Visie

Hof Den Haag: “Buitenlandse diensten handelen niet illegaal bij het vergaren van gegevens van burgers”

Amsterdam, 14 maart 2017 – Uit de Snowden-onthullingen blijkt niet dat de Amerikaanse en Britse veiligheidsdiensten, de NSA en GCHQ, op ongeoorloofde wijze inlichtingen verkrijgen. Dat heeft het Hof Den Haag geoordeeld in de zaak burgers tegen Plasterk. Omdat dit volgens het Hof niet is vast komen te staan, worden de vorderingen van de coalitie van burgers en belangenorganisaties afgewezen. De coalitie wil dat de Nederlandse diensten de rechtmatige herkomst van gegevens verifieert.

Volgens de coalitie geven de vele onthullingen, vorige week nog vanuit WikiLeaks, aanleiding om de Nederlandse diensten te verplichten na te gaan hoe gegevens zijn verkregen die zij van buitenlandse diensten ontvangen. Op dit moment wordt geen navraag gedaan. De modus operandi van de diensten is geheim.

Die geheime werkwijze lijkt nu ook de redding te zijn van de Nederlandse Staat. Juist omdat de werkwijze geheim is, is de coalitie er volgens het Hof niet in geslaagd concrete schendingen van grondrechten aan te tonen in de samenwerking tussen de buitenlandse en Nederlandse diensten.

Het Hof onderzoekt niet of de Nederlandse wet, de Wet op de inlichtingen en veiligheidsdiensten (Wiv), de diensten voldoende mandaat geven tot hun handelwijze. Die principiële vraag is ook een heet hangijzer in het wetsvoorstel voor een nieuwe Wiv, dat de Tweede Kamer onlangs heeft aangenomen, en blijft nu onbeantwoord. De toezichthouder, CTIVD, vroeg eerder ook aandacht voor het ontbreken van wettelijk mandaat voor het huidige beleid van de diensten.

Christiaan Alberdingk Thijm, een van de advocaten van de coalitie: “Dat uit alle onthullingen niet blijkt dat de buitenlandse diensten in strijd met de wet handelen, is gewoon niet juist. Iedere burger voelt op zijn water aan dat wat de diensten doen niet mag.”

Het arrest bevat ook een aantal goede overwegingen:

  • Het Hof bevestigt dat Nederlandse diensten zich moeten onthouden van het gebruik van gegevens waarvan bekend is of vermoed wordt dat zij door een buitenlandse dienst zijn verworven met een methode die inbreuk maakt op een grondrecht;
  • Het Hof geeft aan dat Nederlandse diensten geen gebruik mogen maken van de zogenaamde “U-bocht” constructie. Zij mogen buitenlandse diensten niet verzoeken activiteiten uit te voeren die zij zelf niet mogen uitvoeren;
  • Indien de Nederlandse diensten systematisch of willens en wetens gegevens van buitenlandse diensten ontvangen die zij zelf niet hadden mogen of kunnen verzamelen, levert dat volgens het Hof strijd op met de wet.

Cassatie

Het arrest betekent een vrijbrief voor de Nederlandse diensten om zonder rechtsbescherming grote hoeveelheden gegevens van haar burgers te verzamelen via buitenlandse inlichtingendiensten. De coalitie Burgers tegen Plasterk is het daar niet mee eens en gaat in cassatie bij de Hoge Raad.

Waar ging het ook alweer over?

Eind 2013 dagvaardt de coalitie “Burgers tegen Plasterk” de Nederlandse Staat, vertegenwoordigd door minister Plasterk van Binnenlandse Zaken. Aanleiding vormen de onthullingen van Edward Snowden over de praktijken van (buitenlandse) inlichtingendiensten. De coalitie eist dat de Staat stopt met het gebruiken van gegevens die niet in overeenstemming met de Nederlandse wet zijn verkregen. In 2014 struikelde minister Plasterk bijna over de zaak omdat hij de Tweede Kamer verkeerd had geïnformeerd over de werkwijze van de buitenlandse diensten in Nederland.

De coalitie is er in deze zaak niet op uit om de samenwerking met buitenlandse diensten als zodanig uit te bannen. Zij vindt wel dat er bij het samenwerken en bij het ontvangen van gegevens, waarborgen in acht moeten worden genomen. Gebeurt dat niet, dan komen gegevens die door de NSA en andere diensten in strijd met de Nederlandse wet zijn verkregen in handen van de Nederlandse inlichtingendiensten. Dit komt volgens de coalitie neer op het witwassen van data.

Coalitie Burgers tegen Plasterk

De advocaten van bureau Brandeis voeren het proces voor de coalitie van burgers en organisaties. Zij doen dat op basis van hun pro deo fonds voor maatschappelijke zaken. De deelnemende burgers zijn: Rop Gonggrijp, Jeroen van Beek, Bart Nooitgedagt, Brenno de Winter en Mathieu Paapst. De aangesloten organisaties zijn: de Nederlandse Vereniging voor Strafrechtadvocaten, de Nederlandse Vereniging voor Journalisten, de Internet Society Nederland en Stichting Privacy First.

Over bureau Brandeis

De zaak wordt vanuit bureau Brandeis behandeld door Christiaan Alberdingk Thijm en Caroline de Vries. Zij maken hiervoor gebruik van de middelen in het pro deo fonds van bureau Brandeis.

Visie

HvJEU: algemene bewaarplicht voor verkeersgegevens is disproportioneel

Een algemene en ongedifferentieerde plicht voor telecombedrijven om alle verkeersgegevens en locatiegegevens van al hun abonnees en gebruikers te bewaren, is in strijd met Europees recht. Dat heeft het Hof van Justitie (“HvJEU”) op 21 December 2016 bepaald in de gevoegde zaken C-203/15 Tele2 Sverige AB tegen Post-och telestyrelsen en C-698/15 Secretary of State for the Home Department tegen Tom Watson e.a.

Eerder: Digital Rights Ireland

Het arrest bouwt voort op het eerder gewezen Digital Rights Ireland arrest. In dat arrest verklaarde het HvJEU Richtlijn 2006/24/EG (dataretentie richtlijn) ongeldig, omdat een algemene bewaarplicht van gegevens zonder voldoende beperkingen disproportioneel is. Een dergelijke bewaarplicht maakt een inbreuk op het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens en moet daarom tot het strikt noodzakelijke beperkt worden.

Na dit arrest is in Nederland de Wet bewaarplicht telecommunicatiegegevens (art. 13.2a; 13.2b en 13.4 Telecommunicatiewet), die de dataretentie richtlijn implementeerde, via een kort geding door de Voorzieningenrechter in Den Haag buiten werking gesteld. Diversen Europese landen hebben echter nog nationale regelgeving op grond waarvan telecomproviders gegevens moeten bewaren.

In het arrest van december 2016 gaat het HvJEU in op de vraag of dergelijke verplichtingen (na het Digital Rights Ireland) arrest eigenlijk wel toegestaan zijn. Dit naar aanleiding van vragen van de Zweedse en Britse rechter.

Geen algemene bewaarplicht

Volgens het HvJEU is een algemene en ongedifferentieerde bewaarplicht in strijd met artikel 15 van Richtlijn 2002/58/EG (e-privacyrichtlijn). Het geheel van gegevens over communicatie kan immers leiden tot zeer precieze conclusies over het privéleven van de personen van wie de gegevens zijn bewaard.

Daarom kan enkel de bestrijding van zware criminaliteit een dergelijke ernstige inbreuk op het recht op privacy rechtvaardigen. Er moet dan wel een verband zijn tussen de gegevens die bewaard moeten worden en het bestaan van een bedreiging van de openbare veiligheid. Bij een algemene ongedifferentieerde bewaarplicht worden gegevens bewaard van alle personen die gebruik maken van communicatiediensten. Hieronder zullen zich ook personen bevinden die op geen enkele wijze te maken hebben met criminele activiteiten. Daarmee gaat zo’n verplichting dus verder dan wat strikt noodzakelijk is voor het nagestreefde doel, en is derhalve niet toegestaan.

Opvallend hierbij is dat het HvJEU overweegt dat de kring van betrokkenen van wie gegevens worden bewaard onder meer kan worden afgebakend aan de hand van een geografisch criterium. Het bewaren van gegevens kan dan afgebakend worden tot “een of meer gebieden met een hoog risico op zware criminaliteit”. Betekent dit dat gegevens verzameld kunnen worden over gebruikers die woonachtig zijn in de Haagse Schilderswijk, maar niet wanneer zij in het Statenkwartier wonen? Dergelijk “geografisch profileren” leidt weer tot andere (ethische) vraagstukken.

Waarborgen

Vervolgens gaat het HvJEU in op de waarborgen die moeten worden getroffen bij het verkrijgen van toegang tot de gegevens door bevoegde nationale autoriteiten.

Volgens het HvJEU zijn onder meer de volgende waarborgen vereist:

  • De toegang moet worden beperkt tot gegevens van personen die verdacht worden van betrokkenheid bij een ernstig misdrijf;
  • In bijzondere gevallen mag ook op basis van objectieve criteria toegang worden verleend tot gegevens van andere personen indien dat nodig is voor de bescherming van vitale belangen zoals bedreiging van de nationale veiligheid en terrorisme;
  • De toegang tot gegevens moet aan voorafgaande rechterlijke controle worden onderworpen, tenzij sprake is van bijzondere spoed;
  • Bevoegde instanties waaraan toegang is verleend, moeten de betrokken personen daarvan op de hoogte stellen zodra dat gezien het opsporingsbelang mogelijk is;
  • Er moeten doeltreffende maatregelen worden getroffen om de gegevens te beschermen tegen onrechtmatige toegang en misbruik, waaronder het bewaren van de gegevens op het grondgebied van de EU en het vernietigen van de gegevens na afloop van de bewaarperiode;
  • Een onafhankelijke autoriteit moet toezien op de verwerking van persoonsgegevens.
En nu?

Het is nu aan de verwijzende rechters (in Zweden en Groot-Brittannië) om te beoordelen of de nationale wettelijke bewaarplichten aan de door het HvJEU uiteengezette eisen voldoen. De nationale rechters zullen dus uiteindelijk moeten beoordelen of de regelingen (i) niet neerkomen op een algemene ongedifferentieerde bewaarplicht en (ii) of bij het verkrijgen van toegang tot de gegevens voldoende waarborgen worden genomen. Ook andere lidstaten zullen moeten beoordelen of hun nationale regelingen voldoen.

In Nederland is de Wet bewaarplicht telecommunicatiegegevens reeds buiten werking gesteld. In reactie daarop is de regering met een wetsvoorstel gekomen om opnieuw een bewaarplicht te introduceren. Het is nu de vraag of het wetsvoorstel ook voldoet aan de door het HvJEU geformuleerde eisen. Wij denken dat dat niet het geval is, met name omdat het wetsvoorstel nog steeds voorziet in een algemene ongedifferentieerde bewaarplicht. Op grond van het wetsvoorstel moeten telecom aanbieders immers nog steeds in het algemeen gegevens bewaren, zonder dat is voorzien in enige vorm van afbakening of beperking van de kring van personen van wie gegevens worden bewaard. Telecom bedrijven zullen daarom gegevens moeten bewaren van al hun klanten, ongeacht of zij redelijkerwijs in verband kunnen worden gebracht met ernstige criminaliteit. Dat is in strijd met het Digital Rights Ireland en Tele2 Sverige arrest van het HvJEU.

Mc Fadden

Daarnaast is de vraag hoe de uitspraak zich verhoudt tot het eerdere Mc Fadden arrest. In Mc Fadden oordeelde het HvJEU dat een winkel die gratis wifi aanbiedt, verplicht mag worden om de toegang tot zijn netwerk te beveiligen via een wachtwoord om inbreuken op intellectuele eigendomsrechten te voorkomen. Volgens het HvJEU is een dergelijke maatregel echter alleen effectief als de gebruikers daarbij verplicht zijn hun identiteit op te geven om het wachtwoord te verkrijgen en dus niet langer anoniem kunnen handelen.

Het gekke is dat het HvJEU deze maatregel alleen afweegt tegen de rechten op vrijheid van ondernemerschap en vrijheid van informatie. Het HvJEU weegt dus het recht op eerbiediging van privéleven en de bescherming van persoonsgegevens niet mee. Had het HvJEU dat wel gedaan dan was zij vermoedelijk tot een ander oordeel gekomen. Het verzamelen van identificerende gegevens die zijn verstrekt in ruil voor een wifi wachtwoord zou immers neerkomen op een algemene ongedifferentieerde bewaarplicht. Een dergelijke plicht is volgens het HvJEU in Tele2 Sverige nu juist niet toegestaan, omdat deze een te vergaande inbreuk maakt op onder meer het recht op eerbiediging van het privéleven en de bescherming van persoonsgegevens.

Belang van grondrechten

In het Tele2 Sverige arrest onderstreept het HvJEU nogmaals het belang van de eerbiediging van het privéleven en de bescherming van persoonsgegevens, zelfs wanneer het gaat om de bestrijding van ernstige criminaliteit. Het is aan de nationale rechters en wetgevers om te bezien of nationale regelingen deze grondrechten voldoende in acht nemen.

Visie

Hoge Raad oordeelt voor eerst over het recht om vergeten te worden

We kennen allemaal de verwijderingsverzoeken die Google krijgt omdat mensen niet blij zijn met wat er over ze op internet te vinden is. Het gaat inmiddels om miljoenen verzoeken. Bij elk van die verzoeken moeten het economisch belang van Google worden afgewogen tegen het privacy belang van degene die het ‘right to be forgotten’ verzoek (‘RBTF’) indient. De Hoge Raad heeft nu voor het eerst geoordeeld dat daarbij doorgaans het belang van de verzoeker zwaarder moet wegen.

Op 13 mei 2014 heeft het Hof van Justitie van de Europese Unie (“HvJ EU”) in het baanbrekende Costeja arrest[1] voor het eerst geoordeeld dat het weergeven van persoonsgegevens in zoekresultaten een verwerking van persoonsgegevens kan opleveren. De betrokkene kan onder omstandigheden op grond van de Dataprotectierichtlijn (“Richtlijn”)[2] deze persoonsgegevens laten verwijderen. Nu heeft ook de Hoge Raad voor de eerste maal geoordeeld over het ‘recht om vergeten te worden’.

 Wat is het recht om vergeten worden?

In de Costeja-zaak oordeelde het HvJ EU dat de activiteit van een zoekmachine die erin bestaat door derden op het internet gepubliceerde of opgeslagen informatie te vinden een verwerking van persoonsgegevens in de zin van de Richtlijn oplevert. Zoekmachine exploitanten, zoals bijvoorbeeld Google en Bing, zijn verantwoordelijke voor die verwerking van persoonsgegevens.

