Privacyrechten onder de Algemene verordening gegevensbescherming (‘AVG’) lijken op het eerste gezicht helder, maar in de praktijk lopen burgers en organisaties vaak tegen grenzen en uitzonderingen aan. Drie recente uitspraken van de Afdeling bestuursrechtspraak van de Raad van State (‘Afdeling’) laten zien hoe die grenzen in Nederland worden ingevuld. In de eerste zaak stond de vraag centraal of een zorgaanbieder verplicht is een interne notitie over een verwijderverzoek te wissen. De tweede uitspraak gaat over de voorwaarden voor het toekennen van immateriële schadevergoeding na een fout in de verwerking van persoonsgegevens. Tot slot komt de uitleg van het begrip ‘persoonsgegeven’ aan bod, waarbij de Afdeling een andere lijn hanteert dan het Europese Hof van Justitie (‘HvJ EU’). Deze uitspraken geven belangrijke richting aan de toepassing van de AVG en laten zien dat de Afdeling niet altijd de Europese rechtspraak aanhaalt en daardoor soms een andere koers vaart dan het HvJ EU.
In dit blog bespreken wij deze drie uitspraken en gaan we in op de betekenis voor de praktijk. Hoe verhouden deze Nederlandse uitspraken zich tot de Europese lijn van het HvJ EU, en waar liggen voor betrokkenen de grenzen van hun rechten onder de AVG?
In de eerste zaak werd een vrouw door haar huisarts verwezen naar GGNet, een aanbieder van geestelijke gezondheidszorg. Na een eerste gesprek besloot zij geen behandeling te starten en verzocht zij om verwijdering van haar medisch dossier. GGNet voldeed aan dat verzoek, maar hield in het systeem een korte aantekening bij dat zij om verwijdering had verzocht en dit verzoek was ingewilligd. De vrouw vond dat onnodig en diende bij de Autoriteit Persoonsgegevens (‘AP’) een verzoek in om hiertegen op te treden. De AP wees het verzoek af. Volgens de toezichthouder was de notitie noodzakelijk om later aan instanties zoals de Inspectie Gezondheidszorg en Jeugd of zorgverzekeraars te kunnen uitleggen waarom een specifiek dossier is verwijderd.
De Afdeling heeft het oordeel van de AP en de rechtbank bevestigd: GGNet mag de notitie bewaren. Zorgaanbieders hebben op grond van de Wet op de geneeskundige behandelingsovereenkomst een dossierplicht en moeten zich kunnen verantwoorden tegenover toezichthouders. Volgens de Afdeling mag daarom een beknopte aantekening over het verwijderverzoek bewaard blijven. Dit valt onder de uitzondering in de AVG voor verwerkingen om redenen van algemeen belang op het gebied van de volksgezondheid. Het recht op gegevenswissing is hier wel van toepassing, maar GGNet had een gerechtvaardigde grond om het verzoek te weigeren. De bewaring van de notitie viel namelijk onder een uitzondering in de AVG en was daarmee toegestaan.
Deze uitspraak maakt duidelijk dat het recht op verwijdering van persoonsgegevens in de zorg niet onbeperkt is. Ook als een medisch dossier zelf wordt verwijderd, mag de zorgaanbieder een korte notitie bewaren waaruit blijkt dat dit is gebeurd. De Afdeling benadrukt dat zo’n aantekening noodzakelijk kan zijn om aan de dossierplicht te voldoen en om zich later tegenover toezichthouders te kunnen verantwoorden. Het gaat hier dus specifiek om medische dossiers. De ruimte om gegevens te bewaren is beperkt tot dit doel en moet altijd binnen de kaders van de AVG blijven. Voor zorgaanbieders betekent dit concreet dat zij naast het verwijderen van het dossier een beknopte aantekening mogen bewaren om aan hun wettelijke verantwoordingsplicht te voldoen.
In deze zaak deed de Afdeling uitspraak, waarin een vrouw het Centraal Justitieel Incassobureau (‘CJIB’) aansprakelijk stelde voor een ernstige fout. Zij had een brief ontvangen dat haar taakstraf werd verlengd vanwege coronamaatregelen, terwijl die taakstraf helemaal niet meer bestond. De rechter had die al eerder vernietigd, alleen stond dat niet goed geregistreerd in de systemen van het CJIB. Daardoor werden haar gegevens twee jaar lang onterecht bewaard en verwerkt. Pas acht maanden na ontvangst van de brief kreeg zij te horen dat er iets was misgegaan.
De vrouw vroeg het ministerie van Justitie en Veiligheid om inzage in haar strafdossier en vorderde daarnaast een schadevergoeding. Inzage kreeg ze, maar over de schadevergoeding was de Afdeling duidelijk. Hoewel er sprake was van een fout en onterecht gebruik van haar persoonsgegevens, was niet aangetoond dat zij in haar persoon was aangetast. Dat zij stress en ongemak had ervaren, vond de Afdeling niet voldoende om een schadevergoeding toe te kennen. Wel kreeg zij een vergoeding van 500 euro omdat de hele procedure vijf maanden langer had geduurd dan volgens de regels redelijk is.
