Augustus 2011 Jaargang 1
Nieuwsbrief Privacy en bescherming van persoonsgegevens
Inhoud ZWARTE LIJST ongewenste hotelgasten; CBP verklaart gegevensverwerking in waarschuwingsregister rechtmatig. CBP dwingt invoering bewaartermijnen reisgegevens af via dwangsom; toezegging OV-bedrijven bewaartermijnen studenten OV-chipkaart aan te passen na onderzoek CBP. Europese privacytoezichthouders verduidelijken het begrip ‘toestemming’. Boetebevoegdheid CBP / persoonsgegevens op internet; berichtgeving in de media en de reactie van Jacob Kohnstamm.
IN DIT NUMMER -Zwarte lijst ongewenste hotelgasten……………………..2 -Bewaartermijnen van reisgegevens studenten………..3 -Het begrip ‘toestemming’ verduidelijkt…..……………….4 -Persoonsgegevens op internet en de boetebevoegdheid CBP…………...5
Graven Juridisch Advies Bongaertslaan 22 6417 BB Heerlen
[email protected] 045-5716391
‘Zwarte lijst’ voor hotelgasten goedgekeurd
Hotels hebben steeds vaker last van gasten die zich misdragen. Daarom willen zij een ‘zwarte lijst’ opstellen van ongewenste hotelgasten. Het College bescherming persoonsgegevens heeft de werkwijze van de zwarte lijst beoordeeld en deze goedgekeurd. Hotelgasten veroorzaken steeds vaker overlast, zoals vernielingen, diefstal en bedreiging of mishandeling van het hotelpersoneel. Hotels hebben hier al maatregelen tegen genomen, zoals cameratoezicht, maar dit blijkt niet genoeg te helpen. Daarom hebben enkele hotels besloten een zwarte lijst te maken van hotelgasten die overlast hebben gegeven.
Werking zwarte lijst hotelgasten Op de zwarte lijst nemen de hotels de persoonsgegevens op van overlastveroorzakers, zoals naam en adres. Hotels die meedoen aan de zwarte lijst, kunnen deze gegevens inzien. Vervolgens kunnen zij bepalen of zij iemand die op de lijst voorkomt de toegang weigeren of alleen onder bepaalde voorwaarden toelaten. Beoordeling zwarte lijst door CBP Bij de zwarte lijst van hotelgasten hoort een protocol. Hierin hebben de hotels de voorwaarden opgenomen om iemand op de zwarte lijst te zetten. Ook geeft het protocol regels voor de uitwisseling van gegevens tussen de deelnemende hotels. Het CBP heeft het protocol gecontroleerd. Het protocol voldoet aan de eisen uit de Wet bescherming persoonsgegevens.
.
“Hotelgasten veroorzaken steeds vaker overlast, zoals vernielingen, diefstal en bedreiging of mishandeling van het hotelpersoneel”.
2
Voert een bedrijf de bewaartermijnen niet op tijd in, dan is het een bedrag verschuldigd dat kan oplopen tot 250.000 euro.
Drie grote vervoerbedrijven en de uitgever van de ov-chipkaart hebben toegezegd nieuwe bewaartermijnen voor reisgegevens van studenten in te voeren. De aangekondigde nieuwe bewaartermijnen zijn niet langer in strijd met de Wet bescherming persoonsgegevens (Wbp). Het College bescherming persoonsgegevens heeft de vervoerbedrijven tot eind 2011 de tijd gegeven om hun toezeggingen na te komen en de nieuwe bewaartermijnen in te voeren. Als de bedrijven dit niet tijdig doen, moeten zij dwangsommen betalen. Uit onderzoek van het CBP uit december 2010 bleek dat het Amsterdamse ov-bedrijf GVB, het Rotterdamse ov-bedrijf RET, kaartuitgever TLS en NS reisgegevens langer dan noodzakelijk bewaren. De bedrijven hebben hierna nieuwe bewaartermijnen opgesteld. Maar omdat die nog steeds niet zijn ingevoerd, heeft het CBP een last onder dwangsom opgelegd.
In- en uitchecken NS niet verplicht Het CBP heeft NS daarnaast nog een andere last onder dwangsom opgelegd. Uit het onderzoek bleek ook dat NS studenten niet goed informeert over het in- en uit checken met de ov-chipkaart. Bij een studenten ov-chipkaart is inen uitchecken nog niet altijd verplicht. Omdat veel studenten dit niet weten, verwerkt NS dus zonder noodzaak hun reisgegevens. Vervoerbedrijf NS heeft tot 1 december 2011 de tijd om studenten duidelijk te informeren, onder meer op alle stations. Doet NS dit niet, dan is er een bedrag van maximaal 375.000 euro verschuldigd.
