Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand november op een rij.
1. De NS verwerkt rechtmatig persoonsgegevens van haar reizigers
Iedereen maakt er wel eens gebruik van, het openbaar vervoer. Waar je vroeger nog een kaartje kocht, wordt er nu volop gebruik gemaakt van OV-chipkaarten. Op deze kaarten staan talrijke persoonsgegevens. De vraag in deze zaak was of het noodzakelijk is dat de NS over persoonsgegevens van reizigers met een OV-chipkaart beschikt.
De appellant in deze zaak had de Autoriteit Persoonsgegevens (AP) verzocht om een onderzoek in te stellen naar de verwerking van persoonsgegevens door de spoorvervoerder. Hij wilde namelijk niet dat de NS met zijn persoonsgegevens aan de haal gaat op het moment dat hij zijn OV-chipkaart gebruikt. De AP deed hier onderzoek naar, maar stelde vast dat er geen overtreding plaatsvond en wees daarom het verzoek van de appellant af. De appellant ging hiertegen in beroep en kwam uiteindelijk terecht bij de Raad van State.
De Raad van State oordeelde dat op het moment dat de reiziger in het openbaar vervoer stapt er een vervoersovereenkomst tot stand komt. De verwerking van persoonsgegevens kan rechtmatig zijn als dat noodzakelijk is voor de uitvoering van een overeenkomst. De vraag is dus of het noodzakelijk is om persoonsgegevens te verwerken bij de uitvoering van de overeenkomst. De Raad van State oordeelt dat dit het geval is. De gegevensverwerkingen hebben als doel de verplichtingen van de reiziger en het vervoer vast te stellen, aangezien zij een overeenkomst met elkaar aangaan. Enerzijds gaat het om het vaststellen dat de NS het contractuele vervoer op een traject heeft verzorgd. Anderzijds zijn de gegevens met betrekking tot het waar en wanneer passagiers in- of uitstappen, nodig om te bepalen welke tegenprestatie de reiziger is verschuldigd (namelijk de prijs van de rit).
Het oordeel van de Raad van State is duidelijk: de persoonsgegevens van een reiziger worden door de NS rechtmatig verwerkt.
2. Basisschool hoeft gegevens van minderjarig kind niet te verwijderen
Als ouder zijnde wil je je kinderen zo goed mogelijk beschermen tegen de grote boze buitenwereld. Zo ook de ouders in deze zaak.
De ouders hebben ervoor gekozen om voor hun kind op zoek te gaan naar een andere basisschool. Dit naar aanleiding van een conflict met de leerkracht van het kind over de houding en het gedrag van het kind op school. Bij de inschrijving van een nieuwe school hebben de ouders de zogeheten KIJK- en ZIEN-rapportages over het kind ter beschikking gesteld, welke zijn opgesteld door de oude basisschool. Deze rapportages worden in het basisonderwijs opgesteld teneinde de ontwikkeling en het sociaal-emotioneel functioneren van leerlingen in kaart te brengen. Door middel van de ZIEN-rapportage heeft de nieuwe basisschool besloten het kind niet te plaatsen. Dit gaf de ouders aanleiding om – met een beroep op de AVG – de oude basisschool te verzoeken om alle gegevens van hun kind te verwijderen en verwijderd te houden. De oude basisschool heeft te kennen gegeven dat zij niet aan dit verwijderingsverzoek zal voldoen. De ouders verzoeken daarom de rechtbank om de oude basisschool te bevelen de ZIEN-rapportage betreffende het kind volledig te vernietigen.
De rechtbank Oost-Brabant oordeelt dat de basisschool de gegevens niet hoeft te verwijderen. De oude basisschool mag conform de wettelijke bewaartermijn de gegevens bewaren en is daartoe zelfs wettelijke verplicht.
3. Privacy First in het ongelijk gesteld over de wetgeving UBO
Het gerechtshof heeft in deze kort geding zaak uitgemaakt dat de Nederlandse UBO-wetgeving niet buiten werking hoeft te worden gesteld. De stichting Privacy First had dit geëist tegen de Nederlandse staat. De UBO-wetgeving is in september 2020 in werking getreden naar aanleiding van de Europese anti-witwas richtlijn.
De UBO-wetgeving verplicht om persoonsgegevens van uiteindelijk belanghebbende(n), ook wel ultimate beneficial owner(s) (UBO’s) genoemd, van vennootschappen en andere rechtspersonen in het handelsregister op te nemen. Daarmee wordt de identiteit van de UBO vastgesteld. Volgens Privacy First is dit in strijd met de privacy en met het recht op bescherming van persoonsgegevens van de UBO’s. Om wetgeving – die is gebaseerd op een Europese richtlijn – buitenwerking te stellen, is vereist dat betrokkenen op korte termijn ernstige schade zullen lijden. Privacy First heeft dat niet voldoende aannemelijk gemaakt ten aanzien van UBO’s. Daarnaast kan een UBO bij blootstelling aan een onevenredig risico, vrees van ontvoering, chantage, afpersing, minderjarigheid en andere soorten van handelingsonbekwaamheid – na de openbaarmaking van zijn gegevens – zijn gegevens op verzoek afschermen. De voorzieningenrechter heeft daarom de vordering afgewezen.
Benieuwd wat er in december 2021 gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!
Deze blog is in samenwerking geschreven met werkstudent Aimée Tjalma
