Home / Nieuws & Blogs / Privacy jurisprudentieblog oktober 2021

Privacy jurisprudentieblog oktober 2021

| 25 oktober 2021

Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand oktober op een rij.

1. Het coronapaspoort is niet in strijd met de wet, uw grondrechten of de AVG

Het coronapaspoort. Het veel bediscussieerde toegangsbewijs op basis van de burger haar gezondheidsstatus. Ben jij niet gevaccineerd? Dan kan je niet zomaar de kroeg induiken zonder van tevoren de lange wattenstaaf van de GGD te trotseren. Toch misschien best een grote beperking van de vrijheid?

Zo dacht de eiser in deze zaak er in ieder geval wel over. Zij besloot de overheid te dagvaarden (oftewel: aanklagen). Volgens haar klopt de wettelijke basis (de Tijdelijke Wet Maatregelen Covid-19, de Wet Publieke Gezondheid en de Tijdelijke wet coronatoegangsbewijzen) van het gebruik van de coronapaspoorten niet en is het coronapaspoort dus niet toegestaan. De eiser zei dat het in strijd is met het discriminatieverbod, andere mens- en grondrechten en de Algemene verordening gegevensbescherming (AVG).

Lang juridisch verhaal kort: mag niet!

De voorzieningenrechter oordeelde dat het wetsproces volgens het boekje is gegaan en de wettelijke basis wél geldig is. Bovendien is er geen discriminatie want iedereen, gevaccineerd of niet, kan toegang verkrijgen. Immers met vaccinatie, negatieve test of herstelbewijs kom je binnen.

De behandeling van mensen met negatieve test is anders dan van gevaccineerde mensen, maar hiervoor is een objectieve en redelijke rechtvaardiging. De overheid volgt namelijk het advies van het Outbreak Management Team (OMT) over welke koers zij het beste kan varen. Het OMT geeft onder andere aan dat het de stellige verwachting heeft dat ongevaccineerden besmettelijker zijn dan gevaccineerden. Bovendien wijzen alle kansberekeningen erop dat niet-gevaccineerden zowel besmettelijker zijn, als eerder besmet worden dan gevaccineerden.

Een beroep op de AVG kan niet ontbreken! De eiser zei dat de overheid met de toegangsbewijzen in strijd handelt met de AVG. Hoewel uit het verslag van de rechtszaak niet duidelijk volgt welke AVG-regel de overheid zou schenden, geeft de voorzieningenrechter aan dat geen één bepaling van de AVG is geschonden. Dit volgt volgens de voorzieningenrechter uit de visie van de privacywaakhond, de Autoriteit Persoonsgegevens (AP), over de tijdelijke wet over het coronapaspoort. De AP verduidelijkte daarin dat deze wijze van gebruik van gegevens een zo beperkt mogelijk gebruik van persoonsgegevens betreft (over waarvoor, het doeleinde, wordt niks gezegd).

Met andere woorden zegt de voorzieningenrechter dat er volgens de AP geen andere, minder vergaande, manier is om hetzelfde doel te bereiken. Dit gaat om de proportionaliteit van een maatregel: het gebruik van persoonsgegevens mag niet verder gaan dan noodzakelijk. Een gemis voor de privacyrechtspraak dat er hier niet verder op in is gegaan. Vol verwachting klopt ons hart voor de uitspraak in de bodemprocedure!

2. Het melden van een datalek of een schending van persoonsgegevens op basis van artikel 33 AVG?

Alle advocaten in Nederland zijn ingeschreven op het tableau van de Nederlandse Orde van Advocaten (de Orde). In deze zaak gaat het om een advocaat (de eiser) die in 2017 vier maanden geschorst werd, waardoor hij vier maanden niet als advocaat mocht werken. Deze schorsing staat ook op het tableau en dat wilde hij laten verwijderen.

De eiser stelt dat de Orde na vier maanden de schorsing van het tableau had moeten verwijderen, of het had moeten pseudo- of anonimiseren. Buiten het ongedaan maken van zijn vermelding op de lijst, wil hij dat de Orde een melding doet bij de AP op rond van artikel 33 AVG.

We zoomen in op dit opmerkelijke verzoek. Artikel 33 AVG gaat namelijk om een melding als er een “inbreuk van persoonsgegevens’’ is. Zo’n inbreuk wordt ook wel een datalek genoemd. De eiser in deze zaak lijkt deze verplichte melding breder te willen trekken door het woord inbreuk te interpreteren als schending. Dat zou betekenen dat een verwerkingsverantwoordelijke bij elke schending van persoonsgegevens (wat dat ook mag betekenen) dat bij de AP zou moeten melden. Of was de essentie juist dat de Orde hiermee een datalek beging?

Op zich een strakke taaltechnische interpretatie, leuk bedacht. Desalniettemin zal een rechter het waarschijnlijk niet toekennen. De originele AVG-tekst spreekt namelijk over een “data breach”. Dat ligt dichter bij het bekende datalek dan bij een schending van persoonsgegevens. Zo liet de voorzieningenrechter dit ook buiten de procedure, en schuift de inhoudelijke behandeling door naar de bodemprocedure.

3. Privacyschending door de werkgever door het afnemen van een urinetest? 

In deze zaak gaat het om een ambtenaar die eerst is geschorst en vervolgens tijdens een ziekteperiode is ontslagen wegens ernstig plichtsverzuim. Het plichtsverzuim bestaat, volgens de voormalige werkgever uit het roken van wiet tijdens werk, het drie tot vier keer gebruiken van cocaïne in privéaangelegenheden en het niet verschijnen op werk.

De werkgever heeft de toenmalige werknemer op werk rokend aangetroffen, en tot tweemaal rook zij een wietgeur bij zijn werkplek. Er is toen een speeksel- en urinetest afgenomen. Daaruit bleek dat de werknemer wiet had gerookt en (eerder) cocaïne had gebruikt. Volgens het Protocol alcohol-, drugs- en medicijngebruik moet een werknemer, bij zwaarwegend vermoeden van onder invloed zijn van drugs, zelf bewijs aanleveren dat dat niet zo is. Daarom wordt ter plaatse een drugstest aangeboden. Mocht de werknemer op een andere wijze bewijs willen aanleveren, mag dat natuurlijk ook.

De werknemer zegt dat zijn werkgever hem niet had mogen ontslaan omdat het door de handelswijze een grove inbreuk heeft gemaakt op zijn privacy en daarmee zijn grondrechten heeft geschonden. De resultaten van de urinetest zouden ook op onrechtmatige wijze zijn gedeeld.

De rechter gaat hier niet in mee. De werknemer heeft vrijwillig meegewerkt aan de urinetest en verscheidene verklaringen afgelegd. Op basis van die gegevens is hij uiteindelijk ontslagen. Of hierbij een privacyschending is gemaakt, laat de rechter over aan de AP. Maar als de AP zegt dat er een privacyschending was, verandert dat niet dat de werkgever gebruik mocht maken van zijn bevoegdheid om de werknemer strafontslag op te leggen. Met andere woorden: privacyschending of niet, er werd drugs gebruikt op de werkvloer, daar is bewijs van en dat was een reden voor ontslag. 

Benieuwd wat er in november 2021 gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!