Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand juli op een rij.
Een arbeidsgeschil dat zo uit de hand loopt dat zelfs de bedrijfsrecherche wordt ingeschakeld. Een medewerkster had zich ziekgemeld bij haar werkgever, omdat zij een hernia had. Aangezien de medewerkster een jaar later nog steeds ziek was, maar de werkgever signalen had ontvangen dat de medewerkster wel werkzaamheden verrichte, is er contact opgenomen met een bedrijfsrecherchebureau.
In opdracht van de werkgever ging de bedrijfsrecherche op pad. Daar werd de medewerkster op de gevoelige plaat vastgelegd, toen bleek dat ze haar tuin had omgebouwd tot een “theetuin”. Zo verkocht ze koffie, thee en gebak aan de bezoekers.
Als gevolg van het onderzoek en de resultaten daarvan is de medewerkster op staande voet ontslagen. Onterecht vond de medewerkster, en een rechtszaak volgde. Het Gerechtshof stelde de medewerkster uiteindelijk in het ongelijk. De bedrijfsrecherche handelde immers op basis van de Wet particuliere beveiligingsorganisaties en recherchebureaus. Daarnaast handelde de bedrijfsrecherche conform de Privacygedragscode sector particuliere onderzoeksbureaus. Zo mag een particulier onderzoeksbureau alleen een opdracht uitvoeren als daar een wettelijke grondslag voor is. En die was er in dit geval, namelijk het gerechtvaardigd belang van de werkgever. Aan de beginselen van proportionaliteit en subsidiariteit werd voldaan:
2. Zoekresultaten van een plastisch chirurg worden niet verwijderd door Google
Een plastisch chirurg heeft een zaak aangespannen tegen Google. Reden: wanneer je via Google zocht op de naam van de plastisch chirurg, verschenen tussen de zoekresultaten koppelingen naar websites waarop vermeld was dat zij op de zwarte lijst stond. Verder zag je de naam van de plastisch chirurg, het BIG-nummer, haar specialisme en ook een uitspraak van het Tuchtcollege. De plastisch chirurg verzocht Google om die zoekresultaten te verwijderen. Google ging hier niet in mee.
Het Gerechtshof Amsterdam oordeelde dat het recht op informatievrijheid van Google en derden zwaarder weegt dan het recht op privacy en bescherming van persoonsgegevens van de plastisch chirurg. De arts behandelt namelijk een kwetsbare groep patiënten, die weinig andere behandelopties hebben. De patiënten moeten daarom eenvoudig en online toegang hebben tot informatie over hun potentiele arts. Het BIG-register met daarin informatie over artsen wordt door patiënten nauwelijks geraadpleegd. En een website die een zwarte lijst van artsen toont, juist wel. Volgens het gerechtshof bevat de zwarte lijst recente informatie, en een dergelijke lijst is juist relevant voor patiënten.
Een medewerkster had zich ziekgemeld, maar in werkelijkheid bleek ze goed toneel te kunnen spelen. Zij was namelijk helemaal niet ziek. Dit is aan het licht gekomen doordat de medewerkster haar WhatsApp gesprekken open had laten staan op haar oude werklaptop. Zij had inmiddels zelf een nieuwe en deze laptop was doorgezet naar een collega. Deze collega heeft die WhatsApp gesprekken vervolgens dus gelezen en is daarmee naar de leidinggevende gestapt. Een ontslag op staande voet volgde.
De rechtbank Amsterdam oordeelde dat er een dringende reden was voor het ontslag. Jammer genoeg ging de rechter niet in op de vraag of de werkgever eigenlijk wel de WhatsApp berichten mocht lezen en op basis van welke grondslag (gerechtvaardigd belang) dat was toegestaan. Ook was het interessant geweest om te zien of de werkgever niet de verantwoordelijkheid had tot het leeghalen van de laptop, voordat deze werd doorgezet naar een collega.
In deze zaak gaat de Raad van State in op de vraag hoe complex het voor een betrokkene is om zelf zijn rechten op grond van de AVG uit te kunnen oefenen. De man (appellant) verzocht bij diverse zorginstellingen verstrekking van een kopie van zijn persoonsgegevens en die van zijn stiefdochter. Hij vond dat de zorginstellingen vervolgens niet genoeg persoonsgegevens aan hem hadden verstrekt. Daarom wilde de man een rechtszaak aanspannen. Omdat hij hiervoor de hulp van een advocaat wilde inschakelen, diende hij een verzoek in voor rechtsbijstand. Maar rechtsbijstand wordt volgens de wet niet verleend indien het een belang betreft die de man eenvoudig zelf kan behartigen, of desnoods met bijstand van een andere persoon of instelling.
Bij de beoordeling of het om zo’n belang gaat krijgt de Raad voor Rechtsbijstand zelf beoordelingsruimte. In de zogenaamde werkinstructie R010 van de Raad, is vermeld dat geen toevoeging wordt verstrekt voor zaken waarin een rechtzoekende op grond van artikel 35 van de Uitvoeringswet AVG een verzoekschrift bij de rechtbank indient voor verplichte procesvertegenwoordiging bij procedures, omdat de rechtzoekende dit zelf kan. Er ontstond dus discussie over de vraag of de man dit zelf zou moeten kunnen. De bestuursrechter vond van wel. De enkele afwijzing van een aanvraag betekent niet dat het hieruit ontstane geschil complex is en dat de burger niet zelf kan procederen. Uit het argument van de man, dat de AVG veel discussie oproept en de rechtspraak hierover nog in ontwikkeling is, kan ook niet worden afgeleid dat de zaken feitelijk of juridisch complex zijn.
Het hoge woord is eruit. Het Hof van Justitie van de EU heeft het Privacy Shield ongeldig verklaard. Een uitspraak die leidt tot ingrijpende veranderingen. Persoonsgegevens mogen vanuit de Europese Economische Ruimte alleen worden doorgegeven naar derde landen als de privacy voldoende gewaarborgd is. Zo mochten persoonsgegevens naar de Verenigde Staten worden doorgegeven indien de Amerikaanse organisatie is aangesloten bij Privacy Shield. Dat is nu verleden tijd, want de hoogste Europese rechter heeft in de Schrems II zaak bepaald dat ondanks dat een organisatie is aangesloten bij Privacy Shield, de privacy van Europese burgers niet voldoende wordt beschermd. In onze speciale nieuwsbrief vind je meer informatie.
Benieuwd wat er in augustus gaat gebeuren? Wij ook. Over een maand zijn we bij je terug met de volgende jurisprudentieblog!
Deze blog is geschreven in samenwerking met Anouk van Rijn.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.