Coauteur: Noa van Gils
Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, dat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de Algemene verordening gegevensbescherming (hierna: AVG) uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maanden december en januari op een rij.
“Actievoeren” tegen het CBR vormt een onrechtmatige privacyinbreuk
De gedaagden in deze zaak probeerden – nogal ruw – misstanden bij het reilen en zeilen van het CBR aan te kaarten. Volgens het zelfstandig bestuursorgaan Centraal Bureau voor de uitgifte van Rijvaardigheidsbewijzen (hierna: ‘CBR’, de eiser) ging dat actievoeren te ver, mede omdat medewerkers met naam en toenaam inclusief foto werden genoemd op de website van gedaagden. Om dat vast te stellen ging het CBR (succesvol) naar de rechter, en ook de rechter vond de privacy van de medewerkers van het CBR zwaarder wegen dan de journalistieke bijdrage van de gedaagden om de misstanden aan het licht te brengen.
Volgens de gedaagden, een (inmiddels oud) rijinstructeur en freelance redacteur, zijn er veel misstanden in de autorijschoolwereld en binnen het CBR. Daarom voeren zij sinds het voorjaar van 2021 actie tegen het CBR. De oud rijinstructeur volgde en spotte namelijk examenritten, wat hem in het verleden door de rechtbank Overijssel verboden is. Deze rechtbank heeft de rijinstructeur daarnaast verboden personen die deelnamen aan de examenritten zonder toestemming herkenbaar in beeld te brengen. Daarnaast overtrad de oud rijinstructeur bij zijn acties herhaaldelijk de reglementen die gelden voor rijinstructeurs. Na meerdere waarschuwingen van het CBR heeft dit ertoe geleid dat het CBR de inschrijving van de rijinstructeur bij het CBR heeft beëindigd en hem de toegang tot de examenlocatie heeft ontzegd.
Sinds de zomer van 2023 is er een website van de oud rijinstructeur en de freelance redacteur live waarop namen van medewerkers van de examenlocatie inclusief herkenbare foto staan gepubliceerd, samen met artikelen waarin zij in verband worden gebracht met beschuldigingen over het CBR, zoals het bestaan van een angstcultuur. De beide gedaagden zijn rond de zomer van 2023 weer regelmatig te vinden bij de examenlocatie, waar zij opnames van medewerkers maken en examenritten volgen. Als gevolg hiervan heeft het CBR de examenlocatie een periode lang moeten sluiten.
Het CBR stapt naar de rechter omdat de gedaagden op deze manier inbreuk maken op de persoonlijke levenssfeer van de (oud-)medewerkers van het CBR. De gedaagden plegen volgens het CBR een inbreuk op de persoonlijke levenssfeer van de medewerkers van het CBR, omdat de gedaagden onterecht online artikelen over hen publiceren.
Om te beoordelen of er sprake is van een onrechtmatige privacyinbreuk, moet de rechter een belangenafweging maken tussen twee grondrechten en nagaan welke het zwaarste weegt: het recht op bescherming van de persoonlijke levenssfeer van in dit geval de CBR-medewerkers (artikel 8 Europees Verdrag voor de Rechten van de Mens, EVRM) of het recht op vrijheid van meningsuiting van de journalisten om misstanden aan het licht te brengen (artikel 10 EVRM).
De rechter vindt dat de gedaagden een onrechtmatige inbreuk maken op de privacy van de CBR-medewerkers, mede omdat het niet duidelijk is waarom het publiceren van persoonsgegevens van medewerkers bijdraagt aan het onderzoek naar de misstanden bij het CBR. Omdat de medewerkers geen hoge bestuurlijke functie hadden binnen het CBR en dus geen ‘bekende’ personen zijn, weegt hun recht op eerbiediging van de persoonlijke levenssfeer zwaarder dan dat van personen die wel (vanwege hun functie) bekend zijn. Bovendien geldt voor journalisten dat de privacy van personen niet verder mag worden aangetast dan voor de berichtgeving noodzakelijk is.
De rechter wijst de vordering van het CBR toe om de gedaagden, kort gezegd, te verbieden medewerkers te achtervolgen en te filmen. De gedaagden moeten ook alle persoonsgegevens van de betreffende website verwijderen.
Aanduiding “fraude” in gemeentelijk systeem: persoonsgegeven en zo ja, noodzakelijk?
Het gaat hier om een zaak waarin eiser in de systemen van het college van Burgemeesters en Wethouders van Rotterdam (hierna: B&W) (de verweerder) is opgenomen en daardoor de kwalificatie van ‘fraude’ heeft gekregen. In deze uitspraak legt de rechter uit dat dergelijke kwalificaties ook een persoonsgegeven zijn, omdat het gegeven iets zegt over de gedragingen van een persoon. Het gaat in deze zaak om gegevens over de woonsituatie van eiser en om gegevens met betrekking tot het verzwijgen van inkomsten. Het opgeven van die gegevens is verplicht volgens de inlichtingenverplichting, die volgt uit artikel 17 van de Participatiewet. Volgens dat artikel is een belanghebbende bij ondersteuning uit de Participatiewet verplicht “alle relevante feiten en omstandigheden waarvan hem redelijkerwijs duidelijk moeten zijn dat zij van invloed kunnen zijn op zijn arbeidsinschakeling of zijn recht op bijstand” aan het college te vermelden.
De eiser verzoekt het college om zijn persoonsgegevens die betrekking hebben op deze kwalificatie van fraude via een verwijderingsverzoek als bedoeld in artikel 17 AVG te wissen. Volgens het college van B&W is er sprake van bestuursrechtelijke fraude en is de uitzondering van artikel 17 lid 3 onder b AVG van toepassing. Deze uitzondering houdt in dat de gegevens niet gewist hoeven worden omdat verwerking van de gegevens nodig is voor het uitoefenen van een taak van algemeen belang.
Volgens de rechter impliceert het feit dat het college van B&W het verzoek toetst aan de AVG, dat een vermelding van de kwalificatie ‘fraude’ is aan te merken als persoonsgegeven en dat de AVG daarop van toepassing is. Het was namelijk de bedoeling van de Uniewetgever, getuige de uitspraak van het Hof van Justitie van Peter Nowak, met de AVG om een ruime betekenis te geven aan het begrip “persoonsgegeven”. De motivering van de rechtbank om te spreken van een persoonsgegevens is dat de kwalificatie ‘fraude’ een waardering betreft van de gedragingen van de eiser. Deze kwalificatie is bovendien gekoppeld aan identificeerbare gegevens van eiser en daarom is sprake van een persoonsgegeven.
Ondanks dat het wettelijk noodzakelijk is om schendingen van de inlichtingenverplichting te registreren en daarbij persoonsgegevens te verwerken, betekent volgens de rechter schending van de inlichtingenplicht niet meteen dat de kwalificatie van ‘fraude’ kan worden toegevoegd. Omdat de kwalificatie is aan te merken als een persoonsgegeven, is de verwerking alleen rechtmatig als aan alle eisen van de AVG is voldaan. Zo moet het gebruik van de term “fraude” noodzakelijk zijn voor het doeleinde waarvoor de term wordt gebruikt en dient het gebruik te voldoen aan het beginsel van dataminimalisatie. Volgens de rechter is hier geen sprake van. Volgens de rechter had het college van B&W kunnen volstaan met een zakelijke vermelding dat de inlichtingenverplichting niet is nagekomen.
Omdat de kwalificatie fraude een persoonsgegeven is en het gebruik van dit gegeven niet voldoet aan de beginselen voor een rechtmatige verwerking, wordt het verzoek van eiser tot het wissen van de kwalificatie ‘fraude’ alsnog toegewezen.
Inzageverzoek bij de FIOD: zijn alle gegevens ter beschikking gesteld?
In de laatste uitspraak staat een Rotterdamse zaak uit 2022 centraal. In deze zaak wordt benadrukt dat het feit dat politiegegevens gedeeld worden met partijen die op grond van de Wpg niet bevoegd zijn politiegegevens te verwerken, daardoor niet meteen geen politiegegevens meer zijn voor een partij die wél bevoegd is om de politiegegevens te verwerken. De zaak vindt zijn oorsprong een drietal jaren eerder, wanneer de eiser uit de zaak een inzageverzoek (artikel 15 AVG) indient bij de Fiscale inlichtingen- en opsporingsdienst (hierna: ‘FIOD’). De eiser had destijds het gevoel dat de FIOD een fraudeonderzoek naar hem had ingesteld. Drie maanden later ontvangt de eiser inzage van de FIOD in de gegevens die de FIOD op grond van de Wet politiegegevens (hierna: ‘Wpg’) van hem verwerkt heeft. Politiegegevens zijn gegevens die worden verwerkt om de politietaak uit te voeren, en verschillen daarmee dus van persoonsgegevens zoals bedoeld in de AVG. De eiser stelt dat de FIOD naast politiegegevens uit de Wpg ook persoonsgegevens uit de AVG voor dat fraudeonderzoek van hem heeft verwerkt. De eiser wil dan ook inzage in deze gegevens die op grond van de AVG worden verwerkt.
De FIOD kan zich niet vinden in de punten van de eiser. Daarbij stelt de FIOD dat zij de eiser inzage hebben verleend in politiegegevens die in een onderzoek naar een derde zijn aangetroffen en vervolgens zijn geregistreerd. De eiser baseert zijn standpunt op de politiegegevens (in dit geval processen-verbaal) die hij via het inzageverzoek heeft ingezien, waaruit zou blijken dat de FIOD ook persoonsgegevens van hem zou hebben verwerkt. De eiser concludeert uit deze processen-verbaal dat de FIOD een onderzoek naar hem heeft ingesteld. De FIOD stelt dat zij enkel fungeerde als geadresseerde van de processen-verbaal en hierbij alleen een postbusrol vervulde voor de Belastingdienst. Dit komt wel vaker voor, aangezien de FIOD als opsporingsdienst onderdeel is van de Belastingdienst. De FIOD stelt dat ze geen onderzoek naar de eiser gedaan hebben en geen aangifte gedaan hebben, omdat de processen-verbaal niet voor hen bedoeld waren.
Nu dit argument voor eiser niet opgaat, voert hij aan dat de FIOD via het Regionaal informatie- en expertisecentrum (hierna: ‘RIEC’) van de gemeente Rotterdam toch persoonsgegevens in de zin van de AVG heeft verwerkt. In een RIEC bundelen verschillende relevante partijen hun krachten om georganiseerde criminaliteit en ondermijning aan te pakken. De FIOD maakt onderdeel uit van dit RIEC, evenals de Belastingdienst. De eiser stelt dat de Belastingdienst de eiser heeft verdacht van fraude en dat de gegevens vervolgens in het RIEC zijn gedeeld. Binnen het RIEC zijn er vragen over hem aan de FIOD gesteld. Eiser stelt dat deze gegevens geen politiegegevens meer kunnen zijn, omdat ze in het RIEC gedeeld worden. Volgens de eiser nemen in het RIEC organisaties plaats die volgens de Wpg niet bevoegd zijn om politiegegevens te verwerken. Om die reden meent de eiser dat de gegevens per definitie als persoonsgegevens aangemerkt moeten worden, en dus onder het inzageverzoek dienen te vallen.
De rechtbank is er op basis van het betoog van de eiser niet van overtuigd dat de FIOD meer persoonsgegevens van de eiser zou verwerken dan de gegevens die voor het inzageverzoek ter beschikking gesteld zijn. Dat de eiser stelt dat de Belastingdienst hem van fraude heeft verdacht en dat hij naar aanleiding daarvan in het systeem Fraude Signalering Voorziening (FSV) is opgenomen, betekent niet dat de FIOD hier ook van op de hoogte was en dat de persoonsgegevens van de eiser dus in de systemen van de FIOD terecht zijn gekomen.
Het betoog van de eiser dat de gegevens geen politiegegevens zijn omdat ze in het RIEC gedeeld zijn (en dus onder de AVG vallen), snijdt volgens de rechtbank eveneens geen hout. Ook wanneer de gegevens binnen het RIEC gedeeld worden, zijn het namelijk nog steeds politiegegevens. Het RIEC ondersteunt de FIOD bij de aanpak van georganiseerde criminaliteit, dus de gegevens worden nog steeds verwerkt ‘met het oog op de voorkoming, het onderzoek, de opsporing of de vervolging van strafbare feiten en de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid’, waardoor de gegevens als politiegegevens gezien moeten worden.
Samenvattend heeft de FIOD volgens de rechter daarom op een passende manier voldaan aan het inzageverzoek van de eiser.
