Persoonsgegevens  

Rechtbank Midden-Nederland 24 augustus 2022, IT 4164; ECLI:NL:RBMNE:2022:3438 (verzoeker tegen ASR) Tussen verzoeker en ASR is een geschil gerezen over de vraag of ASR aan haar AVG-verplichtingen heeft voldaan. ASR heeft verzoeker geïnformeerd over de persoonsgegevens die zij van hem heeft bijgehouden. Verzoeker is van mening dat het verstrekte overzicht onjuist en onvolledig is en dat ASR daarbij onrechtmatig heeft gehandeld. De rechtbank oordeelt dat de handelswijze van ASR als niet rechtmatig moet worden gekwalificeerd. Dit omdat ASR ten onrechte het emailadres van verzoeker en het polisnummer bekend heeft gemaakt aan diens ex partner, zonder verzoekers toestemming. Ten tweede heeft ASR in een productie bij het verweerschrift vermeld dat verzoeker “erg reuma” heeft. Dit betreft een bijzondere categorie van persoonsgegevens van verzoeker die niet mogen worden verwerkt. Desondanks worden de vorderingen tot schadevergoeding afgewezen. De vordering tot immateriële schadevergoeding wordt afgewezen omdat verzoeker niet aan zijn stelplicht heeft voldaan. De materiële schadevergoeding wordt afgewezen omdat er geen sprake is van causaal verband.

[via Autoriteit Persoonsgegevens]. De Autoriteit Persoonsgegevens raadt bezoekers van het WK in Qatar aan om een tweede telefoon mee te nemen die zij niet gebruiken. Bezoekers van het WK worden namelijk verplicht een aantal apps op hun telefoon te installeren. Zo moeten de apps Ehteraz, een coronatracker, en Hayya, een speciale WK-app worden geinstalleerd. De Duitse privacytoezichthouder heeft de apps geanalyseerd. Hieruit volgde dat de gegevensverwerking van beide apps waarschijnlijk veel verder gaat dan de beschrijvingen van de kennisgevingen van gegevensbescherming en de verwerkingsdoeleinden in de app stores aangeven. Zo registreren de apps bijvoorbeeld met wie een gebruiker gebeld heeft en welke apps er allemaal op de telefoon staan. Ook is het vermoedelijk mogelijk dat de apps toegang hebben tot de foto’s van de gebruiker. Verder is uit de analyse gebleken dat de verzamelde gegevens gegevens niet alleen lokaal op het apparaat blijven, maar worden doorgestuurd naar een centrale server.

Google schikt voor 391,5 miljoen dollar met tientallen Amerikaanse staten. Google zou locatiegegevens verzamelen en verwerken van ongeveer 2 miljard Android gegevens. Ook de locatiegegevens van iPhone-bezitters werden opgeslagen en verwerkt. Wanneer iPhone-gebruikers Google Maps openden werden hun locatiegegevens naar Google verstuurd, zonder dat zij hiervoor toestemming hebben gegeven. Google moet naast de betaling van 391,5 miljoen ook transparanter zijn met betrekking tot het verzamelen en verwerken van gegevens.

Rb. Gelderland 26 oktober 2022, IT 4149; ECLI:NL:RBGEL:2022:5942 (eiseres tegen gedaagden) Eiseres adviseert en begeleidt ondernemingen op het gebied van onder meer merkpositionering, bedrijfsidentiteit, huisstijl, businessmodellen en verdienmodellen. Gedaagde 1 heeft een eenmanszaak en faciliteert onder meer ruimten voor retreats, trainingen en workshops. Op 2 september 2021 is gedaagde 2 opgericht, met gedaagde 1 als enig aandeelhouder en bestuurder. Eiseres meent dat gedaagden ten onrechte haar factuur niet hebben voldaan en zij vordert onder meer betaling van de factuur. Gedaagden vorderen dat eiseres digitale kopieën verstrekt van alle gesprekken en Zoom-gesprekken die eiseres heeft opgenomen. De rechtbank wijst de vordering van gedaagden toe op grond van art. 843a Rv. Al het overige wordt beslist op 7 december 2022.

Via jestaattekoop.nl. Stichting Data Bescherming Nederland (SDBN) klaagt Twitter aan wegens verkoop van miljoenen persoonsgegevens. Twitter was tot 1 januari 2022 eigenaar van MoPub, een bedrijf dat gebruikersdata verzamelt via meer dan 30.000 apps. Hieronder vallen de vaak gedownloade apps Buienradar, MyFitnessPal en Vinted, maar ook datingapps als Happn en Grindr. De door MoPub verzamelde persoonsgegevens van gebruikers van de apps zijn zonder hun toestemming verkocht aan derde commerciële partijen. Hiermee wordt de AVG overtreden, SDBN gaat dan ook een massaclaim bij Twitter neerleggen. SDBN wil bij de rechter afdwingen dat Twitter persoonsgegevens correct verwerkt en de verzamelde gegevens verwijdert. Ook gaat SDBN schadevergoeding vorderen ten behoeve van de gedupeerde gebruikers. SDBN streeft ernaar om uiterlijk op 31 december 2022 de dagvaarding uit te brengen en verwacht in 2026 uitspraak.

Rechtbank Den Haag 29 september 2022, IT 4144; ECLI:NL:RBDHA:2022:11521 (verzoekster tegen Stichting) De Stichting is een woningcorporatie en verhuurt woningen in de sociale sector. Verzoekster huurt een appartement in één van de door de Stichting beheerde wooncomplexen. Er is sprake van een gespannen relatie tussen verzoekster en enkele van haar medebewoners, waarbij over- en weer klachten zijn gemeld bij de Stichting . Verzoekster verlangt dat zij door de Stichting als ‘urgente’ woningzoekende wordt aangemerkt, zodat zij met prioriteit een nieuwe sociale huurwoning kan vinden. De Stichting heeft hierbij persoonsgegevens verwerkt, onder meer in correspondentie met de GGZ en GGD. Verzoekster heeft de Stichting verzocht om inzage in de persoonsgegevens die de Stichting van haar heeft verwerkt. De Stichting heeft geen volledig overzicht gegeven. Verzoekster verzoekt dan ook de Stichting te veroordelen dat alsnog te doen. De rechtbank veroordeelt de Stichting om verzoekster een kopie te verstrekken de verwerkte persoonsgegevens

Ktr. Rb Rotterdam 7 oktober 2022, IT 4143; ECLI:NL:RBROT:2022:9287 (Nationale Nederlanden tegen gedaagde) Gedaagde heeft een inboedelverzekering afgesloten bij Nationale Nederlanden. Onder deze verzekering heeft gedaagde schadeclaims ingediend waaraan valse stukken ten grondslag liggen. Nationale Nederlanden vordert schadevergoeding van gedaagde. Gedaagde betwist dat hij een schademelding heeft gedaan en ook dat hij überhaupt een verzekering heeft afgesloten. Hij voert aan dat sprake is van identiteitsfraude door een voormalige medewerker van Nationale Nederlanden. Ter bewijs hiervan vordert gedaagde afgifte van de NAW-gegevens van de voormalige medewerker. De kantonrechter oordeelt dat de afgifte van de NAW-gegevens niet in strijd is met de AVG, Nationale Nederlanden moet de gegevens verstrekken. Over de schadevergoeding doet de kantonrechter nog geen uitspraak.

HvJ EU 20 oktober 2022, IT 4139; ECLI:EU:C:2022:813 (CBP en CKC tegen Koalitsia) Bij besluit van de CBP van 28 januari 2021 en bij besluit van de CKC van 8 februari 2021 zijn litigieuze richtsnoeren vastgesteld. Met betrekking tot de verwerking van persoonsgegevens door middel van video-opnamen in het kader van het verkiezingsproces, wordt in deze litigieuze richtsnoeren bepaald dat deze verwerking tot doel heeft de transparantie, de objectiviteit en de legitimiteit van het verkiezingsproces, de gelijke behandeling van de actoren in dat proces, de vrijheid van meningsuiting en het recht op informatie te waarborgen. De media mogen alleen bij de opening en de sluiting van de verkiezingsdag, de bekendmaking van de uitslag van de stemming en de uitreiking van de volgnummers van de stembiljetten, persoonsgegevens door middel van video-opnamen verwerken. De Koalitsia heeft de wettigheid van deze richtsnoeren aangevochten. De zaak komt uiteindelijk bij de Varhoven administrativen sad (hoogste bestuursrechter, Bulgarije), die een zestal prejudiciële vragen stelt over de uitleg van artikel 2 lid 2 onder a, artikel 6, lid 1 onder e, en artikel 58 van verordening (EU) 2016/679.

Vzr. Rechtbank Den Haag 20 oktober 2022, IT 4135; ECLI:NL:RBDHA:2022:11360 (eiser tegen de Nationale Politie) Eiser wordt verdacht van zeer ernstige strafbare feiten, onder andere meerdere levensdelicten. In verband daarmee wordt hij strafrechtelijk vervolgd. Eiser is onder begeleiding van de Nederlandse autoriteiten overgebracht naar Nederland, tijdens de vlucht is eiser verzorgd door een arts. Volgens eiser heeft de arts hem niet naar behoren behandeld. Hij heeft een klacht ingediend bij het Regionaal Tuchtcollege voor de Gezondheidszorg, maar de klacht is niet-ontvankelijk verklaard omdat volgens de Wet BIG de naam en het werkadres van de arts in de klacht vermeld moeten worden. Die gegevens wil de politie echter niet aan eiser bekendmaken. Eiser vordert daarom nu de politie te veroordelen om de gegevens van de arts aan hem of aan het CTG bekend te maken. De voorzieningenrechter wijst de vordering af omdat het belang van de arts geen ernstig veiligheidsrisico te lopen zwaarder weegt dan het belang van eiser bij behandeling van zijn tuchtklacht op korte termijn.

HvJ EU 20 oktober 2022, IT 4134; ECLI:EU:C:2022:805 (Digi tegen Nemzeti) Digi is een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije. In april 2018 heeft Digi een zogeheten „testdatabank” opgezet, waarnaar zij de persoonsgegevens van haar particuliere klanten heeft gekopieerd. Op 23 september 2019 heeft Digi vernomen dat een ethische hacker zich toegang had weten te verschaffen tot de persoonsgegevens van ongeveer 322 000 personen waarover Digi beschikt. De ethische hacker heeft deze toegang zelf aan Digi gemeld en haar als bewijs een regel van de testdatabank toegezonden. Digi heeft het lek dat deze toegang mogelijk maakte hersteld.De Nemzeti heeft Digi een geldboete opgelegd omdat Digi de testdatabank na oplossing van de problemen, niet onmiddelijk heeft gewist. De zaak komt bij de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije), die stelt het Hof een tweetal vragen. Met zijn eerste vraag wenst de verwijzende rechter te vernemen of het beginsel van doelbeperking aldus moet worden uitgelegd dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens kan bewaren die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen, of is het bewaren van de gegevens in een parallelle databank niet meer verenigbaar met de rechtmatige doeleinden waarvoor de betrokken gegevens werden verzameld? Indien het antwoord op de eerste vraag luidt dat de parallelle opslag van gegevens als dusdanig niet verenigbaar is met het beginsel van doelbinding, is het dan verenigbaar met het beginsel van opslagbeperking dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens bewaart die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen?