HR 29 juni 2018, IEF 17798; IT 2592; ECLI:NL:HR:2018:1046 (Stichting Brein tegen Ziggo c.s.) De Hoge Raad bevestigt de conclusie van de AG [IEF 17565] dat de zaak van Stichting BREIN over het blokkeren over moet. Een indexeringssite met zoekmotor The Pirate Bay doet een mededeling aan het publiek, aldus het antwoord van het HvJ EU [IEF 16859] op de gestelde prejudiciële vragen aan het HvJ EU. Vordering ex artikel 26d Aw. Er is geen grond om een andere regel te hanteren dat uit artikel 150 Rv voortvloeit: indien een tussenpersoon de effectiviteit of evenredigheid van een gevorderd bevel betwist, dat de bewijslast van de effectiviteit of evenredigheid bij de eisende partij rust. Partijen hebben overeenstemming bereikt over de proceskosten tot en met het tussenarrest van €60.000 dat aan BREIN toekomst. De kosten daarna zijn begroot volgens Indicatietarieven IE 2017: €15.000 voor de zaak bij het HvJ EU, €3.000 voor de repliek en €2.000 voor de Borgersbrief. Het hof Amsterdam gaat zich over de zaak buigen.

De Autoriteit Persoonsgegevens (AP) krijgt signalen dat organisaties worden gebeld dat zij een boete moeten betalen omdat hun website niet voldoet aan de AVG. Deze persoon doet zich voor als iemand die namens de Autoriteit Persoongegevens (voorheen CBP) belt. Dit is niet het geval. Dit is geen actie vanuit de AP. Een boete van de AP komt nooit uit de lucht vallen. Er zal altijd een onderzoek aan voorafgaan. Eerder waarschuwde de AP al voor een misleidend AVG-keurmerk

Rechtbank Zeeland-West-Brabant 20 juni 2018, IEF17783; IT 2590 (Siemens tegen Airopack Technology Groep) Auteursrecht op software. Schadevergoeding. Een werknemer van ATG installeert een gekraakte versie van Siemens' NX-software op een computer. Siemens vordert in totaal €590.694 aan schadevergoeding. De rechtbank sluit aan bij wat partijen zouden zijn overeengekomen als een licentie was afgenomen en acht het voldoende aannemelijk dat dan enkel de CAD/CAM 3 module zou zijn afgenomen. De schade wordt begroot op €30.182; de rechtbank rekent geen premie voor inbreuk (geen "double damages"). Kosten voor vaststelling van inbreuk worden voor de helft toegewezen (€2.500). Er is geen sprake van onrechtmatig procederen, gelet op recht op toegang tot de rechter, past terughoudendheid bij aannemen van misbruik. Siemens' proces- en beslagkosten worden na matiging op de voet van art. 1019h Rv begroot en toegewezen.

ACM Adviesaanvraag codevoorstel Dataveiligheid, 23 oktober 2017. Naar aanleiding van het Actieplan Dataveiligheid van EnergieNederland, Netbeheer Nederland en de Vrijhandelsorganisatie Elektriciteit en Gas (VOEG) heeft de Autoriteit Consument & Markt op 29 mei 2017 een voorstel ontvangen van NEDU (Nederlandse EnergieData Uitwisseling) tot wijziging van de Informatiecode elektriciteit en gas (hierna: ICeg). De ACM moet de voorgestelde wijzigingen beoordelen en het is aan de ACM om de wijzigingen vast te stellen. Ter voorbereiding op haar besluitvorming verzoekt de ACM de Autoriteit persoonsgegevens een advies uit te brengen (Adviesaanvraag). De AP heeft bezwaar tegen het voorstel en adviseert u dit niet aldus vast te stellen.

Gemeenten zitten regelmatig met de vraag voor welke verwerkingen een data protection impact assessment (DPIA) uitgevoerd moet worden en wanneer. In artikel 35 (Gegevensbeschermingseffectbeoordeling) van de AVG staat beschreven wanneer een DPIA uitgevoerd moet worden. Om meer duiding aan de eisen uit artikel 35 te geven heeft de werkgroep van Europese privacytoezichthouders (WP29) aanvullende kaders opgesteld die ook op de site van de Autoriteit Persoonsgegevens (AP) gepubliceerd staan.

De Checklist Data Privacy Impact Analyse is van deze kaders afgeleid en dient als handreiking om te bepalen wanneer het verplicht is een DPIA uit te voeren.

Hof Den Haag 31 oktober 2017, IT 2587; ECLI:NL:GHDHA:2017:3011 (Appellant tegen Bankiers NV) Privacy. Appellant is in 2003 een effectenbemiddelingsovereenkomst aangegaan met de rechtsvoorgangster van Geïntimeerde. In 2008 is een conflict ontstaan over een door geïntimeerde opgezette beleggingsconstructie. Appellant dient in 2016 een verzoek in tot het verschaffen van onder andere een overzicht van op hem betrekking hebbende persoonsgegevens ex art. 35 Wbp. Geïntimeerde heeft geweigerd aan dit verzoek te voldoen. Bij de bestreden beschikking heeft de rechtbank het verzoek afgewezen. De rechtbank achtte dat Appellant misbruik had gemaakt van zijn inzagerecht. Het belang van Appellant bij zijn verzoek is echter gegeven, omdat het belang om te weten of zijn persoonsgegevens juist en rechtmatig worden verwerkt is voldoende. Dat hij daarbij mogelijk tevens een ander belang heeft (gehad), is ontoereikend om aan te nemen dat hij van dit recht misbruik maakt. Het belang van Geïntimeerde dat toewijzing van het verzoek een ‘buitengewone inspanning en administratieve last’ zou vergen weegt niet op tegen het belang van Appellant. De grief is gegrond. De overige verzoeken worden afgewezen. De beschikking van de rechtbank wordt vernietigd.

Rechtbank Limburg 20 maart 2018, IT 2580; ECLI:NL:RBLIM:2018:2751 (Bestuurder failliete onderneming) Privacy. Geen verwijdering zoekresultaat Google. Verzoeker was bestuurder van verschillende besloten vennootschappen en één commanditair vennootschap. Deze zijn respectievelijk op 5 juli 2005 en 4 november 2005 failliet verklaard. Voormelde vennootschappen hadden ten tijde van haar faillissementen omstreeks 550 medewerkers in dienst. Verzoeker wil dat Google URL's in de zoekresultaten verwijdert dan wel afschermt. De informatie in de URL’s is niet onjuist, niet irrelevant en niet onnodig grievend. Er moet een belangenafweging plaatsvinden. De URL’s hebben betrekking op publicaties van professionele media die een journalistieke rol vervullen in het maatschappelijke debat inzake onder meer bestuurdersaansprakelijkheid. Het moeilijker vindbaar maken van de artikelen via Google Search kan worden gezien als een inperking van de vrijheid van meningsuiting van de originele auteurs. Bovendien heeft de informatie die in de artikelen staat enkel betrekking op de rol van verzoeker als bestuurder. Het verzoek wordt afgewezen.

RCC 16 mei 2018, IT 2586; RB 3146; dossiernr. 2018/00227 (FIFA Ultimate Team loot box) Reclamerecht. FUT is een onderdeel van het spel FIFA18, dat verkrijgbaar is voor PlayStation 4. Binnen FUT kunnen pakketten worden gekocht waarin spelers zitten die voor het elftal kunnen worden ingezet. Van tevoren is niet bekend welke spelers in een pakket zitten. Alleen het aantal spelers is bekend en hoeveel daarvan “goud” en “zeldzaam” zijn. Hoe duurder een pakket, des te groter de kans dat er een zeldzame (en dus waardevolle) speler in het pakket zit. Daarnaast zijn er speciale pakketten met nog betere scores verkrijgbaar. In de uiting wordt geadverteerd voor een speciaal pakket. Op basis van de tekst “…een gloednieuwe FUT-verjaardagsselectie, vanaf 16 maart in pakketten beschikbaar” meende klager dat het speciale pakket minimaal één van de afgebeelde 23 spelers uit de verjaardagsselectie zou bevatten. Deze indruk wordt volgens klager versterkt doordat de opmaak van de (overgelegde) pagina, waarop het Ultimate pakket in ‘Brons’, ‘Zilver’ en ‘Goud’ wordt aangeboden, anders is dan gebruikelijk en is aangepast aan de lay-out van de advertentie. Klager heeft voor 20 euro aan FIFA-punten gekocht en deze in het spel ingewisseld voor een ‘Gold Ultimate’ pakket. Bij opening van het pakket bleek dat hierin geen enkele speler uit de verjaardagsselectie zat. Omdat in de advertentie niet wordt vermeld dat bij aanschaf van het verjaardagspakket geen zekerheid bestaat op het ontvangen van één (of meer) speler(s) uit de verjaardagsselectie, vindt klager de uiting misleidend. Als hij had geweten dat slechts sprake is van een kleine kans op één van de 23 spelers, had hij het ‘Gold Ultimate’ pakket niet gekocht.

Conclusie AG HR 4 mei 2018, IT 2581; ECLI:NL:PHR:2018:496 (Particulieren en belanghebbenden tegen de Staat) Privacy. Nederlandse inlichtingen- en veiligheidsdiensten ontvangen gegevens van buitenlandse inlichtingendiensten, zoals de Amerikaanse NSA en de Britse GCHQ. Als gevolg van het feit dat deze buitenlandse diensten de herkomst van de verschafte gegevens niet aan de ontvanger bekend maken, kan niet altijd de mogelijkheid worden uitgesloten dat internationaal erkende grondrechten zijn geschonden bij het verwerven van die gegevens. De conclusie strekt tot verwerping van het cassatieberoep. 

Uit het persbericht: The EU is to enhance its cyber resilience by setting up an EU-wide certification framework for information and communication technology (ICT) products, services and processes. The industry could use the new mechanism to certify products such as connected cars and smart medical devices. The Council today agreed its general approach on the proposal, known as the Cybersecurity Act. The proposal will also upgrade the current European Union Agency for Network and Information Security (ENISA) into a permanent EU agency for cybersecurity.