Privacy Nieuws
Het bestuur van de Hellendoorn Rally kampt door de nieuwe privacywet GDPR / AVG opeens met een levensgroot dilemma, meldt RTV Oost. Mag de bloedgroep van rallyrijders voortaan nog wel op hun rallyauto vermeld staan?
Eerste gedachte, zoals bij iedereen denk ik, waarom zou dat niet mogen?
Tweede gedachte, als privacymanager, waarom zou dat niet mogen onder de privacywet?
Als ik mijn bloedgroep op mijn eigen auto wil zetten is er niemand die mij dat verbiedt. Dat moet ik zelf weten. Nergens staat in de wet dat ik mijn eigen persoonsgegevens niet zelf mag delen.
Waarom zou een rallyrijder daarom niet zelf zijn eigen bloedgroep op zijn eigen auto mogen plaatsen? Als het zijn eigen auto is, mag een rallyrijder dat zelf beslissen.
Het is iets anders als de rallycoureur in opdracht van iemand anders rijdt. Dan is de AVG wel van toepassing.
Bloedgroepgegevens vallen onder de GDPR-categorie bijzondere gegevens, die beschreven wordt in artikel 16 van de AVG.
Artikel 16 is conform de richtlijn geformuleerd als een verbod. Dit impliceert dat als hoofdregel geldt dat verwerking van gevoelige gegevens niet is toegestaan.
Het bestuur van de Hellendoornrally zou als organisatie wel een ontheffing van de regel kunnen vragen. Dan moet een beroep worden gedaan op zwaarwegend belang. Daar heeft het bestuur goede gegronde redenen voor.
Verwerking van bijzondere gegevens is volgens de GDPR slechts toegestaan indien dat noodzakelijk is met het oog op een zwaarwegend algemeen belang, passende waarborgen ter bescherming van de persoonlijke levenssfeer worden geboden en dat bij wet is bepaald of de Registratiekamer daarmee bij beschikking heeft ingestemd.
Volgens bestuurslid veiligheid Meijerink kan vermelding van de bloedgroep bij een ernsig ongeval met een rallyauto het verschil betekenen tussen leven en dood. Er is dan een vitaal belang.
“Uiteraard hebben artsen toegang tot de medische dossiers van de deelnemers, maar de hulpverlening kan inderdaad niet sneller dan wanneer de bloedgroep meteen op de auto te zien is”, zegt Meijerink bij RTV Oost.
Er is nog een reden waarom er eigenlijk geen dilemma zou hoeven te zijn.
De AVG bepaalt dat bijzondere gegevens alleen mogen worden verwerkt als daar expliciet toestemming voor gegeven is. Er mag geen druk uitgeoefend zijn. Het mag dus niet algemeen verplicht zijn.
Dat is bij de Hellendoorn Rally ook niet langer het geval, volgens Meijerink. “Dit is tegenwoordig niet meer verplicht, maar een aantal deelnemers doet dit nog wel.”
Het werkelijke dilemma in het nieuwbericht is dat er op voorhand vanuit wordt gegaan dat iets volgens de GDPR niet mag. Maar die veronderstelling is vaak – om in rallytermen te blijven – te kort door de bocht.
Sportclubs, verenigingen, scholen, bedrijven en allerhande instanties zijn niet gehinderd door enige kennis vanwege de torenhoge boetes die kunnen worden opgelegd als de dood om fouten te maken.
Het is goed dat iedereen stil staat bij de privacyregels.
Maar het is niet goed dat mensen zonder kennis van zaken verregaande conclusies trekken. Het is ook niet goed dat media de onrust vergroten door klakkeloos onprofessioneel onderbouwde veronderstellingen over te nemen zonder wederhoor bij professionele instanties.
In het geval van de Hellendoorn Rally geeft bestuurslid Meijerink zelf toe dat er nog geen deskundige hulp is ingeschakeld.
Volgens de woordvoerder wordt binnenkort contact opgenomen met de overkoepelende rallyorganisatie KNAF om te kijken naar een oplossing voor het probleem. “Tot nog toe hebben we het er alleen intern nog maar over gehad.”
De concluderende sturende vraag van RTV Oost “in hoeverre de nieuwe wetgeving dan ook zijn doel voorbij schiet omdat die juist cruciale vertraging in de hulpverlening kan veroorzaken?”, is dus voorbarig.
Privacy Nieuws
De gemeente Utrecht mag van de Autoriteit Persoonsgegevens (AP) geen gegevens over het seksuele leven van raamprostituees opnemen in een register. De AP is van oordeel dat de registratieplicht van raamprostituees door de gemeente Utrecht in strijd is met de Wet bescherming persoonsgegevens.
De gemeente Utrecht wilde raamprostituees verplichten zich te registreren bij het bevoegd gezag als zij als prostituee in een raamprostitutiebedrijf willen werken.
De gemeente Utrecht ziet de registratieplicht voor raamprostituees als een belangrijke maatregel bij de bestrijding van mensenhandel.
In verband met de Algemene Verordening Gegevensverwerking moest de gemeente Utrecht voor het verwerken van bijzondere persoonsgegevens zoals ras- en gezondheidsgegevens van raamprostituees ontheffing vragen bij de AP.
Registratieplicht
De Autoriteit Persoonsgegevens is van oordeel dat het verwerken van gegevens over het seksuele leven van personen een grote inbreuk kan hebben op de persoonlijke levenssfeer van betrokkenen.
Het is daarom verboden op grond van de Wet bescherming persoonsgegevens, tenzij sprake is van een wettelijke grondslag waarop de gemeente zich kan baseren.
Volgens de AP heeft de gemeente niet aannemelijk kunnen maken dat zij een beroep kan doen op de grondslag algemeen zwaarwegend belang.
Ontheffingsverzoek
De AP ziet daarnaast geen grond om het ontheffingsverzoek om bijzondere persoonsgegevens (gegevens over ras en gezondheid) van raamprostituees te honoreren.
Er is namelijk geen wetsvoorstel in de maak dat de structurele verwerking waarvoor ontheffing wordt verzocht, zal gaan regelen. Hierdoor is het verlenen van een ontheffing door de AP niet aan de orde.
Vervolgprocedure
Belanghebbenden die een zienswijze hebben ingediend, kunnen binnen zes weken na publicatie van dit besluit beroep instellen tegen dit besluit bij de rechtbank.
Privacy Nieuws
De Europese privacywet GDPR gaat veel ondernemers veel te ver. Ze vinden het een bureaucratisch gedrocht. Wat velen niet beseffen is dat de regels in de GDPR helemaal niet zo nieuw zijn. En dat er ook al veel langer opgetreden wordt tegen schendingen van de privacy.
En dan heb ik het niet over de Wet Bescherming persoonsgegevens.
De privacywetgeving en handhaving gaat nog veel verder terug. Dit artikel is bijzonder interessant voor mensen die meer willen weten over jurisprudentie die verwerkt is in de GDPR.
Het begon in 1998
Het begon allemaal in 1998, twintig jaar voor de GDPR die op 25 mei 2018 van kracht wordt, met de website die een huishoudster in Zweden bouwde voor de parochie van een kerk waar ze bij was aangesloten.
De huishoudelijke hulp Bodil Lindqvist was betrokken bij de voorbereiding van de communie in de Zweedse parochie Alseda Zweden. In haar vrije tijd volgde ze een computercursus waarvoor ze onder meer een homepagina op internet moest creeren. Daarmee schreef ze eind 1998 geschiedenis.
Bodil leek het handig dat parochianen gemakkelijk de informatie konden vinden die zij nodig zouden kunnen hebben.
Bodil was haar tijd vooruit
Het waren de begindagen van internet. Bodil was haar tijd ver vooruit. Ze was eigenlijk een van de eerste bloggers. Vrijwel niemand hield zich destijds nog bezig met internet. Smartphones bestonden nog niet. Snel internet, zoals we nu kennen, was er ook niet.
De website van Bodil bevatte informatie over haarzelf en 18 van haar collega’s in de parochie. Ze noemde haar collega’s met naam en toenaam. Ze beschreef het werk van haar collega’s en hun hobby’s ook in licht humoristische bewoordingen. In verscheidene gevallen werden hun gezinssituatie, hun telefoonnummer en andere informatie verstrekt.
Medische informatie
Ze vertelde ook dat een van haar collega’s haar voet had gekwetst en om medische redenen in deeltijd werkte. Deze blog kwam haar duur te staan. Ze had de wet overtreden.
Lindqvist had haar collega’s niet van het bestaan van de website met hun privegegevens op de hoogte gesteld noch hun toestemming gekregen. Ze had evenmin haar handelwijze aan de Datainspektion gemeld (Zweeds overheidsorgaan voor de bescherming van elektronisch doorgegeven gegevens).
Strafrechtelijk onderzoek
Toen zij vernam dat de bedoelde pagina’s door een aantal van haar collega’s niet op prijs werden gesteld, heeft zij ze verwijderd. Maar daarmee voorkwam ze niet dat er een strafrechtelijk onderzoek naar haar handelen werd in gesteld door het Zweedse openbaar ministerie.
Het kwam tot een baanbrekende rechtszaak.
De rechtsprocedure die volgde eindigde voor het Europese hof. En de uitspraak van toen past geheel bij de Europese privacywet GDPR, die eigenlijk dus helemaal niet zo nieuw is.
Boete van 4.000 kronen
Bodil Lindqvist kreeg een boete van 4 000 Zweedse kronen (ongeveer 450 EUR) wegens de automatische verwerking van persoonsgegevens, zonder dat zij de Zweedse toezichthoudende autoriteit voor de bescherming van elektronisch doorgestuurde gegevens schriftelijk in kennis had gesteld, wegens de niet-toegestane doorgifte van gegevens aan derde landen en wegens de verwerking van gevoelige persoonsgegevens (voetletsel en deeltijdwerk op medische gronden).
Ze moest bovendien nog eens 300 Euro betalen aan een Zweeds fonds voor slachtofferhulp.
Zweedse rechters willen Europees advies
Zij is tegen dit besluit in beroep gegaan bij het Zweedse Hof van Beroep (Göta hovrätt), die de zaak voorlegde aan het Europese Hof van Justitie in Den Haag. De Zweedse rechters wilden het volgende weten:
1) Is het vermelden van een persoon – met naam of met naam en telefoonnummer – op een homepage op het internet een handeling die onder de werkingssfeer van richtlijn [95/46] valt? Is er sprake van een .geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, wanneer op een eigenhandig gecreëerde homepage op het internet een aantal personen worden vermeld met verklaringen en mededelingen omtrent onder meer hun werksituatie of hun hobby’s?
2) Bij ontkennend antwoord op de voorgaande vraag: kan het op een homepage op internet creëren van speciale pagina’s voor een vijftiental personen, met links tussen die pagina’s die zoeken op voornaam mogelijk maken, worden aangemerkt als een .niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen in de zin van artikel 3, lid 1?
Indien het antwoord op een van deze vragen bevestigend luidt, stelt de hovrätt ook nog de volgende vragen:
3) Kan het opnemen van dergelijke gegevens over collega’s op een privé-homepage, die evenwel toegankelijk is voor al degenen die het adres van de homepage kennen, op grond van een van de uitzonderingen van artikel 3, lid 2, worden geacht buiten de werkingssfeer van richtlijn [95/46] te vallen?
4) Is de mededeling op een homepage, dat een bij name genoemde collega haar voet heeft bezeerd en met gedeeltelijk ziekteverlof is, een persoonsgegeven over de gezondheid, dat volgens artikel 8, lid 1, niet mag worden verwerkt?
5) De doorgifte van persoonsgegevens naar derde landen is volgens richtlijn [95/46] in bepaalde gevallen verboden. Indien iemand in Zweden met behulp van een computer persoonsgegevens op een homepage opneemt, die op een server in Zweden is opgeslagen – waardoor die persoonsgegevens voor onderdanen van een derde land toegankelijk worden -, is dan sprake van doorgifte van gegevens naar derde landen in de zin van richtlijn [95/46]? Blijft het antwoord hetzelfde indien, voorzover bekend, geen onderdaan van een derde land feitelijk kennis heeft genomen van de gegevens, of indien de betrokken server zich zuiver fysiek in een derde land bevindt?
