Personalia

IT 3498

KPN niet verplicht tot afgifte NAW-gegevens

Rechtbank 1 mrt 2021, IT 3498; ECLI:NL:RBROT:2021:1679 (Eiser tegen KPN), http://www.itenrecht.nl/artikelen/kpn-niet-verplicht-tot-afgifte-naw-gegevens

Vzr. Rechtbank Rotterdam 1 maart 2021, IT 3498, ECLI:NL:RBROT:2021:1679 (Eiser tegen KPN) Eiser stond ingeschreven in het Register beëdigde tolken en vertalers als tolk Nederlands-Arabisch. Hij wordt verweten dat hij op frauduleuze wijze niet bestaande tolkopdrachten heeft uitgezet, geaccepteerd en weer geannuleerd om zo annuleringsvergoeden op te strijken. Als gevolg hiervan is zijn inschrijving uit het Register gehaald. Eiser is tegen deze beslissing in beroep gegaan. Het is hem namelijk opgevallen dat de fraude vanaf verschillende IP-adressen is gepleegd. Hierom vordert hij de NAW-gegevens van de gebruiker van een van deze IP-adressen van KPN, die deze weigert af te geven. De voorzieningenrechter wijst de vordering af en oordeelt dat de weigering van KPN niet in strijd is met de ongeschreven zorgvuldigheidsnorm vervat in artikel 6:162 BW, omdat het belang van eiser niet opweegt tegen het belang van KPN bij de bescherming van de persoonsgegevens en persoonlijke levenssfeer van haar klant.

IT 3497

Voldoende belang bij afgifte van gegevens

Rechtbank 26 apr 2021, IT 3497; (Stichting React tegen ContextLogic), http://www.itenrecht.nl/artikelen/voldoende-belang-bij-afgifte-van-gegevens

Vzr. Rechtbank Amsterdam 26 april 2021, IEF 19923, IT 3497; C/13/697737 / KG ZA 21-146 (Stichting React tegen ContextLogic) De Stichting React behartigt de belangen van haar leden bij het handhaven van IE (merk)rechten, waaronder het bestrijden van de verhandeling van namaakproducten valt. ContextLogic is een onderneming die o.a. het e-commerceplatform Wish.com beheert. Op het Wish-platform wordt geadverteerd voor artikelen (onder meer kleding en elektronica) met bekende merknamen, waaronder B&O, Jabra, Puma, Stone Island, en afbeeldingen van bijv. een door Lacoste als merk gedeponeerd krokodilletje. Stichting React heeft vervolgens aan ContextLogic gevraagd om benodigde identificerende gegevens van enkele adverteerders. Zodoende heeft ContextLogic gegevens aan Stichting React verstrekt, maar deze hebben niet tot identificeerbare personen geleid. Stichting React vordert daarom van ContextLogic dat zij meer gegevens aan haar moet verstrekken. De voorzieningenrechter wijst deze vorderingen toe. Een interessant punt uit deze uitspraak voor de rechtsontwikkeling in de IE-handhavingspraktijk is het feit dat de inbreukmakende aanbiedingen niet meer online staan en Stichting React bewust geen gebruik heeft gemaakt van de notice and takedown optie, geen afbreuk doet aan het (spoedeisend) belang van de stichting.

IT 3476

Psycholoog moet uit zwarte lijst worden gehaald

Hof 6 apr 2021, IT 3476; ECLI:NL:GHARL:2021:3206 (Appellant tegen Stichting SIN), http://www.itenrecht.nl/artikelen/psycholoog-moet-uit-zwarte-lijst-worden-gehaald

Hof Arnhem-Leeuwarden 6 april 2021, IT 3476, ECLI:NL:GHARL:2021:3206 (Appellant tegen Stichting SIN) Appellant is werkzaam geweest als gezondheidszorgpsycholoog en wenst dat zijn gegevens weggehaald worden van de websites van Stichting Slachtoffers Iatrogene Nalatigheid-Nederland (Stichting SIN), onder meer van de zwartelijstartsen. Anders dan de rechtbank wijst het hof de vordering toe. De door Stichting SIN omschreven doelen, namelijk verbetering van de positie van slachtoffers van medische fouten en de verbetering van de kwaliteit van de gezondheidszorg, wordt niet gerechtvaardigd door het blijven vermelden van de naam van appellant op de zwartelijstartsen van haar websites en de daaraan gekoppelde hyperlink naar de uitspraken van het CTG uit 2010. Stichting SIN handelt hier jegens appellant onrechtmatig. De vermelding is tevens disproportioneel nu appellant ook niet meer is terug te vinden in het BIG-register omdat hij meer dan 10 jaar geleden is doorgehaald.

IT 3475

Verwijdering van BKR-registratie wegens ontbreken van belang

Rechtbank 4 mrt 2021, IT 3475; ECLI:NL:RBAMS:2021:1721 (Verzoeker tegen Funding Circle), http://www.itenrecht.nl/artikelen/verwijdering-van-bkr-registratie-wegens-ontbreken-van-belang

Rechtbank Amsterdam 4 maart 2021, IT 3475, ECLI:NL:RBAMS:2021:1721 (Verzoeker tegen Funding Circle) Verzoeker heeft vanaf 2014 een eenmanszaak gerund. Zijn onderneming hield zich bezig met online marketing en het verzorgen van advertenties van opdrachtgevers. Funding Circle exploiteert een online platform waar zij namens één of meer investeerders zakelijke kredieten aanbiedt aan bedrijven. Zij heeft in 2018 een zakelijk krediet aan verzoeker verstrekt. Verzoeker is een jaar later, na o.a. een strafrechtelijke veroordeling, in betalingsproblemen geraakt. Hierop heeft Funding Circle besloten het krediet op te eisen en een BKR-registratie ervan te laten maken. Verzoeker vordert dat Funding Circle deze registratie laat verwijderen. De rechtbank wijst de vordering van verzoeker toe, omdat Funding Circle er onvoldoende in is geslaagd om een zwaarwegend belang aan te tonen voor het in stand houden van de BKR-registratie.

IT 3220

Datalek bij Nederlandse universiteiten door cyberaanval op Blackbaud

Vorige maand is aan de Universiteit Utrecht en de TU Delft medegedeeld dat er tussen 7 februari en 20 mei sprake was van een beveiligingsincident bij hun Amerikaanse CRM-leverancier, softwarebedrijf Blackbaud. Hierdoor is een datalek ontstaan in de persoonsgegevens van hun alumni. Beide universiteiten hebben direct melding gedaan bij de Autoriteit Persoonsgegevens en tevens de betrokkenen geïnformeerd. Beide universiteiten overwegen juridische stappen te nemen richting Blackbaud.

IT 3219

Student in beroep tegen afwijzing verzoek aanvullende persoonsgegevens door universiteit

Rechtbank 10 aug 2020, IT 3219; ECLI:NL:RBDHA:2020:7608 (Eiser tegen TU Delft), http://www.itenrecht.nl/artikelen/student-in-beroep-tegen-afwijzing-verzoek-aanvullende-persoonsgegevens-door-universiteit

Rechtbank Den Haag 10 augustus 2020, IT 3219; ECLI:NL:RBDHA:2020:7608 (Eiser tegen TU Delft) Bescherming persoonsgegegevens. Eiser heeft bij de TU Delft een inzageverzoek gedaan op grond van artikel 35 van de Wet bescherming persoonsgegevens (Wbp) met betrekking tot zijn eigen persoonsgegevens. De universiteit heeft toen zijn volledige dossier zoals neergelegd in het studentenregistratiesysteem overlegd, met uitzondering van de aantekeningen van de studieadviseurs, omdat die uitsluitend bedoeld zijn voor intern overleg. Eiser verzocht de universiteit om hem alsnog deze gegevens te verschaffen, maar dit werd afgewezen. Eiser voert in beroep aan dat hij niet alle persoonsgegevens van zijn persoonsdossier heeft ontvangen. De rechtbank overweegt dat de universiteit door inzage te verlenen in de persoonsgegevens voor zover dit verplicht is op grond van de Wbp en deze persoonsgegevens bovendien tevens aan eiser toe te sturen, in beginsel op correcte wijze invulling heeft gegeven aan eisers recht op inzage op grond van artikel 35 van de Wbp. Op grond van artikel 35 Wbp bestaat recht op inzage in de verwerking van persoonsgegevens van degene die daarom vraagt. Anders dan eiser stelt bestaat er dus geen recht op verstrekking van persoonsgegevens op grond van de Wbp en hoeft verweerder eiser enkel de gelegenheid tot inzage te bieden. Uit jurisprudentie van de Afdeling bestuursrechtspraak van de Raad van State volgt dat degene die stelt dat er méér persoonsgegevens moeten zijn, nadat het bestuursorgaan onderzoek naar die persoonsgegevens heeft gedaan en niet ongeloofwaardig heeft medegedeeld dat er niet meer persoonsgegevens zijn, aannemelijk dient te maken dat er wel meer persoonsgegevens dienen te zijn. Eiser heeft zijn stelling dat er meer informatie zou moeten zijn dan verweerder heeft verstrekt, niet voldoende onderbouwd of aannemelijk gemaakt. Derhalve wordt het beroep ongegrond verklaard.

IT 3209

The Privacy Collective daagt techreuzen voor de rechter

The Privacy Collective dient een massaclaim in tegen Oracle en Salesforce wegens privacyschending. De bedrijven zouden illegaal handelen in digitale persoonsgegevens van miljoenen Nederlanders. Met die data worden van individuele internetgebruikers profielen opgesteld die worden verkocht aan commerciële partijen. Gebruikers hebben hier vaak geen rechtmatige toestemming voor gegeven. The Privacy Collective, een stichting, wordt bijgestaan door Bureau Brandeis. Het is bijzonder dat de techreuzen voor de rechter worden gedaagd, omdat privacyschendingen over het algemeen worden aangepakt door Europese toezichthouders. Nieuwe Nederlandse wetgeving heeft het mogelijk gemaakt om dergelijke class actions in te stellen. Lees hier de dagvaarding.

IT 3207

Banken verplicht tot verwerken persoonsgegevens in kader van kredietregistratie

Hof 6 aug 2020, IT 3207; ECLI:NL:GHSHE:2020:2536 (Appellant tegen Achmea en ABN AMRO), http://www.itenrecht.nl/artikelen/banken-verplicht-tot-verwerken-persoonsgegevens-in-kader-van-kredietregistratie

Hof ’s-Hertogenbosch 6 augustus 2020, IT 3207; ECLI:NL:GHSHE:2020:2536 (Appellant tegen Achmea en ABN AMRO) Registratie persoonsgegevens in het kader van kredietregistratie. Het hof Den Bosch bekrachtigt de beschikking van de rechtbank (IT 2943). Ook het hof komt tot de conclusie dat de banken ter uitvoering van hun wettelijke plicht tot deelname aan een kredietregistratiesysteem - en alles wat daar noodzakelijk bij hoort - persoonsgegevens als in deze zaak aan de orde mogen laten verwerken door of registreren bij het BKR op grond van artikel 6 lid 1 sub c AVG (wettelijke verplichting). Om die reden komt het hof niet toe aan een bespreking van de stellingen van appellant als gebaseerd op de artikelen 6 lid 1 sub f (gerechtvaardigd belang), 17 lid 1 (het recht op vergetelheid) en 21 lid 1 (het recht op bezwaar) van de AVG, een en ander zoals reeds door de rechtbank is overwogen en beslist. Noemenswaardig is dat het hof ingaat op het advies van de Autoriteit Persoonsgegevens d.d. 14 november 2019, waarin de positie van het BKR aan de orde komt in combinatie met de grondslagen van de AVG. Het hof deelt niet de klaarblijkelijke visie van de Autoriteit Persoonsgegevens dat nu bepaalde aspecten van de nadere uitwerking van het verplichte systeem van kredietregistratie niet expliciet bij wet geregeld zijn, daarbij uitsluitend de zogenaamde f-grond als verwerkingsgrond aan de orde is of zou zijn.