Privacy  

Rb. Den Haag 7 november 2024, IT 4677, ECLI:NL:RBDHA:2024:18170 (eiseres tegen Binance) Eiseres heeft aangifte gedaan van beleggingsfraude en oplichting nadat zij in de zomer van 2024 via een datingplatform was overgehaald om te beleggen in cryptovaluta. Zij heeft in totaal € 186.000,- ingelegd, welke cryptovaluta uiteindelijk op een oplichtersplatform terechtkwamen en vervolgens werden overgemaakt naar een gebruikersaccount bij Binance. DataExpert B.V. heeft vastgesteld dat een deel van deze cryptovaluta op een specifiek Binance-account terecht is gekomen. De voorzieningenrechter oordeelt dat de eiseres rechtmatig belang heeft bij het verkrijgen van de identificerende gegevens van de klant van Binance, op wiens naam het gebruikersaccount staat. De vordering van eiseres om deze gegevens te verkrijgen wordt toegewezen op grond van artikel 843a Rv, omdat de bescheiden betrekking hebben op een rechtsbetrekking waarbij de eiseres partij is. Daarnaast wordt het gebruikersaccount geschorst om te voorkomen dat de cryptovaluta zouden worden weggesluisd voordat een bodemvonnis is verkregen. De voorzieningenrechter acht het belang van eiseres om de fraudeur in rechte te kunnen betrekken zwaarder dan de privacybelangen van de klant van Binance.

Hof Arnhem-Leeuwarden 5 november 2024, IT 4673; ECLI:NL:GHARL:2024:6812 (appellant tegen geïntimeerde) De koper van een auto had een bedrag overgemaakt naar een Duits bankrekeningnummer op basis van een betaalinstructie die hij ontving via het e-mailadres van het autobedrijf, de verkoper. Later bleek dat een hacker toegang had gekregen tot het e-mailaccount van het autobedrijf en de valse betaalinstructie had verstuurd. De koper vorderde schadevergoeding op grond van artikel 82 AVG, stellende dat het autobedrijf onvoldoende beveiligingsmaatregelen had getroffen.

Vzr. Rb. Amsterdam 31 oktober 2024, IT 4670; ECLI:NL:RBAMS:2024:6673 (Gemeente Amsterdam tegen gedaagden). Gedaagden en gemeente Amsterdam hebben meerdere geschillen over het gebruik en de exploitatie van een terrein in het havengebied van Amsterdam. Onder voorbehoud van de goedkeuring van het college van B&W en de gemeenteraad hebben de gemeente en gedaagde een koopovereenkomst gesloten, maar de goedkeuring is er niet gekomen. Gedaagde heeft een brief geschreven waarin hij de gemeente verwijt onredelijk te hebben gehandeld. In deze brief noemt hij de namen van de ambtenaren en advocaat van de gemeente. De brief is gepubliceerd op een website. De gemeente stelt dat het belang van gedaagde bij vrijheid van meningsuiting minder zwaar weegt dan het belang van de medewerkers van de gemeente bij privacybescherming, omdat het noemen van hun namen niet noodzakelijk is. In deze procedure vordert de gemeente dat gedaagde wordt bevolen de namen van de medewerkers en advocaat onleesbaar te maken.

Rb. Den Haag 31 mei 2024, IT4666; ECLI:NL:RBDHA:2024:17249 (eiseres tegen de AP) De AP heeft eiseres een boete opgelegd omdat zij de AVG heeft overtreden. De AP wilde het handhavingsbesluit, inclusief het boetebedrag, openbaar maken aan de twee klagers die de zaak bij de AP hadden aangekaart. Eiseres vordert de voorzieningenrechter de AP te gebieden het boetebedrag onleesbaar te maken. De voorzieningenrechter oordeelt dat de klagers weliswaar als belanghebbenden moesten worden gezien, maar dat dit niet betekent dat ze het volledige handhavingsbesluit, inclusief het boetebedrag, mochten inzien. Het belang om de hoogte van de boete geheim te houden weegt zwaarder dan het belang van de klagers om de hoogte te weten. De rechter baseert de beslissing op het feit dat de boete aanzienlijk hoog was en openbaarmaking ervan de reputatie en bedrijfsvoering van het bedrijf kan schaden. De AP moet het boetebedrag en de berekening daarvan onleesbaar te maken voor de klagers. 

HvJ EU 4 oktober 2024, IT 4658; ECLI:EU:C:2024:854 (Patērētāju tiesību aizsardzības centrs) In Letland heeft een journalist een zaak aangespannen tegen de autoriteit PTAC vanwege een video die zonder zijn toestemming werd verspreid en zijn imago beschadigde, waarbij hij compensatie voor immateriële schade eiste. De zaak is voorgelegd aan het Hof van Justitie van de EU om verduidelijking te krijgen over art. 82 AVG. Het Hof benadrukt dat een inbreuk op de AVG op zichzelf niet voldoende is om te kunnen spreken van schade in de zin van art. 82 AVG, zie [IT 4477]. Verder oordeelt het Hof dat het aanbieden van excuses een passende vergoeding voor immateriële schade in de zin van art. 82 AVG kan vormen, met name wanneer het onmogelijk is om de toestand te herstellen, mits de geleden schade op die manier volledig wordt vergoed. Tot slot mag met betrekking tot de hoogte van de te vergoeden schade op grond van art. 82 AVG, alleen rekening worden gehouden met de daadwerkelijk geleden schade. Er mag dus geen rekening worden gehouden met de houding en beweegredenen van de verwerkingsverantwoordelijke om de betrokkene een lagere vergoeding toe te kennen dan de schade die hij daadwerkelijk heeft geleden.

HvJ EU 4 oktober 2024, IT 4653; ECLI:EU:C:2024:834 (Schrems/Meta) Het Hof van Justitie van de Europese Unie heeft zich in een zaak over de verwerking van persoonsgegevens door Meta uitgelaten over de interpretatie van artikel 5 lid 1 onder c en artikel 9 lid 2 onder e AVG. Maximillian Schrems maakte bezwaar tegen de manier waarop Meta zijn gegevens verzamelde en gebruikte voor gepersonaliseerde reclame. Het Hof benadrukt dat het beginsel van minimale gegevensverwerking een uitdrukking is van het evenredigheidsbeginsel. In de zaak van Schrems verzamelde Meta een grote hoeveelheid persoonsgegevens over zijn activiteiten op en buiten Facebook, zonder onderscheid naar de aard van die gegevens en zonder tijdslimiet. Het Hof oordeelde dat deze omvangrijke en ingrijpende verwerking van gegevens in strijd is met het beginsel van minimale gegevensverwerking. De inmenging in de grondrechten van Schrems, met name zijn recht op privacy en gegevensbescherming, was onevenredig in verhouding tot het doel van gepersonaliseerde reclame.

Rb. Midden-Nederland 9 oktober 2024, IT 4647; ECLI:NL:RBMNE:2024:5787 (De Waarden c.s. tegen Google en KvK). De aanleiding van betreffende zaak was de verspreiding van een anoniem document via een Gmail-account, waarin de eisers werden beschuldigd van ernstige misstanden, waaronder machtsmisbruik, belangenverstrengeling, corruptie, en zelfs fraude met subsidies. Dit document bevatte bovendien privégegevens van betrokkenen en hun families en werd breed verspreid binnen de kraamzorgbranche, de media, en de politiek. De Waarden c.s. zagen dit als een ernstige aantasting van hun reputatie en wilden de identiteit achterhalen van de persoon of personen die verantwoordelijk waren voor deze verspreiding. Hun verzoek begon bij Google, van wie zij eisten informatie over de eigenaar van het anonieme Gmail-account te verstrekken. Google gaf echter aan dat de gebruiker het account kort na de verspreiding van het document had verwijderd, waarna het technisch onmogelijk bleek om de gegevens te herstellen. Google ondersteunde deze stelling met documentatie, en de rechter achtte deze informatie overtuigend. Omdat Google geen gegevens meer bezat, wees de rechtbank de vordering tegen Google af. De aandacht van de eisers richtte zich daarna op de KvK. Het anonieme document bevatte namelijk KvK-uittreksels waarop tijdstippen waren zichtbaar gebleven, wat de KvK in staat stelde om het verzoeker-account te traceren. De KvK ontdekte dat de uittreksels waren opgevraagd door een groot, anoniem bedrijf. Hoewel de eisers toegang wilden tot de naam van dit bedrijf om zo mogelijk de identiteit van de anonieme verspreider te achterhalen, weigerde de KvK mee te werken, met als reden dat zij geen internetdienstaanbieder waren zoals in de bekende Lycos/Pessers-zaak, en dus niet verplicht waren gegevens te verstrekken.

HvJ EU 4 oktober 2024, IT 4642; ECLI:EU:C:2024:846 (Lindenapotheke). In deze zaak vroeg een Duitse apotheker zijn concurrent, de eigenaar van de online verkopende apotheek “Lindenapotheke”, om het verkopen van apotheekgeneesmiddelen te staken, zolang klanten geen voorafgaande toestemming voor gegevensverwerking gaven. Volgens de concurrent vormde het gebrek aan toestemming een schending van de AVG en een verboden oneerlijke handelspraktijk onder Duitse wetgeving. De Duitse rechter stelde vragen aan het HvJ EU over de toelaatbaarheid van een rechtsvordering door een concurrent in AVG-zaken, en of de klantinformatie bij de online aankoop van apotheekgeneesmiddelen als gezondheidsgegevens onder de AVG valt. Het Hof oordeelt dat de AVG het niet uitsluit dat concurrenten rechtsvorderingen instellen voor schendingen van de AVG op basis van nationale wetgeving inzake oneerlijke handelspraktijken. Het Hof benadrukte dat deze mogelijkheid naast de handhavingsbevoegdheden van toezichthouders en het recht van betrokkenen op schadevergoeding bestaat, en bijdraagt aan een hoog beschermingsniveau van persoonsgegevens. Verder oordeelt het Hof dat informatie die klanten invoeren bij het bestellen van geneesmiddelen online – zoals namen en adresgegevens – gezondheidsgegevens betreft, omdat deze gegevens inzicht kunnen geven in iemands gezondheidstoestand. Hierdoor moet de verkoper duidelijk en volledig informeren over de gegevensverwerking en expliciete toestemming van de klant vragen, ongeacht of een medisch voorschrift vereist is.

HvJ EU 4 oktober 2024, IT 4640; ECLI:EU:C:2024:857 (KNLTB tegen Autoriteit Persoonsgegevens) KNLTB verkocht persoonsgegevens van haar leden aan sponsoren voor marketingdoeleinden, zonder toestemming van de leden. Dit had als doel het werven van meer sponsoren, een commercieel belang. De AP legde de KNLTB hiervoor een boete op, waartegen de KNLTB in beroep ging bij de rechtbank. De KNLTB beriep zich op een gerechtvaardigd belang onder de AVG om de verkoop van de persoonsgegevens te rechtvaardigen. De rechtbank stelde hierover prejudiciële vragen aan het Hof van Justitie.

Hof 's-Hertogenbosch 15 augustus 2024, IT 4630; ECLI:NL:GHSHE:2024:2602 (Appellante tegen de Stichting). Zaak betreffende een inzageverzoek op grond van artikel 15 AVG. In eerste aanleg verzoekt appellante, een huurder, de woningstichting (hierna: de Stichting) om een overzicht van de persoonsgegevens die zij van hem heeft verwerkt. In eerste aanleg werd dit verzoek al afgewezen. De Stichting heeft gemotiveerd betwist dat zij meer of andere gegevens heeft verwerkt dan hetgeen in het verstrekte verwerkingsoverzicht staat. Zij geeft zelfs aan dat ze meer gegevens dan nodig heeft verstrekt om verzoeker tegemoet te komen. Het verzoek werd daarmee afgewezen. Ook in hoger beroep wordt het verzoek van appellante afgewezen. Het overzicht voldoet, behalve enkele vermeldingen, aan hetgeen dat appellant mocht verwachten.