Wet- en regelgeving  

Rb. Den Haag 9 september, IT 4620; ECLI:NL:RBDHA:2024:14477 (Verzoeker tegen Bunq B.V.). Verzoeker is klant van Bunq. Bunq heeft de bankrekeningen van verzoeker geblokkeerd, omdat hij niet heeft gereageerd op het herhaaldelijke verzoek om bepaalde documenten toe te sturen. Verzoeker verstrekt de documenten daarna alsnog en de blokkade wordt opgeheven. Verzoeker vraagt Bunq vervolgens om inzage in alle van hem verwerkte gegevens, onder andere met betrekking tot de blokkering van zijn rekeningen. Bunq doet als verzocht, maar verzoeker stelt dat er gegevens ontbreken. Verzoeker stapt naar de rechter. In de tussentijd heeft Bunq aanvullende gegevens verstrekt die Bunq in relatie tot verzoeker heeft verwerkt. Desondanks vraagt verzoeker aan de rechtbank om Bunq op te dragen hem volledige inzage te verschaffen in zijn persoonsgegevens, inclusief de gegevens die zijn verwerkt als onderdeel van het besluitvormingsproces rondom de blokkade en de opheffing daarvan. Verzoeker legt daaraan ten grondslag dat Bunq onzorgvuldig te werk is gegaan, onder andere door het gebruik van geautomatiseerde besluitvorming. Bunq stelt daarentegen dat zij voldoende tegemoet is gekomen aan het inzageverzoek en dat er geen sprake is geweest van geautomatiseerde besluitvorming.

HvJ EU 10 september 2024, IT 4617; ECLI:EU:C:2024:724 (Europese Commissie tegen Ierland e.a.). Het Hof heeft definitief uitspraak gedaan en bevestigt het besluit van de Europese Commissie uit 2016 dat Ierland Apple onrechtmatige staatssteun heeft verleend. Tussen 1991 en 2014 genoten Apple-vennootschappen belastingvoordelen via twee fiscale rulings die de belastbare winst in Ierland beperkten. De Commissie oordeelde dat deze voordelen, die gebaseerd waren op de behandeling van winsten uit intellectuele-eigendomslicenties, in strijd waren met de Europese staatssteunregels. Ierland moet daarom €13 miljard aan belastingvoordelen van Apple terugvorderen. In 2020 vernietigde het Gerecht het besluit van de Commissie, omdat het vond dat de Commissie onvoldoende had bewezen dat er sprake was van een selectief belastingvoordeel. Het Hof heeft nu die uitspraak herzien en het oordeel van de Commissie hersteld. Het Hof stelt dat de winsten uit Apple’s activiteiten buiten de Verenigde Staten terecht aan Ierland hadden moeten worden toegerekend voor belastingdoeleinden, en steunt daarmee de oorspronkelijke bevindingen van de Commissie.

Rb. Den Haag 29 mei 2024, IT 4559; ECLI:NL:RBDHA:2024:7945 (Privacy First tegen de Staat). WAMCA zaak. Op 1 januari 2019 is de ‘Wet van 22 november 2017 tot wijziging van het Wetboek van Strafvordering in verband met de regeling van het vastleggen en bewaren van kentekengegevens door de politie’ in werking getreden. Op basis van het bij de Wet ANPR ingevoerde artikel 126jj van het Wetboek van Strafvordering (Sv) is het voor opsporingsambtenaren van de politie en Koninklijke Marechaussee mogelijk om door middel van daarvoor aangewezen camera’s via de techniek van Automatic Number Plate Recognition (ANPR) kentekengegevens van passerende voertuigen vast te leggen voor een periode van vier weken. In deze zaak zijn vorderingen ingesteld in een collectieve actie namens Nederlandse ingezetenen van wie de privacy wordt geschonden door artikel 126jj van het Wetboek van Strafvordering (Sv). Privacy First stelt dat artikel 126jj Sv kennelijk onverbindend is wegens strijd met artikel 8 EVRM. Het oordeel van de rechtbank is dat de regeling van artikel 126jj Sv voldoet aan de eisen van artikel 8 lid 2 EVRM. Hoewel deze regeling een inbreuk op de persoonlijke levenssfeer inhoudt, is de noodzaak van deze inbreuk voldoende aangetoond, is de inbreuk proportioneel en is er geen minder ingrijpend alternatief beschikbaar. De regeling van artikel 126jj Sv valt ook onder de artikelen 7 en 8 van het Handvest, omdat deze betrekking heeft op het privéleven en de verwerking van persoonsgegevens. Het Hof heeft vastgesteld dat deze inmenging voldoet aan een doel van algemeen belang, namelijk het bestrijden van ernstige criminaliteit om de openbare veiligheid te waarborgen. De inmenging is tevens geschikt om dit doel te bereiken. De rechtbank concludeert daarnaast dat de uitvoeringspraktijk van artikel 126jj Sv niet onrechtmatig is. Er zijn onvoldoende feiten en omstandigheden aangevoerd om te rechtvaardigen dat de uitvoeringspraktijk van artikel 126jj Sv onrechtmatig zou zijn en de vorderingen zouden kunnen ondersteunen. Daarom zullen de vorderingen van Privacy First worden afgewezen.

