EDPS on the chatcontrol proposal: “Preserving the confidentiality of communications is essential to fundamental rights”

Geplaatst op 7 februari 2024 door Ellen Timmer

Things are not all rosy with Europe, with Europe sometimes coming up with very unwise plans. One such unwise plan is known as chatcontrol, background information can be found in the article Undermining Democracy: The European Commission’s Controversial Push for Digital Surveillance.

The latest news is that the European Data Protection Supervisor (EDPS) opposes the proposal, read their article Preserving the confidentiality of communications is essential to fundamental rights, published on 29 January. From the article:

The EDPS has issued an Opinion on the proposed Regulation to extend the temporary derogation from certain provisions of the ePrivacy Directive to combat child sexual abuse online. The Regulation would allow providers of certain independent interpersonal communication services to continue to apply specific technologies to private communications in order to detect child sexual abuse material for two more years, whilst negotiations for a long-term Regulation are ongoing.

In its Opinion, the EDPS expresses concern about the aims of this Regulation, which would, in effect, restrict individuals’ fundamental rights to privacy and personal data, including their right to the confidentiality of communications. The EDPS also highlights that the recommendations previously issued in its Opinion on temporary derogations from the ePrivacy Directive 2020 were not fully addressed, further putting individuals at risk. (…)

In line with its previously issued recommendations, the EDPS reiterates that the proposed Regulation does not include sufficient and effective safeguards to prevent general and indiscriminate monitoring of private electronic communications. Putting these safeguards in place is important, especially given the high error rates observed with certain technologies used for detecting child sexual abuse materials or child solicitation, such as grooming. The EDPS underscores the significant risk that technologies used to detect child sexual abuse material may flag consensually produced and shared imagery.

Whilst the EDPS fully supports the aim to combat child sexual abuse as a terrible crime, this Regulation is not the solution. The goal of combatting child sexual abuse must be pursued with the necessary safeguards for individuals’ private communications, and, by extension, their fundamental rights to privacy and personal data.

The opinion is here (pdf).

 

Will the European Commision, the European Parliament and the Council listen?

 

Addition 24 May 2024
In its Civic Space Report 2024 (aankondiging) the European Civic Forum criticizes the chatcontrol proposal (page 45):

The proposed EU Child Sexual Abuse (CSA) Regulation allows authorities to access private online communications, jeopardising encryption and potentially legitimising mass surveillance. 87 In countries where the space for CSOs, activists, political opposition, journalists and lawyers is narrowed and they are under surveillance and harassed, end-to-end encryption as a means of communication is highly important.

87 https://edri.org/our-work/rearranging-deck-chairs-on-the-titanic-belgiums-latest-movedoesnt-solve-critical-issues-with-eu-csa-regulation/

Geplaatst in Grondrechten, ICT, privacy, e-commerce, Strafrecht | Tags: , , , , , , , | Plaats een reactie

Tweejarige informatiecampagne Over Europa

Geplaatst op 6 februari 2024 door Ellen Timmer

De Europese verkiezingen komen er aan, dus het is niet raar dat de Nederlandse overheid een informatiecampagne over Europa is gestart, lees de aankondiging. Bij de campagne hoort een speciale site, overeuropa.nl.

Geplaatst in Europa | Plaats een reactie

Wenn das Konto plötzlich gesperrt ist | als de bankrekening plotseling is geblokkeerd | Wwft, AML, CFT

Geplaatst op 5 februari 2024 door Ellen Timmer

Overal in Europa gebeurt hetzelfde op basis van de regels waarmee de misdaadbestrijding naar banken wordt geprivatiseerd (‘witwasbestrijding’).
Abonnees van FAZ kunnen over de gang van zaken in Duitsland het artikel Wenn das Konto plötzlich gesperrt ist (‘als de rekening plotseling is geblokkeerd’) [betaalmuur] lezen, dat begint met (eigen onofficiële vertaling):

Duitsland wil beter worden in de strijd tegen het witwassen van geld. Daarbij kunnen onschuldige burgers getroffen  worden, blijkt uit de spoedprocedures die de regionale rechtbank van Frankfurt de afgelopen twee jaar heeft behandeld.

