Persoonsgegevens  

AP 10 juli 2024, IT 4583 (Data Privacy Framework). De Autoriteit Persoonsgegevens heeft een nieuw beleid gepubliceerd dat uitvoering geeft aan het adequaatheidsbesluit van de Europese Commissie van 10 juli 2023 en de Amerikaanse Executive Order 14086 van 7 oktober 2022. Het beleid zet een klachtmechanisme uiteen voor het behandelen van klachten van betrokkenen in de EU en EER over vermeende onrechtmatige toegang tot, en gebruik van hun persoonsgegevens door Amerikaanse inlichtingendiensten.

Vzr. Rb. Gelderland 13 juni 2024, IT 4582; ECLI:NL:RBGEL:2024:3644 (Arag tegen gedaagde). Deze zaak vloeit voort uit een tussen gedaagde en ABN-AMRO Verzekeringen (hierna: ABN-AMRO) afgesloten en later opgezegde rechtsbijstandverzekering. De uitvoering van de verzekering was belegd bij Arag, eiser in deze zaak. Het geschil tussen partijen is ontstaan naar aanleiding van de opzegging van de verzekeringsovereenkomst. ABN-AMRO heeft de overeenkomst, op basis van de verzekeringsvoorwaarden, eenzijdig opgezegd nadat gedaagde zich beledigend en bedreigend zou hebben uitgelaten naar de medewerkers van Arag. Gedaagde heeft hiertegen een klacht ingediend bij het Klachteninstituut Financiële Dienstverlening, maar tevergeefs. Ook het hoger beroep van gedaagde liep op niets uit. Gedaagde heeft diens frustratie kenbaar gemaakt door meerdere negatieve berichten op verschillende sociale media te plaatsen met betrekking tot Arag en haar medewerkers. Arag vordert in kort geding dat gedaagde alle berichten verwijdert waarin hij namen van de medewerkers van Arag noemt, alsmede waarin hij de reputatie van Arag schendt, dan wel zich neerbuigend over Arag uitlaat en/of Arag beschuldigt van strafbaar en/of onrechtmatig gedrag. Ook vordert Arag dat gedaagde wordt verboden om dergelijke uitingen te doen in de toekomst.

RvS 5 juni 2024, IT 4566; ECLI:NL:RVS:2024:2311 (Appellante tegen Gemeente Heemskerk). De rechtbank heeft uitspraak gedaan waarbij het verzoek van appellante om het college te veroordelen tot schadevergoeding werd afgewezen. Appellante heeft tegen deze uitspraak hoger beroep aangetekend. Het geschil draait om een datalek waarbij persoonsgegevens van appellante door een fout van het college van burgemeester en wethouders van Heemskerkin handen zijn gekomen van derden. De procesdossiers bevatten onder andere besluiten met daarin naam- en adresgegevens, het burgerservicenummer en medische informatie. Appellante claimt immateriële schade te hebben geleden door het verlies van controle over haar persoonsgegevens en eist een schadevergoeding van € 2.000,-. Het college betwist niet dat het datalek heeft plaatsgevonden door verwijtbaar gedrag, maar stelt dat appellante niet voldoende heeft aangetoond dat zij schade heeft geleden. Apellante stelt in hoger beroep dat zij ernstige psychische schade heeft geleden als gevolg van het datalek. Ze onderbouwt dit met gesprekken met verschillende professionals en verwijzingen naar haar psychische klachten. Echter, ook de Afdeling oordeelt dat appellante haar geclaimde psychische schade onvoldoende heeft onderbouwd met concrete gegevens, waardoor de rechtbank terecht het verzoek om schadevergoeding heeft afgewezen. Het hoger beroep wordt daarom verworpen en de eerdere uitspraak blijft gehandhaafd.

Rb. Den Haag 28 november 2023, IT 4560; ECLI:NL:RBDHA:2023:22169 (eiser tegen de minister van Financiën). Naar eiser is een strafrechtelijk onderzoek gaande waarvoor de FIOD informatie over eiser van de Belastingdienst heeft verkregen. Eiser heeft verweerder verzocht om inzage in al zijn persoonsgegevens die de Belastingdienst over hem heeft verwerkt voorafgaand aan de verstrekking aan de FIOD. Het gaat om een inzageverzoek van alle verwerkte gegevens en met name interne emailcorrespondentie en informatie over fraudesignaleringen die betrekking hebben op eiser. Verweerder heeft in het primaire besluit allereerst in algemene zin uiteengezet welke persoonsgegevens door de Belastingdienst worden verwerkt, waarom en in welk kader dit gebeurt, met wie deze gegevens worden gedeeld en hoe lang deze gegevens worden bewaard. Het verzoek van eiser om inzage in de informatiedeling met betrekking tot de lopende strafzaak heeft verweerder afgewezen op grond van artikel 23, eerste lid, van de AVG, gelezen in samenhang met artikel 41, eerste lid, van de Uitvoeringswet AVG (hierna: UAVG). De beperking is volgens verweerder noodzakelijk voor de waarborging van de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen. Het algemeen belang van het strafrechtelijk onderzoek weegt voor verweerder zwaarder dan het belang van eiser om zijn recht op bescherming van zijn persoonsgegevens uit te oefenen. De rechtbank acht de mededeling van verweerder dat er niet meer persoonsgegevens zijn, niet ongeloofwaardig. Eiser heeft onvoldoende onderbouwd dat er meer persoonsgegevens aanwezig zouden moeten zijn. De stelling van eiser dat de algemene persoonsgegevens die door verweerder zijn verstrekt geen basis zouden vormen voor een strafrechtelijk onderzoek, verandert dit oordeel niet. De rechtbank oordeelt dat de verstrekte overzichten voldoende duidelijkheid bieden over de context van de gegevens. Hoewel eiser om meer details vroeg over de uitwisseling van zijn gegevens met de FIOD en het OM, heeft verweerder alle gevonden persoonsgegevens verstrekt, waarmee aan het verzoek is voldaan. Eventuele gronden over de geheimhoudingsplicht behoeft daarom geen verdere bespreking. Het beroep van eiser is ongegrond.

