Belangrijk: wijzigingen in het arbeidsrecht die je niet mag missen

De Wet Werk en Zekerheid (‘WWZ’) heeft in 2015 geleid tot grote veranderingen in het arbeidsrecht. We zijn er nog niet. Ook 2016 brengt belangrijke wijzigingen met zich mee. Een overzicht van de meest relevante wijzigingen per 1 januari 2016.

WW

  • De maximale WW-duur wordt tussen 1 januari 2016 en 1 april 2019 stapsgewijs – met een maand per kwartaal – ingekort tot 24 maanden. De maximale duur is nu nog 38 maanden, per 1 april 2016 wordt de duur 36 maanden, per 1 juli 2016 35 maanden etcetera. 
  • Werknemers bouwen minder WW-rechten op. In plaats van een opbouw van 1 maand WW voor elk gewerkt jaar, geldt nu dat een werknemer weliswaar gedurende de eerste tien jaar 1 maand WW opbouwt per gewerkt jaar maar daarna maar een halve maand per gewerkt jaar. WW-rechten die zijn opgebouwd voor 1 januari 2016 wijzigen niet.

Tip: Informeer werknemers waar nodig bij het einde van het dienstverband over de (gewijzigde) WW-regels (onder meer om te voorkomen dat iemand terugkomt op zijn opzegging of de beëindiging met wederzijds goedvinden).

Werken na de AOW-leeftijd

  • In de WWZ is al geregeld dat een werkgever de arbeidsovereenkomst bij het bereiken van de AOW-leeftijd zonder tussenkomst van UWV of rechter kan opzeggen. Er hoeft dan geen transitievergoeding betaald te worden. Daarnaast moeten bij bedrijfseconomisch ontslag (‘reorganisatie’) eerst de AOW-gerechtigde werknemers ontslagen worden. Per 1 januari 2016 gelden aanvullende regels om doorwerken na de AOW-gerechtigde leeftijd te bevorderen.
  • De loondoorbetalingsverplichting en het opzegverbod tijdens ziekte voor AOW-gerechtigde werknemers is teruggebracht tot 13 weken (dat was 2 jaar). Daarnaast geldt dat als de werkgever de arbeidsovereenkomst op wil zeggen wegens langdurige ziekte slechts aannemelijk hoeft te worden gemaakt dat er binnen 13 weken geen herstel zal optreden (in plaats van 26 weken, zoals bij ‘niet-AOW-gerechtigden’). In 2018 wordt geëvalueerd of de termijn van 13 weken verder teruggebracht zal worden naar 6 weken.
  • De re-integratieverplichtingen ten aanzien van AOW-gerechtigde werknemers zijn versoepeld. Zo zijn er geen verplichtingen wat betreft re-integratie tweede spoor.
  • De opzegtermijn van de arbeidsovereenkomst met AOW-gerechtigde werknemers is beperkt tot 1 maand.
  • De ketenregeling wat betreft arbeidsovereenkomsten voor bepaalde tijd die zijn aangegaan na het bereiken van de AOW-gerechtigde leeftijd is verruimd naar maximaal 6 tijdelijke arbeidsovereenkomsten in maximaal 4 jaar (in plaats van maximaal 3 arbeidsovereenkomsten in 2 jaar).
  • De verplichting om in te gaan op een verzoek van een AOW-gerechtigde werknemer om uitbreiding (of vermindering) van het aantal werkuren is vervallen.

Tip: Overweeg of het al dan niet verstandig is om een pensioenontslagbeding in de arbeidsovereenkomst op te nemen en wees je bewust van de (verruimde) mogelijkheden om een AOW-gerechtigde werknemer te laten doorwerken.

Afschaffing VAR

  • Tot 1 april 2016 blijft de VAR geldig, maar daarna wordt er waarschijnlijk geen VAR meer verstrekt. De Tweede Kamer heeft hiervoor het voorstel voor de ‘Wet Deregulering beoordeling arbeidsrelaties’ goedgekeurd. De Eerste Kamer heeft het wetsvoorstel nu in behandeling. Het voorstel is dat de Belastingdienst (model)overeenkomsten beschikbaar stelt en de mogelijkheid biedt om opdrachtovereenkomsten ter beoordeling voor te leggen teneinde zekerheid te krijgen over de arbeidsrelatie.

Tip: Het is verstandig nu al te anticiperen op de wijzigingen door gebruik te maken van de reeds beschikbare modelovereenkomsten van de Belastingdienst (te vinden op de site) of (model-)opdrachtovereenkomsten reeds nu aan de Belastingdienst ter beoordeling voor te leggen.

Transitievergoeding

  • De transitievergoeding is verhoogd naar maximaal € 76.000 bruto of als het jaarsalaris van de werknemer hoger is dan € 76.000 bruto, een bruto jaarsalaris.

Flexibel werken

  • De Wet flexibel werken (van toepassing op werkgevers met meer dan 10 werknemers) geeft de werknemer het recht te verzoeken om een aanpassing van de arbeidsduur, werktijd of arbeidsplaats. Verzoeken om aanpassing van de arbeidsduur en werktijd moet door de werkgever worden ingewilligd, tenzij zwaarwegende bedrijfsbelangen zich daartegen verzetten. Voor het verzoek om aanpassing van de arbeidsplaats geldt dit criterium niet. Wel zal de werkgever het verzoek in overweging moeten nemen en daarover in overleg moeten gaan met de werknemer. 
  • Om een verzoek te kunnen indienen, moet de werknemer op de beoogde ingangsdatum ten minste 26 weken in dienst zijn. Het verzoek moet 2 maanden voor de ingangsdatum worden ingediend en de werkgever moet 1 maand voor de ingangsdatum een beslissing nemen over het verzoek.
  • De werknemer kan 1 keer per jaar een verzoek doen tot aanpassing.

Tip: Behandel ieder verzoek tot aanpassing serieus en beslis tijdig (anders wordt het verzoek van de werknemer automatisch ingewilligd). In geval van een verzoek tot aanpassing van de arbeidsduur is relevant dat de Arbeidstijdenwet in acht genomen wordt en in geval van een verzoek tot thuiswerken de Arbowetgeving.

Wet bescherming Persoonsgegevens

  • De naam van het College Bescherming Persoonsgegevens is veranderd in ‘de Autoriteit Persoonsgegevens’. De Autoriteit Persoonsgegevens kan direct boetes opleggen als de wet wordt overtreden. De maximale boete is € 820.000.
  • Er geldt een verplichting om aan de Autoriteit Persoonsgegevens een ernstig datalek te melden dat mogelijk leidt tot privacybescherming van personen in het gelekte databestand (bijvoorbeeld in geval van een ‘hack’ waarbij privé-gegevens buit zijn gemaakt). Op de site van de Autoriteit Persoonsgegevens staan beleidsregels over de meldplicht datalekken die helpen vast te stellen of er sprake is van een datalek dat gemeld moet worden.

Tip: Stel een stappenplan op dat weergeeft hoe datalekken te voorkomen en hoe te handelen in geval van een datalek (en check de verzekeringsportefeuille op dit punt).

Wet aanpak schijnconstructies

  • De bedragen op loonstroken moeten duidelijk zijn toegelicht. De Inspectie SZW kan werkgevers controleren en een boete opleggen in geval van tekortkomingen.
  • Werkgevers mogen het minimumloon niet meer contant betalen. Wat een werknemer meer verdient dan het minimumloon mag wel contant worden uitbetaald. Ook dit controleert de Inspectie SZW waarbij zij de namen van de organisaties bekend maakt die zijn gecontroleerd.

Tip: Betaal het (minimum)loon per bank en controleer of de loonstroken transparant zijn.

Safe Harbor biedt niet genoeg privacybescherming: wat nu?

Op 6 oktober 2015 verklaarde het Europese Hof van Justitie de zogenaamde “Safe Harbor regeling” ongeldig. De Safe Harbor regeling zorgt ervoor dat persoonsgegevens van Europese burgers kunnen worden doorgegeven naar de Verenigde Staten.

Wat is het Safe Harbor Programma?

In principe geldt er een verbod om persoonsgegevens naar buiten Europa (officieel: de “Europese Economische Ruimte”) door te geven naar een land waar geen “passend beschermingsniveau” voor de privacy is. In Amerika is er niet een dergelijke passend beschermingsniveau.

De Europese Commissie heeft al enige tijd geleden in samenwerking met de US Department of Commerce een zelf-certificeringsprogramma opgezet waardoor Amerikaanse bedrijven die zich aan bepaalde basis principes houden toch gegevens van Europese burgers kunnen ontvangen. Dit is het Safe Harbor programma. Binnen dat programma, is de gedachte, is er dus wel een “passend beschermingsniveau”. Veel bedrijven maken hier gebruik van. Niet alleen bedrijven die clouddiensten aanbieden aan Europese burgers, zoals Google, Facebook, Microsoft en Amazon maar ook multinationals die hun hoofdkantoor in de VS hebben en gegevens van Europese werknemers in de VS hosten en verwerken.

Maar door de onthullingen van de NSA-praktijken door Edward Snowden is duidelijk geworden dat het Safe Harbor programma geen bescherming biedt tegen de “snuffelpraktijken” van Amerikaanse overheidsinstanties. Interessant detail daarbij is dat Amerikaanse burgers wél een bepaalde mate van bescherming genieten maar Europese burgers niet omdat zij als niet-Amerikaanse burgers geen beroep kunnen doen op de Amerikaanse wetgeving.

Wat nu?

Wat betekent het oordeel van het Hof voor bedrijven die gegevens van Europese burgers doorgeven naar de Verenigde Staten? In feite heeft het oordeel tot gevolg dat de gegevens niet meer mogen worden doorgegeven op basis van het Safe Harbor programma.

Er is een belangrijk alternatief voor handen en dat is het sluiten van een zogenaamd “Model contract voor doorgifte” van de Europese Commissie. Als een dergelijk contract wordt gesloten met de ontvanger van de gegevens, wordt er geacht een “passend beschermingsniveau” te zijn.

Het is echter nog te bezien of ook die modelcontracten de toets van het Europese Hof van Justitie kunnen doorstaan. Want ook die bieden geen volledige bescherming tegen het inzien of opvragen van gegevens door lokale overheidsinstanties. Hoewel in het contract wel dezelfde “toets” wordt voorgeschreven als die we in Europa hebben voor toegang door overheidsinstanties, moet nog maar blijken of lokale overheidsinstanties daar ook zo over denken. We weten dat de Amerikaanse overheidsinstanties dat in ieder geval niet doen.

Desondanks ziet het er op dit moment naar uit dat het sluiten van een modelcontract tussen de Europese “gegevensexporteur” en de Amerikaanse “gegevensimporteur” het realistische alternatief is om de gegevens op een geldige manier naar de Verenigde Staten door te geven. Tenzij het gaat om doorgifte binnen een concern dat zogenaamde “Binding Corporate Rules” heeft, dan kan doorgifte op basis daarvan geschieden.

Het is wachten hoe de Europese Commissie en de nationale toezichthouders op het arrest van het Hof zullen reageren, en of er overleg met de Verenigde Staten zal volgen om te zien hoe doorgifte wel mogelijk kan worden gemaakt. Want dat het arrest belangrijke consequenties voor de trans-Atlantische economie heeft, dat is wel duidelijk.

Vergeet mij toch maar liever wel

Het “Google arrest” van het Europese Hof van Justitie (Hof van Justitie EU 13 mei 2014, zaaknummer C-131/12) deed vorig jaar veel stof opwaaien. Doordat het Hof van Justitie vaststelde dat het “recht om vergeten te worden” ook geldt voor zoekmachines was de angst dat de informatievrijheid in het geding zou komen en er “internetcensuur” zou ontstaan.

Container kwestie

Dat Google niet alle resultaten “censureert” blijkt onder meer uit een recent vonnis van de rechtbank Amsterdam. Het ging in dit geval over een partner van accountantskantoor KPMG dat een geschil had met zijn aannemer die zijn woonhuis had verbouwd. De partner had een rekening van 200.000 euro niet betaald omdat hij ontevreden was over het schilderwerk. Vervolgens verving de aannemer de sloten van het huis waardoor de partner en zijn gezin langere tijd in “containers” bij het huis moesten wonen.

De Telegraaf pikte het geschil op en vervolgens werd dit min of meer breed uitgemeten in een aantal andere (landelijke) media. Natuurlijk kwamen daardoor allerlei artikelen naar voren in de Google resultaten als de naam van de man werd ingetoetst. De man vroeg daarom om de links naar de artikelen te verwijderen. De man stelde bij de rechter dat het geschil twee en half jaar oud was, dat zijn gezin regelmatig met de kwestie werd geconfronteerd en dat het slecht was voor zijn professionele profiel en carrière.

De rechter gaat hier niet in mee.

Relevantie zoekresultaten

Opvallend is dan dat de rechter zegt dat het bij de toepassing van het zogenoemde ‘verwijderingsrecht’ vooral gaat om de relevantie van de gevonden zoekresultaten, en niet zozeer om de vraag of de inhoud van (in dit geval) de gevonden artikelen zelf ontoereikend, irrelevant of bovenmatig is. Als de man wilde dat de artikelen werden verwijderd dan had hij dat moeten verzoeken op grond van onrechtmatige perspublicatie want het verwijderingsrecht is niet bedoeld om onwegevallige maar niet onrechtmatige artikelen aan het zich van het publiek te onttrekken, aldus de rechter.

Dit is volgens mij in strijd met het oordeel van het Hof van Justitie dat het recht op verwijdering ook bestaat als de artikelen zelf rechtmatig zijn (r.o. 88 arrest). Het Hof zei dit omdat de media zich vaak kunnen beroepen op een wettelijke uitzondering voor het verwerken van persoonsgegevens. Zoekmachines kunnen dat dus juist niet want zij bedrijven geen journalistiek.

Daarnaast: als de inhoud van de artikelen niet relevant is bij de beoordeling of de resultaten relevant zijn, hoe kan dan worden beoordeeld of die resultaten nog relevant zijn? Dat lijkt mij niet juist.

Google en rechter: te grote nieuwswaarde om te verwijderen

Vervolgens gaat de rechter wel ín op de inhoud van de artikelen. Google heeft allerlei redenen aangevoerd waarom de artikelen nieuwswaarde hebben en de resultaten niet zouden moeten worden aangepast. Zij zegt onder andere dat de artikelen verband houden met de discussie over de financiële moraal van topmannen uit het bedrijfsleven, waartoe eiser kan worden gerekend als partner bij KPMG – er staat alleen niet vast dat deze partner ook betrokken was bij de KPMG fraude. En omdat de artikelen zijn verschenen in diverse nationale media vond Google dat het kennelijk zo veel nieuwswaarde had dat de resultaten niet moesten worden verwijderd. Ook zegt Google dat de artikelen nog relevant zijn omdat ze stammen uit de periode 2012-2014. Terzijde: er is volgens mij niet veel nieuwswaarde nodig om in de Telegraaf te worden genoemd en de artikelen hebben meer weg van leedvermaak dan daadwerkelijke nieuwswaarde.

De rechter volgt de argumenten van Google en zegt dat, hoewel het goed voorstelbaar is dat eiser het onprettig vindt om steeds door kennissen of zakelijke contacten te worden geconfronteerd met de ‘container-kwestie’, dit niet opweegt tegen “het recht van Google op informatievrijheid”. Daarbij speelt voor de rechter een rol dat niet valt in te zien dat de genoemde artikelen, zoals de man stelt, onnodig diffamerend zijn voor hem. Dat hij een geschil had met een aannemer, zoals de verschillende media berichten, zegt niets over zijn verwijtbaarheid. Ook valt niet in te zien dat het feit dat de man langer dan nodig in een noodwoning met containers heeft moeten wonen diffamerend is voor hem, “hij woonde daar immers al maanden”.

Doorstaat het oordeel de toets van het Google arrest?

Hoewel het oordeel van de rechter niet verrassend is, mede gezien de storm van kritiek na het Google arrest omdat het internet gecensureerd zou worden maar ook wel door de manier waarop de KPMG-partner in de media neer wordt gezet (als een “rode bretels drager” die veel geld uit geeft), denk ik niet dat het in dit geval de toets van het Google-arrest van het Hof van Justitie zal doorstaan.

Wat vooral opvallend is, is dat de rechter de volgende algemene overweging maakt, die ook al eerder in een uitspraak van de Amsterdamse rechter terugkwam:

“Allereerst wordt overwogen dat terughoudendheid is geboden bij het opleggen van beperkingen aan de werking van een zoekmachine als Google Search. Zoekmachines als Google Search vervullen immers een belangrijke maatschappelijke functie. De functie van catalogus, die de zoekmachine in feite is, zou ernstig worden belemmerd indien strenge beperkingen aan de werking ervan zou worden opgelegd en daarmee zou de zoekmachine aan geloofwaardigheid inboeten. Het ‘verwijderingsrecht’is een uitzondering op het algemene uitgangspunt op het recht van Google Inc op informatievrijheid, waaraan strenge eisen worden gesteld.”

Dit staat volgens mij lijnrecht tegenover de interpretatie die het Hof van Justitie in het Google arrest aan de afweging van de belangen geeft.

Het Hof stelde daarin eerst vast dat Google zoekresultaten de persoonlijke levenssfeer ernstig kunnen aantasten omdat daardoor op eenvoudige wijze wereldwijd een min of meer gedetailleerd profiel van een persoon kan worden verkregen. Dit wordt nog versterkt door de rol die zoekmachines spelen in de moderne maatschappij. Gelet op de potentiële ernst van de inmenging moet worden vastgesteld dat zij niet kan worden gerechtvaardigd door louter het economisch belang dat de exploitant van een dergelijke zoekmachine bij deze verwerking heeft.

Maar, omdat de verwijdering van de koppelingen uit de resultatenlijst, naargelang van de betrokken informatie, gevolgen kan hebben voor het gerechtvaardigde belang van de internetgebruikers die potentieel toegang daartoe willen krijgen (het Hof van Justitie zegt hier niet het “grondrecht” op “informatievrijheid” van internetgebruikers of van Google), moet worden gezocht naar een juist evenwicht tussen dat belang en het recht op eerbiediging van de persoonlijke levenssfeer.

Van belang is dat het Hof vervolgens vaststelt dat in de regel het recht op eerbiediging van de levenssfeer voorrang heeft boven de belangen van internetgebruikers en in bijzondere gevallen daar een uitzondering voor kan worden gemaakt. Of dat het geval is zal afhangen van de aard van de betrokken informatie en de gevoeligheid ervan voor het privéleven van de betrokkene en van het belang dat het publiek erbij heeft om over deze informatie te beschikken, wat met name wordt bepaald door de rol die deze persoon in het openbare leven speelt.

Het uitgangspunt is dus eerbiediging van de persoonlijke levenssfeer en daarop kan een uitzondering op worden gemaakt in het belang van het publiek op toegang tot de informatie. De rechtbank draait dit dus om en zegt dat “het recht van Google op informatievrijheid” als uitgangspunt geldt waar bovendien “strenge eisen” aan worden gesteld (niet duidelijk is wat die eisen dan zijn) en – in feite – de eerbiediging van de persoonlijke levenssfeer als uitzondering geldt.

Persoonlijke mening

Als je in dit geval de impact bekijkt op de privé-sfeer van de KPMG-partner en van zijn familie en op zijn professionele leven: het gaat om een privé-geschil dat niet relevant is voor zijn professionele leven, het is min of meer toevallig dat er in die periode een affaire was rond het kantoor waar hij partner is (maar waar hij kennelijk niet betrokken bij was) en het is inderdaad niet bepaald bevordelijk voor je professionele profiel als dit soort artikelen naar voren komen wanneer klanten je naam intoetsen – dan lijkt mij die impact vele malen groter dan het belang van het publiek om iets te weten over een eigenlijk oninteressante privékwestie van een KPMG partner, dat al twee en half jaar eerder is opgelost. Bovendien kunnen mensen die wel geïnteresseerd zijn in de kwestie de artikelen via Google vinden met zoekwoorden als “KPMG-partner” en “container” (probeer het maar eens) dus de informatievrijheid komt daardoor naar mijn mening niet in het geding.

Facebook en het recht om niet gebruikt te worden…

Er is de laatste tijd weer veel ophef over de ‘nieuwe’ Facebook (privacy)voorwaarden die op 30 januari 2015 worden ingevoerd. Op basis van die voorwaarden zou Facebook zelfs eigenaar worden van alle content die je plaatst. Dus ook van de foto’s. En met die foto’s mag Facebook dus doen wat ze wil. Ook gebruiken in advertenties. Dat heeft tot grote consternatie en zelfs paniek geleid.