Het geeft aan dat in heel Europa de witwasbestrijdingsregels leiden tot maatschappelijk onbetamelijk optreden van financiële instellingen. De bedenker van die regels, de Europese wetgever, is  niet bereid daar iets aan te doen maar gaat door op de verkeerde weg, zoals uit het nieuwe Europese wetgevingspakket blijkt.

De petitie “Stop nú de overmatige witwasmonitoring en verstevig het recht op betaalrekeningen” die morgen wordt aangeboden aan de Tweede Kamer (blog) is daarom zeer actueel.

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , | Plaats een reactie

ACM: extra inzet in 2024 voor veilige online omgeving

Geplaatst op 5 februari 2024 door Ellen Timmer

De Autoriteit Consument & Markt (ACM) kondigde aan zich dit jaar extra in te zetten voor een veilige online omgeving:

Martijn Snoep, bestuursvoorzitter van de ACM: “Dit jaar krijgen we nieuwe taken om de online consument te beschermen en concurrentie te versterken. We zijn blij met deze nieuwe wetgeving en richten ons met extra mensen op een veilige online omgeving voor alle mensen en bedrijven. (…)

Stimuleren van een open en eerlijke digitale economie

De ACM beschermt mensen en bedrijven tegen misbruik van marktmacht en tegen online misleiding. Nieuwe wetten op digitaal gebied eisen dat online platforms hun verantwoordelijkheid nemen voor een betrouwbare online omgeving en klachten van consumenten serieus nemen. De ACM geeft voorlichting aan ondernemers en consumenten over hun rechten en plichten onder de nieuwe Digital Services Act (DSA), Digital Markets Act (DMA) en Platform to Business Verordening (P2B). Er komt een loket waar consumenten terecht kunnen met meldingen over hoe online platforms omgaan met klachten.

 

Meer details staan in het ACM jaarplan 2024 en in de Focus werkzaamheden ACM in 2024.

Onderstaand  het plaatje dat ACM in het artikel plaatste:

Geplaatst in ICT, privacy, e-commerce | Tags: , , , , , | Plaats een reactie

Kopie-ID: kap ermee! | AVG, Wwft

Geplaatst op 4 februari 2024 door Ellen Timmer

In het bericht Kopie-ID: kap ermee! op security.nl legt Erik van Straten hoe gevaarlijk de praktijk van kopietjes van identiteitsbewijzen is.

Alle ondernemingen die zich aan de Wwft moeten houden, doen er goed aan acuut met deze praktijk te stoppen. Datzelfde geldt voor de overheid, bijvoorbeeld de Kamer van Koophandel, en voor alle andere identificeerders.

Geplaatst in Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , | Plaats een reactie

ENISA: “Engineering Personal Data Protection in EU Data Spaces”

Geplaatst op 3 februari 2024 door Ellen Timmer

ENISA announced a report on engineering personal data protection in EU data spaces:

Common European data spaces (EU data spaces) are a novel concept introduced in the European strategy for data and elaborated further within the Data Governance Act (DGA). This report attempts to contextualise the main design principles regarding protection of personal data and demonstrate how to engineer personal data protection through two use cases of an envisioned EU data space in the pharmaceutical domain.

In the conclusions of the report (pdf) the term ‘data spaces’ is explained as follow:

Data Spaces is an umbrella term corresponding to any ecosystem of possible interactions between public and private sector entities alongside new governance and business processes.

On the topic of the report:

Building up on the definition of the main actors and the DGA provisions around the EU Data Spaces, the identification of building blocks and requirements represents the starting point for their successful development and deployment. Within the scope of this report, we attempted to provide such set of building blocks with regards to the accountability of the controller(s) and the processor(s). These building blocks are intended to cover applicable, revamped internal mechanisms (policies, procedures, risk-based assessments, technical and organisational controls, and other measures related to data sharing), data sharing agreements and sensible privacy management programs (PMPs).

The conclusions end with:

Despite the potential of EU data spaces, there are still considerations regarding the appropriate technical and organisational measures and how to engineer them into practise, both from a data protection but also from a cybersecurity point of view. Even if there are already a good number of privacy enhancing technologies that can support us in meeting specific data protection goals, we should not neglect the fact that we are called to address new processing operations, where roles and responsibilities are not always clearly defined.

