Persoonsgegevens  

Met het aanhangige wetsvoorstel wordt uitvoering gegeven aan de digitale marktverordening (hierna: DMA). De Afdeling advisering Raad van State (hierna: Afdeling) adviseert hier over het wetsvoorstel. Handhaving van de DMA vindt plaats door de Europese Commissie (hierna: Commissie), nationale instanties ondersteunen hierbij. In de uitvoeringswet wordt de Autoriteit Consument en Markt (hierna: ACM) benoemd als de bevoegde nationale autoriteit in Nederland. Zowel de ACM als de Commissie heeft de bevoegdheid onderzoek te starten naar de naleving van de DMA, waardoor overlap ontstaat in hun werkzaamheden. Volgens de DMA eindigt in dat geval het onderzoek van de nationale autoriteit wanneer de Commissie een onderzoek start naar dezelfde inbreuk. Op voorhand is echter niet altijd duidelijk of een handeling van een poortwachter onder de DMA valt of dat een ander soort overtreding aan de orde is. In gevallen van overtredingen van het mededingingsrecht of van de P2B-verordening heeft de ACM namelijk een zelfstandige toezichthoudende rol, waarbij zij handhavingsmaatregelen kan opleggen. De DMA laat daartoe ruimte, maar verlangt wel dat de ACM de Commissie op de hoogte stelt van onderzoeken en eventuele opgelegde maatregelen.

Vzr. Rb. Amsterdam 18 oktober 2023, IT 4404; ECLI:NL:RBAMS:2023:6530 (Eiser tegen Criteo). Eiser is een Nederlandse natuurlijke persoon. Gedaagden zijn rechtspersonen die onderdeel uitmaken van het Criteo-concern. Criteo is een belangrijke speler in de ‘Adtech-industrie’. Criteo plaatst via de website van derden zogeheten ‘tracking cookies’ op computers en/of mobiele apparaten. Tracking cookies bevatten een uniek ID, een willekeurige lijst van karakters, die wordt toegewezen aan de browser van een bepaalde websitebezoeker. Bij iedere website die een link heeft met Criteo en die met die browser wordt bezocht, wordt dezelfde tracking cookie uitgelezen. Het doel van Criteo met de tracking cookies is om advertenties af te stemmen op het gedrag van websitebezoekers. Dit is ook gebeurd bij eiser zonder dat hij daarvoor toestemming heeft verleend, waardoor hij stelt dat in strijd met de AVG en de telecommunicatiewet is gehandeld. Eiser vordert staking en gestaakt houden van het plaatsen van tracking cookies via websites van derden door Criteo. Daarnaast vordert eiser dat hij in kan zien met wie zijn persoonsgegevens gedeeld zijn en dat deze verwijderd worden.

Het wetsvoorstel opvraagbaarheid gegevens voor spoedeisende zorg dient ervoor te zorgen dat medische gegevens makkelijker op te vragen zijn als iemand spoedeisende zorg nodig heeft. Dit komt ten goede van de zorg, omdat hierdoor beter kan worden bepaald hoe snel iemand moet worden geholpen en wat voor hulp iemand nodig heeft. Door dit wetsvoorstel zal tevens minder kans bestaan op medische fouten. Het wetsvoorstel regelt dat sommige zorgaanbieders in principe verplicht worden bepaalde gegevens opvraagbaar te maken. Die “verplicht opvraagbaar gemaakte gegevens” mogen alleen worden ingezien door bepaalde zorgverleners in geval van spoedeisende zorg en alleen als de cliënt geen bezwaar maakt. Het concept wetsvoorstel is hier te raadpeegen.

Rb. Amsterdam 6 september 2023, IT 4407; ECLI:NL:RBAMS:2023:5743 (Verzoeker tegen ING). Verzoeker had krediet afgesloten bij ING voor zijn eenmanszaak. Op een bepaald moment kon verzoeker het krediet niet meer terugbetalen en is hij failliet verklaard. ING heeft meerdere malen verzocht om het betaalde bedrag terug te betalen, maar verzoeker was hiertoe niet in staat en is toegelaten tot de schuldsanering. Toen verzoeker de schuldsanering had afgerond met een schone lei, heeft ING de bijzonderheidscode 3 toegevoegd in het BKR-systeem aan de kredietverlening van verzoeker. Verzoeker heeft ING tweemaal verzocht om de bijzonderheidscode bij de BKR-registratie te verwijderen, maar kreeg tweemaal nul op rekest. Verzoeker verzoekt nu de rechtbank om ING te veroordelen de codering van de BKR-registratie te verwijderen. Partijen zijn het erover eens dat de BKR-registratie juist is. De einddatum van bijzonderheidscodering 3 aan de BKR-registratie is 2025, maar verzoeker is van mening dat deze eerder verwijderd dient te worden. Een BKR-registratie is aan te merken als het verwerken van persoonsgegevens waarop de AVG van toepassing is.

Rb. Den Haag 21 september 2023, IT 4398; ECLI:NL:RBDHA:2023:14359 (Eiseres tegen UWV). Verweerder heeft eiseres in kennis gesteld van een datalek, waarbij vijf brieven bestemd voor eiseres naar een verkeerd adres zijn gestuurd. Eiseres heeft verweerder daarna aansprakelijk gesteld op grond van dit datalek en verzocht om immateriële schadevergoeding. Haar is daarop een vergoeding aangeboden van €250,-. Eiseres vond deze vergoeding onvoldoende en eiste een hoger bedrag en inzage in haar persoonsgegevens bij UWV ten aanzien van het datalek. Het UWV heeft dit verzoek afgewezen, waartegen eiseres beroep heeft ingesteld.

