1.Inleiding

Sinds het verschijnen van onze vorige kroniek in de zomer van 2021 (TvC 2021, afl. 4) hebben de ontwikkelingen op privacygebied elkaar in razend tempo opgevolgd. De media besteedden ruimschoots aandacht aan datalekken bij de GGD, massaschadeclaims tegen TikTok en de discussie omtrent het doorgeven van persoonsgegevens naar de Verenigde Staten. In dat laatste dossier lijkt beweging te zijn nu de VS en de EU een principeakkoord hebben bereikt. De discussie over de grondslag ‘gerechtvaardigd belang’ is echter nog niet beslecht en heeft zelfs tot prejudiciële vragen geleid. Ook leidden de onderzoeken naar de Belastingdienst in verband met de Toeslagenaffaire tot hoge boetes van de Autoriteit Persoonsgegevens (AP).

In deze kroniek nemen wij u in vogelvlucht mee door deze en andere highlights van het privacyrecht in 2021 en 2022. Het was onvermijdelijk om hierbij keuzes te maken. Ook beperken wij ons tot de AVG en de Uitvoeringswet AVG (UAVG).

Consumenten worden continu geconfronteerd met het verwerken van hun persoonsgegevens, bijvoorbeeld wanneer zij online shoppen. Ook ‘betalen’ consumenten bij het gebruik van apps vaak met hun persoonsgegevens. Vanwege het thema van dit tijdschrift, besteden wij daarom bijzondere aandacht aan de rechtspraak over de rechten van betrokkenen.

2.Boetes voor de belastingdienst

In de afgelopen periode sprongen twee boetes in het oog die de AP aan de Belastingdienst heeft opgelegd. In beide zaken schond de Belastingdienst een of meerdere beginselen van de AVG.

De eerste boete van maar liefst € 2,75 miljoen is opgelegd vanwege het onrechtmatig verwerken van de dubbele nationaliteit van mensen die kinderopvangtoeslag aanvroegen.Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete, 25 november 2021. Voor het bepalen of iemand recht heeft op kinderopvangtoeslag is niet van belang welke nationaliteit iemand heeft, alleen of diegene rechtmatig in Nederland verblijft. In mei 2018 had de Belastingdienst echter van 1,4 miljoen mensen de dubbele nationaliteit geregistreerd staan in haar systemen. Ook bleek uit onderzoek van de AP dat deze gegevens actief werden gebruikt om te bepalen welke aanvragen extra gecontroleerd zouden worden. Daarnaast gebruikte de Belastingdienst deze gegevens om georganiseerde fraude te bestrijden. Het handelen van de Belastingdienst was discriminerend en in strijd met artikel 5 lid 1 onder a (beginsel van behoorlijkheid) en artikel 6 AVG (rechtmatigheid). Dit is extra kwalijk, omdat burgers verplicht zijn om hun gegevens aan de Belastingdienst te verstrekken. Saillant detail is dat het onderzoek van de AP door de Belastingdienst ernstig werd belemmerd. Op directieniveau werden onjuiste en onvolledige verklaringen afgelegd. Daarnaast moest de AP overgaan tot het opvorderen van informatie omdat de Belastingdienst niet reageerde op informatieverzoeken.

De AP deed tevens een onderzoek naar de Fraude Signalering Voorziening (FSV). De FSV was een applicatie waarin signalen over vastgestelde fraude en signalen, die konden wijzen op een verhoogde kans op fraude met toeslagen en belastingen, werden opgenomen. In de periode van november 2013 tot februari 2020 werden hierin signalen van 244 273 personen en 30 000 ondernemers verwerkt zonder dat zij daarvan afwisten. De signalen konden ook bijzondere persoonsgegevens, strafrechtelijke persoonsgegevens en persoonsgegevens van derden, zoals familieleden, bevatten. De signalen werden ook buiten de FSV verspreid, zonder dat er nog zicht was op wat er met deze gegevens gebeurde. De Belastingdienst had geen grondslag voor het verwerken van deze gegevens. De doeleinden van de FSV waren onduidelijk, er stonden onjuiste gegevens in de FSV en de gegevens werden te lang bewaard. De Belastingdienst bleek ook het frauderisico te indiceren op basis van persoonskenmerken zoals uiterlijk en nationaliteit. Zo werden giften aan moskeeën en aftrekposten in verband met medicijngebruik door personen met Oost-Europese achternamen als een risico-indicator voor fraude aangemerkt. De handelwijze van de Belastingdienst was discriminatoir en in strijd met artikel 5 lid 1 onder a (en daarmee een schending van het onderliggende artikel 6 AVG), b, d en e: namelijk beginselen van rechtmatigheid, doelspecificatie, juistheid en opslagbeperking. Ook konden onbevoegde medewerkers de persoonsgegevens inzien, omdat de beveiliging en logging in strijd met artikel 32 AVG niet op orde was. Tot slot bleek dat de Functionaris Gegevensbescherming van de Belastingdienst zijn werk niet goed had kunnen doen, omdat hij veel te laat bij de uitvoering van de gegevensbeschermingseffectbeoordeling (ook DPIA genoemd) werd betrokken. De Belastingdienst heeft de FSV in oktober 2020 uitgeschakeld. Deze ernstige schendingen leiden tot de hoogste boete die de AP tot nu toe heeft opgelegd: € 3,7 miljoen.Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete, 12 april 2022. Om deze boete in perspectief te plaatsen: op het moment van schrijven van deze kroniek bedraagt de hoogste AVG-boete die door een Europese toezichthouder is opgelegd € 746 miljoen. Deze boete heeft de Luxemburgse toezichthouder aan Amazon opgelegd wegens het onrechtmatig verwerken van persoonsgegevens voor advertentiedoeleinden.Commission nationale pour la protection des données Grand-Duché de Luxembourg, Décision concernant Amazon Europe Core S.à R.L., 6 augustus 2021. Die boete is nog niet finaal.

3.Grondslagen

In onze vorige kroniek besteedden wij al uitgebreid aandacht aan de VoetbalTV-zaak. Dit online platform voor amateurvoetbalclubs kreeg van de AP in juli 2020 een boete van € 575 000.Het boetebesluit is niet gepubliceerd. Volgens de AP kon VoetbalTV zich niet baseren op de grondslag gerechtvaardigd belangArt. 6 lid 1 onder f AVG. om beelden van amateurwedstrijden te verwerken, omdat VoetbalTV een zuiver commercieel belang zou hebben. Conform de normuitlegAutoriteit Persoonsgegevens, Normuitleg grondslag ‘gerechtvaardigd belang’, november 2019. van de AP zou een zuiver commercieel belang nooit een gerechtvaardigd belang kunnen zijn; een standpunt dat haaks lijkt te staan op de AVG en Europese jurisprudentie.Zie overweging 47 bij de AVG en de Concl. A-G Bobek HvJ EU 19 december 2018, C-40/17, ECLI:EU:C:2018:1039 (Fashion ID). De rechtbank Midden-Nederland vernietigde dit boetebesluit, omdat er sprake was van een onzorgvuldig genomen besluit.Rb. Midden-Nederland 23 november 2020, ECLI:NL:RBMNE:2020:5111. Dit oordeel is door de Afdeling bestuursrechtspraak van de Raad van State (de Afdeling) in juli 2022 bevestigd.ABRvS 27 juli 2022, ECLI:NL:RVS:2022:2173. Helaas gaf de Afdeling geen antwoord op de vraag of een ‘zuiver commercieel belang’ een gerechtvaardigd belang zou kunnen zijn. In de zomer van 2022 werd door de NRC een briefwisseling tussen de AP en de Europese Commissie gepubliceerd waaruit bleek dat de Commissie de AP al in maart 2020 per brief heeft laten weten dat deze strikte interpretatie onjuist is.Brief Europese Commissie aan de Autoriteit Persoonsgegevens, 6 maart 2020. De Commissie wees erop dat hiermee het vrije ondernemerschap wordt belemmerd. De AP blijft echter tot op heden bij haar standpunt.W. Heck & P. Olsthoorn, ‘Brussel vindt Nederlandse privacywaakhond te strikt’, NRC Handelsblad 3 juli 2022.

Maar er gloort hoop: de KNTLB-zaak. In deze zaak legde de AP aan de KNLTB een boete op van € 525 000, omdat de KNLTB gegevens van leden aan twee sponsoren had verkocht.Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete, 20 december 2019 (KNLTB). De KNLTB baseerde zich hierbij eveneens op de grondslag ‘gerechtvaardigd belang’. Inmiddels loopt het beroep van de KNLTB tegen deze boete en heeft de rechtbank Amsterdam besloten om diverse prejudiciële vragen te stellen over de uitleg van de grondslag ‘gerechtvaardigd belang’.Rb. Amsterdam 22 september 2022, ECLI:NL:RBAMS:2022:5565. Het is nu dus wachten op de beantwoording daarvan door het Hof van Justitie EU.

Of een verwerking gebaseerd kan worden op de grondslag ‘gerechtvaardigd belang’ heeft direct impact op welke privacyrechten kunnen worden uitgeoefend. Dit kwam naar voren bij de beantwoording van prejudiciële vragen door de Hoge Raad inzake BKR-registraties.HR 3 december 2021, ECLI:NL:HR:2021:1814. Een betrokkene wilde bezwaar maken tegen zijn registratie in het Centraal Krediet Informatie Systeem (CKI) van de Stichting Bureau Krediet Registratie (BKR) en deze registratie laten verwijderen. De kredietverstrekker die de registratie had verricht, meende dat hij hiertoe wettelijk verplicht was. In dat geval zou de betrokkene zijn recht van bezwaar ex artikel 21 AVG, en het daaraan verbonden recht om vergeten te worden van artikel 17 lid 1 onder c AVG, niet kunnen uitoefenen. Volgens de Hoge Raad waren de financieelrechtelijke bepalingen waarop de registratie gebaseerd werd echter niet voldoende duidelijk en nauwkeurig en de toepassing ervan niet voldoende voorspelbaar. Uit die bepalingenMet name art. 4:32 en 4:34 Wft en art. 114 van het Besluit Gedragstoezicht financiële ondernemingen Wft. is niet af te leiden welke persoonsgegevens in het CKI geregistreerd moeten of mogen worden, wat de voorwaarden voor registratie zijn en binnen welke termijn de gegevens moeten worden verwijderd. De registratie van persoonsgegevens in het CKI kan daarom door de kredietverstrekker niet worden gebaseerd op een wettelijke verplichting, maar alleen op de grondslag gerechtvaardigd belang van artikel 6 lid 1 onder f AVG en de betrokkene kan derhalve voornoemde privacyrechten uitoefenen.

Een andere interessante zaak ziet op het gebruik van gepersonaliseerde advertenties door Meta Platforms Inc. (Meta) op Facebook en Instagram. In mei 2018, toen de AVG van toepassing werd, diende de organisatie van Max Schrems, noyb, diverse klachten bij verschillende Europese privacytoezichthouders in nadat Meta niet langer toestemming vroeg voor het verwerken van persoonsgegevens om gebruikers gepersonaliseerde advertenties te tonen.Zie voor een overzicht: noyb.eu/en/noybeu-filed-complaints-over-forced-consent-against-google-instagram-whatsapp-and-facebook. Omdat de eisen voor toestemming onder de AVG strenger werden, besloot Meta een bepaling aan haar voorwaarden toe te voegen waarmee deze verwerking onderdeel werd van de overeenkomst die gebruikers met Meta aangaan. Meta deed daarbij een beroep op de grondslag ‘noodzakelijk ter uitvoering van de overeenkomst met de betrokkene’ ex artikel 6 lid 1 onder b AVG om zo de toestemmingseisen te omzeilen. De Ierse privacytoezichthouder ging hier aanvankelijk in mee, maar is teruggefloten door de European Data Protection Board (EDPB).EDPB Binding Decision 4/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Instagram service (art. 65 GDPR), 12 januari 2023. De EDPB is het orgaan waarin de Europese privacytoezichthouders vertegenwoordigd zijn. Volgens de EDPB kan Meta consumenten niet via haar gebruiksvoorwaarden dwingen om gepersonaliseerde advertenties te accepteren. De Ierse privacytoezichthouder heeft inmiddels boetes van in totaal € 390 miljoen opgelegd (€ 210 miljoen voor de overtredingen op Facebook en € 180 miljoen voor Instagram).Zie persbericht DPC: ‘Data Protection Commission announces conclusion of two inquiries into Meta Ireland’, 4 januari 2023. De onderliggende besluiten zijn nog niet gepubliceerd.

4.Rechten van betrokkenen

De rechten van betrokkenen vormen de kern van de AVG. De betrokkene moet immers controle kunnen uitoefenen over wat er met zijn of haar persoonsgegevens gebeurt.Zie onder meer overweging 63 bij de AVG. Ook in deze kroniekperiode hebben de meeste AVG-procedures betrekking op de rechten van betrokkenen (art. 15-22 AVG). Vanwege de grote hoeveelheid uitspraken bespreken we per onderwerp slechts een selectie daarvan.

Vaststellen identiteit betrokkene

Om ervoor te zorgen dat alleen inzage wordt gegeven in persoonsgegevens van de betrokkene of alleen diens gegevens worden verwijderd of gewijzigd, moet de verwerkingsverantwoordelijke in lijn met artikel 12 lid 2 AVG en in het licht van artikel 32 AVG de identiteit van verzoeker vaststellen. Hierbij moet het dataminimalisatiebeginselArt. 5 lid 1 onder c AVG. in acht worden genomen. Met name bestuursrechters kregen regelmatig de vraag of de wijze van identificatie in overeenstemming was met de AVG. De Afdeling heeft in diverse zaken geoordeeld dat indien een bestuursorgaan reden heeft om te twijfelen aan de identiteit van een verzoeker hij op grond van artikel 12 lid 6 AVG aanvullende informatie kan vragen om de identiteit te kunnen bevestigen.ABRvS 4 augustus 2021, ECLI:NL:RVS:2021:1744; ABRvS 8 juni 2022, ECLI:NL:RVS:2022:1608; ABRvS 24 augustus 2022, ECLI:NL:RVS:2022:2403 en in de lagere rechtspraak: Rb. Den Haag 22 maart 2021, ECLI:NL:RBDHA:2021:2725; Rb. Zeeland-West-Brabant 8 februari 2022, ECLI:NL:RBZWB:2022:628. Daarbij wordt het inloggen via DigiD of zich legitimeren op het gemeentehuis als een proportionele methode beoordeeld. In een zaak waar een verzoeker alleen zijn voorletters, achternaam en postbus heeft verstrekt, oordeelde de rechtbank Overijssel dat eiser niet identificeerbaar is en daarom niet als een betrokkene in de zin van de AVG kan worden beschouwd.Rb. Overijssel 26 maart 2021, ECLI:NL:RBOVE:2021:1296.

DPG Media kreeg begin 2022 een boete op van € 525 000 van de AP omdat betrokkenen bij de uitoefening van hun privacyrechten per post, e-mail of een webformulier, standaard een kopie van hun identiteitsbewijs moesten aanleveren.Autoriteit Persoonsgegevens, Besluit tot het opleggen van een boete van 14 januari 2022 (DPG Media). Zonder deze kopie werd het verzoek niet in behandeling genomen. Binnen de digitale inlogomgeving van de DPG-account konden betrokkenen zonder een kopie van hun identiteitsbewijs te verstrekken hun privacyrechten uitoefenen. De AP vindt dat betrokkenen niet gedwongen mogen worden om een account aan te maken. DPG Media faciliteerde de uitoefening van de privacyrechten niet goed en heeft daarom in strijd met artikel 12 lid 2 AVG gehandeld.

Procesrechtelijke kwesties

In de afgelopen periode zijn ook diverse procesrechtelijke vragen beantwoord in diverse AVG-procedures. Zo werd een verwijderingsverzoek bij de burgerlijke rechter gericht tegen een bestuursorgaan verwezen naar de bestuursrechter, dan wel werd verzoeker niet-ontvankelijk verklaard.Rb. Amsterdam 22 oktober 2020, ECLI:NL:RBAMS:2020:5174 (gepubliceerd in 2022) en Rb. Overijssel 21 april 2022, ECLI:NL:RBOVE:2022:1336. Andersom verklaarde de afdeling bestuursrecht van de rechtbank Amsterdam zich onbevoegd om kennis te nemen van een verzoek dat niet tegen een zelfstandig bestuursorgaan was gericht.Rb. Amsterdam 9 maart 2022, ECLI:NL:RBAMS:2022:1110. De rechtbank Den Haag heeft op 22 april 2021 in vijf zaken geoordeeld dat de gemeente Gouda een beslissing op bezwaar had moeten nemen nadat zij het inzageverzoek op grond van artikel 15 AVG buiten behandeling had gesteld. Dat in artikel 12 lid 4 AVG alleen de mogelijkheid staat om ‘beroep bij de rechter in te stellen’ betekent volgens de rechtbank niet dat de bezwaarprocedure door het bestuursorgaan overgeslagen moet worden.Rb. Den Haag 22 april 2021, ECLI:NL:RBDHA:2021:4427, ECLI:NL:RBDHA:2021:4428, ECLI:NL:RBDHA:2021:4429, ECLI:NL:RBDHA:2021:4430 en ECLI:NL:RBDHA:2021:4431.

Als een betrokkene het niet eens is met de reactie op zijn privacyverzoek, dan kan hij de rechter op grond van artikel 35 UAVG verzoeken om de verwerkingsverantwoordelijke alsnog te bevelen aan zijn verzoek te voldoen. Dient de betrokkene daarnaast andere verzoeken in, dan kan dat leiden tot verwijzing naar de dagvaardingsprocedure of tot niet-ontvankelijkheid. Dat gebeurde bijvoorbeeld bij de vordering van schadevergoeding naast een verwijderingsverzoek.Rb. Den Haag 13 augustus 2021, ECLI:NL:RBDHA:2021:9925; Rb. Gelderland 17 januari 2022, ECLI:NL:RBGEL:2022:1351. De rechtbank Midden-Nederland oordeelde daarentegen dat artikel 82 AVG een directe grondslag biedt voor schadevergoeding in een verzoekschriftprocedure over inzage.Rb. Midden-Nederland 24 augustus 2022, ECLI:NL:RBMNE:2022:3438. In de evaluatie van de UAVG pleiten de onderzoekers voor een verbreding van de reikwijdte van artikel 35 UAVG, zodat via een verzoekschriftprocedure bijvoorbeeld ook kan worden gevraagd om schadevergoeding of een verwerkingsverbod.H. Winter e.a., Bescherming gegeven? Evaluatie UAVG, meldplicht datalekken en de boetebevoegdheid, Groningen: Pro Facto en Hooghiemstra & Partners 2022, p. 45-48. Deze evaluatie van de UAVG is gebaseerd op artikel 50 UAVG en de uitkomsten daarvan zullen gebruikt worden in het debat over de vraag of de UAVG wijziging behoeft. Daarnaast bevat dit rapport een onderzoek naar de naleving van de meldplicht datalekken en de effectiviteit van de handhaving van de UAVG, waaronder de boetebevoegdheid van de AP. Vanwege de omvang van deze kroniek zullen wij ons beperken tot het verwijzen naar enkele onderdelen van deze evaluatie.

Volgens het oordeel van het hof ’s-Hertogenbosch hoeft in de verzoekschriftprocedure van artikel 35 UAVG niet alleen de verzoeker maar ook de verwerkingsverantwoordelijke niet te zijn vertegenwoordigd door een advocaat. De Hoge Raad oordeelde dat de mogelijkheid voor een rechter om een betrokkene in de proceskosten te veroordelenBij verzoekschriftprocedures op grond van art. 289 Rv. niet in de weg staat aan een doeltreffende voorziening in rechte zoals bepaald in artikel 79 AVG.HR 25 februari 2022, ECLI:NL:HR:2022:329.

Artikel 35 lid 2 UAVG bepaalt dat het verzoekschrift binnen zes weken nadat de verwerkingsverantwoordelijke (tijdig) op het verzoek heeft geantwoord moet zijn ingediend. Door deze termijn wordt voorkomen dat een verwerkingsverantwoordelijke lange tijd nadat hij een verzoek heeft afgewezen, alsnog in rechte wordt betrokken.Hof Den Haag 5 oktober 2021, ECLI:NL:GHDHA:2021:1924, r.o. 5.4. In een aantal kort gedingen is geoordeeld dat eiser niet ontvankelijk was in zijn vordering tot inzage in of verwijdering van zijn persoonsgegevens door gebrek aan spoedeisend belang, waarbij het overschrijden van de termijn uit artikel 35 lid 2 UAVG een belangrijke rol speelde.Hof Amsterdam 2 februari 2021, ECLI:NL:GHAMS:2021:312; Hof Amsterdam 25 mei 2021, ECLI:NL:GHAMS:2021:1465; Rb. Midden-Nederland 30 september 2021, ECLI:NL:RBMNE:2021:5147; Rb. Rotterdam 23 februari 2022, ECLI:NL:RBROT:2022:1437; Rb. Amsterdam 30 juni 2022 ECLI:NL:RBAMS:2022:4661. Het hof Amsterdam verklaarde een verzoeker ondanks een ruime termijnoverschrijding toch ontvankelijk, omdat de verwerkingsverantwoordelijke betrokkene had gemeld dat hij bij het Kifid terecht kon, waardoor betrokkene op het verkeerde been was gezet.Hof Amsterdam 26 juli 2022, ECLI:NL:GHAMS:2022:2192.

Recht op informatie

Uitspraken over het recht op informatie, dan wel de informatieplicht uit artikel 12-14 AVG, zijn schaars. In deze kroniekperiode zijn wij er een paar tegengekomen. We beginnen met een uitstapje naar het Hof van Discipline.Hof van Discipline, 17 januari 2022, ECLI:NL:TAHVD:2022:1. Betrokkene klaagt onder meer dat haar gegevens zijn gedeeld met een externe advocaat zonder dat zij dat wist. Het hof overweegt dat het advocatenkantoor niet aan de informatieverplichtingen uit de AVG voldoet, omdat een privacyverklaring of een andere wijze van informatieverstrekking over het delen van persoonsgegevens met derden ontbreekt. De rechtbank Oost-Brabant heeft in haar vonnissen over de verstrekking van telefoondata (geanonimiseerde locatiegegevens) door T-Mobile aan het CBS geoordeeld dat T-Mobile op transparante wijze inzichtelijk moet maken welke persoonsgegevens zij daarvoor heeft verwerkt en waar deze gegevens vandaan kwamen.Rb. Oost-Brabant 2 maart 2022, ECLI:NL:RBOBR:2022:787 (tussenvonnis) en 1 augustus 2022, ECLI:NL:RBOBR:2022:3257. Daarbij gaat de rechtbank ook alle overige informatievereisten uit de AVG na, waaronder het verstrekken van informatie over het bestaan van geautomatiseerde besluitvorming. De rechtbank Gelderland veroordeelde Zakelijk Energiebeheer op grond van artikel 14 AVG om lijsten te verstrekken met alle ontvangers van persoonsgegevens van betrokkene.Rb. Gelderland (Arnhem) 17 januari 2022, ECLI:NL:RBGEL:2022:1351. Ook de toezichthouders handhaven de niet-naleving van informatieverplichtingen. Zo legde de AP in zijn boetebesluit tegen Buitenlandse Zaken een boete van € 100 000 op voor de constatering dat de visumaanvragers onvoldoende zijn geïnformeerd over de ontvangers van hun persoonsgegevens, zoals derde private partijen.Autoriteit Persoonsgegevens, Besluit tot het opleggen van een bestuurlijke boete en een last onder dwangsom van 24 februari 2022 (Buitenlandse Zaken). De Ierse toezichthouder legde aan WhatsApp, na tussenkomst van de EDPB,EDPB, Bindend besluit 1/2021 over het geschil dat is ontstaan over het ontwerpbesluit van de Ierse toezichthoudende autoriteit betreffende WhatsApp Ireland op grond van artikel 65, lid 1, onder a), van de AVG, 28 juli 2021, gepubliceerd op 2 september 2021. een boete van € 225 miljoen op onder meer omdat de privacyverklaring van WhatsApp niet aan de informatieverplichtingen voldeed.Data Protection Commission, Decision of the Data Protection Commission made pursuant to Section 111 of the Data Protection Act, 2018 and Articles 60 and 65 of the General Data Protection Regulation in the matter of WhatsApp Ireland Limited, 20 augustus 2021.Het HvJ EU verklaarde WhatsApp niet-ontvankelijk in een procedure waarin WhatsApp ex art. 263 VWEU verzocht om nietigverklaring van het EDPB Bindend besluit 1/2021, zie: HvJ EU 7 december 2022, T-709/21 (WhatsApp Ireland Ltd/EDPB).

Inzagerecht

In januari 2022 heeft de EDPB de eerste versie van richtsnoeren over het inzagerecht gepubliceerd voor publieke consultatie.Guidelines 01/2022 on data subject rights – Right of access (European Data Protection Board of EDPB) van 18 januari 2022. De consultatie is op 11 maart 2022 gesloten. Daarin wordt ingegaan op diverse vragen die samenhangen met een inzageverzoek. Bijvoorbeeld of een verwerkingsverantwoordelijke een kopie van een identificatiebewijs mag vragen om de identiteit van betrokkene te controleren of wanneer inzage mag worden geweigerd. In sommige uitspraken verwijst de rechter ook naar deze richtsnoeren. Ook in deze kroniekperiode zijn weer veel uitspraken gepubliceerd over het inzagerecht. De ingezette lijnen worden grotendeels voortgezet, bijvoorbeeld als het gaat om de reikwijdte van het inzagerecht.

Reikwijdte inzagerecht

Een betrokkene heeft geen recht op een kopie van een document als hij met een volledig overzicht van zijn persoonsgegevens voldoende de mogelijkheid heeft om zijn persoonsgegevens te controleren op juistheid en rechtmatige verwerking. Er bestaat geen absoluut recht op inzage in onderliggende stukken. Zolang wordt voldaan aan genoemd doel van artikel 15 AVG mag de verwerkingsverantwoordelijke kiezen in welke vorm een kopie van de persoonsgegevens wordt verstrekt.Uitspraken in deze lijn zijn onder meer: ABRvS 3 maart 2021, ECLI:NL:RVS:2021:452; Rb. Midden-Nederland 10 maart 2021, ECLI:NL:RBMNE:2021:1355; ABRvS 16 juni 2021, ECLI:NL:RVS:2021:1278; Rb. Zeeland-West-Brabant 1 december 2021, ECLI:NL:RBZWB:2021:6088; Rb. Midden-Nederland 24 augustus 2022, ECLI:NL:RBMNE:2022:3438. In een uitspraak van 2 maart 2022 verwijst de Afdeling in dit kader ook expliciet naar de hiervoor genoemde richtsnoeren van de EDPB.ABRvS 2 maart 2022, ECLI:NL:RVS:2022:649. Het overzicht met persoonsgegevens dat na een inzageverzoek wordt verstrekt moet wel compleet zijn. Een verwerkingsverantwoordelijke kan niet volstaan met alleen directe persoonsgegevens daarin te vermelden, zoals naam en adres. Zij moet inzage geven in alle persoonsgegevens, waaronder gegevens die waarderende eigenschappen of gedragingen van de betrokkene kunnen bevatten of indirect herleidbaar kunnen zijn naar betrokkene.Zie bijvoorbeeld: Rb. Midden-Nederland 15 maart 2021, ECLI:NL:RBMNE:2021:3243; Rb. Midden-Nederland 24 maart 2021, ECLI:NL:RBMNE:2021:1354; Rb. Midden-Nederland 26 april 2021, ECLI:NL:RBMNE:2021:1703; ABRvS 13 juli 2022, ECLI:NL:RVS:2022:1993; ABRvS 13 juli 2022, ECLI:NL:RVS:2022:1974. Als die zich niet lenen om in een overzicht te worden opgenomen, dan zullen van de documenten waarin die gegevens staan wel kopieën moeten worden verstrekt. Die kopieën kunnen indien nodig deels zwart gelakt worden om gegevens van derden af te schermen. De rechtbank Midden-Nederland heeft bijvoorbeeld over e-mailwisselingen met derden, waarin persoonsgegevens van de betrokkene voorkomen, geoordeeld dat het bestuursorgaan kopieën daarvan diende te verstrekken.Rb. Midden-Nederland 24 maart 2021, ECLI:NL:RBMNE:2021:1354.

De Afdeling heeft in onze kroniekperiode ook haar vaste rechtspraakZie onder meer ABRvS 31 januari 2018, ECLI:NL:RVS:2018:312 en ABRvS 26 februari 2020, ECLI:NL:RVS:2020:591, ECLI:NL:RVS:2020:268. herhaald, dat wanneer een bestuursorgaan stelt dat na onderzoek is gebleken dat een bepaald document waarvan verstrekking wordt gevraagd niet of niet meer onder hem berust en die mededeling niet ongeloofwaardig voorkomt, het in beginsel aan verzoeker is om aannemelijk te maken dat het bestuursorgaan een bepaald document toch heeft.Uitspraken waarin hierover is geoordeeld zijn onder meer: ABRvS 3 maart 2021, ECLI:NL:RVS:2021:452; Rb. Midden-Nederland 24 maart 2021, ECLI:NL:RBMNE:2021:1354; Rb. Den Haag 30 maart 2021, ECLI:NL:RBDHA:2021:3038; Rb. Limburg 17 juni 2021, ECLI:NL:RBLIM:2021:5246; ABRvS 15 december 2021, ECLI:NL:RVS:2021:2836; Rb. Den Haag 24 november 2021, ECLI:NL:RBDHA:2021:15451; Rb. Den Haag 20 april 2022, ECLI:NL:RBDHA:2022:3599; ABRvS 13 juli 2022, ECLI:NL:RVS:2022:1993; Rb. Rotterdam 12 september 2022, ECLI:NL:RBROT:2022:7784. Het bestuursorgaan moet wel inzichtelijk maken op welke wijze het heeft gezocht naar persoonsgegevens en dat al het redelijkerwijs mogelijke is gedaan om de persoonsgegevens te achterhalen. In het kader van een inzageverzoek bij de Belastingdienst heeft de Afdeling geoordeeld dat de minister niet aannemelijk heeft gemaakt dat hieraan is voldaan, omdat geen inzage is gegeven in persoonsgegevens van betrokkene uit brieven, e-mails en andere correspondentie, terwijl daar wel om was verzocht.ABRvS 23 juni 2021, ECLI:NL:RVS:2021:1331 en zie ook: Rb. Midden-Nederland 15 maart 2021, ECLI:NL:RBMNE:2021:3243; Rb. Amsterdam 15 november 2021, ECLI:NL:RBAMS:2021:6826. Daarnaast heeft het Hof van Justitie EU recent bevestigd dat een betrokkene bij een inzageverzoek ook het recht heeft om te weten aan welke concrete ontvangers zijn persoonsgegevens zijn verstrekt. Dit kan worden beperkt tot informatie over de categorieën van ontvangers als het onmogelijk is om de concrete ontvangers te identificeren of als de verwerkingsverantwoordelijke aantoont dat de verzoeken om inzage van de betrokkene kennelijk ongegrond of buitensporig zijn.HvJ EU 12 januari 2023, ECLI:EU:C:2023:3.

Om een beroep te kunnen doen op het inzagerecht, moet uiteraard sprake zijn van een verwerking van persoonsgegevens. Zo wordt momenteel op basis van het Waterlandziekenhuis-arrestHR 16 maart 2018, ECLI:NL:HR:2018:365. aangenomen dat een medisch advies of analyse, waarbij een partijdeskundige, namelijk een medisch adviseur, in opdracht van een verzekeraar een oordeel geeft over het medische dossier van een patiënt zonder de patiënt te zien, geen persoonsgegeven is. Recent heeft A-G Hartlief cassatie in belang der wet ingesteld tegen een beslissing van het Centraal Tuchtcollege voor de Gezondheidszorg.PHR 26 augustus 2022, ECLI:NL:PHR:2022:762. Het arrest van de Hoge Raad wordt op 23 februari 2023 verwacht. Hartlief meent dat deze analyse wel een persoonsgegeven is en refereert daarbij aan het Nowak-arrest van het Hof van Justitie EU.HvJ EU 20 december 2017, ECLI:EU:C:2017:994. Een daadwerkelijk beroep op het inzagerecht zal volgens Hartlief vermoedelijk niet succesvol zijn gelet op de uitzonderingen op het inzagerecht, waarover hierna meer.

Uitzonderingen op het inzagerecht

In de vele uitspraken over het inzagerecht lag regelmatig de vraag voor of de verwerkingsverantwoordelijke terecht geen inzage had gegeven in bepaalde persoonsgegevens. In artikel 15 lid 4 AVG is bepaald dat het inzagerecht geen afbreuk doet aan de rechten en vrijheden van anderen. Daarnaast bieden artikel 23 AVG en 41 UAVG de verwerkingsverantwoordelijke de mogelijkheid om inzage in bepaalde persoonsgegevens te weigeren. Inmiddels zijn ook de definitieve richtsnoeren over de uitzonderingen op de rechten van betrokkenen uit artikel 23 AVG die de EDPB in oktober 2021 heeft aangenomen gepubliceerd, met daarin een toelichting per uitzondering.EDPB, Guidelines 10/2020 on restrictions under Article 23, version 2.0, adopted on 13 October 2021.

In onze vorige kroniekperiode werd door de meeste gerechten al geoordeeld dat een verwerkingsverantwoordelijke concreet zal moeten onderbouwen waarom het inzagerecht in een individueel geval wordt beperkt. Indien aannemelijk is dat de beperking nodig is om derden te beschermen, dan mag inzage worden geweigerd of mogen bepaalde gegevens worden weggelakt. Deze lijn is in deze periode voortgezet.Zie bijvoorbeeld: Rb. Amsterdam 15 november 2021, ECLI:NL:RBAMS:2021:6826; Rb. Den Haag 24 november 2021, ECLI:NL:RBDHA:2021:15451; Rb. Den Haag 8 december 2021, ECLI:NL:RBDHA:2021:13435; Hof van Discipline, 17 januari 2022, ECLI:NL:TAHVD:2022:1; Rb. Rotterdam 13 april 2022, ECLI:NL:RBROT:2022:7239.

Over interne notities wordt verschillend geoordeeld. Zowel de rechtbank Amsterdam als de rechtbank Midden-Nederland oordeelden dat het inzagerecht zich niet uitstrekt tot interne notities die de persoonlijke gedachten van medewerkers van de verwerkingsverantwoordelijke bevatten en die uitsluitend bedoeld zijn voor intern overleg en beraad.Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1019 en ECLI:NL:RBAMS:2021:1020; Rb. Midden-Nederland 24 maart 2021, ECLI:NL:RBMNE:2021:1354; Rb. Midden-Nederland 24 augustus 2022, ECLI:NL:RBMNE:2022:3438. Met betrekking tot interne notities van de klantenservicemedewerkers van Uber overweegt de rechtbank Amsterdam daarbij dat deze geen informatie bevatten die door de betrokkene zelf kan worden gecontroleerd op juistheid ervan.Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1020. De rechtbank Den Haag oordeelde daarentegen dat de AVG interne notities niet heeft uitgezonderd van het inzagerecht. Volgens die rechtbank moet ook inzage worden gegeven in de persoonsgegevens die in interne notities staan, waaronder gegevens die een mening of een beoordeling over de betrokkene bevatten.Rb. Den Haag 29 september 2022, ECLI:NL:RBDHA:2022:11521. De rechtbank Midden-Nederland oordeelde dat de verwerkingsverantwoordelijke niet kan volstaan met de algemene stelling dat bepaalde documenten niet onder het inzagerecht vallen, omdat het om interne correspondentie gaat. Dat moet de verwerkingsverantwoordelijke van de rechtbank per document toelichten, zodat de betrokkene daarop kan reageren.Rb. Midden-Nederland 15 maart 2021, ECLI:NL:RBMNE:2021:3243. Daaruit volgt dat de rechtbank van oordeel is dat interne correspondentie onder het inzagerecht kan vallen. De Afdeling kwam tot een gelijkluidend oordeel.ABRvS 13 juli 2022, ECLI:NL:RVS:2022:1974. In een verzoek waarbij ook inzage was verzocht in correspondentie tussen de verwerkingsverantwoordelijke en haar advocaat oordeelt de rechtbank Limburg dat het bestuursorgaan moet onderbouwen dat en waarom het noodzakelijk en evenredig is om persoonsgegevens van de betrokkene die voorkomen in die correspondentie niet op te nemen in het verwerkingsoverzicht.Rb. Limburg 17 juni 2021, ECLI:NL:RBLIM:2021:5246. Het hof Den Haag heeft bij een soortgelijk verzoek geoordeeld dat onder de uitzonderingen die de AVG en de UAVG op het inzagerecht bieden de geheimhoudingsplicht van advocaten is begrepen. Daarbij overweegt het hof dat de geheimhoudingsplicht van advocaten essentieel is voor de functie die de advocatuur in een rechtsstaat vervult.Hof Den Haag 14 december 2021, ECLI:NL:GHDHA:2021:2793.

Misbruik van recht – buitensporig verzoek

Verwerkingsverantwoordelijken voeren regelmatig aan dat een inzageverzoek geweigerd mag worden, omdat het verzoek buitensporig is in de zin van artikel 12 lid 5 AVG, dan wel omdat betrokkene misbruik maakt van recht. Het is aan de verwerkingsverantwoordelijke om dit aan te tonen en vaak lukt dat niet.Rb. Gelderland 1 april 2021, ECLI:NL:RBGEL:2021:1623; ABRvS 23 juni 2021, ECLI:NL:RVS:2021:1331; ABRvS 9 maart 2022, ECLI:NL:RVS:2022:688. Een aantal keer werd wel geoordeeld dat sprake was van misbruik van recht, omdat het verzoek werd gebruikt voor een ander doel dan waarvoor artikel 15 is bedoeld, zoals bewijsvergaring voor een andere procedure of het willen innen van dwangsommen.Rb. Limburg 2 april 2021, ECLI:NL:RBLIM:2021:2946; Rb. Midden-Nederland, ECLI:NL:RBMNE:2022:2320 en ECLI:NL:RBMNE:2022:2321; Hof Arnhem-Leeuwarden 30 mei 2022, ECLI:NL:GHARL:2022:4294; ABRvS 24 augustus 2022, ECLI:NL:RVS:2022:2403 en ECLI:NL:RVS:2022:2460.

Recht op rectificatie

In de afgelopen kroniekperiode zijn er diverse uitspraken geweest over het correctierecht van artikel 16 AVG. In al die zaken is in algemene zin geoordeeld dat alleen feitelijke persoonsgegevens waarvan de onjuistheid eenvoudig en objectief is vast te stellen op grond van artikel 16 AVG gecorrigeerd moeten worden.Rb. Den Haag 22 april 2021, ECLI:NL:RBDHA:2021:3984; ABRvS 12 mei 2021, ECLI:NL:RVS:2021:1020; ABRvS 26 januari 2022, ECLI:NL:RVS:2022:230; Rb. Den Haag 25 februari 2022, ECLI:NL:RBDHA:2022:2432. Het correctierecht dient er niet voor om meningen of beoordelingen te laten wijzigenABRvS 26 januari 2022, ECLI:NL:RVS:2022:230; Rb. Den Haag 25 februari 2022, ECLI:NL:RBDHA:2022:2432. of een juridische strijd over andere onjuistheden te voeren.Rb. Den Haag 22 april 2021, ECLI:NL:RBDHA:2021:3984.

Recht op verwijdering

Net zoals over het inzagerecht zijn ook veel procedures over het verwijderingsrecht van artikel 17 AVG gevoerd. In een zaak waarin de betrokkene tevergeefs de Raad voor Rechtsbijstand vroeg om verwijdering van drie vonnissen uit haar dossier oordeelde de Afdeling dat het verwerken van deze vonnissen noodzakelijk was voor de vervulling van de taak van algemeen belang.ABRvS 12 mei 2021, ECLI:NL:RVS:2021:1028. Ook in andere uitspraken werd geoordeeld dat er geen verplichting was om de persoonsgegevens te verwijderen, omdat deze rechtmatig werden verwerkt.Rb. Den Haag 22 maart 2021, ECLI:NL:RBDHA:2021:2723; Rb. Zeeland-West-Brabant 22 april 2021, ECLI:NL:RBZWB:2021:2046; Rb. Midden-Nederland 4 mei 2021, ECLI:NL:RBMNE:2021:1865; Rb. Noord-Holland 22 september 2021, ECLI:NL:RBNHO:2021:8514; Hof ’s-Hertogenbosch 13 januari 2022, ECLI:NL:GHSHE:2022:80; ABRvS 23 februari 2022, ECLI:NL:RVS:2022:569; Rb. Amsterdam 13 april 2022, ECLI:NL:RBAMS:2022:1934; Rb. Midden-Nederland 12 mei 2022, ECLI:NL:RBMNE:2022:1821. In twee uitspraken van de Afdeling lag de vraag voor of het verwijderingsverzoek mocht worden geweigerd, omdat de verwerking nodig was in het kader van het voeren van verweer in een juridische procedure. Mede aan de hand van andere taalversies van de AVG kwam de Afdeling tot het oordeel dat de uitzondering van artikel 17 lid 3 onder e AVGDe uitzondering op het recht op verwijdering voor zover de verwerking nodig is voor de instelling, uitoefening of onderbouwing van een rechtsvordering. zo moet worden uitgelegd dat deze bepaling ook van toepassing is op de verwerende partij.ABRvS 20 juli 2022, ECLI:NL:RVS:2022:2065 en ECLI:NL:RVS:2022:2067. Het hof Arnhem-Leeuwarden oordeelde in kort geding dat de strafrechtelijke gegevens van betrokkene niet uit de dagvaarding verwijderd moesten worden, omdat deze verwerking noodzakelijk kon zijn voor de onderbouwing van de rechtsvordering.Hof Arnhem-Leeuwarden 22 februari 2022, ECLI:NL:GHARL:2022:1623. Ook werden een paar verwijderingsverzoeken toegewezen, zoals de verwijdering van de gegevens van een arts van een online zwarte lijst,Hof Arnhem-Leeuwarden 6 april 2021, ECLI:NL:GHARL:2021:3206. persoonsgegevens bij Veilig ThuisRb. Noord-Nederland 27 januari 2022, ECLI:NL:RBNNE:2022:479. en de verwijdering van een foto en de volledige naam van betrokkene in een voor het internetpubliek toegankelijk krantenarchief.Rb. Amsterdam 28 april 2022, ECLI:NL:RBAMS:2022:2342.

BKR

Een groot aantal verwijderingsverzoeken had betrekking op BKR-registraties.Beter gezegd: een registratie van een bijzonderheidscodering in het Centraal Krediet Informatiesysteem van Stichting BKR. Zoals we hiervoor bij de grondslagen hebben besproken, heeft de Hoge Raad geoordeeld dat deze registraties zijn gebaseerd op het gerechtvaardigd belang van de registrerende kredietinstelling. Supra noot 14. Dat betekent dat een betrokkene bezwaar kan maken tegen deze registratie op grond van artikel 21 AVG en daarbij verwijdering kan verzoeken op grond van artikel 17 lid 1 onder c AVG. Voor het verwijderingsrecht moet wel rekening worden gehouden met het moment van verwerking. Alleen als de verwerking nog steeds noodzakelijk is voor de naleving van een wettelijke verplichting op het moment van het verwijderingsverzoek of de beoordeling daarvan, geldt genoemde uitzondering op het recht op verwijdering.Zie ook Hof Arnhem-Leeuwarden 23 februari 2021, ECLI:NL:GHARL:2021:1679 en Rb. Overijssel 31 mei 2021, ECLI:NL:RBOVE:2021:2264.

De beoordeling of de BKR-registratie al dan niet verwijderd moet worden is in alle zaken uiteindelijk een belangenafweging tussen de belangen van de betrokkene en de kredietverstrekker. Daarbij is het belang van de kredietverstrekker bij een BKR-registratie de verplichting om consumenten te behoeden voor overkreditering en het beperken van financiële risico’s voor zichzelf en andere kredietverstrekkers. Uit de gepubliceerde uitspraken ontstaat het beeld dat het aantal toegewezenRb. Amsterdam 30 augustus 2021, ECLI:NL:RBAMS:2021:4753; Rb. Den Haag 18 november 2021, ECLI:NL:RBDHA:2021:13450; Rb. Noord-Nederland 18 januari 2022, ECLI:NL:RBNNE:2022:1231; Rb. Oost-Brabant 2 maart 2022, ECLI:NL:RBOBR:2022:758; Rb. Overijssel 9 maart 2022, ECLI:NL:RBOVE:2022:781; Hof Amsterdam 5 april 2022, ECLI:NL:GHAMS:2022:1017; Hof ’s-Hertogenbosch 2 juni 2022, ECLI:NL:GHSHE:2022:1772; Rb. Amsterdam 16 september 2022, ECLI:NL:RBAMS:2022:5506. en afgewezenHof Arnhem-Leeuwarden 23 februari 2021, ECLI:NL:GHARL:2021:1679; Rb. Amsterdam 4 maart 2021, ECLI:NL:RBAMS:2021:1721; Rb. Amsterdam 3 juni 2021, ECLI:NL:RBAMS:2021:3420; Rb. Amsterdam 9 december 2021, ECLI:NL:RBAMS:2021:8010; Rb. Midden-Nederland 22 december 2021, ECLI:NL:RBMNE:2021:6564; Rb. Limburg 24 februari 2022, ECLI:NL:RBLIM:2022:1444; Rb. Amsterdam 20 april 2022, ECLI:NL:RBAMS:2022:2345; Hof Amsterdam 14 juni 2022, ECLI:NL:GHAMS:2022:1755; Rb. Noord-Holland 19 juli 2022, ECLI:NL:RBNHO:2022:6525; Rb. Amsterdam 18 augustus 2022, ECLI:NL:RBAMS:2022:5286. verzoeken nagenoeg gelijk is. Bij de rechtbank Gelderland lag een verwijderingsverzoek voor dat was ingediend bij BKR zelf. BKR had de ingediende verwijderingsverzoeken afgewezen en had betoogd dat verzoeker zijn verwijderingsverzoeken bij de betreffende kredietaanbieders die de BKR-registraties hadden geregistreerd, moest indienen. De rechtbank Gelderland oordeelde dat dit betoog niet opgaat, omdat BKR (mede) verwerkingsverantwoordelijke is voor deze registraties. Volgens de rechtbank biedt de AVGArt. 12 lid 2 AVG. niet de mogelijkheid voor een verwerkingsverantwoordelijke om een verwijderingsverzoek niet zelf te behandelen en de betrokkene te verwijzen naar een andere verwerkingsverantwoordelijke.Rb. Gelderland 14 januari 2022, ECLI:NL:RBGEL:2022:126. Deze zaak kreeg een vervolg in een kortgedingprocedure. BKR had na verwijdering van de registraties zelf codes geregistreerd op naam van betrokkene, waar betrokkene in kort geding tegenop kwam. De voorzieningenrechter wees de verwijdering van die codes toe, maar wees de vordering tot verwijdering en verwijderd houden van alle bijzonderheidscoderingen bij de registraties af.Rb. Gelderland 11 april 2022, ECLI:NL:RBGEL:2022:1882.

EVR en incidentenregister

Ook registraties in externe verwijzingsregisters of incidentenregisters van banken of verzekeraars hebben tot veel verwijderingsverzoeken geleid. Er is in de rechtspraak consensus dat deze registraties zijn gebaseerd op het gerechtvaardigd belang van de financiële instelling, waardoor deze verwijderingsverzoeken worden beoordeeld aan de hand van artikel 17 en 21 AVG.Meer in het bijzonder art. 17 lid 1 onder c en d en art. 21 lid 1 AVG. Bij die beoordeling speelt een belangrijke rol of in voldoende mate vaststaat dat de betrokkene fraude heeft gepleegd of dat zijn gedrag op een andere wijze een bedreiging kan vormen voor de belangen van de financiële instelling. Indien dit door de instelling op een zorgvuldige wijze is onderzocht en aannemelijk is gemaakt, valt het oordeel in het nadeel van de betrokkene uit.Rb. Den Haag 13 augustus 2021, ECLI:NL:RBDHA:2021:9925; Rb. Amsterdam 15 maart 2022, ECLI:NL:RBAMS:2022:1943; Rb. Amsterdam 17 maart 2022, ECLI:NL:RBAMS:2022:621; Rb. Midden Nederland 29 maart 2022, ECLI:NL:RBMNE:2022:1358; Rb. Midden-Nederland 6 april 2022, ECLI:NL:RBMNE:2022:1292; Rb. Rotterdam 8 april 2022, ECLI:NL:RBROT:2022:3462; Hof Den Haag 10 mei 2022, ECLI:NL:GHDHA:2022:732; Rb. Den Haag 7 juli 2022, ECLI:NL:RBDHA:2022:6845; Rb. Gelderland 1 september 2022, ECLI:NL:RBGEL:2022:5161; Rb. Rotterdam 16 september 2022, ECLI:NL:RBROT:2022:8662. Zo niet, dan moeten de persoonsgegevens worden verwijderd.Hof ’s-Hertogenbosch 24 augustus 2021, ECLI:NL:GHSHE:2021:2613; Rb. Amsterdam 25 maart 2022, ECLI:NL:RBAMS:2022:1466; Hof Arnhem-Leeuwarden 23 augustus 2022, ECLI:NL:GHARL:2022:7292.

Google

Het aantal procedures over verwijderingsverzoeken tegen Google lijkt afgenomen. Het hof Arnhem-Leeuwarden oordeelde aan de hand van de maatstaf van artikel 21 AVG dat Google voldoende had onderbouwd dat sprake was van dwingende gerechtvaardigde gronden voor de verwerking van de zoekresultaten, zoals het recht van het publiek om informatie te vinden en het eigen belang van Google om informatie te verstrekken.Hof Arnhem-Leeuwarden 9 november 2021, ECLI:NL:GHARL:2021:10370. De Hoge Raad heeft geoordeeld dat ook indien de verwerking door Google strafrechtelijke persoonsgegevens zou bevatten, het hof kon oordelen dat het recht op informatievrijheid zwaarder woog.HR 25 februari 2022, ECLI:NL:HR:2022:329. Over de verhouding tussen het recht op bescherming van persoonsgegevens en het recht op vrijheid van meningsuiting en informatieArt. 7-8 van het Handvest van de grondrechten van de Europese Unie (Handvest) en art. 8 EVRM tegenover art. 11 van het Handvest en art. 10 EVRM. oordeelde het HvJ EU (nogmaals) dat het recht op bescherming van persoonsgegevens geen absoluut recht is, maar overeenkomstig het evenredigheidsbeginsel moet worden afgewogen tegen andere grondrechten, zoals het recht op vrijheid van informatie.HvJ EU 8 december 2022, C‑460/20, ECLI:EU:C:2022:962 (TU en RE/Google). Voor eerdere overeenkomstige oordelen zie onder meer HvJ EU 24 september 2019, C-136/17, ECLI:EU:C:2019:773 (GC e.a./CNIL) en HvJ EU 9 november 2010, gevoegde zaken

C-92/09 en C-93/09, ECLI:EU:C:2010:662 (Schecke en Eifert/Land Hessen). De vraag die in deze zaak speelde was of Google links moet verwijderen, omdat volgens betrokkene de gelinkte inhoud onjuist is. Om te vermijden dat de uitoefening van de vrijheid van meningsuiting en van informatie wordt ontmoedigd kan de exploitant van de zoekmachine volgens het hof niet worden verplicht om de juistheid van de gelinkte inhoud te onderzoeken. Het hof oordeelt dat het aan de betrokkene is om aan te tonen dat de gelinkte informatie onjuist is. Het gaat dan om bewijzen die redelijkerwijs van betrokkene kunnen worden verlangd. Als hij voldoende aantoont dat (een belangrijk deel van) de informatie in de gelinkte inhoud onjuist is, moet de exploitant van de zoekmachine het verwijderingsverzoek inwilligen. Het is daarbij niet noodzakelijk dat betrokkene een rechterlijke beslissing over de onjuistheid van die inhoud kan tonen. Maar als een procedure daarover loopt en de exploitant weet daarvan, dan moet die bij de zoekresultaten een waarschuwing daarover opnemen. Over miniatuurweergaven van foto’s (zogenaamde thumbnails) in zoekresultaten (bij het zoeken op afbeeldingen) oordeelt het hof dat deze verwerking van persoonsgegevens een autonome verwerking is van de exploitant van de zoekmachine. De exploitant zal daarom afzonderlijk moeten beoordelen of de betrokken thumbnails noodzakelijk zijn voor de uitoefening van het recht op vrijheid van informatie van internetgebruikers. Ook als de link naar de informatie met foto’s niet verwijderd hoeft te worden kan het dus zijn dat de miniaturen van die foto’s wel verwijderd moeten worden uit de zoekresultaten. De eventuele tekst bij die thumbnails in de zoekresultaten moet bij die afweging worden betrokken.

Recht van bezwaar en recht op beperking van de verwerking

In een zaak bij de rechtbank Midden-Nederland komen diverse rechten van betrokkenen aan de orde.Rb. Midden-Nederland 30 juni 2021, ECLI:NL:RBMNE:2021:4247. Betrokkene verzoekt om verwijdering van persoonsgegevens bij derde ontvangers, verzoekt om beperking van de verwerking van haar persoonsgegevens in de zin van artikel 18 AVG en maakt bezwaar tegen de verwerking van haar persoonsgegevens in de zin van artikel 21 AVG. De rechtbank oordeelt eerst dat het bezwaar niet slaagt, omdat de verwerking een eenmalige verzending van een e-mail was en de verwerking niet meer voortduurt. Daardoor komt betrokkene het recht op beperking dat is gekoppeld aan dat bezwaar ook niet toe. Over het verzoek om de verwerkingsverantwoordelijke te verplichten om derden waarmee ten onrechte haar gegevens zijn gedeeld op te dragen om deze gegevens te verwijderen, oordeelt de rechtbank dat artikel 17 AVG alleen betrekking heeft op gegevens die bij de verwerkingsverantwoordelijke worden verwerkt en tussen partijen niet in geschil was dat de verwerkingsverantwoordelijke bevoegd was om haar gegevens te verwerken. Het is waarschijnlijk om die reden dat de rechtbank niet is toegekomen aan de kennisgevingsplicht uit artikel 19 AVG.

Geautomatiseerde besluitvorming en gegevensoverdracht

Volgens een aantal Uber-chauffeurs maakte Uber gebruik van automatische besluitvorming bij het deactiveren van hun accounts. De rechtbank Amsterdam oordeelde dat dit niet het geval was, omdat het besluit tot deactiveren van de accounts door werknemers van het Uber risk-team werd genomen na onderzoek van (geautomatiseerde) fraudesignalen door een (andere) werknemer.Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1018. Daardoor was sprake van een betekenisvolle menselijke tussenkomst en hoefde Uber van de rechtbank ook niet te informeren over het bestaan van geautomatiseerde besluitvorming.Art. 13 lid 2 aanhef en onder f, art. 14 lid 2 aanhef en onder g AVG en art. 15 lid 1 aanhef en onder h AVG. In een zaak tegen OLA, een exploitant van een soortgelijk platform voor (taxi)chauffeurs, oordeelde de rechtbank dat onder meer voor het maken van risicoprofielen, het toedelen van ritten en het toewijzen van bonussen weliswaar sprake was van profilering, maar niet gebleken was van een geautomatiseerde besluitvorming met rechtsgevolg of aanmerkelijk effect. Dat lag volgens de rechtbank anders bij het opleggen van kortingen en boetes, omdat die geautomatiseerde beslissingen het gedrag of de keuzes van de betrokkene wel in aanmerkelijke mate treffen.Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1019. In een tweede procedure verzochten Uber-chauffeurs onder meer overdracht van hun persoonsgegevens in een CVS-bestand.Op grond van art. 20 AVG. Volgens dezelfde rechtbank bestaat er geen recht op een specifiek bestandstype zolang het een machineleesbaar formaat is. Aan de hand van de Richtlijnen inzake het recht op gegevensoverdraagbaarheidRichtlijnen inzake het recht op gegevensoverdraagbaarheid van de Groep Gegevensbescherming artikel 29, 5 april 2017, WP 242 rev. 01. trok de rechtbank in twijfel of pdf als een zodanig formaat kan worden beschouwd. Desondanks hoefde Uber van de rechtbank de eerder door haar verstrekte gegevens in pdf niet alsnog in een ander formaat te verstrekken, omdat deze gegevens niet onder de reikwijdte van het recht op overdracht vielen, dat is bedoeld om een ‘lock-in’ bij de oorspronkelijke verwerkingsverantwoordelijke te voorkomen.Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1020.

In de evaluatie van de UAVG brengen de onderzoekers ten aanzien van artikel 22 AVG naar voren dat op grond van artikel 150 Rv als uitgangspunt geldt dat de bewijslast dat sprake is van geautomatiseerde besluitvorming in de zin van artikel 22 AVG op de betrokkene rust. Supra noot 30, p. 46-48. Alleen de verwerkingsverantwoordelijke weet echter of zich een besluit voordoet dat uitsluitend is gebaseerd op geautomatiseerde besluitvorming en of dat een aanmerkelijk effect heeft op de betrokkene. Vaak houdt de verwerkingsverantwoordelijke zich niet aan zijn informatieverplichtingen uit artikel 12-14 AVG over deze wijze van besluitvorming, waardoor de betrokkene in een lastige (bewijs)positie verkeert. De onderzoekers vinden een aanpassing van de UAVG, waarbij gekozen wordt voor een omkering van de bewijslast, echter nog prematuur.

5.Klachtrecht

In tegenstelling tot voorgaande jaren, werd door de AP in 2022 geen klachtrapportage over 2021 gepubliceerd. In het jaarverslag van de AP over 2021 vinden we terug dat de AP in 2021 18 914 klachten heeft ontvangen.Autoriteit Persoonsgegevens, Jaarverslag 2021, 19 april 2022, p. 36. In 2020 waren dit er nog 25 590. De AP heeft de telefonische bereikbaarheid met 45% teruggeschroefd. De AP geeft zelf aan dat zij wegens capaciteitsgebrek onvoldoende in staat is om partijen aan te spreken op privacyschendingen of om onderzoeken te starten. Idem, p. 20. De achterstand is onverminderd groot: ruim 10 000 klachten zijn nog niet in behandeling genomen. Saillant detail in het jaarverslag is dat burgers in de loop van 2021 ook niet meer konden klagen over de AP (op grond van de Algemene wet bestuursrecht): door vacatures bij de AP waren er geen medewerkers meer om deze klachten te behandelen. Idem, p. 49.

De AP ontvangt naast nationale klachten ook klachten die zij doorstuurt naar de bevoegde toezichthouder in een andere lidstaat. De AP blijft dan wel betrokken bij de afhandeling van de klacht. Zo werd bij twee klachten samengewerkt met de Spaanse toezichthouder, de Agencia Española de Protección de Datos (AEPD). De AP ontving een klacht van een vrouw die een inzageverzoek wilde indienen bij recruitmentbureau Michael Page. Om inzage te kunnen krijgen, diende zij niet alleen een volledige kopie van haar identiteitsbewijs en een kopie van haar verzekeringspas op te sturen, maar ook een kopie van een recente energie- of waterrekening, zodat haar adres gecontroleerd kon worden. De Spaanse entiteit van Michael Page was de verwerkingsverantwoordelijke voor deze gegevensverwerking en dus stuurde de AP deze klacht naar de AEPD. Omdat veel meer gegevens werden gevraagd dan nodig, legde de AEPD na afstemming met de AP een boete van € 240 000 op.Autoriteit Persoonsgegevens, Spaanse boete voor recruiter na Nederlandse klacht, 21 maart 2022. De andere klacht die gezamenlijk werd afgehandeld kwam van een man die een Spaans hotel had bezocht. Op grond van de Spaanse wetgeving werd een kopie van zijn paspoort gemaakt voor registratiedoeleinden. Toen hij vervolgens in de bar iets wilde drinken, zag hij dat de ober op zijn tablet de pasfoto van de man en aanvullende gegevens te zien kreeg. Het hotel deed dit naar eigen zeggen om te voorkomen dat mensen op de rekening van een ander eten en drankjes bestelden. Dit kon echter ook op een minder inbreukmakende wijze, door bijv. het kamernummer te controleren. Dit leidde tot een boete van € 30 000.Autoriteit Persoonsgegevens, Boete Spaans hotel na klacht Nederlander, 11 maart 2022.

Hoewel er tussen de toezichthouders wordt samengewerkt bij de afhandeling van klachten, verschilt de procedurele afhandeling per lidstaat. Zo verschillen de ontvankelijkheidseisen, de rol van de klager in een onderzoek, de deadlines waarbinnen een klacht moet worden ingediend, etc. De EDPB heeft in een brief aan de Europese Commissie veertien punten aangegeven die aangepakt zouden kunnen worden om grensoverschrijdende samenwerking beter te laten functioneren.EDPB, Letter to the EU Commission on procedural aspects, 10 oktober 2022. Deze zien niet alleen op het klachtrecht ex artikel 77 AVG, maar bijvoorbeeld ook op het harmoniseren van de regels inzake de bekendmaking van besluiten en de verdere uitwerking van de wijze waarop informatie tussen de toezichthouders wordt gedeeld.

6.Meldplicht datalekken

Uit de jaarrapportage meldplicht datalekken 2021 van de AP blijkt dat in 2021 4% meer datalekken plaatsvonden dan in 2020.Autoriteit Persoonsgegevens, Jaarrapportage meldplicht datalekken 2021, 25 mei 2022. De AP ontving 24 866 datalekmeldingen. De meeste datalekken worden gemeld door de sector gezondheid en welzijn (37%), gevolgd door het openbaar bestuur (23%) en de financiële sector (11%). Het aantal datalekken waarbij persoonsgegevens bij de verkeerde ontvanger terechtkomen is onveranderd hoog. Het gaat hierbij met name om het versturen van post naar een verouderd adres. Het aantal datalekken als gevolg van cyberaanvallen is met 88% gestegen ten opzichte van 2020 (9% van het totaal aantal datalekmeldingen). Veel cyberaanvallen vinden plaats bij verwerkers. Omdat verwerkers gegevens van veel klanten verwerken, hebben deze aanvallen vaak effect op grote groepen betrokkenen. De AP geeft in haar datalekrapportage over 2021 aan dat zij 28 datalekken heeft gezien bij IT-leveranciers. Deze leveranciers bedienden ongeveer 1800 klanten en het aantal slachtoffers van deze datalekken wordt op minimaal 7 miljoen ingeschat.

Een belangrijk aandachtspunt is dat het betalen van losgeld aan cybercriminelen verwerkingsverantwoordelijken niet van hun verplichting ontslaat om de betrokkenen die door de aanval zijn geraakt te informeren. Cybercriminelen kunnen nog kopieën hebben van de persoonsgegevens en deze bijvoorbeeld doorverkopen op het dark web of deze gebruiken om phishing-aanvallen uit te voeren. De EDPB heeft inmiddels een additionele set richtsnoeren gepubliceerd met concrete voorbeelden om partijen te helpen bij het beoordelen van, en de te nemen vervolgstappen bij, een datalek.EDPB, Richtsnoeren 01/2021 over voorbeelden betreffende de melding van inbreuken in verband met persoonsgegevens, 14 december 2021. Zo worden daarin onder meer verschillende vormen van ransomware-aanvallen en social engineering besproken, maar ook de ‘gewone’ menselijke fout.

Naar aanleiding van de motie Schouw/Segers Kamerstukken II 2014/15, 33662, nr. 20. is de naleving van de meldplicht datalekken recentelijk geëvalueerd. Supra noot 30. De AP stelt dat zij werkt met risicogericht toezicht waarbij de bescherming van de slachtoffers centraal staat.Supra noot 106, p. 6. Uit de evaluatie komt echter naar voren dat de inzet van de AP zich met name richt op gemelde datalekken. Het lijkt hierdoor of niet-melders vrij spel hebben en dit brengt volgens de onderzoekers het risico met zich dat partijen datalekken niet melden om zo niet op de radar van de AP te komen.Supra noot 30, p. 126.

Tot slot wijzen we graag nog op de door de EDPB voorgestelde wijzigingEDPB, Guidelines 9/2022 on personal data breach notification under GDPR, 18 oktober 2022. De consultatie is op 29 november 2022 gesloten. van de algemene richtsnoeren inzake datalekken.Groep Gegevensbescherming Artikel 29 Werkgroep, Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, WP250rev.01, goedgekeurd op 3 oktober 2017, laatstelijk herzien en goedgekeurd op 6 februari 2018. Een aanpassing van een enkele paragraaf die voor de praktijk grote gevolgen kan hebben. Momenteel is het zo dat partijen die niet in de EU gevestigd zijn, maar wel via de band van artikel 3 lid 2 of 3 AVG gebonden zijn aan de AVG, grensoverschrijdende datalekken kunnen melden bij de toezichthouder in het EU-land waar zij een vertegenwoordiger ex artikel 27 AVG hebben aangewezen. De EDPB stelt voor om dit ‘privilege’ dat in 2018 vanuit praktisch oogpunt is doorgevoerd, nu weer in te trekken. Dat zou betekenen dat deze partijen een grensoverschrijdend datalek weer apart bij alle relevante privacytoezichthouders zouden moeten melden.

7.Doorgifte

In onze vorige kroniek gingen wij al uitgebreid in op de uitspraak van het Hof van Justitie EU in de zaak Schrems II, waarin het Hof van Justitie EU een streep heeft gehaald door het doorgeven van persoonsgegevens naar de Verenigde Staten op basis van het EU/US Privacy Shield.HvJ EU 16 juli 2020, C-311/18, ECLI:EU:C:2020:559 (Schrems II). Deze uitspraak heeft nog steeds grote gevolgen voor de praktijk: zo lopen er naar aanleiding van door noyb ingediende klachten diverse onderzoeken naar het gebruik van Google Analytics en Facebook Connect, onder meer bij de AP.Zie voor een overzicht: noyb.eu/en/eu-us-transfers-complaint-overview.

In maart 2022 werd door de EU en de VS een principeakkoord over een opvolger voor het EU/US Privacy Shield bereikt.European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework, 25 maart 2022. Op 7 oktober 2022 tekende president Biden de Executive Order Enhancing Safeguards for United States Signals Intelligence ActivitiesThe White House, Executive Order Enhancing Safeguards for United States Signals Intelligence Activities, 7 oktober 2022. waarbij het principeakkoord, kort gezegd, wordt omgezet in Amerikaanse wetgeving. Conform deze Executive Order zal de VS alleen inlichtingen verzamelen met het oog op bepaalde doelstellingen van nationale veiligheid en hierbij rekening houden met de privacy en de burgerlijke vrijheden van alle personen, ongeacht hun nationaliteit of land van verblijf. Ook wordt voorzien in een betere rechtsbescherming voor betrokkenen. Klachten over Amerikaanse surveillancemaatregelen kunnen in eerste instantie worden ingediend bij de Civil Liberties Protection Officer (CLPO) van het Office of the Director of National Intelligence. Vervolgens is beroep mogelijk bij een onafhankelijke rechtbank, de Data Protection Review Court. De Europese Commissie is van mening dat de Executive Order adequate waarborgen biedt en heeft een concept-adequaatheidsbesluit gepubliceerd.Europese Commissie, Commission Implementing Decision of XXX pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework (draft), 13 december 2022. Nadat de lidstaten en de EDPB hun input hierop hebben kunnen geven zal er al dan niet een definitief adequaatheidsbesluit worden genomen. Een dergelijk adequaatheidsbesluit werd in december 2021 al voor Zuid-Korea genomen.Commission Implementing Decision of 17.12.2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the Republic of Korea under the Personal Information Protection Act.

Ondertussen zijn bedrijven druk doende (geweest) met het vervangen van de door hen afgesloten oude Standard Contractual Clauses door de nieuwe versies van juni 2021.Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021 betreffende standaardcontractbepalingen voor de doorgifte van persoonsgegevens naar derde landen overeenkomstig Verordening (EU) 2016/679 van het Europees Parlement en de Raad. Zij hadden hier tot 27 december 2022 de tijd voor. Omdat er in de praktijk veel vragen waren over het gebruik van de nieuwe Standard Contractual Clauses heeft de Europese Commissie een uitgebreide Q&A gepubliceerd.Europese Commissie, The New Standard Contractual Clauses – Questions and Answers, 25 mei 2022. Ook wordt gewerkt aan een extra modelcontract, omdat uit de nieuwe Standard Contractual Clauses bleek dat deze niet gebruikt mochten worden in de situatie waarin persoonsgegevens worden doorgegeven naar een data importeur waarop de AVG ex artikel 3 AVG al rechtstreeks van toepassing is.EDPB, Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR, 18 november 2021, randnummer 23. Tot slot publiceerde de EDPB concept-aanbevelingen voor het gebruik van Binding Corporate Rules (BCR) door verwerkingsverantwoordelijken.EDPB, Recommendations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rules (art. 47 GDPR), 17 november 2023. De consultatie is op 10 januari 2023 gesloten. Naast een nieuw EU-standaardaanmeldformulier zijn de aanvraagvereisten aangepast op de Schrems-II-uitspraak. In 2023 zal de EDPB met nieuwe aanbevelingen komen voor het gebruik van BCR door verwerkers.

8.Aansprakelijkheid

Rechters volgen bij het toekennen van schadevergoeding wegens schending van de AVG veelal de lijn die door de Afdeling in de 1 april 2020 uitspraken is uitgezet.ABRvS 1 april 2020, ECLI:NL:RVS:2020:898 (Pieter Baan Centrum); ECLI:NL:RVS:2020: 899 (GemeenteDeventer); ECLI:NL:RVS:2020:900 (Gemeente Borsele); ECLI:NL:RVS:2020:901 (Gemeente Harderwijk). Gelet op de beperkte omvang van deze kroniek beperken wij ons ter illustratie tot een spraakmakende uitspraak van de rechtbank Zeeland-West-Brabant.Rb. Zeeland-West-Brabant 21 september 2022, ECLI:NL:RBZWB:2022:5457. Voor een mooi overzichtsartikel verwijzen wij graag naar F. Schets, ‘Een analyse van de Nederlandse rechtspraak: welke factoren spelen een rol bij het (al dan niet) toekennen en vaststellen van de omvang van een schadevergoeding op grond van de AVG?’, VAST 2022/W-005. Die zaak had betrekking op een vrouw die verwikkeld was geweest in een akelige vechtscheiding. De gemoederen waren hoog opgelopen en haar ex-man heeft zelfs een boek over het stukgelopen huwelijk geschreven, met de veelzeggende titel ‘Hexit’. Het boek bevat zeer persoonlijke en vertrouwelijke medische informatie over de vrouw. Zo vertelt de man over de vruchtbaarheidsproblemen die de vrouw had en die volgens hem vermoedelijk het gevolg waren van een chlamydiabesmetting. De vrouw heeft wel een vermoeden waar de ex-man deze informatie vandaan heeft. Zijn nieuwe liefde werkt als medisch secretaresse en IC-planner in het Bravis ziekenhuis, waar de vrouw diverse behandelingen heeft ondergaan. Zij doet een inzageverzoek om inzage te krijgen in de logging-gegevens van haar patiëntendossier. Uit de logging-gegevens blijkt dat haar dossier gedurende vier jaar langdurig en onrechtmatig door de nieuwe partner van haar ex-man is ingezien. De medewerkster wordt ontslagen en de ex-vrouw eist schadevergoeding van het Bravis ziekenhuis. Allereerst stelt de rechter vast dat het Bravis ziekenhuis op grond van artikel 6:170 BW aansprakelijk is voor de schade die veroorzaakt is door het onrechtmatige handelen van de medewerkster. Daarnaast heeft het Bravis ziekenhuis onrechtmatig gehandeld omdat de controle op de logging van de toegang tot de patiëntendossiers niet voldeed aan de eisen van artikel 32 AVG. De vrouw heeft volgens de rechtbank echter niet voldoende onderbouwd dat er sprake is van ‘aantasting in de persoon’ in de zin van artikel 6:106 onder b BW. Nu de aard en de ernst van de normschending in dit concrete geval meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, neemt de rechtbank de aantasting in de persoon toch aan en kent een immateriële schadevergoeding van € 2000 toe.Vgl. met Rb. Den Haag 2 maart 2022, ECLI:NL:RBDHA:2022:8279 waar de rechtbank naast een materiële schadevergoeding een immateriële schadevergoeding van € 10 000 toekende.

Het gebrek aan een Europees schadebegrip is problematisch. Inmiddels zijn diverse prejudiciële vragen aanhangig over de uitleg van het (immateriële) schadebegrip van art 82 AVG.Zie onder meer: C-189/22 (SO/Scalable Capital GmbH) en C-456/22 (VX en AT/Gemeinde Ummendorf). A-G Sánchez-Bordona concludeerde in de ÖsterreichischePost-zaak dat de enkele schending van de AVG onvoldoende is om tot een schadevergoeding te komen.Concl. A-G M. Campos Sánchez-Bordona 6 oktober 2022, C-300/21, ECLI:EU:C:2022:756 (UI/Österreichische Post AG). Er moet ook daadwerkelijk materiële of immateriële schade zijn, loutere ergernis die een betrokkene ondervindt is onvoldoende. Het is volgens hem aan de nationale rechter om te bepalen wanneer een het subjectieve gevoel van onbehagen in een specifieke zaak als immateriële schade kan worden aangemerkt.

9.Massaschadeclaims

Inmiddels komen in Nederland de massaschadeclaims die op grond van de Wet afwikkeling massaschade in collectieve actie kunnen worden gestart, op gang. Een tegenslag was er voor The Privacy Collective (TPC) die een massaschadeclaimprocedure is gestart tegen Oracle en Salesforce wegens het onrechtmatig verzamelen van persoonsgegevens van 10 miljoen Nederlandse internetgebruikers. Kort gezegd oordeelde de rechtbank Amsterdam dat TPC niet-ontvankelijk was, omdat zij niet voldeed aan het representativiteitsvereiste.Rb. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647. De ‘likes’ die TPC via haar website had verzameld in combinatie met de steun van diverse maatschappelijke organisaties was onvoldoende om aan te tonen dat de vorderingen door belanghebbenden worden ondersteund. TPC is inmiddels in beroep gegaan tegen deze uitspraak.

Er zijn ook ontwikkelingen te melden in de procedures die Stichting Take Back Your Privacy,Vanuit het oogpunt van transparantie wordt opgemerkt dat Van der Jagt-Vink voorzitter is van de Stichting Take Back Your Privacy. Stichting Onderzoek Marktinformatie (SOMI) en de Stichting Massaschade en Consument (SMC) zijn gestart tegen TikTok. De rechtbank Amsterdam heeft bevestigd dat de Nederlandse rechter bevoegd is om over de claims te oordelen.Rb. Amsterdam 9 november 2022, ECLI:NL:RBAMS:2022:6488. Diverse verzoeken van TikTok om procedures aan te houden, zijn afgewezen. Dit betekent dat de volgende fase gestart is, waarin de rechtbank zal bepalen welke stichting deze procedure mag voortzetten (de zogenaamde ‘exclusieve belangenbehartiger’). In het tweede kwartaal van 2023 wordt op dat punt een uitspraak verwacht.

Daarnaast werden diverse nieuwe massaschadeclaims geïnitieerd. Zo startte de stichting ICAM een massaschadeclaimprocedure tegen het Ministerie van VWS wegens het datalek in de corona-systemen van de GGD.Zie voor de laatste stand van zaken: datalek-ggd.nl/. De Stichting Data Bescherming Nederland (SDBN) is voornemens om Twitter voor de rechter te slepen.Persbericht SDBN, Massaclaim tegen Twitter: SDBN bevecht illegale datahandel door ‘gratis’ apps, 8 november 2022. Via het advertentieplatform MoPub, waarvan Twitter vanaf 2013 tot vorig jaar eigenaar was, zouden de afgelopen jaren illegaal persoonsgegevens van miljoenen Nederlanders zijn verhandeld. De gegevens waren afkomstig uit populaire gratis apps zoals Wordfeud en Buienradar. Indien gesprekken met Twitter tot niets leiden, zal SDBN overgaan tot het uitbrengen van een dagvaarding.

Tot slot is nog vermeldenswaardig dat een inhoudelijk oordeel in de zaak die de Data Privacy Stichting tegen Facebook heeft aangespannen wegens het onrechtmatig verzamelen en delen van persoonsgegevens van Nederlandse Facebookgebruikers op 1 februari 2023 wordt verwacht.Deze zaak wordt nog gevoerd onder het regime van de Wet collectieve afwikkeling massaschade (WCAM). Een collectieve vordering tot schadevergoeding is onder de WCAM niet mogelijk. Zie voor de laatste stand van zaken: consumentenbond.nl/acties/facebook.

10.Tot slot

Uit deze kroniek blijkt wederom dat het privacy- en gegevensbeschermingsrecht volop in ontwikkeling is. Onveranderd is dat de AP met weinig middelen haar taken moet uitvoeren. Massaschadeclaims komen op stoom, maar ook daarvoor geldt dat de inhoudelijke behandeling van de voorgelegde zaken lang op zich laat wachten. Ook het wetgevingsproces verloopt traag. Positief is dat de Verzamelwet gegevensbescherming in december 2022 aanhangig is gemaakt in de Tweede Kamer.Kamerstukken II 2022/23, 36264, nr. 2, Wijziging van de Uitvoeringswet Algemene verordening gegevensbescherming en enkele andere wetten in verband met het stroomlijnen en actualiseren van het gegevensbeschermingsrecht (Verzamelwet gegevensbescherming). In Europa heeft men de vaart er (inmiddels) wel in: er ligt een voorstel voor een AlgoritmeverordeningEuropese Commissie, Voorstel voor een Verordening van het Europees Parlement en de Raad tot vaststelling van geharmoniseerde regels betreffende artificiële intelligentie (Wet op de Artificiële Intelligentie) en tot wijziging van bepaalde wetgevingshandelingen van de Unie, 21 april 2021, COM(2021)206 def. en de E-Privacyverordening lijkt er in 2023 echt te gaan komen. Ook de Data Governance Act,Verordening (EU) 2022/868 van het Europees Parlement en de Raad van 30 mei 2022 betreffende Europese datagovernance en tot wijziging van Verordening (EU) 2018/1724 (Datagovernanceverordening), PbEU 2022, L 152/1. die de processen en structuren voor het delen van gegevens door bedrijven beoogt te vergemakkelijken, en de voorgestelde Data Act,Europese Commissie, Voorstel voor een Verordening van het Europees Parlement en de Raad betreffende geharmoniseerde regels inzake eerlijke toegang tot en eerlijk gebruik van data (Dataverordening), 23 februari 2022, COM(2022)68 def. die draait om eerlijke toegang tot en gebruik van (persoons)gegevens, zullen hun stempel gaan drukken. Eén ding is duidelijk: 2023 wordt beslist weer een enerverend privacyjaar!