AVG Jurisprudentie, Privacy Nieuws
Mag de eigenaar van bedrijfspanden zijn eigendommen met camera’s beveiligen als daarbij ook omwonenden in beeld kunnen worden gebracht? De buren vinden op basis van de Algemene Verordening Gegevensbescherming (AVG) van niet. De Autoriteit Persoonsgegevens (AP) heeft de klacht echter afgewezen.
De ondernemer heeft twee camera’s aan zijn bedrijfspand bevestigd. Volgens de buren zijn die camera’s op de openbare weg gericht. Buurtbewoners die meerdere malen per dag gebruik maken van dat gedeelte van de openbare weg worden dus iedere keer gefilmd.
De advocaat van de buren heeft de AP verzocht om de ondernemer te verplichten de positie van de camera’s te wijzigen, zodat niet langer opnames van de openbare weg worden gemaakt. De buren zijn van mening dat de positie van de camera’s niet noodzakelijk is voor de beveiliging van het bedrijf.
De ondernemer is enigszins aan het verzoek van de buren tegemoetgekomen, maar zij vinden dat onvoldoende. De buren hebben daarom in augustus 2017 een handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens.
De AP heeft in juni 2018, bijna een jaar later, uitspraak gedaan. Deze uitspraak is op 1 november 2018 pas op de site van de AP gepubliceerd. De bijgevoegde brief geeft inzicht in de tijdrovende zorgvuldige procedure die volgt op een klacht die bij de AP wordt ingediend.
De eigenaar voldoet volgens de Autoriteit Persoonsgegevens aan de AVG grondslag gerechtvaardigd belang. De ondernemer heeft het recht om zijn eigendommen te beschermen.
Iedere organisatie die persoonsgegevens verwerkt moet daarvoor volgens de AVG een wettelijke grondslag hebben. Er staan in de AVG 6 grondslagen waarop een beroep kan worden gedaan. De grondslag van het gerechtvaardigd belang is één van deze zes grondslagen.
Een organisatie kan zich alleen beroepen op de grondslag gerechtvaardigd belang als voldaan wordt aan drie voorwaarden:
- er is sprake van een gerechtvaardigd belang
- de verwerking is noodzakelijk om dit gerechtvaardigde belang te behartigen
- de belangen van de partijen zijn goed afgewogen ten opzichte van de belangen van de personen van wie de persoonsgegevens worden verwerkt
De AP heeft de belangen van de omwonenden afgewogen tegen de belangen van de eigenaar van de bedrijfspanden en vindt op basis daarvan het beroep op de grondslag gerechtvaardigd belang terecht.
De Autoriteit Persoonsgegevens schrijft op zijn eigen website dat deze uitspraak meer inzicht geeft in de normen voor cameratoezicht en in de beoordeling van de grondslag van het gerechtvaardigd belang bij het toepassen van cameratoezicht.
Het is volgens de buren echter de vraag of dat echt zo is. Zij gaan in beroep bij de rechtbank.
unnen alle ondernemers nu in alle gevallen bij camerabewaking een beroep doen op het gerechtvaardigde belang? Iedere bewakingscamera is immers bedoeld om bedrijfseigendommen te beschermen.
Buren gaan tegen besluit AP in beroep bij de rechter
Het is daarom interessant af te wachten wat de rechter van het besluit van de Autoriteit Persoonsgegevens vindt. De jurisprudentie die de uitspraak van de rechter oplevert is interessant voor belanghebbenden in soortgelijke zaken.
Privacy Nieuws
Stel dat het VieCuri Medisch Centrum in Venlo inderdaad onzorgvuldig met patientgegevens is omgegaan…
Stel dat de Functionaris Gegevensbescherming (FG) inderdaad niet volgens de regels een datalekprocedure in gang heeft gezet…
Hoe hoog zou de boete die de Autoriteit Persoonsgegevens (AP) dan oplegt dan kunnen uitvallen?
Tot dusver was er nog geen voorbeeld. Geen jurisprudentie. Niet in Nederland en ook niet elders in Europa. Maar daar is deze week toevallig verandering in gekomen.
Portugese Autoriteit Persoonsgegevens legt eerste boete op aan ziekenhuis
Het Centro Hospitalar Barreiro Montijo ziekenhuis in de buurt van Lissabon zou zo onzorgvuldig zijn omgegaan met patiëntengegevens dat de Portugese Autoriteit Persoonsgegevens, de CNPD, deze week een boete van 400.000 euro heeft opgelegd.
Het ziekenhuis heeft aangekondigd de boete te gaan aanvechten bij de rechter.
Die rechtzaak lijkt uitstel van executie, omdat de Portugese toezichthouder een hele duidelijke concrete overtreding van de Europese privacywet heeft vastgesteld.
Honderden onbevoegden hebben toegang tot patientgegevens
“Alleen professionals hebben toegang tot uw gezondheidsinformatie in onze database”, staat er in de Privacy Policy op de website van Centro Hospitalar Barreiro Montijo.
Volgens de Portugese toezichthoudende autoriteit CNPD komt de beveiliging van de patientgegevens in het systeem echter niet eens in de buurt van de vereisten van de Algemene Verordening Gegevensbescherming.
In het Portugese ziekenhuis werken 295 artsen, terwijl er 995 mensen “dokterstoegang” hadden tot de patiëntgegevens.
Datalek in Portugees ziekenhuis werd gemeld door medische vereniging
Het datalek kwam al in juni naar buiten tijdens een inspectie van de CNPD. De toezichthouder kwam in actie na een klacht van een medische vereniging.
Uit het onderzoek bleek dat onder het onverklaarbaar hoge aantal mensen dat zonder goede verklaring toegang had tot de gevoelige medische informatie zich ten minste negen vertegenwoordigers van sociale diensten bevonden.
Ook mensen die alleen als “technische medewerkers” geregistreerd stonden, konden volgens het CNPD de patiëntendossiers inzien.
Portugees ziekenhuis heeft verplichtingen AVG ‘bewust veronachtzaamd’
De CNPD besloot deze week, vier maanden na het eigen onderzoek, op basis van de duidelijke bewijzen tot het opleggen van de eerste zware boete sinds de AVG van kracht geworden is. Het Barreiro-Montijo ziekenhuis heeft volgens de Portugese toezichthouder CNPD de verplichtingen die voortvloeien uit de AVG opzettelijk veronachtzaamd.
Het Barreiro-Montijo ziekenhuis wil juridische stappen ondernemen tegen de beslissing. Enerzijds zijn er twijfels over de bevoegdheid van de autoriteit om een dergelijke sanctie op te leggen. Aan de andere kant verdedigt de kliniek zijn acties. Zo zou er bijvoorbeeld een groot aantal inlogaccounts gecreëerd zijn in verband met tijdelijke contracten met artsen die slechts kort in het ziekenhuis hebben gewerkt.
Ziekenhuis had accounts tijdelijke artsen na vertrek meteen moeten verwijderen
Het CNPD reageerde daar echter onmiddellijk op met de mededeling na het vertrek van de tijdelijke artsen hun inlogaccounts onmiddelijk hadden moeten worden geschrapt.
Het is volgens de Portugese toezichthouder ook niet te rechtvaardigen dat maatschappelijk werkers of zelfs technici informatie over de gezondheidstoestand van de patiënten kunnen inzien.
Uitspraak in Portugal interessant voor heel Europa
De omvang van de beschuldigingen en de hoogte van de opgelegde boete maken de zaak van de Portugese kliniek interessant voor gegevensbeschermers en bedrijven in heel Europa.
De rechtszaak die het Centro Hospitalar Barreiro Montijo tegen de CNPD wil aanspannen kan leiden tot jurisprudentie die duidelijkheid brengt in soortgelijke zaken. Privacyspecialisten zijn bijzonder benieuwd naar de intrepretatie die een rechter geeft in deze zaak.