Privacy  

Antwoord Staatssecretaris Teeven vragen Elissen over het registreren van routers, Aanhangsel Handelingen II, 2011/2012, nr. 964.

In reactie op artikel van Webwereld, Misverstanden over Google's router opt-out zijn kamervragen gesteld.

Vraag 2
Deelt u de analyse van het College bescherming persoonsgegevens (Cbp) dat ten aanzien van het verzamelen van routerdata artikel 8 onder F, van de Wet bescherming persoonsgegevens (Wbp) van toepassing is en dat dus krachtens de Nederlandse wet een “opt-out” volstaat? Zo nee, welke andere interpretatie is er volgens u mogelijk en kan hieruit de verplichting voor een opt-in blijken? Bent u bereid hier nader onderzoek naar te doen, te meer het op grote schaal verzamelen en aggregeren van gegevens die in potentie de privacy kunnen schaden steeds vaker voor komt?

Antwoord 2
Ja. Artikel 8 onder f van de Wbp biedt een grondslag voor het verzamelen en verwerken van routerdata. De onderzochte verwerking betreft de combinatie van het MAC-adres (het unieke nummer van de wifi-router) in combinatie met de berekende locatie van de wifi-router. Deze verwerking is van andere aard dan bijvoorbeeld de verwerking van gegevens over surfgedrag met behulp van cookies of de locatiegegevens van smartphones. Deze verwerking brengt derhalve in tegenstelling tot gegevens die informatie verschaffen over het gedrag van de betrokkene geen grote inbreuk op de persoonlijke levenssfeer met zich mee.

Bij de belangenafweging tussen enerzijds de persoonlijke levenssfeer van betrokkenen en anderzijds het belang van de verantwoordelijken die gegevens willen verwerken speelt de mate van gevoeligheid van de gegevens die de verantwoordelijke wil verwerken een rol, evenals de waarborgen die de verantwoordelijke heeft getroffen voor een zorgvuldig gebruik van de gegevens. Een belangrijke waarborg is transparantie, duidelijke informatie aan betrokkenen voor welk gerechtvaardigd doel hun persoonsgegevens worden verzameld en verwerkt. Een andere veelvoorkomende waarborg is de mogelijkheid van een opt-out.

Vraag 3
Kunt u één of meer scenario’s schetsen waarbij het verzamelen en publiceren van Service Set Identifier (SSID)’s (in combinatie met samenhangende gegevens, zoals de locatie) resulteert in een aantasting van de privacy? Kunt u hierbij rekening houden met de mogelijkheid om deze gegevens met andere databestanden te combineren?

Antwoord 3
Het CBP heeft in zijn rapport van definitieve bevindingen als voorbeeld genoemd dat het MAC-adres van de wifi-router, eventueel samen met het SSID, in combinatie met de locatiegegevens gebruikt zou kunnen worden om een persoon te stalken. Het CBP heeft vastgesteld dat het verzamelen en verwerken van SSID’s niet noodzakelijk is voor het kunnen aanbieden van de geolocatiedienst, en heeft Google een last opgelegd om alle in Nederland verzamelde SSID’s te vernietigen.

vraag 4
Deelt u de mening dat een “opt-in” (in tegenstelling tot een “opt-out”) een veel kleinere inbreuk op de privacy inhoudt en dat een “opt-in”, door bijvoorbeeld het SSID op ‘_yesmap’ te laten eindigen, vanuit privacyperspectief een betere optie is dan de door Google voorgestelde ‘_nomap’? Zo nee, waarom niet? Denkt u dat huidige regelgeving volstaat?

Antwoord 4
Vanuit het perspectief van betrokkenen is een opt-in (toestemming) vaak te verkiezen boven een opt-out (verzet). Echter, zoals uiteengezet in mijn antwoord op vraag 2 biedt de Wbp naast het toestemmingsvereiste ook de mogelijkheid om te volstaan met een opt-out constructie. Het gaat dan om diensten, waarbij het bedrijfsbelang van de verantwoordelijke in het algemeen opweegt tegen het recht op bescherming van persoonsgegevens en de persoonlijke levenssfeer. Aangezien ik met het CBP van mening ben dat met het verzamelen van routergegevens geen aanzienlijke inbreuk op de
privacy wordt gemaakt deel ik de in uw vraag verwoorde mening niet. In de reeds toegezegde brief aan uw Kamer naar aanleiding van de Motie Van Toorenburg e.a. (Kamerstukken II 2011/12 32 761, nr. 12) zal ik hier nader op ingaan.