Rb. Den Haag 29 mei 2024, IT 4559; ECLI:NL:RBDHA:2024:7945 (Privacy First tegen de Staat). WAMCA zaak. Op 1 januari 2019 is de ‘Wet van 22 november 2017 tot wijziging van het Wetboek van Strafvordering in verband met de regeling van het vastleggen en bewaren van kentekengegevens door de politie’ in werking getreden. Op basis van het bij de Wet ANPR ingevoerde artikel 126jj van het Wetboek van Strafvordering (Sv) is het voor opsporingsambtenaren van de politie en Koninklijke Marechaussee mogelijk om door middel van daarvoor aangewezen camera’s via de techniek van Automatic Number Plate Recognition (ANPR) kentekengegevens van passerende voertuigen vast te leggen voor een periode van vier weken. In deze zaak zijn vorderingen ingesteld in een collectieve actie namens Nederlandse ingezetenen van wie de privacy wordt geschonden door artikel 126jj van het Wetboek van Strafvordering (Sv). Privacy First stelt dat artikel 126jj Sv kennelijk onverbindend is wegens strijd met artikel 8 EVRM. Het oordeel van de rechtbank is dat de regeling van artikel 126jj Sv voldoet aan de eisen van artikel 8 lid 2 EVRM. Hoewel deze regeling een inbreuk op de persoonlijke levenssfeer inhoudt, is de noodzaak van deze inbreuk voldoende aangetoond, is de inbreuk proportioneel en is er geen minder ingrijpend alternatief beschikbaar. De regeling van artikel 126jj Sv valt ook onder de artikelen 7 en 8 van het Handvest, omdat deze betrekking heeft op het privéleven en de verwerking van persoonsgegevens. Het Hof heeft vastgesteld dat deze inmenging voldoet aan een doel van algemeen belang, namelijk het bestrijden van ernstige criminaliteit om de openbare veiligheid te waarborgen. De inmenging is tevens geschikt om dit doel te bereiken. De rechtbank concludeert daarnaast dat de uitvoeringspraktijk van artikel 126jj Sv niet onrechtmatig is. Er zijn onvoldoende feiten en omstandigheden aangevoerd om te rechtvaardigen dat de uitvoeringspraktijk van artikel 126jj Sv onrechtmatig zou zijn en de vorderingen zouden kunnen ondersteunen. Daarom zullen de vorderingen van Privacy First worden afgewezen.

Rb. Gelderland 27 mei 2024, IT 4558; ECLI:NL:RBMNE:2024:3434 (Openbaar Ministerie tegen verdachte). [A] wordt ervan verdacht tussen 29 april en 17 mei 2021 in Bergen op Zoom iemand aangespoord te hebben om in het computersysteem van de GGD in te breken en gegevens over te nemen, waarvoor hij 500 euro bood. In dezelfde periode heeft [A] in Bergen op Zoom iemand aangespoord om 67 identificerende persoonsgegevens uit een geautomatiseerd systeem over te nemen door haar 500 euro te bieden. In december 2021 had [A] een broncode van een phishingpanel en/of phishingsite van PostNL in bezit met de bedoeling inloggegevens en klantgegevens van computersystemen en servers van bedrijven of overheidsinstanties te onderscheppen. De verdachte heeft met zijn daden ernstig inbreuk gemaakt op de privacy van deze personen en daardoor ook het vertrouwen in en van de GGD aangetast. Dit is des te ernstiger omdat de GGD tijdens de coronacrisis een essentiële rol speelde in het beschermen van de samenleving en het zoveel mogelijk operationeel houden ervan. De rechtbank acht, aan de hand van, onder meer, een huisdoorzoeking, de eerste twee feiten bewezenverklaard en veroordeelt verdachte tot een taakstraf van 120 uren.

