Graag leiden wij u met dit overzicht door 2 jaar AVG. Ten behoeve van de leesbaarheid en het overzicht hebben wij een aantal keuzes gemaakt uit alle ontwikkelingen. Daarnaast hebben wij getracht een en ander op leesbare wijze aan u te presenteren, waardoor het kan zijn dat enige nuance of toelichting is weggevallen. Neemt u daarom gerust contact met ons op als u meer wilt weten of als u een nadere toelichting wilt. U kunt voor meer informatie ook doorklikken op de links.

Een schematisch overzicht van de belangrijke ontwikkelingen:

RECHTSPRAAK

Gedurende de twee jaar dat de AVG van toepassing is, zijn de nodige uitspraken gedaan. Een selectie van interessante rechtspraak die is verschenen op het gebied van privacy:

Begrip Persoonsgegevens

Wat valt er onder het begrip ‘(bijzondere en/of strafrechtelijke) persoonsgegevens’? Daar zijn een aantal uitspraken over gedaan. Zo werd de stem van een persoon aangemerkt als een biometrisch persoonsgegeven dat herleidbaar is tot de betrokken persoon. (Rechtbank Midden-Nederland d.d. 9 januari 2020) Het gebruik van stemfragmenten in een theatershow is dan ook een verwerking van (bijzondere) persoonsgegevens.

Ook examens van leerlingen, inclusief de door examinatoren bijgeschreven opmerkingen, zijn aan te merken als ‘persoonsgegevens’. Dat volgt uit een uitspraak van de rechtbank Den Haag van 2 mei 2019 in het kader van een verzoek van de betreffende student tot inzage in zijn examens. Lees hierover ook ons nieuwsbericht.

Bij zoekopdrachten via een internetzoekmachine op de volledige naam van een persoon is er uiteraard sprake van verwerking van persoonsgegevens. Daarnaast zijn ook zoekopdrachten op de naam van een persoon in combinatie met een bepaalde zoekterm, zoals ‘tuchtrecht’, aan te merken als persoonsgegevensverwerkingen. (Rechtbank Amsterdam van 23 december 2019)

Is informatie over de vraag of een werknemer mogelijk aanspraak maakt op ziekengeld op grond van de Ziektewet, vanwege de toepasselijkheid van een no-riskpolis regeling, aan te merken als een gezondheidsgegeven? De rechtbank Midden-Nederland oordeelde op 5 november 2019 van niet. De toepasselijkheid van een no-riskpolis regeling zegt namelijk op zichzelf niets over de fysieke of mentale gezondheidstoestand van de werknemer. Dit is wel een ‘normaal’ persoonsgegeven.

Kwalificatie

Bijzonder is de uitspraak van de rechtbank Noord-Nederland van 20 december 2018. Daarin merkte de rechtbank zichzelf aan als een zogenaamde verwerker van de procederende partijen. De procederende partijen zouden dan de verwerkingsverantwoordelijken zijn. De rechtbank overwoog in dat kader dat het, gezien de dataminimalisatieplicht, noodzakelijk is om de zaak op te splitsen in 21 afzonderlijke zaken. Zodoende zou de privacy van de afzonderlijke belanghebbenden in deze zaak kunnen worden gewaarborgd. De kwalificatie door de rechtbank is hoogst opmerkelijk en lijkt ons niet juist.

Rechtmatigheid van de verwerking

Daarnaast zijn er vele uitspraken verschenen over de vraag of een bepaalde verwerking van persoonsgegevens rechtmatig is.

No-riskpolis

In dat kader heeft de rechtbank Midden-Nederland op 5 november 2019 geoordeeld over de vraag of het informeren bij een werknemer naar de toepasselijkheid van een no-riskpolis regeling rechtmatig is. Een werkgever kan op grond van de Ziektewet – met uitzondering van de eerste twee maanden van het dienstverband – bij een werknemer informeren naar de toepasselijkheid van een no-riskpolis regeling. Het is daarom niet in strijd met de AVG dat een werkgever daarnaar bij een werknemer informeert.

SyRI

De rechtbank Den Haag oordeelde op 5 februari 2020 dat de Nederlandse SyRI-wetgeving in strijd is met het Europees Verdrag voor de Rechten van de Mens (EVRM). SyRI (Systeem Risico Indicatie) is een wettelijk instrument dat de Nederlandse overheid gebruikte voor de bestrijding van fraude op bijvoorbeeld het terrein van uitkeringen, toeslagen en belastingen. De overheid koppelde daarmee allerlei gegevens van burgers aan elkaar om fraudegevallen op te sporen. Er worden diverse persoonsgegevens verwerkt. De overheid kreeg van de rechter een tik over de neus en staakte het gebruik van SyRI. De rechter oordeelde namelijk dat gebruik van het systeem een te grote inbreuk op de privacy vormt.

Registraties Bureau Krediet Registratie

Verder zijn er diverse uitspraken verschenen waarin de rechtmatigheid van registraties in het Centraal Krediet Informatiesysteem (CKI) van het Bureau Krediet Registratie (BKR) wordt bevestigd. De verwerking van persoonsgegevens in het CKI berust namelijk op een wettelijke verplichting uit de Nederlandse Wet op het financieel toezicht.

Cookies

Het Europese Hof van Justitie heeft op 1 oktober 2019 het Planet49-arrest gewezen dat ging over het verkrijgen van toestemming van internetgebruikers voor het plaatsen van cookies. Voor het plaatsen van bepaalde cookies is toestemming vereist. In dat geval dient deze toestemming actief door de internetgebruikers te worden verstrekt. Bijvoorbeeld door actief een selectievakje aan te vinken. Een standaard vooraf aangevinkt selectievakje, dat de internetgebruiker moet uitvinken indien hij geen toestemming wil verlenen, is geen rechtsgeldige toestemming. Evenmin kunnen het stilzwijgen van de internetgebruiker of diens inactiviteit niet als toestemming gelden. Al met al weinig schokkend want ons inziens bleek deze lijn al duidelijk uit de bestaande wetgeving.

Gebruik vingerscan

Mag schoenenwinkel Manfield haar werknemers verplichten om een autorisatiesysteem te gebruiken voor het kassasysteem dat werkt op basis van een vingerscan? De rechtbank Amsterdam vond op 12 augustus 2019 van niet. Het verwerken van biometrische gegevens zoals vingerscans/vingerafdrukken – derhalve bijzondere persoonsgegevens – is in beginsel verboden op grond van de AVG. De verwerking van vingerscans/vingerafdrukken is slechts geoorloofd als bijvoorbeeld de betrokken werknemer daar toestemming voor geeft of als er wordt voldaan aan een andere uitzonderingsgrond uit de AVG. Schoenenwinkel Manfield kon zich in dit geval niet beroepen op een dergelijke uitzonderingsgrond.

Medische gegevens in gerechtelijke procedure

Het verbod om bijzondere persoonsgegevens – zoals medische gegevens – te verwerken geldt bijvoorbeeld niet als de verwerking noodzakelijk is voor de instelling, uitoefening of onderbouwing van een ‘rechtsvordering’. Volgens de rechtbank Rotterdam d.d. 10 april 2019 moet deze uitzonderingsgrond evenwel beperkt worden uitgelegd. Deze ziet slechts op gerechtelijke procedures. Medische gegevens kunnen dus niet met een beroep op deze uitzonderingsgrond worden verwerkt in de situatie waarin partijen bij een geschil met elkaar in onderhandeling zijn, zonder dat er een gerechtelijke procedure is opgestart, of om verweer te voeren tegen een aansprakelijkstelling.

Verwerking van persoonsgegevens via Google

Voor de vraag of de verwerking van persoonsgegevens in een zoekmachine (zoals Google) rechtmatig is, maakt de rechter een belangenafweging tussen het individuele recht op eerbiediging van het privéleven alsmede het individuele recht op bescherming van persoonsgegevens en het collectieve recht van vrijheid van informatie (o.a. Costeja-arrest van 13 mei 2014 en X/Google-arrest van 24 februari 2017). In dat kader zien we dat het individuele recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens in beginsel zwaarder weegt dan het recht van vrijheid van informatie. Dat is de lijn van het Europese Hof van Justitie en de Hoge Raad, zoals deze blijkt uit diverse uitspraken.

In een kwestie die op 23 december 2019 speelde voor de rechtbank Amsterdam was het tuchtrechtelijk verleden van een betrokkene via Google te vinden. Vanwege het zwaarwegende publieke belang bij toegang tot deze informatie over betrokkene oordeelde de rechter dat in dit geval inmenging in de persoonlijke levenssfeer van de betrokkene gerechtvaardigd was. Daarnaast was van doorslaggevend belang dat de betrokkene in casu een publiek figuur was. Daardoor heeft deze meer te dulden dan de gemiddelde burger. De persoonsgegevens mochten dus via Google getoond worden. In een andere kwestie viel de belangenafweging juist weer anders uit. Een koppeling naar een website met informatie over een voorwaardelijke tuchtrechtelijke veroordeling van een chirurg werd onrechtmatig geoordeeld. Google diende deze daarom te verwijderen (rechtbank Amsterdam, 19 juli 2018). Kortom, de rechtspraak over deze belangenafweging is heel casuïstisch.

