Apr 172016
 

In de halfacht editie van het RTL Nieuws, een veelbekeken nieuwsprogramma op de Nederlandse televisie, van 25 november vorig jaar presenteerde onderzoeksjournalist Siebe Sietsma een nieuwsitem dat de weken daarop aanleiding was voor aanhoudende opwinding in dagbladen en andere media. Het item ging over het gebruik van online leermiddelen door leerlingen van basisscholen, waar kinderen van 4 tot 12 jaar oud worden onderwezen. De leermiddelen worden geleverd door educatieve uitgevers die, zo was gebleken, hadden bedongen dat basisscholen hun onderwijsadministraties zouden koppelen aan die van hen. Daarmee was de indruk was daarmee gewekt dat de uitgevers zo een gedetailleerd inzicht verkregen in de leerprestaties van honderdduizenden kinderen. En, onder andere omdat ouders en leerkrachten daarover niet waren geïnformeerd, ontstond al snel het beeld dat de uitgevers deze leergegevens op ontoelaatbare wijze zouden gebruiken.

[lees verder]

Jan 162016
 

Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Over de uitleg van dit kernbegrip uit het privacy- of gegevensbeschermingsrecht is onenigheid. Enige jaren geleden is onze privacytoezichthouder, toen het ging over de kwalificatie van IP-adressen, zich op het standpunt gaan stellen dat er al sprake is van een persoonsgegeven als de éne persoon kan worden onderscheiden van de andere, ook als onbekend is wie deze persoon is. De toezichthouder rekte daarmee de reikwijdte van het begrip, en dus ook zijn toezichtsdomein, vergaand op. Van de aldus door hem zelf verruimde bevoegdheid maakte de toezichthouder de afgelopen jaren zo een tiental keren enthousiast gebruik. In deze bijdrage voor het tijdschrift Privacy & Informatie (2015/6) een commentaar daarop.

G-J. Zwenne, ‘Nog enkele opmerkingen over IP-adressen en persoonsgegevens, identificeerbaarheid en ‘single-out’, Privacy & Informatie 2015/6

Apr 192015
 

Met Wilfred Steenbruggen schreef ik een bijdrage voor Regelmaat waarin we  aan de hand van een aantal recente uitspraken schetsmatig in kaart hebben gebracht welke voor ICT-projecten van de overheid relevante vereisten onder andere kunnen worden afgeleid uit de rechtspraak van het Europees Hof voor de Rechten van Mens (Straatsburg) en het Hof van de Europese Unie en zijn voorganger het Hof van Justitie (Luxemburg). Een onvoldoende naleving van dergelijke vereisten kan niet minder een faalfactor zijn dan een tekort aan ‘projectbeheersing’ of ‘projectportfoliomanagement’. Ook dat kan betekenen dat een overheidsinformatiesysteem niet, of niet volledig, in gebruik kan worden genomen, of in elk geval niet de verwachtingen ervan kan waarmaken.

De integrale tekst van deze bijdrage is hier te vinden.

Feb 032015
 
Vage normen en open begrippen in Wet bescherming persoonsgegevens maken nadere invulling ervan nodig
In rechtsstaat kan alleen boete worden opgelegd als vooraf voorzienbaar is hoe wet moet worden nageleefd
Door Gerrit-Jan Zwenne en Wilfred Steenbruggen*)
Deze week behandelt de Tweede Kamer het wetsvoorstel dat het College Bescherming Persoonsgegevens in staat moet stellen boetes tot € 810.000 op te leggen voor overtredingen van de privacywet. De voorzitter van het CBP, Jacob Kohnstamm, is blij met het wetsvoorstel, maar maakt zich boos over een belangrijk onderdeel daarvan. Een boete kan, behoudens bij opzettelijke overtredingen, alleen worden opgelegd als het CBP eerst een zogeheten ‘bindende aanwijzing’ heeft gegeven. Voordat een boete kan worden opgelegd, moet de toezichthouder uitleggen wat de wet in het concrete geval vereist en de overtreder opdragen om de overtreding te beëindigen. Als deze aanwijzing niet binnen een bepaalde termijn wordt opgevolgd, kan vervolgens een boete worden opgelegd. Aldus staat in het wetsvoorstel.
Dat betekent, aldus de toezichthouder, dat het wetsvoorstel niet leidt tot een betere naleving van de privacywet. ‘De roep in de samenleving is om een waakhond met tanden’,  zegt de voorzitter, ‘nu worden we tandeloos aan banden gelegd waardoor bedrijven en organisaties niet de druk zullen voelen om de wet na te leven’. We kunnen ons iets voorstellen bij de frustratie van de voorzitter, die al jaren aandringt op deze boetebevoegdheid. En nu die er eindelijk gaat komen, wordt de privacywaakhond alsnog gemuilkorfd. Althans, zo voelt het.
Er zijn echter overtuigende argumenten om een boete vooraf te laten gaan door de bindende aanwijzing. In zijn advies over het wetsvoorstel legt de Raad van State uit waarom. In 2007 werd de privacywet, de Wbp, geëvalueerd. Een van de conclusies was dat deze wet, meer dan andere wetten, wordt gekenmerkt door zeer vage, algemeen-abstracte normen en open begrippen, die in de praktijk moeten worden ingevuld en geconcretiseerd. Een voorbeeld is de norm dat persoonsgegevens mogen worden verwerkt voor een gerechtvaardigd belang van degene die daarvoor verantwoordelijk is of een derde, tenzij het privacybelang van het desbetreffende datasubject prevaleert.Als gevolg van deze vage normen en open begrippen is er vaak onduidelijkheid over wat er in een concreet geval precies moet worden gedaan om aan de wet te voldoen.
Een en ander moet worden opgehelderd, want in een rechtsstaat kan alleen een boete worden opgelegd als vooraf voldoende voorzienbaar is op welke wijze de wet had moeten worden nageleefd. In het licht van dit voorzienbaarheidsvereiste is het dus nodig dat de toezichthouder de vage wettelijke norm concretiseert en daarmee eerst duidelijk maakt wat er wordt verwacht van degenen op wie toezicht wordt gehouden.
In dat verband is niet zonder betekenis dat de privacytoezichthouder de laatste jaren een uitgesproken activistische koers is gaan varen. De toezichthouder heeft een eigen mening over welke kant het met de privacybescherming op moet en bemoeit zich enthousiast met maatschappelijke en politieke privacydiscussies. In dat kader schrijft de toezichthouder nogal eens brieven naar de Tweede Kamer en treedt hij veelvuldig in de publiciteit.
We kunnen in het midden laten of de toezichthouder, die geacht wordt onafhankelijk, objectief en onpartijdig te zijn, er goed aan doet zich zo prominent te profileren als een privacybelangengroep. Vast staat dat deze activistische opstelling zich niet zonder meer laat verenigen met een boetebevoegdheid, zeker niet als de toezichthouder daarmee de naleving kan afdwingen van regels die door hem zelf nader worden ingevuld.
Ook daarom is het nodig dat de toezichthouder eerst duidelijk maakt hoe de regels moeten worden uitgelegd. Pas dan kan worden overgegaan tot het opleggen van boetes, zo nodig ook hoge boetes. Een goede privacybescherming is gebaat bij rechtszekerheid.
*) Prof. mr. Gerrit-Jan Zwenne is hoogleraar Recht en de informatiemaatschappij aan de Universiteit Leiden en is evenals mr. Wilfred Steenbruggen advocaat bij Bird & Bird LLP te Den Haag.
Jan 162015
 

Vijf jaar vocht Mario Costeja González tegen Google. De inwoner van Coruña verlangde van de zoekmachine dat, in het geval er op zijn naam wordt gezocht, twee korte berichten uit de zoekresultaten zouden worden verwijderd. De berichten waren in 1998 gepubliceerd in het Spaans dagblad La Vanguardia en betroffen de openbare verkoop van onroerend goed van Costeja in verband met een beslag ter betaling van sociale zekerheidsschulden.

Verder lezen

Ars Aqui 2015/1, bldz. 9-17

Aug 112014
 

Met kantoorgenoot Frank Simons schreef ik twee besprekingen van het arrest van het Hof van Justitie van 8 april jl. in de zaken C-293/12 en C-594/12, ECLI:C:2014:238 over de dataretentierichtlijn (2006/24/EG):

 

Jul 012014
 

Iets minder dan twee jaar geleden trad in Nederland een nieuwe cookiewet in werking. Sindsdien worden we bij het bezoek van websites geconfronteerd met ongevraagde cookiemededelingen en toestemmingsverzoeken, die door de meesten van ons ongelezen worden weggeklikt.

De bedoeling van de cookiewet — privacybescherming — was goed. De toepassing ervan stuitte op onbegrip. De wet wil internetgebruikers beschermen tegen cookies waarmee heimelijk hun surfgedrag wordt gevolgd. Maar veel internetters ergeren zich vooral aan de pop-ups en banners. Onze cookiewet is bovendien veel strenger dan de wetgeving in andere EU-lidstaten. Nederland heeft een zogeheten bewijsvermoeden in de cookiewet opgenomen. Zogeheten trackingcookies worden volgens onze wet vermoed persoonsgegevens te zijn. En dat betekent dat daarop verschillende juridische voorschriften van toepassing kunnen zijn en dat verschillende toezichthouders daarop toezicht houden. Het gaat om de Telecomwet waarop ACM toezicht houdt, én om de Wet bescherming persoonsgegevens waarop toezicht wordt gehouden door het College Bescherming Persoonsgegevens (CBP).

Een en ander maakt onze cookiewet behalve veel strenger ook onnodig gecompliceerd, met als onvermijdelijk resultaat veel rechtsonzekerheid. In termen van internationale concurrentieverhoudingen is dat op zijn minst hinderlijk. Daarbij is het maar de vraag of onze cookiewet tot meer privacybescherming leidt. In de context van internet is het nou eenmaal altijd twijfelachtig of afwijkende nationale regels überhaupt effectief zijn te handhaven.

Wat ook niet helpt is dat onze nationale privacytoezichthouder nogal eigenzinnige opvattingen heeft over de uitleg van de cookieregels. Zo lijkt het CBP te vinden dat er geen sprake is van geldige toestemming als de internetgebruiker goed is geïnformeerd over de cookies en er vervolgens voor kiest het bezoek aan de website voort te zetten. Volgens het CBP kan er alleen sprake zijn van geldige toestemming als de internetgebruiker klikt op een akkoord- of toestemmingsknop, of als hij een vinkje zet, of iets dergelijks. Door voor de minst gebruiksvriendelijke oplossing te kiezen, negeert de toezichthouder de wens van de Nederlandse en Europese wetgevers. Die hebben zich juist sterk gemaakt voor gebruiksvriendelijkere manieren om toestemming van internetgebruikers te verkrijgen. Ook diskwalificeert het CBP de oplossingen die de afgelopen twee jaar onder andere door buitenlandse toezichthouders zijn ontwikkeld om de privacy van internetgebruikers te beschermen zonder het internet onbegaanbaar te maken.

Het is opvallend dat het CBP juist zijn controversiële opvattingen over het toestemmingsvereiste door middel van handhavingsacties probeert af te dwingen. In onlangs bekendgemaakte  ‘rapporten van bevindingen’  concludeert de toezichthouder dat de wet is overtreden omdat de voor cookies verkregen toestemming op ongeldige wijze — want zonder actieve handeling — zou zijn verkregen.

De timing van het CBP lijkt goed. In maart kwam de regering met een wetsvoorstel dat beoogt de cookiewet te versoepelen. Deze reparatiewet beoogt het toestemmingsvereiste te laten vervallen voor cookies met beperkte privacyrisico’s. In de toelichting wordt nogmaals uiteengezet dat de cookieregels, zelfs met het bewijsvermoeden, wel degelijk ruimte bieden voor oplossingen zonder ergerlijke wegklikpop-ups.

Vanuit een ivoren toren is het zicht meestal slecht. De privacytoezichthouder zou er goed aan doen wat beter naar de wetgever te luisteren. Ook wat meer aandacht voor wat internetgebruikers zelf willen zou goed zijn. Uiteindelijk gaat het om de bescherming van hun privacy.

Gepubliceerd in Financieel Dagblad, 18 juni 2014, met daarbij uiteraard vermeld dat ik in mij hoedanigheid van advocaat enkele partijen bijsta die onderwerp zijn van een Cbp onderzoek naar overtreding van de cookieregels.

Continue reading »