juridisch kronieken

Kroniek
Privacyrecht 2022

door Vita Zwaan, Jacob van de Velde, Sarah Stapel, Silvia van Schaik & Minke Gommer beeld Floris Tilanus

Stonden de Kronieken privacyrecht over 2020 en 2021 nog in het teken van corona, in de Kroniek 2022 komt dit onderwerp gelukkig niet meer voor. Veel aandacht dit jaar voor arresten van het Hof van Justitie van de Europese Unie (HvJ EU) en conclusies van de Advocaat-Generaals (A-Gs) waarin de bescherming van de rechten van betrokkenen steeds centraal staat, onder meer met betrekking tot de reikwijdte van het begrip bijzondere persoonsgegevens en de mogelijkheid voor belangenorganisaties om een collectieve actie in te stellen vanwege inbreuken op de Algemene verordening gegevensbescherming (AVG). Daarnaast was er interessante rechtspraak over schadevergoedingen voor inbreuken op de AVG, het gerechtvaardigd belang, de rechten van betrokken, internationale doorgifte en handhaving.

Bijzondere persoonsgegevens

Artikel 9 van de AVG verbiedt het verwerken van bijzondere persoonsgegevens, tenzij één van de in het artikel genoemde uitzonderingen van toepassing is. Bijzondere persoonsgegevens zijn bijvoorbeeld gegevens waaruit ras, politieke opvattingen of religieuze overtuiging blijken, en gegevens over gezondheid of met betrekking tot iemands seksuele gedrag of gerichtheid. Op 1 augustus 2022 doet het HvJ EU een belangrijke uitspraak over de reikwijdte van het begrip bijzondere persoonsgegevens (ECLI:EU:C:2022:601). De zaak betreft de publicatie van onder meer de naam van de directeur van een organisatie en de gegevens van zijn levenspartner. Uit deze persoonsgegevens kan de seksuele oriëntatie van de directeur worden afgeleid.1 De vraag die voorligt, is of dit onder het begrip bijzondere persoonsgegevens valt. Daarvoor is van belang of met de tekst van artikel 9 een onderscheid beoogd is tussen de categorieën gegevens waaruit bijzondere omstandigheden ‘blijken’ (ras, politieke opvattingen en religieuze overtuigen) en de gegevens ‘over’ of ‘met betrekking tot’ bijzondere omstandigheden (zoals gegevens over gezondheid of met betrekking tot iemands seksuele gedrag of gerichtheid). ‘Blijken’ impliceert immers een ruimere strekking dan ‘over’ of ‘met betrekking tot’.2 Volgens het HvJ EU zou dit onderscheid niet stroken met de ruime werkingssfeer van artikel 9 AVG. Voor alle categorieën bijzondere persoonsgegevens geldt dus dat bescherming strekt tot gegevens die de bijzondere eigenschappen onthullen.3 Het HvJ EU concludeert dan ook dat de namen van twee levenspartners de seksuele gerichtheid van deze personen kunnen onthullen en daarmee onder de werkingssfeer van artikel 9 AVG vallen. Het HvJ EU hanteert daarmee een ruime interpretatie van het begrip ‘bijzondere persoonsgegevens’. Immers zal vaker door het combineren van bepaalde gegevens of door inherente eigenschappen van bepaalde gegevens een bijzondere eigenschap kunnen worden afgeleid. Een bekend voorbeeld is het verwerken van beeldmaterieel dat iemands ras of etnische achtergrond onthult. Volgens de Autoriteit Persoonsgegevens (AP) valt een dergelijke verwerking niet onder alle omstandigheden onder het begrip bijzondere persoonsgegevens.4 De vraag is of deze uitleg nog standhoudt in het licht van de uitspraak van het HvJ EU.

Een volgende uitspraak van het HvJ EU over het begrip bijzondere persoonsgegevens wordt op korte termijn verwacht. Op 20 september 2022 wordt de opinie van A-G Rantos in de zaak Meta Platforms gepubliceerd (ECLI:EU:C:2022:704).5 Een van de vragen is of het verzamelen van gegevens over bezochte webpagina’s en apps onder de werkingssfeer van artikel 9 valt, wanneer uit de gegevens bijzondere omstandigheden kunnen worden afgeleid. A-G Rantos overweegt dat het doorslaggevende element bij toepassing van artikel 9 AVG is of de gegevens het mogelijk maken om de gebruiker te profileren op basis van bijzondere omstandigheden.6 Opvallend is dat A-G Rantos niet naar het hiervoor besproken arrest verwijst.

Strafrechtelijke persoonsgegevens

De AVG bevat verder een apart regime voor strafrechtelijke persoonsgegevens (artikel 10 AVG). Verwerking van deze gegevens is alleen toegestaan indien hiervoor een specifieke wettelijke grondslag bestaat. Deze grondslagen zijn onder andere te vinden in de artikelen 32 en 33 Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).7 Op 11 oktober 2022 doet het gerechtshof Arnhem-Leeuwarden uitspraak over de vraag of er een wettelijke grondslag bestond voor de verwerking van strafrechtelijke persoonsgegevens door Ziggo (ECLI:NL:GHARL:2022:8676).8 Brein wilde dat Ziggo brieven zou sturen naar vermeende illegale downloaders. Brein zou daarvoor IP-adressen aanleveren, die Ziggo kon koppelen aan de downloader. Volgens het gerechtshof zou dit een verwerking van strafrechtelijke persoonsgegevens zijn (omdat auteursrechtschending tevens een strafrechtelijk feit is) die alleen plaats kan vinden op basis van een vergunning van de AP. In casu was een dergelijke vergunning niet aangevraagd of verleend.9 Met deze beslissing bekrachtigt het gerechtshof de eerdere uitspraak van de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2022:2198).10

Grondslagen

Het verwerken van persoonsgegevens is alleen toegestaan indien daarvoor een beroep gedaan kan worden op één van de grondslagen genoemd in artikel 6 AVG.

