#2 De Privacy Nieuwsbrief

Beste lezer,

Het leek een prachtig Sinterklaascadeau afgelopen jaar: de ChristenUnie-motie om iedere 18-jarige de kans te geven op een digitale schone lei. Het idee was even simpel als aantrekkelijk - geef jongeren de mogelijkheid om bij volwassenheid hun online verleden te wissen. Dat ze vervolgens ook hun eerste biertje mogen drinken wat niet altijd tot de beste beslissingen leidt, vergeten we even... Een mooi vooruitzicht, tot de staatssecretaris afgelopen week een streep door deze droom zette. Er komt geen standaardaanbod voor het verwijderen van persoonsgegevens. Zoals artikel 17 lid 3 AVG ons leert: sommige zaken kunnen nu eenmaal niet vergeten worden.

Het thema 'vergeten' speelde de afgelopen twee weken een hoofdrol in verschillende privacyzaken. Zo stuitte oud-Kamervoorzitter Khadija Arib op een procedurele hindernis in haar zaak over het onderzoek naar meldingen van grensoverschrijdend gedrag. Ze was vergeten eerst een beroep te doen op het vergeetrecht bij de verwerkingsverantwoordelijken voordat ze naar de rechter stapte - een vereiste volgens artikel 35 UAVG.

Ook het vergeten om een vonnis op tijd te betekenen kan flinke gevolgen hebben. In het vervolg op de LinkedIn & Xandr tracking-cookie zaak speelde dit een fatale rol in het verbeuren van dwangsommen in twee van de vier gevallen. In de overige twee gevallen werd wel het maximum bedrag door LinkedIn en Microsoft Ireland Operations Limited verbeurd. Wat een fascinerende zaak weer! Dit is opnieuw een tracking-cookie zaak waarin een individu een deskundigenrapport heeft ingediend over de plaatsing van cookies, en wederom een rechtszaak tegen grote spelers zoals Criteo en LinkedIn. Ik ben zó benieuwd of hier steeds één persoon achter zit (en of dat dezelfde is), of dat het om een grotere groep gaat. En kunnen we wellicht binnenkort een grote zaak verwachten? Fascinerend! 🍿 Ik zal dit zeker niet vergeten te volgen...

De Ambitious People Group zou de afgelopen week ook wel willen vergeten. Hun poging om een boetebesluit van de AP uit het zicht te houden (ironisch genoeg vanwege slecht afgehandelde verwijderverzoeken), resulteerde in het klassieke Streisandeffect: de verhoogde aandacht die je juist krijgt door iets te willen verbergen. De rechtbank droeg daar nog aan bij door de uitspraak pas afgelopen week te publiceren, ruim een jaar na dato en een half jaar na de publicatie van het hoger beroep.

Ook in Europa speelt het thema 'vergeten', al hebben oplettende volgers van de EDPS-voorzittersverkiezing (de Europese privacytoezichthouder) juist níet vergeten het CV van een van de voorkeurskandidaten grondig te bestuderen. Daarop prijkt meer dan twaalf jaar ervaring in managementrollen op het gebied van gegevensbescherming bij de Europese Commissie - dezelfde organisatie waarop hij als EDPS-voorzitter toezicht zou moeten houden. Dit heeft tot stevige kritiek geleid en de stemming is uitgesteld tot maart. We kunnen daarnaast ook de ePrivacyverordening wel vergeten, de Europese Commissie trekt het voorstel hiervoor in.

Er was ook een overwinning voor het vergeetrecht, namelijk in de zaak over 'de ambtenarentabel'. Deze lijst met BSN-nummers van Financiën- en Belastingdienstmedewerkers werd jarenlang zonder wettelijke grondslag gebruikt. Hier hadden betrokkenen wél succes met hun beroep op het vergeetrecht.

In deze nieuwsbrief duiken we dieper in deze fascinerende zaken - stuk voor stuk te belangrijk om te vergeten (nu houd ik op, beloofd).

Veel leesplezier!

Anna Berlee

🇪🇺 EU rechtspraak

• HvJ EU 29 januari 2025, gevoegde zaken T‑70/23, T-84/23, T-111/23 (Data Protection Commission v European Data Protection Board).
  Artikelen : 60(3), 60(4) en 65(1)(a) AVG
  Onderwerp: Bevoegdheden EDPB.
  Kort : Het Gerecht werd gevraagd te oordelen of de EDPB bindende besluiten inzake Meta wel gehandhaafd konden blijven. Het ging om Bindende Besluiten nummers 3/2022, 4/2022 en 5/2022 waarin de EDPB de Ierse toezichthouder (DPC) corrigeerde en zelfs stelde dat de DPC in voorkomend geval nader onderzoek moest doen. Mocht de EDPB wel zó ver gaan? Het Gerecht concludeert van wel, zie met name overweging 35 (onderstreping toegevoegd):

(...) Hoewel artikel 65, lid 1, onder a), van Verordening 2016/679 bepaalt dat een bindend besluit dat in dat verband wordt aangenomen ‘alle aangelegenheden betreft die het onderwerp zijn van het relevante en gemotiveerde bezwaar’, belet niets dat een dergelijk bezwaar betrekking heeft op de afwezigheid of ontoereikendheid van de analyse in dat ontwerpbesluit van de leidende toezichthoudende autoriteit over een aspect van de zaak, waardoor het onmogelijk is te weten of er al dan niet sprake is van een inbreuk op die verordening met betrekking tot dat aspect. De woorden ‘bezwaar tegen een ontwerpbesluit’ zijn, in tegenstelling tot wat de verzoeker beweert, niet beperkt tot bezwaren tegen de overwegingen die in het ontwerpbesluit zijn opgenomen. (...)

