Inleiding
De bestuursrechter biedt een goed alternatief naast de civiele rechter om schadevergoeding te verkrijgen vanwege een inbreuk door een bestuursorgaan op de AVG. Dat blijkt uit vier uitspraken van 1 april 2020 van de Afdeling bestuursrechtspraak van de Raad van State. De uitspraken vormen de belangrijkste jurisprudentie tot heden om vorderingen van schadevergoedingen voor AVG-schendingen te beoordelen. In ieder van de vier beslissingen zijn kruisverwijzingen opgenomen naar de andere uitspraken. Iedere uitspraak wordt afgesloten met dezelfde korte duiding van de betekenis van de uitspraak meer in het algemeen. De publicatie van de zaken ging vergezeld van een persbericht. De Afdeling heeft met de uitspraken in het belang van de rechtseenheid richting willen geven hoe de bestuursrechter dit soort zaken moet beoordelen.

Bijzonder is dat de hoogste bestuursrechter het civiele schadevergoedingsrecht interpreteert. Zoals de Afdeling aangeeft, zal dat echter vaker voorkomen omdat gedupeerden van een schending van de AVG dikwijls bij de bestuursrechter terecht zullen komen. Art. 8:88 Algemene wet bestuursrecht (“Awb”) geeft een grondslag voor de bestuursrechter om schadevergoeding toe te wijzen tot vorderingen van € 25.000. De Afdeling benadrukt dat degene die op grond van art. 82 AVG schadevergoeding wenst te vorderen van een bestuursorgaan deze vordering ook bij de civiele rechter kan indienen.

Wat heeft de Afdeling in het kort geoordeeld?
De Afdeling heeft in haar uitspraken aangegeven welke omstandigheden van belang zijn om vorderingen voor schadevergoeding toe te wijzen wegens inbreuken op de AVG. Daarbij heeft de Afdeling ook een zekere houvast gegeven om de hoogte van de schadevergoeding vast te stellen. In zaken waarin andere feiten en omstandigheden spelen, zullen aanvullende factoren bij de beoordeling moeten worden betrokken.

Waar gaan de uitspraken over?
De uitspraken hebben met elkaar gemeen dat het steeds om geïsoleerde gevallen gaat. Het gaat in alle zaken om de verwerking van persoonsgegevens van één betrokkene. Bovendien worden de gegevens steeds gedeeld met een beperkt aantal personen. Ten slotte is de duur van de schending in alle uitspraken gering.

In drie zaken (899, 900 en 901) gaat het om de verwerking van persoonsgegevens in het kader van Wob-verzoeken. In die zaken concludeert de Afdeling dat geen recht op schadevergoeding bestaat. In twee van deze zaken gaat het om het niet tijdig voldoen aan een inzageverzoek. In de derde uitspraak vernietigt de Afdeling het eerdere oordeel van de rechtbank dat de betrokkene recht had op betaling van schadevergoeding. In de vierde uitspraak (898) komt de Afdeling tot de slotsom dat er wel recht op schadevergoeding bestaat. Het zijn met name deze uitspraak en de uitspraak waarin het eerdere oordeel van de rechtbank is vernietigd die interessant zijn. Vergelijking van die uitspraken laat immers zien waar volgens de Afdeling de grens ligt.

Wat is opvallend in de uitspraken?
In de eerste plaats is opvallend dat de Afdeling oordeelt dat de uitoefening van het recht op schadevergoeding bepaald moeten worden op grond van nationaal recht. Dit terwijl de Afdeling tegelijkertijd overweegt dat de aanspraak op schadevergoeding rechtstreeks uit de AVG voortvloeit (898: r.o. 14). Omdat in de AVG niet is bepaald op welke wijze immateriële schadevergoeding moet worden vastgesteld en berekend, aldus de Afdeling (898: r.o. 27), past zij hiervoor het nationale recht toe. De AVG is voor de interpretatie daarvan wel van belang, aldus de Afdeling. Het is verder opvallend dat de Afdeling weigert prejudiciële vragen te stellen aan het HvJEU. Volgens de Afdeling is sprake van een acte claire (898: r.o. 25). Het is de vraag of dit oordeel juist is. Dit geldt te meer nu de Afdeling zelf overweegt dat het HvJEU het schadebegrip bij onrechtmatige verwerkingen van persoonsgegevens nog niet heeft uitgelegd, terwijl dit begrip volgens de considerans bij de AVG moet worden uitgelegd overeenkomstig de rechtspraak van het HvJEU (overweging 146). In de derde plaats kan uit de uitspraken worden afgeleid dat relatief snel sprake zal zijn op een aanspraak op schadevergoeding bij een schending van de AVG. Maar niet iedere inbreuk geeft recht op schadevergoeding.

Om wat voor een schade gaat het?
Het gaat steeds om immateriële schade. De Afdeling beoordeelt daarbij artikel 6:106 aanhef en onder b BW en de jurisprudentie van de Hoge Raad. De Afdeling volgt de redenering van de Hoge Raad in het EBI-arrest van 15 maart 2019 en oordeelt dat in ieder geval van een “aantasting in de persoon op andere wijze” sprake is wanneer de benadeelde geestelijk letsel heeft opgelopen. Bij schending van de AVG zal echter niet snel sprake zijn van geestelijk letsel. Dat is bij schendingen van fundamentele rechten immers vaak niet het geval. De Hoge Raad heeft in het EBI-arrest geoordeeld dat naast de gevallen met geestelijk letsel ook van een aantasting in de persoon op andere wijze sprake kan zijn gelet op de aard en de ernst van de normschending en de gevolgen daarvan. In zijn NJ-noot onder het arrest geeft Lindenbergh aan dat de Hoge Raad deze categorie niet als uitzondering op het uitgangspunt van geestelijk letsel formuleert, maar als nevengeschikte grondslag. Het cruciale woord “daarnaast” neemt de Afdeling in haar uitspraak helaas niet over, waarschijnlijk omdat zij de minder precieze formulering van de strafkamer volgt in het arrest van 28 mei 2019.

In het EBI-arrest geeft de Hoge Raad aan dat degene die zich erop beroept dat de aard en de ernst van de normschending en de gevolgen daarvan meebrengen dat hij in zijn persoon op andere wijze is aangetast dit met concrete gegevens zal moeten onderbouwen. De Hoge Raad vervolgt echter dat dit in voorkomend geval achterwege kan blijven wanneer de aard en de ernst van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen zo voor de hand liggen dat een aantasting in de persoon kan worden aangenomen. De Hoge Raad volgde met de uitspraak niet het advies van Advocaat-Generaal Hartlief, die van mening was dat bij een inbreuk op een fundamenteel recht schadevergoeding gegeven is.

De Afdeling oordeelt dat met het kader dat volgt uit artikel 6:106 aanhef en onder b BW en de jurisprudentie van de Hoge Raad voldaan kan worden aan de AVG (899, r.o. 27). Op welke wijze dat kader dan tegemoet komt aan de eisen die de AVG stelt, wordt niet duidelijk in de uitspraken. Dat kader is door de Hoge Raad niet eerder toegepast op schendingen van het recht op gegevensbescherming. De Hoge Raad heeft eerder wel schadevergoeding bij andere schendingen van de persoonlijke levenssfeer beoordeeld.

Hoe vertaalt zich dat naar de AVG?
Uit de uitspraken volgt dat volgens de Afdeling niet iedere schending van de AVG dusdanig ernstig is dat deze automatisch recht geeft op schadevergoeding. Er is volgens de Afdeling geen aanleiding te veronderstellen dat een inbreuk op de AVG zonder meer “aantasting van de integriteit van een persoon impliceert en daarmee tot vervoegbare schade leidt” (899, r.o. 33). De Afdeling lijkt voor het recht op schadevergoeding het kader uit het EBI-arrest als leidend te aanvaarden. Dat betekent dat dit afhankelijk is van de aard en de ernst van de normschending en de gevolgen daarvan. Bij de beoordeling van de hoogte van de schadevergoeding betrekt de Afdeling de aard, de ernst en de duur van de inbreuk (898, r.o. 36).

De Afdeling lijkt voor het antwoord op de vraag of aanspraak op schadevergoeding bestaat en, zo ja, de hoogte daarvan zwaar gewicht te verbinden aan de aard van het recht, het recht op bescherming van de persoonlijke levenssfeer. Dat ligt voor de hand nu het op grond van 6:106 aanhef en onder b BW ook moet gaan om “persoonsaantasting”. De Afdeling legt de lat niet bijzonder hoog voor een aanspraak op schadevergoeding. Zij overweegt zonder voorbehoud dat in strijd is gehandeld met het gegevensbeschermingsrecht en daardoor met de persoonlijke levenssfeer, hetgeen kan worden aangemerkt als een aantasting in de persoon als bedoeld in artikel 6:106 lid 1 onder b BW (898: r.o. 36). Uit de opvolgende uitspraak blijkt echter dat er wel een zekere drempel gehaald moet worden. De AVG wordt bij de beoordeling op het recht op schadevergoeding niet wezenlijk betrokken, terwijl die vrij ruimhartig is in de aanspraak op schadevergoeding.

Schadevergoeding in de AVG
Art. 82 AVG bepaalt dat een ieder die schade heeft geleden ten gevolge van een schending van de AVG recht heeft op materiele en immateriële schadevergoeding. De verantwoordelijke kan slechts daaraan ontsnappen wanneer hij bewijst op geen enkele wijze verantwoordelijk te zijn voor de schending. Overweging 146 AVG verduidelijkt dat het begrip schade ruim moet worden uitgelegd. Het gaat om “volledige en daadwerkelijke” schadevergoeding. Hieruit leidt de Afdeling niet af dat ook een punitief karakter kan kleven aan de schadevergoeding, zoals de gelaedeerde in zaak 899 had bepleit. “[I]n overweging 146 van de AVG [staat] niet dat schadevergoeding effectief en ‘voldoende afschrikwekkend’ moet zijn.”, aldus de Afdeling. Dat staat echter wel in artikel 84 AVG over sancties. Daar staat dat sancties “doeltreffend, evenredig en afschrikkend” moeten zijn (vgl. ook overweging 152 AVG). Dat is een kwalificatie die vaker in Uniewetgeving wordt gebruikt (zie bijvoorbeeld richtlijn 2004/48 en richtlijn 2006/54).

