Persoonsgegevens  

Rechtbank Rotterdam 15 februari 2023, IT 4233; ECLI:NL:RBROT:2023:1605 (eiser tegen verweerder) Bestuursrecht. In deze zaak heeft de rechter beoordeeld of verweerder terecht heeft bepaald dat eisers bezwaar (tegen de brief van 18 januari 2022) niet-ontvankelijk is omdat die brief geen besluit is in de zin van de Awb. De rechtbank oordeelde dat de eiser om inzage in zijn persoonsgegevens heeft verzocht op grond van artikel 15 van de AVG, en dat een beslissing op zo'n verzoek een Awb-besluit is volgens artikel 34 van de AVG. Daarom was de brief van verweerder van 18 januari 2022 een Awb-besluit waar bezwaar tegen kon worden gemaakt. Het was daarnaast onterecht dat verweerder het bezwaar niet-ontvankelijk verklaarde. De rechtbank oordeelde ook dat het bezwaar van de eiser ongegrond was omdat verweerder de dossierstukken, waar de eiser om had gevraagd, had vernietigd vanwege het verstrijken van de wettelijk voorgeschreven bewaartermijn, en daarom niet kon worden verstrekt. De eiser had niet kunnen aantonen dat verweerder meer dossierstukken had dan de stukken die in beroep waren overgelegd, en daarom had verweerder het inzageverzoek terecht afgewezen.

Gerechtshof Den Haag 3 februari 2023, IT 4226; ECLI:NL:GHDHA:2023:306 (Veilig Thuis tegen geïntimeerde) In deze zaak heeft een man verzocht om de verwijdering van zijn persoonsgegevens die zijn verwerkt door Veilig Thuis. Het hof oordeelt dat de verwerking van de gegevens van de man door Veilig Thuis rechtmatig is op grond van de Wet maatschappelijke ondersteuning (Wmo) en dat het verzoek om gegevenswissing daarom wordt afgewezen. Veilig Thuis is niet verplicht persoonlijke gegevens van de man te wissen om te voldoen aan de wettelijke verplichting ex artikel 17, lid 1 sub e AVG, omdat de bewaring van de gegevens van belang kan zijn voor de ex-partner van de man. Bovendien heeft de man geen recht op wissing krachtens artikel 17, lid 1 sub c AVG, omdat er dwingende gerechtvaardigde gronden zijn voor de verwerking van de persoonsgegevens van de man. Het hoger beroep van Veilig Thuis slaagt en dat van de man niet. 

Rechtbank Den Haag 24 januari 2023, IT 4223; ECLI:NL:RBDHA:2023:612 (eisers tegen verweerder) A is overleden op 30 april 2022. De erven van A hebben zich vervolgens als opvolgende procespartij in de procedure van wijlen A gesteld. De rechtbank ziet zich primair voor de vraag gesteld of de beroepen en het verzoek om schadevergoeding ontvankelijk zijn. Eisers stellen dat de vorderingen op grond van de AVG, die A voor zijn overlijden heeft ingediend, krachtens erfopvolging op hen zijn overgaan. De rechtbank zal eerst beoordelen of het inzagerecht, het rectificatierecht, het recht op beperking van de verwerking van persoonsgegevens en de kennisgevingsplicht van de AVG voor overgang vatbare rechten zijn. De op de AVG gebaseerde rechten op inzage, correctie, beperking van de verwerking en de kennisgevingsplicht zijn bij uitstek persoonlijk rechten, die alleen door de betrokkene zelf zijn in te roepen. Zij zijn niet vermogensrechtelijk of familierechtelijk van aard. Het zijn daarom geen voor overgang vatbare rechten zoals bedoeld in artikel 182, eerste lid, van het BW. Daarbij komt dat de AVG niet van toepassing is op gegevens van overleden personen. Ook het schadevergoedingsverzoek, dat is gebaseerd op artikel 82 van de AVG, is geen voor overgang vatbaar recht. De rechtbank concludeert daarom dat eisers de procedures niet als erfgenamen kunnen voortzetten.

Via Autoriteit Persoonsgegevens. Het Centraal Bureau voor de Statistiek (hierna: het CBS) mag vaccinatiegegevens van het RIVM opvragen en beschikbaar maken voor wetenschappelijk onderzoek naar oversterfte tijdens de coronapandemie, zo concludeert de Autoriteit Persoonsgegevens (hierna: AP) in reactie op een adviesaanvraag van de Tweede Kamer. De AP concludeert in zijn advies dat oversterfte-onderzoek gewoon binnen de reikwijdte van de AVG valt.

Via Considerati Op 13 december 2022 heeft de Europese Commissie het proces voor het EU-US Data Privacy Framework (DPF) gestart. Het DPF is ontworpen om de trans-Atlantische overdracht van persoonsgegevens veiliger en beter te maken en biedt een passend beschermingsniveau voor organisaties die zich certificeren voor het DPF. Hoewel deelname niet verplicht is, biedt het wel veel voordelen en zullen doorgiften van persoonsgegevens tussen de EU en de VS gemakkelijker zijn. Het ontwerpbesluit zal nu door een formele goedkeuringsprocedure gaan, waarbij het Europees Parlement, een comité van EU-lidstaatvertegenwoordigers en de EDPB betrokken zijn. Het proces duurt ongeveer zes maanden.

Hof van Justitie van de Europese Unie 26 januari 2023, IT 4214; ECLI:EU:C:2023:49 (bijzondere strafrechter, Bulgarije tegen V.S.) De Bulgaarse rechter vraagt het Europees Hof om een prejudiciële beslissing over de compatibiliteit van de politiële registratie van biometrische en genetische gegevens in het nationale recht met Richtlijn 2016/680 voor de verwerking van persoonsgegevens en het Handvest van de grondrechten van de Europese Unie. Artikel 10 van Richtlijn 2016/680 bepaalt dat de verwerking van gevoelige gegevens zoals biometrische en genetische gegevens slechts toegestaan is als het noodzakelijk is en er passende waarborgen zijn voor de rechten van de betrokkene. Het Handvest garandeert effectieve rechtsgang bij bescherming van door Unierecht gewaarborgde rechten, waaronder het bezwaar maken tegen verzameling van deze gegevens voor politiële registratie. Lidstaten moeten ook zorgen voor effectieve rechtsgang bij verwerking van persoonsgegevens. Verzameling van biometrische en genetische gegevens van verdachten is toegestaan als het door een rechter is goedgekeurd, met een latere effectieve rechterlijke toetsing en als de doelstellingen welbepaald, uitdrukkelijk omschreven en legitiem zijn.

HvJ EU 12 januari 2023, IT 4200; C-154/21, ECLI:EU:C:2023:3 (Österreichische Post) Op 15 januari 2019 heeft RW Österreichische Post verzocht om op grond van artikel 15 AVG inzage te verkrijgen van de hem betreffende persoonsgegevens die Österreichische Post opslaat dan wel in het verleden heeft opgeslagen, alsmede om hem informatie te verstrekken over wie de ontvangers daarvan waren, voor het geval dat deze gegevens aan derden zijn meegedeeld. In antwoord op dit verzoek heeft Österreichische Post zich beperkt tot de mededeling dat zij in het kader van haar activiteit als uitgever van telefoongidsen gebruikmaakt van persoonsgegevens en deze voor marketingdoeleinden aanbiedt aan zakelijke klanten. Afgezien daarvan heeft zij voor nadere informatie en met betrekking tot overige doeleinden van gegevensverwerking verwezen naar een website. Zij heeft RW niet meegedeeld wie de concrete ontvangers van de gegevens waren. RW heeft Österreichische Post gedaagd, de zaak komt uiteindelijk bij het Oberste Gerichtshof (hoogste federale rechter in civiele en strafzaken, Oostenrijk). Het Oberste Gerichtshof stelt het Hof de vraag of het recht van inzage beperkt is tot categorieën van ontvangers indien bij de voorgenomen verstrekking van informatie de specifieke ontvangers daarvan nog niet vaststaan, maar dat recht zich noodzakelijkerwijs ook moet uitstrekken tot ontvangers van die informatie wanneer reeds gegevens zijn meegedeeld.

HvJ EU 12 januari 2023, IT 4197; C-132/21, ECLI:EU:C:2023:2 (BE tegen NAIH) BE heeft een algemene vergadering bijgewoond, op de algemene vergadering is een geluidsopname gemaakt. BE heeft vergolgens de vennootschap verzocht om haar de tijdens voormelde algemene vergadering gemaakte geluidsopname ter beschikking te stellen. De betrokken vennootschap heeft BE alleen de fragmenten van die opname waarop haar eigen opmerkingen waren vastgelegd, ter beschikking gesteld, en niet de fragmenten met de opmerkingen van de overige deelnemers aan de algemene vergadering in kwestie. BE heeft de toezichthoudende autoriteit verzocht om vast te stellen dat dit handelen onrechtmatig is, de toezichthoudende autoriteit heeft dit verzoek afgewezen. BE is hiertegen in beroep gegaan bij de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije) met betrekking tot de toezichthoudende autoriteit en bij de Fővárosi Ítélőtábla (rechter in tweede aanleg Boedapest, Hongarije) met betrekking tot de verwerkingsverantwoordelijke. Terwijl het eerste beroep nog aanhangig was bij de verwijzende rechter, heeft de Fővárosi Ítélőtábla het tweede beroep bij in kracht van gewijsde gegane beslissing toegewezen op grond dat de verwerkingsverantwoordelijke het recht van BE op toegang tot zijn persoonsgegevens had geschonden. De verwijzende rechter twijfelt over de parallelle uitoefening van de rechtsmiddelen van de artikelen 77 tot en met 79 van verordening 2016/679.

In 2022 hebben zich op het vlak van IT-recht weer veel ontwikkelingen voorgedaan. Duidelijk is dat de digitale transformatie in Europa serieus wordt aangepakt. Veel nieuwe wetgeving is geïntroduceerd, bijvoorbeeld op het gebied van AI en cybersecurity. 

Nieuwe wetgeving ten aanzien van de betrouwbaarheid van online reviews is ook in werking getreden. 

In de jurisprudentie speelt nog steeds de zorgplicht van de IT-leverancier een rol en wordt ook regelmatig geprocedeerd over de afgifte van allerlei soorten data. Lees er meer over in dit actuele IT-jaaroverzicht opgesteld door Turing Advocaten.

Rb. Gelderland 15 augustus 2022, IT 4184; ECLI:NL:RBGEL:2022:6932 (verzoekster tegen BKR) In het CKI staat een registratie op naam van verzoekster met betrekking tot een overeenkomst waar zij niet bekend mee is. Het betreft een overeenkomst met De Volksbank, verzoekster is hier geen klant en heeft ook geen betalingsachterstand bij De Volksbank. BKR voert aan dat zij verwijderverzoeken niet in behandeling hoeft te nemen, dan wel mag afwijzen, omdat de rechtmatigheid van bijzonderheidscoderingen niet onder de verwerkingsverantwoordelijkheid valt van BKR, maar onder die van de kredietaanbieder die de gegevens in het CKI heeft geregistreerd. De rechtbank oordeelt dat zowel De Volksbank, als BKR verwerkingsverantwoordelijke is. Artikel 26 lid 3 AVG bepaalt uitdrukkelijk dat bij gezamenlijke verwerkingsverantwoordelijken een betrokkene zijn rechten uit de AVG tegenover iedere gezamenlijke verwerkingsverantwoordelijke kan uitoefenen. BKR is dus verplicht om verwijderverzoeken te behandelen. Verder oordeelt de rechtbank dat één van de twee geregistreerde coderingen onrechtmatig is, die moet worden verwijderd.