Vraag 5
Deelt u de stelling uit het artikel dat bedrijven als Microsoft, Apple, Blackberry en Skyhook in overtreding zijn? Bent u bereid het Cbp te vragen dit te onderzoeken? Zo nee, bent u dan bereid een strafrechtelijk onderzoek in te stellen? Zo nee, waarom niet? Welke bedrijven zijn er nog meer in overtreding wanneer het gaat om het verzamelen van gegevens van routers? Wat bent u van plan hieraan te gaan doen?

Antwoord 5
Het oordeel of de in het artikel genoemde bedrijven in overtreding zijn is aan het CBP. Het CBP is een onafhankelijke toezichthouder die zelf kiest bij welke bedrijven en instellingen het onderzoek doet en die bovendienexclusief bevoegd is ten aanzien van de handhaving de Wbp. Er is geen aanknopingspunt voor strafrechtelijk optreden. Ik beschik niet over gegevenswelke bedrijven gegevens van routers verzamelen.

Hof Arnhem 10 januari 2012, LJN BV0470 (appellant tegen Aveant Thuishulp B.V.)

Inzage medisch dossier in verband met rechtsgeldigheid testament.

In eerder kort geding vordert `jr.´ inzage in het medisch en verpleegkundig dossier van zijn overleden vader "Sr.". Jr. stelt belang te hebben bij die inzage omdat hij zich op het standpunt stelt dat [sr.] op 26 februari 2010 een uiterste wilsbeschikking heeft vastgesteld terwijl Sr. op dat moment in een zodanige geestelijke toestand verkeerde dat hij niet bekwaam was tot het verrichten van rechtshandelingen. Aveant c.s. hebben die inzage geweigerd met een beroep op het medisch beroepsgeheim. De voorzieningenrechter heeft de vorderingen afgewezen.

In dit hoger beroep wordt geoordeeld dat er geen voldoende concrete aanwijzingen aannemelijk zijn geworden waaruit volgt dat een zwaarwegend belang geschaad wordt indien de geheimhouding van het medisch en verpleegkundig dossier van [sr.] wordt gehandhaafd.

Kort geding wordt bekrachtigd.

4.7  De verdere argumenten die [jr.] heeft aangevoerd ter onderbouwing van zijn stelling dat sprake is van voldoende concrete aanwijzingen in de zin van r.o. 4.4 hiervoor, kunnen – voorshands oordelend – zijn vordering evenmin dragen. Dat [sr.] [leeftijd] oud was toen hij, kort voor zijn overlijden, het testament heeft ondertekend en dat hij daarbij de dochters van zijn buren als erfgenamen heeft aangewezen, zijn geen zodanig ongewone omstandigheden dat daaruit zonder meer zou kunnen worden afgeleid dat [sr.] handelingsonbekwaam was toen hij het testament ondertekende. Zowel de notaris als [geïntimeerde sub 2] hebben verklaard dat [sr.] tegen hen heeft gezegd dat de relatie met zijn (voormalige) partner Van Leeuwen was geëindigd. Dat Van Leeuwen en/of [jr.] – zonder daaraan een concrete onderbouwing te geven – op dit punt een andere mening zijn toegedaan, kan er in dit kort geding niet toe leiden dat voldoende aannemelijk is geworden dat [sr.] handelingsonbekwaam was toen hij het testament ondertekende.

4.8  Het voorgaande brengt mee dat op basis van de hiervoor besproken stellingen van [jr.] – ook als die worden beoordeeld in hun onderlinge samenhang en in samenhang met hetgeen [jr.] overigens heeft aangevoerd – in dit kort geding geen voldoende concrete aanwijzingen aannemelijk zijn geworden waaruit volgt dat een zwaarwegend belang geschaad wordt indien de geheimhouding van het medisch en verpleegkundig dossier van [sr.] wordt gehandhaafd. Dat geldt niet alleen ten aanzien van de primair gevorderde inzage door [jr.] zelf, maar ook ten aanzien van de subsidiair gevorderde inzage door een aan te wijzen deskundige. Reeds daaruit volgt dat die vorderingen moeten worden afgewezen en dat de grieven 4 tot en met 9 falen.

