Overzicht van de ontwikkelingen in het privacyrecht uit 2015. Aan bod komt onder meer de komende meldplicht datalekken en de boetebevoegdheid van het CBP. Ook het recente arrest over de Safe Harbor regeling wordt behandeld.

1. Advocaten en notarissen

2. 10 november 2015
Actualiteiten
Privacyrecht

3. Programma
 Ontwikkelingen sinds vorige
privacyseminar (nov. 2014)
 Onderverdeeld in:
 Rechtspraak
 Toezichthouders
 Wetgeving
 Vanmiddag een selectie (van een
selectie)
 te veel ontwikkelingen om alles
te behandelen

5. Rechtspraak

6. Rechtspraak
 Hof van Justitie
 College van Beroep voor het Bedrijfsleven
 Raad van State
 Gerechtshoven
 Rechtbanken

7. Hof van Justitie

8. Hof van Justitie

9. Safe Harbour
 Oostenrijker Max Schrems is gebruiker
Facebook
 Heeft als zodanig – als iedere Facebook
gebruiker – een overeenkomst met
Facebook Ierland
 Schrems dient klacht in bij Ierse
privacytoezichthouder wegens doorgifte
persoonsgegevens aan USA
 USA zou geen passende waarborgen verwerking
persoonsgegevens hebben (“Snowden”).

10. Safe Harbour
 Ierse toezichthouder weigert behandeling
klacht:
 Zou geen bewijs zijn van toegang NSA tot
gegevens Snowden;
 Bovendien zou toezichthouder gebonden zijn
aan Safe Harbour beslissing Commissie, waaruit
nu juist volgt dat bij bedrijven op Safe Harbour
List passende waarborgen worden geboden

11. Safe Harbour
 Schrems gaat in beroep tegen de weigering
tot handhaving
 Ierse rechter worstelt met de kwestie:
 Safe Harbour regeling kent niet de waarborgen
die uit eerdere rechtspraak HvJEU volgen;
 Maar tegelijkertijd is er wel de Safe Harbour
beschikking van de Europese Commissie;
 Stelt vragen aan HvJEU over
onafhankelijkheid toezichthouder en
gebondenheid aan beschikking Commissie

12. Safe Harbour
 HvJEU gaat in op verschillende
deelonderwerpen:
 onafhankelijkheid en bevoegdheden nationale
toezichthouders;
 verhouding beschikking EC tot andere EU-recht
 geldigheid Safe Harbour beschikking;

13. Safe Harbour
 HvJEU:
 Nationale toezichthouders moeten volledig
onafhankelijk zijn;
 Toezichthouders moeten steeds evenwichtige
afweging maken tussen belangen privacy en vrij
verkeer persoonsgegevens;
 Regels ten aanzien van export persoonsgegevens
gelden in aanvulling op overige regels omtrent
eerlijke verwerking

14. Safe Harbour
 HvJEU:
 Nationale toezichthouders zijn alleen ten
aanzien van verwerkingen op eigen grondgebied
bevoegd;
 Doorgifte van persoonsgegevens naar buiten EER
is verwerking vanaf grondgebied lidstaat, dus de
lokale toezichthouder omtrent die doorgifte
bevoegd

16. Safe Harbour
 HvJEU:
 Beschikking EC is verbindend in gehele EU voor
alle organen;
 Iedereen moet zich echter tot toezichthouder
kunnen wenden om geldigheid ter discussie te
stellen;
 Toezichthouders zijn verplicht klacht te
onderzoeken;

17. Safe Harbour
 HvJEU:
 HvJEU is echter als enige bevoegd te oordelen
over geldigheid beschikking
 HvJEU toetst beschikking aan hoger EU-recht
(zoals grondrechten);
 Rechters moeten dus middels prejudiciële vragen
kwesties voorleggen aan Hof
 Nationale wet moet procedure kennen zodat ook
toezichthouders zich tot HvJEU kunnen wenden

18. Safe Harbour
 HvJEU:
 Export alleen toegestaan als ontvangende land
“passend beschermingsniveau” biedt
 Passend hoeft niet zo hoog te zijn als EU niveau,
maar
 in grote lijnen wel met EU niveau
overeenstemmen;
 er moeten rechtsmiddelen in nationale recht zijn
opgenomen die doeltreffend genoeg zijn om dat
niveau te borgen

19. Safe Harbour
 HvJEU:
 Europese Commissie moet niveau derde landen
periodiek checken
 En in ieder geval wanneer aanwijzingen bestaan
die twijfels geven over niveau

20. Safe Harbour
 HvJEU:
 zelfcertificering kan, mits doeltreffende detectie-
en controlemechanismen;
 beginselen Safe Harbour zijn alleen op bedrijven
en niet op USA overheid van toepassing;
 waarborgen USA wetgeving zijn ook niet getoetst;
 In Safe Harbour beschikking staat bovendien
uitdrukkelijk dat USA wet per definitie voorrang
heeft;
 Effectieve rechtsbescherming burgers ook niet
getoetst of geborgd;

21. Safe Harbour
 HvJEU:
 EU-recht vereist duidelijke en precieze regels en
toepassing proportionaliteit en subsidiariteit bij
inbreuk op grondrechten, terwijl USA autoriteiten
juist onbeperkt en onbegrensd toegang hebben
tot gegevens
 Betrokkene heeft ook geen recht op toegang,
correctie of verzet m.b.t. verwerkte gegevens

22. Safe Harbour
 HvJEU:
 Artikel 1 Safe Harbour Beschikking dus ongeldig
 In feite het kernartikel van de gehele beschikking
 Artikel 3 Safe Harbour Beschikking beperkt
bevoegdheden toezichthouders en is dus ook
ongeldig
 Overige artikelen hangen hiermee samen
 Gehele Safe Harbor beschikking ongeldig

23. Safe Harbour
 Gevolgen uitspraak:
 Export PG naar USA per direct onrechtmatig;
 Oplossing:
 Gebruik modelcontracten
 (Let op: de vraag is of aan die modelcontracten
niet dezelfde bewaren kleven!)
 Overstap naar ander “veilig land”
 (Let op: de vraag is of alle “veilige landen” wel
voldoen aan criteria HvJEU uit dit arrest)
 Reshoring naar EER

24. Biometrische gegevens-arrest
 Enkele burgers vragen in
verschillende gemeenten
paspoort/identiteitskaart aan, maar
weigeren afgifte vingerafdrukken o.m.
vanwege centrale opslag gegevens
door NL overheid
 De betreffende gemeenten weigeren
daarop afgifte van het reisdocument

25. Biometrische gegevens-arrest
 Kwestie komt via bezwaar, beroep,
hoger beroep bij Raad van State
terecht.
 Raad van State stelt prejudiciële
vragen over de verordening die tot
toepassing van biometrie heeft geleid

26. Biometrische gegevens-arrest
 Hof van Justitie:
 Nationale identiteitskaart valt niet onder
Europese verordening
 Paspoort doet dat wel, maar de
betreffende verordening verbiedt niet dat
lidstaten biometrische gegevens ook voor
andere doeleinden gebruiken
 Met andere woorden: toetsen aan
nationaal recht.
 Raad van State heeft nog geen
einduitspraak gedaan.