Tv-opname

Dat het recht op vrijheid van meningsuiting vaker botst met het recht op privacy van de betrokkene blijkt tenslotte uit een kwestie bij de rechtbank Amsterdam van 12 april 2019. De betrokkene is door het televisieprogramma ‘Gestalkt’, zonder voorafgaande waarschuwing, geconfronteerd met een draaiende camera. De uitzending zou, zo meende hij, inbreuk maken op zijn privacy en eer en goede naam. De betrokkene vorderde daarom een verbod op de uitzending. De rechtbank oordeelde echter dat in dit geval het recht van vrijheid van meningsuiting zwaarder woog dan het recht op privacy. Daarnaast speelde een rol dat de betrokkene zo is ‘geblurred’ dat hij niet door een publiek van enige omvang zal worden herkend. Ook gaat de verwerking van persoonsgegevens niet verder dan noodzakelijk is voor het journalistieke doel van de uitzending.

Rechten van betrokkenen

Onder de AVG hebben individuen een aantal rechten. Deze rechten kwamen veelvuldig terug in de rechtspraak van de afgelopen 2 jaar.

Recht op inzage

Zo heeft het Hof Den Haag op 17 september 2019 geoordeeld dat het recht op inzage ook ziet op interne kerkelijke stukken (correspondentie tussen kerkenraadsleden, persoonlijke visies, etc.). Het inzagerecht kan niet zomaar op voorhand worden geblokkeerd omdat in de betreffende documenten sprake zou (kunnen) zijn van vertrouwelijke (interne) correspondentie, stukken waarin persoonlijke gedachten en/of adviezen zijn verwoord die zijn opgesteld met het oog op intern overleg en beraad, dan wel interne besluitvorming. Meer weten? Lees dan ons nieuwsbericht hierover.

Recht op kopie persoonsgegevens?

De rechtbank Den Haag heeft op 10 oktober 2019 een verzoek tot inzage, in het bijzonder afgifte van kopieën van e-mails, afgewezen. De AVG geeft slechts een recht op verstrekking van een kopie van de persoonsgegevens die worden verwerkt. Derhalve niet op een kopie van de documenten waarin de persoonsgegevens zijn verwerkt. De betrokkene heeft dus niet zonder meer recht op inzage in of kopieën van de gehele stukken of dossiers als daarin zijn persoonsgegevens voorkomen. Op grond van de Dexia-arresten van 29 juni 2007 van de Hoge Raad heeft de betrokkene echter wel recht op een (eventueel deels zwartgemaakte) kopie van de documenten, als het niet mogelijk is om de daarin opgenomen persoonsgegevens in een andersoortig overzicht aan de betrokkene te verstrekken.

Recht op vergetelheid; diverse verwijderingsverzoeken

Een betrokkene kan niet altijd en zonder meer een beroep doen op het recht van vergetelheid (ook wel verwijderingsverzoek). Dat bleek onder andere uit een zaak bij de rechtbank Midden-Nederland van 9 januari 2020. In een theatershow werd een fragment van Opsporing Verzocht getoond waarin de stem van een betrokkene te horen was. Het recht van vergetelheid is echter niet van toepassing op de verwerking van persoonsgegevens ten behoeve van artistieke uitdrukkingsvormen. Daarvan was sprake en daarom is het beroep op het recht van vergetelheid afgewezen.

Het Europese Hof van Justitie oordeelde op 24 september 2019 in het CNIL-arrest kort gezegd dat Google in beginsel verplicht is om aan een verzoek van de betrokkenen tot verwijdering van links naar bepaalde webpagina’s te voldoen. Dat zou anders kunnen zijn indien bijvoorbeeld het grondrecht op vrijheid van informatie in het specifieke geval voorrang zou hebben. Iedere exploitant van een internetzoekmachine dient daarom steeds na te gaan of het laten staan van een link noodzakelijk is voor het recht op vrijheid van informatie van de internetgebruikers en of dat zwaarder weegt dan het recht op privacy van de betrokkene. Hij is overigens niet verantwoordelijk voor de persoonsgegevens die op de website van een derde staan. De exploitant is slechts verantwoordelijk voor de indexatie van deze website en dat er een link naar die website wordt getoond in de lijst met zoekresultaten. De zoekmachine is daarom alleen verantwoordelijk voor het voldoen aan een verwijderingsverzoek voor zover het die indexering betreft. Wel dient de exploitant – in het geval hij de links moet verwijderen – die links te verwijderen voor alle lidstaat specifieke versies van zijn zoekmachine en maatregelen te treffen om de effectieve bescherming van de privacy van de betrokkene te garanderen.

