De European Data Protection Board (EDPB) heeft met het uitbrengen van nieuwe boeterichtlijnen voor privacytoezichthouders een grote harmonisatieslag teweeg gebracht. Voorheen was het nog aan individuele lidstaten om zelf te bepalen hoe hoog een boete voor overtreding van de Algemene Verordening Gegevensbescherming (AVG) moest zijn en hoe deze precies berekend moet worden. Hiervoor heeft het de EDPB een vijfstappenplan bedacht, dat beoogt om de berekening van boetes in de hele Europese Unie zoveel mogelijk gelijk te trekken.

Conclusie A-G HvJ EU 8 juni 2023, IEF 21470, ECLI:EU:C:2023:467 (Tiktok e.a. tegen Oostenrijk) In reactie op de invoering van de 'Digital Services Act' (hierna: DSA) hebben Tiktok Ireland, Meta Platforms Inc en Google enkele prejudiciële vragen aan het Hof van Justitie van Europa (hierna: het Hof) gesteld. In zijn bericht van 8 juni heeft A-G Szpunar zijn voorlopige oordeel over deze vragen duidelijk gemaakt. De DSA heeft tot doel om aansprakelijkheid voor platforms te regelen, vooral waar het gaat om illegale content die op deze platforms wordt geüpload en verspreid. Daar de DSA in februari 2024 in werking treedt, hebben de drie partijen de kans aangegrepen om te reageren op een 'puur declaratoire' uiting van de Oostenrijkse [informatietoezichthouder] dat hun nationale wetgeving van toepassing zal zijn op de platforms. Dat lijkt op het eerste gezicht logisch, maar in de DSA ligt een zogenaamd 'country of origin'-principe besloten, wat bepaalt dat een platform niet zomaar aan andere wetgeving dan het land van vestiging mag worden onderworpen. 

Rechtbank Amsterdam 6 april 2023, IT 4290; ECLI:NLRBAMS:2023:2523 (Verzoekster/ING) Verzoekster is een tijd klant geweest bij ING. Vier jaar na het aflopen van de bankrelatie, die eindigde vanwege ongeoorloofde roodstand en omdat de rekening lange tijd inactief is geweest, vraagt verzoekster om een afschrift van de verwerkte persoonsgegevens. Als ING gehoor geeft aan haar verzoek en zij na enige plichtplegingen de gegevens ophaalt, stelt zij dat ING tekort is geschoten door haar niet het volledige dossier te geven. Zij verzoekt ING om vrijwel alle documentatie waar enige van haar persoonsgegevens in voorkomen aan haar toe te zenden. ING stelt dat het recht op inzage in persoonsgegevens niet automatisch het recht geeft op inzage in alle bestanden waarin persoonsgegevens van de verzoekster in voorkomen. Daarnaast stelt ING dat alle gegevens zijn verstrekt overeenkomstig de informatie in het systeem en dat sommige informatie niet meer te achterhalen is, wegens de gehanteerde bewaartermijnen van ING. Verzoekster vordert een dwangsom voor elke dag dat ING het volledige dossier niet aan haar overhandigt en een schadevergoeding. ING verweert zich met de stelling dat verzoekster haar verzoekschrift te laat heeft ingediend. Daarnaast stelt ING dat zij heeft voldaan aan haar verplichtingen op grond van AVG.

De Europese Commissie en de Wereldgezondheidsorganisatie (WHO) hebben gister aangekondigd dat ze een baanbrekend partnerschap op het gebied van digitale gezondheid aangaan. Vanaf juni 2023 zal de WHO het systeem van digitale COVID-19-certificering van de Europese Unie overnemen om een wereldwijd systeem op te zetten. 

Rechtbank Rotterdam 2 juni 2023, IEF 21465; ECLI:NL:RBROT:2023:4538 (Eisers tegen gedaagden) De rechter heeft uitspraak gedaan in een zaak omtrent een vermeende inbreuk op het auteursrecht van software. De gedaagden in deze zaak waren werknemers van de eisers. In het laatste deel van hun arbeidsovereenkomst werkten ze voor Vitatech B.V. (hierna: Vitatech). Vitatech heeft een computerprogramma ontwikkeld genaamd VitaConnect, waarmee de planning en het beheer van vastgoedonderhoud geautomatiseerd kunnen worden. Terwijl de gedaagden nog in dienst waren bij de eisers, hebben ze een eigen bedrijf opgericht en een eigen computerprogramma ontwikkeld. De eiser beschuldigt de gedaagden ervan dat ze gebruik hebben gemaakt van de bron- en doelcode van VitaConnect. Uiteindelijk loopt de beoogde samenwerking van de gedaagden op niets uit. De eiser beweert nu dat de gedaagden het bedrijfsdebiet van de eiser hebben misbruikt en uitgehold door hun handelswijze. Ten slotte stelt de eiser dat het ontwikkelen van het computerprogramma inbreuk maakt op het auteursrecht van de eiser.

Gerechtshof Den Haag, 23 mei 2023, IT 4286; ECLI:NL:GHDHA:2023:875 (Verzoekster tegen Staat der Nederlanden) Het Gerechtshof heeft uitspraak gedaan in een zaak omtrent het inzagerecht uit de Algemene Verordening Gegevensbescherming (AVG). De verzoekster in de zaak was in dienst bij de rechtbank van Noord-Holland. Er was sprake van arbeidsongeschiktheid en een arbeidsgeschil. De arbeidsovereenkomst is uiteindelijk na mediation tot een einde gekomen door middel van een vaststellingsovereenkomst. De verzoekster heeft na afloop op grond van de AVG inzage verzocht in een aantal stukken, waaronder de adviesaanvraag van de rechtbank Noord-Holland aan de Raad voor de Rechtspraak over het arbeidsgeschil. De rechtbank heeft dit inzageverzoek afgewezen, waarna de verzoekster naar het Gerechtshof is gestapt. De verzoekster stelt dat de rechtbank haar verzoek niet conform de Algemene Verordening Gegevensbescherming heeft behandeld.

Gerecht in Eerste Aanleg van Aruba 29 november 2022, IT 4285; ECLI:NL:OGEAA:2022:457 (Vereniging tegen ANSA) Het Gerecht van Aruba heeft uitspraak gedaan over de opgelegde verplichting om gebruik te maken van een biometrische prikklok. De eisers in deze zaak zijn leden van een vereniging. Het merendeel van de leden is werkzaam als luchtverkeersleider en zij zijn in dienst van AIR NAVIGATION SERVICES ARUBA (ANSA). De luchtverkeersleiders dienden het prikkloksysteem van Aruba Airport Authority (AAA) te gebruiken. Met dit systeem kunnen medewerkers hun aanwezigheid op het werk registreren door middel van een fysieke handeling, zoals het scannen van een vingerafdruk. Nadat AAA niet langer informatie van haar prikkloksysteem aan derden verschafte, besloot ANSA een eigen 'Attendance Management System' in te voeren dat ook gebruikmaakt van de registratie van vingerafdrukken. De vereniging vordert een verklaring voor recht dat de opdracht van ANSA aan werknemers tot het verstrekken van biometrische gegevens voor het gebruik van een prikklok niet redelijk is en dat haar werknemers daartoe niet verplicht kunnen worden.

Deze week presenteerde minister Hoekstra het voornemen van de Commissie om de Cybersecurity Skills Academy op te zetten. Op 18 april 2023 heeft de Commissie besloten om deze Academy op te richten als onderdeel van een pakket maatregelen om het tekort aan cybersecurityprofessionals op de Europese arbeidsmarkt aan te pakken. Het gebrek aan professionals heeft negatieve gevolgen voor de Europese veiligheid, weerbaarheid, concurrentievermogen en economische groei.

Conclusie A-G HvJ EU 25 mei 2023, IT 4282, LS&R 2183; ECLI:EU:C:2023:433 (ZQ tegen Medizinischer Dienst) Advocaat-Generaal (A-G) Sánchez-Bordona geeft in zijn conclusie antwoord op vijf vragen die zijn gesteld aan het Hof van Justitie. De vragen zijn gesteld naar aanleiding van een rechtszaak over de verwerking van persoonsgegevens. De partijen in deze zaak zijn ZQ en de Medizinischer Dienst der Krankenversicherung (MDK).

Morgen viert de Algemene Verordening Gegevensbescherming (AVG) zijn vijfjarig bestaan sinds de inwerkingtreding. De AVG heeft een fundamenteel recht op gegevensbescherming versterkt en geharmoniseerd voor alle burgers in de Europese Unie. Zo kunnen ze hun rechten uitoefenen om toegang te krijgen tot hun gegevens, correcties aan te brengen en hun gegevens te wissen.