Colofon
Inhoudsopgave
ELSA Leiden Magazine is een drie maal per jaar verschijnende uitgave van ELSA Leiden. Het ELM wordt verspreid onder ELSA leden in heel Nederland.
Blz.
12e jaargang, nummer 1 oplage 600 Redactie: Jan Evert van Zwol (hoofdredacteur) Anne Beenders (zakelijk redacteur) Valentijn de Jongh Willem Knigge Tamara van Zaal Sofie Zwagemakers Opmaak: Jan Evert van Zwol Sebastiaan Roggeband Redactieadres/ELSA Leiden: Postbus 9520 2300 RA Leiden tel. 071 - 52 77 619
[email protected] Rabobank 345622987 K.v.K. 28081287
Inhoudsopggave
1
Activiteiten ELSA
2
Redactioneel
3
‘Oei een lek bijvoorbeeld door een hack’
4
mr. L.A. Bloemen-Patberg
‘Een recht om vergeten te worden en andere nieuwe privacyregels in Europa’ prof. mr. dr. G.J. Zwenne mr. H.A.J. de jong mr. B. van der Eijk
‘Privacy op Internet een utopie?’
‘Interview met mr. E.P.M Thole over de actuele ontwikkelingen in het privacyrecht’
Adverteerders: Boekel De Nerée De Brauw Blackstone Westbroek NautaDutilh Pels Rijcken & Droogleever Fortuijn
mr. J.P. van Schoonhoven
Auteursrecht: Overnemen of nadrukken van artike len uit het ELSA Leiden Magazine is uitsluitend toegestaan na schriftelijke toestemming van de redactie. Hoewel bij deze uitgave de uiterste zorg is nagestreefd kan voor de aanwezigheid van eventuele (druk)fouten en ander soortige onvolledigheden niet worden ingestaan en aanvaarden redacteuren en drukker in deze geen aansprakelijkheid.
18
mr. M. Jansen
Drukkerij: Drukkerij Roggeband Schrepelstraat 4 4835 BC Breda Tel: 06 24 68 14 79
The European Law Students’Association LEIDEN
12
20
mr. E.P.M Thole
Privacy compliance: oude wijn in nieuwe zakken?
28
ELSA LEIDEN www.elsaleiden.nl
Ruslandlezing 23 april - Marc Jansen ‘Russische presidentsverkiezingen’ Marc Jansen verschijnt regelmatig in de media als specialist van Rusland en de voormalige Sovjet-Unie. Marc Jansen werkte onder meer bij de UvA - waar hij ook promoveerde - als docent Russische en Oost-Europese Studies, toezichthouder op de verkiezingen in Rusland verbonden aan The Orga-nization for Security and Co-Operation Oranisatie en De Organisatie voor Wetenschappelijk Onderzoek (NWO). Tevens werkte en woonde hij een meerdere jaren in Moskou en reisde naar vele delen van Rusland en andere voormalige Sovjet-landen. De focus zal in de lezing liggen op de presidentsverkiezingen. Waar: Sociëteit ‘De Burcht’ Datum: Maandag 23 april Tijd: 17:30u (borrel: 17:00u tot 19:00)
ELSA International IFP Mid-Evaluation Conference “Mental Health & Human Rights”,Trieste, Italy, 16th - 22nd April 2012 ELSA Trieste is glad to invite all ELSA members to the Mid-Evaluation Conference on IFP on Mental Health and Human Rights, which will be held from 16th to 22nd April 2012. A whole week to increase your knowledge, have fun and meet new friends. There will be of course conferences and debates but also a great Social and Cultural Programme (parties, gala ball, sightseeing, artistic and musical live performances and an exhibition dedicated to the Places of Care).
2
ELSA Leiden Magazine - 12e jaargang, nummer 1
Redactioneel Bescherming van persoonsgegevens, wederom een actueel thema waar veel over te vertellen is. Hoe divers dit onderwerp blijkt uit de artikelen die in deze editie zijn gepubliceerd. Zo heeft mr. Annemarie Bloemen-Patberg, advocaat bij Houthoff Buruma, een artikel geschreven over de bestaande en aankomende regelgeving op het gebied van de zogenaamde ‘datalek’. Dit verschijnsel heeft de afgelopen tijd vaak het nieuws gehaald. Zo zorgde laatst nog de verspreiding van gegevens van klanten van KPN voor enige paniek in Nederland. De Europese Commissie heeft eind januari 2012 een voorstel gedaan voor een nieuwe verordening ter bescherming van persoonsgegevens. Gerrit-Jan Zwenne, advocaat-partner bij Bird&Bird, Huub de Jong en Berend van der Eijk, beiden advocaat bij Bird&Bird, beschrijven in hun artikel de mogelijke gevolgen van deze verordening voor bedrijven en overheden. De redactie sprak voor deze editie met Elisabeth Thole, advocaat bij Van Doorne, over de actuele ontwikkelingen op het gebied van privacyrecht. Een van de onderwerpen die hierbij voorbij kwam was onder andere de reden waarom de Europese Commissie met een voorstel voor een nieuwe verordening is gekomen. In hoeverre verspreidt iemand die gebruik maakt van het internet zijn privacygegevens? Is dit altijd bewust of gebeurd dit ook onbewust? mr. Mark Jansen van Dirkzwager Advocaten heeft een artikel geschreven over privacy op het internet waarbij de ontwikkelingen op dit gebied aan bod komen die zich afgelopen jaren hebben voorgedaan. mr. Jean Paul van Schoonhoven, werkzaam als compliance officer bij SNS REAAL en stapt binnenkort over naar de Autoriteit Financiële Markten als senior jurist compliance & privacy, heeft zoals hij het zelf heeft verwoord “anders dan anders” een artikel geschreven vanuit het perspectief van ‘compliance’ en financiele instellingen.
Jan Evert van Zwol Hoofdredacteur
ELSA Leiden Magazine - 12e jaargang, nummer 1
3
‘Oei een lek bijvoorbeeld door een hack’ Voorbeelden en aankomende wetgeving mr. L.A. Bloemen-Patberg
op het gebied van datalekken
mr. Annemarie Bloemen-Patberg studeerde in 2004 af aan de Universiteit Leiden. Sinds dat jaar is zij werkzaam bij Houthoff Buruma, waar zij zich heeft gespecialiseerd in privacy en e-commerce. Inleiding De afgelopen tijd wordt in de Nederlandse pers bijna iedere week wel melding gemaakt van een zogenaamd ‘datalek’. Termen als ‘persoonsgegevens liggen op straat’ of ‘diefstal van adresgegevens’ zijn niet meer weg te denken uit het nieuws. Vorig jaar stond er zelfs een hele maand in het teken van datalekken: ‘Lektober’. Deze maand werd geïnitieerd door ICT-nieuws website Webwereld.nl.1 Daarnaast heeft de online burgerrechten organisatie Bits of Freedom een eigen Zwartboek Datalekken, waarin nationale datalekken zoals bij KPN en Bavaria aan de kaak worden gesteld.2 Nog niet eens zo lang geleden was het gangbaar om gegevens van klanten in papieren dossiers te bewaren. De technische vooruitgang van de laatste jaren heeft ertoe geleid dat steeds meer gegevens gemakkelijk en goedkoop elektronisch verzameld en verwerkt kunnen worden en wereldwijd met een druk op de knop kunnen worden opgeslagen.3 Deze ontwikkeling gaat gepaard met het risico op een datalek, waardoor onbevoegden toegang krijgen tot opgeslagen gegevens. Dit kan ongewenste gevolgen hebben voor zowel de getroffen onderneming als de getroffen personen.4 Om die laatste reden is de privacy inbreuk die volgt uit zo’n datalek een hot topic. Hoe werkt dit in de praktijk? En wat doen wetgevers om datalekken te voorkomen? Dit artikel bevat een overzicht van bestaande en toekomstige regelgeving op het gebied van datalekken, zowel binnen als buiten Nederland.
Wat is een datalek? Een datalek valt in verschillende categorieën uiteen. Er bestaat een niet-digitale versie van een datalek, bijvoorbeeld een rechter die per ongeluk een dossier in de trein laat liggen. Ook in de digitale wereld kunnen datalekken ‘per ongeluk’ gebeuren. Zo verstuurde een incassobureau ongevraagd en onbedoeld een lijst met gegevens van 1243 wanbetalers aan een Telfort klant die enkel om uitstel van betaling had verzocht.5 En in juli 2011 stuurde een website bedoeld voor jongeren met sadomasochis4
tische gevoelens per ongeluk een e-mail aan haar leden waarbij de e-mailadressen van alle 65 aangeschreven ontvangers zichtbaar waren.6 Vaak ook zal een datalek niet per ongeluk gebeuren, maar doet iemand opzettelijk een poging om toegang te krijgen tot gegevens die in een IT systeem zijn opgeslagen. In sommige gevallen wordt deze toegang op simpele wijze verkregen zonder dat IT expertise nodig is. Een goed voorbeeld hiervan (waarbij overigens geen persoonsgegevens waren betrokken) is het lekken van de Miljoenennota van 2011. Historicus Bram Talman herinnerde zich dat de miljoenennota van 2010 onder de link <miljoenennota.prinsjesdag2010.nl> gevonden kon worden. Talman wijzigde in deze link ‘2010’ in ‘2011’ en de vroegtijdige publicatie van de Miljoenennota 2011 was een feit.7 Verslaggevers van RTL nieuws probeerden het een en ander uit bij het digitale loket van de gemeente Amsterdam en kregen zo toegang tot het systeem waarmee de inhoud van de website kon worden gewijzigd, het zogenaamde content management system.8 En dan zijn er hackers die hun IT kennis gebruiken om datalekken veroorzaken. Een hacker gaat op zoek naar zwakheden in de beveiliging van een IT systeem en breekt zo in. De motivatie van een hacker kan verschillen van financieel gewin (werkende creditcardgegevens kunnen op de zwarte markt schijnbaar $2 per stuk opbrengen)9 of simpelweg de challenge. Sommige hacks zijn relatief simpel. Zo kwam een hacker erachter dat het online bestand met gegevens van bijna 100.000 klanten van de Nationale Theaterkassa niet was afgeschermd met een wachtwoord.10 Dat was voor de hacker reden om Nu.nl in te lichten. Een van de bekendste voorbeelden van een datalek door middel van een hack is de zogenaamde outrage van het Sony Playstation Network en Sony Online Entertainment. In de lente van 2011 was het Sony Playstation Network slachtoffer van een megahack waarbij gegevens van 77 miljoen gebruikers van het PlayStation Network werden ELSA Leiden Magazine - 12e jaargang, nummer 1
mingen reputatieschade zal aanrichten. Dit geldt temeer gelekt, waaronder namen, e-mailadressen en creditin het geval het datalek gepaard gaat met enige paniek cardgegevens. Sony sloot eerst het PlayStation Network doordat de betrokken diensten worden afgesloten, zoals af, en deed er enkele dagen over voordat zij gebruikers bij Sony en KPN het geval was. informeerde.11 Als reden hiervoor gaf Sony dat pas na forensisch onderzoek kon worden vastgesteld wat de reikwijdte van de hack was. Later bleek dat ook bijna Wetsvoorstellen in Nederland 25 miljoen gebruikers van Sony Online Entertainment Wet bescherming persoonsgegevens getroffen waren.12 Sony verwacht dat deze hack haar Het is dus tijd voor de Nederlandse wetgever om wat aan minimaal $180 miljoen gaat kosten.13 het datalekken te doen. En dat zal nu ook snel gebeuren. Dichter bij huis zorgde een hack bij KPN voor paniek. Op 20 december 2011 is een wetsvoorstel voor onder Nadat KPN bekend had gemaakt dat zij slachtoffer was andere een meldplicht datalekken in consultatie gegaan.19 geworden van een hack, werd door een onbekende De achtergrond van dit wetsvoorstel is dat de regering de derde een lijst met gegevens van 539 klanten van KPN informatieveiligheid en de bescherming van persoonsonline gezet.14 KPN blokkeerde daarop gedurende een gegevens wil verbeteren. Als reden noemt het kabinet aantal dagen de e-mailaccounts van 2 miljoen van haar de razendsnelle ICT vooruitgang van de afgelopen jaren klanten, omdat KPN niet met zekerheid kon vaststellen en het grote aantal datalek incidenten dat al heeft plaatsof deze gegevens wel of niet via de hack naar buiten gevonden. Aangezien het hier nog een voorstel betreft waren gekomen. Naar staat de tekst van de wet Ook in de digitale wereld kunnen aanleiding van deze nog niet vast, dit kan onzekerheid raadde KPN datalekken ‘per ongeluk’ gebeuren. gedurende het wetgehaar gebruikers aan om vingstraject nog worden Zo verstuurde een incassobureau uit voorzorg hun wachtgewijzigd. woord te wijzigen. KPN Het wetsvoorstel bevat ongevraagd en onbedoeld een lijst bood na dit incident aan een wijziging voor haar klanten de mogelijk- met gegevens van 1243 wanbetalers de Wet bescherming heid om een verzoek in persoonsgegevens (de aan een Telfort klant die enkel om “Wbp”). De Wbp is een te dienen tot vergoeding uitstel van betaling had verzocht. implementatie van de van de schade geleden Europese Privacyrichtlijn door de blokkade. Een paar weken na het incident maakte KPN bekend dat 95/46/EC20 en bevat regels voor de verwerking van zij 915 schadeformulieren had ontvangen en dat ruim persoonsgegevens door ondernemingen in Nederland. De 613.000 klanten hun wachtwoord hadden gewijzigd. regels zien er onder andere op toe dat persoonsgegevens niet langer dan nodig mogen worden bewaard (artikel 10 Gevolgen Wbp), dat persoonsgegevens voldoende moeten worden Een datalek kan flinke consequenties hebben. Dit geldt in beveiligd (artikel 13 Wbp) en dat betrokken personen op eerste instantie voor de getroffen personen. De privacy de hoogte moeten worden gesteld welke persoonsgegevan betrokkenen komt in het geding als hun persoonsgevens worden verwerkt en voor welk doel deze worden gevens buiten een organisatie bekend worden. Voor een verwerkt (artikel 33 en 34 Wbp). enkele naam of adres zullen de gevolgen hiervan niet zo groot zijn, maar ook dat kan soms toch op zijn minst Meldplicht vervelend zijn. Zo werd van PVV’er Hero Brinkman en Het wetsvoorstel voegt aan de Wbp een artikel 34a toe. CDA-kamerlid Daniëlle Koster bekend dat zij klant waren De basis voor het artikel is een meldplicht in geval van van de gehackte Beauty.nl en Recreatief.nl websites.15 datalekken. De meldplicht rust op de verantwoordelijke. En de hacker van de website van het Sinterklaasjournaal Dit is de onderneming die ‘verantwoordelijk’ is voor de kreeg onder meer de naam en het e-mailadres van verwerkte persoonsgegevens en daarvoor het doel en 13.000 kinderen in handen.16 de middelen bepaalt. Zo is een winkel verantwoordelijk De inbreuk op de schade wordt groter als meer gevoelige voor de persoonsgegevens van haar klanten en een gegevens worden getroffen. Voorbeelden hiervan zijn de werkgever verantwoordelijk voor de persoonsgegevens gegevens van 824 klanten van een gehackt Amsterdamse van haar werknemers. De meldplicht geldt dus niet voor escortbureau17 of de e-mailadressen van de leden van de een derde die door de verantwoordelijke is ingeschakeld bovengenoemde SM jongerenwebsite.18 Verder kunnen enkel en alleen om voor opslag van de persoonsgegevens gestolen gegevens gebruikt worden voor zogenaamde te zorgen (dit is de zogenaamde ‘bewerker’). De verantidentity frauds, zoals het doen van betalingen met verkregen woordelijke moet met deze bewerker afspreken dat hij creditcardgegevens. Ook daardoor kunnen betrokkenen onmiddellijk aan de bel trekt als hij zelf door een datalek schade lijden. getroffen wordt.21 De getroffen ondernemingen zullen in de regel aanspraDe verantwoordelijke moet bepaalde datalekken melden kelijk zijn voor deze schade en deze dus moeten vergoeaan getroffen personen en aan de toezichthouder op den aan de betrokkenen. Daarbovenop komt het feit dat het gebied van de privacy, het College Bescherming de bijbehorende slechte publiciteit voor deze ondernePersoonsgegevens (het “CBP”). Het wetsvoorstel bestraft ELSA Leiden Magazine - 12e jaargang, nummer 1
5
een datalek an sich dus niet, maar verplicht de onderneming enkel om het CBP en betrokkenen over een datalek te informeren.22 Volgens het kabinet kan de transparantie die met de meldplicht wordt geboden het algemene vertrouwen van de betrokkenen in de verwerking van persoonsgegevens scheppen en zonodig herstellen. Verder dient een melding ook ter bescherming van betrokkenen. Zo krijgen zij de kans om hun schade te beperken door bijvoorbeeld wachtwoorden te wijzigen of hun creditcardmaatschappij te waarschuwen. Het CBP moet worden geïnformeerd zodat zij, indien nodig, een onderzoek kan instellen en aanwijzingen kan geven.23
Stappentoets
Het bovengenoemde artikel 34a lid 1 Wbp komt er in de praktijk op neer dat een door een datalek getroffen onderneming stapsgewijs moet toetsen of door dit datalek de privacy in het geding komt en deze dus onder de meldplicht valt. De eerste stap is natuurlijk dat de onderneming kennis moet hebben van een inbreuk op een beveiligingsmaatregel. De vraag is hier wanneer sprake is van ‘kennis’. Is dit al het geval als iemand van de ICT afdeling achter het lek komt, of pas als het bestuur van de onderneming op de hoogte wordt gesteld? De MvT laat zich hier niet over uit, van belang lijkt in ieder geval om personeel (en de derde-bewerker) goed te instrueren Datalek om adequaat te reageren. Een datalek wordt in het wetsvoorstel omschreven als Nadat de bovengenoemde inbreuk van de veiligeen ‘doorbreking van heidsmaatregelen is De inbreuk op de schade wordt maatregelen voor de vastgesteld, moet de onderneming inhoudebeveiliging van pergroter als meer gevoelige gegevens lijk toetsen of deze in soonsgegevens’ (artikel worden getroffen. Voorbeelden aanmerking komt voor 34a lid 1 Wbp). Volgens melding. De eerste de Memorie van hiervan zijn de gegevens van vraag daarbij is of het Toelichting (“MvT”) 824 klanten van een gehackt überhaupt redelijk is bij het wetsvoorstel valt om aan te nemen dat een hack of een slorAmsterdamse escortbureau of de persoonsgegevens zijn dige omgang met een e-mailadressen van de leden van de blootgesteld aan risico wachtwoord hieronder. verlies of onrechtHetzelfde geldt voor bovengenoemde SM jongerenwebsite. op matige verwerking. bijvoorbeeld het verlies Deze beoordeling moet van een laptop of USB objectief gebeuren. De aanname is bijvoorbeeld gerechtstick. De meeste datalekken die hierboven zijn besproken zullen onder het wetsvoorstel vallen. vaardigd bij een geslaagde hack van een IT systeem waarop persoonsgegevens zijn opgeslagen. Het risico op het verlies of de onrechtmatige verwerking Beperking Het is nodig dat elk denkbaar datalek aan het CBP en moet verder aanmerkelijk zijn. Dit is wederom afhande betrokkenen wordt gemeld. Op grond van het wetskelijk van feiten en omstandigheden, niet ieder risico voorstel moet een datalek pas worden gemeld indien dit rechtvaardigt een melding. Daarbij kan bijvoorbeeld kan leiden tot verlies of onrechtmatige verwerking van gekeken worden naar de aard en omvang van het datalek. persoonsgegevens met nadelige gevolgen voor de privacy In de regel zal een klein risico op verlies of onrechtma(artikel 34a lid 1 en lid 2 Wbp): tige verwerking van persoonsgegevens bestaan in geval “De verantwoordelijke stelt het College onverwijld in van verlies van een mobiele werktelefoon waarop weinig kennis van een inbreuk op de maatregelen, bedoeld in persoonsgegevens staan. Het risico op verlies of onrechtartikel 13, waarvan redelijkerwijs kan worden aangenomatige verwerking zal meer aanmerkelijk zijn in geval men dat die leidt tot een aanmerkelijk risico op verlies van verlies van een slecht beveiligde laptop waarin een of onrechtmatige verwerking waaraan nadelige gevolgen groot aantal persoonsgegevens zijn opgeslagen. voor de persoonsgegevens en de persoonlijke levenssfeer Ook de nadelige gevolgen voor de privacy van de van de betrokkene zijn verbonden. betrokken personen moeten aannemelijk zijn. Dit hangt De verantwoordelijke, bedoeld in het eerste lid, stelt de wederom af van de aard van de getroffen verwerking. betrokkene onverwijld in kennis van de inbreuk, bedoeld De MvT geeft hiervan een voorbeeld: een hack van een in het eerste lid.” sportvereniging met een simpele ledenadministratie zal Volgens de MvT bij dit artikel is de reden voor deze in de regel niet onder de meldingsplicht vallen, maar beperking het feit dat een meldingsplicht voor alle een hack bij een verzekeraar wel25. De reden hiervoor mogelijke datalekken een onnodige belasting voor het is dat men ervan uit gaat dat daarbij compromitterende bedrijfsleven en overheid zal betekenen. Daarnaast betegegevens bekend gemaakt kunnen worden. kent het onbeperkt melden een verlies van de betekenis voor de meldplicht zelf24. Als betrokkenen op grote Onverwijld schaal worden geïnformeerd over een datalek, dan neemt Een ondernemer die getroffen wordt door een datalek het effect van deze melding op een gegeven moment af. moet bovenstaande beoordeling zelf maken. Dat kan lastig zijn, vooral ook omdat een melding op grond van het wetsvoorstel ‘onverwijld’ moet worden gedaan. 6
ELSA Leiden Magazine - 12e jaargang, nummer 1
In de juridische wereld betekent dat zoveel als ‘zo snel als redelijkerwijs mogelijk’. Dit kan in de praktijk een behoorlijke uitdaging voor de getroffen onderneming worden.
Vorm en inhoud melding Ook over de vorm en inhoud van de melding bevat het wetsvoorstel regels. De onderneming moet zorgen voor een ‘behoorlijke en zorgvuldige informatievoorziening’ ten aanzien van het datalek (artikel 34a lid 5 Wbp). Als een voorbeeld hiervoor stelt de MvT dat een kleine groep getroffenen persoonlijk moet worden benaderd over het datalek, maar dat een melding aan een grote groep getroffenen ook kan worden gedaan via een advertentie in landelijke dagbladen.26 De melding aan de betrokkenen en aan het CBP moet een algemene omschrijving van het datalek bevatten, plus de contactgegevens waar de betrokkene terecht kan met vragen en de maatregelen die de betrokkene moet of kan nemen (bijv. veranderen wachtwoord / gebruikersnaam) (artikel 34a lid 3 Wbp). De getroffen onderneming moet aan het CBP ook een beschrijving van de geconstateerde en vermoedelijke gevolgen voor de betrokken persoonsgegevens sturen, samen met informatie over de getroffen of voorgestelde maatregelen om de gevolgen te verhelpen (artikel 34a lid 4 Wbp). Het is niet verplicht om deze informatie ook aan de betrokkenen te sturen. De reden voor dit onderscheid is het feit dat de wetgever ervan uitgaat dat betrokkenen niet alles behoeven te weten (zoals technische gegevens), en dat sommige gegevens vertrouwelijk van aard zijn. Een melding aan betrokkenen is niet verplicht als beschermingsmaatregelen zijn getroffen waardoor de betreffende persoonsgegevens versleuteld (encrypted) of op andere technische wijze onbegrijpelijk zijn gemaakt voor onbevoegden (artikel 34a lid 6 Wbp). Het CBP oordeelt hierover en kan alsnog een melding verlangen indien zij van mening is dat betrokkenen onterecht niet in kennis gesteld zijn van de inbreuk (artikel 34a lid 7 Wbp). Kennelijk is het onder omstandigheden dus ook mogelijk om eerst alleen een melding bij het CBP te doen, en haar oordeel over een eventuele versleuteling af te wachten.
Boete Het wetsvoorstel bevat een aparte boete voor schendingen van artikel 34a Wbp, die maximaal EUR 200.000 bedraagt. Deze boete zal kunnen worden opgelegd indien een onderneming nalaat een datalek te melden (tenzij het datalek volledig geheim blijft natuurlijk). Dit is een flinke boete, zeker in het licht van de Wbp; de hoogste boete die nu in de Wbp is opgenomen is EUR 19.000 (artikel 75 Wbp). Volgens de MvT weerspiegelt het hoge bedrag het belang dat gehecht wordt aan het geven van transparantie bij datalekken en het algemene verlies aan vertrouwen in de bescherming van de privacy.
Uitzonderingen Het wetsvoorstel is niet van toepassing op ondernemingen die onder de Telecommunicatiewet vallen, ELSA Leiden Magazine - 12e jaargang, nummer 1
aangezien daarin al een aparte meldplicht voor deze ondernemingen zal worden opgenomen (artikel 34a lid 9 Wbp, zie hieronder meer). Ook financiële instellingen zijn uitgezonderd van de Wbp meldplicht (artikel 34a lid 10 Wbp). De reden hiervoor is dat de Wet financiële dienstverlening al voldoende waarborgen biedt voor de bescherming van betrokkenen in geval van een datalek bij een dergelijke instelling.
Telecommunicatiewet Met de implementatie van de nieuwe e-Privacy Richtlijn27 wordt al een meldplicht voor datalekken in het nieuwe artikel 11.3a Telecommunicatiewet (“Tw”) opgenomen.28 Deze meldplicht zal enkel gelden voor aanbieders van ‘openbare elektronische communicatiediensten’ (zoals internet service providers: XS4ALL, Ziggo, etc.). Zij vallen niet onder de algemene meldplicht in de Wbp. Het wetsvoorstel waarin deze meldplicht is opgenomen is al wat verder in het wetgevingsproces. Het voorstel is goedgekeurd door de Tweede Kamer en wordt nu nog behandeld in de Eerste Kamer.29 De discussie in de Eerste Kamer ziet op de nieuwe regels voor cookie-gebruik die ook in het wetsvoorstel zijn opgenomen en niet meer op de tekst voor de meldplicht. De meldplicht in het voorstel voor de Tw is minder beperkt dan de meldplicht in het voorstel van de Wbp: aanbieders moeten alle datalekken waarbij persoonsgegevens zijn getroffen melden aan toezichthouder OPTA (Artikel 11.3a lid 1 Tw), ook als er geen risico is voor de privacy van betrokkenen.30 Melding aan betrokkenen is wel beperkt, pas als het datalek waarschijnlijk ook ongunstige gevolgen heeft voor de privacy, moeten ook zij worden geïnformeerd (artikel 11.3a lid 2 Tw).
Voorstel Europese meldplicht datalekken Ook op Europees niveau ligt een voorstel voor een meldplicht datalekken. Dit is opgenomen in het voorstel voor de nieuwe EU Privacy Verordening, dat op 25 januari 2012 is gepubliceerd.31 Net als de EU Privacy Richtlijn bevat deze concept Verordening regels voor de bescherming van de persoonsgegevens. Doordat gekozen is voor een Verordening zullen deze regels rechtstreekse werking hebben, implementatie in nationale wetgeving is niet nodig. De Wbp zal op termijn dus verdwijnen, maar het duurt waarschijnlijk nog wel minimaal vier jaar voordat de Verordening van kracht is.
Twee voorstellen: wat gaat nu voor? De Nederlandse regering wist eind 2010 al dat het voorstel voor de Europese Privacy Verordening ook een meldplicht datalekken zou bevatten, maar wilde hier niet op wachten en kwam met een eigen voorstel. Het kabinet ging ervan uit dat een oplossing voor het datalek probleem op Europees niveau te lang op zich zou laten wachten. Op dit moment bestaan er dus twee voorstellen voor een meldplicht datalekken, een op Nederlands niveau en een op Europees niveau. De vraag is nu welk wettelijk kader voor de meldplicht eerder in werking zal 7
treden. Aannemelijk is dat dit de Nederlandse meldplicht in de Wbp zal zijn. Voor het wetsvoorstel wijziging Wbp heeft de staatssecretaris namelijk aangekondigd dat een implementatietraject van een jaar haalbaar is. Dit is ambitieus, maar de implementatie van het voorstel in de Wbp zal waarschijnlijk wel sneller gaan dan de inwerkingtreding van de Verordening.
Verschillen Nadat de Verordening van kracht wordt, zal de meldplicht in de Wbp vervallen. In dit kader is het interessant om te zien dat het Europese voorstel voor de meldplicht op een belangrijk punt verschilt van het Nederlandse voorstel voor de Wbp. Net als de meldplicht in de e-Privacy Richtlijn en de Tw moet ieder datalek waarbij persoonsgegevens zijn betrokken worden gemeld aan de nationale privacytoezichthouder (artikel 31 Verordening). Dit is dus niet beperkt tot bepaalde risicovolle datalekken, zoals in het Nederlandse voorstel voor de Wbp het geval is. Evenals in de e-Privacy Richtlijn en de Tw is de melding aan betrokkenen wel beperkt, deze is alleen nodig indien het datalek waarschijnlijk negatieve effecten voor betrokkenen zal hebben (artikel 32 Verordening). De Europese meldplicht geldt verder ook voor de bewerker en niet alleen voor de verantwoordelijke. Ten slotte kent de Verordening ook flink hogere boetes. Voor het schenden van de meldplicht kan deze oplopen tot 2% van de jaarlijkse wereldwijde omzet van de onderneming (artikel 79 lid 6 sub h Verordening). Dat kan voor multinationals als Sony op miljarden Euro’s neerkomen. Het ziet er dus naar uit dat een onderneming na de invoering van de Verordening te maken krijgt met strengere regels dan onder de Wbp en ook bewerkers zullen zich moeten voorbereiden op een meldplicht. Overigens staat ook de tekst van de Verordening nog niet vast. De hoge boetes zullen in ieder geval onderwerp van de discussie zijn.
Internationale wetgeving In een aantal ons omringende landen probeerde men al eerder het fenomeen datalekken aan te pakken, onder andere door het feit dat daar een paar spraakmakende datalek zaken aan het licht kwamen. Het is interessant om te bekijken wat er daar gebeurde. Overigens geldt voor de hieronder genoemde Europese landen dat hun regelgeving op termijn ook zal worden opgeslokt door de EU Privacy Verordening.
Verenigde Staten De Verenigde Staten worden als koploper gezien van zowel de media aandacht als de wettelijke regelgeving rondom datalekken.32 Veel sectorale wetgeving in de Verenigde Staten (zoals health care) bevat regels met betrekking tot meldplichten in het kader van datalekken. De oudste daarvan dateert al uit 1996.33 Verder hebben op dit moment 46 staten een bepaalde wettelijk geregelde vorm van meldplicht in geval van datalekken en in de meeste gevallen ook een daaraan gerelateerde boete.34 Een van de meest ingrijpende ‘vroege’ datalek 8
zaken begon daar in 2005, toen de Amerikaanse retailer TJ Maxx slachtoffer van een aanval van hackers werd. Daarbij werd toegang verkregen tot creditcardgegevens van miljoenen klanten.35 Door het class action systeem in de VS kunnen datalekken overigens (nog) grotere financiële gevolgen voor de getroffen ondernemingen hebben. In het bovengenoemde voorbeeld ging retailer TJ Maxx uiteindelijk voor $40,9 miljoen een schikking aan met de banken en creditcardmaatschappijen die waren getroffen door het verlies van creditcardgegevens.
Duitsland In 2006 verloor T-Mobile in Duitsland persoonsgegevens (waaronder mobiele telefoonnummers en in sommige gevallen ook namen en adresgegevens) van ongeveer 17 miljoen Duitse klanten. Pas in 2008 werd het lek publiekelijk bekend gemaakt.36 Sinds september 2009 heeft Duitsland een specifieke datalek-regelgeving, die is opgenomen in de op de Privacy Richtlijn gebaseerde Bundesdatenschutzgesetz 2000 of BGDS.37 De Duitse BGDS bevat bijvoorbeeld een verplichting om zowel de autoriteit als de betrokken personen te informeren indien gevoelige persoonsgegevens zoals medische gegevens of financiële gegeven getroffen zijn door een datalek en er mogelijk sprake is van ernstige schade voor betrokken burgers. De boete in de BDGS voor schending van de meldplicht datalekken bedraagt €300.000 ingeval niet, of niet voldoende, wordt gemeld.38
Verenigd Koninkrijk In het Verenigd Koninkrijk verloor Her Majesty’s Revenue & Customs (de Britse belastingdienst) in november 2007 twee cd’s met persoonsgegevens (naam, adres, rekeningnummer) van 25 miljoen ontvangers van kinderbijslag.39 De privacywetgeving van het Verenigd Koninkrijk bevatte toentertijd en nog steeds geen specifieke bepalingen met betrekking tot datalekken. Maar nadat nog een aantal andere omvangrijke datalek zaken aan het licht waren gekomen, heeft de Britse privacyautoriteit (de Information Commissioner’s Office, de “ICO”) richtlijnen opgesteld welke stappen moeten worden ondernomen als een onderneming wordt geconfronteerd met een datalek.40 Daarin beveelt de ICO ondernemingen aan om de ICO te informeren ingeval een groot aantal personen getroffen zijn of ernstige gevolgen kan hebben. Betrokkenen dienen door een Britse onderneming te worden geïnformeerd als het mogelijk is om actie te ondernemen en risico’s te verminderen. De Britse privacywetgeving bevat boetes met een maximum va n £500.000 die ook in geval van datalekken kunnen - en zijn - opgelegd.41
Spanje De Spaanse privacywet42 bevat geen specifieke bepalingen met betrekking tot datalekken. Wel moeten verantwoordelijken sinds 2007 een register bijhouden van incidenten die persoonsgegevens betreffen.43 Een wettelijke verplichting om een dergelijk incident ook te melden bij de Spaanse privacy autoriteit (Agencia Española de Protección de Datos, “AEPD”) of bij betrokkenen bestaat (nog) niet. ELSA Leiden Magazine - 12e jaargang, nummer 1
De afwezigheid van specifieke regelgeving op het gebied van datalekken weerhield de AEPD er in 2001 niet van om een enorme boete op te leggen voor, onder andere, een datalek. In 2000 werden persoonsgegevens van 7.000 deelnemers aan de Spaanse versie van het televisieprogramma Big Brother, “Gran Hermano”, gehackt en op het internet gepubliceerd. Deze persoonsgegevens bevatten onder andere gevoelige gegevens, zoals ras, godsdienst en seksuele leven. De AEPD legde in januari 2001 een boete op van € 1.081.822 aan de producent van dit televisieprogramma.
Oostenrijk Van Oostenrijk zijn ons geen spectaculaire datalek zaken bekend. Niettemin is op 1 januari 2010 een verplichting in de Oostenrijkse privacywetgeving (de Datenschutzgesetz 2000) opgenomen die bepaalt dat betrokkenen moeten worden geïnformeerd ingeval van systematische en zwaarwegende onrechtmatige verwerking van hun persoonsgegevens waarbij schade te verwachten is.44 Een verplichting om de Datenschutzkommission te informeren bestaat niet.
Conclusie Wat bij de bestaande en aankomende regelgeving op het gebied van datalekken opvalt is dat deze stuk voor stuk een datalek op zichzelf niet expliciet bestraffen. Pas als de getroffen onderneming het lek niet naar buiten brengt volgen er maatregelen. In het kader van de bescherming van de privacy is een melding nuttig omdat de betrokkenen maatregelen kunnen nemen en bedachtzaam kunnen zijn op misbruik van hun persoonsgegevens. De bij een melding behorende reputatieschade zal hopelijk ook afschrikwekkend werken, en ertoe leiden dat ondernemingen beter hun best gaan doen om datalekken te voorkomen. Onpraktisch lijkt het wettelijk kader op dit moment nog wel. De uitgebreide stappentoets om vast te stellen of een datalek onder de meldplicht valt is gebaseerd op vage termen als ‘redelijkerwijs aannemen’ en ‘aanmerkelijk risico’. Het wordt voor een onderneming lastig om vast te stellen of een bepaald datalek op grond van de wet gemeld moet worden. Dit kan er zeker in het licht van de hoge boete, toe leiden dat getroffen ondernemingen uit voorzorg ook minder ingrijpende datalekken zullen melden. En dit brengt ons bij een volgend praktisch probleem. De voorzitter van het CBP, Jacob Kohnstamm, gaat ervan uit dat het CBP te weinig mankracht heeft om meldingen van datalekken te behandelen.45 Hopelijk is een meldplicht toch dé manier om datalekken te voorkomen. Aan het grote aantal gevallen is in ieder geval duidelijk dat er iets moet gebeuren. Het woord ‘datalek’ levert op dit moment ongeveer 220.000 hits op in een Google zoekopdracht, maar het Van Dale woordenboek kent het nog niet. Wellicht is dit iets voor het officiële Van Dale Woord 2012?