27. Status IP-adres
 Patrick Breyer van Duitse
Piratenpartij vs. Duitse overheid
 Breyer heeft procedure tegen
Duitse federale instellingen
gestart tot verwijdering van IP-
adres uit logboeken na bezoek aan
overheidswebsite

28. Status IP-adres
 Breyer verliest in eerste aanleg
 In hoger beroep wint hij de
kwestie, voor zover het
betreffende IP-adres is gekoppeld
aan zijn e-mailadres
 Hoger beroep rechter lijkt dus daar
omslagpunt te zien in status IP-adres
als “persoonsgegeven”
 Beide partijen stellen cassatie in

29. Status IP-adres
 Bundesgerichtshof stelt vragen
aan Hof van Justitie:
 Is IP-adres voor websitehouder al een
persoonsgegeven, louter omdat
provider van abonnee weet aan wie
dit adres is toegekend?
 Is nationale regel die verzameling en
gebruik van persoonsgegevens
beperkt tot hele specifieke
omstandigheden in strijd met artikel
7 sub f privacyrichtlijn
(“gerechtvaardigd belang”)?

30. Status IP-adres
 Zaak is in februari ingediend bij
Hof, op dit moment nog verder
niets bekend (ook geen conclusie
A-G).
 Wordt voor de praktijk voor o.m.
iedereen met een website echter
zeer relevante uitspraak

31. Status IP-adres
 Mijn schot voor de boeg:
1. Hof benadrukt dat voor providers IP-
adressen persoonsgegevens zijn en
wijst er voor overige op dat afhangt
van overige omstandigheden
2. Onder verwijzing naar eerdere
ASNEF-arrest (C-468/10 en C-469/10)
zal Hof oordelen dat nadere
voorwaarden verbinden aan sub f
verwerking niet is toegestaan.

32. Bewakingscamera
 Tsjechisch gezin wordt jarenlang
lastiggevallen door onbekend
persoon
 Man des huizes installeert camera.
 Camera filmt ingang van het huis,
openbare weg en ingang van huis
aan de overkant van de weg

33. Bewakingscamera
 Ruiten van gezin worden wederom
ingegooid. Ditmaal ligt het vast op
camera.
 Camerabeelden worden overhandigd
aan politie, waarop twee verdachten
worden veroordeeld
 Een van de daders dient daarop
klacht in bij Tsjechische
privacytoezichthouder.

34. Bewakingscamera
 Tsjechische privacytoezichthouder
treedt op vanwege
 Niet vragen toestemming;
 Niet informeren over camera;
 Niet melden camera bij toezichthouder.
 Huiseigenaar start vervolgens
procedure tegen Tsjechische
privacytoezichthouder
 Vraag komt uiteindelijk bij HvJEU

35. Bewakingscamera
 Hof van Justitie:
 afbeelding persoon gemaakt door
camera is persoonsgegeven;
 filmen van persoon is vorm van
verwerking van persoonsgegevens;
 richtlijn is dus in beginsel van
toepassing;

36. Bewakingscamera
 Hof van Justitie:
 uitzondering persoonlijkheid en
huishoudelijk gebruik strikt uitleggen;
 in ieder geval niet van toepassing bij
filmen openbare weg;
 privacywetgeving dus (vol) van
toepassing op casus.

37. Bewakingscamera
 Hof van Justitie (overweging ten
overvloede):
 bij uitleg privacyrichtlijn mag rekening
worden gehouden met belangen van
verantwoordelijke voor bescherming van
eigendom, gezondheid en leven;
 grondslag kan best gelegen zijn in sub f;
 er bestaan uitzonderingen op diverse
beginselen uit de richtlijn.

38. College van Beroep
voor het Bedrijfsleven

39. College Beroep Bedrijfsleven

40. Bel-me-niet
 Goede Doelen Loterijen bellen in
2009/2010 bijna 900.000 nummers met
aanbieding
 Consumenten beklagen zich bij Autoriteit
Consument en Markt (ACM)

41. Bel-me-niet
 ACM treedt op en legt boetes van totaal
845.000 euro op
 525.000 euro voor niet ontdubbelen met bel-
me-niet register
 320.000 euro voor niet aanbieden verzet en
mogelijkheid inschrijving bel-me-niet register
 Bezwaar bij ACM wordt afgewezen
 Beroep bij rechtbank wordt afgewezen

42. Bel-me-niet
 CBB benadert kwestie heel principieel:
 ACM heeft bewijslast van overtreding;
 ACM moet dus aantonen dat ongevraagde
communicatie is overgebracht, hetgeen
verbinding (en niet alleen bellen) impliceert;
 ACM moet ook aantonen dat verbinding is
gelegd met nummer op bel-me-niet lijst;
 ACM kan niet volstaan met conclusies op
algemeenheden of (statische) logica;
 ACM heeft in dit verband echter niet op
detailniveau bewijs aangeleverd, dus boete 1
geschrapt

43. Bel-me-niet
 CBB benadert kwestie heel principieel:
 Bovendien staat duidelijk in de wet dat recht
van verzet aan abonnee moet worden
aangeboden
 Abonnee is de contractant, niet iedere persoon
die telefoon opneemt
 ACM moet dus aantonen dat info over recht
van verzet aan die abonnee is aangeboden
 ACM heeft ook dat bewijs niet geleverd, dus
boete verworpen.

