De afsluitende presentatie van deze cursus ging over Big Data en IoT.
Oct 112016
Oct 052016
Het siert Airbnb dat het tot nu toe niet gezwicht is voor druk van sommige stemmen in gemeente om klantgegevens te delen
De Amsterdamse deeleconomie doet het goed. Via het online platform voor vakantieverhuur Airbnb verhuren veel Amsterdammers af en toe hun woning aan toeristen. De gemeente ziet daarvan de voordelen. Zo incasseerde de hoofdstad vorig jaar ongeveer € 5,5 mln aan toeristenbelasting van het platform. Amsterdam nam al in 2014 de beslissing om deze vorm van vakantieverhuur onder voorwaarden toe te staan.
Maar, zoals dat gaat, niet iedereen houdt zich altijd aan die voorwaarden. En daarom verlangt de gemeente thans de stelselmatig verstrekking van de persoonsgegevens van de gebruikers van het platform. De Amsterdamse overheid denkt dat dit kan op basis van vrijwilligheid en hoopt er in overleg met het platform uit te komen.
Op het eerste gezicht lijkt voor die maatregel wel wat te zeggen en onder andere in deze krant was daarvoor ook wel enige bijval. Omdat sommige van de overtreders gebruik maken van Airbnb ligt het voor de hand om van het platform te verlangen dat het de gegevens van huurders en verhuurders doorgeeft, zodat de gemeente effectief kan optreden tegen illegale verhuur en overlast. Waarom zou, zo redeneert de gemeente, Airbnb geen bijdrage leveren aan het oplossen van de problemen die door het gebruik van haar platform worden veroorzaakt?
Toch zou zo een ‘publiek-private samenwerking’ een slechte ontwikkeling zijn die op gespannen voet staat met de Wet Bescherming Persoonsgegevens, in het dagelijks leven ook wel de privacywet genoemd. Het zou betekenen dat de gegevens die zijn verzameld voor het aanbieden van een commerciële marktplaats worden gebruikt voor publiekrechtelijke repressieve handhavingsdoeleinden en de oplossing van grootstedelijke problemen.
Wie gebruik maakt van Airbnb verwacht, en mag in redelijkheid verwachten, dat zijn gegevens in beginsel alleen worden gebruikt door het verlenen van e de door deze gebruiker afgenomen diensten. En dat laat zich niet verenigen met de stelselmatige verstrekking van al die gegevens aan de overheid om overlast te bestrijden van een aantal van deze huurders en verhuurders. Daarbij is er het niet denkbeeldige risico dat de gegevens ook voor andere doeleinden gaan worden gebruikt. Bijvoorbeeld om iets te doen aan scheefwonen of inkomensbeleid. We spreken dan al snel van ‘fishing expeditions’ en ‘function creep’. En dat risico wordt alleen maar groter als gegevens ‘vrijwillig’ worden verstrekt aan de overheid zonder duidelijke wettelijke spelregels.
Er zijn natuurlijk situaties voorstelbaar waarbij de gemeente in individuele gevallen wél gegevens bij Airbnb moet kunnen opvragen. Maar daarvoor is in de wet voorzien in procedures die van de autoriteiten eisen dat zij zorgvuldige belangenafwegingen maken. Als er een onderzoek loopt tegen een verhuurder die zich niet houdt aan de regels, bijvoorbeeld als hij zijn woning — die onder de categorie vakantieverhuur valt — meer dan zestig dagen per jaar verhuurt, kan de gemeente bij Airbnb zijn gegevens opvragen. En als aan alle voorwaarden van de wet is voldaan, is er geen enkele reden waarom het platform de gegevens niet zou verstrekken.
Deze wettelijke regeling is er niet voor niets. Er is zo gewaarborgd dat er voldoende gewicht wordt toegekend aan de belangen van de huurders en verhuurders, waarvan de meesten zich keurig aan de regels houden. En ook dat de gemeente niet te gemakkelijk kan beschikken over hun gegevens. Het platform heeft in deze context ook al eerder aangegeven dat het gegevens zou verstrekken als dat op de juiste wijze wordt verzocht.
Het siert Airbnb dan ook dat het tot nu toe niet gezwicht is voor de druk van sommige stemmen in de gemeente om de gegevens van zijn klanten stelselmatig te delen. De hoogste Europese rechter heeft al een paar keer uitgesproken dat de verplichte bulkverstrekking van klantgegevens aan overheden al snel in strijd komt met het fundamentele recht van privacy en gegevensbescherming.
De gemeente Amsterdam doet er goed aan daarvan nota te nemen en Airbnb niet te dwingen om net zo illegaal te handelen als de verhuurders die de gemeente wil aanpakken.
Prof. mr. Gerrit-Jan Zwenne is hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden en advocaat bij Brinkhof te Amsterdam.
