De website van de Vereniging Privacy Recht is ‘life’. Leden kunnen zich vanaf nu aanmelden.
Aug 282009
Aug 252009
Een conducteur vertelde mij onlangs dat de OV-chip dit najaar wordt ingevoerd op het traject van Leiden CS naar Schiphol. Ik houd mijn hart vast. In Station Leiden is het nu al, terwijl de OV-poortjes open staan, af en toe moeilijk om het perron te bereiken. En waar OV-chip is ingevoerd zie je in de metro rijen ontstaan omdat het niet altijd duidelijk is of je nou echt bent uitgecheckt.
Read More >>
In nu.nl schreef Brenno de Winter een bericht over tram- en metrobedrijven die boetes gaan opleggen als jaar-abonnementhouders niet hebben ingecheckt. Ik heb daar twijfels bij. Er lijkt geen enkele noodzaak te zijn dat deze abonnementshouders inchecken en zodoende de vervoersbedrijven in staat stellen hun reisgedrag vast te leggen. Want de abonnementshouders mogen sowieso reizen en hebben betaald voor onbeperkt reizen (zeg maar: ‘all you can eat’). Dus waarom zou ook van hen begin- en eindpunt van de reizen worden vastgelegd? Ik zie het niet. Of zou het zijn dat men deze gegevens op enig moment wil kunnen gaan gebruiken voor vrolijke marketingacties: een kortingsbon voor de Efteling of een stedentrip naar Hamburg. Van die dingen, niet per se nodig maar waardevol voor vervoersbedrijven die de reisgegevens van hun klanten willen commercialiseren.
GVB en RET bekeuren abonnees met chipkaart
AMSTERDAM – Abonnementhouders kunnen na invoering van de OV-chipkaart als zwartrijder bekeurd worden, wanneer zij hun reis niet registreren. Of vervoersbedrijven dat mogen doen is nog maar helemaal de vraag.
© NovumVolgens de regels moet iedere reiziger bij het instappen inchecken met een OV-chipkaart. Dat geldt ook voor klanten met een abonnement en dus automatisch recht op reizen. Wie dat niet doet, krijgt bij controle een boete van 35 euro.
De vervoerbedrijven van Amsterdam en Rotterdam, het GVB en de RET, gaan die regel ook daadwerkelijk hanteren, zo laten voorlichters weten. In Amsterdam zijn er volgens het vervoersbedrijf nu nog geen bekeuringen aan vaste klanten uitgedeeld, omdat mensen nog moeten wennen.
Dienstverlening
Volgens de beide vervoersbedrijven is het in- en uitchecken noodzakelijk. De RET benadrukt dat er veel voordelen aan het registreren van iedere reisbeweging van iedere klant zitten. "Wij kunnen onze dienstverlening dan beter op onze klant afstemmen", stelt voorlichtster Ingrid Verheij. Door reizigersstromen in kaart te brengen kan de capaciteit beter geregeld worden. Ook moet de kaart sociale veiligheid verhogen.
Trajecten
Daarnaast werken de vervoersbedrijven met abonnementen voor een beperkte afstand. "Niet alle abonnementen zijn op alle trajecten geldig, en er wordt er voor het extra gereisde afgerekend", verklaart Verheij.
Zij benadrukt dat het vervoersbedrijf niet automatisch weet wie welke routes aflegt, omdat deze gegevens door Trans Link Systems worden beheerd. Dit bedrijf slaat de informatie zeven jaar op.
Vervoerswet
De RET wijst er ook op dat de wetgever het inchecken voor iedereen verplicht stelt: "Dat staat in de Vervoerswet", betoogt de zegsvrouw. De wet geeft de minister van Verkeer en Waterstaat de ruimte om zelf voorwaarden aan elektronische reisbiljetten te stellen. In 2000 besloot de minister dat iedere reiziger iedere reisbeweging moet registreren.
Toch is het maar helemaal de vraag of dit uiteindelijk rechtsgeldig is. In de afspraken met het College Bescherming Persoonsgegevens (CBP) is aangegeven dat de centrale registratie nodig is om betalingen tussen de vervoersbedrijven te kunnen verdelen. Ook in de algemene voorwaarden van het overleg van vervoersbedrijven Mobilis is dat als reden voor de registratie van transacties opgegeven.
Privacy
In het geval van abonnementen is er geen geld te verdelen, omdat er een vast bedrag wordt betaald en soms slechts aan één vervoersbedrijf. Volgens Gerrit-Jan Zwenne, universitair hoofddocent privacyrecht bij eLaw@Leiden van de Universiteit Leiden, is het daarom maar de vraag of de wet voldoende reden is voor een verplichte registratie van abonnementhouders.