ELSA Leiden Magazine - 12e jaargang, nummer 1
1 http://webwereld.nl/dossiers/8/lektober--maand-van-hetprivacylek.html 2 https://www.bof.nl/category/zwartboek-datalekken/ 3 Cloud computing is hiervan een voorbeeld. Hierin wordt door middel van gedeelde netwerken (opslag)ruimte op aanvraag beschikbaar gesteld. 4 Waar het in dit artikel met name over gaat zijn datalekken van persoonsgegevens die zijn opgeslagen, zoals namen en adressen van klanten of medische gegevens van patiënten. Er valt natuurlijk ook veel te zeggen over de datalekken van andere gegevens, zoals financiële gegevens of know how. Dat valt echter buiten het onderwerp van dit artikel. 5 https://www.bof.nl/2012/03/07/datalek-incassobureaulekt-lijst-wanbetalers/ 6 https://www.bof.nl/2011/08/01/mailen-is-moeilijkjuli-2011/ 7 http://nos.nl/op3/artikel/273043-miljoenennota-uitgelekt-weinig-nieuws-veel-bezuinigingen.html 8 http://www.rtl.nl/(/actueel/rtlnieuws/binnenland/)/ components/actueel/rtlnieuws/2011/09_september/20/ binnenland/website-amsterdam-lek-als-een-mandje.xml 9 http://money.msn.com/identity-theft/what-you-are-worthon-black-market-credit-cards.aspx 10 https://www.bof.nl/2012/02/23/datalek-nationaletheaterkassa-lekt-creditcardgegevens/ 11 Zie de communicatie van Sony hierover op het Playstation Blog, oa onder: http://blog.us.playstation. com/2011/04/22/update-on-playstation-network-qriocityservices/ 12 http://articles.cnn.com/2011-05-02/tech/sony. hack_1_sony-computer-entertainment-game-network-sonydivision?_s=PM:TECH 13 http://www.computerworld.com/s/article/9218639/ Zurich_lawsuit_against_Sony_highlights_cyber_insurance_ shortcomings 14 http://www.kpn.com/corporate/digitale-inbraak.htm 15 https://www.bof.nl/2012/01/16/datalek-beauty-nl-enrecreatief-nl-lekken-315-000-gegevens/ 16 https://www.bof.nl/2011/11/28/datalek-gegevenstoegankelijk-op-sinterklaasjournaal-nl/ 17 https://www.bof.nl/2011/10/21/datalek-amsterdamsescortbureau-lekt-gegevens/ 18 Zie voetnoot 4 19 Wijziging van de Wet bescherming persoonsgegevens en enige andere wetten in verband met de verruiming van de mogelijkheid van het gebruik van camerabeelden van strafbare feiten ten behoeve van de ondersteuning van de rechtshandhaving en de invoering van een meldplicht bij de doorbreking van maatregelen voor de beveiliging van persoonsgegevens (gebruik camerabeelden en meldplicht datalekken) (versie consultatie en advies - dec 11). Zie www.internetconsultatie.nl/camerabeelden. De consultatie is inmiddels gesloten 20 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.
9
21 Daar waar in dit artikel wordt gesproken over onderneming wordt de verantwoordelijke in de zin van de Wbp bedoeld 22 Overigens valt te verdedigen dat een datalek wel een schending is van de algemene verplichting om persoonsgegevens te beveiligen, maar dit wordt door de wetgever niet aangegrepen als het middel om datalekken te bestraffen of te voorkomen. 23 Memorie van Toelichting bij het consultatiedocument van het wetsvoorstel genoemd in voetnoot 19, vooralsnog vindbaar op www.internetconsultatie.nl/camerabeelden, p. 7 24 Voetnoot 21, p. 6 en p. 7. 25 Voetnoot 21, p. 8 en p. 9. 26 Voetnoot 21, p. 15. 27 Richtlijn 2009/136/EG Van het Europese Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronischecommunicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming. 28 De E-Privacy Richtlijn diende uiterlijk op 25 mei 2011 in de Nederlandse wetgeving te worden geïmplementeerd. 29 http://www.eerstekamer.nl/wetsvoorstel/32549_implementatie_van_herziene 30 Het wetsvoorstel meldplicht datalekken stelt voor om ook voor datalekken van aanbieders van openbare elektronische communicatiediensten het CBP en niet de OPTA als meldingsinstantie te laten functioneren. 31 Regulation of the European Parliament and the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation), te vinden onder http://ec.europa.eu/justice/data-protection/document/ review2012/com_2012_11_en.pdf 32 Rapport “Melding maken” van research voor beleid, gepubliceerd 17 april 2009 p. 28-29. Beschikbaar via: www. rijksoverheid.nl/...research-voor-beleid/9074371- eindrapmeldingmaken27jan09-1.pdf. 33 Health Insurance Portability and Accountability Act (HIPAA) of 1996 (P.L.104-191) (HIPAA). 34 Zie bijvoorbeeld: http://www.ncsl.org/issues-research/ telecom/security-breach-notification-laws.aspx 35 Zie bijvoorbeeld: http://www.usatoday.com/money/industries/retail/2007-11-30-tjx-visa-breach-settlement_N.htm 36 http://www.bfdi.bund.de/SharedDocs/ Publikationen/Infobroschueren/ Dokumentation25JahreVolkszaehlungsurteil.html 37 Bundesdatenschutzgesetz 2000, artikel 42a. 38 Bundesdatenschutzgesetz 2000, artikel 43 lid 3. 39 Zie bijvoorbeeld: http://news.bbc.co.uk/2/hi/7104368.stm 40 Guidance on data security breach management, Information Commissioner’s Office, v.2.0. July 2011. http://www.ico. gov.uk/for_organisations/data_protection/~/media/ documents/library/Data_Protection/Practical_applica-
10
tion/GUIDANCE_ON_DATA_SECURITY_BREACH_ MANAGEMENT.ashx 41 Data Protection Act 1998, artikelen 55A - 55E, zie ook: http://www.ico.gov.uk/~/media/documents/pressreleases/2010/PENALTIES_GUIDANCE_120110.ashx , p. 10. 42 Ley Orgánica 15/1999, de Protección de Datos de Carácter Personal. 43 Koninklijk Besluit 1720/2007 (Real Decreto 1720/2007): https://www.agpd.es/portalwebAGPD/english_resources/ common/reglamentolopd_en.pdf, artikel 90. 44 Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000), artikel 24 lid 2a. 45 http://fd.nl/economie-politiek/745918-1203/tekort-vooraanpak-datalek-bij-bedrijven
ELSA Leiden Magazine - 12e jaargang, nummer 1
Een recht om vergeten te worden en andere nieuwe privacyregels in Europa Gerrit-Jan Zwenne (1966) heeft ruim twintig jaar ervaring op het gebied van privacy- en internetrecht. Hij is hoogleraar Recht en de Informatiemaatschappij bij de Faculteit der Rechtsgeleerdheid van de Universiteit Leiden. Daarnaast is hij werkzaam als advocaat-partner voor de Telecom en IT groep van Bird & Bird LLP in Den Haag. Verder is Zwenne redacteur en co-auteur van Tekst & Commentaar Privacy en Telecomrecht, hoofdredacteur van het Tijschrift voor Internetrecht en bestuurslid van zowel de Vereniging voor Privacyrecht als de Nederlandse Vereniging voor Informatietechnologie en recht.
prof. mr. dr. G.J. Zwenne
“Huub de Jong is advocaat bij Bird & Bird. Hij heeft ruime ervaring met de juridische uitdagingen van het ICT recht, het opstellen en uitonderhandelen van ICT contracten en het schikken van en procederen over ICT geschillen. Enkele specifieke aandachtsgebieden zijn privacy, nieuwe mediarecht en cybercrime. Naast zijn werk voor cliënten geeft hij regelmatig presentaties en gastcollege’s over zijn juridische kennis en schrijft hij hierover artikelen. Huub is gastdocent bij de postdoctorale opleiding IT-audit van de Vrije Universiteit in Amsterdam.”
mr. H.A.J. de Jong Berend van der Eijk studeerde Civiel recht in Leiden van 2003 tot 2009 en Informatierecht in Amsterdam van 2007 tot 2008. Berend is sinds 2008 verbonden aan Bird & Bird, waar hij zijn interesse voor technologie en internet inzet op het het gebied van privacy-, media- en IT-recht. Zijn scripties heeft hij geschreven over respectievelijk de aansprakelijkheidsuitsluiting van online intermediairs en ISP behavioral targetting. Daarnaast heeft hij een bijdrage geleverd aan een nog te verschijnen internationaal boek over de juridische aspecten van computer- en videogames. Berend zit in de redactie van het vakblad “Tijdschrift voor Internetrecht”.
mr. B. van der Eijk
ELSA Leiden Magazine - 12e jaargang, nummer 1
11
Op 25 januari 2012 publiceerde de Europese Commissie een voorstel voor een nieuwe algemene verordening ter bescherming van persoonsgegevens. Het voorstel beoogt te komen tot meer harmonisatie in Europa met betrekking tot privacywetgeving, maar legt tegelijkertijd heel veel nieuwe en zwaardere verplichtingen op aan iedereen die persoonsgegevens verwerkt, met voor Nederlandse begrippen ongekend zware straffen voor niet-naleving daarvan. Voor de meest serieuze overtredingen kunnen volgens het voorstel geldboetes worden opgelegd van 2 procent van de wereldwijde omzet. Voor een onderneming als Facebook of Google zou dit al gauw kunnen neerkomen op 56 respectievelijk 570 miljoen euro (!). De voorgestelde verordening moet de huidige Privacyrichtlijn (95/46/EG) gaan vervangen en de nationale wetgeving die deze richtlijn implementeert. Voor Nederland betekent dit dat de Wet bescherming persoonsgegevens en de daarop gebaseerde lagere regelgeving worden ingetrokken. Dit zal echter nog wel even duren. Verwacht wordt dat er zeker nog twee jaar overheen gaan voordat de Raad, Commissie en het Europees Parlement zich kunnen vinden in een definitieve tekst. Vervolgens zal het naar verachting nog zo een twee jaar duren voordat deze verordening ook echt in werking treedt. Er moet dus aan 2015 of 2016 worden gedacht, en misschien nog wel later, voordat we echt te maken krijgen met de nieuwe verordening. In deze bijdrage bespreken wij enkele van de meest in het oog springende onderdelen van de voorgestelde verordening en de veranderingen die deze met zich meebrengen ten opzichte van de huidige regels.
Reikwijdte Evenals de op dit moment geldende privacyrichtlijn, en de nationale privacywetten waarmee deze wordt geïmplementeerd, is de voorgestelde verordening van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. Verder, maar ook dat is op dit moment niet anders, zijn de nieuwe regels van toepassing op de handmatige verwerking van persoonsgegevens die deel uitmaken van een bestand (‘filing system’ ) of daartoe bestemd zijn. Onder persoonsgegevens worden verstaan iedere informatie met betrekking tot een ‘betrokkene’ (‘datasubject’). Dit begrip wordt omschreven als een geïdentificeerde natuurlijke persoon, of een natuurlijke persoon die direct of indirect kan worden geïdentificeerd met middelen waarvan door de verantwoordelijke of een ander redelijkerwijs gebruik kan worden gemaakt. In het bijzonder kan daarbij worden gedacht aan identificatienummers, locatiegegevens, online identifiers, of een of meer specifieke fysieke, fysiologische, genetische, mentale, economische, culturele kenmerken. Deze begripsomschrijving stemt grotendeels overeen met 12
die in de thans geldende privacywetten zijn opgenomen. Van belang lijkt vooral de toevoeging dat de identificeerbaarheid afhankelijk is van middelen waarvan door de verantwoordelijke of een ander redelijkerwijs gebruik kan worden gemaakt (d.w.z. ‘by means reasonably likely to be used by the controller or by any other natural or legal person’). Ook in de privacyrichtlijn vinden we deze maatstaf, echter slechts in de overwegingen.2 Article 4
Definitions For the purposes of this Regulation: (1) ‘data subject’ means an identified natural person or a natural person who can be identified, directly or indirectly, by means reasonably likely to be used by the controller or by any other natural or legal person, in particular by reference to an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person; (2) ‘personal data’ means any information relating to a data subject; Article 2
Material scope 2. This Regulation does not apply to the processing of personal data: (a) in the course of an activity which falls outside the scope of Union law, in particular concerning national security; (b) by the Union institutions, bodies, offices and agencies; (c) by the Member States when carrying out activities which fall within the scope of Chapter 2 of the Treaty on European Union; (d) by a natural person without any gainful interest in the course of its own exclusively personal or household activity, unless personal data of other natural persons is made accessible to an indefinite number of individuals; (e) by competent authorities for the purposes of prevention, investigation, detection or prosecution of criminal offences or the execution of criminal penalties.
Een in de praktijk belangrijke uitzondering op het toepassingsbereik (‘material scope’) van de nieuwe regels betreft de gegevens die worden verwerkt in de context van persoonlijke of huishoudelijke activiteiten. Evenals in de privacyrichtlijn en de op dit moment geldende nationale privacywetten worden dergelijke gegevensverwerkingen ook onder de voorgestelde verordening uitgezonderd. Echter, in de voorgestelde verordening worden daaraan wel extra voorwaarden verbonden. De gegevensverwerking moet niet ‘without gainful interest’ zijn en de verwerkte gegevens mogen niet toegankelijk worden gemaakt voor een onbeperkt aantal mensen (‘made accessible to an indefinite number of individuals’). Deze nieuwe voorwaarden lijken vooral erop gericht om activiteiten op internet, zoals sociale netwerken, binnen het bereik van de regelgeving te brengen. De implicaties daarvan kunnen vergaand zijn.
Territoriale toepassing Om te bepalen of in de Europese Unie een nationale privacywet van toepassing is moet op dit moment allereerst worden gekeken of degene die verantwoordelijk is voor de gegevensverwerking (‘the controller’ of ‘verantwoordelijke’) is gevestigd in een EU-lidstaat. Als dat zo is, en ELSA Leiden Magazine - 12e jaargang, nummer 1
als de verwerking plaatsvindt in de context van die vestiging, is de desbetreffende nationale privacywet daarop van toepassing. De voorgestelde verordening gaat uit van dezelfde regel, met een belangrijke aanvulling. Het is de bedoeling dat nieuwe verordening ook van toepassing gaat zijn op gegevensverwerkingen door organisaties die niet in de EU zijn gevestigd maar wel (a) diensten of producten
verschillende nationale toezichthouders en de door hen gegeven uitleg aan de regels. Om een consistente toepassing te waarborgen voorziet de verordening wel in allerlei procedurele regels met betrekking tot de samenwerking van nationale toezichthouders, de Europese Commissie en een nieuwe, nog op te richten European Data Protection Board die de artikel 29-Werkgroep moet gaan vervangen.
Een interessante en eigenlijk nog onbeantwoorde vraag is dan in hoeverre het mogelijk gaat zijn om op een effectieve manier toezicht te houden op de wijze waarop dergelijke organisaties zich houden aan de nieuwe regels. in de EU aanbieden of (b) met personen in de EU een overeenkomst aangaan of (c) hun gedrag monitoren. Deze organisatie wordt dan geacht een vertegenwoordiger in de EU aan te wijzen die door toezichthouders kan worden aangesproken. Dat betekent dus dat de nieuwe regels ook geacht worden van toepassing te zijn op talloze organisaties die zich op de een of andere manier richten op EU-ingezetenen, zonder dat er sprake is van een vestiging of fysieke aanwezigheid in de EU. Een interessante en eigenlijk nog onbeantwoorde vraag is dan in hoeverre het mogelijk gaat zijn om op een effectieve manier toezicht te houden op de wijze waarop dergelijke organisaties zich houden aan de nieuwe regels. De voorgestelde verordening gaat ervan uit dat deze organisaties een vertegenwoordiger in de EU zullen benoemen die namens hen kan worden aangesproken. Maar wat als dat niet gebeurt? Article 3
Territorial scope 1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union. 2. This Regulation applies to the processing of personal data of data subjects residing in the Union by a controller not established in the Union, where the processing activities are related to: (a) the offering of goods or services to such data subjects in the Union; or (b) a contract with such data subjects in the Union, irrespective of whether connected to the payment of a price; or (c) the monitoring of their behaviour. 3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where the national law of a Member State applies by virtue of international public law.
Waar het gaat om toezicht worden ook nieuwe regels voorgesteld. Veel meer dan op dit moment wil de voorgestelde verordening uitgaan van een land van oorsprong. Als het gaat om het toezicht op de naleving van de verordening is bevoegd de toezichthouder van de lidstaat waar de desbetreffende organisatie haar hoofdvestiging heeft. Anders dan op onder de thans geldende privacyrichtlijn is er daardoor niet, of in elk geval veel minder kans, dat een organisatie te maken krijgt met ELSA Leiden Magazine - 12e jaargang, nummer 1
Article 74
Right to lodge a complaint with a supervisory authority 1. Without prejudice to any other administrative or judicial remedy, every data subject shall have the right to lodge a complaint with a supervisory authority in any Member State if they consider that the processing of personal data relating to them does not comply with this Regulation. 2. Any body, organisation or association which aims to protect data subjects’ rights and interests concerning the protection of their personal data and has been properly constituted according to the law of a Member State shall have the right to lodge a complaint with a supervisory authority in any Member State on behalf of one or more data subjects if it considers that a data subject’s rights under this Regulation have been infringed as a result of the processing of personal data.
Verder voorziet de voorgestelde verordening in de mogelijkheid dat nationale toezichthouders kunnen deelnemen in procedures over kwestie die van belang zijn voor individuen in andere lidstaten. Van belang is daarbij dat iedereen het recht heeft om klachten met betrekking tot de naleving van de verordening in te dienen bij toezichthouders in welke lidstaat dan ook. Ook is voorzien in de mogelijkheid van collectieve acties. De verwachting is dat vooral daardoor veel meer zal worden geprocedeerd over privacyvraagstukken.
Accountability, PIA en DPO Een belangrijk uitgangspunt in de voorgestelde verordening is het ‘accountability principle’. Van degene die verantwoordelijk is voor de gegevensverwerking (‘the controller’ of ‘verantwoordelijke’) wordt verwacht dat hij een adequaat privacy beleid heeft ingericht en passende maatregelen neemt waarmee wordt gewaarborgd dat de gegevens in overeenstemming met de verordening worden verwerkt. En dat de gegevensverwerkingen daaraan voldoen moet door de verantwoordelijke kunnen worden aangetoond. Dit betekent dat er allerlei documentatie over de gegevensverwerkingen moet worden opgesteld en bewaard, en desgevraagd aan toezichthouders worden verstrekt. Als er sprake is van risicovolle verwerkingen, zoals wanneer het gaat om gezondheid of videocameratoezicht, 13
wordt van verantwoordelijke verlangd dat hij een zogeheten privacy impact assessment (‘PIA’) doet. Er moet dan worden beoordeeld welke risico’s er zijn in termen van de persoonlijke levenssfeer van de betrokken individuen (‘datasubjects’) en de maatregelen die in verband daarmee zijn genomen. Verder verlangt de voorgestelde verordening dat de verantwoordelijke in voorkomende gevallen een data protection officer (‘DPO’) aanstelt, dat wil zeggen: een persoon die zich binnen de organisatie van de verantwoordelijke bezighoudt met alles wat nodig is om naleving van de verordening te waarborgen. Zo moet een DPO voor tenminste twee jaren worden benoemd en heeft hij gedurende die termijn ontslagbescherming - min of meer vergelijkbaar met leden van de ondernemingsraad. Een DPO is verplicht als het gaat om een bestuursorgaan (‘public authority or body’) en als het gaat om een onderneming met meer dan 250 (fulltime) werknemers, of als de kernactiviteiten van de verantwoordelijke een regelmatige en systematische verwerking van persoonsgegevens is. Wat onder het laatste begrip valt is nog niet heel duidelijk. Het ligt voor de hand dat moet worden gedacht aan internetzoekmachines, sociale netwerken en wellicht ook listbrokers en handelsinformatiebureaus.
