Privacy  

Hof 's-Gravenhage 23 maart 2012, LJN BV9836 (virus & trojan)

Strafzaak. De verdachte heeft zich samen met een ander schuldig gemaakt aan het maken en verspreiden van een virus en een trojan, welke (onder andere) de functie hadden om inloggegevens en wachtwoorden af te vangen, op te slaan en naar een voor de verdachte en zijn medeverdachte toegankelijke bestandslocatie te verzenden. Van die gegevens kon misbruik worden gemaakt en dat is ook gebeurd. Aldus heeft de verdachte opzettelijk een stoornis in de besmette computers veroorzaakt, zodat er gemeen gevaar voor een ongestoorde dienstverlening te duchten is geweest. De verdachte heeft welbewust misbruik gemaakt van zijn kennis van informatie- en communicatietechnologie.

Het Hof veroordeelt de verdachte tot een gevangenisstraf voor de duur van 730 (zevenhonderddertig) dagen. Tevens wordt bepaald dat een gedeelte van de gevangenisstraf, groot 405 (vierhonderdvijf) dagen, niet ten uitvoer zal worden gelegd, tenzij de rechter later anders mocht gelasten omdat de verdachte zich voor het einde van een proeftijd van 2 (twee) jaren aan een strafbaar feit heeft schuldig gemaakt.

Het hof heeft de op te leggen straf bepaald op grond van de ernst van de feiten en de omstandigheden waaronder deze zijn begaan en op grond van de persoon en de persoonlijke omstandigheden van de verdachte, zoals daarvan is gebleken uit het onderzoek ter terechtzitting.

Daarbij heeft het hof in het bijzonder het volgende in aanmerking genomen. De verdachte heeft zich samen met een ander schuldig gemaakt aan het maken en verspreiden van een virus en een trojan, welke (onder andere) de functie hadden om inloggegevens en wachtwoorden af te vangen, op te slaan en naar een voor de verdachte en zijn medeverdachte toegankelijke bestandslocatie te verzenden. Van die gegevens kon misbruik worden gemaakt en dat is ook gebeurd. Aldus heeft de verdachte opzettelijk een stoornis in de besmette computers veroorzaakt, zodat er gemeen gevaar voor een ongestoorde dienstverlening te duchten is geweest. De verdachte heeft welbewust misbruik gemaakt van zijn kennis van informatie- en communicatietechnologie. Daarmee heeft de verdachte het vertrouwen ondermijnd dat internetgebruikers in een ongestoorde afwikkeling van creditcard- en bancaire diensten moeten kunnen stellen. Dat is schadelijk voor het functioneren van dat systeem.

Nieuw op MijnPrivacy.nl: ‘Privacy bij een zwarte lijst’

Mag een bedrijf mij zomaar op een zwarte lijst zetten? Wat doe ik als ik ten onrechte op een zwarte lijst sta? Antwoord op deze vragen vindt u in het nieuwe dossier ‘Privacy bij een zwarte lijst’ op MijnPrivacy.nl, de publiekssite van het CBP. Ook vindt u op deze website vernieuwde informatie over het toetsen van uw kredietwaardigheid.

Wat is een zwarte lijst?
Wie heeft toegang tot een zwarte lijst?
Is de Wet bescherming persoonsgegevens (Wbp) van toepassing op een zwarte lijst?
Mag een bedrijf mij zomaar op een zwarte lijst zetten?
Hoe kom ik te weten of ik op een zwarte lijst sta?
Kan ik mijn persoonsgegevens op een zwarte lijst inzien?
Kan ik mijn persoonsgegevens op een zwarte lijst laten corrigeren of verwijderen?
Wat kan ik doen als ik een vraag of klacht heb over een zwarte lijst?

Wetsvoorstel introduceert boetebevoegdheid toezichthouder bij datalekken
22 maart 2012
Uit't persbericht: Het CBP heeft de staatssecretaris van Veiligheid en Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties geadviseerd over het wetsvoorstel ‘gebruik camerabeelden en meldplicht datalekken’. Het wetsvoorstel introduceert de plicht voor bedrijven en overheden die persoonsgegevens verzamelen en gebruiken om een datalek zo snel mogelijk te melden bij het CBP. Als een datalek niet wordt gemeld, kan het CBP een boete van maximaal € 200.000,- opleggen.

