Co-auteur: Legal Assistant Alex Mesken
Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Aan de hand van deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken die in maart gepubliceerd zijn op een rij.
In deze blog staat het thema “variatie” centraal. Bij privacy en bescherming van persoonsgegevens wordt al gauw gedacht aan de AVG, maar privacy en persoonsgegevensbescherming gaan natuurlijk veel verder dan dat. In veel verschillende wetten zijn specifieke bepalingen opgenomen over privacy en bescherming van persoonsgegevens. Het thema “variatie” zien we daarnaast terug in de verschillende instanties die rechtspreken met betrekking tot privacy en persoonsgegevensbescherming.
Verdachte heeft zonder medeweten van slachtoffer diens identificerende persoonsgegevens gebruikt voor oplichting
Dat er uitspraken worden gedaan over persoonsgegevens waarin de AVG in principe geen rol speelt, blijkt allereerst uit een zaak waar de rechtbank Rotterdam zich in februari over heeft gebogen. Hierin ging het over het gebruik van identificerende persoonsgegevens voor oplichtingsdoeleinden. Dit is verboden op basis van het Wetboek van Strafrecht.
Vanaf eind 2019 kreeg de politie signalen van fraude met internetbestellingen en postpakketten. Mensen gaven aan dat zij aanmaningen ontvingen van een bedrijf dat namens het bedrijf About You (van de gelijknamige webshop) liet weten dat geleverde bestellingen nog niet waren betaald. Deze mensen bleken echter niet zelf een pakket te hebben besteld en hadden ook niets ontvangen. De politie heeft een onderzoek gestart naar deze gang van zaken.
Met behulp van gegevens van nietsvermoedende derden werden nepaccounts aangemaakt op de website van About You op naam van deze derden, buiten hun medeweten. Vervolgens werden bestellingen geplaatst, waarbij gebruik werd gemaakt van de mogelijkheid om de bestelling achteraf te betalen. Zodra het mogelijk was om het bezorgadres aan te passen, werd via de PostNL-app verzocht om het pakket bij een afhaalpunt van PostNL te bezorgen in plaats van bij het afgesproken afleveradres. Dit wordt “herroutering” genoemd. Bij het ophalen van een pakket moest vervolgens een identificatiebewijs worden getoond.
De verdachte wordt ervan verdacht dat hij een valse naam en een valse hoedanigheid heeft opgegeven om About You ertoe te bewegen goederen aan hem af te geven. Daarnaast wordt hij ervan verdacht dat hij identificerende persoonsgegevens van het slachtoffer heeft gebruikt om de identiteit van een ander te misbruiken.
De rechtbank Rotterdam verklaart het ten laste gelegde bewezen. De rechtbank legt echter geen straf of maatregel op. Dit heeft ermee te maken dat de strafzaak meer tijd in beslag heeft genomen dan dat redelijk is op basis van het Europese mensenrechtenverdrag (EVRM). Er zijn namelijk ruim dertig maanden verstreken sinds de eerste handeling waaruit de verdachte mocht afleiden dat hij strafrechtelijk zou worden vervolgd. In deze periode heeft de verdachte onder toezicht van de jeugdreclassering gestaan. Hij moest zich toen houden aan een avondklok, wat voor hem erg belastend is geweest. In de periode van dertig maanden is verdachte daarnaast niet in aanraking geweest met politie en justitie.
Vermoeden van fraude bij autoverzekering onterecht, frauderegistratie moet daarom worden verwijderd
Een andere uitspraak die in februari is gedaan leert ons dat persoonsgegevens en de verwerking daarvan ook een belangrijke rol spelen binnen de verzekeringswereld. In dit verband vloeien regels met betrekking tot de verwerking voort uit de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen. Een man kocht in 2019 een Audi A1 Sportback en heeft deze verzekerd bij de ABN Amro. De dochter van de man heeft de auto in april 2021 gebruikt om eten te brengen bij haar zieke oma. Zij heeft de auto hierna geparkeerd bij de woning van haar vader. Toen zij de volgende dag de auto weer wilde gebruiken, bleek dat deze was gestolen. De vader heeft een schadeclaim ingediend bij de ABN Amro vanwege de diefstal. ABN Amro heeft de schadeclaim laten onderzoeken door experts. Uit dit onderzoek is gebleken dat er tegenstrijdigheden bestaan tussen de aangetroffen feiten en de verklaringen die door de vader en zijn dochter zijn gedaan. De schadeclaim is daarom afgewezen wegens een vermoeden van fraude. De persoonsgegevens van de vader en zijn dochter zijn als gevolg daarvan geregistreerd in het Interne Verwijzingsregister.
De kantonrechter heeft zich in deze zaak uitgelaten over de vraag of ABN Amro de persoonsgegevens van de vader en zijn dochter mocht registreren. Voor een zorgvuldige verwerking van persoonsgegevens is het volgens de kantonrechter nodig dat de gebeurtenis op grond waarvan de verzekeraar tot registratie is overgegaan, voldoende vaststaat. Dit geldt ook voor interne registraties, omdat deze ook impact hebben op een geregistreerde. De vader heeft verklaard dat de registraties impact hebben. Bij het afsluiten van een nieuwe verzekering wordt namelijk gevraagd naar het verzekeringsverleden en bij de beantwoording daarvan moeten dergelijke registraties worden genoemd.
Door de kantonrechter wordt geconcludeerd dat het vermoeden van fraude onvoldoende vaststaat. Het feit dat er een tegenstrijdigheid is tussen de uitkomsten van het sleutelonderzoek en de verklaring over wanneer de auto voor het laatst is gebruikt, is onvoldoende om het vermoeden van fraude te ondersteunen. ABN Amro heeft geen omstandigheden aangedragen die erop wijzen dat de vader op enige manier betrokken is geweest bij de verdwijning van de auto. Nu het vermoeden van fraude onvoldoende is komen vast te staan, mocht ABN Amro niet overgaan tot registratie in het IVR. De registratie dient daarom ongedaan te worden gemaakt.
Veilig Thuis hoeft vermoedens van huiselijk geweld over betrokkene niet te verwijderen
Het gerechtshof Den Haag heeft deze maand ook een uitspraak gedaan waar naast de AVG nog een andere wet van belang was: de Wet maatschappelijke ondersteuning 2015 (hierna: Wmo 2015). In deze zaak ging het om een man die wilde dat zijn persoonsgegevens werden verwijderd uit dossiers van Veilig Thuis, het advies- en meldpunt voor huiselijk geweld en kindermishandeling. Deze dossiers bevatten onder meer vermoedens van huiselijk geweld (zorgmeldingen) door de man tegen zijn ex-partner. Het gerechtshof nam de tijd om inhoudelijk toe te lichten waarom Veilig Thuis de dossiers niet hoefde te verwijderen, ondanks dat zijn verzoeken niet-ontvankelijk werden verklaard.
De man voert aan dat Veilig Thuis zijn persoonsgegevens onrechtmatig verwerkt, maar het gerechtshof is het hier niet mee eens. Veilig Thuis verwerkt de gegevens namelijk om een taak van algemeen belang te vervullen. Deze taak is, samen met de andere taken van Veilig Thuis, vastgelegd in de Wmo 2015. Het gaat hier in het bijzonder over de taak om te functioneren als meldpunt voor gevallen of vermoedens van huiselijk geweld of kindermishandeling. Hoewel Veilig Thuis in het geval van de man niet besloten heeft om verder onderzoek te doen, kunnen de dossiers wel van belang zijn om latere meldingen te beoordelen. Een opeenstapeling van meldingen kan namelijk aanleiding zijn om andere meldingen meer te onderzoeken of om verdergaande stappen te ondernemen.
Het gerechtshof wijst daarna nog op een uitzondering uit de Wmo 2015 die belangrijk is bij het beoordelen van verwijderingsverzoeken. Wanneer aannemelijk is dat het bewaren van persoonsgegevens belangrijk is voor een ander hoeven de persoonsgegevens niet op verzoek te worden verwijderd. Omdat de dossiers van de man nog van belang kunnen zijn voor zijn ex-partner, vormt dit ook een reden om zijn persoonsgegevens niet te hoeven verwijderen.
De rechter moet rekening houden met de AVG en betrokkenen bij het bevelen documenten te verstrekken
Door het Hof van Justitie van de Europese Unie is deze maand ook een interessante uitspraak gedaan. Hierbij werd niet alleen gekeken naar de AVG, maar ook naar Zweeds recht. De zaak was aangespannen bij de Zweedse rechter, en ging over constructiebedrijf Fastec dat voor het bedrijf Nycander een kantoorgebouw had neergezet. Er ontstond naderhand een geschil over de betaling van de werkzaamheden. Nycander meende dat het aantal uren dat het personeel van Fastec had gewerkt lager was dan Fastec aangaf. Fastec liet door Entral elektronische personeelsregistratie verzorgen, waarin medewerkers hun aanwezigheid registreerden. Dit is op grond van Zweeds belastingrecht verplicht. Nycander had de Zweedse rechter verzocht om Entral te bevelen dit personeelsregister te overleggen zodat het als bewijs kon dienen. De mogelijkheid om schriftelijk bewijs op te vragen volgt uit het Zweedse wetboek van burgerlijke rechtsvordering (hierna: RB).
Fastec verzette zich tegen het verstrekken van het personeelsregister. Dit zou in strijd zijn met de AVG, omdat de persoonsgegevens uit het personeelsregister oorspronkelijk zijn verzameld voor controles van de belastingdienst. Het delen van deze gegevens voor een juridische procedure was volgens Fastec daarom niet toegestaan. De Zweedse rechter wilde graag van het Hof van Justitie weten tot in hoeverre de AVG in deze zaak moet worden toegepast, en op welke manier dat moet gebeuren.
Het Hof van Justitie oordeelde dat de AVG ook van toepassing is op het verstrekken van persoonsgegevens aan een rechterlijke instantie. Dit betekent dat zo’n verstrekking moet voldoen aan de rechtmatigheidsvoorwaarden uit de AVG. In dit geval kan de verstrekking van het personeelsregister worden gebaseerd op de taak van algemeen belang of de uitoefening van openbaar gezag van de rechter. Dit volgt uit het RB. Het verstrekken van het personeelsregister aan de rechterlijke instantie komt echter niet overeen met het doel waarvoor de gegevens zijn verzameld. Daarom moet de rechter wel nagaan of aan de aanvullende voorwaarden uit de AVG voor een dergelijke verstrekking is voldaan. Verder verklaart het Hof van Justitie dat de rechter ook rekening moet houden met de belangen van de betrokkenen voordat deze gelast een document te overleggen.
Meer weten over Privacy? Lees hier verder:
https://www.ictrecht.nl/blog/privacy-jurisprudentieblog-maart-2023