44. Bel-me-niet
 Goede doelen kruipen dus door oog van
de naald
 Vraag is wel of wetstechnische discussie
over begrip “abonnee” voor praktijk niet
lastig is
 Bij telefoonnummers in gebruik bij gezinnen
zal in belscripts waarschijnlijk moeten worden
gevraagd naar de abonnee

45. Raad van State

46. Raad van State

47. Bevoegdheid en beleidsvrijheid
 Man die tot 2005 in USA woonde
was bij Amerikaanse verzekeraar
verzekerd tegen arbeidsongeschikt
 Man raakt begin deze eeuw
arbeidsongeschikt; verzekeraar
start daarop uitkering
 Man verhuist in 2005 naar
Amsterdam

48. Bevoegdheid en beleidsvrijheid
 Verzekeraar laat in NL onderzoek
doen door Engels (2008) en
Nederlands (2010)
onderzoeksbureau
 Verzekeraar zet vervolgens
uitkeringen stop
 Man dient handhavingsverzoek in
bij het CBP

49. Bevoegdheid en beleidsvrijheid
 CBP acht zich niet bevoegd jegens
 Amerikaanse verzekeraar;
 Engels onderzoeksbureau.
 CBP acht optreden tegen NL bureau
niet opportuun gelet op haar
handhavingsbeleid
 Geen indicatie van structurele en
grootschalige overtreding wet
 Man gaat in bezwaar, beroep en
hoger beroep

50. Bevoegdheid en beleidsvrijheid
 Privacyrichtlijn van toepassing
indien zich middelen in NL
bevinden
 Raad van State stelt vragen over uitleg
van dat begrip “middelen”.
 Achtergrond is dat UK en NL
onderzoeksbureau vanuit USA werden
aangestuurd
 Vraag is of nuttig effect
privacyrichtlijn niet wordt
ondergraven als CBP in dit geval niet
bevoegd zou zijn (anders niemand
bevoegd).

51. Bevoegdheid en beleidsvrijheid
 Privacyrichtlijn van toepassing
indien zich middelen in NL
bevinden
 Zie overigens ook de (eveneens nog
aanhangige) zaak C-230/14 over de
bevoegdheid bij vanuit buitenland
opererende website

52. Bevoegdheid en beleidsvrijheid
 In privacyrichtlijn opgenomen dat
iedere burger zich moet kunnen
wenden tot toezichthouder
 In de praktijk heeft CBP beleid dat
niet wordt opgetreden bij
incidenten
 Raad van State vraagt zich af of dat
beleid niet strijdig is met richtlijn

53. Bevoegdheid en beleidsvrijheid
 Zaak nu aanhangig bij Hof, nog
geen beantwoording.
 Potentieel relevant voor velen:
 Antwoord op vraag 1 bepaalt of
internationale concerns met één of
juist vele toezichthouders van doen
hebben
 Antwoord op vraag 2 beïnvloedt
handhavingscapaciteit CBP

54. DNB-dossier
 Man dient inzageverzoek in bij
DNB
 DNB wijst het toe voor uit media
afkomstige artikelen, maar
weigert voor onderzoekdossiers
 In beroep stelt rechtbank dat
(digitale!) onderzoekdossiers
geen “bestand” vormen en dus
Wbp niet van toepassing is

55. DNB-dossier
 Raad van State heeft kwestie eerst
aangehouden in afwachting van
beantwoording prejudiciële
vragen over inzagerecht
 HvJEU-arrest over inzagerecht gaf
recht op “volledig overzicht in
begrijpelijke vorm”.

56. DNB-dossier
 Raad van State:
 Onderscheid maken tussen analoge
en digitale verwerkingen
 Bestandscriterium alleen relevant bij
analoge verwerkingen
 Betrokkene heeft slechts recht op
overzicht van de over hem verwerkte
persoonsgegevens, niet valt in te
zien dat wettelijke uitzonderingen
snel aan die verstrekking in de wet
zullen staan

57. DNB-dossier
 Raad van State:
 DNB krijgt herkansing om het
vereiste “volledig overzicht” op te
maken, hoeft echter afschrift
documenten te verstrekken.

58. Minuut jurisprudentie
 In vreemdelingenrecht lange tijd zeer
gebruikelijk om met beroep op
inzagerecht inzage in de “minuut”
(juridische analyse) te vragen.
 Vorig jaar uitspraak Hof van Justitie
hierover gewezen (zie ook slides vorig
jaar)

59. Minuut jurisprudentie
 Oordeel Hof in minuut-arrest
 Om aan inzagerecht te voldoen “volstaat
het dat aan die aanvrager een volledig
overzicht, in begrijpelijke vorm, van deze
gegevens wordt gegeven, dat wil zeggen in
een vorm die deze aanvrager in staat stelt
kennis te nemen van die gegevens en te
controleren of zij juist zijn en zijn
verwerkt in overeenstemming met deze
richtlijn, opdat hij eventueel de hem bij die
richtlijn verleende rechten kan uitoefenen”

60. Minuut jurisprudentie
 Raad van State leunt sterk op de
woorden “volledig overzicht” en
oordeelt nu consequent dat geen recht
bestaat op afschrift documenten
 Veel hoger beroepen in
vreemdelingenzaken nu dus
consequent afgewezen

61. Minuut jurisprudentie
 De vraag is echter of je met louter
overzicht van persoonsgegevens wel
kunt “controleren of zij (…) zijn
verwerkt in overeenstemming met deze
richtlijn”.
 Afwachten dus of andere (civiele)
rechters anders oordelen over deze
kwestie. Krijgt ongetwijfeld nog wel
vervolg.

62. Gerechtshoven

63. Gerechtshoven

64. Enquêterecht vs. privacyrecht
 Enquête naar mogelijk wanbeleid gestart ter zake van
Xeikon N.V.
 Onderzoeker doet bij Ondernemingskamer verzoek om
inzage in notulen en mailboxen
 Verweer Xeikon: ongeclausuleerde inzage mailboxen in
strijd met proportionaliteitstoets Wbp

65. Enquêterecht vs. privacyrecht
 Ondernemingskamer:
 in casu ruime onderzoeksopdracht aan onderzoeker;
 gelet op ruime opdracht begrijpelijk dat onderzoeker inzage in
mailboxen wil;
 er bestaat bovendien verstrekkende wettelijke verplichting om
informatie aan te leveren;
 mailboxen moeten dus afgestaan worden
 In oordeel (helaas) geen expliciet oordeel over
privacyrecht. In feite impliciet verworpen.

66. Enquêterecht vs. privacyrecht
 Enquête naar mogelijk wanbeleid gestart ter zake van
Xeikon N.V.
 Onderzoeker doet bij Ondernemingskamer verzoek om
inzage in notulen en mailboxen
 Verweer Xeikon: ongeclausuleerde inzage mailboxen in
strijd met proportionaliteitstoets Wbp

67. Intern incidentenregister
 Natuurlijk persoon vraagt hypotheek aan bij SNS Reaal
voor aankoop woning
 Daarbij worden vervalste loonstrook en vervalste
werkgeversverklaring ingediend
 Woning wordt in strijd met hypotheekakte verhuurd

68. Intern incidentenregister
 Hypotheekadviseur wordt als verdachte van
(betrokkenheid bij) fraude en verdachte van illegale
verhuur in interne register opgenomen
 Gerechtshof: gelet op gedragscode volstaat in beginsel
vermoeden van betrokkenheid bij fraude/oplichting al
voor opname in IVR
 In dit verband bovendien voldoende aanwijzingen van
betrokkenheid

69. Intern incidentenregister
 Aldus gerechtvaardigd belang SNS Reaal gegevens in
IVR opgenomen te houden. Belang van de man
prevaleert niet.