Toestemming Als gegevensverwerkingen zijn gebaseerd op toestemming -dat is niet altijd nodig maar in veel gevallen wel3- worden daaraan extra eisen gesteld. Er is alleen sprake van toestemming als deze expliciet is gegeven. De bewijslast met betrekking tot gegeven toestemming ligt bij de verantwoordelijke. Als de toestemming is gegeven in een schriftelijk document, zoals een overeenkomst, moet de gevraagde toestemming daaruit duidelijk blijken. Verder kan toestemming altijd worden ingetrokken en kan toestemming niet worden gebruikt in situaties waarin er sprake is van een onbalans in de verhouding van verantwoordelijke en betrokkene. Een bekend voorbeeld van zo een verhouding is die van werkgever tegenover werknemer. Een ander voorbeeld is wellicht die van treinreiziger tegenover openbaar vervoerder. Article 4
Definitions For the purposes of this Regulation: (8) ‘the data subject’s consent’ means any freely given specific, informed and explicit indication of his or her wishes by which the data subject, either by a statement or by a clear affirmative action, signifies agreement to personal data relating to them being processed
Data-minimalisatie Het beginsel van data-minimalisatie staat ook al in de huidige privacyrichtlijn4 In de voorgestelde verordening wordt het aangescherpt. Er mogen alleen persoonsgege14
vens worden verzameld en bewaard als het doel van de verwerking niet op andere wijze kan worden bereikt, dat wil zeggen: als het niet mogelijk is om hetzelfde doel te bereiken zonder persoonsgegevens te verwerken.5 Dit extra vereiste lijkt aanleiding te kunnen zijn voor interessante discussies over nut en noodzaak van gegevensverwerkingen.
Transparantie De transparantieverplichtingen worden in de voorgestelde verordening uitgebreid en verzwaard. Onder de huidige privacyrichtlijn is vereist dat de verantwoordelijke voorafgaand aan de verwerking aan de betrokkene informatie verstrekt over zijn identiteit en de doeleinden waarvoor de gegevens worden verwerkt, alsmede over wat verder van belang is om ten opzichte van de betrokkene een zorgvuldige verwerking te waarborgen zoals kennisnemings- en verbeteringsrechten.6 In aanvulling daarop vereist de voorgestelde richtlijn dat de betrokkenen worden geïnformeerd over de contactgegevens van de verantwoordelijke, bewaartermijnen, mogelijkheden om te klagen bij toezichthouders, en als daarvan sprake is de doorgifte van de gegevens naar landen buiten de EU. Als de verwerking plaatsvindt ter uitvoering van een overeenkomst moet verder ook worden geïnformeerd over de overeenkomst en algemene voorwaarden.
Een recht op gegevensportabiliteit… De betrokkene krijgt een recht om van de verantwoordelijke een kopie te ontvangen van zijn persoonsgegevens voor zover diens persoonsgegevens elektronisch en in een gestructureerd en algemeen gebruikt formaat worden verwerkt. Wanneer de betrokkene persoonsgegevens heeft verstrekt en de verwerking daarvan plaatsvindt op basis van toestemming of een overeenkomst, heeft de betrokkene het recht om deze persoonsgegevens in een algemeen gebruikt elektronisch formaat over te dragen naar een ander geautomatiseerd verwerkingssysteem. Op deze wijze biedt de voorgestelde verordening dus aan datasubjecten de mogelijkheid om te ontkomen aan een ‘vendor lock-in’. Wie niet meer blij is met Facebook zou daarmee zonder veel moeite moeten kunnen overstappen naar Google+. Of omgekeerd natuurlijk.
Een recht om vergeten te worden… In de eerste publicaties over de voorgestelde verordening was vooral veel aandacht voor een aansprekend maar mogelijk nog niet goed doordacht nieuw recht om vergeten te worden (‘the right to be forgotten’).7 Het komt erop neer dat de betrokkene het recht verkrijgt om onder bepaalde voorwaarden van de verantwoordelijke te verlangen dat hem betreffende persoonsgegevens worden verwijderd en niet verder worden verspreid. De betrok ELSA Leiden Magazine - 12e jaargang, nummer 1
kene maakt daarop aanspraak als de gegevens (a) niet langer nodig zijn voor het doel waarvoor ze zijn verzameld of verwerkt, of (b) als de verwerking plaatsvindt op basis van toestemming van de betrokkene en deze trekt zijn toestemming intrekt en er geen andere verwerkingsgrondslag is, (c) als de betrokkene gebruikt heeft gemaakt van zijn opt-out of verzetsrecht, bijvoorbeeld met betrekking tot direct marketing, en als de verwerking om andere redenen niet aan de verordening voldoet. Er zijn vanzelfsprekend uitzonderingen op dit vergeetrecht. Een voorbeeld als de verantwoordelijke de gegevens voor bewijsdoeleinden nodig heeft of als de gegevens voor journalistieke doeleinden worden verwerkt. Er is veel kritiek op het voorgestelde recht om vergeten te worden, vooral vanuit de Verenigde Staten maar ook in Europa. Aan de ene kant wordt de praktische haalbaarheid in twijfel wordt getrokken. Aan de andere kant is er het meer fundamentele bezwaar gemaakt dat zo een vergeetrecht een onaanvaarbare beperking betekent van de informatievrijheid en van de vrijheid van meningsuiting.8
Article 17
Right to be forgotten and to erasure 1. The data subject shall have the right to obtain from the controller the erasure of personal data relating to them and the abstention from further dissemination of such data, especially in relation to personal data which are made available by the data subject while he or she was a child, where one of the following grounds applies: (a) the data are no longer necessary in relation to the purposes for which they were collected or otherwise processed; (b) the data subject withdraws consent on which the processing is based according to point (a) of Article 6(1), or when the storage period consented to has expired, and where there is no other legal ground for the processing of the data; (c) the data subject objects to the processing of personal data pursuant to Article 19; (d) the processing of the data does not comply with this Regulation for other reasons. 2. Where the controller referred to in paragraph 1 has made the personal data public, it shall take all reasonable steps, including technical measures, in relation to data for the publication of which the controller is responsible, to inform third parties which are processing such data, that a data subject requests them to erase any links to, or copy or replication of that personal data.Where the controller has authorised a third party publication of personal data, the controller shall be considered responsible for that publication. 3. The controller shall carry out the erasure without delay, except to the extent that the retention of the personal data is necessary: (a) for exercising the right of freedom of expression in accordance with Article 81; (b) for historical, statistical and scientific research purposes in accordance with Article 84; (c) for compliance with a legal obligation to retain the personal data by Union or Member State law to which the controller is subject; Member State laws shall meet an objective of public interest, respect the essence of the right to the protection of personal data and be proportionate to the legitimate aim pursued; ELSA Leiden Magazine - 12e jaargang, nummer 1
(d) in the cases referred to in paragraph 4. 4. Instead of erasure, the controller shall restrict processing of personal data where: (a) their accuracy is contested by the data subject, for a period enabling the controller to verify the accuracy of the data; (b) the controller no longer needs the personal data for the accomplishment of its task but they have to be maintained for purposes of proof; (c) the processing is unlawful and the data subject opposes their erasure and requests the restriction of their use instead; (d) the data subject requests to transmit the personal data into another automated processing system in accordance with Article 18(2). 5. Personal data referred to in paragraph 4 may, with the exception of storage, only be processed for purposes of proof, or with the data subject’s consent, or for the protection of the rights of another natural or legal person or for an objective of public interest. 6. Where processing of personal data is restricted pursuant to paragraph 4, the controller shall inform the data subject before lifting the restriction on processing. 7. The controller shall implement mechanisms to ensure that the time limits established for the erasure of personal data and/or for a periodic review of the need for the storage of the data are observed. 8. Where the erasure is carried out, the controller shall not otherwise process such personal data. 9. The Commission shall be empowered to adopt delegated acts in accordance with Article 87 for the purpose of further specifying: (a) the criteria and requirements for the application of paragraph 1 for specific sectors and in specific data processing situations; (b) the conditions for deleting links, copies or replications of personal data from publicly available communication services as referred to in paragraph 2; (c) the criteria and conditions for restricting the processing of personal data referred to in paragraph 4.
Meldplicht voor beveiligingsinbreuken Er komt een meldplicht voor inbreuken op de beveiliging van persoonsgegevens . De voorgestelde verordening vereist dat de verantwoordelijke de toezichthouder op de hoogte stelt van een beveiligingsinbreuk, en dat dan zonder vertraging en zo mogelijk binnen 24 uur nadat hij daarmee bekend is (‘without undue delay and, where feasible, not later than 24 hours after having become aware of it’). In aanvulling op de melding bij de toezichthouder moeten ook de betrokkenen worden geïnformeerd, als de inbreuk naar verwachting een negatief effect heeft op hun persoonsgegevens of hun persoonlijke levenssfeer. Interessant is dat er in Nederland al ontwerp-wetsvoorstel is geconconsulteerd dat ook een dergelijke meldplicht bevat. Een vraag is of die wettelijke meldplicht nog nodig zal zijn als de verordening in werking treedt.
Boetes Waarschijnlijk de belangrijkste wijziging in de voorgestelde verordening betreft de door de toezichthouder op te leggen boetes bij overtreding van de regels. In vergelijking met de op dit moment op te leggen boetes 15
zijn die niet mis. Voor de meest serieuze overtredingen kunnen volgens de voorgestelde verordening boetes worden opgelegd van maar liefst twee procent van de wereldwijde omzet van de verantwoordelijke. Het gaat dan om onder andere overtredingen van de verplichting om informatie over de gegevensverwerkingen aan de betrokkene te verstrekken of om het niet voldoen aan een kennisnemingsverzoek, of het niet voldoen aan een verzoek op grond van het recht om vergeten te worden.
Ter afsluiting Meer dan ooit is het privacyrecht in beweging. De belangen zijn groot, de implicaties vergaand. We kunnen er dus vanuit gaan dat er de komende twee jaar nog veel in Brussel zal worden gesproken en onderhandeld over de nieuwe privacyregels. Over wat daaruit komt valt welbeschouwd nog niet veel te zeggen. Zeker lijkt wel dat zowel bedrijven als overheden in de toekomst veel meer dan vroeger rekening zullen moeten gaan houden met privacyrechten.
1 Gerrit-Jan Zwenne is hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden en verder, evenals Huub de Jong en Berend van der Eijk, advocaat bij Bird & Bird te Den Haag 2 Vgl. recital 26 van privacyrichtlijn 95/46/EC: “whereas, to determine whether a person is identifiable, account should be taken of all the means likely reasonably to be used either by the controller or by any other person to identify the said person” 3 Vgl. art. 6, eerste en tweede lid, vVo. 4 Art. 6, lid 1 onder c Privacyrichtlijn 5 Art. 5, onder c, vVo. 6 Art. 10 en 11 Privacyrichtlijn 7 Art. 17 vVo. 8 Zie o.a. www.stanfordlawreview.org/online/privacy-paradox/right-to-be-forgotten, http://peterfleischer.blogspot. com/2012/01/right-to-be-forgotten-or-how-to-edit.html en www.jorisvanhoboken.nl/?p=308.
16
ELSA Leiden Magazine - 12e jaargang, nummer 1
(foto: Huib van Wersch; www.fotootjes.com)
mr. E.P.M Thole
Interview met mr. dr. E.P.M Thole over privacy, social media en meer
Mr. dr. Elisabeth Thole is advocaat bij Van Doorne en voorzitter van het Van Doorne Privacy Team. Zij is gespecialiseerd in het privacy compliant maken van organisaties. Daarnaast is zij bestuurslid van de Vereniging Informaticarecht Advocaten (VIRA), en redactielid van de vakbladen Privacy & Informatie, Privacy & Compliance en het Tijdschrift voor Internetrecht. Samen met haar kantoorgenoten publiceerde zij het handboek “50 vragen over privacy’’. Waardoor kenmerkt het privacyrecht zich en waar spitst uw rechtsgebied zich op toe? Privacy een ruim begrip. In de kern komt het privacyrecht neer op het recht om met rust te worden gelaten. Zelf de controle houden op de dingen die jij belangrijk vindt. Daar gaat het om. Het kan bijvoorbeeld betrekking hebben op de vrijheid in je woning, de bescherming van je familie, vrienden of je lichaam. Je moet je kunnen verzetten als iemand ongewild foto’s van je maakt, of een gesprek van je opneemt, zonder dat je dat weet. In de praktijk zie je dat bedrijven met name de meeste vragen hebben over het verwerken van persoonsgegevens. Dat zijn gegevens die herleidbaar zijn tot levende natuurlijke personen, zoals jij en ik. Je naam is een duidelijk voorbeeld van een persoonsgegeven, maar het kan ook gaan om minder voor de hand liggende gegevens, of combinaties daarvan. Denk aan het kenteken van je auto, je creditcard- of je bankrekeningnummer. Voor bedrijven zijn persoonsgegevens over het algemeen heel waardevol, omdat zij aan de hand daarvan bijvoorbeeld klantenprofielen kunnen samenstellen en hun diensten gericht kunnen aanbieden. Daar hebben wij als consument natuurlijk ook profijt van, maar het gaat er om dat er transparant mee wordt omgegaan. Vrijwel elke organisatie verwerkt persoonsgegevens, of het nu gaat om de gegevens van hun werknemers of klanten. Het is zaak dat zij bij het verwerken van deze gegevens bewust zijn van de privacyregels die gelden.
Is het privacyrecht in een stroomversnelling geraakt door alle technologische ontwikkelingen die zich afgelopen jaren hebben voorgedaan? Momenteel staat het privacyrecht volop in beweging. Actuele onderwerpen zoals datalekken, spam, cookies en cameratoezicht vragen de aandacht van de ELSA Leiden Magazine - 12e jaargang, nummer 1
Nederlandse wetgever. Maar ook in Brussel staan de ontwikkelingen niet stil. Binnen de EU is het privacyrecht vooral geregeld in een Europese richtlijn uit 1995, dus regelgeving die nu ruim 16 jaar oud is. Door de globalisering en de snelle technologische ontwikkelingen, - denk aan internet en de sterke opkomst van de social media - , is deze richtlijn inmiddels achterhaald. Daarom wordt er in Brussel hard gewerkt aan het updaten van de privacywetgeving. Voorgesteld wordt om de richtlijn te vervangen door een verordening. Dat heeft als voordeel dat er één set van privacyregels zal gaan gelden binnen de EU. Een verordening hoeft, anders dan een richtlijn, niet eerst te worden omgezet in de nationale wetgeving door de lidstaten. Daardoor zullen er minder interpretatieverschillen komen en zal in de toekomst ook de noodzaak om per lidstaat lokaal advies in te winnen, afnemen. Vooral internationaal opererende bedrijven zullen dat prettig vinden.
Speelt de nieuwe verordening in op de recente technologische ontwikkelingen en in hoe verre is deze vernieuwend ten opzichte van de richtlijn uit 1995? De verordening houdt zeker rekening met nieuwe technieken zoals social media. Een belangrijk voorbeeld is het voorstel om een recht op vergetelheid in te voeren. Vooral jonge mensen zitten vaak op Facebook en Twitter, en laten daar veelal achteloos allerlei gegevens over zichzelf achter, zoals foto’s van de feestjes die ze bezocht hebben. Achteraf, bijvoorbeeld als je gaat solliciteren, kan je spijt daarvan krijgen en had je liever niet dat die gênante foto’s verspreid werden. Het recht op vergetelheid zou je de mogelijkheid moeten bieden om van ‘’je digitale jeugdzonden’’ af te komen.
17
Denkt u dat indien bijvoorbeeld een gebruiker van Facebook een verzoek doet om de verspreiding van persoonsgegevens te stoppen, dit praktisch gezien ook haalbaar is ? Het recht op vergetelheid is niet onomstreden. De belangrijkste kritiek is dat dit recht lastig uitvoerbaar zal zijn. Alles wat eenmaal op internet staat, is er moeilijk daarvan af te krijgen. Daar komt bij dat, zo het al mogelijk is om de gegevens te verwijderen, dit een kostbaar proces zal zijn. Bedrijven zullen hun hele bedrijfsvoering hierop moeten inrichten. Je hebt overigens nu ook al het recht op correctie. Dit omvat niet alleen het recht om gegevens te verbeteren, maar ook kun je met dit recht in de hand je gegevens laten vernietigen en verwijderen. Je kan je daarom afvragen wat zo’n nieuw recht dan eigenlijk toevoegt. Dan zijn er ook nog bedrijven die juist de gegevens van de internetconsument nodig hebben. Op zijn beurt kan de consument eveneens erbij gebaat zijn dat zijn gegevens worden bewaard, zodat hij gemakkelijker zaken kan doen met een bepaald bedrijf. Je zou je kunnen voorstellen dat er een ‘verwijder-mij-link’ komt, net zoals wij in Nederland nu ook al een bel-me-niet-register hebben. Social media, zoals Twitter, bieden nu ook al de mogelijkheid om gegevens te laten verwijderen. Je kan daarop bijvoorbeeld een beroep doen als iemand jouw Twitteraccount “steelt”. Er zijn al veel bekende Nederlanders het slachtoffer daarvan geworden. De discussie is nu of er afdoende bescherming daartegen bestaat. Sommigen zouden graag zien dat dit strafbaar wordt. Wij zouden dan het Belgisch voorbeeld over kunnen nemen waar aflopen jaar een Vlaamse vrouw door de strafrechter werd veroordeeld omdat zij onder de naam van haar baas een vals Facebook account had aangemaakt. In Nederland is men daarin nog terughoudend, zo blijkt uit recente antwoorden op Kamervragen.
Wat vindt u van de sancties die worden voorgesteld in de verordening? Voor veel bedrijven speelt de angst voor reputatieschade een grote rol. Het effect hiervan moet niet worden onderschat, omdat bedrijven deze negatieve publiciteit natuurlijk niet ambiëren. Maar het idee is nu dat als er strengere sancties komen dat zij het recht op privacy nog serieuzer zullen gaan nemen. Verwacht mag inderdaad worden dat bedrijven bij sancties, zoals de voorgestelde 2% van de wereldwijde jaaromzet van een onderneming, echt wel zullen gaan voelen dat het ergens over gaat. Enerzijds beoogt de verordening de administratieve lasten voor bedrijven te verlichten door bepaalde verplichtingen op te heffen. Anderzijds zie je dat bedrijven ook steeds meer verantwoordelijkheid moeten nemen voor de gegevens die ze moeten verwerken. Ik denk dat die combinatie een goede ontwikkeling is.
Kunt u iets meer vertellen over de rol die de ‘privacy officer’ vervult? De privacy officer, die bij ons officieel de functionaris voor gegevensbescherming heet, zal in de toekomst een steeds belangrijker rol gaan vervullen, als het aan Brussel ligt. Organisaties zijn nu nog niet verplicht tot het aanstel18
len van een privacy officer, maar kunnen hiervoor kiezen. In Nederland hebben tot nu toe vooral overheidsinstanties daartoe besloten en ook een handjevol aan bedrijven. De privacy officer is iemand, die op de werkvloer weet wat er speelt op het gebied van privacy, en bij hem dienen de gegevensverwerkingen te worden gemeld. Voorgesteld wordt om de privacyfunctionaris voor bedrijven met 250 of meer werknemers, dus grote ondernemingen, verplicht te gaan stellen. Het aanstellen van zo een functionaris moet niet onderschat worden. Onderzocht zal moeten worden aan welke kwaliteiten die persoon moet voldoen, welke opleidingen zijn belangrijk. Verder moet hij ook onafhankelijk kunnen opereren. Er zal alleen dan meer privacybescherming komen als zo’n persoon ook daadwerkelijk een beslissende stem krijgt op management niveau en zijn rol dus niet beperkt blijft tot adviseur. Eigenlijk zou hij een veto moeten kunnen uitspreken, als de bedrijfsvoering in strijd is met de privacyregelgeving. Alleen daardoor bereik je dat de privacy van de betrokkenen ook echt wordt beschermd.