Uit´t persbericht. Na onderzoek heeft het College bescherming persoonsgegevens (CBP) vastgesteld dat TomTom de Wet bescherming persoonsgegevens (Wbp) overtreedt omdat de aan de gebruiker gevraagde toestemming voor verwerking van geolocatiegegevens en de bijbehorende informatie onvoldoende specifiek is. TomTom verwerkt voor zichzelf de geolocatiegegevens die worden opgeslagen op de offline en online apparaten om verkeer en wegen in kaart te brengen. Aangezien geolocatiegegevens gevoelige persoonsgegevens zijn, mogen deze alleen met voorafgaande toestemming van de gebruiker worden verwerkt en moet de gebruiker voldoende worden geïnformeerd. TomTom heeft toegezegd de informatie aan zijn klanten in februari 2012 aan te zullen passen aan de wettelijke vereisten.

Het CBP onderzocht tevens de wijze waarop TomTom geolocatiegegevens verstrekt aan derde partijen, waaronder indirect aan de politie. Het concludeert dat TomTom deze gegevens onomkeerbaar heeft ontdaan van identificerende kenmerken en de gegevens alleen op geaggregeerd niveau verstrekt. Het CBP concludeert daarom dat TomTom bij de verstrekking van geolocatiegegevens aan derden niet in strijd handelt met de Wbp.

CBP Beslissing op bezwaar 25 november 2011, kenmerk z2011-0063 (GVB)

Uit't persbericht: Het College bescherming persoonsgegevens (CBP) heeft een zogeheten ‘beslissing op bezwaar’ genomen nadat het Amsterdamse vervoerbedrijf GVB bezwaar had aangetekend tegen een last onder dwangsom van het CBP. In de last onder dwangsom heeft het CBP vastgesteld dat reisgegevens van studenten met een studenten OV-chipkaart persoonsgegevens zijn en heeft het GVB verplicht om nieuwe bewaartermijnen voor deze gegevens in te voeren. Reisgegevens zijn volgens het CBP persoonsgegevens, omdat deze zijn te herleiden tot identificeerbare personen. Het CBP handhaaft de last onder dwangsom tegen GVB. Dit betekent dat GVB de bewaartermijnen voor reisgegevens van studenten moet aanpassen. GVB heeft toegezegd aan deze eis te zullen voldoen. Indien dit op 31 december 2011 niet is gebeurd, dan is GVB een dwangsom verschuldigd die kan oplopen tot maximaal 250.000 euro.

Met commentaar in het kort van Walter van Holst, Mitopics

Nog net op de valreep van 2011 publiceerde het College Bescherming Persoonsgegevens (CBP) haar beslissing op bezwaar inzake de transactiegegevens die het Gemeentelijk Vervoersbedrijf (GVB) verwerkt als gevolg van het gebruik van de studenten OV-chipkaart in het Amsterdamse openbaar vervoer. Het CBP had het GVB een dwangsom opgelegd wegens het niet conform artikel 6 Wbp verwerken van persoonsgegevens van houders van  studenten OV-chipkaarten. Kernpunt van de discussie was de vraag of reisgegevens wel of geen persoonsgegevens zijn, waarbij het CBP haar zienswijze in de bezwaarprocedure heeft gehandhaafd. Een kritische noot vanaf de zijlijn.

De feitelijke situatie rondom de OV-chipkaart is dat bij het zogenaamde in- en uitchecken bij OV-chipkaartterminals (de paaltjes op metro- en treinstations en de gele bakken in trams en bussen) zowel op de kaart zelf als in de systemen van de vervoerder (in casu GVB) het kaartnummer, abonnementstype en de daaraan gerelateerde gegevens (‘reisproduct’, ingangsdatum, uitgever abonnement), mutatiegegevens (datum, tijdstip, saldo voor en na transactie) en het apparaat waarbij in- of uitgecheckt wordt, worden vastgelegd. De NAW-gegevens van de kaarthouder zijn alleen bij GVB bekend als GVB de uitgever van het abonnement is. In het geval van de studenten OV-chipkaart zullen deze in het algemeen niet bij  GVB bekend zijn.

Het GVB stelt zich op het standpunt dat er geen sprake is van identificerende informatie, omdat er geen NAW-gegevens bij GVB bekend zijn. Daarmee wordt naar mening van het GVB niet aan de criteria van artikel 1 Wbp voldaan. Sterker nog, GVB is van mening dat er sprake is van privacy by design nu de gegevens noodzakelijk voor daadwerkelijke identificatie van de houders van studenten OV-chipkaarten bij een derde partij, Trans Link Systems (TLS) verwerkt worden en niet door de vervoersbedrijven zelf.