• A-G Spielmann, 6 februari 2025, C-413/23 P (EDPS v SRB (Notion de données à caractère personnel))
  Artikelen : 3(1), 3(6), 3(13), 4(1)(a), en 15(1)(d) Verordening 2018/1725 en corresponderende artikelen 4(1), 4(5), 4(9), 5(1)(a), en 13(1)(e) AVG
  Onderwerp: Transparantieverplichtingen na pseudonimiseren persoonsgegevens en daaropvolgende verstrekking.
  Kort : De A-G stelt voor dat het arrest van het Gerecht vernietigd zou moet worden door het Hof, en het Gerecht zou volgens hem opnieuw een beslissing moeten nemen:

80.      Het feit dat de pseudonimisering al dan niet voldoende solide en effectief is om te kunnen oordelen dat de gegevens in handen van Deloitte al dan niet persoonsgegevens zijn, lijkt mij voor de informatieplicht van de GAR dan ook niet ter zake te doen.
81.      Bijgevolg moest in casu de op de GAR als verwerkingsverantwoordelijke rustende informatieplicht worden nagekomen en moet het bestreden arrest om die reden worden vernietigd wegens een onjuiste rechtsopvatting.

• A-G Szpunar, 6 februari 2025, C-492/23 (Russmedia Digital and Inform Media Press)
  Artikelen : 14(1) Richtlijn 2000/31, artikel art. 7 DSA, 5(1)(b) en (f) en artikelen 4(7) en (8), 6(1)(a), 7, 24, 25, 28(3), 32 en 82 AVG,
  Kort : Een bijzonder interessante conclusie voor degenen die geïnteresseerd zijn in het snijvlak tussen de e-commerce richtlijn en de AVG. Zelfs de DSA komt even ter sprake.
  In essentie gaat het hier om de vraag of een exploitant van een online marktplaats voor de verwerking van persoonsgegevens via advertenties verwerkingsverantwoordelijke of verwerker is, en welke verplichtingen daaruit voortvloeien. Wat ik vooral mooi vind aan deze conclusie, is dat de A-G zowel ingaat op de situatie waarin Russmedia als verwerker wordt aangemerkt, als op de situatie waarin Russmedia als verwerkingsverantwoordelijke zou worden aangemerkt.
  De zaak is bovendien extra interessant omdat er uitgebreid wordt stilgestaan bij de verhouding tussen het regime van Richtlijn 2000/31 en de AVG. Er wordt zelfs gekeken naar de vraag of "een bij de verwerking van persoonsgegevens betrokken actor die aansprakelijk kan worden gesteld voor een inbreuk op de AVG, zich kan beroepen op de vrijstelling van aansprakelijkheid waarin artikel 14, lid 1, van Richtlijn 2000/31 voorziet." Kort maar krachtig: ja, dat kan. In overweging 183 stelt de A-G: "Een verwerker die op grond van artikel 82 AVG aansprakelijk kan worden gesteld, is derhalve niet uitgesloten van het voordeel van de vrijstelling van aansprakelijkheid waarin artikel 14, lid 1, van Richtlijn 2000/31 voorziet."
  Daarnaast zijn de overwegingen 133-135 inzake artikelen 24 en 25 AVG ook interessant.Hierin wordt gepleit voor het bijhouden en controleren van de identiteit van de adverterende gebruikers.

👩‍⚖️ EHRM rechtspraak

• EHRM 6 februari 2025, Appl. nrs. 36617/18;7525/19;19452/19;52473/19;55943/19;261/20;7991/20;8046/20;20062/20;34827/20;26376/21;28730/21;20133/22 (CASE OF ITALGOMME PNEUMATICI S.R.L. AND OTHERS v. ITALY). 
  Artikelen : 8 EVRM
  Kort: Onvoldoende waarborgen in de Italiaanse wet, die het de fiscale inlichtingendienst van Italië mogelijk maakt om op elk moment zonder specifieke rechtvaardiging binnen te treden, zijn niet in overeenstemming met artikel 8 EVRM (r.o. 60, 109). Nadere uitwerking in een ministeriële circulaire is onvoldoende (r.o. 112), zeker nu er ook geen effectieve ex post rechterlijke toetsing van de wettigheid, noodzaak en proportionaliteit van de maatregelen is. Dit gebrek droeg ook bij aan de schending (paragraaf 137).
• EHRM 4 februari 2025, Appl. nrs. 33421/16;8156/20;32416/20;39855/20;10497/21;33277/21;46226/21 (CASE OF KLIMOVA AND OTHERS v. RUSSIA). 
  Artikelen : 8 en 10 EVRM
  Kort : Alle zaken hadden betrekking op websites die zogenaamd homoseksualiteit aan minderjarigen zouden promoten. In een van de zaken werd het bedrijf VK verzocht om informatie over de beheerder van een van de communities/websites te verstrekken. Dit betrof niet alleen informatie over de website, maar ook over haar persoonlijke account (r.o 94), waaruit ook haar politieke opvattingen bleken (r.o 119). Dit verzoek was gebaseerd op een Russische wet die, zoals het EHRM in de Podchasov-zaak al had beoordeeld, niet voldeed aan het kwaliteitsvereiste (r.o. 114). In deze situatie waren er zelfs nog minder waarborgen, aangezien er geen voorafgaande toestemming van een rechter nodig was (r.o. 115). Ook was er geen effectieve remedie beschikbaar voor de verzoeker, noch was het noodzakelijk in een democratische samenleving. Kortom, er was sprake van een schending van artikel 8 EVRM.

• EHRM 4 februari 2025, Appl. nrs. 8825/22;19130/22 (CASE OF BAZHENOV AND OTHERS v. RUSSIA).
  Artikelen : 8 & 14 EVRM
  Onderwerp : Onvoldoende actie na doxing.
  Kort : Deze zaak betreft de onrechtmatige verspreiding van de seksuele geaardheid van de verzoekers op VKontakte. Informatie over de drie verzoekers, zoals het feit dat ze een spelletjeswinkel hadden geopend en een relatie hadden (voorzien van grof taalgebruik), werd zonder hun toestemming openbaar gemaakt op VKontakte, een Russisch sociaal netwerk. Vervolgens spoorde een zelfverklaarde 'gay basher' en 'verdediger van traditionele waarden' zijn volgers aan om 'correcte meningen' achter te laten onder het bericht. De aangifte inzake de onrechtmatige verspreiding van persoonsgegevens zonder toestemming, strafbaar op grond van het Russische strafrecht, werd door de autoriteiten onvoldoende behandeld, waardoor de (positieve) verplichtingen uit hoofde van artikelen 8 en 14 EVRM werden geschonden.
• EHRM 23 januari 2025, Appl. nr. 31175/14 (CASE OF REZNIK v. UKRAINE). 
  Artikelen : 8 EVRM
  Kort : Betreffende de doorzoeking van het huis van een advocaat en de inbeslagname van documenten en digitale opslagapparaten, werd onvoldoende bescherming geboden aan het beroepsgeheim van advocaten (r.o. 73-75). Het hof benadrukt het belang van onafhankelijk toezicht bij de sortering van materiaal, vooral wanneer het gaat om materiaal van een advocaat (r.o 75-76). Daarnaast bekritiseert het hof de buitensporig lange bewaring van de apparaten (r.o 26 en 76).
• EHRM 23 januari 2025, Appl. nr. 13805/21 (AFFAIRE H.W. c. FRANCE). 
  Artikelen : 8 EVRM
  Kort : Zelfbeschikking, autonomie binnen een huwelijk. Niet echt gegevensbescherming, maar meer privacy. Instemmen met een huwelijk betekent niet eveneens instemmen met seksuele relaties binnen dat huwelijk. "Het Hof kan niet aanvaarden, zoals de regering suggereert, dat instemming met het huwelijk automatisch instemming met toekomstige seksuele betrekkingen inhoudt.", r.o. 91. De uitspraak is alleen in het Frans beschikbaar.

🇳🇱 Nederlandse rechtspraak

• Rechtbank Den Haag 5 februari 2025, ECLI:NL:RBDHA:2025:1113 (Grondslag instellen onderzoek uitgevoerd door particulier recherchebureau naar meldingen ongewenst gedrag voormalig Kamervoorzitter is gerechtvaardigd belang en was rechtmatig). 
  Artikelen: art. 6(1)(c) en (f) AVG, art. 35 UAVG. Art. 7:611 BW en 3 Arbeidsomstandighedenwet.
  Kort: Het gaat hier om het onderzoek dat werd ingesteld naar aanleiding van de meldingen van ongewenst gedrag van voormalig Kamervoorzitter Arib. Ter discussie in deze zaak stond onder meer of de daarbij gepaard gaande verwerking van persoonsgegevens wel een grondslag had. Dat was zo. Vanaf r.o 8.19 gaat het over de rechtsgrond voor de verwerking van persoonsgegevens in het kader van het onderzoek. Hierin concludeert de rechtbank allereerst dat de grondslag 6 lid 1 sub f) AVG is (gerechtvaardigd belang) en niet wettelijke verplichting (sub c) (r.o. 8.21). De uitwerking van de 6-f)-toets begint vanaf r.o. 9.4 en de rechtbank komt tot de conclusie dat het onderzoek voldoende zorgvuldig was ingericht en uitgevoerd (r.o. 9.13 e.v.).
  De behandeling van de punten inzake artikelen 15,17, 18 en 21 AVG komen niet aan de orde in een andere zaak zie hierna.
• Rechten van betrokkene
  • Rechtbank Amsterdam 10 juni 2024, ECLI:NL:RBAMS:2024:3337 (Korpchef krijgt er enorm van langs). 
    Artikel : 25 Wpg
    Kort : Hoewel het hier gaat om een inzageverzoek is de uitspraak met name ook interessant om de snoeiharde kritiek die de rechtbank levert op de proceshouding van de korpschef.

