Privacy  

Een bijdrage van Wouter Dammers, ICTRecht.

Zie onderaan voor een praktische lijst. De nieuwe cookieregels vereisen dat specifieke, vrije en op informatie berustende toestemming (de zogenaamde “informed consent”) moet worden verkregen van gebruikers voordat informatie wordt opgeslagen of wordt opgevraagd op de randapparatuur (computer, mobieltje, tablet, e.d.) van de gebruiker.

Echter, niet altijd is deze informed consent vereist. Uitgezonderd zijn de zogenaamde functionele cookies. Functionele cookies? Ja. Functionele cookies. Gelukkig heeft de Article 29 Data Protection Working Party (de “Werkgroep”, een Europees adviesorgaan waar alle Europese toezichthouders op het gebied van privacy zijn aangesloten), inmiddels meer duidelijkheid verschaft over welke cookies onder deze uitzondering valt (overigens heeft zij eerder al meer uitleg gegeven over wat onder “informed consent” moet worden verstaan in twee opinies (deze en deze)).

De Werkgroep omschrijft functionele cookies als cookies die (A) uitsluitend dienen ter uitvoering van communicatie (“Communicatie Cookies”) of (B) dienen ter uitvoering van een “dienst van de informatiemaatschappij” (“Dienst Cookies”).

Communicatie Cookies
Communicatie Cookies moeten noodzakelijk zijn om communicatie mogelijk te maken – enkel het vergemakkelijken of versnellen van communicatie is dus niet voldoende. De Werkgroep noemt drie elementen die als strikt noodzakelijk kunnen worden aangemerkt voor het plaatsvinden van communicatie tussen twee partijen via een netwerk:

De mogelijkheid om informatie te routeren via het netwerk, met name door de eindpunten van de communicatie te identificeren;
De mogelijkheid om gegevens uit te wisselen in de bedoelde volgorde, met name door de data pakketjes te nummeren;
De mogelijkheid om tranmissiefouten of verlies van data te ontdekken.
Overigens hoeft er niet per sé sprake te zijn van een “netwerk”, ook op applicatieniveau kunnen deze Communicatie Cookies voorkomen.

Indien minimaal één van de voornoemde functies worden gebruikt, is er sprake van Communicatie Cookies. De nieuwe cookieregels gelden in dat geval dus niet.

Dienst Cookies
Om als Dienst Cookie te kunnen worden aangemerkt, dient aan de volgende vereisten te zijn voldaan:

De dienst moet uitdrukkelijk zijn verzocht door de betreffende gebruiker – er moet daarvoor een actieve wilsuiting hebben plaatsgevonden (zoals het klikken op een button);
De cookie moet strikt noodzakelijk zijn om die betreffende dienst uit te kunnen voeren: als cookies zijn uitgeschakeld werkt de betreffende dienst niet.
Wordt aan beide vereisten voldaan, dan is er sprake van een Dienst Cookie. De nieuwe cookieregels gelden in dat geval dus niet.

Uitgezonderd? En dan?
Wanneer je uitgezonderd bent van de nieuwe cookieregels, betekent dit nog niet dat er geen verplichtingen voor je gelden. Het Communicatie Cookie of Dienst Cookie moet zodanig ingesteld zijn dat ze niet meer werken wanneer ze niet meer nodig zijn. Een goed moment is wanneer de browser sessie eindigt, en soms zelf eerder (verlaten van de website). Voor winkelwagen cookies (een Dienst Cookie bij uitstek) kan het wenselijk zijn om de cookies ook te houden na beëindiging van de browser sessie – bijvoorbeeld omdat de gebruiker zijn browser per ongeluk kan hebben afgesloten. De redelijke verwachtingen van de gemiddelde gebruiker zijn hierbij van belang – houd dat dus goed in de gaten als criterium.

Praktisch: een tabel om te bepalen of de nieuwe cookieregels gelden:
Allemaal leuk en aardig die regels, maar we hebben natuurlijk veel liever een gemakkelijk en praktisch overzicht waarin we kunnen opzoeken of de nieuwe cookieregels gelden voor het betreffende cookie of niet. Wel nu, bij deze:

Algemene voorbeelden

Specifieke voorbeelden:

Peter Hustinx, EU Data Protection Supervisor: "Towards More Effective and Consistent Data Protection across the EU", 14th Annual Conference DuD 2012 - Datenschutz und Datensicherheit Berlin, 18 June 2012.

