Bijzondere persoonsgegevens verwerken verboden
Alvorens in te gaan op die beleidsregels, eerst een kleine stapje terug naar het wettelijke systeem. De Wbp geeft bijzondere strenge regels voor de verwerking van zgn. "bijzondere persoonsgegevens" (artikel 16 Wbp). Waar 'gewone' persoonsgegevens in beginsel mogen worden verwerkt, mits dat zorgvuldig gebeurt, is de verwerking van 'bijzondere' persoonsgegevens nu juist verboden, behoudens strenge wettelijke uitzonderingen.
Zelfs een foto al bijzonder persoonsgegeven?
Onder bijzondere persoonsgegevens worden onder meer gegevens omtrent ras/etniciteit/etnische afkomst verstaan. Aan de hand van een foto zijn dergelijke gegevens af te leiden. Het doel waarvoor de foto wordt gebruikt is volgens de Wbp ook niet relevant. In zoverre zou je kunnen zeggen dat iedere foto bijzondere persoonsgegevens bevat. In de strafrechtelijke context is enkele jaren terug door de Hoge Raad ook bevestigd dat het hier om bijzondere persoonsgegevens gaat.
Strikte interpretatie van de wet praktisch onwerkbaar
Een dergelijk strikte interpretatie van de wet is echter, in deze beeldgerichte maatschappij, bepaald niet praktisch. Het impliceert immers dat - behoudens enige uitzonderingen - voor ieder fotogebruik de uitdrukkelijke (dus verzwaarde) vorm van toestemming van de betrokkene is vereist (artikel 23 Wbp). Die juridische eis sluit (bepaald) niet aan bij de maatschappelijke werkelijkheid.
Klein uitstapje: iedere (in ieder geval zakelijke) smartphone-eigenaar die zijn telefoon met foto's verliest zou dan immers te maken hebben met een meldingsplichtig (want lek bijzondere persoonsgegevens) datalek en bloot staan aan een (stevige) boete (want lek bijzondere persoonsgegevens).
Doelgerichte benadering spreekt meer aan
In 2007 signaleerde de Autoriteit Persoonsgegevens dit probleem rondom het begrip "bijzondere persoonsgegevens" al. In het rapport "Publicatie van persoonsgegevens op Internet" werd de doelgerichte benadering geïntroduceerd. Foto's zijn alleen als bijzonder persoonsgegeven aan te merken, als die gegevens worden gebruikt met als doel om onderscheid te maken naar ras (citaat CBP):
Alleen als een verantwoordelijke foto’s of ander beeldmateriaal publiceert met het uitdrukkelijke doel om onderscheid te maken naar ras, is bijzondere oplettendheid geboden. In dat geval acht het CBP het een redelijke wetstoepassing om het beeldmateriaal aan te merken als een bijzonder persoonsgegeven.
Voorzetting benadering uit 2007
Deze benadering wordt nu in het recente rapport voortgezet en uitgebouwd. In het nieuwste rapport is het volgende te lezen:
Gelet hierop beschouwt de Autoriteit Persoonsgegevens camerabeelden van een persoon
thans, ook om opportuniteitsredenen, niet als bijzondere persoonsgegevens als:
- het doeleinde van de verwerking niet gericht is op het verwerken van bijzondere
persoonsgegevens dan wel op het onderscheid maken op grond van een bijzonder
persoonsgegeven,
- het voor de verantwoordelijke redelijkerwijs niet voorzienbaar is dat de verwerking
zal leiden tot het maken van onderscheid op grond van een bijzonder
persoonsgegeven, en
- de verwerking van die bijzondere persoonsgegevens onvermijdelijk is bij die
verwerking.
Doortrekking naar gezondheidsgegevens
Met name interessant om te zien is dat de AP deze redenering ook doortrekt naar andere soorten bijzondere persoonsgegevens, althans in ieder geval naar gezondheidsgegevens:
In de hal van een ziekenhuis vindt cameratoezicht plaats ter beveiliging van de bezoekers
en goederen van het ziekenhuis. Het feit dat iemand met krukken loopt of in een rolstoel zit is een gegeven over iemands fysieke welzijn en daarmee een gegeven omtrent iemands
gezondheid. De camerabeelden worden in dit geval evenwel niet aangemerkt als bijzondere persoonsgegevens in de zin van artikel 16 en 21 Wbp (gezondheidsgegevens), gelet op de invulling van de bovenstaande criteria:
- Het doel van het cameratoezicht is niet gericht op het vastleggen van
gezondheidsgegevens van de bezoekers, maar op beveiliging. Ook wordt middels
het cameratoezicht geen onderscheid gemaakt op basis van de gezondheid van de
bezoekers.
- Het is voor het ziekenhuis redelijkerwijs niet voorzienbaar dat het cameratoezicht
zal leiden tot het maken van onderscheid.
- Het verwerken van de gezondheidsgegevens van de bezoekers van het ziekenhuis is
onvermijdelijk bij de inzet van cameratoezicht in een ziekenhuis.
Dit is best een opvallend verschil met de toelichting in de wet. Daar wordt "het enkele gegeven dat iemand ziek is" al aangemerkt als een bijzonder persoonsgegeven (ongeacht het doel waarvoor dat gegeven wordt vastgelegd).
Opmaat naar verdere relatieve uitleg van de wet?
Het voorgaande roept de vraag op of het doelgerichte criterium van de AP nu ook mag worden doorgetrokken buiten de context van cameratoezicht. In dat geval zou je bijv. kunnen betogen dat je wel degelijk (terloops) mag vastleggen dat iemand ziek is (bijv. in een mailtje), zolang je maar geen zoekoptie in het systeem inbouwt om daarop terug te zoeken.
Voor de praktijk zou een dergelijke wat relativistischer benadering vermoedelijk welkom zijn, hoewel ik ook wel inzie dat het gevaar voor misbruik wel op de loer ligt (eerst heel lang "terloops" verzamelen, en dan later toch opeens op de bijzondere persoonsgegevens gaan filteren). We blijven het volgen en houden u op de hoogte.
