Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand april op een rij.
1. Inzage journalisten bij processtukken uitgezonderd van toezicht Autoriteit Persoonsgegevens
Het Hof van Justitie van de Europese Unie heeft in deze zaak de grenzen van het toezicht van de Autoriteit Persoonsgegevens (AP) over de verwerking van persoonsgegevens door rechterlijke instanties verder ingekleurd.
De rechtbank Midden-Nederland vroeg het Hof uitleg over artikel 55 lid 3 AVG. Dit artikel regelt dat toezichthoudende autoriteiten (zoals de AP) niet bevoegd zijn toe te zien op verwerking van persoonsgegevens door gerechten bij de uitoefening van hun rechterlijke taken. De rechtbank vroeg zich af of het tijdelijk delen (laten kopiëren) van processtukken met journalisten tijdens een procedure onder deze regel valt.
Het Hof legt uit dat artikel 55 AVG expliciet bedoeld is om de bevoegdheid van de AP in dit geval in te perken in bepaalde situaties, om de onafhankelijkheid van de rechterlijke macht te waarborgen. Het Hof benadrukt meermaals dat deze situaties verwerkingen betreffen, waarvan het toezicht door de AP waarschijnlijk (in)direct invloed zou hebben op de onafhankelijkheid van de leden van de rechtbank, of op hun beslissingen zou kunnen wegen. Die onafhankelijkheid vatten we ruim op. Het gaat niet enkel om rechters die een uitspraak doen. Het gaat juist meer in het algemeen om alle verwerkingen die rechtbanken uitvoeren in het kader van hun gerechtelijke activiteiten, waardoor een toezichthoudende autoriteit (in)direct invloed zou kunnen uitoefenen op de onafhankelijkheid van de leden of hun beslissingen.
Het delen van processtukken met journalisten opdat zij de rechtszaak kunnen uitleggen aan het publiek, is duidelijk gelinkt – aldus het Hof – met de door rechtbanken uitgevoerde rechterlijke taken. Deze activiteit valt dus onder artikel 55(3) AVG . Dat betekent dat de AP geen zeggenschap heeft over de verwerking van persoonsgegevens zijnde het tijdelijk beschikbaar maken van processtukken aan journalisten om over de rechtszaak te rapporteren.
2. Recht op rectificatie alleen bij feitelijke onjuistheden
In deze zaak bevestigde de Rechtbank Den Haag dat het recht op rectificatie (artikel 16 AVG) voor betrokkenen (degene over wie de persoonsgegevens gaan) alleen van toepassing is op feitelijke gegevens.
Het recht op rectificatie geeft een betrokkene het recht om een partij die zijn of haar persoonsgegevens verwerkt, te verzoeken tot rectificatie van onjuiste persoonsgegevens. Dat is precies wat de eiser hier probeerde. De eiser meende dat het Radboud Universitair Medisch Centrum irrelevante en onjuiste persoonsgegevens opnam in zijn medisch dossier, en verzocht het Radboud de gegevens te wijzigen.
Het gaat hier om een diagnose op basis van diagnostisch onderzoek en de gegevens die daaraan ten grondslag liggen. Het Radboud weigerde het rectificatieverzoek. Daarop klaagde de eiser bij de AP. De AP weigerde echter handhavend op te treden. De AP vond namelijk dat het recht op rectificatie niet bedoeld is om “indrukken, meningen en conclusies” waar je het niet mee eens bent, te wijzigen. De persoonsgegevens die de eiser graag gewijzigd zag, kunnen niet op eenvoudige en objectieve wijze vastgesteld worden als “onjuist”.
De eiser was het hier niet mee eens, dus ging hij naar de rechter en stelde daar dat de AP ten onrechte weigerde handhavend op te reden.
Daar gaat de rechtbank niet in mee. De rechtbank legt uit dat uit voorgaande rechtspraak volgt dat het recht op rectificatie gaat om het wijzigen van feitelijke gegevens, niet van indrukken, beoordelingen en conclusies. De onjuistheid van persoonsgegevens moet eenvoudig en objectief vast te stellen te zijn.
De verslaglegging van het Radboud van het onderzoek is zoveel mogelijk letterlijk, in de woorden van de betreffende informant, weergegeven, en is in die zin niet onjuist. Omdat het gaat om een verslaglegging en de AP geen eenvoudig en objectief oordeel kan vellen over de juistheid van de persoonsgegevens, is het recht op rectificatie hier niet van toepassing. De werkwijze van de AP was dus volgens de rechtbank helemaal in orde.
3. Gebruik van identiteit voor oplichting geen aantasting in de eer voor de benadeelde
Hoewel de interpretatie van de AVG een groot deel is van privacy in de juridische praktijk, speelt privacy uiteraard ook een rol bij andere wetten en zaken. In deze zaak ging het om een werknemer (voormalig kapitein) werkzaam bij het Ministerie van Defensie.
In deze strafzaak wordt uiteengezet hoe de verdachte het Ministerie oplichtte voor een totaalbedrag van € 584.157,39, valsheid in geschrifte pleegde en hoe hij wederrechtelijk gebruik maakte van persoonsgegevens van (onder meer) collega’s. Daarnaast plaatste hij een keylogger (een programma dat de toetsaanslagen op een computer kan registreren) op computers van collega’s om (inlog)gegevens te achterhalen.
De verdachte gebruikte ten behoeve van de oplichtingsprakijken persoonsgegevens om zijn identiteit te verbloemen en andermans identiteit te gebruiken (valse e-mailadressen, het aanmaken van een bankaccount en het aanvragen van creditcards).
Bij strafzaken voegen de benadeelde partijen zich samen en na veroordeling wordt beoordeeld of er recht is voor de benadeelde partijen op ((im)materiële) schadevergoeding. Een van de benadeelde partijen is een persoon wiens gegevens de verdachte misbruikte. De benadeelde partij stelde dat haar schadevergoeding toekwam omdat het gebruik van haar gegevens een aantasting is in haar persoon (artikel 6:106 Burgerlijk Wetboek).
Uit de AVG vloeit voort dat betrokkenen schadevergoeding kunnen eisen als er schade is geleden door een inbreuk op de AVG (artikel 82 AVG). Dit wordt ingevuld door een beroep op artikel 6:106 BW bij een "aantasting in de persoon". In 2021 zagen we dat hier succesvol een beroep op werd gedaan en de betrokkene €2.500 toegekend kreeg.
In de onderhavige zaak gaat de rechter er echter niet in mee. Het ging immers (alleen) om het gebruik van haar gegevens om een e-mailadres aan te maken en een creditcard aan te vragen. Er waren op de naam van de benadeelde partij namelijk nog geen frauduleuze handelingen verricht. Toen het misbruik van haar gegevens aan haar bekend werd, waren de frauduleuze handelingen ook al gestopt.
De enkele inbreuk op een fundamenteel recht betekent dus nog niet direct een schadevergoeding, daar is meer voor nodig.
Benieuwd wat er in mei 2022 gaat gebeuren? Wij ook! Over een maand zijn we bij u terug met de volgende jurisprudentieblog.
Deze blog is in samenwerking geschreven met stagiair Berend Rutten.
Meer lezen over dit onderwerp? Lees verder:
