Privacy  

HvJ EU 17 november 2011, zaak C-461/10 (Bonnier Audio AB, Earbooks AB, Norstedts Förlagsgrupp AB, Piratförlaget Aktiebolag, Storyside AB tegen Perfect Communications Sweden AB ("ePhone") - dossier

Prejudiciële vragen Högsta domstol, Zweden. Auteursrechten en naburige rechten. Luisterboeken en bestanduitwisseling. Recht op doeltreffende bescherming van intellectuele eigendom. Handhavingsrichtlijn 2004/48/EG artikel 8 Bescherming van persoonsgegevens, elektronische communicatie en het bewaren van bepaalde gegenereerde gegevens, openbaarmaking van persoonsgegevens. Richtlijn 2002/58/EG: een vordering tot staking tegen een internet service provider, de naam en het adres van de gebruiker van een IP-adres informatie - artikel 15 - richtlijn 2006/24/EG - Artikel 4. bestanden delen

Vraag

Staat richtlijn 2006/24/EG [...gegevensbewaring], in de weg aan de toepassing van een op artikel 8 van [handhavings]richtlijn 2004/48/EG gebaseerde nationale bepaling volgens welke in een civielrechtelijke procedure een internetprovider met het oog op de identificatie van een abonnee kan worden gelast aan een auteursrechthouder of diens vertegenwoordiger informatie te verstrekken over de abonnee aan wie de internetprovider het IP-adres heeft toegewezen dat is gebruikt om inbreuk te maken op het auteursrecht, wanneer de verzoeker een duidelijk bewijs van de inbreuk op een bepaald auteursrecht heeft overgelegd en die maatregel in overeenstemming is met het evenredigheidsbeginsel?

Heeft de omstandigheid dat de lidstaat de richtlijn bewaring van gegevens nog niet in nationaal recht heeft omgezet ofschoon de termijn daarvoor is verstreken, invloed op het antwoord op vraag 1?

Conclusie AG - lees verder voor computervertaling

63. Nach alledem schlage ich dem Gerichtshof vor, auf die Vorlagefragen des Högsta domstol wie folgt zu antworten: Die Richtlinie 2006/24/EG des Europäischen Parlaments und des Rates vom 15. März 2006 über die Vorratsspeicherung von Daten, die bei der Bereitstellung öffentlich zugänglicher elektronischer Kommunikationsdienste oder öffentlicher Kommunikationsnetze erzeugt oder verarbeitet werden, und zur Änderung der Richtlinie 2002/58/EG gilt nicht für die Verarbeitung personenbezogener Daten für andere als die in Art. 1 Abs. 1 dieser Richtlinie genannten Zwecke. Demzufolge steht diese Richtlinie der Anwendung einer nationalen Vorschrift nicht entgegen, nach der in einem zivilrechtlichen Verfahren einem Internetdienstleister zu dem Zweck, einen bestimmten Teilnehmer identifizieren zu können, aufgegeben wird, einem Urheberrechtsinhaber oder dessen Vertreter Auskunft über den Teilnehmer zu geben, dem der Internetdienstleister eine bestimmte IP‑Adresse zugeteilt hat, von der aus die Verletzung begangen worden sein soll. Diese Angaben müssen jedoch gemäß detaillierten nationalen Rechtsvorschriften, die unter Beachtung der für den Schutz personenbezogener Daten geltenden unionsrechtlichen Bestimmungen erlassen worden sind, im Hinblick auf ihre Weitergabe und Verwendung zu diesem Zweck auf Vorrat gespeichert worden sein. In Anbetracht der Antwort auf die erste Frage ist die zweite Frage gegenstandslos geworden.

Computergestuurde vertaling

Richtlijn 2006/24/EG van het Europees Parlement en de Raad van 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd of verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten of van openbare communicatienetwerken en tot wijziging van richtlijn 2002/58/EG is niet van toepassing op de verwerking van persoonsgegevens voor andere dan de genoemde doeleinden als bedoeld in artikel 1, paragraaf 1 van deze richtlijn. Daarom staat de richtlijn de toepassing van een nationale bepaling niet in de weg, in het kader van een civiele procedure, om een specifieke abonnee te identificeren, indien de rechter opdracht gaf aan een internet service provider bekend te maken aan de houder van het auteursrecht, of zijn rechtverkrijgende, informatie over de identiteit van de abonnee aan wie de handelaar heeft toegewezen een IP-adres dat zou zijn gebruikt om dat recht te bewerkstelligen. Toch moet deze informatie in overeenstemming met gedetailleerde nationale wetgeving, die is aangenomen in overeenstemming met de EU-wetgeving inzake de bescherming van persoonsgegevens worden, opgeslagen in het kader van distributie en het gebruik voor dit uiteindelijke doel. Gelet op het antwoord op de eerste vraag, is de tweede vraag niet relevant.

Antwoord vragen van het lid Schouw over het bericht ‘PVV verzamelt privé-gegevens journalisten’ Aanhangsel Handelingen II 2011-2012, 505.

