Privacy jurisprudentieblog oktober 2020

Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand oktober op een rij.  

1. Binnen welke termijn moet de AP een klacht afhandelen?

In de eerste uitspraak die ik in deze blog behandel, staat de vraag centraal binnen welke termijn de Autoriteit Persoonsgegevens (AP) een klacht dient af te handelen. Op 21 januari 2019 is er een klacht ingediend bij de AP, en na een jaar is de klacht nog niet afgehandeld. De klager besluit een beroep niet-tijdig beslissen bij de rechtbank in te dienen. Want doet de AP hier niet veel te lang over?

De rechtbank Midden-Nederland komt tot de conclusie  dat de AP verplicht is om een klachtindiener binnen drie maanden ófwel een bericht van de voortgang van deze klacht te sturen ófwel de klacht geheel af te handelen. Als de klacht niet binnen drie maanden is afgerond moet de AP de klacht binnen een redelijke termijn afhandelen en de klachtindiener tussentijds binnen een redelijke termijn op de hoogte houden van de voortgang en informeren of er onderzoek of coördinatie met een andere toezichthoudende autoriteit is vereist.

In deze zaak komt de rechtbank overigens tot de conclusie dat de AP (nog) niet tekort is geschoten in de klachtafhandeling. Van doorslaggevend belang daarbij is dat de afhandeling van de klacht onderdeel uitmaakt van een groot en complex onderzoek naar datahandel en dat dit onderzoek ook gaat over landsgrensoverschrijdende verwerkingen van persoonsgegevens. Het beroep niet-tijdig is daarom niet-ontvankelijk en er zijn geen dwangsommen verbeurd.

2. Recht op de naam van de anonieme tipgever? 

De appellant in deze zaak ontving sinds 2011 een uitkering op grond van de Participatiewet. De gemeente Eindhoven had een onderzoek ingesteld naar de rechtmatigheid van die uitkering, nadat er een anonieme melding was binnengekomen. Uiteindelijk besloot de gemeente dat de uitkering niet rechtmatig was en dat de appellant veel geld moest terugbetalen. De appellant was wel erg benieuwd geworden van wie die anonieme tip nou afkomstig was. Naast enkele andere verzoeken, onder meer gericht op de verwijdering van zijn persoonsgegevens uit de informatiesystemen van de gemeente, verzocht de appellant de gemeente ook de naam van deze tipgever te vertellen.

Volgens appellant dient de gemeente te informeren over wie de tipgever is. Op grond van artikel 15 van de AVG (recht op inzage) zou appellant namelijk recht hebben op deze informatie. Hij stelt zich op het standpunt dat hij een zwaarwegend belang heeft om achter de naam te komen. De anonieme melder is volgens hem onbetrouwbaar en zijn verklaringen mochten geen aanleiding zijn voor een onderzoek tegen hem. De Raad van State is het echter niet met hem eens. De gemeente was, gelet op artikel 15 van de AVG, niet gehouden de naam van de anonieme melder bekend te maken

3. Toestemming ontbreekt, onrechtmatige verwerking?

In deze zaak is op een creatieve manier bedacht waarom er geen winkelverbod kon worden opgelegd aan de verdachte. De rechtmatigheid van het winkelverbod wordt namelijk met klem door de verdachte bestreden, omdat hij vindt dat zijn persoonsgegevens zonder diens toestemming zijn verwerkt. Dat is volgens de verdachte in strijd met de AVG. Tja, was het maar zo makkelijk! De rechtbank in Gelderland gaat hier natuurlijk niet in mee. Er zijn immers zés grondslagen waarop een verwerking van persoonsgegevens gebaseerd kan worden, waarvan toestemming er een is. Zonder de persoonsgegevens van verdachte te verwerken zou geen winkelverbod kunnen worden opgelegd en dat vindt de rechter niet de bedoeling. Helaas gaat de rechter niet een stap verder door te zeggen onder welke grondslag dit wel mocht gebeuren. Maar ik kan dat jullie ook vertellen: voor het bijhouden van een individueel winkelverbod geldt de grondslag van het gerechtvaardigd belang.

