan [D] heeft voorgesteld voor zichzelf te beginnen op het moment dat de arbeidsrelatie met Gosh vertroebeld was, maar kennelijk nog niet (formeel) beëindigd. [eiser] kan daarmee voorshands geacht worden het initiatief te hebben genomen voor het leggen van een met het relatiebeding strijdig contact met [D]. Gerechtvaardigd lijkt dan ook de conclusie dat [eiser] het relatiebeding heeft overtreden. Van overtredingen van [eiser] ten aanzien van andere personeelsleden van Gosh is niet gebleken en evenmin is dit expliciet gesteld door Gosh. De voorzieningenrechter is in het kader van dit kort geding van oordeel dat sprake is geweest van één enkele duidelijke overtreding van het relatiebeding met betrekking tot personeel van Gosh, te weten de handeling die tot de gezamenlijke (indirecte) betrokkenheid van [eiser] en [D] bij de oprichting van The Training Room B.V. heeft geleid. Voorshands aannemelijk is dan dat [eiser] als gevolg daarvan jegens Gosh een boete van € 5.000,00 heeft verbeurd.
Dat [eiser] (al dan niet via [Y]) binnen The Training Room B.V. alleen fungeert als geldschieter (zoals hij zelf - door Gosh betwist - heeft betoogd), en niet ook bij de bedrijfsvoering is betrokken, doet aan het voorgaande niet af.

5.8. Ook overigens kunnen de berichten die op de openbare facebookpagina van The Training Room zijn geplaatst of rechtshandelingen die namens The Training Room zijn verricht op het eerste gezicht niet zonder meer aan [eiser] worden toegerekend als ware sprake van het maken van misbruik door [eiser] van identiteitsverschil tussen [eiser] (Holding B.V.) en The Training Room B.V. (‘vereenzelviging’).
Hoewel vaststaat dat [eiser] bestuurder en voor 50% aandeelhouder is in The Training Room en dus directe (beleids-) betrokkenheid bij The Training Room aannemelijk lijkt, is ter zitting tussen partijen vast komen te staan dat [eiser] (op lichamelijke en psychische gronden) voor 100% arbeidsongeschikt is verklaard, een ziektewetuitkering ontvangt en het hem dus uit dien hoofde niet is toegestaan arbeid te verrichten en hij daartoe ook niet in staat kan worden geacht. [eiser] stelt verder dat hij, mede gelet op zijn arbeidsongeschiktheid, bij The Training Room enkel betrokken is als geldschieter en dat het [D] is die (overwegend) de facebookpagina van The Training Room vult (overigens, heeft [eiser] erkend dat hij wel in privé berichten kan plaatsen op de facebookpagina van The Training Room, zoals ook is gebleken (zie 5.7.2)). Hetgeen Gosh daartegenin heeft gebracht, heeft zij onvoldoende gestaafd met concrete bewijzen, zodat de voorzieningenrechter vooralsnog van de juistheid van de stellingen van [eiser] uitgaat. De twitterberichten die [eiser] blijkens productie 18 van Gosh heeft gepost (op 24 februari 2012: “[email-adres] De voorbereidingen voor The Training Room zijn begonnen. Ready, steady… Go!” en op 25 februari 2012: “@TrainingRoom: Zoveel mensen vinden The Training Room leuk op Facebook! Binnen 8 uur zoveel! Leuk en bedankt!! Retweet”) zijn onvoldoende om daaruit af te leiden dat [eiser] meer is voor The Training Room dan geldschieter. Dat [eiser] op zondag 12 augustus 2012 voor The Training Room yogales in het park zou hebben gegeven is door hem betwist en verder door Gosh niet met bewijzen gestaafd, zodat de voorzieningenrechter hieraan voorbij gaat.

