In het data & privacy-jurisprudentieblog van januari staat de volgende kernvraag centraal: hoe ver mogen overheden en werkgevers gaan bij het controleren van burgers en werknemers? Twee recente uitspraken laten zien dat die grens soms sneller wordt overschreden dan gedacht. Het Europees Hof voor de Rechten van de Mens (hierna: “EHRM”) oordeelde dat de Italiaanse belastingdienst te veel vrijheid had om zonder toezicht in de bankgegevens van burgers te kijken. De Nederlandse rechter maakte duidelijk dat ook werkgevers een grens overschrijden wanneer zij zonder geldige reden privéberichten van werknemers meelezen, zelfs als dat via zakelijke apparatuur gebeurt.
Hoewel de contexten verschillen (fiscale controle versus toezicht op de werkvloer) is de boodschap vrijwel hetzelfde. EVRM-grondrechten (zoals artikel 8 EVRM) zijn niet absoluut en kunnen beperkt worden onder specifieke, bij wet vastgelegde voorwaarden. Wie ingrijpt in de persoonlijke levenssfeer van anderen, moet kunnen wijzen op duidelijke wettelijke regels, een legitiem doel en de inmenging moet noodzakelijk zijn in een democratische samenleving. Ontbreken die, dan weegt het privacybelang zwaarder, zelfs als de controle voortkomt uit praktische of organisatorische motieven.
EHRM: Italië ging te ver met inzage in bankgegevens
Het EHRM heeft Italië op 8 januari 2026 op de vingers getikt. In de zaak Ferrieri en Bonassisa tegen Italië oordeelde het EHRM dat de Italiaanse belastingdienst te ver ging bij het opvragen van bankgegevens van burgers. Volgens het EHRM schond Italië daarmee het recht op privacy dat is vastgelegd in art. 8 EVRM.
Wat was er aan de hand?
De Italiaanse belastingdienst had zonder voorafgaande toestemming toegang gekregen tot de bankrekeningen en transacties van twee burgers. Dat gebeurde in het kader van een belastingcontrole. De wet gaf de fiscus hiervoor vrijwel onbeperkte bevoegdheden: men kon bankgegevens opvragen zonder toestemming van een rechter en zonder dat de betrokkenen daar iets van wisten. Ook konden zij achteraf niet naar een onafhankelijke instantie stappen om die toegang aan te vechten.
Het oordeel van het EHRM
Het EHRM vond dat Italië hiermee te weinig waarborgen bood tegen misbruik. Het EHRM stelde dat er weliswaar een wet bestond die dit mogelijk maakte, maar dat die wet te vaag was. Burgers konden niet weten in welke situaties hun financiële gegevens zouden worden ingezien en er was geen toezicht door een rechter of een onafhankelijke instantie.
Volgens het EHRM moet een wet die ingrijpt in de privacy van mensen duidelijk, voorspelbaar en controleerbaar zijn. In dat geval konden de belastingautoriteiten te makkelijk zonder controle handelen. Dat maakte de inbreuk op de privacy niet in overeenstemming met de wet.
Wat betekent dit verder?
Het EHRM ziet dit niet als een eenmalig probleem, maar als een systematische fout in de Italiaanse regelgeving. Italië moet nu haar wetten aanpassen zodat duidelijk is wanneer de fiscus wel of niet in iemands bankgegevens mag kijken. Er moet bovendien een vorm van toezicht komen, bijvoorbeeld door een rechter of een onafhankelijke toezichthouder.
Ook voor Nederland is deze uitspraak relevant. Instellingen zoals de Belastingdienst of de FIOD hebben soms ruime bevoegdheden om gegevens te verzamelen. Zo kan de Belastingdienst op grond van de Algemene wet inzake rijksbelastingen (AWR) derden verplichten om gegevens te verstrekken over belastingplichtigen. De FIOD maakt bij opsporingsonderzoeken gebruik van bevoegdheden uit het strafrecht om financiële informatie op te vragen. Het EHRM herinnert overheden in deze uitspraak eraan dat fiscale bevoegdheden alleen legitiem zijn als er voldoende controle en transparantie tegenover staat.
Privacy op de werkvloer
Een werkgever die meeleest met WhatsApp-berichten van werknemers begeeft zich op glad ijs. Mag een werkgever privéberichten van werknemers bekijken als die toevallig openstaan op een bedrijfslaptop? Deze uitspraak van de rechtbank Noord-Holland laat zien waar de grens ligt tussen toezicht en privacyschending. De kantonrechter toetst het handelen van de werkgever niet alleen aan het criterium van goed werkgeverschap, maar ook aan het recht op privacy (artikel 8 EVRM). Tevens zijn de regels uit de AVG over het verwerken van persoonsgegevens hier relevant.
De feiten in het kort
Twee koks werkten bij een horecagroep en gebruikten WhatsApp Web op een zakelijke laptop. Een leidinggevende ontdekte dat een gesprek tussen de twee openstond en maakte foto’s en berichten waarin zij zich negatief uitlieten over collega’s. Deze foto’s werden gedeeld met het management, waarna de werkgever besloot de arbeidsovereenkomsten niet te verlengen. De werknemers voelden zich in hun privacy aangetast en verzochten om een billijke vergoeding wegens ernstig verwijtbaar handelen.
Beoordeling door de kantonrechter
De kantonrechter stelt voorop dat WhatsApp-gesprekken in beginsel privé zijn en onder de bescherming van artikel 8 EVRM vallen, dat het recht op eerbiediging van het privéleven garandeert. Ook artikelen 5 en 6 AVG zijn relevant: de verwerking van persoonsgegevens, in dit geval het inzien van de WhatsApp-gesprekken, moet rechtmatig en proportioneel zijn.
De werkgever maakte een ongerechtvaardigde inbreuk op het door artikel 8 EVRM beschermde recht op eerbiediging van het privéleven door onrechtmatig verkregen privéberichten van werknemers te gebruiken als grondslag voor haar handelen. Zelfs al was het gesprek per ongeluk opengebleven, dan nog mocht de leidinggevende niet zomaar zonder toestemming actief door de berichten scrollen, foto’s maken en deze delen met anderen. Dit vormde een ongerechtvaardigde inmenging in de persoonlijke levenssfeer. De kantonrechter benadrukt dat een “dwingende maatschappelijke behoefte” vereist is om zo’n inbreuk te rechtvaardigen, en die ontbrak hier volledig.
De beslissing om het contract niet te verlengen berustte bovendien rechtstreeks op de onrechtmatig verkregen informatie. Daarmee stond het causaal verband tussen de privacyinbreuk en het niet-verlengen van de arbeidsovereenkomst vast. De kantonrechter kwalificeerde dit als ernstig verwijtbaar handelen, en kende beide werknemers een billijke vergoeding toe van € 2.000 bruto per persoon.
Privacy en goed werkgeverschap
De uitspraak past in een bredere lijn waarin rechters de privacy van werknemers op de werkvloer serieus nemen. Werkgevers dienen zorgvuldig om te gaan met persoonsgegevens van werknemers, zelfs als die via zakelijke apparatuur toegankelijk zijn. Daarbij geldt allereerst dat een werkgever onder de AVG alleen persoonsgegevens mag verwerken als daarvoor een geldige verwerkingsgrondslag bestaat. In deze zaak lijkt een dergelijke grondslag te ontbreken.
Onder de AVG is de werkgever bovendien verwerkingsverantwoordelijke, en rust op hem de plicht om passende en technische organisatorische maatregelen te treffen om gegevensbescherming te waarborgen. Het zonder geldige reden bekijken of delen van privéberichten is niet alleen een vertrouwensbreuk, maar is ook in strijd met de basisregels uit de AVG: je mag niet zomaar persoonsgegevens verwerken en zeker niet meer dan nodig is.
Signaalfunctie van de vergoeding
De kantonrechter benadrukte ook nog dat het opleggen van de vergoeding een signaalfunctie heeft: werkgevers moeten beseffen dat privacyschendingen in arbeidsrelaties juridisch en moreel zwaar wegen. Het feit dat een werkgever wil weten wat er speelt in het team of de waarheid boven tafel wil krijgen, is geen goede reden om in de privésfeer van werknemers in te grijpen.
Meer jurisprudentie lezen? Bekijk hier ons privacy jurisprudentieblog van de maand december 2025.
