Persoonsgegevens  

Rb. Den Haag 2 oktober 2024, IT 4679; ECLI:NL:RBDHA:2024:16304 (Eiser tegen Nationale-Nederlanden Bank) Eiser heeft een lening aangevraagd bij Nationale-Nederlanden Bank (hierna: NN) waarbij hij een vervalst bankafschrift en een vervalste salarisspecificatie heeft overgedragen. Dit erkent eiser en hij betwist niet dat deze gedragingen hebben geleid tot opname van zijn gegevens in het Incidentenregister, het IVR en het EVR. Hij stelt wel dat de voortduring van deze registraties gelet op zijn belangen en die van NN niet proportioneel is. Hierbij heeft de registratie in het EVR de meest verstrekkende gevolgen voor hem, daarnaast heeft het EVR een hogere drempel voor opname dan nodig is voor opname in het Incidentenregister en het IVR. Aangezien opname in het EVR samenhangt met opname in het Incidentenregister moet hiervoor ook de proportionaliteit worden beoordeeld.

Rb. Rotterdam 6 november 2024, IT 4688; ECLI:NL:RBROT:2024:10919 (Eiseres tegen minister van Financiën) Eiseres heeft de minister verzocht om inzage in haar persoonsgegevens in FSV. De minister heeft dit verzoek aangemerkt als een AVG-verzoek en heeft het afgewezen. Eiseres heeft bezwaar gemaakt tegen dit besluit, en dit bezwaar is gegrond verklaard door de minister. Daarbij heeft hij gesteld dat gegevens in principe moeten worden verstrekt bij een inzageverzoek, maar dat er in dit geval sprake is van een uitzonderingsgrond waardoor hij heeft afgezien van inzage in een aantal gegevens. Eiseres heeft tegen dit besluit beroep ingesteld.

HvJ EU 4 oktober 2024, IT 4684; ECLI:EU:C:2024:827 (Agentsia po vpisvaniyata) OL heeft het Bulgaarse agentschap voor registraties verzocht om verwijdering van haar naam, voornaam, identificatienummer, gegevens van haar identiteitskaart, adres en handtekening uit een vennootschapsovereenkomst. Het agentschap verwijderde uiteindelijk alleen haar identificatienummer, identiteitskaartgegevens en adres. De rechter in eerste aanleg oordeelde dat het agentschap OL's recht op gegevenswissing had geschonden en kende haar een schadevergoeding toe. Het Hof oordeelt dat artikel 21 lid 2 Richtlijn 2017/1132 geen verplichting oplegt aan lidstaten om de openbaarmaking van niet-verplichte persoonsgegevens toe te staan. Het Hof oordeelt verder dat het agentschap in dit geval zowel ontvanger als verwerkingsverantwoordelijke is van de persoonsgegevens in de zin van de AVG. Dit betekent dat het agentschap verantwoordelijk is voor de naleving van de AVG, inclusief het recht op gegevenswissing. Het Hof concludeert dat de Bulgaarse regeling, die de afwijzing van een verzoek tot verwijdering van niet-verplichte persoonsgegevens toestaat als er geen afschrift is verstrekt waarin die gegevens onleesbaar zijn gemaakt, in strijd is met Richtlijn 2017/1132 en artikel 17 AVG. Bovendien oordeelt het Hof dat een handgeschreven handtekening een persoonsgegeven is in de zin van de AVG. Tot slot bevestigt het Hof dat zelfs een kortstondig verlies van controle over persoonsgegevens immateriële schade kan opleveren in de zin van artikel 82 lid 1 AVG.

