Dossiers

Per 1 januari is Danique Knibbeler begonnen als associate privacy en data protection bij het technologyteam van NautaDutilh. Voor haar overstap naar advocatuur heeft zij veel ervaring opgedaan als jurist bij diverse (semi-) overheidsinstellingen en in het bedrijfsleven. Ze zal een verrijking zijn voor het team vanwege haar expertise en ervaring. "Ze weet precies welke issues er bij bedrijven op de agenda staan als het gaat om privacy en het beschermen van persoonsgegevens. Danique kan daarmee als geen ander de ontwikkelingen op het gebied van wetgeving vertalen naar pragmatische adviezen", aldus Joris Willems, hoofd van NautaDutilhs technologyteam.

Volgens een nieuw wetsvoorstel kunnen mensen via het strafrecht vervolgd worden voor het publiceren van iemands persoonsgegevens om diegene bang te maken, ernstige overlast te bezorgen of te belemmeren in zijn of haar functie. Maar om dit zogeheten doxing tegen te gaan, is het ook nodig dat de overheid zelf stopt met het zonder goede reden makkelijk toegankelijk maken van woonadressen via het Kadaster en het Handelsregister. Dat schrijft de Autoriteit Persoonsgegevens (AP) in haar advies over dit wetsvoorstel.
Lees het gehele advies op www.autoriteitpersoonsgegevens.nl.

Verwaltungsgericht Wiesbaden (Duitsland) 7 september 2021, IT 3790, IEFbe 3370; C-552/21 (SCHUFA Holding e.a.) Via MinBuza. Verzoeker is een zelfstandige op het gebied van financiële dienstverlening die door omstandigheden tot insolventieprocedure over is gegaan, waaruit een kwijtschelding van restschuld volgde. Deze kwijtschelding is door SCHUFA Holding geregistreerd bij een particulier kredietregistratiebureau. Verzoeker heeft getracht conform artikel 21 AVG bezwaar tegen de registratie aan te tekenen, dat door SCHUFA Holding is afgewezen. Vervolgens heeft verzoeker zich verzet tegen deze weigering, aanhalend dat bewaring van de kredietinformatie langer dan een jaar in strijd is met het Unierecht, waartegen SCHUFA Holding heeft ingebracht dat conform artikel 6, lid 1, onder b) en f) gegevens met betrekking tot beoordeling van kredietwaardigheid zo lang als noodzakelijk wordt geacht bewaard mogen worden, ook met het oog op statistische beeldvorming omtrent algemene financiële gedraging van categorieën individuen. Verzoeker heeft verweerder (Deelstaat Hessen) verzocht de registratie door SCHUFA Holding van de kwijtschelding van restschuld te wissen. Verzoeker stelt dat een belangenafweging conform artikel 6, lid 1, onder f), niet heeft plaatsgevonden en heeft verzocht om de registratie te wissen in de zin van artikel 17. SCHUFA Holding stelt zich op het standpunt dat artikel 21, lid 1, er niet in is gelezen informatiebeschikking over kredietwaardigheid zoals noodzakelijk in een kredietwaardigheidsonderzoek te onthouden.

Prejudiciële vragen:

RvS 22 september 2021, IT 3795; ECLI:NL:RVS:2021:2129 (De maatschap tegen de minister van Landbouw, Natuur en Voedselkwaliteit) De minister van Landbouw, Natuur en Voedselkwaliteit heeft het verzoek van de maatschap om haar gegevens niet door te geven aan de Brancheorganisatie Akkerbouw afgewezen. De maatschap heeft geen toestemming gegeven om haar gegevens door te geven en vindt dat het doorgeven van haar gegevens daarom in strijd is met de AVG. De rechtbank heeft in eerste aanleg het beroep van de maatschap ongegrond verklaard. De Raad van State oordeelt dat de minister het verband tussen het doel van de oorspronkelijke verwerking en het doel van de verdere verwerking niet aannemelijk heeft gemaakt. De verdere verwerking van de gegevens door de minister is daarom onrechtmatig. De Raad van State oordeelt dat het hoger beroep van de maatschap gegrond is.

Bundesverwaltungsgericht (Oostenrijk) 3 december 2021, IT 3786, IEFbe 3366; C-487/21 (Osterreichische Datenschutzbehorde et CRIF) via MinBuza. Verzoeker verzocht een kredietinformatiebureau op grond van artikel 15 AVG om inzage in persoonsgegevens en om toezending van een kopie van de ten aanzien van zijn persoon verwerkte gegevens in een gebruikelijk technisch formaat. Het kredietinformatiebureau verstrekte de gevraagde inlichtingen gedeeltelijk in geaggregeerde vorm, waarbij de ten aanzien van de persoon van verzoeker opgeslagen gegevens werden weergegeven in een op naam, geboortedatum, straat, postcode en plaats gerangschikte tabel en voorts in een overzicht over ondernemingsfuncties en vertegenwoordigingsbevoegdheden.