70. Ledenlijst coffeeshops
 Overheid scherpt gedoogbeleid
softdrugs aan: voortaan alleen
verkoop aan (i) ingezetenen die (ii)
lid zijn van besloten club
 Diverse exploitanten van
coffeeshops komen op tegen nieuwe
beleid
 Voeren o.m. schending van persoonlijke
levenssfeer aan

71. Ledenlijst coffeeshops
 Gerechtshof:
 Artikel 8 EVRM is van toepassing,
wettelijke grondslag inbreuk privacy
vereist
 Artikel 8 sub e Wbp biedt deze grondslag
echter (hiertegen was door partijen kennelijk ook
niet gegriefd)
 Rechtbank: publiekrechtelijke taak is
handhaving openbare orde door
burgemeester

72. Ledenlijst coffeeshops
 Gerechtshof:
 Ledenadministratie bevat geen
bijzondere persoonsgegevens
 Geen gegevens “die een als een strafbaar
feit te kwalificeren bewezenverklaring in
de zin van artikel 350 Wetboek van
Strafvordering konden dragen”
 Norm is bekend uit
ECLI:NL:HR:2009:BH4720

73. Zwarte lijst als pressiemiddel
 Vrouw wordt bestolen van bankpas en ID-kaart
 Nog datzelfde weekend worden
 vier telefoonabonnementen op naam van de vrouw
afgesloten;
 vier telefoons op naam van de vrouw verstrekt.
 De vrouw doet maandag aangifte van diefstal
van ID-kaart en bankpas

74. Zwarte lijst als pressiemiddel
 De vrouw meldt woensdag bij KPN dat
kennelijk allerlei abonnementen op haar naam
zijn afgesloten
 Op vrijdag stelt KPN dat overeenkomsten
rechtsgeldig zijn gesloten
 Vrouw roept vernietiging van overeenkomsten
in. KPN stopt abonnementen, maar handhaaft
vordering toestellen

75. Zwarte lijst als pressiemiddel
 KPN bericht vervolgens aan de vrouw dat
vordering niet geïnd wordt, maar dat vrouw
wordt aangemeld bij Preventel
 Effect van aanmelding is jarenlang geen abonnement
meer kunnen afsluiten
 Vrouw stapt naar de rechter, vordert
ongedaanmaking registratie
 Vordering toegewezen met dwangsom
 KPN in hoger beroep

76. Zwarte lijst als pressiemiddel
 Grief 1 KPN: er had eerst inzageverzoek
moeten plaatsvinden
 Hof: grief faalt, in casu volstrekt overbodige
handeling. Bekend welke gegevens het betrof

77. Zwarte lijst als pressiemiddel
 Grief 2 KPN: rechtbank heeft ten onrechte
meegewogen dat KPN geen kopie ID-bewijs in
geding heeft gebracht
 Hof: technisch juist, maar irrelevant

78. Zwarte lijst als pressiemiddel
 Op grond van art. 8 Wbp dient KPN grondslag
voor zwarte lijst te hebben
 Enig aangevoerde legitimatie registratie is
pressiemiddel tot betaling.
 Daar tegenover staat belang verzoekster om
telefoonabonnement te kunnen afsluiten.
Behoorlijke hindernis in deze tijd.

79. Zwarte lijst als pressiemiddel
 Registratie alleen gerechtvaardigd bij “sterke
aanwijzingen” die “gestelde identiteitsfraude
niet op voorhand aannemelijk” maken
 KPN verweert zich met algemene belang en
algehele twijfel aan verklaring vrouw
 Vrouw versterkt ter zitting juist haar verhaal.
Bovendien blijken de handtekeningen niet te
lijken op de ter zitting door vrouw verstrekte
handtekening.

80. Zwarte lijst als pressiemiddel
 Oordeel rechtbank wordt dan ook bekrachtigd,
met veroordeling van KPN in kosten van de
procedure.

81. Extern verwijzingsregister
 Fiscalist verricht op detacheringsbasis
werkzaamheden voor SNS
 Brengt ook diverse andere medewerkers aan
en laat facturering via schimmige constructies
verlopen
 SNS ontdekt misstanden na onderzoek. Ook
FIOD doet onderzoek
 SNS meldt twee medewerkers aan bij Extern
Verwijzingsregister

82. Extern verwijzingsregister
 In eerste aanleg komen zowel natuurlijke
personen als rechtspersonen op tegen
registratie
 Rechtbank wijst verzoek rechtspersonen af:
 WBP niet van toepassing;
 Rechtspersonen niet in EVR opgenomen.
 Overigens wijst rechtbank verzoek natuurlijke
personen af
 Gerechtvaardigd belang voor opname in EVR

83. Extern verwijzingsregister
 Gerechtshof
 Alleen de verantwoordelijke kan in procedure ex
WBP worden betrokken; rechtbank dus correct in
afwijzing verzoek jegens personeels-BV
 Protocol EVR biedt voldoende waarborgen voor
verwerking persoonsgegevens
 Zware verdenking strafbaar feit voldoende voor
opname in EVR
 Aangifte doen niet vereist

84. Extern verwijzingsregister
 Gerechtshof
 Beroep op disproportionaliteit slaagt, omdat
registratie de facto tot onmogelijkheid werk leidt.
Registratie om die reden beperkt tot 3 jaar
(was: 8 jaar)
 Gevorderde dwangsom wordt sterk gematigd;
 Natuurlijk personen worden veroordeeld in
proceskosten, omdat zij in feite in ongelijk gestelde
partij zijn

85. Rechtbanken

86. Rechtbanken

87. GPS-gegevens vrachtwagens
 Inspectie bij transportbedrijf inzake rittenadministratie
 O.m. GPS-gegevens vrachtwagens worden opgevraagd
 Er worden achttien overtredingen ten aanzien van
voeren deugdelijke administratie geconstateerd ten
aanzien van drie chauffeurs

88. GPS-gegevens vrachtwagens
 Onderneming stelt dat WBP aan opvragen van die GPS-
gegevens in de weg staat
 Rechtbank: Wbp is niet van toepassing, omdat gegevens
aan vrachtwagens en niet aan chauffeurs zijn
gekoppeld
 Onder verwijzing naar Raad van State uitspraak