Rb. Oost-Brabant 6 november 2024, IT 4678; ECLI:NL:RBOBR:2024:5232 (eiseres tegen de minister) Op naam van eiseres is met haar DigiD-inloggegevens studiefinanciering aangevraagd. Dit bleek nadien onderdeel van identiteitsfraude bij in totaal 48 personen waarvoor uiteindelijk twee verdachten strafrechtelijk zijn veroordeeld. De minister van OC&W weigert kwijtschelding van de op naam van eiseres ontstane studieschuld van € 12.507,78 omdat de fraude in de risicosfeer van eiseres zou liggen. De rechtbank oordeelt dat de minister onzorgvuldig heeft gehandeld door studiefinanciering toe te kennen zonder een bewijs van inschrijving van een onderwijsinstelling. Daarnaast is vastgesteld dat eiseres slachtoffer was van identiteitsfraude en dat zij haar DigiD-gegevens niet vrijwillig heeft gedeeld met de fraudeurs. De rechtbank concludeert dat het niet kwijtschelden van de schuld zou leiden tot een onbillijkheid van overwegende aard en dat de minister in redelijkheid niet anders had kunnen besluiten dan tot kwijtschelding over te gaan. Daarom wordt de minister opgedragen de studieschuld van eiseres volledig kwijt te schelden.

Rb. Den Haag 7 november 2024, IT 4677, ECLI:NL:RBDHA:2024:18170 (eiseres tegen Binance) Eiseres heeft aangifte gedaan van beleggingsfraude en oplichting nadat zij in de zomer van 2024 via een datingplatform was overgehaald om te beleggen in cryptovaluta. Zij heeft in totaal € 186.000,- ingelegd, welke cryptovaluta uiteindelijk op een oplichtersplatform terechtkwamen en vervolgens werden overgemaakt naar een gebruikersaccount bij Binance. DataExpert B.V. heeft vastgesteld dat een deel van deze cryptovaluta op een specifiek Binance-account terecht is gekomen. De voorzieningenrechter oordeelt dat de eiseres rechtmatig belang heeft bij het verkrijgen van de identificerende gegevens van de klant van Binance, op wiens naam het gebruikersaccount staat. De vordering van eiseres om deze gegevens te verkrijgen wordt toegewezen op grond van artikel 843a Rv, omdat de bescheiden betrekking hebben op een rechtsbetrekking waarbij de eiseres partij is. Daarnaast wordt het gebruikersaccount geschorst om te voorkomen dat de cryptovaluta zouden worden weggesluisd voordat een bodemvonnis is verkregen. De voorzieningenrechter acht het belang van eiseres om de fraudeur in rechte te kunnen betrekken zwaarder dan de privacybelangen van de klant van Binance.

Hof Arnhem-Leeuwarden 5 november 2024, IT 4673; ECLI:NL:GHARL:2024:6812 (appellant tegen geïntimeerde) De koper van een auto had een bedrag overgemaakt naar een Duits bankrekeningnummer op basis van een betaalinstructie die hij ontving via het e-mailadres van het autobedrijf, de verkoper. Later bleek dat een hacker toegang had gekregen tot het e-mailaccount van het autobedrijf en de valse betaalinstructie had verstuurd. De koper vorderde schadevergoeding op grond van artikel 82 AVG, stellende dat het autobedrijf onvoldoende beveiligingsmaatregelen had getroffen.

Vzr. Rb. Amsterdam 23 september 2024, IT 4669; ECLI:NL:RBAMS:2024:5899 (Eiseres tegen Rabobank). In het CKI van het BKR staat een krediet van Rabobank met een achterstandscodering en een bijzonderheidscodering op naam van eiseres. Ze heeft inmiddels de volledige openstaande vordering betaald en heeft samen met haar partner een koopovereenkomst voor een huis getekend. Daarnaast weet ze sinds kort dat ze zwanger is. Op grond van artikel 21 lid 1 AVG heeft eiseres vanwege haar specifieke situatie bezwaar gemaakt bij Rabobank tegen de verwerking van haar persoonsgegevens. Rabobank heeft het bezwaar afgewezen. Eiseres vordert in dit kort geding de verwijdering van de registratie, op straffe van dwangsommen. Eiseres stelt dat ze niet wist van de betalingsachterstand, omdat haar moeder haar rekening heeft gebruikt, de kredietlimiet heeft verhoogd, contact onderhield met de bank en deurwaarder en in haar naam een betalingsregeling heeft getroffen met de deurwaarder. De voorzieningenrechter gaat hierin mee en wijst de vordering van eiseres toe. Omdat Rabobank de registratie de volgende dag verwijdert, acht de voorzieningenrechter een dwangsom niet nodig.

Rb. Den Haag 31 mei 2024, IT4666; ECLI:NL:RBDHA:2024:17249 (eiseres tegen de AP) De AP heeft eiseres een boete opgelegd omdat zij de AVG heeft overtreden. De AP wilde het handhavingsbesluit, inclusief het boetebedrag, openbaar maken aan de twee klagers die de zaak bij de AP hadden aangekaart. Eiseres vordert de voorzieningenrechter de AP te gebieden het boetebedrag onleesbaar te maken. De voorzieningenrechter oordeelt dat de klagers weliswaar als belanghebbenden moesten worden gezien, maar dat dit niet betekent dat ze het volledige handhavingsbesluit, inclusief het boetebedrag, mochten inzien. Het belang om de hoogte van de boete geheim te houden weegt zwaarder dan het belang van de klagers om de hoogte te weten. De rechter baseert de beslissing op het feit dat de boete aanzienlijk hoog was en openbaarmaking ervan de reputatie en bedrijfsvoering van het bedrijf kan schaden. De AP moet het boetebedrag en de berekening daarvan onleesbaar te maken voor de klagers. 

HvJ EU 4 oktober 2024, IT 4658; ECLI:EU:C:2024:854 (Patērētāju tiesību aizsardzības centrs) In Letland heeft een journalist een zaak aangespannen tegen de autoriteit PTAC vanwege een video die zonder zijn toestemming werd verspreid en zijn imago beschadigde, waarbij hij compensatie voor immateriële schade eiste. De zaak is voorgelegd aan het Hof van Justitie van de EU om verduidelijking te krijgen over art. 82 AVG. Het Hof benadrukt dat een inbreuk op de AVG op zichzelf niet voldoende is om te kunnen spreken van schade in de zin van art. 82 AVG, zie [IT 4477]. Verder oordeelt het Hof dat het aanbieden van excuses een passende vergoeding voor immateriële schade in de zin van art. 82 AVG kan vormen, met name wanneer het onmogelijk is om de toestand te herstellen, mits de geleden schade op die manier volledig wordt vergoed. Tot slot mag met betrekking tot de hoogte van de te vergoeden schade op grond van art. 82 AVG, alleen rekening worden gehouden met de daadwerkelijk geleden schade. Er mag dus geen rekening worden gehouden met de houding en beweegredenen van de verwerkingsverantwoordelijke om de betrokkene een lagere vergoeding toe te kennen dan de schade die hij daadwerkelijk heeft geleden.

HvJ EU 4 oktober 2024, IT 4653; ECLI:EU:C:2024:834 (Schrems/Meta) Het Hof van Justitie van de Europese Unie heeft zich in een zaak over de verwerking van persoonsgegevens door Meta uitgelaten over de interpretatie van artikel 5 lid 1 onder c en artikel 9 lid 2 onder e AVG. Maximillian Schrems maakte bezwaar tegen de manier waarop Meta zijn gegevens verzamelde en gebruikte voor gepersonaliseerde reclame. Het Hof benadrukt dat het beginsel van minimale gegevensverwerking een uitdrukking is van het evenredigheidsbeginsel. In de zaak van Schrems verzamelde Meta een grote hoeveelheid persoonsgegevens over zijn activiteiten op en buiten Facebook, zonder onderscheid naar de aard van die gegevens en zonder tijdslimiet. Het Hof oordeelde dat deze omvangrijke en ingrijpende verwerking van gegevens in strijd is met het beginsel van minimale gegevensverwerking. De inmenging in de grondrechten van Schrems, met name zijn recht op privacy en gegevensbescherming, was onevenredig in verhouding tot het doel van gepersonaliseerde reclame.