Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand januari op een rij.
1. Zwarte lijst met namen artsen verboden in kort geding
In de jurisprudentieblog van juli vorig jaar berichtten wij over een plastisch chirurg die een zaak tegen Google had aangespannen. Reden hiervoor was dat wanneer men op haar naam googelde, er tussen de zoekresultaten koppelingen verschenen naar websites waarop vermeld was dat de plastisch chirurg op de zwarte lijst van artsen stond. De plastisch chirurg verzocht Google om die zoekresultaten te verwijderen, maar die ging hier niet in mee. Het Gerechtshof Amsterdam oordeelde uiteindelijk dat het recht op informatievrijheid van Google en derden zwaarder woog dan het recht op privacy en bescherming van persoonsgegevens van de plastisch chirurg.
In dit kort geding voor de rechtbank Midden-Nederland vorderde de Stichting Stop Online Shaming (Stichting SOS) van een andere stichting genaamd Stichting Slachtoffers Iatrogene nalatigheid-Nederland (SIN.nl), die achter de online zwarte lijst zat, dat SIN-NL de domeinnamen zwartelijstartsen.nl en zwartelijstartsen.com binnen twee werkdagen zou overdragen aan eiseres en daarnaast een verzoek bij Google zou indienen om verwijzingen naar de site te verwijderen. Dit alles onder last van een dwangsom. Een van de redenen voor deze eisen was dat volgens Stichting SOS de inhoud van de website in strijd zou zijn met diverse artikelen van de AVG.
Alles tegen elkaar afwegend oordeelde de kortgedingrechter dat het door Stichting SOS vertegenwoordigde belang dat individuele zorgverleners door publicaties niet behoren te worden blootgesteld aan lichtvaardige verdachtmakingen, naar zijn oordeel zwaarder woog dan het belang van SIN.nl om aandacht te vragen voor (het verzwijgen van) medische fouten. In het kort kwam het erop neer dat de rechter in deze zaak het recht op eerbiediging van de goede naam zwaarder vond wegen dan het recht op vrijheid van meningsuiting. De zwarte lijst met namen van artsen is dan ook niet toegestaan.
2. Schadevergoeding voor benadeelde wegens datalek op website gemeente
De kantonrechter in Groningen heeft vonnis gewezen in een zaak die de aanvrager van een omgevingsvergunning voor het uitbaten van een schietbaan had aangespannen tegen de gemeente Oldambt. In deze procedure claimde eiser dat hij doordat delen van zijn vergunningsaanvraag die niet openbaar gemaakt mochten worden, bijna twee jaar lang ten onrechte voor iedereen zichtbaar op de website van de gemeente hebben gestaan, zowel materiële als immateriële schade had geleden. De onrechtmatig gepubliceerde persoonsgegevens betroffen onder meer zijn e-mailadres, mobiele telefoonnummer en BSN.
De materiële schade zou de betrokkene hebben geleden, omdat hij als gevolg van deze datalekken uit een gevoel van onveiligheid maatregelen heeft moeten nemen, namelijk het aanschaffen van rolluiken en alarm- en camerasystemen. Deze schade was begroot op ca. € 11.000. De immateriële schade was erin gelegen dat hij sterke angstgevoelens had gehad als gevolg van het datalek. Hij voelde zich al lange tijd niet meer veilig in zijn eigen huis en was bang dat een kwaadwillend iemand hem of zijn gezin iets zou willen aandoen. Ook lagen zijn persoonsgegevens geruime tijd op straat. Deze schade zou naar redelijkheid door de rechter vastgesteld moeten worden.
De rechter stelt uiteindelijk vast dat er inderdaad datalekken hadden plaatsgevonden en dat als gevolg daarvan de gemeente in beginsel schadeplichtig was geworden ten opzichte van de benadeelde eiser. Aangezien de AVG zelf geen regels stelt hoe de schade vastgesteld kan worden, oordeelde de rechter dat dit vastgesteld diende te worden naar nationaal recht.
Wat betreft de gestelde vermogensschade was de kantonrechter van oordeel dat de door eiser getroffen beveiligingsmaatregelen aan zijn woning niet als redelijke kosten ter voorkoming of beperking van schade als gevolg van de datalekken aangemerkt konden worden en dat daarom de gevorderde vergoeding van materiële schade moest worden afgewezen. De vordering van immateriële schade werd echter wel toegewezen. De kantonrechter was namelijk van oordeel dat eiser wel in zijn persoon was aangetast. De persoonlijke levenssfeer van hem was bij herhaling door de gemeente geschonden vanwege het – in strijd met de AVG – meermalen publiceren van zijn persoonsgegevens op de gemeentelijke website, zonder dat eiser daarvoor toestemming aan de gemeente had verleend. Het gaat hierbij ook om naar hun aard gevoelige gegevens, zeker waar het betreft het BSN. De nadelige gevolgen van het lekken daarvan, zoals identiteitsfraude, liggen voor de hand. Gelet op de omstandigheden van het onderhavige geval, waaronder de aard, duur, frequentie en ernst van de inbreuk, afgezet tegen de omstandigheid dat niet is gebleken dat de datalekken tot concrete negatieve gevolgen hebben geleid, stelde de kantonrechter deze schadevergoeding naar billijkheid vast op een bedrag van € 500.
3. Verhouding leidende toezichthouder tot andere betrokken nationale toezichthouders
Het hof van beroep te Brussel had het Hof van Justitie van de Europese Unie de vraag voorgelegd of de AVG zich ertegen verzet dat een andere nationale gegevensbeschermingsautoriteit dan de leidende gegevensbeschermingsautoriteit in haar lidstaat een gerechtelijke procedure instelt in verband met schendingen van de AVG bij grensoverschrijdende gegevensverwerking.
Op 13 januari werd de conclusie van de advocaat-generaal (AG) Bobek in deze zaak gepubliceerd. Volgens de AG is de gegevensbeschermingsautoriteit van de staat waar een verwerkingsverantwoordelijke of verwerker zijn hoofdvestiging in de Europese Unie heeft, algemeen bevoegd om gerechtelijke procedures in te stellen als de AVG is geschonden bij grensoverschrijdende gegevensverwerking. Bobek beperkt het recht om juridische procedures te starten met betrekking tot overtredingen van de AVG hiermee niet tot enkel de zogenoemde ‘lead authority’. Volgens Bobek zijn overige betrokken gegevensbeschermingsautoriteiten ook bevoegd om op dit gebied op te treden, maar beperkter. Deze conclusie gaf Bobek in de zaak Facebook vs. de Belgische gegevensbeschermingsautoriteit. Facebook stelde dat de Belgische toezichthouder geen juridische procedure mocht starten tegen Facebook Belgium, omdat de Ierse toezichthouder de ‘lead authority’ is voor Facebook. Het is nog afwachten of het Hof de conclusie van de AG volgt.
Bent u benieuwd of het Hof het standpunt van de AG zal onderschrijven? Houd dan deze blogreeks in de gaten.
4. Belgische privacy-activisten verliezen beroep tegen vingerafdruk op ID-kaart
België mag vingerafdrukken opslaan op de elektronische identiteitskaart (eID) van burgers. De Belgische overheid doet dit om identiteitsfraude tegen te gaan. Het Grondwettelijk Hof vond dat dit de inbreuk op de privacy rechtvaardigt. De betreffende wet voorziet in voldoende waarborgen om onevenredige gevolgen te voorkomen. Er is namelijk geen permanent centraal register waarin alle vingerafdrukken van burgers worden verwerkt en de autoriteiten die gemachtigd zijn om de gegevens te lezen, worden limitatief opgesomd. De privacy voorvechters die de zaak hebben aangespannen, gaan kijken of ze naar het Europees Hof voor de Rechten van de Mens kunnen stappen.
Benieuwd wat er in februari 2021 gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!
