Update privacy rechtspraak: AVG, AP en regelgeving

Ontwikkelingen op dataprotectie & privacy gaan razendsnel. Vanuit Brussel komt regelmatig nieuwe guidance naar buiten. Vorige week is het langverwachte voorstel voor een Verordening rond AI (Artificial Intelligence) gepubliceerd. Het regent boetes door toezichthouders in Europa. In Nederland is er rechtspraak rond de Algemene Verordening Gegevensbescherming (AVG) en laat de Autoriteit Persoonsgegevens (AP) van zich horen. Een goed moment om Vonne Laan, advocaat privacyrecht bij The Data Lawyers, te vragen welk recente rechtspraak haar opvalt, hoe de AP en de EU toezichthouders zich roeren en welke consequenties deze ontwikkelingen hebben.

In vijf vragen gaat Vonne Laan dieper in op actuele rechtspraak, handhaving en ontwikkelingen.

 1) Welke recente uitspraken vallen op en waarom is dat?

Een eerste zaak die opviel is een uitspraak over of de AVG kan worden gebruikt in de relatie tussen concurrenten onderling. Dat lijkt mij geen gek scenario. Wanneer een bedrijf zich niet aan de AVG houdt, kan dit bedrijf diens producten of diensten mogelijk tegen een gunstiger tarief aanbieden dan concurrenten. Aan privacy compliance hangt een prijskaartje. Dit speelde recentelijk in een kort geding tussen drie leveranciers van GPS-horloges voor ouderen en hulpbehoevenden. Twee leveranciers betoogden onder meer dat de derde oneerlijk voordeel behaalde door zich in mindere mate aan de AVG-vereisten te houden. Na bot te hebben gevangen bij de Autoriteit Persoonsgegevens en de Autoriteit Consument & Markt, stapten zij daarop naar de rechter. Ook daar kregen zij echter nul op het request. 

De Rechtbank Zeeland-West-Brabant oordeelde dat bescherming van de belangen van concurrenten niet valt onder de doelstelling van de AVG (link). Ook stelt de rechtbank dat geen beroep kan worden gedaan op de correctie Langemeijer. Op grond van de correctie Langemeijer zou hier kunnen worden aangenomen dat alhoewel de AVG niet dient ter bescherming van de belangen van eisers, de schending van de AVG door gedaagde in strijd is met een ongeschreven zorgvuldigheidsnorm die wél de belangen van eisers beschermt. Maar daar ging de rechter dus niet in mee. Hopelijk komt het in deze kwestie tot een bodenprocedure. De kantonrechter heeft namelijk niet toegelicht waarom de correctie Langemeijer hier niet van toepassing zou zijn. Daarbij is het in andere Europese lidstaten zoals Duitsland wel degelijk mogelijk om je als concurrent op inbreuk van de AVG te beroepen. Wordt vervolgd, hoop ik.

Verzoekschrift over een inzageverzoek

Een tweede opmerkelijke zaak gaat over een niet-ontvankelijk verklaard verzoekschrift over een inzageverzoek, in een beschikking van de rechtbank Noord-Nederland (link). Het inzageverzoek was gericht tot het RIEC Noord-Nederland, een samenwerkingsverband tussen verschillende overheidsinstanties. Zowel het RIEC Noord-Nederland zelf als de rechter stellen dat hier sprake is van gezamenlijke verwerkingsverantwoordelijkheid van de betrokken overheidsinstanties. So far, so good, wat mij betreft. 

Vervolgens neemt de uitspraak echter een curieuze wending: omdat sprake is van gezamenlijke verwerkingsverantwoordelijkheid, had het verzoek tegen alle betrokken partijen gericht moeten zijn en niet alleen tegen “het vehikel waarin de verwerking door de betrokken convenantpartners plaatsvindt.” Maar dat is een vreemde conclusie. In artikel 26 AVG worden gezamenlijke verwerkingsverantwoordelijken verplicht om op transparante wijze hun respectieve verantwoordelijkheden vast te leggen, met name over privacyrechten van betrokkenen. 

Deze wezenlijke inhoud van deze regeling dient daarbij aan de betrokkenen beschikbaar te worden gesteld. Wanneer partijen daarin verzaken, dient dit niet voor risico en rekening van de gedupeerde betrokkene te komen. Ook de EDPB lijkt hier heel duidelijk over in de recente Guidelines 07/2020 (consultatieversie): “Irrespective of the content of the arrangement on this specific point, the data subject may contact either of the joint controllers to exercise his or her rights in accordance with Article 26(3) as further explained below.”

Privacyrechten

In dit geval stelt de rechtbank echter dat het “vehikel” zelf geen verwerkingsverantwoordelijke is. Daarmee kwalificeert het dus ook niet als de verkeerde verwerkingsverantwoordelijke. Dat zou wat mij betreft echter niet mogen uitmaken. Het RIEC Noord-Nederland bezit weliswaar geen rechtspersoonlijkheid – hetgeen volgens de rechtbank hiervoor een vereiste lijkt – maar vormt wel het “vehikel” voor de samenwerking. Het RIEC Noord-Nederland beschikt daarvoor ook over een eigen postadres, telefoonnummer en e-mailadres. Dit kan vanuit privacyrechtelijke zin worden gezien als het aanwijzen van een contactpunt door de gezamenlijke verwerkingsverantwoordelijken. 

Wanneer van dat contactpunt gebruik wordt gemaakt voor het uitoefenen van privacyrechten, strookt het niet met het doel en de gedachte achter de AVG om dan te stellen dat een verzoek niet-ontvankelijk is omdat de verkeerde partij is aangesproken (nog los van het issue of voor verwerkingsverantwoordelijkheid rechtspersoonlijkheid is vereist). De EDPB stelt in dit kader: “Requiring data subjects to contact the designated contact point or the controller in charge would impose an excessive burden on the data subject that would be contrary to the objective of facilitating the exercise of their rights under the GDPR.” Ook hier hoop ik daarom op een “wordt vervolgd”.

2) Wat valt op onder de verschillende toezichthouders in de EU?

Het valt mij op dat zowel de boetes als het aantal boetes die door de diverse privacytoezichthouders worden opgelegd, enorm variëren. Het aantal boetes staat overigens los van verdiscontering met betrekking tot bijvoorbeeld het inwoneraantal van de diverse lidstaten. Afgaande op de site van GDPR Enforcement Tracker op 25 april jl., ontstaat het volgende beeld. In aantallen is Spanje duidelijk koploper: 225 boetes to date. In vergelijking daarmee zien de 9 boetes die de site voor Nederland noteert er schraal uit. Toch zijn er maar liefst 9 andere lidstaten met een nog lager boete-aantal.

Qua hoogte van de boetes ontstaat niet een meer eenduidig beeld. Waar de CNIL in Frankrijk een boete van EUR 50.000K heeft opgelegd, bedragen de hoogste boetes in bijvoorbeeld Oostenrijk en Slowakije EUR 50K. Voor Nederland vermeldt de site een hoogste boete van EUR 900K voor het UWV, alhoewel dit eigenlijk een last onder dwangsom van EUR 150K per maand betrof met een maximum van EUR 900K.

Dat er ook op dit vlak meer harmonisatie nodig is, lijkt hiermee duidelijk. De AP gaf zelf bij de invoering van de gewijzigde boetebeleidsregels reeds aan dat deze door de AP zouden worden toegepast totdat er ook Europese richtsnoeren zijn voor de berekening van de hoogte van boetes. Het opstellen van dergelijke richtsnoeren is opgenomen in het EDPB Work Programme 2021-2022. Ik ben benieuwd.

3) In hoeverre kan de Autoriteit Persoonsgegevens (AP) worden gecontroleerd op haar handhavingsbeleid en worden teruggefloten?

Bestuursbesluiten van de AP kunnen worden getoetst door de bestuursrechter. Een voorbeeld van een rechter die de AP terugfluit is de uitspraak van de Rechtbank Den Haag van 31 maart jl. (link). Deze uitspraak gaat over de boete die de AP aan het HagaZiekenhuis had opgelegd van EUR 460.000, omdat het ziekenhuis de interne beveiliging van patiëntendossiers niet op orde had. Alhoewel de rechtbank van oordeel is dat de AP een boete en een last onder dwangsom mocht opleggen, was de boete volgens de rechtbank te hoog. 

Het ziekenhuis had wel degelijk een aantal maatregelen genomen om te voorkomen dat persoonsgegevens in het digitale patiëntendossier werden ingezien door onbevoegde medewerkers. Ook had het ziekenhuis tijdens de bezwaarfase alsnog de tweefactor authenticatie ingevoerd en de logging geïntensiveerd. De rechtbank matigt de boete daarom naar een “luttele” EUR 350.000. Dat is toch ruim een ton lager ten opzichte van de oorspronkelijke boete.

Herroeping AP

Maar de bestuursrechter kan ook verder doorpakken bij het terugfluiten van de AP. Eerder zagen we dat bij de uitspraak inzake VoetbalTV. In de uitspraak heeft de rechtbank Midden-Nederland een boetebesluit van de AP van 16 juli 2020 vernietigd (link). De AP had de boete opgelegd omdat VoetbalTV zich voor het opnemen en uitzenden van wedstrijden van amateurvoetbalclubs baseerde op het gerechtvaardigd belang, terwijl hiervoor alleen een commercieel belang zou bestaan. En alleen een commercieel belang telt niet, aldus de normuitleg van de AP. Daarin gaat de bestuursrechter echter niet mee. Het op voorhand uitsluiten van bepaalde belangen strookt niet met de jurisprudentie van het Hof van Justitie van de Europese Unie. De rechter vernietigde daarom het gehele boetebesluit. Inmiddels heeft de AP tegen deze uitspraak overigens wel hoger beroep aangetekend.

4) Wat valt op aan de boetes die de AP tot nu toe heeft opgelegd onder de AVG?

De AP heeft sinds 25 mei 2018 twee boetes opgelegd die direct zien op het te laat melden van een datalek. In de eerste plaats aan Uber in november 2018. Het betrof een boete van EUR 600.000 omdat Uber een datalek ruim een jaar te laat had gemeld. Recentelijk heeft de AP weer een boete opgelegd voor het te laat melden van een datalek. Ditmaal aan Booking.com. Het betreft een boete van EUR 475.000 omdat een datalek 22 te dagen te laat was gemeld. 

De AP lijkt de teugels daarmee eerder aan te trekken dan te laten vieren. In relatie tot gemelde datalekken is dat opmerkelijk. Al eerder onstond in de media discussie over de raadzaamheid van het melden van datalekken (FD, okt-nov 2016). Zou je als advocaat je cliënt wel moeten adviseren om een datalek te melden, als de AP naar aanleiding daarvan boetes kan opleggen? Vanuit diverse hoek kwamen daarop tegengeluiden. 

Boetes AP

In de eerste plaats legt de AP geen boetes op voor het melden van het datalek zelf, maar alleen als hieruit blijkt dat er bijvoorbeeld aan de beveiliging iets schort. In de tweede plaats kan het niet melden van een datalek je later nog duurder te staan komen, bijvoorbeeld wanneer het datalek alsnog publiek bekend wordt. Inmiddels was die discussie weer bekoeld en worden in Nederland nog altijd volop datalekken gemeld. Zo bleek uit het datalekkenrapport van DLA Piper van januari dit jaar dat Nederland binnen Europa op nummer twee staat qua aantallen datalekken die worden gemeld. 

Alleen in Duitsland zijn er sinds 25 mei 2018 meer datalekken gemeld. Ik ben benieuwd of dat zo blijft, nu 29% van de boetes die de AP sinds 25 mei 2018 heeft opgelegd en die openbaar zijn gemaak, is opgelegd voor het te laat melden van een datalek (2 van de 7). Met name wanneer een geconstateerd datalek per abuis intern te lang is blijven hangen voordat legal betrokken wordt, en de kans uitermate klein is dat het datalek bekend zal worden, ben ik benieuwd wat nu de afweging van organisaties zal zijn.

5) Wat zijn ontwikkelingen op privacyvlak waar we het komende half jaar naar uit moeten kijken?

Zelf ben ik met name benieuwd naar de ontwikkelingen omtrent de invulling van het “gerechtvaardigd belang” als grondslag voor het verwerken van persoonsgegevens. Er is veel te doen geweest over de restrictieve normuitleg van de AP over het gerechtvaardigd belang. De AP eist dat hiervoor een beroep moet kunnen worden gedaan op een (geschreven of ongeschreven) rechtsregel of rechtsbeginsel. Een louter commercieel belang volstaat volgens de AP niet. In Nederland is het daarom interessant hoe het hoger beroep inzake VoetbalTV gaat verlopen. En mogelijk volgen er nog meer interessante uitspraken op dit vlak. Dit zal ook afhankelijk zijn van of de AP in meer gevallen gaat handhaven op het gerechtvaardigd belang, of eerst de uitspraak inzake VoetbalTV even afwacht.

Europese privacytoezichthouders

Op Europees niveau zijn we daarbij in afwachting van het geüpdatet advies over het gerechtvaardigd belang van de Europese privacytoezichthouders zoals verenigd in de EDPB. In de oude versie van dit advies uit 2014 leken de Europese privacytoezichthouders meer ruimte te zien voor een beroep op het gerechtvaardigd belang dan de AP in Nederland. Dit ook blijkens 3 van de 10 voorbeelden die de Europese privacytoezichthouders noemden als voorbeelden van omstandigheden waarin een beroep op het gerechtvaardigd belang zou kunnen worden gedaan:

(i) conventionele direct marketing en andere vormen van marketing of advertenties,

(ii) toezicht op medewerkers ten behoeve van [..] managementdoeleinden, en

(iii) verwerking voor onderzoeksdoeleinden (waaronder marketingdoeleinden).

Eigenlijk stond een update van dit advies al voor 2019-2020 op de agenda, blijkens het Work Program van de EDPB, maar daar kwam corona eventjes tussendoor. Inmiddels heeft de EDPB op 27 november jl. een Stakeholder Workshop over het onderwerp georganiseerd. Daarin konden vertegenwoordigers van bedrijven, sectoren, non-profit organisaties, advocaten en academici hun zegje doen over het onderwerp. Inmiddels is een update van het advies uit 2014 ook weer opgenomen in het nieuwe Work Programme van de EDPB. Nu nog wachten op het nieuwe advies zelf.

Nieuwsgierig naar meer actualiteiten, rechtspraak en consequenties voor uw organisatie? Vonne Laan is docent bij de Actualiteitenreeks Next step privacy compliance