HvJ EU 14 maart 2024, IT 4525;  ECLI:EU:C:2024:232 (Europese Commissie tegen Republiek Polen, e.a.). De Europese Commissie heeft procedures gestart tegen meerdere lidstaten wegens tekortschieten in het omzetten van richtlijn (EU) 2018/1972 van het Europees Parlement en de Raad van 11 december 2018 tot vaststelling van het Europees wetboek voor elektronische communicatie. De lidstaten zouden niet alle wettelijke en bestuursrechtelijke bepalingen hebben aangenomen die nodig zijn om te voldoen aan artikel 124, lid 1, van de richtlijn. Dit zou hebben geleid tot schending van artikel 258 VWEU. Het gaat om de lidstaten Ierland, Letland, Polen, Portugal en Slovenië.

Het gebruik van digitale gegevens is onmisbaar in de economie en maatschappij. Grensoverschrijdende regelgeving die zorgt voor een betere verdeling van de grote waarde van data, is daarom essentieel voor bedrijven en consumenten. De EU Data Act is een belangrijke stap om de data-economie als geheel beter te laten werken. Minister Micky Adriaansens (Economische Zaken en Klimaat) consulteert vanaf vandaag de concept Nederlandse uitvoeringswetgeving van de Data Act. Deze geldt straks vanaf september 2025.

Per 17 februari 2024 treedt de Europese Digital Services Act (DSA) voor alle aanbieders van online diensten en digitale platforms in de EU in werking, een regelgeving die van cruciaal belang is voor aanbieders van online diensten. Al eerder trad de verordening in werking voor VLOPs (Very Large Online Platforms). De DSA streeft naar het creëren van een veilige, betrouwbare en voorspelbare online omgeving, waardoor het essentieel is voor aanbieders om zich te vergewissen van de naleving van de voorgeschreven normen. De Autoriteit Consument & Markt (ACM), als aangewezen toezichthouder, benadrukt de noodzaak voor online bedrijven om hun verantwoordelijkheden onder deze verordening serieus te nemen, niet alleen vanuit een wettelijk oogpunt, maar ook als maatschappelijke verplichting. De DSA is van toepassing op een breed scala aan digitale diensten, waaronder online platforms, zoekmachines, internetproviders, en hostingdiensten. Deze verordening introduceert een gelaagd regime van verplichtingen, waardoor de vereisten kunnen variëren afhankelijk van de specifieke diensten die een entiteit aanbiedt. Centraal staat de plicht om illegale content te bestrijden, transparantie omtrent reclame en de bescherming van minderjarigen te waarborgen.