Deze uitspraak laat zien dat wie in Nederland schadevergoeding wil eisen voor het onrechtmatig verwerken van persoonsgegevens, zal moeten aantonen dat de schade uit meer bestaat dan alleen stress of ongemak. Voor immateriële schadevergoeding is tenslotte meer nodig, namelijk aantasting in eer en goede naam, of op anderszins in de persoon. De Afdeling hanteert hier een hogere drempel dan het HvJ EU, dat in eerdere uitspraken[1] heeft geoordeeld dat er geen minimale drempel van ernst bestaat bij het toekennen van schadevergoeding voor overtredingen van de AVG die leiden tot (immateriële) schade. Een van deze uitspraken bespreken wij ook in een eerdere blog.
De toets lijkt in Nederland dus strenger te zijn dan op basis van de Europese lijn mag worden verwacht. Dit verschil tussen de striktere Nederlandse benadering en de ruimere Europese interpretatie roept vragen op over de aansluiting van de Nederlandse rechtspraak op de Europese regels.
En niet alleen bij schadevergoeding vaart de Afdeling een andere koers. Ook bij de vraag wanneer informatie als ‘persoonsgegeven’ moet worden gezien, sluit zij minder goed aan bij de ruime uitleg die het HvJ EU hanteert. Dat blijkt uit een andere uitspraak van dezelfde dag. Deze bespreken wij hieronder.
In deze zaak had een inwoner van Eindhoven via de Wet open overheid (‘Woo’) inzage gevraagd in meldingen die bij de gemeente waren gedaan over haar woonomgeving. Zij wilde weten of er meldingen over haar persoonlijk waren ingediend. In het overzicht dat zij ontving, stond echter een melding over een dode boom voor haar huis onder de categorie ‘woonoverlast’. Daardoor leek het alsof de melding op haar betrekking had, terwijl het in werkelijkheid alleen de boom betrof.
De rechtbank vond dat dit adres wel een persoonsgegeven is, omdat hiermee de bewoonster eenvoudig te identificeren is. De Afdeling dacht daar anders over. Het adres was hier volgens haar slechts een locatieaanduiding en niet bedoeld als informatie over de bewoonster, en viel daarom niet onder het begrip persoonsgegevens. Daarmee was er ook geen sprake van een schending van de AVG of het recht op schadevergoeding.
De Afdeling lijkt ervan uit te gaan dat informatie pas een persoonsgegeven is als deze bedoeld is om iemand aan te duiden. Daarmee wijkt zij af van de Europese lijn. Het HvJ EU heeft in arresten als Nowak[2] en Breyer[3] juist geoordeeld dat gegevens al een persoonsgegeven zijn wanneer zij naar hun inhoud, doel of gevolg aan een persoon te koppelen zijn. Een adres dat in een overzicht onder de noemer ‘woonoverlast’ verschijnt, kan daarom moeilijk los worden gezien van de bewoner van dat adres, ook al ging de melding feitelijk over een boom.
Het is daarom goed verdedigbaar dat de opname van het adres wel degelijk een persoonsgegeven betrof. De Afdeling koos echter voor een andere uitleg dan het HvJ EU, die juist een ruime betekenis geeft aan het begrip persoonsgegevens.
Deze uitspraak laat zien dat de Afdeling een beperktere uitleg hanteert dan het HvJ EU. Dat is problematisch, omdat de AVG een Europese verordening met directe werking is en daarom in alle lidstaten gelijk moet worden toegepast. Wanneer nationale rechters een andere koers varen, ontstaat er rechtsonzekerheid. Organisaties weten niet goed welke uitleg ze moeten volgen en burgers lopen het risico dat hun rechten in de ene lidstaat sterker beschermd worden dan in de andere. Dit tezamen kan de uniformiteit van het Europese privacyrecht ondermijnen.
Voor de praktijk betekent dit dat organisaties in Nederland er voorlopig op kunnen rekenen dat de Afdeling niet elke adres- of locatieverwijzing als persoonsgegeven aanmerkt. Tegelijkertijd blijft het risico bestaan dat het HvJ EU in toekomstige zaken nogmaals bevestigt dat het begrip ruim moet worden uitgelegd. In dat geval kan de Nederlandse lijn alsnog worden gecorrigeerd. Gemeenten en andere instanties doen er daarom verstandig aan bij openbaarmaking niet alleen naar de Nederlandse rechtspraak te kijken, maar ook rekening te houden met de bredere Europese interpretatie.
Wil je meer weten over de AVG? Ontdek het op deze pagina.
[1] HvJ EU 4 mei 2023, ECLI:EU:C:2023:370, r.o. 43-51(Österreichische Post); HvJ EU 14 december 2023, ECLI:EU:C:2023:986, r.o. 75-86 (Natsionalna agentsia za prihodite).
[2] HvJ EU 20 december 2017, ECLI:EU:C:2017:994, r.o. 34-35 (Nowak).
[3] HvJ EU 19 oktober 2016, ECLI:EU:C:2016:779, r.o. 31-49 (Breyer).
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.