89. GPS-gegevens vrachtwagens
 Uitspraak lijkt grensgeval van begrip persoonsgegevens
 Er is immers geconstateerd dat “ten aanzien van drie
chauffeurs” overtredingen zijn begaan
 Er is dus ten aanzien van in ieder geval bepaalde gegevens
koppeling gelegd met natuurlijke personen
(persoonsgegeven!)
 Onduidelijk is of dat ook voor GPS-gegevens geldt
 Zuiverder lijkt mij om te overwegen dat
gegevensverwerking noodzakelijk is op grond van
publiekrechtelijke taak inspectie (artikel 8 sub e Wbp)

90. Afgifte beelden beveiligingscamera
 Verdachte wordt vervolgd voor pinnen met frauduleus
verkregen passen
 Onder bewijsstukken bevinden zich beelden van
Holland Casino en Jack’s Casino.
 Beelden zijn verkregen zonder machtiging RC voor
verkrijging bijzondere persoonsgegevens.
 Vraag is of die beelden rechtmatig zijn verkregen

91. Afgifte beelden beveiligingscamera
 Rechtbank:
 In herinnering arrest Hoge Raad 23 maart 2010
(ECLI:NL:HR:2010:BK6331): gegevens waaruit ras-informatie
kan worden afgeleid, zoals een foto, zijn bijzondere
persoonsgegevens.
 In casu was OvJ echter, anders dan bij voornoemd Trans Link–
arrest, niet op zoek naar persoonsgegevens
 Bovendien weet een ieder dat in casino’s wordt gefilmd
 Bewijs rechtmatig verkregen

92. Afgifte beelden beveiligingscamera
 De vraag is of redenering rechtbank in evt. hoger
beroep stand houdt
 Hoge Raad heeft immers uitdrukkelijk overwogen dat:
 alle gegevens waaruit gevoelige gegevens kunnen worden
afgeleid gevoelige gegevens zijn;
 niet relevant is of beoogd is om gevoelige gegevens uit
bepaalde gegevens te ontlenen.
 Dat OvJ met vordering niet op zoek was naar
persoonsgegevens komt gekunsteld over. Bovendien op
gespannen voet met HvJEU over camerabeelden.

93. Opschorten bewaarplicht
 Enkele privacyorganisaties en
telecombedrijven starten procedure
tegen de Staat inzake bewaarplicht
 Zaak leunt sterk op arrest HvJEU d.d. 8
april 2014, waarbij dataretentierichtlijn
ongeldig is verklaard
 Eisers stellen dat gelet op die bestaande
rechtspraak NL (implementatie)wetgeving
buiten werking gesteld moet worden

94. Opschorten bewaarplicht
 Rechtbank:
 KG-rechter kan wet slechts buiten toepassing
verklaren voor zover deze onmiskenbare
onverbindend is wegens strijd met eenieder
verbindende bepalingen van verdragen en
besluiten volkenrechtelijke organisaties.
 Grote terughoudendheid rechter, taak
grondrechtenafweging ligt in NL stelsel
primair bij wetgever

95. Opschorten bewaarplicht
 Rechtbank:
 NL wetgeving op eigen merites beoordelen, is
niet automatisch komen te vervallen door
verval richtlijn
 NL wetgeving is uitvoering EU-richtlijn, dus
(mede) toetsen aan EU Handvest
 Enkele opslag van verkeersgegevens is een
inbreuk op de rechten uit Handvest. Vraag is
of die inbreuk gerechtvaardigd is.
 Uitgangspunt is dat bewaarplicht op zichzelf
noodzakelijk en effectief is. Al diverse zaken
mee opgelost.

96. Opschorten bewaarplicht
 Rechtbank:
 NL wetgeving bevat echter geen of
onvoldoende objectieve criteria ter
begrenzing van toegang en gebruik gegevens.
 Onvoldoende afgegrensd voor welke
misdrijven gegevens mogen worden gebruikt.
 Ook geen toetsing vooraf wie er toegang heeft
tot gegevens
 Bewaarplicht maakt ontoelaatbare inbreuk op
rechten Handvest en is dus onmiskenbaar
onverbindend.

97. Opschorten bewaarplicht
 Rechtbank:
 Wet bewaarplicht telecom wordt buiten
werking gesteld.
 Staat heeft daarmee ook geen grondslag meer
gegevens op te vragen bij providers

98. Opschorten bewaarplicht
 Enkele observaties:
 Rechtstreekse toetsing aan Handvest.
 In opkomst. Interessant ook omdat catalogus
grondrechten in Handvest ruimer is dan in
Grondwet of verdragen.
 Wet buiten werking gesteld in kort geding
 Belang privacy weegt dus (heel) zwaar
 Wet bovendien algeheel buiten werking gesteld
en niet alleen jegens eisers
 Vrij genuanceerde en doordachte uitspraak,
zeker voor kort geding.
 Niettemin binnen drie weken na zitting al
uitspraak gedaan

99. Uitdraai GSM-locatiegegevens
 Klant doet bij T-Mobile inzageverzoek ex
WBP
 T-Mobile reageert:
 verstrekt contactgegevens;
 verstrekt contractgegevens;
 verstrekt factuurgegevens;
 informeert dat verkeers- en locatiegegevens
worden verwerkt, meldt dat die inzage wordt
beperkt tot 10 kalenderdagen en verzoekt
betrokkene gewenste datumbereik te
specificeren

100. Uitdraai GSM-locatiegegevens
 Betrokkene reageert en verzoekt om
locatiegegevens voor gehele jaar vanaf
bepaalde datum
 T-Mobile stelt dat het slechts gegevens tot
jaar terug bewaart.
 Verstrekt daarop overzicht locatiegegevens
vanaf verzochte datum voor de duur van
10 dagen.

101. Uitdraai GSM-locatiegegevens
 Betrokkene beklaagt zich over beperkte
afgifte locatiegegevens
 T-Mobile verweert zich met stelling dat
locatiegegevens niet worden opgeslagen en
dat zij al meer dan voldoende tegemoet is
gekomen aan wensen betrokkene

102. Uitdraai GSM-locatiegegevens
 In procedure blijkt (onweersproken) dat
 zendmasten voorzien zijn van “cell ID” (unieke
code);
 deze ID niets zegt over de locatie;
 ID in het locatieplan aan locatie gekoppeld is;
 Bij gesprekken alleen het cell ID wordt
geregistreerd;
 T-Mobile alleen indien noodzakelijk relatie
tussen cell ID en locatie legt.

103. Uitdraai GSM-locatiegegevens
 Rechtbank:
 “Er is geen grond om T-Mobile te verzoeken tot
verstrekking van locatiegegevens die zij in haar
normale bedrijfsvoering niet creëert”
 Dat T-Mobile feitelijk de gegevens wel voor
periode 10 dagen wil verstrekken, maakt dit niet
anders
 Verzoeker heeft geen rechtens te respecteren
belang bij het verzoeken om creatie van
locatiegegevens

104. Uitdraai GSM-locatiegegevens
 Rechtbank:
 Inzagerecht ziet wel op gegevens die T-Mobile in
normale bedrijfsvoering wel verwerkt
 Voor groot deel verkeersgegevens is al aan
inzageverzoek voldaan door inzage middels “My
T-mobile”
 Cell-Ids zijn geen persoonsgegevens, aangezien
deze alleen tot zendmast en niet tot persoon te
herleiden zijn. Onbetwist is dat T-Mobile in
normale bedrijfsvoering die koppeling niet legt.
 Verzoek afgewezen, verzoeker veroordeeld in de
kosten

105. Boete na hack
 In januari 2012 werd bekend dat hacker had
ingebroken op netwerk KPN
 ACM stelt onderzoek in. Aandachtspunten
onderzoek:
 opzetten en handhaven beveiligingsbeleid;
 netwerkinrichting;
 afscherming;
 netwerk- en systeembewaking;
 patchmanagement.

106. Boete na hack
 Conclusie rapport 22 juli 2013: KPN heeft niet
aan beveiligingsverplichting voldaan.
 Boete van € 364.000,-- opgelegd
 potentieel ernstige schade eindgebruikers;
 belang beveiliging raakt fundamentele rechten en vrijheden
betrokkenen;
 KPN heeft bovendien bewust risico aanvaard, nu niet is
opgetreden na eerder incident en KPN advies om
penetratietesten te houden niet heeft opgevolgd.

107. Boete na hack
 Verweer KPN:
 dat er gehackt wordt wil nog niet zeggen dat
beveiligingsnorm is overtreden;
 ACM heeft ten onrechte niet gelet op wijze van afhandeling
van incident door KPN;
 ACM zou verkeerde stand van techniek in acht hebben
genomen;
 ACM legt de lat te hoog te aanzien van de te nemen
maatregelen;
 ACM heeft de overtreding als te ernstig aangemerkt, nu er
geen persoonsgegevens verloren zijn gegaan en KPN goed
heeft geregeerd op ontdekking hack

108. Boete na hack
 Rechtbank
 Beveiligingsplicht artikel 11.3 Tw betreft “een
zorgplicht die een verstrekkende inspanningsplicht
inhoudt”
 NB. Tekst artikel 13 WBP is nagenoeg gelijk
 ACM heeft toereikend gemotiveerd waarom in onderzoek
aandacht is gelegd op voornoemde vijf aandachtsgebieden
 Wel moet in ogenschouw worden genomen dat mogelijke
tekortkoming bij één van genoemde onderwerpen kan
worden opgeheven door adequate tegenmaatregelen

109. Boete na hack
 Rechtbank
 KPN heeft veel van de verwijten van ACM niet
weersproken.
 Onderzoek ACM niet onzorgvuldig om enkele feit dat niet
gekeken is welke maatregelen andere providers nemen
 Onderzoek ACM evenmin onzorgvuldig omdat slechts
beperkt literatuuronderzoek plaats heeft gevonden
 Dat KPN adequaat heeft gereageerd op incident doet aan
schending beveiliging niets af. Adequaat reageren op hack
is afzonderlijke wettelijke plicht.
 Ook niet gebleken dat kosten voor te nemen maatregelen
niet in verhouding staan tot beveiligingsdoel

110. Boete na hack
 Rechtbank
 ACM heeft terecht geconcludeerd dat sprake is van
ernstige overtreding
 Overtreding is KPN ook toerekenbaar, mede gelet op eerder
incident bij dochteronderneming
 WOB biedt voldoende grondslag om boeterapport in
ongeschoonde vorm te publiceren
 Beroep (dus) volledig afgewezen

111. Boete na hack
 Interessante kwestie, ook voor partijen buiten
telecom:
 1e kwestie voor de rechter over boete na hack;
 artikel over beveiligingsplicht in Tw nagenoeg gelijk
aan corresponderende artikel in Wbp;
 per 1 januari staat op overtreding artikel 13 Wbp dankzij
wetswijziging ook boete (zie hierna).

112. Wetgeving

113. Wetgeving EU
 Privacyverordening
 12/03/2014 door Parlement goedgekeurd in 12e lezing;
 Vervolgens beraadslagingen in Raad op 06-06-2014, 10-
10-2014, 13-03-2015 en 15-06-2015
 Planning rond de zomer was om er rond december uit
te zijn.
 Formeel is het echter al tijdje stil
 Signalen zijn dat het later wordt
 Beoogde inwerkingtreding: 2 jaar na publicatie

114. Wetgeving NL
 Introductie boetebevoegdheid CBP en meldplicht
datalekken per 1 januari 2016
 Hierna in twee delen behandeld
 Aanpassing cookiewet
 Iets minder vaak toestemming nodig, maar voor praktijk
verandert er niet veel
 Diverse wetstechnische wijzigingen
 Veelal in verband met decentralisatie diverse zorgtaken
overheid

115. Wijziging boetebevoegdheden (I)
 Boete schending meldplicht vervallen.
 Nieuw: boete 4e categorie (=€ 22.250) op:
 Niet aanwijzen NL vertegenwoordiger door verantwoordelijke
buiten EU
 Data-export naar land dat door EU-besluit als onveilig is
aangemerkt

116. Wijziging boetebevoegdheden (II)
 Nieuw: (lid 2) boete op schending materiele normen
WBP van maximaal 6e categorie (=€ 810.000,--) c.q. 10%
jaaromzet
 Direct op te leggen bij:
 Opzet (incl. voorwaardelijke opzet!)
 Ernstig verwijtbare nalatigheid
 In andere gevallen eerst na schending door CBP opgelegde
bindende aanwijzing
 Nieuw: (lid 5) boete van maximaal 6e categorie (=€
810.000,--) c.q. 10% jaaromzet bij niet-naleven
bindende aanwijzing

117. Rode kaart situaties (I)
Criterium Omschrijving & voorbeeld(en) uit wetsgeschiedenis
Opzet “Willens en wetens” (de handeling, niet de opzet op overtreding van de Wbp!)
• commerciële handel in persoonsgegevens voor financieel gewin
• vermarkten medische gegevens
• zonder toestemming filmen patiënten in zwakke positie (casus
VUmc)
Voorwaar-
delijke opzet
“willen en wetens aanmerkelijke kans op intreden
negatieve gevolgen aanvaarden (incl. behoren te weten)”
• Niet ingrijpen terwijl geavanceerde monitoringsoftware op
netwerk waarschuwt voor incidenten
Ernstig
verwijtbare
nalatigheid
“het gevolg is van grof, aanzienlijk onzorgvuldig,
onachtzaam dan wel onoordeelkundig handelen.”
• Arboarts die het tot verdienmodel maakt systematisch dossiers
te mailen naar werkgever
• Kinderen met spelletje ontlokken om vragen over ouders te
beantwoorden
• zonder toestemming filmen patiënten in zwakke positie (casus
VUmc)

118. Rode kaart situaties (II)
 Voorbeelden in wetsgeschiedenis (behoorlijk)
willekeurig en arbitrair
 Onderscheid in verschillende gradaties van ernst ook
behoorlijk willekeurig en arbitrair
 Illustratief dat VUmc-casus zowel bij gradatie 1 als gradatie 3
wordt genoemd!
 Hopelijk komt CBP (AP) met duidelijkere criteria in
handhavingsbeleid

119. Bindende aanwijzing (I)
 Artikel 1 sub q WBP: “de zelfstandige last die wegens
een overtreding wordt opgelegd”.
 Vrij vertaald: de last zonder dwangsom
 Geïntroduceerd na advies van RvS vanwege lex-certa
beginsel
 Concretiseert de abstracte normen uit Wbp in specifieke
situatie
 Vereist in alle gevallen behalve de “rode kaart” situaties

120. Bindende aanwijzing (II)
 Overeenkomst:
 Beide gericht op herstel van overtreding
 In beide gevallen termijnstelling vereist
 Verschil:
 Last onder dwangsom per definitie geld verbeurd indien
overtreding niet tijdig gestaakt.
 Na bindende aanwijzing afzonderlijk boetebesluit vereist
 Dwangsom kan ook per tijdseenheid of overtreding
 Onduidelijk of na de last een dwangsom kan volgen, of
dat alleen een boete mag

121. Normen waarop boete staat (I)
Artikel Omschrijving
Artikel 6 Eerlijke verwerking
Artikel 7 Verzameldoel bepalen
Artikel 8 Grondslagen gegevensverwerking
Artikel 9 lid 1 Doelbinding
Artikel 9 lid 4 Onverenigbare verwerking vanwege geheimhouding
Artikel 10 lid 1 Bewaartermijnen
Artikel 11 Gegevenskwaliteit
Artikel 12 Gezag en geheimhouding

122. Normen waarop boete staat (II)
Artikel Omschrijving
Artikel 13 Passende beveiliging
Artikel 16 Verbod verwerking bijzondere persoonsgegevens
Artikel 24 Verbod verwerking persoonsnummers
Artikel 33
Transparantie richting betrokkene bij verkrijging bij
betrokkene
Artikel 34 lid 1 – 3
Transparantie richting betrokkene bij verkrijging
anderszins
Artikel 34a Meldplicht datalekken
Artikel 35 lid 1 – 4 Inzagerecht
Artikel 36 lid 2 – 4 Correctierecht

123. Normen waarop boete staat (III)
Artikel Omschrijving
Artikel 38 Kennisgeving derden
Artikel 39 Kostenvergoeding rechten betrokkene
Artikel 40 lid 2 – 3 Recht van verzet
Artikel 41 lid 2- 3 Opt-out commercieel gebruik
Artikel 42 lid 1 en 4 Geautomatiseerde individuele besluiten
Artikel 76 Verbod op doorgifte buiten EU
Artikel 77
Voorwaardelijke uitzonderingen verbod op
doorgifte
Artikel 78 lid 3 en 4 Verbod doorgifte na opschorting minister
Artikel 5:20 Awb Medewerkingsplicht onderzoek

124. Normen waarop geen boete staat
 Artikel 14 WBP: verplichte bewerkersovereenkomst
 Artikel 32 WBP: verplicht melden verwerking waarop
voorafgaand onderzoek van toepassing is
 Artikel 37 WBP: (o.m.) deugdelijk vaststellen identiteit
verzoeker bij uitoefening rechten en communiceren
met wettelijk vertegenwoordigers indien betrokkene
minderjarig is

125. Cumulatie bestuurs-/strafrecht (I)
 Artikel 5:44 Awb
 Geen bestuurlijke boete indien strafvervolging is ingesteld
 Bovendien voorafgaand overleg met OM vereist
 Primaat vervolging ligt bij OM, CBP slechts bevoegd indien OM
besluit van vervolging af te zien
 Artikel 243 lid 2 Sv
 Bestuurlijke boete en/of mededeling niet opleggen daarvan
geldt als kennisgeving niet verdere vervolging
 “Una via”-beginsel lijkt niet in de weg te staan aan
vervolging na 12 Sv klacht

126. Cumulatie bestuurs-/strafrecht (II)
 Relevant voor (o.m.) schending geheimhouding (artikel
272 Sr)
 MvT WBP: “De geheimhoudingsbepaling [van art. 12 Wbp, MJ] is
een verplichting uit hoofde van een wettelijk voorschrift als
bedoeld in artikel 272 van het Wetboek van Strafrecht.”
 Denk echter ook aan heimelijk opnemen/aftappen
gesprekken c.q. maken (video)opnames (139a e.v. Sr),
laster/smaad in digitale context, div. computerdelicten,
etc.

127. Adressant boete
 Verschillende adressanten:
 Pleger (verantwoordelijke)
 Medepleger (bijv. de bewerker)
 Feitelijk leidinggever / feitelijk opdrachtgever
 Bewijslast ligt steeds hoger
 In de praktijk zal boete primair aan verantwoordelijke
worden opgelegd

128. Meldplicht datalekken
 Meldingsplicht van inbreuken op de
beveiliging
 Onverwijld (binnen 24 uur)
 Aan College bij “(aanzienlijke kans op)
ernstig nadelen gevolgen voor de
bescherming van persoonsgegevens”
 Daarnaast aan betrokkene “indien de
inbreuk waarschijnlijk ongunstige
gevolgen zal hebben voor diens
persoonlijke levenssfeer.”
 Tenzij gegevens adequaat versleuteld
waren

129. Meldplicht datalekken
 Melding College bevat minimaal:
 geconstateerde gevolgen;
 vermoedelijke gevolgen;
 genomen en/of voorgestelde maatregelen
om gevolgen te verhelpen.
 Melding betrokkene:
 Gelet op alle omstandigheden moet
behoorlijke en zorgvuldige
informatievoorziening zijn geborgd
 College kan melding betrokkene eisen
indien deze eerst achterwege is gelaten

130. Meldplicht datalekken
 Administratieplicht inbreuken:
 Feiten en gegevens omtrent aard van de
inbreuk
 Tekst van de kennisgeving aan de
betrokkene
 Wet onduidelijk over hoe lang dit
bewaard moet worden. Uit
behandeling EK blijkt (minimaal) een
jaar.