Het CBP en GVB zijn het hier fundamenteel over oneens en het CBP heeft het GVB op 9 juni 2011 dan ook een last onder dwangsom opgelegd. Hierop heeft het GVB bezwaar aangetekend. Interessant daarbij is dat in de beslissing op bezwaar het CBP korte metten maakt met de opvatting van het GVB dat nu de NAW-gegevens bij een derde (TLS) verwerkt worden, er geen sprake is van persoonsgegevens. Het CBP stelt namelijk letterlijk in de beslissing op bezwaar dat:

“Voor de vaststelling of een persoon identificeerbaar is moet blijkens bovengenoemde overweging 26 uit Richtlijn 95/46/EG immers worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren.' (onderstreping toegevoegd)"

Als gebruiker van het openbaar vervoer die grote twijfels heeft bij de zorgvuldigheid waarmee het ambitieuze OV-Chipkaart project is neergezet juich ik het gemak waarmee het CBP de door het GVB, RET en NS opgezette constructie, waarin dochter TLS als privacybliksemafleider lijkt te fungeren, heeft doorgeprikt toe. Als praktijkjurist mis ik in deze redenering wat nuances ten behoeve van de rechtszekerheid. Het CBP introduceert namelijk grote onzekerheid over wanneer gegevens nu ophouden persoonsgegevens te zijn. Want anonimisering vindt niet zelden plaats door gegevens te schrappen, terwijl diezelfde gegevens vaak nog wel bij derden voorhanden blijven, derden die veelal toch wel enige vorm van een relatie met de verantwoordelijke hebben. In de casus van het GVB is het inderdaad redelijkerwijs voorzienbaar dat de transactiegegevens van reizen bij het GVB door TLS verwerkt worden en daarmee tot identificeerbaarheid van de kaarthouders leidt. TLS vervult immers de rol van clearing house tussen de vervoerders onderling. Het zou voor de begripsvorming echter wel prettig zijn geweest als uit de beslissing op bezwaar op te maken zou zijn onder welke omstandigheden een partij wel onafhankelijk genoeg is dat aangenomen kan worden dat de gegevens bij een derde niet langer als redelijkerwijs inzetbaar geacht kunnen worden om een betrokkene te identificeren.

Voor de vaststelling dat de transactiegegevens persoonsgegevens zijn, is dit standpunt ook niet strikt noodzakelijk, want het CBP heeft in haar beslissing op bezwaar ruim gemotiveerd dat (kaart)nummers op zichzelf ook identificerend kunnen zijn. Een eventueel beroep van het GVB tegen de beslissing op bezwaar heeft dan ook weinig kans van slagen. Het wachten is op een dossier waar de grenzen van ‘redelijkerwijs’ meer inzichtelijk worden dan in deze zaak.

Internetconsultatie wijziging Wbp (gebruik camerabeelden en meldplicht datalekken) (einddatum 29 februari 2012)

In het wetsvoorstel is een regeling opgenomen voor een verruiming van het gebruik van camerabeelden gemaakt met particuliere beveiligingscamera's van burgers en bedrijven ten behoeve van de opsporing van strafbare feiten. In het wetsvoorstel is ook een regeling opgenomen voor een meldplicht voor datalekken.

Concept regeling wijziging Wbp (2 Mb).

Doel van de regeling Met deze regeling wil Staatssecretaris Teeven bereiken dat beelden van strafbare feiten afkomstig van beveiligingscamera's die door particulieren of bedrijven zijn geïnstalleerd op ruimere schaal kunnen worden ingezet om de opsporing van strafbare feiten te ondersteunen.

Met deze regeling wil Staatssecretaris Teeven ook bereiken dat bedrijven en overheid aan het College bescherming persoonsgegevens gaan melden dat zij zijn geconfronteerd met een lek in de beveiliging van hun geautomatiseerde verwerking van persoonsgegevens. Die melding moet alleen worden gedaan als aannemelijk is dat persoonsgegevens als gevolg van dat lek zijn blootgesteld aan een aanmerkelijke kans op verlies of onrechtmatige verwerking.

Verwachte effecten van de regeling 
Van een ruimer gebruik van camerabeelden wordt verwacht dat de investering in eigen beveiligingsmaatregelen meer gaat opleveren voor burgers en bedrijven. Van de meldplicht datalekken wordt verwacht dat de meldplicht bijdraagt aan een grotere transparantie bij de verwerking van persoonsgegevens, ruimere aandacht voor de noodzaak goed te investeren in beveiligingsmaatregelen, en op den duur toename van het vertrouwen van de samenleving in de geautomatiseerde verwerking van persoonsgegevens.

