Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er gebeurt echter veel meer op het gebied van privacy, wat niet altijd het nieuws haalt. Aan de hand van jurisprudentie leren we veel over hoe de Algemene verordening gegevensbescherming (‘AVG’) uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand april op een rij.
De eerste uitspraak gaat over een geschil tussen betrokkene en DIVOSA. DIVOSA verwerkte in het verleden persoonsgegevens van betrokkene. Betrokkene heeft inzage verzocht en vervolgens heeft DIVOSA persoonsgegevens overlegd. Volgens betrokkene zijn dit echter niet alle persoonsgegevens.
Betrokkene verzocht de rechtbank DIVOSA te bevelen om een volledig overzicht te verschaffen van zijn persoonsgegevens. De rechtbank wees het verzoek van betrokkene af omdat ze van oordeel was dat het duidelijk was dat zijn inzageverzoek een ander doel diende dan waarvoor het inzagerecht is bedoeld. Ze concludeerde daarom dat betrokkene het recht op inzage misbruikte. DIVOSA beweerde dat betrokkene zijn verzoek bedoeld was om hen financiële schade toe te brengen en hen te blijven lastigvallen met procedures. Bovendien stelde DIVOSA dat betrokkene de opgevraagde persoonsgegevens wilde gebruiken om zijn eigen veroordeling aan te tasten. Betrokkene is vervolgens in hoger beroep gegaan.
Het hof benadrukt allereerst dat het inzageverzoek moet worden beoordeeld aan de hand van de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’) en de Uitvoeringswet AVG (hierna: ‘UAVG’). Artikel 15 van de AVG geeft de betrokkene het recht op inzage, waardoor hij kan controleren of zijn persoonsgegevens juist worden verwerkt en of deze verwerking rechtmatig is. Aangezien het recht op bescherming van persoonsgegevens een fundamenteel recht is binnen de Europese Unie, met inbegrip van het recht op toegang tot de verzamelde gegevens over zichzelf, wordt misbruik van dit recht niet snel aangenomen.
Het feit dat de betrokkene mogelijk ook andere motieven heeft voor zijn inzageverzoek betekent op zichzelf nog niet dat er sprake is van misbruik van het recht. Echter, als het inzagerecht uitsluitend wordt gebruikt om DIVOSA te schaden, kan wel degelijk sprake zijn van misbruik van het inzagerecht. Aangezien een inzageverzoek niet gemotiveerd hoeft te worden mag DIVOSA deze niet afwijzen op grond van hun vermoeden dat de betrokkene een ander doel heeft dan het controleren van de rechtmatigheid van de verwerking van zijn persoonsgegevens. Het hof is het niet eens met het standpunt van DIVOSA dat het inzageverzoek van de betrokkene zo overduidelijk een ander doel dient dat sprake is van kwade trouw.
Ook de context waarin het inzageverzoek is gedaan heeft, gelet op de doelstellingen van de AVG, geen invloed op (de omvang van) het inzagerecht. Daarnaast heeft de betrokkene naar het oordeel van het hof voldoende onderbouwd dat hij de verwerking van zijn persoonsgegevens wil controleren.
Het overzicht dat DIVOSA aan betrokkene heeft verstrekt, bleek ontoereikend om de verwerking van zijn persoonsgegevens adequaat te controleren. Dit kwam doordat het overzicht slechts een opsomming bevatte van administratieve onderdelen, gevolgd door het verwerkingsdoel en een aantal directe persoonsgegevens, zoals naam, initialen, adres of telefoonnummer van de betrokkene, samen met informatie over herkomst, ontvangers en de bewaartermijn. Echter, deze informatie was niet voldoende om de verwerkte gegevens in hun context te plaatsen. Bovendien ontbraken subjectieve persoonsgegevens die indirect herleidbaar zijn tot de betrokkene, zoals bepaalde kwalificaties over hem. Pas later heeft DIVOSA aanvullende documenten verstrekt, waardoor alsnog aan het inzagerecht is voldaan.
De uitspraak van het hof geeft aan dat het inzagerecht een sterk recht is dat niet zomaar aan de kant geschoven kan worden. Misbruik van het recht wordt in uiterste gevallen aangenomen. Daarnaast moet de informatie die verstrekt wordt volledig en uitgebreid zijn. Deze uitspraak geeft een goed beeld van wanneer de verstrekt informatie aan de eisen van artikel 15 AVG voldoet.
De tweede uitspraak gaat over een geschil tussen de Autoriteit Persoonsgegevens (hierna: ‘AP’) en een bedrijf genaamd Northwave Nederland B.V. (hierna: verzoekster). Het conflict begon toen de AP een melding kreeg over een datalek bij een grote hostingprovider. De hostingprovider heeft verzoekster ingeschakeld om onderzoek te doen naar het incident. De AP verzocht vervolgens de hostingprovider om het onderzoeksrapport van verzoekster aan haar te overleggen zodra dit gereed was. Echter, de hostingprovider gaf aan dit niet volledig te willen doen. Als reactie hierop heeft de AP de inlichtingen gevorderd op grond van artikel 58 AVG. Naar aanleiding van deze vordering heeft de hostingprovider een brief van verzoekster van 10 oktober en een bijlage aan de AP verstrekt.
De AP, met sterke twijfels over de juistheid van de mededeling van de hostingprovider, richt zich vervolgens tot verzoekster. Verzoekster reageert gemotiveerd en geeft aan fundamentele bezwaren te hebben tegen het verstrekken van informatie van de hostingprovider. Na enige communicatie heen en weer tussen verzoekster en de AP legt de AP uiteindelijk een last onder dwangsom op aan verzoekster.
Het is aan de voorzieningenrechter om te beoordelen of de last onder dwangsom opgelegd heeft mogen worden. Gelet op artikel 5:20 lid 1 Algemene wet bestuursrecht (Awb) heeft de AP de bevoegdheid inlichtingen te vorderen. In beginsel moet de verzoekster medewerking verlenen. De bevoegdheid van de AP wordt echter wel begrensd door het evenredigheidsbeginsel. Dit houdt in dat de AP van haar bevoegdheden slechts mag gebruiken voor zover dat redelijkerwijs voor de vervulling van haar taak nodig is. Hierin ligt de crux van het geding. Was het redelijkerwijs nodig dat de AP de inlichten vordert bij een derde die niet is onderworpen aan het toezicht door de AP?
Verzoekster betoogt dat de inlichtingenvordering van de AP niet evenredig is. De hostingprovider is het onderwerp van het onderzoek, dus in beginsel is er geen reden om ook toezichtsbevoegdheden aan te wenden jegens andere partijen. Uit artikel 58 AVG in combinatie met artikel 16 UAVG volgt dat de AP zich in eerste instantie tot de normadressaat van artikel 58 AVG moet richten.
De AP heeft uitgelegd dat zij van mening is dat het niet zinvol is om een last onder dwangsom op te leggen aan de hostingprovider, omdat deze beweert alle gevraagde documenten te hebben verstrekt, terwijl dat niet het geval is. Bovendien zou een bezoek van de AP aan de hostingprovider veel tijd kosten, en het tijdsverloop sinds het incident speelt ook een rol. Als de hostingprovider het risico verkeerd heeft ingeschat, zijn er mogelijk getroffenen die niet op de hoogte zijn, wat risico op schade met zich meebrengt. Om deze redenen vindt de AP het gerechtvaardigd om zich tot verzoekster te richten en bij weigering van medewerking een last onder dwangsom op te leggen aan verzoekster.
De voorzieningenrechter oordeelt allereerst dat de AP zich inderdaad in eerste instantie moet wenden tot de normadressaten. Ten tweede oordeelt de voorzieningenrechter dat de AP haar bevoegdheden ten aanzien van de hostingprovider niet heeft uitgeput. De AP heeft niet voldoende aangetoond dat de hostingprovider, bijvoorbeeld door het opleggen van een last onder dwangsom, de gevraagde informatie niet alsnog zou hebben verstrekt. Het is dan ook niet goed te verklaren waarom de AP geen last onder dwangsom heeft opgelegd aan de hostingprovider.
Zolang niet vaststaat dat de hostingprovider niet zal meewerken aan de inlichtingenverplichting bij een opgelegde last onder dwangsom, is het voor de taakvervulling van de AP redelijkerwijs niet noodzakelijk om inlichtingen bij verzoekster op te vragen. Het is hierbij relevant dat de AP weet waar het datalek heeft plaatsgevonden en op basis van mededelingen van de hostingprovider op de hoogte is van de aanwezigheid van een onderzoeksrapport. Daarnaast heeft de AP ook minder ingrijpende middelen tot haar beschikking ten aanzien van verzoekster. Het subsidiariteitsbeginsel verzet zich daarom ook tegen het opleggen aan een last onder dwangsom aan verzoekster.
Op basis van deze overwegingen concludeert de voorzieningenrechter dat er op het moment van oplegging geen grondslag is voor het opleggen van een last onder dwangsom aan verzoekster.
Deze uitspraak leert ons dat inzageverzoeken in beginsel altijd eerst gericht moeten zijn aan de normadressaat van artikel 58 AVG. Dit zijn de verwerkingsverantwoordelijke of de verwerker. Alleen als de bevoegdheden van de AP zijn uitgeput ten aanzien van de normadressaat, zoals het opleggen van een last onder dwangsom, kan er een grondslag ontstaan om het inzageverzoek jegens derden te richten.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.