Boetebeding
5.9. Vooropgesteld zij dat een boete in principe alleen verschuldigd is bij wanprestatie. Blijkens het hiervoor overwogene is daarvan aan de zijde van [eiser] jegens Gosh op het eerste gezicht in zekere mate sprake. De discussie tussen partijen op het punt van het boetebeding spitst zich toe op de vraag of een aanmaning of een andere voorafgaande verklaring nodig is teneinde nakoming van het boetebeding te vorderen. Deze vraag beantwoordt de voorzieningenrechter in dit geval ontkennend. Immers, bij nakoming van de hoofdverbintenis - te weten het naleven van het vanaf 31 augustus 2011 gedurende twaalf maanden voortdurend geldende relatiebeding - is ten aanzien van de voorshands geconstateerde in het verleden opgetreden wanprestaties blijvend onmogelijk. De bedongen boete is dan zonder nadere aanmaning verschuldigd. Dat de voorshands aannemelijk geworden wanprestaties van [eiser] voor de aanmaning d.d. 16/17 april 2012 van Gosh (zie 2.7) hebben plaatsgevonden, is dus niet relevant. De wettelijke rente over een verbeurde boete wordt echter pas na schriftelijke aanmaning op de voet van artikel 6:82 BW verschuldigd. Op matiging van de verschuldigde boetes heeft [eiser] in dit kort geding geen expliciet beroep gedaan, zodat op hetgeen Gosh hierover heeft opgemerkt in de beoordeling niet nader behoeft te worden ingegaan.

Beslag
5.10. Vooruitlopend op een beslissing in de bodemprocedure gaat de voorzieningenrechter ervan uit dat Gosh ten aanzien van [eiser] gerechtvaardigd nakoming van het boetebeding voor een bedrag van in totaal € 15.000,00 zal kunnen vorderen. Verwezen wordt naar hetgeen is overwogen onder 5.6 en 5.7.4/5.7.5. De vordering waarvoor de beslagen ten laste van [eiser] zijn gelegd, kan, gelet hierop, daarom voorshands niet als summierlijk ondeugdelijk worden aangemerkt voor zover dit een bedrag van € 19.500,00 (het bedrag van € 15.000,00 vermeerderd met een opslag van 30% aan rente en kosten) niet te boven gaat. Dit brengt mee dat de voorzieningenrechter opportuun acht de vordering ten laste van [eiser] te herbegroten op voormeld bedrag van € 19.500,00 en de ten laste van [eiser] gelegde beslagen op te heffen voor zover deze het bedrag van € 19.500,00 (inclusief rente en kosten) te boven gaan.

De voorzieningenrechter beslist:
7.1. herbegroot de vordering waarvoor ten laste van [eiser] door Gosh beslag is gelegd op € 19.500,00,

7.2. heft op het ten laste van [eiser] gelegde conservatoir beslag rustend op de op naam van [eiser] in privé staande betaalrekening met nummer [1] gehouden bij de Coöperatieve Rabobank Rotterdam U.A. te Rotterdam, het ten laste van [eiser] gelegde conservatoir beslag op de op naam van [eiser] in privé staande betaalrekening gehouden bij de ING Bank N.V. te Rotterdam en het beslag dat onder de Rabobank is gelegd op een op naam van [eiser] staande effectenrekening met nummer [2] voor zover dit een bedrag van € 19.500,00 te boven gaat,

7.3. compenseert de kosten van deze procedure tussen partijen, in die zin dat iedere partij de eigen kosten draagt,

Rapport Fox-IT Black Tulip, Bijlage bij Kamerstukken II 26 643, nr. 256

In navolging van IT 507, IT 731  Eindelijk, op 1 november 2012 is het zover en ligt het rapport van Fox-IT genaamd: "Black Tulip" klaar. Het rapport bevat het onderzoek over de inbreuk in DigiNotar (Certificaat Autoriteit). Het onderzoek spitst zich toe op vraag hoe het mogelijk is geweest dat er valse certificaten, voor onder andere google.nl, namens Diginotar zijn uitgegeven. Voor het overzicht volgt hier de inhoudsopgave en management summary.

Table of Contents
Management summary
Investigative summary
Table of Contents
1 Introduction
2 Incident response investigation
3 State of affairs
4 Investigation of web server log files
5 Investigation of firewall log files
6 Investigation of CA servers
7 System access and tools
8 Remaining investigation
9 Summary of findings
10 MITM attack
11 Lessons learned
12 Potential follow-up investigation
13 Terminology