1 Bent u bekend met het bericht dat de Partij Voor de Vrijheid van journalisten – in opdracht van de Dienst Koninklijke en Diplomatieke Bescherming (DKDB) – het Burgerservicenummer (BSN) zou vragen als vereiste voor het bijwonen van persconferenties?

Het is juist dat de PVV op verzoek van de Dienst Koninklijke en Diplomatieke Bescherming (DKDB) van het Korps Landelijke Politiediensten gegevens vraagt aan bezoekers van bijeenkomsten. Het gaat daarbij om partijbijeenkomsten en persconferenties, waarbij toegangscontrole is in verband met de beveiliging van de heer Wilders.

Bij bewaken en beveiligen staat het veilig en ongestoord functioneren van de te beveiligen persoon voorop. Bij een publiek optreden van de te beveiligen persoon in een afgesloten gebied of ruimte kunnen door bepaalde vormen van toegangscontrole, waaronder een screening vooraf van de deelnemers, eventuele veiligheidsrisico’s eerder in beeld worden gebracht zodat kan worden gezorgd voor een maximale bewegingsvrijheid van de heer Wilders. Om deze reden zijn persoonsgegevens van bezoekers noodzakelijk. Indien er op basis van naslag van deze persoonsgegevens sprake is van een mogelijk risico voor de veiligheid van de heer Wilders, dan adviseert de DKDB aan de PVV de betrokken bezoeker niet toe te laten. Er worden daarbij geen nadere gegevens over de betrokken persoon verstrekt. Het is vervolgens aan de partij om de bezoeker wel of niet uit te nodigen.

In artikel 2, tweede lid, van de Wet bescherming persoonsgegevens (Wbp) is bepaald dat die wet niet van toepassing is bij de uitvoering van de politietaak. Onder de politietaak wordt ook het waken voor de veiligheid van personen begrepen.

Het BSN is een doelmatig middel om de verstrekte gegevens te verifiëren. De DKDB als onderdeel van de politie is bevoegd dat nummer te gebruiken (artikel 10 van de Wet algemene bepalingen burgerservicenummer).

De gegevens werden via de PVV opgevraagd omdat dit de meest doelmatige manier is voor alle betrokken partijen: zowel voor de deelnemer, als voor de organisator en de DKDB. Voor de goede orde wil ik nog benadrukken dat de betrokkenen de gegevens vrijwillig verstrekken.

Inmiddels heb ik er voor gekozen dat er voortaan geen Burgerservicenummers meer via de PVV worden opgevraagd, maar zal ik samen met de DKDB een meer transparante werkwijze opstellen.

Kamerstukken II 2011-2012, 27 529, nr. 85 Motie regionale dossiers ICT in de zorg 

 overwegende, de constatering van de Eerste Kamer dat regionale elektronische patiëntendossiers veelal niet voldoen aan de in vigerende wetgeving (BIG, WGBO, WBP) gestelde eisen;

overwegende, de aan de unanieme afwijzing van de systematiek van een landelijk elektronisch patiëntendossier door de Eerste Kamer verbonden voorkeur voor een regionaal systeem dat van onderop is georganiseerd;

verzoekt de regering de regionale dossiers van een wettelijk kader te voorzien en hierbij normen voor inzage en overdracht van gegevens alsmede het toezicht en de handhaving op veiligheid te regelen,

Beeld CC-BY-SA Govert de Roos/SP

Rechtbank Maastricht 29 augustus 2011, LJN B7650 (Eiser tegen gemeente Nuth)

Privaccy, vingerafdruk voor paspoort, geen strijd met EVRM en Handvest, beroep art. 1 EP. Rechtspraak.nl Verweerder stelt zich op het standpunt (kort weergegeven) dat het voorschrift dat een reisdocument is voorzien van vingerafdrukken is gebaseerd op de (EG) Verordening nr. 2252/2004 van 13 december 2004 betreffende normen voor de veiligheidskenmerken van en biometrische gegevens in door de lidstaten afgegeven paspoorten en reisdocumenten (Verordening). De Verordening heeft rechtstreekse werking en er is geen uitzondering op deze bepaling in de Verordening opgenomen.

Eiser voert in beroep aan (kort samengevat) dat zowel de verplichting tot het afgeven van zijn vingerafdrukken, alvorens een paspoort kan worden aangevraagd en afgegeven, alsook het opslaan van deze vingerafdrukken in een (de)centrale database ingevolge de Paspoortwet in strijd is met artikel 8 van het Europese Verdrag van de Rechten van de Mens (EVRM) en artikel 8 van het Europese Handvest. Voorts stelt eiser dat sprake is van een inbreuk op zijn eigendomsrecht (van zijn biometrische kenmerken) en dat de paspoortchip onvoldoende beveiligd is. Eiser doet ook een beroep op het gelijkheidsbeginsel, omdat personen voor wie het fysiek onmogelijk is vingerafdrukken af te staan wel een reisdocument kunnen krijgen.