RvS Afdeling bestuursrechtspraak 30 november 2011, LJN BU6383 (wederpartij tegen Universitair Medisch Centrum Groningen)

Met samenvatting van Marianne Korpershoek, Louwers IP|Technology Advocaten.

Logfiles. Kennisnamerecht patiënt. Een patiënte van het UMCG wil op grond van artikel 35 WBP kennis nemen van de namen van de zorgverleners die inzage hebben gehad in haar medisch patiëntendossier. Het UMCG wees het verzoek en bezwaar af. De Rechtbank Groningen verklaart het beroep van patiënte gegrond. Het UMCG stelt hoger beroep in bij de Raad van State.

De rechtbank is van oordeel dat de patiënte op grond van art. 35 lid 2 WBP recht heeft op een overzicht van de zorgverleners die inzage hebben gehad in haar dossier. Het UMCG stelt zich op het standpunt dat kennisneming alleen mogelijk is indien de wens tot kennisname samenhangt met het recht op correctie en aanvulling de inhoud van het dossier. Verder beroept het UMCG op het recht van privacy van de betrokken zorgverleners. De Raad van State wijst deze argumenten en daarmee het beroep van het UMCG af en vernietigt het besluit van het UMCG. De patiënte heeft recht op de logfiles met gegevens van personen die inzage hebben gehad in haar medisch dossier.

2.4.3. Gelet op hetgeen onder 2.4.2 is overwogen, mocht het UMCG ingevolge het bepaalde in artikel 35, tweede lid, van de Wbp niet volstaan met het mededelen van categorieën van ontvangers. Het betoog van het UMCG dienaangaande faalt dan ook.

De rechtbank heeft met juistheid geoordeeld dat artikel 35, tweede lid, van de Wbp, aan [wederpartij] in beginsel het recht toekent op een overzicht van namen van degenen die haar medisch dossier in het Poliplus-systeem hebben geraadpleegd. Met de rechtbank verwerpt de Afdeling het betoog van het UMCG dat de informatie waar artikel 35, tweede lid, van de Wbp op ziet, uitsluitend dient ter uitoefening van het recht op correctie en aanvulling van de inhoud van het dossier. Dat [wederpartij] de informatie zou hebben verzocht teneinde na te gaan of het UMCG het beroepsgeheim in acht neemt, kon derhalve geen grond zijn de door haar verzochte informatie niet mede te delen. Het recht op mededeling of persoonsgegevens worden verwerkt, als neergelegd in artikel 35 van de Wbp, kan weliswaar ten dienste staan van aanwending van de mogelijkheid door een betrokkene om de verantwoordelijke te verzoeken deze persoonsgegevens te verbeteren of aan te vullen, voorzien in artikel 36 van de Wbp, maar dat betekent niet dat de mededeling slechts behoeft te worden gedaan in zoverre dat doel kan worden gediend. Uit de tekst van artikel 35, tweede lid, van de Wbp volgt immers dat de verantwoordelijke een volledig overzicht van de verwerkte persoonsgegevens dient te verstrekken, los van het doel dat betrokkene met het verzoek voor ogen heeft. Zoals de rechtbank voorts met juistheid heeft overwogen, geeft de Wbp aan een ieder het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt en wordt het belang bij een zodanig verzoek door de Wbp verondersteld.

De betogen van het UMCG dat [wederpartij] niet een zodanig belang heeft gesteld dat een inbreuk op de privacy van de medewerkers van het UMCG is gerechtvaardigd en dat het aansprakelijk is voor fouten van ondergeschikten en het zonder wettelijke plicht niet is gehouden om een verklaring tegen zichzelf af te leggen, zijn niet gericht tegen de aangevallen uitspraak en leiden om die reden niet tot vernietiging van de uitspraak.

2.8.1. Zoals onder 2.4.3 is overwogen mocht het UMCG, nu degenen die het medisch dossier van [wederpartij] in het Poliplus-systeem hebben geraadpleegd, geen ontvangers zijn in de zin van artikel 1, aanhef en onder h, van de Wbp, ingevolge het bepaalde in artikel 35, tweede lid, van de Wbp, niet volstaan met het mededelen van categorieën van ontvangers. Artikel 35, tweede lid, van de Wbp, kent aan [wederpartij] het recht toe op een volledig overzicht van namen van degenen die haar medisch dossier in het Poliplus-systeem hebben geraadpleegd. Het UMCG heeft artikel 35, tweede lid, van de Wbp op grond van artikel 43, aanhef en onder e, van de Wbp buiten toepassing gelaten in zoverre het verzoek van [wederpartij] strekt tot mededeling van de namen van degenen die het medisch dossier in het Poliplus-systeem hebben geraadpleegd. Het UMCG heeft echter niet deugdelijk gemotiveerd waarom het buiten toepassing laten van artikel 35, tweede lid, van de Wbp in dit geval noodzakelijk is in het belang van de bescherming van de rechten en vrijheden van anderen. Zoals onder 2.4.3 is overwogen, geeft de Wbp aan een ieder het recht zich vrijelijk en met redelijke tussenpozen tot de verantwoordelijke te wenden met het verzoek hem mede te delen of hem betreffende persoonsgegevens worden verwerkt in de zin van artikel 1, aanhef en onder b, van de Wbp. Het belang bij een zodanig verzoek wordt door de Wbp verondersteld. Daarom en omdat het in dit geval verwerking van persoonsgegevens in het kader van een digitaal medisch dossier betreft, staat het belang van [wederpartij] om haar rechten op grond van artikel 35 en 36 van de Wbp uit te kunnen oefenen, zoals zij terecht betoogt, voorop. Met de enkele overweging in het besluit van 9 december 2010 dat ook een inbreuk op de privacy van medewerkers van het UMCG moet zijn voorzien bij de wet en moet voldoen aan de eisen van proportionaliteit en subsidiariteit heeft het UMCG niet een weging verricht die hieraan recht doet. Het betoog van [wederpartij] slaagt.

Vzr. Rechtbank 's-Gravenhage 6 december 2011, KG ZA 11-1183 (Stichting BREIN tegen Techno Design "Internet programming" B.V.) -  persbericht BREIN

Met dank aan Dirk visser, Marloes Bakker en Arnout Groen, Klos Morel Vos & Schaap.

Auteursrecht. Provider als tussenpersoon. Klantgegevens. Technodesign is een payment provider en biedt een online-betaaldienst aan met behulp waarvan bezoekers van een website betalingen kunnen verrichten aan de beheerder van de website. Op internet was tot voor kort een website beschikbaar die fungeerde als platform voor het uitwisselen van entertainmentbestanden, via zogenaamde torrents. BREIN heeft, zonder succes, getracht de identiteit van de verantwoordelijken te achterhalen omdat die naar haar oordeel met de website auteursrechtinbreuken door derden faciliteerden. Bezoekers konden tokens kopen waarmee ze gebruik konden maken van betere functionaliteiten en sneller konden downloaden. Voor de afhandeling van de betaling van de tokens worden diensten van Techno Design gebruikt.

Conform criteria uit de rechtspraak, waaronder Lycos/Pessers, moet Techno Design de gegevens van de verantwoordelijken verstrekken aan BREIN. Hieronder wordt verstaan de naw-gegevens, e-mail en ip-adressen en het bankrekeningnummer. De gegevens van personen die "anderszins als tussenpersoon tussen Techno Design en de verantwoordelijken voor de website diensten verlenen voor de verantwoordelijken voor de website" hoeven niet te worden overlegd. Dit alles onder last van een dwangsom ad €1.000 tot een maximum van €25.000. Techno Design wordt veroordeeld in de kosten ex liquidatietarief ad €1.466,81.

4.3. Naar voorlopig oordeel kan bij de beoordeling van de gevorderde gegevensverstrekking worden aangesloten bij de criteria die in de rechtspraak zijn ontwikkeld voor de beantwoording van de vraag onder welke omstandigheden een hosting provider identificerende gegevens van zijn klant moet verstrekken aan een derde die stelt dat die klant onrechtmatig jegens hem handelt via een door de provider gehoste website ([Lycos - Pessers]). In beide gevallen gaat het immers om een partij die gegevens wil hebben van een dienstverlener teneinde een klant van die dienstverlener te kunnen aanspreken op onrechtmatig gedrag.

a. de mogelijkheid dat de informatie, op zichzelf beschouwd, jegens de derde onrechtmatig en schadelijk is, is voldoende aannemelijk;
b. de derde heeft een reëel belang bij de verkrijging van de NAW-gegevens;
c. aannemelijk is dat er in het concrete geval geen minder ingrijpende mogelijkheid bestaat om de NAW-gegevens te achterhalen;
d. afweging van de betrokken belangen van de derde, de serviceprovider en de websitehouder (voor zover kenbaar) brengt mee dat het belang van de derde behoort te prevaleren.

Zoals hierna per criterium zal worden toegelicht, moet toetsend aan die criteria voorhands worden geoordeeld dat op Techno Design een op maatschappelijke zorgvuldigheidnormen gebaseerde rechtsplicht rust om identificerende gegevens betreffende de verantwoordelijken te verstrekken aan BREIN.

4.4. Ten eerste staat voorshands vast dat via de onder 2.4 beschreven website (hierna: de website) structureel en grootschalig inbreuken zijn gepleegd op auteursrechten en naburige rechten van bij BREIN aangesloten rechthebbenden en dat ook de verantwoordelijken voor de website zelf grootschalig inbreuk hebben gepleegd op die rechten. Techno Design heeft dat niet betwist. Techno Design heeft ook niet bestreden dat er sprake is van “evident onrechtmatig handelen”, dat wil zeggen: handelen waarvan ook voor een derde die erop wordt gewezen, zoals Techno Design, duidelijk moet zijn dat het onrechtmatig is. In zoverre is de positie van Techno Design in dit geval minder lastig dan die van de gedaagde in de hiervoor genoemde Lycos – Pessers zaak. In die zaak ging het immers om handelingen waarvan de aangesproken provider volgens het hof niet zonder meer kon vaststellen of die onrechtmatig waren.

4.5. Ten tweede is niet in geschil dat BREIN een reëel belang heeft bij verkrijging van identificerende gegevens van de verantwoordelijken voor de website. BREIN heeft die gegevens immers nodig om die verantwoordelijken te kunnen aanspreken en aldus de voortdurende inbreuken op de rechten van de bij haar aangesloten partijen te kunnen stoppen. Dat belang bestaat ook nog na de verandering van de domeinnaam waaronder de website wordt gepubliceerd. Niet in geschil is namelijk dat de verantwoordelijken hun onrechtmatig gedrag onverminderd voortzetten onder de nieuwe domeinnaam.

4.6. Ten derde is voorhands niet aannemelijk dat BREIN in dit geval minder ingrijpende mogelijkheden heeft om de gevorderde gegevens te achterhalen. Het enige alternatief dat Techno Design naar voren heeft gebracht, is het starten van een procedure tegen de hosting provider. Dat alternatief is zowel voor de betreffende provider, als voor de personen op wie de gegevens betrekking hebben, naar voorlopig oordeel even ingrijpend als de onderhavige procedure. Techno Design heeft ook niet toegelicht waarom haar alternatief minder ingrijpend is. Bovendien heeft BREIN aangevoerd dat als het gaat om de verkrijging van gegevens, het effectiever is om een payment provider aan te spreken dan een hosting provider. Een payment provider zoals Techno Design moet op zijn minst bepaalde identificerende gegevens van zijn klanten bijhouden om de dienst te kunnen uitvoeren. Om de geïncasseerde gelden door te leiden naar haar klant moet Techno Design immers beschikking hebben over ten minste de naam en het rekeningnummer van die klant. Techno Design heeft ook niet bestreden dat zij over die gegevens beschikt. Een hosting provider daarentegen kan zijn diensten verrichten zonder identificerende gegevens van de klant en een eventuele betaling voor die dienst kan anoniem worden verricht. Volgens BREIN leert de ervaring dan ook dat de partijen die zich schuldig maken aan grootschalige inbreuken, doorgaans niet traceerbaar zijn op basis van de gegevens die hosting providers bijhouden. Ook dat heeft Techno Design niet bestreden. Gelet daarop kan naar voorlopig oordeel niet

4.7. Ten vierde moet naar voorlopig oordeel in dit geval het hiervoor genoemde belang van de bij BREIN aangesloten partijen om te kunnen optreden tegen de grootschalige inbreuken op hun rechten zwaarder wegen dan de belangen van de verantwoordelijken voor de website en de belangen van Techno Design. Het belang van de verantwoordelijken om anoniem te blijven prevaleert in dit geval niet. De verantwoordelijken opereren namelijk niet in de privé-sfeer, maar zijn in het economisch verkeer actief. Daarom moet hun identiteit duidelijk kunnen worden vastgesteld (vgl. HvJ EU 12 juli 2011, LJN BR3605, r.o. 142 (L’Oréal – eBay)). De dienst die zij aanbieden moet bovendien worden gekwalificeerd als een dienst van de informatiemaatschappij in de zin van artikel 3:15d lid 3 van het Burgerlijk Wetboek. BREIN heeft er naar voorlopig oordeel terecht op gewezen dat die diensten niet anoniem mogen worden aangeboden (art. 3:15d lid 1 sub a BW).

