Door Christiaan Alberdingk Thijm, Vita Zwaan, Marieke Berghuis, Silvia van Schaik, Caroline de Vries, Jacob van de Velde, Sarah Stapel, allen werkzaam bij bureau Brandeis in Amsterdam.

Corona en het recht op de persoonlijke levenssfeer

Nationale wetgeving

Was de CoronaMelder-app een ‘hot topic’ in 2020, 2021 was het jaar van het coronatoegangsbewijs en de CoronaCheck-app. Op 1 juni 2021 treedt de Tijdelijke wet coronatoegangsbewijzen in werking, waarmee de tijdelijke coronawetgeving in de Wet publieke gezondheid werd uitgebreid. Deze wet biedt de grondslag om coronatoegangsbewijzen in te zetten bij het tegengaan van de verspreiding van het coronavirus bij het heropenen of geopend houden van de samenleving.1 Op 22 november 2021 wordt een wetsvoorstel ingediend om de inzet van coronatoegangsbewijzen te verbreden, onder meer naar de werkvloer.2 Een vaccinatieplicht blijft uit in Nederland.

Rechtspraak EHRM

Het Europees Hof voor de Rechten van de Mens (EHRM) doet in 2021 een aantal uitspraken over de rechtmatigheid van een vaccinatieplicht. Midden in de coronapandemie speelt de Tsjechische zaak waarin de Grote Kamer van het EHRM zich buigt over een vaccinatieplicht bij kinderen.3 De zaak gaat over een Tsjechische wet op basis waarvan ouders die zonder geldige reden niet voldoen aan de vaccinatieplicht een boete kan worden opgelegd. Ook regelt de wet dat niet-gevaccineerde kinderen toegang tot de voorschool of de kleuterschool kan worden ontzegd. De bezwaren van de ouders tegen vaccinatie kunnen volgens het EHRM niet zwaarder wegen dan het zwaarwegende belang van bescherming van de volksgezondheid, nu een hoge vaccinatiegraad nodig is om kwetsbare kinderen en groepen te beschermen. De wetgeving vormt geen schending van artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM).

Dat het opleggen van een wettelijke vaccinatieplicht tegen COVID-19 in beginsel geoorloofd is, wordt in 2021 steeds duidelijker. In Europese Unie (EU)-landen als Italië, Griekenland en Frankrijk wordt nationale wetgeving ingevoerd op basis waarvan werknemers verplicht worden zich te laten vaccineren. Het EHRM wijst enkele klachten tegen deze wetgeving in 2021 af.4

Nationale rechtspraak

Het gerechtshof Den Haag oordeelt op 14 december 2021 in een tweetal zaken dat een mondkapjesplicht niet in strijd is met artikel 8 EVRM (ECLI:NL:GHDHA:2021:2452/2453).5 In beide zaken besluit het hof dat de regeling noodzakelijk en proportioneel is. De inbreuk op de grondrechten is geoorloofd. Op 15 december 2021 beslist de rechtbank Amsterdam dat de eer en goede naam van Holocaustoverlevers en hun nabestaanden prevaleren boven de vrije meningsuiting van Tweede Kamerlid Thierry Baudet (ECLI:NL:RBAMS:2021:7392).6 Baudet vergeleek op sociale media ongevaccineerden met slachtoffers van de Holocaust. De rechter oordeelt dat deze vergelijking mank gaat, nu de Joden vervolgd werden om wie ze waren; een eigenschap die zij niet door middel van een vaccinatie of test alsnog kunnen veranderen.7

Het gerechtshof Amsterdam bekrachtigt op 1 juni 2021 het vonnis van de voorzieningenrechter van de rechtbank Amsterdam dat de Universiteit van Amsterdam ‘online proctoring’, digitale surveillance om fraude tijdens tentamens te voorkomen, mocht inzetten bij het afnemen van tentamens (ECLI:NL:GHAMS:2021:1560).8 Het hof beslist dat de studentenraad geen instemmingsrecht had en dat het gebruik van de software voldoet aan de eisen van de AVG en niet in strijd is met artikel 8 EVRM.

GGD

In januari 2021 wordt bekend dat persoonsgegevens uit de systemen van de Gemeentelijke Geneeskundige Dienst (GGD) zijn gestolen en verhandeld.9 De Autoriteit Persoonsgegevens (AP) besluit een onderzoek naar de 25 GGD’s en de brancheorganisatie GGD GHOR te intensiveren. Op 8 november 2021 publiceert de AP de resultaten van het onderzoek.10 Uit dit onderzoek blijkt dat er nog steeds wezenlijke risico’s bestaan voor de bescherming van persoonsgegevens bij het testen, vaccineren en het bron- en contactonderzoek tijdens de coronapandemie. De AP legt geen boete op, maar draagt de 25 GGD’s onder meer op de beveiliging te verbeteren en betere afspraken met andere partijen zoals leveranciers te maken. Op 6 december 2021 wordt een collectieve actie aangekondigd door Stichting ICAM om het ministerie van Volksgezondheid, Welzijn en Sport aansprakelijk te houden voor het GGD-datalek.11

Gegevensverstrekking tussenpersonen

In 2021 doet zowel de Hoge Raad (HR) als het Hof van Justitie van de Europese Unie (HvJ EU) uitspraak in zaken over de vraag wanneer internettussenpersonen persoonsgegevens van hun klanten die mogelijk onrechtmatig hebben gehandeld moeten verstrekken aan derden.12 In beide zaken worden de abonnees van de tussenpersonen ervan verdacht auteursrechtinbreuk te plegen via peer-to-peernetwerken. De rechthebbenden of degenen die voor hen optreden, hebben de IP-adressen van de vermeende inbreukmakers verzameld en willen dat de internetprovider de bij de IP-adressen passende naam- en adresgegevens verstrekt.

De Nederlandse rechter beoordeelt dit type bevelen meestal op basis van het Lycos/Pessers-arrest uit 2005.13 Het gaat in deze zaken dikwijls om botsende grondrechten: aan de ene kant het gegevensbeschermingsrecht van de klant en aan de andere kant het recht op een doeltreffende voorziening in rechte van degene die de gegevens opvraagt bij de tussenpersoon.14

In 2021 krijgt de HR de kans om te beoordelen of het kader uit 2005 nog steeds van toepassing is. Nodig, omdat in 2009 het Handvest van de grondrechten van de Europese Unie (‘Handvest’) in werking is getreden en in 2018 de Algemene Verordening Gegevensbescherming (AVG) is ingevoerd. Bovendien heeft het HvJ EU diverse arresten gewezen over de vraag wanneer een vordering om persoonsgegevens te verkrijgen, kan worden toegewezen. In zijn jurisprudentie benadrukt het HvJ EU consequent dat in het geval van botsende grondrechten een ‘juist evenwicht’ moet worden gevonden tussen verschillende fundamentele rechten.15

In de Nederlandse zaak oordeelde het gerechtshof Arnhem-Leeuwarden in hoger beroep dat internetprovider Ziggo niet gehouden was identificerende gegevens van haar klanten aan Dutch FilmWorks te verstrekken.16 Een oordeel dat in de literatuur kritisch is ontvangen.17 Helaas doet de HR de zaak in cassatie zonder inhoudelijke beoordeling af met toepassing van artikel 81 RO. Met een gemotiveerde uitspraak worden volgens de HR dus geen belangrijke nieuwe rechtsvragen beantwoord. Dat er ook anders over deze materie gedacht kan worden, blijkt uit de zaak-Mircom van het HvJ EU, waarin het HvJ EU een week voor de uitspraak van de HR arrest had gewezen. In deze zaak vroeg de Belgische rechter het HvJ EU onder meer of artikel 6 sub f AVG eraan in de weg staat dat internetprovider Telenet identificerende gegevens van haar klanten aan Mircom verstrekt. Het antwoord van het HvJ EU luidt ontkennend. Het HvJ EU overweegt dat wanneer een tussenpersoon een rechthebbende namen en adressen van (mogelijk) inbreukmakende klanten verstrekt, dit in overeenstemming is met het doel om een juist evenwicht tot stand te brengen tussen het recht op informatie van rechthebbenden en het recht op bescherming van de persoonsgegevens van de inbreukmakers. Het HvJ EU vindt dit geen ‘ernstige’ inmenging in de persoonlijke levenssfeer, nu het slechts contactgegevens betreft.18

Internationale doorgifte van persoonsgegevens

Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) is alleen toegestaan als sprake is van een passend beschermingsniveau voor persoonsgegevens in het betreffende land. Dit is onder meer het geval wanneer een adequaatheidsbesluit van de Europese Commissie (EC) van toepassing is (art. 45 AVG). De EC neemt in 2021 twee nieuwe adequaatheidsbesluiten: een voor Zuid-Korea en een voor het Verenigd Koninkrijk.19 Doorgifte is ook mogelijk als er sprake is van passende waarborgen en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken (art. 46 AVG). Voorbeelden van deze mechanismen zijn de standaardbepalingen (SCCs) van de EC en bindende bedrijfsvoorschriften.