6. De rechtbank stelt voorop dat (zoals ter zitting ook is besproken) het procesgedrag van de korpschef zich ruimschoots bevindt beneden het niveau dat mag worden verwacht van een professioneel handelend bestuursorgaan, niet alleen ten opzichte van de burger die een beroep op hem doet, maar ook ten aanzien van de rechter.
7. De uitspraak van de rechtbank van 31 januari 2023 is niet (volledig) uitgevoerd terwijl daartegen geen hoger beroep is ingesteld. In een rechtsstaat is het verder bij uitstek de rechter die zorgdraagt voor de rechtsbescherming van de burger tegen een bestuursorgaan dat als één van de weinige is uitgerust met het monopolie op geweld. Dat monopolie brengt voor de politie juist extra grote verantwoordelijkheden met zich op het vlak van de verantwoording achteraf en de uitvoering van rechterlijke uitspraken. De korpschef heeft dat echter niet waargemaakt en heeft ook niet of nauwelijks blijk gegeven van een bewustzijn voor die extra rechtsstatelijke verantwoordelijkheid. Dat de gemachtigde van de korpschef zich ter zitting welwillend heeft opgesteld, doet daar niet aan af, waar die zelfde gemachtigde ook meermalen heeft aangegeven niet over het mandaat te beschikken om binnen verweerders organisatie inzicht te geven in stukken of om alsnog tot beantwoording van (door hem wel begrijpelijk geachte) vragen van eiser te komen.
8. Dit gegeven alleen maakt dat de korpschef tot het maximumbedrag zal worden veroordeeld in de proceskosten en tot vergoeding van het griffierecht.

• Raad van State 29 januari 2025, ECLI:NL:RVS:2025:321 (Inzageverzoek niet nader gespecifieerd; daarom afgewezen). 
  Artikel : 15 AVG overweging 63 bij de AVG
• Rechtbank Amsterdam 27 juni 2024, ECLI:NL:RBAMS:2024:3778 (FSV inzageverzoek. Zoekslag voldoende specifiek). 
  Artikel: 15 AVG
• Rechtbank Gelderland 21 januari 2025, ECLI:NL:RBGEL:2025:277 (Inzage Gemeentelijk Incidenten Registratiesysteem (GIR)). 
  Artikelen: 15 en 23(1)(i) AVG en 41(1)(i) UAVG
  Kort : "De mogelijk (nadelige) gevolgen voor de rechten en vrijheden van de melder vormen, anders dan het college meent, echter geen beletsel (meer) voor (al dan niet gedeeltelijke) inzage in de GIR-registratie. Eiseres heeft al in bezwaar gesteld dat zij de identiteit van de melder kent en het college heeft deze stelling niet gemotiveerd weersproken. Zonder nadere toelichting van het college die ontbreekt, valt dan niet in te zien waarom (al dan niet gedeeltelijke) inzage in de GIR-registratie door eiseres zou betekenen dat deze melder daardoor in de toekomst geen (agressie) incidenten meer zal melden of daarover niet of minder vrijelijk zal verklaren." (r.o. 10)
• Rechtbank Midden-Nederland 13 december 2024, ECLI:NL:RBMNE:2024:7408 (Verzoek om verstrekking van hele persoonlijke dossier en LIC-lijsten, etc. die de bedragen van haar integrale beoordeling van de kinderopvangtoeslag is niet hetzelfde als een verzoek om inzage in haar persoonsgegevens). 
  Artikel: 15 AVG
• Raad van State 29 januari 2025, ECLI:NL:RVS:2025:322 (Geen aanpassing medisch advies op grond van art. 16 AVG). 
  Artikel : 16 AVG
• Rechtbank Midden-Nederland 23 juli 2024, ECLI:NL:RBMNE:2024:7301 (FSV melding is geen aanvraag en ook geen inzageverzoek). 
• Raad van State 29 januari 2025, ECLI:NL:RVS:2025:313 (Niet aannemelijk dat er nog meer informatie is bij FIOD inzake onderzoek van de politie). 
  Artikel: 25 Wpg
• Rechtbank Midden-Nederland 8 januari 2025, ECLI:NL:RBMNE:2025:91 (Wissen BSN uit ambtenarentabel). 
  Artikel: 17 AVG
  Kort: De ambtenarentabel werd gebruikt voor het fiscale integriteitsbeleid, specifiek voor de controle van belastingaangiftes van o.m. medewerkers van het ministerie van Financiën en de Belastingdienst (zodat ze niet hun eigen aangifte controleerden bijvoorbeeld). De tabel is inmiddels niet meer operationeel, maar een kopie van 2020 is bewaard. De minister erkent dat het gebruik van BSN-nummers in de tabel jarenlang onrechtmatig was bij gebrek aan grondslag. Hoewel het verzoek om BSN-nummers te wissen aanvankelijk werd geweigerd voor archiveringsdoeleinden, werd later aangevoerd dat het bestaan daarvan noodzaakelijk zou zijn voor mogelijke toekomstige juridische procedures en voor eventuele AVG-verzoeken. De rechtbank oordeelde echter dat de minister niet heeft aangetoond dat het bewaren van deze gegevens noodzakelijk is voor een van de hierboven genoemde redenen (r.o. 18).  Ook het argument dat wissing een onevenredige inspanning zou zijn, werd door de rechtbank verworpen, dat is namelijk geen weigeringsgrond op grond van artikel 17 lid 3 AVG.
• Overig
  • Rechtbank Amsterdam 15 januari 2024, ECLI:NL:RBAMS:2024:1214 (Autoriteit Persoonsgegevens mag boetebesluit publiceren. Van bijzondere omstandigheden die een uitzondering rechtvaardigen is niet gebleken). 
    Artikelen: Artikel 8 Wob
    Onderwerp: Recruitmentbedrijf Ambitious People Group overtrad de AVG door bij drie mensen onvoldoende gevolg te geven aan een verwijderverzoek. De AP trad handhavend op en legde een boete van EUR 6.000 op. Het recruitmentbedrijf wilde niet dat het besluit openbaar werd, maar ving bot bij de Rechtbank Amsterdam (r.o. 5). De uitspraak is meer dan een jaar later nu gepubliceerd. De uitspraak in hoger beroep was al eerder gepubliceerd: Raad van State 29 mei 2024, ECLI:NL:RVS:2024:2221 (Ambitious People Group boete). 

• Gerechtshof ’s-Hertogenbosch 26 november 2024, ECLI:NL:GHSHE:2024:3734 (Bewijsopdracht uittreksel ‘GBA’ kan niet omdat partij deze niet kan opvragen). 
  Onderwerp : C2C had niet kunnen worden opgedragen om een bewijs zoals GBA-uittreksels te overleggen omdat dergelijke uittreksels niet aan C2C verstrekt mogen worden, op grond van de Wet BRP (r.o. 5.14-5.15)
• Hoge Raad 31 januari 2025, ECLI:NL:HR:2025:162 (Reikwijdte uitzondering op beroepsgeheim in Arbeidsomstandighedenwet ). 
  Artikelen : 14 lid 1, aanhef en onder b in verbinding met 14 lid 7 Arbeidsomstandighedenwet en medisch beroepsgeheim
  Kort : zie r.o. 4.3.5

4.3.5. (...) de in art. 14 lid 7 Arbeidsomstandighedenwet opgenomen uitzondering op het beroepsgeheim van de bedrijfsarts is beperkt tot het verstrekken van gegevens indien dat noodzakelijk is voor de uitvoering van de taken, bedoeld in art. 14 lid 1, aanhef en onder b, Arbeidsomstandighedenwet, dus tot gegevens die noodzakelijk zijn voor verzuimbegeleiding en re-integratie. Voor het overige is het beroepsgeheim van de bedrijfsarts, opgenomen in art. 88 Wet BIG, onverkort van toepassing.

• Rechtbank Rotterdam 29 januari 2025, ECLI:NL:RBROT:2025:1497 (Blauw/Nebu vervolg, vragen aan deskundige). 
  Artikel : 24 en 32 AVG
  Onderwerp:
  Een vervolg op Rechtbank Rotterdam 6 april 2023, ECLI:NL:RBROT:2023:2931 de Blauw/Nebu zaak. Deze zaak draait om de verplichtingen van Nebu als verwerker van persoonsgegevens onder de Blauw DPA. Deze overeenkomst bevat bepalingen over beveiliging, waaronder de verplichting om passende technische en organisatorische maatregelen te treffen. Blauw stelt dat Nebu tekortschoten in deze verplichtingen door onvoldoende beveiligingsmaatregelen, zoals multi-factor authenticatie (MFA) en datascheiding, te implementeren. De rechtbank formuleert enkele vragen aan een deskundige en houdt de zaak aan. (r.o. 4.31)
• Rechtbank Midden-Nederland 31 december 2024, ECLI:NL:RBMNE:2024:7445 (24/7 Camera’s met opnamefaciliteit gericht op gemeenschappelijke tuin en parkeerplaatsen moeten weg. Aanwezigheid van privacybeschermende sosftware biedt onvoldoende waarborgen). 
  Artikel : 6:162 BW
• Gegevensverwerking in de strafrechtelijke context
  • Hoge Raad 4 februari 2025, ECLI:NL:HR:2025:119 (Bijzondere gedragsvoorwaarde om mee te werken aan steekproefsgewijs laten controleren van digitale gegevensdragers gaat te ver). 

