IT 69

Vergaand recht op inzage in dossier met eigen persoonsgegevens bij verzekeraar wederpartij

De rechtbank Zutphen heeft onlangs een interessante beschikking gegeven over het inzagerecht in dossiers met persoonsgegevens die een ander aanlegt. Deze beschikking bevestigt de vergaande consequenties van het inzagerecht voor de praktijk (Rechtbank Zutphen, 08-10-2009, LJN: BK4206). Eerder heeft de Hoge Raad al geoordeeld over het inzagerecht in beleggingsdossiers bij banken. Nu oordeelt de rechtbank Zutphen over inzage in een dossier bij een verzekeraar.

Met dank aan Mark Jansen, Dirkzwager advocaten.

De zaak handelt over een vrouw die verwikkeld is in een juridische procedure met een ziekenhuisarts over een (vermeende) beroepsfout van die arts. Terwijl die rechtszaak over aansprakelijkheid nog loopt, doet deze vrouw richting Centraal Beheer, de verzekeraar van het ziekenhuis, een beroep op artikel 35 Wet bescherming persoonsgegevens met het verzoek om haar een volledig overzicht te verstrekken van (1) de persoonsgegevens die van haar worden verwerkt en (2) aan wie deze gegevens verstrekt zijn.

Centraal Beheer geeft daarop een overzicht van de bij deze verwerkingen betrokken personen en een twee pagina’s tellende lijst met stukken die over de verzoekster in het dossier zijn opgenomen.

Daarop stelt de vrouw voor de rechtbank dat dit overzicht niet compleet is en dat ze bovendien recht heeft op afschrift van de gegevens. Centraal Beheer verweert zich in deze procedure met de stelling dat de WBP helemaal niet van toepassing is, nu het een papieren dossier betreft. De rechtbank passeert dit verweer door aan te geven dat de WBP naast bij alle geautomatiseerde verwerkingen van persoonsgegevens, krachtens artikel 2 lid 1 WBP ook van toepassing is bij in een “bestand” opgenomen persoonsgegevens. Aangezien het dossier gestructureerd van aard is (althans logischer wel gestructureerd moet zijn), voldoet het dossier van Centraal Beheer volgens de rechtbank aan de definitie van “bestand”. De WBP is dus wel van toepassing. Ook bij papieren dossiers zal dus veelal een inzagerecht bestaan.

Interessant is dat rechtbank oordeelt dat het inzagerecht ook ziet op aanbiedingsbrieven waarin persoonsgegevens van de vrouw aan derden worden verstrekt. Gezien de tekst van de wet moge dit niet zo verrassend zijn, maar wat staat er al niet (aan bijvoorbeeld “sappig” commentaar) in dergelijke briefjes?

Een ander interessant punt is dat de rechtbank oordeelt dat het inzagerecht niet ziet op afschrift van interne notities en werkaantekeningen. Interne werkaantekeningen behoren namelijk niet tot het dossier (aldus de rechtbank). Voor dit oordeel sluit de rechtbank aan bij hetgeen hierover is bepaald in de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen, waarvoor tot 5 februari 2008 een verklaring van geen bezwaar van het College Bescherming Persoonsgegevens gold. Ook krijgt de betrokkene om die reden geen inzage in de correspondentie over de zaak die Centraal Beheer met haar advocaat heeft gevoerd. Gezien het ruime inzagerecht dat volgt uit het kader van de Hoge Raad (zie slot van dit stukje), is het de vraag of deze beperking op het inzagerecht inderdaad moet worden aangenomen. Anderzijds is de vraag of bij alle correspondentie uit het dossier nog wel steeds sprake is van “verwerking van persoonsgegevens”. Deze discussie krijgt ongetwijfeld nog wel een vervolg in een andere zaak.

Centraal Beheer wordt uiteindelijk bevolen om een volledig overzicht te verstrekken van elke verwerking van persoonsgegevens, door alle informatiedragers op te geven waarop deze persoonsgegevens staan. Ook moet zij afschrift geven van de door verzoekster geselecteerde informatiedragers, tenzij dit interne notities, werkaantekeningen of correspondentie met haar advocaat betreft. Daarnaast had de vrouw nog andere vorderingen ingediend – zoals een verbod voor Centraal Beheer haar persoonsgegevens verder te verwerken en een schadevergoeding – maar deze vorderingen moet zij volgens de rechtbank in een normale dagvaardingsprocedure aanhangig maken (in plaats van in deze verzoekschriftprocedure).

De uitspraak van de Rechtbank Zutphen lijkt overigens in lijn met vaste rechtspraak van de Hoge Raad. In een hele serie uitspraken gegeven op 29-06-2007 (zie bijvoorbeeld deze uitspraak) over dit inzagerecht, gaf hij namelijk in steeds gelijke bewoordingen aan dat dit recht ziet op het verkrijgen van een “transparant en volledig” overzicht waarbij “alle relevante informatie over de betrokkene” moet worden verstrekt, waar nodig “door het verstrekken van afschriften, kopieën of uittreksels“. Een beroep op het inzagerecht hoeft volgens de Hoge Raad bovendien niet gemotiveerd te worden: de betrokkene wiens gegevens het betreft kan “volstaan met een verwijzing naar art. 35 Wbp en behoeft geen nadere redenen op te geven“.

Dit bericht verscheen oorspronkelijk op http://dirkzwagerieit.nl/2009/12/09/vergaand-recht-op-inzage-in-dossier-met-eigen-persoonsgegevens-bij-verzekeraar/

IT 73

Privacywetgeving mogelijk niet van toepassing bij slaafs kopiëren persoonsgegevens

Diverse exploitanten van zoekmachines hebben onlangs van de samenwerkende privacytoezichthouders het verzoek gekregen in verband met privacywetgeving hun dienstverlening aan te passen. Interessant is dat uit deze verzoeken volgt dat er kennelijk situaties denkbaar zijn waarop de (strenge) privacywetgeving niet van toepassing is

Met dank aan Mark Jansen, Dirkzwager advocaten.

Alle toezichthouders op de privacywetgeving in Europa zijn verenigd in de zogenaamde “Artikel 29 Werkgroep” (zie over die werkgroep ons eerdere blogbericht). Deze werkgroep heeft onlangs brieven gestuurd aan Yahoo, Microsoft en Google. In deze brieven geeft de werkgroep aan wat er volgens haar nog (meer) moet gebeuren om de dienstverlening van deze bedrijven in overeenstemming met de privacywetgeving te krijgen.

In dit blogbericht richt ik me op de brief aan Google. Uit deze brief blijkt dat, kort gezegd, van Google wordt verlangd dat zij:

  • de zoekgegevens tot maximaal 6 maanden bewaart (nu: 9 maanden);
  • die zoekgegevens volledig onomkeerbaar anonimiseert
    • meer specifiek door het gehele IP-adres te verwijderen (en niet alleen het laatste deel);
    • daar waar (geanonimseerde) zoekresultaten op indirecte wijze toch persoonsgegevens prijsgeven, deze gegevens beperken zodat indirecte identificatie niet mogelijk is;
  • beter en sneller voldoet aan verzoeken om gegevens uit de zoekresultaten te verwijderen.

Eén punt in de brief valt specifiek op. Google heeft betoogd dat zij als zoekmachine niet kan worden aangemerkt als verantwoordelijke voor de persoonsgegevens die op de door haar geindexeerde websites staan, omdat zij slechts als passief doorgeefluik van die gegevens werkt (mere conduit). De Artikel 29 Werkgroep is het hier mee eens: “the Working Party agrees with that rationale”.

Dit is opvallend en wel om de volgende reden. Google werkt met een cache-kopie van alle websites die zij heeft geïndexeerd. Google heeft met andere woorden een kopie opgeslagen van de websites en de daarop vermelde persoonsgegevens. Kopiëren van persoonsgegevens is onmiskenbaar een vorm van “verwerken”. Het systeem van de privacyrichtlijn is vervolgens vrij overzichtelijk: wanneer persoonsgegevens van een EU-burger worden “verwerkt”, is er altijd een bedrijf of instelling die als “verantwoordelijke” voor die verwerking aan te wijzen is. De privacyrichtlijn maakt geen uitzondering voor passieve verwerking. Je zou dus verwachten dat Google in deze situatie als “verantwoordelijke” zou zijn aangemerkt. Het opvallende is echter dat de Werkgroep concludeert dat Google wel verwerkt, maar niet als verantwoordelijke hiervoor kan worden aangemerkt.

Dit lijkt een behoorlijke beperking op het systeem van privacybescherming op te leveren. Wie (persoons)gegevens slechts kopieert en vervolgens onbewerkt doorgeeft aan anderen, zou niet als “verantwoordelijke” aan te merken zijn. Dat zou voor veel exploitanten van websites en andere ondernemers betekenen dat de Wet bescherming persoonsgegevens niet of verminderd op hen van toepassing zijn.

Toch kan deze conclusie niet te snel worden getrokken. De Werkgroep vervolgt namelijk met de opmerking: “However, as soon as data on websites are removed or changed, you do become the controller of the (outdated) personal data contained in the index or Google cache.”. Dit is een belangrijke nuance. Praktisch gesproken kan een exploitant van een zoekmachine immers niet garanderen dat de door haar gekopieerde pagina’s nog ongewijzigd op het web staan, hetgeen haar al snel weer tot “verantwoordelijke” maakt.

