Privacy  

Uit het persbericht: De Nederlandse Publieke Omroep (NPO) verzamelt met zogeheten tracking cookies persoonsgegevens van websitebezoekers zonder hiervoor hun ondubbelzinnige toestemming te vragen. Daarmee overtreedt de NPO de Wet bescherming persoonsgegevens (Wbp). Dit concludeert het College bescherming persoonsgegevens (CBP) na onderzoek naar het plaatsen van tracking cookies door de NPO. Met deze tracking cookies kan de NPO het surfgedrag van bezoekers van verschillende omroepwebsites volgen. Het volgen van surfgedrag via cookies zonder adequate informatie en voorafgaande toestemming van de websitebezoeker is niet toegestaan. “Surfgedrag hoort privé te blijven, tenzij je toestemming geeft om gevolgd te worden op internet”, aldus vice-voorzitter van het CBP Wilbert Tomesen. Het CBP zal de komende periode controleren in hoeverre de overtredingen voortduren en beslissen over eventuele inzet van sancties.

Het CBP heeft vastgesteld dat op alle NPO-websites al bij het laden van een webpagina analytische tracking cookies worden geplaatst. Dit gebeurt dus vóór de websitebezoeker een keuze heeft kunnen maken om in te stemmen met het gebruik van zijn persoonsgegevens of dit te weigeren. Op de NPO-websites worden daarnaast andere tracking cookies geplaatst zonder dat een bezoeker hiervoor zijn ondubbelzinnige toestemming heeft gegeven. Het CBP heeft ook geconcludeerd dat de NPO bezoekers onvolledig, inconsistent en in sommige gevallen feitelijk onjuist informeert.

Gegevens over surfgedrag zijn gevoelige gegevens die een indringend beeld kunnen geven van iemands (communicatie)gedrag en belangstelling. Internetgebruikers hebben het recht om te weten wie welke persoonsgegevens van hen verzamelt en met welk doel dat gebeurt. De NPO verzamelt gegevens van zijn websitebezoekers onder meer om het publieksbereik te meten, om gepersonaliseerde advertenties te tonen en om het delen via social media mogelijk te maken. De informatie van de NPO aan bezoekers schiet op verschillende punten tekort. Websitebezoekers horen eerst informatie te krijgen over de verschillende soorten cookies en welke van hun persoonsgegevens waarvoor worden gebruikt zodat zij weten waarvoor zij precies toestemming geven.

Het onderzoeksrapport is buiten toedoen van het CBP publiek geworden. Het CBP heeft daarom besloten het rapport vervroegd te publiceren.
Lees het rapport (7Mb!)

Prejudiciële vragen aan HvJ EU 31 maart 2014, IT 1551, zaak C-201/14 (Bara e.a. tegen CNAS)
Privacy. De groep van verzoeker en vele medestanders bestaat uit (kleine) zelfstandigen. Zij komen op tegen het feit dat zij als gevolg van het onvoorspelbare handelen van de bestuursorganen van de Roemeense Staat verschillende bedragen hebben moeten betalen wegens toepassing met terugwerkende kracht van die bestuurshandelingen. Daarnaast zou bij de overdracht van hun persoonsgegevens RL 95/46/EG geschonden zijn doordat op basis van een nationaal protocol tussen de belastingadministratie en het ziekenfonds (dat volgens hen geen rechtskracht heeft) persoonsgegevens van de belastingdienst zijn overgedragen aan het ziekenfonds.

De verwijzende Roemeense rechter van het Hof van Beroep vraagt zich af of deze wijze van overdracht van informatie op Europeesrechtelijke gronden is toegestaan, en een juiste toepassing vormt van VWEU artikel 124. Hij stelt het HvJEU de volgende vragen:

1. Is de nationale belastingdienst, als vertegenwoordiger van het bevoegde ministerie van een lidstaat, een financiële instelling in de zin van artikel 124?
2. Kan door middel van een met een bestuurshandeling gelijkgestelde handeling, of een protocol tussen de nationale belastingdienst en een andere overheidsinstelling, de overdracht worden geregeld van de database over de inkomsten van de staatsburgers van een lidstaat door de nationale belastingdienst aan een andere instelling van de lidstaat, zonder dat sprake is van een bevoorrechte toegang als omschreven in artikel 124 VWEU?
3. Valt de overdracht van de database, met als doel de staatsburgers van de lidstaat te verplichten sociale bijdragen te betalen aan de instelling van de lidstaat waaraan de database wordt overgedragen, onder het begrip overweging van bedrijfseconomisch toezicht in de zin van artikel 124 VWEU?
4. Kunnen persoonsgegevens worden verwerkt door een autoriteit waarvoor die gegevens niet waren bestemd, waarbij met terugwerkende kracht financieel verlies voor de betrokkenen ontstaat?

