Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Aan de hand van jurisprudentie leren we veel over hoe de Algemene verordening gegevensbescherming (hierna: AVG) uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand april op een rij.
Fraudebestrijding bij Uber
De eerste zaak gaat over informatieverzoeken die een aantal Uber chauffeurs hebben gedaan naar aanleiding van het verwijderen van hun Uberaccounts. Deze zaak is gevoerd in hoger beroep bij het gerechtshof te Amsterdam (hierna: hof). De appellanten (eisers in hoger beroep) zijn alle vier werkzaam geweest als Uber chauffeurs, waar ze gebruik maakten van de Driver app. Hun accounts zijn gedeactiveerd, omdat ze zich volgens Uber schuldig maakte aan fraude. Er wordt ten eerste gevorderd dat de accounts opnieuw worden geactiveerd. Ten tweede willen de chauffeurs inzage in de persoonsgegevens en de wijze van automatische besluitvorming die tot het deactiveren van de accounts hebben geleid. De rechtbank heeft in eerste instantie de vorderingen van de chauffeurs ongegrond verklaard, omdat er volgens de rechtbank geen sprake is van geautomatiseerde besluitvorming. Verder in dit stuk wordt uitgelegd wat dit precies betekent. Na de beslissing van de rechtbank hebben de chauffeurs hoger beroep ingesteld tegen de beslissing.
Appellanten willen dus inzage in de geautomatiseerde besluitvorming die heeft plaatsgevonden, waardoor hun accounts gedeactiveerd konden worden. Dit verzoek is door de rechtbank ongegrond verklaard, omdat er sprake zou zijn van een duidelijke menselijke tussenkomst, waardoor geen geautomatiseerde besluitvorming heeft plaatsgevonden. Het hof is eerst ingegaan op het recht op informatie bij geautomatiseerde besluitvorming. Er moet sprake zijn van een situatie waarin persoonsgegevens van de betrokkenen worden gebruikt om zonder menselijke tussenkomst een besluit te nemen over de betrokkenen. Aan deze verwerking moet een merkbaar gevolg gekoppeld zijn. In dit geval is het gevolg het deactiveren van de accounts door de fraudeverdenking.
Volgens het hof worden de appellanten in aanmerkelijke mate getroffen. De chauffeurs konden namelijk geen gebruik maken van de Driver App, waardoor ze inkomsten zijn misgelopen. Het hof heeft daarnaast beoordeeld of er sprake is van een geautomatiseerde besluitvorming, zonder menselijke tussenkomst. Het hof geeft in de overwegingen aan wanneer sprake is van menselijke tussenkomst: “Om daadwerkelijke menselijke tussenkomst te realiseren moet de verwerkingsverantwoordelijke ervoor zorgen dat al het toezicht op de besluitvorming zinvol is, en niet slechts een symbolische handeling vormt.” Voor drie van de vier appellanten is er door toepassing van deze voorwaarde geen sprake geweest van menselijke tussenkomst. Er zijn wel mensen betrokken geweest bij de besluitvorming, maar dit had geen duidelijke invloed. Er is dus sprake geweest van een geautomatiseerde verwerking van persoonsgegevens, waarop de besluitvorming is gebaseerd. Met één van de appellanten is voor het besluit een gesprek geweest over het deactiveren van zijn account. Bij deze appellant heeft het hof geoordeeld dat er wel sprake was van menselijke tussenkomt, waardoor de besluitvorming niet geheel geautomatiseerd heeft plaatsgevonden. Zijn eis is daarom niet meer relevant.
Alleen in uitzonderlijke gevallen kan een inzageverzoek worden geweigerd. Een inzageverzoek kan bijvoorbeeld geweigerd worden als de organisatie ernstige last ervaart van de omvang het verzoek, of dat er gegevens gedeeld worden die de rechten van anderen in gevaar brengen. Uber geeft aan dat de gevraagde informatie door appellanten gevoelige bedrijfsinformatie betreft, die niet zomaar aan derden gegeven kan worden. Het hof verwerpt dit beroep, omdat dit er niet toe leidt dat Uber helemaal geen informatie hoeft te verschaffen. Het hof heeft geoordeeld dat de uitspraak van de rechtbank vernietigd wordt op de punten die zien op het afwijzen van de informatieverzoeken. Het informatieverzoek van de drie appellanten, waarbij wel gebruik is gemaakt van de geautomatiseerde besluitvorming, moet dus worden gehonoreerd.
AVG biedt bescherming voor illegaal verkregen beeldmateriaal
Het Expertisebureau Online Kindermisbruik (hierna: ‘EOKM’) heeft bij de rechtbank Amsterdam een kort geding aangespannen tegen Hammy Media Ltd. (hierna: ‘Hammy’), de exploitant van de pornografische website Xhamster. EOKM is van mening dat er op de website beeldmateriaal geplaatst wordt dat illegaal verkregen is, waaronder beeldmateriaal waar kinderen op te zien zijn. Dit gaat in tegen de AVG en het portretrecht wat voortkomt uit de Auteurswet. EOKM is het kortgeding gestart om ervoor te zorgen dat er geen illegale content op de website wordt geplaatst en dat de illegale content die op de website staat, wordt verwijderd.
Volgens Hammy wordt alle content alleen door zogeheten verified members geplaatst. Deze members hebben verklaard dat zij meerderjarig zijn en dat hun persoonsgegevens verwerkt mogen worden. Daarnaast moet er een identiteitsbewijs worden geüpload, waardoor de identiteit van de gebruikers kan worden bevestigd. Hammy verwerkt beeldmateriaal waaruit je iemands seksuele gedrag, of seksuele gerichtheid kan afleiden. Dit zijn bijzondere persoonsgegevens in de zin van de AVG. In beginsel is de verwerking van deze persoonsgegevens verboden, maar het kan geoorloofd zijn, indien Hammy de verwerking kan baseren op een grondslag, waardoor het verwerkingsverbod kan worden doorbroken.
Hammy heeft verweer gevoerd aan de hand van twee argumenten. Ten eerste wordt de uitdrukkelijke toestemming van de betrokkene genoemd als grondslag voor de verwerking. Ten tweede beroept Hammy zich op het feit dat er sprake is van persoonsgegevens die door de betrokkene zelf openbaar zijn gemaakt. Volgens de voorzieningenrechter kan het beroep op de grondslag van toestemming in veel gevallen niet slagen. Het blijkt namelijk niet dat er sprake is van uitdrukkelijke toestemming van de betrokkenen dat het illegale beeldmateriaal gepubliceerd mochten worden. Ook het beroep op het feit dat het beeldmateriaal door de betrokkenen zelf openbaar is gemaakt gaat niet op. De rechter geeft hierbij aan dat hammy hierop alleen een beroep mag doen, indien er sprake is van een situatie dat enkel de uploader van het beeldmateriaal herkenbaar in beeld staat en het ook duidelijk is dat hij degene is die het uploadt. Dat is in het geval van de content op Xhamster bijna niet te achterhalen.
De voorzieningenrechter heeft geoordeeld dat Hammy niet langer gebruik mag maken van content op de website waarbij niet aangetoond kan worden dat de betrokkene toestemming heeft gegeven voor het verspreiden van het beeldmateriaal. Uit deze zaak blijkt dat er aan veel specifieke vereisten moet worden voldaan, voordat het doorbreken van het verwerkingsverbod van bijzondere persoonsgegevens toegestaan is. In het geval van beeldmateriaal wat later illegaal blijkt te zijn is het een logisch gevolg dat er geen beroep kan worden gedaan op de grondslagen.
Wel of geen inzageverzoek?
In deze zaak heeft de rechtbank zich gebogen over de vraag wanneer er sprake is van een inzageverzoek in persoonsgegevens. Eiser heeft in 2018 een woning gekocht en heeft daarvoor een aanvraag bij de Volksbank ingediend om een hypotheeklening te ontvangen. Hiertoe heeft de Volksbank een onderzoek gedaan naar het risicoprofiel van eiser. Uit het onderzoek zijn een aantal onregelmatigheden gebleken, waardoor de persoonsgegevens van eiser zijn opgenomen in de gebeurtenissenadministratie van de Volksbank.
Eiser vordert een afschrift van alles wat betrekking heeft op het onderzoek naar zijn risicoprofiel, waaruit de onregelmatigheden voortkomen. Daarnaast vordert eiser dat de Volksbank kenbaar maakt wanneer hij in het incidentenregister is geregistreerd en wanneer en hoe de Volksbank informatie heeft opgevraagd over hem bij andere instanties. Eiser stelt onder andere op grond van de AVG recht te hebben op deze informatie. De Volksbank is van mening dat er helemaal geen verzoek heeft plaatsgevonden op grond van de AVG, waardoor de bank de informatie helemaal niet hoefde te verstrekken.
De rechtbank oordeelt dat er inderdaad geen sprake was van een duidelijk inzageverzoek, maar de Volksbank wel te beperkt is ingegaan op de vragen van eiser. Hij heeft namelijk het recht om alle gegevens in te zien die niet bij hem verzameld zijn. Een groot deel van het onderzoek naar het risicoprofiel van eiser valt hier niet onder. Dit bevat namelijk geen gegevensverwerkingen in de zin van de AVG. De rechter beveelt de Volksbank om een afschrift van alle niet bij de betrokkene verkregen persoonsgegevens over te dragen aan eiser. Daarnaast moet de Volksbank ook informatie verstrekken over de herkomst van de gegevens die niet bij eiser zijn verkregen.