2.4 (...) Deze voorwaarde voldoet niet aan (...) eisen en is daarom in strijd met artikel 14c lid 2, aanhef en onder 14°, (oud) Sr, omdat daaruit niet blijkt op welke manier de controles van de gegevensdragers mogen worden uitgevoerd, welke functionarissen daarbij betrokken mogen zijn en hoe is gewaarborgd dat de persoonlijke levenssfeer van de verdachte daarbij niet verdergaand wordt beperkt dan nodig is voor het beoogde toezicht en dat het toezicht niet leidt tot een meer dan beperkte inbreuk op de persoonlijke levenssfeer van de verdachte. Dat het hof kennelijk naar aanleiding van het nee knikken van de verdachte tijdens de terechtzitting in hoger beroep heeft overwogen dat de verdachte heeft verklaard dat hij zijn medewerking wil verlenen aan alle hem te stellen bijzondere voorwaarden, leidt niet tot een ander oordeel.

• Gerechtshof Den Haag 26 november 2024, ECLI:NL:GHDHA:2024:2595 (Niet-ontvankelijk bij burgerlijke rechter nu de mogelijk onrechtmatige gegevensverwerking in de lopende strafzaak adequaat aan de orde kunnen worden gesteld). 
  Artikel : 359a Sv
• Gerechtshof Den Haag 2 mei 2017, ECLI:NL:GHDHA:2017:4311 (Inbeslagname filmapparatuur ter waarborging veiligheid, rust en privacy werkzame opsporingsambtenaren op afgeschermde locatie). 
  Artikel : art. 124 Sv
• Raad van State 27 januari 2025, ECLI:NL:RVS:2025:262 (Kunnen Wsjg gegevens onder een Woo-verzoek vallen?). 
  Onderwerp : Een voorzieningenprocedure leent zich niet voor een dergelijke principiële vraag.
• Rechtbank Amsterdam 3 juli 2024, ECLI:NL:RBAMS:2024:3915 (Woo-verzoek uitzondering omdat gegevens Wsjg gegevens zijn. Document bevat in het geheel geen andere onderdelen die niet als strafvorderlijke gegevens zijn aan te merken. Daarom woo-verzoek aangaande gehele document terecht afgewezen).
  Artikel: 5.1, tweede lid, aanhef en onder c van de Woo
• e-Privacy

Kifid uitspraken

• Uitspraak Geschillencommissie Kifid nr. 2025-0069
  Artikelen : 6(1)(f) AVG.
  Kort : Gegevensverstrekking NAW-gegevens consument aan gedupeerde voldoet volgens het Kifid aan vereisten 6(1)(f) AVG. Zie punt 3.6 inzake de toetsing aan 6(1)(f) AVG.
• Uitspraak Geschillencommissie Kifid nr. 2025-0060
  Artikelen : 26c Besluit prudentiële regels Wft
  Onderwerp : Biometrie; klantherkennig.
  Kort : In het klantherkenningsproces vraagt de bank om een scan van een identiteitsdocument en om een selfie(foto) op te sturen. In tegenstelling tot eerdere uitspraken neemt het Kifid hier niet langer aan - mijns inziens terecht - dat het verwerken van een foto ook automatisch de verwerking van biometrische gegevens inhoudt.

🇪🇺 EDPB

• Opinion 01/2025 on the draft decision of the French Supervisory Authority regarding the Controller Binding Corporate Rules of the Coface Group
  Onderwerp: BCR
• EDPB, Statement 1/2025 on Age Assurance
  Onderwerp: Leeftijdsverificatie

🇳🇱 Autoriteit Persoonsgegevens

• Woo-verzoek bij ministerie van Justitie en veiligheid inzake de verlenging ambtstermijn van de voorzitter van de Autoriteit Persoonsgegevens is afgewezen (3 feb 2025) omdat deze informatie al eerder openbaar is gemaakt (31 mei 2022).
• Autoriteit Persoonsgegevens, ‘Brief AP over toezicht Belastingdienst in 2025’, www.autoriteitpersoonsgegevens.nl, 20 januari 2025. 
• Wetgevingsadvies
  • Toets wijziging Regeling structurele informatieverstrekking bedrijfsvoering WMG
• Vergunningen AP
  • Besluit vergunning collectief winkelverbod Zuidplein (Rotterdam)

⚖️ College voor de Rechten van de Mens

Het College voor de Rechten van de Mens (CRM) publiceerde een 'Toetsingskader risicoprofilering – Normen tegen discriminatie op grond van ras en nationaliteit'. Daarin staat onder meer:

Ten tweede zijn bij statistisch onderzoek normen van privacy en gegevensbescherming een aandachtspunt. Wie onderzoek wil laten verrichten naar etniciteit van een bepaalde referentiepopulatie verwerkt bijzondere persoonsgegevens. Daarvoor is een valide grondslag nodig. Op zichzelf is discriminatiebestrijding een zwaarwegend algemeen belang, maar er kan discussie zijn over de vraag of de huidige AVG voorziet in een afdoende grondslag voor dit concrete doel. De recente AI-Act voorziet in een bepaling die onderzoek naar discriminerende AI-profielen toestaat, maar mogelijk is aanvullend optreden van de wetgever nodig om dit type onderzoek voor alle gevallen ter controle van risicoprofielen mogelijk te maken. Handhavende instanties die twijfelen over conformiteit van beoogd discriminatieonderzoek met de AVG doen er goed aan zich te wenden tot de Autoriteit Persoonsgegevens. (blz. 36)

🚨 Strafrecht en opsporing

Er komt een commissie strafvorderlijke gegevensverwerking

Onderwerp: Herziening Wpg en Wsjg
In de vorige editie had ik het al kort over dat er een aanpassing komt van de Wpg en/of Wsjg. Daar lijkt iets meer duidelijkheid over te zijn gekomen in de tussentijd. Er komt als het goed is een 'een toekomstbestendige regeling komen voor het verder verwerken van (grote hoeveelheden) persoonsgegevens die zorgt voor passende waarborgen voor de bescherming van de persoonlijke levenssfeer, maar het ook mogelijk maakt dat de gegevens optimaal kunnen worden benut voor de uitvoering van (onderdelen van) de politietaak.' (blz. 3) Dit gaat echter nog wel even duren.
Hiervoor wordt namelijk een commissie met vertegenwoordigers van wetenschap, beleid, wetgeving en uitvoering ingesteld, om concrete aanbevelingen te doen voor een goede wettelijke regeling omtrent strafvorderlijke gegevensverwerking. Het gaat om aanbevelingen voor een wet die regels stelt voor toegang, hergebruik, analyse en bewaartermijnen van gegevens. De oprichting van de commissie is gepland voor de eerste helft van 2025.

Overige actualiteiten inzake gegevensverwerking in strafrechtelijke context:

• Brief inzake audit KPMG over Sv met betrekking tot verwerking van kentekens via ANPR
  Artikelen: 126jj Sv
  Onderwerp : De brief gaat over de audit van KPMG over de uitvoering van de regels voor privacy (Wetboek van Strafvordering) bij het vastleggen van kentekens. Het gaat om de periode van 1 januari 2023 tot en met 31 december 2023. Dit keer niet een afkeuring zoals in eerdere jaren, maar een 'oordeel met beperkingen', bijvoorbeeld omdat er maatregelen ter logging en monitoring zijn gekomen. In de brief is ook het Privacy Control Framework art. 126jj uitgewerkt (p. 10-16).
• Beleidsreactie op rapport 'In beeld bij de politie: camerasurveillance bij vreedzaam protest in Nederland' door Amnesty International
  Artikelen: 3 Politiewet 2023, Wpg, AI Verordening.
  Onderwerp : De regering ziet n.a.v. het rapport van Amnesty International aanleiding om "met de politie in gesprek te gaan over de interpretatie van artikel 3 Politiewet 2012, omdat dat in deze context enkel kan gelden als grondslag voor de inzet van camera’s ter handhaving van de openbare orde als er een concrete aanleiding is voor die inzet en die inzet kortstondig en incidenteel van aard is." (p. 1) Daarnaast blijkt dat "De politie werkt aan een landelijk beleidskadergegevensverwerking camerabeelden." Hierin wordt dan ook aandacht besteedt aan de bewaartermijn van de camerabeelden. Daarnaast zal er ook aandacht komen voor de transparantie inzake cameratoezicht door politie (p. 4).
  Interessant is voorts de opmerking inzake de AI Verordening (p. 2) waaruit blijkt dat het ministerie aan het onderzoeken is of het wenselijk en noodzakelijk is dat er een nationale wettelijke grondslag komt voor de inzet van real time biometrische identificatie in de publieke ruimte.

🇪🇺 EU-nieuws

In Europa zit men ook niet stil. Zo werkt de Europese Commissie aan 'het versimpelen' van de registerverplichtingen op grond van de AVG (blz. 18, Competitiveness Compass) en heeft het ook de de ePrivacyverordening ingetrokken. De Europese Commissie trekt het voorstel in met als onderbouwing: "Geen voorzienbaar akkoord – er wordt geen akkoord verwacht van de medewetgevers. Bovendien is het voorstel verouderd gezien recente wetgeving op zowel technologisch als wetgevend gebied." Einde saga.

Hoewel de EDPB na de uitspraak van het Gerecht van 29 jan. jl. even opgelucht adem kan halen (zie boven), is het nog even spannend bij de EDPS (de toezichthouder op de EU instellingen). Daar ontwikkelt zich een interessante strijd om het voorzitterschap van de EDPS. De stemming over wie deze positie zal bekleden, is uitgesteld tot maart. Dit uitstel volgt op aanzienlijke kritiek en zorgen over de onafhankelijkheid van een voorkeurskandidaat die meer dan een decennium bij de Europese Commissie heeft gewerkt, een instituut waarop hij als EDPS-voorzitter toezicht zou moeten houden.

