May 042017
 

Op 7 maart jl. verzocht ik de Autoriteit persoonsgegevens (“Ap”) mij een kopie te verstrekken van de brief die de toezichthouder eind februari had verstuurd naar een aantal koepelorganisaties, zijnde: de Pensioenfederatie, het Verbond van Verzekeraars en de Nederlandse Vereniging van Banken, met daarin een specifieke regeling voor de datalekken die zich zouden kunnen voordoen bij een verkeerd bezorgde brief, die geopend is teruggestuurd naar de verantwoordelijke. En, zoals dat gaat, daarbij deed ik gemakshalve een beroep op de Wet openbaarheid van bestuur (“Wob”).

Op 24 april jl. heeft Ap mijn verzoek toegewezen en de drie gevraagde brieven aan mij verstrekt. De brieven zijn daarmee openbaar en daarom zijn daaruit, met het oog op de bescherming van de persoonlijke levenssfeer, de namen van de desbetreffende Ap-medewerkers verwijderd. De namen van de geadresseerden bij de drie organisaties zijn blijven staan. Ik ga er maar vanuit dat zij daartegen geen bezwaar maken.

Hoe dan ook. In de drie gelijkluidende brieven staat onder welke voorwaarden zoekgeraakte post niet binnen 72 uur maar pas na een maand (“uiterlijk op de overeenkomstige dag van de eerstvolgende kalendermaand na de dag van ontdekking“) behoeft te worden gemeld.

Uit het besluit maak ik op dat de verschillende brieven overeenkomstig de artikelen 2 en 5.4 van de Beleidsregels openbaarmaking (Stcrt. 2016, nr. 1380) ook op de website van Ap zouden moeten staan. Ik heb ze daar nog niet aangetroffen. Daarom in elk geval ook zo:

Het is overigens nog maar de vraag of de Wet bescherming persoonsgegevens altijd van toepassing is op zoekgeraakte brieven. Daarover schreef ik met Paul de Groot van PostNL een tekst die als het goed is nog deze maand wordt gepubliceerd in het tijdschrift Privacy & Informatie en dan ook op dit blog zal zijn te vinden.

Oct 072015
 

Een tijd geleden alweer ontving ik van Cbp, waarvan de collegeleden inmiddels terug zijn van vakantie, het besluit op mijn wobverzoekje, met daarbij de eerst nog als vertrouwelijk gekwalificeerde consultatieversie van de richtsnoeren cameratoezicht

Erin staan een handvol interessante dingen. Ik noem er een paar van. Zo is volgens de richtsnoeren geen sprake is van een gegevensverwerking (in de zin van art. 1, onder b, Wbp) als een videocamera ‘slechts monitort, dat wil zeggen alleen ‘meeloopt’ en niets vastlegt’. (par. 2.2, bldz. 13). Ik vraag mij af of dat juist is. De verwijzing naar de toelichting op het Vrijstellingsbesluit Wbp (Stb. 2001, 250, p. 71) vind ik niet overtuigend.

Ook interessant is de wijze hoe in het document wordt aangekeken tegen bijzondere gegevens (in de zin van art. 16 Wbp). In HR 23 maart 2010 (ECLI:NL:HR:2010:BK6331) heeft ons hoogste rechtscollege met zoveel woorden uitgemaakt dat op beeldmateriaal wél de bepalingen betreffende ras- of gezondheidsgegevens van toepassing zijn, ook als niet beoogd zou zijn om aan de beeldmateriaal dergelijke gevoelige of bijzondere gegevens te ontlenen (overw. 2.6). De concept richtsnoeren gaan daaraan op de volgende creatieve wijze voorbij:

Op camerabeelden van personen zijn de fysieke kenmerken van die personen zichtbaar. Zo is bijvoorbeeld zichtbaar of iemand een bril draagt (wat iets zegt over zijn visuele gezondheid) of een hoofddoek (wat iets kan zeggen over godsdienstige overtuiging). Tevens kan iemands ras van de camerabeelden worden afgeleid. Dit zou in de praktijk betekenen dat àlle camerabeelden van personen bijzondere persoonsgegevens zijn. Daarvoor zal in veel gevallen geen uitzondering te vinden zijn in artikel 17 tot en met 23 Wbp, terwijl het betreffende cameratoezicht an sich niet als onaanvaardbaar hoeft te worden aangemerkt. Het CBP acht een strikte uitleg van het begrip ‘bijzondere persoonsgegevens’ derhalve een (juridisch) onwerkbare situatie. Het idee achter de bescherming van bijzondere persoonsgegevens is immers de mogelijkheid van discriminatie op basis van die gegevens. Indien die mogelijkheid niet aanwezig is, dan wel niet voor de hand ligt, hoeft niet te worden voldaan aan de uitzonderingssituaties van artikel 17 tot en met 23 Wbp. Gelet hierop merkt het CBP camerabeelden van een persoon niet als bijzondere persoonsgegevens aan als (1) het doeleinde van de verwerking niet gericht is op het verwerken van bijzondere persoonsgegevens dan wel op het onderscheid maken op grond van een bijzonder persoonsgegeven; (2) het voor de verantwoordelijke redelijkerwijs niet voorzienbaar is dat de verwerking zal leiden tot het maken van onderscheid; en (3) de verwerking van die bijzondere persoonsgegevens onvermijdelijk is bij die verwerking.

De redenering sluit aan bij de in 2007 gepubliceerde richtsnoeren over de publicatie van persoonsgegevens op internet (par. 8.2 bldz. 15), waarin met een beroep op ‘een redelijke wetstoepassing’ wordt gesteld dat de beperkingen van art. 16 en 18 Wbp niet van toepassing zijn als beeldmateriaal niet wordt gebruikt met het uitdrukkelijke doel om onderscheid te maken naar ras. Echter, in 2012 kwam het Cbp met de richtsnoeren over het kopietje paspoort en daarin wordt luid en duidelijk gezegd (par. 4.1, bldz. 13) dat het begrip ‘ras’ “ruim moet worden uitgelegd” en dat het “zowel iemands nationaliteit [omvat] als kenmerken waaruit zijn of haar etnische afkomst kan worden afgeleid, zoals bij een pasfoto.”

De vraag is dan of het Cbp met de richtsnoeren cameratoezicht toch weer van opvatting verandert.

Over rasgegevens en beeldopnamen, en het arrest van de Hoge Raad, schreef ik in 2010 een bijdrage voor het Privacy & Informatie.

Jul 292015
 

Waarom zouden consultatiedocumenten van onze privacytoezichthouder vertrouwelijk zijn? Ik kon het eerder niet bedenken en deed toen maar een Wobverzoekje. Zoals verwacht was de uitkomst daarvan dat het desbetreffende consultatiedocument toch niet vertrouwelijk was. Het werd dan ook uiteindelijk wel verstrekt.

Onlangs zag ik weer zo een als vertrouwelijk aangemerkt consultatiedocument voorbijkomen. Deze keer betrof het de concept-richtsnoeren cameratoezicht. Op mijn Wobverzoekje kreeg ik de volgende, toch wel wat opmerkelijke reactie:

“Het College is wegens vakantie momenteel niet aanwezig. […] Het CBP verdaagt daarom de beslissing op uw informatieverzoek op grond van artikel 6, tweede lid, van de Wob met vier weken.”

Het is misschien teveel gevraagd om de collegeleden hiervoor terug te roepen van vakantie. Maar zou het echt nodig zijn dat zo iets eenvoudigs binnen de organisatie van de toezichthouder op het allerhoogste niveau moet worden beslist? Je zou haast denken dat er meer achter zit.

Apr 252014
 

Eerder berichtte ik in dit blog over de  colleges die ik op 30 april en 7 mei a.s. verzorg in het eLaw Keuzevak Internetrecht. Het studiemateriaal dat studenten voor dit college geacht worden te bestuderen betreft onder andere de door de docent geannoteerde versie van de Cbp Richtsnoeren over de Publicatie van persoonsgegevens op internet. Deze geannoteerde versie van de richtsnoeren is te vinden op blackboard-pagina’s van het vak en ook op deze blog.

In het college worden  twintig vragen over het studiemateriaal behandeld. Van de studenten die het college volgen wordt verwacht dat zij deze vragen in het college kunnen beantwoorden. Deze vragen staan ook op de blackboard-pagina’s van het vak, alsmede hier. De bij het college behorende handout staat hier

Het laatste college-uur, dus op 7 mei van 12:15 tot 13:00, betreft een gastcollege. Anders dan aangekondigd wordt dit niet verzorgd door iemand van het College bescherming persoonsgegevens (Cbp), maar door Ton Siedsma van de digitale burgerrechten organisatie Bits of Freedom. Het voor dit gastcollege te bestuderen materiaal wordt op nog blackboard en in deze blog bekend gemaakt.

 

 

 

Mar 312014
 

Op 30 april en 7 mei a.s. verzorg ik het onderdeel Privacy en bescherming persoonsgegevens, in  het eLaw Keuzevak Internet (5 EC). Het daarvoor te bestuderen materiaal zal te zijner tijd te vinden zijn op blackboard, alsmede nu al hier:

Het onderwijsmateriaal voor dit onderdeel van het keuzevak zal in beginsel de volgende twee teksten omvatten

De voor dit onderdeel nodige relevante wetgeving betreft:

Op 7 mei wordt het tweede college uur verzorgd door gastdocenten van de privacytoezichthouder, het College bescherming persoonsgegevens. Het voor dit gastcollege te bestuderen materiaal wordt nog bekendgemaakt.

Oct 032010
 

Minder dan 2 procent van alle rechtspraak in Nederland is via rechtspraak.nl te verkrijgen. Dat is niet veel. Eerder schreven Mommers en ik daarover een opinietekstje in NRC. Inmiddels is de uitgebreide, wetenschappelijke versie van dit verhaal in het Nederlands Juristenblad geplaatst.

Volgende week gaan wij daarover in debat (een eLaw@Leiden debat!) met onder andere Ronald Philippart, voorzitter Rechtbank Maastricht en voorzitter redactieraad rechtspraak.nl, en Madeleine McLaggan, Collegelid van het College Bescherming Persoonsgegevens, onze privacytoezichthouder.

May 112009
 
scriptiebeurs ter waarde van vijf-en-twintig honderd euro ¶ zes maanden werkervaring opdoen én je master scriptie (15 ects) schrijven bij ECP-EPN over privacy & authenticatie, e-factureren, aansprakelijkheid van ISPs en forum-aanbieders, cybercrime (etc.) ¶  twee dagen scriptie-onderzoek doen, twee dagen meedraaien in projecten van ECP-EPN, één dag studie, per week ¶ scriptiebegeleiding door eLaw ¶ meld je aan en stuur voor 15 juni 2009 een scriptie-opzet naar: 
bart.schermer@law.leidenuniv.nl 
(ook voor meer informatie over de scriptiebeurs)