Privacy jurisprudentieblog | September 2022

Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand september op een rij.

Veelvuldige inzage in medisch dossier leidt tot schadevergoeding

In mei 2018 gaf de ex partner van de eiseres een boek uit over hun echtscheiding. In dat boek staan medische gegevens van de eiseres. De huidige partner van de ex werkte in de periode voor de publicatie bij een ziekenhuis waar de eiseres patiënt was, Bravis (gedaagde). Deze twee opmerkelijke feiten brachten de eiseres tot het doen van een inzageverzoek over de logging gegevens van het ziekenhuis.

Wat bleek? De gegevens in het dossier waren dezelfde als die in het boek. Precies die gegevens raadpleegde de huidige partner van haar ex veelvuldig en onnodig.

De eiseres vordert daarom schadevergoeding van Bravis op grond van een onrechtmatige daad (dus niet op basis van artikel 82 AVG, de schadevergoedingsgrond van de AVG). Bravis nam volgens de eiseres (1) onvoldoende maatregelen om haar medische gegeven te beschermen, (2) heeft niet op het juiste moment de logging-gegevens verstrekt en (3) onvoldoende onderzoek gedaan ten tijde van het datalek naar wat er met de medische gegevens is gebeurd. Met de laatste twee punten gaat de rechtbank niet mee, maar zij oordeelt wél dat Bravis in strijd handelde met artikel 32 AVG. Dat levert Bravis een onrechtmatige daad op.

De rechtbank verwijst naar de invulling van beveiliging naar de NEN7510 en NEN7513 normen. De rechtbank legt uit dat medewerkers toegang mogen hebben tot medische dossiers op het ‘need to know’ beginsel. Daar voldeed Bravis aan, maar zij schoot tekort in de controle van de logging, aldus de rechtbank. Bravis hoort logbestanden regelmatig te beoordelen. Steekproefsgewijze controle of controle op basis van klachten is onvoldoende.

Omdat Bravis geen passende beveiligingsmaatregelen nam voor de controle van logging van haar systemen, is zij aansprakelijk op grond van onrechtmatige daad voor de schade die daardoor is geleden.

De eiseres stelt dat het opnemen van de medische gegevens in het boek van haar ex (door het datalek) een aantasting in haar eer en goede naam oplevert. De rechtbank schuift dat van tafel door aan te geven dat het gehele boek vol staat met onnodig nare uitlatingen en onwaarheden: waarom maken die medische gegevens het verschil, is eigenlijk wat de rechtbank zegt.

De rechtbank stelt dat alsnog het fundamentele recht van de eerbiediging van de persoonlijke levenssfeer is geschonden. De rechtbank hecht daarbij waarde aan dat het gaat om bijzondere persoonsgegevens, dat de inzage (het datalek) gedurende vier jaar veelvuldig heeft plaatsgevonden en onvoldoende zijn beschermd en dat de medische informatie gedeeld is met derden, zelfs in een gepubliceerd boek. Dat daar nadelige gevolgen uit voortvloeien, ligt volgens de rechtbank voor de hand. De rechtbank komt tot een schadevergoeding van €2.000,- voor de eiseres en veroordeelt Bravis in de proceskosten.

De naam van je partner is een bijzonder persoonsgegeven

In deze zaak gaat het Hof van Justitie van de Europese Unie (“Hof”) in op een prejudiciële vraag gesteld door een Litouwse rechter. Zulke vragen stellen rechters als ze uitleg willen over hoe ze de wet moeten toepassen.

In Litouwen zijn personen die in het publieke domein werken verplicht om hun privé belangen online te verklaren bij de handhavende autoriteit (‘the Law on the reconciliation of interests’). Die “privé” belangen zien op iemands relaties, huisgenoten, kinderen, uitgaven boven de €3.000,- en informatie over (giften (boven de €150,-) van) hechte familie en kennissen. Dit publiceert diezelfde autoriteit online op hun website. De wet waar deze verplichting uit voortvloeit heeft als doel te zorgen dat het publieke belang voorrang heeft als beslissingen worden genomen, om de onpartijdigheid van beslissingen te verzekeren en om corruptie te voorkomen.

Het Hof maakt duidelijk dat artikel 6(1) en (3) van AVG in de weg staan van een nationale wet die verplicht dat de privé belangen van een hoofd van een organisatie die publieke subsidie ontvangt, publiek online worden gepubliceerd. Onder meer omdat dit volgens het Hof, net zoals volgens de nationale rechter, niet noodzakelijk is om het doel van die wet te bereiken. Volgens de nationale rechter zou het communiceren van die persoonsgegevens aan de autoriteiten voldoende moeten zijn voor het verzekeren dat het principe van transparantie gewaarborgd is bij het uitvoeren van “publieke functies”.

Het Hof oordeelt verder dat de publicatie van persoonsgegevens die indirect de seksuele geaardheid van een natuurlijke persoon kunnen onthullen, op de website van die controlerende overheidsinstantie, een verwerking van bijzondere categorieën van persoonsgegevens is.

Om die laatste vraag te beantwoorden gaat het Hof na of de naam van een partner als bijzonder persoonsgegeven gezien kan worden. Het Hof stelt de vraag of data, waarmee iemand door middel van een “intellectuele operatie” inhoudende een vergelijking of deductie, iemands seksuele oriëntatie kan afleiden, ook een bijzonder persoonsgegeven is. Het Hof legt uit dat het woordgebruik dat in de AVG gebruikt wordt om bijzondere persoonsgegevens te definiëren, namelijk het woord “revealing” (onthullen), in lijn is met het rekening houden met niet alleen inherent gevoelige data, maar ook data die informatie indirect kunnen onthullen. Dat gaat ook om informatie voortvloeiend uit een “intellectuele operatie” inhoudende deductie of kruisverwijzing(en). Een brede interpretatie van bijzondere persoonsgegevens is ook in lijn met de overwegingen van de AVG en het Lindqvist-arrest, aldus het Hof.

Gemeentelijke boete op de schop doordat de basis onrechtmatig is

In deze zaak ging het om een boete die werd opgelegd door de gemeente Rotterdam. De gemeente had aanleiding om te twijfelen aan of eiseres woonde in Rotterdam. De gemeente is verplicht op grond van de Wet basisregistratie personen om na te gaan of inschrijvingen bij de gemeente juist zijn. Daarom vroeg de gemeente haar om bewijs dat ze woonde op de plek was ze geregistreerd stond. Als ze het bewijs niet opstuurde, of te laat, zou de gemeente haar een boete opleggen.

De bewijzen die de gemeente verzocht waren bewijzen over onder andere doktersafspraken, tandartsafspraken, ziekenhuisbezoeken, “thuisbezorgd”. De eiseres stelt dat het opvragen van die gegevens in strijd zou zijn met de AVG, omdat de gemeente geen grondslag zou hebben om haar medische gegevens te gebruiken. Maar zijn zulke bewijzen, brieven van dokters en dergelijke, wel bijzondere persoonsgegevens?

De rechtbank oordeelt dat de verzochte bewijzen bijzondere persoonsgegevens zijn. Uit de verzochte bewijzen kan namelijk informatie afgeleid worden over de lichamelijke of geestelijke gezondheidstoestand van de eiseres, bijvoorbeeld hoe vaak de eiseres de

arts bezoekt en bij welke polikliniek zij patiënt is. Het vorderen van deze gegevens (een verwerking) is verboden, behalve als er een uitzondering opgaat. Dat is niet het geval. De gemeente handelt in strijd met de AVG.

Nu de boete aan de eiseres gebaseerd is op het niet voldoen aan een vordering die onrechtmatig is, kan de boete niet in stand blijven. De boete van €345,- wordt geschrapt!

Terug naar overzicht