Coauteur: Legal Assistent Kim Slobbe
Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er gebeurt echter veel meer op het gebied van privacy, wat niet altijd het nieuws haalt. Aan de hand van jurisprudentie leren we veel over hoe de Algemene verordening gegevensbescherming (‘AVG’) uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand oktober op een rij.
Deze zaak gaat over een werknemer die geld eist van haar werkgever nadat hun arbeidsrelatie is beëindigd. De werknemer vindt namelijk dat haar werkgever “ernstig verwijtbaar” handelde en de AVG schond. Daardoor leidde zij schade, en die wil ze vergoed zien. De lagere rechter ging niet met haar verhaal mee, dus stapt ze nu naar de hogere rechter, het hof.
Sinds 2017 was de werknemer logistiek medewerker bij het retailbedrijf van de werkgever. De werknemer werkte daarnaast, met medeweten van de werkgever, in haar eigen bed and breakfast (B&B). In 2019 viel de werknemer volledig uit. Na een halfjaar krijgt de werkgever twijfels over de oprechtheid van het ziekteverzuim en schakelt een bedrijfsrecherchebureau in. Ze was namelijk een maand niet te bereiken en uit de reviews van haar B&B blijkt dat ze daar gewoon lekker aan de bak was.
De rechercheurs onderzoeken het ziekteverzuim door drie keer in de B&B te verblijven. Zij concluderen dat ze kan werken, ondanks medische beperkingen. Nadat de werkgever haar confronteert met de onderzoeksbevindingen van het bedrijfsrecherchebureau, wordt ze tijdelijk geschorst in afwachting van verder onderzoek. Het gaat het steeds slechter met de medewerker en latere bedrijfsartsverslagen bevestigen haar arbeidsongeschiktheid. Na twee jaar mag de werkgever de arbeidsovereenkomst beëindigen en dat doet de werkgever na het verplichte goedkeuren van de UWV.
De werknemer eist een billijke vergoeding op basis van “ernstig verwijtbaar handelen” van de werkgever (lees hierover meer in dit blog). De werknemer zegt dat de handelswijze van de werkgever zorgde voor de beëindiging van de arbeidsovereenkomst, zij zou namelijk meer klachten hebben gekregen nadat ze geconfronteerd was met de bevindingen van het recherchebureau, en de werkgever deed niks om re-integratie te bevorderen.
Daarnaast eist de werknemer immateriële schadevergoeding op basis van artikel 82 AVG. Op basis van artikel 82 AVG kan je namelijk als je schade lijdt door een inbreuk op de AVG, die schade vergoed eisen van de inbreukmakende partij. Bij immateriële schade moet die persoon in haar eer of goede naam geschaad zijn, of op een andere wijze in haar persoon aangetast zijn (artikel 6:106(1)b Burgerlijk Wetboek). De werknemer vindt dat de werkgever het onderzoek startte zonder enige aanleiding en inbreuk maakte op haar privacy. Welk artikel van de AVG werd geschonden, is onduidelijk.
Het hof wijst zowel de billijke vergoeding als de immateriële schadevergoeding af.
Het hof erkent dat de confrontatie met het onderzoek een negatieve impact had op de gezondheid van de werknemer, maar ziet niet in waarom het handelen van de werkgever de reden zou zijn voor het voortduren van de al bestaande arbeidsongeschiktheid. Ze was immers al 104 weken ziek en de situatie was al aan het verslechteren. Uit het verhaal blijkt niet dat de opzegging van de arbeidsovereenkomst het gevolg is van ernstig verwijtbaar handelen van de werkgever, aldus het hof, en daarmee faalt het argument voor de billijke vergoeding.
In tegenstelling tot de werknemer vindt het hof dat de werkgever voldoende aanleiding had om een onderzoek door het bedrijfsrecherchebureau in te stellen. Het hof vindt dit middel ook niet buitenproportioneel. Die B&B reviews alleen al zouden terecht twijfels zaaien als een werknemer al 6 maanden aangeeft ernstige fysieke beperkingen te hebben. Het hof concludeert dat de aard en ernst van de normschendingen, en de gevolgen ervan voor de werknemer, geen aantasting in haar persoon zijn, en daarmee strandt het argument dat er immateriële schade is geleden.
In de volgende zaak draait het om een voormalige student die schadevergoeding eist van de Hogeschool van Arnhem en Nijmegen (HAN) na een datalek. Hierbij zijn persoonsgegevens over de student, waaronder gevoelige medische informatie, gestolen door een hacker.
De student eist (onder meer) schadevergoeding (1000 euro) op basis van artikel 82 AVG. De student beweert dat de HAN als verwerkingsverantwoordelijke zijn persoonsgegevens niet adequaat heeft beschermd, wat leidde tot immateriële schade. Adequate beveiliging van persoonsgegevens is vereist op basis van artikel 32 en artikel 5 van de AVG.
De rechter oordeelt dat eiser recht heeft op schadevergoeding (300 euro) als gevolg van inbreuk op de AVG.
Hoewel niet elk datalek automatisch een inbreuk op de AVG is, kan het nalaten van passende beveiliging op het moment van het datalek dat wel zijn. Van de HAN kon worden verlangd dat ze die maatregelen trof die, rekening houdend met de stand van de techniek en de specifieke omstandigheden en risico’s van dit geval, van haar verwacht konden worden. De HAN maakte niet voldoende inzichtelijk welke specifieke maatregelen ze hadden genomen op het moment van het datalek, maar deelde alleen een verwijzing naar de algemene getroffen maatregelen. Omdat de HAN het nalaten van de beveiligingsmaatregelen onvoldoende ontkent, staat de inbreuk op de AVG vast. Nu de schade nog.
De eiser moest aantonen dat hij immateriële schade heeft geleden en dat deze schade het gevolg is van de inbreuk op de AVG (artikel 6:106(1) b BW). De rechter overweegt dat het lekken van algemene persoonsgegevens (zoals naam, adres, woonplaats, e-mail en telefoonnummer) van eiser geen aantoonbare schade veroorzaakt. De situatie verandert echter wanneer het gaat om bijzondere persoonsgegevens, met name medische gegevens, die zijn gelekt.
“In dat geval kan eerder worden aangenomen dat sprake is van schade, omdat het bij uitstek gegevens zijn waarvan niet gewenst is dat ze “op straat” komen te liggen. De nadelige gevolgen daarvan liggen voor de hand.”(r.o.4.7). Het is daarbij niet relevant dat het niet precies duidelijk is wat de hacker met de gegevens van de student heeft gedaan. “Dat de hacker deze specifieke gegevens heeft kunnen inzien/verspreiden, is voldoende voor het aannemen van schade als gevolg van de inbreuk op de AVG.” (r.o. 4.7). Bovendien verklaarde de student ter zitting dat dit datalek hem veel zorgen baart. Hij had al moeite met het delen van medische gegevens met de HAN, en nu gaat het ook nog eens dik mis. Alles bij elkaar reden genoeg om zowel de inbreuk op de AVG, als de schade aan te nemen, en de HAN te 300 euro te laten betalen aan hem.
In de laatste zaak staat het geschil tussen de ouders van twee minderjarige kinderen centraal. De ouders zijn gescheiden en waren betrokken in diverse juridische procedures met betrekking tot het gezag over en de omgang met hun kinderen. De kinderen zijn onder toezicht gesteld sinds 15 november 2016. Stichting Leger des Heils Jeugdbescherming & Reclassering (LJ&R) heeft de toezichtsmaatregelen uitgevoerd, inclusief tijdelijke voogdij.
De zaak draait om verzoeken van de moeder voor inzage op basis van artikel 15 van de AVG en/of artikel 7.3.10 van de Jeugdwet bij LJ&R. Artikel 7.3.10 Jeugdwet regelt het recht van de moeder op inzage in en een kopie van het jeugddossier van haar kind. Artikel 15 AVG stelt de moeder in staat om toegang te krijgen tot persoonsgegevens die buiten het jeugddossier van haar kind vallen, maar haarzelf betreffen. Het gaat om inzage in de dossiers aangemaakt in het kader van de uitgevoerde kinderbeschermingsmaatregelen van LJ&R ten aanzien van één van de kinderen,.
Ten aanzien van het contactjournaal, waar de moeder al meerdere malen inzage in heeft gekregen, oordeelt de rechter dat herhaalde inzage in eerder verstrekte gegevens niet in lijn is met het doel van het inzagerecht (van de AVG). Het doel van het inzagerecht is namelijk de betrokkene in staat te stellen de verwerking te bekijken en de rechtmatigheid te controleren. Herhaaldelijk in een korte tijd hetzelfde verzoek doen, dient dat doel niet. Bovendien is er niks in het contactjournaal veranderd omdat het is gesloten, dus kan de moeder geen nieuwe informatie opdoen.
Met betrekking tot de interne werkaantekeningen en memo’s gaat de discussie over of daar wel persoonsgegevens in zitten (de lagere rechter oordeelde van niet). Het hof zegt wat anders. De definitie van persoonsgegevens is ruim en heeft betrekking op “alle informatie over een natuurlijke persoon.” Dit omvat zowel objectieve als subjectieve informatie met betrekking tot de betrokkene, dus ook wat er in deze aantekeningen staat. De rechten en vrijheden van anderen, met name de medewerkers die de memo's en werkaantekeningen hebben opgesteld, en derden, moeten wel ook in acht worden genomen bij het verstrekken van inzage. LJ&R moet – buiten de stukken voor hun advocaat (artikel 15(4) AVG) – per document te beoordelen of inzage afbreuk doet aan de rechten en vrijheden van betrokkenen of dat ze iets kunnen doen om die afbreuk te minimaliseren.
Wat betreft de correspondentie tussen de andere ouder van de kinderen en LJ&R, oordeelt de rechter dat de moeder niet het onbeperkte recht heeft om inzage te krijgen in de volledige correspondentie op basis van de Jeugdwet. De Jeugdwet voorziet in beperkingen om de persoonlijke levenssfeer van anderen te beschermen. De AVG biedt eveneens ruimte voor beperkingen op het inzagerecht om de rechten en vrijheden van anderen te waarborgen. LJ&R heeft gerechtvaardigd onderscheid gemaakt tussen verschillende categorieën informatie in de correspondentie om de persoonlijke levenssfeer van de andere ouder te beschermen.
In het betoog van LJ&R dat de moeder het inzagerecht misbruikt, oordeelt de rechter dat een beroep op misbruik van recht beperkt is tot situaties waarin het inzagerecht wordt misbruikt met geen ander doel dan om de verwerkingsverantwoordelijke te schaden. In dit geval heeft LJ&R niet voldoende onderbouwd dat er sprake is van dergelijk misbruik. De AVG is er voornamelijk op gericht een hoog niveau van bescherming van persoonsgegevens te waarborgen, en beperkingen moeten noodzakelijk en evenredig zijn.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.