G.J. Zwenne, 'CBP te weinig oog voor wetgever en consument', Financieel Dagblad, 18 juni 2014.
Iets minder dan twee jaar geleden trad in Nederland een nieuwe cookiewet in werking. Sindsdien worden we bij het bezoek van websites geconfronteerd met ongevraagde cookiemededelingen en toestemmingsverzoeken, die door de meesten van ons ongelezen worden weggeklikt.De bedoeling van de cookiewet — privacybescherming — was goed. De toepassing ervan stuitte op onbegrip. De wet wil internetgebruikers beschermen tegen cookies waarmee heimelijk hun surfgedrag wordt gevolgd. Maar veel internetters ergeren zich vooral aan de pop-ups en banners. Onze cookiewet is bovendien veel strenger dan de wetgeving in andere EU-lidstaten. Nederland heeft een zogeheten bewijsvermoeden in de cookiewet opgenomen. Zogeheten trackingcookies worden volgens onze wet vermoed persoonsgegevens te zijn. En dat betekent dat daarop verschillende juridische voorschriften van toepassing kunnen zijn en dat verschillende toezichthouders daarop toezicht houden. Het gaat om de Telecomwet waarop ACM toezicht houdt, én om de Wet bescherming persoonsgegevens waarop toezicht wordt gehouden door het College Bescherming Persoonsgegevens (CBP).
Lees verder

Ktr. Rechtbank Amsterdam 30 juni 2014, IT 1542 (HKH Koning, Koningin en prinses Amalia tegen Sanoma)
Grondrechten. Belangenafweging. Mediacode. Sanoma is uitgever van het blad Nieuwe Revu. In 2013 verscheen in de Nieuwe Revu een artikel met de titel “Amalia heeft een vriendje! En wat we volgens de mediacode nog meer niet mogen weten over onze koningin”. In dit artikel uiten een aantal mensen kritiek op de mediacode. Daarnaast zijn in dezelfde aflevering twee foto's geplaatst van prinses Amalia tijdens een hockeytraining. De foto's zijn ook op het internet gepubliceerd. De Rijksvoorlichtingsdienst (RVD) heeft Sanoma bericht dat de publicatie van de voormelde foto's onrechtmatig is. De kantonrechter verklaart voor recht dat gedaagden onrechtmatig hebben gehandeld jegens prinses Amalia door het publiceren van de foto's. Beveelt gedaagden om binnen 48 uur na betekening van het vonnis de foto's van hun website te verwijderen en veroordeelt hen tot betaling van een schadevergoeding van 1.000 euro.

13. Voor wat betreft de belangenafweging is het volgende relevant. De foto’s zijn gemaakt vanaf grote afstand vanaf de openbare weg, terwijl prinses Amalia – toen zes jaar oud – op het hockeyveld van de hockeyvereniging bezig is met het beoefenen van haar hobby. Gedaagden hebben niet bestreden dat de activiteit plaats vond in de privésfeer en in die omstandigheden mag zij zich in beginsel onbespied wanen, anders dan bijvoorbeeld tijdens een evenement als Koningsdag. Bijzondere omstandigheden die dit anders maken, zijn gesteld noch gebleken. Voor zover in dit verband door gedaagden nog is opgemerkt dat het een eerste training zou zijn geweest, mist dit feitelijke grondslag, nog afgezien van het feit dat prinses Amalia in zijn algemeenheid ook niet voor iedere eerste activiteit die zij verricht hoeft te dulden dat haar privacy wordt geschonden, althans de angst moet hebben dat dit zal gebeuren. De bijdrage aan een onderwerp van algemeen belang is door de publicatie naar het oordeel van de kantonrechter voorts nihil, nu een foto van prinses Amalia tijdens een training geen enkel algemeen belang heeft. Gedaagden hebben weliswaar aangevoerd dat velen geïnteresseerd zijn in het toekomstig staatshoofd en dat velen willen weten dat zij hockey speelt maar dat enkele feit rechtvaardigt nog niet de publicatie van een foto als de onderhavige. Ten tijde van de publicatie was van de zijde van eiser al bekend gemaakt dat prinses Amalia deze hobby had. De foto’s hebben voorts geen samenhang met de rol die prinses Amalia als toekomstig staatshoofd gaat vervullen. Bovendien zijn de foto’s gepubliceerd bij een artikel waarin de mediacode aan de orde wordt gesteld. Het staat gedaagden uiteraard vrij over de mediacode te publiceren, maar dit brengt niet met zich mee dat prinses Amalia enkel daarom openbaarmaking van de gewraakte foto’s moet dulden. Terecht is in dit verband door eisers opgemerkt dat de publicatie van een in beginsel onrechtmatige foto niet rechtmatig wordt door een artikel over de rechtmatigheid van die foto daaraan te verbinden. Voorts is door eisers gesteld en is door gedaagden ook erkend dat eisers belang hechten aan privacy en optreden tegen (onrechtmatige) schendingen daarvan, in het bijzonder van hun kinderen. In een eerder geschil tussen partijen is namens eisers ter terechtzitting een toelichting gegeven over het belang dat zij hechten aan het hebben van een ongestoorde jeugd voor hun kinderen, welk betoog in de onderhavige procedure deels is herhaald. Dat eisers daarin willekeurig zouden opereren in de zin dat daaraan een argument voor rechtvaardiging van de publicatie kan worden ontleend is door gedaagden niet dan wel onvoldoende toegelicht.

13. Het voorgaande leidt tot het oordeel dat een afweging van de belangen meebrengt dat de bescherming tegen het recht van inbreuk op de persoonlijke levenssfeer in het onderhavige geval zwaarder weegt dan het recht van vrijheid van meningsuiting. De publicatie van de foto’s jegens prinses Amalia is dan ook onrechtmatig.

15. Eisers stellen voorts terecht dat het aan de betreffende persoon is om al dan niet op te treden tegen inbreuken op het recht op privacy. Dat in voorkomende gevallen tegen bepaalde foto’s niet wordt geageerd ontneemt de onrechtmatigheid aan deze publicatie derhalve niet. De gevorderde verklaring voor recht is toewijsbaar. De hieruit voortvloeiende beperking van het recht van vrijheid van meningsuiting acht de kantonrechter in een democratische samenleving gerechtvaardigd en noodzakelijk.

Op andere blogs:
Charlotte's Law

Uit het persbericht: Het College bescherming persoonsgegevens (CBP) heeft in een brief de minister van BZ gewaarschuwd dat gemeenten de bescherming van persoonsgegevens niet uit het oog mogen verliezen bij de voorbereidingen op de decentralisaties in het sociaal domein. Het CBP reageert met deze brief op de Beleidsvisie over privacy in het sociaal domein van 27 mei jl. In deze visie wordt gesproken over een ‘lerende praktijk’ binnen gemeenten die na enige tijd wordt geëvalueerd. Het CBP benadrukt dat gemeenten de naleving van de Wet bescherming persoonsgegevens (Wbp) niet kunnen opschorten als gevolg van een ‘lerende praktijk’. Het gaat vaak om de verwerking van bijzondere persoonsgegevens, waarvoor strenge wettelijke eisen gelden. Het CBP volgt de ontwikkelingen binnen gemeenten op dit terrein nauwgezet en zal zo nodig gebruik maken van zijn handhavende bevoegdheden.

Het CBP constateert dat het kabinet geen duidelijke kaders geeft waarbinnen gemeenten bij de verwerking van persoonsgegevens binnen het sociaal domein moeten blijven. De acties die het kabinet in zijn visie voorstelt als waarborgen voor de privacy, blijven ruimte bieden voor variatie die gemeenten kunnen geven aan de verwerking van persoonsgegevens. Het CBP wijst erop dat die variatie mogelijk is, maar wel wordt beperkt door de Wbp en dat gemeenten hier van meet af aan rekening mee moeten houden.

Bij de decentralisaties gaat het om een door het kabinet ingezette overheveling van taken naar gemeenten op het gebied van jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen. De wetsvoorstellen die de decentralisatie regelen hebben tot gevolg dat gemeenten meer persoonsgegevens van meer burgers verwerken. Daaronder vallen ook gevoelige gegevens zoals medische en strafrechtelijke gegevens. Voor de verwerking van deze gegevens gelden de eisen uit de Wbp. Zo mogen er niet meer gegevens gedeeld worden dan noodzakelijk, mogen de gegevens niet gebruikt worden voor een doel dat niet verenigbaar is met het oorspronkelijke doel waarvoor zij zijn verzameld en moeten ze adequaat worden beveiligd. Het CBP uitte in oktober 2013 in een brief ook al zorgen over de privacygevolgen van de decentralisatie van taken naar gemeenten.

Bijdrage ingezonden door Filip van Eeckhoutte, Van Eeckhoutte advocaten. In 2010 diende de Spanjaard Maria Costeja Gonzalez een klacht in tegen een Spaanse krant, Google Spanje en Google Inc bij de Spaanse autoriteit voor bescherming van persoonsgegevens (AEPD) [IT 1507]. De man klaagde dat een aankondiging van openbare executie van zijn huis in de zoekresultaten van Google inbreuk maakte op zijn privacy, omdat zijn financiële debacle allang was opgelost en dus de verwijzing naar die openbare veiling niet meer relevant was. Hij verzocht daarom dat de krant de gegevens zou verwijderen en dat Google Spanje of Google Inc zijn persoonsgegevens uit de Google databank zou verwijderen, zodat die niet meer zouden verschijnen in de zoekresultaten.

De Spaanse rechter verwees de zaak naar het Europese Hof van Justitie (EHvJ) en vroeg:
( a) of EU-richtlijn uit 1995 betreffende gegevensbescherming van toepassing is op zoekmachines zoals Google;
( b ) of de EU-wetgeving van toepassing was op Google Spanje, aangezien de verwerking van persoonsgegevens feitelijk plaatsvindt in de Verenigde Staten;
( c ) of een individu het recht heeft te verzoeken dat zijn of haar persoonlijke gegevens worden verwijderd uit een zoekmachine (het recht om te worden vergeten' - 'right to be forgotten').
In zijn arrest van 13 mei 20141 oordeelde dat het EHvJ kort gezegd:
a) qua territorialiteit van de EU-regels : zelfs als de fysieke server van een bedrijf dat persoonsgegevens verwerkt, buiten Europa staat, zijn de EU-regels van toepassing op dat bedrijf als het een filiaal of een dochteronderneming heeft in een lidstaat van de EU;
b) qua toepasselijkheid van de EU-privacyregels op zoekmachines: zoekmachines zijn verwerkers van persoonsgegevens. Google kan daarom haar verantwoordelijkheid niet ontlopen. EU -privacywetgeving is van toepassing en dus ook het recht om te worden vergeten.
c ) qua het 'recht om vergeten te worden': Individuen hebben - onder bepaalde voorwaarden - het recht om zoekmachines te vragen om de banden met persoonlijke informatie over hen te verwijderen . Dit geldt wanneer de informatie onjuist, ontoereikend, irrelevant of overmatig is voor de doeleinden van de gegevensverwerking (r.o. 93 van het arrest) .
Het EHvJ vond in dit specifieke geval dat de inbreuk op het recht op privacy van Gonzalez niet reeds kon worden gerechtvaardigd door het economisch belang van de zoekmachine/Google. Tegelijkertijd heeft het EHvJ expliciet verduidelijkt dat het recht om te worden vergeten niet absoluut is, maar altijd moet worden afgewogen tegen andere grondrechten, zoals de vrijheid van meningsuiting en van de media (r.o. 85 van de arrest). Een beoordeling per geval is dus nodig waarbij dienen te worden afgewogen de aard van de informatie in kwestie, de gevoeligheid voor de persoonlijke levenssfeer en het belang van het publiek in het hebben van toegang tot die informatie. De rol die de verzoeker in het openbare leven speelt, kan daarbij ook van belang zijn.

Filip van Eeckhoutte

Bijdrage ingezonden door Filip van Eeckhoutte, Van Eeckhoutte advocaten. Het 'Recht om te worden vergeten' staat al in de Privacy-richtlijn uit 1995. De privacyrichtlijn bevat als kerngedachte het recht om te worden vergeten. Een persoon kan aan beheerders van o.a. zoekmachines verzoeken dat zijn persoonlijke gegevens worden gewist zodra de gegevens niet langer nodig zijn (artikel 12 Richtlijn). Wat dat betreft heeft de Commissie niets nieuws voorgesteld in de (aanstaande) privacyverordening.

Waarom is de voorgestelde privacyverordening dan nodig?
De voorgestelde verordening gegevensbescherming betreft veel meer dan het recht om te worden vergeten. Het bevat een fundamentele modernisering van de regels inzake gegevensbescherming in Europa, de vestiging van een aantal nieuwe rechten voor burgers waarvan het recht om te worden vergeten er een van is (andere zijn o.a. mobiliteitsbeheer van persoonsgegevens en data-inbreukmeldingen), de vorming van een interne markt voor persoonsgegevens in de Europese Unie en de stroomlijning van samenwerking tussen de regelgevende instanties van de lidstaten. In het besef dat het recht om te worden vergeten bestaat, heeft het Hof van Justitie een algemeen principe neergezet. Dit principe moet worden geactualiseerd en verduidelijkt voor het digitale tijdperk. De privacyverordening versterkt het principe en de rechtszekerheid (artikel 17 voorgestelde verordening).

Het recht om vergeten te worden zou een lege huls zijn als de EU-regels inzake gegevensbescherming niet van toepassing zouden zijn op niet-Europese bedrijven en voor zoekmachines. De voorgestelde privacyverordening stelt buiten twijfel dat het niet uitmaakt waar de fysieke server van een bedrijf (dat persoonsgegevens verwerkt) staat. Ook op niet-Europese ondernemingen die diensten aan de Europese consumenten aanbieden, zijn de Europese regels van toepassing (artikel 3 voorgestelde verordening).

Om het recht voor particulieren om te worden vergeten te versterken, heeft de Commissie voorgesteld de bewijslast om te keren: het bedrijf - en niet het individu - moet bewijzen dat de gegevens niet mogen worden verwijderd, omdat ze nog steeds nodig of relevant zijn.

De voorgestelde verordening gegevensbescherming schept een verplichting voor een databeheerder (bijv. zoekmachine) die persoonsgegevens openbaar maakt om redelijke maatregelen te nemen opdat derden worden geïnformeerd over het feit dat het individu wenst dat zijn persoonsgegevens worden verwijderd. Het Europees Parlement ging nog verder door de databeheerder te verplichten het wissen van deze persoonsgegevens te laten waarborgen. Het Parlement wil dat mensen ook het recht hebben op verwijdering wanneer een rechterlijke of regelgevende instantie in EU in kracht van gewijsde heeft geoordeeld dat de betrokken gegevens moeten worden gewist.

De voorgestelde verordening gegevensbescherming maakt het voor privacy-autoriteiten, zoals het CBP (College Bescherming Persoonsgegevens) voorts mogelijk om boetes van maximaal 2 % van de jaarlijkse wereldwijde omzet op te leggen van/aan bedrijven die de rechten van burgers met voeten treden, zoals het recht om te worden vergeten.

De voorgestelde privacyverordening is bepaalt ook de redenen van algemeen belang op grond waarvan het online in stand houden van persoonsgegevens kan worden gerechtvaardigd. De uitzonderingen op het recht om te worden vergeten, zijn beperkt en afgebakend. Deze omvatten de uitoefening van het recht van vrijheid van meningsuiting, het belang van de volksgezondheid, alsmede de gevallen waarin gegevens worden verwerkt voor historische, statistische en wetenschappelijke doeleinden.

Filip van Eeckhoutte

Rechtbank Oost-Brabant 22 mei 2014, IT 1522 (eiseres tegen Sûreté Nederland)
Persoonsgegevens. Gedragscode. Eiseres is verwikkeld in een alimentatieprocedure met haar ex-echtgenoot, deze heeft Sûreté de opdracht gegeven aan te tonen dat eiseres werkzaamheden verricht in de escortbranche. Sûreté heeft hiervoor een pseudoklant ingezet, die een gedetailleerde verklaring heeft afgelegd en op grond waarvan een rapport is opgemaakt. Dit rapport is door Sûreté aan de ex-echtgenoot verstrekt en ingebracht in de alimentatieprocedure. Sûreté heeft onrechtmatig gehandeld door te handelen in strijd met de gedragscode. Sûreté heeft tevens gehandeld in strijd met artikel 11 en artikel 34 van de WBP, respectievelijk door meer gegevens te verwerken dan noodzakelijk en door eiseres niet te informeren dat haar persoonsgegevens werden verwerkt.

De beoordeling
4.4. Bij de beoordeling van de vraag of Sûreté door de dienst daadwerkelijk af te nemen disproportioneel heeft gehandeld en daarmee heeft gehandeld in strijd met de vierde norm van art. 7.4 van de gedragscode is van belang dat in het kader van een alimentatieprocedure slechts van belang is of de wederpartij over inkomen beschikt of dit kan verwerven en niet op welke wijze hij dit inkomen verwerft. Daarvoor is minder informatie vereist dan wanneer bijvoorbeeld moet worden aangetoond dat iemand zware lichamelijke arbeid kan verrichten terwijl hij stelt daartoe niet in staat te zijn. Sûreté heeft niet weersproken dat [eiseres] vooraf aan het verlenen van de dienst is betaald door [pseudoklant] en dat dit de gebruikelijke werkwijze is in de escortbranche. Het verschijnen op de afspraak en het aannemen van een betaling is afdoende bewijs van het feit dat [eiseres] inkomen uit werkzaamheden heeft. De rechtbank is dan ook van oordeel dat Sûreté om aan te tonen dat [eiseres] inkomen verwierf, had kunnen en moeten volstaan met het maken van een afspraak via de website en het doen van de betaling nadat [eiseres] op die afspraak was verschenen. Door dit niet te doen en de dienst daadwerkelijk af te nemen en daarvan gedetailleerd verslag te doen, heeft Sûreté gegevens vastgelegd die voor de opdracht niet noodzakelijk waren, waarmee Sûreté onzorgvuldig jegens [eiseres] heeft gehandeld.

4.5. Tevens heeft Sûreté in strijd met art. 8.1. van de gedragscode [eiseres] niet geïnformeerd dat zij onderwerp van onderzoek was en dat persoonsgegevens van haar werden verwerkt. Het verweer van Sûreté dat [eiseres] dan mogelijk haar werkzaamheden zou hebben gestaakt, zodat zij alsnog in de alimentatieprocedure had kunnen betogen dat zij niet in haar eigen onderhoud kon voorzien, gaat niet op. Indien [eiseres] uit eigen beweging haar werkzaamheden zou staken, zou dit immers niet kunnen leiden tot het oordeel dat zij niet in haar levensonderhoud kan voorzien. Ook het verweer dat [pseudoklant] geen werknemer van Sûreté is en daarom niet is gebonden aan de gedragscode, gaat niet op. Sûreté heeft [pseudoklant] ingeschakeld en is en blijft verantwoordelijk voor de wijze waarop het onderzoek wordt uitgevoerd en daarover wordt gerapporteerd.

4.6. Daarmee staat vast dat Sûreté onrechtmatig jegens [eiseres] heeft gehandeld door te handelen in strijd met de gedragscode. Sûreté heeft tevens gehandeld in strijd met artikel 11 en artikel 34 van de WBP, respectievelijk door meer gegevens te verwerken dan noodzakelijk en door [eiseres] niet te informeren dat haar persoonsgegevens werden verwerkt. Sûreté is daarom op grond van artikel 49 lid 2 WBP gehouden [eiseres] een naar billijkheid te bepalen schadevergoeding te betalen.

Ktr. Rechtbank Amsterdam 6 februari 2014, IT 1521 (eiser tegen Adata Technology)
Privégegevens. Ontslag. Eiser is in dienst bij Adata. Een collega van eiser had melding gemaakt van door hem en eiser gevoerde communicatie via whatsapp. Dit gaf voor Adata voldoende aanleiding om nader onderzoek te doen naar de inhoud van de laptop die afkomstig was van eiser. De kantonrechter is van oordeel dat dit onderzoek proportioneel plaatsvond en de in die laptop gevonden berichten vormen daarom rechtmatig verkregen bewijs. Eiser heeft onvoldoende aannemelijk gemaakt dat de door Adata overgelegde berichten niet van hem afkomstig zijn. Die berichten (grovelijk uitschelden leidinggevende) vormen naar in kort geding moet worden aangenomen een dringende reden.

Beoordeling
16. De kantonrechter is van oordeel dat Adata, gelet op de verklaring van [collega] en de naar zeggen van Adata door [collega] overgelegde whatsapp-berichten, voldoende aanleiding had om nader onderzoek te doen naar de inhoud van de laptop die afkomstig was van [eiser]. Adata heeft uitsluitend een beroep op gedaan op berichten gestuurd aan of van werknemers of ex-werknemers van Adata, en die een verband hielden met het werk. Tevens is gekeken naar werkzaamheden die [eiser] tijdens het dienstverband van en met bedrijfsmiddelen van Adata heeft verricht ten eigen bate, dat wil zeggen zijn eigen bedrijf. Gelet op de inhoud van de, naar zeggen van Adata, van [collega] verkregen informatie, kan niet worden gezegd dat Adata bij deze informatie geen belang had. Ook is niet gebleken dat de verificatie van de door [collega] verstrekte informatie op een andere, voor [eiser] minder belastende, wijze had kunnen plaatsvinden. Naar het oordeel van de kantonrechter is voldoende aannemelijk dat het door Adata ingebrachte materiaal rechtmatig is verkregen, althans dat Adata van dit materiaal in de onderhavige procedures gebruik kan maken.

19.
[eiser] was op of kort na 5 december 2013 van de inhoud van het verzoekschrift en de daarbij gevoegde producties op de hoogte. Ter weerlegging daarvan heeft hij, behalve een ontkenning dat de door Adata genoemde berichten klopten, slechts een uitdraai van de whatsappconversatie met [collega] ingebracht. Die uitdraai wijkt, zoals genoemd, af van de versie van Adata. Ter zitting heeft de kantonrechter aan [eiser] gevraagd wanneer hij de betreffende uitdraai had gemaakt. Volgens [eiser] was dit ongeveer een maand geleden gebeurd, dus na het ontslag. Op verzoek van de kantonrechter heeft [eiser] getracht op zijn ter plekke aanwezige smartphone de whatsappberichten te laten zien. [eiser] heeft dit geprobeerd. Zichtbaar was dat hij een bericht van 2 september 2013 kon terugvinden. [eiser] heeft verklaard dat het hem niet lukte het hierboven genoemde bericht van 28 augustus 2013 terug te vinden.

20.
Naar het oordeel van de kantonrechter heeft [eiser] niet op overtuigende wijze verklaard dat het voor hem niet mogelijk was een uitdraai te geven van de whatsappberichten, de skype-conversatie en de sms-berichten, zoals die naar zeggen van [eiser] zouden hebben plaatsgevonden. Daarmee heeft [eiser], naar het oordeel van de kantonrechter, in het kader van deze procedure onvoldoende gemotiveerd bestreden dat de inhoud van de door Adata overgelegde berichten onjuist was.

21.
De kantonrechter is ook op een ander punt niet overtuigd geraakt van de juistheid van het door [eiser] ingenomen standpunt. [eiser] heeft gesteld zich op 6 november 2013 ’s ochtends vroeg te hebben ziek gemeld, daarna toch naar het bedrijf te zijn gegaan, ’s ochtends nog niet het ontslagbericht te hebben ontvangen – maar pas ’s avonds – en s’middags zijn laptop te hebben ingeleverd. De ter zitting aanwezige secretaresse van [eiser], [secretaresse], heeft verklaard die ochtend geen ziekmelding te hebben doorgekregen, en aan [eiser] tussen 10 en 11 uur een print van het ontslagbericht te hebben overhandigd. Daarmee strookt de inhoud van

het e-mailbericht van deze secretaresse aan [naam 3] om 7.42 PM Taiwanese tijd: “This “dismissal notice” was printed out and passed to [eiser] one hour ago (11.30) already. (…) In order to hand over, he left office to bring company’s property back (key…etc.), he will be back about 13.30 (NL time). [eiser] behaved “peaceful” so far, I think I’m safe.” Indien [eiser] geen kennis zou hebben gehad van de inhoud van de ontslagmail, valt niet goed in te zien op grond waarvan [eiser] die middag zijn bezittingen van Adata heeft ingeleverd.

22.
Of alle aan het ontslag op staande voet ten grondslag gelegde gronden komen vast te staan, dan wel of de gronden die komen vast te staan, op zich zelf een geldig ontslag op staande voet kunnen dragen, zal in een bodemprocedure moeten worden vastgesteld. Tot op heden heeft [eiser] een aantal van de aan hem gemaakte andere verwijten onvoldoende gemotiveerd weersproken. Dat geldt, gelet onder andere op de berichten met [collega] en [naam 10], ook voor het verwijt dat hij zijn eigen belang voor liet gaan boven dat van Adata. De kantonrechter acht daarom onvoldoende gronden aanwezig om te kunnen oordelen dat het aannemelijk is dat het ontslag op staande voet in een bodemprocedure zal worden vernietigd. De vorderingen in kort geding zullen daarom worden afgewezen.

Hof Amsterdam 20 mei 2014, IT 1516 (appellant tegen Medirisk)
Wet bescherming persoonsgegevens. Inzage medisch rapport. Medirisk beschikt over stukken waarvan appellant de inzage wenst. Medirisk beroept zich op de uitzondering van artikel 2 sub a van de Wbp dan wel artikel 43 sub e van de Wbp en is van mening dat het hier gegevens betreft die zij niet aan appellant hoeft te verstrekken. In het tussenarrest van het hof is bepaald dat Medirisk de stukken aan appellant zal verstrekken waarvan zij zelf in haar overzicht van 13 juni 2013 heeft aangegeven dat zij bereid is ze aan appellant te verstrekken. Bij uitspraak van 20 mei 2014 vernietigt het hof de beschikking van de rechtbank Utrecht en wijst het meer of anders door appellant verzochte af.

Uit het tussenarrest:

2.6 Met betrekking tot het memo van 28 december 2006 heeft Medirisk aangevoerd dat het eigen gedachten van de behandelaar over de haalbaarheid bevat. Medirisk heeft dit niet nader toegelicht. Medirisk, die zich (naar uit de brief van 13 juni 2013 valt af te leiden: enkel) beroept op artikel 43 sub e van de Wbp heeft niet gezegd waarom en in hoeverre het memo aan de medisch adviseur met een verzoek om overleg naar aanleiding van het rapport van [R] onder artikel 43 sub e van de Wbp valt.
Ten aanzien van het memo van 18 augustus 2011 heeft Medirisk aangevoerd dat het intern reserveringsbeleid betreft. Ook wat dit memo betreft heeft zij nagelaten te concretiseren waarom dat onder artikel 43 sub 3 van de Wbp zou vallen.

2.7 Met betrekking tot de overige stukken heeft Medirisk enkel gesteld dat zij deze gegevens niet behoeft te verstrekken, omdat de arts/het ziekenhuis en de verzekeraar het recht moeten hebben in beslotenheid te overleggen over de verdediging. Zij heeft die stelling niet (per stuk) nader geconcretiseerd. Medirisk doet ook daarmee een beroep op het bepaalde in artikel 43 sub e van de Wbp. In deze uitzonderingsbepaling ligt besloten dat Medirisk geen gegevens behoeft te verstrekken, indien dit noodzakelijk is in het belang van de bescherming van haarzelf of van de rechten en vrijheden van anderen. Medirisk heeft echter ongemotiveerd gesteld waarom de uitzondering van artikel 43 sub e van de Wbp op deze stukken van toepassing is. Een nadere motivering had wel op haar weg gelegen, nu de in dit artikel vervatte noodzakelijkheidseis en proportionaliteitseis, meebrengen dat Medirisk zich nietzonder meer op deze uitzonderingsgrond kan beroepen en in het kader van artikel 43 sub e van de Wbp een belangafweging dient plaats te vinden. Een oordeel over de mate waarin aan het noodzakelijkheidscriterium is voldaan, vergt een inhoudelijke toetsing, waarbij er telkens sprake dient te zijn van een concrete en op de specifieke omstandigheden van het geval gebaseerde belangenafweging.
Naar het oordeel van het hof is, mede bij gebreke van een deugdelijke onderbouwing, ten aanzien van voormelde stukken onvoldoende onderbouwd dat deze stukken onder de uitzondering van artikel 43 sub e van de Wbp vallen. Dit klemt temeer nu het grotendeels gegevens betreft die afkomstig zijn van, dan wel gericht zijn aan, het ziekenhuis, waar [appellant] onder behandeling is geweest. Het belang van [appellant] bij verstrekking van deze informatie, die hij niet op andere wijze kan verkrijgen, is groot, omdat [appellant] uitsluitend op deze wijze inzicht kan verkrijgen in de medische gegevens die ten aanzien van hem bij Medirisk zijn verwerkt.
2.8 De overige stukken, waarvan Medirisk verstrekking aan [appellant] weigert, betreffen correspondentie met de advocaten van Medirisk, dan wel verzending van kopieën van deze correspondentie aan het OLVG.
Naar het oordeel van het hof doet Medirisk ten aanzien van deze stukken met succes een beroep op de uitzonderingsbepaling van artikel 43 sub e Wbp. Nu het hier correspondentie betreft van en aan de advocaten, dan wel het zenden van kopieën daarvan aan het OLVG, geldt daarvoor dat zodanig voor de hand ligt dat weigering van het overleggen van deze stukken noodzakelijk is teneinde de vrijheid van ongestoorde gedachtewisseling van Medirisk met haar advocaten te kunnen waarborgen, dat het op de weg van [appellant] had gelegen op dit punt gemotiveerd te betwisten waarom die stukken niet onder de uitzonderingsbepaling vallen. Nu [appellant] dat heeft nagelaten gaat het hof uit van een terecht beroep op artikel 43 sub e van de Wbp, zodat Medirisk die stukken niet (in kopie) aan [appellant] behoeft te verstrekken.

2.10 Indien en voor zover Medirisk betoogt dat overlegging van de correspondentie die Medirisk met het OLVG heeft gevoerd meebrengt dat haar recht op verdediging, dat voortvloeit uit artikel 6 EVRM, op onevenredige wijze zou worden geschaad en dat er geen sprake is van strijd met de beginselen van fair trial en equality of arms, faalt dit betoog. Het onderhavige geschil betreft immers een verzoek tot verstrekking van persoonsgegevens en in dat kader speelt de vraag of de in artikel 6 EVRM genoemde beginselen meebrengen dat Medirisk zich in een aansprakelijkheidsprocedure behoorlijk kan verweren, een ondergeschikte rol. De wetgever heeft in artikel 43 sub e Wbp een eigen beoordelingskader geschapen, waarbinnen deze afweging kan plaatsvinden.
Het enkele feit dat toewijzing van het verzoek van [appellant] ten aanzien van de onder 2.5 vermelde gegevens er toe zou kunnen leiden dat [appellant] zijn rechtspositie jegens Medirisk kan verbeteren en aldus misbruik zou maken van recht, vormt onvoldoende reden om te oordelen dat afwijzing van het verzoek tot het overleggen van deze gegevens noodzakelijk is in het belang van de bescherming van Medirisk of van de rechten en vrijheden van anderen, zoals vereist in artikel 43 sub e Wbp.
Medirisk heeft daarnaast aangevoerd dat [appellant] andere wegen ter beschikking staan om aan de gewenste gegevens te komen. Gelet op het in artikel 43 sub e Wbp vermelde noodzakelijkheidscriterium en de in dat kader te verrichten belangenafweging kan weliswaar een rol spelen dat [appellant] ook andere (rechts)middelen ter beschikking staan om haar procespositie in te schatten en zo mogelijk te verbeteren; dat [appellant] op die wijze ook daadwerkelijk over de thans aan de orde zijnde gegevens kan beschikken, heeft Medirisk echter niet geconcretiseerd. Het door Medirisk genoemde voorlopige deskundigenbericht en een voorlopig getuigenverhoor hebben immers een ander doel en leiden niet tot inzicht in en verstrekking van de hier aan de orde zijnde gegevens.
Medirisk heeft verder weliswaar gesteld, maar niet nader onderbouwd, dat er sprake is van disproportionaliteit tussen het belang van [appellant] en de benodigde werkzaamheden om aan het verzoek te voldoen. Zoals overwogen in de tussenbeschikking, vormt de enkele administratieve belasting in dit kader onvoldoende aanleiding om het verzoek af te wijzen.
Voor het overige geldt hetgeen het hof onder 4.5 in zijn tussenbeschikking heeft overwogen ten aanzien van het rapport van dr. [X] evenzeer, ten aanzien van deze stukken.

Eindarrest:

2.6  Medirisk heeft het hof nog verzocht om terug te komen op het oordeel dat zij onvoldoende heeft onderbouwd waarom bepaalde stukken niet aan [appellant] zouden moeten worden verstrekt. Medirisk heeft in haar akte echter evenmin een nadere onderbouwing gegeven voor haar betoog dat de uitzondering van artikel 2 en/of artikel 43 Wbp van toepassing zou zijn op de stukken die zij niet aan [appellant] wenste te verstrekken. Reeds om die reden komt het hof niet op zijn beslissing in de beschikking van 4 maart 2014 en de daaraan ten grondslag gelegde overwegingen terug.
Ook voor het overige ziet het hof geen aanleiding om op deze beslissing terug te komen, nu het Medirisk genoegzaam duidelijk kon zijn dat het op haar weg lag om deugdelijk te onderbouwen waarom zij de verzochte stukken niet aan [appellant] wenste te verstrekken en meer in het bijzonder waarom op die stukken de uitzonderingsbepaling van artikel 43 sub 3 van de Wbp van toepassing zou zijn.