Wettelijk kader
Een van de belangrijkste wetten op het gebied van het privacyrecht is de Wet bescherming persoonsgegevens (WBP). Op grond van artikel 6 van deze wet is de verwerking van persoonsgegevens alleen toegestaan wanneer dit overeenkomstig de wet en op behoorlijke en zorgvuldige wijze gebeurt. Persoonsgegevens zijn alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Alle gegevens opgenomen in een bedrijfsadministratie over een klant zijn daarmee aan te merken als persoonsgegevens. Voor het woord verwerking mag kortgezegd ieder werkwoord worden gelezen.
Het (telefonisch) verstrekken van gegevens over een klant uit de bedrijfsadministratie - zoals veelvuldig in de documentaire is te zien - is daarmee aan te merken als een verwerking van persoonsgegevens en dient dus te voldoen aan het strenge kader van de WBP (*). Hierna ga ik kort in op twee aspecten van die wet.
1. Grondslag voor verwerking ontbreekt
Artikel 8 WBP bepaalt dat de verwerking van persoonsgegevens alleen is toegestaan in zes in de wet genoemde situaties. Of anders gezegd: er moet een grondslag voor de verwerking aanwezig zijn. De belangrijkste hiervan zijn: toestemming van de betrokkene, uitvoering van een overeenkomst en een gerechtvaardigd belang van de betrokken ondernemening dat niet zwaarder weegt dan het privacybelang van de betrokkene.
Het klakkeloos verstrekken van persoonlijke gegevens van een klant aan derden vormt bijna altijd een overtreding van dit voorschrift. Van toestemming van de betrokkene zal immers doorgaans geen sprake zijn en deze verstrekking is ook niet nodig voor de uitvoering van de overeenkomst die de onderneming met de betreffende klant heeft. Het belang van de klant dat zijn gegevens niet zomaar in de handen van derden komen te vallen, weegt ook ongetwijfeld (veel) zwaarder dan het belang van de betrokken onderneming om de werkprocessen rondom afhandeling van telefoongesprekken eenvoudig te houden.
Dit betekent dat degene die verantwoordelijk is voor de verwerking van persoonsgegevens - in de regel het betrokken bedrijf, maar wellicht ook het eventueel ingeschakelde call center - alleen al op dit punt de WBP schendt. Het College Bescherming Persoonsgegevens (CBP) kan dan bestuursdwang toepassen en dwangsommen opleggen. Ook staat het CBP er om bekend de publiciteit te zoeken op het moment dat zij handhavend optreedt. De (indirecte) imagoschade die hier uit voortvloeit is ongetwijfeld veel groter dan het bedrag aan boetes en dwangsommen dat eventueel verschuldigd is na bestuurlijk optreden door het CBP.
2. Geheimhoudingsplicht geschonden
Op grond van artikel 12 lid 2 WBP is iedereen die persoonsgegevens verwerkt verplicht tot geheimhouding van die gegevens. Het betreft een absolute geheimhoudingsverplichting met slechts twee uitzonderingen:
- een wettelijke verplichting tot mededeling;
- de situatie dat uit de taak van de medewerker de verplichting tot mededeling voortvloeit.
Of voor de betrokken medewerker een noodzaak tot mededeling aanwezig is, wordt bepaald door de verantwoordelijke onder wiens gezag of in wiens opdracht de persoon werkzaam is, aldus de wetsgeschiedenis. Met andere woorden: een werknemer die in opdracht van zijn superieur persoonsgegevens aan derden verstrekt, schendt in beginsel niet de wettelijke verplichting tot geheimhouding.
Let wel: dat betekent nog niet dat ook de werkgever vrijuit gaat. Er zal moeten worden getoetst of de betreffende verstrekking van persoonsgegevens voldoet aan het kader van de WBP. Een werkgever die de opdracht geeft of een beleid voert om klantgegevens klakkeloos aan derden te verstrekken, schendt dit kader wel (zie hiervoor onder 1).
In veel situaties zal de werkgever echter geen opdracht hebben gegeven om zo laks met privacygevoelige informatie om te springen. Integendeel. Vaak staat in arbeidsovereenkomsten een uitdrukkelijk geheimhoudingsbeding opgenomen dat de werknemer juist verplicht om privacygevoelige gegevens geheim te houden. Werknemers die opzettelijk deze geheimhoudingsverplicht schenden maken zich schuldig aan het misdrijf van artikel 272 Wetboek van Strafrecht. De straf die hierop is gesteld is een gevangenisstraf van maximaal een jaar of een boete van maximaal € 19.000,-. Van opzet is volgens de wetsgeschiedenis (al) sprake wanneer "wordt gehandeld in strijd met een uitdrukkelijke aanwijzing van de verantwoordelijke of een waarschuwing van enige toezichthouder". Werknemers die tegen de aanwijzingen van hun werkgevers laks omspringen met privacyregels, lopen dus een risico strafrechtelijk veroordeeld te worden.
Ook arbeidsrechtelijk is er mogelijk een probleem voor de werknemer die - tegen de instructies van de baas in - zo maar gegevens over klanten aan derden verstrekt. In dat verband wijs ik er op dat artikel 7:678 BW als mogelijke redenen voor ontslag op staande voet onder meer vermeldt het schuldig maken aan misdrijven die het vertrouwen van de werkgever schenden, het bekend maken van gegevens over het bedrijf die geheim moesten blijven en het grovelijk verontachtzamen van verplichtingen die de arbeidsovereenkomst aan de werknemer oplegt. Of daadwerkelijk sprake is van een situatie die ontslag op staande voet rechtvaardigt zal in ieder individueel geval moeten worden bezien.
Ten slotte
In dit bericht ben ik slechts kort in gegaan op twee aspecten van het privacyrecht naar aanleiding van de VPRO documentaire "Wat nou privacy?" van 27 oktober 2010. Beide genoemde aspecten kunnen nog veel verder worden uitgediept. Dat gaat het karakter van dit weblogbericht echter te buiten.
Er zijn bovendien veel meer aspecten van het privacyrecht die hier spelen. Ik denk bijvoorbeeld aan de (zeer) ver strekkende beveiligingsverplichting van artikel 13 WBP. Aan die beveiligingsverplichtingen zal ik in een later bericht aandacht schenken.
(*) Dat telefonisch verstrekken van persoonsgegevens een handeling is die mondeling plaatsvindt, maakt niet dat de WBP niet van toepassing zou zijn. De WBP is immers van toepassing op zowel de geautomatiseerde verwerking als de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of bestemd zijn om in een bestand opgenomen te worden (artikel 2 WBP). De door de call center agents verstrekte gegevens zijn evident opgenomen in een gestructureerde administratie, zodat sprake is van een "bestand" en de WBP van toepassing is.
