Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand juli op een rij.
De Ierse Data Protection Commission (DPC) heeft een conceptbesluit genomen waarin ze aan de andere gegevensbeschermingsautoriteiten (GBA's) voorstelt Meta's doorgifte van persoonsgegevens van de EU naar de VS te stoppen. Als de andere GBA’s hierin meegaan, zal Meta - zoals Meta zelf aangeeft - diensten zoals Facebook en Instagram nog maar beperkt of helemaal niet meer kunnen aanbieden in de EU.
Dit is nog niet meteen het geval. De DPC volgt het coherentiemechanisme van artikel 60 van de AVG, bedoeld om de consensus onder de GBA’s te borgen. Het conceptbesluit zelf, en de details daarvan, zijn ook (nog) niet gepubliceerd.
In 2020 werd het toenmalige doorgiftemechanisme van de Verenigde Staten ongeldig verklaard door het Hof van Justitie van de Europese Unie (weet je nog, die Schrems-zaak). Dit kwam (samengevat) door de te brede bevoegdheden van de Amerikaanse inlichtingendiensten, het risico op surveillance voor Europese burgers en het gemis van de bescherming van hun rechten in de Amerikaanse wet.
Meta maakt sindsdien gebruik van een ander doorgiftemechanisme om de overdracht van Europese persoonsgegevens naar de VS te waarborgen in lijn met de AVG. Dit zijn de door de Europese Commissie opgestelde standard contractbepalingen (SCC's). Na de invalidatie van het Privacy Shield is de DPC gaan onderzoeken of de doorgifte van persoonsgegevens door Meta wel rechtmatig is. De DPC geeft nu aan dat ook de doorgifte onder de SCC’s naar de Verenigde Staten door Facebook, onrechtmatig is, en moet stoppen.
Door aanstaande veranderingen in de privacywetgeving van het Verenigd Koninkrijk (VK) is het onzeker of het VK in de toekomst nog vrijelijk persoonsgegevens kan uitwisselen met Europese organisaties.
Met het aankondigen van de nieuwe Data Reform Bill, probeert het VK om bureaucratie omtrent de uitwisseling en verwerking van persoonsgegevens terug te dringen en zo het bedrijfsleven tegemoet te komen.
De wetswijziging zal geld besparen voor organisaties, en bepaalde vereisten zoals de cookiebanner voor minder risicovolle activiteiten vergemakkelijken, aldus de Minister voor Media, Data en Digitale Infrastructuur Matt Warman. De wijziging zal bijvoorbeeld ook de mogelijkheden om persoonsgegevens voor wetenschappelijk onderzoek te gebruiken verbreden door de vereisten daarvoor te versimpelen. De digitale burgeridentiteit is ook onderdeel van de wijziging. Het zou gemakkelijker moeten worden voor burgers om digitaal identiteitskenmerken aan te tonen, in plaats van fysiek.
Deze nieuwe wetgeving kan tot gevolg hebben dat de Europese Commissie het adequaatheidsbesluit voor de Engelse privacywetgeving ongeldig verklaart. De Europese Unie (EU) heeft met dit besluit namelijk bepaald dat de privacywaarborgen in de VK voldoende waren voor een vrije doorgifte van persoonsgegevens tussen de EU en het VK. Door deze, mildere, voorgestelde regelgeving stelt het publiek vraagtekens bij of dit nog voldoet aan de lat van de Europese Commissie voor een land om als adequaat bestempeld te worden.
Het recht op vergetelheid, oftewel “the right to be forgotten”, heeft in de afgelopen paar jaar veel vragen met zich meegebracht. Deze zaken gingen vaak over hoe dit recht ingeroepen kan worden bij zoekresultaten getoond bij het gebruik van zoekmachines, maar in deze uitspraak van de Rechtbank Amsterdam is het nu bij de bron van dergelijke zoekresultaten ingeroepen: direct bij de krant.
De gedaagde, een online krant, publiceerde in 2014 een bericht over de vermissing van de eiseres waarin persoonsgegevens en een foto van de eiseres waren opgenomen. Eiseres heeft hier nog steeds last van op persoonlijk en professioneel niveau. Ze doet een beroep op artikel 17 Algemene verordening gegevensbescherming (AVG), en stelt dat de publicatie geen enkel doel meer dient. Ze verzoek verwijdering van het krantenartikel, en anonimisering of pseudonimisering van de persoonsgegevens over haar. De krant, hoewel begripvol, beroept zich op de noodzaak om een compleet en accuraat digitaal archief te onderhouden.
De rechter gaat in deze zaak voor een middenweg. De krant moet de online toegankelijke versie van het artikel aanpassen, zodat de eiseres niet meer herkenbaar is. Dit moet de krant doen door het gebruiken van alleen de initialen van de eiseres, en het verwijderen van de foto. De krant mag echter wél nog de originele versie van het artikel opslaan in een niet-openbaar archief, zolang de publiek toegankelijke versie maar aangepast is.
Het verschil met de zoekmachine-zaken lijkt dat daar de gedaagden voornamelijk een beroep doen op de vrijheid van meningsuiting. Het lijkt dat dat toch zwaarder weegt dan een noodzaak voor een openbaar archief, terwijl dat mogelijk ook onder het “recht op informatie” zou kunnen vallen?
Veel ondernemers moeten eHerkenning gebruiken bij overheidsaangelegenheden, zoals voor het doen van een aangifte in MijnBelastingdienst Zakelijk. EHerkenning moet echter, in tegenstelling tot DigID, aangeschaft worden bij een commercieel bedrijf. De aanstaande Wet Digitale Overheid moet hiervoor een wettelijke basis bieden.
In februari van dit jaar is hier een zaak over aangespannen bij de Rechtbank Gelderland, waaruit bleek dat een aanslag die een ondernemer had gekregen ongeldig was. De Belastingdienst had geen aangifte loonheffing van de ondernemer ontvangen, en heeft daarom een naheffingsaanslag opgelegd. De ondernemer stelt dat zij wel aangifte wilde doen, maar geen aangifte kon doen omdat ze geen eHerkenning had. Bovendien zegt de ondernemer dat de overheid helemaal geen wettelijke basis heeft om haar hiertoe te verplichten.
De rechter sluit zich bij de ondernemer aan. De verplichte aanschaf van eHerkenning heeft geen wettelijke basis volgens de rechter. Dit kan de overheid daarom niet van ondernemers vragen.
Advocaat-Generaal (A-G, iemand die advies geeft aan rechterlijke instanties) Niessen komt tot een andere conclusie. De Algemene Wet Bestuursrecht en de Algemene wet inzake rijksbelastingen zouden volgens Niessen wel voldoende wettelijke basis bieden voor deze eis. Ze bieden de minister namelijk de mogelijkheid om eisen te stellen aan elektronische communicatie, zoals de digitale belastingaangifte. De A-G vordert hiertoe cassatie in belang der wet, en adviseert de Hoge Raad om de uitspraak te vernietigen. Met andere woorden: hij vraagt hogere rechters om hier nog eens naar te kijken, want de wet wordt volgens Niessen verkeerd geïnterpreteerd.
Benieuwd wat er in augustus 2022 gaat gebeuren? Wij ook! Over een maand zijn we bij u terug met de volgende jurisprudentieblog.
Deze blog is in samenwerking geschreven met stagiair Michael de Borst.
Meer lezen over dit onderwerp? Lees verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.