donatieknop english
De Nederlandse rechter heeft in hoger beroep geoordeeld in het kort geding dat Privacy First aanhangig maakte over het UBO-register. Net als de voorzieningenrechter heeft het gerechtshof Den Haag helaas de vorderingen van Privacy First afgewezen.
 
De voorzieningenrechter bevestigde eerder dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter oordeelde dat niet valt uit te sluiten dat de hoogste Europese rechter, het Hof van Justitie van de EU, tot de conclusie zal komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. De uitspraak van het Hof van Justitie van de EU wordt medio 2022 verwacht.
 
Bestaande rechtspersonen hoeven tot 27 maart 2022 geen UBO’s te registreren. Voor nieuwe rechtspersonen ligt dat anders: die moeten wel direct hun UBO’s registreren. Het gerechtshof Den Haag vindt het niet aannemelijk dat deze UBO’s op korte termijn ernstige schade zullen lijden. Het gerechtshof wijst er op dat een UBO, die vreest dat hij door de openbaarmaking van persoonsgegevens risico’s loopt, meteen deze gegevens voor het algemene publiek kan afschermen. De Nederlandse wetgeving voorziet in deze mogelijkheid. Het gerechtshof Den Haag noemt dit ‘een eenvoudige manier om te voorkomen dat UBO-gegevens openbaar worden of blijven’. De UBO kan bij het Handelsregister een verzoek doen om afscherming. Zolang de procedure daarover loopt worden de UBO-gegevens daadwerkelijk afgeschermd. Nu het gerechtshof Den Haag zo nadrukkelijk op deze mogelijkheid wijst is de verwachting dat vele UBO’s deze route zullen volgen.
 
De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten: ‘De oplossing moet komen van de hoogste Europese rechter, het Hof van Justitie van de EU. Die zal hier medio 2022 over oordelen. Ik verwacht dat die een streep door de openbaarheid van het UBO-register zal zetten. Het Nederlandse UBO-register is nog nauwelijks gevuld en ik raad iedereen aan zolang mogelijk te wachten. De Nederlandse overheid heeft willekeurig een datum gekozen waarop UBO’s hun gegevens moeten aanleveren, namelijk 27 maart 2022. Het zou verstandig zijn om die einddatum een paar maanden op te schuiven tot na het moment dat het Hof van Justitie van de EU duidelijkheid heeft gegeven. Dat voorkomt een hoop ellende en onnodige kosten.’
 
Het vonnis van de kort geding-rechter staat hier:
en het arrest van het Gerechtshof Den Haag staat hier: 
Gepubliceerd in Rechtszaken
donderdag, 23 september 2021 10:57

Hoger beroep Privacy First tegen UBO-register

Op maandag 27 september 2021 is de zitting bij het Gerechtshof Den Haag in de procedure van Privacy First tegen het UBO-register.

Stichting Privacy First is in hoger beroep gegaan van het vonnis van de kort geding-rechter van 18 maart 2021. De kort geding-rechter bevestigde dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter volgt op dit punt het zeer kritische advies van de Europese privacy-toezichthouder EDPS (European Data Protection Supervisor). De Nederlandse kort geding-rechter oordeelde dat niet valt uit te sluiten dat de hoogste Europese rechter, het Hof van Justitie van de EU, tot de conclusie zal komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. Deze vraag ligt al bij het Hof van Justitie, omdat daarover door een Luxemburgse rechter vragen zijn gesteld. Nu deze kwestie al op het bord van de hoogste Europese rechter ligt, vond de Nederlandse kort geding-rechter het niet nodig hierover zelf ook nog vragen te stellen.

Privacy First heeft hoger beroep ingesteld bij het Gerechtshof Den Haag. De appèldagvaarding vindt u hier (pdf). Privacy First verzoekt het Gerechtshof Den Haag om alsnog zelf prejudiciële vragen over het UBO-register te stellen aan het Europees Hof van Justitie en het UBO-register buiten werking te stellen totdat die vragen beantwoord zijn. Verder vraagt Privacy First de rechter om de openbaarheid van het UBO-register tijdelijk op te schorten, in ieder geval totdat het Hof van Justitie van de Europese Unie hierover heeft geoordeeld. De uitspraak van het Gerechtshof wordt een paar weken na de zitting van 27 september 2021 verwacht.

De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten: ‘Door het UBO-register komen privacygevoelige gegevens van miljoenen mensen op straat te liggen. Van alle kanten wordt betwijfeld of dat wel een effectief middel is in de strijd tegen witwassen en terrorisme. Het is met een kanon op een mug schieten. De hoogste Europese rechter, het Hof van Justitie van de EU, zal hier uiteindelijk over oordelen. Ik verwacht dat die een streep door het UBO-register zet. In ieder geval door de openbaarheid. Tot dat moment adviseer ik UBO’s om geen gegevens aan te leveren aan het UBO-register. Gegevens die eenmaal openbaar zijn, kun je niet terugnemen.’

Achtergrond van de rechtszaak tegen het UBO-register

Privacy First voert een principiële procedure tegen de Staat over het in 2020 ingevoerde UBO-register. In kort geding wordt de ongeldigheid ingeroepen van de regelgeving waarop het UBO-register is gebaseerd. De gevolgen van deze nieuwe wetgeving zijn ingrijpend. Het gaat immers om zeer privacygevoelige informatie. Gegevens over de financiële situatie van natuurlijke personen komen op straat te liggen. Alle ruim 1,5 miljoen juridische entiteiten die in het Handelsregister zijn ingeschreven moeten informatie over hun UBO’s (‘ultimate beneficial owners’ ofwel ‘uiteindelijk belanghebbenden’) openbaar maken. Het UBO-register is voor iedereen toegankelijk, voor € 2,50 per opvraging. Die openbaarheid is niet proportioneel.

Op 24 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ in werking getreden. Op basis van deze nieuwe wet komt in een nieuw UBO-register, gekoppeld aan het Handelsregister van de KvK, informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’, kortweg ‘UBO’s’) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacyrisico’s van dien.

Sinds 27 september 2020 moeten nieuw opgerichte entiteiten hun UBO registreren in het UBO-register. Bestaande juridische entiteiten hebben nog tot 27 maart 2022 om hun UBO’s te registreren. De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. 

Europese anti-witwasrichtlijn

Deze nieuwe wet vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het registreren en vervolgens voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren. Maar de effectiviteit van een UBO-register in de strijd tegen witwassen en terrorisme is nooit onderbouwd.

Massale privacyschending en fundamentele kritiek

De vraag is of het middel het doel niet voorbijschiet. Het registreren en voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,99% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Als het wel proportioneel zou zijn om informatie over UBO’s te verzamelen, dan zou het voldoende moeten zijn als die informatie beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.

Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest – en inmiddels ervaart – en privacyrisico’s ziet. UBO’s van familiebedrijven die tot nu toe buiten de openbaarheid bleven lopen grote privacy- en veiligheidsrisico’s. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. En voor verenigingen en stichtingen die geen eigenaren kennen leidt het tot lasten: zij moeten dezelfde gegevens die toch al in het Handelsregister staan ook nog in een ander register zetten. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.

Follow the Money zocht uit wat de maatschappelijke kosten van het Nederlandse UBO-register zijn. Follow the Money schrijft: Het UBO-register brengt voor miljoenen ondernemers en bestuurders kosten, rompslomp en soms licht absurde bureaucratie met zich mee. Het ministerie van Financiën becijfert op vragen van Follow the Money de totale kosten van het register voor het bedrijfsleven op 99 miljoen euro. Daar komt nog 9 miljoen aan eenmalige invoeringskosten bij de overheid bij. Als advocaat Volgenant dat bedrag ziet, reageert hij verbijsterd: ‘De totale kosten zijn nog veel hoger dan ik zelf dacht! Als je dat voor de hele EU extrapoleert zijn de kosten astronomisch.’

Rechtszaak is kansrijk

Privacy First is een rechtszaak gestart tegen het UBO-register wegens schending van het grondrecht op privacy en bescherming van persoonsgegevens. Privacy First verzoekt de Nederlandse rechter om het UBO-register op korte termijn buiten werking te stellen en hierover vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie. Privacyschendende regelgeving wordt vaker door de rechter buiten werking gesteld. Privacy First heeft daar eerder met succes over geprocedeerd.

De Nederlandse wet en ook de achterliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. De wetgever heeft deze regelgeving in het leven geroepen, maar het is aan de rechter om daar een grondige toetsing op te doen. Uiteindelijk heeft de rechter het laatste woord. Wanneer de (Europese) wetgever onvoldoende oog heeft voor de bescherming van grondrechten, dan kan de (Europese) rechter de regelgeving buiten werking stellen. Het Hof van Justitie van de Europese Unie heeft eerder regelgeving ongeldig verklaard wegens privacyschendingen, bijvoorbeeld de Telecom-dataretentierichtlijn en het Privacy Shield. Ook de Nederlandse rechter stelt regelmatig privacyschendende regelgeving buiten werking. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie en in de procedure over SyRI. Bezien tegen deze achtergrond wordt de rechtszaak tegen het UBO-register zeer kansrijk geacht. 

Update 27 september 2021: vanmiddag vond in het Gerechtshof Den Haag de rechtszitting plaats; klik HIER voor de pleitnota van onze advocaat (pdf). De uitspraak van het Hof staat vooralsnog gepland op dinsdag 16 november as. 


Heeft u vragen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Privacy First kan uw hulp goed gebruiken en stelt het zeer op prijs als u donateur wordt.

Gepubliceerd in Rechtszaken

De Nederlandse rechter heeft vandaag vonnis gewezen in het kort geding dat Privacy First aanhangig maakte over het UBO-register. De rechter heeft bevestigd dat er alle aanleiding is om te twijfelen aan de rechtsgeldigheid van de Europese witwasrichtlijnen die de grondslag vormen voor het UBO-register. De rechter volgt op dit punt het zeer kritische advies van de Europese privacy-toezichthouder EDPS (European Data Protection Supervisor). De Nederlandse kort geding-rechter oordeelt dat niet valt uit te sluiten dat de hoogste Europese rechter, het Hof van Justitie van de EU, tot de conclusie zal komen dat het openbare karakter van het UBO-register zich niet verhoudt met het evenredigheidsbeginsel. Deze vraag ligt sinds kort al bij het Hof van Justitie, omdat daarover recent door een Luxemburgse rechter vragen zijn gesteld. Nu deze kwestie al op het bord van de hoogste Europese rechter ligt, vindt de Nederlandse rechter het niet nodig hierover zelf ook nog vragen te stellen.

Privacy First had ook om tijdelijke buitenwerkingstelling van het UBO-register gevraagd. Dat gaat de rechter een stap te ver. De rechter meent dat buitenwerkingstelling van het register niet mogelijk is zolang de onderliggende EU-richtlijn nog van kracht is. Dan zou de Nederlandse Staat in een positie worden gebracht dat er in strijd wordt gehandeld met een Europese richtlijn. Met deze vordering loopt Privacy First volgens de rechter op de muziek vooruit. Privacy First zal het vonnis op dit punt bestuderen, ook met het oog op een mogelijk hoger beroep.

De advocaat van Privacy First, Otto Volgenant van Boekx Advocaten: ‘Door het UBO-register komen privacygevoelige gegevens van miljoenen mensen op straat te liggen. Van alle kanten wordt betwijfeld of dat wel een effectief middel is in de strijd tegen witwassen en terrorisme. Het is met een kanon op een mug schieten. De hoogste Europese rechter, het Hof van Justitie van de EU, zal hier uiteindelijk over oordelen. Ik verwacht dat die een streep door het UBO-register zet.’

Achtergrond

Begin dit jaar maakte Stichting Privacy First een principiële rechtszaak tegen de Staat aanhangig over het nieuwe UBO-register bij de Kamer van Koophandel. Onder de wetgeving waarop het UBO-register is gebaseerd moeten alle 1,5 miljoen rechtspersonen die in het Handelsregister zijn ingeschreven allerlei privacygevoelige informatie over hun UBO’s (‘ultimate beneficial owners’ oftewel ‘uiteindelijk belanghebbenden’) openbaar maken. Dit betreft de persoonsgegevens van miljoenen bestuurders, aandeelhouders en hoge leidinggevenden van bedrijven (waaronder familiebedrijven), stichtingen, verenigingen, maatschappelijke organisaties en goede doelen, kerken etc. Privacy First acht dit een massale privacyschending die tevens persoonlijke veiligheidsrisico’s creëert. Privacy First heeft daarom de rechter verzocht om het UBO-register per direct onrechtmatig te verklaren. Veel informatie in het UBO-register zal openbaar toegankelijk zijn en door iedereen opgevraagd kunnen worden. Privacy First acht dit volstrekt disproportioneel en in strijd met Europees privacyrecht. Het Hof van Justitie van de EU zal toetsen of de Europese regelgeving waarop het UBO-register is gebaseerd in strijd is met het grondrecht op privacy.

Het vonnis van de kort geding rechter staat hier: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBDHA:2021:2457.