Verwaltungsgericht Wiesbaden (Duitsland) 23 november 2021, IT 3789, IEFbe 3369; C-634/21 (SCHUFA Holding) via MinBuza De in het geding geroepen partij SCHUFA Holding, heeft een kredietscore berekend voor verzoekster. Dit was negatieve informatie en verzoekster eiste daarom om verwijdering van volgens haar onjuiste vermeldingen en inzage in opgeslagen gegevens. De in het geding geroepen partij heeft hierbij niet toegelicht welke afzonderlijke stukken informatie in de berekening worden opgenomen en hoe deze worden gewogen. Verzoekster heeft een klacht hiertegen ingediend bij verweerder, maar deze heeft geen verdere stappen ondernomen. Dit met de motivering dat de in het geding geroepen partij wel moet voldoen aan de vereisten die zijn geregeld in het Unierecht en in nationale regelgeving, maar dat daaraan wordt voldaan in onderhavig geval.

Op 17 februari verschijnt het boek ‘Multidisciplinaire aspecten van digital security’ van Natascha van Duuren, Jan Nienhuis en Victor de Pous. Wat begon met enkele basale maatregelen om computersystemen en de gegevens die ze geautomatiseerd verwerken te beschermen tegen onopzettelijke onzekere voorvallen, zoals stroomuitval en brand- en waterschade, groeide uit tot een geavanceerd, continu gevecht om informatie, systemen en infrastructuur weerbaar te maken en te houden tegen zowel onopzettelijke als opzettelijke digitale dreigingen, computermisdaad voorop. Dat digital security vandaag van levensbelang is, hoeft nauwelijks betoog. Zonder ICT staat zo ongeveer alles stil. Een samenleving die telkens sterker van digitale processen en ketens afhankelijker wordt, terwijl analoge terugvalopties in veel gevallen niet langer voorhanden zijn, moet beschermingsmaatregelen nemen. Dit betekent vervolgens dat letterlijk iedereen oog dient te hebben voor digitale dreigingen en manieren om deze risico’s te beperken.

Rb Rotterdam 12 juli 2021, IT 3791; ECLI:NL:RBROT:2021:6822 (Verzoekster tegen College van B&W Rotterdam) Verzoekster heeft verweerder meermaals verzocht medische gegevens uit haar dossier te verwijderen. Ondanks dat heeft verweerder deze gegevens gedurende tien jaar bewaard en verwerkt. Dit was in strijd met de AVG en hierdoor is het recht op eerbiediging van de persoonlijke levenssfeer van verzoekster geschonden. Meerdere personen en instanties hebben deze gegevens kunnen inzien, zonder dat zij daartoe gerechtigd waren. De rechtbank oordeelt dat verzoekster recht heeft op een vergoeding voor de immateriële schade die zij hierdoor heeft geleden.

Bundesarbeitsgericht (Duitsland) 2 december 2021, IT 3788, IEFbe 3367; C-560/21 (KISA) via MinBuza. Verzoeker is in dienst van verweerder als applicatie-adviseur. Verweerder heeft verzoeker benoemd tot functionaris voor gegevensbescherming, maar ongeveer twee weken later weer ontslagen in deze functie, omdat deze in strijd zou zijn met zijn beroepsactiviteiten als applicatie-adviseur. Verweerder stelt dat met het verwerken van financiële gegevens van burgers een belangenconflict ontstond met de taken van een functionaris voor gegevensbescherming. De nationale rechter is er niet zeker van of de AVG regelingen van lidstaten toestaat die aan het ontslag van een functionaris voor gegevensbescherming strengere voorwaarden stellen dan het Unierecht.

Prejudiciële vragen:

Rb Gelderland 14 januari 2022, IT 3781; ECLI:NL:RBGEL:2022:126 (Verzoeker tegen BKR). Verzoeker vraagt de rechtbank het BKR te veroordelen om registratie van kredietovereenkomsten in het CKI te verwijderen. Hieraan legt hij ten grondslag dat het stelsel van krediet- en schuldenregistratie in het CKI in het algemeen in strijd is met de AVG en dat de wijze waarop het BKR zijn persoonsgegevens verwerkt onrechtmatig is. In casu is de verwerking echter gebaseerd op artikel 6 lid 1 onder f AVG. De door BKR vastgestelde bewaartermijn van vijf jaren is passend en proportioneel, zoals al vaker in rechtspraak bevestigd. De registratie van de kredietovereenkomsten hoeft dus niet te worden verwijderd. Verzoeker vraagt subsidiair om de bijzonderheidscoderingen te verwijderen uit het CKI.