Ten slotte stelt eiser dat de Paspoortwet niet voorziet in een procedure waar eiser als burger zijn (principiële) bezwaren kan uiten, hetgeen als een fors gebrek in de wet moet worden gekwalificeerd.
(...)
Ten aanzien van de gestelde inbreuk op eisers eigendomsrecht merkt de rechtbank op dat er in dit geval geen sprake is van bezittingen die een “economische waarde” vertegenwoordigen en dus geen inbreuk op eisers eigendomsecht als bedoeld in artikel 1 van het Eerste Protocol.

Ten aanzien van de gestelde inbreuk op eisers eigendomsrecht merkt de rechtbank op dat er in dit geval geen sprake is van bezittingen die een “economische waarde” vertegenwoordigen en dus geen inbreuk op eisers eigendomsecht als bedoeld in artikel 1 van het Eerste Protocol.

Met betrekking tot eisers stelling dat de Paspoortwet niet voorziet in een procedure waar hij als burger zijn (principiële) bezwaren kan uiten, merkt de rechtbank op dat de wetgever hier niet voor heeft gekozen. Gelet op de doelstelling van de paspoortwet ligt het immers voor de hand dat er in beginsel geen uitzonderingen mogelijk zijn op het vereiste dat bij de aanvraag van een reisdocument vingerafdrukken worden opgenomen. De rechtbank verwerpt deze beroepsgrond van eiser dan ook.

Op grond van voorgaande overwegingen is de rechtbank van oordeel dat verweerder, na eisers weigering tot afgifte van zijn vingerafdrukken en de geboden herstelmogelijkheid, terecht heeft besloten zijn aanvraag voor het verkrijgen van een nieuw paspoort buiten behandeling te stellen.

WIPO Arbitration and Mediation Center 12 oktober 2011, D2011-1446 (Mediq N.V. tegen DomainsByProxy en Janelle Fausett; arbiter Dr. Clive N.A. Trotman)

Domeinnaam. Merkenrecht. Domeinnaam <yourmediq.com> is verwarrend gelijkelijk aan de merken van MEDIQ. Geen recht of legitiem belang en domein wordt niet niet-commercieel of fair gebruikt.

Verweerder had click-through of pay-per-click business model ontwikkeld voor de site en bood dit aan pharmacie- en medicijnwebsites aan te adverteren. Dat is gebruik te kwader trouw. Domeinnaam overgedragen.

Betreft Identiteit van de verweerder: DomainsByProxy biedt een privacy service, zodat contactgegevens van daadwerkelijke registeerder verborgen blijven. Na start van de procedure werden contactgegevens overlegd aan WIPO en werd Janelle Fausette eveneens betrokken in deze procedure. Via emailadres en fysiek adres aan Janelle, postmaster en via DomainsByProxy en aan adres van laatste betekend. Dus voldoende pogingen gedaan om verweerders te contacteren.

Onder C (...)
According to the evidence, the disputed domain name resolves to a website managed by GoDaddy, a company that trades in domain names, website hosting and other Internet services. The GoDaddy website resolved to by the disputed domain name displays the line: “Want to buy this domain? Our Domain Buy Service can help you get it.” The Panel interprets that line as meaning that the disputed domain name is offered for sale to visitors who may have reached it in the process of searching for the Complainant’s trademark or accepting search results containing the Complainant’s trademark. In the absence of any explanation to the contrary, and on the balance of probabilities, it may reasonably be concluded that the Respondent intends to sell the disputed domain name for a price in excess of the costs of registration, and that the registration was made primarily for that purpose, constituting bad faith within the meaning of paragraph 4(b)(i) of the Policy.

A screen capture made on August 22, 2011, produced in evidence, displays the website to which the disputed domain name resolved at that time. The Respondent’s website offered links to other websites generally related to pharmacies and medicines. It may reasonably be concluded that the Respondent has enabled the provision of these links in return for revenue through the business model known as click-through or pay-per-click. By this model the advertiser pays a commission, at least part of which would be received by the Respondent, in return for referrals received through links. Such an operation may be entirely legitimate and is routinely used to provide partial funding for public service or news websites, or as a legitimate stand-alone business.

In order to succeed commercially, however, the operator of a pay-per-click website must attract visitors. The Respondent in the present case must expect to attract visitors seeking the Complainant’s trademark, to which the Respondent does not have rights, thus rendering the operation not bona fide. The Panel finds on the balance of probabilities that the Respondent, pending the primary purpose of selling the disputed domain name, has put it to use in order to attract visitors in the expectation of commercial gain resulting from their initial interest confusion, constituting bad faith within the contemplation of paragraph 4(b)(iv) of the Policy.

Rechtbank Almelo 5 oktober 2011, LJN BT7211 (Shetland Pony Park Slagharen B.V. tegen gedaagde)

Auteursrecht broncode. Opdrachtgeversauteursrecht. Bewijs. Incidentele vordering.

Gedaagde is sinds jaren ´80 werknemer en betrokken bij automatisering. De auteursrechten van de door hem vervaardigde software in opdracht van Slagharen zijn nooit aan Slagharen overgedragen. Dus van onbevoegd toegang verschaffen tot email, LinkedIn en Twitter accounts is geen sprake, en voor zover hij dat deed is dat in opdracht.

Betwisting van auteursrecht overtuigt niet, stukken (continuïteitsverklaringen) waarin staat: "heeft voor u programmatuur ontwikkeld dat gemaakt is in Windev/Webdev/Winde Mobile for Windows. (….) De broncode is eigendom van Attractiepark Slagharen.". Veroordeling volgt.

De incidentele vordering ex 843a Rv betreft vertrouwelijke en concurrentiegevoelige bedrijfsgegevens (email) is voldoende duidelijk, concreet en specifiek omschreven. Met dwangsommen €10.000 / dag(deel) met maximum van €200.000. Proceskostenuitspraak aangehouden tot eindvonnis.

2.5. Uit die feiten, zoals hiervoor weergegeven in rechtsoverweging 1.1., komt duidelijk naar voren dat [gedaagde] bij herhaling en op verschillende manieren heeft gehandeld in strijd met de elementaire zorgvuldigheid die Slagharen van hem als haar ICT-functionaris/systeembeheerder mocht verwachten, met name door actief te bewerkstelligen dat evident vertrouwelijke, en daarom met wachtwoorden en dergelijke beveiligde gegevens, zowel van zakelijke als van persoonlijke aard, in handen kwamen of konden komen van onbevoegden, als gevolg waarvan een aanzienlijke kans ontstond dat van die gegevens misbruik werd gemaakt, waardoor aan Slagharen en/of aan haar medewerkers aanmerkelijke schade kon worden toegebracht. Die onzorgvuldigheid beschouwt de rechtbank als zowel een toerekenbare tekortkoming in de nakoming van de verplichtingen van [gedaagde] uit hoofde van de tussen hem en Slagharen bestaande contractuele relatie, als een jegens Slagharen onrechtmatige daad.

2.6. De rechtbank verwerpt de overigens door [gedaagde] gevoerde verweren als volgt. [gedaagde] betwist de stelling van Slagharen, dat Slagharen het auteursrecht heeft op de door [gedaagde] in opdracht van Slagharen geschreven software. Die betwisting overtuigt echter niet, gezien de volgende door Slagharen overgelegde stukken:
- Een brief (een zgn. ‘continuïteitsverklaring’) d.d. 21 februari 2005 van [gedaagde] aan Slagharen, onder meer inhoudende: “[K-B] automatisering heeft voor u programmatuur ontwikkeld dat gemaakt is in Clarion voor Windows. (….) De broncode is eigendom van Attractiepark Slagharen.”
- Een brief (eveneens een ‘continuïteitsverklaring’) d.d. 17 maart 2008 van [gedaagde] aan Slagharen, onder meer inhoudende: “[K-B] automatisering heeft voor u programmatuur ontwikkeld dat gemaakt is in Windev/Webdev/Winde Mobile for Windows. (….) De broncode is eigendom van Attractiepark Slagharen.”
Op grond van deze stukken gaat de rechtbank er vooralsnog van uit, dat niet [gedaagde], maar Slagharen het auteursrecht heeft, zoals Slagharen heeft gesteld.

2.9. Anders dan [gedaagde] acht de rechtbank de incidentele vordering in het licht van artikel 843a Rv. duidelijk, concreet en specifiek genoeg omschreven, gezien de omstandigheden van dit geval. Slagharen somt de stukken, waarvan zij inzage verlangt, weliswaar niet stuk voor stuk op, maar dit valt van haar ook niet in redelijkheid te vergen. Nu het in de gegeven situatie zeer aannemelijk is dat [gedaagde] e-mailverkeer en (andere) documenten van Slagharen onrechtmatig naar zijn eigen mailadres(sen) heeft gestuurd, behoort Slagharen in de gelegenheid te worden gesteld om door raadpleging van de inbeslaggenomen data te bezien, welke documenten enz. dat zijn, en hoeft zij die stukken niet eerst individueel op te sommen en/of nader te beschrijven.

Lees het vonnis hier (LJN / pdf) 

Vragen van de leden Spekman en Jadnanansing (beiden PvdA) aan de staatssecretaris van Sociale Zaken en Werkgelegenheid en de minister van Onderwijs Cultuur en Wetenschap over de roep van gemeenten om bestandskoppeling tegen fraude (ingezonden 8 september 2011) 2011Z17249

Vraag 1 Bent u bekend met het bericht “Gemeenten: bestanden koppelen tegen fraude” 1) waarin gemeenten pleiten voor de koppeling van bestanden om fraude met uitkeringen beter aan te kunnen pakken?

Antwoord 1 Ja.

Vraag 2 Deelt u de mening dat er grote stappen gemaakt kunnen worden met de fraudebestrijding door bepaalde beschikbare gegevensbestanden aan elkaar te koppelen?

Het kabinet geeft hoge prioriteit aan preventie en opsporing van fraude en gebruikt daarbij ook de mogelijkheden om met bestandskoppeling en gegevensuitwisseling fraude met uitkeringen tegen te gaan. In het Handhavingsprogramma 2011-2014 heb ik aangekondigd te onderzoeken op welke wijze de bepalingen voor gegevensuitwisseling tussen de Wet Structuur uitvoering werk en inkomen (SUWI) en Wet werk en bijstand (WWB) kunnen worden geharmoniseerd1. Uiteraard moet gegevensuitwisseling zorgvuldig gebeuren en moet de Wet bescherming persoonsgegevens daarbij in acht worden genomen.

De afgelopen jaren is er veel gedaan op het gebied van gegevensuitwisseling. Zo kunnen medewerkers van gemeentelijke sociale diensten, het UWV en de SVB in het kader van de uitkeringsintake zien of iemand andere inkomsten of bepaalde vormen van eigen vermogen heeft. Het Inlichtingenbureau ondersteunt gemeenten bij de rechtmatigheidscontroles door bestandskoppelingen tussen verschillende bestanden uit te voeren, bijvoorbeeld de polisadministratie, de Belastingdienst en detentiegegevens. In combinatie met de informatie over de uitkering van cliënten leidt de bestandskoppeling soms tot nader onderzoek door de gemeente.

Aanvullend hierop ben ik gestart met een inventarisatie van de mogelijkheden van een bredere inzet van bestandskoppeling en gegevensuitwisseling om fraude te voorkomen en te bestrijden. Ik betrek hierbij ook de voorbeelden die wethouder Den Besten van de gemeente Utrecht mij, namens een aantal collega’s, heeft aangereikt en ik kijk ook naar de mogelijkheden voor het UWV en de SVB. Aan de hand van deze inventarisatie zal ik bezien of en in hoeverre aanpassing van regelgeving en ICT systemen nodig is en wat de kosten en de baten van de maatregelen zijn. Mijn beeld is dat er ook nog veel onbekendheid is bij gemeenten over de mogelijkheden inzake bestandskoppelingen en ik zal gemeenten informeren over deze mogelijkheden.

Vraag 6 Wat zijn de redenen dat bijvoorbeeld de bijstandsbestanden, woningadministratie en de gemeentelijke basisadministratie niet aan elkaar gekoppeld zijn? Overweegt u dergelijke stappen tot bestandskoppeling te zetten om de fraudeaanpak verder te verbeteren?

De WWB maakt gebruik van het GBA-adres en de bestanden zijn daarmee voor dat doel gekoppeld. De woningadministratie bestaat niet, zoals de bijstandsadministratie en de gemeentelijke basisadministratie, uit één enkele administratie. Veelal voeren woningbouwverenigingen hun eigen administratie en daarnaast worden woningen of kamers ook door privépersonen verhuurd. Op grond van de WWB moeten verhuurders van woningen of kamers gegevens verstrekken aan de gemeenten indien wordt getwijfeld aan de rechtmatigheid van een uitkering. Op deze wijze is uitwisseling van gegevens mogelijk tussen de WWB en de verschillende administraties van (particuliere) woningverhuurders.

Vraag 7 Deelt u de mening van de gemeenten dat een systeem waar alleen de verdachte adressen “uit rollen” de problemen omtrent privacy zou kunnen ondervangen?

Op diverse plaatsen wordt gebruik gemaakt van een dergelijk systeem. Zo gebruiken de interventieteams het Systeem Anonieme Risico Indicatie (SARI). Hiermee worden verschillende bestanden anoniem gekoppeld op basis van door SIOD aangeleverde risicoprofielen. Dit leidt tot een lijst met mogelijke fraudeurs en moet de pakkans verhogen.
Voorts werkt DUO thans in het kader van de aanpak misbruik uitwonendenbeurs reeds met een risicoprofiel. Op hiervan selecteert DUO studerenden met een uitwonendenbeurs bij wie het risico bestaat van onjuistheid van het woonadres. DUO zal vervolgens de gemeenten verzoeken een adrescontrole uit te voeren en zal daartoe persoonsgegevens met de gemeenten uitwisselen. Het gaat om een minimale set van persoonsgegevens. Nadat het onderzoek is uitgevoerd, zullen de resultaten van de adrescontroles worden teruggekoppeld aan DUO.

