Privacy haalt dagelijks het nieuws. Daarbij komen vanzelfsprekend vooral de grotere zaken aan bod. Denk aan gevoelige datalekken, grootschalige hacks of de inzet van (geheime) camera’s. Er is echter veel meer gaande op het gebied van privacy, wat niet altijd het nieuws haalt. Door deze jurisprudentie leren we veel over hoe de AVG uiteindelijk toegepast wordt. In deze blog zetten we diverse uitspraken van de maand april op een rij.
1. Gemeente mag een verwijderingsverzoek afwijzen bij twijfel over identiteit van verzoeker
In deze zaak had eiser via een gemachtigde bij een gemeente een schriftelijk verzoek tot verwijdering van zijn persoonsgegevens ingediend. Bij dit verzoek had zijn gemachtigde een volmacht en een kopie van het identiteitsbewijs van eiser gevoegd. De gemeente had vervolgens besloten het verzoek niet in behandeling te nemen (niet-ontvankelijk te verklaren), omdat zij eiser (verzoeker in deze fase) niet kon identificeren. Nadat het bezwaar tegen dit besluit door de gemeente was afgewezen, is eiser bij de rechtbank in beroep gegaan tegen de afwijzing van zijn bezwaar.
De rechtbank oordeelde dat de verweerder (de gemeente) het bezwaar van eiser ongegrond had mogen verklaren, omdat zij de identiteit van eiser niet met voldoende zekerheid vast kon stellen. De gemeente had het verzoek van eiser dus terecht niet in behandeling genomen, omdat zij eiser niet had kunnen identificeren.
De gemeente stelde dat een persoon zich moet identificeren aan het gemeenteloket of via DigiD om een verzoek in de zin van de AVG in te dienen. Uit een eerdere uitspraak volgde dat een kopie van een identiteitsbewijs op zich voldoende kan zijn om de identiteit te controleren. Het is overigens niet verplicht om een kopie van identiteitsbewijs te tonen bij het doen van een inzageverzoek indien je als verwerkingsverantwoordelijke, betrokkene ook op een andere manier kunt identificeren. Het gaat erom dat de verwerkingsverantwoordelijke op één of andere manier de identiteit van een inzageverzoeker kan vaststellen. Als er namelijk inzage wordt verleend aan de verkeerde persoon, dan is er sprake van een datalek. Voor indieners van een inzageverzoek bij een overheidsorganisatie die bij het verzoek geen gebruik hebben gemaakt van DigiD, mag het dan niet verplicht zijn om hun identiteitsbewijs te tonen, het ligt wel voor de hand dat ze dit zo doen als het een schriftelijk inzageverzoek betreft. Hoe kan je namelijk anders bij schriftelijke verzoeken de identiteit van de verzoeker controleren?
De gemeente had niet gemotiveerd in zijn besluit waarom het overleggen van een kopie van het identiteitsbewijs van eiser in dit geval onvoldoende was om zich te identificeren. Het besluit bevatte dus een motiveringsgebrek. De rechtbank zag echter aanleiding om dit gebrek te passeren. De gemeente had namelijk in het verweerschrift en op zitting alsnog goed gemotiveerd waarom de kopie van het identiteitsbewijs in dit geval niet voldoende was. Zo had de gemeente zich op het standpunt gesteld dat de handtekeningen op de kopie en de volmacht van elkaar afweken. Door deze redelijke twijfel over de identiteit van eiser was een kopie van het identiteitsbewijs ter identificatie onvoldoende.
2. Foto’s van minderjarigen op sociale media en toestemming onder de AVG
Minderjarigen hebben een bijzondere positie onder de AVG en de Nederlandse Uitvoeringswet AVG (UAVG). Zij hebben recht op ‘specifieke bescherming’ en kunnen tot de leeftijd van 16 jaar niet zelf toestemming geven voor de verwerking van hun persoonsgegevens door internetdienstverleners die toestemming als grondslag voor de verwerking gebruiken. Deze toestemming dient dan door hun ouders of verzorgers gegeven te worden. Let wel, als internetdienstverleners gebruikmaken van een andere grondslag dan toestemming voor de verwerking van persoonsgegevens van 16-minners, bijvoorbeeld uitvoering van een overeenkomst of het hebben van een gerechtvaardigd belang, dan is deze verwerking gewoon toegestaan.
In deze uitspraak bevestigde de Rechtbank Overijssel dat derden niet zomaar foto’s van minderjarigen op sociale media kunnen plaatsen zonder de toestemming van één of beide wettelijk vertegenwoordigers. Het ging hier om een ex-stiefmoeder (gedaagde) van een minderjarige jongen die foto’s van de jongen, maar ook van hem en zijn halfzusje, op Facebook had geplaatst. De moeder van de minderjarige jongen (eiseres) was het hier niet mee eens en verzocht de ex-stiefmoeder om de foto’s van het platform te verwijderen. De vader van de jongen (de heer X) – die volgens gedaagde zelf eerder had meegewerkt aan de gezamenlijke Facebookpagina met haar – had zich later achter het verzoek van de moeder geschaard. De ex-stiefmoeder weigerde echter de foto’s weg te halen.
Moest de ex-stiefmoeder de geplaatste foto’s verwijderen? De rechter toetste hiervoor aan de AVG en UAVG. De zogenaamde ‘huishoudexceptie’ – een uitzondering op de privacyregels bij zuiver persoonlijke of huishoudelijke activiteiten – achtte de rechter hier niet van toepassing, omdat het een openbare Facebookpagina betrof. In de UAVG is een bepaling opgenomen die stelt dat voor de verwerking van persoonsgegevens van een kind jonger dan 16 jaar de toestemming van zijn wettelijk vertegenwoordiger is vereist. Nu was gebleken dat zowel moeder als vader geen toestemming (meer) hadden gegeven voor het plaatsen van de foto’s, oordeelde de rechter dat de ex-stiefmoeder het beeldmateriaal diende te verwijderen. Het gestelde belang van de ex-stiefmoeder dat zij aan de jongen is gehecht omdat hij een halfzusje heeft, maakte het oordeel van de rechter niet anders.
3. Verwijdering van BKR-registratie wegens ontbreken zwaarwegend belang
Uit deze uitspraak van de Rechtbank Amsterdam blijkt mooi hoe privacybelangen tegen andere belangen worden afgewogen. De zaak betrof een ondernemer die in 2019 was geregistreerd bij stichting Bureau Krediet Registratie (BKR) omdat hij betalingsachterstanden had opgelopen bij het afbetalen van een lening aan een kredietverstrekker. Verzoeker runde een eenmanszaak op het gebied van online-marketing en voerde zijn activiteiten met name achter zijn computer uit. Toen zijn computer in beslag werd genomen in verband met de verdenking van een strafbaar feit (waarvoor hij later is veroordeeld), kon verzoeker zijn werkzaamheden niet meer uitvoeren. Zijn omzet nam dat jaar met 90% af, waardoor hij in betalingsproblemen is geraakt. Later is verzoeker gelukkig financieel weer opgekrabbeld, en heeft hij de betalingen weer opgepakt om vervolgens het volledige krediet zelfs in één keer aan de kredietverstrekker af te betalen.
De BKR-registratie zal echter nog zichtbaar blijven tot mei 2025. Verzoeker heeft inmiddels ernstige nadelen van de registratie ondervonden, onder meer bij het verkrijgen van een hypotheek. Verzoeker heeft de kredietverstrekker daarom verzocht om de BKR-registratie te verwijderen. Kredietverstrekker heeft dit verzoek afgewezen.
De rechtbank maakte een uitgebreide afweging van de in het geding zijnde belangen en is tot de conclusie gekomen dat sprake is van uitzonderlijke omstandigheden op grond waarvan de betalingsachterstand is ontstaan. Hierbij nam de rechtbank in aanmerking dat verzoeker tot het moment van inbeslagname van zijn computer geen achterstanden of schulden had bij de kredietverstrekker, dat hij in 2020 gewoon weer betalingen heeft verricht en bovendien het volledige krediet heeft terugbetaald binnen de oorspronkelijke looptijd van de lening. Verder heeft verzoeker aangetoond dat hij thans financieel (weer) stabiel is en geen andere problematische schulden heeft.
Daartegenover stond dat de kredietverstrekker de zwaarte van het belang bij het laten voorduren van de BKR-registratie onvoldoende had aangetoond. Er is volgens de rechtbank geen sprake van een kredietrisico waartegen kredietverstrekkers en/of verzoeker zelf moeten worden beschermd. Na een afweging van alle belangen wees de rechtbank de eis tot verwijdering van de BKR-registratie uiteindelijk toe.
4. Boete voor ziekenhuis wegens overtreding AVG door rechter verlaagd
De Rechtbank Den Haag heeft uitspraak gedaan in een zaak over een boete die de Autoriteit Persoonsgegevens (AP) in 2019 oplegde aan het HagaZiekenhuis. Het ziekenhuis kreeg de boete wegens overtreding van de AVG; persoonsgegevens van patiënten werden niet voldoende beschermd. De AP had een boete opgelegd van € 460.000, maar die heeft de rechtbank teruggebracht naar € 350.000.
Wat was er in het kort ook weer gebeurd? Een groot aantal medewerkers van het ziekenhuis hadden zonder dat ze een zorgrelatie hadden met een bepaalde patiënte, in haar elektronische patiëntendossier gekeken. Dit waarschijnlijk uit nieuwsgierigheid, aangezien de patiënte (een voormalig deelneemster van de reality tv-serie Oh Oh Cherso) voor velen een bekende Nederlander was.
De AP had het ziekenhuis voor deze grove schending van de privacy een boete van € 460.000 opgelegd, aangezien zij van oordeel was dat de overtreding volgens de boetebeleidsregels van de AP uit 2019 viel onder een type overtreding waarbij een categorie II boete hoort. Het type overtreding dat geconstateerd was, was het niet op orde hebben van de beveiliging van de verwerking van persoonsgegevens. Volgens de genoemde beleidsregels is de basisboete voor categorie II overtredingen € 310.000. Hier had de AP vervolgens nog tweemaal een verhoging van € 75.000 bovenop gesteld, omdat zij van oordeel was dat er sprake was van een tweetal boeteverhogende factoren: aard, ernst en duur van de inbreuk en daarnaast de nalatige aard van de overtreding.
De rechtbank was van mening dat deze twee boeteverhogende factoren ook aanwezig waren, maar vond daarentegen wel dat een basisboete met daar bovenop de verhogingen tot een boetebedrag geleid had dat niet evenredig was aan de ernst van de overtreding. Het ziekenhuis had namelijk ten tijde van de inbreuk al diverse maatregelen genomen om te voorkomen dat persoonsgegevens in het digitale patiëntendossier worden ingezien door onbevoegde medewerkers.Ook had het ziekenhuis nog tijdens de fase waarin er bezwaar bij de AP was aangetekend tegen de boete, alsnog tweefactorauthenticatie voor toegang tot patiëntendossiers ingevoerd en de logging van inzage in patiëntendossiers geïntensiveerd. Volgens de rechtbank toonden de door het ziekenhuis getroffen maatregelen de bereidwilligheid om met de problematiek in de organisatie aan de slag te gaan en nuanceren die de nalatigheid die het ziekenhuis werd verweten. Op grond van deze verzachtende omstandigheden oordeelde de rechtbank uiteindelijk dat de boete met € 90.000 gematigd diende te worden. De beperkte financiële draagkracht van het ziekenhuis vond de rechtbank overigens geen grond voor een verdere matiging van de boete.
5. Persoonsgegevens psycholoog moeten van zwarte lijst worden verwijderd
Stichting Slachtoffers Iatrogene Nalatigheid-Nederland (Stichting SIN) houdt op haar websites een zwarte lijst bij met artsen. Dit doet zij naar eigen zeggen om de positie van slachtoffers van medische fouten en de kwaliteit van de gezondheidszorg te verbeteren. In het verleden zijn al diverse procedures tegen Stichting SIN gevoerd over de zwarte lijst met artsen. In onze jurisprudentieblog van januari dit jaar schreven wij over een kort geding voor de rechtbank Midden-Nederland waarin Stichting Stop Online Shaming (Stichting SOS) van Stichting SIN vorderde om de domeinnamen zwartelijstartsen.nl en zwartelijstartsen.com te verwijderen. De voorzieningenrechter oordeelde dat de lijst niet is toegestaan.
Stichting SIN wordt echter ook geregeld door individuele artsen/zorgverleners voor de rechter gesleept. Zo ook in deze zaak. Een psycholoog eiste dat zijn naam, maar ook de hyperlinks naar uitspraken van het Centraal Tuchtcollege voor de Gezondheidszorg (CTG) uit 2010, waarbij zijn inschrijving in het Beroepen in de Individuele Gezondheidszorg-register (BIG-register) werd doorgehaald, van de websites zouden worden verwijderd.
Bij de rechtbank ving de psycholoog eerst bot; bij vonnis van 24 oktober 2018 wees de rechter de vorderingen af. Het hoger beroep daarentegen was succesvol: het gerechtshof wees de vorderingen deze maand toe en beval Stichting SIN alle persoonsgegvens van de psycholoog binnen 14 dagen te verwijderen.
Hiertoe maakte het hof een afweging tussen de grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens enerzijds, en het grondrecht op vrijheid van informatie anderzijds. Volgens het hof was de vermelding van de naam van de psycholoog in combinatie met de hyperlink naar de uitspraken van het CTG in dit specifieke geval disproportioneel, omdat de doorhaling in het BIG-register meer dan 10 jaar geleden plaatsvond en de naam van de psycholoog daarin nu ook niet meer zichtbaar is. De uitspraken van het CTG zijn bovendien juist geanonimiseerd om de privacy van betrokkenen te waarborgen, hetgeen Stichting SIN doorkruist door de verwijzing op haar websites met de link naar de naam van de psycholoog. Verder overwoog het hof dat patiënten die informatie willen over doorgehaalde artsen het BIG-register eenvoudigweg zelf kunnen raadplegen; uit zo’n zoekopdracht zal dan blijken dat de psycholoog niet (meer) BIG-geregistreerd is. Stichting SIN heeft dus geen redelijk doel om een eenmaal veroordeelde zorgverlener tot in lengte van dagen op haar websites te vermelden. Dat de informatie feitelijk juist is, doet daaraan niets af.
Overigens merkte het hof op dat het bijhouden van een zwarte lijst op zichzelf aanvaardbaar kan zijn, mits sprake is van een gerechtvaardigd belang en is voldaan aan de voorwaarden van noodzakelijkheid en proportionaliteit. In dit geval werd aan die voorwaarden dus niet voldaan.
Benieuwd wat er in mei 2021 gaat gebeuren? Wij ook. Over een maand zijn we bij u terug met de volgende jurisprudentieblog!