Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand juni op een rij.
Thompson (online alias “erratic”) werd in 2019 gearresteerd nadat zij persoonsgegevens van meer dan 100 miljoen mensen stal, en zichzelf toegang verschafte tot verschillende servers om cryptovaluta te delven (“mining”). Na tien uur overleg bevond de jury haar schuldig voor “wire fraud” en hacken.
Thompson was een ex-medewerker van Amazon en bouwde een tool om te scannen welke accounts van Amazon Web Services (cloud hosting provider) verkeerd waren geconfigureerd. Die verkeerde configuratie gebruikte ze om zichzelf toegang te verschaffen tot die accounts, zoals van de bank CapitalOne. Thompson had vervolgens toegang tot de in de cloud opgeslagen gegevens van (onder meer) klanten van CapitalOne. Deze techniek gebruikte ze ook om servers te hacken waarop ze software installeerde om cryptovaluta te delven.
Capital One werd ook een boete opgelegd van 80 miljoen dollar en is verplicht haar interne beleid op (cyber) security te verbeteren, in verband met hun eigen nalatigheid ten aanzien van dit enorme datalek.
De Belgische privacy waakhond, de Gegevensbeschermingsautoriteit (“GBA”) beboette de persgroep Rossel, een Belgische mediagroep, voor het onrechtmatig gebruiken van cookies.
De GBA legt Rossel een boete van 50.000 euro op, omdat diverse zaken niet goed waren ingericht:
KLM mag kandidaat-vliegers (opgeleide vliegers van KLM) niet vragen of ze gevaccineerd zijn, aldus de Rechtbank Amsterdam. KLM nodigt kandidaat-vliegers uit voor een kennismakingsgesprek als er een plek als piloot vrijkomt.
Piloten mogen alleen vliegen als ze volledig gevaccineerd zijn in verband met mogelijke reisrestricties op basis van vaccinatiestatus van de piloot. Hoewel in geen enkel kennismakingsgesprek de vraag is gesteld of een kandidaat volledig gevaccineerd was, werd dit wel besproken omdat KLM graag wil dat de piloten overal kunnen vliegen. Het is echter wel duidelijk dat áls een kandidaat had aangegeven niet volledig gevaccineerd te zijn, dat dat de reden was geweest dat KLM hen geen plek zou aanbieden.
De Vereniging Nederlandse Verkeersvliegers(“VNV”) verzoekt de voorzieningenrechter om KLM te verbieden te informeren over de vaccinatiestatus tegen corona en/of om kandidaten af te wijzen omdat zij niet (volledig) gevaccineerd zijn. Dit handelen zou in strijd zijn met de AVG, de Wet Medische Keuringen (“WMK”) en artikel 11 Grondwet en Artikel 8 Europees Verdrag voor de Rechten van de Mens (recht op bescherming van de persoonlijke levenssfeer). Meer specifiek beschermen die laatste artikelen het zelfbeschikkingsrecht van ieder mens over de lichamelijke integriteit.
KLM maakt met het “verlangen van een vaccinatie tegen corona” inbreuk op de persoonlijke levenssfeer. De vraag is of die inbreuk gerechtvaardigd is, wat afhangt of het legitieme doel in lijn staat met het gebruikte middel: is het noodzakelijk om dit zo te doen, of kan het ook anders?
Het doel (het rondkrijgen van de planning van de vliegers) is legitiem volgens de rechter, en met dit middel (het verlangen van de coronavaccinatie) kán KLM ook dat doel bereiken. Maar, deze manier van werken voorkomt niet met zekerheid dat KLM in de toekomst de planning rond krijgt. Andere zaken zoals wijzigende coronamaatregelen, wijzigende persoonlijke visie op vaccinaties en een noodzakelijk aanvullende coronavaccinatie of andere medische redenen kunnen weer andere reisrestricties triggeren.
Het middel (verlangen van vaccinatie) is dus niet per se geschikt het doel (rondkrijgen van de planning) te bereiken. Het rondkrijgen van de planning kan best op een minder op de privacy-ingrijpende manier, aldus de voorzieningenrechter.
Wederom oordeelt de voorzieningenrechter dat Ziggo de waarschuwingsbrieven van BREIN niet hoeft door te sturen.
Via een IP-adres (dat Ziggo ter beschikking stelt) is een open directory (oftewel: een map met bestanden die ergens op een pagina is geüpload) met e-books openbaar gemaakt, zonder toestemming van de auteurs, aldus BREIN. Via dit IP-adres zijn illegaal boeken gedownload. Brein treedt op voor de auteursrechthebbenden en verzoekt ofwel dat Ziggo de waarschuwingsbrieven doorstuurt, ofwel BREIN de gegevens van de houder van het adres geeft.
De voorzieningenrechter zei in BREIN/Ziggo I dat Ziggo een vergunning nodig heeft van de Autoriteit Persoonsgegevens om de NAW-gegevens te koppelen aan de IP-adressen en de waarschuwingsbrieven door te sturen. Het gaat namelijk om strafrechtelijke persoonsgegevens gebruiken ten behoeve van iemand anders (auteursrechthebbende). Voor dat gebruik gelden strengere vereisten.
Artikel 10 AVG stelt dat strafrechtelijke gegevens alleen verwerkt mogen worden “onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen”. Brein stelt dat dit in Nederland niet alleen kan op basis van onze nationale implementatiewet van de AVG, Uitvoeringswet AVG (“UAVG”), maar ook op basis van onrechtmatige daad (artikel 6:162 Burgerlijk Wetboek).
Als het niet doorsturen van de waarschuwingsbrieven door Ziggo onrechtmatig wordt geacht, vindt BREIN dus dat Ziggo een rechtmatige grond heeft om de gegevens te combineren en de brieven te sturen. Of het niet-doorsturen onrechtmatig is, is afhankelijk van of de IP-adres houder zelf inbreuk maakt. De voorzieningenrechter vindt het onduidelijk of de houder van het IP-adres zelf inbreuk maakt, of onbedoeld een derde inbreuk laat maken. Omdat dit onduidelijk is, falen de eerste verzoeken (op basis van onrechtmatigheid) van BREIN.
Bovendien verduidelijkt de voorzieningenrechter dat de onrechtmatige daad geen aanvullende verwerkingsgrond is voor strafrechtelijke gegevens. Dat kan echt uitsluitend op basis van artikelen 32 en 33 UAVG (behoudens verwerkingen onder toezicht van de overheid).
Ongeacht of Ziggo onrechtmatig handelt, moet er alsnog gekeken worden naar de vereisten van de AVG en de verplichting voor een vergunning die in de weg staat. Net zoals in BREIN/Ziggo I, is in dit geval een vergunning noodzakelijk. De argumenten van BREIN falen, en de IP-adres houders van Ziggo blijven beschermd.
Meer lezen over dit onderwerp? Lees verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.