De Afdeling advisering van de Raad van State heeft een advies uitgebracht over de Uitvoeringswet digitaledienstenverordening. De Afdeling stelt dat de wet duidelijke verplichtingen in het leven roept voor aanbieders van digitale diensten, met name met betrekking tot het bestrijden van illegale inhoud en het aanpakken van risico's die de maatschappij kunnen schaden. Deze verplichtingen zijn bedoeld om een veiliger online omgeving te creëren en de rechten van gebruikers te beschermen. De rol van de ACM als de nationale toezichthouder wordt hierbij door de Afdeling benadrukt. De ACM krijgt de taak om toezicht te houden op de naleving van de DSA-verplichtingen door digitale diensten. Dit omvat het onderzoeken van klachten, het uitvoeren van inspecties en het opleggen van sancties bij overtredingen. De Afdeling heeft verschillende aanbevelingen gedaan om de uitvoeringswet te verbeteren. Deze omvatten de noodzaak voor duidelijkere definities van bepaalde begrippen, de verduidelijking van de bevoegdheden van de ACM, en het waarborgen van ministeriële verantwoordelijkheid. Het doel van deze aanbevelingen is om de effectiviteit van de wet te verhogen en te zorgen voor een transparante en verantwoorde uitvoering.

Op 9 november 2023 heeft het Europees Parlement de EU Data Act aangenomen, een nieuwe verordening die geharmoniseerde regels vaststelt voor toegang tot gegevens, het wisselen van cloudproviders en interoperabiliteitseisen in de EU. Deze wet wordt verwacht aanzienlijke gevolgen te hebben voor bedrijven die actief zijn in de EU. De Data Act, die van kracht wordt 20 dagen na publicatie in het Publicatieblad en 20 maanden na inwerkingtreding van toepassing zal zijn, heeft als doel de EU-data-economie te stimuleren en een digitale interne markt te creëren. Het legt regels vast voor het gebruik en de waardecreatie van data, met een focus op het verlenen van meer rechten aan gebruikers van verbonden producten en het vergroten van de concurrentie in digitale markten, met name voor het versterken van de positie van het midden- en kleinbedrijf.

Op 30 oktober 2023 kondigden de leiders van de G7 hun overeenstemming aan over een reeks internationale leidende principes voor kunstmatige intelligentie (AI) en een vrijwillige gedragscode voor AI-ontwikkelaars, als onderdeel van het Hiroshima AI-proces dat werd geïnitieerd tijdens de G7-top in mei 2023. Deze ontwikkeling werd met enthousiasme ontvangen door de Europese Commissie, die onder leiding van voorzitter Ursula von der Leyen actief betrokken was bij dit proces. Deze internationale overeenkomst is van groot belang, aangezien de principes en gedragscode een aanvulling zullen vormen op de juridisch bindende regels die momenteel worden afgerond binnen de EU AI Act. De EU heeft zich reeds gepositioneerd als een regelgevende pionier op het gebied van AI, en deze nieuwe overeenkomst weerspiegelt de inzet om betrouwbare AI te bevorderen en tegelijkertijd de veiligheid en rechten van individuen te waarborgen. De elf leidende beginselen zijn ontwikkeld door de G7-landen en de EU in nauwe samenwerking, en ze voorzien in richtlijnen voor organisaties die geavanceerde AI-systemen ontwikkelen, inzetten en gebruiken. Deze beginselen leggen de nadruk op het nemen van passende maatregelen om risico's te identificeren en te beperken tijdens de hele levenscyclus van AI-systemen, het bevorderen van transparantie en verantwoordingsplicht, het delen van informatie en het investeren in robuuste beveiligingscontroles.

Persbericht Europese Commissie. Onder de Digital Services Act (DSA) dienen zeer omvangrijke online platforms, oftewel VLOP's (Very Large Online Platforms), te voldoen aan voorschriften inzake transparantie. Als onderdeel van deze nalevingsvereisten, zijn deze platforms verplicht om transparantierapporten openbaar te maken. Enkele van deze platforms hebben reeds aan deze verplichting voldaan. Hieronder vallen Amazon, LinkedIn, TikTok, Pinterest, Snapchat, Zalando en Bing. Deze rapporten worden gepubliceerd om samen met een database van de Commissie met verklaringen en aanvullende voorschriften voor aangewezen diensten, bij te dragen aan het creëren van helderheid en verantwoording met betrekking tot het modereren van online content op deze platforms. Dit initiatief streeft naar een meer transparante benadering van de inhoudsmoderatie op online platformen en versterkt de naleving van de DSA.