4.14. De proceskosten zullen niet worden begroot op basis van artikel 1019h van het Wetboek van Burgerlijke Rechtsvordering, alleen al omdat BREIN dat niet heeft gevorderd en zij geen overzicht van haar kosten in het geding heeft gebracht. De proceskosten zullen dus worden begroot op basis van het reguliere liquidatietarief, te weten op € 816,00 aan salaris advocaat, te vermeerderen met € 560,00 aan griffierecht en € 90,81 aan kosten deurwaarder.

HvJ EU 24 november 2011, zaak C-468/10(Asociación Nacional de Establecimientos Financieros de Crédito (ASNEF) en C-469/10 (Federación de Comercio Electrónico y Marketing Directo (FECEMD) tegen Administración del Estado)

Verwerking van persoonsgegevens. Artikel 7, sub f Richtlijn 95/46/EG heeft rechtstreekse werking”.

Artikel 7, sub f, van richtlijn 95/46/EG (...), moet in die zin worden uitgelegd dat het zich verzet tegen een nationale wettelijke regeling die, bij ontbreken van toestemming van de betrokkene, de mogelijkheid tot verwerking van diens persoonsgegevens, die noodzakelijk is voor de behartiging van een gerechtvaardigd belang van de voor die verwerking verantwoordelijke of van de derde(n) aan wie de gegevens zullen worden meegedeeld, niet alleen afhankelijk stelt van de voorwaarde dat de fundamentele rechten en vrijheden van de betrokkene niet worden geschonden, maar ook van het vereiste dat de gegevens in voor het publiek toegankelijke bronnen zijn opgenomen, en aldus elke verwerking van gegevens die niet in dergelijke voor het publiek toegankelijke bronnen zijn opgenomen, categorisch en generiek uitsluit.

Kantonrechter Rechtbank Rotterdam 21 september 2011, LJN BU4848 (Lezen e-mail)

Ontbinding arbeidsovereenkomst wegens verstoorde arbeidsverhouding. Lezen e-mailberichten van werknemer door werkgever. Geen reglement. E-mailberichten aan een klant van, met daarin: "(..) I can tell you it is impossible tot work with pigs, and that is what I am facing now!”, en ook “(..) Das wissen wir auch night was da los ist, es ist hier ein komplett chaos.(..)”. Inbreuk op privacy werknemer in de gegeven omstandigheden gerechtvaardigd en proportioneel.

3.4 Volgens [verzoekster] zijn de uitlatingen van [verweerder] zeer beschadigend voor het bedrijf. Daarnaast getuigen de e-mails van dusdanig grensoverschrijdend gedrag aan de zijde van [verweerder], dat van [verzoekster] in redelijkheid niet kan worden verwacht het dienstverband nog langer te laten voortduren.

5.4 In onderhavig geval heeft [verzoekster] ten aanzien van het bestaan van een gerechtvaardigd doel voor controle van de e-mailberichten gesteld, dat er verdenkingen bestonden dat meer werknemers bij de malversaties van [verweerder] betrokken waren en dat daarom controle van de e-mailberichten noodzakelijk was. De kantonrechter overweegt dat het hier om controle van zakelijke e-mailberichten gaat, waarvoor geldt dat de werknemer, eerder dan bij privé e-mailberichten, mag verwachten dat de werkgever van de inhoud van deze e-mails kennis kan nemen. Tegen deze achtergrond en gezien de familiare betrekkingen tussen [verweerder] en zijn vader en het feit dat laatstgenoemde betrokken was bij de misstanden binnen [verzoekster], is de kantonrechter van oordeel dat [verzoekster] in de gegeven omstandigheden redelijkerwijs heeft kunnen besluiten om tot controle van de e-mailberichten van [verweerder] over te gaan. Derhalve wordt geoordeeld dat [verzoekster] een gerechtvaardig doel had voor controle van de zakelijke e-mailberichten van [verweerder]. De kantonrechter is voorts van oordeel dat het gekozen middel proportioneel is nu een minder belastend middel om de betrokkenheid van [verweerder] te controleren niet voorhanden was.

5.5 Gezien het voorgaande dient de inbreuk van [verzoekster] op de privacy van [verweerder] onder de gegeven omstandigheden als gerechtvaardigd en proportioneel te worden aangemerkt. Derhalve kunnen de door [verzoekster] in het geding gebrachte e-mailberichten worden meegenomen bij de beoordeling of sprake is van een dringende reden dan wel verandering in de omstandigheden.