In de Schrems II-zaak van juli 2020 verklaart het HvJ EU het EU-VS Privacy Shield ongeldig en stelt het nadere eisen aan het gebruik van SCCs.20 Dit arrest bespraken wij in de Kroniek over 2020.21 Vooralsnog is er geen vervanging van het Privacy Shield in zicht. Wel heeft een aantal andere ontwikkelingen plaatsgevonden op het gebied van internationale doorgifte.

Op 4 juni 2021 neemt de EC nieuwe SSCs en een model verwerkersovereenkomst aan. De nieuwe SCCs zijn op 27 juni 2021 in werking getreden. Reeds gesloten oude SCCs kunnen tot 27 december 2022 worden gebruikt.

Op 18 juni neemt de Europese toezichthouder, het Europees Comité voor gegevensbescherming (European Data Protection Board, EDPB), de definitieve versie aan van de aanbevelingen voor maatregelen voor internationale datadoorgifte.22 Ten opzichte van het eerdere concept van 10 november 2020,23 creëert de EDPB een meer risicogebaseerde aanpak. Partijen moeten niet alleen de wetgeving beoordelen van het land waarnaar persoonsgegevens worden doorgegeven, maar ook de praktische uitvoering daarvan is relevant. Ook publiceert de EDPB richtsnoeren over de vraag wanneer sprake is van een doorgifte waarop de regels van de AVG van toepassing zijn.24

Op 27 mei start de European Data Protection Supervisor (EDPS) twee onderzoeken naar internationale datadoorgifte in het kader van het gebruik van clouddiensten van Microsoft en Amazon door EU-organen.25

Rechten van betrokkenen

Hoofdstuk 3 van de AVG kent betrokkenen verschillende rechten toe om controle te houden over hun persoonsgegevens.26

HR oordeelt over BKR-registraties

Op 3 december 2021 geeft de HR antwoord op prejudiciële vragen over de verwerking van persoonsgegevens in het zogenaamde kredietregistratiestelsel van Stichting BKR.27 Aan de orde is de vraag aan welke van de in artikel 6 AVG genoemde rechtsgronden de kredietregistratie in het Centraal Krediet Informatiesysteem (CKI) moet worden getoetst. Vindt registratie plaats ter nakoming van een wettelijke verplichting van kredietaanbieders (art. 6 lid 1 onder c AVG), of ter behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of een derde (art. 6 lid 1 onder f AVG)? De grondslag is onder meer28 van belang voor de rechten van betrokkenen: in het geval de c-grond van toepassing is, hebben kredietnemers namelijk geen recht van bezwaar (art. 21 AVG) en geen recht op gegevenswissing (art. 17 lid 3 sub b AVG).

In navolging van Advocaat-Generaal (A-G) Rank-Berenschot29, oordeelt de HR dat de verwerking van persoonsgegevens bij BKR-registraties getoetst moet worden aan de hand van de maatstaf van artikel 6 lid 1 sub f AVG (gerechtvaardigd belang). De wettelijke verplichting tot deelname aan het stelsel van kredietregistratie is onvoldoende om de verwerking op een wettelijke plicht te kunnen baseren. De relevante bepalingen uit de Wet op het financieel toezicht30 voldoen volgens de HR niet aan de maatstaf van artikel 6 lid 3 AVG31, nu uit die bepalingen niet blijkt welke persoonsgegevens geregistreerd moeten worden, wat de voorwaarden voor registratie zijn en binnen welke termijnen tot verwijdering moet worden overgegaan.32 Nu een gerechtvaardigd belang de grondslag vormt voor de verwerking in het kader van het BKR, heeft de betrokkene van wie persoonsgegevens zijn geregistreerd het recht op gegevenswissing33 en het recht van bezwaar.34 Die rechten geven overigens geen garantie op ongedaanmaking van BKR-registraties, maar nopen wel tot een heroverweging waarbij de financiële instelling zal moeten onderbouwen waarom de registratie is gedaan en dient te worden gehandhaafd.35

Ola en Uber

In maart 2021 besteedt de rechtbank Amsterdam in een serie van drie uitspraken aandacht aan de rechten van zogenaamde ‘platformwerkers’, de chauffeurs van taxidiensten Ola en Uber (ECLI:NL:RBAMS:2021:1018/1019/1020).36 De uitspraken zijn met name interessant voor de reikwijdte van het inzagerecht in relatie tot geautomatiseerde besluitvorming en profilering.

Volgens de chauffeurs komen beslissingen over het deactiveren van chauffeurs, het verlagen van hun loon en het herverdelen van ritten door Uber en Ola tot stand door middel van geautomatiseerde besluitvorming en profilering. De chauffeurs willen meer transparantie over de wijze waarop Uber en Ola hun persoonsgegevens verwerken en deze geautomatiseerde besluiten nemen. Om die reden verzochten zij inzage in hun persoonsgegevens. Op grond van het inzagerecht heeft de betrokkene onder meer recht op informatie over het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering,37 alsmede over de onderliggende logica, het belang en de verwachte gevolgen voor de betrokkene. Artikel 22 lid 1 AVG geeft de betrokkene het recht niet te worden onderworpen aan een uitsluitend38 op geautomatiseerde verwerking gebaseerd besluit, waaronder profilering, waaraan voor hem rechtsgevolgen zijn verbonden of dat hem in aanmerkelijke mate treft.39

In de uitspraken lijkt de rechtbank de reikwijdte van het recht op informatie gelijk te stellen aan het bereik van het recht om niet te worden onderworpen aan geautomatiseerde besluitvorming.40 Of de chauffeurs recht hebben op informatie over bijvoorbeeld het fraudebestrijdingsproces (Uber I) of het matching-systeem voor het toedelen van ritten (Ola), is afhankelijk van de vraag of 1) sprake is van een besluit, 2) of dat besluit uitsluitend gebaseerd is op geautomatiseerde verwerking en 3) of het besluit rechtsgevolgen heeft voor de chauffeurs of hen anderszins in aanmerkelijke mate treft. Is geen sprake van louter geautomatiseerde besluitvorming, of van een ‘aanmerkelijk effect’, dan is ook geen sprake van geautomatiseerde besluitvorming en dus geen recht op informatie op grond van artikel 15 lid 1 sub h AVG.41 In dat geval hebben de chauffeurs slechts recht op informatie over de persoonsgegevens die worden verwerkt, maar niet op andere informatie over het gebruikte systeem.42

Zo overweegt de rechtbank dat de beslissing tot deactivering van een account niet volledig automatisch plaatsvindt, omdat er een onderzoek door medewerkers aan voorafgaat.43 De beslissing om een rit aan een chauffeur toe te bedelen, is weliswaar automatisch maar heeft geen ‘aanmerkelijk effect’ en kwalificeert om die reden niet als geautomatiseerde besluitvorming in de zin van artikel 22 lid 1 AVG.44 Wél aanmerkelijk effect heeft volgens de rechtbank een besluit om een korting of boete op te leggen, aangezien dit neerkomt op een sanctie voor de chauffeurs.45 De chauffeurs hebben daarom recht op informatie waarmee de gemaakte keuzes, gebruikte gegevens en aannames op basis waarvan de geautomatiseerde beslissing wordt genomen inzichtelijk en controleerbaar zijn.46

Richtsnoeren beperkingen (art. 23 AVG)

In oktober publiceert de EDPB definitieve richtsnoeren over de mogelijke beperkingen van de rechten van betrokkenen.47 Op grond van artikel 23 AVG, in Nederland nader ingevuld in artikel 41 Uitvoeringswet AVG (UAVG), kunnen de rechten van betrokkenen worden beperkt door middel van wettelijke bepalingen, op voorwaarde dat die beperking noodzakelijk en evenredig is ter waarborging van één of meer in het artikel genoemde belangen.48 De richtsnoeren bevatten een diepgaande analyse van elke voorwaarde die artikel 23 AVG stelt en de te verrichten proportionaliteitstoets. Uitgangspunt is dat beperkingen strikt moeten worden uitgelegd. Zij moeten zijn neergelegd in een duidelijke en voorzienbare49 Europese of nationale wetgevende norm.50 Beperkingen moeten verder de wezenlijke inhoud van het recht dat wordt beperkt respecteren. Zij mogen nooit resulteren in een ‘general suspension of all rights’.51

Schadevergoeding wegens privacyinbreuk

Op grond van artikel 82 AVG kan een betrokkene aanspraak maken op vergoeding van materiële en immateriële schade ten gevolge van een inbreuk op de AVG. Na een aantal belangwekkende uitspraken over dit onderwerp in 2020,52 laat de rechtspraak zich hier ook in 2021 over uit. Het levert een gemengd beeld op. In sommige gevallen wordt wel schadevergoeding toegewezen en in andere niet. Het is niet altijd even duidelijk waarom wel/niet. In vrijwel alle zaken gaat het om vorderingen tot vergoeding van immateriële schade.

Wel schadevergoeding

In de zaken waarin een schadevergoeding wordt toegewezen, gaat het soms om aanzienlijke bedragen. Zo wijst de rechtbank Rotterdam een bedrag van € 2.500 toe wegens een langdurige overtreding van de AVG (ECLI:NL:RBROT:2021:6822)53 en het gerechtshof Arnhem zelfs € 4.000 wegens het ten onrechte publiceren van de naam van een voormalig arts op een online zwarte lijst (ECLI:NL:GHARL:2021:3206).54 In andere uitspraken worden lagere bedragen toegewezen, zoals € 500 wegens het ten onrechte publiceren van het burgerservicenummer, telefoonnummer en e-mailadres van een persoon die een vergunning had aangevraagd op de website van de gemeente Oldambt (ECLI:NL:RBHHE:2021:106).55 De uitspraken van de Afdeling bestuursrechtspraak van de Raad van State (Afdeling) van 1 april 2020, besproken in de Kroniek van vorig jaar, worden door veel rechters als leidraad genomen.56

Geen schadevergoeding

In ander gevallen wordt schadevergoeding juist afgewezen. Zo oordelen de rechtbank Gelderland (ECLI:NL:RBGEL:2021:1888)57 en de rechtbank Midden-Nederland (ECLI:NL:RBMNE:2021:1865)58 dat eisers, ondanks overtreding van de AVG geen aanspraak kunnen maken op vergoeding van immateriële schade omdat zij hun schade onvoldoende onderbouwd hebben. In een zaak over het gepubliceerd houden van gegevens van een geschorste advocaat door de Nederlandse orde van advocaten (Orde) oordeelt de Afdeling dat de Orde een nieuw besluit moet nemen op het vergeetverzoek, waarbij de Orde in moet gaan op de vraag of het geplaatst houden van de advocaat op de lijst nog noodzakelijk is (ECLI:NL:RVS:2021:111). De Afdeling wijst de vordering tot schadevergoeding vooralsnog af (zonder verwijzing naar haar eigen rechtspraak).59

Op Europees niveau

Ook in andere landen bestaat onduidelijkheid over hoe het AVG-schadevergoedingsrecht moet worden toegepast. Zo stelt de hoogste rechter in Oostenrijk prejudiciële vragen aan het HvJ EU over een materialiteitseis. Moet er daadwerkelijk schade zijn geleden of is een enkele inbreuk op de AVG voldoende om aanspraak te kunnen maken op schadevergoeding onder de AVG? En mag er een minimumdrempel worden opgelegd?60 Ook het Duitse constitutionele hof is van mening dat hierover vragen moeten worden gesteld.61 Het HvJ EU moet in deze zaken nog oordelen. Wordt dus vervolgd.

Tracking en targeting

Ontwikkelingen op het gebied van wetgeving

Het online volgen (tracking) en benaderen (targeting) van consumenten, met name voor reclamedoeleinden en veelal met gebruikmaking van cookies, staat steeds meer onder druk. De kritiek op de adtech-industrie neemt toe. Er is dan ook verschillende wetgeving in de maak om tracking en targeting (verder) aan banden te leggen.

Allereerst de ePrivacyverordening.62 Deze verordening zal onder meer de regels voor trackingcookies aanpassen. Op 10 februari 2021, vier jaar na het voorstel van de EC, bereikt de Raad van de EU (de Raad) overeenstemming over de tekst.63 In de triloog moeten ze tot een definitieve tekst komen. De Raad en het Europees Parlement (EP) verschillen echter nog van mening over een aantal belangrijke kwesties.64 Wanneer de verordening finaal zal zijn, is dus de vraag. Dat het EP een andere visie heeft op het gebruik van trackingtechnologieën dan de Raad blijkt ook uit een brief die het EP op 18 oktober stuurt naar honderd technologiebedrijven. In de brief verzoekt het EP deze bedrijven te stoppen met bijdragen aan de ondoorzichtige en giftige adtech-industrie en om minder ingrijpende alternatieven te gebruiken. Terwijl de Googles en Facebooks van de wereld hiervan profiteren, lopen kleinere bedrijven en uitgevers voortdurend nodige inkomsten mis. Alternatieven zijn ruimschoots voorhanden en als bedrijven de overstap daarnaar niet willen maken, moeten zij motiveren waarom niet, aldus het EP.65

Ook de toekomstige Digital Services Act (DSA) en Digital Markets Act zullen tracking en targeting verder reguleren.66 De EDPB publiceert in 2021 een verklaring over deze voorstellen. Daarin stelt zij zich op het standpunt dat strengere regulering van online gerichte advertenties nodig is.67 Het EP neemt een deel van de aanbevelingen van de EDPB over, wanneer zij begin 2022 stemt over de amendementen op de DSA. Het algemeen verbod op tracking krijgt geen meerderheid. Wel komt er een verbod op gerichte advertenties op grond van politieke voorkeur, religie of seksuele geaardheid en op het online volgen van kinderen.68 Eind 2021 presenteert de EC tenslotte een voorstel voor het beter reguleren van politieke advertenties. Politieke advertenties moeten als zodanig herkenbaar zijn, informatie bevatten over wie ervoor heeft betaald en hoeveel. Het gebruik van microtargeting moet openbaar bekend worden gemaakt en gevoelige gegevens mogen alleen met uitdrukkelijke toestemming van de betrokkene worden verwerkt.69

Richtsnoeren over het targeten van socialemediagebruikers

Op 13 april publiceert de EDPB richtsnoeren (8/2020) over targeting van socialemediagebruikers.70 De richtsnoeren richten zich vooral op de rollen en verantwoordelijkheden van adverteerders en aanbieders van sociale media.71 Ze beschrijven verschillende scenario’s van gericht adverteren en beantwoorden daarbij steeds de vragen: wie moet worden aangemerkt als de verwerkingsverantwoordelijke en op basis van welke grondslag kan de verwerking plaatsvinden? De EDPB geeft brede definities van targeting en tracking.72

Voor het overgrote deel van de situaties merkt de EDPB de adverteerder en de aanbieder van sociale media (deels) aan als gezamenlijke verwerkingsverantwoordelijken. Toestemming is in de meeste situaties de enige mogelijke grondslag. Dit geldt onder meer voor de situatie dat een adverteerder bepaald gedrag van personen, zoals ‘likes’, gebruikt om interesses af te leiden en op basis daarvan te adverteren.73 Slechts enkele beperkte vormen van adverteren kunnen plaatsvinden zonder toestemming, zoals wanneer de gegevens door de gebruiker zelf zijn verstrekt.74 Adverteerders kunnen zich dan beroepen op hun gerechtvaardigd belang. De EDPB herhaalt de noodzaak van transparantie en het uitvoeren van data protection impact assessments (DPIA’s).75

Invloed van belangenorganisaties

Ook belangenorganisaties laten steeds meer van zich horen. Een goed voorbeeld daarvan is None of Your Business (noyb), de organisatie van privacy-activist Max Schrems.76 Noyb dient in mei 2021 tegen meer dan vijfhonderd bedrijven klachten in over onrechtmatige cookiebanners.77 De EDPB richt naar aanleiding hiervan een taskforce op (o.g.v. art. 70 lid 1 AVG) om de reacties van de verschillende toezichthouders te coördineren.78

Handhaving

In Nederland is de AP belast met de handhaving van de AVG en andere regels met betrekking tot persoonsgegevens.79 Daartoe beschikt de AP over verschillende bevoegdheden, zoals het opleggen van een boete of een last onder dwangsom of het publiceren van onderzoeksresultaten. Voor de periode 2020-2023 legt zij in het toezichtwerk extra nadruk op de focusgebieden datahandel, digitale overheid en artificiële intelligentie en algoritmes.80 In 2021 maakt de AP op verschillende manieren gebruik van haar handhavingsmiddelen.