Dat is toch wel opmerkelijk. Iedereen met een Facebook-account plaatst zijn of haar hele hebben en houden op Facebook om allerlei (met name privé)aangelegenheden te delen met zoveel mogelijk mensen zodat letterlijk iedereen kan zien wat je wanneer aan het doen bent, wat je meemaakt, hoe je kinderen eruit zien, hoe ze opgroeien et cetera. Dat wordt door veel mensen volkomen normaal gevonden. Maar op het moment dat Facebook wat (kleine) veranderingen aanbrengt in de voorwaarden, staan gebruikers op hun achterste benen en draait alles opeens om hun privacy.

Dat de privacy van social media gebruikers niet altijd gewaarborgd is, bewijst Koppie Koppie. Daarop worden koffiemokken aangeboden met foto’s van kinderen die wel eens op internet geplaatst zijn. Niet om geld mee te verdienen, maar om mensen bewust te maken van hun gedrag op social media (aldus de oprichters).

Facebook mocht al lang gebruik maken van content die door de gebruikers op hun account wordt geplaatst. In de huidige voorwaarden staat bijvoorbeeld dat je Facebook

“een niet-exclusieve, overdraagbare, royaltyvrije, wereldwijde licentie [geeft] om alle IE-inhoud te gebruiken die je plaatst op Facebook of in verband met Facebook (IE-licentie). Deze IE-licentie eindigt wanneer je jouw IE-inhoud of je account verwijdert, tenzij je jouw inhoud hebt gedeeld met anderen en zij de inhoud niet hebben verwijderd.” en

“Je geeft ons toestemming je naam, profielfoto, inhoud en informatie (zoals een merk dat je leuk vindt) te gebruiken voor commerciële, gesponsorde of gerelateerde inhoud die door ons wordt aangeboden of verbeterd. Dit betekent bijvoorbeeld dat je een bedrijf of een andere entiteit toestaat ons te betalen om je naam en/of profielfoto met je inhoud of informatie te tonen, zonder dat je daarvoor compensatie krijgt. Als je een specifieke doelgroep hebt geselecteerd voor je inhoud of informatie, respecteren we bij het gebruik je keuze.”

Dat gaat dus – in theorie – heel ver. Het Tv-programma Radar besteedde deze week een item aan de (nieuwe) voorwaarden van Facebook. Bij Radar kwam aan de orde dat op Facebook geplaatste foto’s in advertenties op billboards kunnen worden geplaatst. Ook werd de nieuwe app ‘Reclaim’ onder de aandacht gebracht, opgericht door onder andere presentator Sipke Jan Bousema. Met Reclaim kunnen gebruikers een watermerk aanbrengen in hun foto’s zodat die niet meer aantrekkelijk zijn om te worden gebruikt in advertenties. Maar volgens Facebook zelf worden helemaal geen foto’s en dergelijke in advertenties gebruikt. Daar hebben ze helemaal geen belang bij.

Er zijn nog steeds misvattingen over de rechten op geplaatste content en foto’s. Webwereld.nl meldde deze week bijvoorbeeld – net zoals Bousema al liet weten bij Radar – dat Facebook de (eigendoms)rechten zou krijgen op de op Facebook geplaatste content en dus ook op de foto’s die gebruikers op hun Facebook account plaatsen (dit bericht heeft Webwereld inmiddels aangepast). Maar dat kan helemaal niet. Voor het overdragen van je auteursrechten is immers een (schriftelijke en ondertekende) overdrachtsakte nodig. Je geeft Facebook ‘slechts’ de bovengenoemde licentie.

Dus waar is al die ophef voor nodig?

Wanneer geldt de Wet Bescherming Persoongegevens?

Wanneer is de Wet Bescherming Persoonsgegevens (Wbp) eigenlijk van toepassing?

Geen onbelangrijke vraag, want als de Wbp van toepassing is, dan moeten de daarin vastgelegde regels worden gevolgd. En als dat niet zo is, dus niet.

Artikel 2 van de Wbp geeft het antwoord. Daarin staat:
“Deze wet is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, alsmede de niet geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen”.

Eenvoudiger gezegd: de Wbp geldt voor vrijwel alle handelingen met persoonsgegevens:

1. die geheel of gedeeltelijke geautomatiseerd (ook wel: gedigitaliseerd) plaatsvindt – denk dus aan het aanleggen en opvragen van elektronische bestanden, elektronisch versturen van berichten of elektronische uitwisseling van data; óf

2. die fysiek (ook wel: handmatig) plaatsvindt, maar dan alleen als de persoonsgegevens in een bestand staan of bedoeld zijn om daarin te worden opgenomen. Het meest voor de hand liggende voorbeeld is de kaartenbak.

Met “bestand” bedoelt de wet hier een gestructureerd geheel van persoonsgegevens dat makkelijk kan worden doorzocht. Het gaat dus niet om “bestand” in zin van een computerbestand, zoals een pdf document.

Wat zegt de Europese Privacy Richtlijn?

Artikel 2 is vrijwel één-op-één overgenomen van artikel 3 uit de Europese Privacy Richtlijn. Die Richtlijn schrijft voor hoe de Europese landen de privacy-regels in hun eigen wetten op moeten nemen.

In de toelichting op artikel 3 van de Richtlijn staat het volgende:

“verwerkingen die op [persoonsgegevens] betrekking hebben [vallen] slechts onder deze richtlijn als zij geautomatiseerd zijn of als de betrokken gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand dat gestructureerd is volgens specifieke persoonscriteria teneinde een gemakkelijk toegang tot de betrokken persoonsgegevens mogelijk te maken.”

Hieruit blijkt dat het gaat om óf geautomatiseerde verwerkingen óf om verwerkingen waarbij de gegevens zijn of bedoeld zijn om te worden opgenomen in een gestructureerd bestand.

Ook het Hof van Justitie EU oordeelde in de zaak Lindqvist dat de Privacy Richtlijn al van toepassing is als persoonsgegevens louter geheel of gedeeltelijk geautomatiseerd worden verwerkt. In die zaak ging het om persoonsgegevens die op een website waren gezet. De vraag of de gegevens waren opgenomen in een bestand kwam daarbij in het geheel niet aan de orde.

In Nederland soms anders

Toch wordt daar in Nederland niet altijd zo over gedacht. Eén van de hoogste rechtscolleges in ons land, de Afdeling Bestuursrechtspraak van de Raad van State lijkt er namelijk van uit te gaan dat de Wbp alléén van toepassing is als persoonsgegevens zijn opgenomen in een bestand (of daarvoor bedoeld zijn), ongeacht de vraag of die persoonsgegevens geautomatiseerd of fysiek worden verwerkt.

De Raad van State oordeelde op 30 januari 2013 dat bepaalde persoonsgegevens die in digitale documenten stonden – in essentie – niet onder de Wbp vielen omdat die documenten geen onderdeel van een gestructureerd bestand vormden. Ook de Rechtbank Rotterdam geeft een dergelijk oordeel in een recente uitspraak, onder verwijzing naar het oordeel van de Raad van State in januari 2013.

Deze conclusies zijn naar mijn mening onjuist. Uit de hiervoor aangehaalde tekst van de Privacy Richtlijn en (in ieder geval) de Lindqvist uitspraak volgt dat het óf om geautomatiseerde verwerkingen moet gaan óf om fysieke verwerkingen van persoonsgegevens die in een bestand zijn opgenomen of daarvoor bedoeld zijn. Dus voor geautomatiseerde verwerkingen geldt niet per sé dat ze in een bestand moeten zijn opgenomen om onder de Wbp te vallen.

Nederlandse wetsgeschiedenis onduidelijk

Het kan zijn dat de Nederlandse wetsgeschiedenis verwarring heeft veroorzaakt omdat het op dit punt niet overal even duidelijk is. De Afdeling Bestuursrechtspraak lijkt zich te hebben laten leiden door de volgende passage uit de wetsgeschiedenis, omdat hij de schuine tekst letterlijk aanhaalt in zijn uitspraak:

“In de begripsomschrijving van «bestand» hebben de vereisten [dat het bestand bestaat uit een structureel en systematisch toegankelijk is] echter een ruimer bereik: ook de geautomatiseerde gegevensverwerkingen moeten aan beide vereisten voldoen wil er sprake zijn van een bestand.”

Maar uit deze passage volgt niet dat de Wbp alléén van toepassing zou zijn als de geautomatiseerde persoonsgegevens in een bestand staan, of daarvoor bedoeld zijn. Dat zou ook niet in lijn zijn met een andere passage uit de wetsgeschiedenis, die toch wel weer tamelijk duidelijk is:

“Het begrip «bestand» is in het onderhavige wetsvoorstel enkel van belang als criterium voor de afbakening van de reikwijdte van het wetsvoorstel en bepaalde onderdelen daarvan. Wat betreft de niet-geautomatiseerde verwerkingen vallen alleen bestanden, en dus bijvoorbeeld niet ongestructureerde dossiers onder het toepassingsbereik van dit wetsvoorstel (artikel 2, eerste lid).”

Hieruit volgt dat geautomatiseerde verwerkingen altijd onder het toepassingsbereik van de Wbp vallen óók als ze niet onderdeel uitmaken van een bestand.

Een onwenselijke conclusie

Als zou worden aangenomen dat de Wbp alléén op geautomatiseerde verwerkingen van persoonsgegevens van toepassing is als die gegevens onderdeel uitmaken een bestand, dan zou de reikwijdte van de Wbp aanzienlijk worden beperkt en dat lijkt mij onwenselijk.

Naschrift

Inmiddels is de Raad van State zelf ook van mening dat voornoemde conclusie onjuist is. In dit arrest uit 2014 zegt de Raad van State uitdrukkelijk dat de Wbp van toepassing is op geautomatiseerde verwerkingen en op niet-geautomatiseerde verwerkingen van gegevens die bedoeld zijn om in een bestand op te worden genomen en dat de eis dat de gegevens een bestand moeten worden niet geldt voor geautomatiseerde verwerkingen.

Registratie bij zwarte lijst telecomproviders niet altijd juist

Waarschijnlijk heeft iedereen wel eens een telefoonrekening niet betaald. Ofwel omdat hij het niet kan, of omdat hij is verhuisd, of omdat er een fout is gemaakt in de rekening of omdat hij het om een andere reden niet eens is met de rekening. Soms, of misschien vaker dan soms, volgt dan registratie in de zwarte lijst van de Stichting Preventel.

Wat is Preventel?

Telecomproviders hebben blijkbaar met zoveel wanbetalers te maken dat er een aparte stichting voor is opgezet met de naam Preventel. Preventel houdt een zwarte lijst bij waarin wanbetalers worden opgenomen. Als de wanbetaler dan bij een van de aangesloten operators een contract wil afsluiten kan hij vanwege de registratie bij Preventel als klant worden geweigerd. Dat op zich kan behoorlijk vervelend zijn en is al helemaal niet terecht als je geen “echte” wanbetaler bent.

Het schijnt bijzonder lastig te zijn om contact te krijgen met Preventel, en ook lang te duren voordat er antwoord komt met inzicht in de eigen. Ik ken iemand die daarvoor drie brieven moest schrijven. Brenno de Winter schreef er in 2009 al een artikel over op Webwereld.

Niet alleen echte wanbetalers worden aangemeld

Het probleem met Preventel is dat telecomproviders niet alleen maar de echte wanbetalers in de zwarte lijst laten zetten. Ook wanneer er een goede reden is om een rekening niet te betalen gebeurt dat. Met het gevolg dat je onterecht wordt “achtervolgd” door de Preventel registratie en geen telefoonabonnement meer af kan sluiten.

Dit overkwam ook een bedrijf uit Beek. Het bedrijf had een geschil met Vodafone over de vraag of er wel of niet een overeenkomst tot stand was gekomen. Vodafone stuurde facturen die het bedrijf betwistte. Na vijf aanmaningen waar geen betaling op volgde werd het bedrijf bij Preventel aangemeld. Met als gevolg dat ze geen telefoonabonnement af kon sluiten bij een andere provider.

Het bedrijf vordert bij de Rechtbank Maastricht dat Vodafone en Preventel de registratie van het bedrijf uit de zwarte lijst halen. De Rechtbank geeft het bedrijf gelijk: de registratie moet worden verwijderd. Preventel schrijft zelf op haar website dat zij een maatschappelijk doel dient, namelijk om mensen en bedrijven tegen zichzelf te beschermen en niet verplichtingen aan te gaan die zij niet na kunnen komen. Hieruit volgt volgens de rechtbank dat aanmelding bij Preventel alleen kan worden gedaan wanneer de wanbetaling het gevolg is van financieel onvermogen van de aanvrager. Daar valt niet “wanbetaling” onder die verband houdt met een zakelijk conflict over de verschuldigdheid van abonnementskosten. Vodafone heeft ook tijdens de rechtszaak niet de indruk weg kunnen nemen dat oneigenlijk gebruik is gemaakt van de Preventel registratie om het bedrijf tot betaling te dwingen.

Telecomproviders moeten gerechtvaardigd belang hebben

Het oordeel van de rechtbank lijkt mij juist. De telecomproviders moeten op grond van de Wet Bescherming Persoonsgegevens een gerechtvaardigd belang hebben bij het aanmelden van niet-betalingen en dat belang moet bovendien zwaarder wegen dan het belang van de niet-betaler. Naar mijn mening weegt dat gerechtvaardigd belang van de telecomprovider zwaarder bij echte wanbetaling zonder reden of als gevolg van financieel onvermogen. Maar dat belang weegt niet zwaarder wanneer iemand niet betaalt omdat hij een factuur betwist of om andere goede redenen. De telecomprovider mag dan niet bij Preventel aanmelden en handelt naar mijn mening in strijd met de Wet Bescherming persoonsgegevens door dat wel te doen.

Extra zorgvuldigheid geboden bij branche-brede zwarte lijsten

Bij zwarte lijsten die binnen een branche worden gedeeld moet extra terughoudend met aanmeldingen worden omgegaan omdat iemand dan volledig van een bepaalde dienst kan worden uitgesloten. In de zaak van Vodafone gaf Vodafone zelf toe dat, als je eenmaal in de zwarte lijst bent opgenomen, geen van de aangesloten providers nog een contract met je wilt sluiten. Ook gaf Vodafone toe dat er na 5 aanmaningen automatisch een aanmelding bij Preventel volgt, blijkbaar ongeacht de reden voor het niet betalen.

De telecomproviders zouden intern dus een (betere) procedure moeten hebben om vast te stellen wanneer iemand bij Preventel mag worden aangemeld of niet. Ook moeten ze de betreffende persoon informeren over het feit dat ze hem hebben aangemeld bij Preventel. Anders voldoen zij niet aan de Wet Bescherming Persoonsgegevens. Wellicht iets voor het College Bescherming Persoonsgegevens om eens een onderzoek naar te doen, nu ze toch al met de telecomproviders bezig zijn?

Melding Preventel bij het CBP kennelijk niet compleet

Interessant is nog dat de melding van Preventel bij het College Bescherming Persoonsgegevens (zie hier) kennelijk niet volledig en actueel is. In die melding staat dat alleen KPN, Vodafone, T-Mobile, Orange (valt nu onder T-Mobile) en Debitel aangesloten zijn terwijl Preventel op de website zelf schrijft zij dat ook Telfort, Tele2, RaboMobiel, Yes Telecom, Ben (bestaat dat nog?) en Connect-it aangesloten zijn.

Uitspraak Rechtbank er bij pakken

Dus: degene die er achter komt dat hij ten onrechte door een telecomprovider bij Preventel is geregistreerd kan deze uitspraak van de Rechtbank Maastricht er bij pakken om te beargumenteren dat die registratie niet geldig was, en dat hij uit het register moet worden verwijderd. Wie weet helpt dat.

Versoepeling cookieregels komt dichterbij

Het is zo ver: de regering heeft het wetsvoorstel voor het versoepelen van de cookiesregels gelanceerd. Vanaf 20 mei 2013 mag iedereen die dat wil (in de komende zes weken) opmerkingen maken op het wetsvoorstel: Zie hier

Hoe zat het ook al weer met de cookiesregels?

Ja, hoe zat het ook al weer met de cookieregels? De “cookieregels” zijn vastgelegd in artikel 11.7a Telecommunicatiewet. Op dit moment staat daarin dat iemand die een website bezoekt toestemming moet geven voor het plaatsen van cookies op zijn computer of smart phone en daarover duidelijke informatie moet krijgen. Dit is niet nodig voor het plaatsen van cookies die alleen worden gebruikt om de communicatie via het internet mogelijk te maken en ook niet voor “functionele cookies” die strikt noodzakelijk zijn om de website goed te laten werken. Bekend voorbeeld is de cookie die nodig is om het winkelmandje vol te laden.  Omdat de cookieregels vooral voor hinder zorgen op het internet, ook wanneer de privacy niet in het geding is, wil de regering het aantal cookies waarvoor toestemming moet worden gevraagd verminderen.   

Omdat de cookieregels vooral voor hinder zorgen op het internet, ook wanneer de privacy niet in het geding is, wil de regering het aantal cookies waarvoor toestemming moet worden gevraagd verminderen.

Wat is straks de bedoeling?

Het is de bedoeling dat straks meer cookies onder de uitzondering gaan vallen. Voor die cookies is het dan niet nodig om toestemming te vragen en de gebruiker te informeren. Het gaat om cookies die worden gebruikt om informatie over de “kwaliteit of effectiviteit” van een website te geven.

In feite gaat het om de volgende cookies:

Analytical cookies – Zowel first party als third party analytical cookies vallen onder de uitzondering. Voor Google Analytics cookies hoeft dus straks geen toestemming meer te worden gevraagd en ook geen informatie te worden gegeven.

Voorwaarde is wel dat de websitehouder of derde die de gegevens ontvangt (lees: Google) de gebruiksgegevens niet gebruikt om dingen te doen die wel een impact hebben op de privacy van de gebruiker, zoals profielen maken.

Ook geldt als voorwaarde dat wanneer de websitehouder de gegevens aan derden doorgeeft hij met die derde een overeenkomst moet sluiten. In die overeenkomst moet dan staan dat de derde de gegevens niet voor eigen doeleinden mag gebruiken of alleen voor bepaalde in de overeenkomst vastgelegde doeleinden die geen impact hebben op de privacy. Ik ben benieuwd welke websitehouder als eerste voor elkaar zal krijgen dat Google zich hier aan committeert.

A/B test cookies – Cookies die alleen maar worden geplaatst om na te gaan welke advertenties het beste presteren vallen ook onder de uitzondering.

Affiliate cookies – De affiliate marketing lobby kan in zijn handen wrijven: ook affiliate cookies die alleen maar worden gebruikt om na te gaan welke advertentie heeft geleid tot een aankoop vallen ook onder de uitzondering.

De test en affiliate cookies zijn niet bedoeld om informatie over de gebruiker te verzamelen maar alleen over de advertentie respectievelijk de adverteerder. Daarom zullen ze an sich geen impact hebben op de privacy van de gebruiker.

Als de gegevens zouden worden gebruikt om bijvoorbeeld advertenties aan te bieden op basis van profielen dan moet er wel worden geïnformeerd en toestemming worden gevraagd. Voor tracking cookies moet dan ook wel altijd toestemming worden gevraagd en informatie worden gegeven.

Om toch een beetje mee te kunnen gaan met de technologische ontwikkelingen schrijft de regering dat de ACM (de nieuwe OPTA) in beleidsregels kan omschrijven welke nieuwe soorten cookies nog meer onder de uitzondering vallen.

Hoe moet je toestemming (“informed consent”) vragen?

Over de manier waarop toestemming moet worden gevraagd voor het plaatsen van de cookies bestaat nog steeds veel onduidelijkheid. Zelfs ondanks de frequent ge-update FAQ´s van de OPTA. Bij het wetsvoorstel wordt nu verduidelijking gegeven. Het gaat om een uitleg van de bestaande cookiesregels. De wet verandert dus niet op dit punt.

Dit is hoe je als website houder toestemming kunt vragen: wanneer de gebruiker op jouw website komt moet hij eerst op duidelijke en begrijpelijke manier informatie krijgen over het feit dat je cookies wilt plaatsen. Als je daarbij zegt dat de gebruiker toestemming geeft voor het plaatsen van de cookies door “verder te surfen” op de website, en hij doet dat vervolgens, dan kan daaruit worden af geleid dat hij toestemming heeft gegeven. Let op: dit betekent dus dat de cookies pas mogen worden geplaatst nadat de gebruiker ergens op de website heeft doorgeklikt, niet meteen als de website voor het eerst in de browser wordt geopend.

Een “ik ga akkoord” knop is dus niet nodig – maar het mag natuurlijk wel.

Wat gebeurt er met mijn meetgegevens?

Wat gebeurt er met mijn meetgegevens?

Zoals eerder bericht zie hier zijn meetgegevens uit de slimme meter aan te merken als persoonsgegevens. Dit betekent dat de meetgegevens onder de Wet Bescherming Persoonsgegevens (Wbp) vallen. De energieleveranciers hebben een privacygedragscode voor de omgang met meetgegevens opgesteld zie hier en het College Bescherming Persoonsgegevens (CBP) keurde deze op 8 januari 2013 goed zie hier.

In een reeks blogberichten ga ik op deze Gedragscode in. In dit blogbericht ga ik in op de grondslagen en doeleinden voor het verwerken van meetgegevens.

Grondslagen voor verwerking persoonsgegevens

Om persoonsgegevens, dus ook meetgegevens, te kunnen verwerken is een “grondslag” nodig. Dat kan alleen maar op één of meer van zes in de Wbp (artikel 8) genoemde gronden.

Deze zijn kort gezegd:

a.⇥op grond van ondubbelzinnige toestemming,
b.⇥op grond van een overeenkomst met de betrokkene (dit is degene op wie de gegevens betrekking hebben),
c.⇥het is noodzakelijk om een wettelijke plicht te vervullen,
d.⇥als dat nodig is in verband met een “vitaal belang” van de betrokkene,
e.⇥door een bestuursorgaan (waarover helemaal onderaan nog een opmerking), of
f.⇥een gerechtvaardigd belang van degene die de gegevens verwerkt. Als uitgangspunt geldt dat deze laatste grond een restcategorie vormt voor de verzameling van persoonsgegevens.

Grondslag verwerking meetgegevens wetsgeschiedenis

Deze zes grondslagen zijn vrijwel één op één overgenomen in de Gedragscode. Dit riep bij mij meteen vragen op, want over de grondslag voor het verwerken van meetgegevens uit de slimme meter is veel gezegd tijdens de parlementaire behandeling van het wetsvoorstel over de slimme meter, maar niet over de grondslagen onder b, d, e of f.

De indruk die ik uit de wetgeschiedenis kreeg was dat de meetgegevens door leveranciers mochten worden verwerkt op basis van een wettelijke plicht (sub c) in de zogenaamde “standaard situatie” en dat voor ander gebruik de ondubbelzinnig toestemming van de afnemer nodig was (sub a).

Maar dit is kennelijk niet het geval. Tenminste, blijkens de Gedragscode mag de verwerking van de meetgegevens op één van de zes genoemde grondslagen worden gebaseerd.
Het lijkt mij dat alleen de eerste verzameling (verwerking) van de meetgegevens moet zijn gebaseerd op de wettelijke plicht van het verzamelen van de gegevens in de “standaard situatie” – tenzij er ondubbelzinnige toestemming is gegeven. Voor het eventueel verder verwerken van de meetgegevens zou dan een andere grondslag kunnen gelden – ervan uitgaande dat dit verder verwerken niet in strijd is met het doel waarvoor de meetgegevens zijn verzameld.   

Doeleinden in de Gedragscode

Persoonsgegevens mogen alleen voor welbepaalde doeleinden worden gebruikt.

De Gedragscode schrijft voor dat de meetgegevens alleen voor de volgende doeleinden mogen worden verwerkt:

1.⇥het twee maandelijks verstrekken van inzicht in het energieverbruik,
2.⇥ten behoeve van facturatie, verhuizing en switchen van leverancier, oftewel: de “standaard situatie”;
3.⇥advies over energie besparen, efficientere teruglevering en variabele tarifering,
4.⇥het beantwoorden van vragen en verstrekken van inlichtingen over het verbruik, oftewel: “overige diensten”;
5.⇥marketing gerelateerde doeleinden;
6. interne beheersdoeleinden.

Verenigbare doeleinden?

De Wbp schrijft voor dat persoonsgevens niet verder mogen worden verwerkt op een manier die onverenigbaar is met het oorspronkelijke doel waarvoor ze zijn verzameld.

In de Gedragscode wordt gezegd dat de meetgegevens die in de standaard situatie worden verzameld ook gebruikt kunnen worden voor de “overige diensten” zoals energiebesparingsadviezen en advies over efficiente teruglevering, maar ook voor marketing doeleinden, waaronder marketing van diensten of producten van dochterondernemingen en (onder voorwaarden) voor interne beheersdoeleinden.

Ik vraag mij af dit in overeenstemming is met de opzet van de relevante artikelen in de Elektriciteitswet en Gaswet.

Door de minister is destijds uitdrukkelijk gezegd dat, bij het verzamelen van de gegevens:

“kan niet voorbij worden gegaan aan het belang van een zo helder mogelijke afbakening van het doel waarvoor persoonsgegevens verwerkt kunnen worden. Om die reden is samen met de sector nog eens kritisch gekeken naar de frequentie waarmee door de sector gegevens worden verzameld en verwerkt en is de afbakening, zoals beschreven in het wetsvoorstel marktmodel, geëxpliciteerd. In de eerste plaats wordt voorgesteld in de wet een expliciete verbinding te leggen tussen het verzamelen van persoonsgegevens en de beoogde doelen van de wetsvoorstellen marktmodel en energie efficiëntie (doelmatig netbeheer, juist factureren, snellere gegevensverwerking en inzicht geven in het energieverbruik).”

De laatste onderstreping geeft de “standaard situatie” weer: het oorspronkelijke doel van de gegevensverwerking. De geciteerde tekst lijkt gezien de expliciete verbinding met de taken van de leverancier tot gevolg te hebben dat de gegevens die in de standaard situatie worden verzameld niet zomaar voor andere doeleinden mogen worden gebruikt, zoals energiebesparingsadviezen, advies over efficiente teruglevering, voor het beantwoorden van vragen van afnemers, voor marketing doeleinden of interne beheersdoeleinden zoals in de Gedragscode wordt genoemd.

Maar de minister zegt later in het zelfde stuk:

“De leverancier of een derde partij kan de kleinverbruiker actief benaderen voor het geven van bijvoorbeeld energiebesparingsadviezen of andere diensten. Zo ligt in de lijn der verwachting dat er verschillende tariefpakketten aangeboden zullen worden aan de kleinverbruiker, die meer zijn toegesneden op het specifieke profiel van de betreffende kleinverbruiker.”

Het lijkt er dus op dat de wetgeschiedenis aanvaardt dat het verder verwerken van de meetgegevens voor het benaderen van de afnemer voor de door de Gedragscode genoemde “overige diensten” niet in strijd is met het oorspronkelijke doel, namelijk de gegevensverzameling in de standaard situatie.

