Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand februari op een rij.
1. Belangenafweging bij het uitbesteden van personeelszaken
In deze uitspraak van de Raad van State draaide het om een medewerker van de gemeente Leiden die niet wilde dat zijn persoonsgegevens werden gedeeld met derden. Echter, voor personeelszaken zoals het bewaren van functionerings- en beoordelingsverslagen wordt door de gemeente gebruik gemaakt van een gemeentelijke shared-services organisatie die op haar beurt weer gebruik maakt van cloud software van een derde partij. De medewerker was het hier niet mee eens en verzocht zijn werkgever om zijn persoonsgegevens daar te verwijderen.
2. Ziekenhuis OLVG beboet om onvoldoende beveiliging medische gegevens
Het Amsterdamse ziekenhuis OLVG heeft een boete van € 440.000 gekregen van de Autoriteit Persoonsgegevens (AP). De beveiliging van het ziekenhuis was tussen 2018 en 2020 onvoldoende om toegang door onbevoegde medewerkers tot medische dossiers te voorkomen. De beveiliging van het systeem was ontoereikend en de controle van de logging-gegevens was onvoldoende.
De AP was een onderzoek gestart naar aanleiding van een tip van een bezorgde burger, signalen uit de media en twee datalekmeldingen van het OLVG. De conclusie van het onderzoek was dat het OLVG structureel niet goed omging met de toegang tot medische dossiers. Het ziekenhuis hield wel bij wie in welk dossier keek (logging), maar dit werd niet actief gecontroleerd. Op die manier werd onbevoegde toegang niet op tijd opgemerkt. Ook de authenticatie was niet op orde. Het ziekenhuis maakte geen gebruik van tweefactor-authenticatie. Als het om medische gegevens gaat is het ontbreken van tweefactor-authenticatie, volgens de AP, geen optie.
“Juist in de zorg, waar de gevoeligste persoonsgegevens in de systemen staan, zien wij veel datalekken: de afgelopen jaren staat de zorg altijd in de top 3 van sectoren met de meeste datalekken”, zegt AP-vicevoorzitter Monique Verdier. Dit terwijl het met zulke gegevens juist zo belangrijk is om hier goed mee om te gaan.
3. Moeilijk te vinden is niet hetzelfde als verwijderd
Twee interne klokkenluiders binnen de Office of the High Commissioner of Human Rights (OHCHR) hebben een verzoek tot inzage en correctie gedaan bij de minister van Buitenlandse Zaken. De persoonsgegevens van de klokkenluiders werden onder andere verwerkt in de beantwoording van Kamervragen. Het verzoek van de klokkenluiders werd gedeeltelijk gehonoreerd. Zo hebben de verzoekers een overzicht gekregen van de persoonsgegevens die verwerkt worden en is de beantwoording van de Kamervragen gecorrigeerd.
De klokkenluiders waren het hier niet mee eens en stapten naar de rechtbank Den Haag. Het overzicht was volgens hen niet genoeg en er waren gegevens weggelaten die zij wel hadden willen ontvangen. Een ander punt waar de klokkenluiders bezwaar tegen hadden, was dat een Twitterbericht van een ambassadeur niet gecorrigeerd werd. De minister beargumenteerde dat het Twitterbericht niet gecorrigeerd hoefde te worden omdat het Twitterbericht geen tot een persoon te herleiden gegevens bevatte, aangezien het bovenliggende Twitterbericht, dat wel was te herleiden tot een persoon, is verwijderd. Bovendien is de reactie van de Nederlandse ambassadeur niet terug te vinden in de tijdlijn op Twitter. De minister is dan ook van mening dat de AVG niet meer van toepassing is.
De rechtbank gaat voor het grootste deel mee in het besluit van de Minister, behalve voor wat betreft het Twitterbericht. De rechtbank is van oordeel dat het Twitterbericht wel persoonsgegevens van de klokkenluiders bevatte, omdat het tot hen te herleiden was. Het Twitterbericht zag namelijk op de beantwoording van de Kamervragen waarin de klokkenluiders werden genoemd. Het feit dat het Twitterbericht niet meer in de tijdlijn op het account van de ambassadeur terug te vinden is, doet daar niets aan af. Dit werd bevestigd doordat het Twitterbericht nog wel gevonden kon worden met een zoekmachine. Het feit dat een publicatie met persoonsgegevens moeilijk te vinden is, betekent niet dat de AVG opeens niet meer van toepassing is.
4. Reikwijdte van een inzageverzoek
Rechtbank Gelderland heeft zich uitgesproken over de reikwijdte van een inzageverzoek op grond van de AVG. Het ging in deze uitspraak over een betrokkene die inzage verzocht bij de reclassering. De reclassering koos ervoor om dit verzoek gedeeltelijk in te willigen. Een deel van de documenten wilde de reclassering om verscheidene redenen niet met de betrokkene delen. De rechtbank gaat niet mee in de redenering van de reclassering en wijst het verzoek van de betrokkene toe. Het interessante aan deze uitspraak is hetgeen de rechtbank opmerkt over de te verstrekken documenten en de connectie met het Openbaar Ministerie en de Dienst Justitiële Inrichtingen.
Na behandeling van de argumenten van de reclassering, gaat de rechtbank in op hoe de reclassering de gegevens aan de betrokkene moet verstrekken. De rechtbank geeft aan dat het inzageverzoek uit de AVG ziet op verstrekking van een kopie van de persoonsgegevens die worden verwerkt. Stukken als zodanig zijn geen persoonsgegevens en de rechtbank is dan ook van mening dat de AVG niet ziet op het verstrekken van een kopie van de bescheiden waarin de persoonsgegevens zijn verwerkt. De betrokkene heeft dus niet zonder meer recht op kopieën van alle stukken of dossiers waarin zijn persoonsgegevens voorkomen. Wel heeft de betrokkene recht op een volledig overzicht, in begrijpelijke vorm, van zijn persoonsgegevens. Dit overzicht moet de betrokkene in staat stellen de juistheid van zijn gegevens te controleren en of de verwerking in lijn is met de AVG. Als de documenten niet alleen feitelijke informatie bevatten, maar ook meerdere waarderende indrukken van reclasseringsmedewerker over eigenschappen of gedragingen van de betrokkene, lenen deze indrukken zich ook voor opname in een overzicht. De rechtbank is namelijk van mening dat die indrukken geen persoonsgegevens van een derde vormen op grond waarvan deze gegevens weggelakt zouden mogen worden. Deze derde, de betreffende medewerker, valt met deze informatie namelijk niet te identificeren.
Het tweede interessante punt in deze uitspraak is de connectie met het Openbaar Ministerie (OM) en de Dienst Justitiële Inrichtingen (DJI). De reclassering stelt dat zij communicatie en notities tussen de reclassering en het OM of de DJI niet aan de betrokkene hoeven te verstrekken, omdat deze gegevens mogelijk niet onder de regels van de AVG vallen. Voor politie en justitie gelden namelijk andere privacyregels. De reclassering is van mening dat het OM en de DJI daarom moeten vaststellen welke gegevens wel of niet verstrekt mogen worden. De rechtbank gaat hier niet in mee en stelt dat de reclassering zelf verwerkingsverantwoordelijke in de zin van de AVG is. Dat betekent dan ook dat de reclassering alle persoonsgegevens waar zij over beschikt gewoon moet verstrekken aan de betrokkene.
Benieuwd wat er in maart 2021 gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!