Privacy jurisprudentieblog | oktober 2024

Stress door registratie in de FSV: belastingplichtige eist immateriële schadevergoeding.

Op 18 juni 2024 deed de rechtbank Noord-Holland een belangrijke uitspraak over de Fraude Signalering Voorziening (FSV). De FSV is een systeem dat door de Belastingdienst wordt gebruikt om potentiële fraudezaken te signaleren. De zaak draaide om een belastingplichtige met Multiple Sclerose (MS) die bezwaar maakte tegen de verwerking van haar persoonsgegevens in de FSV en een schadevergoeding eiste voor vermeende schade.

Achtergrond van de zaak

De FSV is ontworpen om fraude te bestrijden. In sommige gevallen kunnen belastingaangiften gemarkeerd worden als verdacht, waardoor persoonlijke gegevens in dit systeem worden geregistreerd.

In dit geval werd de belastingplichtige geregistreerd in de FSV vanwege correcties in haar belastingaangifte over 2013. Ze wilde medische kosten aftrekken, maar door de wijzigingen beschouwde de belastingdienst dit als een mogelijk risico. Dit leidde ertoe dat haar aangiften van meerdere jaren in het systeem werden gemarkeerd.

In 2021 verzocht zij om inzage in haar persoonsgegevens die in de FSV en andere vergelijkbare systemen waren verwerkt. Hoewel de Belastingdienst inzage gaf in de gegevens in de FSV, betoogde de belastingplichtige dat de inzage onvolledig was en dat haar gegevens met derden waren gedeeld. Zij eiste ook een schadevergoeding voor de stress die de FSV-registratie had veroorzaakt, wat haar MS zou hebben verergerd en problemen zou hebben opgeleverd bij het verkrijgen van een persoonsgebonden budget van de gemeente.

Argumenten en rechtsgrondslag

De belastingplichtige baseerde haar verzoek op de Algemene Verordening Gegevensbescherming (AVG), die individuen het recht geeft om hun persoonlijke gegevens in te zien en schadevergoeding te eisen bij een schending van die rechten. Daarnaast biedt het Burgerlijk Wetboek de mogelijkheid om een schadevergoeding te vragen voor immateriële schade, zoals stress of reputatieschade.

De Belastingdienst voerde echter aan dat zij het inzagerecht van de belastingplichtige naar behoren had vervuld en dat er geen sprake was van onrechtmatige gegevensdeling met derden. Volgens de Belastingdienst had de registratie in de FSV geen nadelige gevolgen voor de belastingplichtige en gaf deze geen recht op schadevergoeding.

De uitspraak van de rechtbank

De rechter oordeelde in het voordeel van de Belastingdienst en concludeerde dat er geen verplichting was om verdere inzage te geven in de persoonsgegevens van de belastingplichtige of een schadevergoeding toe te kennen. De verstrekt inzage werd als voldoende beoordeeld en er was geen bewijs dat de gegevens onrechtmatig waren gedeeld.

Bij de behandeling van de vordering tot schadevergoeding voor immateriële schade erkende de rechter dat stress door de FSV-registratie weliswaar denkbaar is, maar dat de belastingplichtige geen concreet bewijs van persoonlijk letsel had geleverd, behalve haar beweringen over stress.  De rechter bandrukte dat de belastingplichtige pas in 2021 op de hoogte was van de registratie, nadat het FSV-systeem al buiten gebruik was gesteld. Dit ondermijnde de bewering van directe en voortdurende schade.

Daarom wees de rechter het verzoek om schadevergoeding af, met de nadruk op de noodzaak van concreet bewijs van persoonlijk letsel om een schadevergoeding voor immateriële schade als gevolg van schendingen van de AVG te rechtvaardigen.

Conclusie

Deze uitspraak benadrukt het belang van concreet bewijs van schade bij het eisen van schadevergoeding voor immateriële schade die voortvloeit uit gegevensverwerkingspraktijken. Hoewel privacy schendingen ongetwijfeld leed kunnen veroorzaken, zijn loutere beweringen van stress zonder substantieel bewijs mogelijk niet voldoende voor een succesvolle claim.

Toegang tot gegevens voor online auteursrechtbescherming: evenwicht tussen grondrechten en effectiviteit

De feiten

Op 30 april 2024 heeft het Hof van Justitie van de Europese Unie verduidelijkt onder welke voorwaarden overheidsinstanties toegang kunnen krijgen tot persoonsgegevens voor de bescherming van auteursrechten op internet. De zaak draaide om de Franse overheidsinstantie Hadopi, die belast is met de bestrijding van online piraterij.

Centraal in deze uitspraak staat de afweging tussen de bescherming van grondrechten, met name het recht op privacy en de bescherming van persoonsgegevens, en de noodzaak om effectief op te treden tegen inbreuken op auteursrechten. De Franse wet die Hadopi toegang geeft tot gegevens van internetgebruikers om online piraterij te bestrijden, werd onder de loep genomen.

De toegang tot persoonsgegevens ter bestrijding van criminaliteit

De regeling hield in dat Hadopi toegang kreeg tot de persoonsgegevens van houders van IP-adressen die werden gebruikt om auteursrechtelijk beschermd materiaal te downloaden. Deze toegang was mogelijk nadat organisaties van rechthebbenden, zoals filmstudio’s en muziekmaatschappijen, bewijs van illegale downloads hadden verzameld en aan Hadopi hadden overgedragen.

Volgens Richtlijn 2002/58 mogen lidstaten uitzonderingen maken op de bescherming van persoonsgegevens, voor bijvoorbeeld de bestrijding van criminaliteit. Het Handvest van de grondrechten van de Europese Unie garandeert echter ons recht op privacy, bescherming van persoonsgegevens en vrijheid van meningsuiting.

De voorwaarden voor de toegang tot persoonsgegevens

Het Hof oordeelde dat de Franse regeling in beginsel niet in strijd is met het Unierecht, mits aan een aantal voorwaarden wordt voldaan:

  • Scheiding van gegevens: identiteitsgegevens en IP-adressen moeten gescheiden van elkaar worden bewaard om koppeling te voorkomen.
  • Beperkte toegang: Hadopi mag de gegevens alleen gebruiken om de houder van het IP-adres te identificeren. De gegevens mogen niet gebruikt worden voor andere doeleinden, zoals het traceren van de zoekgeschiedenis van internetgebruikers.
  • Rechterlijke toestemming: in bepaalde gevallen, met name wanneer Hadopi, door de koppeling van verschillende gegevens, nauwkeurige gevolgtrekkingen kan maken over het privéleven van de betrokkene, is voorafgaande toestemming van een rechter vereist.

Kortom, de uitspraak benadrukt dat nationale regelingen die overheidsinstanties toegang geven tot de identiteitsgegevens van houders van IP-adressen, strenge eisen moeten volgen om de privacy van burgers te waarborgen. Dit is een belangrijke stap in de richting van een evenwichtige en effectieve aanpak van auteursrechtinbreuken op het internet.

Terug naar overzicht