Geplaatst in English - posts in English on this blog, Europa, ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Register Internetdomeinen Overheid van start

Geplaatst op 2 februari 2024 door Ellen Timmer

Burgers kunnen via een nieuwe site, Register Internetdomeinen Overheid (RIO), controleren of een website aan de overheid toebehoort. Op de pagina staat deze uitleg:

Register Internetdomeinen Overheid

“Is dit een website van de overheid?”

In het Register Internetdomeinen Overheid kunt u nazoeken of een website of emailadres bij een overheidsorganisatie hoort. Zo kunt u bij twijfel controleren of een website die u bezoekt wel bij de overheidsorganisatie hoort die u verwacht. Ook kunt u van elke overheidsorganisatie opzoeken welke domeinen ze geregistreerd hebben.

Een nadere uitleg is hier te vinden.

Ik vind het raadselachtig waarom dit initiatief tot de overheid is beperkt. Het publiek heeft er ook belang bij om te weten of een site van een vergunninghoudende financiële instelling of van een andere legitieme organisatie is.

Op dit moment is het voor criminelen en andere ongure types veel te makkelijk 0m domeinnamen te registreren en er misbruik van te maken. Lees over de domeinnamenproblematiek ook dit blog.

Zoals de Kamer van Koophandel een actievere rol heeft gekregen bij bestrijding van misbruik van rechtspersonen, zo is het hoog tijd dat de domeinnaambeheerders zoals SIDN een gelijksoortige rol krijgen bij domeinnamen.

Security.nl schreef over het nieuwe register.

Geplaatst in ICT, privacy, e-commerce | Tags: , , , | Plaats een reactie

Platformrenseignering: “Vanaf nu weet de Belastingdienst ook wat de fanatieke Marktplaatser verdient” en de vragen van de Tweede Kamer

Geplaatst op 1 februari 2024 door Ellen Timmer

In het NRC verscheen op 29 januari het door journaliste geschreven artikel Vanaf nu weet de Belastingdienst ook wat de fanatieke Marktplaatser verdient. Het betreft hier de verplichting van digitale platforms om gegevens aan de overheid te leveren ten behoeve van de belastingheffing (‘renseignering’). Privacy First is over deze regelgeving geïnterviewd en ik heb over dit onderwerp namens de organisatie het woord gedaan.

Niet alles is belast
Daarbij moet worden aangetekend dat niet alles wat een Marktplaatsverkoper aan betaling ontvangt ook belast is. Er moet tenslotte sprake zijn van winst uit onderneming of winst uit nevenactiviteiten. Op tweede hands platforms worden veel zaken verkocht die eerder voor een hoger bedrag aangeschaft zijn, dan kan je niet van winst (= opbrengst -/- kosten) spreken.

Kamervragen

Het NRC-artikel en andere artikelen over platformrenseignering hebben geleid tot vragen van leden van de Tweede Kamer, te weten Vermeer en Idsinga, Postma en Six Dijkstra. Daarin worden vragen gesteld die helaas niet zijn gesteld tijdens de parlementaire behandeling van de wet waarin de renseignering is geregeld.

Idsinga c.s. vragen:

Vraag 1 Bent u bekend met bovengenoemde berichten? [1 2 3]
Vraag 2 Bent u het met ons eens dat het belangrijk is dat dat de overheid barrières voor tweedehands spullen niet onnodig hoog moet maken om de circulaire economie te stimuleren?
Vraag 3 Herkent u de zorgen dat veel verkopers van tweedehandsspullen die jaarlijks meer dan dertig items of voor meer dan 2.000 euro verkopen via websites zoals Vinted, Marktplaats of Bol komen straks in beeld komen bij de fiscus en bang zijn dat ze extra belastingen moeten betalen?
Vraag 4 Bent u het met ons eens dat onduidelijkheid rondom de fiscale positie moet worden weggenomen?
Vraag 5 Van hoeveel mensen heeft de Belastingdienst deze informatie, aangeleverd via de digitale platforms, ontvangen?
Vraag 6 Kunt u in een tabel uitsplitsen welke soort categorieën daarbij onderscheiden kunnen worden (waaronder: aantallen items/transacties en verkoopcijfers)?
Vraag 7 Kunt u per categorie aangeven welke opvolging door de Belastingdienst gegeven zal worden? In hoeveel gevallen verwacht u naheffingen en of -vorderingen?
Vraag 8 Hoeveel fte’s bij de Belastingdienst zijn hiermee gemoeid?
Vraag 9 Hoe bakent de Belastingdienst «hobby’s» af van activiteiten en/of transacties die wél van belang zijn voor de belastingaangifte?
Vraag 10 Welke specifieke factoren bepalen het onderscheid tussen «hobby» en «handel» en welke concrete fiscale gevolgen zijn daaraan verbonden?
Vraag 11 Gelden daarbij voor de inkomstenbelasting en de btw dezelfde regels? Zo nee, waarin wijken deze af en waarom? Zo nee, bent u bereid om deze regels voor «standaard situaties» gelijk te trekken?
Vraag 12 Bent u het met ons eens dat een «drempel» van 30 items (of transacties) of een jaaromzet van 2.000 euro te laag is om als ondernemer te kwalificeren? Zo nee, waarom niet?
Vraag 13 Zou de mogelijkheid kunnen worden verkend dat alle items die verkocht worden als tweedehands, tweedekans of via het vinkje «gebruikt» niet in aanmerking hoeven te komen voor de regeling van 2.000 euro of 30 stuks? Zo nee, waarom niet?
Vraag 14 Herkent u het beeld van de in het NOS-artikel aangehaalde registeraccountant dat het lastig is om vast te stellen wanneer je als ondernemer wordt beschouwd en wanneer niet?
Vraag 15 Indien het antwoord op vraag 14 ja is, deelt u dan de mening om hierdoor te pleiten om de fiscale regels (i) via heldere voorlichting onder de aandacht te laten brengen en/of (ii) te overwegen om met nieuwe eenduidige regelgeving (bijvoorbeeld «vaste en objectieve parameters», zoals omzetgrens, winstgrens, etc.) die in de meerderheid van de gevallen zorgen voor duidelijk houvast?
Vraag 16 Indien het antwoord op vraag 14 ja is, kunt u dan aangeven welke initiatieven op deze beide punten reeds lopen en/of bent u bereid om beide verder te verkennen?
Vraag 17 Hoeveel fiscale geschillen zijn op dit moment aanhangig over de vraag of een particulier wel of niet als ondernemer moet worden aangemerkt? Bent u het met ons eens dat het, nu DAC7 van kracht is geworden, zeer aannemelijk is dat (veel) meer disputen zullen volgen?
Vraag 18 Indien het antwoord op vraag 17 ja is, pleit dit dan niet voor meer duidelijkheid zoals genoemd in de vorige vraag?
Vraag 19 Deelt u de angst dat, wanneer voldaan moet worden aan DAC7, naast de inkomsten, ook veel gevoelige persoonsgegevens zoals het Burgerservicenummer van miljoenen gebruikers verzameld zullen worden?
Vraag 20 Deelt u tevens de angst dat als gevoelige persoonsgegevens in verkeerde handen vallen, ze kunnen worden gebruikt voor onder meer identiteitsfraude of online afpersing? Zo ja, wat gaat de regering daartegen doen? Zo nee, waarom niet?
Vraag 21 Kunt u uitgebreid reflecteren op de geuite zorgen uit het bericht van NRC dat PWC vraagtekens zet bij de grote hoeveelheid persoonsgevoelige informatie, met betrekking tot de opslag, beveiliging en overdracht van gegevens, die de bedrijven voor de Belastingdienst moeten verzamelen?
Vraag 22 Kunt u uitgebreid reflecteren op het feit dat een jurist van stichting Privacy First in het NRC-artikel zorgen uit over de beveiliging van de gegevens en de capaciteit voor de handhaving van de regels?
Vraag 23 Hoe verhoudt dit zich tot de Werkagenda Waardengedreven Digitaliseren van het kabinet, waarin gesteld wordt dat het «belangrijk [is] paal en perk te stellen aan publieke en private partijen die allerlei persoonlijke data verzamelen, verhandelen en soms kwijtraken»? [4]
Vraag 24 Wilt u de vragen afzonderlijk en vóór het binnenkort te houden commissiedebat Belastingdienst beantwoorden?

