Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er gebeurt echter veel meer op het gebied van privacy, wat niet altijd het nieuws haalt. Aan de hand van jurisprudentie leren we veel over hoe de Algemene verordening gegevensbescherming (‘AVG’) uiteindelijk toegepast wordt. In deze blog zetten we drie uitspraken van de maand juli op een rij.
Bedrijven doen er verstandig aan om zo volledig mogelijk aan een inzageverzoek te voldoen. In deze uitspraak werd de laconieke houding van Twitter tegenover haar verplichtingen uit de Algemene verordening gegevensbescherming (“AVG”) niet gewaardeerd door de rechter. Twitter handelde een inzageverzoek af door te verwijzen naar haar Privacy Policy. Dit resulteerde in een verplichting om alsnog aan het inzageverzoek te voldoen onder dwangsom van 4.000 euro per dag.
Een Twitter-gebruiker (“verzoeker”) dient een inzageverzoek in bij Twitter nadat er zonder mededeling een shadowban op zijn account was toegepast. Dergelijke shadowban werd opgelegd aan de hand van een automatisch systeem nadat verzoeker een tweet had gepost waar het woord “kinderporno” in voorkwam. Toen verzoeker hier achter kwam heeft hij een inzageverzoek ingediend bij Twitter. Twitter reageert slechts met het opheffen van de shadownban en een verwijzing naar haar Privacy Policy. Verzoeker vindt dit niet voldoende en maakt een verzoekschrift aanhanging bij de rechtbank. Hierna stuurt Twitter verzoeker nog een brief toe waarin wordt uitgelegd hoe de shadowban is opgelegd. Verzoeker wil dat Twitter alsnog inhhoudelijk op zijn verzoek reageert.
Bij haar oordeel verduidelijkt de rechter eerst dat het doel van artikel 15 AVG is dat een betrokkene via het inzageverzoek genoeg informatie verstrekt moet krijgen om zo te kunnen controleren of de verzamelde persoonsgegevens juist zijn en rechtmatig zijn verwerkt. Het slechts verwijzen naar de Privacy Policy is volgens de rechter zeer algemeen en verwijst alleen naar hoe Twitter mogelijk persoonsgegevens verwerkt. Een inzageverzoek moet informatie geven over de wijze waarop de persoonsgegevens van de verzoeker daadwerkelijk zijn verwerkt.
Hieronder valt ook informatie over geautomatiseerde besluitvorming, als deze besluitvorming aanzienlijke gevolgen voor de betrokkene heeft. Daar is volgens de rechter hier sprake van, nu de shadowban ervoor zorgt dat verzoeker minder vindbaar is, en omdat hij zijn account professioneel gebruikt raakt dit zijn werkgelegenheid. Ook kan het mogelijk in verband gebracht worden met kindermisbruik een grote impact hebben op verzoeker.
Als tegenargument voor inzage in de geautomatiseerde besluitvorming stelt Twitter eerst dat, hoewel het opleggen van de shadowban een geautomatiseerd besluit is, de parameters van het detectiesysteem worden bepaald door mensen. Er zou daarom geen sprake zijn van geautomatiseerde besluitvorming. De rechter wijst dit af. Het gaat er immers om of de besluitvorming geautomatiseerd is, niet of het of het oorspronkelijke systeem wel of niet door mensen is gemaakt. Daarnaast stelt Twitter dat zij een verantwoordelijkheid heeft om het platform te beschermen tegen uitingen in strijd met haar beleid. De rechter verduidelijkt hier dat Twitter de beperking wel had mogen opleggen, maar dat de informatievoorziening hieromtrent ontoereikend was. Ook het beroep van Twitter op haar bedrijfsgeheim is volgens de rechter niet gegrond, omdat verzoeker niet heeft gevraagd om specifieke informatie over bijvoorbeeld het algoritme.
De rechter concludeert dat Twitter actief stappen had moeten ondernemen om verzoeker de juiste en volledige informatie op een duidelijke manier te verstrekken. Het slechts verwijzen naar de Privacy Policy is een te algemene manier om onder het inzageverzoek uit te komen. Om ervoor te zorgen dat Twitter daadwerkelijk overgaat tot actie legt de rechter een dwangsom op van 4000 euro per dag, totdat zij voldoet aan het inzageverzoek.
Kortom, het niet serieus nemen van verzoeken van betrokkenen kan wel degelijk juridische gevolgen hebben. Dit zagen we ook in één van de besproken uitspraken in onze vorige jurisprudentieblog, waar het negeren van een verwijderverzoek leidde tot een hoge boete. Deze zaak benadrukt wederom het belang van duidelijke procedures omtrent verzoeken van betrokkenen.
De GGD en de Nederlandse staat hoeven geen schadevergoeding te betalen voor het datalek dat tijdens de coronapandemie plaatsvond. Dat heeft de rechter in deze zaak bepaald. Tijdens de coronopandemie hebben medewerkers van de GGD toegang gehad tot de IT-systemen en persoonsgegevens ter beschikking gesteld aan derden. Deze gebeurtenis staat ook wel bekend als het coronadatalek. Naar aanleiding van dit datalek heeft de Stichting Initiatieven Collectieve Acties Massaschade (“ICAM”) een vordering tot schadevergoeding ingesteld tegen de GGD en de overheid.
ICAM had ingezet op een schadevergoeding voor alle 6.5 miljoen mensen die tijdens de coronapandemie hun persoonsgegevens aan GGD hebben toevertrouwd. Hierbij werd onderscheid gemaakt tussen twee categorieën gedupeerden:
ICAM stelt dat alle personen waarvan gegevens zijn geregistreerd immateriële schade lijden, omdat zij allemaal de controle over hun persoonsgegevens zijn verloren door het datalek.
De rechtbank oordeelt de vordering tot schadevergoeding voor beide categorieën niet ontvankelijk. Voor categorie A beredeneert de rechter dat er geen schade toegekend kan worden op grond van een “vrees” dat persoonsgegevens in verkeerde handen zijn gevallen. Wat betreft de gedupeerden in categorie B kan er geen schadevergoeding worden toegekend omdat 80% van hen al een financiële tegemoetkoming van GGD heeft geaccepteerd. Hiermee hebben zij de GGD finale kwijting verleend en dus geen recht meer op schadevergoeding. Wat betreft de beperkte groep overgebleven benadeelden kan ICAM niet aannemelijk maken dat zij voldoet aan het representativiteitsvereiste voor deze groep, waardoor ook de vordering tot schadevergoeding voor deze groep niet ontvankelijk moet worden verklaard.
In haar beoordeling of er recht op immateriële schadevergoeding bestaat voor de personen uit categorie A haalt de rechter verschillende uitspraken van het Europese Hof van Justitie aan. Hierbij bespreekt de rechter de “vrees” voor misbruik aan de hand van twee uitspraken van het Europese hof.
In het arrest VB/NAP heeft het Europese hof onder andere geoordeeld dat “de vrees die een betrokkene na een inbreuk op deze verordening koestert voor mogelijk misbruik van zijn persoonsgegevens door derden, op zich “immateriële schade” in de zin van deze bepaling kan vormen”. Hier lijkt het Hof te stellen dat ook wanneer er gevreesd moet worden voor mogelijk misbruik er sprake kan zijn van immateriële schade.
Daarna haalt de rechter het arrest MediaMarkt Saturn Hagen-Iserlohn aan, waarin het Europese hof heeft beslist dat de persoon die om schadevergoeding verzoekt niet alleen moet aantonen dat de bepalingen van de AVG zijn geschonden, maar ook dat zij materiële of immateriële schade heeft geleden. Het hof vervolgt dat “het enkele feit dat de betrokkene vreest dat zijn gegevens in de toekomst verspreid of zelfs misbruikt zullen worden (…), geen „immateriële schade” in de zin van dat artikel oplevert. De rechter wijst erop dat op grond van deze uitspraken een “vrees” op misbruik alleen immateriële schade kan opleveren indien de inbreuk zelf vaststaat, niet wanneer de vrees ziet op het bestaan van de inbreuk zelf. Voor de personen in categorie A kan er op deze grond dus geen immateriële schade worden vastgesteld.
In deze zaak oordeelde de rechter dat een erfgenaam geen recht heeft op inzage in de chatgeschiedenis van de overledene. De belangrijkste reden hiervoor is dat de privacybelangen van andere gebruikers zich hiertegen verzetten, alsdus de rechter.
De geregistreerd partner van de eiser (“eiser”) in deze zaak is overleden door zelfdoding. Om erachter te komen of iemand haar heeft aangezet tot deze actie wil eiser toegang tot de chatgeschiedenis van zijn overleden partner. Facebook stemt hier niet mee in, omdat dit tegen haar beleid ingaat.
De vraag die de rechter werd voorgelegd was of, en zo ja, in hoeverre een erfgenaam recht heeft op toegang tot het Facebook-account van de overledene. Hierbij ging het specifiek om het geval dat overledene niet heeft aangegeven wat er na overlijden met het account moet gebeuren.
Wat betreft het recht op toegang tot, en daarmee inzage in, het account oordeelt de rechter dat eiser inderdaad hier recht op heeft. Het recht op toegang bestaat op grond van de overeenkomst tussen Facebook en de overledene en is na overlijden op grond van artikel 6:249 Burgerlijk wetboek overgegaan op de erfgenaam.
Dit geldt echter niet voor de chatgeschiedenis. Het account, en met name de chatgeschiedenis, bevat namelijk zeer waarschijnlijk persoonsgegevens van derden. Deze derden moeten erop kunnen vertrouwen dat hun gegevens alleen beschikbaar zouden zij voor de overledene. De rechtbank stelt bij de belangenafweging dat het belang van eiser slechts een persoonlijk belang en geen grondrecht betreft. Daarom kan het belang van eiser niet zwaarder wegen dan het grondrecht op privacy van de andere gebruikers, aldus de rechter.
Eiser is het hier niet meer eens en stelt dat dit hetzelfde is als het openbaar maken van emailaccounts of fysieke dagboeken en brieven. In een eerdere uitspraak werd immers wel toegang verleend tot e-mail aan erfgenamen. De vergelijking die eiser hier maakt wijst de rechter af. Hierbij voert hij drie redenen aan.
Allereerst heeft de communicatie via een Facebook-account volgens de rechter een persoonlijke(re) aard dan e-mail. Daarnaast maakt de gebruiker bij fysieke dagboeken en brieven een bewustere keuze om zijn gedachten en communicatie te bewaren. Dit is volgens de rechter bij de communicatie op een Facebook-account minder het geval, omdat deze communicatie vaak automatisch wordt bewaard zonder dat de gebruiker daar iets voor hoeft te doen. Ten slotte is een Facebook-account vergrendeld met een wachtwoord, waardoor derden doorgaans geen toegang hebben tot deze communicatie.
Kortom, de privacybelangen van derden waarmee gechat is wegen zwaarder dan het persoonlijke belang van erfgenaam om inzage te krijgen. De erfgenaam krijgt toegang tot alle inhoud van het account, met uitzondering van de chatgeschiedenis.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.