Management summary
DigiNotar B.V. was founded as a privately-owned notarial collaboration in 1998. DigiNotar provided digital certificate services as a Trusted Third Party and hosted a number of Certificate Authorities (CAs). The certificates issued by DigiNotar were trusted worldwide to secure digital communication on the basis of a Public Key Infrastructure (PKI). The services that DigiNotar provided included issuing Secure Sockets Layer (SSL) certificates to secure websites, issuing accredited qualified certificates that could be used as the legal equivalent of a handwritten signature and issuing PKIoverheid certificates for various Dutch eGovernment purposes. In June and July of 2011 DigiNotar suffered a breach, which resulted in rogue certificates being issued that were subsequently abused in a large scale attack in August of 2011. Following the detection of the breach on July 19 of 2011, DigiNotar took several measures to control the incident, including the revocation of known rogue certificates and the hiring of a third party specialized in IT security to investigate the intrusion. At the end of July 2011, DigiNotar was under the impression that the intrusion of its network and services had been contained. On August 28, 2011, the content of a rogue wildcard certificate for the google.com domain was posted publicly, which had been issued by DigiNotar but which had not yet been revoked. For weeks the rogue certificate had been abused in a large scale
Man-In-The-Middle (MITM) attack on approximately 300,000 users that were almost exclusively located in the Islamic Republic of Iran. Traffic that was intended for Google subdomains is likely to have been intercepted or redirected during the MITM-attack, potentially exposing the contents of the intercepted traffic as well as the Google credentials of the affected users.

On August 30, 2011, Fox-IT was asked to investigate the breach at DigiNotar. In the ensuing investigation traces were recovered that indicated that the outer limits of DigiNotar's network were first breached on June 17, 2011. The network that was used by DigiNotar was segmented and the Secure-net network segment that contained all the CA servers could not directly be reached from the Internet. By tunneling connections through other compromised systems in DigiNotar's network, the intruder gained access to the Secure-net network segment on July 1, 2011. The first attempts to create rogue certificates were made on July 2 and the first rogue certificate was successfully issued on July 10, 2011.

The investigation by Fox-IT showed that all eight servers that managed Certificate Authorities had been
compromised by the intruder. The log files were generally stored on the same servers that had been
compromised and evidence was found that they had been tampered with. Consequently, while these log
files could be used to make inconclusive observations regarding unauthorized actions that took place, the
absence of suspicious entries could not be used to conclude that no unauthorized actions took place.
Serial numbers for certificates that did not match the official records of DigiNotar were recovered on
multiple CA servers, including the Qualified-CA server which was used to issue both accredited qualified
and government certificates, indicating that these servers may have been used to issue additional and
currently unknown rogue certificates.

A fingerprint that was left by the intruder was recovered on a Certificate Authority server, which was also identified after the breach of the Certificate Service Provider Comodo in March of 2011. Over the course of the intrusion at DigiNotar, the intruder used multiple systems as proxies in order to obscure his true identity. However, several traces were recovered during the investigation by Fox-IT that independently point to a perpetrator located in the Islamic Republic of Iran. A complete list of all the IP-addresses that were identified during the investigation that are suspected to have been abused by the intruder were handed over to the Dutch police (KLPD).

The intruder at DigiNotar appears to have had the specific intention of abusing certificates that had been issued by a trusted party in order to spy on a large number of users in the Islamic Republic of Iran. The intrusion at DigiNotar and the ensuing MITM-attack resulted in an erosion of trust of the general public in the existing Public Key Infrastructure, which is central to its operation. Given the impact of a breach at a Certificate Authority on the Public Key Infrastructure as a whole, ensuring the security of every Certificate Authority is paramount to the trust in a Public Key Infrastructure and its role in providing security for a diverse range of activities on the Internet. While the approach to protecting the potential targets from this type of intrusion does not differ significantly from other threats, the range of scenarios that need to be taken into account is rapidly expanding.

OPTA besluit 2 oktober 2012, Zaaknummer: 11.0242.37 (Campaneo)

Besluit van het College van de Onafhankelijke Post en Telecommunicatie Autoriteit tot het opleggen van een boete ter zake van overtredingen van artikel 11.7, eerste lid, van de Telecommunicatiewet (spamverbod).

In het geval van de partnermailings betreft het berichten die in opdracht van derden worden verzonden met daarin advertenties voor (de verkoop van) producten en diensten van die specifieke derden. Companeo wordt betaald door de betreffende adverteerders voor het maken en het verzenden van dergelijke berichten.