[1] NOS Nieuws, 27 januari 2024, «Verkopen op Vinted of Marktplaats? De Belastingdienst kijkt mee» (https://nos.nl/artikel/2506444-verkopen-op-vinted-of-marktplaats-de-belastingdienstkijkt-mee)
[2] De Telegraaf, 27 januari 2024, «Fiscus kijkt mee met verkoop op Vinted en Marktplaats: dit betekent het voor jouw verdiensten» (https://www.telegraaf.nl/financieel/592506175/fiscus-kijktmee-met-verkoop-op-vinted-en-marktplaats-dit-betekent-het-voor-jouw-verdiensten)
[3] NRC, 28 januari 2024, «Vanaf nu weet de Belastingdienst ook wat de fanatieke Marktplaatser verdient» (https://www.nrc.nl/nieuws/2024/01/28/vanaf-nu-weet-de-belastingdienst-ook-wat-defanatieke-marktplaatser-verdient-a4188372)
[4] Bijlage Kamerstuk 26 643, nr. 1112

Vermeer vraagt:

Vraag 1 In het artikel wordt uiteengezet hoe verkopers in beeld kunnen komen bij de Belastingdienst indien zij meer dan 30 transacties per jaar uitvoeren of hun opbrengst boven de 2.000 euro uitkomt; hoe staat de Nederlandse regering tegenover deze specifieke bovengrenzen uit de DAC7-richtlijn? 1
Vraag 2 Het artikel benoemt het registreren van online verkoop door particulieren; is er sprake van een aparte centrale database die online inkomsten van Nederlanders gaat bijhouden?
Vraag 3 Wordt per persoon alle online verkoop opgeslagen in een centrale database waarbij transacties worden opgeteld, ook wanneer dit gaat om bijvoorbeeld 1.900 euro aan verkoop op 50 verschillende websites?
Vraag 4 Bent u het met mij eens dat de grens voor controle van 30 items per jaar snel gehaald wordt, bijvoorbeeld wanneer belastingplichtige een groot gezin heeft en elk jaar gezinskleding tweedehands verkoopt?
Vraag 5 Bent u van mening dat controle van de Belastingdienst in zo’n geval overdreven is?
Vraag 6 Bent u van mening dat het gebruik van een richtlijn ongewenst is als vaak al niet duidelijk is in hoeverre iemand een ondernemer is voor de Belastingdienst of slechts hobbymatig spullen verkoopt?
Vraag 7 Bent u het met mij eens dat dit de deur op een kier zet naar ongewenste effecten omdat de condities van belastingplichtige verkoop onvoldoende helder zijn zowel bij het publiek als de Belastingdienst?
Vraag 8 Bent u van mening dat hergebruik en circulariteit juist gestimuleerd dient te worden?
Vraag 9 Hoe verhoudt deze registratieplicht voor online verkoop van tweedehandsspullen zich tot de maatschappijbrede ambitie van duurzaamheid en circulariteit?
Vraag 10 Is het volgens u te verwachten dat het toepassen van deze richtlijn burgers afschrikt om tweedehands spullen te verkopen?
Vraag 11 In hoeverre zorgt deze richtlijn voor meer controle, handhaving en administratiekosten bij de overheid?
Vraag 12 Bent u met mij van mening dat er van deze richtlijn een complicerende werking uitgaat op burgers, aangezien zij met steeds meer factoren rekening moeten houden bij het opstellen van hun aangifte?
Vraag 13 Wat zijn de effecten van DAC7 op de regeldruk voor online platformen?
Vraag 14 Hoeveel burgers verwacht u, krijgen een correctie op hun aangifte als gevolg van deze richtlijn?
Vraag 15 Hoe groot is de tweedehandsmarkt van hobbymatige spullen in Nederland naar schatting?
Vraag 16 Wilt u deze vragen afzonderlijk beantwoorden?