Het HvJ EU oordeelde verder dat een zoekmachine exploitant verplicht is om bij zoekresultaten die na een zoekopdracht op de naam van een persoon wordt weergegeven, de koppelingen te verwijderen naar webpagina’s van derden waarop informatie over deze persoon is te vinden. Zelfs indien deze naam of deze informatie niet vooraf of gelijktijdig van deze webpagina’s is gewist en, in voorkomend geval, zelfs wanneer de publicatie ervan op deze webpagina’s op zich rechtmatig is.[3] Hieruit volgt dat het recht van de betrokkenen om ‘vergeten’ te worden ook geëffectueerd kan worden als een aanvankelijk rechtmatige verwerking van exacte gegevens na verloop van tijd niet langer met de Richtlijn verenigbaar is omdat deze gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt. Dit is met name het geval wanneer deze gegevens gelet op deze doeleinden en gelet op de verstreken tijd ontoereikend, niet of niet meer ter zake dienend of bovenmatig zijn.[4]

 Welke belangenafweging dient er gemaakt te worden?

Het HvJ EU oordeelde ook dat bij de belangenafweging artikel 7 (eerbiediging van het privé leven) en artikel 8 (bescherming persoonsgegevens) van het Europese Handvest[5] gewaarborgde grondrechten zijn die in beginsel voorop moeten worden gesteld. Dit zal niet het geval zijn indien de inmenging in de grondrechten van de betrokkene wegens bijzondere redenen zoals de rol die deze persoon in het openbare leven speelt, wordt gerechtvaardigd door het overwegende belang dat het publiek heeft om, door deze opneming, toegang tot de betrokken informatie te krijgen.[6]

Als gevolg van het Costeja-arrest is er een stroom aan met name lagere jurisprudentie[7] ontstaan over de vraag onder welke voorwaarden persoonsgegevens verwijderd dienen te worden door met name Google. Nu is er dus voor het eerst een arrest van de Hoge Raad.[8]

Wat zijn de feiten?

Eiser is in een aflevering van ‘Misdaadverslaggever’ van Peter R. de Vries verschenen. In de aflevering vertelt eiser, op heimelijke wijze via camera opgenomen, dat hij voornemens is om een concurrente in de escortbranche te laten liquideren. Eiser is mede op grond van de camerabeelden vervolgens veroordeeld tot zes jaar gevangenisstraf in eerste aanleg. Vervolgens is eiser in verschillende media genoemd waarbij steeds zijn volledige voornaam, tussenvoegsel en de eerste letter van zijn achternaam is gebruikt. Er is daarna ook een boek verschenen over deze zaak waarbij feiten en fictie door elkaar heen lopen. Eiser heeft vervolgens vastgesteld dat als zijn volledige voor- en achternaam bij Google Search worden ingetypt er zoekresultaten worden weergegeven van webpagina’s op amazon.com, books.google.nl en abebooks.com (“URL’s”) waarop informatie staat over het boek alsmede een verwijzing naar een artikel in het Algemeen Dagblad waarin wordt gesproken over veroordeling en de uitzending van ‘Misdaadverslaggever’.

Wat wil eiser bereiken?

Eiser is van mening dat de weergave van zijn persoonsgegevens in de bovengenoemde URL’s een inbreuk op zijn persoonlijke levenssfeer oplevert en vordert verwijdering van de zoekresultaten en doet daarbij zowel een beroep op art. 36 (verwijdering en afscherming van persoonsgegevens) als op art. 40 (verzet tegen verwerking persoonsgegevens wegens bijzondere omstandigheden) van de Wet bescherming persoonsgegevens (“Wbp”).

Wat hebben de rechtbank en het Hof geoordeeld?

Eiser wordt in zowel kort geding als in hoger beroep in het ongelijk gesteld en het gerechtshof stelt daarbij vast dat eiser in beginsel het recht heeft om vergeten te worden en kan verlangen dat de op hem betrekking hebbende informatie niet meer door opneming in een resultatenlijst van een zoekmachine ter beschikking wordt gesteld aan het grote publiek. Echter, verwijdering van de zoekresultaten is in het onderhavige geval niet gerechtvaardigd omdat eiser, kort gezegd, wordt vervolgd voor een recentelijk begaan ernstig misdrijf en daarvoor in eerste aanleg al is veroordeeld en dat hem niet het recht toekomt te worden gevrijwaard van zoekresultaten waardoor het publiek eiser mogelijk in verband kan brengen met dit misdrijf.

Wat oordeelt de Hoge Raad?

De Hoge Raad stelt in lijn met het Costeja arrest vast dat bij de beoordeling van een verzoek tot verwijdering het privacybelang van de betrokkene in de regel zwaarder weegt dan het economisch belang van de zoekmachine exploitant, en dat dit anders kan zijn in bijzondere gevallen, wanneer sprake is van bijzondere redenen die de inmenging in het recht op privacy rechtvaardigen.

Ten aanzien van de vraag of er in dit geval sprake is van bijzondere redenen stelt de Hoge Raad vast dat het Hof had behoren na te gaan of het publiek er belang bij heeft dat de desbetreffende zoekresultaten worden getoond als op de volledige naam van eiser wordt gezocht.. Het Hof heeft wel vastgesteld dat indien er sprake is van een ernstig delict, het publiek een groot belang heeft om geïnformeerd te worden over dit delict alsmede dat eiser de publicaties aan zichzelf heeft te wijten en dat die omstandigheden ertoe hebben geleid dat de publicatie omtrent de veroordeling van eiser rechtmatig is geweest. De Hoge Raad merkt in dat verband eerst op dat uit het Costeja arrest volgt dat ook bij een rechtmatige publicatie de betrokkene zijn recht om vergeten te worden met succes kan effectueren. De Hoge Raad maakt vervolgens korte metten met de voornoemde overwegingen van het Hof en stelt vast dat zij niet had mogen volstaan met deze constatering maar dat het Hof de elementen zoals het belang van het publiek om informatie te verkrijgen omtrent veroordeling van eiser, de rol die eiser in het openbare leven speelt alsmede de aard en omvang van het belang van eiser in een belangenafweging had moeten betrekken.

Ook het oordeel van het Hof dat het publiek dat zoekt op de volledige voornaam en achternaam van eiser niet met zekerheid kunnen vaststellen dat of de URL’s informatie bevatten over eiser omdat daar alleen zijn voorletter, tussenvoegsel en eerste letter van zijn achternaam is vermeld, getuigt van een onjuiste rechtsopvatting volgens de HR. De eiser heeft immers voldoende belang tegen de vermelding op te treden als een aanzienlijk deel van het publiek zal veronderstellen dat hij de persoon is die daarin wordt bedoeld, zo oordeelt de Hoge Raad.

 Is het oordeel van de Hoge Raad wenselijk?

In overwegingen 80, 81, 88 en 97 van het Costeja-arrest wordt door het HvJ EU een duidelijk kader geschapen dat gehanteerd moet worden bij de belangenafweging. Het Hof heeft in haar arrest in het midden gelaten of zij bovengenoemde belangenafweging heeft toegepast almede hoe zij de overige relevante omstandigheden zoals het belang van het publiek om kennis te nemen van de veroordeling van eiser en bijvoorbeeld de aard en omvang van het belang van eiser heeft gewogen in die belangenafweging. Nu dergelijke elementen ontbreken, is het onduidelijk hoe die elementen in de belangenafweging onderling hebben uitgewerkt. Mijn inziens heeft de Hoge Raad het arrest van het Hof Amsterdam dan ook met een juiste motivering vernietigd.

Verder vind ik het wel opvallend dat de Hoge Raad niet van de gelegenheid gebruik heeft gemaakt om de verwerking van de bijzondere strafrechtelijke gegevens door exploitanten van zoekmachines nader te duiden. Deze zaak leende zich immers bij uitstek voor een nadere uitleg van de Hoge Raad hoe om te gaan met de verwerking van strafrechtelijke persoonsgegevens door exploitanten van zoekmachines.

In de conclusie van Advocaat-Generaal Jääskinen voorafgaand aan het Costeja arrest is expliciet door hem overwogen dat; “voor de verwerking van de persoonsgegevens op bronpagina’s van derden die ergens “bijzondere” gegevens in de zin van artikel 8 van de richtlijn (..) zouden bevatten automatisch illegaal worden zodra niet is voldaan aan de strenge voorwaarden die dat artikel stelt aan de verwerking van zulke gegevens.” [9]

 Hoewel in lagere jurisprudentie[10] al wel eens is geoordeeld dat de verwerking van strafrechtelijke persoonsgegevens door middel van zoekmachines in strijd is met de Wbp, was het desondanks wenselijk geweest als de Hoge Raad de verwerking van bijzondere persoonsgegevens en art. 16 Wbp in dit verband had uitgelegd. In art. 16 Wbp wordt immers bepaald dat de verwerking van persoonsgegevens van strafrechtelijke aard in beginsel verboden is, behoudens de uitzonderingsgronden van art. 22 jo. art 23 Wbp. Op grond van de huidige uitzonderingen in de Wbp kan Google Search de verwerking van bijzondere strafrechtelijke persoonsgegevens niet rechtvaardigen, zodat de verwerking van persoonsgegevens in beginsel in strijd zou zijn met de Richtlijn en de Wbp en een illegaal karakter verkrijgen. Tegenover het illegale karakter van de verwerking van bijzondere persoonsgegevens van de exploitant van de zoekmachine, staat natuurlijk het algemene belang dat de Google middels haar zoekmachine dient. Google Search speelt in mijn ogen een essentiële rol bij het beschikbaar maken en houden van relevante informatie, waaronder ook strafgegevens kunnen vallen. Het zou mijns inziens onder voorwaarden mogelijk moeten zijn om informatie over strafrechtelijke persoonsgegevens te laten verwerken door exploitanten van zoekmachines.[11] Het lijkt niet wenselijk als Google Search in het geheel geen bijzondere persoonsgegevens zou mogen verwerken aangezien het recht op toegang tot informatie dan onevenredig zou worden geschaad.

Het is dat belang dat in deze onbelicht is gebleven. Gezien de veelheid aan RTBF verzoeken lijkt het echter een kwestie van tijd voordat deze vraag specifiek door de Hoge Raad beantwoord zal moeten worden.

Lex Keukens

[1] HvJ EU, 13 mei 2014, C-131/12, (Google Spain/AEPD en Mario Costeja González).

[2] Pbl EU, Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’, L 336/1.

[3] HvJ EU, 13 mei 2014, C-131/12, r.o 88.

[4] HvJ EU, 13 mei 2014, C-131/12, r.o. 93 en 94.

[5] Pbl EU, Handvest van de Europese Unie, 26 oktober 2012, C 326/02.

[6] HvJ EU, 13 mei 2014, C-131/12, r.o. 97 e.v.

[7] Zie recentelijk bijvoorbeeld Rb. Midden-Nederland, 20 februari 2017, ECLI:NL:RBMNE:2017:805; Rb. 25 januari 2017, ECLI:NL:RBOVE:2017:278.

[8] HR 24 februari 2017, ECLI:NL:HR:2017:316.

 

[9] Conclusie van advocaat-generaal N. Jääskinen van 25 juni 2013 bij HvJ EU 13 mei 2014, nr. C-131/12, (Google Spain/AEPD en Mario Costeja González), r.o 90.

[10] Rb. Rotterdam, 14 april 2016 r.o. 4.10.4; “Nu het verzoek strafrechtelijke persoonsgegevens betreft, geldt in beginsel het verbod van verwerking van deze gegevens zoals is bepaald in artikel 16 Wbp. Voorts is niet gebleken van een van de uitzonderinggronden die limitatief en exclusief zijn opgesomd in artikel 22 Wbp op de toepassing van het verbod tot verwerking van de strafrechtelijke persoonsgegevens. Hoewel de rechtbank zich bewust is van het vergaande praktische gevolg voor de verwerking van strafrechtelijke persoonsgegevens door de exploitant van een zoekmachine, acht de rechtbank de conclusie onvermijdelijk dat er in dit geval sprake is van een toepasselijk verbod op de verwerking van strafrechtelijke persoonsgegevens. De rechtbank acht derhalve het verzoek om Google te bevelen de verwijzing naar de weblinks die voortkomen uit de zoekopdracht naar de naam van verzoeker uit de zoekresultaten te verwijderen dan wel af te schermen, reeds hierom toewijsbaar.”

[11] Zie in dit verband; Mr. F.C. van der Jagt, Computerrecht 2015/126.

Visie

Inzet van body cams levert onrechtmatige verwerking van bijzondere persoonsgegevens op

Afgelopen zondag tijdens Zwolle – Ajax werden de naar Zwolle meegereisde Ajax supporters begeleid door stewards die uitgerust waren met bodycams. Navraag heeft inmiddels uitgewezen dat Ajax een pilot is gestart om middels bodycams haar dadergerichte aanpak te verbeteren. De vraag is of de inzet van bodycams wel in lijn is met de bescherming van de persoonlijke levenssfeer van de toeschouwer?

 

Wat is een bodycam?

Bodycam is een camera die op het lichaam wordt geplaatst ter beveiliging van politie, of opsporing en / of vastlegging van strafbare feiten. De inzet van bodycams valt onder het bredere begrip cameratoezicht.

 

Verwerking van bijzondere persoonsgegevens

Het vastleggen van toeschouwers op video door middel van bodycams kwalificeert als een z.g. verwerking van persoonsgegevens en valt daarmee binnen de reikwijdte van de Wet bescherming persoonsgegevens (hierna: “Wbp”).

Ajax is degene die het doel (dadergerichte aanpak verbeteren) en de middelen (bodycam op stewards) voor de verwerking van de persoonsgegevens bepaalt en is daarmee verantwoordelijk voor de gegevensverwerking.

Hoogstwaarschijnlijk levert het vastleggen van toeschouwers op video zelfs een verwerking van bijzondere persoonsgegevens op. Immers het vastleggen van toeschouwers op video kan informatie geven over de godsdienst of het ras[1] van de toeschouwer. [2] Verder kan aan de hand van de videobeelden worden achterhaald of de beelden bijvoorbeeld informatie bevatten over de gezondheid van een toeschouwer. Voor verwerking van bijzondere persoonsgegevens geldt het verzwaarde regime uit de Wbp.

Nou is het niet zo dat iedere verwerking van persoonsgegevens door middel van camera’s direct een verwerking van bijzondere persoonsgegevens[3] oplevert, echter als de verwerking van persoonsgegevens door inzet van camera’s identificatie tot doel heeft, dan worden deze beelden wel aangemerkt als verwerking van bijzondere persoonsgegevens.[4] De inzet van de bodycams door Ajax teneinde toeschouwers te identificeren levert de verwerking van bijzondere persoonsgegevens op waarvoor het verzwaarde regime uit de Wbp geldt.

 

Wanneer is de verwerking van bijzondere persoonsgegevens toegestaan?

Wil de verwerking van bijzondere persoonsgegevens in lijn met de Wbp zijn, dan is het noodzakelijk dat Ajax de inzet van bodycams kan baseren op één van de specifieke uitzonderingsgronden van art. 17 tot en met art. 2 Wbp of één van de algemene uitzonderingsgronden van art. 23 Wbp. De specifieke uitzonderingsgronden zijn niet van toepassing in het onderhavige geval en van de zeven algemene uitzonderingen zou mogelijk alleen de uitzondering van art. 23 lid sub f Wbp in aanmerking kunnen komen. In dat artikel wordt bepaald dat de gegevensverwerking noodzakelijk is met het oog op een zwaarwegend algemeen belang, er passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel de Autoriteit Persoonsgegevens ontheffing heeft verleend.

 

Standpunt Ajax

Ajax meent dat het opsporen van daders van strafbare gedragingen alsmede het voorkomen van nieuwe strafbare feiten is toegestaan op grond van de bepalingen van de KNVB standaardvoorwaarden alsmede de huisregels van de stadions, zo stelt zij zelf. Daarmee zegt Ajax eigenlijk dat zij via de KNVB standaardvoorwaarden de uitdrukkelijk toestemming van de toeschouwer heeft verkregen voor de verwerking van zijn (bijzondere) persoonsgegevens.

Via de KNVB standaardvoorwaarden is het niet mogelijk om de uitdrukkelijke toestemming van de toeschouwer voor de verwerking van bijzondere persoonsgegevens te verkrijgen. Uitdrukkelijke toestemming betekent dat de toeschouwers het gebruik van gegevens daadwerkelijk zelf heeft gewild en voldoende geïnformeerd is geweest om de reikwijdte van zijn toestemming te overzien. Daarvan is geen sprake.

Voorzover Ajax door middel van de inzet van bodycams bijzondere persoonsgegevens van toeschouwers verwerkt, dat lijkt zij daarbij niet te voldaan aan de zware criteria van art. 23 lid 1 sub f Wbp. Immers, het lijkt zeer twijfelachtig of in het onderhavige geval sprake is van een zwaarwegend algemeen belang en passende waarborgen zijn geboden ter bescherming van persoonlijke levenssfeer van de toeschouwer. In de KNVB standaardvoorwaarden wordt nergens melding gemaakt van de inzet van bodycams, noch wordt er informatie gegeven over de doeleinden van de verwerking, de bewaartermijn van de video’s, alsmede de wijze waarop de inbreuk op de persoonlijke levenssfeer van de betrokkene wordt geminimaliseerd. Daarmee lijkt de gegevensverwerking niet te voldoen aan de eisen van subsidiariteit en proportionaliteit. Verder lijkt er ook geen wettelijke grondslag te zijn noch sprake te zijn van een ontheffing door de Autoriteit Persoonsgegevens. Er lijkt hier dan ook sprake te zijn van een onrechtmatige gegevensverwerking.

 

Juridische mogelijkheden voor toeschouwers

De AFCA Supportersclub en de F-Side hebben zich inmiddels tegen de pilot uitgesproken en achten de pilot inbreuk maken op de persoonlijke levenssfeer van toeschouwers. De toeschouwers die menen dat hun persoonsgegevens onrechtmatig worden verwerkt hebben een aantal mogelijkheden om actie te ondernemen.

De eerste optie is het indienen van een klacht bij Ajax omtrent de verwerking van de persoonsgegevens. Het lijkt erop dat de AFCA Supportersclub dit inmiddels bij de clubleiding van Ajax heeft gedaan.

De tweede optie is dat de toeschouwer kan verzoeken om inzage in zijn persoonsgegevens bij Ajax. In beginsel zal Ajax binnen vier weken moeten mededelen of er persoonsgegevens worden verwerkt, en zo ja, welke persoonsgegevens worden verwerkt alsmede voor welke doeleinden die gegevens worden verwerkt. In aanvulling op het recht op inzage kan de toeschouwer vervolgens verzoeken om persoonsgegevens te verwijderen of af te schermen indien deze persoonsgegevens voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd zijn met een wettelijk voorschrift worden verwerkt.

De derde optie is dat de toeschouwer de mogelijkheid heeft om verzet aan te tekenen tegen de verwerking van zijn persoonsgegevens, echter daarvoor zal de toeschouwer wel persoonlijke omstandigheden moeten aanvoeren. Er zal dan een belangenafweging per individuele toeschouwer moeten plaatsvinden.

De vierde optie is het initiëren van een gerechtelijke procedure en de rechter verzoeken om Ajax een verbod op te leggen op verdere verwerking van zijn persoonsgegevens en daarbij verzoeken om schadevergoeding.

 

Conclusie

De inzet van bodycams door Ajax zonder grondslag in de Wbp. levert een onrechtmatige gegevensverwerking op. De toeschouwers hebben verschillende opties om de gegevensverwerking een halt toe te roepen. Het laatste woord is hier dus nog niet over gesproken.

 

[1] Kamerstukken II 1997/98, 25 892, nr. 3 p. 105; zie ook HR 23 maart 2010 ECLI:NL:HR:2010:BK6331, r.o. 2.6.

[2] Autoriteit persoonsgegevens, ‘Beleidsregels voor toepassing van bepalingen uit de Wet bescherming persoonsgegevens en de Wet politiegegevens’, 28 januari 2016, p. 25.

[3] Verordening (EU) 2016/679 van het Europees parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), L 119/1,; “The processing of photographs will not systematically be a sensitive processing..”

[4] Autoriteit persoonsgegevens, ‘Beleidsregels voor toepassing van bepalingen uit de Wet bescherming persoonsgegevens en de Wet politiegegevens’, 28 januari 2016, p. 26.

Visie

bureau Brandeis staat strafrechtadvocatuur bij

De Nederlandse strafrechtadvocatuur, verenigd in de NVSA en de NVJSA, heeft bureau Brandeis gevraagd hen bij te staan in een zaak tegen de Staat en de Raad voor Rechtsbijstand over de zogenoemde verhoorbijstand.

Verhoorbijstand is kort gezegd het recht van verdachten om zich tijdens het (politie)verhoor bij te laten staan door een advocaat. De Hoge Raad heeft op 22 December 2015 bepaald dat verdachten vanaf 1 maart jl. recht hebben op verhoorbijstand. Strafrechtadvocaten maken zich grote zorgen over de praktische uitwerking en de vergoeding van de werkzaamheden in het kader van dit recht. Ook over de rol die de advocaten tijdens het verhoor hebben bestaat de nodige discussie, waarbij de Minister van Veiligheid & Justitie de rechten die uit de Europese jurisprudentie en regelgeving voortvloeien miskent.

De NVSA en NVJSA zijn een kort geding gestart om hieraan een einde te maken. Christiaan Alberdingk Thijm van bureau Brandeis staat hen hierin bij.

Verhoorbijstand

“Inzet van de procedure is alsnog recht te doen aan artikel 6 EVRM, waarop het recht op verhoorbijstand is gebaseerd. Uit de jurisprudentie van het Europese Hof van de Rechten voor de Mens (EHRM) en de Hoge Raad blijkt dat dit recht ruim moet worden geïnterpreteerd en dat beperkingen slechts togestaan zijn in het geval daar dwingende redenen voor zijn,” aldus Alberdingk Thijm.

Op 17 maart 2016 heeft de mondelinge behandeling van de zaak plaatsgevonden. Lees hier het verslag van de zitting op Advocatie.

De zaak heeft in het bijzonder betrekking op een leidraad en een beleidsregel die zijn opgesteld om tegemoet te komen aan het arrest van de Hoge Raad. De strafrechtadvocaten stellen zich op het standpunt dat de leidraad en beleidsregel echter ongeoorloofde beperkingen van het recht op verhoorbijstand inhouden.

Thomas Felix van de NVJSA zegt daarover: “Als het aan de Minister ligt, dienen de advocaten tijdens het verhoor stilzwijgend naast hun cliënt te zitten en mogen zij enkel voorafgaande en na het verhoor iets zeggen. In Europese rechtspraak is echter bepaald dat advocaten actief moeten kunnen deelnemen aan het verhoor.”

Redelijke vergoeding

Inzet van de procedure is daarnaast dat een redelijke vergoeding wordt toegekend voor deze rechtsbijstand. De Minister gaat ervan uit dat de vergoeding van 1,5 uur werk (€ 158,41) voldoende is, ongeacht de duur en het aantal verhoren die in een zaak plaatsvinden. Slechts in zeer zware en uitzonderlijke zaken wordt die vergoeding verdubbeld (3 uur). De Minister baseert zijn inschatting echter niet op concrete cijfers, terwijl die cijfers eenvoudig kunnen worden achterhaald. In veel zaken vinden meerdere verhoren plaats. In grote zaken zijn meerdere verhoren van 4 uur of langer geen uitzondering.

De verenigingen achten rechtsbijstand tegen een dergelijk lage vergoeding bedrijfseconomisch onverantwoord en vrezen dat veel gespecialiseerde strafrechtadvocaten deze rechtsbijstand niet kunnen verlenen. Diverse gerenommeerde strafrechtkantoren heeft al aangegeven niet langer deel te nemen aan het stelsel van gefinancierde rechtsbijstand tijdens de – zeer belangrijke – piketfase. De Verenigingen pleiten voor een uurtarief van € 105,61, zijnde het algemene uurtarief voor de gefinancierde rechtsbijstand. Enkel hiermee kan rechtsbijstand van gespecialiseerde strafrechtadvocaten op de lange termijn worden gewaarborgd.

Lees hier de dagvaarding en hier de pleitnota.

 

Naar
boven