Dumoulin-Siemens

UBO-register tijdelijk afgesloten voor het publiek, de registratieverplichting geldt nog steeds

UBO-register tijdelijk afgesloten voor het publiek, de registratieverplichting geldt nog steeds 2560 1920 Ekelmans Advocaten
UBO-register
Leestijd: 3 minuten
Lesedauer: 3 Minuten
Reading time: 3 minutes
Expertise:

Het is niet acceptabel dat willekeurige leden van de bevolking (financiële) informatie over een UBO kunnen opvragen. Dat heeft het Europese Hof van Justitie bepaald. Het UBO-register is daarom tijdelijk afgesloten voor het publiek. Wat houdt deze uitspraak in? En wat zijn gevolgen voor het UBO-register en de registratieverplichting?

Anti-witwasrichtlijn ter voorkoming van financieel-economische criminaliteit

Het UBO-register en de verplichting om te registeren is gebaseerd op de Europese vierde en vijfde anti-witwasrichtlijn. Deze richtlijn heeft als doel om financieel-economische criminaliteit tegen gaan. Hierbij kan je denken aan corruptie, witwassen, belastingontduiking, fraude en financiering van terrorisme.

Ondernemingen moeten hun uiteindelijk begunstigden registeren in dit UBO-register. Een deel van deze informatie (naam, geboortemaand en jaar, nationaliteit, woonstaat, aard en omvang van het economisch belang in de onderneming) was tot voor kort voor iedereen toegankelijk. Iedereen kon tegen een geringe vergoeding een uittreksel uit het UBO-register opvragen.

“De bepaling in de antiwitwasrichtlijn dat informatie over een UBO in alle gevallen voor elk lid van de bevolking toegankelijk moet zijn, is ongeldig”

Uitspraak Europees Hof over openbaarheid van het UBO-register

Het Europees Hof van Justitie (Hof) heeft in zijn uitspraak van 22 november 2022 een deel van de Europese regels over het UBO-register ongeldig verklaard. Volgens het Hof vormt de toegang voor het grote publiek tot informatie over een UBO een ernstige inmenging in de grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens. Het is niet acceptabel dat willekeurige leden van de bevolking (financiële) informatie over een UBO kunnen krijgen zonder dat zij daar een belang bij hebben dat verband houdt met het doel van de richtlijn. Namelijk voorkoming van witwassen en financiering van terrorisme. UBO’s lopen vooral ook risico, omdat de gegevens uit het UBO-register na verstrekking zonder belemmering kunnen worden opgeslagen en verspreid. De bepaling in de antiwitwasrichtlijn dat informatie over een UBO in alle gevallen voor elk lid van de bevolking toegankelijk moet zijn, is ongeldig, aldus het Hof.

Welke gevolgen heeft dit voor het Nederlandse UBO-register en registratieverplichting?

De Kamer van Koophandel heeft, op verzoek van minister Kaag, het UBO-register tijdelijk afgesloten voor het publiek. Dit betekent dat tijdelijk geen informatie uit het UBO-register kan worden opgevraagd. In de komende dagen zal worden bezien welke informatieverstrekkingen nog wel mogelijk zijn. De uitspraak van het Hof heeft geen gevolgen voor de verplichting tot registratie in het UBO-register. Uiteindelijk begunstigden moeten zich registreren, voor zover zij dat nog niet hebben gedaan. In mijn eerdere blog beantwoord ik de vraag voor wie de verplichting tot inschrijving in het UBO-register geldt.

Meer weten over het privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. U moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit uw branche. Onze Privacy Desk helpt u om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van uw klanten te waarborgen.

Auteur

Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.

Heeft een betrokkene recht op inzage in het door of namens de verzekeraar gevormd schadedossier?

Heeft een betrokkene recht op inzage in het door of namens de verzekeraar gevormd schadedossier? 1512 1006 Ekelmans Advocaten
Schadedossier inzagerecht
Leestijd: 5 minuten
Lesedauer: 5 Minuten
Reading time: 5 minutes

De realiteit van onze datagedreven samenleving is dat wij niet precies weten welke gegevens er over ons worden verwerkt. Wij hebben het recht om persoonsgegevens in te zien die over ons zijn verzameld , zodat wij ons van het gebruik daarvan kunnen vergewissen en kunnen nagaan of onze persoonsgegevens rechtmatig worden gebruikt. Het inzagerecht lijkt een algemeen en breed geformuleerd recht. Betekent dit dat een betrokkene recht op inzage heeft in het (gehele) schadedossier dat de verzekeraar heeft opgesteld? In dit blog geef ik antwoord op deze vraag.

Bron: VAST 2022 / B-0034, Anne-Mieke Dumoulin-Siemens, e-ISSN 2667-307X, M.A.D.Lex

Definitie persoonsgegevens en reikwijdte inzagerecht

Het inzagerecht van artikel 15 Algemene Verordening Gegevensbescherming (AVG) heeft alleen betrekking op persoonsgegevens. Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (artikel 4 lid 1 AVG). De hiervoor geformuleerde vraag lijkt daarmee te kunnen worden beantwoord: de betrokkene heeft recht op inzage in de persoonsgegevens die de verzekeraar van hem in het schadedossier heeft opgenomen. Echter, dit antwoord moet op basis van jurisprudentie worden genuanceerd.

De reikwijdte van het begrip persoonsgegevens bepaalt welke gegevens de verzekeraar op grond van het inzagerecht aan de betrokkene moet verstrekken. Volgens het Europees Hof van Justitie (HvJ EU) moet het begrip persoonsgegevens ruim worden uitgelegd. Zo oordeelde het HvJ EU dat feitelijke of waarderende uitlatingen over eigenschappen, opvattingen of gedragingen van een persoon, persoonsgegevens zijn. In de Nowak-zaak (ECLI:EU:C:2017:994) ging het om een analyse door een examinator van het examen van een examenkandidaat.