Update 15 april 2021: gisteren heeft Privacy First spoedappèl tegen het gehele vonnis ingesteld bij het Hof Den Haag. De appèldagvaarding vindt u HIER (pdf). Privacy First verzoekt het Hof o.a. om alsnog zelf prejudiciële vragen over het UBO-register te stellen aan het Europees Hof van Justitie en het UBO-register buiten werking te stellen totdat die vragen beantwoord zijn. Gezien de grote belangen die op het spel staan hoopt Privacy First dat het Hof Den Haag deze zaak op de kortst mogelijke termijn zal behandelen.

Update 17 augustus 2021: de rechtszitting in het hoger beroep (spoedappèl) van Privacy First tegen het vonnis zal op maandag 27 september as. bij het Hof Den Haag plaatsvinden. 

Gepubliceerd in Rechtszaken

De partijen die in februari vorig jaar een rechtszaak wonnen tegen fraudesysteem SyRI, waarschuwen de Eerste Kamer voor een nog grotere en ingrijpendere datakoppelwet. “Dit voorstel legitimeert de werkwijze die leidde tot de toeslagenaffaire.”

De Wet Gegevensverwerking door Samenwerkingsverbanden (WGS) maakt het mogelijk om databases van zowel overheden als bedrijven in zogeheten samenwerkingsverbanden aan elkaar te knopen. Overheidspartijen en bedrijven in zo’n samenwerkingsverband zijn verplicht hun gegevens samen te brengen om daarmee data-analyses uit te voeren. Deze moeten helpen bij het bestrijden van allerlei vormen van criminaliteit en overtredingen.

De coalitie, bestaand uit het Platform Burgerrechten, FNV, het Nederlands Juristen Comité voor de Mensenrechten, Stichting Privacy First, Stichting KDVP, de Landelijke Cliëntenraad en auteurs Tommy Wieringa en Maxim Februari noemt de wet ‘Super SyRI’, omdat deze in meerdere opzichten verder gaat dan het vorig jaar door de rechter uit de wet geschrapte SyRI (Systeem Risico Indicatie). De partijen noemen het voorstel een bedreiging voor het functioneren van de rechtsstaat in een brief aan de Eerste Kamer, die deze dinsdag start met de behandeling.

Parlement buitenspel gezet

De Eerste en Tweede Kamer worden in dit voorstel buitenspel gezet, schrijven de partijen. De belangrijke onderdelen staan namelijk niet geregeld in de wet waarover de Kamer nu stemt, maar worden naderhand bepaald door de minister in lagere regelgeving. Kwesties als de hoeveelheid en soorten gegevens, de partijen die erbij kunnen en de manier waarop ze worden geanalyseerd en verder worden gebruikt, worden bepaald zonder dat de Kamer daarmee instemt. Zo’n wetsconstructie is in strijd met de Grondwet, die voorschrijft dat een inbreuk op de privacy moet worden goedgekeurd door het parlement. Als de Eerste Kamer instemt met deze insteek, plaatst ze zichzelf effectief langs de zijlijn.

Alle data over burgers fair game

Het kabinet stelt in haar toelichting op de wet dat het ‘nee, tenzij’ principe bij het verwerken van persoonsgegevens moet worden omgedraaid naar een ‘ja, mits’. Daarmee keert ze het doelbindingsprincipe om, dat voorschrijft dat persoonsgegevens verzameld voor een specifiek doel, niet zomaar voor andere doelen mogen worden verwerkt. De vanzelfsprekende vertrouwelijkheid waarmee werd omgegaan met persoonsgegevens, wordt daarmee afgeschaft, zo schrijven de partijen. “Alle data over burgers zijn ‘fair game’ onder de WGS.”

Voor burgers wordt het zo onmogelijk om na te gaan wat er zoal over hen wordt uitgewisseld, waar deze informatie terechtkomt en welke gevolgen dat kan hebben. Het gaat onder de WGS niet alleen om feitelijke gegevens die bedrijven en overheden met elkaar delen, maar ook om signalen, vermoedens en volledige zwarte lijsten die worden uitgewisseld en met elkaar verknoopt. Daarbij is het de bedoeling dat deze partijen op basis van deze schaduwadministraties ‘interventies’ met elkaar afstemmen waarin ze handhavend optreden tegen burgers die ze in het vizier krijgen.

Blauwdruk voor meer toeslagenaffaires

Uit de toeslagenaffaire is gebleken dat het heimelijk plaatsen van burgers op lijsten rampzalige gevolgen kan hebben. Het wetsvoorstel voor de WGS leest als een blauwdruk voor een nieuw data-schandaal, stellen de partijen: “Met dit voorstel koerst het kabinet af op een vorm van governance die niet past in een vrije samenleving en doet denken aan de dataverwerkingspraktijken die vooraf gingen aan de toeslagenaffaire.”

De coalitie hoopt dat de fundamentele bezwaren tegen dit voorstel, die eerder werden geuit door de Raad van State en de Autoriteit Persoonsgegevens, in de Eerste Kamer tot een uitvoerige en kritische behandeling leiden. De Tweede Kamer nam het voorstel aan op 17 december 2020, de dag dat het rapport “Ongekend Onrecht” van de parlementaire ondervragingscommissie kinderopvangtoeslagaffaire werd gepubliceerd. “Met dit debacle zo vers in het geheugen verdient dit voorstel, dat de door Belastingdienst gehanteerde werkwijze in feite van een wettelijke basis voorziet, een grondige behandeling in de Kamer die de nadrukkelijke verantwoordelijkheid heeft voor het bewaken van de kwaliteit van wetgeving.”

Bron: https://bijvoorbaatverdacht.nl/syri-coalitie-aan-eerste-kamer-super-syri-blauwdruk-voor-meer-toeslagenaffaires/, 11 januari 2021. 

Gepubliceerd in Wetgeving

Privacy First maakt een principiële procedure aanhangig tegen de Staat over het onlangs ingevoerde UBO-register. In kort geding wordt de ongeldigheid ingeroepen van de regelgeving waarop het UBO-register is gebaseerd. De gevolgen van deze nieuwe wetgeving zijn ingrijpend. Het gaat immers om zeer privacygevoelige informatie. Gegevens over de financiële situatie van natuurlijke personen komen op straat te liggen. Alle ruim 1,5 miljoen juridische entiteiten die in het Handelsregister zijn ingeschreven moeten informatie over hun UBO’s (‘ultimate beneficial owners’ ofwel ‘uiteindelijk belanghebbenden’) openbaar maken. Het UBO-register is voor iedereen toegankelijk, voor € 2,50 per opvraging.

Het UBO-register beoogt witwassen tegen te gaan, maar zal zwartmaken tot gevolg hebben.

De privacyschending die het gevolg is van het UBO-register en de openbare toegankelijkheid van gevoelige gegevens is niet proportioneel. Het doel van het UBO-register is witwassen tegengaan en terrorismefinanciering bestrijden. Om dat doel te bereiken is geen UBO-register nodig, in ieder geval geen register dat voor iedereen openbaar toegankelijk is.

