Toon items op tag: GDPR

Consumenten zullen beter geïnformeerd worden over rekeninginformatiediensten. Het Maatschappelijk Overleg Betalingsverkeer publiceerde daartoe recentelijk ‘good practices’ voor betere informatie. Privacy First is blij met de gepubliceerde ‘good practices’ en roept MOB-leden op om hier echt werk van te gaan maken. 

Het Maatschappelijk Overleg Betalingsverkeer (MOB) is in 2002 opgericht door de minister van Financiën met als opdracht bij te dragen aan de maatschappelijk efficiënte inrichting van het betalingsverkeer. DNB zit het MOB voor en verzorgt het secretariaat. Rekeninginformatiediensten zijn diensten waarmee een 'geconsolideerde weergave' van iemands betaalgegevens gemaakt kan worden. Dit kan sinds de inwerkingtreding van PSD2 (Payment Service Directive 2), die mogelijk maakt dat je je betaalgegevens deelt met andere partijen dan je eigen bank. Een voorbeeld hiervan is een digitaal huishoudboekje, maar ook andere vormen zijn mogelijk.

Betere informatie hard nodig

Als je je toestemming aan een aanbieder geeft, krijgt deze toegang tot alle transactiegegevens die je in je eigen bankomgeving ook ziet. Als je bij je eigen bank tot tien jaar terug kunt kijken, dan kan de rekeninginformatiedienst dat dus ook. Je deelt daarmee een compleet profiel aan data.

Het delen van data is niet zonder risico. De winst voor veel rekeninginformatiedienstverleners zit namelijk niet in het digitale huishoudboekje, maar in aanvullende diensten die geleverd kunnen worden. Denk aan analyses naar vaste lasten, risicoanalyses bij het aanvragen van een hypotheek of het beoordelen van kredietwaardigheid.

Omdat het gaat over veel vertrouwelijke gegevens moeten consumenten goed begrijpen waar ze toestemming voor geven. De informatie die consumenten nu krijgen is te veel en te onduidelijk. Wettelijk verplichte informatie is te lang, lastig te lezen en weggestopt in lange privacy-statements.

MOB publiceert good practices rekeninginformatiediensten

De roep om betere informatie klonk al een tijd. Vanaf eind 2017 was Privacy First betrokken bij een initiatief van de Volksbank om consumenten beter te informeren over rekeninginformatiediensten. Dit initiatief werd vervolgens overgenomen door de Betaalvereniging Nederland en vanaf mei 2019 door het MOB.

Het MOB stemde afgelopen mei in met good practices. Dit zijn zeven gestandaardiseerde vragen aan rekeninginformatiedienstverleners om te beantwoorden voordat een consument toestemming geeft. De vragen bevatten de belangrijkste (wettelijke) informatie én ze geven antwoord op de belangrijkste vragen van consumenten. Daarnaast heeft het MOB een uitwerking met toelichting opgesteld. De vragen zijn:

1. Wie vraagt toegang tot mijn rekeninginformatie? Hoe is de dienst gereguleerd?
2. Welke dienst biedt <naam van de aanbieder> aan waar mijn data voor nodig is?
3. Welke gegevens van mijn rekening gaat <naam van de aanbieder> gebruiken?
4. Waarvoor gebruikt <naam van de aanbieder> de gegevens nog meer?
5. Welke gegevens gaan naar derden en waarvoor?
6. Hoe kan ik mijn eerder gegeven toestemming terugdraaien?
7. Waar is verdere informatie te vinden?

Oppassen dat het niet vrijblijvend blijft

De good practices van het MOB zijn een hele goede stap. Nu komt het aan op het toepassen en benutten van deze good practices. Het gebruik van de good practices is helaas vrijblijvend. “Het MOB kan aanbieders van rekeninginformatiediensten niet verplichten om gehoor te geven aan de good practice. Wel hebben de MOB-leden afgesproken de best practice onder de aandacht te brengen bij hun achterban.” Gezien het krachtenveld van het MOB, waar zowel aanbieders als gebruikers in zitten, is dat te begrijpen. Maar het wordt oppassen dat de good practices niet té vrijblijvend worden. De belangen van aanbieders en consumenten gaan hand in hand.

