Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand maart op een rij.
Een betrokkene had een inzageverzoek gestuurd naar het Regionaal Informatie- en Expertisecentrum (RIEC) Noord-Nederland. Het RIEC Noord Nederland is een samenwerkingsverband tussen de convenantpartners Politie Eenheid Noord-Nederland, het Parket Noord-Nederland, de Belastingdienst Noord, de gemeente Groningen en de gemeente Leeuwarden. In reactie hierop kreeg betrokkene bericht dat het verzoek doorgestuurd was naar de Nationale Politie als één van de convenantpartners. Vrij snel daarna kreeg de verzoeker bericht dat de beslistermijn op het inzageverzoek met twee maanden was verlengd. De verlengde beslistermijn verliep vervolgens zonder dat er een inhoudelijke reactie op het verzoek kwam. De betrokkene was het niet eens met de gang van zaken en stapte naar de rechter. Helaas voor de betrokkene werd het inzageverzoek afgewezen. Reden: de betrokkene had zijn inzageverzoek moeten richten aan alle convenantpartners als gezamenlijke verwerkingsverantwoordelijken, en niet aan het RIEC. Het Nederlands burgerlijk procesrecht maakt het immers niet mogelijk om tegen een partij te procederen die geen natuurlijke- of rechtspersoon is. De betrokkene werd dan ook in het ongelijk gesteld.
Recent oordeelde het gerechtshof Amsterdam dat de relatie tussen een bekende maaltijdbezorgdienst en haar bezorgers gekwalificeerd moest worden als een arbeidsovereenkomst. Dit terwijl alle maaltijdbezorgers als zzp’ers behandeld werden. Het hof oordeelde dat er feitelijk toch echt sprake was van een arbeidsovereenkomst. In Engeland broeit ook een dergelijke rechtszaak, maar in plaats van een bezorgdienst gaat het daar om online-platformen die bemiddelen in taxi-diensten.
De Britse chauffeurs die van deze taxi-apps gebruikmaken, hebben zich verenigd in een vakbond en zijn van plan een rechtszaak te starten tegen de platformen. Ter voorbereiding zijn ze bezig met het opbouwen van een database waarmee ze onderzoek kunnen doen. Om gegevens voor de database te verzamelen doen verschillende chauffeurs een inzageverzoek bij twee grote platformen. Aangezien de Europese hoofdkantoren van beide platformen in Amsterdam zijn gevestigd, zijn deze chauffeurs zaken over de gedane inzageverzoeken gestart bij de Rechtbank Amsterdam. Zowel bij de ene als bij de andere zaak stelt de rechtbank Amsterdam vast dat er geen sprake is van misbruik van recht. Dit was door de platformen wel als verweer aangebracht. Zij waren van mening dat de AVG niet gebruikt mag worden om informatie te verzamelen voor een arbeidsrechtelijk geschil. De rechtbank gaf aan dat de betrokkene in beginsel niet hoeft te motiveren of onderbouwen waarom hij een inzageverzoek doet. Het kan wel zijn dat het misbruik van recht oplevert, maar dat is enkel het geval als de verwerkingsverantwoordelijke kan aantonen dat de informatie slechts voor het geschil bedoeld is. De betrokkenen hebben in beide zaken aangedragen dat ze ook de juistheid en rechtmatigheid willen controleren. Volgens de rechtbank is er dus geen sprake van misbruik van recht.
De stichting Privacy First had een kort geding aangespannen tegen de Staat der Nederlanden. Hierin eiste ze voorlopige buitenwerkingstelling van twee elementen van de Nederlandse antiwitwaswetgeving die vorig jaar ingevoerd is op basis van een aantal Europese richtlijnen op dit gebied, dit in afwachting van het vragen van uitleg aan het Europese Hof van Justitie over de strijdigheid van deze richtlijnen met o.a. het privacy grondrecht en de AVG. Het ging specifiek om enerzijds de in de Handelsregisterwet neergelegde verplichting tot het registreren van persoonsgegevens van uiteindelijk belanghebbende(n), ook wel ultimate beneficial owner(s) genoemd (hierna: ‘UBO’s’), van vennootschappen en andere rechtspersonen in het UBO-register. Anderzijds ging het om de eveneens in de Handelsregisterwet geregelde openbare toegankelijkheid van een deel van deze gegevens van de UBO (de zogenoemde algemene gegevens).
De kortgedingrechter is het met Privacy First eens dat de openbare toegankelijkheid van een deel van de gegevens van de UBO mogelijk in strijd is met individuele rechten op privacy en gegevensbescherming en haalt daarbij ook het kritische advies van de European Data Protection Supervisor m.b.t. één van de Europese antiwitwasrichtlijnen aan. Desalniettemin besloot de rechter niet over te gaan tot het stellen van vragen hieromtrent. De reden daarvoor was dat een Luxemburgse rechtbank reeds op 13 november 2020 vergelijkbare vragen op dit punt aan het Hof had gesteld.
Wat betreft de mogelijke met het privacyrecht strijdige verplichting tot het registreren van UBO-gegevens in het UBO-register was de kortgedingrechter van oordeel dat dit evenmin diende te leiden tot het stellen van uitlegvragen aan het Europese Hof. Hij vond namelijk dat Privacy First onvoldoende had onderbouwd dat deze verplichting niet zou voldoen aan de bij het privacy grondrecht te respecteren beginselen van evenredigheid en subsidariteit. Anders dan Privacy First leek te betogen, was er volgens hem namelijk op voorhand onvoldoende aanleiding voor twijfel over de effectiviteit van het UBO-register bij het voorkomen van witwassen. Bovendien vond de rechter dat Privacy First niet aannemelijk had gemaakt dat er een aanzienlijke kans bestaat dat de momenteel afgeschermde UBO-gegevens door datalekken en/of de mogelijke toekomstige koppeling van de Europese UBO-registers op straat zullen komen te liggen.
Dit keer een zaak waarin de eiser de staatssecretaris van Justitie en Veiligheid verzocht om informatie over de verwerking van zijn persoonsgegevens op grond van de AVG. De staatssecretaris gaf een overzicht van de verwerkte persoonsgegevens aan de eiser, maar eiser is van mening dat hier geen achterliggende informatie in te vinden is. Hij stelt dat de staatssecretaris in strijd handelt met de AVG, omdat hij hier wel recht op zou moeten hebben.
De rechtbank oordeelt dat het inzagerecht beperkt is tot persoonsgegevens die alleen de betrokkene zelf betreffen. De uitleg van het begrip ‘persoonsgegevens’ is dus bepalend voor de reikwijdte van het inzagerecht. Door het Hof van Justitie van de Europese Unie (Hof) en de Hoge Raad wordt een ruime uitleg aan het begrip “persoonsgegeven” gegeven. Het Hof heeft in zijn arrest overwogen dat het begrip persoonsgegevens zich potentieel uitstrekt tot elke soort informatie, zowel objectieve als subjectieve informatie die de betrokkene betreft. Van dat laatste is sprake als de informatie wegens haar inhoud, doel of gevolg gelieerd is aan een natuurlijk persoon. Volgens de rechtbank is dat precies wat de staatssecretaris aan eiser heeft verstrekt. Dat wil zeggen dat de eiser beschikking heeft gekregen over een overzicht, in begrijpelijke vorm, van alle hem betreffende persoonsgegevens die zijn verwerkt. Hiermee verwerpt zij het beroep van eiser, omdat eiser niet aannemelijk heeft gemaakt dat er meer persoonsgegevens dienen te zijn.
Bij de onderbouwing van haar beslissing verwees de rechtbank naar vaste jurisprudentie van de Afdeling bestuursrechtspraak van de Raad van State. Uit deze jurisprudentie volgt dat degene die stelt dat er méér persoonsgegevens moeten zijn -nadat het bestuursorgaan onderzoek naar die persoonsgegevens heeft gedaan en niet ongeloofwaardig heeft medegedeeld dat er niet meer persoonsgegevens zijn- aannemelijk dient te maken dat er wel meer persoonsgegevens dienen te zijn. De rechtbank zag geen grond voor het oordeel dat verweerder niet ongeloofwaardig heeft medegedeeld dat er niet meer persoonsgegevens zijn.
In deze zaak heeft eiser aan de minister van Buitenlandse Zaken verzocht om informatie over de verwerking van zijn persoonsgegevens op grond van de AVG. Het ging om gegevens die eiser per e-mail had ontvangen van de Dienst Terugkeer en Vertrek (DT&V) en die volgens de DT&V afkomstig zouden zijn van de minister. Deze gegevens waren voor een deel afkomstig uit een identiteitsonderzoek naar de eiser dat door een Nederlandse ambassade in het buitenland was ingesteld. Dit verzoek is door de minister afgewezen, omdat hij stelde niet de verwerkingsverantwoordelijke van de gegevens te zijn.
De rechtbank oordeelt echter dat de minister wel een verwerkingsverantwoordelijke van de gegevens is. Er moet namelijk een ruime uitleg worden gegeven aan het begrip ‘verwerkingsverantwoordelijke’, aangezien het doel van de AVG is mensen bescherming te bieden bij de verwerking van persoonsgegevens. De minister heeft bovendien niet afdoende (met stukken) onderbouwd dat hij zelf geen feitelijke invloed heeft gehad op de verwerking van de persoonsgegevens van eiser. Dat een identiteitsonderzoek in opdracht van DT&V altijd wordt uitgevoerd door inschakeling van een vertrouwenspersoon in het land van onderzoek en dat hij slechts een kleine rol heeft bij het doorgeven van een onderzoeksvraag aan een vertrouwenspersoon, doen daaraan –de ruime uitleg van het begrip ‘verwerkingsverantwoordelijke’– niet af.
Benieuwd wat er in april 2021 gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!
Deze blog is geschreven door stagiair Ruben van der Geest en stagiaire Daisy Brugman, in samenwerking met Pier Ehlhardt.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.