DOSSIERS
Alle dossiers

Persoonsgegevens  

IT 4684

Hof geeft verduidelijking over niet-verplichte persoonsgegevens

HvJ EU 4 okt 2024, IT 4684; ECLI:EU:C:2024:827 (Agentsia po vpisvaniyata), https://www.itenrecht.nl/artikelen/hof-geeft-verduidelijking-over-niet-verplichte-persoonsgegevens

HvJ EU 4 oktober 2024, IT 4684; ECLI:EU:C:2024:827 (Agentsia po vpisvaniyata) OL heeft het Bulgaarse agentschap voor registraties verzocht om verwijdering van haar naam, voornaam, identificatienummer, gegevens van haar identiteitskaart, adres en handtekening uit een vennootschapsovereenkomst. Het agentschap verwijderde uiteindelijk alleen haar identificatienummer, identiteitskaartgegevens en adres. De rechter in eerste aanleg oordeelde dat het agentschap OL's recht op gegevenswissing had geschonden en kende haar een schadevergoeding toe. Het Hof oordeelt dat artikel 21 lid 2 Richtlijn 2017/1132 geen verplichting oplegt aan lidstaten om de openbaarmaking van niet-verplichte persoonsgegevens toe te staan. Het Hof oordeelt verder dat het agentschap in dit geval zowel ontvanger als verwerkingsverantwoordelijke is van de persoonsgegevens in de zin van de AVG. Dit betekent dat het agentschap verantwoordelijk is voor de naleving van de AVG, inclusief het recht op gegevenswissing. Het Hof concludeert dat de Bulgaarse regeling, die de afwijzing van een verzoek tot verwijdering van niet-verplichte persoonsgegevens toestaat als er geen afschrift is verstrekt waarin die gegevens onleesbaar zijn gemaakt, in strijd is met Richtlijn 2017/1132 en artikel 17 AVG. Bovendien oordeelt het Hof dat een handgeschreven handtekening een persoonsgegeven is in de zin van de AVG. Tot slot bevestigt het Hof dat zelfs een kortstondig verlies van controle over persoonsgegevens immateriële schade kan opleveren in de zin van artikel 82 lid 1 AVG.

IT 4678

Kwijtschelding studieschuld bij identiteitsfraude DigiD

Rechtbank Oost-Brabant 6 nov 2024, IT 4678; ECLI:NL:RBOBR:2024:5232 (eiseres tegen de minister), https://www.itenrecht.nl/artikelen/kwijtschelding-studieschuld-bij-identiteitsfraude-digid

Rb. Oost-Brabant 6 november 2024, IT 4678; ECLI:NL:RBOBR:2024:5232 (eiseres tegen de minister) Op naam van eiseres is met haar DigiD-inloggegevens studiefinanciering aangevraagd. Dit bleek nadien onderdeel van identiteitsfraude bij in totaal 48 personen waarvoor uiteindelijk twee verdachten strafrechtelijk zijn veroordeeld. De minister van OC&W weigert kwijtschelding van de op naam van eiseres ontstane studieschuld van € 12.507,78 omdat de fraude in de risicosfeer van eiseres zou liggen. De rechtbank oordeelt dat de minister onzorgvuldig heeft gehandeld door studiefinanciering toe te kennen zonder een bewijs van inschrijving van een onderwijsinstelling. Daarnaast is vastgesteld dat eiseres slachtoffer was van identiteitsfraude en dat zij haar DigiD-gegevens niet vrijwillig heeft gedeeld met de fraudeurs. De rechtbank concludeert dat het niet kwijtschelden van de schuld zou leiden tot een onbillijkheid van overwegende aard en dat de minister in redelijkheid niet anders had kunnen besluiten dan tot kwijtschelding over te gaan. Daarom wordt de minister opgedragen de studieschuld van eiseres volledig kwijt te schelden.

IT 4677

Toewijzing van identificerende gegevens en schorsing van Binance-account na beleggingsfraude

Rechtbank Den Haag 7 nov 2024, IT 4677; ECLI:NL:RBDHA:2024:18170 (eiseres tegen Binance), https://www.itenrecht.nl/artikelen/toewijzing-van-identificerende-gegevens-en-schorsing-van-binance-account-na-beleggingsfraude

Rb. Den Haag 7 november 2024, IT 4677, ECLI:NL:RBDHA:2024:18170 (eiseres tegen Binance) Eiseres heeft aangifte gedaan van beleggingsfraude en oplichting nadat zij in de zomer van 2024 via een datingplatform was overgehaald om te beleggen in cryptovaluta. Zij heeft in totaal € 186.000,- ingelegd, welke cryptovaluta uiteindelijk op een oplichtersplatform terechtkwamen en vervolgens werden overgemaakt naar een gebruikersaccount bij Binance. DataExpert B.V. heeft vastgesteld dat een deel van deze cryptovaluta op een specifiek Binance-account terecht is gekomen. De voorzieningenrechter oordeelt dat de eiseres rechtmatig belang heeft bij het verkrijgen van de identificerende gegevens van de klant van Binance, op wiens naam het gebruikersaccount staat. De vordering van eiseres om deze gegevens te verkrijgen wordt toegewezen op grond van artikel 843a Rv, omdat de bescheiden betrekking hebben op een rechtsbetrekking waarbij de eiseres partij is. Daarnaast wordt het gebruikersaccount geschorst om te voorkomen dat de cryptovaluta zouden worden weggesluisd voordat een bodemvonnis is verkregen. De voorzieningenrechter acht het belang van eiseres om de fraudeur in rechte te kunnen betrekken zwaarder dan de privacybelangen van de klant van Binance.

IT 4673

Autobedrijf moet passendheid e-mailbeveiliging aantonen na frauduleuze betaalinstructie door hacking

Gerechtshof Arnhem-Leeuwarden 5 nov 2024, IT 4673; ECLI:NL:GHARL:2024:6812 (appellant tegen geïntimeerde), https://www.itenrecht.nl/artikelen/autobedrijf-moet-passendheid-e-mailbeveiliging-aantonen-na-frauduleuze-betaalinstructie-door-hacking

Hof Arnhem-Leeuwarden 5 november 2024, IT 4673; ECLI:NL:GHARL:2024:6812 (appellant tegen geïntimeerde) De koper van een auto had een bedrag overgemaakt naar een Duits bankrekeningnummer op basis van een betaalinstructie die hij ontving via het e-mailadres van het autobedrijf, de verkoper. Later bleek dat een hacker toegang had gekregen tot het e-mailaccount van het autobedrijf en de valse betaalinstructie had verstuurd. De koper vorderde schadevergoeding op grond van artikel 82 AVG, stellende dat het autobedrijf onvoldoende beveiligingsmaatregelen had getroffen.

IT 4669

Rabobank moet BKR-registratie verwijderen

Rechtbank Amsterdam 23 sep 2024, IT 4669; ECLI:NL:RBAMS:2024:5899 (Eiseres tegen Rabobank), https://www.itenrecht.nl/artikelen/rabobank-moet-bkr-registratie-verwijderen

Vzr. Rb. Amsterdam 23 september 2024, IT 4669; ECLI:NL:RBAMS:2024:5899 (Eiseres tegen Rabobank). In het CKI van het BKR staat een krediet van Rabobank met een achterstandscodering en een bijzonderheidscodering op naam van eiseres. Ze heeft inmiddels de volledige openstaande vordering betaald en heeft samen met haar partner een koopovereenkomst voor een huis getekend. Daarnaast weet ze sinds kort dat ze zwanger is. Op grond van artikel 21 lid 1 AVG heeft eiseres vanwege haar specifieke situatie bezwaar gemaakt bij Rabobank tegen de verwerking van haar persoonsgegevens. Rabobank heeft het bezwaar afgewezen. Eiseres vordert in dit kort geding de verwijdering van de registratie, op straffe van dwangsommen. Eiseres stelt dat ze niet wist van de betalingsachterstand, omdat haar moeder haar rekening heeft gebruikt, de kredietlimiet heeft verhoogd, contact onderhield met de bank en deurwaarder en in haar naam een betalingsregeling heeft getroffen met de deurwaarder. De voorzieningenrechter gaat hierin mee en wijst de vordering van eiseres toe. Omdat Rabobank de registratie de volgende dag verwijdert, acht de voorzieningenrechter een dwangsom niet nodig.

IT 4666

AP moet boetebedrag onleesbaar maken

Rechtbank Den Haag 31 mei 2024, IT 4666; ECLI:NL:RBDHA:2024:17249 (eiseres tegen de AP), https://www.itenrecht.nl/artikelen/ap-moet-boetebedrag-onleesbaar-maken

Rb. Den Haag 31 mei 2024, IT4666; ECLI:NL:RBDHA:2024:17249 (eiseres tegen de AP) De AP heeft eiseres een boete opgelegd omdat zij de AVG heeft overtreden. De AP wilde het handhavingsbesluit, inclusief het boetebedrag, openbaar maken aan de twee klagers die de zaak bij de AP hadden aangekaart. Eiseres vordert de voorzieningenrechter de AP te gebieden het boetebedrag onleesbaar te maken. De voorzieningenrechter oordeelt dat de klagers weliswaar als belanghebbenden moesten worden gezien, maar dat dit niet betekent dat ze het volledige handhavingsbesluit, inclusief het boetebedrag, mochten inzien. Het belang om de hoogte van de boete geheim te houden weegt zwaarder dan het belang van de klagers om de hoogte te weten. De rechter baseert de beslissing op het feit dat de boete aanzienlijk hoog was en openbaarmaking ervan de reputatie en bedrijfsvoering van het bedrijf kan schaden. De AP moet het boetebedrag en de berekening daarvan onleesbaar te maken voor de klagers. 

IT 4658

HvJ EU: Patērētāju tiesību aizsardzības centrs

HvJ EU 4 okt 2024, IT 4658; ECLI:EU:C:2024:854 (Patērētāju tiesību aizsardzības centrs), https://www.itenrecht.nl/artikelen/hvj-eu-pateretaju-tiesibu-aizsardzibas-centrs

HvJ EU 4 oktober 2024, IT 4658; ECLI:EU:C:2024:854 (Patērētāju tiesību aizsardzības centrs) In Letland heeft een journalist een zaak aangespannen tegen de autoriteit PTAC vanwege een video die zonder zijn toestemming werd verspreid en zijn imago beschadigde, waarbij hij compensatie voor immateriële schade eiste. De zaak is voorgelegd aan het Hof van Justitie van de EU om verduidelijking te krijgen over art. 82 AVG. Het Hof benadrukt dat een inbreuk op de AVG op zichzelf niet voldoende is om te kunnen spreken van schade in de zin van art. 82 AVG, zie [IT 4477]. Verder oordeelt het Hof dat het aanbieden van excuses een passende vergoeding voor immateriële schade in de zin van art. 82 AVG kan vormen, met name wanneer het onmogelijk is om de toestand te herstellen, mits de geleden schade op die manier volledig wordt vergoed. Tot slot mag met betrekking tot de hoogte van de te vergoeden schade op grond van art. 82 AVG, alleen rekening worden gehouden met de daadwerkelijk geleden schade. Er mag dus geen rekening worden gehouden met de houding en beweegredenen van de verwerkingsverantwoordelijke om de betrokkene een lagere vergoeding toe te kennen dan de schade die hij daadwerkelijk heeft geleden.

IT 4653

HvJ EU: Schrems/Meta

HvJ EU 4 okt 2024, IT 4653; ECLI:EU:C:2024:834 (Schrems/Meta), https://www.itenrecht.nl/artikelen/hvj-eu-schrems-meta

HvJ EU 4 oktober 2024, IT 4653; ECLI:EU:C:2024:834 (Schrems/Meta) Het Hof van Justitie van de Europese Unie heeft zich in een zaak over de verwerking van persoonsgegevens door Meta uitgelaten over de interpretatie van artikel 5 lid 1 onder c en artikel 9 lid 2 onder e AVG. Maximillian Schrems maakte bezwaar tegen de manier waarop Meta zijn gegevens verzamelde en gebruikte voor gepersonaliseerde reclame. Het Hof benadrukt dat het beginsel van minimale gegevensverwerking een uitdrukking is van het evenredigheidsbeginsel. In de zaak van Schrems verzamelde Meta een grote hoeveelheid persoonsgegevens over zijn activiteiten op en buiten Facebook, zonder onderscheid naar de aard van die gegevens en zonder tijdslimiet. Het Hof oordeelde dat deze omvangrijke en ingrijpende verwerking van gegevens in strijd is met het beginsel van minimale gegevensverwerking. De inmenging in de grondrechten van Schrems, met name zijn recht op privacy en gegevensbescherming, was onevenredig in verhouding tot het doel van gepersonaliseerde reclame.

