Persoonsgegevens  

HvJ 27 april 2023, IT 4266; Zaak C‑340/21 (Prejudiciële verwijzing) A-G Pitruzella geeft in zijn conclusie antwoord op vijf vragen die gesteld zijn aan het Hof van Justitie (hierna: het Hof). De vijf vragen hebben betrekking op dezelfde kwestie, namelijk onder welke voorwaarden immateriële schade vergoed kan worden aan een persoon wiens persoonsgegevens in het bezit zijn van een overheidsinstantie die na een hackaanval op het internet zijn gepubliceerd.

Vandaag heeft de Europese Commissie 17 online platforms en 2 online zoekmachines aangewezen die binnen vier maanden moeten voldoen aan de nieuwe verplichtingen uit de Digital Service Act (DSA). De aangewezen bedrijven hebben namelijk per bedrijf meer dan 45 miljoen maandelijke actieve gebruikers. De verplichtingen zijn bedoeld om deze gebruikers te beschermen en te versterken (zie ook IT 4256, IT 4253 en IT 4231). De Europese Commissie schrijft een aantal stappen voor die de aangewezen bedrijven moeten nemen om binnen vier maanden aan de nieuwe verplichtingen te voldoen.

HvJ EU 30 maart 2023, IT 4246; ECLI:EU:C:2023:270 (Hauptpersonalrat der Lehrerinnen und Lehrer beim Hessischen Kultusministerium tegen Minister des Hessischen Kultusministeriums) De zaak gaat over het gebruik van videoconferenties voor onderwijs tijdens de COVID-19-pandemie in de deelstaat Hessen, Duitsland. Er was geen toestemming van leraren nodig voor het livestreamonderwijs via videoconferenties, wat een vakbond van leraren onterecht vond. De vraag was of de regels die dit mogelijk maakten (hierna: de nadere regels) voldeden aan de voorwaarden van de Algemene Verordening Gegevensbescherming (AVG). Artikel 88 van de AVG bepaalt dat lidstaten bevoegd zijn, maar niet verplicht, om dergelijke regels vast te stellen, maar deze moeten wel passende en specifieke maatregelen bevatten ter waarborging van de rechten van werknemers met betrekking tot de verwerking van persoonsgegevens. Als nationale regels in strijd zijn met de AVG, moeten ze buiten toepassing worden gelaten, omdat het beginsel van de voorrang van het Unierecht betekent dat EU-regelgeving voorrang heeft boven nationaal recht.

Rechtbank Gelderland 22 maart 2023, IT 4243; ECLI:NL:RBGEL:2023:1575 (eisende partij tegen De Volksbank) In deze rechtszaak heeft de eisende partij De Volksbank aangeklaagd vanwege de verwerking van persoonsgegevens in verschillende administraties en registers. De eisende partij beweert dat ze recht heeft op inzage in deze persoonsgegevens en informatie over de bron van deze gegevens. De Volksbank heeft aangegeven dat de eisende partij inzage kan krijgen door een inzageverzoek in te dienen. De advocaat van de eisende partij heeft een brief gestuurd met het verzoek om een nadere uitleg te krijgen over welke informatie over de eisende partij is opgevraagd bij derden en wat daarmee is gedaan. De rechtbank heeft geoordeeld dat de eisende partij recht heeft op inzage in de persoonsgegevens die door De Volksbank zijn verwerkt, inclusief informatie over de bronnen van gegevens die niet bij de eisende partij zijn verzameld. De eisende partij heeft ook recht op informatie over de geraadpleegde derden en de door hen verstrekte gegevens. De vordering van de eisende partij tot inzage wordt toegewezen. De eisende partij heeft echter ook gevraagd om overlegging van een afschrift van 'het onderzoeksdossier', maar deze vordering wordt afgewezen omdat dit geen gegevensverwerking is in de zin van de AVG.

Rechtbank Zeeland-West-Brabant 03 maart 2023, IT 4234; ECLI:NL:RBZWB:2023:1459 (eiser tegen de minister van Defensie) Bestuursrecht. De eiser heeft een verzoek ingediend om inzage te krijgen in zijn persoonsgegevens binnen de rapportages van het Land Information Manoevere Centre (LIMC) en vergelijkbare bestanden. De minister heeft het verzoek behandeld op basis van de AVG en heeft geconcludeerd dat er geen persoonsgegevens van eiser zijn aangetroffen in de genoemde bestanden. De rechtbank heeft geoordeeld dat de minister het verzoek terecht heeft beperkt en dat het onderzoek zorgvuldig is uitgevoerd. De eiser moet expliciet om inzage in zijn persoonsgegevens in andere bestanden verzoeken. Het beroep van de eiser is ongegrond verklaard.

Rechtbank Rotterdam 15 februari 2023, IT 4233; ECLI:NL:RBROT:2023:1605 (eiser tegen verweerder) Bestuursrecht. In deze zaak heeft de rechter beoordeeld of verweerder terecht heeft bepaald dat eisers bezwaar (tegen de brief van 18 januari 2022) niet-ontvankelijk is omdat die brief geen besluit is in de zin van de Awb. De rechtbank oordeelde dat de eiser om inzage in zijn persoonsgegevens heeft verzocht op grond van artikel 15 van de AVG, en dat een beslissing op zo'n verzoek een Awb-besluit is volgens artikel 34 van de AVG. Daarom was de brief van verweerder van 18 januari 2022 een Awb-besluit waar bezwaar tegen kon worden gemaakt. Het was daarnaast onterecht dat verweerder het bezwaar niet-ontvankelijk verklaarde. De rechtbank oordeelde ook dat het bezwaar van de eiser ongegrond was omdat verweerder de dossierstukken, waar de eiser om had gevraagd, had vernietigd vanwege het verstrijken van de wettelijk voorgeschreven bewaartermijn, en daarom niet kon worden verstrekt. De eiser had niet kunnen aantonen dat verweerder meer dossierstukken had dan de stukken die in beroep waren overgelegd, en daarom had verweerder het inzageverzoek terecht afgewezen.

Gerechtshof Den Haag 3 februari 2023, IT 4226; ECLI:NL:GHDHA:2023:306 (Veilig Thuis tegen geïntimeerde) In deze zaak heeft een man verzocht om de verwijdering van zijn persoonsgegevens die zijn verwerkt door Veilig Thuis. Het hof oordeelt dat de verwerking van de gegevens van de man door Veilig Thuis rechtmatig is op grond van de Wet maatschappelijke ondersteuning (Wmo) en dat het verzoek om gegevenswissing daarom wordt afgewezen. Veilig Thuis is niet verplicht persoonlijke gegevens van de man te wissen om te voldoen aan de wettelijke verplichting ex artikel 17, lid 1 sub e AVG, omdat de bewaring van de gegevens van belang kan zijn voor de ex-partner van de man. Bovendien heeft de man geen recht op wissing krachtens artikel 17, lid 1 sub c AVG, omdat er dwingende gerechtvaardigde gronden zijn voor de verwerking van de persoonsgegevens van de man. Het hoger beroep van Veilig Thuis slaagt en dat van de man niet. 

Rechtbank Den Haag 24 januari 2023, IT 4223; ECLI:NL:RBDHA:2023:612 (eisers tegen verweerder) A is overleden op 30 april 2022. De erven van A hebben zich vervolgens als opvolgende procespartij in de procedure van wijlen A gesteld. De rechtbank ziet zich primair voor de vraag gesteld of de beroepen en het verzoek om schadevergoeding ontvankelijk zijn. Eisers stellen dat de vorderingen op grond van de AVG, die A voor zijn overlijden heeft ingediend, krachtens erfopvolging op hen zijn overgaan. De rechtbank zal eerst beoordelen of het inzagerecht, het rectificatierecht, het recht op beperking van de verwerking van persoonsgegevens en de kennisgevingsplicht van de AVG voor overgang vatbare rechten zijn. De op de AVG gebaseerde rechten op inzage, correctie, beperking van de verwerking en de kennisgevingsplicht zijn bij uitstek persoonlijk rechten, die alleen door de betrokkene zelf zijn in te roepen. Zij zijn niet vermogensrechtelijk of familierechtelijk van aard. Het zijn daarom geen voor overgang vatbare rechten zoals bedoeld in artikel 182, eerste lid, van het BW. Daarbij komt dat de AVG niet van toepassing is op gegevens van overleden personen. Ook het schadevergoedingsverzoek, dat is gebaseerd op artikel 82 van de AVG, is geen voor overgang vatbaar recht. De rechtbank concludeert daarom dat eisers de procedures niet als erfgenamen kunnen voortzetten.

Via Autoriteit Persoonsgegevens. Het Centraal Bureau voor de Statistiek (hierna: het CBS) mag vaccinatiegegevens van het RIVM opvragen en beschikbaar maken voor wetenschappelijk onderzoek naar oversterfte tijdens de coronapandemie, zo concludeert de Autoriteit Persoonsgegevens (hierna: AP) in reactie op een adviesaanvraag van de Tweede Kamer. De AP concludeert in zijn advies dat oversterfte-onderzoek gewoon binnen de reikwijdte van de AVG valt.

Via Considerati Op 13 december 2022 heeft de Europese Commissie het proces voor het EU-US Data Privacy Framework (DPF) gestart. Het DPF is ontworpen om de trans-Atlantische overdracht van persoonsgegevens veiliger en beter te maken en biedt een passend beschermingsniveau voor organisaties die zich certificeren voor het DPF. Hoewel deelname niet verplicht is, biedt het wel veel voordelen en zullen doorgiften van persoonsgegevens tussen de EU en de VS gemakkelijker zijn. Het ontwerpbesluit zal nu door een formele goedkeuringsprocedure gaan, waarbij het Europees Parlement, een comité van EU-lidstaatvertegenwoordigers en de EDPB betrokken zijn. Het proces duurt ongeveer zes maanden.