Gerechtvaardigd belang

Eén van die grondslagen is wanneer de verwerking noodzakelijk is voor het gerechtvaardigd belang van de verantwoordelijke of een derde en de belangen van de betrokkenen niet prevaleren (artikel 6 lid 1 sub f AVG). Volgens vaste rechtspraak van het HvJ EU moeten bij een beroep op de grondslag gerechtvaardigd belang drie vragen worden beantwoord, te weten: (i) of het nagestreefde belang gerechtvaardigd is, (ii) of de verwerking voor dat belang noodzakelijk is en (iii) of de fundamentele belangen van de betrokken persoon niet prevaleren (een belangenafweging).

In de Kroniek Privacyrecht 2020 bespraken wij de normuitleg die de AP eind 2019 publiceerde over deze grondslag, de twee boetes die de AP in 2020 oplegde aan de tennisbond KNLTB en VoetbalTV en de uitspraak waarin de rechtbank Midden-Nederland de aan VoetbalTV opgelegde boete vernietigde.11 In 2022 volgen daarop twee uitspraken.

In de eerste uitspraak bevestigt de Afdeling bestuursrechtspraak van de Raad van State (Afdeling) het oordeel van de rechtbank in VoetbalTV (ECLI:NL:RVS:2022:2173).12 Volgens de AP had VoetbalTV een zuiver commercieel belang bij de verwerking en kan een dergelijk belang nooit een gerechtvaardigd belang zijn. VoetbalTV had echter aangevoerd dat haar belangen niet zuiver commercieel waren en volgens de Afdeling had de AP ook die andere belangen moeten meenemen. Dat heeft de AP niet gedaan en daarmee is de kous af.13 Het beantwoorden van de vraag of een louter commercieel belang een gerechtvaardigd belang kan zijn en het stellen van prejudiciële vragen daarover, is niet nodig volgens de Afdeling.14 De rechtbank Amsterdam denkt daar anders over (ECLI:NL:RBAMS:2022:5565).15 In het beroep over de boete die de AP oplegde aan de KNLTB,16 stelt de rechtbank wel prejudiciële vragen aan het HvJ EU. De vragen gaan over de uitleg van het begrip gerechtvaardigd belang in het algemeen en over de vraag of een zuiver commercieel belang aangemerkt kan worden als een gerechtvaardigd belang.17

Opvallend is de starre opstelling van de AP in deze zaken. Al bij de publicatie van de normuitleg en de oplegging van de boetes aan VoetbalTV en de KNLTB werd veel kritiek geuit door privacyjuristen. Volgens de AP moet een belang zijn grondslag vinden in de wet om ‘gerechtvaardigd’ te kunnen zijn en voldoet een commercieel belang in het algemeen niet aan die eis. Door het begrip gerechtvaardigd belang zo strikt uit te leggen, komt de AP ten onrechte niet aan beoordeling van de overige criteria van deze grondslag toe. Zowel de rechtbank Midden-Nederland als de Afdeling oordeelden al dat deze uitleg onjuist is. De AP lijkt echter nog steeds niet bereid om haar standpunt bij te stellen. Mogelijk zijn de vragen die de rechtbank Amsterdam in de KNLTB-zaak stelt aan het HvJ EU ingegeven door die starre houding van de AP.

Boete Meta

Op 5 december 2022 neemt de European Data Protection Board (EDPB) een bindend besluit over Meta.18 De centrale vraag is of Meta het verwerken van persoonsgegevens van Facebook- en Instagramgebruikers voor gepersonaliseerde advertenties kan baseren op de grondslag noodzaak voor de uitvoering van de overeenkomst (artikel 6 lid 1 sub b AVG). De EDPB overweegt dat het verwerken van persoonsgegevens voor gepersonali­seerde advertenties niet noodzakelijk is om de overeenkomst met de gebruiker uit te voeren aangezien de gepersonaliseerde advertenties geen kernonderdeel van de dienst zijn.19 Ook meent zij dat de gebruiker een dergelijke verwerking van persoonsgegevens voor advertentiedoeleinden niet hoeft te verwachten wanneer de gebruiker algemene voorwaarden accepteert bij het aanmaken van een account.20 De EDPB heeft het bindende besluit genomen omdat de Ierse privacytoezichthouder, de Data Protection Commissioner (DPC), in haar ontwerpbesluit van mening was dat Meta zich wel mocht baseren op deze grondslag. Privacytoezichthouders van andere Europese landen waren het hier niet mee eens. Op grond van artikel 65 AVG is het in een dergelijk geval aan de EDPB om de knoop door te hakken.21 Naar aanleiding van het bindende besluit van de EDPB legt de DPC op 31 december een boete op van € 390 miljoen. Ook krijgt Meta drie maanden om haar gegevensverwerkingsactiviteiten aan te passen.22 Het besluit is ook interessant voor de collectieve actie die momenteel in Nederland loopt tegen Meta, aangespannen door de Data Privacy Stichting. In deze procedure speelt onder meer dezelfde vraag: of Meta een grondslag heeft voor het verwerken van persoonsgegevens voor gepersonaliseerde advertenties. De uitspraak in deze procedure wordt dit jaar verwacht.23

Rechten van betrokkenen

In de AVG zijn verschillende rechten van betrokkenen vastgelegd (hoofdstuk III, artikel 12 e.v. AVG). Deze rechten zijn bedoeld om ervoor te zorgen dat betrokkenen (kunnen) weten welke gegevens over hen worden verwerkt en om hen in staat te stellen daarop (in bepaalde mate) controle uit te oefenen. Zo hebben betrokkenen onder meer het recht om geïnformeerd te worden over de verwerking van hun persoonsgegevens, het recht om te vragen om rectificatie of beperking en het recht op gegevenswissing.

Inzagerecht

Een van de rechten van betrokkenen is het inzagerecht (artikel 15 AVG). Dit recht houdt in dat een betrokkene zich tot een verantwoordelijke mag wenden met een verzoek om informatie over de persoonsgegevens die over hem of haar worden verwerkt. Een verantwoordelijke moet daar in beginsel aan voldoen. Over de omvang van dit recht wordt al jaren gediscussieerd en geprocedeerd.24 Ook in 2022 zijn er weer enkele ontwikkelingen te melden op dit vlak. Op 14 januari legt de AP een boete op aan DPG Media.25 Uit de boete blijkt onder meer dat het bij een inzageverzoek weliswaar van belang is om te controleren of degene die om inzage vraagt ook daadwerkelijk de betrokkene is, maar dat daarvoor niet altijd een kopie van een identiteitsbewijs gevraagd mag worden. In dit geval was dat niet noodzakelijk en niet geschikt en dus een te zwaar middel dat bovendien een onnodige drempel opwierp. Opvallend is dat in dit kader ook afstemming plaatsvond met de Spaanse toezichthouder die na Nederlandse klachten om vergelijkbare redenen een boete oplegt aan recruitmentbedrijf Michael Page.26 Op 18 januari neemt de EDPB richtsnoeren aan over het inzagerecht.27 In de richtsnoeren gaat de EDPB in op de vragen: wanneer een verzoek aangemerkt moet worden als een AVG-inzageverzoek, onder welke omstandigheden en op welke wijze de verzoeker geïdentificeerd kan worden, welke informatie onder het verzoek valt en hoe de inzage verleend kan worden. De EDPB gaat tot slot in op de gronden om inzage te weigeren. De richtsnoeren, die ook veel voorbeelden bevatten, bieden betrokkenen duidelijkheid over waar ze recht op hebben, en verantwoordelijken over hoe zij inzageverzoeken dienen te behandelen.28

Ook op Europees niveau wordt er (veel) geprocedeerd over het inzagerecht. In 2022 doet het HvJ EU geen uitspraken over dit onderwerp, maar worden wel drie conclusies gepubliceerd van A-G’s aan het HvJ EU. Twee zaken gaan over de vraag in hoeverre een verwerkingsverantwoordelijke na een inzageverzoek de identiteit van de ontvangers die toegang hebben verkregen tot de gegevens moet verstrekken. In juni overweegt A-G Pitruzzella in de zaak Österreichische Post (ECLI:EU:C:2022:452) dat de verwerkings­verantwoordelijke in beginsel zo specifiek mogelijk moet zijn en dus de naam van de partij moet noemen die de gegevens heeft ontvangen. Alleen als dat niet mogelijk is of als het verzoek kennelijk ongegrond of buitensporig is, mag de verantwoordelijke volstaan met het noemen van categorieën van ontvangers.29 In januari 2023 bevestigt het HvJ EU deze conclusie.30 In december 2022 overweegt A-G Campos Sánchez-Bordona in de zaak Pankki (ECLI:EU:C:2022:1001) dat dit recht niet zover gaat dat de verwerkings­verantwoordelijke ook de identiteit van de werknemers die toegang hebben gehad tot de persoonsgegevens moet verstrekken. In die zin is algemene informatie dus wel voldoende.31

De derde zaak gaat over de vraag wanneer het verstrekken van een kopie van de persoonsgegevens vereist is. In de zaak CRIF (ECLI:EU:C:2022:1000) overweegt A-G Pitruzzella dat het inzagerecht geen algemeen recht verleent om een volledige kopie te ontvangen van een document of databank waarin persoonsgegevens zijn opgenomen, maar dat het wel noodzakelijk kan zijn om onderdelen aan betrokkene te verstrekken om te waarborgen dat de persoonsgegevens waarvan om inzage wordt verzocht volledig begrijpelijk zijn.32 De verwachting is dat het HvJ EU deze conclusies zal volgen.

Recht op gegevenswissing

Een ander recht van betrokkenen is het zogenaamde recht op gegevenswissing (artikel 17 AVG). In bepaalde in de wet genoemde gevallen kan een betrokkene een verantwoordelijke vragen zijn persoonsgegevens te verwijderen. Te denken valt aan gevallen waarin de verwerking niet langer nodig is of de persoonsgegevens onrechtmatig zijn verwerkt. Op deze bepaling wordt met name een beroep gedaan wanneer een betrokkene wil dat bepaalde zoekresultaten die op hem of haar zien uit de zoekresultaten van een zoekmachine zoals Google worden verwijderd, ook wel het ‘right to be forgotten’ genoemd. Een zoekmachine hoeft niet aan een vergeetverzoek te voldoen wanneer opname in de zoekresultaten noodzakelijk is voor het recht op vrijheid van meningsuiting en informatie. In dit kader moeten dus het recht op privacy en bescherming van persoonsgegevens worden afgewogen tegen het recht op vrijheid van meningsuiting en informatie.

In december oordeelt het HvJ EU in een zaak die draait om die afweging (ECLI:EU:C:2022:962). De verzoeker, een bestuurder van een investeringsmaatschappij, verzocht Google om verwijdering uit de zoekresultaten van een verwijzing naar een publicatie die volgens hem onjuist informatie over hem bevatte. Google weigerde omdat het niet vaststond dat de informatie inderdaad onjuist was. De vraag die centraal staat, is in hoeverre de verzoeker moet bewijzen dat de informatie onjuist is. Volgens het HvJ EU moet de verzoeker redelijkerwijs onderbouwen dat de informatie onjuist is, bijvoorbeeld door informatie te verstrekken waarvan redelijkerwijs kan worden verwacht dat hij ze opzoekt en verstrekt. Hij is echter niet verplicht om al een rechterlijke uitspraak te overleggen.33

Internationale doorgifte van persoonsgegevens

Achtergrond

Er is de afgelopen jaren veel te doen geweest om de doorgifte van persoonsgegevens vanuit de EU naar de VS en 2022 was daarin geen uitzondering. De AVG bepaalt dat de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) alleen is toegestaan als sprake is van een passend beschermingsniveau voor persoonsgegevens in het betreffende land. Dit kan worden aangetoond door middel van een adequaatheidsbesluit (artikel 45 AVG) of wanneer sprake is van passende waarborgen en de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken (artikel 46 AVG). Hiervan is in principe sprake wanneer gebruik wordt gemaakt van standaardbepalingen van de EC (SCC’s) of bindende bedrijfsvoorschriften. SSC’s zijn een door de EC opgesteld modelcontract waarin bepaalde waarborgen zijn opgenomen.

De afgelopen jaren heeft het HvJ EU tot tweemaal toe een adequaatheidsbesluit voor doorgifte van persoonsgegevens naar de VS buiten werking gesteld (Schrems-I en Schrems-II 34) vanwege de verstrekkende en disproportionele bevoegdheden die Amerikaanse inlichtingendiensten hebben om persoonsgegevens van Europese burgers op te vragen.

Sindsdien zijn de EU en VS in overleg om een nieuw adequaatheidsbesluit tot stand te brengen dat wel voldoet aan de vereisten van artikel 45 AVG. Op 13 december 2022 publiceerde de EC een concept, het zogenaamde EU-US Data Privacy Framework.35 Met een door president Biden op 7 oktober 2022 ondertekende Executive Order, zijn er volgens de EC beperkingen en waarborgen opgelegd met betrekking tot de toegang tot persoonsgegevens door Amerikaanse inlichtingendiensten. De inlichtingendiensten moeten zich beperken tot hetgeen noodzakelijk en proportioneel is voor de nationale veiligheid.36 Er komt verscherpt toezicht op de naleving hiervan.37 Daarnaast zullen betrokkenen uit de EU verhaal kunnen halen met betrekking tot de verzameling en het gebruik van hun gegevens door Amerikaanse inlichtingendiensten bij een onafhankelijk en onpartijdig beroepsmechanisme. Daarvoor is de ‘Data Protection Review Court’ in het leven geroepen.38 Het nieuwe adequaatheidsbesluit is alleen van toepassing op Amerikaanse organisaties die zich bij dat EU-US Data Privacy Framework hebben aangesloten.39

Het besluit doorloopt nu de goedkeuringsprocedure. Dit zal waarschijnlijk zes à zeven maanden in beslag nemen. Als het besluit in werking treedt, zullen evaluatiemomenten worden ingelast.40 Na inwerkingtreding zal vrije doorgifte tussen de EU en aangesloten organisaties in de VS weer mogelijk zijn, zonder dat SCC’s en individuele beoordelingen nodig zijn. Schrems lijkt zich echter al op te maken voor een nieuwe juridische strijd. Hij verklaarde na publicatie van het conceptbesluit niet in te zien hoe het besluit een beroep bij het HvJ EU zou overleven.41

Schadevergoeding wegens privacyinbreuk

Artikel 82 AVG voorziet in een recht op vergoeding van materiële en immateriële schade ten gevolge van een inbreuk op de AVG. In de praktijk wordt er met enige regelmaat immateriële schadevergoeding gevorderd, waarbij de betrokkene stelt door de schending van de AVG te zijn aangetast in zijn persoon (vgl. artikel 6:106 lid 1 sub b Burgerlijk Wetboek (BW)).

Over de vraag wanneer iemand is aangetast in zijn persoon, deed de Afdeling in 2020 een viertal uitspraken.42

In januari 2022 bevestigt de Afdeling deze eerdere rechtspraak (ECLI:NL:RVS:2022:230). Het betreft een zaak waarin het college van burgemeester en wethouders van Eindhoven een e-mailbericht had doorgestuurd, zonder het e-mailadres van de eiseres onleesbaar te maken. De Afdeling overweegt dat de eiseres niet aannemelijk heeft gemaakt welke concrete nadelige gevolgen zijn voortgevloeid uit het delen van haar e-mailadres. Er bestaat daarom geen recht op immateriële schadevergoeding.43 Dezelfde uitgangspunten bevestigt de Afdeling in een uitspraak uit februari 2022 over schade als gevolg van een datalek waarbij gegevens aan een journalist zijn verstrekt (ECLI:NL:RVS:2022:319).44 De Afdeling overweegt dat de aard en de ernst van de normschending niet zodanig zijn dat nadelige gevolgen voor de hand liggen. De vordering tot schadevergoeding wordt afgewezen.

Gemengd beeld in lagere rechtspraak

Toch hebben lagere rechters in 2022 meerdere vorderingen tot schadevergoeding toegewezen. De rechtbank Zeeland-West-Brabant veroordeelt een ziekenhuis tot betaling van € 2.000 op grond van risicoaansprakelijkheid voor de ongeoorloofde (veelvuldige) inzage in het medisch dossier door een werknemer en wegens het gebrek aan passende beveiligingsmaatregelen (ECLI:NL:RBZWB:2022:5457).45 De werknemer die de gegevens had ingezien, had de gegevens ook gedeeld met derden en gepubliceerd in een boek. Hoewel de eiseres de aantasting in de persoon niet met concrete gegevens heeft onderbouwd, is de rechtbank van oordeel dat sprake is van een situatie waarin de nadelige gevolgen voor de eiseres zo voor de hand liggen dat een aantasting in de persoon kan worden aangenomen conclusie omdat het gaat om bijzondere persoonsgegevens, namelijk medische gegevens uit een patiëntendossier.

De rechtbank Den Haag veroordeelt de Nationale Politie tot betaling van € 10.000 aan immateriële schadevergoeding en € 7.804 aan materiële schadevergoeding voor een onrechtmatige informatieverschaffing aan de werkgever van de eiseres (ECLI:NL:RBDHA:2022:8279).46 Volgens eiseres is het strafontslag dat zij hierna heeft gekregen een direct gevolg van deze gegevensverstrekking. De rechtbank overweegt dat de eiseres de geleden immateriële schade voldoende heeft onderbouwd, zonder dit verder toe te lichten. Bij het vaststellen van de hoogte van de materiële schadevergoeding acht de rechtbank relevant dat er ook bijzondere persoonsgegevens zijn gedeeld, dat de politie de eigen tekortkomingen op het gebied van informatieverstrekking heeft proberen toe te dekken en dat er meerdere malen gegevens met derden zijn gedeeld, zonder het medeweten van eiseres.

In andere uitspraken worden lagere bedragen toegewezen. De rechtbank Rotterdam wijst een bedrag van € 250 toe naar aanleiding van een datalek (ECLI:NL:RBROT:2022:1420)47 en de rechtbank Noord-Holland wijst een bedrag van € 400 toe voor onrechtmatige publicatie van een brief met gevoelige gegevens (ECLI:NL:RBNHO:2022:943).48 In het laatste geval wordt de schadevergoeding overigens gebaseerd op artikel 6:162 BW en niet op de AVG. Tot slot is in weer andere zaken de vordering tot schadevergoeding juist afgewezen. De rechtbanken Den Haag,49 Noord-Holland50 en Midden-Nederland51 overwegen in verschillende zaken dat de betrokkene de aantasting in de persoon onvoldoende heeft onderbouwd.

Op Europees niveau

In oktober 2022 neemt A-G Campos Sánchez-Bordona een belangrijke conclusie (ECLI:EU:C:2022:756) over het recht op immateriële schadevergoeding op grond van de AVG, in een prejudiciële procedure op verzoek van het Oberste Gerichtshof (de hoogste federale rechter in civiele en strafzaken van Oostenrijk).52 De A-G overweegt onder meer dat het recht op schadevergoeding alleen bestaat boven een bepaalde drempel: voor inbreuken die bij de betrokkene ‘louter ergernis’ opwekken is schadevergoeding niet op zijn plaats, maar voor ‘reële immateriële schade’ wel.53

Het HvJ EU zal naar verwachting in 2023 met een uitspraak komen. Ondertussen zijn nog verschillende andere prejudiciële procedures aanhangig over de drempel voor (immateriële) schadevergoeding onder de AVG, waaronder een verwijzing van het Amtsgericht München54 en het Landgericht Ravensburg.55

Handhaving

Net zoals de afgelopen twee jaar, legt de AP in 2022 met haar handhaving de nadruk op drie focusgebieden: datahandel, digitale overheid en artificiële intelligentie en algoritmes.56 Met name de overheid staat flink onder druk. Zij ontvangt drie van de vier boetes die de AP in 2022 publiceert, waaronder de hoogste boete die de AP tot nu toe heeft opgelegd: de Belastingdienst moet 3,7 miljoen euro betalen vanwege de jarenlange onrechtmatige verwerking van persoonsgegevens in de Fraude Signalering Voorziening.57 In de Kroniek Privacyrecht 2021 bespraken wij het onderzoeksrapport van de AP hierover.58 In april legt de AP het ministerie van Buitenlandse Zaken een boete op van 565.000 euro voor de slechte beveiliging van het Nationaal Visum Informatie Systeem.59 De AP stelt vast dat BZ geen beveiligingsplan had en dat fysieke beveiliging ontoereikend was.60 Daarnaast waren de toegangsrechten niet goed geregeld, werd niet juist gelogd en werden de logs niet regelmatig beoordeeld.61 Voor ontoereikende beveiligingsmaatregelen (met name gebrekkige toegangsrechten en logs) heeft de AP overigens vaker boetes opgelegd.62 Tot slot is ook sprake van schending van de transparantieverplichting omdat visumaanvragers niet geïnformeerd werden over het feit dat hun gegevens met derde private partijen werden gedeeld.63

De derde boete, van 50.000 euro, is voor de Politie Rotterdam.64 In 2020 heeft de politie vijf weken lang auto’s met 360-gradencamera’s ingezet om te controleren of mensen gedurende de coronapandemie wel anderhalve meter afstand van elkaar hielden. Volgens de AP had de politie eerst een Data Protection Impact Assessment (DPIA) moeten uitvoeren om de privacyrisico’s te beoordelen.65 Omdat de verwerking niet noodzakelijk was voor de uitvoering van het politiewerk was de politie daarnaast ook in overtreding van de Wet politiegegevens (Wpg).66 De vierde boete, die aan DPG Media is opgelegd, is onder het kopje rechten van betrokkenen besproken.

Opvallend is dat de toezichthouder zich niet heeft uitgelaten over een van de meest spraakmakende onderwerpen onder Europese toezichthouders in 2021 en 2022: Google Analytics. Terwijl veel van haar Europese tegenhangers zich hier kritisch over hebben uitgesproken, wachten we nog op het rapport dat de AP begin 2022 aankondigde en eind 2022 zou publiceren.67

Collectieve acties

In de Kroniek Privacyrecht 2021 bespraken wij enkele van de eerste uitspraken in privacyzaken onder de Wet afwikkeling massaschade in collectieve actie (WAMCA).68 Ook in 2022 zijn enkele belangwekkende uitspraken gedaan over dit onderwerp.

Op 16 februari wijst de rechtbank Amsterdam de vordering toe van Stichting Stop Online Shaming en Stichting Expertisebureau Online Kindermisbruik tegen de exploitant van website vagina.nl (ECLI:NL:RBAMS:2022:557). De stichtingen komen op voor gefilmde of gefotografeerde personen die niet hebben ingestemd met openbaarmaking van deze (seksueel getinte) beelden via vagina.nl. De vraag is of de exploitant aansprakelijk is voor beeldmateriaal dat inbreuk maakt op de privacy van afgebeelde personen. De rechtbank overweegt in de eerste plaats dat vagina.nl zich niet kan beroepen op de aansprakelijkheidsvrijstelling voor platformen van artikel 6:196c van het BW.69 Vervolgens oordeelt de rechtbank over de vraag of de exploitant onrechtmatig heeft gehandeld. Volgens de rechtbank is het onrechtmatig om zonder toestemming beeldmateriaal te publiceren dat heimelijk is gefilmd en dat personen herkenbaar toont die (geheel of gedeeltelijk) ontkleed zijn te zien op plekken waar zij zich onbespied wanen.70 Ook is het onrechtmatig om beeldmateriaal te publiceren dat niet professioneel is geproduceerd en herkenbare personen toont die in het privéleven seksuele handelingen verrichten. Dergelijk materiaal zal veelal bedoeld zijn voor privédoeleinden. Ook voor publicatie hiervan is toestemming vereist.71 De rechtbank gelast daarom al het onrechtmatig materiaal te verwijderen en de slachtoffers schadevergoeding te betalen.72

Op 9 november 2022 wijst de rechtbank Amsterdam een belangrijk vonnis ten aanzien van bevoegdheid in een WAMCA-procedure (ECLI:NL:RBAMS:2022:6488). Het betreft de procedure van drie belangenorganisaties tegen verscheidene entiteiten van het TikTok-concern over onder meer inbreuken op de AVG. De rechtbank beantwoordt in deze uitspraak twee vragen: of de Nederlandse rechter bevoegd is73 en of de zaak aangehouden moet worden omdat een onderzoek naar TikTok plaatsvindt door de Ierse toezichthouder gegevensbescherming.74 Ten aanzien van de bevoegdheid overweegt de rechtbank in de eerste plaats dat zij bevoegd is omdat de belangenorganisaties opkomen voor de rechten van betrokkenen die in Nederland hun gewone verblijfplaats hebben.75 Er is geen reden om aan te nemen dat belangenorganisaties deze bevoegdheidsgrond niet kunnen inroepen.76 Daarnaast kwalificeren de vorderingen van de belangenorganisaties niet alleen als vorderingen op basis van de AVG, maar ook als vorderingen uit onrechtmatige daad. Daarmee zijn ook de bevoegdheidsgronden van de Brussel I bis Verordening77 van toepassing.78 Hierbij haakt de rechtbank aan op het eDate arrest van het HvJ EU, waarin is bepaald dat bij een vermeende schending van persoonlijkheidsrechten via internet, de rechtbank in het land van de gebruiker bevoegd is omdat de gebruiker daar het centrum van zijn belangen heeft. Voor Nederlandse TikTok-gebruikers is de Nederlandse rechter dus ook bevoegd op basis van artikel 7 lid 2 van de Brussel I bis Verordening (als plaats waar de schade is ingetreden, het erfolgsort).79

TikTok meent verder dat de procedure aangehouden moet worden omdat een onderzoek door de Ierse toezichthouder wordt uitgevoerd; het risico op tegenstrijdige uitspraken moet volgens TikTok voorkomen worden. De rechtbank gaat hier niet in mee. Op basis van de goede procesorde moet gewaakt worden tegen onredelijke vertraging. De procedure bevindt zich op het moment van de uitspraak in fase 1 (bevoegdheid). Hierop volgt nog fase 2 (ontvankelijkheid van de stichtingen en aanwijzing van de exclusieve belangenbehartiger(s)) voordat in fase 3 materiële aspecten van de zaak aan bod komen. Een eventueel risico op tegenstrijdige uitspraken kan zich dan ook nog niet voordoen in deze fase en het verzoek tot aanhouding is niet toewijsbaar.80

Ook op Europees niveau vindt een belangwekkende ontwikkeling plaats. Op 28 april 2022 wijst het HvJ EU arrest in de zaak Meta Platforms Ireland (ECLI:EU:C:2022:322).81 Het HvJ EU beantwoordt onder meer de vraag of een belangenorganisatie op grond van artikel 80 lid 2 AVG kan optreden zonder daartoe te zijn gemachtigd door betrokkenen en ongeacht de vraag of betrokkenen zijn geschonden in hun concrete rechten.82 Opvallend is dat het HvJ EU steeds de bescherming van de rechten van betrokkenen centraal zet bij de beoordeling. Zo overweegt het HvJ EU dat representatieve acties er ongetwijfeld aan bijdragen dat de rechten van betrokkenen worden versterkt en een hoog beschermings­niveau wordt geboden.83 Om deze reden zijn de procedurele vereisten om een dergelijke actie in te stellen beperkt. Dit uitgangspunt uit zich in de conclusies dat: belangen­organisaties alle rechtsmiddelen die betrokkenen hebben namens de betrokkenen kunnen inroepen,84 dat van de belangenorganisaties niet kan worden vereist dat zij de getroffen personen vooraf individueel identificeren85 en dat de belangenorganisatie om ontvankelijk te zijn slechts van mening hoeft te zijn dat de rechten van betrokkenen zijn geschonden.86 Verschillende zaken over artikel 80 AVG zijn nog bij het HvJ EU aanhangig.

De auteurs zijn advocaat bij bureau Brandeis te Amsterdam. De auteurs danken student-stagiairs Nynke Schutte, Shantell Wong en Charlotte Kroese voor hun bijdrage.

Noten

  1. HvJ EU 1 augustus 2022, ECLI:EU:C:2022:601 (Vyriausioji tarnybinės etikos komisija), r.o. 119.

  2. Vyriausioji tarnybinės etikos komisija, r.o. 123.

  3. Vyriausioji tarnybinės etikos komisija, r.o. 124-127.

  4. https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/foto-en-film/beeldmateriaal.

  5. Conclusie van A-G A. Rantos 20 september 2022, ECLI:EU:C:2022:704 (Meta Platforms).

  6. Meta Platforms, r.o. 36-38.

  7. Artikel 10 AVG jo. Artikelen 31-33 UAVG.

  8. Hof Arnhem-Leeuwarden 11 oktober 2022, ECLI:NL:GHARL:2022:8676, r.o. 3.1.

  9. Hof Arnhem-Leeuwarden 11 oktober 2022, ECLI:NL:GHARL:2022:8676, r.o. 3.22.

  10. Rb. Midden-Nederland 9 juni 2022, ECLI:NL:RBMNE:2022:2198 (Brein/Ziggo II), r.o. 3.23.

  11. C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2020’, Adv.bl. 2021-03, p. 66-67 met verwijzingen naar AP, normuitleg gerechtvaardigd belang, te raadplegen op: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/normuitleg_gerechtvaardigd_belang.pdf, AP boete KNLTB, te raadplegen op: https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-tennisbond-vanwege-verkoop-van-persoonsgegevens; AP boete VoetbalTV (niet gepubliceerd), Rb. Midden-Nederland 23 november 2020, ECLI:NL:RBMNE:2020:5111 (VoetbalTV/AP).

  12. ABRvS 27 juli 2022, ECLI:NL:RVS:2022:2173 (VoetbalTV/AP hoger beroep).

  13. VoetbalTV/AP hoger beroep, r.o. 8.

  14. VoetbalTV/AP hoger beroep, r.o. 9.

  15. Rb. Amsterdam 22 september 2022, ECLI:NL:RBAMS:2022:5565 (KNLTB/AP prejudiciële vragen).

  16. AP boete KNLTB, te raadplegen op: https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-tennisbond-vanwege-verkoop-van-persoonsgegevens; zie tevens Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2020’, Adv.bl. 2021-03, p. 66-67.

  17. KNLTB/AP prejudiciële vragen, r.o. 5.5.

  18. EDPB, Binding Decision 3/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Facebook service (Art. 65 GDPR), 5 december 2022, te raadplegen op: https://edpb.europa.eu/system/files/2023-01/edpb_bindingdecision_202203_ie_sa_meta_facebookservice_redacted_en.pdf; EDPB, Binding Decision 4/2022 on the dispute submitted by the Irish SA on Meta Platforms Ireland Limited and its Instagram service (Art. 65 GDPR), 5 december 2022, te raadplegen op: https://edpb.europa.eu/system/files/2023-01/edpb_binding_decision_202204_ie_sa_meta_instagramservice_redacted_en.pdf.

  19. Binding Decision 3/2022, par. 132.

  20. Binding Decision 3/2022, par. 123.

  21. Noemenswaardig is verder dat de EDPB nog in september 2022 nog een ander bindend besluit neemt over Meta. Dit besluit betreft het publiceren van contactgegevens van minderjarigen wanneer zij een zakelijk account op Instagram aanmaken: EDPB, Binding Decision 2/2022 on the dispute arisen on the draft decision of the Irish Supervisory Authority regarding Meta Platforms Ireland Limited (Instagram) under Article 65(1)(a) GDPR, 28 juli 2022, te raadplegen op: https://edpb.europa.eu/system/files/2022-09/edpb_bindingdecision_20222_ie_sa_instagramchildusers_en.pdf.

  22. Een persbericht over de boete is te raadplegen op: https://www.dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland.

  23. Informatie over het verloop van de procedure is te vinden op: https://www.consumentenbond.nl/acties/facebook.

  24. Zie onder meer HvJ EU 20 december 2017, C-434/16, ECLI:EU:C:2017:994, r.o. 56 (Nowak); HvJ EU 17 juli 2014, C-141/12 en C-372/12, ECLI:EU:C:2014:2081, r.o. 57 (IND); HvJ EU 7 mei 2009, C-553/07, ECLI:EU:C:2009:293, r.o. 48-54 (Rijkeboer) en C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2021’, Adv.bl. 2022-03, p. 84 met verwijzingen naar HR 3 december 2021, ECLI:NL:HR:2021:1814 (Hoist Finance), Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1018 (Uber I); Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1019 (Ola) en Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1020 (Uber II).

  25. Boete DPG Media, 14 januari 2022, gepubliceerd op: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_dpg.pdf.

  26. Zie https://autoriteitpersoonsgegevens.nl/nl/nieuws/spaanse-boete-voor-recruiter-na-nederlandse-klacht.

  27. Guidelines 01/2022on data subject rights - Right of access Version 1.0 Adopted on 18 January 2022. De richtsnoeren zijn gepubliceerd op 28 januari 2022.

  28. Tot 11 maart 2022 liep een consultatieperiode voor de richtlijn. De definitieve versie wordt dit jaar verwacht.

  29. Conclusie van A-G G. Pitruzzella van 9 juni 2022, ECLI:EU:C:2022:452 (Conclusie A-G Österreichische Post).

  30. HvJ EU 12 januari 2023, ECLI:EU:C:2023:3 (Österreichische Post).

  31. Conclusie van A-G M. Campos Sánchez-Bordona van 15 december 2022, ECLI:EU:C:2022:1001 (Pankki).

  32. Conclusie van A-G G. Pitruzzella van 15 december 2022, ECLI:EU:C:2022:1000 (CRIF).

  33. HvJ EU 8 december 2022, ECLI:EU:C:2022:962 (TU/Google), r.o. 68.

  34. HvJ EU 6 oktober 2015, ECLI:EU:C:2015:650 (Schrems I) en HvJ EU 16 juli 2020, ECLI:EU:C:2020:559 (Schrems II).

  35. Draft Commission Implementing Decision of XX pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework (het Besluit); Europese Commissie, ‘Data protection: Commission starts process to adopt adequacy decision for safe data flows with the US’, persbericht 13 december 2022.

  36. Ontwerpbesluit, par. 3.

  37. Ontwerpbesluit, par. 3.2.2.

  38. Ontwerpbesluit, par. 3.2.3; Europese Commissie, ‘Data protection: Commission starts process to adopt adequacy decision for safe data flows with the US’, persbericht 13 december 2022.

  39. Ontwerpbesluit, par. 9; deze verplichtingen worden ‘Principles’ genoemd en zijn opgenomen in Annex I, 1.2 van het Ontwerpbesluit en behandelen: (i) informatieplicht, (ii) voorwaarden toestemming, (iii) verantwoordelijkheid bij verdere doorgifte, (iv) beveiliging, (v) integriteit en doelbinding, (vi) toegang persoonsgegevens door betrokkene, (vii) verhaal, handhaving en aansprakelijkheid.

  40. Ontwerpbesluit, par. 6.

  41. Noyb, ‘Statement on US Adequacy Decision by the European Commission’, 13 december 2022, https://noyb.eu/en/statement-eu-comission-adequacy-decision-us.

  42. ABRvS 1 april 2020, ECLI:NL:RVS:2020:898 (X/Pieter Baan Centrum), ABRvS 1 april 2020, ECLI:NL:RVS:2020:899 (X/College van B&W Deventer), ABRvS 1 april 2020, ECLI:NL:RVS:2020:900 (X/College van B&W Borsele) en ABRvS 1 april 2020, ECLI:NL:RVS:2020:901 (X/College van B&W Harderwijk).

  43. ABRvS 26 januari 2022, ECLI:NL:RVS:2022:230.

  44. ABRvS 2 februari 2022, ECLI:NL:RVS:2022:319.

  45. Rb. Zeeland-West-Brabant 21 september 2022, ECLI:NL:RBZWB:2022:5457.

  46. Rb. Den Haag 2 maart 2022, ECLI:NL:RBDHA:2022:8279.

  47. Rb. Rotterdam 25 februari 2022, ECLI:NL:RBROT:2022:1420.

  48. Rb. Noord-Holland 26 januari 2022, ECLI:NL:RBNHO:2022:943.

  49. Rb. Den Haag 14 juli 2022, ECLI:NL:RBDHA:2022:6756.

  50. Rb. Noord-Holland 16 augustus 2022, ECLI:NL:RBNHO:2022:7329.

  51. Rb. Midden-Nederland 24 augustus 2022, ECLI:NL:RBMNE:2022:3438.

  52. Conclusie van A-G M. Campos Sánchez-Bordona van 6 oktober 2022, ECLI:EU:C:2022:756 (UI tegen Österreichische Post AG).

  53. UI tegen Österreichische Post AG, r.o. 116.

  54. https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX:62022CN0182.

  55. https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A62022CN0456&qid=1677514508941.

  56. AP, ‘Focus AP 2020-2023: Dataprotectie in een digitale samenleving’, te raadplagen op: https://www.autoriteitpersoonsgegevens.nl/nl/over-de-autoriteit-persoonsgegevens/focus-ap-2020-2023.

  57. Besluit van 7 april 2022 (gepubliceerd 12 april 2022), te raadplegen op: https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-belastingdienst-voor-zwarte-lijst-fsv (Boete FSV).

  58. Zie C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2021’, Adv.bl. 2022-03, p. 88.

  59. Besluit van 24 februari 2022 (gepubliceerd 6 april 2022), te raadplegen op: https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-buitenlandse-zaken-visumaanvragen-slecht-beveiligd-en-informatie-over-delen (Boete Buitenlandse Zaken).

  60. Boete Buitenlandse Zaken, par. 68, 81 en 205.

  61. Boete Buitenlandse Zaken, par. 137, 169 en 191.

  62. Besluit van 26 november 2020 (gepubliceerd 11 februari 2021), te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ziekenhuis-olvg-beboet-om-onvoldoende-beveiliging-medische-dossiers (Boete OLVG); Besluit van 4 februari 2021 (gepubliceerd 10 juni 2021), te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-boete-orthodontiepraktijk-vanwege-onbeveiligde-patientenwebsite (Boete orthodontiepraktijk); Besluit van 31 mei 2021 (gepubliceerd 7 juli 2021), te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/uwv-krijgt-boete-voor-slechte-beveiliging-bij-verzending-groepsberichten (Boete UWV beveiliging groepsberichten); Besluit van 23 september 2021 (gepubliceerd 12 november 2021), te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-beboet-transavia-om-slechte-beveiliging-persoonsgegevens (Boete Transavia); Besluit van 16 juli 2019, te raadplegen op https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/haga-beboet-voor-onvoldoende-interne-beveiliging-pati%C3%ABntendossiers (Boete HagaZiekenhuis).

  63. Boete Buitenlandse Zaken, par. 214.

  64. Besluit van 17 november 2022 (gepubliceerd 21 december 2022), te raadplegen op: https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-ontbreken-risicoanalyse-camera-auto%E2%80%99s-rotterdam (Boete Politie Rotterdam).

  65. Boete Politie Rotterdam, par. 57.

  66. De Wpg is de evenknie van de AVG, gericht op de verwerking van politiegegevens door bevoegde autoriteiten. Politiegegevens zijn persoonsgegevens die worden verwerking in het kader van de uitvoering van de politietaak; Boete Politie Rotterdam, par. 62.

  67. Zie de Handleiding privacyvriendelijk instellen van Google Analytics van de AP, waarin zij op 22 april 2022 aankondigt dat het gebruik Google Analytics mogelijk binnenkort niet meer is toegestaan, te raadplegen op: https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics_april_22.pdf.

  68. C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2021’, Adv.bl. 2022-03, p. 87-88.

  69. Rb. Amsterdam 16 februari 2022, ECLI:NL:RBAMS:2022:557 (Stop Online Shaming), r.o. 5.1-5.11.

  70. Stop Online Shaming, r.o. 5.22-5.23.

  71. Stop Online Shaming, r.o. 5.24.

  72. Stop Online Shaming, r.o. 6.

  73. Rb. Amsterdam 9 november 2022, ECLI:NL:RBAMS:2022:6488 (TikTok), r.o. 5.1-5.22.

  74. TikTok, r.o. 5.23-5.25.

  75. Artikel 80 jo. artikel 79 AVG.

  76. TikTok, r.o. 5.11-5.12.

  77. Verordening (EU) nr. 1215/2012 van het Europees Parlement en de Raad van 12 december 2012 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (herschikking).

  78. TikTok, r.o. 5.15 en 5.18 over de verhouding tussen de bevoegdheidsgronden uit de AVG en de bevoegdheidsgronden uit de Brussel I bis Vordening.

  79. TikTok, r.o. 5.17.; de bevoegdheidsvraag wordt in eerste instantie toegespitst op de Ierse entiteit van TikTok. De rechter is ook bevoegd om kennis te nemen van de vorderingen tegenover de overige (alle niet in de EU gevestigde) entiteiten op grond van samenhangende vorderingen (artikel 7 lid 1 Wetboek van Burgerlijke Rechtsvordering), zie r.o. 5.19.

  80. TikTok, r.o. 5.23-525.

  81. HvJEU 28 april 2022, ECLI:EU:C:2022:322 (Meta Platforms Ireland).

  82. Meta Platforms Ireland, r.o. 48.

  83. Meta Platforms Ireland, r.o. 74.

  84. Meta Platforms Ireland, r.o. 53.

  85. Meta Platforms Ireland, r.o. 68.

  86. Meta Platforms Ireland, r.o. 56, 71.