1) Volkskrant, 07 september 2011

RvdJ 30 september 2011, nr. 2011/65 (Mariko Peters en R. Kluijver tegen hoofdredacteur van HP/De Tijd)

Privacy in Journalistiek. In HP/De Tijd van 5 augustus 2011, verschenen op 3 augustus 2011, is een artikel van de hand van Witteman gepubliceerd met de kop “Het Kamerlid, de liefde & de ontvoering” (link login). Het artikel is op de voorpagina van het weekblad aangekondigd met de ankeiler “GroenLinks-Kamerlid Mariko Peters - Medeplichtig aan kinderontvoering”.
In de inhoudsopgave is vermeld: “Het GroenLinks-Kamerlid heeft een probleem. Ze verleent onderdak aan de kinderen van haar partner, die volgens de rechter bij hun moeder moeten wonen. Dat maakt haar medeplichtig aan ontvoering.”

Het artikel raakt niet alleen de persoonlijke levenssfeer van Peters, maar ook die van Kluijver. De Raad ziet zich dan ook voor de vraag gesteld of met het gewraakte artikel een inbreuk is gemaakt op de privacy van beide klagers afzonderlijk, die niet in redelijke verhouding staat tot het maatschappelijk belang van de publicatie. In dat verband zal de Raad beoordelen of voldoende zorgvuldig onderzoek naar de feiten is verricht en deugdelijk wederhoor is toegepast.

Ten aanzien van de inbreuk op de privacy van Peters overweegt de Raad ten slotte dat zij een openbare functie bekleedt. Voor mensen met publieke c.q. min of meer openbare functies is een zekere mate van blootstelling aan ongewilde publiciteit onvermijdelijk. Hun gedrag in de privésfeer heeft recht op bescherming tegen ongewilde inbreuken, tenzij dat gedrag aantoonbaar van invloed is op hun publiek functioneren. (zie punt 2.4.2. van de Leidraad)

Gelet op hetgeen de Raad eerder heeft overwogen ten aanzien van de maatschappelijke relevantie van de publicatie, moet worden geconcludeerd dat de privacy van Peters in dit geval niet disproportioneel is geschaad.

Beslissing:
De klacht is gegrond voor zover:
-          beschuldigingen over kinderontvoering aan het adres van klagers zijn gepubliceerd zonder deugdelijk onderzoek;
-          Kluijver geen gelegenheid tot wederhoor is geboden.
Voor het overige is de klacht ongegrond.
 
De Raad verzoekt verweerders deze beslissing integraal of in samenvatting in HP/De Tijd te publiceren.

Rechtbank 's-Gravenhage 27 september 2009, LJN BT6781 (Koninklijke Beroepsorganisatie van Gerechtsdeurwaarders, Koninklijke Notariële Beroepsorganisatie c.s. tegen OPTA)

OPTA hoeft notarissen en gerechtsdeurwaarders geen langere termijn - dan de reeds gegunde twee weken - te gunnen om gebruik te kunnen blijven maken van door Diginotar - van wie het systeem is "gehackt" - afgegeven gekwalificeerde certificaten met het oog op het rechtsverkeer met het Kadaster. Uit artikel 2.2 lid 4 van de Telecommunicatiewet ("Tw") volgt dat die certificaten onmiddellijk c.q. zo snel mogelijk moeten worden ingetrokken. Dat klemt hier te meer nu na de "hackeractiviteiten" de betrouwbaarheid van de certificaten niet meer voor de volle 100% kan worden gegarandeerd. Beroep op artikel 2.2. lid 4 aanhef en onder c Tw gaat niet op. Belangenafweging valt uit in het voordeel van OPTA.

4.6. Voor zover eisers zich hebben beroepen op het bepaalde in artikel 2.2 lid 4 aanhef en onder c Tw, gaat de voorzieningenrechter daaraan voorbij. Blijkens de parlementaire geschiedenis kan slechts sprake zijn van het stellen van een termijn in geval van mogelijke - tijdelijke of incidentele - niet-naleving van bepaalde vereisten die de betrouwbaarheid van een gekwalificeerd certificaat niet direct in twijfel trekken teneinde de betreffende dienstverlener in de gelegenheid te stellen alsnog aan de eisen te voldoen (Kamerstukken II, 2000/01, 27 743, nr. 3, p. 21). Die situatie is hier niet aan de orde. De overtreding waaraan Diginotar zich schuldig heeft gemaakt brengt immers mee dat de door haar uitgegeven gekwalificeerde certificaten niet meer als volledig betrouwbaar kunnen worden aangemerkt. Bovendien valt niet in te zien dat Diginotar alsnog aan de eisen zou kunnen voldoen. Haar systeem is immers blijvend gecorrumpeerd. In het Besluit heeft OPTA - onder 65 en 66 - ook gemotiveerd aangegeven waarom geen termijn in de zin van voormelde bepaling is gegund.

