DOSSIERS
Alle dossiers

Persoonsgegevens  

IT 4611

Uber krijgt 290 miljoen euro boete voor ‘zeer ernstige’ AVG-schending

Autoriteit Persoonsgegevens 22 jul 2024, IT 4611; (Autoriteit Persoonsgegevens tegen Uber), https://www.itenrecht.nl/artikelen/uber-krijgt-290-miljoen-euro-boete-voor-zeer-ernstige-avg-schending

AP 22 juli 2024, IT 4611 (Autoriteit Persoonsgegevens tegen Uber). De Autoriteit Persoonsgegevens (hierna: AP) legt Uber een boete op van 290 miljoen euro. Het bedrijf heeft namelijk twee jaar lang persoonsgegevens van EU-taxichauffeurs doorgegeven aan de Verenigde Staten (hierna: VS) zonder daarbij aan de AVG te voldoen. Het gaat onder andere om locatiegegevens, foto’s, betaalgegevens, ID's en in sommige gevallen zelfs strafrechtelijke en medische gegevens. Aangezien de VS het door de AVG vereiste beveiligingsniveau voor persoonsgegevens niet waarborgen, is het aan Uber om passende maatregelen te treffen wanneer zij persoonsgegevens naar de VS verzendt. Deze maatregelen moeten ervoor zorgen dat het door de AVG gewaarborgde beveiligingsniveau alsnog wordt behaald. De AP constateert dat Uber tussen augustus 2021 en eind 2023 geen passende maatregelen heeft getroffen, ondanks het feit dat zij persoonsgegevens naar de VS heeft verzonden. Hiervoor krijgt Uber een boete opgelegd van iets minder dan één procent over haar jaaromzet (zo'n 34,5 miljard euro). Dit komt uit op de hoogste boete die de AP ooit heeft opgelegd. Uber laat in een persverklaring weten dat zij in beroep gaat tegen de boete, desnoods bij de rechter. Volgens haar bestond er in de genoemde periode onduidelijkheid over de privacyregels en heeft zij naar beste weten en kunnen gehandeld.

IT 4599

Oneerlijkheid van eiser jegens Rabobank heeft inschrijving van persoonsgegevens in het externe waarschuwingssysteem tot gevolg

Rechtbank 26 jun 2024, IT 4599; ECLI:NL:RBMNE:2024:4225 (Eiser tegen Rabobank), https://www.itenrecht.nl/artikelen/oneerlijkheid-van-eiser-jegens-rabobank-heeft-inschrijving-van-persoonsgegevens-in-het-externe-waarschuwingssysteem-tot-gevolg

Rb. Midden-Nederland 26 juni 2024, IT 4599;  ECLI:NL:RBMNE:2024:4225 (Eiser tegen Rabobank). Eiser heeft als zzp’er via een overeenkomst van opdracht voor Rabobank gewerkt. Voor het sluiten van die overeenkomst is eiser gevraagd om haar nevenfuncties op te geven. Niet alleen heeft zij dit niet gedaan, maar bovendien heeft zij na aanvang van haar werkzaamheden meermaals schriftelijk in strijd met de waarheid verklaard dat zij geen nevenfuncties had. Rabobank zag zich hierdoor genoodzaakt om de overeenkomst met eiser te beëindigen en de gegevens van eiser voor de duur van twee jaar laten registreren in het Incidentenregister en het Extern Verwijzingsregister (EVR), alsmede voor de duur van acht jaar in het Intern Verwijzingsregister (IVR). Eiser vordert in kort geding dat Rabobank deze registraties verwijdert omdat die volgens haar onrechtmatig en disproportioneel zijn.

IT 4600

GGD en de Staat zijn geen schadevergoeding verschuldigd aan betrokkenen van de coronadatalek

Rechtbank 17 jul 2024, IT 4600; ECLI:NL:RBAMS:2024:4264 (Stichting ICAM tegen de Staat en de GGD), https://www.itenrecht.nl/artikelen/ggd-en-de-staat-zijn-geen-schadevergoeding-verschuldigd-aan-betrokkenen-van-de-coronadatalek

Rb. Amsterdam 17 juli 2024, IT 4600 ; ECLI:NL:RBAMS:2024:4264 (Stichting ICAM tegen de Staat en de GGD). Deze WAMCA-zaak betreft een massaschadeclaim van Stichting ICAM (hierna: ICAM) jegens de Staat en de GGD (hierna: gedaagden). Dit in verband met het coronadatalek: gedurende de coronapandemie zijn er medewerkers van de GGD geweest die de persoonsgegevens van personen die zich hebben laten testen en/of vaccineren ter beschikking hebben gesteld van ongeautoriseerde derden. In dat kader vordert ICAM onder meer dat gedaagden worden veroordeeld tot het betalen van schadevergoeding aan iedereen die gegevens aan de GGD heeft verstrekt, waaronder de mensen van wie niet vast staat dat hun persoonsgegevens aan derden zijn verstrekt. Het gaat om ruim 6,5 miljoen mensen. ICAM maakt voor de schadevergoeding onderscheid tussen categorie A en B, waarbij categorie A alle bij de GGD geregistreerde personen omvat en categorie B diegenen waarvan zeker is dat hun data is gelekt. Ter onderbouwing voert ICAM aan dat, hoewel tijdens de pandemie bijzonder snel moest worden opgeschaald, gedaagden desondanks beter paraat hadden moeten staan en sneller hadden moeten handelen om het datalek te voorkomen.

IT 4597

Identificatie- en verificatieprocedure van ICS is rechtmatig, aldus het hof

Hof 30 apr 2024, IT 4597; ECLI:NL:GHAMS:2024:1165 (Appellant tegen ICS), https://www.itenrecht.nl/artikelen/identificatie-en-verificatieprocedure-van-ics-is-rechtmatig-aldus-het-hof

Hof 30 april 2024, IT 4597; ECLI:NL:GHAMS:2024:1165 (Appellant tegen ICS). Aanleiding tot dit geschil is het feit dat International Card Services B.V. (hierna: ICS), een dochtervennootschap van ABN AMRO Bank N.V., de creditcard van appellant, haar (zakelijke) klant, beoogt te blokkeren. Dit omdat appellant zich niet wil identificeren op de door ICS verzochte wijze. Appellant heeft aangegeven het niet eens te zijn met de wijze van identificatie, gezien de manier waarop zijn gegevens daarbij worden verwerkt. Volgens appellant is identificatie middels een gewaarmerkte kopie van zijn identiteitsbewijs voldoende; volgens ICS volstaat enkel een foto van het originele identiteitsbewijs, bij voorkeur ingediend via de digitale app van ICS. Bij verstekvonnis is appellant in het gelijk gesteld door de rechtbank, maar na verzet van ICS heeft de rechtbank dit vonnis vernietigd en de vorderingen van appellant afgewezen. Appellant gaat daartegen in hoger beroep bij het hof. Kort gezegd voert appellant aan dat ICS hem nooit had mogen verplichten tot de door ICS gehanteerde identificatie- en verificatieprocedure, gelet op de Wwft en de AVG.

IT 4595

Publicatieverbod adresgegevens van presentator wordt afgewezen

Rechtbank Amsterdam 2 jun 2014, IT 4595; ECLI:NL:RBAMS:2014:9881 (eiser tegen gedaagde), https://www.itenrecht.nl/artikelen/publicatieverbod-adresgegevens-van-presentator-wordt-afgewezen

Vzr. Rb. Amsterdam 2 juni 2014, IT 4595; ECLI:NL:RBAMS:2014:9881 (eiser tegen gedaagde). Eiser is presentator van een televisieprogramma dat aandacht heeft besteed aan spermadonoren die op internet actief zijn. Er is in het programma in het bijzonder aandacht besteed aan gedaagde. In een telefonisch gesprek met een programmamaker van het bedrijf van eiser, heeft gedaagde gezegd dat hij de persoonlijke (adres)gegevens van eiser heeft en die openbaar zou maken. Eiser vordert dat deze gegevens verwijderd worden en blijven. Daarnaast vordert hij dat gedaagde zich met onmiddellijke ingang onthoudt van de publicatie van de gegevens.

