Persoonsgegevens  

HvJ EU 20 oktober 2022, IT 4134; ECLI:EU:C:2022:805 (Digi tegen Nemzeti) Digi is een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije. In april 2018 heeft Digi een zogeheten „testdatabank” opgezet, waarnaar zij de persoonsgegevens van haar particuliere klanten heeft gekopieerd. Op 23 september 2019 heeft Digi vernomen dat een ethische hacker zich toegang had weten te verschaffen tot de persoonsgegevens van ongeveer 322 000 personen waarover Digi beschikt. De ethische hacker heeft deze toegang zelf aan Digi gemeld en haar als bewijs een regel van de testdatabank toegezonden. Digi heeft het lek dat deze toegang mogelijk maakte hersteld.De Nemzeti heeft Digi een geldboete opgelegd omdat Digi de testdatabank na oplossing van de problemen, niet onmiddelijk heeft gewist. De zaak komt bij de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije), die stelt het Hof een tweetal vragen. Met zijn eerste vraag wenst de verwijzende rechter te vernemen of het beginsel van doelbeperking aldus moet worden uitgelegd dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens kan bewaren die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen, of is het bewaren van de gegevens in een parallelle databank niet meer verenigbaar met de rechtmatige doeleinden waarvoor de betrokken gegevens werden verzameld? Indien het antwoord op de eerste vraag luidt dat de parallelle opslag van gegevens als dusdanig niet verenigbaar is met het beginsel van doelbinding, is het dan verenigbaar met het beginsel van opslagbeperking dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens bewaart die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen?

HvJ EU 27 oktober 2022, IT 4133; ECLI:EU:C:2022:833 (Proximus tegen Gegevensbeschermingsautoriteit) Proximus is een aanbieder van telecommunicatiediensten in België. Proximus biedt ook telefoongidsen en telefooninlichtingendiensten aan. Die telefoongidsen bevatten de naam, het adres en het telefoonnummer van de abonnees van de verschillende aanbieders van telefoondiensten die voor het publiek beschikbaar zijn. De operatoren verstrekken deze contactgegevens aan Proximus, tenzij de abonnee de wens heeft geuit niet te worden vermeld in de telefoongidsen. Proximus zendt de contactgegevens die zij ontvangt ook door naar een andere aanbieder van telefoongidsen. De klager is een abonnee van Telenet, een operator van telefoondiensten die op de Belgische markt actief is. Telenet geeft geen abonneelijsten uit, maar zendt de contactgegevens van haar abonnees door naar aanbieders van abonneelijsten, onder meer naar Proximus. Er ontstaat een geschil met betrekking tot de verwerking van persoonsgegevens. Het Hof bevestigt dat de toestemming van een naar behoren geïnformeerde abonnee noodzakelijk is om zijn persoonsgegevens te kunnen publiceren in een openbare telefoongids en dat de toestemming zich uitstrekt tot elke latere verwerking van de gegevens door derde ondernemingen die actief zijn op de markt voor openbare telefooninlichtingendiensten en telefoongidsen, op voorwaarde dat deze verwerkingen ditzelfde doel hebben. Deze toestemming vereist een „vrije, specifieke, geïnformeerde en ondubbelzinnige” wilsuiting van de betrokkene die de vorm aanneemt van een verklaring of „een ondubbelzinnige actieve handeling” waaruit blijkt dat hij de verwerking van hem betreffende persoonsgegevens aanvaardt. 

Hof Amsterdam 25 oktober 2022, IT 4132; ECLI:NL:GHAMS:2022:3023 (appellante tegen geïntimeerde) Geïntimeerde verricht activiteiten op het gebied van media. Via een website is onder meer een dossier van 28 pagina's gepubliceerd over appellante, hierin staan de volledige naam en geboortedatum van appellante. In een van de artikelen op de site is appellante aangeduid als meesteroplichter en is een herkenbare foto van hem opgenomen. De informatie op de website is na 2010 niet meer aangevuld. Geïntimeerde blijkt domeinnaamhouder te zijn van de website. Op 6 maart 2019 is de website uit de lucht gehaald en sindsdien is deze niet meer voor raadpleging beschikbaar. Appellante vordert onder meer een verklaring voor recht dat geïntimeerde jegens hem onrechtmatig heeft gehandeld. Het hof wijst de vorderingen af. De verwerking van persoonsgegevens door geïntimeerde vond plaats voor uitsluitend journalistieke doeleinden als bedoeld in artikel 43 UAVG. Vrijheid van meningsuiting en informatie weegt in dit geval zwaarder dan het belang van bescherming van persoonsgegevens.

HvJ EU Conclusie A-G 27 oktober 2022, IEF 21055, IEFbe 3565, IT 4131; ECLI:EU:C:2022:838 (La Quadrature du Net) Zie [IEF 20258]. Vier organisaties die zich inzetten voor rechten en vrijheden op het internet, waaronder La Quadrature du Net, hebben bij de Conseil d’État (hoogste bestuursrechter in Frankrijk) verzocht om nietigverklaring van de stilzwijgende beslissing waarbij de Franse eerste minister hun verzoek tot intrekking van nationale regeling heeft afgewezen. De nationale regeling in kwestie staat toe dat een administratieve instantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, toegang heeft tot met IP-adressen overeenkomende identiteit, zodat deze instantie de houders van deze adressen die ervan worden verdacht verantwoordelijk te zijn voor de inbreuken kan identificeren en in voorkomend geval tegen hen kan optreden. De toegang wordt niet vooraf door een rechter of een onafhankelijke bestuurlijke entiteit getoetst. Met zijn eerste en tweede prejudiciële vraag wenst de verwijzende rechter te vernemen of het Unierecht zich tegen een dergelijke nationale regeling verzet. A-G Szpunar concludeert dat het Unierecht zich niet tegen een dergelijke nationale regeling verzet wanneer die gegevens het enige onderzoeksmiddel vormen met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop het strafbare feit werd gepleegd.

Rb. Zeeland-West-Brabant 21 oktober 2022, IT 4128; ECLI:NL:RBZWB:2022:5457 (eiseres tegen Bravis Ziekenhuis) Eiseres is vanaf 1991 tot en met 2018 diverse keren als patiënt behandeld in het Bravis ziekenhuis. De ex-partner van eiseres heeft een boek geschreven over de echtscheiding hem en eiseres. Het boek bevat tevens medische gegevens. Het boek is in mei 2018 uitgegeven door de huidige partner van de ex-partner van gedaagde. De huisige partner was vanaf januari 2007 tot augustus 2018 werkzaam bij Bravis. Eiseres stelt Bravis aansprakelijk voor de schade die zij heeft geleden wegens het onvoldoende beschermen van haar medische en geheime adresgegevens door Bravis. De rechtbank wijst de vordering toe op grond van onrechtmatige daad. Bravis heeft geen passende maatregelen genomen ten aanzien van de controle van de logging.

Rb. Rotterdam 13 april 2022, IT 4095; ECLI:NL:RBROT:2022:7239 (verzoekster tegen rechtbank Noord-Holland) Verzoekster was meer dan 4 jaar werkzaam bij de Belastingkamer van de rechtbank Noord-Holland. Verzoekster heeft op 31 maart 2022 de Raad voor de Rechtspraak (hierna: RvdR) verzocht om inzage in haar persoonsgegevens. De RvdR stuurde dit verzoek door naar de rechtbank Noord-Holland. Ook deed verzoekster enkele verzoeken met betrekking tot haar persoonsgegevens en maakt ze bezwaar tegen de verwerking van haar persoonsgegevens. Verzoekster vordert in dit geschil onder meer inzage in verschillende persoonsgegevens en een materiële en immateriële schadevergoeding. Op grond van artikel 15 lid 1 AVG heeft een betrokkene het recht op inzage in van hem betreffende persoonsgegevens. De rechtbank wijst de vordering tot inzage af ten aanzien van alle gegevens. De rechtbank is dan ook van mening dat er geen sprake is van een inbreuk op de AVG. Hierdoor heeft verzoekster ook geen recht om een materiële en immateriële schadevergoeding en wordt ook deze vordering van verzoekster afgewezen.

