Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand december op een rij.
De verzoeker in deze zaak vraagt om verwijdering van zijn registratie bij de Stichting Bureau Krediet Registratie (BKR-registratie) door kredietaanbieder Defam. Hij stelt dat zijn belangen zwaarder wegen dan de belangen voor de BKR-registratie en doet een beroep op artikel 21 lid 1 AVG. Op grond van artikel 21 lid 1 AVG heeft de betrokkene altijd het recht om door zijn specifieke situatie bezwaar te maken tegen de verwerking van zijn persoonsgegevens op basis van artikel 6 lid 1(f) AVG.
De verzoeker had vroeger schulden, maar is nu zo goed als uit de schulden. Hij wil graag met zijn gezin verhuizen naar een huurwoning. Door zijn BKR-registratie kan hij pas vanaf 2024 een huis krijgen. De verzoeker woont nu met zijn gezin op één slaapkamer bij zijn schoonouders. Daarom verzoekt hij verwijdering van zijn BKR-registratie.
De rechtbank heeft in deze zaak een belangenafweging moeten maken tussen enerzijds de belangen bij handhaving van de BKR-registratie van Defam en anderzijds het belang van de verzoeker bij verwijdering daarvan.
Volgens Defam heeft een BKR-registratie als doel de maatschappelijk verantwoorde financiële dienstverlening te bevorderen. Het BKR verschaft kredietverstrekkers inzicht in de betaalhistorie van de consument waardoor kredietverleners de financiële positie van de consument kunnen inschatten, ter voorkoming van overkreditering. Hierbij heeft Defam aangevoerd dat zonder een compleet en onderbouwd inzicht in de financiële positie van verzoeker, niet goed kan worden beoordeeld of de financiële situatie van verzoeker op orde is. Dit is van belang aangezien verzoeker in het verleden problematisch betaalgedrag vertoonde.
De rechtbank is het eens met Defam en stelt dat de belangen van Defam bij handhaving van de BKR-registratie zwaarder wegen dan de belangen van verzoeker. Het verwijderingsverzoek wordt daarom afgewezen.
Om intimidatie in de woon- en werkomgeving tegen te gaan is Amsterdam in 2013 gestart met “Treiteraanpak”. In januari 2013 is het Convenant Treiteraanpak gesloten. Het Convenant is aangegaan met het doel om enerzijds op effectieve en integrale wijze tot een aanpak van treiteren of intimidatie in de woon- of werkomgeving te komen en anderzijds de privacy van de betrokkenen zo veel mogelijk te waarborgen.
De eiseres in deze zaak is in augustus 2015 opgenomen in de Treiteraanpak en heeft in 2019 een klacht bij de burgemeester ingediend tegen het onterecht opnemen in de Treiteraanpak en het te laat informeren over die opname. De burgemeester heeft het verzoek van eiseres om verwijdering van haar persoonsgegevens afgewezen.
Bij de vraag of de verwerking van de persoonsgegevens van eiseres noodzakelijk was, heeft de rechtbank gekeken naar de doelen van het Convenant, zoals reeds in de inleiding benoemd. De rechtbank is van oordeel dat de verwerking van de persoonsgegevens noodzakelijk is om de doelen te bereiken. De burgemeester is immers belast met het handhaven van de openbare orde, waar het tegengaan van treiteren en intimidatie onder valt.
Voor de vraag of de verwerking van de persoonsgegevens in het kader van de Treiteraanpak rechtmatig is, moet er aan criteria worden voldaan die in het Convenant zijn opgenomen.
De criteria zijn:
De rechtbank oordeelt dat de burgemeester voldoende aannemelijk heeft gemaakt dat eiseres voldoet aan deze vijf criteria. Ook wordt geoordeeld dat er sprake is van dwingende, prevalerende gerechtvaardigde gronden voor verwerking van haar persoonsgegevens, zoals bedoeld in artikel 17 lid 1(c) AVG. De verwerking van de persoonsgegevens is derhalve noodzakelijk en rechtmatig.
De rechtbank Den Haag heeft in deze kort geding zaak bepaald dat de wet ‘vastleggen en bewaren van kentekengegevens door de politie’ (Wet ANPR, ANPR staat voor Automatic Number Plate Recognition) niet buiten werking wordt gesteld. De stichting Privacy First eiste dit van de Staat der Nederlanden.
Op 1 januari 2019 is de Wet ANPR in werking getreden. Op basis van het daarbij ingevoerde artikel 126jj van het Wetboek van Strafvordering, is het voor opsporingsambtenaren mogelijk om door middel van camera’s via de techniek van ANPR, automatisch kentekengegevens van passerende voertuigen vast te leggen voor een periode van 28 dagen.
Privacy First vordert dat de Wet ANPR buiten werking moet worden gesteld en dat deze kentekengegevens niet meer mogen worden verzameld of verder worden geraadpleegd totdat de Staat de regels zodanig heeft gewijzigd dat het totale systeem van het maken van de foto, bewerken van de foto, opslaan van de foto, het raadplegen van de gegevens, het verstrekken van de gegevens en de vernietiging van de gegevens onderworpen is aan onafhankelijk rechterlijk toezicht.
De Staat stelde dat spoedeisend belang, noodzakelijk voor een kort geding zaak, ontbreekt. Daardoor zou het door Privacy First gevorderde moeten worden afgewezen. Privacy First stelde dat er spoedeisend belang is, omdat door de dagelijkse verzameling van miljoenen foto’s er sprake is van een stelselmatige ernstige inbreuk op de grondrechten van alle Nederlandse burgers.
De voorzieningenrechter oordeelt dat op grond van deze stelling het spoedeisend belang niet kan worden aangenomen. De Wet ANPR is op 1 januari 2019 in werking getreden. De door Privacy First gestelde ernstige inbreuk op grondrechten was er al tweeënhalf jaar ten tijde van de start van deze zaak. Privacy First heeft gedurende deze periode blijkbaar geen aanleiding gezien om zich op deze inbreuk te beroepen. Omdat de wet er al zo lang was, kan het spoedeisend belang in deze zaak niet worden aangenomen.
De rechtbank stelde de Staat in het gelijk en wees de vordering van Privacy First af.
Benieuwd wat er in het nieuwe jaar gaat gebeuren? Wij ook. In januari zijn we bij u terug met de volgende jurisprudentieblog!
Deze blog is in samenwerking geschreven met stagiaire Lisa Boode.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.