Privacy  

Rechtbank Rotterdam 19 maart 2021, IT 3454, ECLI:NL:RBROT:2021:2306 (Eiser tegen Minister van Buitenlandse Zaken) Eiser heeft aan de minister van Buitenlandse Zaken verzocht om informatie over de verwerking van zijn persoonsgegevens op grond van de AVG. Het ging om gegevens die eiser per e-mail had ontvangen van de Dienst Terugkeer en Vertrek (DT&V) en die volgens de DT&V afkomstig zouden zijn van de minister. Dit verzoek is door de minister afgewezen, omdat hij stelde niet de verwerkingsverantwoordelijke van de gegevens te zijn in de zin van artikel 4, onder 7, van de AVG. De rechtbank stelt echter dat de minister dit wel is. Er moet namelijk een ruime uitleg worden gegeven aan het begrip ‘verwerkingsverantwoordelijke’. In casu heeft de minister zelf bepaald aan wie hij de gegevens verder verstrekte. Dat dit mondeling gebeurde doet daar verder niets aan af.

Rechtbank Rotterdam 19 maart 2021, IT 3452, ECLI:NL:RBROT:2021:2304 (Eiser tegen Autoriteit Persoonsgegevens) Gegevensverwerker DEX Online Services is ingeschakeld om een ledenadministratie, met daarin persoonsgegevens van eiser, te automatiseren. Eiser heeft de Autoriteit Persoonsgegevens (AP) verzocht hiertegen op te treden, omdat deze van mening was dat de AVG werd overtreden. De AP heeft dit verzoek afgewezen. Hierop besluit eiser een vordering bij de rechtbank in te stellen. Primair voert hij aan dat er voor de verwerking van zijn gegevens eerst om zijn toestemming had moeten worden gevraagd op grond van artikel 6, eerste lid, onder a, van de AVG. De rechtbank wijst de vordering echter af en stelt o.a. dat er geen toestemming nodig was voor de verwerking in kwestie.

Vzr. Rechtbank Den Haag 18 maart 2021, IT 3447, ECLI:NL:RBDHA:2021:2457 (Privacy First tegen de Staat) Door middel van een verplichte implementatie van de vierde en vijfde anti-witwasrichtlijn heeft de Staat wetgeving aangenomen die verplichte registratie van persoonsgegevens van UBO’s (Ultimate Beneficial Owners, bijv. een vennootschap) in het UBO-register en de daarin geregelde openbare toegankelijkheid van deze gegevens gebiedt. Privacy First vordert (voorlopige) buitenwerkingstelling van deze wetgeving. De voorzieningenrechter wijst deze vordering echter af, omdat deze geen grond kan vinden voor een buitenwerkingstelling.

Rechtbank Amsterdam 25 januari 2021, IT 3446, ECLI:NL:RBAMS:2021:1140 (KDVP tegen AP en de Staat) KDVP, een stichting die zich inzet voor onder meer het behoud van privacy en vertrouwelijkheid binnen de (geestelijke) gezondheidszorg, heeft in 2013 bij de rechtbank laten onderzoeken of de destijds voorliggende verlenging van de Gedragscode zorgverzekeraars terecht was goedgekeurd. De rechtbank oordeelde dat dit niet het geval was, waarop KDVP besloot een verzoek tot handhaving in te dienen bij de AP. Dit verzoek werd niet gehonoreerd en KDVP stelde hiertegen beroep in. De rechtbank oordeelt dat de AP het verzoek terecht heeft afgewezen, maar KDVP krijgt daarnaast wel een schadevergoeding toegewezen vanwege de lange duur van haar procedure.

Rechtbank Amsterdam 11 maart 2021, IT 3444; ECLI:NL:RBAMS:2021:1019 (Chauffeurs tegen Ola) Beschikking. Onderneming Ola heeft het digitale platform 'Ola Cabs' opgericht, waarbij via een app wordt gefaciliteerd dat een passagier en een (taxi)chauffeur aan elkaar worden gekoppeld. Verzoekers zijn werkzaam als chauffeurs in het Verenigd Koninkrijk. Zij maken gebruik van de diensten van Ola via de Ola Driver App. De passagiers die zij vervoeren maken gebruik van de Ola Cabs App. De chauffeurs zijn aangesloten bij een vakbond. De chauffeurs hebben een inzageverzoek bij Ola gedaan op grond van de AVG. Dit verzoek is te algemeen en wordt afgewezen. Ola moet nog geanonimiseerd inzage geven in door passagiers gegeven ratings, alsmede in gegevens waarop de fraud probability score en het earning profile, vormen van profilering, zijn gebaseerd. Alsmede in de gegevens die zijn verwerkt in een onregelmatigheidssignaleringssysteem en de gegevens die hebben geleid tot financiële sanctiebesluiten. Verzoekers hebben geen recht op verstrekking in een specifiek verlangd format.

De Schrems II uitspraak [IEF 19327] is uitgebreid besproken in verschillende vaktijdschriften en andere media. De uitspraak was niet onverwacht maar leidde wel tot vele praktische en meer principiële vragen over wat we moeten met gegevensbescherming in een wereld waarin landsgrenzen er steeds minder toe doen. In deze bijdrage uit het Tijdschrift voor Internetrecht gaan Gerrit-Jan Zwenne, hoogleraar Recht en de informatiemaatschappij aan de Universiteit Leiden en advocaat bij Pels Rijcken, en Berend van der Eijk, advocaat bij Bird & Bird, in op de uitspraak en de betekenis ervan voor de rechtspraktijk.