Toelichting:
Deze vragen dienen ter aanvulling op eerdere vragen terzake van de leden Idsinga, Postma en Six Dijkstra (allen Nieuw Sociaal Contract), ingezonden 31 januari 2024 (vraagnummer 2024Z01492).

 

Renseignering op dit blog

Over platformrenseignering schreef ik eerder:

Een andere nieuwe vorm van renseignering is de renseignering door betaaldienstverleners (inclusief banken) van grensoverschrijdende betalingen, lees onder meer Overkill in de Europese renseigneringsplicht voor betaaldienstverleners. De gegevens worden geleverd aan een Europese database die in de toekomst een mooie informatiebron zal worden over het betalingsgedrag van burgers.

Geplaatst in Belastingrecht, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , | Plaats een reactie

Petitie “Stop nú de overmatige witwasmonitoring en verstevig het recht op betaalrekeningen” wordt op 6 februari aangeboden aan de commissie voor Financiën van de Tweede Kamer

Geplaatst op 31 januari 2024 door Ellen Timmer

Eerder schreef ik over de petitie “Stop nú de overmatige witwasmonitoring en verstevig het recht op betaalrekeningen”. De initiatiefnemers melden op 26 januari op de petitie site dat zij de petitie officieel mogen aanbieden:

De aanbieding van de petitie aan de Tweede Kamer gebeurt op 6 februari 2024
Vandaag ontvingen we bericht vanuit de vaste Kamercommissie voor Financiën: we kunnen onze petitie op 6 februari aanstaande aanbieden. En televisieprogramma Radar bevestigde dat ze erbij zullen zijn en opnames zullen maken.
We hopen dat zo de politieke discussie over een recht op een basisrekening voor iedereen (bedrijf of particulier, wonend in Nederland of een band met Nederland als expat, pensionaris wonend in het buitenland) met veel animo opgepakt gaat worden door de nieuwe Tweede Kamer.
Waar duidelijk wordt dat contant geld niet meer het alom te gebruiken betaalmiddel in de toekomst zal zijn, is het aan de politiek om te erkennen dat het leven zonder betaalrekening niet meer mogelijk is. 
Voor de dagelijkse realisatie van allerlei mensenrechten (recht op scholing, medische zorg, vrije beroepsuitoefening) is het hebben van een betaalrekening dus een randvoorwaarde. 

Geplaatst in Bankrekening krijgen en behouden, Financieel recht, onder meer Wft, Wtt, Fraude, witwasbestrijding, Wwft, Grondrechten | Tags: , , , , , , | Plaats een reactie

Rechtbank: Nationaal Coördinator Terrorisme en Veiligheid handelt in strijd met de AVG nu niet kan worden meegedeeld aan betrokkene aan wie persoonsgegevens zijn doorgestuurd

Geplaatst op 31 januari 2024 door Ellen Timmer

De Nationaal Coördinator Terrorisme en Veiligheid (NCTV) maakte een slechte beurt in een AVG-zaak die werd beslecht door de rechtbank Amsterdam.

In die zaak verzocht een burger op basis van de AVG om inzage van de door de NCTV (minister van Veiligheid) over hem verwerkte persoonsgegevens en wilde hij weten aan wie die persoonsgegevens waren verstrekt. De NCTV argumenteert volgens de uitspraak (overweging 7), ‘eiser’ is de burger:

De verstrekte gegevens zijn niet van de NCTV afkomstig. De NCTV heeft geen onderzoek gedaan. De gegevens zijn afkomstig van openbare bronnen, zoals tweets en kranten. Er is geen persoonsdossier van eiser opgemaakt. De NCTV had eiser niet hoeven informeren op grond van artikel 14, lid 5.b van de AVG, omdat dit een te grote inspanning van de dienst zou hebben gevergd. Eiser heeft recht op een kopie van zijn persoonsgegevens, maar niet van de originele stukken of het bestand waarin die gegevens voorkomen. Volstaan mag worden met een volledig overzicht in begrijpelijke vorm.