Het Hof Den Haag heeft op 24 december 2019 een beroep op het recht op vergetelheid afgewezen. De betrokkene had verzocht om verwijdering van 36 links naar websites, waarop onder meer wordt vermeld dat hij een “huisjesmelker” is en dat hij strafrechtelijk is veroordeeld. In dit geval vond het Hof dat de informatie die is gepubliceerd over de betrokkene – met het oog op de actuele discussie in het maatschappelijk en politiek debat over misstanden met huisjesmelkers in de huursector – relevant is en zonder meer onder het recht op de vrijheid van informatie valt van de internetgebruikers die mogelijk geïnteresseerd zijn in toegang tot deze website via een dergelijke zoekopdracht. Daarmee is de uitzondering met betrekking het recht op vrijheid van informatie van toepassing, zodat een beroep op het recht op vergetelheid niet opgaat. De rechtbank Noord-Nederland maakte op 12 december 2019 eveneens een belangenafweging tussen enerzijds het recht op privacy van de betrokkene en anderzijds het recht op informatie van de internetgebruikers en de vrijheid van meningsuiting van degene van wie de informatie afkomstig is. Hier werden zoekresultaten getoond van een betrokkene die was veroordeeld tot een gevangenisstraf en TBS. Ook in die kwestie werd een verzoek tot verwijdering van zoekresultaten afgewezen.

Schadevergoeding

In 2019 werd de eerste schadevergoeding op grond van de AVG toegekend. De rechtbank Overijssel veroordeelde op 28 mei 2019 de gemeente Deventer tot het betalen van een schadevergoeding van € 500,- voor het overtreden van de AVG. De gemeente had zonder rechtvaardiging persoonsgegevens van de betrokkene gedeeld met andere gemeenten. Dit leverde volgens de rechtbank dan ook een privacyschending op. Wij schreven hierover in onze nieuwsbrief. Overigens heeft de Raad van State op 1 april 2020 deze uitspraak van de rechtbank vernietigd. Alhoewel er wel sprake was van een privacyinbreuk, heeft de betrokkene volgens de Raad van State niet aannemelijk gemaakt dat hij schade heeft opgelopen door de privacyinbreuk. De gemeente hoefde uiteindelijk dus toch niet te betalen.

De Raad van State heeft op 1 april 2020 in een aantal uitspraken (gemeente Borsele, Minister voor de Rechtsbescherming, gemeente Harderwijk en de hiervoor genoemde uitspraak over de gemeente Deventer) bepaald dat niet iedere inbreuk op de AVG zonder meer recht geeft op schadevergoeding. Gestelde schade moet – logischerwijs – worden onderbouwd; ook als er sprake is van immateriële schade wegens schending van de AVG. Een schending van de AVG betekent dus niet per definitie dat deze tot (immateriële) schade en daarmee tot schadevergoeding leidt. De geleden (en of nog te lijden) schade moet met concrete gegevens deugdelijk worden onderbouwd. Wanneer er bijzondere persoonsgegevens in het spel zijn of indien de privacyinbreuk langdurig of grootschalig is, zal in de regel eerder een aanspraak op schadevergoeding worden aangenomen.

TOEZICHTHOUDERS

Autoriteit Persoonsgegevens

De Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (AP), heeft ook flink van zich laten horen in de afgelopen twee jaren.

Privacyklachten en datalekmeldingen

Mensen weten de weg naar de AP goed te vinden. Ruim 27.800 mensen dienden in 2019 een privacyklacht in vanwege een mogelijke privacy-schending. Een stijging van bijna 79 procent ten opzichte van 2018. De capaciteit van de AP om deze burgers snel te kunnen helpen blijft echter – ondanks getroffen maatregelen om klachten sneller af te handelen – onvoldoende.

Daarnaast ontving de AP in 2019 bijna 27.000 datalekmeldingen. Dat is een stijging van 29% ten opzichte van 2018. Sinds de invoering van de meldplicht datalekken in 2016 blijft het aantal meldingen stijgen. De meeste datalekken zijn gemeld vanuit de financiële sector (30%), de zorgsector (28%) en de sector openbaar bestuur (17%). Dit zijn ook de sectoren waarvan de AP in voorgaande jaren het grootste aantal datalekmeldingen ontving.

