Privacy jurisprudentieblog september 2021

Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand september op een rij.

1. Gezondheidsgegevens verwerken als wettelijke taak en het medisch beroepsgeheim van een niet-gecontracteerde zorgaanbieder

In deze uitspraak kwam Rechtbank Arnhem tot het oordeel dat een zorgverzekeraar onrechtmatig handelde door medische persoonsgegevens van haar verzekerden op te vragen bij een zorgaanbieder. De zorgverzekeraar heeft de wettelijke taak om in rekening gebrachte prestaties te controleren. Niet wordt betwist dat deze controles kunnen leiden tot het inzien en verwerken van persoonsgegevens.

Om vast te stellen of er sprake is van onrechtmatig handelen door de zorgverzekeraar, beoordeelt de rechter eerst of de verzekeraar de verlangde persoonsgegevens überhaupt mag opvragen en of (en zo ja, in hoeverre) de zorgaanbieder deze mag en/of moet verstrekken. De gegevens die de verzekeraar opvraagt gaan zowel om (medische) persoonsgegevens van de verzekerden als persoonsgegevens van de indicatiestellers en zorgverleners. Verwerking van persoonsgegevens is gebonden aan regels uit de AVG en de UAVG (Uitvoeringswet Algemene verordening gegevensbescherming), waarbij geldt dat gegevens over gezondheid, bijzondere persoonsgegevens zijn. Hoewel er een verbod bestaat op het verwerken van bijzondere persoonsgegevens, bestaat er – onder voorwaarden – voor onder meer zorgverzekeraars een uitzondering. Een zorgverzekeraar mag gezondheidsgegevens verwerken als dit noodzakelijk is voor de uitvoering van de verzekeringsovereenkomst. Dat de zorgverzekeraar gezondheidsgegevens mag verwerken, betekent niet direct dat de zorgaanbieder gehouden is om deze gezondheidsgegevens aan de verzekeraar te verstrekken. Het kan namelijk voorkomen dat het medisch beroepsgeheim aan de gegevensverwerking in de weg staat. Er moet dus een wettelijke basis zijn voor doorbreking van het medisch beroepsgeheim. De Zorgverzekeringswet kent een bepaling waardoor het beroepsgeheim opzij kan worden gezet. Echter, wordt hier een onderscheid gemaakt tussen een gecontracteerde zorgaanbieder en een niet-gecontracteerde zorgaanbieder. De zorgaanbieder in deze zaak is een niet-gecontracteerde zorgaanbieder. Voor deze groep geldt dat de zorgaanbieder persoonsgegevens aan de verzekerde moet verstrekken, zodat deze de gegevens aan zijn zorgverzekeraar kan verstrekken. Enkel bij expliciete toestemming van de verzekerde kunnen persoonsgegevens rechtstreeks door de zorgaanbieder aan de zorgverzekeraar worden verstrekt. Om deze reden komt de rechtbank tot het oordeel dat de verzekeraar onrechtmatig heeft gehandeld en er een grondslag ontbreekt voor het rechtstreeks opvragen van persoonsgegevens.

2. Verzoek ongedaanmaking registratie Incidentenregister en het Extern Verwijzingsregister

Deze zaak betreft een verzoekschriftenprocedure op basis van artikel 35 UAVG, waarin verzoeker verzoekt om verwijdering van de registraties van zijn persoonsgegevens in het Incidentenregister en het Extern Verwijzingsregister (EVR). Naast het verzoek om verwijdering van persoonsgegevens, verzoekt verzoeker ook om uitkering van schade en immateriële schadevergoeding.

 Verzoeker verzoekt om uitkering van schade, omdat er tijdens zijn vakantie vernielingen zijn aangericht in zijn woning. De politie heeft tijdens de vakantie van verzoeker melding gemaakt van aanwezigheid van kinderen in de woning, vernielingen en diefstal van een elektrische fiets. Gezien de woonhuis- en inboedelverzekering van verzoeker heeft hij een en schriftelijke schademelding gedaan bij zijn verzekeraar. Naar aanleiding van de schademelding, is er een schade-expert langs geweest in de woning die een schaderapport heeft opgemaakt. Volgens de verzekeraar komt de schademelding van verzoeker niet overeen met de schade die de politie in de woning heeft aangetroffen. De verzekeraar heeft geconcludeerd dat verzoeker opzettelijk een onjuiste opgave heeft gedaan van de schade om zo meer geld te ontvangen. Om deze reden heeft de verzekeraar de persoonsgegevens van verzoeker geregistreerd in het Incidentenregister en het EVR.

 Verzoeker heeft de rechtbank verzocht om zijn persoonsgegevens uit het EVR en het Incidentenregister te verwijderen. Daarnaast verzocht hij € 20.000, - aan uitkering van de schade en € 2.500, - aan immateriële schade. De rechtbank oordeelt dat deze specifieke verzoekschriftenprocedure beperkt is tot het toe- en afwijzen van een verzoek op grond van artikelen 15 tot en met 22 AVG en niet kan worden gebruikt om geschillen over nakoming van een verzekeringsovereenkomst of eventuele schadevergoeding te laten beslechten. Deze vorderingen dienen te worden behandeld in een dagvaardingsprocedure. 

3. GGD-datadiefstal

Begin dit jaar heeft een journalist van RTL-melding gemaakt van een grootschalig datalek bij de GGD. Het bleek dat persoonsgegevens uit een computersysteem van de GGD (CoronIT) werden verhandeld. Het ging om persoonsgegevens van Nederlanders die zich hadden laten testen op corona, of een testafspraak hadden gemaakt. De twee verdachten waren callcenter medewerkers die werkten voor de GGD. Ze zochten onrechtmatig naar voor- en achternamen, woonadressen, telefoonnummers, e-mailadressen, geboortedata en Burgerservicenummers. Op de telefoon van één van deze medewerkers werden 62 foto’s met persoonsgegevens gevonden. Ook op zijn laptop stond een Excelbestand met gegevens van nog eens 36 personen. Daarnaast bleek uit onderzoek dat hij via social media 230 advertenties had geplaatst, waarin hij onder andere BSN-nummers aanbood.

 De Rechtbank Midden-Nederland heeft in deze en deze uitspraak de twee medewerkers veroordeeld. Eén van de medewerkers heeft een gevangenisstraf van tien maanden opgelegd gekregen, waarvan vijf maanden voorwaardelijk. De andere medewerker kreeg een celstraf van 60 dagen, waarvan 34 dagen voorwaardelijk, met daarbij een taakstraf van 180 uur. Doordat de eerste medewerker ook daadwerkelijk gegevens te koop heeft aangeboden en verkocht, ligt deze straf hoger dan de straf van de andere medewerker die persoonsgegevens zocht in het systeem, maar deze niet heeft verkocht.

Benieuwd wat er in oktober 2021 gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!

Terug naar overzicht