Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand juni op een rij.
“Thuiswerken is de norm”, aldus de regering in tijden van deze coronacrisis. Maar niet alle bedrijven kunnen of willen dit. Een medewerkster spande een kort geding aan tegen haar werkgever, omdat ze verplicht werd om op kantoor te komen werken in coronatijd. Vanwege de aard van de werkzaamheden verzocht de werkgever om op kantoor te werken. Medewerkster moest namelijk pakketten in ontvangst nemen, maar ook bestellingen verwerken en versturen. Daarnaast begeleidt medewerkster ook nog een andere collega, en kan ze niet alle werkzaamheden aan anderen overdragen.
De werkgever had verschillende coronamaatregelen genomen: van de inmiddels beroemde desinfecterende handgel tot het herinrichten van het kantoor, zodat 1,5 meter afstand gehouden kan worden. De rechter ging mee in de visie van de werkgever. Volgens de rechter is het niet aannemelijk geworden dat de verplichtingen uit goed werkgeverschap, de instructiebevoegdheid en/of zorgplicht zijn geschonden. Er waren voldoende maatregelen getroffen. De medewerkster kwam van een koude kermis thuis, nu ze gewoon op kantoor moet werken en ook nog eens de proceskosten moet vergoeden.
Het inzien van e-mails en persoonlijke berichten van een werknemer, daar moet je een goede reden voorhebben. Zeker als het een burgemeester betreft. In dit geval was er een vermoeden dat de desbetreffende burgemeester fraudeerde met de aanvraag van subsidies. De gemeente besloot voor een integriteitsonderzoek een back-up te maken van de mailbox van de burgemeester.
De burgemeester is het er niet mee eens dat zijn mailbox wordt onderzocht, en spande dan ook een rechtszaak aan tegen de gemeente. Eén van de redenen die hij aanvoert, is dat dit een inbreuk op de persoonlijke levenssfeer van hem zou zijn en daarmee in strijd met de AVG. Ook is volgens de burgemeester zijn (fysieke) veiligheid in gevaar, wanneer deze gegevens in verkeerde handen zouden komen.
De rechter gaat hier niet in mee. De rechter is van oordeel dat het beroep op de veiligheid moet worden gepasseerd, omdat onvoldoende aannemelijk is gemaakt dat en hoe de veiligheid van de burgemeester concreet zou worden bedreigd als gevolg van het handelen door de gemeente. Daarbij komt dat zijn betrokken belangen niet te kwalificeren zijn als persoonlijke belangen van de natuurlijke persoon, nu het gaat om de belangen die gerelateerd zijn aan het ambt van burgemeester (als bestuursorgaan).
De rechten van betrokkenen: in elke privacyverklaring moet ernaar worden verwezen. Maar hoe werkt de praktische invulling daarvan? In deze zaak stond het recht op inzage centraal. De eiser was niet tevreden met de stukken die hij opgestuurd kreeg, hij vond het onvolledig. De verweerder (een universiteit) gaf echter aan dat in de ontbrekende e-mails meer informatie stond dan enkel de persoonsgegevens van de betrokkene. Op grond van artikel 23.1(i) AVG hoeft verweerder geen persoonsgegevens te verstrekken voor zover dat noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Daar gaat de rechter in mee. Maar er moet wel een duidelijke motivering bij worden gegeven wélk gewichtig belang aan de orde is op grond waarvan het noodzakelijk zou zijn om een uitzondering te maken op het recht op inzage. En die uitleg ontbrak in dit geval, dus dat mag de universiteit alsnog op papier gaan zetten.
Een treinkaartje kopen zonder je naam op te hoeven geven. Dat moet toch kunnen? Sinds eind vorig jaar is het niet meer mogelijk om zogenoemde ATB-tickets te kopen. Dit waren internationale vervoersbewijzen die je bij de servicebalie van de NS kon kopen, zonder dat je naam op het ticket stond.
Bij de Autoriteit Persoonsgegevens (AP) is een handhavingsverzoek ingediend. De AP werd verzocht om onderzoek te doen naar de buitengebruikstelling van het ATB-systeem. Echter, de AP heeft nagelaten dit onderzoek uit te voeren. Uiteindelijk is de zaak voorgelegd aan de Raad van State, en is er verzocht om een voorlopige voorziening (soort kort geding). De verzoeker wil namelijk dat de AP het ATB-systeem beschermt zolang er nog geen onderzoek is gedaan. Straks is het technisch niet meer mogelijk het ATB-systeem weer up and running te krijgen. De rechter heeft de voorlopige voorziening afgewezen. Om zo’n verstrekkende voorziening te treffen, moet de rechter de overtuiging hebben dat de uitkomst in de bodemprocedure zal zijn dat de AP ten onrechte heeft nagelaten om deze zaken te onderzoeken. Die overtuiging heeft de voorzieningenrechter niet. Wanneer dit onjuist is en de NS het systeem weer moet laten werken, dan is dit de verantwoordelijkheid van de NS zelf. De NS mag in dat geval niet weigeren om het systeem weer aan de praat te krijgen, ook als daar veel kosten bij komen kijken.
Het is nog steeds afwachten tot er een uitspraak komt over het ATB-systeem en het wel of niet door de NS in strijd handelen met de AVG door geen mogelijkheid te bieden om internationale vervoersbewijzen zonder opgave van persoonsgegevens te kunnen kopen.
Benieuwd wat er in juli gaat gebeuren? Wij ook. Over een maand zijn we bij je terug met de volgende jurisprudentieblog!
Deze blog is geschreven in samenwerking met Anouk van Rijn.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.