Door globalisering van de samenleving zal het exporteren van persoonsgegevens steeds belangrijker worden. Hoe kijkt u daartegen aan? Er is al een aantal instrumenten beschikbaar om gegevens te mogen doorgeven naar landen buiten de EU. Afgelopen maand is in Nederland de Wet bescherming persoonsgegevens gewijzigd, zodat het makkelijker is geworden om gegevens naar landen buiten de EU door te geven. Voorheen moest je in principe een vergunning aanvragen bij de minister van Justitie en Veiligheid. De vergunningsplicht is komen te vervallen als je aan bepaalde voorwaarden voldoet. Ook staat in de verordening een aantal dingen die het eenvoudiger maken om gegevens te exporteren. Zo bestaat er bijvoorbeeld een uitgebreide regeling in die het mogelijk maakt gegevens binnen een concern door te geven. Daardoor zal het voor multinationals niet meer nodig zijn om alles per land te checken. Voor het internationale bedrijfsleven betekent dit duidelijk een sprong voorwaarts.
Wat zijn de gevolgen voor advocatuur? Wat voor verschil zal dit maken in de dagelijkse praktijk? Wat ik zie, is dat de meeste bedrijven erg hun best doen om hun privacybeleid op orde te hebben. Zij nemen de privacyregels dan ook serieus, mede ook door de aandacht die er in de media is voor deze problematiek. Vanzelfsprekend helpt een verscherpt sanctieregime daar ook bij. Tegelijkertijd zie ik dat veel van die regels nog steeds niet duidelijk zijn voor bedrijven. Hoewel de verordening nog maar een voorstel is, is mijn advies om de overgangsperiode van de richtlijn naar de verordening te gebruiken om te kijken hoe en waar dingen op privacygebied beter kunnen. Veel bedrijven zijn hier ook al druk mee bezig. Dit betekent voor ons vanuit de privacypraktijk dat we steeds meer gerichte vragen krijgen over wat de privacyregels concreet betekenen voor de bedrijfsvoering. En zo werken wij uiteindelijk samen met hen naar beter privacybeleid toe. ELSA Leiden Magazine - 12e jaargang, nummer 1
Privacy op Internet een utopie?
1,2
mr. M. Jansen
Mark Jansen heeft Nederlands Recht (2006; cum laude) en Bedrijfswetenschappen (2007) gestudeerd aan de Radboud Universiteit Nijmegen en werkt sinds december 2007 als advocaat op de sectie intellectuele eigendom en IT-recht van Dirkzwager. Mark houdt zich in zijn dagelijkse praktijk bezig met alle facetten van het IE/ IT-recht. Hij is daarbinnen met name gespecialiseerd in het privacyrecht, het databankenrecht en de overige IT-praktijk. Mark staat met name de grotere ondernemingen en instellingen bij voor advies of in procedures, maar heeft ook diverse kleinere ondernemingen en particulieren als cliënt Mark is lid van de redactie van de website www.itenrecht.nl en van de uitgave ICT-modelcontracten van Kluwer. Ook levert hij een vaste bijdrage aan het tijdschrift ‘Informatie Professional’. Mark is lid van de Vereniging voor Auteursrecht, de Nederlandse Vereniging voor Informatietechnologie en Recht en de Vereniging Privacy Recht. “Nederlander ruilt privégegevens niet in voor ‘koopje’ op internet”, zag ik onlangs als kop op Internet voorbij komen3. Uit onderzoek was gebleken dat Nederlanders niet bereid zijn privégegevens en informatie over hun surfgedrag achter te laten bij adverteerders in ruil voor gratis dienstverlening. Ik kon het niet nalaten even te glimlachen bij het lezen van dit bericht. Diezelfde Nederlander ruilt namelijk al lang en breed op grote schaal zijn privacy in voor een koopje of gratis informatie op Internet. Kennelijk is men zich hier niet van bewust. In dit artikel zal ik dan ook ingaan op het (brede) thema privacy op het Internet, meer specifiek de ontwikkelingen op dat vlak de afgelopen jaren.
Wat is privacy? Voordat ik verder in ga op allerlei recente ontwikkelingen rond het thema “Privacy op Internet”, is het wellicht eerst goed stil te staan bij de vraag: wat is eigenlijk privacy? Privacy is een breed begrip. Er wordt vaak onderscheid gemaakt tussen relationele privacy en informationele privacy4. De relationele privacy ziet op de bescherming van het privéleven, dus het beschermen van intieme, kwetsbare of zeer persoonlijke onderdelen van het leven tegen de buitenwereld. Daar tegenover staat de informationele privacy, die ziet op beginselen van behoorlijk gegevensbeheer. Dat betekent bijvoorbeeld dat de verwerking van persoonsgegevens aan bepaalde zorgvuldigheidscriteria zal moeten voldoen (waarover later meer). ELSA Leiden Magazine - 12e jaargang, nummer 1
Die beide privacybegrippen overlappen soms, maar soms ook niet. Laat ik proberen daar een eigentijds voorbeeld van te geven. Stel dat iemand lijdt aan een chronische ziekte en daar een weblog over bijhoudt. De informatie die op dat weblog staat is publiek toegankelijk en het kan dan ook lastig worden volgehouden dat die informatie desalniettemin behoort tot de privésfeer van de betrokkene. Dat betekent echter nog niet per se dat iedereen ook maar alles mag doen met die informatie die op dat weblog staat. Het weblog is voor bijvoorbeeld verzekeringsmaatschappijen5 uiteraard zeer interessant. Zij kunnen op basis van de gegevens in het weblog waarschijnlijk een veel betere kansberekening maken van de zorgkosten die voor deze patiënt zullen moeten worden gemaakt. Is het echter redelijk dat de betreffende blogger min of meer “gestraft” wordt voor zijn weblog met een hogere premie voor zijn zorgverzekeringen? Maakt het daarbij nog uit of de verzekeraar vertelt dat de beslissing tot het in rekening brengen van een hogere premie is gebaseerd op de informatie op het weblog, of die beslissing juist in stilte neemt? Of is het in rekening brengen van een hogere premie wellicht alleen redelijk wanneer er met die blogger vooraf gesproken wordt over zijn situatie? Het zijn dit soort vragen die je in een dergelijke situatie vanuit het perspectief van de informationele privacy zou moeten stellen.
19
Grootschalige verwerking van persoonsgegevens op Internet In dit artikel zal ik met name ingaan op de informationele privacy. De reden dat ik de relationele privacy in dit artikel niet al te veel aandacht schenk, is dat de principes van de relationele privacy op het Internet niet wezenlijk anders zijn dan in de “normale” offline wereld. Strafrechtelijk geldt: laster blijft laster6 en smaad7 blijft smaad. Offline en online maakt daarbij weinig verschil8, zolang de website maar publiek toegankelijk is9. Ook civielrechtelijk is het beoordelingskader niet echt anders in een online context. Het komt vaak aan op de afweging van twee fundamentele belangen: vrijheid van meningsuiting (artikel 10 EVRM) vs. bescherming van reputatie en privacy (artikel 8 EVRM). Daarvoor zijn alle feiten en omstandigheden relevant. Wel is het denkbaar dat aan internetpublicaties waarbij een breed publiek wordt gezocht de ruimere persbescherming wordt toegekend10. Het is juist de informationele privacy op Internet die de meeste en de meest interessante vragen oproept. Het internet is immers bij uitstek geschikt om op grote schaal persoonsgegevens aan elkaar te koppelen en om verbanden te leggen die zonder de hulp van computers nooit mogelijk zouden zijn geweest. Dat roept allerlei vragen op en die vragen zien allemaal op de informationele privacy.
Historische achtergronden bij juridisch kader Het juridisch kader van het (informationele) privacyrecht is, ten opzichte van de historie van het Internet, al best oud. In 1981 kwam, op initiatief van de Raad van Europa, het Verdrag van Straatsburg tot stand11. Op dat moment werd het Internet stapsgewijs door technici en wetenschappers gebruikt12. Voor het grote publiek was Internet toen nog een onbekend fenomeen13. Dit verdrag trad voor Nederland pas op 1 november 1993 in werking. Ondertussen had de Europese Commissie op 18 juli 1990 een voorstel voor een Europese privacyrichtlijn gelanceerd14. In dat voorstel van de Europese Commissie zijn de principes uit het Verdrag van Straatsburg te herkennen. Dit voorstel heeft uiteindelijk op 24 oktober 1995 geleid tot de privacyrichtlijn 95/46/EG. Die richtlijn harmoniseert het privacyrecht in de gehele Europese Unie. Nederland heeft de privacyrichtlijn omgezet in de Wet bescherming persoonsgegevens en die wet trad in werking op 1 september 200115.
Nederlands juridisch kader: de Wet bescherming persoonsgegevens De Wet bescherming persoonsgegevens (Wbp) is een uitgebreide en genuanceerde wet. Het voert te ver voor dit artikel om de wet in detail te behandelen. De grote lijnen van deze wet zijn als volgt. 20
De wet geeft regels waaraan iedere verwerking van persoonsgegevens aan moet voldoen. Persoonsgegevens zijn gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon16. Die definitie is veel omvattend. Onder persoonsgegevens worden bijvoorbeeld verstaan iemands naam of adres, maar ook iemands vriendenlijst, klantnummer of (onder omstandigheden) IP-adres17. Ook het begrip verwerken is erg ruim gedefinieerd18. Het komt er op neer dat je in plaats van “verwerken” ook ieder ander werkwoord zou mogen lezen. De Wbp is op elektronische (digitale) verwerking van persoonsgegevens altijd van toepassing19, bij analoge verwerking is dat alleen onder omstandigheden het geval. Een belangrijk aandachtspunt is dat de Wbp beginselwetgeving kan worden genoemd. Anders gezegd: de Wbp bevat voor veel verwerkingen weinig “harde” ge- of verboden, maar reguleert de omgang met persoonsgegevens aan de hand van enkele principes. Zo zal bij iedere verwerking van persoonsgegevens aan de volgende basisprincipes moeten worden voldaan: • zorgvuldigheid (belang betrokkene altijd in ogenschouw nemen); • grondslagvereiste (bestaat er wel een gerechtvaardigde reden voor deze verwerking?); • doelbinding (geen gebruik voor hele andere doelen dan waarvoor verkregen); • gegevenskwaliteit (kan en mag er op juistheid gegevens worden vertrouwd?); • gegevenshoeveelheid (is er juiste balans tussen te veel en te weinig gegevens?); • beveiliging (passende beveiligingsmaatregelen treffen); • bewaartermijn (niet langer bewaren dan noodzakelijk); • transparantie (betrokkene informeren over identiteit, doeleinden verwerking en andere relevante informatie). Verder geldt een extra streng regime voor de verwerking van zogenaamde “bijzondere persoonsgegevens”. Dat zijn alle gegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap van een vakvereniging, strafrechtelijke achtergronden en opgelegde rechterlijke verboden naar aanleiding van hinderlijk gedrag. Het komt er dus op neer dat alles wat op Internet met persoonsgegevens gebeurt, zal moeten voldoen aan de Wbp. Nu is het Internet natuurlijk per definitie grensoverschrijdend, terwijl wetten slechts territoriale gelding hebben. Dankzij de eerder genoemde privacyrichtlijn geldt echter in de gehele Europese Unie (in principe) hetzelfde juridische kader. Zolang persoonsgegevens worden verwerkt door een in de EU gevestigd bedrijf of op in de EU geplaatste apparatuur (zoals in Europese datacentra), zal die verwerking moeten voldoen aan het juridisch kader uit de privacyrichtlijn (door toepassing van één of meer nationale wetten20).
ELSA Leiden Magazine - 12e jaargang, nummer 1
Abstracte beginselwetgeving vs. concrete voorschriften Het mooie aan abstracte beginselwetgeving zoals de Wbp is dat deze betrekkelijk tijdloos is. Er is geen wetswijziging nodig bij de ontwikkeling van nieuwe technieken. Of het nu gaat om de opkomst van Facebook, het lanceren van nieuwe diensten door Google of het op steeds grotere schaal koppelen van gegevens, steeds blijft als uitgangspunt gelden dat de betreffende verwerking van persoonsgegevens dient te voldoen aan de principes van de Wbp. Tegelijk laat de praktijk zien dat er behoefte bestaan aan een meer concrete invulling van die abstracte beginselen21. Dat persoonsgegevens zorgvuldig moeten worden verwerkt, daarover zal iedereen het wel snel eens zijn, maar wat betekent “zorgvuldig” nu in de praktijk? Hoeveel persoonsgegevens mag een online dienstaanbieder verzamelen en combineren en wanneer overschrijdt deze daarmee concreet een grens? Om iets meer concrete handen en voeten aan te geven aan de abstracte voorschriften uit de privacyrichtlijn, hebben de gezamenlijke Europese privacytoezichthouders - verenigd in de artikel 29 werkgroep - door de jaren heen diverse opinies uitgegeven22. Die opinies zijn vaak erg nuttig en geven een goed beeld van er volgens de toezichthouders op privacygebied moet gebeuren. Tegelijk is het zo dat ook die opinies vaak nog redelijk abstract blijven. Ook moet niet worden vergeten dat de opinies afkomstig zijn van de toezichthouders. Het is in het belang van de toezichthouders om het privacyrecht op een zeer privacyvriendelijke wijze te interpreteren23. Het is maar de vraag of een rechter in een concrete situatie net zou oordelen24. Vanuit de Europese Unie werd op een gegeven moment duidelijk dat het - mede gezien de razendsnelle ontwikkelingen in de telecommunicatie (waaronder het Internet) - noodzakelijk was om naast de abstracte regels uit de privacyverordening, ook enkele concrete voorschriften met betrekking tot privacy te geven. Vandaar dat op 12 juli 2002 de zogenaamde ePrivacy-richtlijn werd vastgesteld25. In die richtlijn werden regels gegeven omtrent onder meer het gebruik van locatiegegevens, verkeersgegevens, abonneegegevens en het opslaan van gegevens op de randapparatuur van de eindgebruiker.
Veel discussie over wijziging in cookiewetgeving Dat laatste onderwerp, het opslaan van gegevens op de eindapparatuur van gebruikers, is de laatste jaren weer heel actueel geworden. De reden hiervoor is als volgt. Een veel gebruikte techniek op Internet waarbij informatie wordt opgeslagen op de computer van eindgebruikers, is het gebruik van zogenaamde cookies26. Cookies zijn kleine tekstbestandjes waarin door de websitehouder informatie kan worden opgeslagen. De websitehouder kan de informatie die hij in een cookie heeft geplaatst altijd weer uitlezen. ELSA Leiden Magazine - 12e jaargang, nummer 1
Op grond van de hiervoor genoemde ePrivacy richtlijn geldt sinds 31 oktober 2003 in de EU de regel dat cookies alleen mogen worden geplaatst wanneer de gebruiker voorafgaande duidelijke informatie heeft gekregen en de gebruiker de cookies kan weigeren. Die ePrivacyrichtlijn is onlangs herzien27. Voortaan is toestemming vooraf nodig voor het plaatsen van een cookie: opt-out wordt opt-in. De nieuwe regels dienden uiterlijk 25 mei 2011 in de Nederlandse wet te zijn omgezet. Die datum heeft Nederland niet gehaald. Sterker nog: op het moment van schrijven is de Nederlandse wet nog steeds aanhangig bij de Eerste Kamer28. De reden hiervoor is dat er (heel) veel discussie over de nieuwe regels is.
Strijd tussen twee kampen Het komt er in de kern op neer dat er een strijd aan de gang is tussen twee kampen. Het ene kamp, bestaande uit privacyvoorvechters (zoals de privacytoezichthouders), stelt dat de nieuwe regels met zich meebrengen dat de internetter een actieve handeling moet verrichten voor het geven van toestemming voor het plaatsen van een cookie. Het andere kamp, bestaande uit aanbieders van online diensten, stelt dat de toestemming van de gebruiker ook mag worden afgeleid uit de browserinstellingen. De privacyvoorvechters stellen daar weer tegenover dat bijna niemand die browserinstellingen wijzigt en dat het niet mogelijk is om toestemming af te leiden uit een passieve houding. De grap is: beide kampen hebben de tekst van de nieuwe richtlijn aan hun zijde. De privacyvoorvechters hebben gelijk dat er voortaan in de regels staat dat toestemming van de eindgebruiker vereist is voor het plaatsen van cookies. En onder toestemming moet worden verstaan een “vrije, specifieke en op informatie berustende wilsuiting waarmee de betrokkene aanvaardt dat hem/haar betreffende persoonsgegevens worden verwerkt”29. Uit een standaardinstelling in een browser kan inderdaad lastig een “specifieke”, laat staan een “op informatie berustende” wilsuiting worden afgeleid30. Aan de andere kant moet ik de voorvechters van het andere kamp gelijk geven dat er in overweging 66 van de richtlijn de volgende overweging staat: “Wanneer dit technisch mogelijk en doeltreffend is, kan (…) de toestemming van de gebruiker met verwerking worden uitgedrukt door (…) de desbetreffende instellingen van een browser (…)”. De richtlijn zelf suggereert dus dat het mogelijk is om toestemming voor het plaatsen van cookies te krijgen op basis van de browserinstellingen. Toch denk ik dat de deze passage uit de considerans van de richtlijn door de laatste groep ietwat uit zijn verband wordt gehaald. Het doel van de richtlijn is om de privacy van internetter beter te beschermen. Van betere privacybescherming kan lastig worden gesproken wanneer er op basis van browserinstellingen volop cookies zouden mogen worden geplaatst bij de gebruiker die zich 21
helemaal niet bewust is van zijn browserinstellingen. Het lijkt er dan ook veel meer op dat de hiervoor geciteerde overweging bedoeld is om vooruit te lopen op eventuele toekomstige technische ontwikkelingen. Daarvoor zouden producenten van browsers en exploitanten van online diensten de handen ineen moeten slaan en samen een techniek ontwikkelen waarbij de internetter op eenvoudige en voor hem begrijpelijke wijze zijn wensen kenbaar kan maken over het plaatsen van cookies op zijn computer. De lobby gaat ondertussen volop door. Zo hebben diverse aanbieders van online diensten websites gemaakt om het “cookieverbod” belachelijk te maken. Zo heeft
door redacteuren in te huren of in dienst te nemen. Het overnemen van andermans content vormt immers, hoewel het toch veel gebeurt, in beginsel een auteursrechtinbreuk. Met alleen content ben je er natuurlijk nog niet. Ook het “in de lucht houden” van de website en het draaiende houden van de achterliggende organisatie (denk aan financiën, p&o, marketing, management, etc.) kost natuurlijk geld. De meeste gratis toegankelijke websites hebben maar één inkomstenbron, te weten de inkomsten uit advertenties. Die advertenties worden in de regel niet verzorgd door de websitehouder zelf, maar door een extern online reclamebureau (zoals DoubleClick of 24/7). In de met
Een man uit de omgeving van Minneapolis (USA) eiste de manager van het warenhuis Target te spreken omdat zijn dochter, een scholier op de middelbare school, op basis van haar klantenkaart kortingscoupons had ontvangen van het warenhuis voor babykleding en wiegjes. “Proberen jullie haar zwanger te krijgen!?”, had de man woedend gevraagd. De manager maakte zijn verontschuldigingen aan de man. Toen de manager enkele dagen nogmaals telefonisch contact zocht met de man, maakt deze echter excuses aan de manager. Zijn dochter bleek inderdaad zwanger te zijn. De voorspelling van Target, op basis van het winkelgedrag van de dochter, bleek correct. Sanoma, de exploitant van onder meer nu.nl, op www. sanomamedia.nl/cookieinfodemo/nu.html (http://bit. ly/lmNlJ7) een website geplaatst die laat zien hoeveel pop-ups je zou krijgen bij het bezoeken van nu.nl wanneer er voor ieder cookie expliciet toestemming zou moeten worden gevraagd31. Op deze website wordt de nieuwe wet, uiteraard bewust32, ietwat belachelijk gemaakt door op de meest gebruiksonvriendelijke en verstrekkende manier om toestemming te vragen voor het plaatsen van cookies33. Dat het ook anders kan wordt aangetoond door de website van de Engelse privacytoezichthouder The Information Commissioner’s Office (www. ico.gov.uk). Bij het bezoeken van deze website wordt bovenaan de pagina een melding getoond dat men graag cookies wil plaatsen, met een hyperlink naar een pagina met meer informatie.
Achterliggende belang: betalen met je persoonsgegevens Vanwaar deze lobby over een saai en technisch onderwerp als cookies? Welke belangen gaan hier achter schuil? Het exploiteren van een populaire, dagelijks gevulde website is een kostbare zaak. Voor de inhoud van de website (de content) zal bijna altijd moeten worden betaald, hetzij door die content in te kopen bij een derde partij (zoals het ANP voor een nieuwswebsite), hetzij 22
dat reclamebureau gesloten overeenkomst staat (kort samengevat) vaak dat de websitehouder betaald krijgt per klik op een vertoonde advertentie34. Om de advertenties te laten vertonen, moet de websitehouder bepaalde programmacode invoegen in zijn website. Op basis van die programmacode zorgt het reclamebureau er voor dat de advertenties op de website worden getoond en dat de bijbehorende administratie wordt bijgehouden.
Online reclamebureaus kennen meerderheid internetters Tot zover nog weinig bijzonders, zul je wellicht denken. Het gaat echter nog veel verder. De advertenties die je te zien krijgt zijn namelijk vaak niet willekeurig gekozen. Reclamebureaus plaatsen namelijk (bijna) allemaal een cookie wanneer je een website bezoekt waarop zij de reclame verzorgen. Dat cookie brengt met zich mee dat het reclamebureau je online surfgedrag kan volgen op andere websites die van de diensten van hetzelfde bureau gebruik maken. Het cookie dat het reclamebureau plaatst is namelijk niet gekoppeld aan de ene site die je bezoekt, maar is gekoppeld aan de computers van het reclamebureau35. De verschillende reclamebureaus die online advertenties verzorgen opereren bijna allemaal op (zeer) grote schaal. Zij verzorgen de advertenties voor vele (tien)duizenden tot miljoenen websites. Zo blijkt uit onderzoek van Comscore dat in 2010 alle top 10 advertentiebureaus ELSA Leiden Magazine - 12e jaargang, nummer 1
in de USA allemaal meer dan 70% van de Amerikaanse internetters wisten te bereiken36. Ik heb geen reden om aan te nemen dat voor Europa de verhoudingen anders liggen. Opvallend in dat kader is dat Google claimt dat zij meer dan 70% van alle internetters ter wereld kan bereiken middels haar advertentienetwerk37. Met andere woorden: het lijkt een veilige aanname om te stellen dat al deze reclamebureaus in meer of mindere mate iets weten over de surfgeschiedenis van een zeer groot deel van de internetters ter wereld. De advertenties die je te zien krijgt bij het surfen, zijn op deze surfgeschiedenis afgestemd. Wanneer je iemands surfgeschiedenis kent, is het ook erg eenvoudig om daar meer gegevens aan te koppelen. Zo zegt het wat over jou als persoon welke sites je bezoekt. Uit onderzoek is bekend dat de websites als nuzakelijk.nl38, hockey.nl39 en belegger.nl40 voornamelijk worden bezocht door wat oudere mannen uit de hogere sociale klassen. Dat is voor deze sites misschien nog niet zo verrassend. Dankzij de cookies die door het reclamebureau geplaatst zijn, is het echter heel eenvoudig mogelijk diezelfde rijke en goed opgeleide mannen ook op andere websites te volgen. Gaandeweg ontstaat bij het reclamebureau zo eens steeds verfijnder profiel van de betreffende internetter. Het is goed denkbaar dat het reclamebureau op een bepaald moment een (bijna) volledig beeld van een internetter heeft. Wie heeft er immers niet eens op internet gezocht op zijn eigen naam? Ook de woonplaats van een internetter is vaak zo achterhaald, al was het maar omdat je websites over lokale ondernemingen of lokale activiteiten bezoekt. En het zegt waarschijnlijk wel iets over je sociale klasse wanneer je op “sociale huurwoning” zoekt, of juist op “hypotheek”. Dat dergelijke profilering aan de hand van deductie nu al plaatsvindt, wordt ook ronduit erkend door bijvoorbeeld Google: “Google kan ook gebruikmaken van de paginatypen die u heeft bezocht of de inhoud die u heeft bekeken, om af te leiden wat uw geslacht is en tot welke leeftijdscategorie u behoort.”41.
Voorspellen toekomstig gedrag aan de hand van data Uit een zeer aardig artikel op de website van the Wall Street Journal42 blijkt dan ook dat bedrijven als reclamebureaus vaak zonder problemen een redelijke goede voorspelling kunnen doen over je geslacht, leeftijd, werk- en gezinssituatie, inkomen en bepaalde voorkeuren. Een ander aardig overzichtsartikel in The New York Times bevat een wellicht nog wel (aan)sprekender voorbeeld43 (weliswaar uit de “offline wereld”, maar de achterliggende principes zijn gelijk). Een man uit de omgeving van Minneapolis (USA) eiste de manager van het warenhuis Target te spreken omdat zijn dochter, een scholier op de middelbare school, op basis van haar klantenkaart kortingscoupons had ontvangen van het warenhuis voor babykleding en wiegjes. “Proberen jullie haar zwanger te krijgen!?”, had de man woedend gevraagd. De manager maakte zijn verontschuldigingen aan de man. Toen de manager enkele dagen nogmaals telefonisch ELSA Leiden Magazine - 12e jaargang, nummer 1
contact zocht met de man, maakt deze echter excuses aan de manager. Zijn dochter bleek inderdaad zwanger te zijn. De voorspelling van Target, op basis van het winkelgedrag van de dochter, bleek correct. Dergelijke voorspellingen, hetzij door online reclamebureau, hetzij door de marketingafdeling van een warenhuis, worden geheel buiten je om gemaakt. Dat het gebeurt wordt in de regel ook niet aan je kenbaar gemaakt. Het is ook vaak niet mogelijk de betreffende gegevens in te zien. Voor allerlei bedrijven zijn die gegevens erg interessant. Het voorbeeld van het warenhuis laat ook zien dat de gegevens in de praktijk ook worden gebruikt. Ook op internet zijn dergelijke gegevens erg aantrekkelijk, bijvoorbeeld voor de exploitanten van webshops. Zij zouden bijvoorbeeld aan mensen met een hoger inkomen hogere prijzen in rekening kunnen brengen, of aan mensen met een lager inkomen bijvoorbeeld de optie van achteraf betalen kunnen weigeren. De vraag is of iedereen daar op zit te wachten.
Cookies zijn slechts een middel om te volgen Opvallend is dat de discussie over online privacy vaak heel snel alleen maar over cookiegebruik gaat. Ik kan me voorstellen dat hierdoor wellicht het beeld ontstaat dat een website die cookies gebruikt per definitie de privacy schendt. Dat is absoluut niet het geval. De techniek van cookies kan, zoals in feite alle technieken, zowel goedaardig als kwaadaardig worden gebruikt. Sterker nog: een heleboel websites en toepassingen op internet zouden niet kunnen functioneren wanneer zij niet kleine hoeveelheden gegevens op je computer zouden mogen opslaan (zoals in cookies, of in een ander geheugen44). Op internet kun je echter ook op vele andere manieren worden gevolgd. Een bekend voorbeeld hiervan is het zogenaamde device fingerprinting. Deze techniek komt op het volgende neer. Bij het bezoeken van een website worden door de computer allerlei technische gegevens doorgegeven aan de website die je bezoekt. Te denken valt aan het type besturingssysteem, de browserinstellingen en geïnstalleerde plug-ins45. Uit onderzoek46 is gebleken dat de combinatie van al die (technische) gegevens vaak zo uniek is, dat het mogelijk is internetters uniek te onderscheiden of zelfs te identificeren. Het gebruik van deze techniek is niet of nauwelijks te detecteren. De Nederlandse Minister van Economische Zaken stelt weliswaar dat de nieuwe cookiewet ook op device fingerprinting van toepassing is47 (en dat dus toestemming van de gebruiker noodzakelijk is), maar dat lijkt mij niet juist. De cookiewet gaat immers over het opslaan of uitlezen van gegevens opgeslagen op de randapparatuur, terwijl device fingerprinting gaat over het combineren van gegevens die door de randapparatuur zelf worden uitgezonden48. Je kunt overigens zelf eenvoudig testen of je computer via device fingerprinting te volgen is, door de test op https://panopticlick.eff.org/ uit te voeren.
23
Het is ook denkbaar dat je internetprovider een unieke grens is overschreden en dat de betreffende bedrijven code toevoegt aan het signaal van jouw internetverbinondertussen eenvoudigweg te veel weten. Waar die grens ding49. Die unieke code is eenvoudig uit te lezen50 voor precies ligt, is echter niet eenvoudig aan te geven60. alle websitehouders, waaronder dus bijvoorbeeld ook de eerder genoemde reclamebureaus. Op basis van een Met betrekking tot enkele andere beginselen uit het dergelijke code ben je dus eenvoudig online te volgen. privacyrecht zijn wel wat meer concrete opmerkingen te Enkele jaren geleden werd bekend dat veel providers maken. Zo zal in principe altijd vooraf informatie moevan mobiel internet ten worden gegeven inderdaad een dergelijke over de doeleinden van Het zal je ondertussen duidelijk zijn code aan hun signaal de verwerking van pergeworden: er gebeurt van alles met toevoegen51. Volgens het soonsgegevens (artikel privacystatement van je persoonsgegevens. Veel partijen op 33/34 Wbp). Aan die Vodafone52 en T-Mobile53 verplichting wordt internet houden zich bezig houden gebeurt dit op dit veelal niet voldaan, moment nog steeds. In doordat de informatie met het verzamelen en analyseren het privacystatement en vaak onvolledig en/of van allerlei persoonsgegevens. ook elders op de webonduidelijk is. Zo consite van KPN heb ik over cludeerde de Franse Je vraagt je misschien af: mag dit privacytoezichthouder het gebruik van deze allemaal nu zomaar? onlangs, mede namens techniek niets kunnen de overige Europese vinden. Er van uitgaande toezichthouders, dat het nieuwe geïntegreerde privacydat ik goed heb gezocht, zou dit dus moeten betekenen beleid van Google onder meer om die reden waarschijndat KPN de techniek niet langer gebruikt54. Ik heb dit lijk niet voldoet aan Europese regels61. verder niet kunnen verifiëren.
Mag dit nu allemaal? Het zal je ondertussen duidelijk zijn geworden: er gebeurt van alles met je persoonsgegevens. Veel partijen op internet houden zich bezig houden met het verzamelen en analyseren van allerlei persoonsgegevens. Je vraagt je misschien af: mag dit allemaal nu zomaar? Er zijn enkele hele specifieke wetten en regels die duidelijke (privacy)grenzen stellen. Aanbieders van elektronische communicatienetwerken en diensten, zoals internetproviders en telefonieaanbieders, mogen verkeersgegevens55 niet zomaar gebruiken56. Verder gelden er voor iedereen, dus niet alleen voor de telecombedrijven, strenge regels over het gebruik van locatiegegevens57, het verzenden van spam58 en het uitlezen en opslaan van gegevens op de eindapparatuur van de gebruiker (zoals “cookies”)59. Wanneer een bepaalde handeling niet onder een specifiek verbod valt, zal moeten worden teruggevallen op het algemene privacyrecht. Dat algemene kader is, zoals aan het begin van dit artikel beschreven, in vrije algemene en abstracte termen geformuleerd. Dat stelt de privacyjurist voor een uitdaging. Zo zal moeten worden getoetst of de bedrijven die profielen opstellen daarvoor wel een grondslag hebben (artikel 8). Op zichzelf hebben online dienstverleners denk ik best een gerechtvaardigd (marketing)belang bij het, tot op zekere hoogte, profileren van hun (potentiële) klanten. De praktijk laat zien dat er enkele hele grote bedrijven zijn ontstaan, die gigantisch veel en bovendien omvangrijke profielen hebben weten op te bouwen van het internettende publiek. Intuïtief zou ik menen dat ergens onderweg in dat proces een 24
Ook rust op alle verwerkers van persoonsgegevens de plicht om ervoor te zorgen dat ze niet te veel, maar ook niet te weinig gegevens van mensen verzamelen (artikel 11 Wbp). Bij geautomatiseerde online profielenopbouw wordt aan dit principe waarschijnlijk niet voldaan. Er worden immers allerlei flarden van informatie, zonder enige menselijke tussenkomst of controle, door de computer gecombineerd. De kwaliteit van die data is daarmee volstrekt onbekend. Ook is de hoeveelheid verzamelde gegevens veelal niet begrensd. Ook hier geldt echter: waar precies de grens ligt, is - bij gebrek aan jurisprudentie - nog onduidelijk. Het laatste voorbeeld waar ik op wijs is het verbod om aan de hand van profielen volledig geautomatiseerd een beslissing over iemand te nemen waaraan rechtsgevolgen zijn verbonden of die de persoon in aanmerkelijke mate treft (artikel 42 Wbp). Je zou hierbij kunnen denken aan het automatisch als “uitverkocht” weergeven van producten in een webshop of aan het fors verhogen van de prijzen (risico-opslag) bij internetters die op grond van hun advertentiecookies als onbetrouwbaar te boek staan. Of dat ook daadwerkelijk gebeurt, kan ik niet inschatten, nu dergelijke technieken in de achtergrond van een website draaien. De vraag is echter of en zo ja wanneer bij gebruik van dergelijke technieken de grens wordt overschreden.
Conclusie Terug naar het onderzoek waar ik mee opende. Uit dat onderzoek bleek dat de gemiddelde Nederlander gesteld is op zijn (online) privacy. Hij wil in dat kader niet gevolgd worden in zijn surfgedrag door adverteerders. Het zijn adverteerders die op dit moment de exploitatie ELSA Leiden Magazine - 12e jaargang, nummer 1
van gratis websites financieren. Opvallend is dan ook dat uit hetzelfde onderzoek ook blijkt dat diezelfde gemiddelde Nederlander aangeeft websites niet langer te zullen bezoeken wanneer deze overgaan tot betaalde toegang. De Nederlander wil dus alleen sites bezoeken die en gratis en volledig privacyvriendelijk zijn. Een ontwikkeling terug naar volledig anonieme advertentiesystemen - waarbij advertenties niet worden aangepast op de interesses van het publiek - zie ik echter niet gebeuren. Hoe minder goed advertenties aansluiten bij de interesses van de bezoekers, hoe kleiner de kans dat men klikt op die advertentie. De zogenaamde click through ratio (CTR) daalt in dat geval62. Daarmee daalt ook de prijs per klik of vertoning die adverteerders bereid zijn te betalen. Een adverteerder plaatst immers liever een gerichte advertentie, dan dat hij advertenties als een “schot hagel” op het Internet plaatst. Het is wat dat betreft denk ik kiezen of delen voor het gebruik van websites: ofwel betalen met geld, ofwel betalen met je persoonsgegevens. Uiteraard zijn tussenvormen ook denkbaar. Zo biedt the New York Times de mogelijkheid iedere maand 20 artikelen gratis op haar website te lezen63. Wie meer wil lezen, moet een digitaal abonnement afsluiten bij de krant64. Vanuit privacyoptiek is wel opvallend aan die tussenvorm dat zowel de abonnees als de andere bezoekers aan de websites advertenties te zien krijgen waarbij ze worden gevolgd65. Een abonnee bij de NYT betaalt dus zowel in geld als in persoonsgegevens. Dat zou wellicht anders zijn wanneer in de editie voor abonnees geen gebruik wordt gemaakt van de diensten van reclamebureaus en andere externe partijen die profielen opbouwen. Mogelijk dat dit een route is die voor zowel exploitanten als gebruikers van websites acceptabel is? Tot die tijd maak ik op mijn eigen computer gebruik van de plug-in Ghostery66. Die software blokkeert veel van de bekende technieken om internetters online te volgen. 1 In verband met de (zeer) snelle ontwikkelingen op het gebied van privacy op Internet hecht ik er aan op te merken dat dit artikel is afgerond op 5 maart 2012. Latere ontwikkelingen zijn (dus) niet meegenomen. 2 In de voetnoten wordt veel verwezen naar vindplaatsen op Internet. Het betreft regelmatig lange URLs, die (dus) niet eenvoudig over te typen zijn. Om het bezoeken van de website te faciliteren, heb ik bij lange URLs steeds tussen haken een alternatieve URL van Bitly (http://bit.ly/....) geplaatst. 3 Persbericht KPMG 11 januari 2012. http://www.kpmg. com/NL/nl/IssuesAndInsights/ArticlesPublications/ Persberichten/Pages/Nederlander-ruilt-privegegevens-nietin-voor-koopje-op-internet.aspx (http://bit.ly/A3r504) 4 Zie hierover meer in detail “De splitsing van privacy. Advies over het grondrecht op privacy in het digitale tijdperk”, mr. drs. P.H. Blok, AA 50 (2001) 6, p. 435 e.v. 5 Het voorbeeld is willekeurig. Ook andere bedrijven en instellingen als medicijnfabrikanten, begrafenisondernemers, patiëntenverenigingen, etc. zouden een dergelijk weblog zeer interessant vinden. ELSA Leiden Magazine - 12e jaargang, nummer 1
6 Artikel 262 Wetboek van Strafrecht. 7 Artikel 261 Wetboek van Strafrecht. 8 Zie in dat kader bijvoorbeeld Hoge Raad 14 juni 2011, LJN BP0287 (zie ook NJ 2011/504), over de veroordeling van Maurice de Hond na online beschuldigingen met betrekking tot de “Deventer moordzaak” aan het adres van de “klusjesman”. 9 Een aardig arrest in deze is bijvoorbeeld Hoge Raad 05-07-2011, LJN BQ2009, waarin is geoordeeld dat het Gerechtshof terecht een vrouw heeft veroordeeld wegens smaad vanwege het op haar Hyves pagina plaatsen van een beschuldiging aan haar ex-partner van seksueel misbruik van hun gezamenlijke kind. De Hoge Raad wijst er op dat het bij het op Hyves plaatsen van een dergelijke tekst voor de “verdachte voorzienbaar en op voorhand feitelijk te verwachten was dat de geplaatste tekst verder zou worden verspreid”. 10 Zie in dat kader bijvoorbeeld Hoge Raad 18 januari 2008, LJN BB3210 (Van Gasteren/Hemelrijk). 11 Voor een uitgebreide beschrijving van de geschiedenis van dit verdrag en het privacyrecht in het algemeen verwijs ik graag naar “De bescherming van persoonsgegevens”, prof. J.M.A. Berkvens en prof. J.E.J. Prins, Hoofdstuk 9 in: “Recht en computer”, 5e druk, 2004. 12 Zie in dat kader het overzicht op http://nl.wikipedia. org/wiki/Geschiedenis_van_het_internet (http://bit.ly/ yRvvF8). 13 XS4ALL, de eerste (of een van de eerste) providers van Nederland, opende op 1 mei 1993 (op nog zeer kleine schaal) haar deuren: http://www.xs4all.nl/overxs4all/ wiewijzijn/ (http://bit.ly/peEolD) 14 De volledige geschiedenis van de privacyrichtlijn 95/46/ EG is na te lezen via http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=nl&DosId=100979 (http://bit.ly/ yGG7sN). 15 Staatsblad 2001, 337. 16 Artikel 1 sub a Wbp. 17 De gezamenlijke Europese privacytoezichthouders hebben op 20 juni 2007 het “Advies 4/2007 over het begrip persoonsgegeven” uitgegeven, met daarin meer achtergrondinformatie over en hun visie op de strekking van het begrip “persoonsgegeven”: http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2007/wp136_nl.pdf (http://bit.ly/hfydPI) 18 Artikel 1 sub b Wbp. 19 Behoudens verwerkingen voor persoonlijke of huishoudelijke doeleinden. 20 Welke nationale wet wanneer van toepassing is, is overigens niet altijd eenvoudig te beantwoorden. Dit kan ook verschillen voor verschillende onderdelen van de persoonsgegevensverwerking. Zie in dat kader “Opinion 8/2010 on applicable law” (WP 179 ) d.d. 16 december 2010 van de artikel 29 werkgroep. http://ec.europa.eu/justice/policies/privacy/ docs/wpdocs/2010/wp179_en.pdf (http://bit.ly/fao4YT) 21 Of zoals een ondernemer een keer tegen me zei: “Ik wil gewoon een verkeersbord waarop staat 50. Als ik dan 51 rijd, ga ik te hard.”. Zo zit het privacyrecht echter in grote lijnen niet in elkaar. 22 Meer informatie over de artikel 29 werkgroep is te vinden op http://ec.europa.eu/justice/data-protection/article-29/ index_en.htm. (http://bit.ly/zOksHW) Op die website zijn ook alle door deze werkgroep uitgegeven opinies terug te lezen. 23 Dat is geen kritiek op het functioneren van die toezichthouders, het is naar mijn idee volstrekt logisch dat de toezichthouders op deze wijze opereren. 25
24 Er komen, behoudens verzoeken tot inzage in dossiers, niet zo veel privacygerelateerde zaken voor de rechter. Ondernemingen en instellingen die met privacyissues te maken hebben kiezen er vaak voor dit in stilte op te lossen. Het afbreukrisico is simpelweg te groot wanneer de kwestie escaleert tot een rechtszaak. 25 Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie). 26 De wetgeving omtrent het opslaan van gegevens op de computer van eindgebruikers wordt dan ook wel eens de “cookiewet” genoemd. Dat is niet terecht; de wetgeving ziet bijvoorbeeld ook op het zonder toestemming installeren van software (spyware) op de computer. Spyware zal ik in dit artikel echter niet behandelen. 27 Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronischecommunicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming. 28 De laatste stand van zaken is dat de Minister van Economische zaken op 17 februari 2012 in een Nadere Memorie van Antwoord antwoord heeft gegeven op diverse vragen van leden van de Eerste Kamer. Kamerstukken I, 32 549, nr. G. https://zoek.officielebekendmakingen.nl/dossier/32549/kst-32549-G (http://bit.ly/AsJr9o) 29 Artikel sub 2 f Richtlijn 2002/58/EG jo. artikel 2 sub h richtlijn 95/46/EG 30 Zie in dat kader ook “Advies 2/2010 over online reclame op basis van surfgedrag (‘behavioural advertising’)” (WP 171) d.d. 22 juni 2010 van de artikel 29 werkgroep. http://ec.europa.eu/justice/policies/privacy/docs/ wpdocs/2010/wp171_nl.pdf (http://bit.ly/gpDnPi) 31 Een soortgelijke pagina is ook te vinden op http://www. geenstijl.nl/mt/archieven/2011/06/koekieverbod_doe_ eens_niet.html (http://bit.ly/mwxO3G) voor Geenstijl (eveneens geëxploiteerd door Sanoma). 32 Vergeet niet wie de website heeft gemaakt! 33 Je kunt je overigens afvragen waarom er überhaupt zoveel cookies zouden moeten worden geplaatst bij het bezoeken van een nieuwssite, maar dat terzijde. 34 Hele populaire websites willen ook nog wel eens betaald krijgen per vertoning van een advertentie. Ook zijn wel andere vergoedingsmodellen denkbaar. Dit alles laat ik in dit artikel verder even buiten beschouwing. 35 Daarom worden dit soort cookies ook wel “third party cookies” genoemd. Het reclamebureau dat het cookie plaatst is immers, ten opzichte van de exploitant van de website, een derde partij. Cookies die door de websiteexploitant zelf worden geplaatst worden “first party cookies” genoemd. 36 http://www.comscoredatamine.com/2010/10/top-10-adnetworks-in-u-s/ (http://bit.ly/byzETf) 37 http://support.google.com/adwords/bin/answer. py?hl=nl&answer=57174 (http://bit.ly/zMOF8H) 38 http://www.sanoma-adverteren.nl/nl-web-Onze_media-nNUzakelijk.nl-online-Profiel-Merk_profiel.php (http://bit. ly/zfmUwx) 26
39 http://www.sanoma-adverteren.nl/nl-web-Onze_media-hHockey.nl-online-Profiel-Merk_profiel.php (http://bit.ly/ A9mW33) 40 http://www.sanoma-adverteren.nl/nl-web-Onze_media-bBelegger.nl-online-Profiel-Merk_profiel.php (http://bit.ly/ A0yXSn) 41 http://www.google.com/privacy/ads/ 42 http://online.wsj.com/article/SB100014240527487032 94904575385532109190198.html (http://on.wsj.com/ bUlR5G) 43 http://www.nytimes.com/2012/02/19/magazine/shopping-habits.html?pagewanted=all (http://nyti.ms/Afoxpl) 44 De cookiewet is van toepassing op alle gegevens die door een derde op je computer worden opgeslagen, dus niet alleen op opslag van cookies. 45 Wie zelf eens wil kunnen zien welke gegevens dat (in potentie) zijn, kan hiervoor bijvoorbeeld terecht op de laagdrempelige website www.browserspy.dk. 46 https://panopticlick.eff.org/browser-uniqueness.pdf (http://bit.ly/aTdtGB) 47 Zie de Nadere Memorie van Antwoord op https://zoek. officielebekendmakingen.nl/kst-32549-G.html (http://bit. ly/z9eGlY). 48 Meer uitvoerig commentaar van mij hierover is na te lezen op http://dirkzwagerieit.nl/2012/02/27/minister-cookiewet-ook-van-toepassing-op-device-fingerprinting/ (http:// bit.ly/z2jviE) . 49 Die code wordt “ASID” genoemd, oftewel Anonymous Subscriber ID. 50 Zie voetnoot 44. 51 Zie onder meer http://www.t-mobile.nl/corporate/media/ pdf/asid-omi-cookbook.pdf (http://bit.ly/6B2TLo), http://randysimons.nl/113,overige/146,mobiele-privacy/ (http://bit.ly/7mxDH7) 52 http://www.vodafone.nl/Vodafone/wg20/pdf/privacy.pdf (http://bit.ly/hPyiqZ) 53 http://www.t-mobile.nl/global/media/pdf/privacystatement.pdf (http://bit.ly/AnegCg) 54 KPN moet immers op grond van de Wbp informatie verschaffen over alle verwerkingen van persoonsgegevens en de doeleinden daarvan. Het toevoegen van een uniek (en dus identificerend) nummer aan een internetsignaal is m.i. evident een dergelijke verwerking van persoonsgegevens. 55 Verkeersgegevens zijn gegevens die worden verwerkt voor het overbrengen van communicatie over een elektronisch communicatienetwerk of voor de facturering ervan (artikel 11.1 sub b Telecommunicatiewet). Denk daarbij aan gegevens over welke sites wanneer zijn bezocht, of wie je wanneer hebt gebeld. 56 Artikel 11.5 Telecommunicatiewet. 57 Artikel 11.5a Telecommunicatiewet. 58 Artikel 11.7 Telecommunicatiewet. 59 Nu nog artikel 4.1 Besluit universele dienstverlening en eindgebruikersbelangen, straks artikel 11.7a Telecommunicatiewet. 60 In juridische termen gegoten: op een bepaald moment 61 http://www.cnil.fr/english/news-and-events/news/article/ googles-new-privacy-policy-raises-deep-concerns-aboutdata-protection-and-the-respect-of-the-euro (http://bit.ly/ AlQBiE). 62 CTR staat voor het aantal keer dat op een advertentie wordt geklikt in relatie tot het aantal keer dat de advertentie is vertoond (uitgedrukt als percentage). 63 http://www.nytimes.com/2011/03/28/opinion/l28times. html?ref=opinion (http://nyti.ms/eVUtmu) ELSA Leiden Magazine - 12e jaargang, nummer 1
64 http://www.nytimes.com/content/help/account/purchases/subscriptions-and-purchases.html#digital-sub-no-sub (http://nyti.ms/eM58Fj). 65 Ik ben geen abonnee van de NYT en heb dus niet kunnen verifiëren of de advertenties na het inloggen verdwijnen. De privacypolicy spreekt echter zeer duidelijk over het gebruik van advertentienetwerken en maakt daarbij geen uitzondering voor abonnees: http://www.nytimes.com/content/ help/rights/privacy/policy/privacy-policy.html (http:// nyti.ms/uVN2kj). 66 http://www.ghostery.com/
ELSA Leiden Magazine - 12e jaargang, nummer 1
27
Privacy compliance: oude wijn in nieuwe zakken?
mr. J.P. (Jean Paul) van Schoonhoven
Jean Paul is thans senior group compliance officer bij SNS REAAL en stapt binnenkort over naar de Autoriteit Financiële Markten als senior jurist compliance & privacy. Jean Paul geeft regelmatig masterclasses en in company trainingen over het beheersen van privacyrisico’s en publiceert regelmatig over privacy gerelateerde onderwerpen. Jean Paul is redacteur van o.a. het tijdschrift Privacy & Compliance en hoofdredacteur van het tijdschrift Jurisprudentie Privacy i.o. 1. Inleiding Als jurist ga ik proberen een niet juridisch artikel te schrijven in een juridisch tijdschrift. Maar compliance is toch een juridisch fenomeen? Ja, zo is het ooit wel begonnen maar meer en meer is compliance vooral een vakgebied aan het worden waarin andere aspecten een rol spelen dan het alleen het zorgdragen voor naleving van wet- en regelgeving. Privacy compliance is dan ook een term die je steeds vaker aantreft in tegenstelling tot de beschrijving dat je voldoet aan hetgeen is bepaald bij of krachtens de Wet bescherming persoonsgegevens (Wbp).1 Is privacy compliance hiermee iets nieuws? Houdt het meer in dan het voldoen aan de Wbp? En zo ja, wat dan wel? Laten we dat eens hieronder proberen te verkennen.
Compliance Compliance functie Wikipedia beschrijft compliance als het begrip waarmee wordt aangeduid dat een persoon of organisatie werkt in overeenstemming met de geldende wet- en regelgeving. Het gaat over het nakomen van normen of het zich er naar schikken. Het is soms ook de aanduiding van de afdeling of cel in een organisatie die de compliancefunctie vervult: het bijstaan van het bestuur bij het in controle houden van de organisatie om in overeenstemming te werken met de geldende wet- en regelgeving. De oorsprong van compliance ligt met name in de Verenigde Staten waar al in de jaren 20 en 30 van de vorige eeuw de noodzaak van regulering van de financiële sector werd ingezien als gevolg van een aantal incidenten. In Nederland had compliance heel lang geen voeten in de aarde. Pas eind jaren 80 werd misbruik 28
van voorwetenschap in Nederland strafbaar gesteld in het Wetboek van Strafrecht en naderhand werd dit opgenomen in de Wet op het financieel toezicht. Deze strafbaarstelling was voor enkele financiële instellingen aanleiding tot het aanstellen van een Compliance Officer die veelal afkomstig was van de afdeling Juridische Zaken of zelfs binnen die afdeling werd toebedeeld met compliance onderwerpen. Het compliance begrip is in Nederland vooral gaan leven na beursschandalen zoals rond Ahold, wat mede leidde tot het opstellen van de Corporate Governance Code. Compliance wordt sindsdien gezien als het voldoen aan alle relevante wetgeving. Ook zijn er zeer actueel in Nederland nog incidenten geweest zoals de vastgoedfraude of is er sprake van maatschappelijke onrust over woekerpolissen, woekerpensioenen, valutabeleid of kunstmatig hoge rentes bij banken. Met name aan die laatste onderwerpen kun je afleiden dat compliance niet langer meer het exclusieve vakgebied is van en voor juristen. Compliance is het vakgebied van mensen die bij een organisatie verantwoordelijk zijn voor de naleving van de geldende wet- en regelgeving, van mensen die erop toezien dat er gewerkt wordt volgens de door de organisatie zelf opgestelde normen en regels, en het bewaken van de integriteit van de organisatie. In de financiële dienstverlening betekent dit de invoering en naleving van regels, die bedrijven en instellingen krijgen opgelegd van zowel de overheid als de financiële toezichthouders De Nederlandsche Bank en de Autoriteit Financiële Markten. De meeste financiële instellingen beschikken over een governance chapter dat een regeling geeft voor de taken, bevoegdheden en verantwoordelijkheden binnen de instelling op het gebied van compliance (de compliance functie). Ook zijn er veelal vele reglementen die voorschriften bevatten waaraan de in die instelling werkzame ELSA Leiden Magazine - 12e jaargang, nummer 1
personen zich dienen te houden, alsmede voorschriften omtrent de wijze van controle op de naleving ervan. Voorbeelden hiervan zijn het reglement privebeleggingstransacties, insidersregelingen, het reglement controle van e-mail en internet, de klokkenluidersregeling, incidentenbeleid, fraudebeleid, beleid omtrent Pre Employment Screening, etc.
Privacyrisico’s Toenemende aandacht
Compliance Officer
De eerste jaren na 2011 werd privacy door veel publieke personen en politici als de tegenhanger van veiligheid beschouwd. Verregaande opsporingsbevoegdheden werden in het leven geroepen om het gevoel van veiligheid weer te laten terugkeren. Benjamin Franklin dacht daar in de 18e eeuw al het zijne van: ‘Those who give up essential liberties for temporary safety deserve neither liberty nor safety.’
Binnen de compliance functie fungeert de compliance officer als de interne toezichthouder van een organisatie en zorgt als bewaker van de integriteit van de organisatie ervoor dat men zich binnen de organisatie bewust is van reputatie- en integriteitsrisico’s. De compliance officer wordt meestal door het hoogste bestuursorgaan van de organisatie (Raad van Bestuur of Hoofddirectie) benoemd. Hij werkt in volstrekte onafhankelijkheid en geniet een hoge mate van rechtsbescherming. De compliance officer houdt zich onder andere bezig met: • adviseren over aanpassingen aan de interne bedrijfsvoering; • vergroten van de compliance-awareness door middel van communicatie en training; • signaleren, identificeren en beoordelen van compliancerisico’s; • pro-actief te adviseren over compliancerisico’s; • opstellen en invoeren van risicobeheersende maatregelen; • monitoren van de transacties van werknemers; • oplossen van compliance incidenten; • onderhouden van contact met toezichthouders; • rapporteren over niet-financiële compliance risico’s aan bestuur en raad van commissarissen. Voor effecten- en kredietinstellingen is het aanstellen van een compliance officer verplicht; bij daaraan verwante instellingen, zoals effectenuitgevende instellingen, pensioen- en spaarfondsen en verzekeraars, is het in ieder geval zeer gebruikelijk om een compliance officer aan te stellen. De rest van het bedrijfsleven kent nog geen verplichte aanstelling van een compliance officer al zie je steeds meer dat grote organisaties uit zichzelf overgaan tot het inrichten van de compliance functie en/of de benoeming van compliance officers. 2.3 Privacy Officer / FG Soms zie je ook bij bedrijven terug dat ze een toegewezen privacy officer hebben die zich bezighoudt met privacy onderwerpen. Deze persoon fungeert vaak op een wijze vergelijkbaar met die van de compliance officer. Een privacy officer die zijn werkzaamheden in onafhankelijkheid kan vervullen is de Functionaris voor de Gegevensbescherming. Deze functie heeft een wettelijke basis in artikel 62-64 van de Wbp en vervult zijn onafhankelijke taak op een wijze waarbij hij onder meer ontslagbescherming geniet.
ELSA Leiden Magazine - 12e jaargang, nummer 1
Het belang van compliance is de afgelopen jaren recht evenredig gegroeid met het openbaar worden van incidenten, de aandacht voor schandalen en de maatschappelijke onrust over diverse financiële producten. De aandacht voor privacy lijkt hetzelfde groeipad te volgen.