De AP publiceert in 2021 elf boetes.81 Vijf daarvan gaan over het onvoldoende beveiligen van veelal medische gegevens.82 Twee gaan over het niet-voldoen aan de meldplicht datalekken.83 De overige vier boetes gaan over verschillende onderwerpen. Zo legt de AP een boete op aan de gemeente Enschede wegens het gebruik van wifitracking zonder grondslag,84 aan Locateyourfamily.com wegens het onrechtmatig openbaar maken van gegevens,85 aan TikTok wegens het schenden van de privacy van kinderen86 en aan de Belastingdienst wegens discriminatie.87 Daarnaast maakt de AP bekend dat zij het toezicht op een (niet-genoemde) gemeente verzwaarde omdat zij signalen heeft ontvangen dat de gemeente de gegevens van burgers onvoldoende beschermt.88 Ook publiceert zij het hiervoor al aangehaalde onderzoek naar de GGD, die ondanks een datalek en geïntensiveerd toezicht eind 2021 nog altijd de persoonsgegevens die zij verwerkt in het kader van corona niet adequaat beschermt.89

Al met al scheppen de boetes en andere vormen van handhaving een divers beeld. Opvallend is dat de AP zich, ondanks haar focusgebieden, nog steeds veel bezig lijkt te houden met de beveiliging en overige bescherming van gezondheidsgegevens en geen (openbaar gemaakte) sancties oplegt in verband met datahandel. Mogelijk komt daar in 2022 verandering in.

Collectieve acties

Op 1 januari 2020 is de Wet afwikkeling massaschade in collectieve actie (WAMCA) in werking getreden.90 De WAMCA introduceert onder meer de mogelijkheid om in collectieve procedures schadevergoeding te vorderen en om collectief op te komen voor personen die zich niet (actief) hebben aangemeld.91 Daarmee ontstaat de mogelijkheid namens een grote groep gedupeerden op te treden. Dit maakt de WAMCA interessant voor het vorderen van schade wegens schendingen van de AVG. Hierbij bestaat immers vaak een grote groep slachtoffers terwijl de schade per persoon onvoldoende opweegt tegen de proceskosten. In de praktijk heeft deze ontwikkeling geleid tot een aantal collectieve schadevergoedingsacties, met name tegen big tech-bedrijven. Zo staan er dagvaardingen in het register tegen TikTok, Facebook, Oracle en Salesforce.92 Uit de eerste uitspraken van de rechtbanken blijkt dat er nog veel onduidelijk is.

Uitspraken in Nederland

In een kortgedinguitspraak van 8 januari 2021 wijst de rechtbank Midden-Nederland de vorderingen van Stichting Stop Online Shaming (SOS) tegen SIN.nl toe (ECLI:NL:RBMNE:2021:23).93SIN.nl exploiteerde de websites zwartelijstartsen.nl en .com. Op de websites was een zwarte lijst met namen, foto’s en andere persoonsgegevens te vinden van, volgens SIN.nl, ‘falende’ zorgverleners. Volgens de rechtbank gaat het om ernstige beschuldigingen die zonder feitelijke basis de eer en goede naam van de zorgverleners schenden. De rechtbank acht de verwerking onder meer in strijd met het verbod op verwerking van strafrechtelijke persoonsgegevens (art. 10 AVG).94

Op 30 juni verklaart de rechtbank Amsterdam de Data Privacy Stichting ontvankelijk in haar vorderingen jegens Facebook (ECLI:NL:RBAMS:2021:3307).95 De procedure vindt plaats op basis van de voorganger van de WAMCA, de Wet collectieve afwikkeling massaschade (WCAM).96 Er wordt dan ook geen schadevergoeding gevorderd. Volgens de stichting verkoopt Facebook persoonsgegevens aan adverteerders voor targetingdoeleinden. De rechtbank oordeelt dat de Nederlandse rechter bevoegd is gelet op de samenhangende vorderingen tegen Facebook Ierland, Facebook Inc. en Facebook Nederland, de vestigingsplaats van Facebook Nederland en de schade die in Nederland plaatsvindt.97 Ook is Nederlands recht van toepassing.98 De stichting is ontvankelijk omdat de beweerde onrechtmatige activiteiten voor elk individu gelijk zijn en de vorderingen daarom gebundeld kunnen worden.99 Dat de stichting is opgericht voor deze procedure en gefinancierd wordt door een Amerikaanse financier, is geen bezwaar. De belangen van de achterban zijn adequaat gewaarborgd.100 Facebook moet nu inhoudelijk reageren op de vorderingen van de stichting.101

Op 29 december doet de rechtbank Amsterdam de eerste Nederlandse uitspraak in een collectieve procedure waarin schadevergoeding wordt gevorderd onder de WAMCA (ECLI:NL:RBAMS:2021:7647).102 De rechtbank oordeelt dat stichting The Privacy Collective niet-ontvankelijk is in haar vorderingen tegen techbedrijven Oracle en Salesforce, omdat zij niet op de juiste wijze steun van haar achterban heeft verkregen en daarmee niet representatief is. Om redenen van dataminimalisatie heeft de stichting steun voor haar vordering verzameld met een steunknop op haar website (vergelijkbaar met ‘likes’). Volgens de rechtbank is deze methode niet geschikt om steun van de achterban mee aan te tonen.103 Representativiteit kan volgens de rechtbank ook niet worden aangetoond via steun van privacy-organisaties.104 Opvallend aan de uitspraak is verder dat de rechtbank signaleert dat meer duidelijkheid over de verhouding tussen de WAMCA en artikelen 80 en 82 AVG nodig is, zonder daarover een inhoudelijk oordeel te vellen.105Op 2 december concludeert A-G de la Tour in de HvJ EU-zaak BVV/Facebook Ierland dat artikel 80 lid 2 AVG er niet aan in de weg staat dat een consumentenorganisatie op grond van een regeling in consumentenrecht collectief optreedt tegen een schending van de AVG.106

Het Verenigd Koninkrijk

Op 10 november doet het Supreme Court in het Verenigd Koninkrijk uitspraak in de zaak-Google/Lloyd.107 De procedure vindt plaats op basis van het systeem van de ‘representatieve actie’, waarbij een representatief lid van een groep procedeert namens die groep.108 Volgens het Supreme Court is deze representatieve actie echter niet geschikt voor schade door privacy-inbreuken, omdat daarbij de schade concreet en individueel moet worden vastgesteld. De precieze schade van elke Google gebruiker verschilt per geval en kan niet worden begroot. De vordering kan daarom niet slagen.109 Het Supreme Court overweegt nog wel dat in dergelijke gevallen van massaschade in de digitale context een collectieve actie de enige mogelijkheid is ‘to come at justice’.110 Het Engelse recht biedt deze mogelijkheid echter niet.

Fraudebestrijding en surveillance

In de Kroniek van 2020 bespraken wij de SyRI-uitspraak over fraudebestrijding111 en twee uitspraken van het HvJ EU over surveillance.112 Beide onderwerpen komen in 2021 opnieuw aan bod, in een onderzoeksrapport van de AP en in verschillende uitspraken van het EHRM.

Fraudebestrijding

Op 29 oktober publiceert de AP een onderzoeksrapport over de omstreden ‘Fraude Signalering Voorziening’ (FSV), het systeem van de Belastingdienst voor het registreren van ‘risicosignalen’ dat in 2020 werd uitgezet nadat het in opspraak raakte.113 De FSV werd door de Belastingdienst gebruikt voor de registratie van onder meer signalen van mogelijke fraude.114 De gevolgen voor de burger van registratie op deze zwarte lijst konden groot zijn. Registratie kon leiden tot stigmatisering, maar ook tot intensief toezicht van de Belastingdienst,115 met alle financiële gevolgen van dien.116 Het rapport van de AP over de FSV is vernietigend. De handelwijze van de Belastingdienst is volgens de toezichthouder op ten minste zes punten in strijd met de AVG. Zo was het doel van de FSV onvoldoende duidelijk, hetgeen in strijd is met het beginsel van doelbinding.117 Gegevens in de FSV waren onjuist en niet actueel, waardoor mensen onterecht als potentieel fraudeur in het systeem bleven staan.118 De signalen werden voorts veel te lang bewaard, in strijd met het beginsel van opslagbeperking.119 Ook de beveiliging van de FSV was onvoldoende.120

Verder zijn met name de overwegingen van de AP over rechtmatigheid interessant. De verwerking van persoonsgegevens kon, anders dan de Belastingdienst meende, niet worden gebaseerd op de uitvoering van een wettelijke verplichting en/of de uitvoering van een publieke taak.121 Een wettelijke plicht die de Belastingdienst verplicht de gegevens te verwerken bestaat niet. De Belastingdienst heeft verder weliswaar een publieke taak om toezicht te houden op de naleving van belasting- en toeslagenwetgeving, maar daarmee is het voor burgers nog niet voorzienbaar dat een database als de FSV wordt bijgehouden. De Belastingdienst kon de verwerking dus ook niet op zijn publieke taak baseren.122 De AP zal nog besluiten over een eventuele sanctie.123 Het onderzoeksrapport zal zonder meer van belang zijn voor diverse andere systemen die de Belastingdienst in gebruik heeft en die nog worden doorgelicht.124

Surveillance

Op 25 mei 2021 oordeelt de Grote Kamer, bestaande uit zeventien rechters, van het EHRM in twee zaken over het gebruik van surveillancebevoegdheden door inlichtingendiensten, Big Brother Watch e.a/het Verenigd Koninkrijk125 en Centrum för Rättvisa/Sweden126. Beide zaken betreffen regimes van bulkinterceptie (massasurveillance). Hoewel de regimes verschillen, komen de uitspraken voor een groot deel overeen. We bespreken daarom de kern van de uitspraken aan de hand van de Big Brother Watch-uitspraak.

In Big Brother Watch gaat het om het Britse regime voor bulkinterceptie. De procedure vindt zijn oorsprong in de onthullingen van klokkenluider Edward Snowden. Het EHRM beoordeelt of het Britse regime in overeenstemming is met artikel 8 EVRM (het recht op privéleven). Net als de Kamer127 komt de Grote Kamer tot een schending van artikel 8 van het EVRM. Het EHRM doet dit aan de hand van een nieuw beoordelingskader, specifiek opgesteld voor de beoordeling van ongerichte bulkinterceptieregimes. Het bestaande beoordelingskader op basis van het Weber en Saravia-arrest,128 ziet op gerichte interceptie en is daardoor minder geschikt voor de beoordeling van (ongerichte) bulkinterceptie. Het EHRM formuleert acht ‘criteria’, aan de hand waarvan getoetst kan worden of de nationale wetgeving voor het gebruik van bulkinterceptie genoeg waarborgen bevat. Het gaat onder meer om beperkingen ten aanzien van de duur van bulkinterceptie en het bestaan van onafhankelijk toezicht.129 Het zijn procedurele waarborgen, die getoetst worden aan de hand van een globale beoordeling.130 Concrete materiële beperkingen zoals het HvJ EU voorschrijft, stelt het EHRM niet.131 Desalniettemin concludeert het EHRM in beide zaken dat artikel 8 EVRM is geschonden.132

Het EHRM komt in de zaken ook – voor het eerst – met een beoordelingskader voor de uitwisseling van gegevens tussen inlichtingendiensten in verschillende landen. Op dit punt verschillen de twee zaken. Centrum för Rättvisa betreft het verstrekken van gegevens, Big Brother Watch het ontvangen daarvan. Wat betreft het verstrekken van gegevens merkt het EHRM op dat alleen gegevens mogen worden verstrekt die rechtmatig zijn verkregen, dat aan het vereiste van noodzakelijkheid moet worden voldaan en dat onafhankelijk toezicht vereist is. Hoewel niet vereist is dat de bescherming gelijk is aan die van het verstrekkende land, moet het ontvangende land wel aan bepaalde minimale waarborgen voldoen. Dit moet zijn vastgelegd in het nationale recht. Het Zweedse recht bevat dergelijke waarborgen niet, hetgeen resulteert in een schending van artikel 8 EVRM.133 Ten aanzien van het opvragen en ontvangen van gegevens uit andere landen overweegt het EHRM dat eveneens een basis in het nationale recht vereist is. De wet moet verder waarborgen bevatten voor het gebruik van de ontvangen gegevens, waaronder onafhankelijk toezicht. Aan deze vereisten voldoet het Britse recht.134 De Big Brother Watch-uitspraak is van groot belang voor de aanhangige procedure van de coalitie Burgers tegen Plasterk bij het EHRM.

Opvallend is dat het EHRM aan het gebruik van bulkinterceptie met name procedurele eisen stelt. Het EHRM wijkt hierin af van het HvJ EU, dat in de uitspraken Privacy International en La Quadrature du Net een materieel kader neerzet voor het gebruik van bulkinterceptie. Vanwege deze procedurele benadering van het EHRM is menig auteur kritisch op de uitspraken.135

Noten

  1. https://wetten.overheid.nl/BWBR0045176/2021-06-01.
  2. https://www.eerstekamer.nl/wetsvoorstel/35971_tijdelijke_wet_verbreding.
  3. EHRM 8 april 2021, Vavřička e.a./Tsjechië, nr. 47621/13.
  4. EHRM 7 september 2021, nr. 43375/21 (Kakaletri and Others v. Greece); EHRM 7 september 2021, nr. 43910/21 (Theofanopoulou and Others v. Greece), EHRM 24 augustus 2021, nr. 41950/21 (Abgrall and Others v. Frankrijk) en EHRM 21 september 2021 (Zambrano v. France).
  5. Gerechtshof Den Haag 14 december 2021, ECLI:NL:GHDHA:2021:2452; Gerechtshof Den Haag 14 december 2021, ECLI:NL:GHDHA:2021:2453.
  6. Amsterdam 15 december 2021, ECLI:NL:RBAMS:2021:7392.
  7. Amsterdam 15 december 2021, ECLI:NL:RBAMS:2021:7392, r.o. 2.12.
  8. Gerechtshof Amsterdam 1 juni 2021, ECLI:NL:GHAMS:2021:1560.
  9. https://www.rtlnieuws.nl/nieuws/nederland/artikel/5210644/handel-gegevens-nederlanders-ggd-systemen-database-coronit-hpzone.
  10. https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/onderzoek_beveiliging_ggd_corona.pdf.
  11. https://datalek-ggd.nl/ggd-datalek-leidt-tot-collectieve-rechtszaak-tegen-ministerie-van-vws/.
  12. HvJ EU 17 juni 2021, zaak C-597/19, ECLI:EU:C:2021:492 (Mircom/Telenet) en HR 25 juni 2021, ECLI:NL:HR:2021:985 (Dutch FilmWorks/Ziggo).
  13. HR 25 november 2005, ECLI:NL:HR:2005:AU4019 (Lycos/Pessers).
  14. Daarnaast kan ook de bescherming van andere fundamentele rechten van belang zijn, bijvoorbeeld het recht van intellectuele eigendom (art. 17 lid 2 Handvest) of de vrijheid van ondernemerschap (art. 16 Handvest).
  15. HvJ EU 29 januari 2008, C-275/06, ECLI:EU:C:2008:54 (Promusicae), r.o. 68, HvJ EU 24 november 2011, C-70/10, ECLI:EU:C:2011:771 (Scarlet/Sabam), r.o. 45, Hv JEU 19 april 2012 C-461/10, ECLI:EU:C:2012:219 (Bonnier Audio), r.o. 56, HvJ EU 16 juli 2015, zaak C-580/13, ECLI:EU:C:2015:485 (Coty/Stadtsparkasse), r.o. 34, HvJ EU 18 oktober 2018, C-149/17, ECLI:EU:C:2018:841 (Bastei Lübbe), r.o. 45 en HvJ EU 9 juli 2020, C-264/19, ECLI:EU:C:2020:542 (Constantin Film Verleih), r.o. 39.
  16. Gerechtshof Arnhem-Leeuwarden 5 november 2019, ECLI:NL:GHARL:2019:9352 (Dutch FilmWorks).
  17. Het arrest is door diverse auteurs van (kritisch) commentaar voorzien, zie JBP 2019/6, m.nt. J.G. Reus, AMI 2020/2, m.nt. P. Teunissen, G.A.C. van der Hout, ‘Handhaving tegen particuliere illegale downloaders: een brug te ver?’, Tijdschrift voor Internetrecht 2020, p. 22 en J.M.B. Seignette, ‘Anoniem illegaal downloaden – een grondrechtelijk beschermd belang?’, IEF
  18. HvJ EU 17 juni 2021, zaak C-597/19, ECLI:EU:C:2021:492 (Mircom/Telenet), r.o. 120-121.
  19. Zuid-Korea op 16 juni en het Verenigd Koningrijk op 28 juni, zie https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en.
  20. HvJ EU 16 juli 2020, C-311/18, ECLI:EU:C:2020:559 (Facebook Ireland and Schrems, beter bekend als Schrems II).
  21. Zie C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2020’, Adv.bl. 2021-3, p. 68-69.
  22. EDPB, Aanbevelingen 01/2020 inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, versie 2,0, 18 juni 2021.
  23. EDPB, Aanbevelingen 01/2020 inzake maatregelen ter aanvulling op doorgifte-instrumenten teneinde naleving van het beschermingsniveau van persoonsgegevens in de Unie te waarborgen, 10 november 2020.
  24. Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR; Over de richtsnoeren wordt tot eind januari 2021 openbare raadpleging gehouden.
  25. EDPS, ‘The EDPS opens two investigations following the “Schrems II” Judgement’, 27 mei 2021.
  26. Het betreft onder meer het recht op inzage (art. 15 AVG), het recht op vergetelheid (art. 17 AVG), het recht op rectificatie en aanvulling (art. 16 AVG), het recht op dataportabiliteit (art. 20 AVG), het recht op beperking van de verwerking (art. 18 AVG), rechten met betrekking tot geautomatiseerde besluitvorming en profilering (art. 22), het recht op bezwaar (art. 21 AVG) en het recht op duidelijke informatie (art. 13-14 AVG).
  27. HR 3 december 2021, ECLI:NL:HR:2021:1814 (Hoist Finance). De prejudiciële vragen waren door de voorzieningenrechter van de rechtbank Amsterdam gesteld op grond van artikel 392 Rv.
  28. Bij toepasselijkheid van de c-grond (wettelijke plicht) hoeft ook geen voorafgaande, individuele belangenafweging plaats te vinden en bij de f-grond (gerechtvaardigd belang) wel.
  29. Conclusie Advocaat-Generaal Rank-Berenschot van 15 september 2021, ECLI:NL:PHR:2021:831.
  30. Artikel 4:32 lid 1 Wet op het financieel toezicht (Wft) schrijft voor dat een aanbieder van krediet deelneemt aan een stelsel van kredietregistratie. Artikel 4:34 lid 1 Wft bevat een zorgplicht ter voorkoming van overkreditering en verplicht een aanbieder van krediet in het belang van de consument informatie in te winnen over diens financiële positie en te beoordelen of de kredietverlening verantwoord is. De uit dit artikel voortvloeiende zorgplicht is nader uitgewerkt in artikel 114 van het Besluit Gedragstoezicht financiële ondernemingen Wft (BGfo). Daarin is bepaald dat een aanbieder van krediet, voorafgaand aan het verstrekken van een krediet van meer dan € 250 het stelsel van kredietregistratie moet raadplegen over reeds aan de consument verleende kredieten.
  31. Arrest HR r.o. 3.19. Artikel 6 lid 3 AVG vereist dat de wettelijke bepalingen voldoende duidelijk en nauwkeurig zijn en voldoende voorspelbaar voor degenen op wie deze wettelijke bepalingen van toepassing zijn. Zie ook considerans 41 bij de AVG.
  32. Een en ander wordt wel geregeld in het zogenaamde CKI (Centraal Krediet Informatiesysteem)-reglement, maar dat reglement berust niet op een wettelijke grondslag.
  33. Artikel 17 lid 1, aanhef en onder c, AVG houdt in dat de verwerkingsverantwoordelijke op verzoek van de betrokkene verplicht is persoonsgegevens zonder onredelijke vertraging te wissen, onder meer indien de betrokkene overeenkomstig artikel 21 lid 1 AVG bezwaar maakt tegen de verwerking, en er geen prevalerende dwingende gerechtvaardigde gronden zijn voor de verwerking.
  34. Artikel 21 lid 1 AVG bepaalt dat een betrokkene te allen tijde het recht heeft om vanwege met zijn specifieke situatie verband houdende redenen bezwaar te maken tegen de verwerking van hem betreffende persoonsgegevens op basis van artikel 6 lid 1, aanhef en onder e en f, AVG en dat de verwerkingsverantwoordelijke de verwerking van de persoonsgegevens dan staakt, tenzij deze dwingende gerechtvaardigde gronden voor de verwerking aanvoert die zwaarder wegen dan de belangen, rechten en vrijheden van de betrokkene of die verband houden met de instelling, uitoefening of onderbouwing van een rechtsvordering.
  35. De HR merkt nog op dat ook betrokkenen wier persoonsgegevens zijn verwerkt op grond van een wettelijke plicht (art. 6 lid 1 sub c AVG) deze rechten weliswaar niet hebben, maar dat dit nog niet betekent dat de betrokkene in dat geval verstoken is van elke rechtsbescherming. Hij kan zich in dat geval nog steeds bij de burgerlijke rechter met een beroep op artikel 6:162 BW, al dan niet in verbinding met artikel 8 EVRM, verzetten tegen de verwerking van zijn persoonsgegevens, aldus de HR (r.o. 3.2.4).
  36. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1018 (Uber I); Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1019 (Ola) en Rb. Amsterdam 11 maart 2021, ECLI:NL:RBAMS:2021:1020 (Uber II). In Uber I komt een aantal chauffeurs op tegen de beëindiging van hun contract door Uber wegens frauduleuze handelingen. Uber zou daartoe volledig geautomatiseerd hebben besloten. Ola en Uber II betreffen inzageverzoeken van de chauffeurs, waarin onder meer verzocht wordt om informatie over geautomatiseerde besluitvorming.
  37. Artikel 15 lid 1 sub h AVG. In artikel 4 onder 4 AVG is profilering gedefinieerd als ‘elke vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een natuurlijke persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen’.
  38. Van een uitsluitend op geautomatiseerde verwerking gebaseerd besluit is sprake indien er geen betekenisvolle menselijke tussenkomst is in het besluitvormingsproces.
  39. Dat is, op grond van de Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering, het geval wanneer de effecten van de verwerking groot of belangrijk genoeg zijn om aandacht te verdienen. Het besluit moet het potentieel hebben om de omstandigheden, het gedrag of de keuze van de betrokken personen in aanmerkelijke mate te treffen.
  40. Noot N.W. Groenhart, JBP 2021/71, para. 2.7.
  41. Olao. 4.50.
  42. Noot N.W. Groenhart, JBP 2021/71, para. 2.9. Groenhart meent (para. 2.12-2.14) dat in overweging 63 bij de AVG steun kan worden gevonden voor een ruimere interpretatie van het recht op informatie over geautomatiseerde besluitvorming.
  43. Uber I o. 4.24. Ook is geen sprake van een ‘aanmerkelijk effect’, omdat Uber de app reactiveert zodra de chauffeur contact opneemt, waarmee het effect niet blijvend of langdurig blijvend is (r.o. 4.25).
  44. Ola o. 4.50. Hetzelfde geldt voor (geautomatiseerde) besluiten tot het al dan niet toekennen van een bonus op basis van een ‘earning profile’ (Ola r.o. 4.47) en tariefbepaling door ‘upfront-pricing’ (Uber II r.o.4.67).
  45. Olao. 4.51.
  46. Olao. 4.51.
  47. EDPB, Richtsnoeren 10/2020met betrekking tot de beperkingen van de rechten van betrokkenen onder artikel 23 AVG, versie 2.0, 13 oktober 2021.
  48. Het betreft onder meer de nationale of openbare veiligheid, de vervolging/opsporing van strafbare feiten, het uitvoeren van toezichtstaken, de bescherming van de rechten en vrijheid van anderen.
  49. In overeenstemming met de rechtspraak van het EHRM over voorzienbaarheid, dat wil zeggen dat de ‘the domestic law must be sufficiently clear in its terms to give individuals an adequate indication of the circumstances in and conditions under which controllers are empowered to resort to any such restrictions’, p. 8 punt 17.
  50. EDPB, Richtsnoeren 10/2020, 7, punt 16. Deze wettelijke basis moet op grond van artikel 23 lid 2 AVG ten minste de volgende elementen specificeren: a) de doeleinden van de verwerking of van de categorieën van verwerking, b) de categorieën van persoonsgegevens, c) het toepassingsgebied van de ingevoerde beperkingen, d) de waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte, e) de specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken, f) de opslagperiodes en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking, g) de risico’s voor de rechten en vrijheden van de betrokkenen, en h) het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking.
  51. EDPB, Richtsnoeren 10/2020, p. 7, punt 14.
  52. Zie C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2020’, Adv.bl. 2021-3, onder ‘Schadevergoeding wegens privacyinbreuk, p. 69-70, met betrekking tot onder meer ABRvS 1 april 2020, ECLI:NL:RVS:2020:898 (X/Pieter Baan Centrum), ABRvS 1 april 2020, ECLI:NL:RVS:2020:899 (X/College van B&W Deventer), ABRvS 1 april 2020, ECLI:NL:RVS:2020:900 (X/College van B&W Borsele) en ABRvS 1 april 2020, ECLI:NL:RVS:2020:901 (X/College van B&W Harderwijk).
  53. Rotterdam 12 juli 2021, ECLI:NL:RBROT:2021:6822 (Verzoekster/College van B&W Rotterdam). Het ging in deze zaak om het gedurende tien jaar bewaren van een rapport met daarin gevoelige persoonsgegevens.
  54. Gerechtshof Arnhem-Leeuwarden 6 april 2021, ECLI:NL:GHARL:2021:3206 (Zwarte lijst artsen).
  55. Noord-Nederland 12 januari 2021, ECLI:NL:RBNNE:2021:106 (Eiser/Gemeente Oldambt).
  56. Verzoekster/College van B&W Rotterdam, o. 3.2 en Eiser/Gemeente Oldambt, r.o. 4.13 en 4.23-4.28 met verwijzing naar X/Pieter Baan Centrum en X/College van B&W Deventer; zie tevens Rb. Midden-Nederland 4 mei 2021, ECLI:NL:RBMNE:2021:1865 (Eiser/Sociale Verzekeringsbank), r.o. 9, 34 en 37 voor een geval waarin schadevergoeding met verwijzing naar X/Pieter Baan Centrum, X/College van B&W Deventer, X/College van B&W Borsele enX/College van B&W Harderwijk wordt afgewezen.
  57. Gelderland 7 april 2021, ECLI:NL:RBGEL:2021:1888 (Eiser/NederWoon).
  58. Eiser/Sociale Verzekeringsbank.
  59. ABRvS 20 januari 2021, ECLI:NL:RVS:2021:111 (Nederlandse orde van advocaten I), r.o. 6. De Orde heeft inmiddels een nieuw besluit genomen en geoordeeld dat opname in de lijst nog noodzakelijk is, maar dat zij wel de vindbaarheid van de lijst in zoekmachines beperkt. De Afdeling heeft dit besluit in een recent oordeel in stand gelaten. Zie: ABRvS 23 februari 2022, ECLI:NL:RVS:2022:569 (Nederlandse orde van advocaten II); zie tevens J. Rietbroek, ‘Raad van State: Orde hoeft naam geschorste advocaat niet te wissen van openbare lijst’, advocatie.nl 28 februari 2022.
  60. HvJ EU 23 juli 2021, prejudiciële vragen in zaak C-300/21 (UI/Österreichische Post).
  61. Bundesverfassungsgericht 14 januari 2021, nr. 2853/19 (Amtsgerichts Goslar).
  62. Voorstel voor een verordening (EU) van het Europees Parlement en de Raad met betrekking tot de eerbiediging van het privéleven en de bescherming van persoonsgegevens in elektronische communicatie, en tot intrekking van Richtlijn 2002/58/EG (e-Privacy verordening); naar verluidt is dit de meest gelobbyde verordening tot nog toe, zie https://iapp.org/news/a/inside-the-eprivacy-regulations-furious-lobbying-war/.
  63. Raad, Confidentiality of electronic communications: Council agrees its position on ePrivacy rules, 10 februari 2021, https://www.consilium.europa.eu/en/press/press-releases/2021/02/10/confidentiality-of-electronic-communications-council-agrees-its-position-on-eprivacy-rules/.
  64. Zie in dit kader tevens de brief die de EP op 18 oktober 2021 stuurde aan honderd technologiebedrijven waarin zij die bedrijven oproept om te stoppen met bijdragen aan de adtech-industrie, https://trackingfreeads.eu/wp-content/uploads/2021/10/Letter-Tracking-free-Ads-Coalition.pdf.
  65. https://trackingfreeads.eu/wp-content/uploads/2021/10/Letter-Tracking-free-Ads-Coalition.pdf.
  66. De Digital Services Act (DSA), de Digital Markets Act (DMA), de Data Governance Act (DGA) en de verordening betreffende artificiële intelligentie (AIR).
  67. EDPB, Statement on the Digital Services Package and Data Strategy, 18 november 2021, https://edpb.europa.eu/system/files/2021-1/edpb_statement_on_the_digital_services_package_and_data_strategy_en.pdf.
  68. EP, Digital Services Act: regulating platforms for a safer online space for users, 20 januari 2022, https://www.europarl.europa.eu/news/en/press-room/20220114IPR21017/digital-services-act-regulating-platforms-for-a-safer-online-space-for-users.
  69. EC, European Democracy: Commission sets out new laws on political advertising, electoral rights and party funding, 25 november 2021, https://ec.europa.eu/commission/presscorner/detail/en/ip_21_6118.
  70. EDPB, Richtsnoeren 8/2020 betreffende de targeting van gebruikers van sociale media, versie 2.0, 13 april 2021.
  71. Idem, p. 5.
  72. Idem, p. 5.
  73. Idem, p. 24-25.
  74. Idem, p. 19.
  75. Idem, p. 32.
  76. Noyb, https://noyb.eu/en.
  77. Noyb, noyb aims to end ‘cookie banner terror’ and issues more than 500 GDPR complaints, 31 mei 2021, https://noyb.eu/en/noyb-aims-end-cookie-banner-terror-and-issues-more-500-gdpr-complaints.
  78. EDPB, EDPB establishes cookie banner taskforce, 27 september 2021, https://edpb.europa.eu/news/news/2021/edpb-establishes-cookie-banner-taskforce_en.
  79. Artikel 6 lid 2 en 3 UAVG.
  80. AP, ‘Focus AP 2020-2023: Dataprotectie in een digitale samenleving’.
  81. Een overzicht van de boetes en andere sancties is te vinden op: https://autoriteitpersoonsgegevens.nl/nl/publicaties/boetes-en-sancties.
  82. Besluit van 26 november 2020 (gepubliceerd 11 februari 2021), te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ziekenhuis-olvg-beboet-om-onvoldoende-beveiliging-medische-dossiers (Boete OLVG); Besluit van 24 maart 2020 (gepubliceerd 19 mei 2021), te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-voor-cpa-om-privacyschending-zieke-werknemers (Boete CP&A);Besluit van 4 februari 2021, te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-boete-orthodontiepraktijk-vanwege-onbeveiligde-patientenwebsite (Boete Orthodontist); Besluit van 31 mei 2021, te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/uwv-krijgt-boete-voor-slechte-beveiliging-bij-verzending-groepsberichten (Boete UWV) en Besluit van 23 september 2021, te raadplegen op : https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/ap-beboet-transavia-om-slechte-beveiliging-persoonsgegevens (Boete Transavia).
  83. Besluit van 10 december 2020 (gepubliceerd 31 maart 2021), te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-bookingcom-voor-te-laat-melden-datalek (Boete com)en Besluit van 16 juni 2020 (gepubliceerd op 11 mei 2021), te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-pvv-overijssel-vanwege-niet-melden-datalek (Boete PVV Overijssel).
  84. Besluit van 11 maart 2021, te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-gemeente-enschede-om-wifitracking (Boete gemeente Enschede); zie tevens S.C. van Schaik, ‘Autoriteit Persoonsgegevens legt boete op aan gemeente Enschede wegens wifitracking,’ Noot bij boetebesluit 11 maart 2021, Tijdschrift voor Internetrecht 3/2021, p. 114-117, te raadplegen op: https://www.bureaubrandeis.com/autoriteit-persoonsgegevens-legt-boete-op-aan-gemeente-enschede-wegens-wifitracking/.
  85. Besluit van 10 december 2020 (gepubliceerd op 12 mei 2021), te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-van-525000-euro-voor-locatefamilycom (Boete com).
  86. Besluit van 9 april 2021, te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-tiktok-vanwege-schenden-privacy-kinderen (Boete TikTok).
  87. Besluit van 25 november 2021, te raadplegen op: https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/boete-belastingdienst-voor-discriminerende-en-onrechtmatige-werkwijze (Boete Belastingdienst).
  88. AP, ‘AP verzwaart toezicht op gemeente’, 6 mei 2021.
  89. Onderzoek GGD, 8 november 2021, kenmerk z2021-02000, te raadplegen op: https://autoriteitpersoonsgegevens.nl/nl/nieuws/ggd-moet-persoonsgegevens-beter-beschermen.
  90. Artikel 3:305a BW en titel 14a Wetboek van Burgerlijke Rechtsvordering.
  91. Deze mogelijkheid bestaat ook op grond van artikel 80 AVG. De verhouding tussen dit artikel en de WAMCA is onderwerp van discussie.
  92. Alle aangebrachte dagvaardingen in collectieve acties worden gepubliceerd in een openbaar register: https://www.rechtspraak.nl/Registers/centraal-register-voor-collectieve-vorderingen#6f1c15a9-f3e8-4b9b-ab79-4b3bb766c72f6bc1d2e4-e511-4e04-bf16-8ad720b8f8b314.
  93. Midden-Nederland 8 januari 2021, ECLI:NL:RBMNE:2021:23 (Zwartelijstartsen). In de procedure wordt geen schadevergoeding gevorderd.
  94. Zwartelijstartsen,o. 4.8-4.11 – volgens de rechtbank is in strijd gehandeld met artikelen 6 lid 1, 10, 12, 14, 16, 17, 18 en 21 AVG
  95. Amsterdam 30 juni 2021, ECLI:NL:RBAMS:2021:3307 (Data Privacy Stichting) r.o. 7.34.
  96. Wet collectieve afwikkeling massaschade in collectieve actie.
  97. Data Privacy Stichting,o. 5.1-5.47.
  98. Data Privacy Stichting, r.o. 8.1-8.28.
  99. Data Privacy Stichting, r.o. 7.8-7.18.
  100. Data Privacy Stichting, r.o. 7.23-7.29.
  101. Data Privacy Stichting, r.o. 12.1-12.2.
  102. Amsterdam 29 december 2021, ECLI:NL:RBAMS:2021:7647 (The Privacy Collective).
  103. The Privacy Collective, r.o. 5.11-5.12.
  104. The Privacy Collective, r.o. 5.13.
  105. The Privacy Collective, r.o. 5.19-5.26.
  106. A-G HvJ EU J.R. de la Tour, C-319/20, ECLI:EU:C:2021:979 (BVV/Facebook Ierland).
  107. UK SC 10 november 2021, 2019/0123 (Google/Lloyd), beschikbaar op https://www.supremecourt.uk/cases/docs/uksc-2019-0213-judgment.pdf.
  108. Google/Lloyd, par, 3-5, 25. Een vergelijkbaar systeem bestaat slechts voor procedures over mededingingsrecht, maar niet voor privacy- en consumentenrecht, Google/Lloyd, par. 29-32.
  109. Google/Lloyd, 80, 86-87, 115 & 159.
  110. Google/Lloyd, 67.
  111. Den Haag 5 februari 2020, ECLI:NL:RBDHA:2020:865 (SyRI); C. Alberdingk Thijm e.a., ‘Kroniek Privacyrecht 2020’, Adv.bl. 2021-3, p. 70-71.
  112. HvJ EU 6 oktober 2020, C623/17, ECLI:EU:C:2020:790 (Privacy International) en HvJ EU 6 oktober 2020, C511/18, C512/18 en C510/18, ECLI:EU:C:2020:791 (La Quadrature du Net and Others); Kroniek Privacyrecht 2020’, Adv.bl. 2021-3, p. 71-72.
  113. Belastingdienst, ‘Het systeem Fraude Signalering Voorziening (FSV)’, https://www.belastingdienst.nl/wps/wcm/connect/nl/contact/content/het-systeem-fraude-signalering-voorziening-fsv; AP, Onderzoeksrapport Belastingdienst Verwerkingen van persoonsgegevens in de Fraude Signalering Voorziening (FSV), oktober 2021.
  114. De AP categoriseert in het Onderzoeksrapport drie soorten signalen: 1) interne signalen van mogelijke fraude, zoals het opgeven van onjuiste gegevens teneinde een toeslag te ontvangen, 2) externe signalen van mogelijke fraude, zoals tips van burgers en bedrijven en meldingen van andere overheden en 3) informatieverzoeken van medeoverheden zoals wanneer de politie om informatie verzoekt bij de Belastingdienst; AP, Onderzoeksrapport, p. 16-19.
  115. Personen op de zwarte lijst moesten bijvoorbeeld lang(er) wachten op een besluit over een aangevraagde toeslag en konden minder snel aanspraak maken op een persoonlijke betalingsregeling.
  116. AP, Onderzoeksrapport, p. 30-31.
  117. AP, Onderzoeksrapport, p. 23-26, 48-49.
  118. AP, Onderzoeksrapport, p. 20-21, 26-27, 49.
  119. AP, Onderzoeksrapport, p. 28-30, 50.
  120. AP, Onderzoeksrapport, p. 50-55.
  121. Respectievelijk artikelen 6(1)(c) AVG en 6(1)(e) AVG, zie AP, Onderzoeksrapport, p. 56.
  122. Onderzoeksrapport, p. 57-59. In december kreeg de Belastingdienst overigens wel al een boete voor het onrechtmatig verwerken van nationaliteitsgegevens. Mede ter bestrijding van fraude verwerkte de Belastingdienst op onrechtmatige wijze de dubbele nationaliteit van 1,4 miljoen Nederlanders. Deze discriminerende verwerking levert de Belastingdienst een boete van 2,75 miljoen euro op. Zie https://autoriteitpersoonsgegevens.nl/nl/nieuws/boete-belastingdienst-voor-discriminerende-en-onrechtmatige-werkwijze.
  123. https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/zwarte-lijst-fsv-van-belastingdienst-strijd-met-de-wet.
  124. https://www.tweedekamer.nl/kamerstukken/brieven_regering/detail?id=2020D16294.
  125. EHRM (Grote Kamer) 25 mei 2021, nrs. 58170/13, 62322/14 en 24960/15 (Big Brother Watch e.a. v. het Verenigd Koninkrijk).
  126. EHRM (Grote Kamer) 25 mei 2021, nr. 35252/08 (Centrum för Rättvisa v. Sweden).
  127. EHRM 13 september 2018, nrs. 58170/13, 62322/14 en 24960/15 (Big Brother Watch e.a. v. het Verenigd Koninkrijk) en EHRM 19 juni 2018, 35252/08 (Centrum för Rättvisa v. Sweden).
  128. EHRM 29 juni 2006, nr. 54934/00 (Weber en Saravia v. Duitsland).
  129. Big Brother Watch, par. 348-361.
  130. Big Brother Watch, par. 360.
  131. Volgens het HvJ EU kunnen telecomaanbieders bijvoorbeeld alleen worden bevolen verkeersgegevens van alle gebruikers te bewaren als een ernstige, werkelijke en actuele bedreiging van de nationale veiligheid bestaat. Zie C. Alberdingk Thijm e.a., p. 71-72, bespreking van zaken Privacy International en La Quadrature du Net.
  132. Big Brother Watch, par. 377-382, 424-427; Centrum för Rättvisa, par. 365-373.
  133. Centrum för Rättvisa, par. 276, 328.
  134. Big Brother Watch, par. 495-514.
  135. Zie o.a. J. Sajfert, ‘The Big Brother Watch and Centrum för Rättvisa judgments of the Grand Chamber of the European Court of Human Rights – the Altamont of privacy?’, europeanlawblog.eu 8 juni 2021; M. Milanovic, ‘The Grand Normalization of Mass Surveillance: ECtHR Grand Chamber Judgments in Big Brother Watch and Centrum för rättvisa’, ejiltalk.org 26 mei 2021; M. Zalnieriute, ‘Procedural Fetishism and Mass Surveillance under the ECHR’ verfassungsblog.com 2 juni 2021; N. Loideain, ‘Not So Grand: The Big Brother Watch ECtHR Grand Chamber judgment’, infolawcentre.blogs.sas.ac.uk.