Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand februari op een rij.
Internet en tv-provider Ziggo hoeft geen waarschuwingsbrieven van BREIN door te sturen aan haar klanten. Dit heeft de voorzieningenrechter van de rechtbank Midden-Nederland bepaald. Via verschillende BitTorrents-websites kunnen films of boeken illegaal worden gedownload. Dit gebeurt vaak met behulp van de internetaansluiting van Ziggo.
In 2020 is BREIN de “Frequent en Langdurig Uploaden-waarschuwingscampagne” (FLU-campagne) gestart. De FLU-campagne is er op gericht om een waarschuwingsbrief te sturen aan de houders van IP-adressen waarvan BREIN met behulp van speciale software heeft geconstateerd dat via dat IP-adres illegaal aanbod ter beschikking is gesteld via BitTorrent. BREIN wilde dat Ziggo verplicht zou worden om deze brieven door te sturen naar haar klanten. Hoewel BREIN weet op welke IP-adressen illegaal wordt gedownload, weet alleen de internetprovider de naam of het adres van de houder van het IP-adres. BREIN kan de waarschuwingsbrief dus niet zelf versturen en heeft hierbij Ziggo om hulp gevraagd.
Ziggo weigerde de brieven door te sturen aan haar klanten, omdat de internetprovider vindt dat dit in strijd is met de AVG. De rechter oordeelde dat de IP-adressen waarvan het illegaal up- en downloaden is vastgesteld, strafrechtelijke persoonsgegevens zijn. Voor het verwerken van strafrechtelijke persoonsgegevens ten behoeve van een derde, in dit geval BREIN, geldt dat hier extra strenge AVG-eisen gelden. De voorzieningenrechter oordeelde dat Ziggo een vergunning nodig heeft van de Autoriteit Persoonsgegevens om de NAW-gegevens te koppelen aan de IP-adressen en vervolgens de waarschuwingsbrieven van BREIN door te sturen. Op dit moment beschikt Ziggo niet over deze vergunning. Als de internetprovider wel zo'n vergunning zou hebben en toch zou weigeren de brieven door te sturen, zou Ziggo onrechtmatig handelen.
In deze zaak oordeelde de rechtbank dat de AVG niet bedoeld is voor inzage in processtukken. Eiser is al jarenlang verwikkeld in procedures omtrent het ouderlijk gezag van zijn minderjarige zoon. In deze procedures zijn verschillende beschuldigingen geuit door de voormalig echtgenote van eiser, die verband houden met zijn strafrechtelijke verleden en die onderwerp zijn geweest van onderzoek door de Raad voor de Kinderbescherming (de Raad).
Eiser vorderde inzage in documenten die zijn persoonsgegevens zouden bevatten en die door de Raad zijn en worden gebruikt. Deze stukken zijn bij een eerder verzoek niet allemaal overlegd. Het gaat eiser met name om processtukken uit de civiele procedure tussen zijn voormalig echtgenote en de Raad.
De rechtbank is van oordeel dat de Raad het verzoek tot inzage met betrekking tot deze processtukken terecht had afgewezen. De Raad had namelijk al een dossier overlegd en daarbij vermeld dat er niet meer of andere persoonsgegevens dan in dit dossier waren ingebracht in de civiele procedure. De rechtbank komt tot het oordeel dat de AVG niet is bedoeld om een derde inzicht te verschaffen in de door partijen ingebrachte processtukken en andere informatie in een gerechtelijke procedure. Verder is een juridische analyse volgens vaste jurisprudentie geen persoonsgegeven in de zin van de AVG, en kunnen betrokkenen hier dus geen inzage in vorderen. Dit betekent overigens niet dat het inbrengen van persoonsgegevens in gerechtelijke procedures nooit in strijd met de AVG, en dus onrechtmatig, kan zijn.
Wat mag er ook binnen een advocatenkantoor niet ontbreken? Een privacyverklaring! In deze zaak, gaf de managing partner van een advocatenkantoor een externe advocaat de opdracht om processtukken op te stellen — en stuurde hem de benodigde gegevens toe. De klant klaagde (onder meer) dat haar gegevens zijn doorgegeven aan een derde, zonder haar toestemming. Dit is volgens haar in strijd met de AVG en zelfs een datalek.
Het Hof van Discipline (behandelt klachtzaken over advocaten in hoger beroep) heeft zich over de zaak gebogen en stelt dat het ontbreken van uitdrukkelijke toestemming niet direct tot een datalek leidt, maar wel tot de inbreuk op de vereiste vertrouwelijkheid van de gegevens. Daarnaast constateert het Hof dat het kantoor niet over een goed raadpleegbare privacyverklaring beschikt, waarin iedereen kan lezen hoe het kantoor met persoonsgegevens omgaat. De algemene voorwaarden bevatten wel een vermelding over de verwerking van persoonsgegevens maar zonder de noodzakelijke details, zoals het proces van het verkrijgen van toestemming voor de verwerking of informatie over de doorgifte van gegevens.
De vrouw betwistte bovendien de mogelijkheid om toegang te krijgen tot haar persoonsgegevens, aangezien haar inzageverzoek was geweigerd. Het hof oordeelt dat de verwerende advocaat een dergelijk verzoek niet mag weigeren, ook al heeft de vrouw naar zijn mening misbruik gemaakt van dit recht (recht van inzage). Volgens het hof, had de verwerende advocaat voorzichtiger kunnen zijn, maar heeft hij het vertrouwen in de advocatuur niet geschonden.
Benieuwd wat er in maart 2022 gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!
Deze blog is in samenwerking geschreven met stagiaire Maria Sejfryd.
Meer lezen over privacy? Lees verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.