In het Europees Verdrag voor de Rechten van de Mens staat dat inbreuken op het recht op privacy alleen zijn geoorloofd als deze noodzakelijk zijn. "En dat is in dit geval nou net niet het geval", stelt hij. "Een minister kan dat niet in een vervoerswet zomaar opheffen."
Zwenne wijst erop dat ook de Wet bescherming persoonsgegevens het onnodig vastleggen van persoonsgegevens verbiedt. Feit is wel dat het CBP wel akkoord met het huidige systeem is. In een reactie wijst de privacywaakhond er dan ook op dat het verplicht inchecken onderdeel van het systeem is.
Niet bij NS
Als de OV-chipkaart bij de Nederlandse Spoorwegen wordt ingevoerd, hebben vaste klanten echter de keus om wel of niet in te checken. "Wij willen de reiziger wel stimuleren om het te doen", zegt een verbaasde voorlichter Ronald Stevens in een reactie.
"Maar als iemand dat niet doet en met een geldig product reist krijgt hij natuurlijk geen bekeuring." Klanten die niet inchecken en verder reizen dan ze hebben betaald, worden wel op de bon geslingerd.
© NU.nl/Brenno de Winter
Aug 212009
Het keuzevak internetrecht (7,2 ECTS) wordt binnenkort weer in Leiden gegeven. In dit vak verzorg ik een college over onder andere de nieuwe regels m.b.t. ongevraagde elektronische communicatie, die op 1 oktober a.s. inwerkingtreden. Voor dit onderdeel kan gebruik worden gemaakt van dit bijgewerkt overdrukje uit T&C Telecomrecht (3e drk).
Aug 132009
Met Bart Custers, inmiddels ook verbonden aan eLaw, schreef ik een discussietekst met onze aanbevelingen voor onze privacytoezichthouder. Deze tekst is gepubliceerd in Openbaar bestuur, het tijdschrift voor beleid, organisatie & politiek en kan hier worden gedownload.
Aug 112009
Volgens een bericht van Yes2Web lopen bedrijven die aan e-mailmarketing doen straks grote risico’s. Dit omdat artikel 11.7 van de Telecomwet vanaf 1 oktober a.s. wijzigt en ook voor e-mail aan rechtspersonen een opt-in vereiste gaat gelden. Het bericht werd, in verkorte vorm, door een aantal online nieuwsbrieven overgenomen, wat aanleiding gaf tot wat opwinding en de nodige onrust zo hier en daar.
Yes2web biedt, maak ik op uit haar website, oplossingen ter ondersteuning van reclamebureaus op het gebied van internet technologie, van advies tot gehele technische implementatie. Het bedrijf heeft dus wel enig belang bij onrust over de nieuwe regels. En, hoewel haar bericht wel iets genuanceerder is dan wat uit die online nieuwbrieven blijkt, krijg je toch de indruk dat het allemaal heel erg is.
Ik denk dat het in veel gevallen wel meevalt:
Vanaf 1 oktober a.s. geldt als hoofdregel een opt-in (toestemmingsvereiste) voor het toesturen van ongevraagde commerciele communicatie. De ontvanger moet ermee hebben ingestemd dat hij een commercieel bericht krijgt toegestuurd. Dit gold al voor de abonnees die natuurlijke persoon zijn. En vanaf 1 oktober dus ook voor abonnees-rechtspersonen.
Er zijn drie uitzonderingen:
1) Een uitzondering geld voor het aanprijzen van eigen en gelijksoortige diensten aan bestaande klanten (of eigenlijk: iedereen van wie het emailadres is verkregen i.h.k.v de verkoop van eigen diensten). Voor dergelijke ontvangers volstaat een opt-out. Zeg:’als u deze nieuwsbrief niet meer wenst te ontvangen: click hier’.
2) Verder geldt een uitzondering als het gaat om rechtspersonen danwel zakelijke prospects (d.w.z. geen consumenten) gevestigd in een land buiten de EER waar géén opt-in vereiste geldt voor ongevraagde elektronische communicatie. Dit is een lastige, omdat de e-mailmarketeer zich moet gaan verdiepen in buitenlandse anti-spam wetgeving.
3) Een andere uitzondering geldt voor de situatie dat gebruik wordt gemaakt van een daartoe door een rechtspersoon of zakelijk prospect bestemd en bekend gemaakt e-mailadres. Ik heb deze nog niet in het echt gezien maar veronderstel dat dit zo-iets zou kunnen zijn: reclamegraaghierheen@bedrijfsnaam.nl. Het hangt natuurlijk af van de context, maar info@bedrijfsnaam.nl is onvoldoende.