🏢 Overheidsnieuws :

• Uitkomst verkenning iedere 18-jarige standaard een vergeetrecht. Halverwege november 2024 werd een motie aangenomen om te verkennen op welke manier het recht op gegevensverwerking (art. 17 AVG) zo toegankelijk mogelijk kan worden gemaakt, door bijvoorbeeld standaard elke 18-jarige het aanbod te geven om alle gegevens te verwijderen zodat ze met een schone lei kunnen beginnen. Staatssecretaris Rechtsbescherming is voorstander van de rechten van betrokkenen zo toegankelijk mogelijk te laten zijn, maar niet van dit initiatief (p. 2). Zie bijvoorbeeld ook de uitzonderingen van art. 17 lid 3 AVG.
• Kabinetsreactie op het rapport 'Etnisch profileren is overheidsbreed probleem' van Amnesty International.

🇳🇱 Wetsvoorstellen :

• Kamerstukken II 2024-2025, 35968, nr. 24 - Intrekking van de Archiefwet 1995 en vervanging door een nieuwe Archiefwet (Archiefwet 20..), Gewijzigd amendement om "vooruitlopend op de inwerkingtreding van die nieuwe Archiefwet al een tijdelijke voorziening te treffen voor het openbaar en digitaal raadpleegbaar maken van documenten uit oorlogsarchieven"
• Tweede nota van wijziging Wijzigingswet beperking toegang UBO-register

📣 Internetconsultaties

• Regeling verduidelijking tijdelijk gebruik DSM-hoofdgroepen en basis ggz-profielen
  Deadline : 10 februari 2025

Op dit moment is er onrust in de ggz sector over het delen van bepaalde diagnosegegevens met zorgverzekeraars bij het declareren van zorg. De aanleiding daarvoor is het vervallen van bepaalde regelgeving van de Nederlandse Zorgautoriteit (NZa). Met deze ministeriële regeling wordt de wettelijke grondslag voor verwerking van DSM-hoofdgroepen, basis ggz-profielen, en DSM-5 classificatie verduidelijkt.

❇️ AI-verordening ontwikkelingen

De afgelopen twee weken waren er ook belangrijke ontwikkeling op het gebied van de AI Verordening (AIV). Deze worden hier opgenomen wanneer ze relevant zijn voor het gegevensbeschermingsrecht, wat de afgelopen week het geval was.  Zo werden enkele bepalingen uit de AIV van toepassing, zoals de verboden AI-gebruiken (artikel 5 AIV) en de vereisten inzake AI-geletterdheid (artikel 4 AIV). De Autoriteit Persoonsgegevens publiceerde in dat kader een 'Handreiking AI-geletterdheid'. Kort daarop kwam de Commissie met de Richtsnoeren inzake verboden AI-gebruiken (artikel 5 AIV), waarbij meermaals werd verwezen naar de verhouding tussen de AI Verordening, de AVG en Richtlijn 2016/680. Ook werden richtsnoeren inzake de definitie van een AI-systeem (artikel 3(1) AIV) door de Commissie gepubliceerd. NB: De richtsnoeren van de Commissie zijn gepubliceerd, maar nog niet officieel aangenomen. Oh, en de Commissie heeft het voorstel voor een AI aansprakelijkheidsrichtlijn ingetrokken.

📚 Vakliteratuur

Roberta Montinaro, 'Emotion Recognition and Personalized Advertising', (2024), 32, European Review of Private Law, Issue 6, pp. 1003-1036.
Dit artikel onderzoekt emotieherkenningssystemen (ERS) in gepersonaliseerde reclame vanuit EU-wetgeving en benadrukt dat ERS-profilering gevoelige informatie kan onthullen en bespreekt dit in de context van onder meer de AVG, Richtlijn 2005/29/EC, de DSA, en de regulering binnen de AIV.

Het Tijdschrift voor Gezondheidsrecht (TvGR) besteedde veel aandacht aan het medisch beroepsgeheim. Daarnaast was er ook een artikel over hoe om te gaan met klinische studies en de bescherming van persoonsgegevens in België.

• M. Panneel, 'Bescherming van persoonsgegevens in de context van klinische studies. Wetgeving en praktijk in België', 2025, afl. 1, p. 51-61
• A.C. Hendriks, 'Het medisch beroepsgeheim vanuit Europees mensenrechtelijke optiek', 2025, afl. 1, p. 16-23

Nog een laatste artikel in het Nederlands Tijdschrift voor Burgerlijk Recht over privacy bij rolzittingen. A.A.A. Janssen, K.G.F. van der Kraats & K. van den Bos, ‘De civiele rolzitting: een empirisch-juridische reflectie op standaard en praktijk’, NTBR 2025, p. 37-46.  Hier werd opgemerkt dat er een behoefte was aan privacy bij rolzittingen bij zittingen over schuldenproblematiek (p. 42)

Editie #3 komt op 24 februari 2025
Tot dan!