Nautadutilh stelt periodiek een jurisprudentieoverzicht samen met een overzicht van de relevante privacyjurisprudentie. Eerst wordt een drietal interessante zaken uitgelicht. Daaronder is een overzicht te zien van relevante privacyjurisprudentie in de maanden januari en februari, waarbij de datum uitspraak is aangehouden.
Achtergrond
In april 2023 heeft de Staat twee aanbestedingsprocedures voor standaardprogrammatuur aangekondigd. Met beide aanbestedingen beoogt de Staat raamovereenkomsten te sluiten met resellers die voor eigen rekening en risico softwarelicenties van verschillende vendors leveren aan de deelnemers.
SoftwareOne heeft aanbiedingen gedaan op beide aanbestedingen, maar ook een klacht ingediend bij de Commissie van Aanbestedingsexperts (CvAE) met betrekking tot het verplicht sluiten van een verwerkingsovereenkomst en de onbeperkte aansprakelijkheid in de overeenkomsten met de vendors. De CvAE heeft de klacht gegrond verklaard.
SoftwareOne heeft vervolgens de Staat verzocht om de procedures in te trekken en eventueel over te gaan tot heraanbesteding. De Staat heeft meegedeeld dat de opdracht gegund wordt aan de andere drie partijen en dat SoftwareOne op de vierde plaats is geëindigd en heeft verloren op prijs. De Staat ziet geen aanleiding om de aanbestedingsprocedures in te trekken.
Juridisch kader
De kern van het geschil in beide zaken betreft de vraag of de wijze waarop in de aanbestedingen het risico van de opdracht is verdeeld, proportioneel is op basis van artikel 1.10 lid 1 Aanbestedingswet en de Gids Proportionaliteit.
De voorzieningenrechter oordeelt voorlopig dat de door SoftwareOne bestreden voorwaarden in strijd zijn met voorschrift 3.9A van de Gids Proportionaliteit. SoftwareOne heeft aannemelijk gemaakt dat een reseller het risico van het niet naleven van een verwerkersovereenkomst niet kan beheersen als de reseller geen toegang heeft tot de persoonsgegevens en de vendor persoonsgegevens van de deelnemer verwerkt. SoftwareOne heeft er dat verband op gewezen dat de reseller in dat geval zelf geen persoonsgegevens verwerkt, daarbij ook geen enkele feitelijke betrokkenheid heeft, geen toegang heeft tot de software en services waarop de persoonsgegevens worden bewaard en geen toegang heeft tot de persoonsgegevens die met het gebruik van de software (door de deelnemer) worden verwerkt. De reseller heeft daardoor geen controle of invloed op i) hoe de deelnemer gebruik maakt van haar gebruiksrecht en ii) hoe de persoonsgegevens bij de vendor worden verwerkt, en dus ook niet op het naleven van de verwerkersovereenkomst.
Voorschrift 3.9A van de Gids Proportionaliteit bepaalt voorts dat het risico moet worden neergelegd bij de partij die het best kan beheersen. Aangezien de reseller geen toegang heeft tot de persoonsgegevens en deze uitsluitend door de vendor worden verwerkt, moet de Staat (en de deelnemers) als de meest geschikte partij worden beschouwd om het risico te beheersen. De voorzieningenrechter neemt het oordeel van de CvAE over dat de Staat zonder deugdelijke motivering afwijkt van voorschrift 3.9D van de Gids Proportionaliteit. De reseller is onbeperkt aansprakelijk voor schendingen inzake persoonsgegevens, wat niet beheersbaar is voor de reseller. De voorzieningsrechter acht de voorwaarden dat de reseller een verwerkingsovereenkomst moet sluiten en dat hij onbeperkt aansprakelijk is, dan ook disproportioneel. Dat betekent dat de gunningsbeslissingen niet in stand kunnen blijven.
Achtergrond
Blauw is een marktonderzoeksbureau dat grote hoeveelheden persoonsgegevens verwerkt. Nebu is een softwareontwikkelingsbedrijf dat zich richt op het faciliteren van marktonderzoeken en dataverzameling. Sinds 2013 maakt Blauw gebruik van de diensten van Nebu en in 2018 hebben de partijen een door Blauw opgestelde verwerkersovereenkomst ondertekend. Op 10 en 11 maart 2023 heeft er bij Nebu een veiligheidsincident plaatsgevonden waarbij mogelijk data van Blauw betrokken was. Volgens Blauw is Nebu tekortgeschoten in haar beveiligingsmaatregelen, zoals Multi-Factor Authenticatie (MFA) en datascheiding. Blauw stelt dat Nebu aansprakelijk is voor de geleden schade en vordert (i) schadevergoeding en (ii) ontbinding van de overeenkomst wegens wanprestatie. Nebu stelt dat zij adequaat heeft gehandeld en dat de maatregelen ten tijde van het incident conform de gangbare norm waren.
Juridisch kader
Op grond van de Blauw verwerkersovereenkomst moest Nebu passende technische en organisatorische maatregelen nemen om de veiligheid van haar diensten te garanderen en deze regelmatig evalueren en verbeteren. Blauw stelt dat Nebu hier niet aan voldeed omdat zij geen MFA had geïmplementeerd, wat destijds volgens Blauw ‘common practice’ was en de kans op een succesvolle aanval met 99% had verminderd. Daarnaast verwijt Blauw dat Nebu geen scheiding van klantgegevens heeft toegepast en de aanval eerder had moeten melden.
Nebu betwist dit en stelt dat er ten tijde van de aanval diverse producten zonder MFA op de markt waren en dat relevante wetgeving MFA niet verplichtte. Bovendien zou MFA de aanval niet hebben voorkomen. Nebu wijst ook op het multi-tenant environment-contract met Blauw, waarbij verschillende klanten dezelfde omgeving voor gegevensopslag gebruikten, wat volgens Nebu gebruikelijk was.
De rechtbank acht het noodzakelijk dat over voorgaande kwesties eerst duidelijkheid komt. Pas dan kan worden geoordeeld of sprake is van enig tekortschieten van Nebu in haar contractuele verplichtingen en/of in haar zorgplicht. Om die duidelijkheid te verkrijgen, is voorlichting door een onafhankelijke deskundige noodzakelijk, en daarom legt de rechtbank de volgende vragen aan een deskundige voor:
1. Wat was begin 2023 voor een zorgvuldig handelend dienstverlener/(sub)verwerker in de zin van de AVG op de Nederlandse markt, gebruikelijk in de branche als het gaat om de beveiliging van persoonsgegevens, in het bijzonder ten aanzien van datascheiding en MFA, dan wel een combinatie van beide? Maakt het daarbij verschil dat het gaat om een klant van de (sub)verwerker die marktonderzoek doet waarbij veel persoonsgegevens van natuurlijke personen (waaronder medische gegevens) worden opgeslagen en verwerkt? In hoeverre was sprake van een ‘common practice’?
2. a. Als in dit geval zowel MFA als datascheiding conform het in vraag 1 bedoelde gebruik als maatregel zou zijn ingesteld, wat was dan de kans dat het incident had plaatsgevonden? Waren de gevolgen van het incident voor de persoonsgegevens waarvan Blauw verwerker was in dat geval anders geweest dan zij in de feitelijk opgetreden situatie zijn geweest? Zo ja, in welk opzicht?
b. Hoe luidt uw antwoord op deze vraag als alleen MFA of alleen datascheiding conform de norm van vraag 1 zou zijn ingesteld?
3. Was het, gezien de stand van de techniek en de gebruiken in de markt begin 2023, mogelijk geweest om het incident eerder te ontdekken dan op 11 maart 2023 om 8:30 uur? Was een eerdere melding van dat incident aan Blauw dan op 11 maart 2023 om 10:51 uur mogelijk en zinvol geweest? Kon er op 11 maart 2023 om 10:51 uur meer en anders aan Blauw worden bericht dan Nebu toen heeft gedaan? Zo nee, waarom niet? Zo ja, wat dan?
4. Was het op 24 maart 2023 na intern onderzoek vaststellen dat sprake was van een incident dat had geleid tot een inbreuk in verband met persoonsgegevens, voor een zorgvuldig handelend dienstverlener naar de situatie van begin 2023, vaststelling binnen een redelijke termijn?
5. Zijn er nog andere punten die u naar voren wilt brengen waarvan de rechtbank volgens u kennis dient te nemen?
Achtergrond
Bij vonnis van 7 juni 2024 heeft de voorzieningenrechter LinkedIn, Microsoft Ireland, Microsoft Corporation en Xandr (LinkedIn c.s.) bevolen het plaatsen dan wel uitlezen van tracking cookies, op het apparaat van gedaagde, te staken. Gedaagde heeft na het gewezen vonnis laten onderzoeken of LinkedIn c.s. het vonnis naleven. De deskundige heeft een rapport uitgebracht waarin hij concludeert dat LinkedIn c.s. op de twee onderzochte data tracking cookies heeft geplaatst op de computer van gedaagde. Gedaagde heeft hierna aan elk van de partijen een verbeurde dwangsom van 25.000 euro aangezegd wegens het overtreden van het uitgesproken gebod en heeft vervolgens executoriaal beslag gelegd. LinkedIn c.s. vorderen gedaagde te bevelen de beslagen op te heffen.
Juridisch kader
Volgens LinkedIn c.s. mogen alleen de cookies die met naam genoemd zijn in het vonnis, niet meer geplaatst worden. De in het vonnis met naam genoemde cookies zijn voorbeelden van tracking cookies, maar het gebod was gegeven voor tracking cookies of andere cookies waarvoor toestemming vereist is. De engere uitleg van LinkedIn c.s. is volgens de rechtbank dan ook onjuist, omdat zij nog steeds in strijd met de AVG en de Telecommunicatiewet zou kunnen blijven handelen.
Vervolgens stellen LinkedIn c.s. dat zij stappen hebben genomen om te voorkomen dat cookies zonder toestemming van gedaagde konden worden uitgelezen of geplaatst. Een toelichting over de wijze waarop dit zou zijn gebeurd, is echter geheel niet gegeven, terwijl dit wel van hen verwacht had mogen worden. De argumentatie van LinkedIn c.s. is te mager. Daarnaast stellen LinkedIn c.s. zich op het standpunt dat zij zelf onderzoek hebben uitgevoerd en, in tegenstelling tot het onderzoek van gedaagde, geen overtredingen hebben geconstateerd. De rechtbank oordeelt over dit onderzoek dat het niet door een onafhankelijke derde is uitgevoerd en dat het dateert van na de onderzoeken van gedaagde.
Het argument van LinkedIn c.s. de gedaagde doet aan cherry picking wordt door de rechtbank niet gevolgd. Dat er websites zijn waar geen cookies zijn geconstateerd, is moeilijk serieus te nemen. Dat het soms goed gaat, neemt de keren dat het fout gaat immers niet weg, aldus de rechtbank. In het onderzoek van gedaagde is bovendien uitgebreid uiteengezet waarom de aangetroffen cookies als trackingscookies kunnen worden aangemerkt en derhalve niet proportioneel of noodzakelijk zijn. Zo verlopen de cookies pas na 6 of 12 maanden, wat ervoor zorgt dat LinkedIn c.s. gedetailleerde gegevens over de gebruikers kan verzamelen. Tegen deze onderbouwing hebben LinkedIn c.s. weinig substantieels ingebracht.
De rechtbank acht bewezen dat LinkedIn c.s. het gebod hebben overtreden met het plaatsen van de tracking cookies. LinkedIn en Microsoft Ireland hebben beide dwangsommen van 25.000 euro verbeurd. De opgelegde dwangsommen voor Microsoft Corporation en Xandr worden opgeheven, aangezien het vonnis aan hen pas is betekend na de data waarop gecontroleerd is of het vonnis werd nageleefd. Dat zij het gebod van de voorzieningenrechter niet hebben opgevolgd, blijkt nergens uit.
Rb. Noord-Nederland 7 januari 2025, ECLI:NL:RBNNE:2025:187 : De rechtbank overweegt dat het gaat om het opvragen van de gegevens van zoon door vader. Dit ligt in de privésfeer van vader en zoon, omdat het diens persoonsgegevens betreffen en daarom betreft dit een AVG-verzoek en geen Woo-verzoek, aldus de rechtbank. De rechtbank oordeelt vervolgens dat de zoon 16 jaar oud is en dat hij daarom, overeenkomstig art. 8(1) AVG en art. 5(1) UAVG, zelf beslist of de gegevens worden gedeeld. Dat de toestemming van zoon niet vereist is omdat de vader het gezag over hem heeft is onjuist. Nu zoon dit heeft geweigerd, kunnen de opgevraagde stukken niet naar vader worden toegestuurd.
Rb. Midden-Nederland 8 januari 2025, ECLI:NL:RBMNE:2025:91 : Het beroep van eisers tegen het niet tijdig nemen van een besluit op het verzoek tot verwijdering van BSN-nummers uit de ambtenarentabel, is niet-ontvankelijk. De eisers wilden dat de minister op hun aanvraag zou beslissen. Omdat de minister inmiddels heeft beslist, hebben eisers geen belang meer bij een uitspraak op het beroep tegen het niet tijdig beslissen.
Gerecht EU 8 januari 2025, ECLI:EU:T:2025:4 : Bindl verzocht het Gerecht om doorgifte van zijn persoonsgegevens naar derde landen zonder adequaat beschermingsniveau nietig te verklaren en om schadevergoeding voor immateriële schade. Het Gerecht oordeelde dat de doorgifte van persoonsgegevens naar de VS zonder passende waarborgen een schending van art. 46 AVG was en kende Bindl een schadevergoeding van 400 euro toe voor immateriële schade.
HvJ EU 9 januari 2025, ECLI:EU:C2025:2 : Het Hof oordeelde dat het verplicht verzamelen van aanspreektitels (de heer/mevrouw) voor commerciële communicatie door een vervoersonderneming in strijd is met de AVG. Dit is niet noodzakelijk voor de uitvoering van een overeenkomst en kan niet worden gerechtvaardigd door een gerechtvaardigd belang, omdat de rechten van klanten zwaarder wegen, vooral vanwege discriminatierisico. Het recht van bezwaar van art. 21 AVG speelt geen rol bij de beoordeling van de rechtmatigheid van de verwerking, het gerechtvaardigd belang art. 6(1)(f) AVG, omdat art. 21 AVG een rechtmatige verwerking veronderstelt.
Rb. Noord-Nederland 9 januari 2025, ECLI:NL:RBNN:2025:83 : De rechtbank oordeelde dat de AP terecht concludeerde dat een vrouw die live camerabeelden van bruggen en een haven in een Fries dorp streamde voor onder andere reclame- en toerismedoeleinden, geen beroep kan doen op gerechtvaardigd belang. De livebeelden toonden ook huizen en bewoners in openbare ruimten. Bewoners verwachten niet dat hun persoonsgegevens via een livestream worden verwerkt. Ondanks waarschuwingsbordjes zijn voorbijgangers zich niet altijd bewust van de livestream. De verwerking is niet rechtmatig, transparant of behoorlijk, en de genoemde belangen van de vrouw wegen niet op tegen die van de bewoners.
Rb. Gelderland 21 januari 2025, ECLI:NL:RBGEL:2025:277 : De rechtbank oordeelde dat eiseres onterecht inzage in haar GIR-registratie (Gemeentelijke Incidenten Registratie) is geweigerd. De gemeente weigerde inzage vanwege de vertrouwelijkheid van het GIR-systeem en de bescherming van medewerkers. De rechtbank vond dat de gemeente onvoldoende onderbouwde waarom dit onder de beperking van de bescherming van betrokkene uit art. 23(1)(i) AVG en art. 41(1)(i) UAVG valt. De GIR-registratie had in een andere vorm verstrekt kunnen worden, waarbij vertrouwelijke gegevens niet zichtbaar waren, zolang dit voldoet aan art. 15(3) AVG.
Rb. Limburg 31 januari 2025, ECLI:NL:RBLIM:2025:778 : Eiser maakte bezwaar tegen de verwerking van zijn persoonsgegevens door het UWV, maar dit werd afgewezen. Het UWV stelde dat het op grond van een wettelijke taak gegevens moet verwerken voor de polisadministratie, vooral omdat eiser een pensioenuitkering ontvangt. De rechtbank oordeelde dat het UWV inderdaad een wettelijke taak heeft die deze verwerking noodzakelijk maakt. Hierdoor doet de uitzondering van art. 17(3)(b) AVG zich voor en heeft eiser geen recht op wissing van zijn gegevens.
Rb. Limburg 4 februari 2025 ECLI:NL:RBLIM:2025:930 : Beroep tegen de Belastingdienst voor het niet tijdig beslissen op een inzageverzoek. Het beroep wegens niet tijdig beslissen heeft de rechtbank niet-ontvankelijk verklaard omdat opposant geen procesbelang meer had bij een uitspraak op dat beroep, nu de Belastingdienst Toeslagen inmiddels een besluit genomen had op zijn inzageverzoek en er ook geen andere reden was om nog procesbelang aan te nemen.
Rb. Den Haag 5 februari 2025, ECLI:NL:RBDHA:2025:1138 : De rechtbank Den Haag oordeelde in de zaak van oud-Kamervoorzitter Arib tegen de Tweede Kamer, dat de Staat een rechtmatig belang had voor de verwerking van Arib’s persoonsgegevens. Dit betrof de belangen van ambtenaren, het creëren van een veilige werkomgeving en het algemeen publiek. De belangen van Arib wogen minder zwaar, omdat onder andere bij de verwerking rekening was gehouden met haar belang door stil te staan bij de aard en gevoeligheid van de informatie voor het leven van Arib en voor een extern onderzoek te kiezen.
Rb. Noord-Holland 11 februari 2025, ECLI:NL:RBNHO:2025:1087 : Een directeur van scholenkoepel SPO vindt dat SPO haar gegevens niet in het schoolleidersregister had mogen verwerken zonder haar toestemming. De rechtbank oordeelt dat SPO dit wel mocht op grond van gerechtvaardigd belang (art. 6(1)(f) AVG), omdat zij als taak heeft het bewaken van de kwaliteit van schoolleiders. De belangenafweging valt in het voordeel van SPO uit, omdat de gegevens die verwerkt worden, enkel haar naam en de school, minder gevoelig zijn.
Rb. Amsterdam 12 februari 2025, ECLI:NL:RBAMS:2025:885 : Eisers stellen dat Microsoft en Xandr zonder toestemming cookies plaatsen. Microsoft en Xandr stellen zich op het standpunt dat zij niet verantwoordelijk zijn voor het plaatsen van deze cookies aangezien dit door andere websitebeheerders wordt gedaan. Volgens de rechtbank hebben Microsoft en Xandr invloed op het plaatsen van cookies en handelen zij daarom in strijd met art. 11.7a Telecommunicatiewet. Zij moeten het plaatsen van cookies zonder toestemming staken.
Conclusie A-G 21 februari 2025, ECLI:NL:PHR:2025:260 : De identificatiemethode van ICS houdt in dat een klant wordt gevraagd om een identiteitsbewijs met pasfoto. Daarnaast wordt gevraagd een selfie te maken en die op te sturen. De selfie wordt gebruikt ter verificatie van de opgegeven identiteit zoals blijkt uit het identiteitsbewijs. De verificatie wordt uitgevoerd door een persoon. De klant is van mening dat het hier gaat om biometrische gegevens (art. 4(14) AVG). De A-G is van oordeel dat het enkel vastleggen en opslaan van foto’s met gezichtsafbeeldingen niet betekent dat sprake zou zijn van verwerking van biometrische gegevens. Daartoe is immers een technische verwerking vereist, die hier ontbreekt.
HvJ EU 27 februari 2025, ECLI:EU:C:2025:117 C‑203/22: HvJ EU heeft besloten dat bij geautomatiseerde besluitvorming, waaronder profilering, de betrokkene het recht heeft op begrijpelijke informatie over de onderliggende logica op grond van art. 15 (1) (h) AVG. Als deze informatie bedrijfsgeheimen of persoonsgegevens van derden bevat, moet de verwerkingsverantwoordelijke deze aan de toezichthoudende autoriteit of rechter meedelen, die de rechten en belangen afweegt om de omvang van het inzagerecht vast te stellen.
Rb. Amsterdam 15 januari 2025, ECLI:NL:RBAMS:2025:313 : De rechtbank oordeelt dat de collectieve claimstichtingen ontvankelijk zijn in hun collectieve actie betreffende de rechtmatigheid van Google ‘s verwerking van persoonsgegevens. De rechtbank stelt vast dat beide stichtingen voldoen aan de ontvankelijkheidseisen van art. 3:305 BW en de WAMCA. De rechtbank geeft partijen de mogelijkheid om zich uit te laten over het gewenste gevolg van de procedure nu de rechtbank Rotterdam in SDBN / Amazon (ECLI:NL:RBROT:2024:11322) voornemens is prejudiciële vragen te gaan stellen. Deze uitspraak hebben we in het jurisprudentieoverzicht van november – december besproken.
RvS 29 januari 2025 ECLI:NL:RVS:2025:321 : Het inzageverzoek van mevrouw was te algemeen en zij had nagelaten haar verzoek te specificeren, ondanks het verzoek daartoe van het college. Mevrouw betoogde in hoger beroep dat het college wist welke gegevens zij wilde inzien. De rechter oordeelde dat het college op grond van punt 63 AVG, gezien de grote hoeveelheid gegevens, terecht om specificatie vroeg en dat juist was geoordeeld dat het college niet meer gegevens hoefde te verstrekken.
Rb. Overijssel 7 februari 2025, ECLI:NL:RBOVE:2025:691 : Een werkneemster bij een GGZ-instelling werd op staande voet ontslagen voor het inzien van het patiëntendossier van een ex-profvoetballer. De werkneemster vocht het ontslag aan. De kantonrechter wees haar verzoek toe, oordelend dat hoewel zij verwijtbaar handelde, dit niet ernstig verwijtbaar was. Belangrijk hierbij was dat zij het dossier slechts één keer had ingezien en hiervoor geautoriseerd was in het systeem.