Eiser stapt naar aanleiding van de beslissing van de NCTV naar de rechtbank, de reden daarvoor wordt in de uitspraak beschreven:

9. Eiser is bang dat zijn persoonsgegevens bij verweerder zullen worden gewist en hij dan geen manier meer heeft te controleren met wie zijn persoonsgegevens zijn gedeeld. Reden hiervoor is dat de NCTV, en dus ook verweerder, niet weet aan welke buitenlandse veiligheidsdiensten zijn data zijn gestuurd. Dit is gebeurd in strijd met protocollen en goede regelgeving. Voor eiser houdt dit een groot risico in, met name omdat het gaat om verwijzingen naar extremisme. Die valse data zijn over de wereld verspreid. Eiser vraagt een gedegen forensisch onderzoek, zodat er weer grip kan worden gekregen op zijn dossier en de vraag aan welke buitenlandse veiligheidsdiensten zijn data zijn verstrekt.

Recht op kopieën?
Over de vraag welke gegevens eiser mocht krijgen zegt de rechtbank dat het  niet altijd nodig is overal kopieën van te krijgen:

11. Eiser heeft in zijn verzoek gevraagd om afschriften. Verweerder heeft echter volstaan met het geven van inzage in de persoonsgegevens. De vraag is of verweerder daarmee mocht volstaan.

Volgens het arrest van het Hof van Justitie van de Europese Unie (het Hof) van 4 mei 20231 dient de betrokkene alle informatie in kwestie in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal te ontvangen. Eiser heeft een overzicht gekregen met daarin persoonsgegevens, doel verwerking, ontvangers (anoniem), bron gegevens en geautomatiseerde besluitvorming en logica. De jurisprudentie vereist verder dat, om te waarborgen dat de aldus verstrekte informatie gemakkelijk te begrijpen is, het onontbeerlijk kan zijn dat uittreksels uit documenten of zelfs volledige documenten of databankuittreksels die onder meer de persoonsgegevens bevatten die worden verwerkt, worden gereproduceerd. Wanneer met name persoonsgegevens worden gegenereerd op basis van andere gegevens of wanneer dergelijke gegevens voortvloeien uit open tekstvelden, dat wil zeggen wanneer er geen data worden verstrekt en uit deze lacune informatie over de betrokkene valt af te leiden, is de context waarin deze gegevens worden verwerkt een onontbeerlijk element om de betrokkene in staat te stellen op transparante wijze inzage te krijgen in die gegevens en er een begrijpelijk beeld van te krijgen.

12. De rechtbank is in het onderhavige geval van oordeel dat het voor eiser niet onontbeerlijk is om kopieën van de door hem gevraagde stukken te ontvangen.

Onbekende ontvangers
Gunstig voor eiser is dat de rechtbank mee gaat in zijn stelling dat de NCTV aan hem moet kunnen meedelen aan wie zijn gegevens zijn verstrekt (overweging 13), markering door mij:

In voornoemd arrest van het Hof is geoordeeld dat de verwerkingsverantwoordelijke verplicht is om aan de betrokkene de identiteit van de ontvangers van zijn persoonsgegevens te verstrekken, tenzij het onmogelijk is om die ontvangers te identificeren. Vaststaat dat eisers persoonsgegevens aan ambtenaren van buitenlandse veiligheidsdiensten zijn doorgegeven. Tijdens de behandeling op zitting is gebleken dat verweerder geen antwoord kon geven op de vraag wie deze gegevens hebben doorgegeven, aan welke diensten de gegevens zijn doorgegeven en welke concrete pogingen verweerder heeft gedaan om deze gegevens te achterhalen. Verder heeft de rechtbank informatie gevraagd over protocollen die zien op het verzenden van persoonsgegevens naar andere instanties, welke gang van zaken daarbij wordt gevolgd en voor welke werknemers deze protocollen gelden. Voor de rechtbank was ook van belang te weten hoe de privacy van de betrokkenen in dergelijke gevallen wordt gewaarborgd en of er een protocol is voor het archiveren van gedeelde gegevens. Verder is aan verweerder de vraag voorgelegd of hij bereid is een extern technisch onderzoeksbureau in te schakelen teneinde deze gegevens alsnog te achterhalen.

De rechtbank constateert dat de NCTV heeft toegegeven dat de gang van zaken rondom het doorzenden van de persoonsgegevens van eiser niet correct is geweest en oordeelt hard over de handelswijze (overweging 15):

Gelet op het feit dat het hier persoonsgegevens van een individu betrof die zonder de benodigde zorgvuldigheid te betrachten zijn doorgezonden aan derden, acht de rechtbank deze gang van zaken ongeoorloofd en onacceptabel. De rechtbank is dan ook van oordeel dat verweerder hiermee onrechtmatig heeft gehandeld in strijd met de interne protocollen.

Gegrondverklaring
Het beroep wordt gegrond verklaard maar de uitspraak laat de rechtsgevolgen van het vernietigde besluit in stand (overweging 18):

De rechtbank ziet echter geen aanleiding om verweerder een nieuw besluit op bezwaar te laten nemen. (…) De rechtbank neemt wel in overweging dat eiser naar alle waarschijnlijkheid hierdoor benadeeld is, maar ziet geen andere mogelijkheid dan de rechtsgevolgen van het vernietigde besluit in stand te laten. Dat neemt echter niet weg dat het eiser vrij staat via andere wegen compensatie te vragen voor dit ervaren nadeel. De rechtbank geeft verweerder ook uitdrukkelijk mee zelf na te denken over compensatie van eiser naar aanleiding van de hierboven geschetste handelswijze.

 

De AVG gaat over het grondrecht dat zorgvuldig met persoonsgegevens wordt omgegaan

Deze zaak geeft een goede illustratie van wat de bedoeling is van de AVG en het grondrecht op privacy. Het draait om een zorgvuldige omgang van verantwoordelijken (hier de NCTV) met persoonsgegevens, waarbij het allereerst van belang is dat de NCTV niet op onjuiste gronden iemand het stempel vermoedelijke terrorist op plakt. In het kader van het grondrecht is essentieel dat de betrokkene weet bij wie zijn persoonsgegevens terecht komen, zodat hij de consequenties kan overzien en eventueel maatregelen kan nemen.

CRIF uitspraak HvJ
In bovenstaande uitspraak wordt melding gemaakt van het arrest van het Europese Hof in de CRIF zaak van 4 mei 2023, C487/21 [1]. CRIF is een datahandelaar die zich bezig houdt met kredietwaardigheidsbeoordelingen. In deze uitspraak wordt uitgebreid ingegaan op de reikwijdte van het inzagerecht, dat tot doel heeft dat de betrokkene kan verifiëren of zijn persoonsgegevens juist zijn en rechtmatig worden verwerkt en zo nee dat bepaalde rechten kunnen worden uitgeoefend, onder meer het recht op rectificatie van gegevens, op gegevenswissing (‘vergetelheid’), en op beperking van de verwerking. Het Hof verklaarde voor recht dat:

het recht om van de verwerkingsverantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden verwerkt, inhoudt dat aan de betrokkene een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden gegeven. Dit recht omvat het recht om een kopie te verkrijgen van uittreksels van documenten of zelfs van volledige documenten of databankuittreksels die onder meer die gegevens bevatten, indien de verstrekking van een dergelijke kopie onontbeerlijk is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten daadwerkelijk uit te oefenen, waarbij moet worden benadrukt dat daarbij ook rekening moet worden gehouden met de rechten en vrijheden van anderen.

Österreichische Post uitspraak HvJ
Zie over het belang voor betrokkene om te weten wie zijn persoonsgegevens ontvangen ook de uitspraak van 12 januari 2023 inzake de Österreichische Post, zaak C-154/21 [2], door mij in dit blog besproken.

 

Noten

[1] ECLI:EU:C:2023:369, zie de uitspraakpagina bij EUR-Lex, en de overzichtspagina over de procedure bij het Hof. Er is een Nederlandstalige versie van de uitspraak beschikbaar.

[2] ECLI:EU:C:2023:3, zie het persbericht (Engelstalig), de Nederlandstalige versie van de uitspraak en de overzichtspagina bij het Hof.

Geplaatst in Grondrechten, ICT, privacy, e-commerce | Tags: , , , , , , , , , | Plaats een reactie