Autoriteit persoonsgegevens geeft meer ruimte om begrip "bijzondere persoonsgegevens" context-/doelafhankelijk uit te leggen

11 februari 2016, laatst geüpdatet 11 september 2024
De Autoriteit Persoonsgegevens heeft op 28 januari j.l. beleidsregels inzake cameratoezicht (eigenlijk: cameragebruik) gepubliceerd. Interessant om te zien is dat in de beleidsregels de - eerder ingezette - relatieve benadering van het begrip 'bijzondere persoonsgegevens' wordt voortgezet. Bijzondere persoonsgegevens verwerken verbodenAlvorens in te gaan op die beleidsregels, eerst een kleine stapje terug naar het wettelijke systeem. De Wbp geeft bijzondere strenge regels voor de verwerking v...
Mark Jansen 
Mark Jansen 
Advocaat - Associate Partner
In dit artikel
De Autoriteit Persoonsgegevens heeft op 28 januari j.l. beleidsregels inzake cameratoezicht (eigenlijk: cameragebruik) gepubliceerd. Interessant om te zien is dat in de beleidsregels de - eerder ingezette - relatieve benadering van het begrip 'bijzondere persoonsgegevens' wordt voortgezet.

Bijzondere persoonsgegevens verwerken verboden

Alvorens in te gaan op die beleidsregels, eerst een kleine stapje terug naar het wettelijke systeem. De Wbp geeft bijzondere strenge regels voor de verwerking van zgn. "bijzondere persoonsgegevens" ( artikel 16 Wbp). Waar 'gewone' persoonsgegevens in beginsel mogen worden verwerkt, mits dat zorgvuldig gebeurt, is de verwerking van 'bijzondere' persoonsgegevens nu juist verboden, behoudens strenge wettelijke uitzonderingen.

Zelfs een foto al bijzonder persoonsgegeven?

Onder bijzondere persoonsgegevens worden onder meer gegevens omtrent ras/etniciteit/etnische afkomst verstaan. Aan de hand van een foto zijn dergelijke gegevens af te leiden. Het doel waarvoor de foto wordt gebruikt is volgens de Wbp ook niet relevant. In zoverre zou je kunnen zeggen dat iedere foto bijzondere persoonsgegevens bevat. In de strafrechtelijke context is enkele jaren terug door de Hoge Raad ook bevestigd dat het hier om bijzondere persoonsgegevens gaat.

Strikte interpretatie van de wet praktisch onwerkbaar

Een dergelijk strikte interpretatie van de wet is echter, in deze beeldgerichte maatschappij, bepaald niet praktisch. Het impliceert immers dat - behoudens enige uitzonderingen - voor ieder fotogebruik de uitdrukkelijke (dus verzwaarde) vorm van toestemming van de betrokkene is vereist (artikel 23 Wbp). Die juridische eis sluit (bepaald) niet aan bij de maatschappelijke werkelijkheid.

Klein uitstapje: iedere (in ieder geval zakelijke) smartphone-eigenaar die zijn telefoon met foto's verliest zou dan immers te maken hebben met een meldingsplichtig (want lek bijzondere persoonsgegevens) datalek en bloot staan aan een (stevige) boete (want lek bijzondere persoonsgegevens).


Doelgerichte benadering spreekt meer aan

In 2007 signaleerde de Autoriteit Persoonsgegevens dit probleem rondom het begrip "bijzondere persoonsgegevens" al. In het rapport " Publicatie van persoonsgegevens op Internet" werd de doelgerichte benadering geïntroduceerd. Foto's zijn alleen als bijzonder persoonsgegeven aan te merken, als die gegevens worden gebruikt met als doel om onderscheid te maken naar ras (citaat CBP):

Alleen als een verantwoordelijke foto’s of ander beeldmateriaal publiceert met het uitdrukkelijke doel om onderscheid te maken naar ras, is bijzondere oplettendheid geboden. In dat geval acht het CBP het een redelijke wetstoepassing om het beeldmateriaal aan te merken als een bijzonder persoonsgegeven.



Voorzetting benadering uit 2007


Deze benadering wordt nu in het recente rapport voortgezet en uitgebouwd. In het nieuwste rapport is het volgende te lezen:




Gelet hierop beschouwt de Autoriteit Persoonsgegevens camerabeelden van een persoon
thans, ook om opportuniteitsredenen, niet als bijzondere persoonsgegevens als:


- het doeleinde van de verwerking niet gericht is op het verwerken van bijzondere
persoonsgegevens dan wel op het onderscheid maken op grond van een bijzonder
persoonsgegeven,


- het voor de verantwoordelijke redelijkerwijs niet voorzienbaar is dat de verwerking
zal leiden tot het maken van onderscheid op grond van een bijzonder
persoonsgegeven, en


- de verwerking van die bijzondere persoonsgegevens onvermijdelijk is bij die
verwerking.



Doortrekking naar gezondheidsgegevens

Met name interessant om te zien is dat de AP deze redenering ook doortrekt naar andere soorten bijzondere persoonsgegevens, althans in ieder geval naar gezondheidsgegevens:
In de hal van een ziekenhuis vindt cameratoezicht plaats ter beveiliging van de bezoekers
en goederen van het ziekenhuis. Het feit dat iemand met krukken loopt of in een rolstoel zit is een gegeven over iemands fysieke welzijn en daarmee een gegeven omtrent iemands
gezondheid. De camerabeelden worden in dit geval evenwel niet aangemerkt als bijzondere persoonsgegevens in de zin van artikel 16 en 21 Wbp (gezondheidsgegevens), gelet op de invulling van de bovenstaande criteria:

  • Het doel van het cameratoezicht is niet gericht op het vastleggen van
    gezondheidsgegevens van de bezoekers, maar op beveiliging. Ook wordt middels
    het cameratoezicht geen onderscheid gemaakt op basis van de gezondheid van de
    bezoekers.

  • Het is voor het ziekenhuis redelijkerwijs niet voorzienbaar dat het cameratoezicht
    zal leiden tot het maken van onderscheid.

  • Het verwerken van de gezondheidsgegevens van de bezoekers van het ziekenhuis is
    onvermijdelijk bij de inzet van cameratoezicht in een ziekenhuis.



Dit is best een opvallend verschil met de toelichting in de wet. Daar wordt "het enkele gegeven dat iemand ziek is" al aangemerkt als een bijzonder persoonsgegeven (ongeacht het doel waarvoor dat gegeven wordt vastgelegd).

Opmaat naar verdere relatieve uitleg van de wet?

Het voorgaande roept de vraag op of het doelgerichte criterium van de AP nu ook mag worden doorgetrokken buiten de context van cameratoezicht. In dat geval zou je bijv. kunnen betogen dat je wel degelijk (terloops) mag vastleggen dat iemand ziek is (bijv. in een mailtje), zolang je maar geen zoekoptie in het systeem inbouwt om daarop terug te zoeken.

Voor de praktijk zou een dergelijke wat relativistischer benadering vermoedelijk welkom zijn, hoewel ik ook wel inzie dat het gevaar voor misbruik wel op de loer ligt (eerst heel lang "terloops" verzamelen, en dan later toch opeens op de bijzondere persoonsgegevens gaan filteren). We blijven het volgen en houden u op de hoogte.

Gerelateerd

Gebalanceerde stenen

Langjarige samenwerkingscontracten: het nut van een goede balansbepaling

Samenwerkingscontracten worden vaak voor langere tijd (>5 jaar) aangegaan. Vaak wordt een bepaalde mate van exclusiviteit afgesproken maar dat kan ook gaan...
vrouw justitia

De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

Welke inspanning mag van een IT-leverancier verwacht worden? De beantwoording van die vraag wordt gekleurd door de zorgplicht van een IT-leverancier. En deze...

Hoe goed is jouw bedrijf beveiligd?

Alle computerschermen op zwart, een natuurramp, of een inbraak midden in de nacht. Het is de nachtmerrie van iedere bestuurder. Voor belangrijke organisaties,...

Opnieuw verbod op tracking cookies in kort geding

Nadat onlangs Criteo al een verbod kreeg om tracking cookies te plaatsen zonder toestemming, is nu ook aan Microsoft, LinkedIn, MIOL en Xandr een verbod...

Aandachtspunten bij het gebruik van AI in de zorg (deel II)

Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan...

Verplichte basisverzekering arbeidsongeschiktheid voor zelfstandigen: een stap dichterbij een gelijker speelveld voor werknemers en zelfstandigen met huidig wetsvoorstel?

Op 11 juni 2024 is de internetconsultatie gestart voor het wetsvoorstel Wet basisverzekering arbeidsongeschiktheid zelfstandigen.
No posts found