Boetes

Op het gebied van handhaving heeft de AP de nodige boetes opgelegd. Zo heeft de AP eind 2019 aan de Nederlandse Tennisbond (KNLTB) een boete opgelegd van € 525.000,-- voor het (door)verkopen van persoonsgegevens van haar leden. De KNLTB verstrekte deze persoonsgegevens tegen betaling aan sponsoren, zodat zij individuele KNLTB-leden konden benaderen met aanbiedingen. De AP heeft geoordeeld dat dit onrechtmatig was.

Het HagaZiekenhuis heeft op 18 juni 2019 een boete van € 460.000,-- gekregen wegens het niet op orde hebben van de interne beveiliging van patiëntendossiers. Het bleek dat tientallen medewerkers van het ziekenhuis onnodig inzage hadden in het medisch dossier van een bekende Nederlander. Tevens werd een dwangsom opgelegd om het ziekenhuis ertoe te bewegen de beveiliging van patiëntendossiers te verbeteren. Wij schreven hierover ook een blog.

Daarnaast heeft de AP op 4 december 2019 aan een bedrijf een boete van € 725.000,-- opgelegd wegens overtreding van het verbodsbeginsel om bijzondere persoonsgegevens te verwerken. De medewerkers van deze partij dienden hun vingerafdrukken te laten scannen voor een aanwezigheids- en tijdsregistratie. Daarmee werden er biometrische gegevens (vingerafdrukken) van deze medewerkers verwerkt. Deze partij kon daarvoor geen beroep doen op een uitzonderingsgrond voor deze verwerking van bijzondere persoonsgegevens. Overigens heeft de AP dit boetebesluit geanonimiseerd gepubliceerd. Dit bedrijf heeft namelijk via de rechtbank Limburg op 4 maart 2020 haar anonimiteit afgedwongen totdat de rechtmatigheid van dit boetebesluit definitief vast staat. Dit bedrijf is namelijk hiertegen in bezwaar gegaan en gaat daarna mogelijk ook nog in beroep bij de rechter.

Ook Uber heeft een boete gekregen. Uber kreeg op 6 november 2018 een boete van € 600.000,-- voor het overtreden van de meldplicht datalekken. Uber had een datalek niet op tijd – binnen 72 uur – aan de AP gemeld. Ook de betrokkenen waren hierover niet tijdig geïnformeerd. Sterker nog, Uber had zelfs geprobeerd om dit datalek te verzwijgen, hetgeen leidde tot ophoging van de boete. Wilt u hier meer informatie over? Lees dan onze blog.

De AP heeft op 14 maart 2019 nieuwe boetebeleidsregels gepubliceerd. Deze beleidsregels geven inzicht in de manier waarop de AP de hoogte van een boete berekent. De hoogte van een boete verschilt per type overtreding. Bovendien speelt de ernst, omvang en duur van de overtreding mee, net als de vraag of er sprake is van opzet of herhaling van eerder gemaakte fouten.

Dwangsommen

Naast boetes heeft de AP ook een aantal keren een dwangsom opgelegd. Waar boetes vooral een bestraffend karakter hebben, zijn dwangsommen bedoeld om de overtreder ertoe te bewegen om een overtreding te beëindigen. De overtreding dient binnen een door de AP vastgestelde termijn te worden beëindigd. Lukt dat niet, dan dient de overtreder vanaf dat moment dwangsommen te betalen totdat de overtreding is beëindigd.

Zo stelde de AP vast dat de werkwijze van zorgverzekeraar CZ bij machtingsaanvragen in strijd was met de privacywet. CZ had in een aantal gevallen meer medische gegevens verwerkt dan strikt noodzakelijk was voor de beoordeling van machtigingsaanvragen. De AP heeft CZ hiervoor op 14 februari 2020 een dwangsom opgelegd om deze overtreding binnen een bepaalde termijn te beëindigen.

Ook aan de zorgverzekeraars Menzis en VGZ heeft de AP een dwangsom opgelegd vanwege onzorgvuldigheid bij het verwerken van medische gegevens. Menzis heeft niet tijdig aan de aanwijzingen van de AP voldaan, zodat de AP deze eerder opgelegde last onder dwangsom van € 50.000,-- daadwerkelijk heeft geïnd. Inmiddels hebben beide zorgverzekeraars hun werkwijze aangepast.

