Coauteur: Emma van der Wal
Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er gebeurt echter veel meer op het gebied van privacy, dat niet altijd het nieuws haalt. Aan de hand van jurisprudentie leren we veel over hoe de Algemene verordening gegevensbescherming (hierna: AVG) uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand december op een rij.
Inzageverzoek onder de AVG: is een overzicht van persoonsgegevens voldoende?
De eerste zaak gaat over het inzageverzoek zoals bedoeld in artikel 15 lid 3 AVG. De verwerkingsverantwoorde-lijke is op grond van dit artikel verplicht een ‘kopie’ te verstrekken van de persoonsgegevens die worden ver-werkt. In deze zaak staat de vraag centraal of het verstrekken van een overzicht van persoonsgegevens in dit kader ook voldoende is.
In het onderhavige geschil heeft eiser aan de korpschef gevraagd om een afschrift te verstrekken van alle per-soonsgegevens die de politie van hem heeft verwerkt. De korpschef heeft dit verzoek opgevat als een inzage-verzoek. Hij heeft dit verzoek bij primair besluit toegewezen. Eiser ontvangt een overzicht van persoonsgegevens die de politie van eiser verwerkt. Eiser maakt bezwaar tegen dit primaire besluit omdat hij afschriften wenst te ontvangen van de documenten waarin de persoonsgegevens voorkomen. De korpschef verklaart dit bezwaar ongegrond. Hij is van mening dat eiser geen recht heeft op afschriften van de documenten waarin de persoons-gegevens voorkomen.
Eiser is het hier niet mee eens en stelt beroep in. In het arrest F.F. tegen Österreichische Datenschutzbehörde heeft het Hof van Justitie van de Europese Unie (hierna: het HvJ EU) verklaard dat het recht om een kopie van persoonsgegevens te verkrijgen inhoudt dat aan de betrokkene ‘een getrouwe en begrijpelijke reproductie van al deze persoonsgegevens moet worden gegeven’. Concreet betekent dit dat de betrokkene het recht heeft om een kopie te verkrijgen van uittreksels uit documenten of zelfs van volledige documenten of databankuittreksels die deze persoonsgegevens bevatten. Een volledig afschrift is alleen noodzakelijk als dit onmisbaar is om de be-trokkene in staat te stellen zijn AVG-rechten daadwerkelijk uit te oefenen. De verplichting om een kopie van de persoonsgegevens te verstrekken betekent dus niet dat een organisatie verplicht is om altijd afschriften te ver-strekken van de documenten waarin die persoonsgegevens voorkomen. De organisatie kan ook voor een ande-re vorm kiezen waarin de kopie van persoonsgegevens wordt verstrekt, zolang dit maar een getrouwe en be-grijpelijke reproductie van al deze persoonsgegevens is.
De korpschef heeft in het onderhavige geschil gekozen voor een dergelijke andere vorm om aan het inzagever-zoek te voldoen. Hij verstrekt immers een overzicht van de persoonsgegevens van de betrokkene. De rechtbank oordeelt dat de eiser onvoldoende heeft onderbouwd dat de korpschef met de overzichten geen getrouwe en begrijpelijke reproductie van zijn persoonsgegevens heeft gegeven. Daarnaast heeft eiser onvoldoende onder-bouwd dat volledige afschriften onmisbaar zijn om zijn rechten onder de AVG daadwerkelijk uit te oefenen.
Kortom: deze zaak illustreert met een verwijzing naar F.F. tegen Österreichische Datenschutzbehörde dat orga-nisaties bij een inzageverzoek ook een overzicht van de persoonsgegevens mogen verstrekken in plaats van een kopie van het document waarin de persoonsgegevens staan. Als randvoorwaarde geldt dat het overzicht een ‘getrouwe en begrijpelijke reproductie’ van alle persoonsgegevens is. Een volledig afschrift is alleen nodig als dit onmisbaar is om de betrokkene in staat te stellen om zijn rechten daadwerkelijk uit te oefenen.
HvJ EU verduidelijkt de voorwaarden voor het opleggen van een geldboete
Ten tweede zijn twee recent gewezen arresten van het HvJ EU interessant. Het HvJ EU verduidelijkt in deze pre-judiciële beslissingen de voorwaarden waaronder nationale toezichthouders een administratieve geldboete kun-nen opleggen aan één of meer verwerkingsverantwoordelijken op grond van artikel 83 AVG wegens schending van de AVG.
Het onderhavige geschil in de eerste zaak speelt zich af in Duitsland. De Duitse toezichthouder heeft aan Deutsche Wonen een administratieve geldboete opgelegd van ruim €14.000.000 wegens opzettelijke schending van artikel 5 lid 1 sub a, b en e en artikel 25 lid 1 AVG. De tweede zaak speelt zich af in Litouwen. De Litouwse toezichthouder heeft aan het nationaal centrum voor volksgezondheid van het ministerie van Volksgezondheid een administra-tieve geldboete van €12.000 opgelegd wegens schending van artikel 5, 13, 24, 32 en 35 AVG. De rechters in beide zaken stellen prejudiciële vragen aan het HvJ EU. Kort gezegd zien deze vragen op de vraag onder welke voorwaarden nationale toezichthouders een administratieve geldboete kunnen opleggen aan één of meer ver-werkingsverantwoordelijken op grond van artikel 83 AVG wegens schending van de AVG.
Het HvJ EU oordeelt ten eerste dat een toezichthouder alleen een administratieve boete kan opleggen aan een verwerkingsverantwoordelijke wegens een inbreuk op de AVG als deze inbreuk op verwijtbare wijze, dat wil zeggen opzettelijk of uit nalatigheid, is begaan. Wat betreft de vraag of een inbreuk opzettelijk of uit nalatigheid is begaan merkt het HvJ EU op dat een verwerkingsverantwoordelijke voor een gedraging kan worden bestraft wanneer hij moest weten dat zijn gedraging een inbreuk opleverde. Hierbij maakt het niet uit of de verwerkings-verantwoordelijk daadwerkelijk wist dat hij de bepalingen van de AVG schond. Als de verwerkingsverantwoor-delijke een rechtspersoon is, is er voor de toepassing van artikel 83 AVG geen handeling en zelfs geen kennis van het bestuur van die rechtspersoon vereist.
Daarnaast oordeelt het HvJ EU dat aan een verwerkingsverantwoordelijke ook een geldboete kan worden opge-legd voor de handelingen van een verwerker. Dit kan alleen voor zover deze handelingen aan de verwerkings-verantwoordelijke kunnen worden toegerekend.
Wat betreft de gezamenlijke verantwoordelijkheid van twee of meer entiteiten, oordeelt het HvJ EU dat hiervan sprake is als meerdere entiteiten hebben deelgenomen aan de vaststelling van het doel van en de middelen voor de verwerking. Om de betrokken entiteiten als gezamenlijke verwerkingsverantwoordelijken te kunnen kwalifi-ceren is het niet nodig dat er tussen hen een formele regeling bestaat.
Ten slotte is het HvJ EU van mening dat de toezichthouder zich bij de berekening van de geldboete moet baseren op het mededingingsrechtelijke begrip ‘onderneming’, als de ontvanger van de boete een onderneming is of deel uitmaakt van een onderneming. Het maximumbedrag van de geldboete moet dus worden berekend op basis van een percentage van de totale wereldwijde jaaromzet van de betrokken onderneming in het vorige boekjaar.
Het HvJ EU verduidelijkt in deze prejudiciële beslissingen dat een administratieve geldboete alleen aan een ver-werkingsverantwoordelijke kan worden opgelegd wanneer er sprake is van verwijtbaar gedrag, dat wil zeggen dat de inbreuk opzettelijk of uit nalatigheid is begaan. Daarnaast moet, indien degene aan wie de boete is opge-legd deel uitmaakt van een groep ondernemingen, de geldboete worden berekend op basis van de omzet van de hele groep.
Verstrekking van medische gegevens aan jurist: toestemming van patiënt vereist
In deze derde zaak geeft de Hoge Raad bij prejudiciële beslissing antwoord op vragen die opkwamen bij de bui-tengerechtelijke afhandeling van een aansprakelijkheidsclaim van een patiënte tegen een ziekenhuis.
De patiënte heeft het ziekenhuis aansprakelijk gesteld wegens verwijtbaar medisch handelen. Het ziekenhuis heeft de patiënte gevraagd om een zogenoemde ‘medische machtiging’ in te vullen. Hierdoor kunnen de behan-delaars in het ziekenhuis medische informatie van de patiënte delen met een jurist. Het ziekenhuis is van mening dat de uitwisseling van medische informatie met de jurist nodig is om de claim te beoordelen en een standpunt te bepalen. Patiënte weigert de medische machtiging in te vullen. Het ziekenhuis start daarom een procedure bij de rechtbank Rotterdam. De rechtbank stelt vervolgens drie prejudiciële vragen aan de Hoge Raad. In dit arrest beantwoordt de Hoge Raad deze vragen.
De eerste twee vragen stellen aan de orde of de toestemming van de patiënte is vereist als de jurist van het zie-kenhuis in de buitengerechtelijke fase van de schadeafwikkeling inzage krijgt in het medisch dossier. Als dat zo is, waar dient die toestemming dan betrekking op te hebben?
Artikel 9 lid 1 AVG bepaalt dat de verwerking van gezondheidsgegevens is verboden. De verwerking is toege-staan als de betrokkene uitdrukkelijk toestemming heeft gegeven voor de verwerking van de persoonsgege-vens voor één of meer welbepaalde doeleinden. Naast artikel 9 lid 2 AVG bevat ook artikel 88 Wet BIG en artikel 7:457 lid 1 BW een verbod om medische gegevens over een patiënt te verstrekken aan een ander dan de patiënt (bijvoorbeeld een jurist). Medische gegevens mogen wel met een ander worden gedeeld wanneer de patiënt daarvoor expliciete en rechtsgeldige toestemming heeft gegeven. Geeft de patiënt geen toestemming, dan kun-nen er andere mogelijkheden zijn om de betreffende informatie toch aan de jurist door te geven. Volgens artikel 8 lid 2 EVRM en artikel 7:457 lid 1 BW moet er dan wel een wettelijke grondslag bestaan. Deze grondslag is in dit geval niet aanwezig. Kortom: toestemming van de patiënte is nodig.
Wat betreft de toestemming geldt dat in het algemeen kan worden volstaan met een medische machtiging waar-in de patiënt zijn specifieke toestemming geeft voor het delen van de gegevens met een derde. Specifieke toe-stemming betekent dat de patiënt moet weten aan wie en waarom de informatie wordt doorgegeven.
Tot slot stelt de derde vraag aan de orde of van een aansprakelijkgestelde hulpverlener kan worden verwacht dat hij een standpunt inneemt over de aansprakelijkheidsstelling indien de patiënt toestemming weigert om het medisch dossier met de jurist te delen.
Het antwoord hierop is kort: dit kan niet van een hulpverlener worden verlangd.
Concluderend leert deze zaak ons dat in het geval van buitengerechtelijke afhandeling van medische aansprake-lijkheidsclaims de (gespecificeerde) toestemming van de patiënt is vereist voor verstrekking van medische gege-vens aan de jurist.
