juridisch kronieken

Kroniek
Privacyrecht 2023

door Vita Zwaan, Jacob van de Velde, Sarah Stapel & Silvia van Schaik
beeld Floris Tilanus

2023 is een bewogen jaar voor privacy. Het Hof van Justitie van de Europese Unie (HvJ EU) laat zich meerdere keren uit over de omvang van begrippen, rechten en verplichtingen. Het recht op schade­vergoeding wordt in het zonnetje gezet met twee principiële uitspraken van de hoogste Europese rechter. Verder blijven gepersonaliseerde advertenties en het inzagerecht de gemoederen bezighouden. De Autoriteit Persoonsgegevens (AP) lijkt iets minder actief en wordt zelfs een paar keer flink teruggefloten voor de hoogte van haar boetebedragen. Wel sluit de AP het jaar af met het opleggen van haar hoogste boete ooit. We kijken terug op de belangrijkste ontwikkelingen van het afgelopen jaar en eindigen met een korte vooruitblik.

Het begrip persoonsgegevens

Het jaar 2023 bracht twee interessante uitspraken over het begrip ‘persoons­gegevens’. Dit begrip is doorslaggevend voor de toepasselijkheid van de Algemene Verordening Gegevensbescherming (AVG).1 Worden persoons­gegevens verwerkt, dan is de AVG van toepassing2 en moet aan de verplichtingen van de AVG worden voldaan. Het begrip persoons­gegevens is in de afgelopen jaren steeds verder uitgebreid, tot het punt dat nog moeilijk denkbaar is welke gegevens er niet meer onder zouden vallen.3 In deze uitdijing lijkt een kleine kentering zichtbaar door een uitspraak van het gerecht van eerste aanleg (Gerecht) van het HvJ EU, die mogelijk weer teniet wordt gedaan door een uitspraak van het HvJ EU.

Op 26 april 2023 oordeelt het Gerecht (ECLI:EU:T:2023:219) in een zaak die ingesteld is door de Gemeenschappelijke Afwikkelingsraad (GAR), de Europese autoriteit voor de afwikkeling van banken, tegen de Europese Toezichthouder voor gegevensbescherming (EDPS). De GAR was bezig met de afwikkeling van een Spaanse bank.4 Aandeelhouders en crediteuren konden zich inschrijven om compensatie te ontvangen. Voor deze compensatie had de GAR een voorlopig besluit gepubliceerd, waar de getroffen personen vervolgens opmerkingen bij konden plaatsen. Een selectie van deze opmerkingen was gedeeld met Deloitte voor beoordeling. Voordat de opmerkingen gedeeld werden, had de GAR deze losgekoppeld van direct identificerende informatie en in plaats daarvan gekoppeld aan een unieke identificator. Deloitte ontving dus slechts de opmerkingen met een unieke identifactor. De GAR kon de opmerkingen nog wel aan de betrokkenen koppelen via een koppeldatabank.5 De EDPS, die toezicht houdt op gegevens­verwerkingen door Europese instellingen, had de GAR opgedragen om haar privacy­verklaring aan te passen omdat zij haar klanten niet had geïnformeerd over de verstrekking van persoons­gegevens aan Deloitte. De GAR verzocht het Gerecht om het besluit nietig te verklaren, omdat de unieke identificatoren volgens haar geen persoons­gegevens waren waardoor zij ook geen informatieplicht had.

Het Gerecht vernietigt het handhavingsbesluit van de EDPS. De reden hiervoor is dat de EDPS alleen had onderzocht of de opmerkingen moesten worden aangemerkt als persoons­gegevens vanuit het perspectief van de GAR, maar niet vanuit het perspectief van Deloitte.6 Concreet had de EDPS moeten beoordelen of Deloitte over wettelijke of in de praktijk uitvoerbare middelen beschikte om toegang te krijgen tot aanvullende gegevens om de betrokkenen te identificeren.7 Het Gerecht benadrukt hiermee dat het begrip persoons­gegevens een subjectief begrip is: wat voor de ene partij persoons­gegevens zijn, hoeven dat voor de andere partij niet te zijn.8 Deze interpretatie kan ruimte bieden bij het inschakelen van een derde partij. Als deze derde partij slechts geanonimiseerde gegevens ontvangt, wordt deze mogelijk niet aangemerkt als verwerker en zou er ook geen verwerkersovereenkomst gesloten hoeven te worden.

Op 9 november 2023 komt het HvJ EU ogenschijnlijk tot een ander oordeel (ECLI:EU:C:2023:837).9 Ter discussie staat of het voertuigidentificatienummer (VIN) een persoonsgegeven is. Het VIN wordt door de fabrikant aan een voertuig gekoppeld om dit te kunnen identificeren. Het VIN wordt vermeld op het kentekenbewijs, samen met de gegevens van de eigenaar. In enkele cryptisch geformuleerde overwegingen concludeert het HvJ EU dat het VIN een persoonsgegeven is voor degene die redelijkerwijs de mogelijkheid heeft deze te koppelen aan de eigenaar. Het VIN is voor de fabrikanten volgens het HvJ EU in beginsel geen persoonsgegeven. Die weten immers niet wie de eigenaar is.10 Opmerkelijk genoeg voegt het HvJ EU hieraan toe dat het VIN wel een indirect persoonsgegeven is voor fabrikanten als zij het VIN ter beschikking stellen aan partijen die het VIN kunnen koppelen aan de betrokkene.11 Oftewel, voor fabrikanten is het VIN een persoonsgegeven, ook al weten zij zelf niet wie de eigenaar is, omdat een andere partij deze kan koppelen aan de betrokkene. Het HvJ EU lijkt hiermee naar een meer absolute interpretatie van het begrip persoons­gegevens te gaan: als gegevens voor één partij persoons­gegevens zijn, dan zijn ze dat voor elke partij. Of het HvJ EU inderdaad deze kant op gaat, wordt hopelijk duidelijk in het hoger beroep van de GAR-/EDPS-uitspraak.12

Personalisatie en cookies

Het jaar 2023 bracht verschillende interessante ontwikkelingen op het gebied van het gebruik van cookies en vergelijkbare technieken voor het tonen van gepersonaliseerde advertenties. Van belang is steeds of en op welke wijze op grond van de Tele­communicatie­wet (Tw) en de AVG toestemming moet worden gevraagd voor het gebruik van tracking cookies waarmee het internetgebruik van de internetgebruiker gevolgd kan worden.

In onze vorige Kroniek stonden wij al stil bij de boete voor Meta.13 Het resultaat was dat Meta het verwerken van persoons­gegevens van Facebook- en Instagramgebruikers voor gepersonaliseerde advertenties niet meer kon baseren op de grondslag ‘contractuele noodzaak’.14 Voor Meta blijft het hier niet bij. Op 4 juli 2023 wijst het HvJ EU arrest over de vraag welke grondslag Meta kan gebruiken voor het koppelen van informatie over het bezoeken van andere sites aan het Facebookaccount (ECLI:EU:C:2023:537).15 Het HvJ EU bevestigt in de eerste plaats dat de contractuele noodzaak geen grondslag kan bieden aangezien de personalisatie wel nuttig kan zijn, maar niet onontbeerlijk is voor het gebruik van de Facebookdienst.16 Ook het gerechtvaardigd belang van Meta biedt geen uitkomst, omdat de Facebookgebruiker niet hoeft te verwachten dat gegevens zonder zijn toestemming worden verwerkt voor gepersonaliseerde advertenties. Daar komt bij dat de verwerking bijzonder omvangrijk is en ingrijpende gevolgen heeft voor de gebruiker: hij kan het gevoel hebben dat zijn privéleven voortdurend in de gaten gehouden wordt.17 Daarmee resteert alleen toestemming als mogelijke grondslag.

Het HvJ EU gaat ook in op de verwerking van bijzondere persoons­gegevens. Dit zijn gegevens die gevoelige eigenschappen van de betrokkene onthullen zoals medische gegevens, etniciteit en religieuze overtuiging. Het verwerken van deze gegevens is in principe verboden, tenzij een uitzondering van toepassing is. Het HvJ EU oordeelt dat dit verbod ook van toepassing is als de verantwoordelijke niet de bedoeling heeft deze gegevens te verwerken;18 deze gevoelige eigenschappen al aan het licht kunnen komen door het analyseren van websitebezoeken;19 en de uitzondering ‘kennelijke openbaar­making’ niet van toepassing is bij het analyseren van websitebezoeken. Door het bezoek van een website heeft de bezoeker immers niet een weloverwogen keuze gemaakt om gevoelige eigenschappen te openbaren.20 Alleen de uitzondering ‘toestemming’ komt dan ook in aanmerking voor het verwerken van deze gegevens. Overigens is dit laatste mogelijk anders als de gevoelige eigenschappen blijken uit het klikken van bijvoorbeeld een ‘like’-knop. Als de betrokkene weet dat het aanklikken daarvan zichtbaar is voor anderen, kan het zijn dat de betrokkene een bijzondere interesse bewust openbaar wil maken.21

Op 30 oktober 2023 introduceert Meta het zogeheten Pay or Okay-model. Dit houdt in dat Europese gebruikers van Meta de keuze moeten maken om of 10 of 13 euro per maand te betalen, of akkoord moeten gaan met tracking.22 Dit model heeft veel kritiek gekregen, mede door de hoogte van het bedrag en omdat gebruikers moeten betalen voor het behoud van hun fundamentele rechten.23 De AP heeft ondertussen aangekondigd samen met de Noorse en Duitse toezichthouder een Europese procedure te starten over de privacy en gepersonaliseerde advertenties in het kader van dit Pay or Okay-model.24 The Meta-saga continues…

Het gebruik van tracking cookies

Op 5 december 2023 oordeelt het gerechtshof Amsterdam over het gebruik van tracking cookies door Adtech-bedrijf Criteo (ECLI:NL:GHAMS:2023:2971). Criteo plaatst via websites van derden tracking cookies. Via deze cookies wordt een gebruikersprofiel opgesteld en worden gepersonaliseerde advertenties aangeboden.25 Niet ter discussie staat dat Criteo en de websitehouders waarmee zij samenwerkt gezamenlijk verwerkings­verantwoordelijk zijn.26 Ook niet ter discussie staat dat toestemming vereist is voor het gebruik van de cookies. Criteo verplicht de websitehouders via een overeenkomst om deze toestemming te vragen. Als Criteo erop wordt gewezen dat een websitehouder haar verplichtingen niet nakomt, onderneemt zij actie.27 Dit blijkt echter geen waterdicht systeem, nu de cookies van Criteo toch worden geplaatst zonder toestemming.28 Daarom wijst het gerechtshof het gebod toe om de cookies niet meer te plaatsen zonder rechtsgeldige toestemming.29 De uitspraak bevestigt dat ook derde partijen die cookies plaatsen verantwoordelijk zijn voor de naleving van de AVG, en deze naleving dienen te verzekeren.

Op 17 januari 2023 publiceert de European Data Protection Board (EDPB) het rapport over het werk van de Cookie Banner Taskforce, een taskforce opgericht om de verschillende klachten over cookiebanners bij toezicht­houders te coördineren.30 In het rapport benoemt de EDPB een aantal praktijken bij het gebruik van cookiebanners die die toezicht­houders problematisch vinden. Zo vinden de meeste toezicht­houders dat er altijd één ‘alles weigeren’-knop moet zijn. Ook ‘verborgen’ knoppen om cookies te weigeren, zijn in strijd met de AVG. Daarnaast kunnen tracking cookies niet gebruikt worden op basis van de grondslag gerechtvaardigd belang.31 In december 2023 kondigt Google aan dat zij third party cookies in de populaire Chrome-browser gaat uitfaseren.32 Andere technieken voor het volgen van gebruikers blijven nog wel beschikbaar.

Gegevensverstrekking tussenpersonen

Het privacyrecht kan in botsing komen met andere rechten, bijvoorbeeld wanneer iemand online inbreuk maakt op auteursrechten door zonder toestemming van de rechthebbende films of e-books aan te bieden. Om de doorgaans anonieme inbreukmaker aan te spreken, moet de rechthebbende weten wie hij is. De rechthebbende achterhaalt daartoe het IP-adres waarmee de inbreuk is gepleegd en stapt naar de internetprovider met een verzoek de bij het IP-adres behorende naam- en adresgegevens te verstrekken. Het privacyrecht komt dan tegenover het recht op een doeltreffende voorziening in rechte te staan.

Lycos/Pessers nog steeds het relevante toetsingskader

De Nederlandse rechter beoordeelt een verzoek om gegevens te verstrekken doorgaans op basis van het Lycos/Pessers-arrest uit 2005.33 Indien aan bepaalde voorwaarden is voldaan, moeten internetproviders de gegevens verstrekken omdat de rechthebbende anders ‘vogelvrij’ zou zijn.34 Van een volledig uitgekristalliseerd kader is echter nog steeds geen sprake.35 Zo oordeelt het gerechtshof Arnhem-Leeuwarden in 2023 dat internetprovider Ziggo de gegevens van een klant die online e-books aanbood, pas aan Brein kan verstrekken als de klant het aanbieden niet staakt binnen vijf werkdagen nadat Ziggo een waarschuwingsbrief van Brein heeft doorgestuurd (ECLI:NL:GHARL:2023:3598).36 Het doorsturen van de brief is volgens het hof een minder ingrijpende mogelijkheid dan het verstrekken van de gegevens aan Brein.37 Ook oordeelt het hof dat de verwerking van de betreffende persoons­gegevens, die volgens partijen kwalificeren als strafrechtelijke persoons­gegevens zoals bedoeld in artikel 10 AVG,38 noodzakelijk is voor de instelling, uitoefening of onderbouwing van een rechtsvordering en dus is toegestaan op grond van artikel 32 onder d Uitvoeringswet AVG (UAVG). Buitengerechtelijk handhaven, door het versturen van een brief, valt daar ook onder, aldus het hof.39

La Quadrature du Net II

Ook Szpunar, advocaat-generaal (A-G) bij het HvJ EU, laat zich in 2023 uit over het onderwerp (ECLI:EU:C:2023:711).40 In de zaak-La Quadrature du Net II maken vier Franse digitale burgerrechtenorganisaties bezwaar tegen de werkwijze van Hadopi (tegenwoordig Arcom), de Franse toezichthouder die optreedt tegen online auteursrechtinbreuken. Hadopi vraagt de bij IP-adressen behorende gegevens op bij internetproviders om daarna een ‘aanbeveling’ te sturen dat via de internetverbinding auteursrechtinbreuk gepleegd wordt. Indien daarna inbreuken plaatsvinden, volgt een tweede aanbeveling. Pas als daarna nog inbreuken plaatsvinden, kan Hadopi het Franse Openbaar Ministerie verzoeken om strafrechtelijke vervolging in te stellen waarbij een boete kan worden opgelegd. Dit wordt het ‘graduated response mechanism’ genoemd.41 Volgens de burgerrechtenorganisaties is de werkwijze in strijd met Europees recht, waaronder artikel 15 lid 1 van de ePrivacyrichtlijn.42 De IP-adressen die de basis vormen voor het identificatieproces, kwalificeren namelijk niet alleen als persoons­gegevens,43 maar ook als verkeersgegevens waarop de ePrivacyrichtlijn van toepassing is.44

Op grond van de ePrivacyrichtlijn mag een internetprovider verkeersgegevens enkel bewaren om zijn diensten te leveren en te factureren. Lidstaten mogen hier onder voorwaarden uitzonderingen op maken (artikel 15 lid 1 ePrivacyrichtlijn). Het HvJ EU heeft verschillende uitspraken gedaan over nationale regelingen die internetproviders verplichten grote hoeveelheden verkeersgegevens te bewaren en aan autoriteiten te verstrekken in het kader van de openbare veiligheid of bestrijding van ernstige criminaliteit. Het HvJ EU oordeelt in deze zaken dat dergelijke uitzonderingen toelaatbaar zijn indien het gaat om dergelijk zwaarwegende doeleinden en de wet voorziet in voldoende waarborgen zoals voorafgaande rechterlijke toetsing.45

Het is de vraag hoe die vrij strikte rechtspraak zich verhoudt tot de veel mildere rechtspraak over het verstrekken van identificerende gegevens aan IE-rechthebbenden.46 Uit deze rechtspraak volgt dat het Europese recht in beginsel niet aan een dergelijke verstrekking in de weg staat indien een juist evenwicht wordt getroffen tussen de verschillende belangen.47 Wanneer daarvoor IP-adressen worden gebruikt, is niet alleen de vraag of een internetprovider identificerende gegevens mag verstrekken, maar ook of hij de daarvoor benodigde IP-adressen mag bewaren. Auteursrechtinbreuken kwalificeren immers niet als ‘ernstige criminaliteit’48 en bij Hadopi vindt geen voorafgaande rechterlijke toetsing plaats.49 Toch vindt Szpunar het bewaren van IP-adressen en het verstrekken van identificerende gegevens voor de bestrijding van online auteursrechtinbreuken zonder voorafgaande rechterlijke toetsing50 toelaatbaar als het IP-adres het enige middel is dat beschikbaar is voor identificatie.51 Hij acht daarvoor relevant dat de privacy-inbreuk bij het achterhalen van de identiteit op grond van IP-adressen beperkter is dan bij nationale regelingen op grond waarvan alle verkeersgegevens moeten worden bewaard. Uit verkeersgegevens behorende bij een of enkele vermeende inbreuken kan immers geen volledig en indringend beeld van het privéleven worden afgeleid, terwijl dat bij het bewaren en opvragen van een grotere set verschillende verkeersgegevens wel het geval is.52 Ook acht de A-G van belang dat Hadopi een toezichthouder is met een procedure die enkele stappen omvat, het ‘graduated response mechanism’.53 Het is de vraag hoe dat zich verhoudt tot de private handhaving door Brein zoals wij die in Nederland kennen, waarbij juist niet duidelijk is welke stappen Brein neemt nadat zij de gegevens van een vermeend inbreukmaker ontvangt.54

Rechten van betrokkenen

De rechten van betrokkenen (zoals gespecificeerd in hoofdstuk III AVG) hebben het afgelopen jaar bijzondere aandacht gekregen op nationaal en Europees niveau. Met name op het gebied van inzage en gegevenswissing valt het een en ander te melden.

Recht op inzage

Op grond van artikel 15 AVG hebben betrokkenen het recht op inzage in de persoons­gegevens die organisaties over hen verwerken. De omvang van dit recht staat regelmatig ter discussie. Het jaar 2023 brengt (iets) meer duidelijkheid. Zo publiceert de EDPB definitieve richtsnoeren over het inzagerecht55 en laat de rechtspraak zich er meerdere keren over uit.

In januari benadrukt het HvJ EU in de RW/Österreichische Post-zaak dat een besluit op een inzageverzoek voldoende specifiek moet zijn (ECLI:EU:C:2023:3). Het is alleen toegestaan om de categorieën van ontvangers op te nemen als het niet mogelijk is om de specifieke ontvangers te identificeren.56 In een geschil over herhaaldelijke onrechtmatige raadpleging van klantgegevens door een bank, oordeelt het HvJ EU dat artikel 15 AVG het recht omvat om geïnformeerd te worden wanneer en waarom klantgegevens zijn geraadpleegd.57

Verder laat het HvJ EU zich uit over het recht op een kopie. In mei benadrukt het HvJ EU dat een betrokkene een ‘begrijpelijke reproductie van al deze gegevens’ moet ontvangen. De betrokkene kan volledige documenten opvragen om de verwerking te controleren, tenzij dit de betrokkene niet in staat stelt om zijn rechten uit te oefenen en tenzij de rechten en vrijheden van anderen zwaarder wegen (ECLI:EU:C:2023:369).58 In een geschil over inzage in medische gegevens komt het HvJ EU tot een vergelijkbare conclusie (ECLI:EU:C:2023:811).59 In dit geval moest de arts een kopie verstrekken van de diagnosen, onderzoeksresultaten, beoordelingen door behandelend artsen en bij de betrokkene verrichte behandelingen of ingrepen.

In 2022 legde de AP een boete op aan de Belastingdienst vanwege de onrechtmatige verwerking in de Fraude Signalering Voorziening (FSV).60 Sindsdien gaat een groot deel van de geschillen over het inzagerecht over gegevens­verwerkingen in de FSV. In deze geschillen lijkt de motivering van het inzagebesluit centraal te staan. Zo benadrukt de Afdeling bestuursrechtspraak van de Raad van State (Afdeling) dat verzoeken niet zomaar mogen worden afgewezen (ECLI:NL:RVS:2023:394).61 Wanneer inzage wordt geweigerd, moet de reden hiervoor deugdelijk worden gemotiveerd. Deze motiveringsplicht vereist dat verwerkings­verant­woordelijken ook onderbouwen waarom persoons­gegevens niet zijn gebruikt voor geautomatiseerde besluitvorming en/of profilering.62

In april doet het gerechtshof Amsterdam een drietal uitspraken over het inzagebeleid van de taxiplatformdienstverleners Uber en Ola (ECLI:NL:GHAMS:2023:793, ECLI:NL:GHAMS:2023:796 en ECLI:NL:GHAMS:2023:804).63 De chauffeurs verzochten onder meer informatie over de werking van de algoritmes van de rittendiensten op grond van artikel 15 lid 1, sub h AVG. Dit artikel omvat het recht om informatie te verkrijgen over het bestaan van geautomatiseerde besluitvorming, waaronder nuttige informatie over de onderliggende logica. De chauffeurs verzochten uitleg over de toedeling van ritten, de bepaling van ritprijzen en berekening van frauderisicoscores. Het hof geeft uitleg over het recht op informatie over algoritmes. Het hof overweegt dat het informatierecht alleen ziet op uitsluitend geautomatiseerde besluitvorming en niet op alle vormen van geautomatiseerde besluitvorming. Wel wijst het hof de inzageverzoeken grotendeels toe omdat Uber en Ola niet hebben aangetoond dat voornoemde besluiten niet uitsluitend geautomatiseerd zijn genomen. Het hof gaat ook niet mee in het argument van Uber en Ola dat zij geen inzage kunnen geven met het oog op de bescherming van bedrijfs­geheimen. Het hof benadrukt verder dat overwegingen aangaande de rechten of vrijheden van anderen niet ertoe mogen leiden dat de betrokkene alle informatie wordt onthouden.

Het hof is niet de enige die Uber op de vingers tikt. De AP legt Uber een boete van 10 miljoen euro op –⁠ haar hoogste boete ooit ⁠– voor het schenden van de inzagerechten van Franse Uber-chauffeurs.64 De Franse toezichthouder had de klacht naar de AP doorgestuurd omdat het Uber hoofdkantoor in Nederland gevestigd is. Volgens het boetebesluit is Uber in overtreding van artikel 12 AVG omdat zij het uitoefenen van inzagerechten niet heeft gefaciliteerd. Volgens de AP moeten chauffeurs te veel stappen doorlopen om via de Uber-app een verzoek in te dienen. Het maakt volgens de toezichthouder niet uit dat Uber ook andere mogelijkheden beschikbaar stelt om inzageverzoeken te doen, nu de voornaamste interactie tussen Uber en de chauffeurs via de chauffeursapp plaatsvindt. In de hoogte van de boete hebben de omvang van het bedrijf, de duur van de overtreding en het aantal Uber-chauffeurs dat actief was gedurende deze periode een rol gespeeld.

Recht op gegevenswissing

Artikel 17 AVG staat ook wel bekend als het recht om vergeten te worden. Dit recht houdt in dat organisaties in bepaalde gevallen en op verzoek van een betrokkene persoons­gegevens moeten verwijderen. In een zaak over de verwijdering van Bureau Kredietregistratie (BKR)-gegevens overweegt de Hoge Raad dat de betrokkene ‘te allen tijde’ het recht heeft om zijn rechten uit te oefenen (ECLI:NL:HR:2023:1216).65 De Hoge Raad overweegt dat het enkele feit dat eenzelfde verzoek eerder gedaan is niet betekent dat het verzoek ongegrond of buitensporig is, ook als de betrokkene aan zijn verzoek geen gewijzigde feiten of omstandigheden ten grondslag heeft gelegd.

Het recht op gegevenswissing is echter niet onbegrensd. Zo oordeelt de Afdeling dat de burgemeester van Maastricht terecht een verwijderverzoek heeft afgewezen (ECLI:NL:RVS:2023:1923).66 De verzoeker meende dat hij onterecht op een lijst stond van personen of groepen die overlast of criminaliteit veroorzaken. Volgens de Afdeling was echter voldoende gebleken waar de aan hem tegengeworpen overlast en gedragingen uit bestaan.

Ook het HvJ EU laat zich uit over de omvang van het recht op (onder meer) gegevenswissing (ECLI:EU:C:2023:373).67 Het HvJ EU overweegt dat niet elke schending van de AVG recht geeft op gegevenswissing. Het niet-voldoen aan de verplichtingen omtrent gezamenlijke verant­woordelijk­heid en de registerplicht (artikelen 26 en 30 AVG) leveren weliswaar een schending op van de AVG, maar geen ‘onrechtmatige verwerking’ in de zin van artikelen 17 en 18 AVG. Zij leveren daarom geen recht op gegevenswissing of beperking van de verwerking op.

Schadevergoeding wegens privacy-inbreuk

Op grond van artikel 82 AVG heeft iedere betrokkene die materiële of immateriële schade lijdt als gevolg van een inbreuk op de AVG recht op schade­vergoeding. Het HvJ EU wijst in 2023 twee belangrijke arresten over dit recht.68

UI/Österreichische Post

Op 4 mei benadrukt het HvJ EU in de zaak-UI/Österreichische Post (ECLI:EU:C:2023:370)69om te beginnen dat de AVG-begrippen ‘materiële of immateriële schade’ en ‘schade­vergoeding voor de geleden schade’ autonome Unierechtelijke begrippen zijn, die op het grondgebied van alle lidstaten uniform moeten worden uitgelegd.70 Daarna gaat het HvJ EU in op artikel 82 AVG. Uit het artikel volgt dat er drie cumulatieve voorwaarden gelden voor een aanspraak op schade­vergoeding:

  1. er moet sprake zijn van een inbreuk op de AVG,
  2. er moet sprake zijn van materiële of immateriële schade; en
  3. er moet een causaal verband bestaan tussen de inbreuk en de geleden schade.

Een enkele inbreuk op de AVG volstaat volgens het HvJ EU dus niet.71 Aan de andere kant mag ook niet worden vereist dat een bepaalde drempel van ernst van schade wordt bereikt.72 Het schadebegrip moet namelijk ruim worden uitgelegd.73 Dit betekent echter ook weer niet dat een persoon die negatieve gevolgen ondervindt van een inbreuk op de AVG niet hoeft aan te tonen dat dit immateriële schade oplevert in de zin van de AVG.74 Wat die persoon dan wel moet aantonen, zegt het HvJ EU (nog) niet. Het is volgens het HvJ EU voorts aan de lidstaten om regels te maken voor de vaststelling van de hoogte van de schade­vergoeding, op voorwaarde dat (onder meer) het doeltreffendheidsbeginsel in acht wordt genomen.75 Het nationale recht mag het verkrijgen van schade­vergoeding in de praktijk niet onmogelijk of uiterst moeilijk maken.76

NAP

Op 14 december 2023 oordeelt het HvJ EU nogmaals over het recht op schade­vergoeding (ECLI:EU:C:2023:986).77 Overheidsinstantie NAP78 was het slachtoffer van een cyberaanval, waarna de persoons­gegevens van miljoenen Bulgaren op internet zijn gepubliceerd. Het is de vraag of de vrees voor toekomstig misbruik van die gegevens ook kan kwalificeren als immateriële schade in de zin van artikel 82 AVG. Het HvJ EU beantwoordt die vraag bevestigend.79 Artikel 82 AVG maakt geen onderscheid tussen gevallen waarin misbruik heeft plaatsgevonden en gevallen waarin dit in de toekomst mogelijk nog gebeurt, en sluit een beroep op vrees voor misbruik niet uit.80 Het HvJ EU ziet steun voor haar uitleg in de overwegingen en doelstellingen van de AVG. Het begrip ‘schade’ moet immers ruim worden uitgelegd81 en ‘verlies van controle’ is een voorbeeld van schade, ook als er (nog) geen concreet misbruik heeft plaatsgevonden.82 Het zou bovendien niet stroken met de doelstelling van de AVG om een hoog beschermingsniveau te verzekeren als een betrokkene bij vrees voor misbruik geen aanspraak op vergoeding voor immateriële schade zou kunnen maken.83 Daarnaast concretiseert het HvJ EU het oordeel in de UI/Österreichische Post-zaakdat een betrokkene die wordt getroffen door een inbreuk op de AVG met voor hem nadelige gevolgen moet aantonen dat die gevolgen immateriële schade in de zin van de AVG opleveren. De nationale rechter moet in dat kader ‘met name’ nagaan of de vrees gezien de omstandigheden gegrond is, aldus het HvJ EU.84

Handhaving

De afgelopen jaren heeft de AP in haar handhaving extra nadruk gelegd op drie focusgebieden: datahandel, digitale overheid en kunstmatige intelligentie (AI) en algoritmes.85 In 2023 focust de AP vooral op het laatste onderwerp, onder meer door in juli 2023 de eerste editie van de Rapportage Algoritmerisico’s Nederland te publiceren.86 Volgens de AP is verantwoordelijke AI mogelijk, maar moeten organisaties die twijfelen over de risico’s terughoudend zijn met de inzet ervan.

Gevoelige gegevens

De AP richt zich opnieuw op de bestrijding van onrechtmatige verwerking van gevoelige gegevens. In april legt zij de Sociale Verzekeringsbank een boete op van 150.000 euro wegens gebrekkige identiteitscontrole door de telefonische helpdesk.87 Gegevens van personen met een arbeidsongeschiktheidsuitkering konden daardoor terechtkomen bij personen die daar geen recht op hadden. In december meldt de AP dat de Nationale Politie met verwerkingen van persoons­gegevens in het Schengen Informatiesysteem op een aantal punten de wet heeft overtreden.88 De kwaliteit van de signaleringen in het systeem was niet op orde, waardoor er onjuiste of incomplete informatie over mensen in het systeem stond. Ook bleven signaleringen soms te lang bewaard. Omdat de overtredingen zijn beëindigd, legt de AP geen last onder dwangsom of boete op.

Teruggefloten

Opvallend is verder dat de AP in 2023 meerdere keren is teruggefloten. Zo matigt de rechtbank Gelderland de boete die de AP aan BKR heeft opgelegd (ECLI:NL:RBGEL:2023:4071).89 Er waren weliswaar overtredingen (het vragen van geld bij inzageverzoeken en het niet faciliteren van het inzagerecht), maar de boete van 830.000 euro was volgens de rechtbank onevenredig hoog. Er waren niet alleen verzwarende, maar ook verlichtende omstandigheden waar de AP rekening mee had moeten houden. Er was daarom geen aanleiding om hogere bedragen te hanteren dan de basisboetebedragen uit het beleid, zoals de AP wel heeft gedaan. De rechtbank matigt de boete tot 668.000 euro.

Ook de boete die de AP oplegde aan DPG Media blijft niet in stand (ECLI:NL:RBAMS:2023:5074).90 Wederom is weliswaar sprake van een overtreding (door te vragen om een kopie legitimatiebewijs bij een inzage- of verwijderverzoek) maar de boete van 525.000 euro is volgens de rechtbank Amsterdam disproportioneel. De rechtbank overweegt onder meer dat DPG Media corrigerende maatregelen had genomen, de AVG ten tijde van de overtreding nog maar net van toepassing was en het maar om een klein aantal klachten ging.

Verder blijkt uit een Woo-besluit91 dat in november is gepubliceerd dat de beruchte vingerafdrukboete van 725.000 euro aanzienlijk is gematigd.92 De AP concludeerde eind 2019 dat een bedrijf de AVG had overtreden door biometrische gegevens (vingerafdrukken) van werknemers te verwerken zonder dat zij zich daarvoor op een uitzondering kon beroepen. De AP matigt de boete vanwege de coronapandemie en de verminderde financiële draagkracht van het bedrijf in bezwaar tot 50.000 euro.

Nieuwe richtsnoeren

Op 24 mei 2023 stelt de EDPB nieuwe richtsnoeren vast om het boetebeleid van de verschillende toezicht­houders te harmoniseren.93 De EDPB hanteert een vijfstappenplan om de hoogte van boetes vast te stellen, waarbij rekening wordt gehouden met de zwaarte van de inbreuk, de omvang van de onderneming, verzwarende of verzachtende omstandigheden, de relevante wettelijke maximumbedragen en de vereisten van doeltreffendheid, evenredigheid en afschrikkendheid. De AP past deze EDPB richtsnoeren toe om de hoogte van boetes voor bedrijven te berekenen.94 Voor overheidsorganisaties en natuurlijke personen hanteert de AP eigen boetebeleidsregels, die zij in december 2023 publiceert.95

Informatieverstrekking bij een datalek

In een van de eerste gerechtelijke geschillen over datalekken komt de rechtbank Rotterdam op 6 april 2023 tot een interessante uitspraak (ECLI:NL:RBROT:2023:2931). Achtergrond is het datalek bij marktonderzoeker Blauw. Blauw maakte gebruik van de dienstverlening van Nebu, waar de oorzaak van het datalek zat. Om de verplichtingen jegens haar klanten na te kunnen komen, wilde Blauw –⁠ op grond van de gesloten verwerkersovereenkomst ⁠– informatie over het datalek van Nebu verkrijgen. Nebu gaf echter niet thuis, waarna Blauw de informatie in een kort geding vorderde. Pas gedurende de mondelinge behandelingen kwam Nebu voor het eerst over de brug met een intern rapport.96 De voorzieningenrechter wijst de meeste vorderingen van Blauw toe, waaronder de vordering tot het verstrekken van informatie over het datalek en het laten doen van een onafhankelijk technisch onderzoek.97 Op deze vorderingen staat een flinke dwangsom, namelijk 25.000 euro per dag tot maximaal 500.000 euro.98 De uitspraak toont onder meer aan dat het sluiten van een adequate verwerkersovereenkomst van groot belang is.

Vooruitblik: AI en collectieve acties

Tot slot gaan wij kort in op twee onderwerpen die de afgelopen jaren al in de belangstelling stonden en waarvan wij verwachten dat deze de komende jaren een centrale rol zullen spelen in het privacyrecht.

AI

Het afgelopen jaar was er veel aandacht voor AI. De AP verklaart in haar jaarrapport over AI dat het aantal incidenten met AI in een jaar is vertienvoudigd.99 De AP heeft dan ook een aparte afdeling opgericht voor coördinerend toezicht op AI.100 Ondertussen wordt op Europees niveau hard gewerkt aan regelgeving op dit gebied. In december 2023 bereikten de Europese lidstaten een akkoord over de definitieve tekst van de zogeheten AI Act.101 Als deze tekst wordt aangenomen, valt AI onder het systeem van Conformité Européenne, bekend van de CE-markeringen op veel producten. Dit houdt in dat een risicoanalyse van een AI-systeem moet worden gemaakt. Afhankelijk van het risico moeten vervolgens bepaalde stappen worden genomen om het product met CE-markering op de markt te kunnen brengen. Naast de AI Act zijn op 28 september 2022 voorstellen gedaan voor richtlijnen op het gebied van AI-aansprakelijkheid102 en een nieuwe Product­aansprakelijk­heids­richtlijn.103 Het totaalpakket van deze regulering moet de basis worden voor verantwoordelijk gebruik van en aansprakelijkheid voor AI.

Ondertussen heeft de Italiaanse toezichthouder de primeur met handhaving. Op 31 maart 2023 beveelt de toezichthouder OpenAI de verwerking van persoons­gegevens met ChatGPT op te schorten. Volgens de Italiaanse toezichthouder is er onder meer geen gerechtvaardigde grondslag voor de massale verwerking van persoons­gegevens die plaatsvindt om ChatGPT te trainen. Ook worden gebruikers niet op de juiste wijze geïnformeerd.104 Nadat OpenAI een aantal wijzigingen doorvoerde, mocht zij op 28 april 2023 haar digitale deuren weer openen.105 Wij verwachten dat 2024 nog veel meer ontwikkelingen op het gebied van AI met zich zal brengen.

Collectieve acties

In de Kroniek van 2022 bespraken wij al de opkomst van collectieve acties op het gebied van privacy.106 In 2023 bereiken de eerste collectieve acties de volgende fase. Op 25 oktober 2023 doet de rechtbank Amsterdam een tussenuitspraak in de procedure tegen TikTok (ECLI:NL:RBAMS:2023:6694).107 Voor het eerst wordt een belangenorganisatie ontvankelijk verklaard in een privacyschadezaak onder de Wet afwikkeling massaschade in collectieve actie (WAMCA).108 Dit betekent dat deze procedure naar de inhoudelijke fase zal gaan. Ook ziet 2023 verschillende nieuwe collectieve acties, onder meer tegen Google, Twitter, Amazon, Meta en Adobe.109 Wij verwachten dat steeds meer gebruikgemaakt zal worden van de WAMCA als middel van privaatrechtelijke handhaving tegen grote technologiebedrijven. Mogelijk worden in 2024 ook de eerste inhoudelijke uitspraken in collectieve privacyschadezaken gedaan.

De auteurs zijn advocaat bij bureau Brandeis te Amsterdam. De auteurs danken student-stagiairs Etienne Valk en Iris Toepoel voor hun bijdrage.

Noten

  1. Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoons­gegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming of AVG).

  2. Territoriale toepasselijkheid en uitzonderingen worden hier gemakshalve genegeerd.

  3. Zie onder meer uitspraken HvJ EU 9 oktober 2016, ECLI:EU:C:2016:779 (Breyer) en HvJ EU 20 december 2017, ECLI:EU:C:2017:994 (Nowak).

  4. Wanneer een financiële instelling omvalt, zorgt de afwikkelingsautoriteit voor de gecontroleerde afwikkeling, bijvoorbeeld door het uitkeren van geld aan rekeninghouders.

  5. Gerecht EU 26 april 2023, ECLI:EU:T:2023:219 (GAR/EDPS), par. 2-24.

  6. Idem, par. 100-103.

  7. Idem, par. 104-105.

  8. Dit is overigens in lijn met de hiervoor genoemde Breyer-uitspraak. Ten onrechte wordt de Breyer-uitspraak soms geïnterpreteerd als betekenend dat een IP-adres te allen tijde een persoonsgegeven is.

  9. HvJ EU 9 november 2023, ECLI:EU:C:2023:837 (Gesamtverband Autoteile-Handel (Accès aux informations sur les véhicules)).

  10. Idem, par. 48-49.

  11. Idem, par. 49.

  12. De procedure is met zaaknummer C-413/23 P te vinden.

  13. Zie uitgebreid V. Zwaan e.a., ‘Kroniek Privacyrecht 2022’, Adv.bl. 2023-03, p. 91.

  14. Artikel 6 lid 1 sub b AVG.

  15. HvJ EU 4 juli 2023, ECLI:EU:C:2023:537 (Meta Platforms Ierland). De Bundeskartellamt had Facebook verboden om persoons­gegevens die Meta verzamelt op Facebook automatisch te koppelen aan persoonsgegevens die zij buiten Facebook verzamelt, tenzij een gebruiker daar expliciet toestemming voor geeft. Dit verbod leidde tot een omvangrijk arrest. Voor deze Kroniek behandelen wij slechts de onderdelen die zien op gepersonaliseerde advertenties.

  16. Overwegingen 100-105 AVG.

  17. Overwegingen 117-118 AVG.

  18. Overwegingen 69-70 AVG.

  19. Overwegingen 71-72 AVG. Zie hierover ook onze bespreking van een eerder arrest van het HvJ EU in V. Zwaan e.a., ‘Kroniek Privacyrecht 2022’, Adv.bl. 2023-03, p. 89-90.

  20. Overwegingen 76-79 AVG.

  21. Overwegingen 80-83 AVG.

  22. Het precieze bedrag hangt af van waar de gebruiker de aanschaf doet, via de app of via de website van Meta, te raadplegen op: https://about.fb.com/news/2023/10/facebook-and-instagram-to-offer-subscription-for-no-ads-in-europe/.

  23. noyb, ‘noyb files GDPR complaint against Meta over “Pay or Okay”’, te raadplegen op: https://noyb.eu/en/noyb-files-gdpr-complaint-against-meta-over-pay-or-okay.

  24. Emerce, ‘Europese toezichthouders werken aan standpunt ‘pay or okay’-model online platforms’, 26 januari 2024, https://www.emerce.nl/nieuws/europese-toezichthouders-werken-standpunt-pay-or-okaymodel-online-platforms.

  25. Hof Amsterdam 5 december 2023, ECLI:NL:GHAMS:2023:2971 (Criteo), r.o. 3.2-3.3.

  26. Idem, r.o. 4.12.

  27. Idem, r.o. 4.11.

  28. Idem, r.o. 4.11.

  29. Idem, r.o. 5.1.

  30. EDPB, ‘Report of the work undertaken by the Cookie Banner Taskforce’, vastgesteld op 17 januari 2023, te raadplegen op: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf.

  31. De AP kondigt op 6 februari 2024 aan dat zij misleidende cookiebanners gaat aanpakken, zie: https://www.autoriteitpersoonsgegevens.nl/actueel/ap-pakt-misleidende-cookiebanners-aan.

  32. A. Chavez, ‘The next step toward phasing out third-party cookies in Chrome’, Google, 14 december 2023, te raadplegen op: https://blog.google/products/chrome/privacy-sandbox-tracking-protection/.

  33. HR 25 november 2005, ECLI:NL:HR:2005:AU4019 (Lycos/Pessers).

  34. Voor de voorwaarden, zie Lycos/ Pessers, r.o. 3.5 waarin r.o. 4.10 van het arrest van het gerechtshof is opgenomen. Het arrest van het gerechtshof blijft in stand nu de Hoge Raad het cassatieberoep verwerpt.

  35. Zie ook C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2021’, Adv.bl. 2022-03, p. 83 onder ‘Gegevensverstrekking tussenpersonen’ en V. Zwaan e.a., ‘Kroniek Privacyrecht 2022’, Adv.bl. 2023-03, p. 90, onder ‘Strafrechtelijke persoonsgegevens’.

  36. Hof Arnhem-Leeuwarden 2 mei 2023, ECLI:NL:GHARL:2023:3598, (Brein/Ziggo inz. Calibre-bibliotheek).

  37. Brein/Ziggo inz. Calibre-bibliotheek, r.o. 4.15.

  38. Idem, r.o. 4.19 en 4.2.

  39. Idem, r.o. 4.21. Met het oordeel dat het versturen van waarschuwingsbrieven ook onder de uitzondering van art. 32 onder de UAVG valt, wijkt het hof af van zijn eerdere oordeel in een ander geschil tussen Brein en Ziggo (hof Arnhem-Leeuwarden 11 oktober 2022, ECLI:NL:GHARL:2022:8676 (Brein/Ziggo inz. FLU steekproeven). In Brein/Ziggo inz. FLU steekproeven wilde Brein een groep vermeende inbreukmakers aanspreken, maar kon zij tijdens de zitting nog niet aangeven of zij na het versturen van de waarschuwingen tot handhaving zou overgaan en zo ja, welke stappen zij zou nemen. Dat kon verschillen per inbreukmaker. Om die reden oordeelde het hof dat de verwerking voor het versturen van waarschuwingen niet noodzakelijk was voor de instelling, uitoefening of onderbouwing van een rechtsvordering (zie r.o. 3.18).

  40. Conclusie van A-G M. Szpunar 28 september 2023, ECLI:EU:C:2023:711 (La Quadrature du Net II). Opvallend is dat het de tweede conclusie van de A-G is in dezelfde zaak. Na de eerste conclusie van de A-G (op 27 oktober 2022, ECLI:EU:C:2022:838) verwees het HvJ EU de zaak naar de voltallige zitting, een indicatie dat het HvJ EU een belangrijke of afwijkende beslissing overweegt. Bij een dergelijke hernieuwde behandeling krijgt de A-G de gelegenheid om nogmaals te concluderen. In de tweede conclusie gaat de A-G dieper in op enkele onderwerpen.

  41. Conclusie van A-G M. Szpunar 28 september 2023, ECLI:EU:C:2023:711 (La Quadrature du Net II), par. 32-38.

  42. Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), zoals gewijzigd bij Richtlijn 2006/24/EG en Richtlijn 2009/136/EG.

  43. HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779 (Breyer).

  44. Zie C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2020’, Adv.bl. 2021-03, p. 70, onder ‘Fraudebestrijding en surveillance’.

  45. Zie onder meer HvJ EU 21 december 2016, ECLI:EU:C:2016:970 (Tele2 Sverige), HvJ EU 6 oktober 2020, ECLI:EU:C:2020:791 (La Quadrature du Net I), HvJ EU 6 oktober 2020, ECLI:EU:C:2020:790 (Privacy International). Zie ook de uitspraak waarmee het HvJ EU in 2014 de Dataretentierichtlijn heeft vernietigd, HvJ EU 8 april 2014, ECLI:EU:C:2014:238 (Digital Rights Ireland).

  46. De A-G stelde deze vraag eerder aan de orde in zijn conclusie van 17 december 2020, ECLI:EU:C:2008:54 (Mircom), par. 97 en zijn eerste conclusie bij La Quadrature du Net II (HvJ EU 27 oktober 2022, ECLI:EU:C:2022:838), par. 69-72.

  47. Zie onder meer HvJ EU arrest van 29 januari 2008, ECLI:EU:C:2008:54 (Promusicae), HvJ EU 19 april 2012, ECLI:EU:C:2012:219 (Bonnier Audio) en HvJ EU 18 oktober 2018, ECLI:EU:C:2018:841 (Bastei Lübbe).

  48. Zie onder meer eerste conclusie A-G inz. La Quadrature du Net II, par. 74 en tweede conclusie A-G inz. La Quadrature du Net II, par. 48.

  49. Tweede conclusie A-G inz. La Quadrature du Net II, par. 66-67.

  50. Tweede conclusie A-G inz. La Quadrature du Net II, par. 65-72.

  51. Idem, par. 27. Zie over de onmisbaarheid van het IP-adres als identificatiemiddel bij anonieme online inbreuken par. 61.

  52. Idem, par. 47-55.

  53. Idem, par. 75.

  54. Vgl. Brein/Ziggo inz. Calibre-bibliotheek, Brein/Ziggo inz. FLU steekproeven en hof Arnhem-Leeuwarden 5 november 2019, ECLI:NL:GHARL:2019:9352 (DFW/Ziggo). In DFW/Ziggo oordeelde het hof dat het belang van DFW bij afgifte van naw-gegevens niet zwaarder woog dan het belang van Ziggo en haar klanten omdat DFW onvoldoende duidelijk had gemaakt wat zij met de verkregen gegevens zou doen (r.o. 5.18-5.22). Het beroep in cassatie dat door DWF tegen het arrest is ingesteld, is door de Hoge Raad verworpen (zie HR 25 juni 2021, ECLI:NL:HR:2021:985). Zie hierover tevens C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2021’, Adv.bl. 2022-03, p. 83, onder ‘Gegevensverstrekking tussenpersonen’.

  55. EDPB, Richtsnoeren 01/2022 over de rechten van betrokkenen: het recht op inzage, versie 2.0, 28 maart 2023.

  56. HvJ EU 12 januari 2023, ECLI:EU:C:2023:3 (Österreichische Post AG).

  57. HvJ EU 22 juni 2023, ECLI:EU:C:2023:501 (Pankki S).

  58. HvJ EU 4 mei 2023, ECLI:EU:C:2023:369 (Österreichische Datenschutzbehörde).

  59. HvJ EU 26 oktober 2023, ECLI:EU:C:2023:811 (FT).

  60. V. Zwaan e.a., ‘Kroniek Privacyrecht 2022’, Adv.bl. 2023-03, p. 94.

  61. ABRvS 1 februari 2023, ECLI:NL:RVS:2023:394 (Appellant/Minister van Financiën).

  62. Rb. Gelderland 15 augustus 2023, ECLI:NL:RBGEL:2023:4646 (Eiser/Minister van Financiën).

  63. Hof Amsterdam 4 april 2023, ECLI:NL:GHAMS:2023:793 (Uber I); Hof Amsterdam 4 april 2023, ECLI:NL:GHAMS:2023:796 (Uber II); Hof Amsterdam 4 april 2023, ECLI:NL:GHAMS:2023:804 (Ola).

  64. AP, Besluit van 11 december 2023 (gepubliceerd 31 januari 2024), te raadplegen op https://www.autoriteitpersoonsgegevens.nl/actueel/uber-krijgt-boete-van-10-miljoen-euro-voor-overtreden-privacyregels (Boete Uber).

  65. Hoge Raad 15 september 2023, ECLI:NL:HR:2023:1216; zie tevens de conclusie van de procureur-generaal: Parket bij de Hoge Raad 9 december 2022, ECLI:NL:PHR:2022:1154.

  66. ABRvS 17 mei 2023, ECLI:NL:RVS:2023:1923.

  67. HvJ EU 4 mei 2023, ECLI:EU:C:2023:373 (Bundesrepublik Deutschland).

  68. HvJ EU 4 mei 2023, ECLI:EU:C:2023:370, C-300/21 (UI/Österreichische Post), m.nt. A.F. Fernhout & M.D. Reijneveld, Computerrecht 2023/216; S. Lindenbergh & M. Samsom, ‘Smartengeld wegens AVG-inbreuken na “Österreichische Post’’’, NJB 2023/1621; HvJ EU 14 december 2023, ECLI:EU:C:2023:986, C-340/21 (NAP).

  69. HvJ EU 4 mei 2023, ECLI:EU:C:2023:370, (UI/Österreichische Post).

  70. Idem, r.o. 29-30.

  71. Idem, r.o. 32.

  72. Idem, r.o. 49.

  73. Idem, r.o. 46 jo. overweging 146 AVG.

  74. Idem, r.o. 50.

  75. Idem, r.o. 53-54.

  76. Idem, r.o. 56.

  77. HvJ EU 14 december 2023, ECLI:EU:C:2023:986 (NAP).

  78. ‘NAP’ staat voor ‘Natsionalna agentsia za prihodite’, het nationale agentschap voor overheidsinkomsten van Bulgarije.

  79. NAP, r.o. 86.

  80. Idem, r.o. 79-80.

  81. Idem, r.o. 81 jo. overweging 146 AVG.

  82. Idem, r.o. 82 jo. overweging 85 AVG.

  83. Idem, r.o. 83.

  84. Idem, r.o. 84-85 jo. UI/Österreichische Post, r.o. 50.

  85. AP, ‘Coördinatie toezicht algoritmes & AI’, te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/themas/algoritmes-ai/coordinatie-toezicht-algoritmes-ai.

  86. AP, ‘Rapportage Algoritmerisico’s Nederland (RAN) - voorjaar 2023’, 17 juli 2023, te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/documenten/rapportage-algoritmerisicos-nederland-ran-voorjaar-2023.

  87. AP, Besluit van 2 november 2023 (gepubliceerd 17 november 2023), te raadplegen op: https://autoriteitpersoonsgegevens.nl/actueel/boete-van-30000-euro-voor-gemeente-voorschoten (Boete Gemeente Voorschoten).

  88. AP, ‘Nationale Politie overtrad wet bij Schengen Informatiesysteem (SIS)’, 20 december 2023, te raadplegen op: https://autoriteitpersoonsgegevens.nl/actueel/nationale-politie-overtrad-wet-bij-schengen-informatiesysteem-sis.

  89. Rb. Gelderland 17 juli 2023, ECLI:NL:RBGEL:2023:4071 (BKR/AP).

  90. Rb. Amsterdam 10 augustus 2023, ECLI:NL:RBAMS:2023:5074 (DPG Media/AP).

  91. Een besluit in reactie op een verzoek op grond van de Wet open overheid (Woo).

  92. AP, Besluit van 26 november 2020 (gepubliceerd 22 november 2023), te raadplegen op: https://autoriteitpersoonsgegevens.nl/documenten/woo-stukken-2023-223656-boete-vanwege-vingerafdrukscan-werknemers (Woo-stukken 2023-223656: Boete vanwege vingerafdrukscan werknemers).

  93. EDPB, Richtsnoeren 04/2022 voor de berekening van administratieve geldboeten krachtens de AVG, versie 2.1, 24 mei 2023.

  94. AP, ‘Boetebeleidsregels Autoriteit Persoonsgegevens 2023’, te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/documenten/boetebeleidsregels-autoriteit-persoonsgegevens-2023.

  95. Beleidsregels van de Autoriteit Persoonsgegevens van 6 juni 2023 met betrekking tot het bepalen van de hoogte van bestuurlijke boetes (Boetebeleidsregels Autoriteit Persoonsgegevens 2023), Stcrt. 2023, 34541.

  96. Rechtbank Rotterdam 6 april 2023, ECLI:NL:RBROT:2023:2931 (Blauw/Nebu), r.o. 5.10.

  97. Idem, r.o. 5.5-5.7, 5.11-5.12.

  98. Idem, r.o. 5.15.

  99. AP, ‘Rapportage AI- & algoritmerisico’s Nederland (RAN) - najaar 2023’, 18 december 2023, te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/documenten/rapportage-ai-algoritmerisicos-nederland-ran-najaar-2023.

  100. AP, ‘Coördinatie toezicht algoritmes & AI’, te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/themas/algoritmes-ai/coordinatie-toezicht-algoritmes-ai.

  101. Europees Parlement, ‘Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI’, 9 december 2023, te raadplegen op: https://www.europarl.europa.eu/news/en/press-room/20231206IPR15699/artificial-intelligence-act-deal-on-comprehensive-rules-for-trustworthy-ai; de tekst van de AI Act wordt op dat moment nog niet gepubliceerd, maar is in januari 2024 door een journalist gelekt.

  102. Europese Commissie, Commissiedocument 496 (final) van 2022.

  103. Europese Commissie, Commissiedocument 495 van 2022.

  104. Garante per la Protezione dei Dati Personali, ‘Artificial intelligence: stop to ChatGPT by the Italian SA. Personal data is collected unlawfully, no age verification system is in place for children’, te raadplegen op: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9870847#english.

  105. Garante per la Protezione dei Dati Personali, ‘ChatGPT: OpenAI reinstates service in Italy with enhanced transparency and rights for european users and non-users’, 28 april 2023, te raadplegen op: https://www.gpdp.it/home/docweb/-/docweb-display/docweb/9881490#english.

  106. Idem.

  107. Rb. Amsterdam 25 oktober 2023, ECLI:NL:RBAMS:2023:6694 (TikTok).

  108. Op 10 januari 2024 werden ook de andere twee belangenorganisaties in deze procedure ontvankelijk verklaard. De laatste twee werden aangemerkt als exclusieve belangen­behartiger en zullen gezamenlijk doorprocederen.

  109. De verschillende collectieve vorderingen zijn te raadplegen op: https://www.rechtspraak.nl/Registers/centraal-register-voor-collectieve-vorderingen.