However, let me say very clearly that I consider the proposal for a General Data Protection Regulation as “a huge step forward” towards a more effective and consistent protection of personal data across the EU, but that there is also a need for clarification and improvement on a number of important details.

For further information on both, I would like to refer to the substantial Opinion of the EDPS on the data reform package, submitted on 7 March 2012, and available on our website, with other relevant documentation. This also includes an Opinion of the Article 29 Working Party adopted on 23 March 2012.

Drivers of EU Review
Continuity and change
General scope
User control
Responsibility
Supervision and enforcement
Global Privacy
Final remarks

ABRvS 13 juni 2012, LJN BW8137 (appellanten tegen Stichting Openbaar Onderwijs Groep Groningen)

Inzagerecht. Privacy. Algemeen bestuursrecht.

Verzoek tot afschrift van dossiers, stukken en schoolinformatie over zoon van appellanten (ex. artikel 35 Wbp). De brief van de rector waarin appellanten worden uitgenodigd, is een besluit in de zin van de Awb. Het is een uitnodiging en een verwijzing klaarblijkelijk met het doel vast te stellen waarvan afschrift wordt verzocht.

Bij brief van 16 maart 2010 heeft [appellant] het Praedinius Gymnasium te Groningen verzocht afschriften te verstrekken van alle complete dossiers, schoolrapporten, het schoolreglement, alle stukken met betrekking tot de medezeggenschapsraad (hierna: de MR) en schoolinformatie met betrekking tot zijn [zoon].

[appellant] betoogt dat de rechtbank de informatieve brief van de rector van 27 april 2010 ten onrechte als een besluit in de zin van de Awb heeft aangemerkt. Het is een uitnodiging en een verwijzing klaarblijkelijk met het doel vast te stellen waarvan afschrift wordt verzocht. Ook ontbreekt de wettelijk verplichte rechtsmiddelenverwijzing en is de brief ondertekend met de woorden "met vriendelijke groet", waardoor [appellant] mocht menen dat deze brief dan ook geen besluit was, aldus [appellant]. Volgens hem houdt de brief mededelingen van feitelijke handelingen in en is deze niet op rechtsgevolg gericht.

2.6.1. De Afdeling is met de rechtbank van oordeel dat de brief van 27 april 2010 een besluit is op het verzoek van [appellant] van 16 maart 2010. De stichting heeft er terecht op gewezen dat in de brief van 27 april 2010 puntsgewijs is gereageerd op de verschillende gegevens waarom [appellant] heeft gevraagd. Zoals hiervoor is overwogen, diende het verzoek gelet op de bewoordingen te worden opgevat als gedaan ingevolge artikel 35 van de Wbp. Deze wet verplicht niet tot het verstrekken van afschriften van de beschikbare gegevens. De Afdeling deelt daarom het oordeel van de rechtbank dat met het bieden bij brief van 27 april 2010 van de mogelijkheid tot inzage in het schooldossier de rector namens de stichting op de aanvraag van [appellant] heeft beslist. Het al dan niet opnemen van de verplichte rechtsmiddelenverwijzing en de wijze van ondertekening is voor het antwoord op de vraag of de stichting op 27 april 2010 een besluit in de zin van de Awb heeft genomen niet doorslaggevend.

2.6.2. De rechtbank heeft terecht overwogen dat het beslissen op de aanvraag van [appellant] betekent dat geen beroep meer kon worden ingesteld tegen het niet tijdig nemen van een besluit. Daarom heeft de rechtbank het beroep van [appellant] als bedoeld in artikel 6:2, aanhef en onder b, van de Awb terecht niet-ontvankelijk verklaard en doorgezonden naar de stichting ter behandeling als bezwaar.

Op andere blogs:
Dirkzwagerieit (Raad van State: aan inzage recht Wbp voldaan door uitnodiging gesprek)

Artikel 29 data protection working party, Opinion 04/2012 on Cookie Consent Exemption, 00879/12/EN, 7 juni 2012.

In een recente opinie heeft de artikel29-werkgroep een opinie aangenomen inzake de vrijstelling van toestemming voor cookies, zij eindigt met de woorden:

Ultimately, to decide if a cookie is exempt from the principle of informed consent it is important to verify carefully if it fulfils one of the two exemption criteria defined in Article 5.3 of Directive 2009/136/EC. After a careful examination, if substantial doubts remain on whether or not an exemption criterion applies, website operators should closely examine if there is not in practice an opportunity to gain consent from users in a simple unobtrusive way, thus avoiding any legal uncertainty.

Website: Artikel 29 werkgroep

CBP 'verstrekken inkomensgegevens aan verhuurder door Belastingdienst in strijd met wet, CBPweb, 31 mei 2012.

De verstrekking van inkomensgegevens van huurders aan woningverhuurders door de Belastingdienst was in strijd met de Wet bescherming persoonsgegevens (Wbp). Dit is de conclusie van het College bescherming persoonsgegevens (CBP) dat de staatssecretaris van Financiën hiervan in een brief op de hoogte heeft gesteld. De Belastingdienst verstrekte informatie over het feit of het huishoudinkomen al dan niet meer bedroeg dan € 43.000. De gegevensverstrekking liep vooruit op een wetsvoorstel dat huurverhoging op grond van inkomen mogelijk maakt in het kader van de zogeheten ‘aanpak scheefwonen’

Brief aan de staatsscretaris

DDMA handleiding Cookiewet ‘Wet en werkelijkheid', mei 2012.

DDMA publiceert vandaag een uitgebreide handleiding Cookiewet. In deze handleiding wordt een vertaalslag gemaakt van de juridische materie naar de Nederlandse beroepspraktijk. Aan de hand van diverse voorbeelden en een stappenplan wordt de lezer geïnformeerd over de wijzigingen die respectievelijk begin juni en per 1 januari 2013 in de bedrijfsvoering moeten zijn aangepast.

Zie verder: hier

Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (algemene verordening gegevensbescherming)

In deze toelichting wordt nader ingegaan op het nieuwe EU-rechtskader voor persoonsgegevensbescherming dat wordt voorgesteld in Mededeling COM(2012) 9 definitief. Het voorgestelde rechtskader omvat twee wetgevingsvoorstellen:
– een voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene
verordening gegevensbescherming); en

– een voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van strafrechtelijke sancties, en betreffende het vrije verkeer van die gegevens 2.

Deze toelichting heeft betrekking op het wetgevingsvoorstel voor een algemene verordening gegevensbescherming.

Via CBPWeb:

Het College bescherming persoonsgegevens (CBP) heeft de Gedragscode Verwerking van Persoonsgegevens door Netbeheerders in het kader van Installatie en Beheer van Slimme Meters bij Kleinverbruikers van Netbeheer Nederland goedgekeurd. In het besluit van 9 mei 2012 heeft het CBP verklaard dat de Gedragscode een juiste uitwerking vormt van de Wet bescherming persoonsgegevens en andere wettelijke bepalingen betreffende de verwerking van persoonsgegevens.

De goedkeuring geldt voor een termijn van vijf jaar na de datum van bekendmaking in de Staatscourant.

Hof Leeuwarden 22 mei 2012, zaaknr. 107.001.948/01 (Stokke tegen Marktplaats)

Uitspraak ingezonden door Tobias Cohen Jehoram en Marjolein Bronneman, De Brauw Blackstone Westbroek en Christiaan Alberdingk Thijm en Vita Zwaan, SOLV advocaten.

Richtlijn elektronische handel. Auteursrechtrichtlijn. Handhavingsrichtlijn. Auteurswet. BVIE. Wet bescherming persoonsgegevens.

In't kort: Het hof bekrachtigt de tussen partijen gewezen vonnissen van de Rechtbank Zwolle-Lelystad van 3 mei 2006 (IEF 2011)  en 14 maart 2007 (IEF 3685).

In het eerdere tussenvonnis heeft de rechtbank overwogen dat de Auteursrecht Richtlijn en de Wbp,  het verzamelen en registreren door Marktplaats van de NAW-gegevens van haar adverteerders, niet in de weg staan. Dit betekent overigens niet zonder meer dat Marktplaats gehouden is om deze gegevens van adverteerders, die de aanduidingen STOKKE of TRIPP TRAPP gebruiken, te verzamelen. Marktplaats is daartoe alleen gehouden wanneer zij, in het licht van de door de rechtbank in het tussenvonnis omschreven toetsingskader, onzorgvuldig handelt door registratie na te laten.

