Persoonsgegevens  

In 2022 hebben zich op het vlak van IT-recht weer veel ontwikkelingen voorgedaan. Duidelijk is dat de digitale transformatie in Europa serieus wordt aangepakt. Veel nieuwe wetgeving is geïntroduceerd, bijvoorbeeld op het gebied van AI en cybersecurity. 

Nieuwe wetgeving ten aanzien van de betrouwbaarheid van online reviews is ook in werking getreden. 

In de jurisprudentie speelt nog steeds de zorgplicht van de IT-leverancier een rol en wordt ook regelmatig geprocedeerd over de afgifte van allerlei soorten data. Lees er meer over in dit actuele IT-jaaroverzicht opgesteld door Turing Advocaten.

Rb. Gelderland 15 augustus 2022, IT 4184; ECLI:NL:RBGEL:2022:6932 (verzoekster tegen BKR) In het CKI staat een registratie op naam van verzoekster met betrekking tot een overeenkomst waar zij niet bekend mee is. Het betreft een overeenkomst met De Volksbank, verzoekster is hier geen klant en heeft ook geen betalingsachterstand bij De Volksbank. BKR voert aan dat zij verwijderverzoeken niet in behandeling hoeft te nemen, dan wel mag afwijzen, omdat de rechtmatigheid van bijzonderheidscoderingen niet onder de verwerkingsverantwoordelijkheid valt van BKR, maar onder die van de kredietaanbieder die de gegevens in het CKI heeft geregistreerd. De rechtbank oordeelt dat zowel De Volksbank, als BKR verwerkingsverantwoordelijke is. Artikel 26 lid 3 AVG bepaalt uitdrukkelijk dat bij gezamenlijke verwerkingsverantwoordelijken een betrokkene zijn rechten uit de AVG tegenover iedere gezamenlijke verwerkingsverantwoordelijke kan uitoefenen. BKR is dus verplicht om verwijderverzoeken te behandelen. Verder oordeelt de rechtbank dat één van de twee geregistreerde coderingen onrechtmatig is, die moet worden verwijderd.

Amtsgericht Wesel (Duitsland) 13 oktober 2022, IT 4177; C-590/22 (PS) Via MinBuza. Eisers in het hoofdgeding vorderen vergoeding van immateriële schade van verweerders wegens schending van bepalingen van de AVG. Eisers waren opdrachtgevers van de eerste verweerder, een belastingadvieskantoor, waarvan de tweede tot en met de zesde verweerder de vennoten zijn. Nadat eisers de eerste verweerder hadden meegedeeld dat hun adres was gewijzigd, stuurde de eerste verweerder per post verscheidene brieven naar het nieuwe adres. De adreswijziging is eveneens ingevoerd in de basisgegevens die zijn opgeslagen in het elektronisch gegevensverwerkingssysteem van verweerder. 

HvJ EU 8 december 2022, IT 4174; C-460/20, ECLI:EU:C:2022:962 (TU, RE tegen Google) Twee bestuurders van een groep investeringsmaatschappijen hebben Google verzocht om de links die na een zoekopdracht op hun namen worden getoond en leiden naar bepaalde artikelen waarin het investeringsmodel van deze ondernemingsgroep kritisch wordt voorgesteld, uit de zoekresultaten te verwijderen. Zij stellen dat deze artikelen onjuiste beweringen bevatten. De zaak komt bij het Bundesgerichtshof (hoogste federale rechter in burgerlijke en strafzaken, Duitsland), hij stelt een tweetal vragen aan het Hof.

Ktr. Rb. Midden-Nederland 21 november 2022, IT 4167; 10154324 / MV EXPL 22-129 D/51246 (eiser tegen Faldon) Kort geding. Opdrachtovereenkomst en afgifte data. Conventionele vordering tot betaling niet ontvankelijk. In reconventie wordt overdracht van alle e-mailadressen en afgifte van alle digitale zaken en gegevens gevorderd. Verweer dat tot afgifte niet kan worden overgegaan omdat opdrachtnemer dan handelt in strijd met de AVG staat toewijzing afgiftevordering niet in de weg. Op grond van art. 7:403 lid 2 BW is opdrachtnemer verplicht om alles af te geven wat hij uit hoofde van de overeenkomst onder zich heeft. Daaronder vallen ook digitale gegevens samengesteld door opdrachtnemer alsmede de beheerde (mailboxen van de) e-mailadressen.

De Duitse toezichthouders oordelen dat de verzameling internetdiensten Microsoft Office 365 niet voldoet aan de eisen die de AVG stelt. Onder meer de veelgebruikte programma's Word, Powerpoint en Excel vallen binnen het Microsoft Office 365 pakket. De Duitse toezichthouders stellen dat Microsoft niet transparant genoeg is over welke gegevens zij verzamelt met het pakket. Dit is een schending van het transparantiebeginsel uit artikel 5 AVG. Microsoft moet hier snel verbetering aan brengen, aldus de toezichthouders.

Rechtbank Midden-Nederland 24 augustus 2022, IT 4164; ECLI:NL:RBMNE:2022:3438 (verzoeker tegen ASR) Tussen verzoeker en ASR is een geschil gerezen over de vraag of ASR aan haar AVG-verplichtingen heeft voldaan. ASR heeft verzoeker geïnformeerd over de persoonsgegevens die zij van hem heeft bijgehouden. Verzoeker is van mening dat het verstrekte overzicht onjuist en onvolledig is en dat ASR daarbij onrechtmatig heeft gehandeld. De rechtbank oordeelt dat de handelswijze van ASR als niet rechtmatig moet worden gekwalificeerd. Dit omdat ASR ten onrechte het emailadres van verzoeker en het polisnummer bekend heeft gemaakt aan diens ex partner, zonder verzoekers toestemming. Ten tweede heeft ASR in een productie bij het verweerschrift vermeld dat verzoeker “erg reuma” heeft. Dit betreft een bijzondere categorie van persoonsgegevens van verzoeker die niet mogen worden verwerkt. Desondanks worden de vorderingen tot schadevergoeding afgewezen. De vordering tot immateriële schadevergoeding wordt afgewezen omdat verzoeker niet aan zijn stelplicht heeft voldaan. De materiële schadevergoeding wordt afgewezen omdat er geen sprake is van causaal verband.

[via Autoriteit Persoonsgegevens]. De Autoriteit Persoonsgegevens raadt bezoekers van het WK in Qatar aan om een tweede telefoon mee te nemen die zij niet gebruiken. Bezoekers van het WK worden namelijk verplicht een aantal apps op hun telefoon te installeren. Zo moeten de apps Ehteraz, een coronatracker, en Hayya, een speciale WK-app worden geinstalleerd. De Duitse privacytoezichthouder heeft de apps geanalyseerd. Hieruit volgde dat de gegevensverwerking van beide apps waarschijnlijk veel verder gaat dan de beschrijvingen van de kennisgevingen van gegevensbescherming en de verwerkingsdoeleinden in de app stores aangeven. Zo registreren de apps bijvoorbeeld met wie een gebruiker gebeld heeft en welke apps er allemaal op de telefoon staan. Ook is het vermoedelijk mogelijk dat de apps toegang hebben tot de foto’s van de gebruiker. Verder is uit de analyse gebleken dat de verzamelde gegevens gegevens niet alleen lokaal op het apparaat blijven, maar worden doorgestuurd naar een centrale server.

Google schikt voor 391,5 miljoen dollar met tientallen Amerikaanse staten. Google zou locatiegegevens verzamelen en verwerken van ongeveer 2 miljard Android gegevens. Ook de locatiegegevens van iPhone-bezitters werden opgeslagen en verwerkt. Wanneer iPhone-gebruikers Google Maps openden werden hun locatiegegevens naar Google verstuurd, zonder dat zij hiervoor toestemming hebben gegeven. Google moet naast de betaling van 391,5 miljoen ook transparanter zijn met betrekking tot het verzamelen en verwerken van gegevens.

Rb. Gelderland 26 oktober 2022, IT 4149; ECLI:NL:RBGEL:2022:5942 (eiseres tegen gedaagden) Eiseres adviseert en begeleidt ondernemingen op het gebied van onder meer merkpositionering, bedrijfsidentiteit, huisstijl, businessmodellen en verdienmodellen. Gedaagde 1 heeft een eenmanszaak en faciliteert onder meer ruimten voor retreats, trainingen en workshops. Op 2 september 2021 is gedaagde 2 opgericht, met gedaagde 1 als enig aandeelhouder en bestuurder. Eiseres meent dat gedaagden ten onrechte haar factuur niet hebben voldaan en zij vordert onder meer betaling van de factuur. Gedaagden vorderen dat eiseres digitale kopieën verstrekt van alle gesprekken en Zoom-gesprekken die eiseres heeft opgenomen. De rechtbank wijst de vordering van gedaagden toe op grond van art. 843a Rv. Al het overige wordt beslist op 7 december 2022.