Marketing doeleinden

Verder wijdt de Gedragscode een uitvoerige toelichting aan het gebruik van de meetgegevens voor marketing doeleinden, waaronder marketing van producten of diensten van dochtermaatschappijen. Het komt op mij over alsof de leveranciers hiermee publiekelijk proberen te rechtvaardigen dat ze de meetgegevens ook voor deze doeleinden mogen gebruiken.

Persoonlijk vind ik dit wat ver gaan. Dat de gegevens ook worden gebruikt voor energiebesparingsadviezen, advies over efficiente teruglevering, variabele tarifering en het beantwoorden van vragen van afnemers ligt nog enigszins in de lijn der verwachting, maar zeker gezien de wetgeschiedenis waarin uitgebreid aandacht is besteed aan de privacy van de afnemer van de slimme meter, vraag ik mij af of dit gebruik de toets kan doorstaan.

Interne beheersdoeleinden

Dit geldt des te meer voor het gebruiken van de meetgegevens voor “interne beheersdoeleinden”. De Gedragscode geeft als voorbeelden hiervan het optimaliseren van de bedrijfsvoering, het bepalen van in- en verkoopstrategieen, optimale inzet van resources en risicobeheer. Hoewel in de Gedragscode als uitgangspunt wordt genomen dat dit soort gebruik in principe niet is toegestaan, mag het wel als de leverancier kan aantonen als deze gegevens niet voor dat doel op geagegreerd niveau kunnen worden verwerkt. Ik ben bang dat dit de leveranciers erg veel interpretatie- en speelruimte zal geven. En naar mijn mening zal het gebruik van de meetgegevens voor deze doeleinden niets snel de verenigbaarheidstoest doorstaan.

Grondslagen

Voor de meeste doeleinden geeft de Gedragscode (althans, de toelichting) uitdrukkelijk de grondslagen:
1.⇥het twee maandelijks verstrekken van inzicht in het energieverbruik,
2.⇥ten behoeve van facturatie, verhuizing en switchen van leverancier, deze gegevens mogen blijken de Gedragscode op basis van een wettelijke plicht (sub c) en/of op basis van een overeenkomst (sub b) worden verwerkt. Volgens mij volgt uit de   wetsgeschiedenis dat alleen sub c kan zijn;
3. advies over energie bespraren, efficientere teruglevering en variablele tarifering;
4. het beantwoorden van vragen en verstrekken van inlichtingen over het verbruik, oftewel: “overige diensten”. Niet uitdrukkelijk wordt genoemd wat de grondslag is voor deze gegevensverwerking (zie daarover hierna meer);
5. marketing gerelateerde doeleinden met gegevens uit de standaard situatie; deze gegevens mogen worden verwerkt omdat dit blijkens de Gedragscode een gerechtvaardigd belang van de leverancier kan dienen (sub f);
6. marketing gerelateerde doeleinden met gegevens niet uit standaard situatie: dit mag alleen op basis van de ondubbelzinnige toestemming van de afnemer (sub a)
7. en interne beheersdoeleinden; dit mag kennelijk gebaseerd worden op één van de zes grondslagen maar is (dus) naar mijn mening in strijd met het oorspronkelijke doel waarvoor de meetgevens zijn verzameld en zou dus uberhaupt niet mogen gebeuren.

Verder wordt de ondubbelzinnige toestemming (sub a) in de Gedragscode terecht verplicht gesteld voor het verwerken van uurwaarden en kwartierwaarden. Dit geldt voor welk type doeleinden dan ook.

Grondslag gerechtvaardigd belang leverancier
De Gedragscode maakt niet expliciet wat de grondslag is voor de verwerking van de meetgegevens voor overige diensten maar ik vermoed dat dit sub f is, namelijk dat dit nodig is op basis van een gerechtvaardigd belang van de leverancier.

Als dat zo is, moet de leverancier nog de afweging maken of het belang of de fundamentele rechten en vrijheden van de afnemer, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer, niet prevaleert. Ook moet de leverancier er dan rekening mee houden dat de afnemer zich tegen het verwerken van de persoonsgegevens voor deze doeleinden kan verzetten op grond van de Wbp.

Dit geldt ook voor het gebruik van de meetgegevens uit de standaard situatie voor marketing doeleinden (zie onder 5 hierboven) want de grondslag die hiervoor wordt genoemd is sub f.

De grondslag voor deze gegevensverwerking zou ook op basis van een overeenkomst (sub b) kunnen zijn.

Ondubbelzinnige toestemming intrekken, gegevensverwerking beëindigen
Er is tijdens de behandeling van het wetsvoorstel veel te doen geweest over de ondubbelzinnige toestemming voor het verwerken van uurwaarden en kwartierwaarden. Om de privacy van de afnemer beter te waarborgen, is in de Elekriciteitswet en Gaswet opgenomen dat de verwerking van deze waarden alleen kan geschieden op basis van ondubbelzinnige toestemming. Dit betekent dat de volgende tekst uit de toelichting in de Gedragscode:

“Ondubbelzinnige Toestemming kan te allen tijde worden ingetrokken. Na deze intrekking mag de Leverancier de Verwerking niet meer baseren op Ondubbelzinnige Toestemming. Als de Verwerking dan niet op een van de andere Verwerkingsgrondslagen (zie paragraaf 3.4 resp. artikel 8 Wbp) kan worden gebaseerd, moet deze Verwerking dus worden beëindigd,”

mij niet juist lijkt. Als de verplicht gestelde ondubbelzinnige toestemming voor uurwaarden en dagwaarden wordt ingetrokken, dan kan de verwerking van die meetgegevens naar mijn mening dan ook niet op een andere grondslag worden gebaseerd.

Verwerking meetgegevens door bestuursorgaan?

Dan tot slot een technisch detail. In de Gedragscode is ook de grondslag van artikel 8 wbp onder e één of één (of klakkeloos?) overgenomen:“de Verwerking van Persoonlijke Meetgegevens noodzakelijk is voor de goede vervulling van de publieke taak van een bestuursorgaan waaraan de Persoonlijke Meetgegevens worden Verstrekt.”

Maar deze grond heeft alleen betrekking op bestuursorganen die de persoonsgegevens zelf ontvangen. Dit blijkt uit de parlementaire geschiedenis, vermeld in de Wbp-naslag van het CBP zelf zie hier

“Verwerking uitbesteden aan niet-bestuursorgaan
De in onderdeel e gehanteerde terminologie sluit niet uit dat het bestuursorgaan de verwerking van de gegevens uitbesteedt aan een particuliere instelling. Deze instelling zal echter niet als verantwoordelijke mogen worden aangemerkt. De bepaling biedt geen grondslag voor de verzameling of de vastlegging van persoonsgegevens door een instantie die geen bestuursorgaan is. Dergelijke verwerkingen zullen bijvoorbeeld door artikel 8, onder c of f, moeten worden gerechtvaardigd. (MvT, II, nr. 3, blz. 85)”.

Ik kan mij in de huidige geprivatiseerde energiemarkt geen energieleverancier bedenken die is aan te merken als een publiek bestuursorgaan.