6 jaar AVG: Wat is er de afgelopen 12 maanden gebeurd?
7 juni 2024Op 25 mei 2024 was de AVG al 6 jaar van kracht. Een mooi moment dus om kort terug te kijken op wat er in de afgelopen 12 maanden op het gebied van de AVG is gebeurd in de Nederlandse rechtspraak. Een kort overzicht.
Inzage
Het grootste deel van de uitspraken in de afgelopen 12 maanden gaat over inzageverzoeken. Welke informatie moet een verwerkingsverantwoordelijke verstrekken als een inzageverzoek wordt gedaan, hoe zit het met kosten van een dergelijk inzageverzoek en hoe moet de identiteit van de verzoeker worden gecontroleerd? Hier heeft de rechter de afgelopen tijd meer richting aan gegeven. De Autoriteit Persoonsgegevens (‘AP’) heeft in de eerder door mijn collega Lisanne besproken kwestie zelfs een boete aan Uber opgelegd, omdat Uber (onder meer) haar procedures voor het geven van inzage niet op orde had.
Verwijdering
Een ander recht dat betrokkenen hebben, is het recht om hun persoonsgegevens te laten verwijderen. Denk in dat verband aan het gebruik van zwarte lijsten, datascraping, een BKR-registratie, het onjuist profileren (denk ook aan de toeslagenaffaire) of simpelweg het beëindigen van de relatie met een bepaalde dienstverlener. Daarbij moet steeds worden beoordeeld of de betreffende gegevens (nog) mogen worden verwerkt of conform het verwijderingsverzoek moeten worden verwijderd.
Cameragebruik en DPIA
Een ander onderwerp dat de rechtspraak in de afgelopen periode heeft beziggehouden is het gebruik van camera’s, met name tussen buren. Dit is ongetwijfeld mede ingegeven door de snelle opkomst van camera deurbellen en het steeds makkelijker kunnen aanbrengen van beveiligingscamera’s. Zie onder meer uitspraken van Rechtbank Limburg, Rechtbank Midden-Nederland en Rechtbank Amsterdam. Steeds ging het om een afweging van het recht op privacy tegen de belangen om eigendommen te beschermen.
Let op dat bij het gebruik van camera’s, maar ook bij het gebruik van andere technologieën het uitvoeren van een Data Protection Impact Assessment (‘DPIA’) verplicht kan zijn. Dat het niet uitvoeren van een DPIA zelfs tot aanzienlijke boetes kan leiden, blijkt uit de door mijn collega Elif besproken kwestie. Zorg dus dat vooraf helder is of een DPIA moet worden uitgevoerd. Wij kunnen u daarover adviseren.
Boetes en toepassing AVG
Daarnaast heeft de AP in de afgelopen tijd ook de nodige boetes opgelegd. Ik noemde hiervoor al de door mijn collega’s Elif en Lisanne besproken kwesties, maar de AP heeft onder meer ook een boete opgelegd aan de gemeente Enschede voor het (beweerdelijk) onbevoegd verwerken van persoonsgegevens van bezoekers in de binnenstad van Enschede. Zoals ik eerder al schreef, heeft de rechtbank dat boetebesluit van tafel geveegd. De AP had onvoldoende aangetoond dat de gemeente daadwerkelijk persoonsgegevens verwerkte.
Noemenswaardig in dit verband is ook nog een boete die niet door de AP is opgelegd, maar door de minister van Sociale Zaken en Werkgelegenheid, maar waar de AVG wel een rol speelde, zoals eerder door mijn collega Caro besproken. In die kwestie voert een productiebedrijf met een beroep op de AVG aan dat zij geen kopie ID-bewijzen mocht opslaan van ingeleende werknemers. Uiteindelijk oordeelt de rechtbank dat wel sprake is van een overtreding, maar dat de boete aanzienlijk moet worden gematigd.
Voornoemde uitspraak rond de gemeente Enschede, maar ook een andere door mijn collega Lisanne besproken uitspraak, illustreren ook dat er nog veel onduidelijkheid bestaat over enkele basisbegrippen uit de AVG, zoals 'wat is een persoonsgegeven', 'wanneer is sprake van een verwerking' of van 'het opnemen van persoonsgegevens in een bestand'? De verwachting is dat dit nog veel verder moeten worden uitgekristalliseerd, door de wetgever, de rechter of door de AP en andere toezichthouders. Ik wijs in dat verband ook nog op de voortdurende discussie over de vereiste grondslagen om persoonsgegevens te mogen verwerken, zoals toestemming in een kwestie waar mijn collega Caro over heeft geschreven.
Schadevergoeding
Tot slot zien we dat (met wisselend succes) steeds vaker een beroep op schadevergoeding wordt gedaan bij overtreding van de AVG. Zie onder meer uitspraken van Rechtbank Overijssel (schadevergoeding afgewezen), de eerder genoemde uitspraak van Rechtbank Rotterdam (rechter onbevoegd) en een (weliswaar internationaal gewezen) uitspraak waar mijn collega Levi en ik onlangs over schreven (mogelijke toewijzing van immateriële schadevergoeding). Ik wijs in het kader van schadevergoeding nog met name op een tussenuitspraak in een massaschade zaak tegen TikTok, waarin een tweetal claimstichtingen wordt toegelaten om een dergelijke massaclaim tegen TikTok in te stellen. Daarin is dus een eerste stap gezet.
Afsluitend
In de afgelopen maanden is het in de (Nederlandse) rechtspraak vooral gegaan over rechten van betrokkenen (met name inzage- en verwijderingsrechten), maar ook de door de AP opgelegde boetes zijn onderwerp van discussie geweest. Daarbij viel op dat die boetes in een aantal gevallen van tafel zijn gegaan of zijn gematigd. Zowel in de uitleg van de AVG als in de werkwijze van de AP zijn daarbij nog grote stappen te maken.
Vragen of meer informatie?
Al met al blijkt de AVG en privacy in het algemeen nog steeds een lastig onderwerp te zijn. Heeft u vragen op dit gebied, dan kunt u uiteraard terecht bij ons privacy-team (naast mijzelf, Caro Mennen, Elif Barioglu en Lisanne Wigboldus). Neemt u gerust contact met ons op!