IT 4647

Bedrijfsgegevens vallen niet onder AVG; KvK schendt zorgplicht door niet verder te helpen

Rechtbank 9 okt 2024, IT 4647; ECLI:NL:RBMNE:2024:5787 (De Waarden c.s. tegen Google en KvK), https://www.itenrecht.nl/artikelen/bedrijfsgegevens-vallen-niet-onder-avg-kvk-schendt-zorgplicht-door-niet-verder-te-helpen

Rb. Midden-Nederland 9 oktober 2024, IT 4647; ECLI:NL:RBMNE:2024:5787 (De Waarden c.s. tegen Google en KvK). De aanleiding van betreffende zaak was de verspreiding van een anoniem document via een Gmail-account, waarin de eisers werden beschuldigd van ernstige misstanden, waaronder machtsmisbruik, belangenverstrengeling, corruptie, en zelfs fraude met subsidies. Dit document bevatte bovendien privégegevens van betrokkenen en hun families en werd breed verspreid binnen de kraamzorgbranche, de media, en de politiek. De Waarden c.s. zagen dit als een ernstige aantasting van hun reputatie en wilden de identiteit achterhalen van de persoon of personen die verantwoordelijk waren voor deze verspreiding. Hun verzoek begon bij Google, van wie zij eisten informatie over de eigenaar van het anonieme Gmail-account te verstrekken. Google gaf echter aan dat de gebruiker het account kort na de verspreiding van het document had verwijderd, waarna het technisch onmogelijk bleek om de gegevens te herstellen. Google ondersteunde deze stelling met documentatie, en de rechter achtte deze informatie overtuigend. Omdat Google geen gegevens meer bezat, wees de rechtbank de vordering tegen Google af. De aandacht van de eisers richtte zich daarna op de KvK. Het anonieme document bevatte namelijk KvK-uittreksels waarop tijdstippen waren zichtbaar gebleven, wat de KvK in staat stelde om het verzoeker-account te traceren. De KvK ontdekte dat de uittreksels waren opgevraagd door een groot, anoniem bedrijf. Hoewel de eisers toegang wilden tot de naam van dit bedrijf om zo mogelijk de identiteit van de anonieme verspreider te achterhalen, weigerde de KvK mee te werken, met als reden dat zij geen internetdienstaanbieder waren zoals in de bekende Lycos/Pessers-zaak, en dus niet verplicht waren gegevens te verstrekken.

IT 4648

Registratie persoonsgegevens door ING dient gerechtvaardigd belang

Rechtbank Amsterdam 18 sep 2024, IT 4648; ECLI:NL:RBAMS:2024:5791 (Eisers tegen ING Bank), https://www.itenrecht.nl/artikelen/registratie-persoonsgegevens-door-ing-dient-gerechtvaardigd-belang

Rb. Amsterdam 18 september 2024, IT 4648; ECLI:NL:RBAMS:2024:5791 (Eisers tegen ING Bank). Eisers exploiteren een webshop in onder andere research chemicals. Ze hebben hun rekeningen bij ING. De ING heeft haar relaties met eisers wat betreft alle zakelijke rekeningen opgezegd vanwege de handel in research chemicals, zoals 3-CMC en 2F-Ketamine en het vermoeden dat deze middelen niet voor onderzoeksdoeleinden worden verkocht, maar voor consumptie aan consumenten als partydrugs. Bij opzegging heeft de ING de persoonsgegevens van eisers geregistreerd in haar gebeurtenissenadministratie en Interne Verwijzingsregister (IVR). Eisers vorderen dat de rechtbank verklaart dat beëindiging van de bankrelaties onaanvaardbaar is en dat de bank onrechtmatig jegens hen heeft gehandeld. Daarnaast vorderen ze dat de gegevens van eisers binnen maximaal twee dagen na het vonnis moeten worden verwijderd uit het IVR.