Feedback

Zoekresultaat - inzien document

ECLI:NL:RBAMS:2021:1018

Instantie
Rechtbank Amsterdam
Datum uitspraak
11-03-2021
Datum publicatie
11-03-2021
Zaaknummer
C/13/692003 / HA RK 20-302
Rechtsgebieden
Civiel recht
Bijzondere kenmerken
Eerste aanleg - meervoudig
Beschikking
Inhoudsindicatie

Uber-chauffeurs vechten beëindiging van hun contract wegens frauduleuze handelingen aan. Hiertoe zou (louter) geautomatiseerd zijn besloten. Na verwijzing in zgn. spoorwisselbeschikking van het grootste deel van vorderingen naar de gewone civiele procedure, resteren inzageverzoeken op basis van AVG en verzoek tot immateriële schadevergoeding wegens schending van de AVG. Geen sprake van uitsluitend op geautomatiseerde verwerking gebaseerde besluiten. Uber moet deels nog wel inzage geven in de concrete verwijten die hebben geleid tot het besluit tot deactivering van de accounts. Onvoldoende onderbouwing immateriële schadevergoeding.

Vindplaatsen
Rechtspraak.nl
PS-Updates.nl 2021-0232
JAR 2021/96 met annotatie van Rietveld, R.D.
Verrijkte uitspraak

Uitspraak

beschikking

RECHTBANK AMSTERDAM

Afdeling privaatrecht

zaaknummer / rekestnummer: C/13/692003 / HA RK 20-302

Beschikking van 11 maart 2021

in de zaak van

1 [verzoeker 1] ,

wonende te [woonplaats] (Verenigd Koninkrijk),

2. [verzoeker 2],

wonende te [woonplaats] (Verenigd Koninkrijk),

3. [verzoeker 3],

wonende te [woonplaats] (Verenigd Koninkrijk),

4. [verzoeker 4],

wonende te [woonplaats] (Portugal),

verzoekers,

advocaat mr. A.H. Ekker te Amsterdam,

tegen

de besloten vennootschap met beperkte aansprakelijkheid

UBER B.V.,

gevestigd te Amsterdam,

verweerster,

advocaat mr. G.H. Potjewijd te Amsterdam.

Verzoekers zullen hierna afzonderlijk [verzoeker 1] , [verzoeker 2] , [verzoeker 3] en [verzoeker 4] worden genoemd en gezamenlijk [verzoekers] Verweerster zal Uber worden genoemd.

1. De procedure

1.1.

Het verloop van de procedure blijkt uit:

  • -

    de tussenbeschikking van 3 december 2020 en de daarin genoemde (proces)stukken,

  • -

    het proces-verbaal van de mondelinge behandeling van 16 december 2020 en de daarin genoemde (proces)stukken.

1.2.

Bij tussenbeschikking van 3 december 2020 heeft de rechtbank een deel van de verzoeken van [verzoekers] voor verdere behandeling naar de dagvaardingsprocedure verwezen. In deze verzoekschriftprocedure worden de in het verzoekschrift van [verzoekers] genoemde verzoeken onder IV en een deel van de verzoeken onder III en V behandeld.

1.3.

Vervolgens is, na aanhouding, beschikking bepaald op vandaag. Met instemming van partijen is deze zaak gezamenlijk behandeld met de zaak met rekestnummer C/13/687315 / HA RK 20-207 waarbij deels dezelfde verzoekers en Uber partij zijn. In die zaak wordt vandaag ook beschikking gegeven.

2. De feiten
2.1. Uber is onderdeel van een internationaal opererend concern dat door middel van een digitaal platform online diensten in de vervoersector aanbiedt. Uber koppelt passagiers via applicaties aan chauffeurs. Passagiers maken gebruik van de Uber Rider app, chauffeurs van de Uber Driver app.

2.2.

[verzoekers] zijn werkzaam geweest als Uber-chauffeurs waarbij zij gebruik maakten van de diensten van Uber via de Driver app.

2.3.

Uber heeft een ‘Privacy Statement’ (hierna: de privacyverklaring) opgesteld waarin zij algemene informatie over verwerking van persoonsgegevens heeft opgenomen. In deze privacyverklaring is over geautomatiseerde besluitvorming vermeld:

“9. Automated decision-making

We use personal data to make automated decisions relating to use of our services. This includes: (…) Deactivating users who are identified as having engaged in fraud or activities that may otherwise harm Uber, its users, and others. In some cases, such as when a user is determined to be abusing Uber’s referral program, such behavior may result in automatic deactivation.”

2.4.

[verzoekers] hebben ieder afzonderlijk een bericht van Uber ontvangen met de mededeling dat hun Uber Driver account is gedeactiveerd, omdat Uber heeft vastgesteld dat zij de toepasselijke contractuele voorwaarden van Uber hebben geschonden doordat zij zich schuldig hebben gemaakt aan fraude. [verzoeker 3] , [verzoeker 2] , [verzoeker 4] en [verzoeker 1] hebben dit bericht ontvangen op respectievelijk 7 juli 2018, 16 juli 2019, 2 juli 2020 en op 4 augustus 2020. Vervolgens hebben [verzoeker 1] , [verzoeker 2] en [verzoeker 4] ieder afzonderlijk op verschillende data een bericht van Uber ontvangen waarin de volgende tekst is opgenomen:

“Upon review of your account, we noticed a continued pattern of improper use of the Uber application.

(…)

We are not able to go into great details but the examples of improper use include using your rider and driver account at the same time, creating duplicate accounts, accepting trips without the intention of completing them, claiming false fees or charges, the installation, and use of software which has the intention or effect of manipulating the Driver App and trip details.”

2.5.

De advocaat van [verzoekers] heeft Uber bij brief van 9 september 2020 gesommeerd de deactivering van de accounts ongedaan te maken en [verzoekers] in staat te stellen hun werkzaamheden te hervatten.

2.6.

Uber heeft bij e-mails van 18 september 2020 en 25 september 2020 aan (de advocaat van) [verzoekers] meegedeeld geen gegronde redenen te zien om de besluiten tot deactivatie van de accounts te herroepen.

3
3. Het geschil

3.1.

Na de verwijzing van een gedeelte van het verzoek naar de dagvaardingsprocedure verzoeken [verzoekers] in deze verzoekschriftprocedure – samengevat – nog dat de rechtbank bij uitvoerbaar bij voorraad verklaarde beschikking:

I. Uber beveelt om binnen een maand na betekening van de beschikking aan [verzoekers] in gangbare elektronische vorm inzage te geven in het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22 leden 1 en 4 AVG1 bedoelde profilering, en ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor [verzoekers] ,

II. Uber veroordeelt om de door [verzoekers] geleden immateriële schade wegens de schending van bepalingen uit de AVG te vergoeden, te vermeerderen met wettelijke rente,

III. Uber beveelt tot betaling van een dwangsom van € 10.000 per dag voor iedere dag of dagdeel dat Uber in gebreke blijft om aan het in deze procedure te geven bevel te voldoen,

IV. Uber veroordeelt in de proceskosten.

3.2.

[verzoekers] leggen aan hun verzoek het volgende ten grondslag. Volgens [verzoekers] is het besluit van Uber tot deactivering van hun accounts volledig geautomatiseerd zonder betekenisvolle menselijke tussenkomst genomen. Aan het besluit zijn rechtsgevolgen verbonden en [verzoekers] zijn hierdoor in aanmerkelijke mate getroffen. Het besluit heeft geleid tot onmiddellijke beëindiging van de overeenkomst tussen Uber en [verzoekers] en tot inkomensderving. Daarnaast kan deactivering door Uber ertoe leiden dat de taxilicentie van een chauffeur wordt ingetrokken. Voor de toepassing van geautomatiseerde besluitvorming hebben [verzoekers] geen uitdrukkelijke toestemming aan Uber verleend. Evenmin was de toepassing hiervan noodzakelijk voor de uitvoering van de overeenkomst tussen Uber en [verzoekers] Uber heeft geen passende maatregelen ter bescherming van de rechten en vrijheden en gerechtvaardigde belangen van [verzoekers] genomen. [verzoekers] zijn niet in de gelegenheid gesteld hun standpunt kenbaar te maken of het besluit aan te vechten. Dit alles is in strijd met artikel 22 AVG. Ook is niet voldaan aan de eisen van proportionaliteit en subsidiariteit.

3.3.

Verder heeft Uber [verzoekers] voorafgaand aan de toepassing van de geautomatiseerde besluitvorming en/of profilering niet geïnformeerd over de onderliggende logica daarvan en het belang en de verwachte gevolgen van die verwerking voor [verzoekers] Hiermee heeft Uber haar transparantieverplichtingen uit de artikelen 13 lid 2 onder f, artikel 14 lid 2 onder g en 15 lid 1 onder h AVG geschonden. Ook heeft Uber het transparantiebeginsel geschonden, omdat Uber [verzoekers] niet hebben geïnformeerd over de soort fraude waarvan zij beschuldigd worden en [verzoekers] er niet van op de hoogte gesteld dat hun accounts bij fraude zouden worden geblokkeerd. Daarnaast heeft Uber nagelaten om de gronden voor het besluit in begrijpelijke woorden uit te leggen.

3.4.

Door de schending van de hiervoor genoemde bepalingen uit de AVG hebben [verzoekers] immateriële schade geleden die wordt begroot op € 750 per verzoeker. Uber moet die schade op grond van artikel 82 AVG vergoeden.

3.5.

Uber voert verweer. Volgens Uber moet het verzoek worden afgewezen met hoofdelijke veroordeling van [verzoekers] in de proceskosten, inclusief nakosten, en te vermeerderen met wettelijke rente.

3.6.

Op de stellingen van partijen wordt hierna, voor zover van belang, nader ingegaan.

4 De beoordeling

Rechtsmacht en toepasselijk recht

4.1.

De rechtbank moet ambtshalve onderzoeken of de Nederlandse rechter rechtsmacht heeft en zo ja, of deze rechtbank relatief bevoegd is van het verzoek van [verzoekers] kennis te nemen. Dat is het geval, omdat Uber in het arrondissement Amsterdam is gevestigd (artikel 4 Brussel I bis-Verordening2 en artikel 262 aanhef en onder a Rv3).

4.2.

Voor zover het verzoek van [verzoekers] berust op de AVG is deze als Europese verordening rechtstreeks toepasselijk. Uit het feit dat partijen zich tevens (aanvullend) baseren op het Nederlandse recht, leidt de rechtbank af dat partijen impliciet rechtskeuze voor de toepassing van het Nederlandse recht hebben gedaan als bedoeld in artikel 3 lid 1 van de Rome I-Verordening4.

4.3.

Tussen partijen is niet in geschil dat Uber heeft te gelden als de verwerkingsverantwoordelijke in de zin van artikel 4 onder 7 AVG.

Het juridisch kader

4.4.

[verzoekers] stellen dat Uber inbreuk heeft gemaakt op hun recht om niet te worden onderworpen aan geautomatiseerde besluitvorming. Verder stellen zij dat Uber niet aan haar transparantieverplichtingen in de zin van de artikelen 13, 14 en 15 AVG heeft voldaan. Zij verzoeken inzage in het bestaan van geautomatiseerde besluitvorming en profilering.

4.5.

De in de AVG opgenomen rechten en verplichtingen betreffen verschillende categorieën van geautomatiseerde verwerking van persoonsgegevens in het kader van geautomatiseerde besluitvorming. In de Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering5 worden de volgende categorieën genoemd:

  • -

    algemene profilering zonder besluitvorming;

  • -

    besluitvorming op basis van profilering die niet uitsluitend geautomatiseerd is;

  • -

    uitsluitend geautomatiseerde besluitvorming, waaronder profilering, waaraan rechtsgevolgen zijn verbonden of die de betrokkene anderszins in aanmerkelijke mate treft.

4.6.

Voor alle gevallen geldt dat de verwerkingsverantwoordelijke op grond van artikel 12 lid 1 AVG de betrokkene beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke informatie over de verwerking van zijn persoonsgegevens moet verstrekken.

4.7.

Op grond van artikel 15 lid 1 AVG heeft de persoon van wie persoonsgegevens worden verwerkt het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, inzage te verkrijgen van die persoonsgegevens. Dit artikel heeft tot doel de betrokkene in staat te stellen kennis te nemen van de persoonsgegevens die over hem zijn verzameld en te controleren of die gegevens juist zijn en rechtmatig zijn verwerkt (zie overweging 63 AVG).

Geautomatiseerde besluitvorming en profilering

4.8.

Op grond van artikel 22 AVG hebben [verzoekers] het recht, behoudens een aantal uitzonderingen, om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking (waaronder profilering) gebaseerd besluit, waaraan voor hen rechtsgevolgen zijn verbonden of dat hen anderszins in aanmerkelijke mate treft.

4.9.

In artikel 4 onderdeel 4 AVG is profilering gedefinieerd als iedere vorm van geautomatiseerde verwerking van persoonsgegevens waarbij aan de hand van persoonsgegevens bepaalde persoonlijke aspecten van een persoon worden geëvalueerd, met name met de bedoeling zijn beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren of te voorspellen.

4.10.

Van een uitsluitend op geautomatiseerde verwerking gebaseerd besluit is sprake indien er geen betekenisvolle menselijke tussenkomst is in het besluitvormingsproces. In de Richtsnoeren is vermeld dat om daadwerkelijke menselijke tussenkomst te realiseren de verwerkingsverantwoordelijke ervoor moet zorgen dat al het toezicht op de besluitvorming zinvol is, en niet slechts een symbolische handeling vormt. Deze tussenkomst moet worden uitgevoerd door iemand die bevoegd en bekwaam is om het besluit te veranderen. Hij moet alle relevante gegevens in zijn analyse betrekken.

4.11.

In de Richtsnoeren is verder vermeld dat de drempel voor “aanmerkelijke mate” vergelijkbaar moet zijn met de mate waarin de betrokkene wordt getroffen bij een besluit waaraan een rechtsgevolg is verbonden. Gegevensverwerking treft iemand volgens de Richtsnoeren in aanmerkelijke mate wanneer de effecten van de verwerking groot of belangrijk genoeg zijn om aandacht te verdienen. Het besluit moet het potentieel hebben om de omstandigheden, het gedrag of de keuzen van de betrokken personen in aanmerkelijke mate te treffen; een langdurig of blijvend effect op de betrokkene te hebben; of in het uiterste geval, tot uitsluiting of discriminatie van personen te leiden. In overweging 71 AVG worden als voorbeelden van geautomatiseerde besluitvorming genoemd: automatische weigering van een online ingediende kredietaanvraag of verwerking van sollicitaties via internet zonder menselijke tussenkomst.

4.12.

Geautomatiseerde besluitvorming is onder meer toegestaan als het betreffende besluit noodzakelijk is voor de totstandkoming of de uitvoering van een overeenkomst tussen de betrokkene en een verwerkingsverantwoordelijke of berust op de uitdrukkelijke toestemming van de betrokkene (artikel 22 lid 2 aanhef en onder a en c AVG). In dat geval moet de verwerkingsverantwoordelijke nog wel passende maatregelen treffen, waaronder ten minste het recht op menselijke tussenkomst, het recht voor betrokkene om zijn standpunt kenbaar te maken en het recht om het besluit aan te vechten (artikel 22 lid 3 AVG en overweging 71 AVG).

4.13.

Bij geautomatiseerde besluitvorming in het kader van een overeenkomst of op basis van toestemming gaat het om transparantie over de mate waarin geautomatiseerde besluitvorming een rol speelt bij de uitvoering van de overeenkomst. De betrokkene moet zich bij het aangaan van de overeenkomst bewust zijn van het eventuele gebruik van geautomatiseerde besluitvorming en profilering.6

4.14.

In artikel 15 lid 1 aanhef en onder h AVG is bepaald dat de betrokkene het recht heeft om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het bestaan van geautomatiseerde besluitvorming, waaronder profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene. De artikelen 13 lid 2 aanhef en onder f en 14 lid 2 aanhef en onder g AVG verplichten de verwerkingsverantwoordelijke om in elke informatieverstrekking aan betrokkenen het bestaan van geautomatiseerde individuele besluitvorming, met inbegrip van profilering, en de onderliggende logica van geautomatiseerde besluitvorming mee te delen.

4.15.

De verwerkingsverantwoordelijke kan inzage weigeren indien dit noodzakelijk is voor de bescherming van de rechten en vrijheden van anderen (artikel 15 lid 4 AVG en artikel 41 lid 1 sub i UAVG7). Uit de wetsgeschiedenis (op de voorloper van de UAVG) volgt dat ook de verwerkingsverantwoordelijke zelf wordt begrepen onder ‘anderen’ in dit verband. Deze bepaling bevat een uitzondering op toegekende rechten en moet daarom restrictief worden uitgelegd. Of in een concreet geval een dergelijke grond bestaat die tot beperking of afwijzing van het verzoek moet leiden, moet door de rechter na afweging van alle betrokken belangen worden beslist. Bij een beroep op deze uitzonderingsbepaling rust de stelplicht in beginsel op de verwerkingsverantwoordelijke (in dit geval Uber).

4.16.

Met toepassing van de hiervoor genoemde uitgangspunten beoordeelt de rechtbank het verzoek als volgt.

Geautomatiseerde besluitvorming?

4.17.

[verzoekers] voeren aan dat uit de privacyverklaring van Uber en op haar website gepubliceerde informatie volgt dat zij zijn onderworpen aan volledig geautomatiseerd genomen besluiten in de zin van artikel 22 AVG. Dat geen sprake is geweest van betekenisvolle menselijke tussenkomst blijkt uit de gestandaardiseerde en zeer algemene berichten die [verzoekers] van Uber hebben ontvangen. In deze berichten heeft Uber niet uitgelegd aan welke specifieke frauduleuze handelingen [verzoekers] zich schuldig zouden hebben gemaakt, aldus [verzoekers]

4.18.

Uber voert aan dat zij de accounts van [verzoekers] niet op basis van uitsluitend geautomatiseerde besluitvorming heeft gedeactiveerd, waardoor artikel 22 AVG niet van toepassing is. Zij deactiveert accounts van chauffeurs pas als zij op basis van een grondig onderzoek tot de conclusie komt dat de desbetreffende chauffeur herhaaldelijk of ernstige frauduleuze activiteiten heeft gepleegd. Volgens Uber heeft de hiervoor onder 2.3 geciteerde tekst uit haar privacyverklaring geen betrekking op fraudebestrijding in de Europese Unie en het Verenigd Koninkrijk, waarbij zij geen gebruik maakt van uitsluitend geautomatiseerde besluitvorming als zij een account van een chauffeur deactiveert.

4.19.

Uber heeft het besluitvormingsproces als volgt toegelicht. Door een gespecialiseerd team van werknemers van Uber (het ‘EMEA Operational Risk team’, hierna: Risk-team) worden potentiële frauduleuze activiteiten onderzocht. Daarbij wordt gebruik gemaakt van software waarmee potentiële frauduleuze activiteiten kunnen worden gesignaleerd. Bij een dergelijk signaal volgt afhankelijk van de ernst of duur van de activiteiten een waarschuwing aan de chauffeur of een onderzoek door een werknemer van het Risk-team. De werknemers moeten zich bij het uitvoeren van het onderzoek houden aan interne protocollen met indicatoren die kunnen duiden op verschillende frauduleuze activiteiten. Op grond van de protocollen moeten de werknemers de potentiële fraudesignalen en de feiten en omstandigheden analyseren om het bestaan van fraude te bevestigen of uit te sluiten. Zij gebruiken daarbij ook feiten en omstandigheden die zij op basis van hun kennis en ervaring relevant achten. Als een werknemer op basis van het onderzoek vaststelt dat sprake is van een consequent patroon van fraude, kan worden besloten om het account van de chauffeur te deactiveren. Hiervoor is een unaniem besluit van twee werknemers van het Risk-team nodig. Bij conflicterende conclusies vindt onderzoek door een derde werknemer uit het Risk-team plaats.

4.20.

Volgens Uber hebben [verzoekers] herhaaldelijk frauduleuze activiteiten gepleegd en zijn hun accounts gedeactiveerd nadat het Risk-team een consequent patroon van fraude had geconstateerd. Hierover zijn [verzoekers] bij de onder 2.4 genoemde berichten geïnformeerd. Na ontvangst van de onder 2.5 genoemde sommatiebrief van 9 september 2020 hebben werknemers van het Risk-team nogmaals onderzoek naar [verzoekers] gedaan. Zij zijn tot dezelfde conclusies gekomen. Hierover heeft Uber [verzoekers] in de onder 2.6 genoemde berichten geïnformeerd.

4.21.

Over de frauduleuze handelingen die [verzoekers] zouden hebben verricht heeft Uber het volgende toegelicht. [verzoeker 1] heeft op of voor 3 augustus 2020 fraudeleuze handelingen verricht door ten onrechte annuleringskosten te innen bij Uber. Hierbij heeft [verzoeker 1] tegelijkertijd gebruik gemaakt van de Uber Rider app en de Uber Driver app en zich zowel als passagier als chauffeur voorgedaan. Het account van [verzoeker 1] is gedeactiveerd na onderzoek en beoordeling door werknemers van het Risk-team op 4 augustus 2020, aldus Uber.

4.22.

De frauduleuze handelingen van [verzoeker 2] en [verzoeker 4] zien volgens Uber op veel verschillende activiteiten op of voor respectievelijk 12 juli 2019 en 1 juli 2020. Hun accounts zijn gedeactiveerd na onderzoek en beoordeling door werknemers van het Risk-team, aldus Uber.

4.23.

Volgens Uber heeft [verzoeker 3] op of voor 4 juni 2018 gebruik gemaakt van software die de Uber Driver app manipuleerde, waarmee duurdere ritten konden worden geïdentificeerd doordat de bestemming van de passagier kon worden ingezien voordat de chauffeur de rit accepteerde (hetgeen niet is toegestaan om cherry picking te voorkomen). Met behulp van software heeft Uber het gebruik van de gemanipuleerde app gesignaleerd. Een werknemer van Uber heeft per sms en e-mail contact opgenomen met [verzoeker 3] en zijn account onderzocht. In een persoonlijk gesprek op 5 juni 2018 is door een medewerker van Uber aan [verzoeker 3] uitgelegd dat zijn account zou worden gedeactiveerd als hij weer gebruik zou maken van de gemanipuleerde app. Een schriftelijke bevestiging hiervan is bij e-mail van 6 juni 2018 aan [verzoeker 3] verzonden. Omdat [verzoeker 3] vervolgens op 12 juni 2018 weer gebruik maakte van de gemanipuleerde app is zijn account na onderzoek door het Risk-team gedeactiveerd, aldus Uber.

4.24.

[verzoekers] hebben de hiervoor weergegeven toelichting van Uber op haar besluitvormingsproces niet betwist. Bij gebrek aan aanknopingspunten voor het tegendeel zal de rechtbank uitgaan van de juistheid van de door Uber gegeven toelichting. Op grond van die toelichting kan niet worden geconcludeerd dat het besluit tot deactivering van de accounts van [verzoeker 1] , [verzoeker 2] en [verzoeker 4] uitsluitend gebaseerd is op geautomatiseerde verwerking. Uber heeft onweersproken gesteld dat dit besluit door (minimaal) twee werknemers van het Risk-team is genomen op basis van een onderzoek dat door een werknemer is verricht naar aanleiding van fraudesignalen. Het besluit tot deactivering van het account van [verzoeker 3] is blijkens de onweersproken toelichting van Uber genomen nadat een werknemer van Uber de signalen over het gebruik van de gemanipuleerde app had onderzocht en met [verzoeker 3] had gesproken. Daarmee is in alle gevallen sprake geweest van betekenisvolle menselijke tussenkomst zoals bedoeld in de Richtsnoeren (zie hiervoor onder 4.10).

4.25.

Uit de toelichting van Uber op haar fraudebestrijdingsproces die zij op de mondelinge behandeling heeft gegeven volgt dat na een fraudesignaal de toegang van de chauffeur tot de Driver app tijdelijk wordt geblokkeerd totdat de chauffeur contact heeft opgenomen met een werknemer van Uber. De toegang tot de Driver app wordt gereactiveerd zodra de chauffeur contact heeft opgenomen. Gelet op deze toelichting van Uber gaat de rechtbank ervan uit dat het besluit om de toegang tot de Driver app na een fraudesignaal tijdelijk te blokkeren automatisch, zonder menselijke tussenkomst, wordt genomen. Deze tijdelijke blokkade heeft echter geen langdurig of blijvend effect, zodat het geautomatiseerde besluit geen rechtsgevolgen heeft of de chauffeur in aanmerkelijke mate treft zoals bedoeld in de Richtsnoeren (zie hiervoor onder 4.11).

4.26.

De conclusie is dat niet is gebleken dat Uber ten aanzien van [verzoekers] geautomatiseerde besluiten in de zin van artikel 22 lid 1 AVG heeft genomen. Nu artikel 13 lid 2 aanhef en onder f, artikel 14 lid 2 aanhef en onder g AVG en artikel 15 lid 1 aanhef en onder h AVG enkel betrekking hebben op dergelijke besluiten wordt het verzoek tot inzage in het bestaan van geautomatiseerde besluitvorming, met inbegrip van profilering, en nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor [verzoekers] afgewezen.

Schending transparantieverplichtingen?

4.27.

Het betoog van [verzoekers] dat zij door Uber vooraf niet zijn geïnformeerd over de mogelijke gevolgen van frauduleuze handelingen vindt geen steun in de feiten. Immers, tussen partijen is niet in geschil dat op de contractuele verhouding tussen Uber en de chauffeurs verschillende voorwaarden van toepassing zijn, waaronder ‘Community Guidelines’, ‘Driver Terms’ en ‘Services Agreements’. In deze voorwaarden zijn bepalingen opgenomen die inhouden dat frauduleuze handelingen niet zijn toegestaan en kunnen leiden tot verlies van toegang tot Uber apps.

4.28.

Voor [verzoeker 1] en [verzoeker 3] moet uit de berichten van Uber die zij hebben ontvangen en de toelichting die Uber aan hen heeft gegeven voldoende duidelijk zijn geweest welke frauduleuze handelingen hebben geleid tot deactivering van hun accounts. Van schending van transparantieverplichtingen is daarom geen sprake.

4.29.

Dat is anders in het geval van [verzoeker 2] en [verzoeker 4] . Uber heeft niet toegelicht welke specifieke frauduleuze handelingen hebben geleid tot deactivering van hun accounts. Op basis van de informatie die Uber heeft gegeven kunnen zij niet controleren welke persoonsgegevens Uber heeft gebruikt in het besluitvormingsproces dat tot dit besluit heeft geleid. Hierdoor is het besluit tot deactivering van hun accounts onvoldoende inzichtelijk en controleerbaar. Dit heeft tot gevolg dat Uber aan [verzoeker 2] en [verzoeker 4] op grond van artikel 15 AVG inzage moet verstrekken in hun persoonsgegevens voor zover die ten grondslag hebben gelegen aan het besluit tot deactivering van hun accounts, op zodanige wijze dat zij in staat zijn de juistheid en rechtmatigheid van de verwerking van hun persoonsgegevens te controleren.

4.30.

Het beroep van Uber op de uitzondering van lid 4 van artikel 15 AVG slaagt niet. Uber heeft onvoldoende concreet onderbouwd in hoeverre het verstrekken van inzage in de verwerkte persoonsgegevens [verzoeker 2] en [verzoeker 4] inzicht zullen bieden in de parameters voor fraudedetectie waarmee haar fraudebestrijdingssysteem kan worden omzeild.

Bij deze stand van zaken kan het belang van Uber bij weigering tot inzage in de verwerkte persoonsgegevens van [verzoeker 2] en [verzoeker 4] niet zwaarder wegen dan het recht van [verzoeker 2] en [verzoeker 4] op inzage in hun persoonsgegevens.

4.31.

Het verzoek om schadevergoeding in de zin van artikel 82 AVG zal worden afgewezen. Enkel ten aanzien van [verzoeker 2] en [verzoeker 4] is sprake van een inbreuk op een of meer bepalingen van de AVG. Dat zij als gevolg van deze inbreuk immateriële schade in de zin van artikel 6:106 BW hebben geleden, hebben zij onvoldoende met concrete gegevens onderbouwd. Met name hebben zij niet gemotiveerd dat sprake is van aantasting van hum eer of goede naam dan wel van aantasting van hun persoon op andere wijze.

Conclusie

4.32.

Het voorgaande betekent dat Uber inzage moet verstrekken in de hiervoor onder 4.29 genoemde persoonsgegevens. Om Uber hiervoor voldoende tijd te geven zal de termijn waarbinnen Uber deze gegevens moet verstrekken worden bepaald op twee maanden na de betekening van deze beschikking. Voor het overige zullen de verzoeken worden afgewezen.

Dwangsom

4.33.

De verzochte dwangsom zal worden afgewezen. Voorshands is het vertrouwen gerechtvaardigd dat Uber vrijwillig aan de veroordeling tot inzage zal voldoen en zich zal inspannen om de betreffende persoonsgegevens te verstrekken.

Uitvoerbaar bij voorraadverklaring

4.34.

Uber heeft verzocht de beschikking niet uitvoerbaar bij voorraad te verklaren, omdat wanneer zij aan het verzoek zou moeten voldoen haar belangen ernstig worden geschaad en dit onomkeerbare gevolgen zal hebben voor de veiligheid van haar dienst en overige gebruikers. Het risico bestaat dan dat zij haar bedrijfsgeheimen, namelijk informatie over het fraudebestrijdingsproces moet prijsgeven. Ook hier geldt net als hiervoor onder 4.30 dat Uber onvoldoende concreet heeft onderbouwd op welke wijze het verschaffen van inzage in de verwerkte persoonsgegevens in strijd zou komen met haar bedrijfsgeheimen. De rechtbank ziet in hetgeen Uber heeft aangevoerd dan ook geen aanleiding om de beschikking niet uitvoerbaar bij voorraad te verklaren.

Proceskosten

4.35.

Elk van de partijen is op enig punt in het (on)gelijk gesteld. Daarom zullen de proceskosten worden gecompenseerd.

5 De beslissing

De rechtbank

5.1.

beveelt Uber om binnen twee maanden na betekening van deze beschikking, aan [verzoeker 2] en [verzoeker 4] afschrift of inzage te verstrekken in de hiervoor onder 4.29 genoemde persoonsgegevens,

5.2.

verklaart deze beschikking tot zover uitvoerbaar bij voorraad,

5.3.

compenseert de proceskosten tussen partijen, in die zin dat iedere partij de eigen kosten draagt,

5.4.

wijst het meer of anders verzochte af.

Deze beschikking is gegeven door mr. O.J. van Leeuwen, mr. M.C.H. Broesterhuizen en mr. M.L.S. Kalff, rechters, bijgestaan door mr. Z.S. Lintvelt, griffier, en in het openbaar uitgesproken op 11 maart 2021.

1 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna: AVG).

2 Verordening (EU) nr. 1215/2012 van het Europees Parlement en de Raad van 12 december 2012 betreffende de rechterlijke bevoegdheid, de erkenning en de tenuitvoerlegging van beslissingen in burgerlijke en handelszaken (herschikking), PbEU 2012, L 351/1 (hierna: Brussel I bis-Verordening).

3 Wetboek van Burgerlijke Rechtsvordering (hierna: Rv).

4 Verordening (EG) nr. 593/2008 van het Europees Parlement en de Raad van 17 juni 2008 inzake het recht dat van toepassing is op verbintenissen uit overeenkomst (hierna: Rome I (https://www.navigator.nl/document/openCitation/id5aba9745150ee0c2ddda46a806a77ad5)), PbEG 2008, L 177/6.

5 Richtsnoeren inzake geautomatiseerde individuele besluitvorming en profilering voor de toepassing van Verordening (EU) 2016/679 van de Groep Gegevensbescherming Artikel 29 van 3 oktober 2017, laatstelijk gewijzigd op 6 februari 2018, WP251rev.01 (hierna: Richtsnoeren). Deze groep thans European Data Protection Board genoemd, bestaat uit vertegenwoordigers van de nationale toezichthouders voor gegevensbescherming.

6 Memorie van Toelichting bij de Uitvoeringswet Algemene verordening gegevensbescherming, TK 2017-2018, 34 851, nr. 3, p. 46.

7 Uitvoeringswet Algemene verordening gegevensbescherming.