Privacy  

De rechtbank Zutphen heeft onlangs een interessante beschikking gegeven over het inzagerecht in dossiers met persoonsgegevens die een ander aanlegt. Deze beschikking bevestigt de vergaande consequenties van het inzagerecht voor de praktijk (Rechtbank Zutphen, 08-10-2009, LJN: BK4206). Eerder heeft de Hoge Raad al geoordeeld over het inzagerecht in beleggingsdossiers bij banken. Nu oordeelt de rechtbank Zutphen over inzage in een dossier bij een verzekeraar.

Met dank aan Mark Jansen, Dirkzwager advocaten.

De zaak handelt over een vrouw die verwikkeld is in een juridische procedure met een ziekenhuisarts over een (vermeende) beroepsfout van die arts. Terwijl die rechtszaak over aansprakelijkheid nog loopt, doet deze vrouw richting Centraal Beheer, de verzekeraar van het ziekenhuis, een beroep op artikel 35 Wet bescherming persoonsgegevens met het verzoek om haar een volledig overzicht te verstrekken van (1) de persoonsgegevens die van haar worden verwerkt en (2) aan wie deze gegevens verstrekt zijn.

Centraal Beheer geeft daarop een overzicht van de bij deze verwerkingen betrokken personen en een twee pagina’s tellende lijst met stukken die over de verzoekster in het dossier zijn opgenomen.

Daarop stelt de vrouw voor de rechtbank dat dit overzicht niet compleet is en dat ze bovendien recht heeft op afschrift van de gegevens. Centraal Beheer verweert zich in deze procedure met de stelling dat de WBP helemaal niet van toepassing is, nu het een papieren dossier betreft. De rechtbank passeert dit verweer door aan te geven dat de WBP naast bij alle geautomatiseerde verwerkingen van persoonsgegevens, krachtens artikel 2 lid 1 WBP ook van toepassing is bij in een “bestand” opgenomen persoonsgegevens. Aangezien het dossier gestructureerd van aard is (althans logischer wel gestructureerd moet zijn), voldoet het dossier van Centraal Beheer volgens de rechtbank aan de definitie van “bestand”. De WBP is dus wel van toepassing. Ook bij papieren dossiers zal dus veelal een inzagerecht bestaan.

Interessant is dat rechtbank oordeelt dat het inzagerecht ook ziet op aanbiedingsbrieven waarin persoonsgegevens van de vrouw aan derden worden verstrekt. Gezien de tekst van de wet moge dit niet zo verrassend zijn, maar wat staat er al niet (aan bijvoorbeeld “sappig” commentaar) in dergelijke briefjes?

Een ander interessant punt is dat de rechtbank oordeelt dat het inzagerecht niet ziet op afschrift van interne notities en werkaantekeningen. Interne werkaantekeningen behoren namelijk niet tot het dossier (aldus de rechtbank). Voor dit oordeel sluit de rechtbank aan bij hetgeen hierover is bepaald in de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, waarvoor tot 5 februari 2008 een verklaring van geen bezwaar van het College Bescherming Persoonsgegevens gold. Ook krijgt de betrokkene om die reden geen inzage in de correspondentie over de zaak die Centraal Beheer met haar advocaat heeft gevoerd. Gezien het ruime inzagerecht dat volgt uit het kader van de Hoge Raad (zie slot van dit stukje), is het de vraag of deze beperking op het inzagerecht inderdaad moet worden aangenomen. Anderzijds is de vraag of bij alle correspondentie uit het dossier nog wel steeds sprake is van “verwerking van persoonsgegevens”. Deze discussie krijgt ongetwijfeld nog wel een vervolg in een andere zaak.

Centraal Beheer wordt uiteindelijk bevolen om een volledig overzicht te verstrekken van elke verwerking van persoonsgegevens, door alle informatiedragers op te geven waarop deze persoonsgegevens staan. Ook moet zij afschrift geven van de door verzoekster geselecteerde informatiedragers, tenzij dit interne notities, werkaantekeningen of correspondentie met haar advocaat betreft. Daarnaast had de vrouw nog andere vorderingen ingediend – zoals een verbod voor Centraal Beheer haar persoonsgegevens verder te verwerken en een schadevergoeding – maar deze vorderingen moet zij volgens de rechtbank in een normale dagvaardingsprocedure aanhangig maken (in plaats van in deze verzoekschriftprocedure).

De uitspraak van de Rechtbank Zutphen lijkt overigens in lijn met vaste rechtspraak van de Hoge Raad. In een hele serie uitspraken gegeven op 29-06-2007 (zie bijvoorbeeld deze uitspraak) over dit inzagerecht, gaf hij namelijk in steeds gelijke bewoordingen aan dat dit recht ziet op het verkrijgen van een “transparant en volledig” overzicht waarbij “alle relevante informatie over de betrokkene” moet worden verstrekt, waar nodig “door het verstrekken van afschriften, kopieën of uittreksels“. Een beroep op het inzagerecht hoeft volgens de Hoge Raad bovendien niet gemotiveerd te worden: de betrokkene wiens gegevens het betreft kan “volstaan met een verwijzing naar art. 35 Wbp en behoeft geen nadere redenen op te geven“.

Dit bericht verscheen oorspronkelijk op https://dirkzwagerieit.nl/2009/12/09/vergaand-recht-op-inzage-in-dossier-met-eigen-persoonsgegevens-bij-verzekeraar/

Diverse exploitanten van zoekmachines hebben onlangs van de samenwerkende privacytoezichthouders het verzoek gekregen in verband met privacywetgeving hun dienstverlening aan te passen. Interessant is dat uit deze verzoeken volgt dat er kennelijk situaties denkbaar zijn waarop de (strenge) privacywetgeving niet van toepassing is

Met dank aan Mark Jansen, Dirkzwager advocaten.

Alle toezichthouders op de privacywetgeving in Europa zijn verenigd in de zogenaamde “Artikel 29 Werkgroep” (zie over die werkgroep ons eerdere blogbericht). Deze werkgroep heeft onlangs brieven gestuurd aan Yahoo, Microsoft en Google. In deze brieven geeft de werkgroep aan wat er volgens haar nog (meer) moet gebeuren om de dienstverlening van deze bedrijven in overeenstemming met de privacywetgeving te krijgen.

In dit blogbericht richt ik me op de brief aan Google. Uit deze brief blijkt dat, kort gezegd, van Google wordt verlangd dat zij:

• de zoekgegevens tot maximaal 6 maanden bewaart (nu: 9 maanden);
• die zoekgegevens volledig onomkeerbaar anonimiseert
  • meer specifiek door het gehele IP-adres te verwijderen (en niet alleen het laatste deel);
  • daar waar (geanonimseerde) zoekresultaten op indirecte wijze toch persoonsgegevens prijsgeven, deze gegevens beperken zodat indirecte identificatie niet mogelijk is;
• beter en sneller voldoet aan verzoeken om gegevens uit de zoekresultaten te verwijderen.

Eén punt in de brief valt specifiek op. Google heeft betoogd dat zij als zoekmachine niet kan worden aangemerkt als verantwoordelijke voor de persoonsgegevens die op de door haar geindexeerde websites staan, omdat zij slechts als passief doorgeefluik van die gegevens werkt (mere conduit). De Artikel 29 Werkgroep is het hier mee eens: “the Working Party agrees with that rationale”.

Dit is opvallend en wel om de volgende reden. Google werkt met een cache-kopie van alle websites die zij heeft geïndexeerd. Google heeft met andere woorden een kopie opgeslagen van de websites en de daarop vermelde persoonsgegevens. Kopiëren van persoonsgegevens is onmiskenbaar een vorm van “verwerken”. Het systeem van de privacyrichtlijn is vervolgens vrij overzichtelijk: wanneer persoonsgegevens van een EU-burger worden “verwerkt”, is er altijd een bedrijf of instelling die als “verantwoordelijke” voor die verwerking aan te wijzen is. De privacyrichtlijn maakt geen uitzondering voor passieve verwerking. Je zou dus verwachten dat Google in deze situatie als “verantwoordelijke” zou zijn aangemerkt. Het opvallende is echter dat de Werkgroep concludeert dat Google wel verwerkt, maar niet als verantwoordelijke hiervoor kan worden aangemerkt.

Dit lijkt een behoorlijke beperking op het systeem van privacybescherming op te leveren. Wie (persoons)gegevens slechts kopieert en vervolgens onbewerkt doorgeeft aan anderen, zou niet als “verantwoordelijke” aan te merken zijn. Dat zou voor veel exploitanten van websites en andere ondernemers betekenen dat de Wet bescherming persoonsgegevens niet of verminderd op hen van toepassing zijn.

Toch kan deze conclusie niet te snel worden getrokken. De Werkgroep vervolgt namelijk met de opmerking: “However, as soon as data on websites are removed or changed, you do become the controller of the (outdated) personal data contained in the index or Google cache.”. Dit is een belangrijke nuance. Praktisch gesproken kan een exploitant van een zoekmachine immers niet garanderen dat de door haar gekopieerde pagina’s nog ongewijzigd op het web staan, hetgeen haar al snel weer tot “verantwoordelijke” maakt.

Conclusie is dat de (verstrekkende en strenge) privacywetgeving nagenoeg altijd van toepassing is, maar dat een (buitenwettelijke) uitzondering kennelijk wel verdedigbaar is. Verder valt op dat het de toezichthouders op de privacy kennelijk ernst is, nu ze deze grote ondernemingen zo actief sommeert hun beleid te herzien.

Dit bericht is oorspronkelijk verschenen op: https://dirkzwagerieit.nl/2009/11/12/privacywetgeving-mogelijk-niet-van-toepassing-bij-slaafs-kopieren-persoonsgegevens/

Hof 's-Hertogenbosch 12 juni 2025, IEF 23039; IT 4993; ECLI:NL:GHSHE:2025:1662 ([de man] tegen [de vrouw]). Het hof heeft in hoger beroep geoordeeld over de afwikkeling van de gemeenschap tussen twee ex-echtgenoten. Een groot deel van de verdeling is inmiddels geregeld: de inboedel is verdeeld, partijen zijn het eens over de waarde van de onderneming (waarbij rekening wordt gehouden met een latente belastingclaim), en ze hebben afspraken gemaakt over de verkoop van de voormalige echtelijke woning en de verdeling van de verkoopopbrengst. Twee onderwerpen bleven echter nog in geschil: (1) de digitale fotobestanden die op de gezamenlijke laptop staan en (2) de waarde van de auto die tot de gemeenschap behoort. Daarnaast speelde procedureel nog dat de vrouw een incidenteel hoger beroep had ingesteld.