Bewaartermijnen reisgegevens van studenten
Termijnen bewaren reisgegevens De ov-bedrijven hebben tot het einde van 2011 de tijd om de bewaartermijnen in te voeren. Voor verschillende doelen (bijvoorbeeld afhandelen van klachten, belastingverplichtingen) gelden maximale perioden dat de bedrijven de verzamelde reisgegevens mogen bewaren. Daarna moeten zij de gegevens vernietigen.
3
Het begrip ‘toestemming’: Expliciet gegeven of door een actieve handeling aangegeven.
Toestemming van degene wiens gegevens worden verwerkt , is een kernbegrip bij de bescherming van persoonsgegevens. Maar wanneer is toestemming vereist? En aan welke voorwaarden moet toestemming voldoen om geldig te zijn? Dat is niet altijd duidelijk. Tegelijkertijd is het belang van toestemming evident. De verwerking van persoonsgegevens speelt immers een prominente rol in de huidige samenleving—zowel in de digitale als in de ‘normale’wereld. Daarom hebben de Europese privacytoezichthouders, verenigd in de Artikel 29– werkgroep, in een gezamenlijke opinie de criteria voor toestemming in het huidige juridische kader uitgelegd en doen zij verschillende aanbevelingen voor de toekomst. Toestemming is een van de wettelijke rechtvaardigingsgronden voor de verwerking van persoonsgegevens. De Europese toezichthouders stellen dat toestemming op dusdanige wijze moet worden verkregen dat er geen twijfel mogelijk is dat degene wiens gegevens worden verwerkt hier daadwerkelijk mee instemt. Alleen toestemming die expliciet is gegeven of die door een actieve handeling is aangegeven, is geldig. Stilte of passiviteit kan nooit leiden tot geldige toestemming. Als iemand zich bijvoorbeeld aanmeldt bij een sociale netwerksite en zijn of haar persoonlijke gegevens zijn standaard zichtbaar voor ‘vrienden van vrienden’, dan kan niet zomaar worden geconcludeerd dat deze persoon hiervoor toestemming heeft gegeven. Toestemming moet worden gegeven voordat de verwerking van persoonsgegevens start of vóór elk nieuw gebruik van gegevens.
4
De Europese privacytoezichthouders benadrukken ook dat het recht om je toestemming in te trekken gegarandeerd moet zijn. Daarnaast is het nodig om mensen goed te
informeren over de verwerking van hun persoonsgegevens, zodat zij een bewuste keuze kunnen maken. Dit is vooral belangrijk voor mensen die niet (volledig) handelingsbekwaam zijn, zoals minderjarigen. Tot slot stelt de Artikel 29-werkgroep dat verwerkers van persoonsgegevens moeten kunnen aantonen dat zij geldige toestemming hebben verkregen. De Tweede Kamer heeft eind juni 2011 de nieuwe Telecommunicatiewet aangenomen. Na een amendement wordt hierin, in lijn met de opinie van de Artikel 29- werkgroep, bepaald dat consumenten vooraf toestemming moeten geven voor het plaatsen en lezen van technisch niet noodzakelijke cookies op hun computer. Het wetsvoorstel is op dit moment bij de Eerste Kamer in behandeling.
Boetebevoegdheid / Persoonsgegevens op internet De opening van het Algemeen Dagblad van 1 augustus 2011 over een boetebevoegdheid van het College Bescherming Persoonsgegevens en het plaatsen van beelden op internet heeft veel losgemaakt. Jacob Kohnstamm, voorzitter van het College bescherming persoonsgegevens, gaat in een brief aan de Tweede Kamer van 5 augustus 2011 in op een drietal punten waarop kamerleden naar aanleiding van de berichtgeving mogelijk op het verkeerde been zijn gezet.
“Het huidige kabinet heeft op grond van het regeerakkoord én van het gedoogakkoord (in lijn met het vergelijkbare voornemen van het vorige kabinet) in een brief van 29 april 2011 aan de Tweede Kamer laten weten voornemens te zijn om het CBP de bevoegdheid te geven om materiële bepalingen van de Wet bescherming persoonsgegevens (Wbp) met een bestuursrechtelijke boete te sanctioneren”. Kohnstamm geeft in zijn brief aan de Tweede Kamer aan dat geen sprake is van de voorbereiding door het ministerie van Veiligheid en Justitie van een apart wetsvoorstel waardoor het op internet plaatsen van beelden van inbraken of geweldsdelicten verboden wordt, zoals de berichtgeving deed voorkomen. Ook is er geen sprake van dat er gewerkt wordt aan een wetsvoorstel waarin specifiek voor het wederrechtelijk plaatsen van beelden op internet een boetebedrag wordt vastgesteld. De hoogte van de in een concreet geval op te leggen boete zal altijd proportioneel moeten zijn en afhangen van de ernst van de geconstateerde onrechtmatigheid en van alle overige relevante omstandigheden, waaronder de omzet dan wel draagkracht van degene die de boete krijgt opgelegd. Het CBP zet ook in de huidige praktijk een scala aan instrumenten in om overtredingen van de Wbp te
voorkomen of deze te doen staken alvorens een last onder dwangsom op te leggen. Telefonisch contact of een schriftelijke sommatie is vaak afdoende om aan de geconstateerde onrechtmatigheid een einde te maken. Het opleggen van een boete is een ‘ultimum remedium’. Voorts geeft Kohnstamm aan dat uit een aantal documenten blijkt dat over het hoofd wordt gezien dat het CBP al enige jaren geleden heeft besloten om handhavende bevoegdheden vooral in te zetten bij ernstige en structurele privacy overtredingen die grote groepen mensen raken in de overtuiging op die wijze het meest effectief aan de wettelijke opdracht te voldoen om naleving van de bepalingen van de Wbp te bevorderen.
5
Uit de bijlage bij de brief van J. Kohnstamm van 5 augustus 2011: “De fascinerende ontwikkelingen op het terrein van informatie en communicatietechnologie bieden ongekende mogelijkheden voor burgers, publieke en private organisaties. Maar aan al dat moois kleven ook een aantal schaduwzijden. Eén daarvan is dat de bescherming van persoonsgegevens aanzienlijk gecompliceerder is geworden. Juist omdat ICT en internet heel laagdrempelig zijn en ongekende mogelijkheden bieden om persoonsgegevens te verzamelen, te verwerken en te verspreiden, moet de wijze waarop de wetgever burgers tegen onrechtmatig gebruik van persoonsgegevens in bescherming neemt opnieuw tegen het licht gehouden worden. Eén van de punten die daarbij in discussie is, is de vraag of de handhavende bevoegdheden van het CBP tegen die achtergrond afdoende zijn. Het CBP heeft nu de bevoegdheid om een last onder dwangsom op te leggen. Het kan als het ware een gele kaart trekken tegen onrechtmatig gebruik van persoonsgegevens en zeggen: als dat onrechtmatig handelen niet binnen een bepaalde termijn is beëindigd, krijgt u de rode kaart en bent u de dwangsom verschuldigd. Maar omdat bij het onrechtmatig gebruik van persoonsgegevens het kwaad al geschied kan zijn, zal de toezichthouder, het CBP, ook de bevoegdheid moeten krijgen om in het geval van ernstige en verwijtbare overtreding van de Wet bescherming persoonsgegevens de rode kaart te trekken en een bestuurlijke boete op te leggen. De hoogte van die boete moet zodanig zijn dat er voldoende dreiging vanuit gaat om er voor te zorgen dat dergelijke overtredingen niet of veel minder plaatsvinden.
6
Natuurlijk maakt het CBP in voorkomende gevallen gebruik van een scala van in ernst oplopende instrumenten om overtredingen van de Wbp te voorkomen of te doen staken, waaronder ook een brief of telefoongesprek met een waarschuwing vallen. Het opleggen van een boete is het meest vergaande instrument en zien wij als een ‘ultimum remedium’. En natuurlijk moet in concrete zaken de op te leggen boete proportioneel zijn en afhankelijk zijn van de ernst van de onrechtmatigheid en van alle andere relevante omstandigheden, waaronder de omzet dan wel draagkracht van degene aan wie die boete wordt opgelegd. Het tweede vraagstuk is dat het zonder een wettelijke grondslag openbaar maken – op internet of anderszins - van beelden van identificeerbare personen of van andere persoonsgegevens op grond van de Wet bescherming persoonsgegevens (en overigens ook op grond van het Burgerlijk Wetboek) niet is toegestaan. Op grond van de Wbp heeft het CBP in de afgelopen jaren bijvoorbeeld een site waarop namen, adressen en hobby’s van bij het vreemdelingenbeleid betrokken politici, ambtenaren (en hun kinderen!) onder de titel “stop de deportatie” openbaar werden gemaakt, van internet doen verdwijnen en heeft het CBP ingrijpende veranderingen afgedwongen bij een site “beoordeel mijn leraar” waarop mensen hun oordeel, roddel of achterklap over met naam en toenaam genoemde leraren kwijt konden.
Er zijn meerdere redenen waarom de wetgever het zonder wettelijke grondslag op internet plaatsen van identificeerbare personen of van andere persoonsgegevens door middel van camerabeelden van geweldsdelicten of inbraken niet toelaatbaar acht. Het argument dat aldus een inbreuk wordt gepleegd op de persoonlijke levenssfeer is daar één van, maar is niet het enige en zeker niet het doorslaggevende argument. Relevanter is dat in democratisch geregeerde landen politie en justitie bij uitsluiting de bevoegdheid hebben gekregen om opsporing en vervolging van verdachten te bewerkstelligen. Het recht van individuele burgers om verdachten op eigen initiatief en gezag op te sporen is stevig aan banden gelegd als gevolg van de toekenning aan politie en justitie van diep ingrijpende bevoegdheden om de (strafrechtelijke) rechtsorde te bewaken. Daarbij komt dat op internet geplaatste beelden niet of heel moeilijk definitief daarvan zijn te verwijderen en bijna ten eeuwige dagen zijn terug te vinden. Kortom: er zijn goede redenen om met grote omzichtigheid om te springen met het publiek maken van beelden van identificeerbare personen bij een onopgeloste diefstal of inbraak via internet of anderszins. Ook de politie past daarom strikte regels toe alvorens beelden via het programma “Opsporing Verzocht” uit te zenden. De vraag op welke wijze de door burgers of organisaties gemaakte beelden van een diefstal of inbraak wél ingezet kunnen worden om daders vervolgd en berecht te krijgen is er vervolgens één die dringend om een antwoord vraagt. Het antwoord op die vraag is immers van grote maatschappelijke en politieke betekenis, ook omdat het water velen in de bestrijding van dat soort criminaliteit inmiddels tot ver over de lippen staat.
Vast staat dat de eerste stap zou moeten zijn dat dit soort camerabeelden aan politie en justitie ter hand gesteld worden. Op de veelgehoorde klacht van Advocaten. slachtoffers over het uitblijven van zichtbare of effectieve actie van de zijde van politie en justitie in het geval van diefstal en inbraak, wordt vaak gereageerd met argumenten als gebrek aan menskracht en andere prioriteiten. Hoe valide die
argumenten ook zijn, een slachtoffer van dit soort delicten – zeker als deze meermalen is beroofd – raakt daardoor niet verlost van zijn angst en frustratie. Op dit punt zijn bestuur en politiek aan zet voor het vinden van oplossingen. Bijvoorbeeld door een procedure te ontwerpen waardoor naar analogie van “Opsporing Verzocht” de ter beschikking gestelde beelden onder strikte verantwoordelijkheid van de geweldsmonopolist ingezet kunnen worden voor effectieve opsporing en vervolging van daders”.
7
Opdrachtgevers privacy gemeenten Graven Juridisch Advies is een zelfstandig en onafhankelijk adviesbureau op het gebied van privacy en bescherming van persoonsgegevens. Voor meer informatie neem contact op met mr. Charlotte Graven op 06-22778091 of stuur een e-mail naar
[email protected]
- Gemeente Sittard-Geleen - Gemeente Valkenburg aan de Geul - Gemeente Maastricht - Gemeente Vaals - Gemeente Venlo - Gemeente Simpelveld - Regionale Sociale Dienst Pentasz Mergelland - Gemeente Eijsden-Margraten - Gemeente Gulpen-Wittem - ISD BOL (Intergemeentelijke Sociale Dienst Brunssum Onderbanken Landgraaf) - Gemeente Beek - Gemeente Roermond - RIEC Limburg - Gemeente Kerkrade - Gemeente Onderbanken - Gemeente Brunssum - Gemeente Stein - Gemeente Schinnen
Graven Juridisch Advies Bongaertslaan 22 6417 BB Heerlen Telefoonnummer: 045-5716391 of 06-22778091 emailadres:
[email protected] www.gravenadvies.nl
Disclaimer: De inhoud van deze Nieuwsbrief is van informatieve aard en kan niet worden beschouwd als een juridisch advies in welke vorm dan ook. Ondanks de zorgvuldige samenstelling van de inhoud van deze nieuwsbrief kan Graven Juridisch Advies geen enkele aansprakelijkheid aanvaarden voor schade, direct dan wel indirect, ten gevolge van eventuele fouten of vergissingen. Dit geldt zowel ten aanzien van de eigen content als ten aanzien van de door Graven Juridisch Advies aangeboden content die afkomstig is van derden.
8