Bovendien lijkt de Afdeling onder de begrippen “daadwerkelijke schade” in overweging 146 concrete schade te verstaan. Volgens de Afdeling bestaat er geen verplichting om een schadevergoeding toe te kennen die “verder gaat dan volledige vergoeding van de daadwerkelijke geleden schade”. Daar valt ook wel wat op af te dingen. Het woord “daadwerkelijke” in de Nederlandse taalversie van de AVG dekt mogelijk niet de intentie van de Uniewetgever. De Engelse taalversie van de AVG heeft het in overweging 146 over “effective” schadevergoeding; de Duitse over “wirksamen”. Een betere vertaling zou “doeltreffend” zijn geweest.

Ter onderbouwing van haar oordeel dat slechts daadwerkelijke schade hoeft te worden vergoed, verwijst de Afdeling naar het Arjona Camacho-arrest van het HvJEU. Dat overtuigt niet. In die zaak ging het om de vraag of lidstaten bij de omzetting van een richtlijn die discriminatie op grond van geslacht verbiedt ook moeten voorzien in punitieve schadevergoeding. Het HvJEU oordeelt dat de lidstaten hier niet toe verplicht zijn. Het HvJEU overweegt echter ook dat de betreffende richtlijn 2006/54 de lidstaten wel de mogelijkheid biedt om een punitieve schadevergoeding op te leggen. Bovendien heeft het HvJE in het arrest Manfredi bepaald dat toekenning van niet-compensatoire schadevergoeding mogelijk is, voorzover daarbij het doeltreffendheidsbeginsel en het gelijkwaardigheidsbeginsel in acht worden genomen (zie ook HvJEU 25 januari 2017 ECLI:EU:C:2017:36).

Als “daadwerkelijk” begrepen moet worden als “doeltreffend” rijst de vraag wat het recht op schadevergoeding in de AVG beoogt te bereiken (vgl. HvJEU 29 juli 2019, Fashion ID, r.o. 50 en 51). Het herstellen van schade is niet de enige functie van het schadevergoedingsrecht. Hartlief somt in zijn conclusie bij het EBI-arrest verschillende argumenten op om schadevergoeding toe te kennen. De rechtshandhaving van rechten en plichten is er daar één van. Juist wanneer er geen sprake is van aantoonbare immateriële schade kan de sanctionering van rechten en plichten een belangrijke rol spelen, aldus Hartlief (punt 4.4).

Het is een gemiste kans dat de Afdeling niet langer heeft stilgestaan bij het doel van het schadevergoedingsrecht in de AVG. Dit geldt te meer nu overweging 146 AVG voorschrijft het begrip “schade” uit te leggen “op een wijze die ten volle recht doet aan de doelstellingen van deze verordening”. Wanneer de schadevergoeding (mede) tot doel moet hebben bescherming van het gegevensbeschermingsrecht in het algemeen, brengt dat met zich mee dat de sanctionerende werking mag meewegen.

Wanneer geen schadevergoeding?
Met één van de drie uitspraken waarin geen schadevergoeding wordt toegekend (899), wordt een eerdere uitspraak van de rechtbank Overijssel vernietigd. Met die uitspraak van 28 mei 2019 had de rechtbank de primeur: het was de eerste zaak waarin schade op basis van de AVG werd toegekend. Om diverse redenen was dit echter niet de beste testcase denkbaar. Uit de overwegingen van de rechtbank Overijssel, waar de zaak twee keer wordt aangekaart, volgt niet coherent voor welk vergrijp schadevergoeding wordt toegekend. Het ging om de verzending van een e-mail met daarin de naam en woonplaats van de betrokkene aan 44 ambtenaren van andere gemeenten, die werden geïnformeerd dat de persoon in kwestie twee Wob-verzoeken had ingediend. De rechtbank oordeelt in beroep dat de betrokkene als gevolg van het “onrechtmatige besluit” in zijn persoon is aangetast en recht heeft op schadevergoeding. Het college klaagde er bij de Afdeling terecht over dat de aanspraak op schadevergoeding gebaseerd had moeten worden op de schending van de AVG, niet op de onrechtmatigheid van het besluit. Omdat het college echter heeft nagelaten hoger beroep in te stellen tegen de eerste uitspraak (van 18 juli 2018) waarin de rechtbank dit heeft bepaald, is die uitspraak in gezag van gewijsde gegaan, zo oordeelt de Afdeling. Daarmee staat de onrechtmatigheid van het eerdere besluit vast. De Afdeling overweegt dat de verstrekking van persoonsgegevens van de betrokkene daarmee als “onrechtmatig” moet worden aangemerkt (899, r.o. 32). De Afdeling neemt het oordeel van de rechtbank dat sprake was van een schending van de Wet bescherming persoonsgegevens echter niet expliciet over. Denkbaar is dat het op verzoek toezenden van de naam en woonplaats van de persoon in kwestie gerechtvaardigd kon worden vanwege de uitvoering van een publiekrechtelijke taak, al wilde de rechtbank daar in de eerste uitspraak niets van weten. In de andere twee Wob-zaken (900 en 901) oordeelt de Afdeling echter dat het delen van persoonsgegevens op een forum om misbruik van de Wob te voorkomen wel gerechtvaardigd kan worden ter uitvoering van een publiekrechtelijke taak als bedoeld in art. 6 lid 1 onder e AVG.

De Afdeling kent geen schadevergoeding toe omdat de betrokkene, ondanks daartoe te zijn uitgenodigd door de Afdeling, op geen enkele wijze heeft aangetoond hoe hij in zijn persoon is aangetast door de schending. De Afdeling overweegt dat het noemen van een naam in het kader van uitwisseling van informatie over Wob-verzoeken niet vergelijkbaar is met de situatie in de arresten Baby Kelly en Groningse Oudejaarsrellen. Het gaat niet om “ernstig verwijtbaar gedrag met zo ernstige gevolgen, dat dit als inbreuk op een fundamenteel recht moet worden gekwalificeerd” (r.o. 34). Daarmee lijkt de Afdeling indirect te overwegen dat geen sprake was van schending van de AVG. Het gegevensbeschermingsrecht wordt immers in art. 8 van het Handvest als fundamenteel recht beschouwd. De Afdeling verwijst ook naar die bepaling en stelt in haar beoordeling ook voorop dat het verlies van controle over persoonsgegevens een aantasting van een persoonlijkheidsrecht vormt (r.o. 31).

De Afdeling overweegt dat de betrokkene niet inzichtelijk heeft gemaakt waarom het noemen van zijn naam en woonplaats in de mededeling dat hij “twee, niet gespecificeerde Wob-verzoeken heeft ingediend als reactie op een verzoek van een andere gemeente, als aantasting van de persoon kan worden gekwalificeerd”. De Afdeling benadrukt dat de gegevens zijn gedeeld met ambtenaren die uit hoofde van hun functie betrokken zijn bij de behandeling van Wob-verzoeken. Er zijn bovendien geen aanwijzingen dat de gegevens zijn misbruikt (r.o. 37).

Wanneer wel aanspraak op schadevergoeding?
De meest interessante uitspraak is degene waarin wordt geoordeeld dat wel aanspraak is op schadevergoeding. In die zaak oordeelt de Afdeling dat de betrokkene niet met concrete gegevens hoeft aan te tonen dat hij in zijn persoon is aangetast in de zin van art. 6:106 aanhef en onder b BW. De nadelige gevolgen liggen volgens de Afdeling voor de hand. Omdat bij schendingen van de AVG het dikwijls niet of nauwelijks concreet is aan te tonen welke nadelige gevolgen het voor de betrokkene heeft, laat staan dat sprake is van geestelijk letsel, is het oordeel van de Afdeling dat de nadelige gevolgen voor de hand liggen van groot belang. Waarom daarvan in casu sprake is, wordt niet door de Afdeling onderbouwd. Bij de beoordeling van de hoogte van de schadevergoeding betrekt de Afdeling  de aard, de duur en de ernst van de inbreuk. Die factoren heeft de Afdeling mogelijk afgeleid uit artikel 83 lid 2 AVG, waarin de omstandigheden worden genoemd waarmee de toezichthoudende autoriteit rekening houdt voor vraag of een boete wordt opgelegd en, zo ja, hoe hoog die moet zijn. In artikel 83 lid 2 sub a AVG worden de aard, de ernst en de duur van de inbreuk genoemd. In dit geval lijken doorslaggevend voor de beslissing van de Afdeling de aard van de gegevens. Het gaat om een verstrekking van medische gegevens door de directeur van het Pieter Baan Centrum in een tuchtprocedure die de betrokkene tegen hem was gestart. De gegevens waren opgenomen in het verweerschrift van de directeur. Het tuchtcollege heeft de betrokkene hiervan in kennis gesteld. Deze heeft het college vervolgens verzocht de gegevens buiten beschouwing te laten, aan welk verzoek het tuchtcollege gehoor heeft gegeven. De Afdeling oordeelt dat de gevolgen gering zijn omdat de gegevens zijn verspreid onder professionals met een geheimhoudingsplicht. De duur van de schending is ook kort. De Afdeling rekent het de directeur echter zeer aan dat het bijzondere persoonsgegevens betrof, waarvoor op grond van art. 9 AVG een verzwaard regime geldt. Opvallend is verder dat de Afdeling in deze uitspraak niet verwijst naar de voorbeelden van immateriële schade die in overwegingen 75 en 85 van de AVG zijn gegeven.

Hoogte van de schadevergoeding
De Afdeling kent een bedrag van € 500 aan schadevergoeding toe. De hoogte is naar billijkheid begroot. Bij de bepaling van de hoogte betrekt de Afdeling aard, duur en ernst van de inbreuk, waarbij de kwalificatie van bijzondere persoonsgegevens het meeste gewicht in de schaal legt. De appellante had zich op het standpunt gesteld dat de rechtbank in eerste aanleg een te laag bedrag had toegekend, namelijk € 300. De Afdeling is het daarmee eens, zo kan afgeleid worden uit toekenning van het hogere bedrag. De Afdeling motiveert echter niet waarom toekenning van € 500 schadevergoeding in dit geval billijker is dan € 300. Aangenomen mag worden dat in situaties waarin meerdere factoren in het voordeel van toekenning van schadevergoeding wegen dit ook zal resulteren in een hoger bedrag.

Wat kunnen we leren uit de uitspraken?
De weg naar de bestuursrechter staat open voor verzoeken om schadevergoeding vanwege een schending van de AVG tot een bedrag van € 25.000,00. Dat heeft de Afdeling met deze jurisprudentie willen verduidelijken. Niet iedere inbreuk op de AVG geeft recht op schadevergoeding. Toch kan geconcludeerd worden dat die aanspraak al snel bestaat. Wanneer bijzondere persoonsgegevens worden verwerkt, lijkt op basis van deze uitspraken het recht op schadevergoeding gegeven. Ook wanneer de inbreuk gedurende een lange periode aanhoudt, zal dat gewicht in de schaal leggen om tot een veroordeling van schadevergoeding te komen. Hetzelfde geldt wanneer persoonsgegevens in het bezit zijn gekomen van een grote groep personen. Dergelijke factoren zijn ook terug te vinden in artikel 83 lid 2 AVG en de Boetebeleidsregels van de Autoriteit Persoonsgegevens. In lijn daarmee zal onder meer ook het aantal getroffen betrokkenen en de opzet van de verantwoordelijke aspecten zijn waarmee rekening kan worden gehouden bij het bepalen of recht op schadevergoeding bestaat en, zo ja, wat de hoogte daarvan is.

Het komt wel eens voor: je herkent jezelf of iemand anders op een foto in de krant. Dat is soms leuk, maar niet altijd. Vorig jaar zomer vond een man het niet leuk. Op 16 augustus 2016 werd deze man, met een (in de woorden van de Volkskrant) “moslimachtig uiterlijk”, zonder zijn toestemming op de voorpagina van de Volkskrant geportretteerd. Hij was een dag eerder gefotografeerd toen hij voor Schiphol in zijn auto staande werd gehouden door een zwaarbewapende militair. De vetgedrukte kop pal onder zijn herkenbare gezicht op de foto luidde: “Is Schiphol nog veilig?” Het in de krant opgenomen artikel ging over de verscherpte controles op Schiphol ter preventie van terreuracties.

Klacht geportretteerde

De geportretteerde klaagde in een open brief dat de Volkskrant met de foto wilde ‘inspelen op de associatie van moslims met geweld’ om de voorpagina spannend te maken.[1] Hij schreef dat hij imagoschade leidt, dat zijn privacy was geschonden en hij verzocht openlijke excuses van de Volkskrant. De hoofdredacteur van de Volkskrant erkende een dag na de publicatie in een nieuw artikel dat de kop beter had gekund, maar vond dat de foto terecht was gepubliceerd.[2] Volgens de hoofdredacteur is het de taak van de krant om de werkelijkheid weer te geven en dat was dat de Marechaussee in een uur enkel bestuurders met een moslimachtig uiterlijk staande hield. De Volkskrant weigerde dan ook een rectificatiebericht te plaatsen. Wel publiceerde de Volkskrant de foto opnieuw bij deze reactie.

Hoe zit het ook alweer met het portretrecht ?

Uit rechtspraak volgt dat het openbaar maken van een portret dat zonder toestemming is gemaakt niet is geoorloofd als (a) een redelijk belang van de geportretteerde zich daartegen verzet (art. 21 Aw), waaronder het belang op privacy, en (b) dat belang prevaleert boven het belang van de openbaarmaker, waaronder het recht op meningsuiting en/of informatievoorziening. Voordat openbaarmaking verboden kan worden, moet dan ook een afweging plaatsvinden van in beginsel gelijkwaardige belangen en die afweging moet in het voordeel van geportretteerde uitvallen.

Voor wat betreft een perspublicatie heeft EHRM overwogen dat zwaar weegt of de publicatie van foto’s een bijdrage levert aan een debat dat in de publieke belangstelling staat.[3] Zo ja, dan zal het recht op informatievrijheid sneller ‘winnen’. Maar ook andere factoren zijn van belang, zoals de vraag of de foto in een openbare ruimte is gemaakt en op welke wijze de geportretteerde wordt weergegeven. Het privacybelang van een vrouw die rennend achter een kinderwagen in een park (een openbare ruimte) is gefotografeerd woog bijvoorbeeld niet op tegen het ingeroepen belang op informatievoorziening van een databank die de foto exploiteert.[4] Het privacybelang van werknemers van een winkel (een niet-openbare ruimte) weegt echter wel zwaarder dan het belang op informatievrijheid van een programmamaker die onaangekondigd een experiment uitvoert bij een willekeurige winkel.[5]

Schiphol-foto: mocht dit?

Terug naar de Schiphol-foto. De geportretteerde is kort na de reactie van de Volkskrant een kort geding gestart en heeft dat in eerste aanleg gewonnen.[6] Daarop is de Volkskrant in hoger beroep gegaan.

Exact een jaar nadat de gewraakte foto werd genomen, op 15 augustus 2017, deed het Hof Amsterdam uitspraak in deze zaak.[7] Het Hof stelt vast dat het artikel gaat over de verscherpte controles op Schiphol en de beveiliging van deze luchthaven en niet over (de achtergrond van) de personen die worden gecontroleerd (r.o. 3.7). De foto in combinatie met de bijhorende kop dekt dan ook niet de lading van het artikel (r.o. 3.8). Daarom kan niet worden volgehouden dat de publicatie met de foto, bijdraagt aan het publieke debat waarover de Volkskrant de lezer heeft willen informeren. Het Hof overweegt dan ook dat de geportretteerde in eerste aanleg terecht had gewonnen: de man had een redelijk belang zich tegen publicatie van zijn portret in deze context te verzetten en dit belang weegt zwaarder dan de belangen van de Volkskrant bij persvrijheid en vrijheid van meningsuiting (r.o. 3.9).

Wat hebben we aan portretrecht?

Wat kunnen we van deze uitspraak leren? Vrijheid van meningsuiting is een groot goed, maar de pers zal voorzichtig moeten zijn met het delen van portretten. Als een portretfoto niet bijdraagt aan de boodschap van het bijhorende artikel, is het veiliger om te kiezen voor een afbeelding zonder herkenbaar portret. Op die manier wordt de privacy van ‘gewone burgers’ beschermd.

En wat is de geportretteerde nu met deze procedure opgeschoten? De rechtbank en het Hof hebben de Volkskrant veroordeeld tot betaling van de man een voorschot op de (immateriële) schadevergoeding van € 1.500. De rectificatievordering van de man werd afgewezen. In de woorden van het Hof: aan (plaatsing van) de foto valt weinig te rectificeren, behoudens de verkeerde indruk die deze kan hebben gewekt bij mensen in de omgeving van de man, die genoeg zullen hebben aan het vonnis en dit arrest en de (eventuele) publiciteit daarover. Met andere woorden: de uitspraak heeft het imago van de geportretteerde al hersteld. Die winst zal hem vermoedelijk liever zijn dan het geldbedrag. De uitspraak geeft wel gelijk de keerzijde weer. Hoewel de man nu genoegdoening heeft gekregen, zijn zijn verhaal en foto wel publiekelijk bekend gemaakt in kranten en op tv.[8] Het is dan ook de vraag of deze procedure hem heeft geholpen in het beschermen van zijn privacy.

[1]  De man publiceerde de brief op Facebook op 17 augustus 2016. De brief is ook hier gepubliceerd:
https://wijblijvenhier.nl/33541/wil-op-voorpagina-ingezonden-brief/?_sp=ee5bd542-a17e-4b29-b923- 972c69e028f6.1503327891296.

[2]   Publicatie van 18 augustus 2016: https://www.volkskrant.nl/media/doet-de-volkskrant-iets-fout-met-deze-voorpagina~a4359407/.

[3]   EHRM 24 juni 2004, NJ 2005/22 (Caroline von Hannover I) en EHRM 7 februari 2012, Mf 2012/14 (Caroline von Hannover II).

[4]   Hof Amsterdam 27 januari 2009, IEPT20090127 (onschuldige foto).

[5]   Vzr. Rb. Amsterdam 4 september 2014, ECLI:NL:RBAMS:2014:5688.

[6]   Vzr. Rb. Amsterdam 14 september 2016, ECLI:NL:RBAMS:2016:5786. De uitspraak is hier te vinden: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2016:5786.

[7]   Hof Amsterdam 15 augustus 2017, ECLI:NL:GHAMS:2017:3247. Het arrest is hier te vinden: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:GHAMS:2017:3247.

[8]   De advocate van de Volkskrant heeft ook over de zaak gesproken in de uitzending van Pauw van 15 september 2016, de dag na het vonnis van de voorzieningenrechtbank. De uitzending is hier te bekijken: http://www.mediareport.nl/persrecht/15092016/christien-wildeman-bij-pauw-over-vonnis-in-volkskrantzaak/.

Amsterdam, 14 maart 2017 – Uit de Snowden-onthullingen blijkt niet dat de Amerikaanse en Britse veiligheidsdiensten, de NSA en GCHQ, op ongeoorloofde wijze inlichtingen verkrijgen. Dat heeft het Hof Den Haag geoordeeld in de zaak burgers tegen Plasterk. Omdat dit volgens het Hof niet is vast komen te staan, worden de vorderingen van de coalitie van burgers en belangenorganisaties afgewezen. De coalitie wil dat de Nederlandse diensten de rechtmatige herkomst van gegevens verifieert.

Volgens de coalitie geven de vele onthullingen, vorige week nog vanuit WikiLeaks, aanleiding om de Nederlandse diensten te verplichten na te gaan hoe gegevens zijn verkregen die zij van buitenlandse diensten ontvangen. Op dit moment wordt geen navraag gedaan. De modus operandi van de diensten is geheim.

Die geheime werkwijze lijkt nu ook de redding te zijn van de Nederlandse Staat. Juist omdat de werkwijze geheim is, is de coalitie er volgens het Hof niet in geslaagd concrete schendingen van grondrechten aan te tonen in de samenwerking tussen de buitenlandse en Nederlandse diensten.

Het Hof onderzoekt niet of de Nederlandse wet, de Wet op de inlichtingen en veiligheidsdiensten (Wiv), de diensten voldoende mandaat geven tot hun handelwijze. Die principiële vraag is ook een heet hangijzer in het wetsvoorstel voor een nieuwe Wiv, dat de Tweede Kamer onlangs heeft aangenomen, en blijft nu onbeantwoord. De toezichthouder, CTIVD, vroeg eerder ook aandacht voor het ontbreken van wettelijk mandaat voor het huidige beleid van de diensten.

Christiaan Alberdingk Thijm, een van de advocaten van de coalitie: “Dat uit alle onthullingen niet blijkt dat de buitenlandse diensten in strijd met de wet handelen, is gewoon niet juist. Iedere burger voelt op zijn water aan dat wat de diensten doen niet mag.”