De rechtspraak in Nederland heeft het inzagerecht met betrekking tot het schadedossier op basis van de definitie van persoonsgegevens nader ingevuld en verduidelijkt. Een schadedossier bestaat uit verschillende documenten. Zo kan het interne notities, telefoonnotities en correspondentie tussen de verzekeraar en diens advocaat bevatten, maar ook medische adviezen. Hierna geef ik aan of, en zo ja in hoeverre, deze documenten persoonsgegevens zijn en dus onder de reikwijdte van het inzagerecht vallen. Ik wijs er daarbij kort op dat het in beginsel volstaat om een overzicht van de persoonsgegevens aan de betrokkene te verstrekken. De betrokkene kan op basis van de huidige rechtspraak niet het recht aan de AVG ontlenen een kopie te verkrijgen van de documenten waarin de persoonsgegevens staan.

Welke documenten uit het schadedossier vallen onder het inzagerecht?

  1. Interne notities en Telefoonnotities
    Notities die uitsluitend de persoonlijke gedachten of (beleids)opvattingen van medewerkers van de verzekeraar of van derden bevatten en die uitsluitend bedoeld zijn voor intern overleg, beraad of besluitvorming, zijn geen persoonsgegevens en vallen niet onder het inzagerecht. Wanneer een notitie echter (ook) persoonsgegevens bevat, moet men deze persoonsgegevens bij een inzageverzoek aan de betrokkene verstrekken. Dat kan bijvoorbeeld door een kopie van de notitie te verstrekken waarin de persoonlijke gedachten en interne aantekeningen zwart gemaakt zijn (HvJ EU 17 juli 2014 (IND), ECLI:EU:C:2014:2081 r.o 58) of door een overzicht van de persoonsgegevens te verschaffen. Let wel, het volstaat niet om een notitie als titel ‘interne notitie’ mee te geven. Daarmee valt de notitie niet automatisch buiten het bereik van het inzagerecht. Het gaat om de inhoud van de notitie. Mijn advies aan de verzekeraar is om aandacht te besteden aan wat hij vastlegt in een interne notitie. Overwegingen die de betrokkene betreffen, kwalificeren in beginsel als een persoonsgegeven en moet de verzekeraar bij een inzageverzoek verstrekken.
  2. Stukken relatie verzekeraar en advocaat
    De betrokkene heeft geen recht op inzage in de correspondentie tussen de verzekeraar en zijn advocaat. Dat valt onder de bescherming van de vertrouwelijke relatie tussen beiden.
  3. Medisch advies
    Het is de vraag of medisch advies een persoonsgegeven is. De kans bestaat dat de Hoge Raad zijn standpunt hierover gaat wijzigen. In het Waterlandziekenhuis-arrest (ECLI:NL:HR:2018:365) oordeelde de Hoge Raad eerder nog dat een medisch advies geen persoonsgegeven betreft.

Is een analyse van persoonsgegevens (gezondheidsgegevens) zelf ook een persoonsgegeven?

Een medisch adviseur beoordeelt in opdracht van de verzekeraar het medisch dossier van een patiënt en geeft daarover een oordeel. In letselschadedossiers gebruikt de verzekeraar de analyse van de medisch adviseur bij de beslissing of een uitkering kan worden gedaan. In geval van een beroepsaansprakelijkheidsdossier onderzoekt de medisch adviseur of de behandeling van de desbetreffende patiënt door de behandelend arts volgens de regels plaatsvond. In beide voorbeelden baseert de medisch adviseur zijn analyse op de gezondheidsgegevens van de patiënt zonder deze zelf aan een (lichamelijk) onderzoek te onderwerpen. De vraag hierbij is of een analyse van persoonsgegevens (gezondheidsgegevens) zelf ook een persoonsgegeven is.

De algemene opvatting in de rechtspraak is dat een dergelijke medische analyse geen persoonsgegeven is en dus niet onder het inzagerecht valt (Waterlandziekenhuis-arrest (ECLI:NL:HR:2018:365). De medische analyse – zo is de redenering – verzamelt geen nieuwe persoonsgegevens van de patiënt, omdat die niet berust op een onderzoek waaraan de patiënt werd onderworpen. Ook is het medisch advies niet opgesteld in het kader van de behandeling van de patiënt en is het niet noodzakelijk voor een goede medische hulpverlening aan de patiënt. De patiënt in kwestie heeft dus op grond van artikel 15 AVG wel recht op inzage in zijn medisch dossier, maar niet op inzage in het medisch advies.

Cassatie in het belang der wet tegen een beslissing van het Centraal Tuchtcollege voor de Gezondheidszorg

Recent heeft advocaat-generaal T. Hartlief (hierna: Hartlief) een oordeel van het Centraal Tuchtcollege voor de Gezondheidszorg in een beroepsaansprakelijkheidskwestie aangegrepen om cassatie in het belang van de wet in te stellen bij de Hoge Raad. Hartlief verzoekt de Hoge Raad de vraag te beantwoorden of een betrokkene doorgaans recht zal hebben op inzage in een medisch advies waaraan zijn medische gegevens ten grondslag liggen. Hij is zelf van mening – zo schrijft hij in zijn conclusie aan de Hoge Raad (ECLI:NL:PHR:2022:762) – dat een medisch advies wel een persoonsgegeven is. Daarom is het volgens Hartlief verdedigbaar dat artikel 15 AVG in beginsel wel een recht op inzage in een medisch advies schept. Als de analyse van een examinator over het examen van een examenkandidaat een persoonsgegeven is (zie de Nowak-zaak waaraan ik hiervoor refereer), waarom zou de analyse van een medisch adviseur dat dan niet zijn, zo vraagt Hartlief zich af.