Eind 2021 zal het MOB inventariseren of aanbieders de good practices hanteren en rapporteert hierover in de mei vergadering van 2022.

Privacy First wil niet wachten

Privacy First roept de leden van het MOB op de good practices in praktijk te brengen. Bescherming van burgers door hen als consumenten betere informatie en keuzes te geven is immers in ieders belang.

Privacy First is positief over het resultaat van het MOB. De zeven vragen en de gestandaardiseerde antwoorden kunnen een hele verbetering zijn ten opzichte van de huidige situatie. Tegelijk vinden we dat de lat hoger gelegd mag worden. Hoe zou het MOB de good practices beter onder de aandacht kunnen brengen?

• Het MOB kan haar leden en relevante derde partijen oproepen de good practices te gaan gebruiken, in plaats van alleen de mogelijkheid te bieden.
• De MOB-leden kunnen zich ieder voor zich uitspreken vóór gebruik van de good practices en gebruik ervan als voorwaarde stellen voor samenwerking.
• Het MOB kan duidelijk maken wie de relevante MOB-partijen zijn die een rol kunnen spelen bij het verspreiden van de good practices.
• Het MOB kan explicieter zijn over het moment waarop een consument wordt geïnformeerd via de good practices. Privacy hoort thuis "in de klantreis"; deze good practices mogen dus niet weggestopt worden.
• Het MOB kan in plaats van eenmaal te beoordelen of de good practices worden ingezet, dit vaker, bijvoorbeeld ieder kwartaal doen.
• Het MOB kan aanbieders in Europa alvast een brief sturen, zodat ze weten hoe Nederlandse consumenten denken mochten ze plannen maken om diensten in Nederland te gaan aanbieden.

Privacy First vindt dat het MOB bij de uitrol en toepassing aan zet is. Maar Privacy First onderzoekt ook of zij zelf een rol kan spelen om aanbieders gebruik te laten maken van de good practices.

Meer informatie:

• Link naar het bericht van het MOB (zie laatste alinea voor het stuk over de rekeninginformatiediensten)
• Link naar het document Good practice transparantie rekeninginformatiedienstverlening in Nederland (DOCX, 75,6 kB)
• Link naar de Toelichting good practice rekeninginformatiedienstverlening in Nederland (DOCX, 70,6 kB)
  

Dit bericht verscheen eerder op onze PSD2-campagnewebsite: https://psd2meniet.nl/betere-informatie-over-rekeninginformatiediensten/.

Privacy First nodigt u graag uit voor haar Nieuwjaarsborrel! Deze zal plaatsvinden op woensdagavond 8 januari as. in het Volkshotel in Amsterdam. De avond zal grotendeels in het teken staan van het thema Blockchain en financiële privacy. Welke actuele ontwikkelingen vinden er op dit vlak plaats? Hoe verhouden die ontwikkelingen zich tot het recht op privacy? Hoe kan blockchain zo worden ontworpen en gereguleerd dat publieke waarden als privacy, transparantie en vertrouwen erdoor worden versterkt? En welke rol zou Privacy First hierbij kunnen spelen? Na de Nieuwjaarsspeech door Privacy First voorzitter Bas Filippini zullen juridisch expert Jurgen Goossens (Universiteit Tilburg), financieel expert Simon Lelieveldt en Martijn van der Veen (Privacy First) hun licht over deze kwesties laten schijnen. Hierna is er ruimte voor discussie onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2020!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: woensdag 8 januari 2020, 19.30-22.00u (inloop vanaf 19.00u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Doka cocktailbar). Een routebeschrijving vindt u op https://www.volkshotel.nl/nl/directions/.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

Masterclass Privacy – The Next Step: privacy bekeken vanuit juridisch, technologisch, economisch, psychologisch en ethisch perspectief

Vanaf 30 oktober t/m 11 december 2019 vindt bij de UvA Academy een speciale Masterclass plaats over privacy, genaamd The Next Step. De Masterclass is geschikt voor privacy professionals zoals privacy officers, functionarissen gegevensbescherming, cybersecurity specialisten, marketeers, advocaten, juristen, beleidsmedewerkers, managers en adviseurs die te maken hebben met juridische, economische, ethische, technische en organisatorische vraagstukken en verandertrajecten met betrekking tot privacy en de verwerking, opslag en gebruik van persoonsgegevens.

In zeven modules worden talrijke privacyonderwerpen onderwezen door diverse vakdocenten. In week 7 zal Privacy First meedoen aan het Lagerhuisdebat.

De Masterclass zal onder andere ingaan op:

• Wat is privacy?
• Wat zijn de achtergronden en veranderingen in wet- en regelgeving op het gebied van privacy en welke impact hebben deze op mensen, overheid en organisaties?
• Consumenten en persoonsgegevens;
• Technische ontwikkelingen;
• Impact van digitale technologie op de privacy van individuen;
• Ethisch perspectief op privacy en persoonsgegevens;
• Hoe kunnen consumenten hun privacy (beter) beschermen;
• Privacy binnen een organisatie, met aandacht voor cultuur, beleid, programmering en monitoring;
• Sectorspecifieke verschillen, uitdagingen en oplossingen onder meer in de zorg, bij de overheid en in de financiële sector;
• Werken aan praktijkcasussen en vraagstukken die spelen bij deelnemers en hun organisaties.

  Klik HIER voor meer informatie en om u aan te melden.

Website is live!

Na een ontwerp- en bouwtraject van twee maanden is onze website www.psd2meniet.nl live. De website is ontwikkeld door Marc Smits. Onze projectpagina biedt informatie over PSD2 en over ontwikkelingen rondom het PSD2-me-niet register. We breiden de website voortdurend uit. Hierover kunt u via onze PSD2-nieuwsbrieven op de hoogte blijven.

Duidelijke informatie over risico's

De kern van het project is direct duidelijk verwoord: 'welke betalingen houdt u liever geheim?' De website wijst bezoekers op de privacyrisico's van PSD2. De site is zo opgezet dat het zowel individuen als professionals aanspreekt. Beseffen politieke partijen, vakbonden en patiëntenorganisaties dat zij een belangrijke verantwoordelijkheid richting hun achterban hebben?

Informatie in dossiers

Op de website staan in een aantal blokken dossiers. Over bijzondere persoonsgegevens, over ons project en het PSD2-me-niet register. Gedurende het project zal steeds informatie worden toegevoegd en bijgewerkt en voegen we dossiers toe. Heeft u een vraag of zoekt u specifieke informatie? Laat het ons dan weten!

Neem direct een kijkje op de site!

Opvallend logo

Zoals u ziet heeft ons PSD2-project een eigen, opvallend beeldmerk. Een QR-code in een zakelijke en frisse kleurstelling. We kozen voor een QRcode om duidelijk te maken dat achter de term PSD2 veel schuilgaat. Ook geeft de QR-code eigentijdse mogelijkheden. Wie nu de QR-code scant komt bij het inschrijfformulier voor nieuwsbrieven. Tijdens een presentatie kan het publiek zich bijvoorbeeld direct inschrijven voor onze nieuwsbrief. Op later moment kan deze link eenvoudig aangepast worden.

We hopen dat de website u bevalt, en dat het de informatie biedt die mensen (en organisaties) motiveert om PSD2 een stuk privacyvriendelijker te maken!