Verder heeft de AP op 31 juli 2018 aan het UWV een dwangsom opgelegd van € 150.000,-- per maand, met een maximum van € 900.000,--. Het UWV had namelijk het beveiligingsniveau van het werkgeversportaal niet op orde. Het UWV kreeg van de AP in eerste instantie tot 31 oktober 2019 de tijd om een adequaat en afdoende beveiligingsniveau te bewerkstelligen. Later heeft de AP het UWV hiervoor uitstel verleend tot 1 maart 2020. Onbekend is of het UWV deze overtreding inmiddels heeft beëindigd.

Op 9 augustus 2018 maakte de AP bekend dat zij een dwangsom van € 48.000,-- heeft ingevorderd bij Theodoor Gillissen Bankiers (TGB). TGB heeft in eerste instantie geen gehoor gegeven aan een inzageverzoek van een klant. Dat is in strijd met de AVG. Hiervoor heeft de AP een dwangsom opgelegd. De bank had vervolgens echter niet binnen de gestelde termijn aan het inzageverzoek voldaan, zodat de dwangsom werd ingevorderd.

Overige handhaving

De handhaving door de AP geschiedt ook op andere manieren. De AP heeft bijvoorbeeld op 19 november 2019 de ‘Alliantie kwaliteit in de geestelijke gezondheidszorg’ (Akwa GGZ) berispt voor het verwerken van gezondheidsgegevens. Akwa GGZ heeft sinds begin 2019 een set met onvoldoende geanonimiseerde gezondheidsgegevens overgenomen van Stichting Benchmark GGZ (SBG). Daarmee heeft Akwa GGZ gezondheidsgegevens verwerkt zonder dat zij daarvoor een goede reden had.

In 2019 heeft de AP onder meer een onderzoek gedaan naar de verwerking van bijzondere persoonsgegevens, zoals de nationaliteit, bij de afdeling Datafundamenten & Analytics van de Belastingdienst. Dit onderzoek is gestart na een uitzending van Zembla in februari 2017. Na vervolgonderzoek constateerde de AP dat de Belastingdienst voldoende verbetermaatregelen heeft getroffen om de informatie te beveiligen. De AP heeft het onderzoek daarom inmiddels gesloten. Overigens is er in de eerste maanden van 2020 het nodige te doen geweest over het door de Belastingdienst bijhouden van een geheime zwarte lijst over ‘vermoedens’ of ‘signalen’ van fraude. Op dit moment is nog niet bekend of de AP daar nog onderzoek naar gaat doen.

Verder heeft de AP op 4 december 2018 de Belastingdienst verboden om het Burgerservicenummer (BSN) in het btw-identificatienummer van zelfstandigen te gebruiken. Dit verbod is afgelopen januari 2020 ingegaan en sindsdien werken ZZP’ers met nieuwe BTW nummers.

Voorlichting en uitleg

De AP heeft niet alleen een handhavende, maar ook een voorlichtende taak.

Persoonsgegevens in faillissement

Op 6 januari 2020 heeft zij het juridisch kader voor de verwerking van persoonsgegevens door curatoren uiteengezet in een brief aan de Vereniging voor Insolventierecht Advocaten (INSOLAD). In deze brief gaat de AP onder andere in op vragen als wat een curator wel en niet mag met de persoonsgegevens van een failliete onderneming.

Cookiewalls

Op 7 maart 2019 heeft de AP uitleg gegeven over het gebruik van cookiewalls. Volgens de AP kan bij zogenaamde ‘cookiewalls’ de toestemming niet vrijelijk gegeven worden, aangezien websitebezoekers zonder hun toestemming geen toegang tot de website krijgen. Dat is volgens de AP geen rechtsgeldige toestemming. De AP kondigde aan dat zij de controle zal intensiveren om te bezien of de norm, in het belang van de bescherming van de privacy, op de juiste wijze wordt toegepast. Onder juristen is er veel beroering ontstaan over deze opvatting van de AP, zo ook bij ons kantoor. Wij menen dat de AP de wet hier wel erg strikt interpreteert, terwijl voor de tegenstelde opvatting ook de nodige juridische aanknopingspunten aanwezig zijn.

Gerechtvaardigd belang

Daarnaast heeft de AP een nadere uitleg gegeven over de verwerkingsgrondslag ‘gerechtvaardigd belang’. Deze normuitleg leidt echter eerder tot verwarring dan dat er duidelijkheid wordt geschept. In de praktijk is hier dan ook de nodige kritiek op. Lees hier meer over in ons nieuwsbericht.

Gebruik van betaalgegevens klanten

Banken mogen hun klanten niet zomaar gepersonaliseerde aanbiedingen sturen op basis van hun betaalgegevens. Naar aanleiding van de nodige onrust over het gebruik van betaalgegevens door banken voor reclamedoeleinden, heeft de AP op 1 juli 2019 een brief gestuurd naar de Nederlandse Vereniging van Banken (NVB). In deze brief licht de AP de spelregels voor banken toe als zij de betaalgegevens van hun klanten voor andere doeleinden willen gebruiken, dan oorspronkelijk de bedoeling was toen de klant een rekening opende.

