Personalia

IT 3220

Datalek bij Nederlandse universiteiten door cyberaanval op Blackbaud

Vorige maand is aan de Universiteit Utrecht en de TU Delft medegedeeld dat er tussen 7 februari en 20 mei sprake was van een beveiligingsincident bij hun Amerikaanse CRM-leverancier, softwarebedrijf Blackbaud. Hierdoor is een datalek ontstaan in de persoonsgegevens van hun alumni. Beide universiteiten hebben direct melding gedaan bij de Autoriteit Persoonsgegevens en tevens de betrokkenen geïnformeerd. Beide universiteiten overwegen juridische stappen te nemen richting Blackbaud.

IT 3219

Student in beroep tegen afwijzing verzoek aanvullende persoonsgegevens door universiteit

Rechtbank 10 aug 2020, IT 3219; ECLI:NL:RBDHA:2020:7608 (Eiser tegen TU Delft), http://www.itenrecht.nl/artikelen/student-in-beroep-tegen-afwijzing-verzoek-aanvullende-persoonsgegevens-door-universiteit

Rechtbank Den Haag 10 augustus 2020, IT 3219; ECLI:NL:RBDHA:2020:7608 (Eiser tegen TU Delft) Bescherming persoonsgegegevens. Eiser heeft bij de TU Delft een inzageverzoek gedaan op grond van artikel 35 van de Wet bescherming persoonsgegevens (Wbp) met betrekking tot zijn eigen persoonsgegevens. De universiteit heeft toen zijn volledige dossier zoals neergelegd in het studentenregistratiesysteem overlegd, met uitzondering van de aantekeningen van de studieadviseurs, omdat die uitsluitend bedoeld zijn voor intern overleg. Eiser verzocht de universiteit om hem alsnog deze gegevens te verschaffen, maar dit werd afgewezen. Eiser voert in beroep aan dat hij niet alle persoonsgegevens van zijn persoonsdossier heeft ontvangen. De rechtbank overweegt dat de universiteit door inzage te verlenen in de persoonsgegevens voor zover dit verplicht is op grond van de Wbp en deze persoonsgegevens bovendien tevens aan eiser toe te sturen, in beginsel op correcte wijze invulling heeft gegeven aan eisers recht op inzage op grond van artikel 35 van de Wbp. Op grond van artikel 35 Wbp bestaat recht op inzage in de verwerking van persoonsgegevens van degene die daarom vraagt. Anders dan eiser stelt bestaat er dus geen recht op verstrekking van persoonsgegevens op grond van de Wbp en hoeft verweerder eiser enkel de gelegenheid tot inzage te bieden. Uit jurisprudentie van de Afdeling bestuursrechtspraak van de Raad van State volgt dat degene die stelt dat er méér persoonsgegevens moeten zijn, nadat het bestuursorgaan onderzoek naar die persoonsgegevens heeft gedaan en niet ongeloofwaardig heeft medegedeeld dat er niet meer persoonsgegevens zijn, aannemelijk dient te maken dat er wel meer persoonsgegevens dienen te zijn. Eiser heeft zijn stelling dat er meer informatie zou moeten zijn dan verweerder heeft verstrekt, niet voldoende onderbouwd of aannemelijk gemaakt. Derhalve wordt het beroep ongegrond verklaard.

IT 3209

The Privacy Collective daagt techreuzen voor de rechter

The Privacy Collective dient een massaclaim in tegen Oracle en Salesforce wegens privacyschending. De bedrijven zouden illegaal handelen in digitale persoonsgegevens van miljoenen Nederlanders. Met die data worden van individuele internetgebruikers profielen opgesteld die worden verkocht aan commerciële partijen. Gebruikers hebben hier vaak geen rechtmatige toestemming voor gegeven. The Privacy Collective, een stichting, wordt bijgestaan door Bureau Brandeis. Het is bijzonder dat de techreuzen voor de rechter worden gedaagd, omdat privacyschendingen over het algemeen worden aangepakt door Europese toezichthouders. Nieuwe Nederlandse wetgeving heeft het mogelijk gemaakt om dergelijke class actions in te stellen. Lees hier de dagvaarding.

IT 3207

Banken verplicht tot verwerken persoonsgegevens in kader van kredietregistratie

Hof 6 aug 2020, IT 3207; ECLI:NL:GHSHE:2020:2536 (Appellant tegen Achmea en ABN AMRO), http://www.itenrecht.nl/artikelen/banken-verplicht-tot-verwerken-persoonsgegevens-in-kader-van-kredietregistratie

Hof ’s-Hertogenbosch 6 augustus 2020, IT 3207; ECLI:NL:GHSHE:2020:2536 (Appellant tegen Achmea en ABN AMRO) Registratie persoonsgegevens in het kader van kredietregistratie. Het hof Den Bosch bekrachtigt de beschikking van de rechtbank (IT 2943). Ook het hof komt tot de conclusie dat de banken ter uitvoering van hun wettelijke plicht tot deelname aan een kredietregistratiesysteem - en alles wat daar noodzakelijk bij hoort - persoonsgegevens als in deze zaak aan de orde mogen laten verwerken door of registreren bij het BKR op grond van artikel 6 lid 1 sub c AVG (wettelijke verplichting). Om die reden komt het hof niet toe aan een bespreking van de stellingen van appellant als gebaseerd op de artikelen 6 lid 1 sub f (gerechtvaardigd belang), 17 lid 1 (het recht op vergetelheid) en 21 lid 1 (het recht op bezwaar) van de AVG, een en ander zoals reeds door de rechtbank is overwogen en beslist. Noemenswaardig is dat het hof ingaat op het advies van de Autoriteit Persoonsgegevens d.d. 14 november 2019, waarin de positie van het BKR aan de orde komt in combinatie met de grondslagen van de AVG. Het hof deelt niet de klaarblijkelijke visie van de Autoriteit Persoonsgegevens dat nu bepaalde aspecten van de nadere uitwerking van het verplichte systeem van kredietregistratie niet expliciet bij wet geregeld zijn, daarbij uitsluitend de zogenaamde f-grond als verwerkingsgrond aan de orde is of zou zijn.

IT 3205

Hugo de Jonge gaat data van reizigers uit risicogebieden opvragen

In een Kamerbrief kondigt Hugo de Jonge - minister van Volksgezondheid, Welzijn en Sport - aan dat de overheid passagiersgegevens van reizigers uit risicogebieden kan opvragen om hiermee door middel van steekproeven te controleren of zij zich aan de coronamaatregelen houden. Passagiers die terugkomen uit een risicogebied moeten twee weken in quarantaine en met deze gegevens kan gecontroleerd worden of dat daadwerkelijk wordt gedaan. Deze persoonsgegevens moeten worden opgevraagd op grond van artikel 53 lid 3 Wet publieke gezondheid. Lees hier de volledige Kamerbrief.

IT 3202

Hoger beroep: ING had goede gronden tot registratie persoonsgegevens

Hof 7 jul 2020, IT 3202; ECLI:NL:GHAMS:2020:1984 (Appellant tegen ING Bank), http://www.itenrecht.nl/artikelen/hoger-beroep-ing-had-goede-gronden-tot-registratie-persoonsgegevens

Hof Amsterdam 7 juli 2020, IT 3202, ECLI:NL:GHAMS:2020:1984 (Appellant tegen ING Bank) Verwerking persoonsgegevens. Appellant is sinds langere tijd in privé klant bij ING en heeft veel zakelijke rekeningen geopend. In 2013 zijn de persoonsgegevens van appellant voor een aantal jaren opgenomen in her IVR-register van ING. Toen appellant een creditcard wilde aanvragen is deze door ING geweigerd, omdat hij in het IVR geregistreerd staat. Appellant ging in eerste aanleg in tegen de IVR-registratie en stelde dat ING hier geen voldoende grond voor had. De vordering werd afgewezen. Tegen deze beslissing en de daaraan ten grondslag gelegde motivering komt appellant op. Het hof bekrachtigt het vonnis van de rechtbank. ING had voldoende gronden om over te gaan tot registratie.

IT 3191

HvJ EU heeft geoordeeld in Schrems tegen Facebook

HvJ EU 16 jul 2020, IT 3191; (Schrems tegen Facebook), http://www.itenrecht.nl/artikelen/hvj-eu-heeft-geoordeeld-in-schrems-tegen-facebook