Het Ministerie van Financiën staat op het punt om bedrijven te verplichten op grote schaal persoonlijke data te exporteren. De maatregel zit verstopt in een bijzinnetje van een Kamerbrief van de Minister van Financiën, maar heeft grote gevolgen. De maatregel verplicht bedrijven om bij 'virtual assets' (digitaal te verhandelen waren zoals bitcoins, vastgoed maar ook aankopen in computerspelletjes), klantgegevens mee te sturen. De informatie van alle betrokken partijen blijft zichtbaar voor iedereen in de waardeketen.

Consumenten, bedrijven en burgers kunnen geen bezwaar maken tegen het verplicht toevoegen van hun persoonsgegevens. Politieke aandacht krijgt dit onderwerp niet omdat het wordt gepresenteerd als technische maatregel. In de Kamerbrief van 21 maart 2019 laat de Minister na om te wijzen op de grote reikwijdte en impact. Wel wordt gesuggereerd dat door een consultatieronde aan de reacties van de markt gehoor zal worden gegeven.

Privacy First en VBNL (Verenigde Bitcoinbedrijven Nederland) hebben inmiddels begrepen dat de wereldwijde bezwaren tegen de maatregel worden genegeerd. Daarom stuurden wij vandaag een brandbrief aan de Minister van Financiën. Wij vragen hem het vraagstuk beter te bestuderen, met alle relevante Ministeries en vooral ook: om het parlement beter te informeren. Daarbij wijzen we op de strijdigheid die de maatregel kan hebben met andere internationale afspraken en verdragen die de persoonlijke levenssfeer beschermen.

Waar bekend is dat de consument zeer terughoudend is met het zélf ter beschikking stellen van de eigen gegevens, moet de overheid dat ook zijn. Privacy First vindt het uitermate kwalijk dat het Ministerie van Financiën van plan lijkt te zijn op een achternamiddag met één pennestreek namens alle Nederlandse consumenten en bedrijven tot in lengte van dagen toestemming te geven voor ongebreidelde export van persoonsdata in het economisch verkeer.

De argumentatie dat sprake zou zijn van een noodzakelijke maatregel voor terrorismebestrijding is ongegrond. Deskundigen bij Europol (!) geven aan dat genoemd internationaal voorstel ‘overkill’ is en niet nodig voor de opsporing. De regel voegt niets toe aan het bestaande Europese raamwerk ter bestrijding van witwassen en terrorismefinanciering en verhoogt slechts het risico van ongewenste datalekken.

Privacy First en VBNL hopen dat door de brandbrief het parlement beseft dat sprake is van een maatregel die zelfs verder gaat dan PSD2. Bij PSD2 kan de consument namelijk zélf besluiten om data te delen. Bij dit voorstel zou dat recht tot in lengte van dagen voor allerlei economische handelingen worden ontnomen. Wij roepen daarom de parlementariërs op om de consument en het bedrijfsleven te beschermen tegen deze onnodige voorgenomen maatregel.

Onze gehele brief is HIER te lezen (pdf).

Dit bericht is tevens gepubliceerd op https://bitcoin.nl/nieuws/minister-hoekstra-voorkom-ongebreidelde-export-van-eu-persoonsgegevens-379.

PSD2-me-niet-register

Is innovatie met betaalgegevens mogelijk met behoud van privacy? PSD2 is de nieuwe Europese bankenwet waardoor betaalgegevens ook met niet-bancaire partijen gedeeld kunnen worden. De wetgever heeft echter verzuimd om privacy by design door te voeren. Stichting Privacy First neemt daarom het initiatief voor een PSD2-me-niet-register. Dit is een opt-out register waarmee rekeningnummers gefilterd kunnen worden. De use-cases zijn rekeningnummers van “bijzondere persoonsgegevens” zoals een betaling aan een vakbond, zorgverlener, politieke partij of organisatie die seksuele voorkeur onthult. En consumenten die hun tegenrekening gefilterd willen hebben. Het PSD2-me-niet-register kan richtinggevend worden op Europees niveau.

