Privacy jurisprudentieblog | maart 2025

    - / 7 March 2025

    Verwerking gendergegevens in online formulieren niet altijd toegestaan

    Achtergrond van de zaak

    In deze zaak heeft het Hof van Justitie bepaald dat kritisch moet worden gekeken of de verzameling van aanspreektitels rechtmatig is onder de Algemene verordening gegevensbescherming (AVG). De vereniging Mousse (de vereniging) heeft bij de Franse Gegevensbeschermingsautoriteit (CNIL) activiteiten van de Franse spoorwegmaatschappij SNCF Connect aangevochten. De spoorwegmaatschappij vraagt haar klanten systematisch om bij de aankoop van online vervoersbewijzen, hun titel (“heer” of “mevrouw”) aan te geven. De vereniging is van mening dat dit in strijd is met de AVG, en dan vooral met het beginsel van dataminimalisatie. Dit beginsel houdt in dat zo min mogelijk persoonsgegevens moeten worden verzameld, gelet op de doeleinden waarvoor zij worden verwerkt. Zo betoogt CNIL dat het vragen van iemands genderidentiteit, niet noodzakelijk is voor de aankoop van een treinkaartje.

    In 2021 heeft CNIL de klacht afgewezen omdat bovenstaande situatie geen schending van de AVG oplevert. De vereniging is daartegen in beroep gegaan, waardoor de zaak uiteindelijk bij het Hof is beland na verwijzing van de Franse rechter.

    Oordeel van het Hof

    Het Hof noemt allereerst dat de AVG een beperkt aantal grondslagen bevat op basis waarvan de verwerking van persoonsgegevens, ofwel gendergegevens, als rechtmatig kan worden beschouwd. De volgende grondslagen zouden hier van toepassing kunnen zijn: (i) uitvoering van een overeenkomst, of (ii) gerechtvaardigd belang.

    Wat betreft deze eerste grondslag, benoemt het Hof dat gegevensverwerking slechts als noodzakelijk voor de uitvoering van een overeenkomst kan worden gezien als zij objectief onmisbaar is voor de goede uitvoering van die overeenkomst. In deze context stelt het Hof vast dat wat betreft het contact met klanten, de vermoedelijke genderidentiteit niet onmisbaar lijkt om een treinreis mogelijk te maken. De spoorwegonderneming zou ervoor kunnen kiezen om de klant aan te spreken op basis van algemene, inclusieve termen die geen verband houden met de vermoedelijke genderidentiteit van de klant, zoals “beste klant”.

    Over de tweede mogelijke grondslag, namelijk gerechtvaardigd belang, verklaart het Hof dat de verwerking van gegevens over de aanspreektitel van klanten alleen onder specifieke omstandigheden als noodzakelijk kan worden beschouwd. Dit geldt ook wanneer persoonsgegevens worden verwerkt om commerciële communicatie te personaliseren op basis van genderidentiteit.

    Betekenis voor de praktijk

    Deze uitspraak is van belang voor organisaties die online formulieren gebruiken om persoonsgegevens te verzamelen. Het is als organisatie belangrijk om kritisch te zijn welke gegevens je opvraagt en of deze gegevens noodzakelijk zijn om het doel te bereiken. Dit betekent echter niet dat het verwerken van gendergegevens niet noodzakelijk kan zijn. Er zijn gevallen waarbij deze verwerking wél noodzakelijk is, vanwege de aard van de dienstverlening. Denk hierbij bijvoorbeeld aan dienstverlening door apotheken.

    Daarnaast zijn er voor de aanhef genoeg andere opties dan de traditionele termen als "heer" of "mevrouw". Zo kan er gekozen worden voor een neutrale aanhef, bijvoorbeeld de voornaam. Als een organisatie toch wil vragen om de genderidentiteit of mensen de voorkeur geven aan een formelere aanspreekvorm, zou het optioneel maken van het invullen van de genderidentiteit een oplossing kunnen bieden.

    Rechtbank vraagt om deskundig onderzoek in datalekgeschil tussen Blauw en Nebu

    Achtergrond van de zaak

    In een eerder blog schreven wij al over de rechtszaak tussen marktonderzoeksbureau Blauw en diens softwareleverancier Nebu. In maart 2023 vond er bij Nebu een beveiligingsincident plaats, waarbij data van Blauw die bij Nebu was opgeslagen, op straat kwam te liggen. Er volgde een kort geding tussen partijen. Recentelijk heeft de rechtbank Rotterdam in eerste aanleg uitspraak gedaan over deze kwestie.

    Standpunten van partijen

    Blauw verwijt Nebu dat het niet genoeg beveiligingsmaatregelen heeft getroffen, zoals Multi-Factor Authenticatie (MFA) en datascheiding, en dat de communicatie na het incident tekortschoot. Blauw eist onder andere een verklaring dat Nebu aansprakelijk is voor de geleden schade en vordert een schadevergoeding van ruim €500.000,-. Daarnaast stelt Blauw dat de overeenkomst met Nebu is ontbonden na de de fouten van Nebu. Nebu weerspreekt deze claims en stelt dat het naar behoren heeft gehandeld, waarbij de genomen beveiligingsmaatregelen destijds voldeden aan de toenmalige eisen.

    Oordeel van de rechtbank

    De rechtbank geeft aan dat beide partijen een ander standpunt innemen over de mate waarin MFA en datascheiding in die tijd gangbaar waren en welk effect deze maatregelen in dit specifieke geval zouden hebben gehad. De rechtbank besluit een onafhankelijke deskundige in te schakelen met specialistische kennis van de beveiliging van persoonsgegevens. De deskundige kan vervolgens duidelijkheid scheppen over de standpunten van partijen. Daarbij heeft de rechtbank vijf vragen opgesteld, die aan de deskundige zullen worden voorgelegd. Kort samengevat gaat het om de volgende vragen:

    1. Wat waren begin 2023 de standaard beveiligingsmaatregelen voor bedrijven die persoonsgegevens verwerken, met name wat betreft datascheiding en MFA?
    1. Als Nebu wél zowel MFA als datascheiding had toegepast, hoe waarschijnlijk was het dan dat het incident alsnog zou gebeuren en wat als slechts één van de twee maatregelen was toegepast?
    1. Had het incident eerder ontdekt kunnen worden? Had Blauw ook eerder geïnformeerd kunnen worden en had die melding dan uitgebreider of anders moeten zijn?
    1. Was het vaststellen van het daadwerkelijke incident op 24 maart 2023, ruim twee weken na het incident, een redelijke termijn volgens de standaarden van begin 2023?
    1. Zijn er nog andere relevante punten die de rechtbank in overweging moet nemen?

    Belang van de zaak en vervolg

    De zaak illustreert dat het lang niet altijd even duidelijk is wat er van partijen verwacht wordt op het gebied van datalekken en beveiliging. De zaak laat ook zien dat de manier van beveiligen en handelen tijdens het incident moet worden beoordeeld in het licht van de tijd waarin het plaatsvond.

    Er wordt nu gewacht op de aanwijzing van een deskundige en het rapport dat daaruit voort zal komen. Begin maart kunnen de partijen een voorstel doen voor een deskundige.

    Wil je graag gespecialiseerde kennis op doen over de Europese privacywetgeving? Volg dan onze opleiding tot Functionaris Gegevensbescherming/ Data Protection Officer.

    Meer informatie 
    Terug naar overzicht

    Emile Leffring

    Legal Assistent
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram