Ziggo hoeft opnieuw geen waarschuwing van BREIN door te sturen

Rechtbank Midden-Nederland 9 juni 2022, IEF 20771, IT 3955; ECLI:NL:RBMNE:2022:2198 (Stichting BREIN tegen Ziggo) Kort geding. Internetprovider Ziggo hoeft opnieuw niet mee te werken aan een verzoek van Stichting BREIN om een waarschuwingsbrief door te sturen aan een klant. Dat is de beslissing van de voorzieningenrechter van de rechtbank Midden-Nederland. BREIN wil dat Ziggo een waarschuwing stuurt naar een klant omdat via zijn/haar IP-adres illegaal boeken zijn gedownload. Anders dan BREIN stelt, is niet zeker dat die IP-adreshouder zélf auteursrechten heeft geschonden. Daarnaast oordeelt de rechter ook nu dat het doorsturen van een waarschuwing in strijd is met de Algemene verordening gegevensbescherming (AVG), zolang Ziggo daarvoor geen vergunning heeft.

Argument 5
3.38. Op grond van artikel 33 lid 4 sub c UAVG is er een vergunning van de AP vereist bij verwerking van strafrechtelijke persoonsgegevens ten behoeve van een derde. Volgens BREIN is er bij het sturen van waarschuwingsbrieven geen sprake van dat Ziggo de gegevens ten behoeve van BREIN verwerkt, omdat de gegevens niet met BREIN worden gedeeld.

3.39. Ook dit argument slaagt niet. De verwerking is, onder andere, het koppelen door Ziggo van het IP-adres dat BREIN bij haar aanlevert, aan de bij Ziggo bekende NAW-gegevens. Die verwerking doet Ziggo ten behoeve van BREIN, namelijk om de inbreuk tegen te gaan jegens degenen wiens belangen BREIN behartigt. Dat de NAW-gegevens niet met BREIN worden gedeeld, maakt daarvoor niet uit. Dat Ziggo zich jegens haar klanten contractueel het recht voorbehoudt om op te treden tegen misbruik van de internetverbinding en dat dit – volgens BREIN – ook in het belang van Ziggo is, maakt niet dat de specifieke verwerking waar het in dit kort geding om draait ten behoeve van Ziggo wordt uitgevoerd.

Argument 6
3.40. BREIN stelt zich op het standpunt dat Ziggo geen gegevensbeschermingseffectbeoordeling (artikel 35 AVG) hoeft uit te voeren, omdat er geen sprake is van een grootschalige verwerking van strafrechtelijke gegevens, maar van de verwerking van een specifiek IP-adres in het kader van een specifieke inbreuk.

3.41. Op grond van de handleiding van de algemene verordening gegevensverwerking van de AP (pagina 58) moet er een gegevensbeschermingseffectbeoordeling worden uitgevoerd, onder meer, als er sprake is van verwerking van 1) gevoelige gegevens of gegevens van zeer persoonlijke aard en 2) op grote schaal verwerkte gegevens. Of de verwerking grootschalig zal zijn, kan de voorzieningenrechter nu niet beoordelen. Hier ligt de concrete vordering met betrekking tot één klant van Ziggo voor en mogelijke toekomstige vorderingen. Anders dan bij de FLU-campagne die een rol speelde in BREIN/Ziggo I, is er in dit kort geding geen enkele indicatie wat de omvang van toekomstige inbreuken gaat zijn.