In onderhavige arrest wordt Marktplaats als een neutrale hostingdienst bestempeld, die zich met succes kan beroepen op de vrijwaring uit 6:196c lid 4 BW. Marktplaats pleegt zelf geen auteursrechtinbreuk. De betrokkenheidsvorderingen worden ook afgewezen, omdat o.a. het belang van het voordeel gering is, terwijl Marktplaats geen profijt trekt van de advertenties geplaatst door haar klanten-adverteerders. Indien de vordering wordt toegewezen, bespaart Stokke minder dan €700 per jaar. Marktplaats zal, bij aanpassing van haar bestaande systemen, een veelvoud van deze kosten moeten aanwenden, daarom wordt ook de gevorderde maatregel om 'herplaatsen' tegen te gaan als niet evenredig gezien.

Er is geen reden om prejudiciële vragen te stellen (er wordt veelvuldig naar L'Oréal/eBay verwezen), de overige vorderingen worden eveneens afgewezen en Stokke wordt veroordeeld in de proceskosten.

In citaten:

Hostingdienst?

5.11. De conclusie is dat Marktplaats geen actieve, maar een neutral rol speelt tussen haar klanten-verkoper en de potentiële kopers en dat zij derhalve een hosting-dient levert als bedoeld in artikel 6:196c lid 4 BW.

5.16 Nu niet op andere gronden is betwist dat Marktplaats prompt handelt om inbreukmakende Stokke-advertenties (te) verwijderen zodra zij daarvan kennis heeft gekregen of had behoren te krijgen, moet worden geconcludeerd dat Marktplaats als host in de zin van artikel 6:196c lid 4 BW (artikel 14 Reh) met vrucht op de vrijwaring van dat artikel kan beroepen.

Pleegt Marktplaats zelf auteursrechtinbreuk?
6.2 (...). Dat een tussenpersoon als Marktplaats niet zelf een mededeling aan het publiek verricht is tevens af te leiden uit artikel 8 lid 3 Auteursrechtlijn, artikel 11, 3e volzien, Handhavingsrichtlijn en artikel 26d Aw, die bepalen dat de rechthebbende een verbod/bevel kunnen verzoeken tegen tussenpersonen als Marktplaats wier diensten worden gebruik om inbreuk te maken. Deze bepalingen zouden overbodig zijn wanneer de tussenpersoon zelf inbreuk zou maken (zie ook punten 127 - 129 van het L'Oréal-eBay-arrest). Marktplaats pleegt kortom zelf geen auteursrechtinbreuk. Voor zover de vorderingen van Stokke op deze stelling zijn gebaseerd, zijn zij niet toewijsbaar.

Betrokkenheids-vorderingen
A-C: leestip r.o. 8.9 en 8.11
D,E: leestip r.o. 9.2.
E,F (herplaatsen): 10.5
I,J naw-gegevens): 11.13

Op andere weblogs:
Quafi (1019h Burgerlijke rechtsvordering: verliezer betaalt 1300.000 euro proceskosten)

Hof Amsterdam 1 mei 2012, LJN BW5596 (Appellanten tegen ING Bank N.V.)

Persoonsgegevens. Hypotheekfraude. Bewijsaanbod wordt geaccepteerd. Opneming door bank van persoonsgegevens hypotheekadviseur in haar incidentenregister en daaraan gekoppelde verwijzingsregisters als bedoeld in artikel 16 Wet bescherming persoonsgegevens. Onschuldpresumptie. Toereikende grond(vgl HR 29 mei 2009 LJN BH4720). (Continuering) opneming in registers onrechtmatig? Bewijslevering.

Feiten / rechtbank:
4.1.5 ING heeft de persoonsgegevens van [appellant sub 1]op 7 april 2008 opgenomen in het incidentenregister. Bij brief van 8 april 2008 heeft ING dat aan [appellant sub 1]medegedeeld.
De persoonsgegevens van [appellant sub 1]zijn opgenomen in het EVR, zodat deze voor alle financiële instellingen raadpleegbaar zijn. Het bedrijf van [appellant sub 1]is niet EVR geregistreerd.
Verder is het algemeen deel van de paraplu-aangifte door ING opgenomen in het incidentenregister.

4.1.6 [appellanten] ondervinden, zo stellen zij, schadelijke gevolgen van de opneming van bovengenoemde gegevens in het incidentenregister, IVR en EVR. Zij willen dat de gegevens die op hen betrekking hebben door ING daaruit worden verwijderd. Omdat ING hiertoe niet bereid bleek, hebben zij ING in rechte betrokken. Zij verwijten ING dat zij onrechtmatig jegens hen handelt door bovengenoemde gegevens niet uit de registers te verwijderen.

4.1.7 De rechtbank heeft onderzocht of toereikende grond bestaat voor opneming van de persoonsgegevens van [appellant sub 1]in het EVR en van het algemene deel van de parapluaangifte in het incidentenregister.

De rechtbank heeft tot uitgangspunt gekozen dat het gaat om verwerking van strafrechtelijke persoonsgegevens als bedoeld in artikel 16 van de Wet bescherming persoonsgegevens alsmede dat verwerking van dergelijke gegevens in het incidentenregister en de verwijzingsregisters slechts is toegestaan indien de opgenomen strafbare gedragingen in voldoende mate vaststaan. Dat is het geval, aldus de rechtbank, wanneer sprake is van zodanige concrete feiten en omstandigheden dat deze een als strafbaar feit te kwalificeren bewezenverklaring – in de zin van artikel 350 Wetboek van Strafvordering – kunnen dragen. De rechtbank is tot het oordeel gekomen dat de opneming van de naam-adres-woonplaats gegevens van [appellant sub 1]in het EVR gerechtvaardigd is. Hetzelfde geldt voor de opneming in het incidentenregister van de betrokkenheid van [appellanten] bij, kortweg, de fraudekwestie [M.]. Voor de rest van de hypotheekfraude waarvan ING [appellanten] verdenkt, heeft de rechtbank onvoldoende aanwijzing gevonden, zodat de in het incidentenregister opgenomen gegevens die daarop betrekking hebben in dat register niet mogen worden gehandhaafd. Daarom mocht ING ook de zakelijke relatie met [appellanten] verbreken. Aldus is door de rechtbank beslist.

Hof / bewijsmateriaal strafbaar feit
4.7 Het hof is van oordeel dat dit bewijsmateriaal een als strafbaar feit te kwalificeren bewezenverklaring kan dragen, in het bijzonder een bewezenverklaring die oplevert het opzettelijk gebruik maken van een vals geschrift als ware het echt en onvervalst dan wel opzettelijk zodanig geschrift afleveren, terwijl hij weet of redelijkerwijze moet vermoeden dat dit geschrift bestemd is voor zodanig gebruik, strafbaar gesteld in artikel 225 lid 2 Wetboek van Strafrecht.

Hof / Onrechtmatig
4.9. Het ligt op de weg van [appellanten] die zich beroepen op dit onrechtmatig handelen door ING, om de door hen gestelde toedracht van de hypotheekaanvraag van het echtpaar [M.] te bewijzen. Daarbij heeft het hof nog in aanmerking genomen dat [appellanten] geen gebruik hebben gemaakt van de rechtsbescherming die is voorzien in de Wet bescherming persoonsgegevens.

Hof / bewijsaanbod
4.10 [appellanten] hebben aangeboden om hun lezing van de toedracht van de hypotheekaanvraag van het echtpaar [M.] te bewijzen door getuigen en door het in het geding brengen van geschriften waaruit de doorbetaling door RB van provisie aan [D.] kan blijken.

Het hof zal [appellanten] de gelegenheid bieden om het van hen verlangde bewijs te leveren. Het hof tekent wat betreft het door [appellanten] aangeboden schriftelijke bewijs reeds nu aan dat [appellanten] niet kunnen volstaan met overlegging van een deel van hun boekhouding. Noodzakelijk is ook overlegging van een bewijsstuk van de onderliggende betaling.

In zoverre hebben [appellanten] succes met hun negende grief.