ACM kopieert bestanden van mobiele telefoons, maar biedt voldoende waarborgen

Vzr. Rechtbank Den Haag 22 november 2017, IT 2426; ECLI:NL:RBDHA:2017:14150 (X tegen Staat der Nederlanden). Privacy. ACM kopieert bestanden van mobiele telefoons van werknemers in kader onderzoek. Voldoende waarborgen ter voorkoming inzage in gegevens waarop het onderzoek geen betrekking heeft. De ACM heeft tijdens het bedrijfsbezoek onder meer inzage gevorderd in de mobiele telefoons (c.q. smartphones) van zes bij [X] betrokken personen, waarbij de ACM ter plaatse een integrale kopie van de op die telefoon aanwezige gegevens heeft gemaakt (met uitzondering van gegevens betreffende video, audio en ringtones). [X] heeft hiertegen bezwaar gemaakt. Gelet op die bezwaren heeft de ACM toegezegd dat zij de digitale gegevensdrager waarop zich de gekopieerde bestanden bevinden in een kluis zal bewaren en de gegevens pas zal ontsluiten (volgens een vaste procedure, zie hierna) nadat de voorzieningenrechter in een door [X] te entameren kort geding uitspraak heeft gedaan. Digitale werkwijze

2.3. De ACM heeft verklaard binnen de gekopieerde gegevens een selectie aan te brengen volgens een procedure die is vastgelegd in de Digitale Werkwijze. Kort gezegd houdt die procedure in dat forensische IT-specialisten, die geen deel uitmaken van het team dat het onder 2.1 omschreven onderzoek uitvoert, aan de hand van zoektermen een automatisch uitgevoerde selectie maken uit de gegevens. De gegevens die voldoen aan de opgegeven criteria vormen de “binnen de reikwijdte dataset”. [X] zal een kopie van die set ontvangen, alsmede van de gehanteerde zoekvragen. [X] kan dan vragen om een aangepaste selectie op basis van andere zoekvragen. Daarnaast kan zij aangeven welke bestanden van de “binnen de reikwijdte dataset” geprivilegieerde correspondentie betreft. De juistheid van die claim zal worden beoordeeld door een onafhankelijke verschoningsrechtfunctionaris. Ook kan [X] aangeven dat bepaalde bestanden “niet-zakelijk” zijn. Ook die claim zal per bestand worden beoordeeld. Langs deze weg wordt de “binnen de reikwijdte dataset” verkleind tot een “onderzoeksdataset”. Uitsluitend die laatste dataset wordt ter beschikking gesteld van het onderzoeksteam.

4.4. Dat voor het inzien en kopiëren van gegevens van mobiele telefoons een voorafgaande rechterlijke machtiging is vereist, zoals [X] bepleit, volgt de voorzieningenrechter niet. De ACM heeft terecht opgemerkt dat de wetgever die eis niet stelt, zodat onduidelijk is welke rechter een dergelijke machtiging zou moeten geven en op grond waarvan dit zou moeten geschieden. Dat de wetgever voornemens is het Wetboek van Strafvordering te moderniseren en in het kader daarvan overweegt een voorafgaande rechterlijke machtiging verplicht te stellen bij het onderzoeken van elektronische gegevensdragers maakt dit niet anders. Dit reeds omdat de ACM haar bevoegdheid niet aan het Wetboek van Strafvordering ontleent, maar aan de Algemene wet bestuursrecht.

4.5. De hoeveelheid gegevens op de zes mobiele telefoons tezamen is aanzienlijk (18,7 GB). De opgave waar de ACM voor staat is om uit die grote hoeveelheid gegevens de zakelijke gegevens, althans die zakelijke gegevens die van belang kunnen zijn voor haar onderzoek, te selecteren. Onweersproken is dat het gelet op de hoeveelheid gegevens niet mogelijk was om die selectie ter plaatse te maken. De aangewezen en in de jurisprudentie aanvaarde weg in dat geval is het maken van een kopie en op een later moment vanuit die kopie de selectie maken.

4.6. Noodzakelijkerwijs zullen dan ook eventueel aanwezige privégegevens worden gekopieerd. De voorzieningenrechter acht dit evenwel niet onrechtmatig, gelet op het onderzoeksbelang van de ACM, waaraan redelijkerwijs niet op een andere wijze kan worden tegemoetgekomen. Het recht op privacy weegt in dit geval minder zwaar, mits er voldoende waarborgen zijn om te voorkomen dat de ACM inzage verkrijgt in gegevens zonder dat zij daartoe gerechtigd is.