Oct 042016
Op 6 oktober verzorg ik via PAO Leiden een inleidende (incompany)cursus over de Wbp & AVG in R’dam, waarvoor ik gebruik maak van deze presentatie.
Praktijkcursus Wbp & AVG & andere privacywetgeving binnen de (semi)overheid | Utrecht 4 oktober 2016
Sep 302016
De dag na Leids Ontzet verzorg ik weer het grootste deel van de eerste cursusdag van de praktijkcursus over de Wbp & AVG & andere privacywetgeving binnen de (semi)overheid. De presentatie waarvan ik gebruik maak staat alvast hier.
Sep 212016
Morgen verzorg ik een korte ‘inspiratiesessie’ in het Outsourcing Kenniscongres van het Platform Outsourcing Nederland. Dit is alvast de presentatie waarvan ik daarbij waarschijnlijk gebruik ga maken.
Sep 162016
Met Cathérine Jakimowicz verzorgde ik vandaag een korte inleiding over inzage- en correctierechten in de Wbp en AVG. De presentatie waarvan wij gebruik maakten staat hier.
Sep 152016
De presentatie bij deze korte cursus,
Sep 092016
Wat doen we met de functionaris voor de gegevensbescherming (m/v)?
Over iets minder dan twee jaar treedt de Algemene Verordening Gegevensbescherming in werking. Een van gevolgen daarvan zal zijn dat veel internetondernemingen een zogeheten ‘functionaris voor de gegevensbescherming’ of ‘data protection officer’ (m/v) moeten benoemen. Dat is iemand die binnen de organisatie waarvoor hij is benoemd optreedt als onafhankelijk toezichthouder op toepassing van privacy- en gegevensbeschermingsregels. Een functionaris wordt onder andere verplicht als er sprake is van het stelselmatig observeren van internetgebruikers op grote schaal,[1] wat bijvoorbeeld gebeurt als gedragingen van internetgebruikers op een website of app worden gevolgd en bijgehouden. Er kan daarom wel vanuit worden gegaan dat er een grote vraag zal zijn naar dergelijke functionarissen.[2]
Wie komen er in aanmerking om te worden benoemd als functionaris? In de verordening staat dat een functionaris wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de hem of haar opgedragen taken te vervullen. Een en ander laat nogal wat interpretatieruimte. En dat vergroot het risico dat er functionarissen worden benoemd die daarvoor niet zonder meer geschikt zijn.
Wat daarom nuttig lijkt is een systematiek waarbij de benoeming van een functionaris kan worden getoetst. Wie zou dat moeten doen? Voor de hand ligt wellicht dat een beroepsorganisatie van functionarissen dat gaat doen. De organisatie die in Nederland het dichtst daarbij in de buurt komt is het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming of NGFG.[3] Het genootschap kan bijvoorbeeld de wettelijke vereisten uit werken in een toetsingskader, dat kan worden gebruikt om te toetsen of iemand over de kwaliteiten beschikt om te worden aangemerkt als functionaris.
Ook de toezichthouder, de Autoriteit persoonsgegevens, kan daarbij een rol spelen. In het kader van het toezicht op de naleving van de functionarisverplichting kan de toezichthouder verlangen dat wordt aangetoond dat een functionaris beschikt over de vereiste deskundigheid en professionele kwaliteiten. Voorstelbaar is dat de toezichthouder dan ook betekenis toekent aan de toetsing door een beroepsvereniging, als NGFG, als die inderdaad erin slaagt een werkend toetsingskader op te tuigen.
Van alle nieuwe dingen die de verordening gaat brengen wordt de verplichte functionaris voor internetondernemingen misschien wel een van de minst vrijblijvende. Er is ook daarom veel voor te zeggen nu al na te denken over de wijze waarop straks aan deze verplichting kan worden voldaan.[4]
[1] Art. 37, eerste lid, onder b, AVG.
[2] ‘Ten minste 28 duizend data protection officers nodig’ Emerce 5 augustus 2016
[3] Het NGFG is de Nederlandse beroepsvereniging van Functionarissen Gegevensbescherming. Zie www.ngfg.nl
[4] Voor een verder uitwerking wordt verwezen naar: G-J. Zwenne, ‘Een voorstel om de kwaliteit van de FG te waarborgen. Of: wat het betekent als een functionaris is gecertificeerd’, Privacy & Informatie 2016/5.
Sep 032016
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Als het gaat om de verwerking van persoonsgegevens hebben we vanaf dat moment niet meer te maken met de Wet bescherming persoonsgegevens, maar met nieuwe regels die in de hele Europese Unie gelijk zijn. Wat betekent dat? In deze bijdrage gaan we in op de tien belangrijkste veranderingen die de verordening met zich brengt.
Sep 032016
Dit is de presentatie waarvan ik gebruik maakte bij mijn college in het alumni event van de Leidse rechtenfaculteit, Leiden Revisited.