Conclusie is dat de (verstrekkende en strenge) privacywetgeving nagenoeg altijd van toepassing is, maar dat een (buitenwettelijke) uitzondering kennelijk wel verdedigbaar is. Verder valt op dat het de toezichthouders op de privacy kennelijk ernst is, nu ze deze grote ondernemingen zo actief sommeert hun beleid te herzien.

Dit bericht is oorspronkelijk verschenen op: http://dirkzwagerieit.nl/2009/11/12/privacywetgeving-mogelijk-niet-van-toepassing-bij-slaafs-kopieren-persoonsgegevens/

IT 77

HvJ EG: Geen gebruiksvergoeding bij herroeping overeenkomst door consument

Het Hof van Justitie voor de Europese Gemeenschappen (HvJ EG) heeft zich in een arrest van 3 september 2009 uitgelaten over de – belangrijke – vraag of een internetverkoper compensatie mag eisen voor het gebruik door de koper van een via internet gekocht goed in de herroepingsperiode, indien het goed vervolgens binnen die periode defect raakt en de koper zich daarna tijdig op het herroepingsrecht beroept (HvJEG, 03-09-2009, zaak C-489/07).

Met dank aan Joost Becker , Dirkzwager advocaten.

In deze Duitse zaak gaat het om de aanschaf via internet van een laptop ter waarde van € 278,–. De laptop is op 2 december 2005 gekocht. In augustus 2006 treedt er een defect op, welk defect op 4 augustus 2006 door de koper bij de internetverkoper is gemeld. De internetverkoper weigert vervolgens het defect gratis te repareren en het notebook terug te nemen tegen terugbetaling van de koopprijs aan de koper, die zich vervolgens tijdig op het herroepingsrecht beroept. (Hierbij teken ik aan dat de herroepingsperiode in Duitsland volgens deze uitspraak langer is; te weten 6 maanden in plaats van 3. Indien de consument-koper niet naar behoren is geïnformeerd over het herroepingsrecht, vervalt het niet.)

Volgens de internetverkoper moet de koper sowieso een gebruiksvergoeding betalen voor de 8 maanden dat van de laptop gebruik is gemaakt. De internetverkoper fixeert dit op een bedrag van € 118,80 per kwartaal, in totaal € 316,80.

Hierop stelt de Duitse rechter een prejudiciële vraag aan het HvJ EG; mag de verkoper bij tijdige herroeping door de consument een gebruiksvergoeding eisen voor een geleverd consumtiegoed? Het antwoord is in beginsel nee.

Het HvJ EG stelt voorop dat aan de consument voor uitoefening van het herroepingsrecht ten hoogste de rechtstreekse kosten voor het terugzenden van goederen kunnen worden aangerekend. Anders wordt uitoefening van het herroepingsrecht tezeer geblokkeerd. De consument moet volgens het HvJ EG ook een passende bedenktijd krijgen om het goed (in alle vrijheid en zonder enige druk) te keuren en uit te proberen. Het betalen van een compenserende vergoeding voor gebruik van het goed is hiermee niet verenigbaar.

Een en ander staat er volgens het HvJ EG echter niet aan in de weg dat een consument-koper verplicht kan zijn een billijke compenserende vergoedig te betalen, indien de koper het goed dat via internet is verworven heeft gebruikt op een wijze die niet verenigbaar is met de beginselen van burgerlijk recht, zoals goede trouw of ongerechtvaardigde verrijking. Met dat laatste lijkt het HvJ EG op situaties van misbruik of behaald voordeel te wijzen. Helaas laat het HvJ EG na deze omstandigheden verder uit te werken. Wél maakt het HvJ EG in dit kader duidelijk dat de hoogte van een compenserende vergoeding geen afbreuk mag doen aan de doeltreffendheid en effectiviteit van het herroepingsrecht, bijvoorbeeld indien de compensatie qua hoogte in geen verhouding staat tot de koopprijs of de consument-koper zou moeten bewijzen dat hij het goed niet heeft gebruikt op een wijze die verder gaat dan nodig voor het uitoefenen van het herroepingsrecht. Ook de vraag hoelang het heeft geduurd voordat de consument het herroepingsrecht heeft uitgeoefend, kan hierbij een rol spelen.

Dit bericht is oorspronkelijk verschenen op: http://dirkzwagerieit.nl/2009/09/14/hvj-eg-internetverkoper-mag-in-beginsel-geen-compenstatie-eisen-voor-gebruik-goed-bij-herroeping-door-koper/