Toch zal het beroep van een betrokkene op inzage in een medisch advies volgens Hartlief niet kunnen slagen. Het inzagerecht is immers geen absoluut recht, maar kan worden beperkt door de rechten en vrijheden van anderen (artikel 15 lid 4 jo. 23 AVG), in dit geval het recht van het ziekenhuis op grond van artikel 6 EVRM op verdediging en ongestoorde standpuntbepaling. Een ziekenhuis of een aansprakelijkheidsverzekeraar moet een medisch adviseur om advies kunnen vragen zonder het risico te lopen dat de medische analyse aan de patiënt/wederpartij moet worden openbaard.

Uitspraak van de Hoge Raad volgt

Als de Hoge Raad de conclusie van Hartlief volgt, heeft dit (verstrekkende) gevolgen voor de reikwijdte van het inzagerecht. Als het medisch advies een persoonsgegeven is, valt het onder het inzagerecht. De verzekeraar kan een inzageverzoek niet meer afdoen met een korte en algemeen geformuleerde verwijzing naar het feit dat een medisch advies geen persoonsgegeven is. De verzekeraar zal moeten onderbouwen waarom zijn recht op ongestoorde gedachtewisseling in het specifieke geval zwaarder weegt dan het recht van de betrokkene op inzage in het medisch advies. Het arrest van de Hoge Raad wordt verwacht op 17 februari 2023. Dan weten wij meer.

Meer weten over het privacyrecht?

Het gebruik van persoonsgegevens is in veel processen onmisbaar om een goede dienstverlening aan uw klanten te kunnen bieden. De wetgeving die deze verwerkingen beheerst is echter complex, zeker als het gaat om bijzondere persoonsgegevens. U moet voldoen aan de strenge verplichtingen van de Algemene Verordening Gegevensbescherming (AVG/ GDPR), van de UAVG en aan de gedragscodes uit uw branche. Onze Privacy Desk helpt u om persoonsgegevens (commercieel) zo optimaal mogelijk te benutten én tegelijkertijd de privacy van uw klanten te waarborgen.

Auteur

Anne-Mieke Dumoulin-Siemens is specialist ondernemingsrecht en privacyrecht. Zij is een kundige gesprekspartner voor (internationale) commerciële ondernemingen en non-profit organisaties. Cliënten waarderen haar juridische adviezen vanwege de praktische en commerciële uitvoerbaarheid ervan.

Verplichte UBO registratie per 27 maart 2022

Verplichte UBO registratie per 27 maart 2022 2560 1920 Ekelmans Advocaten
UBO-register
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes
Expertise:

Vanaf 27 maart 2022 zijn juridische entiteiten verplicht hun uiteindelijk belanghebbenden in het UBO-register te registeren. ‘UBO’ staat voor Ultimate Beneficial Owner. De vertegenwoordigingsbevoegde bestuurder van de organisatie moet de registratie bij de Kamer van Koophandel verzorgen.

Registratie is wettelijk verplicht. Het niet, niet op tijd of onjuist registreren kan worden bestraft met een geldboete. Het kan ook strafrechtelijke gevolgen hebben.

Registreren kan via de volgende link UBO’s inschrijven, wijzigen en uitschrijven – UBO-register (kvk.nl)

Wat is de UBO registratie en waarom is deze registratie verplicht?

Een UBO is altijd een natuurlijk persoon. Voor een B.V. gelden andere regels dan voor bijvoorbeeld een maatschap of vennootschap onder firma. Een organisatie heeft altijd ten minste één UBO. Als er geen UBO kan worden aangewezen, worden alle bestuurders bij rechtspersonen of vennoten bij de vennootschap onder firma geregistreerd als pseudo-UBO.

Waarom is er een UBO-register?

Het doel van het UBO-register is financieel-economische criminaliteit tegen gaan. Hierbij kan je denken aan corruptie, witwassen, belastingontduiking, fraude en financiering van terrorisme. Het UBO-register moet zorgen voor meer transparantie. Door alle uiteindelijk belanghebbenden in te schrijven in een openbaar register ontstaat er meer duidelijkheid over welke personen de uiteindelijke zeggenschap hebben over een bepaalde juridische entiteit. De inschrijving van deze personen in een openbaar register dient daarmee ook een preventief doel. Wanneer men in een openbaar register als uiteindelijk begunstigde staat ingeschreven, is het minder aantrekkelijk de juridische entiteit voor financieel-economische criminele doeleinden te gebruiken. Verder maakt het UBO-register het makkelijker om te weten te komen met wie men zaken doet.

Wie beheert het UBO-register?

Het UBO-register wordt beheerd door de Kamer van Koophandel. De Kamer van Kophandel is al houder van het handelsregister. Het is dus een logische keuze van de wetgever om het UBO-register voor rechtspersonen en ondernemingen ook bij de Kamer van Koophandel onder te brengen. De Kamer van Koophandel is verantwoordelijk voor de controle op de tijdige aanlevering van UBO-gegevens, en op de juistheid en volledigheid ervan.

Voor wie geldt de verplichting tot inschrijving in het UBO-register?

De UBO-registratie is verplicht voor de volgende juridische entiteiten:

  • niet-beursgenoteerde) BV’s en NV’s
  • Overige rechtspersonen: stichtingen, UBO-plichtige verenigingen (dit zijn formele- en informele verenigingen die onderneming drijven), onderlinge waarborgmaatschappijen en coöperaties
  • Personen vennootschappen: maatschappen, vennootschappen onder firma en commanditaire vennootschappen
  • Rederijen
  • Europese naamloze vennootschappen
  • Europese coöperatieve vennootschappen
  • Europees economisch samenwerkingsverbanden die hun zetel in Nederland hebben
  • Kerkgenootschappen

Wie moet de registratie verzorgen?

De juridische entiteit is zelf verantwoordelijk voor de registratie van de gegevens in het UBO-register. De registratie dient online gedaan te worden bij de Kamer van Koophandel door de persoon die namens de entiteit tekeningbevoegdheid heeft. Dat is in het algemeen de bestuurder van de juridische entiteit. Wie er tekeningsbevoegdheid hebben is terug te vinden in het Handelsregister van de Kamer van Koophandel. De UBO is verplicht mee te werken aan de inschrijving.

Auteur

Webinar Bestuurdersaansprakelijkheid: special WBTR

Webinar Bestuurdersaansprakelijkheid: special WBTR 2560 1707 Ekelmans Advocaten
Bestuurdersaansprakelijkheid
Leestijd: < 1 minuut
Lesedauer: < 1 Minute
Reading time: < 1 minute
Expertise:

Op 1 juli treedt de Wet bestuur en toezicht rechtspersonen in werking. Op die datum verandert er veel op het gebied van bestuurdersaansprakelijkheid. Een uitgelezen moment dus voor een webinar voor bestuurders.

Op 1 juli om 16.00 praat Ekelmans & Meijer u bij over een aantal actuele onderwerpen voor bestuurders. Uiteraard komen de belangrijkste wijzigingen uit de WBTR aan de orde. Daarnaast gaan we in op de vraag of  selectieve betaling van schuldeisers mogelijk is. Ook bespreken we het nieuwe UBO register en is er aandacht voor het niet tijdig melden van betalingsonmacht bij de belastingdienst en/of pensioenfonds.

In een webinar van een uur praat Anne-Mieke Dumoulin-Siemens u bij over deze vier onderwerpen. Het webinar heeft een praktische insteek met handige tips and tricks.

Programma

1 juli 2021: start om 16.00 uur
Tijdsduur: 60 minuten
Bestemd voor: Bestuurders, ondernemers en verzekeraars

Contact

25 maart 2021: Ransomware attacks: an ongoing threat

25 maart 2021: Ransomware attacks: an ongoing threat 2362 1696 Ekelmans Advocaten
ransomware attacks
Leestijd: < 1 minuut
Lesedauer: < 1 Minute
Reading time: < 1 minute

Schrijf je nu in voor het webinar ‘Ransomware attacks: an ongoing threat’, 25 maart 2021 van 16.00 tot 17.00 uur (CET).

Bedrijven krijgen steeds meer te maken met ransomware. Het is niet zozeer de vraag óf je onderneming slachtoffer wordt, maar eerder wanneer dat gaat gebeuren. Hoe wapen je jouw bedrijf tegen ransomware? Mocht je eenmaal slachtoffer zijn geworden, hoe ga je dan om met het betalen van losgeld? En moet dat losgeld door de verzekering worden gedekt?

Deze en andere vragen komen aan de orde tijdens het webinar ‘Ransomware attacks: an ongoing threat”. Sprekers vanuit verschillende landen belichten dit thema vanuit hun eigen jurisdictie. Anne-Mieke Dumoulin-Siemens van Ekelmans & Meijer geeft tussen 16:00 en 17:00 uur (CET) inzicht in de Nederlandse en Europese regels en adviezen op dit gebied.

Schrijf je hier in voor dit webinar.

Contact

Kan je na Schrems II persoonsgegevens veilig aan derde landen doorgeven?

Kan je na Schrems II persoonsgegevens veilig aan derde landen doorgeven? 1120 600 Ekelmans Advocaten
Schrems II
Leestijd: 6 minuten
Lesedauer: 6 Minuten
Reading time: 6 minutes
Expertise:

Het Hof van Justitie van de Europese Unie (Hof) heeft op 16 juli 2020 in de zogeheten Schrems II zaak het EU-US Privacy Shield ongeldig verklaard. Dit betekent dat het EU-US Privacy Shield met directe ingang niet meer als basis kan dienen voor de doorgifte van persoonsgegevens aan de VS. Bij het doorgeven van persoonsgegevens aan landen buiten de Europese Economische Ruimte moeten de regels van de AVG worden gevolgd. Dit artikel geeft u antwoord op de vraag hoe u persoonsgegevens aan de VS en andere landen buiten de Europese Economische Ruimte (EER) op een veilige en rechtmatige manier kan doorgeven.

Exit EU-US Privacy Shield

Volgens artikel 45 AVG kunnen persoonsgegevens worden doorgegeven aan landen buiten de EER (een derde land) wanneer de Europese Commissie heeft besloten dat dat derde land een passend niveau van gegevensbescherming biedt. Het EU-US Privacy Shield is gebaseerd op zo’n adequaatheidsbesluit van de Europese Commissie. Het Hof heeft nu in Schrems II het EU-US Privacy Shield ongeldig verklaard, omdat een passend beschermingsniveau in de VS ontbreekt. Er is surveillance regelgeving in de VS op basis waarvan Amerikaanse inlichtingen- en veiligheidsdiensten toegang hebben tot persoonsgegevens. En deze toegang is niet beperkt tot strikt noodzakelijke gegevens. Daarnaast heeft de burger in de VS op het gebied van gegevensbescherming geen afdwingbare rechten en heeft zij geen mogelijkheid om naar de rechter te stappen.

Gevolgen wegvallen EU-US Privacy Shield

De clash tussen de Europese privacy regelgeving en de Amerikaanse surveillance wetten heeft serieuze consequenties voor de vele bedrijven en organisatie die dagelijks op basis van het EU-US Privacy Shield persoonsgegevens doorgeven aan de VS. Zij handelen nu in strijd met de AVG. Schrems II biedt geen overgangsperiode: de doorgifte van persoonsgegevens aan de V.S. op basis van het EU-US Privacy Shield is per de datum van de uitspraak ongeldig verklaard. Schrems II betreft niet alleen toekomstige datastromen, maar ook persoonsgegevens die in het verleden zijn doorgegeven en nog steeds toegankelijk zijn voor de Amerikaanse overheidsinstanties. Nu valt niet te verwachten dat de Autoriteit Persoonsgegevens per direct handhavingstrajecten zal inzetten, maar de vraag wat een acceptabel alternatief mechanisme is voor doorgifte van persoonsgegevens dient bovenaan het actielijstje van uw bedrijf te staan. Hoe nu verder?

Is er een alternatief mechanisme voor doorgifte van persoonsgegevens?

Het doorgeven van persoonsgegevens aan ontvangers in derde landen mag niet ten koste gaan van het beschermingsniveau waarvan natuurlijke personen binnen de EU door de AVG verzekerd zijn. Het ontvangende land moet een beschermingsniveau voor persoonsgegevens bieden dat vergelijkbaar is met het niveau dat binnen de EU wordt gewaarborgd. Kortom, doorgifte mag alleen plaatsvinden in volledige overeenstemming met de AVG.

De AVG faciliteert de doorgifte van persoonsgegevens op basis van een adequaatheidsbesluit (zoals het EU-US Privacy Shield). De Europese Commissie heeft voor 12 landen zo’n adequaatheidsbesluit afgegeven. Bij gebreke van een adequaatheidsbesluit kan doorgifte volgens artikel 46 AVG plaatsvinden op basis van (andere) passende waarborgen. De standaardbepalingen (standard contractual clauses of SCCs) zoals vastgesteld door de Europese Commissie bieden volgens de AVG passende waarborgen.

Als er geen adequaatheidsbesluit is genomen voor een bepaald land, moet het data exporterende bedrijf of instantie ervoor zorgen dat de doorgifte met passende waarborgen wordt geborgd en dient het ontvangende land de betrokkenen afdwingbare rechten en doeltreffende rechtsmiddelen te bieden..

Mogen SCCs na Schrems II nog worden gebruikt?

Artikel 46 AVG, dat de basis vormt voor het gebruik van SCCs, stelt expliciet twee eisen aan de doorgifte naar landen waarvoor geen adequaatheidsbesluit geldt. Ten eerste moet het exporterende bedrijf passende waarborgen bieden (door bijvoorbeeld SCCs) en ten tweede moeten betrokkenen in het derde land over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.

De SCCs hebben in Schrems II de toets der kritiek doorstaan. Persoonsgegevens kunnen in beginsel nog steeds op basis van SCCs aan derde landen worden doorgegeven. Echter, het Hof benadrukt het belang van de eisen die de AVG in artikel 46 aan het gebruik van SCCs stelt. Voorafgaand aan iedere doorgifte van persoonsgegevens dient het verzendende bedrijf te controleren of het ontvangende land de betrokkenen afdwingbare rechten en doeltreffende rechtsmiddelen biedt.

In het algemeen worden bedrijven opgezadeld met de schier onmogelijke opgave om –per land en per doorgifte– te beoordelen of ontvangende landen hun rechtsregels ten aanzien van de bescherming van betrokkenen en hun persoonsgegevens op orde hebben. Daarnaast is het niet duidelijk welke criteria bij de toetsing moeten worden gebruikt. Het Hof besteedt daaraan geen aandacht en artikel 46 AVG biedt ook geen nadere uitleg. We weten nu dat SSCs niet (meer) als mechanisme voor doorgifte van persoonsgegevens aan de VS kunnen worden gebruikt, omdat de Amerikaanse surveillance wetgeving daaraan in de weg staat. Bedrijven tasten echter in het duister hoe de toezichts- en veiligheidswetgeving in andere derde landen moet worden gewaardeerd.

De realiteit is, dat slechts weinig bedrijven over voldoende kennis en middelen beschikken om de gegevensbeschermingswetgeving en surveillance praktijken van derde landen op een goede manier te beoordelen. De realiteit is ook, dat de Europese instanties lijken te worstelen met dergelijke beoordelingen. Tot nu toe heeft de Europese Commissie voor slechts 12 landen een adequaatheidsbesluit afgegeven en het adequaatheidsbesluit voor de VS is nu tot twee keer toe ongeldig verklaard.

Hoe kunnen de SCCs concreet worden gebruikt?

De European Data Protection Board (EDPB) heeft aangekondigd met aanbevelingen te komen hoe moet worden omgegaan met de gevolgen van Schrems II. Zolang deze aanbevelingen er nog niet zijn, kunnen de volgende tips u wellicht helpen de doorgifte van persoonsgegevens op basis van SCCs aan derde landen gestalte te geven.

  • Waarborg dat de data importeur alle bepalingen van de SCCs kan naleven.
  • Voer een due diligence uit naar het soort gegevens dat wordt doorgegeven, de categorieën betrokkenen, de verwerkingsdoeleinden, de bewaartermijn, het type ontvanger en de sector waartoe de ontvanger behoort.
  • Onderzoek in hoeverre het rechtssysteem van het derde land overheidsinstellingen toestaat de openbaarmaking van gegevens te eisen en of de betrokkenen (met inbegrip van buitenlandse betrokkenen) op de hoogte zijn van de openbaarmaking en in staat zijn rechtsmiddelen aan te wenden voor de rechter. Bepaal op welke categorie data de wetten van het derde land ingrijpen.
  • Onderzoek in hoeverre de importeur aan deze wetten gebonden is en hoe waarschijnlijk het is dat de importeur de persoonsgegevens van de exporteur aan de autoriteiten in dat derde land bekendmaakt of bekend moet maken.
  • Controleer of de gegevensimporteur een procedure heeft om de gegevensexporteur te informeren, indien een overheidsvraag zich uitstrekt tot de gegevens van de gegevensexporteur en de mogelijkheid biedt om zich tegen de productie te verzetten.
  • Documenteren voor het geval de positie ervan ooit in twijfel wordt getrokken.
  • Ga na of de risico’s die de nationale surveillance wetgeving meebrengt, kunnen worden gecompenseerd door aanvullende waarborgen met de data importeur af te spreken. Daarbij kunt u denken aan afspraken over het toepassen van een goede encryptie, het opschorten van de doorgifte van gegevens en het verwijderen van gegevens door de data importeur.
  • Zorg ervoor dat u uw keuzes en afspraken documenteert. De AVG eist van u dat u kunt aantonen dat u de AVG naleeft.

Kunnen Binding Corporate Rules worden gebruikt?

Binding Corporate Rules (BSRs) zijn, naast SCCs een mechanisme voor de doorgifte van persoonsgegevens aan derde landen. BCRs betreffen regels die specifiek zijn opgesteld voor doorgifte van persoonsgegevens binnen een internationaal concern. Eenmaal opgesteld en goedgekeurd, kunnen BCRs alleen worden gebruikt voor transport van persoonsgegevens binnen het concern. Voor doorgifte buiten het concern moet een ander mechanisme worden gebruikt.

BCRs waren geen onderwerp van debat in Schrems II. Echter, als de rechtmatigheid van doorgifte van persoonsgegevens op grond van SCCs ter discussie staat, omdat de regelgeving in het ontvangende derde land niet aan de Europese waarborgen voldoet, dan kan men zich afvragen of doorgifte aan datzelfde land op basis van BCRs wel geoorloofd is.

BCRs worden opgesteld door het betreffende concern en moeten worden goedgekeurd door de bevoegde toezichthoudende autoriteit, in Nederland de Autoriteit Persoonsgegevens. SCCs zijn een product van de Europese Commissie. In de praktijk is het belangrijkste verschil dat de last van de beoordeling van de toereikendheid van de beschermingsmaatregelen bij de Autoriteit Persoonsgegevens ligt als een onderneming gebruik maakt van BCR’s, terwijl de gebruiker van SCCs (zie Schrems II) zijn eigen toereikendheidsbeoordeling moet maken en verantwoordelijk is als hij zich vergist. Daarom is het de vraag hoe toezichthoudende autoriteiten binnen de EU omgaan met lopende aanvragen voor de goedkeuring van BCRs. Goedkeuring van BCRs impliceert dat de betreffende toezichthoudende autoriteit van mening is dat in het ontvangende derde land passende waarborgen aanwezig zijn. Dat kan, gezien Schrems II gevoelig liggen.

Kunnen de uitzonderingen van artikel 49 AVG worden gebruikt?

Volgens het Hof in Schrems II creëert de ongeldigverklaring van het EU-US Privacy Shield geen vacuüm, omdat bedrijven een beroep kunnen doen op een van de afwijkingen voor specifieke situaties (artikel 49 AVG). De mogelijkheden om doorgifte te rechtvaardigen via de uitzonderingen van artikel 49 AVG zijn echter beperkt. De EDPB heeft uitgesproken (Richtsnoeren 2/2018) dat deze uitzonderingen limitatief moeten worden geïnterpreteerd en dat de uitzondering niet tot regel bestempeld mag worden. Daarnaast brengt het gebruik van artikel 49 AVG een grote administratieve last mee voor het bedrijf. De data exporteur dient te verantwoorden waarom ieder van de mechanismen voor de betreffende doorgifte niet kunnen worden gebruikt en waarom de betreffende uitzondering in het specifieke geval geschikt is als basis voor doorgifte. De optie van artikel 49 AVG oogt daarmee niet zo aantrekkelijk.

Tot slot

Schrems II toont aan dat de toepassing en naleving van de strikte Europese privacy regels voor doorgifte van persoonsgegevens in het internationale verkeer op problemen stuit. De EDPB heeft een taskforce ingericht die hopelijk op korte termijn met aanbevelingen gaat komen hoe om te gaan met de gevolgen van de Schrems II beslissing.

Auteur

Aansprakelijkheid van de bestuurder – Spaanse villa revisited

Aansprakelijkheid van de bestuurder – Spaanse villa revisited 1080 621 Ekelmans Advocaten
Spaanse villa revisited
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes
Expertise:

Het onderscheid tussen bestuurdersaansprakelijkheid en “zelfstandige” aansprakelijkheid op grond van onrechtmatige daad blijft de rechtspraak bezighouden. In tegenstelling tot “gewone” onrechtmatige daad geldt bij bestuurdersaansprakelijkheid de verzwaarde maatstaf van ernstige verwijtbaarheid. In het algemeen is de vennootschap aansprakelijk voor handelingen die de bestuurder als vertegenwoordiger van de vennootschap verricht. Soms kan de bestuurder ook persoonlijk aansprakelijk worden gesteld. Dat kan alleen als komt vast te staan dat de bestuurder een persoonlijk ernstig verwijt van het handelen kan worden gemaakt.