Rechtbank Middelburg 15 maart 2012, LJN BV8942 (X tegen IND)

Prejudiciële vragen aan het Hof van Justitie EU inzake het verzoek om inzage in de minuut;het begrip "persoonsgegevens" in de zin van artikel 2 van de Privacyrichtlijn en de omvang van het inzagerecht in de zin van artikel 12 van de Privacyrichtlijn.

1. Zijn de gegevens die in de minuut van betrokkene zijn weergegeven en die betrekking hebben op betrokkene, persoonsgegevens in de zin van artikel 2, onder a, van de Privacyrichtlijn?
2. Is de in de minuut opgenomen juridische analyse een persoonsgegeven in de zin van voornoemde bepaling?

 

3. Wanneer het Hof bevestigt dat de hiervoor omschreven gegevens persoonsgegevens zijn, dient de verwerker/overheidsinstantie dan ook ingevolge artikel 12 van de Privacyrichtlijn en artikel 8, tweede lid, van het EU Handvest inzage te geven in deze persoonsgegevens?
4. Kan betrokkene in dit kader ook een rechtstreeks beroep doen op artikel 41, tweede lid, onder b, van het EU Handvest, en zo ja, moet de hierin opgenomen zinsnede “met inachtneming van het gerechtvaardigde belang van de vertrouwelijkheid op besluitvorming” zo worden uitgelegd dat het recht op inzage in de minuut op die grond kan worden geweigerd?
5. Wanneer betrokkene verzoekt om inzage in de minuut, dient de verwerker/overheidsinstantie een kopie van dit document te verschaffen om zo recht te doen aan het inzagerecht?

Op andere blogs:
Dirkzwagerieit

Rechtbank Zwolle-Lelystad, locatie Lelystad 4 mei 2011, LJN BV6594 (eiser tegen AEGON schadeverzekering N.V.)

Aegon was destijds de WAM verzekeraar van de achteropkomende auto en is door [eiser] aangesproken voor de door hem geleden schade. Aegon heeft aansprakelijkheid erkend en heeft vervolgens bureau Cunningham ingeschakeld voor de schadebehandeling. Partijen hebben geen buitengerechtelijke regeling getroffen ten aanzien van de schade.

Vraag of persoonlijk onderzoek door verzekeraar ongerechtvaardigde inbreuk is op recht op eerbiediging van persoonlijke levenssfeer.

4.3.  De rechtbank overweegt als volgt. Aegon was bij haar beslissing tot het instellen van een persoonlijk onderzoek gebonden aan de hiervoor in rechtsoverweging 2.4 aangehaalde gedragscode. Onder de door Aegon geschetste omstandigheden acht de rechtbank het niet onbegrijpelijk dat Aegon destijds van mening was dat zij (nog) niet over voldoende informatie beschikte om een verantwoorde beslissing te nemen dan wel dat bij haar twijfel was ontstaan over de juistheid van de reeds naar voren gekomen feiten. De opvatting van [eiser] dat alleen een onderzoek kon worden ingesteld bij een vermoeden van fraude wordt niet door de tekst van de code ondersteund en is dan ook onjuist.

De vraag of [eiser] de schaderegelaar daadwerkelijk heeft bedreigd kan naar het oordeel van de rechtbank in het midden blijven, aangezien de rechtbank het voorstelbaar acht dat het door [eiser] geschetste scenario met de politiehonden op zijn minst bedreigend is overgekomen bij de schaderegelaar.

4.4. De rechtbank is op grond van bovenstaande overwegingen van oordeel dat voldoende gerechtvaardigde gronden aanwezig waren waarop Aegon, met inachtneming van de toepasselijke gedragscode, kon besluiten tot het instellen van een persoonlijk onderzoek jegens [eiser].