6) Vormen de bepalingen van richtlijn [95/46] in een geval als het onderhavige een beperking die in strijd is met de algemene beginselen van vrijheid van meningsuiting of andere in de EU geldende vrijheden of rechten, die onder meer overeenkomen met artikel 10 van het Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden?
7) Kan een lidstaat op de in de voorgaande vragen bedoelde punten voorzien in een verdergaande bescherming van persoonsgegevens of in een ruimere werkingssfeer dan uit richtlijn [95/46] voortvloeit, ook wanneer geen sprake is van een van de in artikel 13 bedoelde gevallen?
Europese uitspraak
De Europese rechters beoordeelden of de aan Bodil Lindqvist ten laste gelegde activiteiten in strijd zijn met de bepalingen van de richtlijn betreffende de bescherming van persoonsgegevens, die tot doel heeft in alle lidstaten een gelijk niveau van bescherming van de rechten en vrijheden van natuurlijke personen op dit gebied te waarborgen.
Het Europese Hof oordeelde dat de verwijzing op een internetpagina naar verschillende personen en hun identificatie met naam of anderszins (onder opgave van hun telefoonnummer of informatie over hun arbeidsomstandigheden en hobby’s) “de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens” vormt.
Verwerken van bijzondere persoonsgegevens
Bovendien komt de verwijzing naar de gezondheidstoestand van een individu neer op een verwerking van gezondheidsgegevens in de zin van de richtlijn van 1995. Onder de nieuwe privacywet GDPR keert die richtlijn uit 1995 terug bij de bepaling over het verwerken van bijzondere persoonsgegevens.
Een dergelijke verwerking van persoonsgegevens valt niet onder de categorie van activiteiten in het kader van de openbare veiligheid, noch onder de categorie van louter persoonlijke of huishoudelijke activiteiten, die buiten het toepassingsgebied van de richtlijn vallen.
Europees Verdrag Rechten van de Mens
De Europese rechters verwijzen ook naar Artikel 8 van het Europees verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden dat op 4 november 1950 in Rome werd ondertekend. Het verdrag regelt het recht op respect voor het privéleven, het familie- en gezinsleven, en artikel 10 daarvan bevat bepalingen inzake de vrijheid van meningsuiting.
Het Europese Hof herinnert eraan dat de richtlijn ook specifieke regels bevat om de lidstaten in staat te stellen toezicht uit te oefenen op de doorgifte van persoonsgegevens naar derde landen.
Vrijheid van meningsuiting
De bepalingen van de richtlijn houden op zich geen beperking in die in strijd is met het beginsel van de vrijheid van meningsuiting of andere grondrechten.
Nationale regelingen
Het staat aan de nationale autoriteiten en rechterlijke instanties die bevoegd zijn voor de toepassing van de nationale regeling ter uitvoering van de richtlijn, een juist evenwicht te verzekeren tussen de betrokken rechten en belangen, met inbegrip van deze grondrechten.
Rechters met vooruitziende blik
De Europese rechters waren in 2003 kortom hun tijd ver vooruit. Dat blijkt ook uit hun visie destijds op de impact van hun uitspraak voor toekomstige ontwikkelingen:
Enerzijds zal de economische en sociale integratie die het gevolg is van de totstandbrenging en de werking van de interne markt, noodzakelijkerwijs leiden tot een aanzienlijke toename van de stroom van persoonsgegevens tussen alle deelnemers aan het economische en sociale leven van de lidstaten, zowel ondernemingen als nationale overheden van de lidstaten. Die deelnemers hebben in zekere mate behoefte aan persoonsgegevens om in het kader van de door de interne markt gevormde ruimte zonder binnengrenzen hun transacties te kunnen uitvoeren of hun opdracht te kunnen vervullen. Anderzijds verlangen de bij de verwerking van persoonsgegevens betrokken personen terecht dat die gegevens doeltreffend worden beschermd.
Bron: Arrest van het Hof, 6 november 2003:
Richtlijn 95/46/EG – Werkingssfeer – Openbaarmaking van persoonsgegevens op internet – Plaats van openbaarmaking – Begrip doorgifte van persoonsgegevens naar derde landen – Vrijheid van meningsuiting – Verenigbaarheid met richtlijn 95/46 van verdergaande bescherming van persoonsgegevens door wettelijke regeling van lidstaat