AVG-certificaten

Verder hebben eind 2019 de AP en de Raad voor Accreditatie (RvA) een informatieprotocol ondertekend. Zij gaan samen zorgen voor de goedkeuring van AVG-certificaten. Met een AVG-certificaat kan men aantonen dat men persoonsgegevens volgens de regels van de AVG verwerkt.

Gedragscode ICT

Nederland ICT (inmiddels: NLDigital) heeft een gedragscode – de Data Pro Code – opgesteld waar verwerkers in de ICT-sector zich bij kunnen aansluiten. Met deze gedragscode wordt het werken met de AVG gemakkelijker voor ondernemingen in de ICT-sector die optreden als verwerker van persoonsgegevens. Deze Data Pro Code ligt nog ter goedkeuring voor bij de AP. De AP is voornemens om deze Data Pro Code goed te keuren, maar een definitief besluit is daar tot nu toe nog niet over genomen.

Data Protection Impact Assessment

Tot slot is vermeldenswaardig dat de AP op 27 november 2019 een definitieve lijst heeft vastgesteld van verwerkingen van persoonsgegevens waarvoor een data protection impact assessment (DPIA) nodig is. Deze lijst is afgestemd met de andere privacytoezichthouders in de Europese Unie. De DPIA is een werkwijze om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen en vervolgens, door het nemen van maatregelen, deze risico’s te verkleinen. Dit is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Door deze lijst is het in de praktijk duidelijker geworden in welke gevallen wel of niet zo’n DPIA nodig is.

European Data Protection Board

De European Data Protection Board (EDPB) is de Europese privacytoezichthouder. Binnen de EDPB werken alle nationale privacytoezichthouders – waaronder de Nederlandse toezichthouder: de Autoriteit Persoonsgegevens – uit de Europese lidstaten samen.

Richtsnoeren

De EDPB heeft in de afgelopen twee jaar diverse documenten gepubliceerd waarin zij een nadere uitleg geeft van de diverse begrippen en verplichtingen uit de AVG. Ook heeft zij diverse concept documenten ter consultatie neergelegd. Bij een consultatie kan iedereen reageren op deze concepten en worden deze mogelijk naar aanleiding van deze reacties aangepast.

Verwerking met videoapparatuur

Zo heeft de EDPB op 29 januari 2020 een document inzake de verwerking van persoonsgegevens door middel van videoapparatuur gepubliceerd. De EDPB geeft daarin richtlijnen over hoe moet worden omgegaan met het verwerken van persoonsgegevens door middel van videoapparatuur. Op beeld kunnen immers ook persoonsgegevens worden vastgelegd, denk aan herkenbare personen, maar ook de etniciteit, huidskleur, geloof, gezondheidsproblematiek, etc. is mogelijk te herkennen.

Export persoonsgegevens en “connected” auto’s

Daarnaast heeft de EDPB op 18 januari 2020 een conceptleidraad, voor de doorgifte van persoonsgegevens naar overheidsorganen of internationale instanties in landen buiten de Europees Economische Ruimte, ter consultatie neergelegd. Ook de leidraad van 28 januari 2020 inzake de verwerking van persoonsgegevens door “connected” auto’s en andere aan mobiliteit gerelateerde toepassingen is ter consultatie neergelegd. Denk aan slimme auto’s die grote hoeveelheden gegevens verzamelen over de bestuurder, inzittenden, maar ook over bijvoorbeeld de instellingen, voorkeuren, locatie en rijgedrag en overtreding van verkeersregels. Op deze consultaties kon tot 18 respectievelijk 4 mei 2020 worden gereageerd.

Recht van vergetelheid en ‘privacy by design/default’

Van een tweetal andere conceptdocumenten zijn de consultaties inmiddels gesloten. Allereerst ten aanzien van het recht van vergetelheid met betrekking tot zoekmachines d.d. 2 december 2019. De EDPB geeft in dit concept richtlijnen over de omgang met het recht op vergetelheid (ook wel verwijdering van persoonsgegevens) ten aanzien van zoekmachines. Het tweede conceptdocument d.d. 13 november 2019 bevat een nadere toelichting van de beginselen privacy by design en privacy by default. ‘Privacy by design’ houdt in dat bij het ontwerpen van producten en diensten al rekening moet worden gehouden met privacybescherming. ‘Privacy by default’ betekent dat de standaardinstellingen zo privacyvriendelijk mogelijk moeten zijn. De EDPB heeft van deze conceptdocumenten echter nog geen definitieve versies vastgesteld.