Aegon was destijds gebonden aan de "Gedragscode Persoonlijk Onderzoek" en voortvloeiend daaruit, en mede uit artikel 34 Wbp had AEGON eiser moeten informeren over en diende zij schriftelijke toestemming van eiser tot het instellen van een dergelijk persoonlijk onderzoek. Nu zij dit heeft nagelaten wordt de verklaring voor recht toegewezen en is zij schadeplichting. De rechtbank oordeelt dat er geen sprake is van strijd met de zorgvuldigheidsnorm door de verzekeraar ex artikel 35 Wbp, omdat AEGON niet is aan te merken als verantwoordelijke in de zin van de Wbp.

4.9.  Aegon stelt dat zij gehandeld heeft conform de toepasselijke gedragscode en dat derhalve geen sprake kan zijn van schending van een zorgvuldigheidsnorm. Bovendien kan een verzoek aan een schaderegelaar niet worden aangemerkt als een verzoek zoals beschreven in artikel 35 lid 1 Wbp, zodat dit artikel toepassing mist. Volgens Aegon had [eiser] zijn verzoek aan de verantwoordelijke persoon -in de zin van de Wbp- binnen Aegon moeten richten.

 

CBP stuurt brief met reactie op hoofdpunten aan Eerste en Tweede Kamer en het voorlopig standpunt.

Uit't persbericht. De Europese Commissie heeft op 25 januari 2012 voorstellen gepubliceerd voor een grootscheepse herziening van het Europees juridisch raamwerk voor dataprotectie. Dat raamwerk omvat een nieuwe Europese verordening voor de verwerking van persoonsgegevens die de huidige privacyrichtlijn moet gaan vervangen en daarnaast een nieuwe richtlijn voor gegevensverwerking door politie en justitie.

Het College bescherming persoonsgegevens staat positief tegenover de harmonisatie van privacyregelgeving zoals voorgesteld in het ontwerp voor een nieuwe Europese verordening. Het vastleggen van een gelijk speelveld voor alle lidstaten van de EU is van groot belang in een tijdperk waarin gegevensverwerking in toenemende mate grensoverschrijdend is.

Aan de alomvattendheid van het wetgevingspakket wordt naar de mening van het CBP echter afbreuk gedaan door het ontwerp voor een nieuwe Europese richtlijn op het gebied van gegevensbescherming in de rechtshandhavingssector. De teksten van beide instrumenten lopen op punten behoorlijk uiteen. Het CBP dringt er op aan dat de samenhang tussen beide instrumenten wordt gewaarborgd en op een aantal punten fors versterkt.

Het CBP heeft in een brief van 2 maart 2012 zijn voorlopig standpunt over de voorstellen van de Commissie aan de beide Kamers gestuurd.

White paper 'Cookies Under Control', SOLV-blog 29 februari 2012.

Een bijdrage van Milica Antic, SOLV.

De nieuwe regels over het gebruik van cookies is een onderwerp waar Milica Antic inmiddels al veel over heeft gezegd en geschreven. Vandaag verschijnt van haar hand een overzichtelijke white paper met daarin informatie over de actuele stand van zaken met betrekking tot de nieuwe regels, de implicaties voor de praktijk, tips en antwoord op 5 belangrijke vragen:

1) Voor welke technologiën gelden de nieuwe regels?
2) Wie is verantwoordelijk?
3) Hoe moet worden voldaan aan de regels?
4) Hoe zit het met zelfregulering?
5) Wie gaat er handhaven?

De white paper is het Engels opgesteld.

Voor opmerkingen, aanbevelingen of vragen kunt u terecht bij Milica: antic@solv.nl of via Twitter: milica_antic. Wij zijn benieuwd naar uw mening!

Uit't persbericht: Naar aanleiding van de uitzending van Nieuwsuur van gisteravond over het filmen van personen op de spoedeisende hulp van het VU medisch centrum in Amsterdam, zal het College bescherming persoonsgegevens (CBP) het VU medisch centrum en Eyeworks om inlichtingen verzoeken.

De vraag is of deze beelden hadden mogen worden opgenomen. Voor het verwerken van persoonsgegevens is een wettelijke grondslag nodig. Voor het filmen van mensen op een dergelijke locatie en in een dergelijke situatie komt mogelijk alleen de grondslag ‘ondubbelzinnige toestemming’ in aanmerking. Aan de wijze waarop rechtsgeldig toestemming moet worden gegeven stelt de wet hoge eisen, zeker wanneer het gaat om medische gegevens, die vanzelfsprekend gevoelig van aard zijn.

W.H. van Holst, De derde landen problematiek van de Wbp en de beroepsaansprakelijkheid van de juridisch adviseur, IT 682.

Commentaar van Walter van Holst, Mitopics.

Onlangs is een aantal wijzigingen in de Wet bescherming persoonsgegevens (Wbp) van kracht geworden die met name de doorgifte van persoonsgegevens naar zogenaamde derde landen beoogt te vereenvoudigen. Enige kritische kanttekeningen bij de meest in het oog springende wijziging: het mogelijk maken van doorgifte van persoonsgegevens naar derde landen zonder een vergunningsprocedure.

De toevoeging van sub g aan lid 1 van artikel 77 Wbp is een intrigerende wijziging in het licht van de wetsgeschiedenis van Richtlijn 95/46/EG waar de Wbp nu eenmaal een implementatie van is. Met de memorie van toelichting in de hand valt uit de huidige tekst inderdaad op te maken dat er zelfs geen sprake meer is van een meldplicht voor een doorgifte aan een zogenaamd ‘derde land’ (lees: een land buiten de Europese Vrijhandelsassociatie), mits er gebruik wordt gemaakt van de bekende modelcontracten van de Europese Commissie. Dit is mogelijk gemaakt door Besluit 2004/915/EC van de Europese Commissie om Beschikking 2001/497/EG aan te passen en eerst nu geïmplementeerd in de Nederlandse wetgeving. De redactie van artikel 77 Wbp heeft daarbij niet aan leesbaarheid gewonnen, maar daar zullen we in het licht van de 25 januari jl. voorgestelde Algemene Verordening Bescherming Persoonsgegevens niet lang last van hebben.

Het blijft echter de vraag of deze wijziging, die in feite een aanvulling geeft op artikel 25 lid 1 van Richtlijn 95/46/EG (zonder de richtlijn aan te passen, een innovatieve wijze van een richtlijn herzien) nog wel beantwoordt aan de materiële eisen van artikel 8 van het Europees Handvest voor de Rechten van de Mens en artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Immers, het inzage-, correctie- en verwijderingsrecht van betrokkene wordt nu geheel afhankelijk gesteld van het effectueren van de bevoegdheden uit de conform modelcontracten aangegane bewerkersovereenkomst van de verantwoordelijke.

Perspectief van een praktijkjurist
Vanuit het perspectief van een praktijkjurist is een andere vraag inmiddels minstens zo interessant: is het, ondanks het bestaan van deze formele opening voor doorgifte naar derde landen, wel verstandig om een cliënt te adviseren hier gebruik van te maken?

Er zijn een aantal aanleidingen om te stellen dat een redelijk, vakbekwaam handelend jurist een negatief advies dient uit te brengen in het geval hem of haar gevraagd wordt een uitspraak te doen over doorgifte van persoonsgegevens naar een derde land. In dit blog zal ik twee aanleidingen nader bespreken.

Datagraaierij
Allereerst het fenomeen “datagraaierij” waar met name de overheid van de Verenigde Staten zich schuldig aan maakt. Het gaat hier om het opvragen van gegevens uit hoofde van onder andere de bekende PATRIOT Act. Minder bekend is dat een andere Amerikaanse wet, de Protect America Act uit 2007, de bevoegdheid in het leven heeft geroepen om alle communicatie waarbij tenminste één van de betrokkenen zich buiten de grenzen van de Verenigde Staten bevindt, onder electronische surveillance te plaatsen zonder voorafgaand rechterlijk bevel. Service providers die gehoor geven aan een dergelijk bevel, hebben civielrechtelijke immuniteit tegenover derden.

Interessant daarbij is dat de Amerikaanse overheid met name aan de PATRIOT Act een extraterritoriale werking toekennen: als de gevraagde gegevens zich niet op het grondgebied van de Verenigde Staten bevinden maar wel beheerst worden door bedrijven met een substantiële presentie in de Verenigde Staten, worden dergelijke bedrijven voor de de facto keuze gesteld aan inzageverzoeken te voldoen of hun activiteiten in de Verenigde Staten te beëindigen. Dit zou vanuit het oogpunt van gegevensbescherming geen probleem hoeven te zijn als de Verenigde Staten een toetsingskader zouden hanteren wat vergelijkbaar is met ons EVRM en de Richtlijn 95/46/EG in termen van proportionaliteit.

Niet alleen de overheid van de Verenigde Staten heeft een forse datahonger, ook de overheden van populaire uitbestedingslanden zoals India en China tonen weinig scrupules op dit terrein en hebben evenmin een niveau van waarborgen wat als gelijkwaardig met dat van de EU beschouwd kan worden.

De eerder aangehaalde beslissing van de Europese Commissie (2004/915/EC) bevat echter een aantal elementen die in samenhang met de eerdergenoemde datagraaierij op gespannen voet staan met een eventuele doorgifte naar derde landen zoals de Verenigde Staten, India en China. Zo vermelden de overwegingen onder andere het volgende:

“(…) de gegevensexporteur is ook aansprakelijk indien hij geen redelijke inspanning doet om zich ervan te vergewissen dat de gegevensimporteur in staat is om aan zijn wettelijke verplichtingen volgens de contractbepalingen te voldoen ("culpa in eligendo") (…).”  (2004/915/EC, overweging 5)

In het licht van de vergaande inzagebevoegdheden die overheden van derde landen hebben, valt te betwijfelen of een verantwoordelijke nog wel gepaste zorg heeft betracht indien persoonsgegevens naar derde landen zoals genoemd worden doorgegeven. Ook wordt in dit kader de vraag opgeroepen of verantwoordelijke niet aansprakelijk is voor de eventuele schade die een betrokkene lijdt als gevolg van een dergelijke inzage.

Tweede punt: waarborgen
Het tweede punt is dat een toezichthouder tot de conclusie kan komen dat, ondanks het gebruik van de standaardcontracten, de verwerking niet met voldoende waarborgen omkleed is en dat onmiddellijke opschorting van de verwerking geëist kan worden. Juist nu meer en meer kritische bedrijfsprocessen van organisaties voorwerp zijn van uitbesteding in enigerlei vorm, kan een dergelijk besluit een enorme impact hebben op de continuïteit van de bedrijfsprocessen. Deze situatie heeft zich nog niet voorgedaan, maar het is een kwestie van tijd dat dit zich eens gaat voordoen.

Om deze redenen acht ik het dan ook hoogst twijfelachtig of het uit oogpunt van juridische vakbekwaamheid verdedigbaar is om te adviseren om van deze route gebruik te maken.

W.H. van Holst
Wilt u reageren? Klik hier of stuurt u uw bijdrage in naar redactie@itenrecht.nl.

De Wet bescherming persoonsgegevens (Wbp) is op een aantal punten aangepast. Het voornaamste doel hiervan is de administratieve lasten en nalevingskosten voor verantwoordelijken - bedrijven en instellingen die persoonsgegevens verwerken - te verminderen. De wet ‘Wijziging Wbp in verband met de vermindering van administratieve lasten en nalevingskosten, wijzigingen teneinde wetstechnische gebreken te herstellen en enige andere wijzigingen’ (31 841) treedt in werking op 9 februari 2012 .

Hieronder volgt een overzicht van de aanpassingen die lastenverlichting opleveren voor verantwoordelijken en van de belangrijkste overige wijzigingen. Het Wbp-artikel waarin een genoemde wijziging zich voordoet, staat tussen haakjes achter de beschrijving. Zie hier.