Beantwoording kamervragen RAM 2022-2023, IT 4396; 2023-0000229107. In deze stukken worden Kamervragen beantwoord naar aanleiding het bericht dat een grote hoeveelheid gegevens verzameld zou worden door de Belastingdienst. De staatssecretaris van Financiën heeft beloofd een extern onderzoek laten doen naar het Risico Analyse Model (hierna: RAM). Wegens bepaalde ontwikkelingen zijn deze onderzoeken echter niet gestart. De Autoriteit Persoonsgegevens (hierna: AP) heeft aangegeven ook een onderzoek te willen starten en de staatssecretaris wil afwachten of de aankondiging door de AP nog gevolgen heeft voor de vraagstelling en reikwijdte van het externe onderzoek. De staatssecretaris is van plan om de vragen van Kamerleden en het onderzoek van de AP te betrekken bij het onderzoek en blijft van mening dat dit externe onderzoek noodzakelijk is om helderheid te krijgen over de informatievoorziening rondom RAM, zoals data, analyses en het gebruik van die analyses. In alle waarschijnlijkheid gaat het onderzoek in november beginnen. De staatssecretaris beantwoordt Kamervragen, maar benadrukt dat pas na het externe onderzoek en het onderzoek van de AP definitieve antwoorden gegeven kunnen worden.

De verweerder PTAC heeft een informatiecampagne gevoerd waarbij een video op verschillende websites werd verspreid. De hoofdrolspeler in de video waarschuwt consumenten voor belangrijke risico’s die ze kunnen lopen bij de aankoop van een tweedehandsauto. In de video imiteerde de hoofdrolspeler de stem en het uiterlijk van een bekende Letse autojournalist en -deskundige. De geïmiteerde journalist (verzoeker) was ontevreden over de manier waarop hij in de video werd afgebeeld en verzocht PTAC om de vertoning te stoppen, openbare excuses aan te bieden en een vergoeding te betalen voor geleden immateriële schade. PTAC weigerde dit verzoek, waarna verzoeker een rechtszaak aanspande om de handeling van PTAC onwettig te verklaren en compensatie te eisen voor immateriële schade. Het beroep werd gedeeltelijk toegewezen, maar verzoeker ging in cassatieberoep. Het Letse hof heeft hierop prejudiciële vragen aan het Hof van Justitie in het kader van de AVG gesteld. Lees hier de verwijzingsuitspraak.

ABRvS 20 september 2023, IT 4386; ECLI:NL:RVS:2023:3557 (Appellante tegen Autoriteit Persoonsgegevens) De Autoriteit Persoonsgegevens (hierna: AP) heeft in 2018 het verzoek van appellant afgewezen om op te treden tegen schendingen van de AVG door de Dienst Wegverkeer (hierna: RDW). Appellant heeft klachten ingediend bij de AP om de manier waarop de RDW registervergelijkingen uitvoert ter bepaling van een overtreding van de keuringsplicht en verzekerplicht van rijtuigen. Op basis hiervan stelt de RDW boetes vast indien mensen niet voldoen aan de genoemde verplichtingen. Appellant heeft deze boetes ook opgelegd gekregen, terwijl zij geen houder is van een voertuig. Hierdoor vindt zij de werkwijze van RDW in strijd met privacywetgeving en heeft zij een verzoek gedaan tot handhaving bij de AP. De AP heeft dit verzoek niet-ontvankelijk verklaard, omdat RDW adequaat heeft gereageerd op de klachten door de gegevens meteen te verwijderen of corrigeren. De Afdeling oordeelt dat appellante geen belang meer heeft bij het veroordelen van de RDW, omdat geen onjuiste persoonsgegevens meer worden verwerkt door de RDW. Het bezwaar is daarom terecht niet-ontvankelijk verklaard door de AP.

HR 15 September 2023, IT 4377, ECLI:NL:HR:2023:1216 Het gaat in deze cassatieprocedure over de vraag of het mogelijk is in kort geding een vordering tot verwijdering van persoonsgegevens in te stellen nadat de termijn van zes weken is verstreken. Normaliter betekent het overschrijden van de termijn van zes weken, die volgt uit uit art. 35 lid 2 Uitvoeringswet Algemene verordening persoonsgegevens (hierna: UAVG), dat betrokkene niet-ontvankelijk zal zijn in zijn vordering. De vraag is of betrokkene wel ontvankelijk is in een vordering in kort geding na het verstrijken van de termijn.

Rechtbank Amsterdam 25 mei 2023, IT 4369; ECLI:NL:RBAMS:2023:5510 (Verzoeker/Rabobank) In dit geschil oordeelt de rechtbank Amsterdam over het verzoek van verzoeker omtrent zijn registratie in de BKR-registratie. Rabobank heeft een lening verstrekt ter financiering van de VOF van verzoeker. Deze VOF is failliet gegaan. Hoewel de schuld van verzoeker door Rabobank is kwijtgescholden, blijft de registratie in het register nog vijf jaar staan. Verzoeker stelt dat deze registratie niet langer proportioneel is en vraagt om doorhaling van de registratie.