Bron: https://www.sidnfonds.nl/nieuws/de-eerste-pioniers-van-2019, 22 mei 2019.

Volg https://psd2meniet.nl voor updates en wordt alvast lid van ons PSD2 Privacy Panel!

Privacy First is voor al haar projecten en bijbehorende werkzaamheden grotendeels afhankelijk van donaties. Hoe meer financiële steun en donaties, hoe eerder Privacy First het PSD2-me-niet-register zal kunnen realiseren!

Privacy bekeken vanuit een juridisch, psychologisch, technologisch, economisch en ethisch perspectief

Vanaf 23 mei tot en met 11 juli 2019 vindt bij de Universiteit van Amsterdam een speciale Masterclass plaats over privacy, genaamd The Next Step. De Masterclass is geschikt voor privacy professionals zoals privacy officers, functionarissen gegevensbescherming, cybersecurity specialisten, marketeers, advocaten, juristen, beleidsmedewerkers, managers en adviseurs die te maken hebben met juridische, economische, ethische, technische en organisatorische vraagstukken en verandertrajecten met betrekking tot privacy en de verwerking, opslag en gebruik van persoonsgegevens.

In zeven modules worden talrijke privacyonderwerpen onderwezen door diverse vakdocenten. In week 7 zal Privacy First meedoen aan het Lagerhuisdebat.

De Masterclass zal onder andere ingaan op:

• Wat is privacy?
• Wat zijn de achtergronden en veranderingen in wet- en regelgeving op het gebied van privacy en welke impact hebben deze op mensen, overheid en organisaties?
• Consumenten en persoonsgegevens;
• Technische ontwikkelingen;
• Impact van digitale technologie op de privacy van individuen;
• Ethisch perspectief op privacy en persoonsgegevens;
• Hoe kunnen consumenten hun privacy (beter) beschermen;
• Privacy binnen een organisatie, met aandacht voor cultuur, beleid, programmering en monitoring;
• Sectorspecifieke verschillen, uitdagingen en oplossingen onder meer in de zorg, bij de overheid en in de financiële sector;
• Werken aan praktijkcasussen en vraagstukken die spelen bij deelnemers en hun organisaties.

 
Klik HIER voor meer informatie en om u aan te melden.

Sinds 2013 voerde de Vereniging Praktijkhoudende Huisartsen een fundamentele rechtszaak tegen de private opvolger van het Elektronisch Patiëntendossier: het Landelijk Schakelpunt (LSP). Eind vorige week besloot de Hoge Raad dat het LSP vooralsnog niet in strijd is met het huidige privacyrecht. In het oordeel van de Hoge Raad ligt echter de opdracht besloten dat het LSP snel zal moeten gaan voldoen aan het wettelijke vereiste van 'privacy by design'. Dit vormt een belangrijk precedent en legt de lat voor de toekomst hoog.

Private doorstart EPD: Landelijk Schakelpunt

In april 2011 werd het Elektronisch Patiëntendossier (EPD) door de Eerste Kamer unaniem verworpen, voornamelijk wegens privacybezwaren. Door diverse marktpartijen (waaronder zorgverzekeraars) werd vervolgens echter vrijwel ditzelfde EPD in private vorm doorgestart als Landelijk Schakelpunt (LSP) voor grootschalige, centrale uitwisseling van medische gegevens. Het LSP is sindsdien nationaal ‘uitgerold’: veel huisartsen zijn inmiddels (onder druk van zorgverzekeraars) op het LSP aangesloten. Ook hebben miljoenen Nederlanders inmiddels ‘toestemming’ gegeven voor uitwisseling van hun medische gegevens via het LSP. Probleem met deze ‘toestemming’ is echter dat deze dusdanig breed en algemeen is, dat deze vrijwel onmogelijk rechtmatig geacht kan worden. Dit was dan ook één van de principiële bezwaren waarop de rechtszaak van de Vereniging Praktijkhoudende Huisartsen (VP Huisartsen) tegen het LSP betrekking had. Andere bezwaren tegen het LSP hebben o.a. betrekking op het feit dat de architectuur van het LSP inherent onveilig en privacyschendend is: via het LSP is ieder aangesloten medisch dossier voor duizenden zorgverleners inzichtelijk. Dit is in strijd met het recht op privacy van de patiënt en het medisch beroepsgeheim van behandelend artsen. Bovendien is hierbij geen sprake van privacy by design, bijvoorbeeld middels end-to-end encryptie. In wezen is het LSP hierdoor zo lek als een mandje, ideaal voor function creep (doelverschuiving) en mogelijk misbruik door kwaadwillenden.

Campagne SpecifiekeToestemming.nl

Privacy First heeft hierover de laatste jaren talloze malen alarm geslagen richting politiek en media. Zelfs op VN-niveau heeft Privacy First het Nederlandse LSP actief aangekaart. Op initiatief van Privacy First en het Platform Bescherming Burgerrechten is sinds april 2014 bovendien een grootschalige internetcampagne gelanceerd ter behoud en bevordering van het recht op medische privacy: www.SpecifiekeToestemming.nl. Deze campagne wordt sindsdien gesteund door tal van maatschappelijke organisaties, zorgverleners en academici. Kern van de campagne is dat specifieke toestemming (weer) het leidende principe moet worden bij de uitwisseling van medische gegevens. Bij specifieke toestemming kunnen patiënten voorafgaand aan het delen van hun medische gegevens bepalen of, en zo ja welke, gegevens mogen worden gedeeld met welke zorgverleners voor welke doeleinden. Dat beperkt de risico's en maakt het mogelijk voor patiënten om controle te houden over de uitwisseling van hun medische data. Dit in tegenstelling tot de generieke toestemming die geldt bij het LSP. Bij generieke toestemming is niet te voorzien door wie iemands medische gegevens kunnen worden ingezien, gebruikt, uitgewisseld etc. Generieke toestemming is daarmee per definitie in strijd met twee klassieke uitgangspunten in het privacyrecht: het beginsel van doelbinding en het recht op vrije, voorafgaande en volledig geïnformeerde toestemming bij de verwerking van persoonsgegevens.

Privacy by design

Mede onder druk van onze campagne SpecifiekeToestemming.nl werd het wetsvoorstel Cliëntenrechten bij elektronische verwerking van gegevens in de zorg (wetsvoorstel 33509) door de Tweede Kamer in 2014 aangescherpt en werden door de Eerste Kamer in 2016 twee cruciale moties aangenomen: de motie-Bredenoord (D66) c.s. over de verdere uitwerking van dataprotectie-by-design als het uitgangspunt voor de elektronische verwerking van medische gegevens en de motie-Teunissen (PvdD) c.s. inzake het decentraal (i.p.v. centraal) toegankelijk houden van medische dossiers. Onder deze nieuwe wet wordt specifieke (“gespecificeerde”) toestemming verplicht; dit dient nu geïmplementeerd te worden in alle bestaande en toekomstige systemen voor de uitwisseling van medische gegevens, waaronder het huidige LSP. Bovendien wordt onder de nieuwe Europese privacywetgeving privacy by design een harde juridische plicht: reeds vanaf het allereerste ontwerp dienen privacy en dataprotectie in alle relevante hardware en software te worden ingebouwd. In dit verband zijn er de laatste jaren reeds diverse marktontwikkelingen gaande die er op duiden dat bij nieuwe systemen specifieke toestemming de norm wordt en dat privacy by design de nieuwe standaard wordt. Een goed voorbeeld hiervan in de medische context is Whitebox Systems dat al in 2015 een Nationale Privacy Innovatie Award won.

Rechtszaak VP Huisartsen

Sinds maart 2013 voerde VP Huisartsen een grootschalige civiele rechtszaak tegen de private beheerder van het LSP: de Vereniging van zorgaanbieders voor zorgcommunicatie (VZVZ). Na teleurstellende uitspraken door de rechtbank Utrecht en het Hof Arnhem stelde VP Huisartsen eind 2016 cassatie in bij de Hoge Raad. In cassatie kreeg deze zaak (via Pro Bono Connect, op advies van Privacy First) ondersteuning door advocatenkantoor Houthoff Buruma. Bij de Hoge Raad diende Privacy First vervolgens samen met het Platform Bescherming Burgerrechten een amicus curiae-brief (PDF) in ter ondersteuning van de standpunten van VP Huisartsen, in lijn met onze gezamenlijke campagne SpecifiekeToestemming.nl. In het advies (“conclusie”) van de Advocaat-generaal bij de Hoge Raad werd vervolgens uitgebreid aan deze amicus curiae-brief gerefereerd. Op 1 december jl. heeft de Hoge Raad uiteindelijk uitspraak gedaan. In deze uitspraak sluit de Hoge Raad zich helaas grotendeels aan bij de eerdere argumentatie van het Hof Arnhem. Privacy First kan zich daarbij echter niet aan de indruk onttrekken dat het LSP (zelfs voor de Hoge Raad) blijkbaar “too big to fail” is: dit gebrekkige systeem is inmiddels dusdanig groot dat men het wellicht niet onrechtmatig durft te verklaren. Toch is er ook een belangrijk lichtpunt, en wel in de slotoverweging van de Hoge Raad:

“[Het hof heeft] onderkend dat de zorginfrastructuur ook kan worden ingericht op een wijze waarbij meer onderscheid tussen (soorten) gegevens en (categorieën) zorgaanbieders kan worden gemaakt, en waarbij in het bijzonder gegevensuitwisseling op basis van toestemming bij voorbaat desgewenst kan worden beperkt tot spoedeisende gevallen. In zijn oordeel ligt besloten dat deze inrichting meer en beter in overeenstemming is met de beginselen die aan de Privacyrichtlijn en de Wbp ten grondslag liggen, maar ten tijde van het wijzen van het bestreden arrest nog niet van VZVZ kon worden geëist. Van VZVZ mag volgens het hof wel worden verwacht dat zij, zodra dit voor haar technisch mogelijk en uitvoerbaar is, het systeem aanpast door daarin meer keuzevrijheid te bieden.

Deze overwegingen zijn niet onbegrijpelijk. Daarbij verdient nog opmerking dat gelet op de (...) ambities van VZVZ met het systeem en op de veranderingen in de regelgeving (...), waarbij ‘privacy by design’ en ‘privacy by default’ uitdrukkelijk tot uitgangspunt zijn genomen (art. 25 leden 1 en 2 Algemene verordening gegevensbescherming), eens te meer in de rede ligt wat het hof van VZVZ verwacht.” (5.4.4)

Evenals het Hof Arnhem stuurt de Hoge Raad hiermee duidelijk aan op implementatie van specifieke toestemming en privacy by design in het LSP. De Hoge Raad creëert hiermee een positief precedent dat ook in bredere zin (voor andere systemen) de toon voor de toekomst zet. Privacy First zal de ontwikkelingen hieromtrent actief blijven volgen en e.e.a. indien nodig opnieuw bij de rechter (laten) aankaarten.

Lees HIER het hele arrest van de Hoge Raad en HIER de eerdere conclusie van de Advocaat-generaal.
De amicus curiae brief van Privacy First en het Platform Bescherming Burgerrechten vindt u HIER in pdf.

Commentaar VP Huisartsen: http://www.vphuisartsen.nl/nieuws/cassatieberoep-vphuisartsen-verloren-toch-winst/

Commentaar SpecifiekeToestemming.nl: http://specifieketoestemming.nl/werk-aan-de-winkel-na-teleurstellend-vonnis-over-lsp/ .