Toepasselijkheid AVG

Op 12 november 2019 heeft de EDPB een uitleg gepubliceerd over de territoriale werkingssfeer van de AVG. Daarin wordt toegelicht in welke situaties de AVG van toepassing is. Wist u dat AVG ook van toepassing kan zijn als de verwerkingsverantwoordelijke of verwerker niet binnen de Europees Economische Ruimte gevestigd is? Bijvoorbeeld wanneer zij persoonsgegevens van Europese burgers verwerken.

Uitvoering overeenkomst online diensten

De EDPB heeft verder op 8 oktober 2019 een leidraad gepubliceerd over de verwerking van persoonsgegevens, gebaseerd op de verwerkingsgrondslag ‘uitvoering van een overeenkomst’ in de context van online diensten. In deze leidraad licht de EDPB onder meer nader toe wanneer het noodzakelijk is om bepaalde persoonsgegevens te verwerken om een online dienst te kunnen verlenen. Als die verwerking niet noodzakelijk is voor de uitvoering van de overeenkomst, dan is daarvoor namelijk bijvoorbeeld toestemming van de betrokkene nodig.

Toestemming en cookiewalls

Ook heeft de EDPB op 4 mei 2020 haar eerdere leidraad geüpdatet waarin nadere uitleg werd gegeven over de eisen aan toestemming die betrokkenen moeten geven voor de verwerking van hun gegevens. De EDPB geeft een nadere toelichting op het gebruik van toestemming met betrekking tot ‘cookiewalls’.

AVG-certificaten en gedragscodes

Daarnaast zijn er op 4 juni 2019 een tweetal publicaties verschenen over certificering en accreditatie onder de AVG, waaronder AVG-certificaten kunnen worden verstrekt.

Tot slot is vermeldenswaardig dat er op 4 juni 2019 handvatten zijn vastgesteld inzake de gedragscodes onder de AVG. Het doel is om handvatten te bieden voor het opstellen, wijzigen of uitbreiden van AVG-gedragscodes door de “eigenaren”. Dergelijke gedragscodes kunnen bijvoorbeeld branche-specifieke richtlijnen bevatten, zodat de betreffende branche gemakkelijker AVG-compliance kan bewerkstelligen. Denk bijvoorbeeld aan het eerder genoemde Data Pro Code voor de ICT-sector.

Overige verklaringen en publicaties EDPB

COVID-19

Begin 2020 staat in het teken van de wereldwijde uitbraak van het coronavirus. De EDPB heeft op 19 maart 2020 een formele verklaring gepubliceerd over de verwerking van persoonsgegevens in het kader van de COVID-19-uitbraak. Daarnaast is op 21 april 2020 een publicatie verschenen over de verwerking van gezondheidsgegevens. Diezelfde dag heeft de EDPB eveneens een leidraad gepubliceerd met betrekking tot het gebruik van locatiegegevens en instrumenten voor het traceren van contacten.

Privacy Shield EU-VS

Verder is in 2019 het zogenoemde Privacy Shield geëvalueerd. Met het Privacy Shield wordt beoogd een basis te bieden voor de doorgifte van persoonsgegevens vanuit Europa naar de Verenigde Staten. In het verslag van 12 november 2019 verwelkomt de EDPB de inspanningen van de Amerikaanse autoriteiten om de afspraken uit het Privacy Shield uit te voeren. Desondanks zijn er nog steeds een aantal aandachtspunten met betrekking tot de naleving van deze afspraken; die moeten nog worden opgepakt.

Brexit

Op 4 oktober 2019 heeft de EDPB een (bijgewerkte) notitie gepubliceerd met informatie over wat een no-deal Brexit zou betekenen voor de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk. Bij een no-deal Brexit wordt het Verenigd Koninkrijk immers aangemerkt als een derde land buiten de Europees Economische Ruimte. In dat geval zou voor de doorgifte van persoonsgegevens naar het Verenigd Koninkrijk een andere juridische basis nodig zijn dan de AVG bood.

***

Wij hebben dit overzicht met zorg samengesteld. U kunt hieraan echter geen rechten ontlenen. Dit overzicht is namelijk niet uitputtend bedoeld. Ook hebben wij zaken – omwille van de leesbaarheid en het overzicht – anders geformuleerd, waardoor nuances of een nadere toelichting kunnen zijn weggevallen.

***