Rb. Limburg 14 september 2022, IT 4083; ECLI:NL:RBLIM:2022:6958 (eiser tegen College van B&W) Bij besluit van 16 april 2020 heeft het College van burgemeester en wethouders van de gemeente Maastricht (het College) het verzoek van eiser om een correctie aan te brengen in de hem betreffende persoonsgegevens in de Basisregistratie personen (Brp), afgewezen. Ter onderbouwing van dit verzoek had eiser onder meer een kopie van een Chinees paspoort uit 2010, notariële verklaringen en een DNA-onderzoek overgelegd. Eiser heeft vervolgens bezwaar gemaak tegen het besluit, maar het bezwaar van eiser is ongegrond verklaard. De rechtbank komt in deze zaak tot de conclusie dat het college zich terecht op het standpunt heeft gesteld dat niet zonder twijfel uit de door eiser overgelegde documenten volgt dat de daarin vermelde persoonsgegevens juist zijn.

Rb. Rotterdam 12 september 2022, IT 4082; ECLI:NL:RBROT:2022:7784 (eiser tegen het College) Eiser heeft op 7 maart 2021 het College van Bestuur van de Erasmus Universiteit Rotterdam verzocht om screenshots van zijn persoonsgegevens te verschaffen. Bij besluit van 19 april 2021 heeft het College het verzoek van eiser, tot inzage van de verwerking van zijn persoonsgegevens, toegewezen. Het verzoek is voor het overige afgewezen. Bij besluit van 13 oktober 2021 heeft het College het bezwaar van eiser ongegrond verklaard. De rechtbank volgt eiser niet in zijn standpunt dat de bestreden besluiten onzorgvuldig en in strijd met algemene rechtsbeginselen tot stand zijn gekomen. Daarnaast oordeelt de rechtbank dat er geen aanleiding bestaat aan te nemen dat er geen sprake was van eerlijke besluitvorming. De rechtbank is verder van oordeel dat het College voldaan heeft aan haar verplichting uit artikel 15 lid 3 AVG. De rechtbank verklaart het beroep ongegrond en wijst het verzoek om schadevergoeding af.

Vzr. Rechtbank Amsterdam 18 augustus 2022, IT 4068; ECLI:NL:RBAMS:2022:5286 (Eiser tegen ELQ) Kort geding. Eiser wil dat ELQ op straffe van een dwangsom een BKR-registratie verwijderd. Eiser is eenmalig in financiële problemen geraakt door een ongelukkige samenloop van omstandigheden, waar hij niet veel aan kon doen. In dit geval weegt het belang van eiser om verder te gaan met zijn leven en een nieuwe woning te kopen dan ook zwaarder wegen dan het algemene belang van ELQ om de registratie voor de volle vijf jaar te handhaven. De vordering wordt toegewezen. Nu ELQ heeft toegezegd aan een eventueel veroordelend vonnis te zullen voldoen wordt een dwangsom niet nodig geacht.

Rb. Gelderland 1 september 2022, IT 4073; ECLI:NL:RBGEL:2022:5161 (eiser tegen Achmea) In mei 2021 heeft eiser via Independer een autoverzekering afgesloten bij Achmea. Voor het afsluiten heeft eiser telefonisch diverse vragen, waaronder vragen over zijn strafrechtelijk verleden, beantwoord. Op 30 september 2021 heeft eiser aangifte gedaan van diefstal van zijn auto en Achmea hiervan op de hoogte gesteld. Achmea is na deze schademelding een onderzoek gestart. Eiser geeft toe dat hij in de verklaring inzake diefstal object van Centraal Beheer vragen over of hij in het verleden in aanraking is geweest met politie en/of justitie, met nee heeft beantwoord. Eiser is op 13 juni 2022 opgenomen in het Externe Verwijzingsregister (EVR) voor de duur van 8 jaar. Eiser vordert in dit geding dat Achmea wordt veroordeeld zijn persoonsgegevens te verwijderen. De voorzieningenrechter oordeelt dat voldoende aannemelijk is geworden dat in een bodemprocedure zal worden geoordeeld dat eiser de vragen bewust onjuist heeft beantwoord en dat dit mogelijk een bedreiging kon vormen voor de financiële belangen van Achmea. De voorzieningenrechter meent dat er is voldaan aan de voorwaarden voor registratie in het EVR en dat ook de registratie in het Incidentenregister is toegestaan. De voorzieningenrechter komt tot de conclusie dat alle vorderingen van eiser moeten worden afgewezen.