IT 4593

TPC wordt ontvankelijk verklaard in massaschadeclaims tegen Oracle en Salesforce voor privacyschendingen

Hof 18 jun 2024, IT 4593; ECLI:NL:GHAMS:2024:1651 (TPC tegen Oracle en Salesforce), https://www.itenrecht.nl/artikelen/tpc-wordt-ontvankelijk-verklaard-in-massaschadeclaims-tegen-oracle-en-salesforce-voor-privacyschendingen

Hof Amsterdam 18 juni 2024, IT 4593; ECLI:NL:GHAMS:2024:1651 (TPC tegen Oracle en Salesforce). In deze zaak heeft TPC massaschadeclaims ingediend tegen Oracle en Salesforce wegens privacyschendingen, gerelateerd aan het plaatsen van cookies en het opstellen en gebruiken van gebruikersprofielen voor onder meer gerichte reclame. Omdat de wet specifieke eisen stelt aan stichtingen die dergelijke claims willen indienen (art. 3:305a BW - hierna: WAMCA), moet eerst worden vastgesteld of TPC wel aan deze eisen voldoet. De rechtbank oordeelde van niet en verklaarde TPC daarom niet-ontvankelijk. Het hof komt tot een ander besluit.

IT 4592

Schending van informatieverplichtingen van de AVG biedt grond voor een collectieve verbodsactie

HvJ EU 11 jul 2024, IT 4592; ECLI:EU:C:2024:598 (Meta tegen Bundesverband), https://www.itenrecht.nl/artikelen/schending-van-informatieverplichtingen-van-de-avg-biedt-grond-voor-een-collectieve-verbodsactie

HvJ EU 11 juli 2024, IT 4592; ECLI:EU:C:2024:598 (Meta tegen Bundesverband). Meta bood via het “App-Zentrum” haar gebruikers gratis spelapplicaties van derden aan. Bij het bezoeken van dit centrum kreeg de gebruiker de melding dat hij de betrokken applicaties toestond een aantal persoonsgegevens te verzamelen en tevens het recht verleende om namens hem bepaalde van die gegevens te delen. Ook werd de gebruiker ervan op de hoogte gebracht dat hij akkoord ging met de algemene voorwaarden van de applicaties. Volgens het Bundesverband is de door Meta verstrekte informatie oneerlijk geweest, met name omdat die informatie niet voldeed aan de relevante wetgeving. In eerste aanleg is het Bundesverband door de Duitse rechter in het gelijk gesteld, evenals in het door Meta ingestelde hoger beroep. Hoewel de hoogste Duitse rechter (Bundesgerichtshof) de uitspraken bekrachtigt, betwijfelt hij de ontvankelijkheid van het Bundesverband, wiens procesbevoegdheid mogelijk verloren zou zijn gegaan als gevolg van de inwerkingtreding van de AVG. Het Hof EU geeft daarover uitsluiting, door te stellen dat iedere vereniging die consumentenbelangen behartigt in rechte kan optreden tegen de vermeende dader van een inbreuk op de bescherming van persoonsgegevens, ook wanneer zij daartoe geen opdracht heeft gekregen en los van de vraag of er sprake is van enige schending van concrete rechten van de betrokkenen. Het Bundesgerichtshof vraagt zich echter nog steeds af of het niet-naleven van de informatieverplichtingen van de AVG een inbreuk “ten gevolge van de verwerking” in de zin van artikel 80 lid 2 AVG oplevert op grond waarvan het Bundesverband een verbodsactie zou kunnen instellen. In dat kader stelt hij een prejudiciële vraag aan het Hof.

