De casus
De kwestie bij het Hof gaat over de ontwikkeling van een mobiele applicatie in het kader van de coronapandemie. Een IT-bedrijf krijgt eerst onderhands de opdracht de applicatie te ontwikkelen. Enkele weken later wordt gesteld dat er aanbesteed had moeten worden en verzoekt het centrum voor volksgezondheid om alsnog alle verwijzingen naar haar uit de app weg te halen. De lokale privacytoezichthouder legt vervolgens een boete op aan datzelfde centrum wegens overtreding van diverse bepalingen uit de AVG.
Wie is eigenlijk verwerkingsverantwoordelijke?
Zoals hiervoor beschreven is de casus een wat a-typische: er staat een tijdje een app in de appstore die beweerdelijk van de overheid afkomstig is, maar de overheid zelf trekt er (achteraf) de handen vanaf. Dat roept de vraag op wie er nu eigenlijk verwerkingsverantwoordelijk was.
Het Hof herhaalt hier de vaste lijn: het is voldoende om invloed uit te oefenen op de verwerking om te kwalificeren als verwerkingsverantwoordelijke. In casu blijkt dat de overheidsinstantie (initieel) de opdracht heeft gegeven en ook allerlei parameters voor de app heeft bepaald. Zij lijkt dus verwerkingsverantwoordelijke te zijn.
Omstandigheden die niet relevant zijn volgens het Hof zijn:
- de vermelding in het privacystatement van de verwerkingsverantwoordelijke;
- dat de overheidsinstantie zelf de persoonsgegevens niet bezit;
- dat er geen verwerkersovereenkomst is;
- dat er geen toestemming was gegeven de app te verspreiden, tenzij er voor verspreiding actief verzet is aangetekend tegen de verspreiding en de ontwikkelaar toch op eigen initiatief verspreidt.
Dit alles past bij de ruime interpretatie van het begrip verwerkingsverantwoordelijke en de nadruk op de feitelijke situatie en niet de formele werkelijkheid.
Regeling vereist voor gezamenlijke verwerkingsverantwoordelijkheid?
Een andere vraag die in deze kwestie speelt of er wellicht sprake was van gezamenlijke verwerkingsverantwoordelijkheid.
Het Hof herhaalt dat hiervoor vereist is:
- twee of meer partijen;
- die ieder voor zich zelfstandig voldoen aan de definitie van verwerkingsverantwoordelijke;
- die ieder in enige mate en voor enig deel van het verwerkingsproces deelnemen aan de vaststelling van doel en middelen;
- waarbij er zowel sprake kan zijn van een gezamenlijk besluit of een convergerend besluit, waarbij het laatste geval de besluiten elkaar moeten aanvullen en ieder een concreet effect op de doelbepaling moeten hebben.
Er moet gelet op artikel 26 AVG bij gezamenlijke verantwoordelijkheid een regeling (contract) zijn, maar het ontbreken ervan maakt niet dat geen sprake zou zijn van gezamenlijke verwerkingsverantwoordelijkheid. De vraag is eenvoudigweg of aan voornoemde criteria wordt voldaan. Dat is ook wel logisch; anders zou de AVG immers ontdoken kunnen worden door eenvoudigweg niet de artikel 26 overeenkomst te sluiten.
Is er nog wel sprake van verwerking bij anonieme gegevens?
Het Hof benadrukt dat wil sprake zijn van een "verwerking" in de zin van de AVG, er ook sprake moet zijn van "persoonsgegevens" in de AVG. Dat betekent dus dat bij gepseudonimiseerde persoonsgegevens de AVG nog vol van toepassing is, maar bij (echt goed) geanonimiseerde persoonsgegevens niet meer.
Is het boeterecht nationaal of Europees geregeld?
Vervolgens is de discussie hoe de boetebepaling uit de AVG te interpreteren. Het Hof hakt hier eerst een principiele (maar wat formele) knoop door: de AVG is een verordening en de boeteclausule moet dus Europees uniform worden geinterpreteerd. Het is dus niet aan de lokale lidstaten hier een eigen "lokaal smaakje" aan te geven.
Voor een boete is (enige) schuld vereist
Het Hof vervolgt met het oordeel dat om een boete te mogen opleggen er sprake moet zijn van een overtreding die op verwijtbare wijze is begaan. Daaronder valt zowel opzettelijk handelen als nalatigheid.