4. Boete voor foutieve update contactgegevens 

De gemeente Vilnius (Litouwen) heeft een boete van € 15.000 gekregen van de Litouwse gegevensbeschermingsautoriteit, de State Data Protection Inspectorate (SDPI). De reden? Er ging veel mis bij deze gemeente met betrekking tot de gegevens die in het systeem stonden.

Wanneer ouders hun kind bij de gemeente aanmeldden voor onderwijs, werden zij gevraagd hun contactgegevens op te geven, waaronder het e-mailadres. Het systeem van de gemeente was zo ingericht dat de contactgegevens automatisch geüpdatet werden via een systeem van een andere overheidsinstantie. Op deze manier wilde de gemeente zeker stellen dat de bij hun bekende gegevens juist en up-to-date bleven. In het geval van adoptieouders ging dit alleen helemaal mis. De contactgegevens van de adoptieouder werden namelijk automatisch vervangen door de contactgegevens van één van de biologische ouders van het kind.

Het is onder de AVG weliswaar vereist om zeker te stellen dat gegevens juist en up-to-date zijn. Desalniettemin bepaalde de SDPI, dat het onder bepaalde omstandigheden, niet gewenst is dat de verwerkingsverantwoordelijke (in dit geval het gemeentebestuur) de contactgegevens zelf aanpast op basis van gegevens die in andere systemen beschikbaar zijn. In dit geval had enkel de betrokkene zelf zijn contactgegevens mogen (laten) aanpassen. Bovendien werden de contactgegevens van de adoptieouder in dit geval niet up-to-date gehouden op basis van gegevens die beschikbaar waren over de betrokkene, maar op basis van gegevens over het kind. De SDPI besloot daarom dat er onvoldoende technische en organisatorische maatregelen getroffen waren om de juistheid van gegevens te waarborgen, wat resulteerde in een boete.

5. Ongerichte dataverzameling niet zomaar toegestaan

In Frankrijk, België en het Verenigd Koninkrijk wilde de wetgever providers verplichten om data (verkeersgegevens) op te slaan, waarna de nationale inlichtingendiensten toegang zouden krijgen tot deze gegevens.  De gedachte hierachter was dat het op grote schaal verzamelen van dit soort data, later van pas kan komen bij het opsporen, volgen en vervolgen van personen die worden verdacht van het uitvoeren van terroristische of criminele activiteiten.

Het Hof van Justitie van de Europese Unie oordeelde dat het ongericht verzamelen en opslaan van meta- of locatiedata in strijd is met de Europese privacywetgeving. De enige uitzondering die gemaakt wordt, waarbij dus het verzamelen van deze data wel kan worden toegestaan, is in het geval er sprake is van een ernstige bedreiging van de nationale veiligheid. Vooralsnog is het niet bekend wat deze uitspraak voor de Nederlandse Wet op de Inlichtingen- en Veiligheidsdiensten 2017 (sleepwet) zal betekenen.

6. Privébestanden in OneDrive geen persoonsgegevens

In de laatste zaak (een kort geding) werd een man vanwege schending van de servicevoorwaarden, door Microsoft de toegang ontzegd tot zijn OneDrive account. De man werd immers verdacht van het bezit van kinderpornografie. De man deed zowel een beroep zijn recht van inzage, als op zijn recht op dataportabiliteit. Op die manier probeerde de man zijn recht op toegang tot de bestanden terug te krijgen.

De rechter komt tot het oordeel dat de bestanden uit het OneDrive account van de man niet vanzelf persoonsgegevens zijn in de zin van de AVG. De bestanden en foto’s behoeven namelijk niet per definitie informatie over de man te bevatten en dat de man de bestanden zelf heeft opgeslagen, maakt de bestanden ook nog geen persoonsgegevens. Mede gezien de man niet duidelijk kan aantonen waarom er in dit geval sprake zou zijn van persoonsgegevens en het feit dat dit een zaak in kort geding is, komt de voorzieningenrechter tot de conclusie dat een beroep op de twee artikelen uit de AVG niet slaagt. Wel komt de voorzieningenrechter tot de conclusie dat Microsoft de bestanden (nog) niet mag verwijderen. In een bodemprocedure zal moeten worden beslist of de man weer toegang zal krijgen tot zijn OneDrive account.

Benieuwd wat er in november gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!


Deze blog is geschreven in samenwerking met Valeria Brussé, stagiaire bij ICTRecht.

Terug naar overzicht