Privégegevens. Verslag Bondssymposium 14 mei Met analyse Elektronisch Patiëntendossier

Privégegevens

Verslag Bondssymposium 14 mei 2009

Met analyse Elektronisch Patiëntendossier

Inhoud

Baas over eigen gegevens……………………………………………………………… 10 rechten voor digitale omgang………………………………………………………

3 3

Verslag “Nederlanders hebben weinig vertrouwen in bescherming privégegevens”………… “EPD voldoet niet aan consumentenrechten bij digitale omgang”…………………… Risicoaansprakelijkheid: van hackers tot rechters………………………………………

4 6 8

Analyse Elektronisch Patiëntendossier (EPD)………………………………….

11

Bijlagen ‘Wie ben ik’ – Beleidsbrochure………………………………………………………….. Bescherming Privégegevens – Bart Combée…………………………………………… EPD-peiling – Deelnemers Bondssymposium………………………………………….. EPD: zorg of zegen? – Leah Postma…………………………………………………….. Risicoaansprakelijkheid – Stellingen paneldiscussie…………………………………….

15 19 23 25 27

Baas over eigen gegevens Slimme energiemeters in huis. Chipkaarten in het openbaar vervoer. Bestelformulieren op internet. Op allerlei manieren worden privégegevens van consumenten geregistreerd. Een goede zaak natuurlijk als daarmee de dienstverlening sneller en foutlozer verloopt. Maar weten consumenten bij wie hun gegevens bekend zijn? Waar moeten ze zijn met klachten? En wie is aansprakelijk in geval van misbruik? De Consumentenbond organiseerde op 14 mei 2009 in Den Haag het Bondssymposium Privégegevens. Ongeveer 100 deelnemers woonden de presentatie bij over de consumentenrechten bij het Elektronisch Patiëntendossier (EPD), een actueel en privacygevoelig overheidsinitiatief. Daarna volgde een debat over bescherming van privégegevens en risicoaansprakelijkheid tussen twee juristen en directeur Bart Combée van de Consumentenbond. In dit rapport leest u het verslag van de dag en de analyse van het EPD.

10 rechten voor digitale omgang Het College Bescherming Persoonsgegevens (CBP) ontvangt jaarlijks zo’n 7.000 klachten en vragen over privacy. Uit onderzoek blijkt dat mensen het belangrijk vinden dat er zorgvuldig met hun privégegevens wordt omgesprongen. Voor de Consumentenbond is dat aanleiding om de bescherming van privégegevens in 2009 tot een prioriteit te maken, in februari 2009 startte de campagne. De Consumentenbond wil dat bedrijven en organisaties risicoaansprakelijk worden voor het juist gebruiken en beschermen van gegevens van consumenten. Ook moet er een laagdrempelig loket komen waar consumenten terecht kunnen met klachten over het gebruik van hun persoonlijke gegevens. In februari 2009 presenteerde de Consumentenbond met de beleidsbrochure ‘Wie ben ik’ de tien rechten voor digitale omgang: 1. 2. 3. 4. 5. 6. 7. 8. 9. 10.

Anonimiteit waar mogelijk Zeggenschap over eigen privégegevens Informatie over het gebruik van privégegevens Gericht gebruik van privégegevens voor doel waarvoor ze zijn verzameld Toestemming voor ander dan noodzakelijk gebruik van privégegevens Risicoaansprakelijkheid bij de verwerking van privégegevens Kwaliteit van gebruik van privégegevens Geschilbeslechting voor klachten over privégegevens Educatie over rechten en risico’s op privacygebied Toezicht en handhaving van de naleving van privacywetgeving.

De Consumentenbond gebruikt deze rechten om producten en diensten te beoordelen, standpunten in te nemen over actuele kwesties, en bedrijven en overheden aan te spreken op misstanden.

3

“Nederlanders hebben weinig vertrouwen in bescherming privégegevens” Directeur Bart Combée, Consumentenbond Shoppen via Marktplaats, online een vliegticket boeken en zelfs elektronisch inchecken voor de vlucht. Bart Combée, sinds april 2009 directeur van de Consumentenbond, ziet het grote gemak dat de digitale samenleving biedt. Toch bekruipt hem soms een ongemakkelijk gevoel over zijn gegevens: “Welke zijn nog echt van mij? En welke zijn blijkbaar voor iedereen toegankelijk?” De keerzijde die hij signaleert, is dat je niet eenvoudig na kunt gaan of degene met wie je informatie uitwisselt, te vertrouwen is. “Mijn moeder zei altijd dat je niet iedereen op zijn blauwe ogen kunt vertrouwen. Nu is het nog complexer: degenen die over je gegevens beschikken, zijn niet eens zichtbaar!”

Gouden gegevens in de kluis Combée stelt dat privégegevens een grote waarde vertegenwoordigen en dat we daar gemakkelijk aan voorbij gaan. We verzekeren onze inboedel, dekken ons in voor schade aan ons huis en strooien tegelijkertijd kwistig met onze creditcardgegevens. “De dreiging van een hacker uit India die inbreekt in je privégegevens kan zelfs groter zijn dan die van een inbreker in je huis.” Een deelnemer in de zaal oppert dat je je niet druk hoeft te maken over privacy als je niets te verbergen hebt. Combée herkent dat geluid, maar “dit laat onverlet dat privacy wel beschermd moet worden.” Daar maakt de Consumentenbond zich hard voor. De bond heeft geconstateerd dat er veel onzekerheden bestaan over informatieopslag: met welk doel worden gegevens bewaard? Is eenmaal verstrekte informatie weer te verwijderen? Hoe kom ik erachter als mijn gegevens gestolen zijn? Bij wie kan ik schade verhalen? De Consumentenbond, meldt Combée, pleit voor de ontwikkeling van adequate wet- en regelgeving, beter toezicht en handhaving, goede afhandeling van individuele klachten en laagdrempelige geschilbeslechting. En bedrijven en overheden moeten risicoaansprakelijk worden voor het juist gebruiken en beschermen van privégegevens.

4

Peiling Bescherming Privégegevens De Consumentenbond startte afgelopen februari met de campagne Bescherming Privégegevens. In aanloop naar het bondssymposium is een peiling uitgevoerd onder zo’n duizend consumenten. Conclusies: consumenten hechten aan de bescherming van hun privégegevens. Ze zijn pessimistisch over de verwerking van hun gegevens door derden en de grip die ze daar als consument zelf op hebben, en ze weten niet bij wie ze moeten aankloppen als er iets misgaat. Combée: “Eén van de doelen van onze campagne is dan ook om consumenten beter te informeren over de risico’s, hun rechten en hun eigen verantwoordelijkheid.” De bescherming van privégegevens is nog niet goed geregeld, concludeert Combée. Dit geldt ook voor het Elektronisch Patiëntendossier (EPD – zie pag. 6). Peiling Consumentenbond Waar Niet waar* 10% Ik heb er geen moeite mee mijn privégegevens te 84% verstrekken en ik snap niet waar anderen zo moeilijk over doen Bedrijven verkopen mijn privégegevens zonder mijn 80% 6% medeweten Mijn privégegevens worden alleen gebruikt voor het doel 9% 69% waarvoor ik ze heb afgegeven Geen enkel bedrijf of overheid bewaart privégegevens van 5% 81% mij zonder dat ik dit weet Ik weet waar ik moet zijn als ik een klacht heb over het 21% 55% gebruik van door mij verstrekte privégegevens * De rest van de in totaal 1000 ondervraagde consumenten wist het niet. Resultaten van peiling via website en elektronische nieuwsbrief Consumentenbond, mei 2009

5

“EPD voldoet niet aan consumentenrechten bij digitale omgang” Analyse Elektronisch Patiëntendossier Leah Postma, beleidsadviseur bij de Consumentenbond, heeft het Elektronisch Patiëntendossier (EPD) langs de meetlat gelegd. In haar presentatie ‘EPD – zorg of zegen?’ toont ze aan dat het EPD nog niet voldoet aan de tien rechten voor digitale omgang (zie pag. 3). Postma: “Het EPD is levensvatbaar, maar kan nog niet uit het ziekenhuis worden ontslagen.” Wat is er aan de hand? Peiling onder deelnemers Bondssymposium Driekwart bekend met doel EPD Het EPD wordt ingevoerd om het aantal medische fouten te verminderen: 78% van de aanwezigen meent dat dat zo is. De Consumentenbond is al tijden voorstander van het EPD, omdat daarmee medische missers kunnen worden voorkomen. Dit belang weegt, ook volgens enkele aanwezigen in de zaal, al snel zwaarder dan de privacyrisico’s die aan het dossier kleven. Dit ontslaat partijen echter niet van de plicht om de bescherming van privégegevens goed te regelen, meent Postma, dit is nog onvoldoende het geval. Nog geen kwart protesteerde tegen EPD De helft (52%) van de aanwezigen heeft geen bezwaar gemaakt tegen de invoering van het EPD. 24% deed dat wel. Anderen verwachten dat misschien later te doen. Zeggenschap over eigen gegevens is geborgd Er gaan ook zaken goed. De zeggenschap van de patiënt is goed geregeld. In de wet staat dat mensen het recht moeten hebben gegevens te corrigeren als ze fout zijn of te verwijderen als ze het er niet mee eens zijn. Dat kan bij het EPD. Het ministerie van Volksgezondheid Welzijn en Sport (VWS) is van plan een landelijk klantenloket te openen waar de consument zijn medische gegevens kan inzien en corrigeren, en kan laten verwijderen. In de toekomst moet de consument zelf vanuit huis kunnen inloggen. Bezorgdheid over privacy Bijna tweederde van de aanwezigen maakt zich veel zorgen over de privacy bij het EPD en nog eens bijna een kwart maakt zich een beetje zorgen.

6

Informatie over gegevensgebruik schiet tekort Er zijn echter ook nadelen. De informatiecampagne van VWS was weinig informatief over de gevolgen van de keuze om wel of niet deel te nemen aan het EPD. De VWS-brief die vorig jaar bij iedereen op de mat viel, vermeldde niets over de consequenties van bezwaar maken. Vanuit de zaal wordt gesuggereerd dat de eigen huisarts uitleg kan geven aan mensen die de gevolgen van deelname aan het EPD niet kunnen overzien. Bovendien, aldus Postma, is nog niet voorzien in een meldplicht: als sprake is van diefstal, verlies of misbruik van gegevens uit het patiëntendossier, moeten instellingen en overheden dit direct aan de betrokkene melden. Zonder die plicht moet de consument maar hopen dat fouten aan het licht komen. Consument kan niet goed controleren In een virtueel patiëntendossier kunnen alle behandelend artsen onbeperkt kopieën maken van delen van de medische gegevens. Nu kan dat ook, maar met de komst van een landelijk EPD kunnen de gegevens meer ‘uitwaaieren’. Dit maakt het voor de consument moeilijk om controle uit te oefenen. Als iemand zijn gegevens wil laten verwijderen, bij wie moet hij dan allemaal zijn? Consumenten kunnen niet weten of en waar er kopieën zijn van hun EPD, dat wordt nergens bijgehouden. Consument is machteloos bij misbruik Als er toch fouten worden gemaakt, waar kunnen consumenten dan terecht? Ze zijn bij misbruik van privégegevens uit het EPD vrijwel machteloos, constateert Postma. Ze kunnen alleen naar de rechter, er is geen laagdrempelige geschilbeslechting. Bovendien is niet helder welke partij in welke situatie aansprakelijk is. Bedrijven, VWS en zorgaanbieders zoals ziekenhuizen en huisartsen hebben allemaal een deelaansprakelijkheid. De Consumentenbond betreurt die onduidelijkheid. Klachtenloket EPD onduidelijk Bijna vier op tien mensen meent dat de instantie waar je terecht kunt, afhangt van het soort klacht en de aansprakelijkheid. De zaal is verdeeld: 33% kiest voor een geschillencommissie EPD, maar die bestaat niet. Anderen willen bij het ministerie van VWS aankloppen. Consumentenbond roept VWS en anderen op tot betere bescherming van privégegevens De diagnose van de Consumentenbond is dat zeker vijf privacyrechten in het EPD niet goed zijn geborgd (zie analyse pag. 11). De bond eist daarom maatregelen voor bescherming van privégegevens van consumenten bij deelname aan het EPD. De bond roept het ministerie van VWS op om risicoaansprakelijkheid van betrokken partijen bij wet te regelen, o.a. door aanwijzen van één aansprakelijke partij, en om het maken van kopieën uit het EPD aan banden te leggen. Daarnaast wil de Consumentenbond dat partijen samen een laagdrempelige vorm van geschilbeslechting opzetten, waar consumenten nu aangewezen zijn op de rechter. “Zo moet het EPD straks geen zorg meer zijn, maar een zegen”, sluit Postma af.

7

Risicoaansprakelijkheid: van hackers tot rechters Paneldiscussie Onder leiding van dagvoorzitter Ruben Maes volgt een paneldiscussie met Bart Combée en twee juristen: advocaat John Beer van Beer Advocaten, en advocaat Gerrit-Jan Zwenne van Bird&Bird. Als je je fiets buiten zet, moet je ‘m op slot zetten. Zijn consumenten ook niet zelf verantwoordelijk voor de bescherming van hun privégegevens? Advocaat Zwenne stelt dat dit alleen kan als de consument zeggenschap en controle heeft. “Als iemand zo dom is zijn gegevens in te vullen op een onduidelijke internetpagina, mag hij niet klagen als hij veel spam krijgt. Bij het EPD is het probleem kennelijk dat de patiënt weinig controle heeft. Maar als de controle bij het individu wordt gelegd, mag worden verlangd dat hij er verantwoordelijk mee omgaat.” Collega-advocaat Beer denkt niet dat mensen die verantwoordelijkheid zelf kunnen dragen: “Het EPD is zo veelomvattend dat je alleen maar kan hopen dat het goed afloopt.” Vanuit de zaal wordt gezegd dat je zelf een slot om je fiets kunt hangen, maar dat je niet je eenmaal verstrekte gegevens kunt beveiligen. Dat moet degene doen aan wie je ze hebt verstrekt.

Advocaat Zwenne: “Risicoaansprakelijkheid is een paardenmiddel. Dat gaat de consument geld kosten.”

Zijn er voldoende juridische middelen om privacyschending tegen te gaan? Beer meent dat de privacy in deze gedigitaliseerde maatschappij heel vaak in het geding is. “Ikzelf wordt ook gebombardeerd met ongewenste e-mailtjes van buitenstaanders. Het gaat erom de echte uitwassen tegen te gaan. Als een gemeente bijvoorbeeld moedwillig burgergegevens doorverkoopt aan een incassobureau. De middelen daartegen zijn op dit moment buitengewoon beperkt.” Hij licht toe dat in de Wet bescherming persoonsgegevens (Wbp) aansprakelijkheid voor schade is opgenomen. Nadeel daarvan is dat de consument moet bewijzen dat de gebruiker in strijd heeft gehandeld met de regels, en dat de consument de geleden schade moet kunnen hardmaken. Los daarvan gaat het hier om schuldaansprakelijkheid. Als de gebruiker kan bewijzen dat het buiten zijn schuld is gebeurd, vist de consument alsnog achter het net. Anders ligt het bij risicoaansprakelijkheid. Deze vorm van aansprakelijkheid geldt bijvoorbeeld voor ouders met een jong kind. Als het kind schade veroorzaakt, is dat niet de schuld van de ouders, maar zijn zij wel aansprakelijk. Beer meent dat deze risicoaansprakelijkheid ook een goede zaak zou zijn voor privégegevens. Als gegevens op straat komen te liggen, is de verwerker sowieso aansprakelijk, ook als hij kan aantonen dat het niet zijn fout is. Het viel dan immers wel onder zijn verantwoordelijkheid.

8

Advocaat Beer: “Er zijn weinig juridische middelen om uitwassen tegen te gaan.” Is risicoaansprakelijkheid eigenlijk wel rechtvaardig? De Consumentenbond vindt van wel en steunt het pleidooi van Beer. Combée: “Hoe reëel is het immers om de risico’s alleen toe te rekenen aan de eigenaar van de persoonsgegevens?” Het lijkt hem redelijk de risico’s te verdelen om het individu te beschermen. Zwenne heeft echter sterke bedenkingen bij risicoaansprakelijkheid: “Stel, een kleine ondernemer heeft zijn website naar eer en geweten laten beveiligen door een vakbekwame IT’er. Toch wordt de site door een fout van bijvoorbeeld Microsoft gehackt en de gegevens vallen in verkeerde handen. Dan is die ondernemer zomaar aansprakelijk terwijl het buiten zijn schuld is en hij alles in het werk heeft gesteld om dit te voorkomen. Dat is niet rechtvaardig.” Zijn collega Beer vindt dat toch een afweging moet worden gemaakt ten gunste van de benadeelde partij. Bovendien draagt zo’n regime ertoe bij, verwacht hij, dat betrokken bedrijven nog nauwkeuriger zullen omgaan met de gegevens waarvoor zij verantwoordelijk zijn. Combée vult aan: “Afzien van risicoaansprakelijkheid is een vrijbrief voor ongebreidelde informatieverzameling en -verspreiding.” Wordt er in de praktijk op grote schaal onverantwoordelijk omgegaan met privégegevens? Zowel Zwenne als Beer denken van niet. Ze hebben geen aanwijzingen dat de desbetreffende bepaling uit de Wbp in grote mate wordt overtreden, hoewel “elke overtreding er natuurlijk een te veel is”, aldus Beer. Zwenne vindt risicoaansprakelijkheid onnodig omdat het niet vaak misgaat. Bovendien voorziet de wet volgens hem in vrijwel alle actiepunten die de Consumentenbond noemt. Er valt alleen nog het nodige af te dingen op de wijze waarop de wet wordt toegepast en nageleefd. Het probleem ligt volgens hem dus vooral in de handhaving en het toezicht, bijvoorbeeld door het College bescherming persoonsgegevens (CBP). Kan worden volstaan met een betere naleving van de bestaande regelgeving? Volgens Zwenne zeker: “Risicoaansprakelijkheid is een paardenmiddel. Het kost de burger veel geld. Bedrijven zullen zich hiertegen gaan verzekeren. Als ze ook moeten betalen als ze niet schuldig zijn, dan kost dat geld, en dat zullen ze verhalen op consumenten.” Hij betoogt dat er nog genoeg winst is te behalen met de huidige regelgeving. Combée antwoordt dat de Consumentenbond natuurlijk ook voorstander is van accurate naleving van de bestaande regels. Hij bespeurt echter nog gaten in de regelgeving. Het CBP kan bijvoorbeeld geen individuele klachten behandelen, daarvoor hebben ze te weinig mogelijkheden. Er zou daarom een alternatief moeten komen voor de gang naar de rechter, omdat zo’n proces duur en ingewikkeld is. Is zo’n geschillencommissie een goed alternatief? Beer vindt het prima als consumenten laagdrempelig hun recht kunnen halen. Zwenne constateert een grote beperking: “Een geschillencommissie kan geen bindende uitspraak doen, het CBP evenmin. Het is in ons land altijd mogelijk om alsnog naar de rechter te stappen. En dat moet ook vooral zo blijven. Die heeft in Nederland terecht het laatste woord.”

9

Bondsdirecteur Combée: “De regelgeving vertoont nog gaten.” Dan de financiële kant. Wat is een redelijke vergoeding? Beer: “Dat hangt af van het rechtssysteem. In Nederland wordt alleen de veroorzaakte schade vergoed. In bijvoorbeeld Amerika kan de rechter een extra bedrag eisen als straf voor het verkeerd handelen.” Hij vindt een schadevergoeding redelijk, zeker als mensen zich hard hebben moeten inspannen om hun recht te krijgen. Ook smartengeld ligt volgens hem in de rede. “Het moet niet zo zijn dat mensen aan moeten tonen dat ze schade hebben geleden.” Hij vindt het zonneklaar dat privacyschending schade veroorzaakt. Zwenne heeft daar problemen mee: zonder daadwerkelijk nadeel moet er niets geclaimd kunnen worden, is zijn standpunt. Beer brengt daar tegenin dat dergelijke vergoedingen bijvoorbeeld al geaccepteerd zijn bij gevangenschap: als iemand ten onrechte in de gevangenis heeft gezeten, krijgt hij daarvoor honderd euro per dag schadevergoeding. Zonder dat hij die schade hoeft aan te tonen.

Heeft het wel zin als schadevergoeding wordt geëist? “Als een paar mensen de euvele moed opbrengen om schadevergoeding te eisen, dan garandeert dat nog geenszins dat de privacy beter beschermd wordt”, merkt iemand in de zaal op. Als het CBP ingrijpt, dan heeft dat effect op iedereen. Het CBP kan bijvoorbeeld stellen dat een organisatie zich niet houdt aan de gedragscode voor verwerking van gegevens. Ook Zwenne is van mening dat het CBP wel degelijk middelen heeft om op te treden. Er kan bijvoorbeeld een last onder dwangsom worden opgelegd. Combée constateert aan het slot van het debat dat de maatschappij steeds verder afglijdt van het recht op privacy. Het lijkt veel normaler geworden om je overal te moeten identificeren, dat de overheid haar inwoners mag afluisteren en mailverkeer mag aftappen. Het is daarom des te belangrijker dat de Consumentenbond zich sterk maakt voor bescherming van de consumentenrechten. De campagne Bescherming Privégegevens voorziet hierin.

10

Consumentenbond 14 mei 2009

Analyse Elektronisch Patientendossier (EPD) Langs meetlat ‘10 rechten voor digitale omgang’ Rechten consumenten over privégegevens slecht geregeld bij EPD Het Elektronisch Patiëntendossier (EPD) voldoet niet aan de eisen die de Consumentenbond stelt aan het gebruik van privégegevens. Uit een analyse van de Consumentenbond blijkt dat vijf van de tien geformuleerde consumentenrechten voor de bescherming van privégegevens in het geding zijn met het EPD. Patiënten krijgen weliswaar zeggenschap over hun medische dossier, maar het is onduidelijk wie aansprakelijk is als de informatie in verkeerde handen valt en waar mensen in zo’n geval kunnen aankloppen. Vooralsnog geldt er geen meldplicht voor verantwoordelijke organisaties wanneer iets mis gaat met privégegevens. De controle over het kopiëren van patiëntengegevens is beperkt. Bovendien is de informatievoorziening aan burgers over het EPD erg summier gebleken. Als aftrap van de campagne Bescherming Privégegevens zijn in februari 2009 de ‘10 rechten voor digitale omgang’ gepresenteerd: anonimiteit, zeggenschap, informatie, gericht gebruik, toestemming, risicoaansprakelijkheid, kwaliteit, geschilbeslechting, educatie en tot slot toezicht en handhaving. De Consumentenbond heeft op basis van deze tien rechten bekeken hoe het EPD omgaat met de privégegevens van consumenten. Hiervoor is de bond afgegaan op alle openbare stukken over de ontwerpeisen, zoals de Memorie van Toelichting van de wetgever. Ben je met het EPD nog baas over eigen gegevens? Waar moet je zijn als het verkeerde informatie bevat? Hoe staat het met de risicoaansprakelijkheid als er iets misgaat met privégegevens? En waar kun je terecht bij klachten? Uit de analyse is naar voren gekomen dat het met de rechten van consumenten over hun privégegevens niet zo best is gesteld.

11

Vijf rechten in het geding De bond constateert dat het misgaat bij het recht op informatie, gericht gebruik, risicoaansprakelijkheid, geschilbeslechting en het recht op kwaliteit: -

-

-

-

de informatievoorziening vanuit het ministerie van Volksgezondheid, Welzijn en Sport (VWS) over de invoering van het EPD was onvoldoende. In de folder en brief uit de campagne van november 2008 ontbrak onder meer informatie over de consequenties van de keuze voor deelname of afzien van deelname aan het EPD; met de komst van het EPD zijn privégegevens landelijk beschikbaar. Behandelend artsen kunnen onbeperkt kopieën maken van (delen van) medische dossiers en deze op de eigen schijf bewaren. Hierdoor worden gegevens gemakkelijk verspreid en wordt het principe van gericht gebruik (de zogeheten ‘doelbinding’) ondermijnd. Bovendien: een consument zal als hij deze informatie wil verwijderen, moeilijk kunnen nagaan waar zijn gegevens allemaal terecht zijn gekomen; het blijkt voor consumenten niet duidelijk wie aansprakelijk is in geval van misbruik van privégegevens. Meerdere partijen kunnen aansprakelijk zijn en dit kan per situatie ook nog eens verschillen. Daarbij komt dat er vooralsnog geen meldplicht bestaat voor de verantwoordelijke organisaties om consumenten in geval van misbruik te informeren; er is geen laagdrempelige vorm van geschilbeslechting waar consumenten gebruik van kunnen maken bij klachten; zorgaanbieders zijn niet gehouden aan de identificatieplicht, voor hen geldt een vergewisplicht. Zorgaanbieders mogen zelf bepalen of zij een patiënt om identificatie vragen. De vergewisplicht, ingesteld door de Tweede Kamer, brengt de kwaliteit van de informatie van het EPD in gevaar. Een opgegeven valse identiteit kan onopgemerkt blijven, met alle mogelijke gevolgen van dien.

Voldoende zeggenschap consumenten over eigen dossier Het recht op zeggenschap is in het EPD wel goed geregeld. Er is in beginsel veel nagedacht over de privégegevens en de beveiliging tijdens het ontwerp van het EPD. Hierover heeft VWS zich uitgebreid laten adviseren door het College Bescherming Persoonsgegevens (CBP) en het Tilburg Institute for Law, Technology, and Society (TILT). Volgens de Wet Burgerservicenummer in de zorg moeten zorgaanbieders een klantenloket oprichten voor het recht op inzage. Via dit loket kunnen consumenten hun medische dossier inzien en toestemming geven of intrekken voor inzage door (groepen) zorgverleners. Dit klantenloket zal in praktijk verder zijn vorm krijgen. Voor de landelijke invoering van het EPD geldt verder de voorwaarde dat consumenten zelf kunnen inloggen om hun dossier te kunnen inzien. Het recht op verwijdering werkt op twee manieren: ten eerste kunnen consumenten digitaal kiezen om (bepaalde) zorgverleners geen toestemming te geven voor inzage in het medisch dossier. Consumenten kunnen ervoor kiezen alles of delen van hun dossier af te schermen, voor niemand, voor iedereen of voor sommige (soorten) zorgaanbieders. Ten tweede kunnen consumenten bij de zorgverlener een verzoek doen om het dossier te verwijderen. De zorgverlener zal het verzoek ‘in beginsel’ inwilligen. Ook voor de beveiliging heeft VWS veel geregeld. Zo neemt het ministerie NEN-normen van het Nederlands Normalisatie-instituut in acht voor de beveiliging van het EPD, en is met de UZI-pas de Unieke Zorgverlener Identificatie ingesteld waarmee zorgaanbieders kunnen inloggen op het EPD. De authenticatie en toegang tot het EPD zijn uitgebreid procedureel georganiseerd.

12

Informatiecampagne EPD weinig informatief De brief die VWS in november 2008 aan alle huishoudens in Nederland stuurde, bestond uit summiere informatie over het EPD en over het ‘geen bezwaar-systeem’ waar VWS voor gekozen heeft. De consument kreeg de keuze om bezwaar te maken. Informatie over de consequenties daarvan, bijvoorbeeld voor de kwaliteit van de zorg, ontbrak echter. De risico’s van wel of niet deelnemen aan het EPD bleven in de folder nagenoeg onbesproken. Er werd voor meer informatie verwezen naar de zorgaanbieder. Deze informatie is echter essentieel om een afgewogen keuze te kunnen maken over EPD-deelname. De informatievoorziening was op deze punten tijdens deze campagne dus onvoldoende. De website www.infoepd.nl biedt wel veel informatie. Het is alleen de vraag hoe bekend deze website is bij het grote publiek. Bovendien is niet zeker of consumenten snel en eenvoudig de benodigde informatie kunnen vinden op deze site. Onvoldoende controle over kopieën van medische dossiers Zorgverleners mogen onbeperkt kopieën maken van dossiers en die op de eigen schijf bewaren. Hierover is met de komst van het EPD niets extra’s geregeld. Kopiëren is op zichzelf heel logisch gezien de dossierplicht die artsen hebben. In de huidige situatie is dit ook mogelijk. Met het EPD zullen gegevens – anders dan nu – echter landelijk beschikbaar zijn. Het betekent dat bij alle behandelend artsen kopieën van dossiers op lokale computers terecht kunnen komen. Wanneer een patiënt om verwijdering verzoekt, zal hij moeten nagaan wie allemaal een kopie heeft om vervolgens bij al deze artsen een verzoek tot verwijdering in te dienen. Je kunt echter van consumenten niet verwachten dat zij dit goed kunnen nagaan. Gegevens kunnen ‘uitwaaieren’, waardoor consumenten worden geschaad in hun recht op verwijdering. Bij misbruik privégegevens staan consumenten vrijwel machteloos Om misbruik te kunnen constateren moeten consumenten ten eerste geïnformeerd worden. Voor gevallen waarin het misgaat met het EPD (inbraak, diefstal, verlies van gegevens) is echter nog niets geregeld; er bestaat nog geen meldingsplicht aan (getroffen) consumenten. Er vindt wel ‘intelligente logging’ plaats van veel activiteiten binnen het EPD, onder andere het inloggen door een zorgverlener wordt vastgelegd. Behalve authenticatie en verplicht gebruik van de UZI-pas is dus alleen sprake van controle achteraf. Het is de vraag of deze gang van zaken in praktijk afdoende is om partijen overtuigend en wettelijk bewezen aansprakelijk te kunnen stellen voor ontstane schade. Het klantenloket, dat dient als eerste aanspreekpunt voor klachten, verwijst consumenten alleen door. Bij geschillen rest consumenten niets anders dan het CBP – dat geen individuele klachten afhandelt – en de hoogdrempelige gang naar de rechter. Uit onderzoek blijkt daarnaast dat de verantwoordelijkheden niet eenduidig belegd zijn. Het verschilt per situatie wie aansprakelijk is en soms kunnen dat meerdere partijen zijn. Dit maakt het voor consumenten evenmin eenvoudig hun recht te halen. Uit onderzoek van TILT blijkt tot slot ook dat een privacyschending als niet belangrijk wordt beschouwd omdat er geen hoge claims aan vastzitten. De rechter kent meestal slechts een laag bedrag aan smartengeld toe. Alleen als er ook sprake is van vermogensschade, zoals verlies van inkomsten door verslechtering van de reputatie van een bekende Nederlander, of het mislopen van een baan, dan kan deze schade financieel groter zijn. Mochten consumenten hun recht al halen, dan zal dit in de praktijk weinig voorstellen.

13

Bijlagen ‘Wie ben ik’ - Beleidsbrochure Bescherming Privégegevens – Bart Combée EPD-peiling – Deelnemers Bondssymposium EPD: zorg of zegen? – Leah Postma Risicoaansprakelijkheid – Stellingen paneldiscussie

14

Wie ben ik?

Folder-Wie ben ik?-DEF.indd 1

06-02-2009 09:57:05

‘Wie ben ik?’… … vraagt u zich misschien weleens af. Maar u bent de enige die het niet weet. Want iedereen kent u. Uw gegevens zijn overal bekend. Veel alledaagse zaken zijn makkelijker door de digitalisering: toegang tot een schat aan informatie en diensten, online kopen, handelen en vergelijken en communiceren met de hele wereld. Dit gemak heeft ook een schaduwzijde: consumenten geven, delen en verspreiden steeds meer persoonlijke informatie die opgeslagen en gebruikt wordt op chipkaarten, in digitale dossiers en in grote datacenters bij bedrijven en de overheid. Soms is die informatie veilig opgeslagen, maar deze kan ook voor iedereen toegankelijk zijn via internet. En vaak worden die gegevens lang bewaard en samengevoegd. Duikt er ineens een oude foto van een feestje op tijdens een sollicitatiegesprek. Het blijkt moeilijk de baas te zijn over je eigen gegevens. Consumenten moeten meer zeggenschap over hun eigen persoonsgegevens krijgen. De Consumentenbond heeft daarom tien privacyrechten voor consumenten opgesteld. Deze rechten moeten leiden tot juiste en begrijpelijke informatie over het gebruik van persoonsgegevens. Tot minder en korter bewaren door bedrijven en de overheid. En tot een makkelijke en snelle afhandeling van klachten en schade wanneer het toch mis gaat.

Wat is er mis? • Bedrijven en overheden willen vaak meer persoonsgegevens dan strikt noodzakelijk zijn voor het doel. • Juiste en volledige informatie over het gebruik van persoonsgegevens is schaars. Privacyverklaringen zijn vaak onvolledig of staan vol met juridisch taalgebruik. • Bedrijven eisen persoonlijke gegevens, maar als een consument wil overstappen, blijken die gegevens lastig mee te nemen te zijn. Bijvoorbeeld bij het overstappen naar een andere sociale-netwerksite. • In overeenkomsten tussen bedrijven en consumenten kunnen bedrijven het recht nemen om bijvoorbeeld de adresgegevens van de consu-

ment te verkopen. De consument kan dan niet kiezen. • Persoonsgegevens die in goed vertrouwen bij bedrijven en overheden zijn opgeslagen, worden soms gestolen, verloren of misbruikt. Maar de consument wordt daar zelden tijdig en volledig van op de hoogte gebracht. • Voor klachten over persoonsgegevens bestaat vaak nog geen laagdrempelige beslechting. De consument moet nu nog naar de rechter voor een bindende uitspraak. • Er zijn voor consumenten slechts beperkte mogelijkheden om schade vergoed te krijgen wanneer persoonsgegevens gestolen, verloren of misbruikt worden.

‘Mijn energiebedrijf wil een ‘slimme meter’ in mijn woning plaatsen. Hiermee kan het bedrijf van uur tot uur zien hoeveel elektriciteit mijn gezin verbruikt. Zien ze dus ook wanneer ik thuis ben of op vakantie ben. Kan ik die meter weigeren?’

Folder-Wie ben ik?-DEF.indd 2

06-02-2009 09:57:05

Wat wil de Consumentenbond? De Consumentenbond vindt dat consumenten recht hebben op een goede bescherming van hun privacy. Daartoe heeft de bond de volgende tien rechten opgesteld. Sommige ervan zijn al in Nederlandse wetgeving vastgelegd, andere zijn aangescherpt of uitgebreid. Geen van deze rechten is absoluut, altijd moet een afweging gemaakt worden tegen andere rechten. De Consumentenbond zal deze rechten gebruiken om producten en diensten te beoordelen en standpunten in te nemen over actuele kwesties. De bond zal bedrijven en overheid aanspreken op misstanden.

1 Anonimiteit waar mogelijk. Kennis over de identiteit van een persoon is niet altijd noodzakelijk om een dienst te kunnen leveren. Bijvoorbeeld bij reizen per trein. Voordeel is dat geanonimiseerde gegevens moeilijker te misbruiken zijn bij diefstal of verlies. 2 Zeggenschap over hun eigen persoonsgegevens. Consumenten moeten eenvoudig gebruik kunnen maken van hun recht op inzage, correctie en verwijdering. Bovendien moeten zij hun persoonsgegevens (zoals profielen) mee kunnen nemen wanneer ze overstappen. 3 Informatie over het gebruik van hun persoonsgegevens. Consumenten moeten volledig en begrijpelijk geïnformeerd worden. Wanneer het mis gaat bij de beveiliging van de gegevens – inbraak, diefstal, verlies – moeten consumenten op de hoogte worden gebracht. 4 Gericht gebruik zodat hun persoonsgegevens alleen gebruikt worden voor het doel waarvoor ze zijn verzameld, de zogenoemde doelbinding. En niet zomaar voor andere doeleinden. Bovendien zijn er bewaartermijnen: daarna worden de persoonsgegevens verwijderd.

Folder-Wie ben ik?-DEF.indd 3

5 Toestemming voor ander dan noodzakelijk gebruik van hun persoonsgegevens. De toestemming moet geïnformeerd en expliciet zijn. 6 Risicoaansprakelijkheid bij de verwerking van persoonsgegevens. De gegevens moeten goed beveiligd worden. Wanneer persoonsgegevens gestolen, verloren of misbruikt worden, kunnen consumenten materiële en immateriële schade verhalen. Het bedrijf of de overheid waar de gegevens lekken, draagt risicoaansprakelijkheid. 7 Kwaliteit van het gebruik van hun persoonsgegevens. Bedrijven en overheden moeten ervoor zorgen dat de gegevens nauwkeurig verwerkt worden en correct zijn. 8 Geschilbeslechting voor klachten over persoonsgegevens, die laagdrempelig, bindend en onafhankelijk is, met verhaalmogelijkheid. Er moet een alternatief komen voor de gang naar de rechter. 9 Educatie over rechten en risico’s op privacygebied. Kennis hierover bevordert de zelfredzaamheid van consumenten. 10 Toezicht en handhaving van de naleving van privacywetgeving. De toezichthouder treedt krachtig op, corrigeert waar nodig en heeft daartoe voldoende middelen.

06-02-2009 09:57:06

‘Mijn nieuwe pc deed raar. Gelukkig stuurde de winkel een monteur aan huis die het probleem snel verhielp door de harde schijf te vervangen. Enige tijd later werd ik gebeld door iemand die ik niet ken. Zijn pc was ook gerepareerd en nu zaten er documenten op zijn harde schijf met mijn gegevens. Blijkbaar is mijn harde schijf in de pc van die meneer gestopt!’

Meer informatie? www.consumentenbond.nl

Folder-Wie ben ik?-DEF.indd 4

06-02-2009 09:57:09

Vooruitblik

Bescherming Privégegevens Bart Combée, directeur Consumentenbond Bondssymposium 14 mei 2009

2

Digitalisering

•

Privégegevens zijn waardevol

•

Campagne bescherming privégegevens

•

Peiling: wat vinden consumenten?

•

Programma vandaag

•

Na vandaag

Bondssymposium Privégegevens - 14 mei 2009

Privégegevens zijn waardevol •

•

– Diensten en informatie snel toegankelijk

– Auto of fiets

– Online kopen, handelen, vergelijken

– Spaargeld

– De wereld is kleiner: je kunt met iedereen communiceren

•

3

– Maar ook informatie

Het belang van informatie neemt toe

Bondssymposium Privégegevens - 14 mei 2009

4

Beschermen versus verbergen

…maar veel te beschermen

Bondssymposium Privégegevens - 14 mei 2009

•

Pincode, creditcardnummer

•

Medische gegevens

•

Financiële gegevens

•

Reputatie

Bondssymposium Privégegevens - 14 mei 2009

Wat is er mis?

Ik heb weinig te verbergen…

5

Consumenten hebben zaken van waarde

– Een huis

Alledaagse zaken zijn makkelijker

6

•

Informatie vooraf is vaak onvolledig

•

Geen melding van inbraak of misbruik

•

Geen laagdrempelige geschilbeslechting

•

Beperkte mogelijkheid om schade te verhalen

•

Recht loopt vaak achter bij digitale ontwikkelingen

Bondssymposium Privégegevens - 14 mei 2009

19

Wat is er nodig?

10 rechten

•

Toepasselijke wet- en regelgeving

– Gepresenteerd tijdens aftrap in februari 2009

•

Toezicht en handhaving

– Juridisch: wet- en regelgeving

•

Laagdrempelige toegang tot geschilbeslechting

– Toetskader:

•

Kennis en mogelijkheden van consumenten zelf

• Producten en diensten beoordelen • Standpunten innemen over actuele kwesties – Bedrijven en overheid aanspreken op misstanden – Begrijpelijke mensentaal

7

Bondssymposium Privégegevens - 14 mei 2009

8

Bondssymposium Privégegevens - 14 mei 2009

4 rechten toegelicht

4 rechten toegelicht

•

•

Recht op zeggenschap

Recht op risicoaansprakelijkheid

over hun eigen persoonsgegevens. Consumenten moeten eenvoudig gebruik

bij de verwerking van persoonsgegevens. De gegevens moeten goed beveiligd

kunnen maken van hun recht op inzage, correctie en verwijdering. Bovendien

worden. Wanneer persoonsgegevens gestolen, verloren of misbruikt worden,

moeten ze hun persoonsgegevens mee kunnen nemen wanneer ze overstappen.

kunnen consumenten materiële en immateriële schade verhalen. Het bedrijf of de overheid waar de gegevens lekken, draagt risicoaansprakelijkheid.

•

Recht op informatie

•

over het gebruik van hun persoonsgegevens. Consumenten moeten volledig en

9

Recht op geschilbeslechting

begrijpelijk geïnformeerd worden. Wanneer het mis gaat bij de beveiliging van

voor klachten over persoonsgegevens, die laagdrempelig, bindend en

de gegevens – inbraak, verlies, diefstal, moeten consumenten op de hoogte

onafhankelijk is, met verhaalmogelijkheid. Er moet een alternatief komen voor

gebracht worden.

de gang naar de rechter

Bondssymposium Privégegevens - 14 mei 2009

10

Peiling

Bondssymposium Privégegevens - 14 mei 2009

Peiling

•

Via website en elektronische nieuwsbrief Consumentenbond

•

Bijna 1000 respondenten

•

Een indicatie van wat consumenten willen

Ik heb geen moeite met het verstrekken van mijn privegegevens en snap niet waar anderen zo moeilijk over doen.

6%

10%

14%

6% Waar 6%

10%

Niet waar Weet niet

80%

11

Bondssymposium Privégegevens - 14 mei 2009

84%

12

Bondssymposium Privégegevens - 14 mei 2009

20

Peiling

Peiling

Bedrijven verkopen mijn prive-gegevens zonder mijn medeweten.

Mijn prive-gegevens worden alleen gebruikt voor het doel waarvoor ik ze heb afgegeven.

9%

14% 22%

6% Waar

Waar

Niet waar

Niet waar

Weet niet

Weet niet

80%

13

69%

Bondssymposium Privégegevens - 14 mei 2009

14

Peiling

Bondssymposium Privégegevens - 14 mei 2009

Peiling

Ik weet waar ik moet zijn als ik een klacht heb over het gebruik van door mij verstrekte prive-gegevens.

Geen enkel bedrijf of overheid bewaart prive-gegevens van mij zonder dat ik dit weet.

14%

5% 21%

24%

Waar

Waar

Niet waar

Niet waar

Weet niet

Weet niet

81%

15

Bondssymposium Privégegevens - 14 mei 2009

55%

16

Bondssymposium Privégegevens - 14 mei 2009

Conclusie peiling

EPD

•

Consumenten hechten aan bescherming privégegevens

•

Onze eerste analyse aan de hand van de 10 rechten

•

Ze zijn pessimistisch over de verwerking door derden

•

Analyse gaat alleen over privégegevens, niet over andere aspecten

•

Ze weten niet waar zij naar toe moeten wanneer het mis gaat

•

Actueel, zeer groot project, raakt alle consumenten

EPD is levensvatbaar, maar kan nog niet uit het ziekenhuis worden ontslagen

17

Bondssymposium Privégegevens - 14 mei 2009

18

Bondssymposium Privégegevens - 14 mei 2009

21

19

Risicoaansprakelijkheid

Wat doet de Consumentenbond?

•

Schade verhalen bij misbruik of diefstal is nauwelijks mogelijk

•

Consumenten informeren

•

Bedrijven en overheden zijn nauwelijks aansprakelijk

•

Bedrijven en overheden aanspreken op misstanden

•

Toezichthouders laten handhaven

•

Politieke lobby voor wetgeving

Bondssymposium Privégegevens - 14 mei 2009

20

Bondssymposium Privégegevens - 14 mei 2009

22

1. Waar staat de afkorting EPD voor?

EPD-peiling Deelnemers Bondssymposium 14 mei 2009

2

2. Wat is uw achtergrond?

3

Bondssymposium Privégegevens - 14 mei 2009

3. Waar haalt u informatie over het EPD?

4

Bondssymposium Privégegevens - 14 mei 2009

Bondssymposium Privégegevens - 14 mei 2009

5. Heeft u bezwaar gemaakt tegen het gebruikt van uw gegevens in het EPD?

4. Met welk doel voert VWS het EPD in?

5

Bondssymposium Privégegevens - 14 mei 2009

6

Bondssymposium Privégegevens - 14 mei 2009

23

7. Waar kan ik terecht met klachten over mijn EPD?

6. Heeft u zorgen over de privacy van het EPD?

7

Bondssymposium Privégegevens - 14 mei 2009

8

8. ‘Bedrijven en overheid krijgen de rekening

9. ‘Consumentenbeleid moet niet alleen in Brussel

als ze privégegevens van consumenten kwijtraken.’

9

Bondssymposium Privégegevens - 14 mei 2009

Bondssymposium Privégegevens - 14 mei 2009

worden bepaald.’

10

Bondssymposium Privégegevens - 14 mei 2009

10. ‘Farmaceutische bedrijven mogen niet direct informatie aan patiënten sturen.’

11

Bondssymposium Privégegevens - 14 mei 2009

24

Analysemethode EPD •

Openbare stukken:

– – – –

EPD: zorg of zegen? Leah Postma, beleidsadviseur Consumentenbond Bondssymposium 14 mei 2009

Aansprakelijkheid rond EPD Handboek EPD MvT EPD 2007-2008 Advies CBP inzake EPD

• • • • •

Gebruik kranten artikelen Mondelinge afspraken / toezeggingen Onderzoek uitgerold EPD Beoordeling kwaliteit van zorg Wetsvoorstel Cliëntenrechten Zorg (WCZ)

10 rechten ter bescherming privégegevens

2

Bondssymposium Privégegevens - 14 mei 2009

Bevindingen (+)

10 rechten 1. Anonimiteit waar mogelijk

Het gaat goed bij…

2. Zeggenschap over eigen privégegevens

•

3. Informatie over het gebruik van privégegevens

recht op zeggenschap

– Klantenloket regelt inzage, toestemming, verwijdering

4. Gericht gebruik van privégegevens voor doel waarvoor ze zijn verzameld

– In toekomst kan consument vanuit huis zelf inloggen en inzage regelen

5. Toestemming voor ander dan noodzakelijk gebruik van privégegevens 6. Risicoaansprakelijkheid bij de verwerking van privégegevens 7. Kwaliteit van gebruik van privégegevens 8. Geschilbeslechting voor klachten over privégegevens 9. Educatie over rechten en risico’s op privacygebied 10.Toezicht en handhaving van de naleving van privacywetgeving

3

Bondssymposium Privégegevens - 14 mei 2009

4

Bondssymposium Privégegevens - 14 mei 2009

Bevindingen (-)

Bevindingen (-)

Het gaat slecht bij…

Het gaat slecht bij…

•

•

recht op informatie

verschillen, kunnen meerdere partijen zijn. Bovendien lage claims in

consequenties keuzes wel / geen deelname voor consumenten onduidelijk

•

recht op risicoaansprakelijkheid

– Aansprakelijkheid bij misbruik privégegevens niet helder; kan per situatie

– Informatiecampagne ministerie VWS november 2008 te weinig informatief:

Nederlandse rechtspraak, privacyschade wordt als niet-belangrijk beschouwd

recht op gericht gebruik

NB: Nu geen meldplicht!

– Behandelend artsen kunnen onbeperkt kopieën maken van (delen van) medische dossiers uit het EPD, uitwaaiering medische gegevens maakt

•

VOLLEDIG verwijderingverzoek lastig

recht op geschilbeslechting

– Geen alternatief voor de gang naar de rechter

•

recht op kwaliteit

– Vergewisplicht kan kwaliteit gegevens in EPD ondermijnen

5

Bondssymposium Privégegevens - 14 mei 2009

6

Bondssymposium Privégegevens - 14 mei 2009

25

Conclusie

Standpunt Consumentenbond

Pluspunt

De bond eist maatregelen voor bescherming van

1.

privégegevens van consumenten bij deelname aan het EPD:

Voldoende zeggenschap consumenten over eigen medisch dossier

– Invoeren van risicoaansprakelijkheid – Één partij aansprakelijk

Minpunten

1.

Consumenten staan bij misbruik privégegevens EPD vrijwel machteloos

2.

Slechte controle over kopieën van medische dossiers

3.

Informatiecampagne EPD weinig informatief

– Laagdrempelige vorm van geschilbeslechting Oproep aan

– VWS om risicoaansprakelijkheid van betrokken partijen bij wet te regelen – partijen om laagdrempelige vorm van geschilbeslechting op te zetten

EPD is levensvatbaar, maar kan nog niet uit het ziekenhuis

– VWS om het maken kopieën uit het EPD aan banden te leggen

worden ontslagen

7

Bondssymposium Privégegevens - 14 mei 2009

8

Bondssymposium Privégegevens - 14 mei 2009

26

Stelling 1

Risicoaansprakelijkheid Paneldiscussie met John Beer, Gerrit-Jan Zwenne en Bart Combée Bondssymposium 14 mei 2009

Consumenten moeten schade kunnen verhalen als hun privégegevens bij bedrijven of overheden worden gestolen of misbruikt

2

Stelling 2

Bondssymposium Privégegevens - 14 mei 2009

Stelling 3

Risicoaansprakelijkheid is de beste manier om te voorkomen Bedrijven en overheden moeten ieder verlies, diefstal of

dat bedrijven en overheden ongebreideld privégegevens

misbruik van privégegevens van consumenten verplicht

verzamelen

melden

3

Bondssymposium Privégegevens - 14 mei 2009

4

Stelling 4

Bondssymposium Privégegevens - 14 mei 2009

Stelling 5

Voor klachten en geschillen over het gebruik van

5

privégegevens moet er laagdrempelige geschilbeslechting

Consumenten zijn zelf verantwoordelijk voor de bescherming

komen

van hun privégegevens

Bondssymposium Privégegevens - 14 mei 2009

6

Bondssymposium Privégegevens - 14 mei 2009

27

Stelling 6

Overheden zijn nooit aansprakelijk voor schade bij het gebruik van privégegevens, zij werken immers in het algemeen belang

7

Bondssymposium Privégegevens - 14 mei 2009

28