Privacy First verzoekt daarom de Nederlandse rechter om het UBO-register buiten werking te stellen en hierover zonodig vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie. Uiteindelijk heeft de rechter in dit soort zaken het laatste woord. Privacyschendende regelgeving wordt vaker door de rechter buiten werking gesteld. Privacy First heeft daar eerder met succes over geprocedeerd.

De rechtszaak zal door de Rechtbank Den Haag worden behandeld. Het kort geding wordt behandeld op 25 februari 2021 om 12.00 uur. De dagvaarding vindt u HIER (pdf). De uitspraak volgt twee of drie weken na de zitting.

Heeft u vragen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Privacy First kan uw hulp goed gebruiken en stelt het zeer op prijs als u donateur wordt.


Achtergrond rechtszaak tegen UBO-register

Op 24 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ in werking getreden. Op basis van deze nieuwe wet komt in een nieuw UBO-register, gekoppeld aan het Handelsregister van de KvK, informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’ / UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien.

Sinds 27 september 2020 moeten nieuw opgerichte entiteiten hun UBO registreren in het UBO-register. Bestaande juridische entiteiten hebben nog tot 27 maart 2022 om hun UBO’s te registreren.

De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. Iedereen heeft toegang tot het UBO-register, tegen betaling van € 2,50 per uittreksel.

Europese anti-witwasrichtlijn

Deze nieuwe wet vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het registreren en vervolgens voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren.

Massale privacyschending en fundamentele kritiek

De vraag is of het middel het doel niet voorbijschiet. Het registreren en voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,99% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Als het al proportioneel is om informatie over UBO’s te verzamelen, dan zou het voldoende moeten zijn als die informatie beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.

Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest – en inmiddels ervaart – en privacyrisico’s ziet. UBO’s van familiebedrijven die tot nu toe buiten de openbaarheid bleven lopen grote privacy- en veiligheidsrisico’s. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. En voor verenigingen en stichtingen die geen eigenaren kennen leidt het tot lasten: zij moeten dezelfde gegevens die toch al in het Handelsregister staan ook nog in een ander register zetten. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.

Rechtszaak is kansrijk

Privacy First is een rechtszaak gestart tegen het UBO-register wegens schending van het grondrecht op privacy en bescherming van persoonsgegevens. Privacy First verzoekt de Nederlandse rechter om het UBO-register op korte termijn buiten werking te stellen en hierover zonodig vragen van uitleg te stellen aan de hoogste Europese rechter, het Hof van Justitie van de Europese Unie.

De Nederlandse wet en ook de achterliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. De wetgever heeft deze regelgeving in het leven geroepen, maar het is aan de rechter om daar een grondige toetsing op te doen. Uiteindelijk heeft de rechter het laatste woord. Wanneer de (Europese) wetgever onvoldoende oog heeft voor de bescherming van grondrechten, dan kan de (Europese) rechter de regelgeving buiten werking stellen. Dat gebeurt vaker. Het Hof van Justitie van de Europese Unie heeft eerder regelgeving ongeldig verklaard wegens privacyschendingen, bijvoorbeeld de Dataretentierichtlijn en recent het Privacy Shield. Ook de Nederlandse rechter stelt regelmatig privacyschendende regelgeving buiten werking. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie en in de procedure over SyRI. Bezien tegen deze achtergrond wordt de rechtszaak tegen het UBO-register zeer kansrijk geacht.

Update 25 februari 2021: vanmiddag vond in de rechtbank Den Haag de rechtszitting plaats; klik HIER voor de pleitnota van onze advocaat (pdf). De uitspraak van de rechter staat gepland op donderdag 18 maart as.

Media:
Security.nl, 6 januari 2021: Privacy First start rechtszaak tegen Staat over UBO-register
Mr. Online, 7 januari 2021: Privacy First begint rechtszaak over ‘ongeldig’ UBO-register 
Advocatie, 7 januari 2021: Kort geding Privacy First om ‘privacy schendend’ UBO-register buiten werking te stellen
Security.nl, 7 januari 2021: Belgische overheid haalt UBO-register offline wegens beveiligingslek
Financieel Dagblad, 8 januari 2021: Privacyclub sleept staat voor rechter om UBO-register 
Controllers Magazine, 23 februari 2021: UBO-register: Buitenproportioneel middel tegen witwassen?
TaxLive, 24 februari 2021: Op weg naar een beperkt openbaar UBO-register
NOS.nl, 25 februari 2021: Privacy First vecht met kort geding het UBO-register aan
Radio 1 Journaal (NOS), 25 februari 2021: interview met Privacy First over rechtszaak tegen UBO-register (vanaf 6.44u)
BNR Nieuwsradio, 25 februari 2021: interview met Privacy First over rechtszaak tegen UBO-register

Gepubliceerd in Rechtszaken

Op 23 juni 2020 is de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’ aangenomen. Op basis van deze nieuwe wet komt in het Handelsregister van de KvK informatie te staan over alle uiteindelijk belanghebbenden (‘ultimate beneficial owners’ / UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Daarbij moet worden aangegeven welk belang de UBO heeft, te weten van 25-50%, 50-75% of meer dan 75%. Van de UBO worden in ieder geval de naam, de geboortemaand en het geboortejaar en de nationaliteit openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien. De wet geeft maar zeer beperkte mogelijkheden voor afscherming van informatie. Dit is alleen mogelijk voor personen die door de politie worden beveiligd, voor minderjarigen en voor wie onder curatele is gesteld. Het gevolg zal zijn dat van vrijwel alle UBO’s openbaar bekend zal worden welk belang ze hebben. De wet treedt op korte termijn in werking. Daarna hebben juridische entiteiten nog achttien maanden om hun UBO’s te registreren. De gevolgen van deze nieuwe wetgeving zullen ingrijpend zijn. Het is een wet die beoogt witwassen tegen te gaan, maar zwartmaken bewerkstelligt.

Europese richtlijn

Deze wetswijziging vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel. De openbaarheid zou een afschrikkende werking hebben op personen die geld willen witwassen of terrorisme willen financieren.

Massale privacyschending

De vraag is of het middel het doel niet voorbijschiet. Het voor iedereen toegankelijk maken van de persoonsgegevens van alle UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. 99,9% van de UBO’s heeft niets met witwassen of financiering van terrorisme te maken. Het is een schending van de privacy die in de optiek van Privacy First niet proportioneel is. In het privacyrecht is een belangrijk principe dat gegevens die voor het ene doel zijn verzameld niet voor een ander doel mogen worden gebruikt. Het zou voldoende moeten zijn als de informatie over UBO’s beschikbaar is voor die overheidsdiensten die zich bezighouden met de bestrijding van witwassen en de bestrijding van terrorisme. Het gaat te ver om die informatie volledig openbaar te maken. De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is. Maar dat oordeel heeft niet geleid tot aanpassing van de Europese richtlijn.

Tijdens de Nederlandse parlementaire behandeling van deze wet kwam er uit verschillende hoeken fundamentele kritiek. Het bedrijfsleven roerde zich omdat men lastenverzwaring vreest en privacyrisico’s ziet. Familiebedrijven waarvan de UBO’s tot nu toe buiten de openbaarheid bleven hebben veel privacy te verliezen. Ook was er veel aandacht voor de positie van partijen die groot belang hechten aan bescherming van betrokkenen, zoals kerkgenootschappen en maatschappelijke organisaties. Helaas heeft dit niet tot aanpassing van de regelgeving geleid.

Rechtszaak

Privacy First zal een rechtszaak starten tegen het UBO-register wegens schending van het Europees privacyrecht. De Nederlandse wet en ook de bovenliggende Europese richtlijn zijn in strijd met het Europese Handvest voor de Grondrechten en met de AVG. Het is aan de rechter om daar een grondige toetsing op te doen. Privacy First heeft eerder met succes de geldigheid van wetgeving aan de orde gesteld, bijvoorbeeld in de procedure over de Wet Bewaarplicht Telecommunicatie.

Privacy First voert haar strategische procedures over privacy veelal met een coalitie van belanghebbenden. Privacy First inventariseert momenteel welke partijen hieraan een bijdrage kunnen leveren. Zou u (of uw organisatie) graag als mede-eiser aan deze rechtszaak willen deelnemen? Neem dan contact met ons op, of met onze advocaat Otto Volgenant van Boekx Advocaten. Als u Privacy First hierin financieel wilt steunen kunt u tevens donateur worden.

Update 6 januari 2021: vandaag is de rechtszaak van Privacy First tegen het UBO-register van start gegaan. Lees HIER meer over de zaak, onze dagvaarding en de geplande rechtszitting bij de rechtbank Den Haag.

Gepubliceerd in Wetgeving

Aankomende dinsdag 16 juni 2020 staat op de agenda van de Eerste Kamer het aannemen van de ‘Implementatiewet registratie uiteindelijk belanghebbenden van vennootschappen en andere juridische entiteiten’: https://www.eerstekamer.nl/wetsvoorstel/35179_implementatiewet_registratie . Die wet wijzigt onder andere de Handelsregisterwet 2007. In het Handelsregister van de KvK komt dan informatie over de uiteindelijk belanghebbende (‘ultimate beneficial owners’ / ‘UBO’s) van in Nederland opgerichte vennootschappen en andere juridische entiteiten. Deze informatie wordt dan dus openbaar voor iedereen raadpleegbaar, met alle privacy-risico’s van dien.

Europese richtlijn

Deze wetswijziging vloeit voort uit de Europese vijfde anti-witwasrichtlijn, die lidstaten verplicht persoonsgegevens van UBO’s te registreren en voor het publiek openbaar te maken. Het doel hiervan is het tegengaan van witwassen en terrorismefinanciering. Het voor iedereen inzichtelijk maken van persoonsgegevens van UBO’s, inclusief het belang dat de UBO in de onderneming heeft, draagt volgens de Europese wetgever bij aan dat doel.

Massale privacyschending

Hierbij rijst de vraag of het middel het doel niet voorbijschiet. Het openbaar maken van de persoonsgegevens van UBO’s aan eenieder is een ‘blanket measure’ van preventieve aard. Het is een schending van de privacy die in de optiek van Privacy First niet proportioneel is. Het allergrootste deel van de UBO’s heeft immers niets te maken met witwassen of financiering van terrorisme. Het zou voldoende moeten zijn als de informatie over UBO’s beschikbaar is voor de overheidsdiensten die zich bezig houden met de bestrijding van witwassen en de bestrijding van de financiering van terrorisme. Het gaat te ver om die informatie volledig openbaar te maken.

De European Data Protection Supervisor oordeelde al dat deze privacyschending niet proportioneel is: https://edps.europa.eu/sites/edp/files/publication/17-02-02_opinion_aml_en.pdf . Maar dat oordeel heeft niet geleid tot aanpassing van de Richtlijn.

Juridische stappen

Privacy First overweegt om juridische stappen tegen het UBO-register te nemen wegens schending van het Europees privacyrecht. Zou u (of uw organisatie) graag als mede-eiser aan een dergelijke rechtszaak tegen het UBO-register willen deelnemen of Privacy First hierin financieel willen steunen? Neem dan contact met ons op of wordt donateur!

Gepubliceerd in Wetgeving

Met grote zorg heeft Privacy First gisteren kennisgenomen van het voornemen van de Nederlandse overheid om speciale apps te gaan inzetten ter bestrijding van de Corona-crisis. Privacy First ziet het gebruik van dergelijke apps als een gevaarlijke ontwikkeling, aangezien dit kan leiden tot talloze onterechte verdenkingen, stigmatisering, onnodige onrust en paniek. Zelfs “geanonimiseerd” kunnen de gegevens uit dergelijke apps via koppeling alsnog tot individuele personen herleid worden. Bij grootschalig gebruik leidt dit tot een surveillance maatschappij waarin iedereen geobserveerd en geregistreerd wordt en men zich voortdurend gemonitord waant, met een maatschappelijk chilling effect tot gevolg. Groot risico is dat de verzamelde data voor meerdere doelen zullen worden gebruikt en misbruikt door bedrijven en overheden. In handen van criminele organisaties vormen deze data bovendien een goudmijn voor criminele activiteiten. Voor Privacy First wegen deze risico’s van “Corona apps” niet op tegen de veronderstelde voordelen.

Het recht op anonimiteit in de openbare ruimte is een klassiek grondrecht en cruciaal voor het functioneren van onze democratische rechtsstaat. Een democratisch besluit tot opheffing hiervan is onacceptabel. Mocht alsnog besloten worden tot grootschalige inzet van “Corona apps”, dan dient dit dus strikt anoniem en op zuiver vrijwillige basis te gebeuren. Met individuele toestemming vooraf zonder enige vorm van druk, volledig geïnformeerd en voor een legitiem, specifiek doel. Privacy by design (het inbouwen van privacybescherming in de techniek) dient daarbij leidend te zijn. Voor Privacy First zijn dit harde juridische voorwaarden die niet onderhandelbaar zijn. Mocht hier niet aan voldaan worden, dan zal Privacy First dit bij de rechter aanvechten.

Gepubliceerd in Wetgeving

Michiel Jonker: "Contante betaling waarborgt de privacy van bioscoopbezoekers."