HvJ EU 16 juli 2020, IT 3191, IEF 19327, IEFbe 3106; C-311/18 (Schrems tegen Facebook) Privacyrecht. Vandaag heeft het Europees Hof van Justitie geoordeeld in een van de meest verwachte zaken over privacy en gegevensbescherming sinds tijden. Schrems heeft als Facebookgebruiker Facebook Ierland aangesproken voor het doorgeven van persoonsgegevens aan Facebook Verenigde Staten. Hij heeft de Ierse toezichthouder verzocht om deze doorgiften te verbieden. Hiertoe voerde hij aan dat het recht van de Verenigde Staten en de gangbare praktijk geen waarborgen bieden voor voldoende bescherming tegen de toegang door de overheid tot de naar dit land doorgestuurde gegevens. Deze klacht werd afgewezen, omdat de Commissie in een beschikking had vastgesteld dat de Verenigde Staten wel een passend beschermingsniveau waarborgden. In 2015 heeft het Europees Hof van Justitie deze beschikking ongeldig verklaard, waardoor de Ierse rechter de afwijzing van de klacht van Schrems nietig verklaarde. De Ierse toezichthouder verzocht Schrems zijn klacht te herformuleren. In de hergeformuleerde klacht verzoekt Schrems de doorgifte van zijn persoonsgegevens vanuit de Unie naar de Verenigde Staten - die Facebook ondertussen uitvoert op grond van bepalingen uit de bijlage bij besluit 2020/87 - op te schorten of voor de toekomst te verbieden. De Ierse rechter vraagt aan het Europees Hof van Justitie of besluit 2010/87 en 2016/1250 geldig zijn. Vandaag heeft het Hof van Justitie in zijn arrest gesteld dat bij de toetsing van besluit 2010/87 aan het Handvest van de grondrechten van de Europese Unie niet is gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten. Besluit 2016/1250 wordt daarentegen ongeldig verklaard. Daarnaast wijst het Hof erop dat een doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde onderneming naar een andere in een derde land gevestigde onderneming, niet kan worden uitgesloten van de werkingssfeer van de verordening. Bij een dergelijke doorgifte moet een beschermingsniveau worden geboden dat in grote lijnen overeenkomt met het beschermingsniveau dat binnen de Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest. Toezichthoudende autoriteiten zijn, tenzij de Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, verplicht om een doorgifte naar een derde land op te schorten of te verbieden wanneer zij - gelet op alle omstandigheden - van oordeel zijn dat de standaardbepalingen inzake gegevensbescherming in dat derde land niet worden of niet kunnen worden nageleefd en dat de door het Unierecht vereiste bescherming van de doorgegeven gegevens niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde exporteur de doorgifte niet zelf heeft opgeschort of beëindigd.

IT 3182

Recht op privacy wijkt voor recht op informatievrijheid

Hof 23 jun 2020, IT 3182; ECLI:NL:GHAMS:2020:1802 (Google tegen Geïntimeerde), http://www.itenrecht.nl/artikelen/recht-op-privacy-wijkt-voor-recht-op-informatievrijheid

Hof Amsterdam 23 juni 2020 IT 3182; ECLI:NL:GHAMS:2020:1802 (Google tegen Geïntimeerde) Privacyrecht. Bij het googelen van de naam van geïntimeerde (plastisch chirurg), verschenen tussen de zoekresultaten koppelingen naar onder meer www.zwartelijstartsen.nl en www.drimble.nl met vermelding van de naam van geïntimeerde, haar BIG-nummer, haar specialisme en de uitspraak van het Tuchtcollege. Geïntimeerde verzocht Google de koppelingen te verwijderen. Google wees dit verzoek af en stelde dat de URL’s in de zoekresultaten gerechtvaardigd worden door het wezenlijk belang van het grote publiek hier toegang tot te hebben. Het Hof oordeelt - in tegenstelling tot de rechtbank - dat het recht op informatievrijheid van Google en derden hier zwaarder weegt dan het recht op privacy en bescherming van persoonsgegevens van geïntimeerde. Hoewel uit vaste rechtspraak (HR X/Google en HvJEU Costeja) volgt dat in beginsel het recht op informatievrijheid van het publiek moet wijken voor het recht op privacy en bescherming van persoonsgegevens, zijn er volgens het Hof in deze zaak bijzondere omstandigheden die ervoor zorgen dat in dit geval het recht op informatievoorziening wint. Allereerst omdat de arts een kwetsbare groep patiënten behandelt met weinig behandelopties, die eenvoudig en online toegang moeten hebben tot informatie over de voor- en nadelen van hun arts. Ten tweede wordt het BIG-register, met daarin aantekening van aan een arts opgelegde maatregelen, in de praktijk nauwelijks door patiënten geraadpleegd. Daarnaast behelst de Wet BIG geen regels over wat derden mogen publiceren of vindbaar maken over tuchtrechtelijke maatregelen. Tot slot is de vermelding van de arts op de ‘zwarte lijst’ van SIN-NL, waarnaar de zoekresultaten verwijzen, volgens het Hof recent, relevant, feitelijk, niet onnodig grievend en actueel. Derhalve hoeft Google de zoekresultaten niet te verwijderen.