Vorig jaar kopte dagblad De Pers op de voorpagina met ‘De glorieuze comeback van privacy’.2 Sinds 2001 is langzamerhand weer een politieke wil ontstaan om meer balans te brengen in de communicerende vaten ‘veiligheid’ en ‘privacy’, ook is er meer en meer aandacht in de maatschappij voor privacy en in het bijzonder ten aanzien van nieuwe ontwikkelingen zoals social media en cloud computing. Voeg daar aan toe dat er de laatste tijd aansprekende privacy kwesties het nieuws haalden. Zo was er een half miljoen euro boete voor SD&P Interactive wegens het versturen van ongevraagde smsberichten zonder afmeldmogelijkheid. Het College bescherming persoonsgegevens beoordeelde de informatiebeveiliging van vijf Nederlandse ziekenhuizen als ondermaats. De OV-chipkaart ligt politiek onder vuur vanwege beheer en beveiliging. Facebook zwichtte voor de toenemende kritiek op het privacybeleid. Google ligt eveneens onder vuur voor het schenden van de privacy vanwege het nieuwe privacybeleid. TomTom zou persoonlijke gegevens van gebruikers aan opsporingsdiensten verstrekken. Het landelijk elektronisch patiëntendossier is na het eerder afschieten van het wetsvoorstel in de Eerste Kamer, bezig met een doorstartmodel. Politieke onrust over de zogeheten ‘supercookies’. Zomaar een greep uit de vele privacy kwesties van de afgelopen tijd.3
Wat zijn privacyrisico’s? Privacy risico’s zou je in een aantal categorieën kunnen verdelen: • juridische risico’s (het risico van waardeverlies of verzwakking van rechtspositie door veranderingen in, dan wel het niet naleven van privacygerelateerde wet- en regelgeving); • operationele risico’s (het risico dat personen, processen of systemen tekortschieten in de bescherming van persoonsgegevens); • reputatierisico’s (het risico dat er waardeverlies of verzwakking van de goede naam en betrouwbaarheid van de organisatie ontstaat als gevolg van privacy incidenten); • financiële risico’s (het risico dat de waarde van de financiële activa van de organisatie aantast doordat 29
een boete of een last onder dwangsom wordt opgelegd wegens het niet naleven van privacygerelateerde wet- en regelgeving). Deze opsomming is niet uitputtend maar het geeft al wel enig beeld van de soorten privacy risico’s die er zijn.
Beheersen van privacyrisico’s Maar hoe beheers je nou die risico’s? Is het voldoende om een ‘dedicated’ medewerker aan te wijzen die zich bezighoudt met alle privacy kwesties binnen een organisatie op basis van eigen ‘professional judgment’? Of is een privacy risico een onvoldoende ‘high risk’ om überhaupt rekening mee te houden dan wel is het een ‘geaccepteerd restrisico’? Of is het voldoende om af te wachten tot er zich een privacy kwestie voordoet en om dan een advocaat in te schakelen? ‘Privacy by disaster’zoals D66-europarlementariër Sophie in ’t Veld het in dagblad De Pers verwoordde.4 Het mitigeren van privacy risico’s kent een aantal voordelen. Privacybescherming schept vertrouwen. Een organisatie die zorgvuldig omgaat met de aan haar toevertrouwde persoonsgegevens, die transparant is in haar handelen en waarborgen biedt aan degenen om wiens persoonsgegevens het gaat, creëert het beeld en de realiteit van betrouwbaarheid. Privacybescherming bewerkstelligt dat een organisatie haar werkprocessen inzichtelijk inricht en ze daarmee ook beheersbaar maakt. Een goede informatiebeveiliging en autorisatiebeheer staat en valt immers ook met het al dan niet aanwezig zijn van witte of zwarte vlekken. Privacybescherming zorgt voor de inbedding van een aantal grond- en mensenrechten zoals het recht op gelijke behandeling en het recht op bescherming van de persoonlijke levenssfeer. Het is een ethische norm over hoe wij met elkaar willen omgaan. Privacybescherming is een middel om de bedrijfsvoering van een organisatie integer te laten zijn. Met vertrouwen, transparantie, beheersbaarheid, en een goed fatsoen ben je een heel stap in de goede richting om ‘onkreukbaar’ en ‘eerlijk’ te zijn om in de woorden van Van Dale te spreken.
Beheersingsmodellen Het zal de lezer niet verwonderen dat de praktijk zich gebogen heeft over de vraag wat een goed beheersingsmodel zou kunnen zijn. Het Cbp heeft een aantal compliance-instrumenten ontwikkeld die gebruikt kunnen worden voor zelfregulering: • een quickscan: hulpmiddel voor het bevorderen van het privacybewustzijn in de organisatie van de verantwoordelijke en het bepalen van de plaats van de organisatie op de kwaliteitsschaal van de gegevensverwerking; • een Wbp Zelfevaluatie: hulpmiddel bij het verkrijgen van inzicht in het toepassen van de Wbp in de 30
organisatie van de verantwoordelijke en het nader bepalen van de plaats van de organisatie op de kwaliteitsschaal van de gegevensverwerking; • Raamwerk Privacy Audit: basis voor het beoordelen van de kwaliteit van de bescherming van persoonsgegevens over de gehele verwerkingsketen; • handreiking bij het Raamwerk Privacy Audit: handreiking bij het beoordelen van de kwaliteit van de bescherming van persoonsgegevens over de gehele verwerkingsketen. De handreiking is gebaseerd op het Raamwerk Privacy Audit en geeft aan hoe een concretisering van de wettelijke norm kan plaatsvinden. Ook marktpartijen hebben instrumenten ontwikkeld zoals het Privacy Governance Raamwerk (Capgemini) dat elementen combineert van al bestaande (IT-)governancemodellen voor interne controle en interne beheersing, zoals COSO, CobiT, ITIL, ASL/BiSL en het Information Security Governance Model, aangevuld met best practice ervaringen.5 Of een privacyvolwassenheidsmodel (Mitopics) dat aansluiting zoekt bij modellen die zich richten op het inrichten en vormgeven van organisaties.6 Maar is het nou wel nodig om een afzonderlijk privacy beheersingsmodel te ontwikkelen en te gebruiken? Tsja, dat is natuurlijk een kwestie van smaak. Risicomanagers zullen betogen dat privacy geen onderwerp is dat autonoom dient te worden aangevlogen. Vanuit een risico perspectief bezien, zijn privacy risico’s doodnormale risico’s. Toegegeven, het is als het gaat om privacyregelgeving, moeilijk om concrete normen te destilleren op basis waarvan beheersingsmaatregelen kunnen worden getroffen die een organisatie kunnen beschermen tegen de gevolgen van privacy risico’s. Privacy officer en privacjuristen daarentegen, zullen wat sneller betogen dat privacy risico’s juist een afzonderlijke benadering vergen gelet op de weinig concrete normen in de regelgeving. Ik denk dat beide smaken veelvuldig in de praktijk voorkomen. Mijn eigen ervaring is echter dat het veelal niet haalbaar is om een afzonderlijk privacy framework binnen een organisatie uitgerold te krijgen. Zeker niet in de financiële sector waarin ik momenteel werkzaam ben. Het is voorwaar geen sinecure om argumenten op een rij te zetten op basis waarvan je de verantwoordelijke managers binnen een organisatie, kan overtuigen privacy in het bijzonder als aandachtspunt op de agenda te zetten. Hierboven omschreef ik al een aantal argumenten op basis waarvan privacybescherming ook de organisatie ten goede kan komen. Niet tegendenken, maar juist meedenken met de ‘business’. Voor de organisatie zelf spelen namelijk veelal meerdere onderwerpen tegelijk die met elkaar vechten om prioriteit. Er zijn simpelweg veelal niet genoeg middelen aanwezig om alle prioriteiten te kunnen adresseren. Wat voor mooie woorden en visies er vaak aan worden besteed, het is vaak de realiteit dat privacybescherming pas echt op het netvlies van managers komt als er een ELSA Leiden Magazine - 12e jaargang, nummer 1
incident is geweest. Het Cbp is bijvoorbeeld langsgeweest voor een ambshalve onderzoek waarna sanctionering dreigt of er is bijvoorbeeld sprake van het verlies of manipulatie van klantgegevens. In de compliance wereld wordt vaak gewerkt met een compliance risk management framework. Het management ervaart namelijk vaak het gevoel risico’s niet te kennen of de grootte daarvan niet te kunnen inschatten. Vragen die daardoor naar boven kunnen komen zijn bijvoorbeeld of er wel voldoende beheersingsmaatregelen zijn getroffen of weten we wel precies wat er bij een bedrijfsonderdeel gebeurt?7 Het ene risico is het andere risico niet en de meeste beheersingsmodellen hebben met elkaar gemeen dat ze een hulpmiddel kunnen vormen op enigerlei wijze een ‘ranking’ aan te brengen tussen de verschillende risico’s. Zo zou er een onderscheid kunnen worden gemaakt tussen risico’s als gevolg van het niet naleven van wet- en regelgeving en tussen risico’s die het gevolg zijn van het niet naleven van een gedragscode. Of tussen risico’s die het gevolg zijn van het niet naleven van eigen beleidskeuzes.
Rapporteren over risico’s Ongeacht het gekozen beheersingsmodel, er zal behoefte zijn bij de stakeholders van een organisatie relevante ontwikkelingen of risico’s op het gebied van privacy te kunnen monitoren. Monitoring vindt veelal plaats aan de hand van periodieke rapportages waarin op gestandaardiseerde verslag wordt gedaan van relevanten ontwikkelingen en risico’s in de achterliggende periode. Maar wat rapporteer je en hoe? Het is gebruikelijk dat er risicobeoordelingen worden gegeven van gesignaleerde gegevens waarbij wordt nagegaan of de verplichtingen zoals vastgelegd, voldoende worden nageleefd. Instrumenten hiervoor zijn zelfevaluaties of interviews met betrokkenen. Een risicobeoordeling blijft wel mensenwerk en is geen mathematisch model. Per verplichting of thema wordt een beoordeling gegeven van het inherente compliance risico dat niet naleving van de toepasselijke wet- en regelgeving en normen met zich meebrengt. Hier wordt vaak een rankingsmethodiek toegepast waarbij de grootte van de impact en mate van waarschijnlijkheid van niet-naleving van de verplichting invloed uitoefenen op de risicobeoordeling. Het inherente compliance risico kan daarbij een score krijgen die ‘laag’, ‘midden’ of ‘hoog’ is. Vervolgens wordt beoordeeld wat de kwaliteit is van de beheersingsmaatregelen die zijn getroffen om het compliance risico te mitigeren. De resultaten van alle risicobeoordelingen kunnen dan worden samengevoegd voor het management ter beoordeling en besluitvorming. Rapportages zijn vaak opgebouwd uit deelrapportages waarbij het hoogste niveau een ELSA Leiden Magazine - 12e jaargang, nummer 1
ondernemingsbrede rapportage is. Deze laatste rapportage geeft dan het ‘high level’ overzicht van het compliance (privacy) risico voor een onderneming. De rapportages tezamen geven een overzicht van de grootste risico’s en aan de hand van dat overzicht en inzicht kunnen besluiten worden genomen over strategische of operationele zaken. Dit kan het toekennen van middelen en medewerkers vergemakkelijken voor die onderdelen waar volgens de rapportages, de grootste risico’s liggen. De rapportagecyclus stelt het management in staat om op deze wijze preventief te handelen ter voorkoming van verdere incidenten of om de organisatiecultuur te veranderen.
Organisatiecultuur en - verandering Een ‘culture of caring’8 zorgt voor betere gegevensbescherming. Een waarheid als een koe zou ik zeggen. Daar waar mensen zich betrokken voelen bij een onderwerp, moet het vreemd lopen wil daar toch een incident gaan ontstaan (al beweer ik niet dat dat niet zou kunnen). Daar waar soms binnen een organisatie keiharde maatregelen staan op een overtreding van een regel (je moet maar eens als soldaat een bevel negeren van je meerdere), je kan niet altijd voorkomen dat ondanks de dreigende harde sanctie of controlenorm, toch tegen een norm wordt ingegaan. Zeker niet als er een sfeer binnen een organisatie of afdeling heerst van desinteresse of van normovertredend groepsgedrag. De zogeheten ‘soft controls’ zijn minstens net zo belangrijk zo niet belangrijker, dan de ‘hard controls’. Incidenten bij organisaties als ENRON, Barings Bank of Société Général konden toch ontstaan ondanks de aanwezigheid van diverse hard controls zoals functiescheiding en autorisatiebeheer. Mazen zijn altijd te vinden in het net. Ook de cultuur moet er dan ook naar zijn dat men bijvoorbeeld geen privacy wet- en regelgeving wil overtreden. Enerzijds zullen onvoldoende privacybewuste medewerkers zich, zodra ze ook maar enigszins de kans krijgen, zo weinig mogelijk gelegen laten liggen aan de vaak als beperkend ervaren regels voor de verwerking van persoonsgegevens; anderzijds is een goed privacybewustzijn essentieel om te bewerkstelligen dat medewerkers ook in onduidelijke of niet beschreven situaties goed met persoonsgegevens omgaan, of althans weten wanneer ze deskundig advies moeten vragen.9 De resultaten van de rapportagecyclus kunnen gebruikt worden om te bepalen hoe hoog het privacybewustzijn is binnen een organisatie. Aan de hand daarvan kan vervolgens weer bepaald worden of er aanvullende maatregelen nodig zijn om de privacy risico’s te beheersen zoals de uitrol van een e-learning, dilemmatrainingen, workshops, presentaties, bijdragen in personeelsbladen, etc.
Een praktijkcasus Het zijn allemaal mooie woorden die ik zojuist heb geschreven maar het is wellicht wat weinig concreet. Laat ik dan ook een korte praktijkcasus bespreken. 31
Naar aanleiding van een signaal van een betrokkene had het Cbp een ambtshalve onderzoek ingesteld naar de rechtmatigheid van de verstrekking(-en) door ASN Bank van persoonsgegevens aan derde partijen. De betrokkene stelde dat zijn twee minderjarige dochters een wervende brief met acceptgirokaart hadden ontvangen van de Stichting Cordaid Kinderstem met de oproep om geld over te maken naar Cordaid om kinderen in sloppenwijken onbezorgd een liedje te kunnen laten zingen ter gelegenheid van Sint Maarten. Toen de betrokkene daarover een klacht indiende bij Cordaid, bleek dat Cordaid de adressen had gekregen van ASN Bank omdat op naam van de dochters een ASN Jeugdspaarrekening was geopend.
Impact nieuwe regelgeving
Uit het onderzoek bleek dat ASN Banksystematisch gegevens van rekeninghouders van de ASN jeugdspaarrekening verstrekte aan Cordaid Kinderstem. Deze verstrekkingen van persoonsgegevens achtte het Cbp onrechtmatig wegens strijd met de artikelen 8, 33 en 6 Wbp. ASN Bankkon niet volstaan met de geboden opt-out mogelijkheid aan bestaande rekeninghouders. ASN Bankdiende alle huidige rekeninghouders in staat te stellen om vrije, specifieke en geïnformeerde toestemming te geven voor de beoogde specifieke derdenverstrekkingen. ASN diende er tevens zorg voor te dragen dat Cordaid Kinderstem de onrechtmatig verstrekte gegevens niet langer mocht gebruiken, tenzij toestemming is verkregen.
Ik voorzie dan ook dat privacybescherming en daarmee het beheersen van privacyrisico’s steeds hoger en hoger op de bestuursagenda zal komen te staan. Dat is gunstig. Niet omdat privacy an sich zo heel erg belangrijk zou moeten zijn en in de rapportages zou moeten terugkomen. Het is gunstig omdat privacy niet langer meer een ‘ver-van-mijn-bed-show’ zal blijken te zijn. Alleen daar zit al winst: dat meer mensen begrijpen waar privacy voor staat en wat het voor hen kan betekenen anders dan het zijn van een ‘project killer’ of kostendrempel.
Zodra ASN Bank bekend raakte met het onderzoek door het Cbp, werden maatregelen getroffen om de privacyrisico’s te mitigeren. Het voornaamste risico dat aanwezig werd geacht was de bevoegdheid van het Cbp om ASN Bank als wetsovertreder met naam en toenaam te noemen (naming and shaming). Om reputatierisico te voorkomen besloot ASN Bank al om tijdens het onderzoek (het Cbp zou pas na het opstellen van een definitief onderzoeksrapport naar buiten treden) de openbaarheid te zoeken en een ieder te informeren over de inhoud van het gestarte onderzoek. Op de website van ASN Bank verscheen een nieuwsbericht dat het Cbp een onderzoek was gestart, wat de inhoud van dat onderzoek was maar ook op grond waarvan ASN Bank van mening verschilde met de toezichthouder. Dit werd nogmaals herhaald nadat het Cbp zijn definitieve onderzoeksrapport had gepubliceerd. Om verdere reputatieschade te voorkomen besloot ASN Bank om naast de berichtgeving op de website, geen procedure tegen het Cbp aan te spannen en een mailing aan alle rekeninghouders de deur uit te doen. Het risico was namelijk wezenlijk dat een rechtszaak onnodig veel aandacht zou hebben gevestigd op het onderzoek van het Cbp. Uiteraard is het moeilijk met zekerheid vast te stellen, maar in een tijdperk waarin uitglijers op het gebied van privacy worden begaan en met name de financiële sector onder een vergrootglas ligt, was de daadwerkelijke persaandacht nihil. 32
Er staat veel nieuwe regelgeving op stapel. Met name de nieuwe concept EU-verordening (General Data protection Regulation) zal veel gaan vergen van organisaties. Zo is de boetemogelijkheid voor de private sector tot 2% van de wereldwijde jaaromzet niet gering. Zo ook de documentatieplicht waarin alle gegevensverwerkingen binnen een onderneming moeten worden vastgelegd. De verplichte privacyfunctionaris voor grote ondernemingen doet zijn intrede evenals de verplichting dat organisaties bij het inrichten van hun processen, een privacy impact assessment (PIA) moeten uitvoeren. Ook de verplichte melding binnen 24 uur van een datalek zal het nodige vergen van de organisatie.
Tot slot Privacy compliance is niet nieuw. Het naleven van de bepalingen van privacy wet- en regelgeving werd echter veelvuldig puur juridisch bezien. Wat wel nieuw is is het gebruik van privacybeheersingsmodellen naast de zelfreguleringsinstrumenten die het Cbp heeft ontwikkeld en gepubliceerd. Veelal kan gewoon worden aangesloten bij al langer bestaande en bestendig gebleken compliance beheersingsmodellen in de markt of bij het beheersingsmodel dat al voor andere risico’s binnen een organisatie wordt toegepast. Zo bezien is privacy compliance oude wijn in nieuwe zakken.
1 K. Versmissen, ‘Privacy compliance – een tour d’horizon’, P&C 2011, p. 9-25. 2 R. Tomesen, ‘De glorieuze comeback van privacy’, De Pers 9 juni 2011. 3 S. Katus, ‘Het belang van privacy compliance’, P&C 2011, p. 26-33. 4 R. Tomesen, ‘De glorieuze comeback van privacy’, De Pers 9 juni 2011, p 11. 5 J.M. Schot & M.J. Kroonsberg, ‘Het Privacy Governance Raamwerk - effectief omgaan met privacywetgeving’, P&I 2010, p. 173 - 178. 6 T.R.J. Bosselaers, C.M. Jobse & S.L. Gellaerts,’ Privacy als professionaliseringsvraagstuk, een Model’P&I 2010, p. 218-223. 7 J.A. Lee & S. Sarneel, ‘De waarde van compliance risk management voor een financiële onderneming’, TvC 2008, p. 150-157. 8 F. van den Dool, ‘Betere gegevensbescherming met een culture of caring’, P&I 2011, ,p. 191-194. 9 K. Versmissen, ‘Privacy compliance – een tour d’horizon’, P&C 2011, p. 20. ELSA Leiden Magazine - 12e jaargang, nummer 1