De Arnhemse privacy-activist Michiel Jonker heeft bij de Rechtbank Gelderland beroep ingediend tegen de weigering van de Autoriteit Persoonsgegevens (AP) om handhavend op te treden tegen de weigering van arthouse-bioscoop Focus Filmtheater in Arnhem om contante betaling te accepteren. De bioscoop eist sinds de verhuizing naar een pand dat miljoenen heeft gekost, pinbetaling bij aankoop van filmkaartjes aan de kassa. Daarmee dwingt de bioscoop bezoekers tot het laten verwerken van hun persoonsgegevens.

Jonker is het daar niet mee eens en heeft om die reden in augustus 2018 een handhavingsverzoek bij de AP ingediend. De AP heeft dat verzoek in november 2019 afgewezen omdat volgens de AP niemand verplicht is om contant geld als wettig betaalmiddel te accepteren. Ook stelt de AP dat de bioscoop middels haar algemene voorwaarden een "contract" met de bioscoopbezoekers tot stand brengt, waaruit een noodzaak zou voortvloeien om persoonsgegevens van de bioscoopbezoekers te verwerken.

Volgens Jonker is er in geval van toonbankbetalingen in een aantal gevallen echter wel degelijk een plicht om contant geld te accepteren. Hij beroept zich daarbij op informatie van een expert van de Nederlandsche Bank. "Focus Filmtheater is een arthouse-bioscoop die films vertoont over gevoelige onderwerpen, en wordt nota bene voor een deel met gemeenschapsgeld gefinancierd," zegt Jonker. "Het gaat hier om de maatschappelijke participatie van mensen. Het moet niet mogelijk zijn dat achteraf door middel van profilering wordt achterhaald voor welke films iemand in de loop der tijd belangstelling heeft getoond. Als deze bioscoop privacyvriendelijke contante betaling mag weigeren, dan is dat het signaal dat iedereen afhankelijk mag worden gemaakt van niet-anonieme methoden om betalingen te doen - via pin of via internet. Dan moet je gaan nadenken wat andere mensen, autoriteiten of geautomatiseerde systemen voor conclusies kunnen trekken over jouw keuze om wel of niet bepaalde films te zien. Dat geeft aan deze zaak een grote lading."

In de documenten die Jonker in de bezwaarprocedure heeft opgevraagd, heeft hij ook aanwijzingen aangetroffen dat er onvoldoende waarborgen zijn met betrekking tot de persoonsgegevens die via de website van de bioscoop worden verzameld. "Als je een bioscoopkaartje koopt, kunnen je gegevens worden verwerkt door op zijn minst zeven bedrijven in vijf landen. Eén van die bedrijven is Google, en de kleine lettertjes in de algemene voorwaarden van Google geven dat bedrijf zeer veel vrijheid om de verzamelde gegevens met derden te delen in zo'n beetje alle landen ter wereld. Het is niet duidelijk of er tijdige en adequate anonimisering plaatsvindt. Zoals het er nu staat, is het een vrijbrief voor privacy-aantasting."

Voor de volledige tekst van Jonkers beroepschrift, klik HIER (pdf, 94 pp).

Privacy First steunt Jonker in deze zaak.

Media:
Security.nl, 7 januari 2020: Rechtszaak over Arnhemse bioscoop die contant geld weigert
Privacyweb, 7 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
Sargasso.nl, 8 januari 2020: Rechtszaak tegen weigering contant geld door bioscoop
FOK Nieuws, 8 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
AVROTROS Radar, 8 januari 2020: Niet contant kunnen betalen: inbreuk op je privacy? (inclusief opiniepoll)
Potkaars.nl, 8 januari 2020: Michiel Jonker - War on Cash in de Bioscoop (video-interview en podcast) 
Café Weltschmerz, 8 januari 2020: Profileren op basis van bioscoopbezoek – Rico Brouwer en Michiel Jonker (video-interview)
Emerce, 10 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
De Gelderlander, 16 januari 2020: Privacystrijder blijft vechten voor betalen met contant geld bij filmhuis in Arnhem
FOK Nieuws, 17 januari 2020: Q&A met privacy-activist Michiel Jonker.
Tweakers, 6 februari 2020: Interview met Michiel Jonker - privacyactivist uit idealisme en irritatie.

Gepubliceerd in Financiële privacy & PSD2

NS laat reiziger extra betalen voor privacy. Autoriteit Persoonsgegevens weigert te handhaven. Raad van State gaat zaak beoordelen.

Op maandag 4 september as. zal de Afdeling Bestuursrechtspraak van de Raad van State zich buigen over twee rechtsvragen: mag de Autoriteit Persoonsgegevens (AP) weigeren om te handhaven wanneer treinreizigers met een voordeelurenabonnement door NS worden gedwongen om extra te betalen als zij hun privacy willen behouden? Of mag de AP misschien zelfs weigeren om de zaak überhaupt te onderzoeken, ondanks haar toezichthoudende taak?

Drie jaar geleden schafte NS de papieren treinkaartjes af en verplichtte alle reizigers voortaan een OV-chipkaart te gebruiken. Het bleek dat reizigers die omwille van hun privacy voor een anonieme OV-chipkaart kozen, van NS geen voordeelurenkorting krijgen – ook niet als zij al vele jaren in het bezit zijn van een voordeelurenabonnement. Arnhemmer Michiel Jonker vroeg de AP om handhavend op te treden, wat de AP weigerde. Op 16 augustus 2016 gaf de Rechtbank Gelderland Jonker deels gelijk en gelaste dat de AP de zaak alsnog serieus moest onderzoeken, maar verplichtte de AP nog niet om handhavend op te treden. De AP en Jonker gingen beiden in hoger beroep bij de Raad van State.

Met ingang van 9 juli 2014 heeft NS Reizigers BV het voor abonnementhouders onmogelijk gemaakt om een papieren kaartje te kopen dat in de trein samen met hun abonnementskaart wordt gecontroleerd. Wie in de voordeeluren met korting wil reizen, mag dat van NS alleen als hij in- en uitcheckt met een persoonsgebonden OV-chipkaart waarop ook zijn identiteit staat vermeld. Het gevolg hiervan is dat reizigers alleen nog voordeelurenkorting krijgen als zij al hun individuele reisbewegingen via de persoonsgebonden OV-chipkaart door NS laten registreren. Als zij hun privacy wensen te behouden, verliezen zij hun voordeelurenkorting.

Jonker ervaart het feit dat een reiziger met privacy in de voordeeluren meer moet betalen dan een reiziger zonder privacy, als een vorm van discriminatie. “Ik wil net als vroeger het openbaar vervoer kunnen gebruiken zonder dat een bedrijf of de overheid precies kan bijhouden waar ik op welk moment geweest ben. Daarvoor is de anonieme OV-chipkaart ook bedoeld. Maar die wordt op deze manier ontmoedigd. Er wordt een ongerechtvaardigd onderscheid gemaakt tussen mensen met privacy en mensen zonder privacy. Mensen die hun privacy willen houden, moeten meer betalen. Dat is discriminatie. NS probeert me er zo toe te dwingen mijn privé-reisgegevens voor commerciële doelen ter beschikking te stellen. Nederlandse wetten en Europese verdragen verbieden dat.”

Ook heeft Jonker bezwaar tegen de wijze waarop NS zijn persoonsgegevens heeft overgedragen aan Trans Link Systems (TLS). “NS zegt dat ik een contract met TLS heb, maar dat is onzin. Ik heb nooit zo’n contract afgesloten, en dat heeft geen enkele treinreiziger. NS heeft zijn algemene voorwaarden veranderd. Maar NS kan niet rechtmatig in zijn algemene voorwaarden opnemen dat ik opeens een contract over mijn persoonsgegevens afgesloten zou hebben met een derde. Je ziet hier hoe de zogenaamde privatisering van een publieke voorziening, het OV, leidt tot onrechtmatige praktijken.”

-- De AP is in hoger beroep gegaan tegen de opdracht van de rechtbank om de zaak nu serieus te gaan onderzoeken.

-- Jonker is in hoger beroep gegaan tegen het ontbreken van een opdracht aan de AP om, na al die jaren van gedogen, zelfs maar een voornemen kenbaar te maken om te gaan handhaven.

-- Ook NS zal in de rechtszaal deelnemen aan het geding.

Jonker wordt in deze zaak gesteund door Stichting Privacy First en Maatschappij voor Beter OV. De rechtszitting is openbaar: iedereen is welkom om de zitting bij te wonen.

Zaakinformatie: M. Jonker vs. Autoriteit Persoonsgegevens, zaaknr. 201607123/1/A3.
Tijdstip: maandag 4 september 2017, 10.30u.
Locatie: Raad van State, Kneuterdijk 22, Den Haag. Klik HIER voor een routebeschrijving.


Update 4 september 2017: de rechtszitting vandaag verliep relatief voorspoedig, de rechters zaten goed in de materie. Klik HIER voor de pleitnota van de heer Jonker (pdf). Over 6 weken (of later) doet de Raad van State uitspraak.

Media:
https://www.computable.nl/artikel/nieuws/security/6191053/250449/conflict-ap-en-privacy-first-om-ov-chipkaart-ns.html
https://www.ad.nl/economie/privacy-wordt-geschonden-door-ov-chipkaart-met-abonnement~a4405fa0/
http://www.gelderlander.nl/economie/privacy-wordt-geschonden-door-ov-chipkaart-met-abonnement~a4405fa0/
http://www.hartvannederland.nl/nieuws/2017/ns-beperkt-korting-onterecht-tot-abonnees/
https://www.bnr.nl/nieuws/mobiliteit/10328758/dalurenkorting-ns-discriminatie-of-niet
http://www.treinreiziger.nl/reiziger-eist-anoniem-reizen-ook-abonnement/
http://www.dvhn.nl/binnenland/NS-beperkt-korting-onterecht-tot-abonnees-22465090.html
https://www.security.nl/posting/529824/Raad+van+State+onderzoekt+of+AP+moet+optreden+tegen+NS


Update 22 september 2017: de Raad van State heeft op 20 september jl. uitspraak gedaan in de zaak, zie ECLI:NL:RVS:2017:2555. In een eerste reactie zegt Jonker: “Een uitspraak twee weken na de zitting is opvallend snel, ook gezien de termijn van zes weken of langer die de Raad van State ter zitting had aangekondigd. Mogelijk heeft de Raad van State snel uitspraak gedaan om nog niets te hoeven zeggen over de uitkomst van het onderzoek dat de AP afgelopen jaar in opdracht van de rechtbank heeft gedaan, en waarover de AP binnenkort een besluit neemt. Of misschien wil de Raad de AP gelegenheid geven om zo’n nieuw besluit af te stemmen op de uitspraak.”

Samenvatting op hoofdpunten van de uitspraak:

(1) De Raad van State stelt, net als de rechtbank, Jonker inhoudelijk in het gelijk: de AP had Jonkers handhavingsverzoek niet mogen afwijzen zonder in deze specifieke zaak voldoende onderzoek te doen.

(2) Uit de eerdere onderzoeken waarnaar de AP had verwezen, blijkt volgens de Raad van State niet “of de verwerking van persoonsgegevens door middel van een persoonlijke OV-chipkaart noodzakelijk is voor het sluiten en de uitvoering van de overeenkomst betreffende het voordeelurenabonnement”, en ook niet “of als gevolg van het verplicht stellen van de persoonlijke OV-chipkaart voor een abonnement die verwerking van persoonsgegevens toereikend, ter zake dienend en niet bovenmatig is.”

(3) Voorts constateert de Raad van State dat “de omstandigheid dat de OV-chipkaart in haar algemeenheid voldoet aan de Wbp, niet betekent dat de omstandigheid dat het onmogelijk is een persoonlijk product te combineren met een anonieme kaart ook voldoet aan de Wbp.”

(4) Verder is de Raad het met de rechtbank eens dat de AP uit de door NS zelf opgestelde algemene voorwaarden en de voorwaarden van het voordeelurenabonnement niet het bestaan van een noodzaak voor het verwerken van persoonsgegevens mocht afleiden.

(5) De Raad is het anderzijds niet met Jonker eens dat de AP op basis van de reeds bekende feiten al had moeten concluderen dat er aanleiding was voor een voornemen tot handhaving. Volgens de Raad hoeft de AP daarover pas een standpunt in te nemen na een meer uitgebreid onderzoek.

(6) Procedureel is de Raad het met de AP eens dat de rechtbank de AP geen opdracht had mogen geven tot het doen van een meer uitgebreid onderzoek op grond van artikel 60 Wbp. Volgens de Raad had de rechtbank alleen het afwijzingsbesluit van de AP moeten vernietigen, zonder opdracht te geven tot zo’n onderzoek, omdat de rechtbank zich daarmee “de beleidsruimte van de AP toeëigende”. De AP heeft in haar beleid een “fasering” van onderzoek opgenomen, waarbij het door de rechtbank opgedragen onderzoek pas in fase III valt.

Jonker: “Ik ben blij dat de Raad van State me, net als de rechtbank, inhoudelijk in het gelijk heeft gesteld dat mijn handhavingsverzoek door de AP niet zo makkelijk had mogen worden afgewezen. De Raad heeft een aantal drogredeneringen doorgeprikt die de AP naar voren had gebracht.”

Toch is Jonker niet helemaal tevreden: “De uitspraak van de Raad van State leidt er ook toe dat de AP nu in een nieuwe ronde de gelegenheid krijgt om weer nieuwe argumenten te verzinnen om mijn handhavingsverzoek toch nog te gaan afwijzen. Het voelt een beetje als een knockout-toernooi met twee deelnemers en een half dozijn rondes, waarbij het thuisteam, de AP dus, meteen al verzekerd is van een finaleplaats, terwijl de andere partij, ik dus, in al die rondes de wedstrijd moet winnen om zelfs maar in de finale te komen. En als ik ook maar één echte fout maak, lig ik eruit. Dat is eigenlijk het tegenovergestelde van effectieve rechtsbescherming. Wat me ook opvalt is dat de Raad van State het Europees Verdrag voor de Rechten van de Mens (EVRM) met geen woord heeft genoemd, terwijl het EVRM een meer fundamentele bescherming biedt dan de door de Raad wel genoemde Europese Privacyrichtlijn. Ik heb steeds naar het EVRM verwezen.”

Gevraagd wat eventuele nieuwe argumenten van de AP dan zouden kunnen zijn, antwoordt Jonker: “Net vorige week heb ik een zogeheten bevindingenrapport van de AP ontvangen over het onderzoek dat de AP in opdracht van de rechtbank moest doen. Maar omdat de AP mij verzocht heeft daar vertrouwelijk mee om te gaan totdat de AP een nieuw besluit heeft genomen over mijn handhavingsverzoek, wil ik daar op dit moment verder niks over zeggen. De AP had dat rapport natuurlijk aan mij moeten toesturen ruim voorafgaand aan de rechtszitting van de Raad van State, maar koos er helaas voor om daarmee te wachten tot na de rechtszitting – terwijl NS in essentie wel op de hoogte was. Dat draagt niet bij aan een eerlijk proces. Volgende week houdt de AP een hoorzitting. En daarna duurt het waarschijnlijk nog een aantal weken voordat de AP een nieuw besluit neemt. Tegen dat besluit kan ik dan eventueel weer in beroep en hoger beroep gaan. Het houdt me wel van de straat...”

Wordt dus vervolgd.

Media:
http://www.omroepgelderland.nl/nieuws/2143524/Treinreiziger-uit-Arnhem-krijgt-weer-gelijk-meer-onderzoek-naar-privacy-discriminatie-ov-chipkaart
https://www.security.nl/posting/532206/Autoriteit+Persoonsgegevens+hoeft+NS+niet+uitgebreid+te+onderzoeken (met commentaar van Michiel Jonker onder artikel).
https://www.ovmagazine.nl/2017/09/opnieuw-onderzocht-tegen-privacydiscriminatie-ov-chipkaart-1527/ 


Update 7 mei 2018:
op 8 september 2017 (enkele dagen na de rechtszitting van de Raad van State) heeft de AP aan de heer Jonker een bevindingenrapport toegestuurd over de uitkomsten van het uitgebreide onderzoek waarvoor de Rechtbank Gelderland op 16 augustus 2016 opdracht had gegeven. Op 25 september en 28 november 2017 heeft Jonker naar de AP een reactie gestuurd op het bevindingenrapport, waarin hij ernstige kritiek uitte op de bevindingen. Het rapport leek zijns inziens vooral te dienen als instrument om de zaak toe te dekken, en niet als weergave van een onpartijdig uitgevoerd onderzoek door een onafhankelijke toezichthouder.

Ondanks Jonkers kritiek besloot de AP op 22 december 2017 dat het uitgevoerde onderzoek geen reden opleverde om Jonkers oorspronkelijke bezwaar alsnog gegrond te verklaren. De AP vond nog steeds dat er niks aan de hand was. Tegen dit tweede besluit op bezwaar ging Jonker op 29 januari 2018 in beroep bij de Rechtbank Gelderland (tweede beroepsprocedure in de zaak, zaaknummer 18/546). Omdat de AP inmiddels onderzoek heeft gedaan, gaat deze tweede beroepsprocedure niet meer over de vraag of de AP onderzoek moet doen, maar over de inhoudelijke uitkomst van dat onderzoek.

Ondertussen loopt er in dezelfde zaak nog een tweede juridisch spoor. Op 24 november 2016 had Jonker de AP verzocht om in het door de rechtbank opgedragen, uitgebreide onderzoek ook het feit te betrekken dat op elke zogenaamd “anonieme” OV-chipkaart van NS twee unieke pasnummers worden aangebracht, waardoor die kaarten in feite niet anoniem meer zijn. De unieke pasnummers moeten worden beschouwd als persoonsgegevens.

De AP weigerde om dit feit in haar uitgebreide onderzoek te betrekken, en besloot in plaats daarvan om het op te vatten als een nieuw, separaat handhavingsverzoek, waarbij de AP, net als de eerste keer, probeerde om niet meer te doen dan een “verkennend” oftewel “globaal bureau-onderzoek”. Na dit “globale” onderzoek concludeerde de AP op 28 september 2017 dat er niks aan de hand was. Jonker diende daar op 16 oktober en 28 november 2017 bezwaar tegen in, waarbij Jonker ook aangaf het niet eens te zijn met de afsplitsing van dit aspect in een zogenaamd apart handhavingsverzoek dat volgens de AP niet uitgebreid onderzocht hoefde te worden.

Op 26 februari 2018 wees de AP ook dit bezwaar van Jonker af, waarna Jonker op 19 maart 2018 ook tegen dit besluit op bezwaar in beroep ging bij de Rechtbank Gelderland (derde beroepsprocedure in de zaak, zaaknummer 18/1487).

Jonker: “Ik hoop dat de rechtbank de twee procedures samen gaat voegen, omdat de inhoud grotendeels overlapt. En ik hoop dat de rechtbank tot de conclusie komt dat de AP inderdaad ten onrechte geweigerd heeft de unieke pasnummers te betrekken bij het eerder door de rechtbank opgedragen onderzoek. Bizar vind ik het dat de AP de eerdere uitspraak van de rechtbank op een belangrijk punt negeert. De rechtbank had duidelijk aangegeven dat NS de verantwoordelijke is voor de gegevensverwerking met de OV-chipkaart, omdat ik als klant transacties verricht met NS, terwijl TLS alleen een opdrachtnemer van NS is, die voor NS een taak uitvoert. Nu probeert de AP toch weer te doen alsof TLS de primaire verantwoordelijke zou zijn. Het is duidelijk dat in deze casus de AP er alles aan doet om zijn toezichthoudende en handhavende taak NIET naar behoren uit te voeren. Ik zie de rechtszaak of –zaken met vertrouwen tegemoet.”

Gepubliceerd in Wetgeving
Pagina 1 van 6

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
Procis

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon