HvJEU 26 september 2024, IT 4626; C-768/21 (Land Hessen). Het Europese Hof van Justitie heeft zich uitgesproken over een Duitse zaak met betrekking tot een AVG-schending. Eiseres in die zaak had gevorderd dat de AVG-toezichthouder in Duitsland een boete zou opleggen aan haar bank. Zij was er namelijk achter gekomen dat een bankmedewerker haar data meermaals had ingezien zonder toestemming. Aangezien de bank al maatregelen had genomen jegens de medewerker, achtte de toezichthouder het in dit geval niet nodig om verdere actie te ondernemen. De Duitse rechter wendt zich tot het Europese Hof met de vraag of een dergelijke beslissing van de toezichthouder is toegestaan. Het Europese Hof antwoordt daarop bevestigend: AVG-toezichthouders zijn niet verplicht hun bevoegdheden te gebruiken voor zover dat niet noodzakelijk is om de AVG te waarborgen. In een geval als de onderhavige, waarin de gegevensverwerker zelf al maatregelen heeft getroffen om de schending te verhelpen nadat zij hiervan op de hoogte is gesteld, kan de toezichthouder besluiten af te zien van verdere stappen. Het is daarbij aan de nationale rechter om te bepalen of de toezichthouder (in het algemeen) een voldoende consistent en hoog niveau van bescherming van persoonsgegevens waarborgt.

“Zoektocht naar multidisciplinaire digital security experts”
Wie gaan de arbeidsmarktproblemen oplossen, welke acties zijn noodzakelijk en wat wordt de invloed van autonome informatietechniek?

• “Het aanpakken van de tekorten op de cybersecurity arbeidsmarkt is essentieel voor de digitale weerbaarheid en strategische autonomie van Nederland,” waarschuwt de Cyber Security Raad (CSR) in zijn signaalbrief van 4 juli 2024 aan minister Beljaarts (Economische Zaken).
• De toenemende digitale dreigingen en groeiende afhankelijkheid van ICT maken de behoefte aan professionals in het vakgebied informatiebeveiliging steeds urgenter. Bovendien krijgt digitale soevereiniteit een zwaardere weging.
• TNO voorspelt echter een revolutionaire verschuiving. Autonome systemen, met kunstmatige intelligentie (AI) als motor, gaan de toekomstige informatiebeveiliging domineren. Taken die ooit door mensen werden uitgevoerd, zullen in hoge mate door machines worden overgenomen.
• De Amerikaanse federale overheid verkiest ‘skills’ boven diploma’s bij het werven van IT professionals – moet Nederland dit beleid volgen?

Vandaag heeft de Minister van Economische Zaken een brief gestuurd aan de Tweede Kamer met daarin de eerste indruk over de werking van de Digital Services Act (hierna: DSA), die sinds februari dit jaar volledig van kracht is. Hij gaat daarbij in op (1) de uitvoering en toezicht op Europees niveau, (2) de uitvoering en toezicht in Nederland en (3) de toepassing door de civiele rechter. Ook benadrukt hij dat Nederland op 25 juli 2024 een aanmaningsbrief heeft ontvangen van de Europese Commissie (hierna: Commissie) waarin Nederland in gebreke wordt gesteld vanwege het onvolledig en niet-tijdig uitvoeren van de DSA. De verwachting is dat de gebreken pas kunnen worden opgelost als de momenteel nog aanhangige Uitvoeringswet DSA wordt aangenomen door het Parlement.

Rb. Rotterdam 16 december 2022, IT 4623; ECLI:NL:RBROT:2022:11808 (Eiseres tegen het college van burgemeester en wethouders van Rotterdam). Eiseres bevindt zich in een re-integratietraject bij het college van burgemeester en wethouders van Rotterdam. Zij verzoekt het college om inzage in of afschriften van documenten uit haar re-integratiedossier, voor zover die gaan over monitoring, logging, controle en opsporing. Het college geeft gehoor en verstrekt een aantal documenten aan eiseres. Het college meent volledig aan het inzageverzoek tegemoet te zijn gekomen, maar eiseres is het daar niet mee eens. Ook botsen partijen over het verzoek van eiseres tot rectificatie van haar persoonsgegevens. Volgens het college zijn de onjuistheden waar eiseres op doelt niet vatbaar voor het rectificatierecht: het gaat om professionele indrukken, meningen en conclusies. Het college wijst de verzoeken van eiseres af; het inzageverzoek voor zover hij daar niet aan kan voldoen. Dit zowel in eerste aanleg als na bezwaar van eiseres. Eiseres stapt naar de rechter.

Hof Arnhem-Leeuwarden 27 augustus, IT 4622; ECLI:NL:GHARL:2024:5458 (Appellante tegen Achmea Schadeverzekeringen N.V.). Deze zaak betreft een schadeclaim van appellante tegen Achema, een inboedelverzekeraar, in verband met diefstal met braak. Na een onderzoek heeft Achmea aan appellante laten weten iedere verzekeringsuitkering te weigeren en de gegevens van appellante in het Externe Verwijzingsregister (hierna: EVR) te registreren voor de duur van acht jaar, wegens opzettelijke misleiding door appellante. Appellante heeft vervolgens bij de kantonrechter gevorderd dat Achmea wordt veroordeeld tot uitkering van de verzekering inclusief wettelijke rente. Bovendien vordert appellante dat haar gegevens uit het EVR worden gehaald. De kantonrechter wijst de vorderingen af. Appellante gaat in hoger beroep met de bedoeling dat haar vorderingen alsnog worden toegewezen. Het hof concludeert dat appellante verzekeringsfraude heeft gepleegd. Appellante heeft Achmea namelijk onjuist voorgelicht en haar verklaring telkens gewijzigd zonder logische verklaring. Zij heeft haar mededelingsplicht geschonden met de onmiskenbare bedoeling om een hogere uitkering te ontvangen. Haar recht op uitkering komt dan ook te vervallen. Wat betreft de verwerking van de gegevens van appellante in het EVR, oordeelt het hof dat de vastgestelde verzekeringsfraude hiervoor voldoende basis biedt. Appellante motiveert onvoldoende waarom dat anders zou moeten zijn en mede hierom ziet het hof geen reden om af te wijken van de door Achmea vastgestelde duur van acht jaar.

HvJ EU 12 september 2024, IT 4621; ECLI:EU:C:2024:738 (HTB tegen Müller en Ökorenta). In deze uitspraak beantwoordt het Europese Hof een aantal door de Duitse rechter ingediende prejudiciële vragen. De vragen vloeien voort uit de zaak tussen HTB enerzijds en Müller en Ökorenta anderzijds. HTB en Ökorenta zijn beleggingsvennootschappen die elk via een fiduciaire vennootschap een indirecte deelneming in beleggingsfondsen bezitten. Deze beleggingsfondsen worden georganiseerd in de vorm van een commanditaire vennootschap. De Duitse rechter vraagt zich af of de AVG zo moet worden uitgelegd dat, op verzoek van een vennoot van een beleggingsfonds, de persoonsgegevens van alle vennoten met indirecte deelnemingen in dat fonds openbaar moeten worden gemaakt. Naar Duits recht is dit wel gebruikelijk, maar de Duitse rechter heeft er twijfels over of de Duitse rechtspraak verenigbaar is met artikel 6 van de AVG.

Rb. Den Haag 9 september, IT 4620; ECLI:NL:RBDHA:2024:14477 (Verzoeker tegen Bunq B.V.). Verzoeker is klant van Bunq. Bunq heeft de bankrekeningen van verzoeker geblokkeerd, omdat hij niet heeft gereageerd op het herhaaldelijke verzoek om bepaalde documenten toe te sturen. Verzoeker verstrekt de documenten daarna alsnog en de blokkade wordt opgeheven. Verzoeker vraagt Bunq vervolgens om inzage in alle van hem verwerkte gegevens, onder andere met betrekking tot de blokkering van zijn rekeningen. Bunq doet als verzocht, maar verzoeker stelt dat er gegevens ontbreken. Verzoeker stapt naar de rechter. In de tussentijd heeft Bunq aanvullende gegevens verstrekt die Bunq in relatie tot verzoeker heeft verwerkt. Desondanks vraagt verzoeker aan de rechtbank om Bunq op te dragen hem volledige inzage te verschaffen in zijn persoonsgegevens, inclusief de gegevens die zijn verwerkt als onderdeel van het besluitvormingsproces rondom de blokkade en de opheffing daarvan. Verzoeker legt daaraan ten grondslag dat Bunq onzorgvuldig te werk is gegaan, onder andere door het gebruik van geautomatiseerde besluitvorming. Bunq stelt daarentegen dat zij voldoende tegemoet is gekomen aan het inzageverzoek en dat er geen sprake is geweest van geautomatiseerde besluitvorming.

Rb. Rotterdam 21 augustus 2024, IT 4619; ECLI:NL:RBROT:2024:8250 (Verzoekster tegen Veilig Thuis). Verzoekster heeft een dochter voor wie zij een omgangsregeling heeft afgesproken met haar (voormalige) partner, de vader van haar dochter. Op 18 oktober 2022 heeft verzoekster een melding gedaan bij Veilig Thuis, omdat zij zich zorgen maakte over de veiligheid van haar dochter wanneer zij bij haar vader verbleef. Naar aanleiding van deze melding heeft Veilig Thuis één dossier voor het hele gezin aangemaakt (inmiddels zijn dit drie dossiers). Later zijn er verschillende andere meldingen gemaakt, zowel door verzoekster, als door haar partner en de politie. Er zijn daarbij veel contactmomenten geweest. Op 12 december 2023 heeft Veilig Thuis een melding gedaan bij het Jeugdbeschermingsplein en naar aanleiding daarvan is een onderzoek gestart. Verzoekster heeft Veilig Thuis vervolgens verzocht om een van de dossiers over haar gezin volledig te laten verwijderen, maar Veilig Thuis heeft dit verzoek afgewezen, met name uit anticipatie op een mogelijke situatie van kindermishandeling. Verzoekster stapt naar de rechtbank en verzoekt daar hetzelfde, inclusief met betrekking tot een tweede dossier. Subsidiair verzoekt zij dat Veilig Thuis wordt bevolen om specifiek haar persoonsgegevens uit de twee dossiers te verwijderen.

Vzr. Rb. Amsterdam 2 augustus 2024, IT 4616; ECLI:NL:RBAMS:2024:4917 (Stichting BLCKBX tegen Google). BLCKBX is een mediabedrijf dat verschillende actualiteitenprogramma’s produceert. Deze worden onder andere via een YouTube-kanaal ter beschikking gesteld. De videoplatformdienst YouTube wordt aangeboden door Google. Om gebruik te maken van de diensten van YouTube moeten gebruikers een gebruikersovereenkomst aangaan met YouTube. Gebruikers die zelf content maken krijgen de mogelijkheid inkomsten te genereren via het YouTube-partnerprogramma (hierna: YPP). BLCKBX is toegelaten tot het YPP, maar de deelname is door YouTube tot twee keer toe beëindigd wegens schendingen van het beleid. De nieuwe aanmeldingen door BLCKBX zijn afgewezen door YouTube.

HvJ EU 10 september 2024, IT 4618; ECLI:EU:C:2024:726 (Google Shopping). Het Hof heeft de boete van 2,4 miljard euro voor Google bevestigd vanwege machtsmisbruik door het bevoordelen van zijn eigen productvergelijkingsdienst ten koste van concurrenten. Google en moederbedrijf Alphabet hadden hoger beroep ingesteld tegen een eerdere uitspraak van het Gerecht, maar het Hof wees dit af. De zaak begon in 2017, toen de Europese Commissie Google strafte voor het prominenter tonen van resultaten van zijn eigen dienst in zoekresultaten, terwijl die van concurrenten minder zichtbaar waren en konden worden weggedrukt door Google's algoritmen. Dit gebeurde op markten in dertien Europese landen. In 2021 bevestigde het Gerecht deze boete grotendeels, maar stelde dat Google’s gedrag op de algemene zoekmarkt geen mededingingsbeperkende gevolgen had. Desondanks oordeelde het Hof nu dat Google door zijn machtspositie te misbruiken, oneerlijke concurrentie bevorderde, wat tegen de Europese mededingingsregels ingaat.