In deze zaak heeft het Hof van Justitie bepaald dat kritisch moet worden gekeken of de verzameling van aanspreektitels rechtmatig is onder de Algemene verordening gegevensbescherming (AVG). De vereniging Mousse (de vereniging) heeft bij de Franse Gegevensbeschermingsautoriteit (CNIL) activiteiten van de Franse spoorwegmaatschappij SNCF Connect aangevochten. De spoorwegmaatschappij vraagt haar klanten systematisch om bij de aankoop van online vervoersbewijzen, hun titel (“heer” of “mevrouw”) aan te geven. De vereniging is van mening dat dit in strijd is met de AVG, en dan vooral met het beginsel van dataminimalisatie. Dit beginsel houdt in dat zo min mogelijk persoonsgegevens moeten worden verzameld, gelet op de doeleinden waarvoor zij worden verwerkt. Zo betoogt CNIL dat het vragen van iemands genderidentiteit, niet noodzakelijk is voor de aankoop van een treinkaartje.
In 2021 heeft CNIL de klacht afgewezen omdat bovenstaande situatie geen schending van de AVG oplevert. De vereniging is daartegen in beroep gegaan, waardoor de zaak uiteindelijk bij het Hof is beland na verwijzing van de Franse rechter.
Het Hof noemt allereerst dat de AVG een beperkt aantal grondslagen bevat op basis waarvan de verwerking van persoonsgegevens, ofwel gendergegevens, als rechtmatig kan worden beschouwd. De volgende grondslagen zouden hier van toepassing kunnen zijn: (i) uitvoering van een overeenkomst, of (ii) gerechtvaardigd belang.
Wat betreft deze eerste grondslag, benoemt het Hof dat gegevensverwerking slechts als noodzakelijk voor de uitvoering van een overeenkomst kan worden gezien als zij objectief onmisbaar is voor de goede uitvoering van die overeenkomst. In deze context stelt het Hof vast dat wat betreft het contact met klanten, de vermoedelijke genderidentiteit niet onmisbaar lijkt om een treinreis mogelijk te maken. De spoorwegonderneming zou ervoor kunnen kiezen om de klant aan te spreken op basis van algemene, inclusieve termen die geen verband houden met de vermoedelijke genderidentiteit van de klant, zoals “beste klant”.
Over de tweede mogelijke grondslag, namelijk gerechtvaardigd belang, verklaart het Hof dat de verwerking van gegevens over de aanspreektitel van klanten alleen onder specifieke omstandigheden als noodzakelijk kan worden beschouwd. Dit geldt ook wanneer persoonsgegevens worden verwerkt om commerciële communicatie te personaliseren op basis van genderidentiteit.
Deze uitspraak is van belang voor organisaties die online formulieren gebruiken om persoonsgegevens te verzamelen. Het is als organisatie belangrijk om kritisch te zijn welke gegevens je opvraagt en of deze gegevens noodzakelijk zijn om het doel te bereiken. Dit betekent echter niet dat het verwerken van gendergegevens niet noodzakelijk kan zijn. Er zijn gevallen waarbij deze verwerking wél noodzakelijk is, vanwege de aard van de dienstverlening. Denk hierbij bijvoorbeeld aan dienstverlening door apotheken.
Daarnaast zijn er voor de aanhef genoeg andere opties dan de traditionele termen als "heer" of "mevrouw". Zo kan er gekozen worden voor een neutrale aanhef, bijvoorbeeld de voornaam. Als een organisatie toch wil vragen om de genderidentiteit of mensen de voorkeur geven aan een formelere aanspreekvorm, zou het optioneel maken van het invullen van de genderidentiteit een oplossing kunnen bieden.
In een eerder blog schreven wij al over de rechtszaak tussen marktonderzoeksbureau Blauw en diens softwareleverancier Nebu. In maart 2023 vond er bij Nebu een beveiligingsincident plaats, waarbij data van Blauw die bij Nebu was opgeslagen, op straat kwam te liggen. Er volgde een kort geding tussen partijen. Recentelijk heeft de rechtbank Rotterdam in eerste aanleg uitspraak gedaan over deze kwestie.
Blauw verwijt Nebu dat het niet genoeg beveiligingsmaatregelen heeft getroffen, zoals Multi-Factor Authenticatie (MFA) en datascheiding, en dat de communicatie na het incident tekortschoot. Blauw eist onder andere een verklaring dat Nebu aansprakelijk is voor de geleden schade en vordert een schadevergoeding van ruim €500.000,-. Daarnaast stelt Blauw dat de overeenkomst met Nebu is ontbonden na de de fouten van Nebu. Nebu weerspreekt deze claims en stelt dat het naar behoren heeft gehandeld, waarbij de genomen beveiligingsmaatregelen destijds voldeden aan de toenmalige eisen.
De rechtbank geeft aan dat beide partijen een ander standpunt innemen over de mate waarin MFA en datascheiding in die tijd gangbaar waren en welk effect deze maatregelen in dit specifieke geval zouden hebben gehad. De rechtbank besluit een onafhankelijke deskundige in te schakelen met specialistische kennis van de beveiliging van persoonsgegevens. De deskundige kan vervolgens duidelijkheid scheppen over de standpunten van partijen. Daarbij heeft de rechtbank vijf vragen opgesteld, die aan de deskundige zullen worden voorgelegd. Kort samengevat gaat het om de volgende vragen:
De zaak illustreert dat het lang niet altijd even duidelijk is wat er van partijen verwacht wordt op het gebied van datalekken en beveiliging. De zaak laat ook zien dat de manier van beveiligen en handelen tijdens het incident moet worden beoordeeld in het licht van de tijd waarin het plaatsvond.
Er wordt nu gewacht op de aanwijzing van een deskundige en het rapport dat daaruit voort zal komen. Begin maart kunnen de partijen een voorstel doen voor een deskundige.
Wil je graag gespecialiseerde kennis op doen over de Europese privacywetgeving? Volg dan onze opleiding tot Functionaris Gegevensbescherming/ Data Protection Officer.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.