Zoeken
  1. Raad van State legt privacyrecht ruim uit; omslag in bestendige lijn?

Raad van State legt privacyrecht ruim uit; omslag in bestendige lijn?

De Raad van State heeft op 5 februari 2014 een uitspraak gedaan waarin het inzagerecht en het recht op correctie ruim worden uitgelegd. Het verzoek om schadevergoeding wordt alleen afgewezen. Komt de RvS hiermee terug op de bestendige lijn in zijn jurisprudentie?Achtergrond bij het geschilDe kwestie handelt over een man die werkzaam is geweest als docent-assistent en vervolgens arbeidsongeschikt is geraakt. Daarop komt de man in een revalidatietraject terecht. Gedurende de reintegratie vraagt...
Auteur artikelMark Jansen
Gepubliceerd10 februari 2014
Laatst gewijzigd10 februari 2014
Leestijd 
De Raad van State heeft op 5 februari 2014 een uitspraak gedaan waarin het inzagerecht en het recht op correctie ruim worden uitgelegd. Het verzoek om schadevergoeding wordt alleen afgewezen. Komt de RvS hiermee terug op de bestendige lijn in zijn jurisprudentie?

Achtergrond bij het geschil

De kwestie handelt over een man die werkzaam is geweest als docent-assistent en vervolgens arbeidsongeschikt is geraakt. Daarop komt de man in een revalidatietraject terecht. Gedurende de reintegratie vraagt hij zijn dossier op en dit wordt hem verstrekt. Bij de nadien gevoerde ontslagprocedure duiken opeens stukken op uit zijn personeelsdossier die hem bij dit inzageverzoek niet zijn verstrekt. Daarop doet de man nogmaals een inzageverzoek en verzoekt hij de medische gegevens uit zijn dossier te verwijderen. Deze verzoeken worden geweigerd. Daarop start de man deze procedure om schade te verhalen.

Ruim inzagerecht

De Raad van State legt in deze uitspraak het inzagerecht opvallend ruim uit. De Raad overweegt als volgt over het inzagerecht:
10.1. Artikel 35, eerste lid, van de Wbp geeft de betrokkene het recht om de verantwoordelijke te verzoeken hem mee te delen of hem betreffende persoonsgegevens worden verwerkt. Gelet op de definitie van ‘verantwoordelijke’ neergelegd in artikel 1, onder d, van de Wbp dient in dit geval SVOZ als zodanig te worden aangemerkt. SVOZ heeft Tredin ingeschakeld als arbodienst en dient daarom geacht te worden alleen of tezamen met Tredin het doel van en de middelen voor de verwerking van de persoonsgegevens van het personeel van SVOZ te hebben vastgesteld. Voorts is tussen partijen niet in geschil dat SVOZ ten tijde van de besluitvorming inzage had in het digitale verzuimsysteem van Tredin, Trackverzuim. Deze mogelijkheid van inzage van SVOZ dient als verwerking van persoonsgegevens te worden aangemerkt, gelet op de definitie van dat begrip, neergelegd in artikel 1, onder b, van de Wbp.

Ingevolge artikel 35, eerste en tweede lid, van de Wbp was SVOZ derhalve gehouden om [appellant] schriftelijk mee te delen dat hem betreffende persoonsgegevens worden verwerkt en, daarvan een volledig overzicht te verstrekken. Het besluit van 5 juni 2008 geeft er geen blijk van dat SVOZ zich er voorafgaand aan het nemen van dat besluit door navraag bij Tredin te doen van heeft vergewist of aan [appellant] een volledig overzicht van de hem betreffende bij deze arbodienst verwerkte persoonsgegevens was verstrekt. Ter zitting heeft SVOZ hierover evenmin uitsluitsel kunnen geven. Voor zover SVOZ in het besluit van 5 juni 2008 de afwijzing van dit deel van het verzoek van [appellant] heeft gehandhaafd omdat hij volgens haar reeds over alle stukken beschikt die bij haar berusten, is dat besluit reeds daarom niet zorgvuldig voorbereid en ontoereikend gemotiveerd. De rechtbank heeft dat ten onrechte niet onderkend.

Uit deze lange overwegingen vallen me enkele zaken op:

  1. geen discussie over bestandsbegrip;

  2. inzage hebben in systeem maakt tot verantwoordelijke;

  3. actieve onderzoeksplicht voor verantwoordelijken;


Ad. 1. Geen discussie over bestandsbegrip

De Raad van State heeft al enkele keren (ten onrechte) geoordeeld dat bij digitale bescheiden het bestandsbegrip relevant zou zijn. In deze uitspraak komt dit ongelukkige oordeel (voor het eerst?) niet naar voren. De Raad van State oordeelt eenvoudigweg, in lijn met de wet, dat het verwerken van persoonsgegevens in digitale systeem onderhevig is aan de Wet bescherming persoonsgegevens.

Ad. 2. Inzage hebben in systeem maakt tot verantwoordelijke

SVOZ had haar arbotaken kennelijk uitbesteed aan Tredin en Tredin bood vervolgens, kennelijk, inzage in het arbosysteem aan SVOZ. Nog los van alle vragen die deze constructie oproept over het medisch beroepsgeheim van de arboartsen (daarover hierna meer), volgt in ieder geval duidelijk uit de overweging van de Raad van State dat SVOZ met deze inzage medeverantwoordelijke is geworden voor alle verwerkingen van persoonsgegevens die Tredin uitvoert. Dit bevestigt andermaal dat er goed nagedacht moet worden voordat een dergelijke toegang wordt verleend c.q. aanvaard.

Ad. 3. Actieve onderzoeksplicht

Verder valt op dat de Raad van State van de verantwoordelijke verlangt dat deze navraag doet bij derden die zijn ingeschakeld naar de verwerkte persoonsgegevens, alvorens te reageren op een inzageverzoek. Zonder navraag te doen kan volgens de Raad namelijk niet zorgvuldig worden beslist op een dergelijk verzoek. Dit komt ook nog terug in de volgende overweging.

Actieve onderzoeksplicht bij inzageverzoek

De man had verder betoogd dat onvoldoende duidelijk was of het volledige dossier wel was verstrekt. De Raad van State geeft de man hierin gelijk en overweegt andermaal dat op een inzageverzoek alleen zorgvuldig kan worden beslist na het doen van voldoende onderzoek. Zie in dat kader deze overweging:
11.1. [appellant] heeft uitdrukkelijk verzocht om verstrekking van, dan wel inzage in, zijn personeelsdossier, waaronder het dossier dat zijn direct leidinggevende op de werkplek onder zich had. Ter zitting heeft SVOZ verklaard dat voorafgaand aan het nemen van het besluit van 5 juni 2008 geen navraag bij de direct leidinggevende van [appellant] is gedaan. Reeds daarom heeft SVOZ in dat besluit niet mogen volstaan met de stelling dat het dossier op de werkplek geen andere stukken bevat dan in het personeelsdossier zijn opgenomen. Bovendien heeft de direct leidinggevende van [appellant] ter zitting bij de Centrale Raad van Beroep op 28 april 2011 desgevraagd bevestigd dat hij op de werkplek een werkdossier met aantekeningen bijhield, waaronder de door [appellant] bedoelde stukken met medische gegevens over hem, welke stukken [appellant] bij de inzage in zijn personeelsdossier bij de afdeling Personeel & Organisatie in 2006 niet heeft gezien. Ook uit een door [appellant] overgelegde brief van SVOZ van 19 april 2011 volgt dat de direct leidinggevende zelf gegevens over [appellant] bewaarde ten behoeve van de dagelijkse organisatorische werkzaamheden, zoals verlofaanvragen, die zich niet in het personeelsdossier bij de afdeling Personeel & Organisatie bevonden. Ingevolge artikel 35, tweede lid, van de Wbp had SVOZ [appellant] derhalve naar aanleiding van diens verzoek daartoe een volledig overzicht van de hem betreffende persoonsgegevens uit voormelde dossiers moeten verstrekken. SVOZ heeft een dergelijk overzicht niet verstrekt. De rechtbank heeft ook dit ten onrechte niet onderkend.

Deze overweging is niet alleen relevant omdat andermaal wordt bevestigd dat op een inzageverzoek zorgvuldig moet worden gereageerd.

Wellicht nog wel opvallender is dat (impliciet) wordt bevestigd dat volstrekt irrelevant is op welke wijze persoonsgegevens zijn opgeslagen: in een of meer systemen, centraal of juist decentraal of nog weer anders. Dit terwijl in het verleden door dezelfde Raad nog wel geoordeeld is dat alleen gegevens die in een specifiek dossier zijn opgenomen onder het inzagerecht vallen.

Raad van State volgt lijn CBP over medische gegevens

De man had verder betoogd dat SVOG (als werkgever) en zijn directe leidinggevende ten onrechte medische gegevens van hem hebben opgeslagen. Ook hierin krijgt de man gelijk van de Raad van State.

Opvallend daarbij is allereerst dat de Raad de lijn van het College Bescherming Persoonsgegevens (CBP) uit de rapporten "De zieke werknemer" en het onderzoeksrapport naar Tredin onverkort volgt:
12.2

(...)

Mede gelet op de taak en de expertise van het Cbp op het gebied van de verwerking van persoonsgegevens, ziet de Afdeling geen aanleiding de in deze rapporten gegeven uitleg over de artikelen 16 en 21 van de Wbp niet te volgen.

Wanneer rechters de visie van de toezichthouder onverkort volgen, wordt het wel lastig (zo niet onmogelijk) om nog te kunnen betogen dat toezichthouders er (gelet op hun taak) belang bij hebben de wetten die zij handhaven (extra) streng te interpreteren. Dit is aldus een aandachtspunt bij bestuursrechtelijke procedures over privacy.

Medische gegevens ten onrechte door werkgever verwerkt

De Raad concludeert vervolgens dat de werkgever ten onrechte vele medische gegevens heeft verwerkt:
12.3. In de tien door [appellant] overgelegde pagina’s staan notities van de direct leidinggevende over ziek- en hersteldmeldingen van [appellant] van 25 september 2003 tot 9 juni 2006. Hierbij zijn in veel gevallen de redenen van de ziekmeldingen vermeld, dan wel gegevens die daarmee direct verband houden. Gelet op hetgeen hiervoor onder 12.2 is overwogen, kan verwerking van die gegevens niet noodzakelijk worden geacht voor de re-integratie of begeleiding van [appellant] in verband met ziekte of arbeidsongeschiktheid. Daar komt bij dat een deel van deze notities betrekking heeft op de periode dat [appellant] geen re-integratietraject volgde. Verder bevatten de tien pagina’s verschillende e-mailberichten van een arbeidsdeskundig adviseur van Tredin aan de direct leidinggevende, tussen de direct leidinggevende en [appellant] en tussen [appellant] en de directievoorzitter. Met name in de e-mailberichten van de arbeidsdeskundig adviseur van Tredin zijn gegevens over de gezondheid van [appellant] opgenomen die, gelet op hetgeen hiervoor onder 12.2 is overwogen, niet noodzakelijk kunnen worden geacht voor de re-integratie of begeleiding van [appellant] in verband met ziekte of arbeidsongeschiktheid.

Ik vraag me af of bij veel werkgevers dergelijke gegevens niet ook (bewust of onbewust) bewaard worden. Uit deze uitspraak blijkt dat dit risicovol is.

Verzoek om vernietiging had moeten worden toegewezen

De Raad concludeert vervolgens dat het verzoek van de man om de gegevens te vernietigen dus had moeten worden toegewezen:
12.4. Het voorgaande brengt mee dat in de tien pagina’s verschillende persoonsgegevens zijn verwerkt die voor het doel van de verwerking niet ter zake dienend zijn en in strijd met de artikelen 16 en 21, eerste lid, aanhef en onder f, onder 2º, van de Wbp zijn verwerkt. SVOZ heeft de afwijzing van het door [appellant] op voet van artikel 36, eerste lid, van de Wbp gedane verzoek om die gegevens te verwijderen derhalve ten onrechte gehandhaafd en ten onrechte nagelaten om [appellant] te berichten in hoeverre zij aan zijn verzoek zal voldoen, als voorgeschreven in het tweede lid van die bepaling. De rechtbank heeft dit ten onrechte niet onderkend.

Schadevergoeding echter afgewezen

De man krijgt dus op (bijna) alle relevante punten gelijk. Behalve als het aankomt op de gevorderde schadevergoeding. Van materiele schade zou namelijk volgens de Raad geen sprake zijn en voor immateriele schade wordt aansluiting gezocht bij de (relatief strenge) normen uit het civiele recht. Aan die criteria zou niet zijn voldaan, op grond waarvan de vordering wordt afgewezen.

Dit is opvallend, nu in artikel 49 lid 2 Wbp juist uitdrukkelijk is bepaald dat aanspraak bestaat op immateriele schadevergoeding. In de memorie van toelichting is destijds al onderkend dat het recht op schadevergoeding Europees geharmoniseerd is en dat het dus maat de vraag is of daarvoor aansluiting kan worden gezocht bij normen uit het civiele recht:
Het is aannemelijk dat in geval van schade de jurisprudentie aansluiting zal zoeken bij artikel 6:75 BW dat bepaalt dat een tekortkoming de verantwoordelijke niet kan worden toegerekend indien zij niet te wijten is aan zijn schuld, noch krachtens de wet, rechtshandeling of in het verkeer geldende opvattingen voor zijn rekening komt. Het is evenwel mogelijk dat de jurisprudentie van het Europese Hof van Justitie dwingt tot een afwijkende interpretatie van deze bepaling. Gegeven deze laatste mogelijkheid is deze afzonderlijke regeling opgenomen ter implementatie van de richtlijn.

Ik vraag me dan ook af of de overweging van de Raad van State over schadevergoeding wel juist is en of de uitspraak dus niet strijdig is met de privacyrichtlijn. Het is afwachten tot de Raad ook hier terugkomt van de bestendige lijn tot op heden.