4.7. Voor het geval OPTA in het Besluit - ondanks de vaststelling daarin (onder 62) dat door de beëindiging van de registratie van Diginotar circa 4.200 gebruikers geen gebruik meer kunnen maken van gekwalificeerde certificaten - geen rekening heeft gehouden met de belangen van eisers, moet worden aangenomen dat indien OPTA dat wel had gedaan de beslissing niet anders zou zijn uitgevallen, ook niet voor wat betreft de termijn van intrekking van de certificaten. Het belang van OPTA bij veilige en betrouwbare gekwalificeerde certificaten moet namelijk als zwaarwegender worden aangemerkt dan het belang van eisers, dat kort gezegd neerkomt op het voorkomen van een verhoging van de kosten verbonden aan de inschrijving van notariële akten en beslagen in het Kadaster. Dat klemt te meer nu de kostenstijging - die per akte/beslag beschouwd als redelijk overzienbaar moet worden aangemerkt - slechts tijdelijk is (tot omstreeks 1 november 2011) en verhaalbaar is op de opdrachtgever. Aan het voorgaande doet niet af dat - zoals eisers stellen - het risico op fraude aan de hand van een vervalst gekwalificeerd certificaat uiterst minimaal is, wat daar verder ook van zij. Over de veiligheid en betrouwbaarheid van een gekwalificeerd certificaat mag immers geen enkele twijfel bestaan, hetgeen niet meer opgaat voor de door certificaten van Diginotar na het "hacken" van haar systeem.

4.8. De slotsom is dat de vordering van eisers zal worden afgewezen. Daarbij merkt de voorzieningenrechter nog op dat hij inziet dat het niet meer digitaal kunnen inschrijven van notariële akten en beslagen de nodige ongemakken meebrengt voor de notarissen en de gerechtsdeurwaarders. Dat is echter onvoldoende om tot een ander oordeel te kunnen leiden.

Commentaar in't kort door Silvia van Schaik en Wouter Seinen, C'M'S' Derks Star Busmann.
In navolging van Hoge Raad 9 september 2011, IT 492

De belangenafweging als verplichte lakmoesproef voor de wettelijke rechtvaardigingsgronden voor verwerking van persoonsgegevens

Onlangs heeft de Hoge Raad een principiële uitspraak gedaan over de toetsing van de rechtvaardigingsgronden die in de Wet bescherming persoonsgegevens (Wbp) zijn opgenomen. Het ging om de vraag bij welke van de wettelijke verwerkingsgronden ruimte bestaat voor een belangenafweging. In cassatie werd namelijk aangevoerd dat een dergelijke belangenafweging wel hoort plaats te vinden bij een beroep op artikel 8 sub f Wbp (noodzakelijk voor de behartiging van gerechtvaardigde belangen), maar niet bij een beroep op bijvoorbeeld art. 8 b (noodzakelijk voor uitvoering overeenkomst).
 
Hoe luidt de casus?
Een natuurlijk persoon (Kredietnemer) had al 9 jaren een doorlopend krediet bij Santander. In juni 2007 heeft Kredietnemer een betalingsachterstand van € 20,- opgelopen, waardoor uiteindelijk zijn volledige restschuld - van € 315,18 – opeisbaar werd. Zowel de betalingsachterstand als het opeisbaar worden van de restschuld werden vervolgens door Santander gemeld bij het Bureau Kredietregistratie (BKR) conform het BKR-reglement. In oktober 2007 betaalt Kredietnemer de volledige vordering aan Santander.

Ongeveer een jaar later verneemt Kredietnemer van de BKR-registraties en verzoekt hij Santander om ongedaanmaking. Santander geeft aan dit verzoek geen gevolg.

Verwijdering BKR-registraties op grond van de Wbp
Kredietnemer wendt zich daarop tot de rechtbank met een beroep op de Wbp. De rechtbank en daarna het hof oordelen dat Santander de BKR-registraties moet (laten) verwijderen. Santander stelt cassatie in.

De Wbp bepaalt onder welke voorwaarden persoonsgegevens mogen worden verwerkt. Eén van die voorwaarden is dat een verwerking van persoonsgegevens alleen toegestaan is als deze terug te voeren is op één van de in art. 8 Wbp (limitatief) genoemde grondslagen. Art. 8 Wbp luidt:

Persoonsgegevens mogen slechts worden verwerkt indien:
a. de betrokkene voor de verwerking zijn ondubbelzinnige toestemming heeft verleend;
b. de gegevensverwerking noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of voor het nemen van precontractuele maatregelen naar aanleiding van een verzoek van de betrokkene en die noodzakelijk zijn voor het sluiten van een overeenkomst;
c. de gegevensverwerking noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke onderworpen is;
d. de gegevensverwerking noodzakelijk is ter vrijwaring van een vitaal belang van de betrokkene;
e. de gegevensverwerking noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak door het desbetreffende bestuursorgaan dan wel het bestuursorgaan waaraan de gegevens worden verstrekt, of
f. de gegevensverwerking noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke of van een derde aan wie de gegevens worden verstrekt, tenzij het belang of de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, prevaleert.

De hoofdvraag in deze procedure, is of bij een verwerking van persoonsgegevens altijd een belangenafweging tussen het belang van registratie en het belang van de betreffende persoon moet worden gemaakt of alleen in geval van een registratie op grond van art. 8 sub f Wbp.