Wat nu als de bestuurder in een andere hoedanigheid, bijvoorbeeld als makelaar, handelt? Dit geval deed zich voor in het zogeheten Spaanse Villa arrest. Het Spaanse Villa arrest riep destijds veel vragen op. De Hoge Raad leek daarin te suggereren dat een bestuurder van een besloten vennootschap aansprakelijk kan worden gehouden op grond van “gewone” onrechtmatige daad zonder dat sprake is van persoonlijk ernstige verwijtbaarheid. De Hoge Raad voelde zich in een later arrest geroepen uit te leggen dat bestuurdersaansprakelijkheid niet aan de orde was in het Spaanse Villa arrest. Daarin trad de bestuurder op in hoedanigheid van makelaar (dus niet in hoedanigheid van bestuurder) en werd geoordeeld dat deze persoon in strijd heeft gehandeld met de op de hoedanigheid van makelaar rustende zorgvuldigheidsnorm.

Een recente uitspraak van de rechtbank Noord-Nederland toont weer eens aan dat het belangrijk is vast te stellen of de betrokken bestuurder de handelingen in hoedanigheid van bestuurder of in andere hoedanigheid heeft verricht. Anne-Mieke Dumoulin-Siemens besteedt in haar noot bij deze uitspraak (JIN 2020/61) aandacht aan de kwestie van samenloop van hoedanigheden.

De hoedanigheid bepaalt aan welke norm het handelen wordt getoetst. De bestuurder is pas aansprakelijk als hij ernstig verwijtbaar heeft gehandeld. Wanneer in een andere hoedanigheid is gehandeld, wordt de aansprakelijkheid volgens de ‘normale’ regels van de onrechtmatige daad vastgesteld waarbij geen verzwaarde maatstaf geldt.

Auteur(s)

Hoe werkt schadevergoeding bij privacy schending?

Hoe werkt schadevergoeding bij privacy schending? 1900 1357 Ekelmans Advocaten
Anne-Mieke-E
Leestijd: 3 minuten
Lesedauer: 3 Minuten
Reading time: 3 minutes
Expertise:

Bij overtreding van de privacyregels heeft de betrokkene recht op vergoeding van de geleden schade door de verantwoordelijke partij. In de AVG wordt het begrip ‘schade’ breed geïnterpreteerd. Het is de bedoeling van de AVG dat een betrokkene volledige en daadwerkelijke vergoeding van de door hem geleden schade ontvangt. Moeten ondernemingen zich nu wapenen tegen een overmaat aan claims van betrokkenen?

In het afgelopen jaar zijn in Nederland meerdere schendingen van het recht op bescherming van persoonsgegevens aan de rechter voorgelegd. Hoewel in ieder van deze procedures werd vastgesteld dat de regels van de AVG geschonden waren, hadden de respectievelijke betrokkenen alsnog aan te tonen dat zij schade hadden geleden. De beslissing over toekenning van schadevergoeding moet volgens de rechtspraak met inachtneming van zowel de AVG als het Nederlandse schadevergoedingsrecht worden genomen. De bewijslast die het Nederlandse schadevergoedingsrecht aan een betrokkene oplegt, maakt het voor hem of haar niet eenvoudig om schade als gevolg van een schending van de AVG vergoed te krijgen.

Nederlands schadevergoedingsrecht

Volgens Nederlands recht kan de betrokkene zowel materiële als immateriële schade vorderen. Dat is makkelijker gezegd dat gedaan. De betrokkene zal allereerst zijn schade moeten concretiseren. Welke materiële schade is geleden? Ervaart de betrokkene stress als gevolg van de gedachte dat zijn gelekte data kunnen worden misbruikt? Of is er sprake van reputatieschade? Daarnaast is er de vraag hoe hoog de schade is. Hoe begroot je bijvoorbeeld reputatieschade? Ten derde staat de betrokkene voor de taak het causaal verband aan te tonen tussen de door hem geleden schade en de schending van de AVG door de verantwoordelijke.

Schending AVG in andere landen

In andere landen wordt anders met AVG-schade omgegaan. Zo is recent in Engeland schadevergoeding toegewezen zuiver en alleen wegens schending van de AVG. De rechter overwoog in deze kwestie dat de betrokkene recht heeft op een vergoeding ook wanneer er geen schade aangetoond kan worden.

Er is wat voor te zeggen dat de enkele schending van de verplichtingen uit de AVG voldoende zou moeten zijn voor de conclusie dat de schade van een betrokkene moet worden vergoed. Zo is artikel 82 AVG immers geformuleerd: overtreding van de privacyregels in de AVG leidt tot een recht op schadevergoeding voor de betrokkene.

Past de Nederlandse rechter de AVG correct toe?

Hoe verhoudt zich de risicoaansprakelijkheid in de AVG met de schuldaansprakelijkheid in het Nederlandse recht? Is het nu zo dat de betrokkene via het nationale recht een ‘volledige en daadwerkelijke’ vergoeding ontvangt van de door hem wegens schending van de AVG geleden schade? Dat is immers de bedoeling van de AVG. Een antwoord op deze vraag moet worden gegeven door het Europees Hof van Justitie. Het Hof kan zich daarover pas uitspreken, nadat de nationale gerechten prejudiciële vragen aan het Hof hebben gesteld.

Collectieve actie en schuldaansprakelijkheid AVG

De Wet afwikkeling massaschade collectieve actie die per 1 januari 2020 in werking is getreden, maakt het mogelijk in een collectieve actie schadevergoeding wegens schending van de AVG te vorderen. Voordelen van een collectieve actie zijn dat de vaak hoge kosten kunnen worden gedeeld en dat betrokkenen experts kunnen inhuren om de omvang van de schade en het causaal verband in kaart te brengen. Via een collectieve actie kan de druk op de verantwoordelijke worden verhoogd, hetgeen ertoe kan leiden dat deze sneller bereid is een buitengerechtelijke regeling te treffen.

Echter, evenals in een individuele procedure zullen de betrokkenen ook in een collectieve actie hun schade moeten concretiseren, de omvang daarvan moeten bewijzen en het causaal verband moeten aantonen.

Risico op massaclaims wegens schending AVG beperkt

Moeten ondernemingen serieus rekening gaan houden met (massa)claims van betrokkenen wegens schending van de AVG? Het risico daarop lijkt beperkt, zolang de rechters in Nederland bij schendingen van de AVG de ‘volledige en daadwerkelijke’ vergoeding blijven vaststellen met inachtneming van het Nederlandse schadevergoedingsrecht. Dit neemt niet weg dat bedrijven hun verplichtingen met betrekking tot de bescherming van persoonsgegevens serieus moeten nemen. Voorkomen is nog altijd beter dan genezen.

Wilt u meer weten over dit onderwerp? Neem dan contact op met onze Privacy Desk.

Auteur

Aktuelles

Enquêteprocedure – mag de beheerder van de aandelen deze verkopen?

Enquêteprocedure – mag de beheerder van de aandelen deze verkopen? 1900 1357 Ekelmans Advocaten
Anne-Mieke-E
Leestijd: 2 minuten
Lesedauer: 2 Minuten
Reading time: 2 minutes
Expertise:

De Ondernemingskamer is recent teruggekomen van haar eerdere opvatting dat een beheerder van aandelen bevoegd is alle aan de aandelen verbonden rechten uit te oefenen. De veronderstelde beschikkingsbevoegdheid van de beheerder was stof tot discussie en leidde tot kritische reacties. Het is goed dat de Ondernemingskamer nu duidelijkheid schept.

Aandelen in beheer

De Ondernemingskamer bij het Gerechtshof Amsterdam kan in een enquêteprocedure de aandelen in de vennootschap in beheer geven bij een derde. Dit is een van de mogelijke tijdelijke voorzieningen die de Ondernemingskamer kan treffen wanneer zij vindt dat de vennootschap of het onderzoek naar de misstanden daarmee gebaat is. Hoofdzaak is dat op korte termijn rust wordt gebracht in de verhoudingen tussen de betrokkenen bij de vennootschap (meestal de aandeelhouders en de bestuurders).

Welke bevoegdheden heeft de beheerder van de aandelen? Het is wel duidelijk dat de beheerder, met uitsluiting van de aandeelhouder, het vergaderrecht en het stemrecht op de aandelen uitoefent. Tot voor kort vond de Ondernemingskamer dat de beheerder bevoegd is alle aan de aandelen verbonden rechten uit te oefenen. De beheerder mocht de aandelen bijvoorbeeld ook certificeren. Dat is een vergaande bevoegdheid. Critici zeggen dat de beheerder daarmee de eigendomsrechten van de aandeelhouder schendt.

Bevoegdheden beheerder

De Ondernemingskamer is inmiddels teruggekomen van haar opvatting dat een beheerder beschikkingsbevoegd is ten aanzien van de bij hem in beheer gegeven aandelen. In twee uitspraken uit 2019 beslist de Ondernemingskamer dat de beheerder alleen het beheer over de aandelen verkrijgt, maar niet bevoegd is die aandelen van de hand te doen. Kort gezegd, blijven de verschillende vermogensrechten (zoals certificering en verkoop) ten aanzien van de aandelen bij de aandeelhouder. Alleen de vennootschappelijke rechten (zoals vergaderrecht en stemrecht) komen toe aan de beheerder. In mijn noot onder de uitspraak van de Ondernemingskamer van 8 juli 2019 besteed ik aandacht aan deze kwestie.

Tijdelijke basis

De nieuwe opvatting van de Ondernemingskamer schept duidelijkheid. Een en ander betekent echter niet dat het tijdelijk karakter van de voorziening en de bescherming van het eigendomsrecht van de aandeelhouder aan belang inboet. In een enquêteprocedure mogen de aandelen nog steeds alleen op tijdelijke basis in beheer worden gegeven en deze voorziening moet proportioneel zijn ten opzichte van het beoogde doel van de maatregel.

Auteur(s)

Aktuelles

Specialist ondernemingsrecht en privacyrecht Anne-Mieke Dumoulin naar Ekelmans & Meijer

Specialist ondernemingsrecht en privacyrecht Anne-Mieke Dumoulin naar Ekelmans & Meijer 1900 1357 Ekelmans Advocaten
Anne-Mieke-E
Leestijd: < 1 minuut
Lesedauer: < 1 Minute
Reading time: < 1 minute
Expertise:

Specialist ondernemingsrecht en privacyrecht Anne-Mieke Dumoulin-Siemens heeft zich per 1 december 2019 verbonden aan Ekelmans & Meijer advocaten. Zij werkte het afgelopen jaar als advocaat bij DLA Piper in Keulen. Weer in Nederland gaat zij de groeiende internationale corporate praktijk van Ekelmans & Meijer verder versterken.

Anne-Mieke heeft de afgelopen jaren in zowel Nederland als het buitenland cliënten begeleid bij ondernemingsrechtelijke en privacyrechtelijke vragen. Daarbij ontwikkelde Anne-Mieke haar Fingerspitzengefühl voor culturele aspecten binnen een organisatie. Deze ervaring in combinatie met haar juridische kennis maken Anne-Mieke tot een waardevolle aanwinst voor het groeiend aantal internationale cliënten dat Ekelmans & Meijer voor advies weet te vinden.

Anne-Mieke rondde haar Grotius specialisatieopleiding vennootschaps- en ondernemingsrecht cum laude af en is internationaal gecertificeerd privacy specialist (CIPP/E en CIPM).

Contact

Aktuelles

We gebruiken cookies om ervoor te zorgen dat onze website zo soepel mogelijk draait. Als je doorgaat met het gebruiken van de website, gaan we ervan uit dat je ermee instemt.