Persoonsgegevens  

Hof van Justitie EU 4 juli 2023, IT 4309, ECLI:EU:C:2023:537 (Meta Platforms c.s./Bundeskartellamt) Het Bundeskartellamt (de federale Duitse mededingingsautoriteit) heeft Meta Platforms (hierna: Meta) een verbod opgelegd om bepaalde persoonsgegevens te verwerken zoals die bepaald zijn in de algemene voorwaarden van het online sociale netwerk van Facebook. Deze registreert persoonsgegevens van websites die door middel van programmeerinterfaces met Facebook zijn verbonden. De Bundeskartellamt heeft Facebook gelast hiermee te stoppen, wegens gesteld misbruik van de machtspositie van Facebook en - in het verlengde daarvan - strijd met de AVG. Meta gaat in beroep, waarbij de Duitse rechter stelt dat de beslissing in het hoofdgeding afhangt van de beantwoording van een aantal prejudiciële vragen. 

Gerechtshof Arnhem-Leeuwarden 6 juni 2023, IT 4308, ECLI:NL:GHARL:2023:4738 (Stichting Bureau Krediet Registratie/Geïntimeerde) Geïntimeerde heeft enkele schulden, die geregistreerd worden door de Stichting Bureau Krediet Registratie (hierna: BKR). Geïntimeerde heeft, ten aanzien van deze schulden, het BKR verzocht om de bijzonderheidscoderingen bij deze schulden weg te halen. Het BKR heeft dit afgewezen, waarop geïntimeerde naar de rechter is gegaan. Deze heeft hem gelijk gegeven en het BKR bevolen enkele van de bijzonderheidscodes weg te halen. Het BKR gaat in hoger beroep.

De digitalisering van Europa en haar burgers zet gestaag door. In het kader van de toenemende fusie van het dagelijkse met het virtuele leven heeft de Europese Commissie een nieuw plan opgevat: de European Digitaly Identity Wallet (de eID-wallet). Deze concentratie van data en persoonsgegevens kan vergeleken worden met het DigiD - een manier om efficiënt de digitale sferen te doorkruisen.

De Autoriteit Persoonsgegevens (hierna: AP) heeft een korte paper gepubliceerd waarin zij haar positie omtrent persoonsgegevens in de aanpak van cybersecurity kenbaar maakt. Deze paper is ontstaan uit de toename aan online fraude met persoonsgegevens die tegenwoordig steeds vaker plaatsvindt. Daarbij constateert de AP dat de online beveiliging van vele databestanden nog steeds niet op orde is. De vaste Kamercommissie Digitale Zaken gaat daarom op 29 juni in debat over 'Online veiligheid en Cybersecurity', maar besteedt daarbij volgens de AP niet genoeg aandacht aan online veiligheid.

Op 23 juni 2023 is er een wetsvoorstel gedaan, ter implementatie van een Europese richtlijn, inzake open data en het hergebruik van overheidsinformatie. De afdeling advisering van de Raad van State maakt al snel kenbaar dat zij het voorstel, in haar huidige vorm, kwalititatief niet toereikend vindt. Daartoe noemt zij enkele bezwaren, die hieronder zullen worden behandeld. 

De Wet hergebruik overheidsinformatie (hierna: de Who) ziet er op de grote hoeveelheden gegevens die de overheid in de uitvoering van haar taak verzameld op een veilige en efficiënte manier te hergebruiken. Deze gegevens kunnen van belang zijn voor onderzoek door instellingen voor hoger onderwijs en onderzoeksinstituten. Het wetsvoorstel gaat in haar huidge vorm, volgens de Raad van State, te ver. Hergebruik wordt niet slechts bevorderd; er komt een verplichting voor gegevens die uit publiek gefinancierd onderzoek geopenbaard zijn om voor hergebruik ter beschikking te worden gesteld. De invoering van deze plicht wordt niet gemotiveerd in de toelichting. Als deze plicht daadwerkelijk ingevoerd zou worden, zou dit een ongemotiveerde inbreuk op het intellectuele eigendomsrecht van onderzoekers zijn. De onderzoekers in kwestie lijken ook niet te zijn betrokken bij de formatie van het wetsvoorstel, nu enige inbreng van de minister van Onderwijs ontbreekt

Daar komt ook nog bij dat het voorstel niet genoeg rekening houdt met de anonimisering van persoonsgegevens. Nu software steeds sterker wordt, kunnen persoonsgegevens die voorheen anoniem werden geacht worden herleid tot de betrokkene. Het voorstel maakt niet duidelijk wat nu van overheidsorganisaties wordt verwacht om hun gegevens structureel anoniem te houden. Dat zijn niet de enige praktische bezwaren die de Raad van State noemt. Ook de leesbaarheid van de voorgestelde wet is een probleem, omdat de betekenis van de wet slechts duidelijk is als men de afzonderlijke artikelen in samenhang bestudeert.

De afdeling advies constateert aan alle kanten dat het wetsvoorstel onvolledig en moeilijk uitvoerbaar is en geeft daarom een aantal adviezen om de gebreken te repareren. Daarbij benadrukt zij het wetsvoorstel niet in te dienen totdat de geconstateerde gebreken zijn verholpen.

Hof van Justitie EU 22 juni 2023, IT 4301, ECLI:EU:C:2023:501 (J.M./Pankki) In deze zaak worden ten behoeve van J.M., die een tijdje bij de bank Pankki S werkte en daar ook zelf klant was, enkele vragen aan het Hof van Justitie gesteld. Zijn klacht is dat enkele van zijn medewerkers zijn persoonlijke data in het bankenregister hebben bekeken. Hij vraagt Pankki S wie zijn data heeft bekeken en de reden van het onderzoek. De bank weigert deze informatie af te staan, maar vertelt J.M. wel dat zijn data werd bekeken omdat er iemand met dezelfde achternaam als J.M. bij de bank kwam en het verstandig werd geacht om te kijken of er geen  gevaar voor belangenverstrengeling bestond. De bank voegt hieraan toe dat gegevensverwerking van J.M. hiervoor noodzakelijk was. Aan het verzoek van J.M. wordt verder geen gehoor gegeven. Hierop stapt hij naar de rechter, die zijn vragen tot het Hof richt.

Het zal niemand ontgaan zijn dat de toepassing van AI met grote stappen vooruit is gegaan. De vooruitgang van de technologie brengt onder meer mee dat tegenwoordig gebruik kan worden gemaakt van zogenaamde 'deepfakes'. Dit zijn imitaties van mensen die, door geavanceerde technologie, nauwelijks van echt te onderscheiden zijn. De toepassing van deze technologie kan op legio doelen worden losgelaten. Zowel voor entertainment als medisch onderzoek, maar eveneens voor meer kwade doeleinden. De filmpjes van ex-president Donald Trump waarin hij rare uitspraken doet zijn misschien nog humoristisch, maar de sfeer kan al snel grimmig worden. Deepfakes maken eindeloze soorten fraude en misleiding mogelijk, om nog maar te zwijgen over meer lugubere doeleinden. De WODC doet onderzoek en draagt reguleringsopties aan.

Conclusie A-G Hof van Justitie EU; IT 4299; ECLI:EU:C:2023:481 (Kočner/Europol) In deze conclusie buigt A-G Rathos zich over de vraag of een vonnis gewezen door het Gerecht van de Europese Unie moet worden vernietigd. Kočner (hierna: rekwirant) stelt dat hij door Europol schade heeft geleden, omdat zijn naam in verband met de 'Panama Papers' in het nieuws is gekomen en hij op een lijst met maffialeden is gekomen. Dit zou zijn gebeurd doordat Europol zijn persoonsgegevens heeft gedeeld met de Slowaakse strafrechtelijke autoriteiten. In eerste aanleg zijn zijn twee vorderingen voor schadevergoeding afgewezen, omdat hij niet voldoende zou hebben uitgelegd dat er een causuaal verband was tussen de publicatie van zijn persoonsgegevens en de geleden schade (de eerste vordering) en omdat hij geen bewijs had aangebracht dat de lijst met maffialeden door Europol werd bijgehouden en dat hij daardoor schade zou hebben geleden (de tweede vordering). De A-G gaat in op de grieven van rekwirant.

Conclusie A-G Hof van Justitie 15 juni 2023, IT 4297; ECLI:EU:C:2023:488 (BA/Controleorgaan op de politionele informatie) In deze zaak heeft Advocaat-Generaal L. Medina haar opinie gegeven inzake gegevensregistratie bij strafzaken. Er zijn twee vragen die centraal staan in de conclusie, namelijk of het Handvest van de grondrechten van de Europese Unie vereisen dat wordt voorzien in een voorziening in rechte tegen een onafhankelijke toezichthoudende autoriteit én of richtlijn 2016/680 in overeenstemming is met het Handvest voor zover deze de onafhankelijke toezichthoudende autoriteit slechts verplicht de betrokkene te informeren dat hij recht heeft op een beroep bij de rechter en dat alle noodzakelijke controles zijn uitgevoerd, ook als er daardoor geen posterieure controle kan plaatsvinden. 

Conclusie A-G Hof van Justitie EU 8 juni 2023, IT 4298; ECLI:EU:C:2023:468 (Belgische Staat/LM) LM is aandeelhouder van Bureau LM. In het kader van een wijziging van de statuten wordt een akte opgenomen die in het Belgische Staatsblad wordt gepubliceerd. Daarin staan, naast de wettelijk vereiste gegevens, ook de namen van twee vennoten en hun bankrekeningnummers. De notaris vraagt het Belgisch Ministerie van Justitie (hierna: FOD Justitie) om deze passage uit het register te schrappen en te vervangen door een tekst waarin deze gegevens niet voortkomen. Dat verzoek wordt afgewezen. LM heeft hierop een klacht ingediend tegen het Belgisch Staatsblad bij de GBA (Gegevensbeschermingsautoriteit). De GBA heeft de klacht toegewezen en het Staatsblad gevorderd de wijziging door te voeren. De Belgische Staat heeft hoger beroep ingesteld tegen dat besluit, waarin LM intervenieert. De vragen waar de A-G over opinieert zijn: of een staatsblad als verwerkingsverantwoordelijke kan worden gezien en, als de eerste vraag bevestigend wordt beantwoord, of het dan zo is dat de AVG eist dat elke overheidsinstantie die in contact komt met officiële akten en documenten een meldingsplicht van de verwerking heeft of dat deze informatieplichten cumulatief bij de eindverantwoordelijke belanden.