Het arrest bevat ook een aantal goede overwegingen:

• Het Hof bevestigt dat Nederlandse diensten zich moeten onthouden van het gebruik van gegevens waarvan bekend is of vermoed wordt dat zij door een buitenlandse dienst zijn verworven met een methode die inbreuk maakt op een grondrecht;
• Het Hof geeft aan dat Nederlandse diensten geen gebruik mogen maken van de zogenaamde “U-bocht” constructie. Zij mogen buitenlandse diensten niet verzoeken activiteiten uit te voeren die zij zelf niet mogen uitvoeren;
• Indien de Nederlandse diensten systematisch of willens en wetens gegevens van buitenlandse diensten ontvangen die zij zelf niet hadden mogen of kunnen verzamelen, levert dat volgens het Hof strijd op met de wet.

Cassatie

Het arrest betekent een vrijbrief voor de Nederlandse diensten om zonder rechtsbescherming grote hoeveelheden gegevens van haar burgers te verzamelen via buitenlandse inlichtingendiensten. De coalitie Burgers tegen Plasterk is het daar niet mee eens en gaat in cassatie bij de Hoge Raad.

Waar ging het ook alweer over?

Eind 2013 dagvaardt de coalitie “Burgers tegen Plasterk” de Nederlandse Staat, vertegenwoordigd door minister Plasterk van Binnenlandse Zaken. Aanleiding vormen de onthullingen van Edward Snowden over de praktijken van (buitenlandse) inlichtingendiensten. De coalitie eist dat de Staat stopt met het gebruiken van gegevens die niet in overeenstemming met de Nederlandse wet zijn verkregen. In 2014 struikelde minister Plasterk bijna over de zaak omdat hij de Tweede Kamer verkeerd had geïnformeerd over de werkwijze van de buitenlandse diensten in Nederland.

De coalitie is er in deze zaak niet op uit om de samenwerking met buitenlandse diensten als zodanig uit te bannen. Zij vindt wel dat er bij het samenwerken en bij het ontvangen van gegevens, waarborgen in acht moeten worden genomen. Gebeurt dat niet, dan komen gegevens die door de NSA en andere diensten in strijd met de Nederlandse wet zijn verkregen in handen van de Nederlandse inlichtingendiensten. Dit komt volgens de coalitie neer op het witwassen van data.

Coalitie Burgers tegen Plasterk

De advocaten van bureau Brandeis voeren het proces voor de coalitie van burgers en organisaties. Zij doen dat op basis van hun pro deo fonds voor maatschappelijke zaken. De deelnemende burgers zijn: Rop Gonggrijp, Jeroen van Beek, Bart Nooitgedagt, Brenno de Winter en Mathieu Paapst. De aangesloten organisaties zijn: de Nederlandse Vereniging voor Strafrechtadvocaten, de Nederlandse Vereniging voor Journalisten, de Internet Society Nederland en Stichting Privacy First.

Over bureau Brandeis

De zaak wordt vanuit bureau Brandeis behandeld door Christiaan Alberdingk Thijm en Caroline de Vries. Zij maken hiervoor gebruik van de middelen in het pro deo fonds van bureau Brandeis.

Een algemene en ongedifferentieerde plicht voor telecombedrijven om alle verkeersgegevens en locatiegegevens van al hun abonnees en gebruikers te bewaren, is in strijd met Europees recht. Dat heeft het Hof van Justitie (“HvJEU”) op 21 December 2016 bepaald in de gevoegde zaken C-203/15 Tele2 Sverige AB tegen Post-och telestyrelsen en C-698/15 Secretary of State for the Home Department tegen Tom Watson e.a.

Eerder: Digital Rights Ireland

Het arrest bouwt voort op het eerder gewezen Digital Rights Ireland arrest. In dat arrest verklaarde het HvJEU Richtlijn 2006/24/EG (dataretentie richtlijn) ongeldig, omdat een algemene bewaarplicht van gegevens zonder voldoende beperkingen disproportioneel is. Een dergelijke bewaarplicht maakt een inbreuk op het recht op eerbiediging van het privéleven en het recht op bescherming van persoonsgegevens en moet daarom tot het strikt noodzakelijke beperkt worden.

Na dit arrest is in Nederland de Wet bewaarplicht telecommunicatiegegevens (art. 13.2a; 13.2b en 13.4 Telecommunicatiewet), die de dataretentie richtlijn implementeerde, via een kort geding door de Voorzieningenrechter in Den Haag buiten werking gesteld. Diversen Europese landen hebben echter nog nationale regelgeving op grond waarvan telecomproviders gegevens moeten bewaren.

In het arrest van december 2016 gaat het HvJEU in op de vraag of dergelijke verplichtingen (na het Digital Rights Ireland) arrest eigenlijk wel toegestaan zijn. Dit naar aanleiding van vragen van de Zweedse en Britse rechter.

Geen algemene bewaarplicht

Volgens het HvJEU is een algemene en ongedifferentieerde bewaarplicht in strijd met artikel 15 van Richtlijn 2002/58/EG (e-privacyrichtlijn). Het geheel van gegevens over communicatie kan immers leiden tot zeer precieze conclusies over het privéleven van de personen van wie de gegevens zijn bewaard.

Daarom kan enkel de bestrijding van zware criminaliteit een dergelijke ernstige inbreuk op het recht op privacy rechtvaardigen. Er moet dan wel een verband zijn tussen de gegevens die bewaard moeten worden en het bestaan van een bedreiging van de openbare veiligheid. Bij een algemene ongedifferentieerde bewaarplicht worden gegevens bewaard van alle personen die gebruik maken van communicatiediensten. Hieronder zullen zich ook personen bevinden die op geen enkele wijze te maken hebben met criminele activiteiten. Daarmee gaat zo’n verplichting dus verder dan wat strikt noodzakelijk is voor het nagestreefde doel, en is derhalve niet toegestaan.

Opvallend hierbij is dat het HvJEU overweegt dat de kring van betrokkenen van wie gegevens worden bewaard onder meer kan worden afgebakend aan de hand van een geografisch criterium. Het bewaren van gegevens kan dan afgebakend worden tot “een of meer gebieden met een hoog risico op zware criminaliteit”. Betekent dit dat gegevens verzameld kunnen worden over gebruikers die woonachtig zijn in de Haagse Schilderswijk, maar niet wanneer zij in het Statenkwartier wonen? Dergelijk “geografisch profileren” leidt weer tot andere (ethische) vraagstukken.

Waarborgen

Vervolgens gaat het HvJEU in op de waarborgen die moeten worden getroffen bij het verkrijgen van toegang tot de gegevens door bevoegde nationale autoriteiten.

Volgens het HvJEU zijn onder meer de volgende waarborgen vereist:

• De toegang moet worden beperkt tot gegevens van personen die verdacht worden van betrokkenheid bij een ernstig misdrijf;
• In bijzondere gevallen mag ook op basis van objectieve criteria toegang worden verleend tot gegevens van andere personen indien dat nodig is voor de bescherming van vitale belangen zoals bedreiging van de nationale veiligheid en terrorisme;
• De toegang tot gegevens moet aan voorafgaande rechterlijke controle worden onderworpen, tenzij sprake is van bijzondere spoed;
• Bevoegde instanties waaraan toegang is verleend, moeten de betrokken personen daarvan op de hoogte stellen zodra dat gezien het opsporingsbelang mogelijk is;
• Er moeten doeltreffende maatregelen worden getroffen om de gegevens te beschermen tegen onrechtmatige toegang en misbruik, waaronder het bewaren van de gegevens op het grondgebied van de EU en het vernietigen van de gegevens na afloop van de bewaarperiode;
• Een onafhankelijke autoriteit moet toezien op de verwerking van persoonsgegevens.

En nu?

Het is nu aan de verwijzende rechters (in Zweden en Groot-Brittannië) om te beoordelen of de nationale wettelijke bewaarplichten aan de door het HvJEU uiteengezette eisen voldoen. De nationale rechters zullen dus uiteindelijk moeten beoordelen of de regelingen (i) niet neerkomen op een algemene ongedifferentieerde bewaarplicht en (ii) of bij het verkrijgen van toegang tot de gegevens voldoende waarborgen worden genomen. Ook andere lidstaten zullen moeten beoordelen of hun nationale regelingen voldoen.

In Nederland is de Wet bewaarplicht telecommunicatiegegevens reeds buiten werking gesteld. In reactie daarop is de regering met een wetsvoorstel gekomen om opnieuw een bewaarplicht te introduceren. Het is nu de vraag of het wetsvoorstel ook voldoet aan de door het HvJEU geformuleerde eisen. Wij denken dat dat niet het geval is, met name omdat het wetsvoorstel nog steeds voorziet in een algemene ongedifferentieerde bewaarplicht. Op grond van het wetsvoorstel moeten telecom aanbieders immers nog steeds in het algemeen gegevens bewaren, zonder dat is voorzien in enige vorm van afbakening of beperking van de kring van personen van wie gegevens worden bewaard. Telecom bedrijven zullen daarom gegevens moeten bewaren van al hun klanten, ongeacht of zij redelijkerwijs in verband kunnen worden gebracht met ernstige criminaliteit. Dat is in strijd met het Digital Rights Ireland en Tele2 Sverige arrest van het HvJEU.

Mc Fadden

Daarnaast is de vraag hoe de uitspraak zich verhoudt tot het eerdere Mc Fadden arrest. In Mc Fadden oordeelde het HvJEU dat een winkel die gratis wifi aanbiedt, verplicht mag worden om de toegang tot zijn netwerk te beveiligen via een wachtwoord om inbreuken op intellectuele eigendomsrechten te voorkomen. Volgens het HvJEU is een dergelijke maatregel echter alleen effectief als de gebruikers daarbij verplicht zijn hun identiteit op te geven om het wachtwoord te verkrijgen en dus niet langer anoniem kunnen handelen.

Het gekke is dat het HvJEU deze maatregel alleen afweegt tegen de rechten op vrijheid van ondernemerschap en vrijheid van informatie. Het HvJEU weegt dus het recht op eerbiediging van privéleven en de bescherming van persoonsgegevens niet mee. Had het HvJEU dat wel gedaan dan was zij vermoedelijk tot een ander oordeel gekomen. Het verzamelen van identificerende gegevens die zijn verstrekt in ruil voor een wifi wachtwoord zou immers neerkomen op een algemene ongedifferentieerde bewaarplicht. Een dergelijke plicht is volgens het HvJEU in Tele2 Sverige nu juist niet toegestaan, omdat deze een te vergaande inbreuk maakt op onder meer het recht op eerbiediging van het privéleven en de bescherming van persoonsgegevens.