Lees hier verder via zwenneblog.

Rechtbank Noord-Nederland 1 maart 2021, IT 3438, ECLI:NL:RBNNE:2021:738 (Verzoekers tegen RIEC Noord-Nederland en gemeente Leeuwarden) Verzoekers hebben een verzoek ingediend bij het RIEC Noord-Nederland tot inzage van persoonsgegevens op grond van de AVG. Hierna zijn verzoekers geïnformeerd dat hun verzoek in behandeling zou worden genomen, maar is nagelaten om een besluit te nemen. Verzoekers zijn vervolgens naar de rechtbank gestapt om afgifte van hun persoonsgegevens te vorderen. Deze verklaart daarentegen dat het RIEC Noord-Nederland niet als procespartij kan worden gekwalificeerd omdat zij geen zelfstandige entiteit is. Het RIEC is een samenwerkingsverband van verschillende conventpartners. Hierdoor hadden verzoekers hun verzoek aan alle betrokkenen moeten richten.

HvJ EU 2 maart 2021, IT 3432, IEFbe 3191; ECLI:EU:C:2021:152 (Estland tegen H.K.) Beslissing op prejudiciële vragen. H.K. wordt in Estland vervolgd wegens diefstal, gebruik van de bankpas van een ander en geweldpleging tegen betrokkenen bij een gerechtelijke procedure. De Estse rechter heeft H.K. schuldig verklaard aan deze feiten op basis van informatie die zij verkreeg van een aanbieder van elektronische-communicatiediensten. H.K. ging hiertegen in hoger beroep. Hierop besloot de hoogste Estse rechterlijke instantie een aantal prejudiciële vragen voor te leggen aan het HvJ EU over in hoeverre een nationale regeling, in het kader van strafrechtelijk onderzoek, aan een overheidsinstantie toegang mag verlenen tot elektronische-communicatiegegevens die een gedetailleerd beeld van een gebruiker kunnen scheppen. Het HvJ EU verklaart dat een dergelijke regeling niet is toegestaan indien deze niet is beperkt tot het bestrijden van zware criminaliteit of het voorkomen van ernstige bedreigingen van de openbare veiligheid. Daarnaast moet de toetsing van een rechtmatige toegang tot gegevens niet gedaan worden door een instantie als het openbaar ministerie, maar door een meer onafhankelijke instantie.

Rechtbank Gelderland 24 augustus 2020, IT 3418; ECLI:NL:RBGEL:2020:7103 (Verzoeker tegen Stichting Reclassering Nederland) Verzoeker is in 2003 veroordeeld tot een onvoorwaardelijke gevangenisstraf van achttien jaar en is in 2014 voorwaardelijk in vrijheid gesteld. Aan zijn vrijlating zijn voorwaarden verbonden, waaronder meer een meldplicht bij de Reclassering. Deze voorwaarden zijn op 30 april 2020 beëindigd. Verzoeker doet een beroep op artikel 12 en 15 eerste lid van de Algemene verordening gegevensbescherming (AVG). Concreet wil verzoeker weten of de Stichting Reclassering Nederland zijn persoonsgegevens verwerkt. De vraag is of en zo ja op welke wijze verzoeker aanspraak kan maken op inzage in de interne communicatie tussen de medewerkers van de Reclassering en de communicatie tussen de Reclassering en het OM en de DJI. Geoordeeld wordt dat een meldplichtverslag als persoonsgegevens moeten worden aangemerkt, waardoor verzoeker dus in beginsel recht op inzage heeft. Vervolgens wordt gekeken of de Reclassering een beroep toekomt op de wettelijke uitzondering op het recht van inzage, op grond van artikel 23 van de AVG. Geoordeeld wordt dat de Reclassering de documenten mag anonimiseren om ervoor te zorgen dat de uitlatingen over verzoeker niet herleidbaar zijn tot de persoon die de uitlating heeft gedaan. 

HR Conclusie A-G 29 januari 2021, IEF 19788, IT 3423; ECLI:NL:PHR:2021:83 (Dutch Filmworks tegen Ziggo) Deze kort geding-procedure draait om de vraag of internet service provider Ziggo kan worden verplicht om aan de rechthebbende op intellectuele eigendomsrechten de NAW-gegevens te verstrekken die horen bij IP-adressen van waaraf een film illegaal volgens die rechthebbende is gedownload. Het grondrecht op bescherming van intellectuele eigendom staat tegenover het grondrecht op bescherming van persoonsgegevens en privacy van de internetgebruikers. Net als de voorzieningenrechter [IEF 18224] heeft het hof geoordeeld dat het aanpakken van ‘illegale downloaders’ onder voorwaarden rechtmatig is, maar dat in dit geval de rechthebbende te weinig rekening heeft gehouden met de belangen van de betrokken internetgebruikers [IEF 18806]. Daarom zijn de vorderingen van de rechthebbende afgewezen. Die beslissing acht A-G Drijber te billijken, zijn conclusie strekt tot verwerping van het principale cassatieberoep.