Rb Gelderland 1 mei 2024, IT 4551; ECLI:NL:RBGEL:2024:2708 (BKR tegen Odido). In onderhavige zaak tussen BKR en Odido draait het om de betaling van facturen voor inzageverzoeken in het register van Bureau Krediet Registratie (BKR). Odido meent dat BKR alleen de daadwerkelijke kosten mag doorberekenen en eist daarom volledige financiële verantwoording en inzage in de kostenstructuur. BKR stelt echter dat zij gerechtigd is om het tarief voor inzageverzoeken vast te stellen en dat de doorbelasting niet beperkt is tot de daadwerkelijke kosten. De rechtbank oordeelt dat de overeenkomst tussen BKR en Odido geen verplichting voor BKR bevat om alleen de werkelijke kosten door te belasten. Zij baseert dit oordeel op de tekst van de overeenkomst, het Algemeen Reglement CKI en de Algemene Handleiding CKI, evenals op de achtergrond van de overeenkomst en de feitelijke omstandigheden. De rechtbank concludeert dat het niet de bedoeling is geweest om alleen de daadwerkelijke kosten in rekening te brengen of achteraf te verrekenen op basis van de werkelijke kosten. Daarom wijst de rechtbank de vorderingen van Odido af en die van BKR toe. Odido mag de betaling van de facturen van BKR niet opschorten en wordt veroordeeld tot betaling van de openstaande facturen. Odido kan zich niet beroepen op de aanvullende werking van redelijkheid en billijkheid omdat er geen leemte is in de overeenkomst wat betreft financiële verantwoording. Anders dan Odido stelt, rust op BKR ook geen dergelijke transparantieverplichting. De rechtbank komt in een soortgelijke zaak tegen KPN tot een soortgelijk oordeel. 

Rb. Midden-Nederland 1 november 2023, IT 4542; ECLI:NL:RBMNE:2023:7659 (Eiseres tegen gedaagde). Eiseres heeft met onderbewindgestelde een zorgovereenkomst afgesloten omtrent de zorg en verpleging van onderbewindgestelde. Op 29 juni 2022 heeft gedaagde namens onderbewindgestelde een betalingsregeling afgesproken. Betalingen blijven echter achterwege. Eiseres vordert hoofdelijke veroordeling van onderbewindgestelde en gedaagde tot betaling. De bewindvoerder en gedaagde vorderen in reconventie bevel tot verwijdering van het zorgplan, zodat het geen deel uitmaakt van de processtukken. Ook vorderen zij vernietiging van het zorgplan. De kantonrechter oordeelt als volgt.

Rb. Den Haag 29 maart 2024, IT 4541; ECLI:NL:RBDHA:2024:4473 (Verzoeker tegen Aegon). Aegon is een financiële dienstverlener op het gebied van woningfinancieringen. In 2011 heeft zij aan verzoeker een hypothecaire lening verstrekt van €1.093.750 ten behoeve van de aankoop van een woning. Verzoeker is vervolgens zijn baan verloren, waarna betalingsachterstanden zijn ontstaan. Uit de slotuitdelingslijst bleek uiteindelijk dat Aegon €16.356,36 zal worden uitbetaald, op een totale vordering van €251.196,63. Aegon heeft vervolgens verzoeker als gevolg van deze betalingsachterstanden in het BKR geregistreerd. Op 22 augustus 2019 heeft verzoeker Aegon verzocht de BKR-registraties te doen verwijderen. Dit verzoek heeft Aegon afgewezen. In deze procedure verzoekt verzoeker een bevel tot verwijdering van de bijzonderheidsregistraties van verzoeker in het CKI van het BKR. Hij beroept zicht onder meer op artikel 17 lid 1 sub c en artikel 21 lid 1 AVG. Aegon stelt dat verzoeker niet-ontvankelijk verklaard dient te worden in zijn verzoek.

Conclusie A-G HvJ EU 25 april 2024, IT 4539; ECLI:EU:C:2024:366 (Schrems tegen Meta). In 2018 presenteerde Meta Platforms Ireland nieuwe Facebook-servicevoorwaarden aan zijn gebruikers in de Europese Unie. Het geven van toestemming voor deze voorwaarden is vereist om aan te melden voor of toegang te krijgen tot de accounts en diensten die door Facebook worden aangeboden. De heer Maximilian Schrems, een Facebook-gebruiker en activist op het gebied van gegevensbescherming, heeft deze voorwaarden aanvaard. Hij beweert regelmatig op homoseksuelen gerichte advertenties en uitnodigingen voor overeenkomstige evenementen te hebben ontvangen. Hij stelt dat die advertenties niet rechtstreeks op zijn seksuele geaardheid zijn gebaseerd, maar op een analyse van zijn specifieke interesses. Schrems acht de verwerking van zijn gegevens onrechtmatig en heeft een zaak aanhangig gemaakt bij de Oostenrijkse rechtbank. Het Oostenrijkse Hooggerechtshof vraagt het Hof van Justitie of Facebook alle beschikbare persoonsgegevens zonder tijdsbeperking mag analyseren en verwerken met het oog op gerichte reclame. Bovendien vraagt de verwijzende rechter het Hof of een verklaring van een persoon over zijn of haar seksuele geaardheid in het kader van een paneldiscussie de verwerking van andere gegevens over dat onderwerp toelaat met het oog op het aanbieden van gerichte reclame aan hem of haar. De advocaat-generaal licht in zijn conclusie toe dat het gebruik van gegevens voor reclame moet worden beperkt in tijd, type en bron.