131. Meldplicht datalekken
 Niet naleven meldplicht of administratieplicht is
beboetbaar
 Zie vorige slides

132. Toezichthouders

133. Toezichthouders

134. Nieuwe FAQ cookies
 Meest recente wetswijziging inzake verruiming
uitzondering verwerkt
 Informatie toegevoegd over rechtsgeldigheid
“cookiewalls” bij private partijen en overheidspartijen

135. Interactieve TV Ziggo
 Onderzoek naar interactieve TV diensten Ziggo
 Constateringen:
 Ziggo gebruikte kijkgedrag interactieve TV voor
kijkcijferanalyse zonder toestemming;
 Ziggo stelde interesseprofiel klant op bij gebruik On Demand
diensten, zonder hiervoor toestemming te vragen;
 Ziggo gebruikte gegevens On Demand voor direct marketing
doeleinden zonder toestemming.

136. Interactieve TV Ziggo
 Overtredingen ondertussen gestaakt:
 Ziggo anonimiseert kijkcijfergegevens al op apparaat;
 Ziggo vraagt toestemming voor interesseprofiel On Demand;
dienst is ook zonder toestemming te gebruiken.

137. Beveiliging Humannet
 Naar aanleiding van Zembla-uitzending onderzoek naar
verzuimapplicatie Humannet in 2012
 Destijds toezeggingen Humannet bepaalde
verbeteringen door te voeren
 Nadien nieuwe signalen CBP dat Humannet zich niet
aan wet houdt
 Ambtshalve onderzoek gestart

138. Beveiliging Humannet
 CBP:
 Toepassing beveiligingsrichtlijnen NCSC, Code
Informatiebeveiliging en NEN 7510
 CBP:
 Ten onrechte geen meerfactorauthenticatie;
 Ten onrechte geen periodieke evaluatie beveiligingsrisico’s;
 Ten onrechte geen aandacht voor kwetsbaarheden die tijdens
audits naar voren kwamen;

139. Dwangsom Google
 Langlopende discussie met (bijna) alle EU
toezichthouders n.a.v. wijziging
privacybeleid per 01-03-2012
 In vele landen al diverse maatregelen
getroffen

140. Dwangsom Google
 CBP legt op 17-11-2014 last onder
dwangsom op:
 Toestemming vragen voor combineren van
persoonsgegevens;
 Beter informeren dat YouTube onderdeel is van
Google;
 Beter privacystatement hanteren:
 Combineren Google Analytics met andere gegevens;
 Google+ gegevens in advertenties;
 Monitoring verkeer voor advertenties;
 Betere uitleg over gebruik MAC, UUID’s,
locatiegegevens, etc. op pagina binnen twee
muisklikken

141. Dwangsom Google
 Iedere last 20.000 euro per dag,
oplopend tot maximaal 5 miljoen euro
 Ongeveer 3,5 minuut winst per dag
 Google in bezwaar tegen dwangsom
 Beslissing op bezwaar 9 juni 2015
 CBP acht maatregelen evenredig en proportioneel;
 CBP verlengt de begunstigingstermijnen;
 Mij onbekend of Google in beroep is gedaan
(verwacht ik wel)

142. Randstad en Adecco
 Ambtshalve onderzoek bij uitzendbureaus, mede naar
aanleiding van signalen van betrokkenen
 Bevindingen:
 Kopie paspoort mag eerst gemaakt worden als
uitzendovereenkomst gesloten, dus niet al bij eerste
inschrijving;
 Verstrekken kopie paspoort aan opdrachtgevers is, behoudens
bij vreemdelingen, niet toegestaan;
 Registreren gegevens over ziekte is in strijd met de wet;

143. Randstad en Adecco
 Ambtshalve onderzoek bij uitzendbureaus, mede naar
aanleiding van signalen van betrokkenen
 Bevindingen:
 Verstrekken strafrechtelijke gegevens (pre-employment
screening) niet toegestaan;
 Registreren BSN voordat uitzendovereenkomst bestaat niet
toegestaan;
 Verwerking gegevens loonbeslagen door intercedenten niet
toegestaan;
 Niet hebben van bewaartermijnen, en dus al 24 jaar bewaren
gegevens, in strijd met Wbp

144. Randstad en Adecco
 Opvallend:
 Adecco heeft vervolgens voorafgaand onderzoek bij CBP
aangevraagd voor verwerking strafrechtelijke gegevens
 CBP heeft bij besluit van 05-08-2015 besloten de verwerking
(vooralsnog) rechtmatig te achten

145. Suwinet
 Suwinet systeem voor uitwisseling overheden gevoelige
persoonsgegevens uitwisselen in het kader van werk en
inkomen
 Najaar 2014 onderzoek bij gemeente Den Bosch:
 Geen up-to-date beveiliging;
 Geen registratie en analyse van beveiligingsincidenten;
 Geen goede logging;
 Geen goede autorisatie;
 Toegang tot SUWInet voor Ierse ministerie Sociale Zaken.

146. Suwinet
 Naar aanleiding van onderzoek Den Bosch heeft SZW
bepaalde verbeteringen doorgevoerd
 CBP kondigt 5 juni 2015 nader onderzoek naar Suwinet
aan:
 8 extra gemeenten worden in onderzoek betrokken

147. Verantwoording
In deze presentatie wordt algemene en beknopte informatie
verstrekt over een aantal juridisch relevante ontwikkelingen.
Niet beoogd is om hiermee juridisch advies te geven voor
concrete situaties.
Hoewel veel zorg is besteed aan het opstellen van deze
presentatie, aanvaardt Dirkzwager advocaten & notarissen N.V.
geen aansprakelijkheid voor de inhoud ervan.

148. Actuele kennis van wet- en regelgeving
Jurispruden
tie
Dirkzwager zorgt
dat
u het weet.
Advocatuur Arnhem
Postbus 3045
6802 DA Arnhem
Kantoor Velperpoort
Velperweg 1
6824 BZ Arnhem
T +31 (0)26 353 83 00
F +31 (0)26 351 07 93
E info@dirkzwager.nl
I www.dirkzwager.nl
Postbus 111
6800 AC Arnhem
Kantoor Velperpoort
Verlperweg 1
6824 BZ Arnhem
T +31 (0)26 365 55 55
F +31 (0)26 365 55 00
E info@dirkzwager.nl
I www.dirkzwager.nl
Postbus 55
6500 AB Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 31 31
F +31 (0)24 322 20 74
E info@dirkzwager.nl
I www.dirkzwager.nl
Postbus 1104
6501 BC Nijmegen
Kantoor Stella Maris
Van Schaeck Mathonsingel 4
6512 AN Nijmegen
T +31 (0)24 381 27 27
F +31 (0)24 324 07 26
E info@dirkzwager.nl
I www.dirkzwager.nl