Belang van grondrechten

In het Tele2 Sverige arrest onderstreept het HvJEU nogmaals het belang van de eerbiediging van het privéleven en de bescherming van persoonsgegevens, zelfs wanneer het gaat om de bestrijding van ernstige criminaliteit. Het is aan de nationale rechters en wetgevers om te bezien of nationale regelingen deze grondrechten voldoende in acht nemen.

We kennen allemaal de verwijderingsverzoeken die Google krijgt omdat mensen niet blij zijn met wat er over ze op internet te vinden is. Het gaat inmiddels om miljoenen verzoeken. Bij elk van die verzoeken moeten het economisch belang van Google worden afgewogen tegen het privacy belang van degene die het ‘right to be forgotten’ verzoek (‘RBTF’) indient. De Hoge Raad heeft nu voor het eerst geoordeeld dat daarbij doorgaans het belang van de verzoeker zwaarder moet wegen.

Op 13 mei 2014 heeft het Hof van Justitie van de Europese Unie (“HvJ EU”) in het baanbrekende Costeja arrest[1] voor het eerst geoordeeld dat het weergeven van persoonsgegevens in zoekresultaten een verwerking van persoonsgegevens kan opleveren. De betrokkene kan onder omstandigheden op grond van de Dataprotectierichtlijn (“Richtlijn”)[2] deze persoonsgegevens laten verwijderen. Nu heeft ook de Hoge Raad voor de eerste maal geoordeeld over het ‘recht om vergeten te worden’.

 Wat is het recht om vergeten worden?

In de Costeja-zaak oordeelde het HvJ EU dat de activiteit van een zoekmachine die erin bestaat door derden op het internet gepubliceerde of opgeslagen informatie te vinden een verwerking van persoonsgegevens in de zin van de Richtlijn oplevert. Zoekmachine exploitanten, zoals bijvoorbeeld Google en Bing, zijn verantwoordelijke voor die verwerking van persoonsgegevens.

Het HvJ EU oordeelde verder dat een zoekmachine exploitant verplicht is om bij zoekresultaten die na een zoekopdracht op de naam van een persoon wordt weergegeven, de koppelingen te verwijderen naar webpagina’s van derden waarop informatie over deze persoon is te vinden. Zelfs indien deze naam of deze informatie niet vooraf of gelijktijdig van deze webpagina’s is gewist en, in voorkomend geval, zelfs wanneer de publicatie ervan op deze webpagina’s op zich rechtmatig is.[3] Hieruit volgt dat het recht van de betrokkenen om ‘vergeten’ te worden ook geëffectueerd kan worden als een aanvankelijk rechtmatige verwerking van exacte gegevens na verloop van tijd niet langer met de Richtlijn verenigbaar is omdat deze gegevens niet langer noodzakelijk zijn voor de doeleinden waarvoor zij zijn verzameld of verwerkt. Dit is met name het geval wanneer deze gegevens gelet op deze doeleinden en gelet op de verstreken tijd ontoereikend, niet of niet meer ter zake dienend of bovenmatig zijn.[4]

 Welke belangenafweging dient er gemaakt te worden?

Het HvJ EU oordeelde ook dat bij de belangenafweging artikel 7 (eerbiediging van het privé leven) en artikel 8 (bescherming persoonsgegevens) van het Europese Handvest[5] gewaarborgde grondrechten zijn die in beginsel voorop moeten worden gesteld. Dit zal niet het geval zijn indien de inmenging in de grondrechten van de betrokkene wegens bijzondere redenen zoals de rol die deze persoon in het openbare leven speelt, wordt gerechtvaardigd door het overwegende belang dat het publiek heeft om, door deze opneming, toegang tot de betrokken informatie te krijgen.[6]

Als gevolg van het Costeja-arrest is er een stroom aan met name lagere jurisprudentie[7] ontstaan over de vraag onder welke voorwaarden persoonsgegevens verwijderd dienen te worden door met name Google. Nu is er dus voor het eerst een arrest van de Hoge Raad.[8]

Wat zijn de feiten?

Eiser is in een aflevering van ‘Misdaadverslaggever’ van Peter R. de Vries verschenen. In de aflevering vertelt eiser, op heimelijke wijze via camera opgenomen, dat hij voornemens is om een concurrente in de escortbranche te laten liquideren. Eiser is mede op grond van de camerabeelden vervolgens veroordeeld tot zes jaar gevangenisstraf in eerste aanleg. Vervolgens is eiser in verschillende media genoemd waarbij steeds zijn volledige voornaam, tussenvoegsel en de eerste letter van zijn achternaam is gebruikt. Er is daarna ook een boek verschenen over deze zaak waarbij feiten en fictie door elkaar heen lopen. Eiser heeft vervolgens vastgesteld dat als zijn volledige voor- en achternaam bij Google Search worden ingetypt er zoekresultaten worden weergegeven van webpagina’s op amazon.com, books.google.nl en abebooks.com (“URL’s”) waarop informatie staat over het boek alsmede een verwijzing naar een artikel in het Algemeen Dagblad waarin wordt gesproken over veroordeling en de uitzending van ‘Misdaadverslaggever’.

Wat wil eiser bereiken?

Eiser is van mening dat de weergave van zijn persoonsgegevens in de bovengenoemde URL’s een inbreuk op zijn persoonlijke levenssfeer oplevert en vordert verwijdering van de zoekresultaten en doet daarbij zowel een beroep op art. 36 (verwijdering en afscherming van persoonsgegevens) als op art. 40 (verzet tegen verwerking persoonsgegevens wegens bijzondere omstandigheden) van de Wet bescherming persoonsgegevens (“Wbp”).

Wat hebben de rechtbank en het Hof geoordeeld?

Eiser wordt in zowel kort geding als in hoger beroep in het ongelijk gesteld en het gerechtshof stelt daarbij vast dat eiser in beginsel het recht heeft om vergeten te worden en kan verlangen dat de op hem betrekking hebbende informatie niet meer door opneming in een resultatenlijst van een zoekmachine ter beschikking wordt gesteld aan het grote publiek. Echter, verwijdering van de zoekresultaten is in het onderhavige geval niet gerechtvaardigd omdat eiser, kort gezegd, wordt vervolgd voor een recentelijk begaan ernstig misdrijf en daarvoor in eerste aanleg al is veroordeeld en dat hem niet het recht toekomt te worden gevrijwaard van zoekresultaten waardoor het publiek eiser mogelijk in verband kan brengen met dit misdrijf.

Wat oordeelt de Hoge Raad?

De Hoge Raad stelt in lijn met het Costeja arrest vast dat bij de beoordeling van een verzoek tot verwijdering het privacybelang van de betrokkene in de regel zwaarder weegt dan het economisch belang van de zoekmachine exploitant, en dat dit anders kan zijn in bijzondere gevallen, wanneer sprake is van bijzondere redenen die de inmenging in het recht op privacy rechtvaardigen.

Ten aanzien van de vraag of er in dit geval sprake is van bijzondere redenen stelt de Hoge Raad vast dat het Hof had behoren na te gaan of het publiek er belang bij heeft dat de desbetreffende zoekresultaten worden getoond als op de volledige naam van eiser wordt gezocht.. Het Hof heeft wel vastgesteld dat indien er sprake is van een ernstig delict, het publiek een groot belang heeft om geïnformeerd te worden over dit delict alsmede dat eiser de publicaties aan zichzelf heeft te wijten en dat die omstandigheden ertoe hebben geleid dat de publicatie omtrent de veroordeling van eiser rechtmatig is geweest. De Hoge Raad merkt in dat verband eerst op dat uit het Costeja arrest volgt dat ook bij een rechtmatige publicatie de betrokkene zijn recht om vergeten te worden met succes kan effectueren. De Hoge Raad maakt vervolgens korte metten met de voornoemde overwegingen van het Hof en stelt vast dat zij niet had mogen volstaan met deze constatering maar dat het Hof de elementen zoals het belang van het publiek om informatie te verkrijgen omtrent veroordeling van eiser, de rol die eiser in het openbare leven speelt alsmede de aard en omvang van het belang van eiser in een belangenafweging had moeten betrekken.

Ook het oordeel van het Hof dat het publiek dat zoekt op de volledige voornaam en achternaam van eiser niet met zekerheid kunnen vaststellen dat of de URL’s informatie bevatten over eiser omdat daar alleen zijn voorletter, tussenvoegsel en eerste letter van zijn achternaam is vermeld, getuigt van een onjuiste rechtsopvatting volgens de HR. De eiser heeft immers voldoende belang tegen de vermelding op te treden als een aanzienlijk deel van het publiek zal veronderstellen dat hij de persoon is die daarin wordt bedoeld, zo oordeelt de Hoge Raad.

 Is het oordeel van de Hoge Raad wenselijk?

In overwegingen 80, 81, 88 en 97 van het Costeja-arrest wordt door het HvJ EU een duidelijk kader geschapen dat gehanteerd moet worden bij de belangenafweging. Het Hof heeft in haar arrest in het midden gelaten of zij bovengenoemde belangenafweging heeft toegepast almede hoe zij de overige relevante omstandigheden zoals het belang van het publiek om kennis te nemen van de veroordeling van eiser en bijvoorbeeld de aard en omvang van het belang van eiser heeft gewogen in die belangenafweging. Nu dergelijke elementen ontbreken, is het onduidelijk hoe die elementen in de belangenafweging onderling hebben uitgewerkt. Mijn inziens heeft de Hoge Raad het arrest van het Hof Amsterdam dan ook met een juiste motivering vernietigd.

Verder vind ik het wel opvallend dat de Hoge Raad niet van de gelegenheid gebruik heeft gemaakt om de verwerking van de bijzondere strafrechtelijke gegevens door exploitanten van zoekmachines nader te duiden. Deze zaak leende zich immers bij uitstek voor een nadere uitleg van de Hoge Raad hoe om te gaan met de verwerking van strafrechtelijke persoonsgegevens door exploitanten van zoekmachines.

In de conclusie van Advocaat-Generaal Jääskinen voorafgaand aan het Costeja arrest is expliciet door hem overwogen dat; “voor de verwerking van de persoonsgegevens op bronpagina’s van derden die ergens “bijzondere” gegevens in de zin van artikel 8 van de richtlijn (..) zouden bevatten automatisch illegaal worden zodra niet is voldaan aan de strenge voorwaarden die dat artikel stelt aan de verwerking van zulke gegevens.” [9]

 Hoewel in lagere jurisprudentie[10] al wel eens is geoordeeld dat de verwerking van strafrechtelijke persoonsgegevens door middel van zoekmachines in strijd is met de Wbp, was het desondanks wenselijk geweest als de Hoge Raad de verwerking van bijzondere persoonsgegevens en art. 16 Wbp in dit verband had uitgelegd. In art. 16 Wbp wordt immers bepaald dat de verwerking van persoonsgegevens van strafrechtelijke aard in beginsel verboden is, behoudens de uitzonderingsgronden van art. 22 jo. art 23 Wbp. Op grond van de huidige uitzonderingen in de Wbp kan Google Search de verwerking van bijzondere strafrechtelijke persoonsgegevens niet rechtvaardigen, zodat de verwerking van persoonsgegevens in beginsel in strijd zou zijn met de Richtlijn en de Wbp en een illegaal karakter verkrijgen. Tegenover het illegale karakter van de verwerking van bijzondere persoonsgegevens van de exploitant van de zoekmachine, staat natuurlijk het algemene belang dat de Google middels haar zoekmachine dient. Google Search speelt in mijn ogen een essentiële rol bij het beschikbaar maken en houden van relevante informatie, waaronder ook strafgegevens kunnen vallen. Het zou mijns inziens onder voorwaarden mogelijk moeten zijn om informatie over strafrechtelijke persoonsgegevens te laten verwerken door exploitanten van zoekmachines.[11] Het lijkt niet wenselijk als Google Search in het geheel geen bijzondere persoonsgegevens zou mogen verwerken aangezien het recht op toegang tot informatie dan onevenredig zou worden geschaad.

Het is dat belang dat in deze onbelicht is gebleven. Gezien de veelheid aan RTBF verzoeken lijkt het echter een kwestie van tijd voordat deze vraag specifiek door de Hoge Raad beantwoord zal moeten worden.

Lex Keukens

[1] HvJ EU, 13 mei 2014, C-131/12, (Google Spain/AEPD en Mario Costeja González).

[2] Pbl EU, Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens’, L 336/1.

[3] HvJ EU, 13 mei 2014, C-131/12, r.o 88.

[4] HvJ EU, 13 mei 2014, C-131/12, r.o. 93 en 94.

[5] Pbl EU, Handvest van de Europese Unie, 26 oktober 2012, C 326/02.

[6] HvJ EU, 13 mei 2014, C-131/12, r.o. 97 e.v.

[7] Zie recentelijk bijvoorbeeld Rb. Midden-Nederland, 20 februari 2017, ECLI:NL:RBMNE:2017:805; Rb. 25 januari 2017, ECLI:NL:RBOVE:2017:278.

[8] HR 24 februari 2017, ECLI:NL:HR:2017:316.

[9] Conclusie van advocaat-generaal N. Jääskinen van 25 juni 2013 bij HvJ EU 13 mei 2014, nr. C-131/12, (Google Spain/AEPD en Mario Costeja González), r.o 90.

[10] Rb. Rotterdam, 14 april 2016 r.o. 4.10.4; “Nu het verzoek strafrechtelijke persoonsgegevens betreft, geldt in beginsel het verbod van verwerking van deze gegevens zoals is bepaald in artikel 16 Wbp. Voorts is niet gebleken van een van de uitzonderinggronden die limitatief en exclusief zijn opgesomd in artikel 22 Wbp op de toepassing van het verbod tot verwerking van de strafrechtelijke persoonsgegevens. Hoewel de rechtbank zich bewust is van het vergaande praktische gevolg voor de verwerking van strafrechtelijke persoonsgegevens door de exploitant van een zoekmachine, acht de rechtbank de conclusie onvermijdelijk dat er in dit geval sprake is van een toepasselijk verbod op de verwerking van strafrechtelijke persoonsgegevens. De rechtbank acht derhalve het verzoek om Google te bevelen de verwijzing naar de weblinks die voortkomen uit de zoekopdracht naar de naam van verzoeker uit de zoekresultaten te verwijderen dan wel af te schermen, reeds hierom toewijsbaar.”

[11] Zie in dit verband; Mr. F.C. van der Jagt, Computerrecht 2015/126.

Vorige week zondag tijdens Zwolle-Ajax werden de naar Zwolle meegereisde Ajax supporters begeleid door stewards die uitgerust waren met bodycams. Het zou om een pilot gaan, vertelde Ajax haar supporters. Nadere analyse leerde toen dat de inzet van bodycams een verwerking van bijzondere persoonsgegevens oplevert en inbreuk maakt op de privacy van de toeschouwers. Ajax berichtte haar supporters vervolgens dat de pilot gestaakt zou worden en een nader gesprek met supporters zou plaatsvinden. Afgelopen zondag speelde Ajax de (altijd lastige) uitwedstrijd tegen Utrecht in de Galgenwaard. De meegereisde toeschouwers van Ajax mochten juichen vanwege de drie punten die werden behaald, maar werden direct bij de ingang in de Galgenwaard geconfronteerd met stewards met honden[1] waarop camera’s bevestigd waren. Dit keer waren de camera’s dus niet op de stewards zelf maar op de honden bevestigd. Uit de manier waarop de “cam dogs” werden ingezet werd ook wel duidelijk dat de honden daar niet waren om de wedstrijd te filmen maar de supporters. Nu is de vraag gerezen of de inzet van honden met camera wel in lijn is met de bescherming van de persoonlijke levenssfeer van de toeschouwer?

Verwerking van bijzondere persoonsgegevens

Ook hier is duidelijk dat het vastleggen van toeschouwers door middel van een camera bevestigd op een hond een verwerking van persoonsgegevens oplevert en daarmee binnen de reikwijdte van de Wet bescherming persoonsgegevens (hierna: “Wbp”) valt.

Het was afgelopen zondag niet duidelijk of de honden onder de verantwoordelijkheid van stewards van Ajax of Utrecht vielen, maar duidelijk is wel dat één van beide clubs degene is die het doel (dadergerichte aanpak verbeteren) en de middelen (camera op hond) voor de verwerking van de persoonsgegevens bepaalt en daarmee verantwoordelijk voor de gegevensverwerking is. Ook nu geldt dat camerabeelden bijzondere persoonsgegevens bevatten en dat er geen grondslag in de Wbp. is om zonder uitdrukkelijke toestemming de bijzondere persoonsgegevens te verwerken.

Het standpunt van de voetbalclub (Ajax en/of Utrecht) ten aanzien van de inzet van honden met camera is niet bekend maar waarschijnlijk zullen zij zich, net zoals Ajax dat eerder al deed met betrekking tot de inzet van bodycams, beroepen op de KNVB standaardvoorwaarden en de huisregels van de exploitant van het stadion. Net zoals dat bij de inzet van de bodycams gold, zonder uitdrukkelijke toestemming van de toeschouwers en zonder overige rechtsbasis in de Wbp levert de inzet van honden met camera een onrechte verwerking van bijzondere persoonsgegevens op.

Zowel de inzet van de bodycam als de inzet van honden met camera zonder grondslag in de Wbp. levert een onrechtmatige gegevensverwerking op. Zoals ik eerder al aangaf hebben toeschouwers verschillende mogelijkheden om op te treden tegen deze onrechtmatige verwerking van bijzondere persoonsgegevens.

Advies

En ik waarschuw de clubs vast, dit geldt ook als er volgende week drones met camera’s boven het supportersvak hangen.

[1] Facebookpagina F side; <https://www.facebook.com/Fsidenl/>

Afgelopen zondag tijdens Zwolle – Ajax werden de naar Zwolle meegereisde Ajax supporters begeleid door stewards die uitgerust waren met bodycams. Navraag heeft inmiddels uitgewezen dat Ajax een pilot is gestart om middels bodycams haar dadergerichte aanpak te verbeteren. De vraag is of de inzet van bodycams wel in lijn is met de bescherming van de persoonlijke levenssfeer van de toeschouwer?

Wat is een bodycam?

Bodycam is een camera die op het lichaam wordt geplaatst ter beveiliging van politie, of opsporing en / of vastlegging van strafbare feiten. De inzet van bodycams valt onder het bredere begrip cameratoezicht.

Verwerking van bijzondere persoonsgegevens

Het vastleggen van toeschouwers op video door middel van bodycams kwalificeert als een z.g. verwerking van persoonsgegevens en valt daarmee binnen de reikwijdte van de Wet bescherming persoonsgegevens (hierna: “Wbp”).

Ajax is degene die het doel (dadergerichte aanpak verbeteren) en de middelen (bodycam op stewards) voor de verwerking van de persoonsgegevens bepaalt en is daarmee verantwoordelijk voor de gegevensverwerking.

Hoogstwaarschijnlijk levert het vastleggen van toeschouwers op video zelfs een verwerking van bijzondere persoonsgegevens op. Immers het vastleggen van toeschouwers op video kan informatie geven over de godsdienst of het ras[1] van de toeschouwer. [2] Verder kan aan de hand van de videobeelden worden achterhaald of de beelden bijvoorbeeld informatie bevatten over de gezondheid van een toeschouwer. Voor verwerking van bijzondere persoonsgegevens geldt het verzwaarde regime uit de Wbp.

Nou is het niet zo dat iedere verwerking van persoonsgegevens door middel van camera’s direct een verwerking van bijzondere persoonsgegevens[3] oplevert, echter als de verwerking van persoonsgegevens door inzet van camera’s identificatie tot doel heeft, dan worden deze beelden wel aangemerkt als verwerking van bijzondere persoonsgegevens.[4] De inzet van de bodycams door Ajax teneinde toeschouwers te identificeren levert de verwerking van bijzondere persoonsgegevens op waarvoor het verzwaarde regime uit de Wbp geldt.

Wanneer is de verwerking van bijzondere persoonsgegevens toegestaan?

Wil de verwerking van bijzondere persoonsgegevens in lijn met de Wbp zijn, dan is het noodzakelijk dat Ajax de inzet van bodycams kan baseren op één van de specifieke uitzonderingsgronden van art. 17 tot en met art. 2 Wbp of één van de algemene uitzonderingsgronden van art. 23 Wbp. De specifieke uitzonderingsgronden zijn niet van toepassing in het onderhavige geval en van de zeven algemene uitzonderingen zou mogelijk alleen de uitzondering van art. 23 lid sub f Wbp in aanmerking kunnen komen. In dat artikel wordt bepaald dat de gegevensverwerking noodzakelijk is met het oog op een zwaarwegend algemeen belang, er passende waarborgen worden geboden ter bescherming van de persoonlijke levenssfeer en dit bij wet wordt bepaald dan wel de Autoriteit Persoonsgegevens ontheffing heeft verleend.

Standpunt Ajax

Ajax meent dat het opsporen van daders van strafbare gedragingen alsmede het voorkomen van nieuwe strafbare feiten is toegestaan op grond van de bepalingen van de KNVB standaardvoorwaarden alsmede de huisregels van de stadions, zo stelt zij zelf. Daarmee zegt Ajax eigenlijk dat zij via de KNVB standaardvoorwaarden de uitdrukkelijk toestemming van de toeschouwer heeft verkregen voor de verwerking van zijn (bijzondere) persoonsgegevens.

Via de KNVB standaardvoorwaarden is het niet mogelijk om de uitdrukkelijke toestemming van de toeschouwer voor de verwerking van bijzondere persoonsgegevens te verkrijgen. Uitdrukkelijke toestemming betekent dat de toeschouwers het gebruik van gegevens daadwerkelijk zelf heeft gewild en voldoende geïnformeerd is geweest om de reikwijdte van zijn toestemming te overzien. Daarvan is geen sprake.

Voorzover Ajax door middel van de inzet van bodycams bijzondere persoonsgegevens van toeschouwers verwerkt, dat lijkt zij daarbij niet te voldaan aan de zware criteria van art. 23 lid 1 sub f Wbp. Immers, het lijkt zeer twijfelachtig of in het onderhavige geval sprake is van een zwaarwegend algemeen belang en passende waarborgen zijn geboden ter bescherming van persoonlijke levenssfeer van de toeschouwer. In de KNVB standaardvoorwaarden wordt nergens melding gemaakt van de inzet van bodycams, noch wordt er informatie gegeven over de doeleinden van de verwerking, de bewaartermijn van de video’s, alsmede de wijze waarop de inbreuk op de persoonlijke levenssfeer van de betrokkene wordt geminimaliseerd. Daarmee lijkt de gegevensverwerking niet te voldoen aan de eisen van subsidiariteit en proportionaliteit. Verder lijkt er ook geen wettelijke grondslag te zijn noch sprake te zijn van een ontheffing door de Autoriteit Persoonsgegevens. Er lijkt hier dan ook sprake te zijn van een onrechtmatige gegevensverwerking.

Juridische mogelijkheden voor toeschouwers

De AFCA Supportersclub en de F-Side hebben zich inmiddels tegen de pilot uitgesproken en achten de pilot inbreuk maken op de persoonlijke levenssfeer van toeschouwers. De toeschouwers die menen dat hun persoonsgegevens onrechtmatig worden verwerkt hebben een aantal mogelijkheden om actie te ondernemen.

De eerste optie is het indienen van een klacht bij Ajax omtrent de verwerking van de persoonsgegevens. Het lijkt erop dat de AFCA Supportersclub dit inmiddels bij de clubleiding van Ajax heeft gedaan.

De tweede optie is dat de toeschouwer kan verzoeken om inzage in zijn persoonsgegevens bij Ajax. In beginsel zal Ajax binnen vier weken moeten mededelen of er persoonsgegevens worden verwerkt, en zo ja, welke persoonsgegevens worden verwerkt alsmede voor welke doeleinden die gegevens worden verwerkt. In aanvulling op het recht op inzage kan de toeschouwer vervolgens verzoeken om persoonsgegevens te verwijderen of af te schermen indien deze persoonsgegevens voor het doel of de doeleinden van de verwerking onvolledig of niet ter zake dienend zijn dan wel anderszins in strijd zijn met een wettelijk voorschrift worden verwerkt.

De derde optie is dat de toeschouwer de mogelijkheid heeft om verzet aan te tekenen tegen de verwerking van zijn persoonsgegevens, echter daarvoor zal de toeschouwer wel persoonlijke omstandigheden moeten aanvoeren. Er zal dan een belangenafweging per individuele toeschouwer moeten plaatsvinden.

De vierde optie is het initiëren van een gerechtelijke procedure en de rechter verzoeken om Ajax een verbod op te leggen op verdere verwerking van zijn persoonsgegevens en daarbij verzoeken om schadevergoeding.

Conclusie

De inzet van bodycams door Ajax zonder grondslag in de Wbp. levert een onrechtmatige gegevensverwerking op. De toeschouwers hebben verschillende opties om de gegevensverwerking een halt toe te roepen. Het laatste woord is hier dus nog niet over gesproken.

[1] Kamerstukken II 1997/98, 25 892, nr. 3 p. 105; zie ook HR 23 maart 2010 ECLI:NL:HR:2010:BK6331, r.o. 2.6.

[2] Autoriteit persoonsgegevens, ‘Beleidsregels voor toepassing van bepalingen uit de Wet bescherming persoonsgegevens en de Wet politiegegevens’, 28 januari 2016, p. 25.

[3] Verordening (EU) 2016/679 van het Europees parlement en de raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming), L 119/1,; “The processing of photographs will not systematically be a sensitive processing..”

[4] Autoriteit persoonsgegevens, ‘Beleidsregels voor toepassing van bepalingen uit de Wet bescherming persoonsgegevens en de Wet politiegegevens’, 28 januari 2016, p. 26.

Vorige week, op 10 januari 2017, publiceerde de Europese Commissie het langverwachte voorstel voor een herziening van de bestaande e-Privacyrichtlijn. Anders dan eerder verwacht, stelt de Commissie niet een aangepaste Richtlijn voor, maar een Verordening, die rechtstreeks zal doorwerken in alle lidstaten van de EU.

De bestaande e-Privacyrichtlijn uit 2002 regelt de bescherming van het recht op privacy, waaronder persoonsgegevens, in de sector elektronische communicatie. De richtlijn geldt voor traditionele telecomproviders, zoals internetaanbieders. De richtlijn bevat regels over – onder meer – de vertrouwelijkheid van communicatie en cookies.

De bestaande richtlijn uit 2002 is toe aan vernieuwing. Niet alleen wordt tegenwoordig gebruik gemaakt van veel nieuwe diensten en technologieën (die niet onder het bereik van de oude e-Privacy richtlijnvallen), in mei 2016 is ook de nieuwe Privacy Verordening gepubliceerd. De e-Privacy regels moeten worden aangepast om aan te sluiten bij deze Verordening, die in mei 2018 van kracht wordt. De nieuwe e-Privacy Verordening is een aanvulling op de Privacy Verordening.

Wat gaat er allemaal veranderen als de nieuwe e-Privacy Verordening wordt aangenomen? bureau Brandeis zet de belangrijkste wijzigingen voor je op een rij.

Uitbreiding naar online diensten

De nieuwe verordening bevat regels voor alle online diensten die elektronische communicatie mogelijk maken. Dit betekent dat ook “Over the Top” (“OTT”) diensten als WhatsApp, Facebook Messenger, Gmail, Skype, Viber en iMessage eronder zullen vallen. Ook deze dienstverleners moeten de vertrouwelijkheid van de communicatie van burgers waarborgen en mogen deze niet onderscheppen, monitoren of afluisteren. De nieuwe regels zullen bovendien ook gelden voor machine-to-machine communications, ofwel de communicatie tussen apparaten. Op die manier wordt de Internet of Things onder het bereik van de Verordening gebracht. Uitzonderingen op de verplichting tot vertrouwelijkheid blijven mogelijk, bijvoorbeeld in het belang van de openbare veiligheid. Het onderscheppen van communicatie door geheime diensten en opsporingsdiensten is dus niet uitgesloten.

Bescherming van inhoud én metadata

De e-Privacy Verordening voorziet niet alleen in bescherming van inhoudelijke berichten en communicatie, maar ook in bescherming van zogenaamde “metadata”, ook wel verkeersgegevens. Dit zijn gegevens over communicatie, zoals het tijdstip, afzender, of locatie. Uit metadata kunnen tegenwoordig, mede gelet op de technologische ontwikkelingen en mogelijkheden, zeer precieze conclusies worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard. Voor de verwerking van zowel inhoudelijke gegevens als metadata moet onder de Verordening toestemming worden gevraagd. Ontbreekt die toestemming, dan moeten de gegevens in beginsel worden geanonimiseerd of verwijderd, tenzij de gegevens nog nodig zijn voor bijvoorbeeld factureringsdoeleinden.

Cookies

De bestaande cookieregels, die erop neerkomen dat voor het plaatsen of uitlezen van cookies voorafgaande en geïnformeerde toestemming (informed consent) nodig is, worden versimpeld. Toestemming kan voortaan worden geregeld via de browserinstellingen, waardoor consumenten minder worden geconfronteerd met cookie banners. Consumenten moeten de mogelijkheid hebben om te kiezen tussen strengere of minder strenge privacy instellingen. De door de gebruikers gemaakte keuzes zijn vervolgens bindend voor derde partijen/websites. Bovendien is voortaan geen toestemming meer nodig voor privacy-vriendelijke cookies die bedoeld zijn om de internet-ervaring van consumenten te verbeteren, zoals analytische cookies die het aantal bezoekers bijhouden. Een vergelijkbare uitzondering geldt al in Nederland. Voor tracking cookies, die het (online) gedrag van consumenten volgen, is wel geïnformeerde toestemming vereist.

Privacy instellingen software

De aanbieders van software voor elektronische communicatie zijn verplicht eindgebruikers in staat te stellen om keuzes te maken ten aanzien van privacy-instellingen. In ieder geval moet de software gebruikers in staat stellen om op het moment van installatie third party cookies te weigeren.

Anders dan in een eerder uitgelekt concept, bevat de concept e-Privacy Verordening geen privacy by default-verplichting voor hard- en softwareleveranciers. Privacy by default betekent dat zij apparaten moeten programmeren op de meest privacy vriendelijke manier.

Spam

Het spamverbod wordt uitgebreid. Voorafgaande toestemming van de gebruiker (een opt-in) is vereist voor alle vormen van commerciële communicatie, ongeacht de gebruikte technologie. Een uitzondering blijft mogelijk in het geval van een bestaande klantrelatie, mits altijd een opt-out wordt geboden.

Ook voor telemarketing is onder het voorstel in beginsel een opt-in vereist, al mogen de lidstaten ervoor kiezen om een bel-me-niet register te implementeren (zoals in Nederland al het geval is). Onder het voorstel mogen callcenters hun nummer verder niet meer verbergen, of moeten ze een speciale prefix gebruiken zodat het voor consumenten duidelijk is dat het om telemarketing gaat.

Handhaving door privacy-autoriteiten

De Verordening zal worden gehandhaafd door de nationale autoriteiten voor gegevensbescherming. In Nederland is dat de Autoriteit Persoonsgegevens. De toezichthouders krijgen de bevoegdheid om fikse boetes op te leggen.

Het vervolg…

Het voorstel van de Europese Commissie moet nu nog langs het Europees Parlement en de Raad. Er kan dus nog veel veranderen. Het streven is dat de Verordening in werking treedt op 25 mei 2018, gelijktijdig met de Privacy Verordening.

We houden jullie op de hoogte.

Op 14 april 2016 heeft het Europees Parlement de nieuwe Privacy Verordening goedgekeurd. De Verordening vervangt de verouderde Privacy Richtlijn van 1995 en versterkt de rechten van individuen in de online samenleving. De Verordening moet een einde maken aan de verschillende regels in EU lidstaten met betrekking tot de bescherming van persoonsgegevens en ‘harmonisatie’ – het toverwoord van de Europese Unie – versterken.

Sinds 2012 is de Europese Commissie voornemens om de privacy en gegevensbeschermingsregels op de schop te gooien. Nu, in 2016, is het definitieve ontwerp van de Privacy Verordening eindelijk rond en goedgekeurd door het Europees Parlement. Onderdeel van de hervorming is ook de nieuwe Richtlijn gegevensbescherming voor politie en justitie. Zoals gezegd speelt de nieuwe Verordening in op digitale en technologische ontwikkelingen. Een aantal veranderingen zijn hieronder uiteengezet.

Versterking van rechten van betrokkenen

De Verordening legt een recht op dataportabiliteit en een duidelijker recht om vergeten te worden vast. Dataportabiliteit (art. 20 Verordening) houdt in dat het gemakkelijker wordt om persoonsgegevens over te dragen van de ene dienstverlener naar de andere. Op deze manier kunnen individuen meer controle uitoefenen over hun data. Op grond van dit recht kan een individu bijvoorbeeld een social media netwerk als Facebook verplichten om alle persoonsgegevens betreffende dit individu over te dragen aan een andere partij.

Daarnaast wordt het recht om vergeten te worden (het ‘recht op gegevenswissing’, art. 17 Verodening) verduidelijkt en versterkt. Dit recht vloeit voort uit de spraakmakende Google Spain zaak van het Europese Hof van Justitie en heeft tot gevolg dat zoekmachines zoals Google bepaalde zoekresultaten over individuen moeten verwijderen “in gevallen waarin de privacyrechten van de persoon zwaarder wegen dan de belangen van de weergave van die resultaten.” Google weegt de privacy rechten van de betrokkene af “tegen het publieke belang om op de hoogte te zijn van deze informatie en het recht om deze informatie te distribueren.” In de nieuwe Verordening wordt dit recht versterkt. Als burgers willen dat hun gegevens niet meer worden verwerkt en er geen legitieme reden is om die gegevens te bewaren, worden deze verwijderd.

Verplichting om datalekken te melden

Bij ernstige inbreuken op de gegevensbescherming, zoals bijvoorbeeld een datalek, dienen nationale toezichthoudende instanties en betrokkenen zo snel mogelijk op de hoogte gesteld te worden om passende maatregelen te treffen (art. 33 en 34 Verordening). In Nederlands is sinds 1 januari 2016 al een meldplicht voor datalekken van kracht, waarbij inbreuken op beveiligingsmaatregelen voor persoonsgegevens gemeld moeten worden bij de Autoriteit Persoonsgegevens.

Meer bevoegdheden van nationale toezichthouders

Ook krijgen de nationale toezichthouders zoals de Autoriteit Persoonsgegevens meer bevoegdheden. Een van de uitbreidingen is het opleggen van hoge boetes voor overtredingen. Geldboetes van maximaal  €20.000.000,- of 4% van de totale wereldwijde omzet van de onderneming kunnen door toezichthouders worden opgelegd aan overtreders (art. 83 Verordening).

‘One-stop-shop’ toezicht

Verder introduceert de Privacy Verordening een ‘one-stop-shop’ systeem voor gegevensbescherming in de gehele Europese Unie. Dit systeem houdt in dat multinationals voortaan met één leading autoriteit te maken hebben, namelijk de toezichthouder van de lidstaat waar het bedrijf zijn hoofdkantoor heeft. Deze leading autoriteit coördineert de handhaving door de overige nationale toezichthouders.

En nu verder

Binnenkort wordt de Verordening gepubliceerd in het EU publicatieblad. In 2018 treden de nieuwe bepalingen in werking. Lidstaten hebben twee jaar de tijd om de nieuwe privacy regels toe te passen en de nieuwe Richtlijn met betrekking tot politiële en justitiële samenwerking te implementeren. Een aantal nieuwe regels is in Nederland al van kracht, zoals het meldplicht datalekken. Wij zijn benieuwd hoe de andere bepalingen uit de Privacy Verordening zullen worden toegepast.

Op 13 april jl. bracht Artikel 29 Werkgroep (WP29), de Europese privacy-toezichthouders, een advies uit over het nieuwe Privacy Shield. Het Privacy Shield vormt – zoals je ook kan lezen in onze blogs (hier, hier en hier) – het nieuwe “adeqaatheidsbesluit” voor gegevensuitwisseling tussen de EU en de US en vervangt de ongeldig verklaarde Safe Harbor.

WP29 is kritisch. Hoewel de toezichthouders in eerste instantie het nieuwe besluit verwelkomen, aangezien het “major improvements” biedt ten opzichte van de Safe Harbor, plaatsen zij ook een aantal kritische opmerkingen. Een viertal bezorgheden van WP29 worden hieronder uiteengezet, (1) massale en willekeurige gegevensverzameling nog steeds mogelijk, (2) ontbreken van belangrijke EU beginselen, (3) ineffectieve verhaalmogelijkheid, en (4) onduidelijke en inconsistente formulering.

Massaal en willekeurig toezicht

WP29 is bezorgd over de mogelijkheid om massaal en willekeurig EU gegevens te verzamelen. Het Privacy Shield sluit mass surveillance namelijk niet uit. De regels omtrent massaal toezicht zijn, zo erkent ook WP29, een stuk transparanter geworden maar mass surveillance is nog niet in zijn geheel verboden. Dit is gek want het Hof van Justitie van de EU (HvJ) heeft in de Schrems-zaak duidelijk bepaald dat “veralgemeend toezicht” van autoriteiten tot elektronische communicatie een wezenlijke inbreuk is op het grondrecht privacy, zie ook onze vorige blog.

In het advies wijst WP29 op “its long-standing position that massive and indiscriminate surveillance of individuals can never be considered as proportionate and strictly necessary in a democratic society, as is required under the protection offered by the applicable fundamental rights.” Echter zien de toezichthouders ook dat er een toenemende tendens is voor het massaal verzamelen van informatie met het oog op terrorisme bestrijding. Volgens WP29 zal het HvJ meer duidelijkheid moeten geven over de grenzen van massale en willekeurige gegevensverwerking. Daarnaast adviseert WP29 de Commissie om – op zijn minst – meer duidelijkheid te gegeven over de rechten en plichten uit hoofde van het Privacy Shield.

Ontbreken van belangrijke EU beginselen

Een ander kritiekpunt van de Europese toezichthouders is dat een aantal belangrijke beginselen uit het EU gegevensbeschermingsrecht ontbreken of op een ontoereikende manier worden uitgelegd in het Privacy Shield. Een voorbeeld is het beginsel van dataretentie. Volgens WP29 kan dit beginsel niet duidelijk gelezen worden in de beginselen van data integriteit en doelbeperking. Ook, zo oordeelt WP29, is het doelbeperkingsbeginsel voor het verwerken van persoonsgegevens onduidelijk uiteengezet. Volgens WP29 kunnen deze problemen worden opgelost door een begrippenlijst toe te voegen aan de Veel Gestelde Vragen (FAQ) over het Privacy Shield.

Ineffectieve verhaalmogelijkheid

Verder concludeert WP29 dat de aanvullende verhaalmogelijkheden voor individuen te complex en te ingewikkeld zijn opgesteld en daardoor niet effectief zijn. Geadviseerd wordt om deze procedures te verduidelijken. Ook maakt WP29 zich zorgen over de onafhankelijke rol van de Ombudsman en of deze wel voldoende adequate middelen ter beschikking heeft om zijn taak uit te oefenen.

Onduidelijke formulering

Als laatst merkt WP29 op dat het Privacy Shield lastig te doorgronden is doordat een deel van de informatie is opgenomen in het adequaatheidsbesluit en een ander deel in de bijbehorende bijlagen. Niet alleen is het Shield erg lastig te lezen, ook staan er door deze constructie inconsistente bepalingen in. WP29 heeft daarnaast kritiek op het onduidelijke taalgebruik.

Conclusie van het advies

Volgens WP29 biedt het Privacy Shield nog niet voldoende waarborgen en is het beschermingsniveau niet “essentially equivalent to that of the EU”. WP29 adviseert de Commissie om met passende oplossingen te komen die duidelijkheid verschaffen en een gelijkwaardig beschermingsniveau verzekeren. Het huidige Privacy Shield kan dus niet zonder meer in werking treden, zo oordeelt WP29.

En nu verder?

De Commissie wordt aan het werk gezet. Artikel 31 Comité, een comité bestaande uit vertegenwoordigers van de lidstaten, brengt binnenkort ook een advies uit (naar verwachting in mei). De Commissie heeft aangegeven de adviezen te verwerken in een aangepaste versie van het Privacy Shield en hoopt deze in juni te finaliseren. Het nieuwe Privacy Shield treedt dan direct in werking.

Wij zijn benieuwd hoe de Commissie de kritiekpunten van WP29 in het nieuwe Privacy Shield gaat verwerken en kijken uit naar het advies van Artikel 31 Comité.