IT 4586

Kruidvat cookies zijn in strijd met de AVG, aldus de AP - € 600.000,- boete

Autoriteit Persoonsgegevens 2 mei 2024, IT 4586; (AP tegen A.S. Watson), https://www.itenrecht.nl/artikelen/kruidvat-cookies-zijn-in-strijd-met-de-avg-aldus-de-ap-600-000-boete

AP 2 mei 2024, IT 4586 (AP tegen A.S. Watson). De Autoriteit Persoonsgegevens (hierna: AP) heeft besloten om aan A.S. Watson Health & Beauty Continental Europe B.V. (hierna: A.S. Watson), het moederbedrijf van onder meer Kruidvat, een bestuurlijke boete van € 600.000,- op te leggen voor de overtreding van artikel 6, eerste lid, in samenhang met artikel 5, eerste lid, onder a, van de Algemene verordening gegevensbescherming (hierna: AVG). Dit omdat A.S. Watson geen rechtmatige grondslag heeft voor het verwerken van persoonsgegevens door middel van (tracking) cookies bij het bezoeken van de website kruidvat.nl, terwijl zij wel verwerkingsverantwoordelijke is in de zin van de AVG.

IT 4583

De Data Privacy Framework in actie

AP 10 juli 2024, IT 4583 (Data Privacy Framework). De Autoriteit Persoonsgegevens heeft een nieuw beleid gepubliceerd dat uitvoering geeft aan het adequaatheidsbesluit van de Europese Commissie van 10 juli 2023 en de Amerikaanse Executive Order 14086 van 7 oktober 2022. Het beleid zet een klachtmechanisme uiteen voor het behandelen van klachten van betrokkenen in de EU en EER over vermeende onrechtmatige toegang tot, en gebruik van hun persoonsgegevens door Amerikaanse inlichtingendiensten.

IT 4582

Arag hoeft schadelijke berichtgeving van ex-cliënt niet te tolereren

Rechtbank 13 jun 2024, IT 4582; ECLI:NL:RBGEL:2024:3644 (Arag tegen gedaagde), https://www.itenrecht.nl/artikelen/arag-hoeft-schadelijke-berichtgeving-van-ex-client-niet-te-tolereren

Vzr. Rb. Gelderland 13 juni 2024, IT 4582; ECLI:NL:RBGEL:2024:3644 (Arag tegen gedaagde). Deze zaak vloeit voort uit een tussen gedaagde en ABN-AMRO Verzekeringen (hierna: ABN-AMRO) afgesloten en later opgezegde rechtsbijstandverzekering. De uitvoering van de verzekering was belegd bij Arag, eiser in deze zaak. Het geschil tussen partijen is ontstaan naar aanleiding van de opzegging van de verzekeringsovereenkomst. ABN-AMRO heeft de overeenkomst, op basis van de verzekeringsvoorwaarden, eenzijdig opgezegd nadat gedaagde zich beledigend en bedreigend zou hebben uitgelaten naar de medewerkers van Arag. Gedaagde heeft hiertegen een klacht ingediend bij het Klachteninstituut Financiële Dienstverlening, maar tevergeefs. Ook het hoger beroep van gedaagde liep op niets uit. Gedaagde heeft diens frustratie kenbaar gemaakt door meerdere negatieve berichten op verschillende sociale media te plaatsen met betrekking tot Arag en haar medewerkers. Arag vordert in kort geding dat gedaagde alle berichten verwijdert waarin hij namen van de medewerkers van Arag noemt, alsmede waarin hij de reputatie van Arag schendt, dan wel zich neerbuigend over Arag uitlaat en/of Arag beschuldigt van strafbaar en/of onrechtmatig gedrag. Ook vordert Arag dat gedaagde wordt verboden om dergelijke uitingen te doen in de toekomst.