89. Het college is echter van oordeel dat op basis van voornoemde wilsuiting de abonnee redelijkerwijs niet kan verwachten dat hij toestemming geeft voor e-mailberichten zoals beschreven in randnummer 86. De term “Companeo partners” is naar het oordeel van het college niet voldoende specifiek. De abonnee weet niet wie de partners van Companeo zijn, noch welke diensten en producten door die partners worden aangeboden. Companeo heeft dit bevestigd tijdens de hoorzitting.53 In de praktijk kwam het er immers op neer dat Companeo zich vrij achtte om abonnees, die hadden ingestemd met de hiervoor genoemde passage, te benaderen met advertenties van iedere willekeurige adverteerder waar Companeo zaken mee deed. Daaruit volgt dat de betreffende geïnteresseerde zich geen duidelijk beeld kon vormen van de producten die in de partnermailings zouden worden aangeprezen.

163. Het college van de Onafhankelijke Post en Telecommunicatie Autoriteit:
a) stelt vast dat de gedragingen van de rechtspersoon Companeo S.A., zoals beschreven in het onderhavige besluit, overtredingen vormen van artikel 11.7, eerste lid, van de Telecommunicatiewet. De gedragingen die als overtredingen kwalificeren bestaan eruit dat Companeo S.A., gedurende de periode van 3 december 2009 tot en met 23 maart 2011, ongevraagde elektronische berichten heeft verzonden met een commercieel doeleinde zonder voorafgaande toestemming van de betreffende abonnee waar de e-mailberichten naartoe werden gezonden.
b) legt wegens de onder a) bedoelde overtredingen aan de rechtspersoon Companeo S.A., statutair gevestigd te Brussel (België), een boete op van € 100.000.

164. Bovengenoemde boete dient overeenkomstig het bepaalde in artikel 15.13, eerste lid, van de Telecommunicatiewet binnen zes weken nadat de beschikking waarbij de boete is opgelegd in werking is getreden, in euro’s te worden betaald. Na het verstrijken van bovengenoemde termijn wordt de betreffende boete vermeerderd met de wettelijke rente overeenkomstig artikel 15.13, tweede lid, van de Telecommunicatiewet.
165. Het college zal dit boetebesluit publiceren op zijn website, waarbij hij namen van de betrokken personen alsmede de bedrijfsvertrouwelijke gegevens zal anonimiseren.

Op andere blogs:
DeBrauw Legal Alert (New decision by OPTA: Opt-in of consumers for direct e-mail with commercial offers from 'partners' is valid only if the third parties and their products are specified)

Prejudiciële vragen aan HvJ EU 1 augustus 2012, zaak C-372/1212 (verzoekers tegen IND)

Bescherming persoonsgegevens (privacyrichtlijn); Handvest grondrechten; EVRM, uitleg
Richtlijn 95/46/EG.

Verzoekers M en S vragen de IND inzage in 'de minuut' een stuk dat onderdeel uitmaakt van de besluitvorming tot verlening aan verzoekers van hun verblijfsvergunning (asiel, regulier verblijf). De bezwaren van verzoekers worden ongegrond verklaard.
De verzoekers willen inzage in de juridische analyses, niet zozeer inzage in de persoonsgegevens die in 'de minuut' verwerkt zijn. Met name in asielzaken kan de analyse indrukken van medewerkers bevatten over de geloofwaardigheid van de door aanvragers afgelegde verklaringen.

S stelt met name het nuttig effect van de privacyrichtlijn ter discussie (artikel 12) en doet ook een beroep op artikel 8.2 en 41.2 EU-handvest. M stelt dat een juridische analyse een ‘persoonsgegeven’ is, een begrip dat ruim geïnterpreteerd zou moeten worden.

De verwijzende rechter (NL RvS) moet de vraag beantwoorden of en hoe de Minister inzage in de minuut moet geven, en of de juridische analyse een persoonsgegeven is. Hij stelt het HvJEU de volgende zes vragen:

1. Dient artikel 12, aanhef en onder a, tweede streepje, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt?

2. Dienen de woorden "recht van inzage" in artikel 8, tweede lid, van het Handvest van de grondrechten van de Europese Unie aldus te worden uitgelegd dat er een recht bestaat op een afschrift van stukken waarin persoonsgegevens zijn verwerkt, of is voldoende dat een volledig overzicht in begrijpelijke vorm wordt verstrekt van de persoonsgegevens die in de desbetreffende stukken zijn verwerkt in de zin van artikel 12, aanhef en onder a, tweede streepje, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens?

3. Is artikel 41, tweede lid, aanhef en onder b, van het Handvest van de grondrechten van de Europese Unie mede gericht tot de lidstaten van de Europese Unie voor zover zij het recht van de Unie ten uitvoer brengen in de zin van artikel 51, eerste lid, van het Handvest van de grondrechten van de Europese Unie?

4. Levert de consequentie dat als gevolg van het geven van inzage in "minuten" daarin niet meer de redenen worden vastgelegd waarom een bepaald besluit wordt voorgesteld, hetgeen de interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie en de ordelijke besluitvorming niet ten goede komt, een gerechtvaardigd belang van de vertrouwelijkheid op in de zin van artikel 41, tweede lid, aanhef en onder b, van het Handvest van de grondrechten van de Europese Unie?

5. Kan een juridische analyse, zoals neergelegd in een "minuut", worden aangemerkt als een persoonsgegeven in de zin van artikel 2, onder a, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens?

6. Behoort tot de bescherming van rechten en vrijheden van anderen in de zin van artikel 13, eerste lid, aanhef en onder g, van Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens ook het belang van een interne ongestoorde gedachtewisseling binnen de betrokken overheidsinstantie? Indien het antwoord hierop negatief luidt, kan dit belang dan worden gebracht onder artikel 13, eerste lid, aanhef en onder d of f, van die richtlijn?

Op andere blogs:
Dirkzwagerieit (Ook Raad van State vraagt uitleg over privacyrecht aan Hof van Justitie)

Uit de CBP-nieuwsbrief:

Google’s nieuwe privacyvoorwaarden in strijd met EU-richtlijn
De Europese privacytoezichthouders, verenigd in de zogeheten Artikel 29-werkgroep, hebben na gezamenlijk onderzoek geconstateerd dat de wijzigingen in de privacyvoorwaarden van Google in strijd zijn met de Europese privacyrichtlijn. Lees verder >

Europese privacytoezichthouders geven reactie op nieuwe EU-privacyregelgeving
De Europese privacytoezichthouders hebben een opinie aangenomen over de voorstellen van de Europese Commissie voor een nieuw Europees juridisch raamwerk voor gegevensbescherming. Lees verder >

CBP: online volgen van surfgedrag van internetgebruikers alleen met toestemming
Het CBP wil het belang benadrukken dat een wereldwijde Do Not Track-standaard in overeenstemming moet zijn met Europese privacyregelgeving. Lees verder >

CBP: Interne toegangsbeveiliging patiëntgegevens RPZ-ziekenhuis onvoldoende
Het Ruwaard van Putten Ziekenhuis heeft onvoldoende beveiligingsmaatregelen getroffen om ervoor te zorgen dat uitsluitend bevoegde ziekenhuismedewerkers toegang hebben tot de elektronische patiëntendossiers. Lees verder >

Zienswijze CBP over cloud computing
Het College bescherming persoonsgegevens (CBP) heeft in een zienswijze antwoord gegeven op een drietal vragen van SURFmarket over cloud computing in relatie tot de bescherming van persoonsgegevens. Lees verder >

HvJ EU 16 oktober 2012, zaak C-614/10 (Commissie tegen Oostenrijk)

In navolging van IT 812.

In't kort: Niet-nakoming – Schending van artikel 28, lid 1, tweede alinea van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PB L 281, blz. 31) – Verplichting van de lidstaten te verzekeren dat de nationale, met het toezicht op de verwerking van persoonsgegevens belaste toezichthoudende autoriteiten hun opdrachten in volledige onafhankelijkheid kunnen vervullen – Nauwe persoonlijke en organisatorische banden tussen de toezichthoudende autoriteit en de kanselarij van de bondskanselier – Onderwerping van de toezichthoudende autoriteit aan toezicht van de bondskanselier
Advocaat-generaal : Mazák

Antwoord:

Door niet alle nodige maatregelen te nemen om te verzekeren dat de in Oostenrijk geldende wettelijke regeling wat de Datenschutzkommission (commissie voor gegevensbescherming) betreft voldoet aan het criterium van onafhankelijkheid, en meer specifiek, door een regeling in te stellen op grond waarvan
– de bestuurder van de Datenschutzkommission een federale ambtenaar is die is onderworpen aan bestuurlijk toezicht,
– het secretariaat van de Datenschutzkommission is geïntegreerd in de diensten van de bondskanselarij, en
– de bondskanselier een onvoorwaardelijk recht heeft op informatie over alle aspecten van het beheer van de Datenschutzkommission,
is de Republiek Oostenrijk de verplichtingen niet nagekomen die op haar rusten krachtens artikel 28, lid 1, tweede alinea, van richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.

J.V.J. Van Hoboken e.a., Cloud diensten in hoger onderwijs en onderzoek en de USA Patriot Act, IViR.nl.

Uit't persbericht: Utrecht 12 oktober 2012 - Het Instituut voor Informatierecht (IViR) heeft onafhankelijk onderzoek gedaan naar de toegang van overheden tot data die zich in de cloud bevinden. Het onderzoek is uitgevoerd op verzoek van SURF, de ICT samenwerkingsorganisatie voor hoger onderwijs en onderzoek. Belangrijkste aanleiding voor het onderzoek zijn veel gestelde vragen over de Amerikaanse Patriot Act1. Hoofdconclusie van het onderzoek is dat het voor hogeronderwijsinstellingen in Nederland zaak is zicht te krijgen en te houden op de condities waaronder justitie en veiligheidsdiensten toegang hebben tot data en de daarmee samenhangende risico’s. Er moet daarbij verder worden gekeken dan de Patriot Act, die symbool staat voor meer wet- en regelgeving van de VS over overheidstoegang tot (cloud)data. Het volledige rapport, inclusief de managementsamenvatting, is hier te downloaden.

ABRvS 28 september 2012, uitspraken met zaaknummers 201205423/1 (Amsterdam), 201110934/1 (Nuth), 201110242/1 (Skarsterlân) en 201105172/1 (Den Haag).

De Afdeling bestuursrechtspraak van de Raad van State, recht doende in naam der Koningin:

I. verzoekt het Hof van Justitie van de Europese Unie bij wege van prejudiciële beslissing uitspraak te doen op de volgende vragen:

1. Is artikel 1, tweede lid, van Verordening (EG) 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (PB L 385, blz. 1), zoals gewijzigd bij Verordening (EG) nr. 444/2009 van het Europees Parlement en de Raad van 28 mei 2009 tot wijziging van Verordening (EG) nr. 2252/2004 (PB L 142, blz. 1), geldig in het licht van de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie en artikel 8 van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden?

2. Indien het antwoord op vraag 1 inhoudt dat artikel 1, tweede lid, van Verordening (EG) 2252/2004 van de Raad van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (PB L 385, blz. 1), zoals gewijzigd bij Verordening (EG) nr. 444/2009 van het Europees Parlement en de Raad van 28 mei 2009 tot wijziging van Verordening (EG) nr. 2252/2004 (PB L 142, blz. 1) geldig is, moet artikel 4, derde lid, van de Verordening, in het licht van de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie, artikel 8, tweede lid, van het Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en artikel 7, aanhef en onder f, van de Privacyrichtlijn gelezen in verbinding met artikel 6, eerste lid, aanhef en onder b, van die richtlijn zo worden uitgelegd dat ter uitvoering van deze Verordening door de lidstaten wettelijk dient te worden gewaarborgd dat de op grond van deze Verordening verzamelde en opgeslagen biometrische gegevens niet voor andere doeleinden mogen worden verzameld, verwerkt en gebruikt dan voor de afgifte van het document?

Op andere blogs:
SOLV (Prejudiciële vragen over vingerafdrukken in reisdocument)

Vzr. Rechtbank 's-Gravenhage 26 september 2012, LJN BX8427 (The Royal Bank of Scotland N.V. tegen gedaagde)

Gedaagde handelt onrechtmatig door over eiseres ongefundeerde verdachtmakingen van fraude via e-mailberichten, internet en Twitter te verspreiden. [gedaagde] stuurt (medewerkers van) RBS ongeveer acht e-mails per dag. En verstuurt onder meer via Twitter: "We seek contact with #Anonymous to take action against #RBS_UK to take out all websites around the Globe, hack and take down as a warning". De uitkomst is het gemakkelijkst te lezen in het dictum:

Dictum: De voorzieningenrechter:

- verbiedt [gedaagde] na betekening van dit vonnis op welke manier dan ook en via welk telefoonnummer of welk e-mailadres dan ook, contact op te nemen met (medewerkers van) RBS;
- verbiedt [gedaagde] e-mailadressen te registreren en te gebruiken waarin namen van afdelingen van RBS, medewerkers van RBS of de namen 'RBS', The Royal Bank of Scotland en/of variaties daarop voorkomen, dan wel op enige andere wijze de identiteit van (afdelingen van) RBS of medewerkers van RBS te gebruiken, al dan niet voor het opstellen van correspondentie die ten onrechte suggereert dat deze van RBS afkomstig is;

- gebiedt [gedaagde] iedere verspreiding, openbaarmaking en/of het (in de media) doen van uitlatingen waarin hij RBS van fraude beschuldigt, alsmede soortgelijke uitingen, te staken en gestaakt te houden en van het internet, waaronder begrepen van de [account 2]' en '#[account 1]' Twitter-accounts, te verwijderen en verwijderd te houden;

- gebiedt [gedaagde] iedere verspreiding, openbaarmaking en/of het (in de media) doen van uitlatingen waarin hij persoonsgegevens van RBS-medewekers publiceert te staken en gestaakt te houden;

- gebiedt [gedaagde] alle media, waarin publicaties of reacties zijn verschenen waarin RBS door [gedaagde], al dan niet onder een alias, wordt beschuldigd van fraude en waarin door [gedaagde] persoonsgegevens van RBS-medewerkers worden gepubliceerd, op deugdelijke wijze te verzoeken, onder toezending van een kopie van dit vonnis, met een gelijktijdig afschrift aan de raadsman van RBS, deze uitingen te verwijderen en verwijderd te houden met uitsluitend het volgende verzoek:

"Omdat de voorzieningenrechter van de rechtbank te 's-Gravenhage bij vonnis van 26 september 2012 heeft geoordeeld dat de hierna te noemen bericht(en) of artikel(en) onrechtmatig is/zijn jegens The Royal Bank of Scotland N.V., verzoek ik u deze te verwijderen en verwijderd te houden:"

- gebiedt [gedaagde] Google te verzoeken, op de wijze die Google hiertoe voorschrijft, de publicaties of reacties waarin RBS door [gedaagde], al dan niet onder een alias, wordt beschuldigd van fraude en waarin door [gedaagde] persoonsgegevens van RBS-medewerkers worden gepubliceerd te verwijderen en verwijderd te houden uit de Google zoekresultaten en uit haar cache, opdat deze publicaties niet meer vindbaar zijn via Google;

- verbiedt [gedaagde] derden op te roepen om op enige wijze schade toe te brengen aan RBS, waaronder begrepen maar niet beperkt tot het oproepen van derden om websites van RBS te hacken en offline te halen;

- een en ander op straffe van verbeurte van een onmiddellijk opeisbare dwangsom van € 500,-- voor iedere keer, dag of gedeelte van een dag dat [gedaagde] in strijd handelt met een van voornoemde verboden c.q. geboden met een maximum van € 50.000,--;

Strafrecht Rechtbank Rotterdam 5 september 2012, LJN BX6605 (DigiD fraude)

Strafrecht. Grootschalige belastingfraude met DigiD en BSN. Bewijs van het valselijk opmaken van digitale aanvragen zorg-, huur- en kinderopvangtoeslag en aangiften inkomstenbelasting. Deelname aan een criminele organisatie. Witwassen door omzetten en overdragen.

Dat het om wijd verbreide criminaliteit is gegaan, blijkt verder uit de wijze waarop de verdachte en de medeverdachten aan de persoonsgegevens van hun slachtoffers kwamen. Er werd post uit brievenbussen gehengeld, er werd gebruik gemaakt van post die aan de TNT was toevertrouwd maar kennelijk was verduisterd en er werd gebruik gemaakt van bescheiden die bij inbraken bij bedrijven werden ontvreemd.

Daar komt bij, dat misbruik is gemaakt van het vertrouwen van anderen, die aan de verdachte en zijn medeverdachten gegevens van hun bankrekeningen toevertrouwden. Daarbij hebben de verdachte en zijn mededaders meer dan eens druk uitgeoefend op hun slachtoffers en gedreigd met geweld tegen hen of hun familieleden.