De opzet hoeft niet gericht te zijn op de overtreding (dat doet denken aan het leerstuk van boos opzet). Het gaat er veeleer om of de verwerkingsverantwoordelijke wist of behoorde te weten dat het gedrag niet was toegestaan ("niet onkundig kon zijn van het inbreukmakende karakter van zijn gedrag, ongeacht of hij zich ervan bewust was de bepalingen van de AVG te schenden").
Het gaat om de rechtspersoon, niet het bestuur
Het is niet noodzakelijk dat het bestuur van de rechtspersoon een handeling heeft verricht of kennis had van de handeling om een boete op te kunnen leggen.
Ook een boete voor gedrag van de verwerker, tenzij die boekje te buiten gaat
De verwerkingsverantwoordelijke kan verder worden beboet voor het gedrag van de verwerker. De verwerker opereert immers als de "verlengde arm" van de verwerkingsverantwoordelijke.
Dit is alleen anders wanneer:
- de verwerker de persoonsgegevens voor eigen doeleinden heeft verwerkt; of
- de verwerker de gegevens op zodanige wijze verwerkt dat redelijkerwijs niet kan worden aangenomen dat de verwerkingsverantwoordelijke daarmee zou hebben ingestemd.
In beide gevallen verschiet de verwerker dan van kleur en wordt zelf verwerkingsverantwoordelijke. Het eerste punt (eigen doel bepaling) staat letterlijk in de AVG; het tweede punt lijkt nieuw.
Slotopmerkingen en aandachtspunten
Het arrest ademt heel sterk dat een verwerkingsverantwoordelijke de verwerker onder controle moet houden en er toezicht op moet houden.
Wie een brede opdracht geeft aan een verwerker, moet dus niet verbaasd zijn dat die brede opdracht ook ruim wordt opgevat. Dat er dan "opeens" een app in een app-store kan komen te staan komt dus - bij een dergelijk brede opdracht - voor risico van de verwerkingsverantwoordelijke. De opdrachtgever moet er echt 'bovenop' zitten.
In diezelfde lijn kan een opdrachtgever dus ook vrij eenvoudig een boete opgelegd krijgen voor gedrag van de opdrachtnemer. De opdrachtgever zal moeten bewijzen dat de opdrachtnemer zijn boekje te buiten is gegaan. En dat niet alleen, het roept natuurlijk ook de vraag op of er wel goed is gecontracteerd. Dit vergt dus het (extra) goed en stevig kaderen van wat een verwerker nu wel/niet mag met gegevens.
Denk ook aan veelvoorkomende clausules als dat de verwerkingsverantwoordelijke ermee instemt dat een verwerker zelf aan gegevensverwerking mag doen omwille van productverbetering, statistiek, etc. Dat soort clausules staan in menig ASP/SaaS/cloud-contract. Mocht de verwerker onvoldoende waarborgen hebben rondom die verwerkingen en bijv. in feite een (Big Brother) klantprofiel aan het opbouwen zijn, dan kan de boete daarvoor dus wellicht wel ook aan de klanten worden opgelegd. Zeker als de contractuele clausules hierover wat vaag/breed zijn geformuleerd. Toets die contracten dus kritisch en kijk of de verwerker die iets met data wil ook het 'vet op de botten' heeft om de eventuele boete te betalen als die zou volgen.
De boodschap is vooral ook dat organisatie hun privacycompliance op orde zullen moeten hebben. De drempel voor een boete is laag, want enige schuld is al voldoende. Hier lijkt heel sterk een "behoren te weten" in door te klinken. Het gaat er ook niet om wat het bestuur wist, maar wat zij gelet op haar rol had behoren te weten en daarmee ook had behoren te voorkomen. Dat is nog best pittig in de praktijk.
Het betekent denk ik tegelijkertijd wel dat bij incidentele kwesties maar de vraag is of er sprake is van schuld. De aandacht komt zodoende wellicht iets meer te liggen op de structurele/beleidsmatige keuzes die een onderneming of instelling maakt. Want juist daarvan in de schuld eenvoudiger aan te tonen dan bij een incident dat iedereen had kunnen overkomen.
We gaan zien hoe dit zich verder ontwikkelt.