Er is nog discussie over een en ander. OPTA lijkt mij wat (te) streng in de leer. Zo zegt de toezichthouder in zijn Frequently Asked Questions dat:
"[n]ieuwsbrieven (of andere berichten) [..] alleen zonder expliciete toestemming [kunnen] worden verstuurd als er sprake is van een klantrelatie. Bij het vragen van informatie of bij het benaderen van een prospect is er nog geen sprake van een koop van een product of van een dienst. Dus zal expliciete toestemming moeten worden gevraagd voordat de nieuwsbrief verzonden kan worden."
De toezichthouder gaat er dus aan voorbij dat de wet nou juist zegt dat wel ongevraagd commerciele berichten mogen worden gestuurd naar e-mailadressen verkregen in het kader van de verkoop van zijn product of dienst en dus niet alleen naar de personen aan wie een dienst is verkocht.
Ik veronderstel dat OPTA wel zo verstandig is om vooral te gaan handhaven op de grote spammers over wie veel klachten binnen zijn gekomen (bijvoorbeeld bij spamklacht.nl). En misschien is het niet heel erg waarschijnlijk dat iemand die in strijd met de regels ongevraagd een nieuwsbrief ontvangt direct gaat klagen bij OPTA of spamklacht.nl, zeker niet als er wel op eenvoudige wijze gebruik kan worden gemaakt van een opt-out. Waarom klagen als je met evenveel moeite jezelf kan uitschrijven. Maar, dat gezegd hebbende, kan natuurlijk niet worden uitgesloten dat er toch wordt geklaagd of dat OPTA toch ambtshalve steeksproefsgewijs of op andere wijze denk te moeten gaan handhaven.
Eerder berichtte ik al over mijn bijdrage aan een kantoor-seminar over dit onderwerp. De presentatie daarvan is hier te vinden.
Aug 062009
Kohnstamm, voorzitter van het College bescherming persoonsgegevens vertelde gisteren op BNR dat de privacytoezichthouder de regels over de beveiliging van persoonsgegevens gaat aanscherpen. Of eigenlijk dat hij die gaat uitwerken.
Daar is veel voor te zeggen. De tekst van de Wet bescherming persoonsgegevens biedt weinig houvast. Artikel 13 verlangt dat er ‘passende technische en organisatorische maatregelen’ ten uitvoer worden gelegd om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen moeten ervoor zorgen dat er ‘rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging‘ sprake is van ‘een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen‘.
Dat is een mooie opeenstapeling van vage en open normen. Uitwerking en concretisering daarvan is wel zo praktisch. Overigens heeft het CBP, of eigenlijk diens voorganger de Registratiekamer, al in 2001 een mooi en nog steeds actueel document opgesteld waarin wordt aangegeven hoe verschillende categorieen van gegevens te beveiligen. Maar de richtsnoeren daarin zijn erg op hoofdlijnen, dus bieden al met al niet zo veel houvast.
Interessant is dat in de berichtgeving over dit voornemen ook wordt gemeld dat de toezichthouder na de aanscherping makkelijker boetes opleggen aan bedrijven die niet zorgvuldig omgaan met klantgegevens. Zo’n boete zou volgens Kohnstamm uiteindelijk oplopen tot miljoenen euro’s.
Volgens mij voorziet de Wbp niet in dergelijke boetes. Wat Kohnstamm waarschijnlijk heeft boedoeld is dat de teozichthouder zonodig een last onder dwangsom kan opleggen. Ofwel, een bedrijf of vooral overheidsinstantie dat zich niet houdt aan de regels kan door het CBP worden verplicht om maatregelen te nemen en als dat dan niet binnen een bepaalde termijn is gebeurd verbeuren er dwangsommen. Tenzij natuurlijk een voorzieningenrechter het dwangsombesluit zou schorsen.
CBP verscherpt regels klantgegevens
5 augustus 2009, 12:05 | BNR.nlHet College Bescherming Persoonsgegevens komt met scherpere regels voor de manier waarop klantgegevens in databases moeten worden beveiligd. Dat heeft CBP-voorzitter Jacob Kohnstamm aangekondigd op BNR Nieuwsradio.
,,Nu staat in de wet dat beheerders van databases voor een effectieve beveiliging moeten zorgen […] Dat is vrij algemeen geformuleerd’’, zo zegt Kohnstamm op BNR. Het CBP gaat de regels verder uitwerken en vervolgens strikt handhaven. De privacy-waakhond kan na de aanscherping makkelijker boetes opleggen aan bedrijven die niet zorgvuldig omgaan met klantgegevens. Zo’n boete kan volgens Kohnstamm uiteindelijk oplopen tot miljoenen euro’s.
Minister Hirsch Ballin van justitie startte vorige week een campagne waarin de burger wordt gewezen op veilig internetten, maar deze week bleek uit onderzoek van internetbeveiligingsbedrijf Networking4all dat er juist veel schort aan de beveiliging van klantgegevens van de overheid zelf.