Belangenafweging
Kredietnemer heeft kennelijk betoogd dat bij de BKR-registraties onvoldoende rekening met zijn belangen was gehouden. Volgens Santander was een belangenafweging alleen vereist wanneer art. 8 sub f van toepassing is en niet wanneer de verwerking is gebaseerd op een andere grondslag uit art. 8 Wbp. Zij betoogde dat haar verwerking was gebaseerd op art. 8 sub a, b en/of c Wbp en dat zij daarom geen belangenafweging hoefde te maken.

De Hoge Raad is het daar niet mee eens: de “verantwoordelijke” moet altijd een belangenafweging maken.

Bij elke gegevensverwerking moet worden voldaan aan de beginselen van proportionaliteit en subsidiariteit. De inbreuk op de belangen van de betrokkene mag niet onevenredig zijn in verhouding tot het doel van de verwerking. Ook is vereist dat het doel niet op een andere, voor de betrokkene minder nadelige, wijze kan worden bereikt. De aanwezigheid van een wettelijke rechtvaardigheidsgrond uit art. 8 Wbp maakt een afweging van deze belangen niet overbodig. Bij de afweging moeten alle omstandigheden van het geval in aanmerking worden genomen. Dat Santander wettelijk verplicht is om zich aan te sluiten bij een stelsel van kredietregistratie en dat dat met zich meebrengt dat zij zich moet houden aan het BKR-reglement en daarom verplicht was om de onregelmatigheden te melden, maakt dat niet anders.

De taak om een wettelijke verplichting uit te voeren, rechtvaardigt niet iedere gegevensverwerking (r.o. 3.5.2). Ook de argumenten met betrekking tot het doel van de kredietregistratie helpen Santander niet. Het doel van registratie had tegen de gevolgen ervan voor betrokkene moeten worden afgewogen in het licht van de omstandigheden. Omstandigheden als het langdurig correcte betaalgedrag, de geringe betaalachterstand en het direct voldoen van de gehele openstaande vordering nadat deze bij Kredietnemer bekend was, brengen volgens het hof met zich mee dat de belangenafweging ten gunste van Kredietnemer uitvalt. De Hoge Raad schaart zich acht het oordeel van het hof dat Santander in redelijkheid niet tot registratie over had moeten gaan, althans na het door betrokkene geuite bezwaar de registratie alsnog had moeten verwijderen.

Toestemming
Overigens bevat de uitspraak nog een opmerkelijke overweging over toestemming. Wanneer betrokkene toestemming heeft gegeven voor een verwerking (art. 8 sub a Wbp), mag de verwerking in beginsel plaatsvinden. Echter, ook toestemming ontslaat de verantwoordelijke niet zonder meer van de verplichting tot het maken van een belangenafweging. Wanneer de betrokkene erop wijst dat met zijn belangen onvoldoende rekening is gehouden, moet de verantwoordelijke in ieder geval alsnog een belangenafweging maken, volgens de Hoge Raad (r.o. 3.3. onder (e)).

Onduidelijk is hoe dit laatste zich nu precies verhoudt tot intrekking van toestemming. Toestemming kan namelijk op grond van art. 5 lid 2 Wbp worden ingetrokken. Over het algemeen wordt aangenomen dat de verantwoordelijke na het intrekken van een toestemming de gegevensverwerking die op die toestemming gebaseerd is, moet stoppen. Men kan de verwerking niet na intrekking alsnog baseren op een andere verwerkingsgrond. Dat zou in strijd zijn met het beginsel van “fair processing” dat is verankerd in art. 6 Wbp (MvT, Kamerstukken II 1997/98, 25892, nr. 3, p.80-81).

Volgens de A-G hebben het hof en de rechtbank “klaarblijkelijk en terecht” uit de opstelling van Kredietnemer de intrekking van een (eventueel) gegeven toestemming afgeleid (r.o. 4.4). De Hoge Raad benadrukt alleen dat bij een verwerking op basis van toestemming een belangenafweging in ieder geval dient plaats te vinden wanneer de betrokkene erop wijst dat met zijn belangen onvoldoende rekening is gehouden (r.o. 3.3 onder (e)). Is dat daadwerkelijk iets anders dan het intrekken van een toestemming? De Hoge Raad heeft hiermee o.i. de deur opengezet voor een belangenafweging na intrekking van een toestemming. Tot nu toe werd aangenomen dat een toestemming altijd kan worden ingetrokken en dat de verantwoordelijke daarna de verwerking onmiddellijk moet stoppen. Uit de uitspraak leiden wij af dat de verantwoordelijke na een intrekking alsnog een belangenafweging moet maken en de verwerking dus niet altijd hoeft te stoppen. Kennelijk kan, in geval van intrekking van toestemming, een belangenafweging er (onder omstandigheden) toe leiden dat een verdere verwerking toch rechtmatig blijft.