Persoonsgegevens  

Via jestaattekoop.nl. Stichting Data Bescherming Nederland (SDBN) klaagt Twitter aan wegens verkoop van miljoenen persoonsgegevens. Twitter was tot 1 januari 2022 eigenaar van MoPub, een bedrijf dat gebruikersdata verzamelt via meer dan 30.000 apps. Hieronder vallen de vaak gedownloade apps Buienradar, MyFitnessPal en Vinted, maar ook datingapps als Happn en Grindr. De door MoPub verzamelde persoonsgegevens van gebruikers van de apps zijn zonder hun toestemming verkocht aan derde commerciële partijen. Hiermee wordt de AVG overtreden, SDBN gaat dan ook een massaclaim bij Twitter neerleggen. SDBN wil bij de rechter afdwingen dat Twitter persoonsgegevens correct verwerkt en de verzamelde gegevens verwijdert. Ook gaat SDBN schadevergoeding vorderen ten behoeve van de gedupeerde gebruikers. SDBN streeft ernaar om uiterlijk op 31 december 2022 de dagvaarding uit te brengen en verwacht in 2026 uitspraak.

Rechtbank Den Haag 29 september 2022, IT 4144; ECLI:NL:RBDHA:2022:11521 (verzoekster tegen Stichting) De Stichting is een woningcorporatie en verhuurt woningen in de sociale sector. Verzoekster huurt een appartement in één van de door de Stichting beheerde wooncomplexen. Er is sprake van een gespannen relatie tussen verzoekster en enkele van haar medebewoners, waarbij over- en weer klachten zijn gemeld bij de Stichting . Verzoekster verlangt dat zij door de Stichting als ‘urgente’ woningzoekende wordt aangemerkt, zodat zij met prioriteit een nieuwe sociale huurwoning kan vinden. De Stichting heeft hierbij persoonsgegevens verwerkt, onder meer in correspondentie met de GGZ en GGD. Verzoekster heeft de Stichting verzocht om inzage in de persoonsgegevens die de Stichting van haar heeft verwerkt. De Stichting heeft geen volledig overzicht gegeven. Verzoekster verzoekt dan ook de Stichting te veroordelen dat alsnog te doen. De rechtbank veroordeelt de Stichting om verzoekster een kopie te verstrekken de verwerkte persoonsgegevens

Ktr. Rb Rotterdam 7 oktober 2022, IT 4143; ECLI:NL:RBROT:2022:9287 (Nationale Nederlanden tegen gedaagde) Gedaagde heeft een inboedelverzekering afgesloten bij Nationale Nederlanden. Onder deze verzekering heeft gedaagde schadeclaims ingediend waaraan valse stukken ten grondslag liggen. Nationale Nederlanden vordert schadevergoeding van gedaagde. Gedaagde betwist dat hij een schademelding heeft gedaan en ook dat hij überhaupt een verzekering heeft afgesloten. Hij voert aan dat sprake is van identiteitsfraude door een voormalige medewerker van Nationale Nederlanden. Ter bewijs hiervan vordert gedaagde afgifte van de NAW-gegevens van de voormalige medewerker. De kantonrechter oordeelt dat de afgifte van de NAW-gegevens niet in strijd is met de AVG, Nationale Nederlanden moet de gegevens verstrekken. Over de schadevergoeding doet de kantonrechter nog geen uitspraak.

HvJ EU 20 oktober 2022, IT 4139; ECLI:EU:C:2022:813 (CBP en CKC tegen Koalitsia) Bij besluit van de CBP van 28 januari 2021 en bij besluit van de CKC van 8 februari 2021 zijn litigieuze richtsnoeren vastgesteld. Met betrekking tot de verwerking van persoonsgegevens door middel van video-opnamen in het kader van het verkiezingsproces, wordt in deze litigieuze richtsnoeren bepaald dat deze verwerking tot doel heeft de transparantie, de objectiviteit en de legitimiteit van het verkiezingsproces, de gelijke behandeling van de actoren in dat proces, de vrijheid van meningsuiting en het recht op informatie te waarborgen. De media mogen alleen bij de opening en de sluiting van de verkiezingsdag, de bekendmaking van de uitslag van de stemming en de uitreiking van de volgnummers van de stembiljetten, persoonsgegevens door middel van video-opnamen verwerken. De Koalitsia heeft de wettigheid van deze richtsnoeren aangevochten. De zaak komt uiteindelijk bij de Varhoven administrativen sad (hoogste bestuursrechter, Bulgarije), die een zestal prejudiciële vragen stelt over de uitleg van artikel 2 lid 2 onder a, artikel 6, lid 1 onder e, en artikel 58 van verordening (EU) 2016/679.

Vzr. Rechtbank Den Haag 20 oktober 2022, IT 4135; ECLI:NL:RBDHA:2022:11360 (eiser tegen de Nationale Politie) Eiser wordt verdacht van zeer ernstige strafbare feiten, onder andere meerdere levensdelicten. In verband daarmee wordt hij strafrechtelijk vervolgd. Eiser is onder begeleiding van de Nederlandse autoriteiten overgebracht naar Nederland, tijdens de vlucht is eiser verzorgd door een arts. Volgens eiser heeft de arts hem niet naar behoren behandeld. Hij heeft een klacht ingediend bij het Regionaal Tuchtcollege voor de Gezondheidszorg, maar de klacht is niet-ontvankelijk verklaard omdat volgens de Wet BIG de naam en het werkadres van de arts in de klacht vermeld moeten worden. Die gegevens wil de politie echter niet aan eiser bekendmaken. Eiser vordert daarom nu de politie te veroordelen om de gegevens van de arts aan hem of aan het CTG bekend te maken. De voorzieningenrechter wijst de vordering af omdat het belang van de arts geen ernstig veiligheidsrisico te lopen zwaarder weegt dan het belang van eiser bij behandeling van zijn tuchtklacht op korte termijn.

HvJ EU 20 oktober 2022, IT 4134; ECLI:EU:C:2022:805 (Digi tegen Nemzeti) Digi is een van de belangrijkste aanbieders van internet- en televisiediensten in Hongarije. In april 2018 heeft Digi een zogeheten „testdatabank” opgezet, waarnaar zij de persoonsgegevens van haar particuliere klanten heeft gekopieerd. Op 23 september 2019 heeft Digi vernomen dat een ethische hacker zich toegang had weten te verschaffen tot de persoonsgegevens van ongeveer 322 000 personen waarover Digi beschikt. De ethische hacker heeft deze toegang zelf aan Digi gemeld en haar als bewijs een regel van de testdatabank toegezonden. Digi heeft het lek dat deze toegang mogelijk maakte hersteld.De Nemzeti heeft Digi een geldboete opgelegd omdat Digi de testdatabank na oplossing van de problemen, niet onmiddelijk heeft gewist. De zaak komt bij de Fővárosi Törvényszék (rechter voor de agglomeratie Boedapest, Hongarije), die stelt het Hof een tweetal vragen. Met zijn eerste vraag wenst de verwijzende rechter te vernemen of het beginsel van doelbeperking aldus moet worden uitgelegd dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens kan bewaren die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen, of is het bewaren van de gegevens in een parallelle databank niet meer verenigbaar met de rechtmatige doeleinden waarvoor de betrokken gegevens werden verzameld? Indien het antwoord op de eerste vraag luidt dat de parallelle opslag van gegevens als dusdanig niet verenigbaar is met het beginsel van doelbinding, is het dan verenigbaar met het beginsel van opslagbeperking dat de verwerkingsverantwoordelijke parallel in een andere databank persoonsgegevens bewaart die voor het overige op rechtmatige en doelgebonden wijze zijn verzameld en opgeslagen?

HvJ EU 27 oktober 2022, IT 4133; ECLI:EU:C:2022:833 (Proximus tegen Gegevensbeschermingsautoriteit) Proximus is een aanbieder van telecommunicatiediensten in België. Proximus biedt ook telefoongidsen en telefooninlichtingendiensten aan. Die telefoongidsen bevatten de naam, het adres en het telefoonnummer van de abonnees van de verschillende aanbieders van telefoondiensten die voor het publiek beschikbaar zijn. De operatoren verstrekken deze contactgegevens aan Proximus, tenzij de abonnee de wens heeft geuit niet te worden vermeld in de telefoongidsen. Proximus zendt de contactgegevens die zij ontvangt ook door naar een andere aanbieder van telefoongidsen. De klager is een abonnee van Telenet, een operator van telefoondiensten die op de Belgische markt actief is. Telenet geeft geen abonneelijsten uit, maar zendt de contactgegevens van haar abonnees door naar aanbieders van abonneelijsten, onder meer naar Proximus. Er ontstaat een geschil met betrekking tot de verwerking van persoonsgegevens. Het Hof bevestigt dat de toestemming van een naar behoren geïnformeerde abonnee noodzakelijk is om zijn persoonsgegevens te kunnen publiceren in een openbare telefoongids en dat de toestemming zich uitstrekt tot elke latere verwerking van de gegevens door derde ondernemingen die actief zijn op de markt voor openbare telefooninlichtingendiensten en telefoongidsen, op voorwaarde dat deze verwerkingen ditzelfde doel hebben. Deze toestemming vereist een „vrije, specifieke, geïnformeerde en ondubbelzinnige” wilsuiting van de betrokkene die de vorm aanneemt van een verklaring of „een ondubbelzinnige actieve handeling” waaruit blijkt dat hij de verwerking van hem betreffende persoonsgegevens aanvaardt. 

Hof Amsterdam 25 oktober 2022, IT 4132; ECLI:NL:GHAMS:2022:3023 (appellante tegen geïntimeerde) Geïntimeerde verricht activiteiten op het gebied van media. Via een website is onder meer een dossier van 28 pagina's gepubliceerd over appellante, hierin staan de volledige naam en geboortedatum van appellante. In een van de artikelen op de site is appellante aangeduid als meesteroplichter en is een herkenbare foto van hem opgenomen. De informatie op de website is na 2010 niet meer aangevuld. Geïntimeerde blijkt domeinnaamhouder te zijn van de website. Op 6 maart 2019 is de website uit de lucht gehaald en sindsdien is deze niet meer voor raadpleging beschikbaar. Appellante vordert onder meer een verklaring voor recht dat geïntimeerde jegens hem onrechtmatig heeft gehandeld. Het hof wijst de vorderingen af. De verwerking van persoonsgegevens door geïntimeerde vond plaats voor uitsluitend journalistieke doeleinden als bedoeld in artikel 43 UAVG. Vrijheid van meningsuiting en informatie weegt in dit geval zwaarder dan het belang van bescherming van persoonsgegevens.

HvJ EU Conclusie A-G 27 oktober 2022, IEF 21055, IEFbe 3565, IT 4131; ECLI:EU:C:2022:838 (La Quadrature du Net) Zie [IEF 20258]. Vier organisaties die zich inzetten voor rechten en vrijheden op het internet, waaronder La Quadrature du Net, hebben bij de Conseil d’État (hoogste bestuursrechter in Frankrijk) verzocht om nietigverklaring van de stilzwijgende beslissing waarbij de Franse eerste minister hun verzoek tot intrekking van nationale regeling heeft afgewezen. De nationale regeling in kwestie staat toe dat een administratieve instantie die belast is met de bescherming van auteursrechten en naburige rechten tegen op het internet gepleegde inbreuken op deze rechten, toegang heeft tot met IP-adressen overeenkomende identiteit, zodat deze instantie de houders van deze adressen die ervan worden verdacht verantwoordelijk te zijn voor de inbreuken kan identificeren en in voorkomend geval tegen hen kan optreden. De toegang wordt niet vooraf door een rechter of een onafhankelijke bestuurlijke entiteit getoetst. Met zijn eerste en tweede prejudiciële vraag wenst de verwijzende rechter te vernemen of het Unierecht zich tegen een dergelijke nationale regeling verzet. A-G Szpunar concludeert dat het Unierecht zich niet tegen een dergelijke nationale regeling verzet wanneer die gegevens het enige onderzoeksmiddel vormen met behulp waarvan de persoon kan worden geïdentificeerd aan wie dat adres was toegewezen op het moment waarop het strafbare feit werd gepleegd.

Rb. Zeeland-West-Brabant 21 oktober 2022, IT 4128; ECLI:NL:RBZWB:2022:5457 (eiseres tegen Bravis Ziekenhuis) Eiseres is vanaf 1991 tot en met 2018 diverse keren als patiënt behandeld in het Bravis ziekenhuis. De ex-partner van eiseres heeft een boek geschreven over de echtscheiding hem en eiseres. Het boek bevat tevens medische gegevens. Het boek is in mei 2018 uitgegeven door de huidige partner van de ex-partner van gedaagde. De huisige partner was vanaf januari 2007 tot augustus 2018 werkzaam bij Bravis. Eiseres stelt Bravis aansprakelijk voor de schade die zij heeft geleden wegens het onvoldoende beschermen van haar medische en geheime adresgegevens door Bravis. De rechtbank wijst de vordering toe op grond van onrechtmatige daad. Bravis heeft geen passende maatregelen genomen ten aanzien van de controle van de logging.