Het jaar 2022 was op het gebied van privacy en gegevensbescherming een jaar waarin (Europese) wetgever, rechters en toezichthouders volop van zich lieten horen. Tal van wetgevingsinitiatieven op zowel Europees als nationaal niveau zagen het licht en niet zelden adviseerde de Autoriteit Persoonsgegevens de Nederlandse wetgever meer oog te hebben voor de bescherming van de (privacy)rechten van burgers en wetsvoorstellen niet als vrijbrief te gebruiken voor het verzamelen van persoonsgegevens. Meer duidelijkheid over de uitleg en toepassing van de AVG kwam er op basis van zowel de jurisprudentie als door de aanbevelingen en richtsnoeren van privacy toezichthouders. Daarnaast werden in 2022 behoorlijk wat (hoge) boetes opgelegd vanwege overtredingen van de AVG. In dit jaaroverzicht treft u een selectie van de ontwikkelingen in 2022 en hier en daar een voorschot op wat gaat komen in 2023.
Wet- en regelgeving
Europees niveau
Internationale doorgifte
Ruim twee jaar geleden verklaarde het Hof van Justitie van de Europese Unie (HvJ EU) in het Schrems II-arrest het Privacy Shield ongeldig. De Europese Commissie en de Amerikaanse president Biden lieten daarop weten dat zij voornemens zijn een nieuw Privacy Shield (2.0) op te tuigen. Voordat dit mogelijk is, moeten er eerst wijzigingen worden doorgevoerd in de Amerikaanse wet- en regelgeving en moet rechtsbescherming van betrokkenen door een onafhankelijke rechter voldoende zijn geborgd. De Amerikaanse president Biden tekende in dit kader op 7 oktober 2022 een presidentieel decreet, waarin waarborgen staan voor een veiligere datadoorgifte naar Amerika. In december heeft de Europese Commissie vervolgens het concept voor een adequaatheidsbesluit voor doorgifte naar Amerika gepubliceerd. Dit zal nu eerst ter goedkeuring langs de Europese toezichthouders, de lidstaten en het Europees Parlement moeten.
Eind 2022 zijn ook de oude Standard Contractual Clauses (SCC’s), die nog gebaseerd waren op richtlijn 95/46/EG, ongeldig geworden. Naar aanleiding van de inwerkingtreding van de AVG en het Schrems II‑arrest uit 2020, werden in 2021 de nieuwe SCC’s gepubliceerd die nu uitsluitend nog gebruikt mogen worden.
ePrivacy
De wetgevingsprocedure voor de ePrivacy-Dverordening kan met recht een hoofdpijndossier worden genoemd. De ePrivacy verordening heeft betrekking op elektronische communicatie en bevat onder meer regels over het gebruik van metadata, cookies en direct marketing. Het oorspronkelijke voorstel dateert uit 2012 en sinds 2021 zijn de Europese Commissie, Europees Parlement en de Europese Raad met elkaar in onderhandeling over een definitieve tekst. Wellicht dat er in het volgende jaaroverzicht meer te melden is.
Digital Services Act & Digital Markets Act
De Digital Services Act (DSA) en de Digital Markets Act (DMA) zijn op 1 november 2022 van kracht geworden. De DSA legt verantwoordelijkheden op aan ‘online diensten’, waaronder tussenpersonen, social media, hostingdiensten en online platforms vallen. De DSA bouwt voort op de E-commerce Richtlijn (2000/31/EU) en tot 1 januari 2024 hebben online dienstverleners die onder de reikwijdte van de DSA vallen de tijd om aan de verplichtingen te voldoen.
De DMA beoogt de macht van als poortwachter aangewezen platformen in te perken en een eerlijker digitaal speelveld te creëren. Een poortwachter is een platform dat aanzienlijke impact heeft op de interne markt, controle heeft over een belangrijke toegangspoort voor zakelijke gebruikers naar eindgebruikers en een bestendige en duurzame positie heeft. Grote online platformen en zoekmachines die vallen onder de reikwijdte van de Digital Markets Act worden door de Europese Commissie naar verwachting halverwege 2023 aangewezen en hebben vervolgens vier maanden de tijd om aan de verplichtingen uit de DMA te voldoen.
Artificial Intelligence Act
Op 12 april 2021 heeft de Europese Commissie een voorstel gedaan voor een Artificial Intelligence Act (AI Verordening), waarmee regels worden gesteld voor het gebruik van Artificial Intelligence (AI) en de ontwikkeling van AI-systemen. Op basis van de risico’s die AI-systemen met zich meebrengen kan bepaald worden dat deze worden verboden of moeten voldoen aan bepaalde eisen en verplichtingen. Wanneer het vermoeden bestaat dat persoonsgegevens worden verwerkt door een ondeugdelijk AI-systeem, kunnen betrokkenen zich beroepen op hun rechten uit de AVG. Het streven is om in het najaar van 2023 een definitief akkoord over de tekst van de AI Verordening te bereiken, waarna aanbieders van AI-systemen een termijn zullen krijgen om aan de verplichtingen uit de AI Verordening te gaan voldoen.
Data Act & Data Governance Act
Op 23 februari 2022 publiceerde de Europese Commissie de Data Act (DA of Data Verordening) die regels geeft voor de eerlijke toegang tot en het gebruik van data binnen de EU. Deze Verordening heeft tot doel om data-uitwisseling binnen de EU en tussen sectoren te bevorderen, maar hierbij kunnen ook persoonsgegevens gemoeid zijn. De toezichthouders wijzen erop dat de AVG bij het gebruik van persoonsgegevens altijd voorgaat.L Naar verwachting worden de onderhandelingen over het tekstvoorstel op zijn vroegst in het voorjaar van 2023 afgerond.
Er is nauwe samenhang tussen de Data Act en de Data Governance Act (DGA of de Data Governance Verordening), waarvan de eindtekst op 3 juni 2022 is gepubliceerd. De DGA heeft tot doel de hoeveelheid data die beschikbaar is voor (her)gebruik te vergroten. In de eerste plaats gaat het daarbij om de regulering van het hergebruik van overheidsdata, maar hieronder kunnen ook persoonsgegevens vallen. De DGA is op 23 juni 2022 van kracht geworden en wordt vanaf september 2023 van toepassing.
European Health Data Space
Europese ‘Data Spaces’ moeten er in de toekomst voor gaan zorgen dat data beter beschikbaar wordt voor gebruik in de economie en in de samenleving. Binnen dergelijke Data Spaces moeten zowel data-gebruikers als data-verstrekkers data kunnen delen, uitwisselen en gebruiken. Eén van de 10 sectoren waarbinnen Data Spaces zou moeten worden gecreëerd is de gezondheidssector. Op 3 mei 2022 is er een voorstel gepubliceerd voor een Verordening betreffende een Europese Ruimte voor gezondheidsgegevens. Het doel van deze Verordening is om individuen door middel van digitale middelen meer mogelijkheden te geven tot toegang en controle tot hun elektronische medische gegevens, zowel op een nationaal als EU-niveau. De Verordening bevat specifieke regels die rekening houden met de hoge gevoeligheid van medische persoonsgegevens. De EDPB en EDPS zien echter nog wel punten waarop het voorstel dient te worden verbeterd. Zo dient duidelijker te worden voor welke doelen de data gebruikt mag worden en pleiten de toezichthouders voor een verplichting om gezondheidsgegevens binnen de EU te verwerken. Er wordt de komende tijd in Brussel onderhandeld over de definitieve tekst van de verordening, die naar verwachting op zijn vroegst medio 2024 van toepassing wordt.
Cybersecurity
In 2022 is hard gewerkt aan de nieuwe NIS-Richtlijn (NIS-2), die de NIS-1 zal gaan vervangen. De NIS-2 bevat beveiligingsverplichtingen voor aanbieders van digitale diensten en heeft tot doel de weerbaarheid van de netwerken en informatiesystemen van de EU-lidstaten te vergroten. NIS-2 heeft een veel ruimer toepassingsbereik dan NIS-1 en wordt daarom voor veel organisaties relevant. Nederland heeft tot en met 3 oktober 2024 de tijd om deze richtlijn in nationale wetgeving te implementeren.
De Digital Operational Resilience Act (DORA) heeft als doel om de digitale veerkrachtigheid van de financiële sector te vergroten en cyberbedreigingen te beperken. DORA stelt eisen aan de beveiliging van netwerk- en informatiesystemen van financiële ondernemingen. DORA wordt vermoedelijk vanaf het tweede kwartaal van 2025 van toepassing.
De Europese Commissie heeft op 15 september 2022 het voorstel Cyber Resilience Act (CRA) gepresenteerd. Deze Verordening introduceert een zorgplicht voor fabrikanten met betrekking tot de cyberveiligheid van hardware en software met digitale elementen voor de hele levensduur van de producten. Tot en met 23 januari 2023 is het mogelijk om feedback te geven, waarna verder zal worden gewerkt aan een definitief tekstvoorstel.
Nationaal niveau
Verzamelwet gegevensbescherming
Het wetsvoorstel Verzamelwet gegevensbescherming bevat wijzigingen in de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) en enkele andere wetten naar aanleiding van een eerste inventarisatie van de ervaringen met de UAVG. Het wetsvoorstel houdt overigens geen rekening met de constateringen uit het onderzoek ‘Bescherming gegeven? Evaluatie UAVG, meldplicht datalekken en de boetebevoegdheid’, dat in juni 2022 werd gepubliceerd. Een paar belangrijke wijzigingen zijn dat minderjarigen tussen de 12 en 16 jaar zelfstandig de rechten uit de AVG kunnen uitoefenen en een regeling opgenomen wordt om de overdracht van medische dossiers door hulpverleners en niet hulpverleners te verduidelijken. In de faillissementswet zal worden verduidelijkt dat de curator bij de uitoefening van zijn wettelijke taken (bijzondere) persoonsgegevens mag verwerken. Het wetsvoorstel is op 22 december 2022 ingediend bij de Tweede Kamer.
Wet toekomst accountancysector
De voorgestelde Wet toekomst accountancysector regelt met het oog op kwaliteitscontrole dat beoordelingen van het werk van individuele accountants met naam en toenaam wordt gepubliceerd. Volgens de AP dit een grote inbreuk op de persoonlijke levenssfeer van accountants en de AP zet vraagtekens bij de subsidiariteit van de maatregel. Kwaliteitscontrole zou immers ook op het niveau van de accountantskantoren kunnen plaatsvinden. Bovendien zijn voldoende waarborgen voor accountants noodzakelijk om zich tegen een beoordeling of publicatie daarvan te verweren. Het wetsvoorstel is aangepast in die zin dat bij AMvB een bewaartermijn kan worden vastgesteld. Verder is in het wetsvoorstel nader toegelicht wat het doel en de noodzaak is van de gegevensverwerking. Op 30 november 2022 bracht de Raad van State advies uit en het is nu wachten tot het wetsvoorstel wordt aangeboden aan de Tweede Kamer.
Wet gegevensverwerking door samenwerkingsverbanden
In het jaaroverzicht 2021 schreven wij al over dit wetsvoorstel dat beoogt een grondslag te creëren voor het systematisch verwerken van persoonsgegevens (waaronder profilering) door publieke en private samenwerkingsverbanden die persoonsgegevens verwerken voor zwaarwegende algemene belangen. Het wetsvoorstel is nog steeds aanhangig bij de Eerste Kamer. De AP heeft de Eerste Kamer eerder geadviseerd om het wetsvoorstel niet aan te nemen.
Wet aanpak meervoudige problematiek
Dit wetsvoorstel beoogt knelpunten weg te nemen in de gegevensuitwisseling en privacy bij de aanpak van meervoudige problematiek in het sociaal domein. Het wetsvoorstel voorziet in wettelijke taken voor het college van burgemeesters en wethouders voor onderzoek, planvorming en coördinatie bij meervoudige problematiek in het sociaal domein. Het wetsvoorstel is op dit moment nog (steeds) niet ingediend bij de Tweede Kamer.
Zorg
Op 27 september 2022 werd het wetsvoorstel wet elektronische gegevensuitwisseling in de zorg (Wegiz) in de Tweede Kamer aangenomen. Op grond van de Wegiz kan straks worden bepaald dat specifieke gegevensuitwisselingen in de zorg ten minste elektronisch moeten plaatsvinden. Daarnaast kunnen voor specifieke gegevensuitwisselingen eisen worden opgelegd ten aanzien van taal en techniek, zoals het verplicht gebruik maken van een informatietechnologieproduct of –dienst die gecertificeerd is. Het wetsvoorstel ligt op dit moment ter behandeling bij de Eerste Kamer.
Het wetsvoorstel Wet kwaliteitsregistraties zorg (Wkz) legt de basis voor het verplicht en rechtmatig, zonder toestemming van de cliënt, aanleveren van (bijzondere) persoonsgegevens door zorgaanbieders ten behoeve van kwaliteitsregistraties in de zorg. Zorginstituut Nederland krijgt de taak kwaliteitsregistraties, waarvan is vastgesteld dat die het meten en verbeteren van de kwaliteit van zorg en daarmee het algemeen belang dienen, op te nemen in een (nieuw) register voor kwaliteitsregistraties. Tot slot voorziet dit wetsvoorstel in de wettelijke plicht voor zorgaanbieders om, in het geval dat een kwaliteitsregistratie is opgenomen in het register voor kwaliteitsregistraties van het Zorginstituut, de gevraagde informatie aan (de gegevensverwerker van) de betreffende kwaliteitsregistratie aan te leveren. Het wetsvoorstel is op 16 december 2022 ingediend bij de Tweede Kamer.
De Wet Digitale Overheid (WDO) beoogt ervoor te zorgen dat Nederlandse burgers en bedrijven veilig kunnen inloggen bij de (semi-)overheid, waaronder zorginstellingen. Het oorspronkelijke wetsvoorstel is aangepast door middel van een zogenaamde novelle en is aangemeld voor (plenaire) behandeling in de Eerste Kamer.
Jurisprudentie
Europees niveau
Het HvJ EU deed in 2022 verschillende uitspraken over de uitleg van de AVG die interessant en relevant zijn voor de praktijk.
AVG van toepassing op verstrekken informatie aan belastingdienst met het oog op bestrijding belastingfraude en belastinginning
De Letse belastingdienst doet een verzoek bij een aanbieder van internetadvertenties om periodiek gegevens over aangeboden auto’s (onder andere chassisnummers en informatie over de adverteerders) aan te leveren, met het oog op inning van belasting en de bestrijding van belastingfraude. De aanbieder weigert mee te werken aan dit verzoek met een beroep op de AVG. Het HvJ EU oordeelt op 24 februari 2022 dat deze verwerking van persoonsgegevens voor fiscale doeleinden onder het toepassingsbereik van de AVG valt. De belastingdienst en de verstrekker moeten zich dus aan de AVG houden, wat volgens het HvJ EU onder andere inhoudt dat (i) in een verzoek van de belastingdienst de specifieke doeleinden moeten worden vermeld, (ii) ook een belastingautoriteit niet kan afwijken van de beginselen in de AVG tenzij een nationale wet die voldoet aan art. 23 AVG die mogelijkheid biedt en (iii) bulkverstrekking niet uitgesloten is, mits aan de voorwaarden van de AVG wordt voldaan, zoals de noodzakelijkheid en proportionaliteit.
Competentie van de toezichthouder ten aanzien van de verwerking van persoonsgegevens door gerechten
Naar aanleiding van een prejudiciële vraag van de Nederlandse rechter gaat het HvJ EU in het arrest van 24 maart 2022 in op de beperking van de competentie van de nationale toezichthouder ten aanzien van de verwerking van persoonsgegevens door gerechten (artikel 55 lid 3 AVG). Aanleiding tot het stellen van vragen was dat de AP werd verzocht de rechtmatigheid te toetsen van het ter beschikking stellen van processtukken met daarin persoonsgegevens door de rechtbank aan een journalist. Het HvJ EU legt uit dat de beperking in artikel 55 lid 3 AVG ruim moet worden uitgelegd en betrekking heeft op alle verwerkingen van gerechten in het kader van de uitoefening van hun rechtelijke werkzaamheden. Uit de uitspraak valt af te leiden dat de AP niet bevoegd is toe te zien op verwerkingen waarbij het toezicht door de AP direct of indirect van invloed kan zijn op de onafhankelijkheid van (de leden van) gerechten of op hun beslissingen.
Collectieve acties
In een Duitse procedure rees de vraag of een belangenorganisatie kon optreden tegen Meta Platforms Ireland. Het HvJ EU oordeelt in het arrest van 28 april 2022 dat lidstaten op grond van artikel 80 lid 2 AVG wettelijk mogen verankeren dat belangenorganisaties (binnen de grenzen van de AVG) zonder opdracht van de betrokkenen een vordering kunnen instellen vanwege een schending van de AVG. Interessant is dat het op grond van dit artikel voor de erkenning van procesbevoegdheid niet vereist is dat een betrokkene individueel wordt geïdentificeerd; de verwijzing naar een groep of categorie volstaat. Evenmin is het vereist dat sprake is van een concrete schending van de rechten van een betrokkene, aldus het HvJ EU. In Nederland heeft de wetgever nog geen gebruik van gemaakt van de mogelijkheid die artikel 80 lid 2 AVG biedt.
Ontslagbescherming functionaris voor de gegevensbescherming
In Duitsland bestaat een regeling op basis waarvan het niet toegestaan is om een functionaris voor gegevensbescherming te ontslaan, tenzij er sprake is van gewichtige redenen. Het HvJ EU wijst er in het arrest van 22 juni 2022 op dat deze regeling verder gaat dan de ontslagbescherming zoals vereist op grond van artikel 38 lid 3 AVG. Volgens het HvJ EU staat het lidstaten echter vrij om een verhoogde bescherming te bieden, mits dit niet de verwezenlijking van de doelstellingen van de AVG ondermijnt.
Ruime uitleg van het begrip bijzondere persoonsgegevens
Om corruptie en belangenconflicten van besluitvormers in de openbare sector in Litouwen te voorkomen, wordt informatie over de particuliere belangen van deze besluitvormers op de website van de overheidsinstelling gepubliceerd. Het HvJ EU overweegt in het arrest van 1 augustus 2022 dat de transparantie die hiermee geboden wordt geschikt is om aan deze doelstellingen bij te dragen. Zij vervolgt echter dat onvoldoende zorgvuldig is beoordeeld of de verwerking van persoonsgegevens noodzakelijk is om aan die doelstellingen te voldoen. Bovendien wordt geoordeeld dat uit de gegevens die worden gepubliceerd over de partner van de besluitvormer, indirect informatie over het seksuele gedrag/-gerichtheid van hen kan worden afgeleid. Het HvJ EU concludeert dan ook dat het publiceren van deze gegevens op de website een verwerking van bijzondere persoonsgegevens inhoudt in de zin van artikel 9 lid 1 AVG.
Recht op schadevergoeding
Op 6 oktober 2022 is de conclusie van advocaat-generaal (A-G) bij het HvJ EU Campos Sanchez-Bordona gepubliceerd in een procedure waarin de Oostenrijkse rechter prejudiciële vragen heeft gesteld over de vraag of de enkele schending van de AVG – zonder dat er schade is geleden door de betrokkene – voldoende is om een recht op schadevergoeding voor de betrokkene te doen ontstaan. Volgens de A-G moet die vraag ontkennend worden behandeld. Dat is in lijn met het EBI-arrest van de Hoge Raad uit 2019. Na het advies van de A-G is nu het HvJ EU aan zet om uitspraak te doen. Naar die uitspraak wordt reikhalzend uitgekeken, aangezien het arrest van het HvJ EU vermoedelijk van belang zal zijn voor de vele schadevergoedingsprocedures die op grond van de AVG worden gevoerd.
Verdere verwerking van persoonsgegevens voor testdatabank
In het arrest van 20 oktober 2022 buigt het HvJ EU zich over de vraag of het verdere gebruik van persoonsgegevens in een voor het uitvoeren van tests en herstellen van fouten opgezette testdatabank verenigbaar is met de beginselen van doelbinding en opslagbeperking uit artikel 5 AVG. Volgens het HvJ EU verzetten deze beginselen zich in algemene zin niet tegen het opzetten van een testdatabank, maar moet er in een concreet geval wel sprake zijn van verenigbaarheid tussen het oorspronkelijke verwerkingsdoel en het verwerken van persoonsgegevens in de testdatabank en mogen de persoonsgegevens in de testdatabank niet langer worden bewaard dan noodzakelijk is om die test uit te voeren en de fouten te herstellen. Het HvJ EU verstrekt de kaders voor het beoordelen van de verenigbaarheid, maar laat de beslissing over de verenigbaarheid in het concrete geval over aan de verwijzende rechter.
Toestemming en de e-privacy richtlijn
Op grond van artikel 12 lid 2 van de e-privacy richtlijn moet toestemming worden verkregen voor de publicatie van persoonsgegevens in een openbare telefoongids. De abonnee geeft volgens het HvJ EU toestemming conform de AVG voor het doel van de publicatie in een openbare telefoongids. Mits de abonnee naar behoren hierover is geïnformeerd, geldt deze toestemming volgens het HvJ EU in het arrest van 27 oktober 2022 vervolgens voor latere verwerking van de persoonsgegevens van de abonnee door derde ondernemingen.
UBO-register
Het HvJ EU oordeelt dat het beschikbaar stellen van informatie over de uiteindelijke begunstigde (UBO) voor het grote publiek, een ernstige inmenging vormt op de privacy van de betrokkene. De verplichting in de antiwitwasrichtlijn om deze informatie voor iedereen publiek beschikbaar te stellen is onvoldoende onderbouwd en daarmee in het licht van het Handvest ongeldig. Als gevolg van deze uitspraak is het UBO-register voorlopig niet meer openbaar toegankelijk. De verplichting tot het inschrijven van UBO’s blijft wel bestaan.
Verwijderrecht
Verder oordeelt het HvJ EU op 8 december 2022 over het verwijderrecht voor zoekresultaten in zoekmachines dat op basis van artikel 17 lid 3 onder a AVG (i) het voor de belangenafweging tussen de vrijheid van meningsuiting en de privacy niet noodzakelijk is dat voorlopig duidelijkheid is verkregen over de juistheid van de gelinkte informatie en (ii) dat bij de beoordeling van een verwijderverzoek ten aanzien van bij een tekst geplaatste miniatuur foto’s rekening moet worden gehouden met de informatieve waarde van de foto, los van de context van de publicatie, maar dat daarbij wel alle tekst in aanmerking moet worden genomen die direct bij de weergave van deze miniatuur foto’s is geplaatst relevant en meer duidelijkheid kan geven over de informatieve waarde.
Nationaal niveau
Het aantal uitspraken dat in 2022 is gepubliceerd op rechtspraak.nl en waarin de term AVG voorkomt is gestegen naar 424, een stijging van ruim 30% ten opzichte van 2021. Hieronder treft u een overzicht van diverse interessante uitspraken uit 2022 aan.
Collectieve acties
Eind 2021 oordeelde de rechtbank Amsterdam dat The Privacy Collective niet-ontvankelijk is in haar collectieve vordering op grond van de Wet afwikkeling massaschade in collectieve acties (WAMCA) tegen Oracle en Salesforce, die volgens The Privacy Collective onrechtmatig persoonsgegevens verzamelen en gebruik van miljoenen Nederlanders. Op 28 maart 2022 stelde the Privacy Collective hoger beroep in tegen deze uitspraak.
In de procedure(s) tegen TikTok, die in 2021 werd ingesteld, verklaarde de rechtbank zich op 17 november 2022 bevoegd om het geschil inhoudelijk te behandelen. De drie eiseressen dienden 21 december 2022 een akte te nemen over de aanwijzing van één van hen als exclusieve belangenbehartiger en moesten op diezelfde datum de financieringsovereenkomst met de procesfinancier aan de rechtbank overgelegd hebben. Op 1 februari 2023 moet TikTok akte nemen en zich uitlaten over (onder andere) de exclusieve belangenbehartiger die haar wederpartij wordt.
Verstrekking NAW-gegevens
Stichting BREIN vordert dat internet service providers, waaronder Ziggo, waarschuwingen doorstuurt aan frequente en langdurige uploaders waarvan BREIN de IP-adressen heeft gedetecteerd. Het hof Arnhem-Leeuwarden oordeelt op 11 oktober 2022 in een kort geding dat een dergelijke koppeling van NAW-gegevens met IP-adressen zoals door Brein aangeleverd een verwerking van strafrechtelijke persoonsgegevens in de zin van artikel 10 AVG inhoudt. Ziggo heeft volgens het hof geen grondslag voor het verwerken van deze persoonsgegevens waardoor de vordering van Brein moet worden afgewezen.
Gerechtvaardigd belang
In 2020 legt de AP een boete van 575.000 euro op aan VoetbalTV omdat zij met de gegevensverwerking uitsluitend een zuiver commercieel belang zou dienen en zo een belang niet kan worden gezien als gerechtvaardigd belang, aldus de AP. De Afdeling Bestuursrechtspraak van de Raad van State (Raad van State) oordeelt op 27 juli 2022 in hoger beroep dat het aan VoetbalTV is om te onderbouwen wat het belang is bij de gegevensverwerking. VoetbalTV voert aan ook andere belangen te hebben die niet van commerciële aard zijn, zodat geen sprake is van uitsluitend een zuiver commercieel belang. De AP had deze andere belangen ook moeten meewegen maar heeft dat nagelaten. Het hoger beroep dat was ingesteld door de AP wordt door de Raad van State ongegrond verklaard. De uitspraak van de rechtbank wordt bekrachtigd en de boete blijft daardoor geheel van tafel. De vraag of een uitsluitend zuiver commercieel belang op zichzelf een gerechtvaardigd belang kan zijn, wordt helaas door de Raad van State niet beantwoord. Wellicht dat hier in 2023 meer duidelijkheid over wordt verkregen aangezien de rechtbank Amsterdam in een procedure van de Koninklijke Nederlandse Lawn Tennis Bond (KNLTB) tegen de AP prejudiciële vragen heeft gesteld over de invulling van het gerechtvaardigd belang.
Rechten van betrokkenen
Recht op inzage
Naar aanleiding van een inzageverzoek gaat het hof Leeuwarden in het arrest van 22 februari 2022 in op de vraag welke rol het Bestuurlijke Geïntegreerde Aanpak Georganiseerde Criminaliteit Noord-Nederland (RIEC NN) heeft, een samenwerkingsverband van overheidsorganisaties. Het hof oordeelt dat het RIEC NN een instrumentele rol heeft en geen invloed uitoefent op het doel en middelen voor de verwerking van persoonsgegevens. Daarom is zij geen (gezamenlijk) verwerkingsverantwoordelijke en hoeft zij niet te voldoen aan een tegen haar gericht inzageverzoek.
Het college van Burgemeester en Wethouders van Ede kwalificeert een verzoek dat was opgenomen in een brief waarin ook bezwaar werd gemaakt onterecht niet als een inzageverzoek in de zin van artikel 15 van de AVG volgens de Raad van State in de uitspraak van 9 maart 2022. De verzoeker had immers een apart kopje genaamd ‘inzageverzoek’ opgenomen. Bovendien werd verzocht om afschriften van persoonsgegevens. Dat alleen fysieke afschriften werden verzocht maakt de kwalificatie niet anders. Over het standpunt dat sprake is van misbruik van recht herhaalt de Raad van State dat voor een geslaagd beroep daarop meer aan de hand moet zijn dan alleen overmatig beroep op een overheidsfaciliteit.
Een verzoek dat betrekking heeft op de verstrekking van een volledig (proces)dossier en procedurestukken in het kader van de herbeoordeling van een situatie met betrekking tot kinderopvangtoeslag kan volgens de rechtbank Zeeland-West-Brabant in de uitspraak van 30 juni 2022 niet worden gezien als AVG-verzoek betreffende kennisname van (de verwerking van) persoonsgegevens. Een uitdrukkelijk beroep op de AVG maakt dit niet anders.
Een inzageverzoek van een vader in het adres van zijn kinderen is terecht afgewezen volgens de uitspraak van de Raad van State van 1 juni 2022. De vader doet dit verzoek namelijk niet namens zijn kinderen, maar als derde. Hij heeft daarom geen recht op inzage in de adresgegevens.
Op 13 juli 2022 oordeelt de Raad van State dat, gelet op het Nowak-arrest van het HvJ EU uit 2017, in beginsel inzage moet worden verleend in interne correspondentie omdat deze als persoonsgegevens kwalificeren. Deze interne correspondentie van de IND over een taalanalyse wordt door de Raad van State niet gelijk gesteld aan een juridische analyse in een minuut (zoals in het IND-arrest van het HvJ EU uit 2014). Een juridische analyse betreft een analyse van gegevens over een persoon met het oog op een door de staatssecretaris te nemen besluit. Daar voldoet de interne correspondentie in deze zaak niet aan. De Raad van State oordeelt vervolgens dat niet is in te zien waarom de interne correspondentie niet op juistheid kan worden gecontroleerd en beveelt de staatssecretaris een nieuw besluit te nemen.
Het bestaan van een wettelijke geheimhoudingsplicht, bijvoorbeeld zoals in dit geval op grond van de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft), betekent volgens het hof Amsterdam in de uitspraak van 26 juli 2022 dat alleen inzage mag worden geweigerd ten aanzien van de gegevens waarop die geheimhouding ziet. De betrokkene heeft wel recht op inzage in de persoonsgegevens die niet onder de wettelijke geheimhoudingsplicht vallen.
Recht op verwijdering
Op 25 februari 2022 buigt de Hoge Raad zich over een verwijderverzoek dat ziet op zoekresultaten die verwijzen naar tuchtrechtelijke persoonsgegevens op zwartelijstartsen.nl. Het recht van de vrijheid van meningsuiting prevaleert sneller indien het een publicatie over de professionele hoedanigheid van de betrokkene betreft en de informatie voldoende steun vindt in de feiten. De Hoge Raad laat in het midden of tuchtrechtelijke gegevens onder artikel 10 AVG vallen, omdat de maatstaf voor het beoordelen van het verwijderverzoek daardoor niet anders wordt.
Een verzoek tot verwijdering van persoonsgegevens mag worden afgewezen voor zover de persoonsgegevens noodzakelijk zijn voor de instelling, uitoefening of onderbouwing van een rechtsvordering (art. 17 lid 3 sub e AVG). De Raad van State verduidelijkt op 20 juli 2022, gelet op andere taalversies en de doelstelling van de AVG, dat ook het verweer tegen een rechtsvordering hieronder valt.
Identificatie van de verzoeker
Ook in 2022 herhaalt de Raad van State dat het overleggen van een kopie paspoort in beginsel als een redelijke maatregel wordt aangemerkt om de identiteit van een verzoeker te controleren. Dit in tegenstelling tot wat de European Data Protection Board (EDPB) in de consultatieversie van de richtsnoeren over het recht op inzage opmerkt, namelijk dat een kopie legitimatiebewijs opvragen als zodanig als ongeschikt moet worden beschouwd, tenzij het strikt noodzakelijk en onder omstandigheden geschikt is en in overeenstemming met nationaal recht. Verder oordeelt de Raad van State dat indien de betrokkene zich niet heeft willen identificeren, het niet mogelijk is om het verzoek in te willigen en dit tot afwijzing van het verzoek leidt.
Herhaalde verzoeken
Het hof Den Bosch volgt in een uitspraak van 2 juni 2022 de lijn van het hof Den Haag, namelijk dat het indienen van een herhaald verwijderverzoek niet de overschrijding van de zes-weken-termijn voor het indienen van een verzoekschrift in artikel 35 lid 2 UAVG omzeild kan worden. Hiermee wijkt het hof Den Bosch expliciet af van de lijn van het hof Amsterdam uit 2019, aldus het hof Den Bosch.
Schadevergoeding
In 2022 wordt slechts in een beperkt aantal gevallen een schadevergoeding toegekend wegens een schending van de AVG. De rechtbank Noord-Nederland kent op 6 januari 2022 een billijke schadevergoeding toe van 400 euro wegens het onrechtmatig openbaar maken van medische en vertrouwelijke en bovendien deels onjuiste gegevens over een betrokkene. De rechtbank laat echter in het midden of sprake is van strijd met de AVG omdat voldoende vaststaat dat gehandeld is met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt en dus een onrechtmatige daad op grond van art. 6:162 lid 2 BW.
Op 25 februari 2022 kent de kantonrechter van rechtbank Rotterdam 250 euro schadevergoeding toe op grond van art. 82 AVG. Een Excelsheet met contactgegevens en gevoelige financiële gegevens (waaronder het inkomen en vermogen) was onterecht gedeeld met ‘slechts’ een groep van 1100 personen. De rechtbank Zeeland-West-Brabant oordeelt op 21 september 2022 dat een ziekenhuis aansprakelijk is op grond van een onrechtmatige daad, omdat ten aanzien van de controle van de logging van patiëntendossiers geen passende beveiligingsmaatregelen zijn getroffen zoals vereist op grond van de AVG. De rechtbank kent een billijke schadevergoeding van 2.000 euro toe aan de betrokkene voor immateriële schade geleden door een schending van de bescherming van haar persoonsgegevens.
Toezichthouders
Europees niveau
European Data Protection Board (EDPB)
Aanbeveling
De EDPB publiceerde op 17 november 2022 nieuwe aanbevelingen over het gebruik van Binding Corporate Rules. Hierin wordt onder andere geschreven over de vereisten voor de aanvraag van Binding Corporate Rules, waarin de gevolgen voor de internationale doorgifte na de Schrems II-uitspraak zijn verwerkt. Ook bevat het een nieuw, standaard aanmeldformulier. Het betreft een consultatieversie, waar tot 10 januari 2023 op kon worden gereageerd.
Richtsnoeren
De consultatieversie van de richtsnoeren over het recht op inzage werd op 18 januari 2022 gepubliceerd. Hierin wordt meer duidelijkheid gegeven over wat het recht op inzage inhoudt en wat de reikwijdte van een verzoek is. Er is (in Nederland) discussie ontstaan over de strenge uitleg van de EDPB ten aanzien van het opvragen van een kopie van een identificatiebewijs dat volgens de EDPB doorgaans een onredelijk zwaar middel is. De Raad van State heeft echter meermaals geoordeeld dat dit een toegestaan middel is voor de verificatie van de identiteit van een verzoeker door een bestuursorgaan.
In de consultatieversie van de richtsnoeren over Dark Patterns van 14 maart 2022 worden verschillen voorbeelden van dark patterns omschreven. Met dark patterns worden betrokkenen beïnvloed om keuzes te maken die een negatieve invloed kunnen hebben op de verwerking van hun persoonsgegevens. De social media interfaces lijken aan de AVG-voorschriften te voldoen, maar zijn inhoudelijk eigenlijk in strijd hiermee.
Op 14 maart 2022 publiceerde de EDPB de richtsnoeren voor de toepassing van artikel 60 AVG, waarin de samenwerking tussen leidende toezichthoudende autoriteiten en andere betrokken toezichthoudende autoriteiten in het kader van het “één-loketmechanisme” wordt uitgewerkt. Deze richtsnoeren zijn relevant bij grensoverschrijdende gegevensverwerking en grensoverschrijdend toezicht.
De EDPB stelt in de consultatieversie van de richtsnoeren over het gebruik van gezichtsherkenningstechnologie op het gebied van rechtshandhaving van 12 mei 2022 dat het gebruik van gezichtsherkenningstechnologie een ernstige inbreuk is op de privacyrechten van betrokkenen. Daarom dienen volgens de EDPB alle regels met betrekking tot gegevensbescherming te worden nageleefd. Een aantal vormen van gezichtsherkenningstechnologieën dient volgens de EDPB te worden afgeschaft.
Na publicatie van de richtsnoeren met voorbeelden van datalekken in december 2021 werd geconstateerd dat er ook behoefte was aan verduidelijking van de meldingsvereisten. Daarom bracht de EDPB in oktober 2022 de richtsnoeren betreffende de melding van inbreuken in verband met persoonsgegevens krachtens de AVG uit.
Adviezen
De EDPB en de European Data Protection Supervisor (EDPS), welke laatste toezicht houdt op de verwerking van persoonsgegevens door instellingen, organen en instanties van de EU, hebben op 12 juli 2022 een gezamenlijk advies opgesteld over het voorstel voor een verordening betreffende de Europese ruimte voor gezondheidsgegevens. In het advies bevelen zij aan om de relatie met andere wetten te verhelderen, duidelijkheid te geven over het gebruik van data en om het verwerken van gezondheidsgegevens verplicht in de EU te laten plaatsvinden.
De EDPB en de EDPS adviseren op 28 juli 2022 de Europese Commissie een nieuw Europees wetsvoorstel aan te passen dat communicatiediensten verplicht communicatie te scannen op kindermisbruik. Het wetsvoorstel brengt het risico met zich mee dat communicatiediensten meekijken bij alle communicatie tussen mensen in de EU.
Harmonisatie
Met de consultatieversie van de richtsnoeren over de berekening van administratieve boetes op grond van de AVG van 12 mei 2022 wenst de EDPB een meer harmonieus kader te schetsen voor de berekening van administratieve boetes voor de nationale autoriteiten, geregeld in artikel 83 van de AVG. De richtsnoeren zijn een aanvulling op de eerder vastgestelde richtsnoeren uit 2017 en de definitieve versie wordt na het verwerken van de reacties op de consultatieversie gepubliceerd.
De EDPB heeft in 2022 bovendien willen bijdragen aan verdere harmonisatie op het gebied van internationaal toezicht en samenwerking door de nationale toezichthouders, onder andere door de richtsnoeren over de toepassing van artikel 60 AVG. De Europese Commissie heeft in aanvulling daarop op 10 oktober 2022 een brief aan de Europese Commissie gestuurd met een lijst van procedurele aspecten van toezicht die voor verdere harmonisatie op EU-niveau in aanmerking komen en verzocht ze in overweging te nemen. De EDPB hoopt hiermee de procedurele aspecten van toezicht die nu nog verschillen per Europese lidstaat, glad te strijken.
Nationaal niveau
Autoriteit Persoonsgegevens (AP)
Vier jaar na het van toepassing worden van de AVG is de AP niet meer altijd in staat al haar taken binnen een redelijke termijn te volbrengen. Naar eigen zeggen is de AP ‘zwaar onderbezet’ en de Nationale Ombudsman geeft te kennen aanhoudende zorgen te hebben over de klachtbehandeling door de AP.
Adviezen en handreikingen
De AP adviseerde op 28 juni 2022 meermaals om de mogelijkheid om persoonsgegevens te verwerken te begrenzen. Zo adviseerde de AP de wijziging van de Wet hergebruik van overheidsinformatie aan te passen, omdat door de wijziging van de wet het risico ontstaat dat persoonsgegevens worden gedeeld zonder toestemming of medeweten van de betrokkenen. Er worden volgens de AP te weinig grenzen gesteld aan het beschikbaar stellen van persoonsgegevens uit overheidsdata voor hergebruik.
De AP adviseerde op 19 juli 2022 het kabinet dat de overheid kerken niet meer zomaar persoonsgegevens van kerkleden mag doorsturen uit de Basisregistratie Personen (BRP). Het verstrekken van persoonsgegevens uit de BRP aan kerken dient namelijk geen algemeen belang en is niet noodzakelijk.
Ook is de verwerking van persoonsgegevens zoals beschreven in het conceptwetsvoorstel ‘Plan van aanpak witwassen’ niet begrensd genoeg. Volgens de AP – in haar advies uit december 2019 dat in oktober 2022 openbaar werd – zou met deze wet de deur naar een ongekende massasurveillance van Nederlanders geopend kunnen worden, als de bezwaren niet worden weggenomen. Het voorgestelde systeem zou in essentie neerkomen op een bancair sleepnet.
De AP liet naar aanleiding van de publicatie op 29 augustus 2022 van het nieuwe Rijksbrede cloudbeleid op 11 november 2022 per brief aan staatssecretaris Van Huffelen van Digitalisering weten dat indien het kabinet overheidsdata wil gaan opslaan bij commerciële clouddiensten, dit grote privacyrisico’s met zich meebrengt. Het kabinet moet hiermee volgens de AP aan de slag in de verdere uitwerking van het beleid.
Verder heeft de AP op 7 november 2022 twee handreikingen gepubliceerd voor gemeenteraadsleden voor het controleren van de inzet van technologie en het deelnemen aan samenwerkingsverbanden. Beide handreikingen zijn aanvullingen op de handreiking ‘Gemeenten en privacy: wat kunt u als raadslid doen?’ van 18 mei 2022. Aangezien gemeenten vaak persoonsgegevens delen met andere partijen, is het van belang dat er rekening wordt gehouden met de privacy van betrokkenen.
Handhaving
De AP legde ook in 2022 weer diverse boetes op en zag – voor zover gepubliceerd – in één geval ervan af dat te doen.
Voor het onnodig verwerken van te veel persoonsgegevens heeft de AP op 24 februari 2022 aan DPG Media een boete van 525.000 euro opgelegd, omdat zij betrokkenen die hun gegevens wilden inzien of laten verwijderen standaard eerst vroeg om een kopie van hun identiteitsbewijs te uploaden en daarbij niet aangaf dat delen van het identiteitsbewijs (zoals foto en het BSN) mochten worden afgeschermd. Volgens de AP had DPG Media eerst na moeten gaan of zij niet al beschikte over (identificerende) (contact)informatie en had daarnaast de aard en hoeveelheid van persoonsgegevens in overweging moeten nemen. Het opvragen van een kopie identiteitsbewijs was in deze situatie volgens de AP een te zwaar middel.
De Spaanse toezichthouder Agencia Española de Protección de Datos (AEPD) heeft een Spaans hotel een boete van 30.000 euro opgelegd. Een Nederlandse hotelgast had een klacht ingediend omdat het hotel illegaal pasfoto’s van gasten opsloeg en verspreidde. De AP is vervolgens samen met de AEPD een onderzoek gestart, dat resulteerde in de boete.
Op 7 april 2022 werd de hoogste boete tot nu toe opgelegd. De Belastingdienst kreeg een boete van 3,7 miljoen euro vanwege het jarenlang illegaal verwerken van persoonsgegevens in de Fraude Signalering Voorziening. Het ging om een zwarte lijst waarop de Belastingdienst signalen van fraude bijhield. Dit had vaak grote gevolgen voor de mensen die onterecht op de lijst stonden.
Het Ministerie van Buitenlandse Zaken kreeg op 24 februari 2022 een boete van 565.000 euro opgelegd voor het jarenlang, op grote schaal en op ernstige wijze overtreden van de wet bij het verlenen van visa. Het Ministerie informeerde visumaanvragers niet over met welke derde partijen hun persoonsgegevens gedeeld werden en de beveiliging was ondermaats, waardoor onbevoegden de dossiers konden bekijken en aanpassen.
Van het opleggen van een boete aan GGD GHOR Nederland en/of de twee onderzochte GGD’en vanwege ondermaatse beveiliging van de verwerking van persoonsgegevens in het kader van de coronapandemie zag de AP af, zo liet zij per brief op 29 september 2022 weten. Er zijn voldoende verbetermaatregelen getroffen, maar, merkt de AP op, beveiliging van persoonsgegevens is geen eenmalige exercitie maar een doorlopend proces.
De AP legde op 21 december 2022 de korpschef van de Politie een boete op van 50.000 euro. Tijdens corona zijn in Rotterdam camera auto’s ingezet waarmee gedetailleerde beelden van mensen werden verzameld en opgeslagen, met als doel te kunnen controleren of mensen wel 1,5 meter afstand hielden. De inzet van deze camera auto’s gebeurde zonder dat eerst de privacyrisico’s in kaart waren gebracht en was bovendien lang niet altijd noodzakelijk. De AP houdt bij het opleggen van de boete rekening met het feit dat de inzet plaatsvond aan het begin van de uitbraak van de coronapandemie in maart 2020 en dat sprake is van onduidelijkheid over de reikwijdte van de grondslag in de Wet politiegegevens. De AP komt nog met een normuitleg over het desbetreffende wetsartikel.
Goedkeuringsbesluiten
De AP verleende begin 2022 Soa Aids Nederland een vergunning om het online platform voor sekswerkers Ugly Mugs Nederland op te zetten en te beheren. Via dit platform kunnen sekswerkers melding doen van geweld door klanten en zelf klanten natrekken.
Op 19 april 2022 besloot AP de gedragscode Slim Netbeheer van Netbeheer Nederland goed te keuren. De gedragscode gaat over het verwerken van persoonsgegevens (meetgegevens) voor de wettelijke taak van netbeheerders. De AP verbindt wel een opschortende voorwaarde aan de goedkeuring, omdat het vereiste toezichthoudende orgaan er nog niet is.
Overige
De AP waarschuwde in november 2022 bezoekers van het WK-voetbal in Qatar goed te letten op hun digitale veiligheid en in dat kader over het verplicht installeren van tracking apps die waarschijnlijk informatie verzamelen over gebruikers zonder dat gebruikers hiervan weten.
Op 25 oktober 2022 verscheen in de Staatscourant het samenwerkingsprotocol tussen de AP en De Nederlandsche Bank (DNB), waarin afspraken zijn vastgelegd over zaken die elkaars toezicht raken, de uitwisseling van informatie ten behoeve daarvan met betrekking tot betaaldiensten en de gemeenschappelijke samenwerking in brede zin.
Meer weten?
Neem dan contact op met een van onze specialisten.