Niet-naleven geheimhoudingsverplichtingen persoonsgegevens: is misbruik van persoonsgegevens nodig voor beboetbaarheid?

In 2013 zijn twee bedrijven uit de energiesector, Liander en Nuon, veroordeeld tot een boete wegens het niet naleven van geheimhoudingsverplichtingen op grond van de toepasselijke wetgeving.

De zaak is interessant, omdat in de procedure de vraag aan de orde komt of het voor het plegen van de overtreding nodig is dat misbruik van persoonsgegevens heeft plaats gevonden. De rechtbank oordeelde dat Liander welbewust had nagelaten de wettelijke geheimhoudingsverplichtingen na te leven, doordat vertrouwelijke klantgegevens van Liander in het kader van de uitbesteding aan Nuon konden worden ingezien door negentig medewerkers van Nuon. Dat er (waarschijnlijk) geen misbruik had plaats gevonden was volgens de rechtbank niet relevant.

Dit lijkt een verstandige redenering van de rechtbank, nu het uitermate moeilijke zal zijn om vast te stellen of misbruik heeft plaats gevonden, en het niet sanctioneren van niet-naleving van geheimhoudingsverplichtingen tot gevolg kan hebben dat betrokken ondernemers te gemakkelijk met de verplichting omgaan.

De ondernemingen vingen bot bij de rechtbank Rotterdam en hebben hoger beroep ingesteld. Inmiddels is de conclusie van de Advocaat-Generaal (AG), mr. L.A.D. Keus, bekend gemaakt. De volgende fase is dat de rechter, het College van Beroep voor het bedrijfsleven, in hoger beroep een beslissing zal gaan nemen.

In het onderstaande bespreek ik de zaak en citeer ik enige passages.

De zaak bij de rechtbank Rotterdam

De zaak begon in 2012 toen de toezichthouder Liander bestuurlijke boetes tot een bedrag van € 3.320.000 oplegde. Nuon kreeg een boete in verband met het zelfde feitencomplex, wegens het medeplegen van de door Liander gepleegde overtredingen. Liander en Nuon gingen in beroep bij de rechtbank Rotterdam, die de beroepen van beide bedrijven ongegrond verklaarde.

De bedrijven betoogden onder meer dat geen sprake was van een resultaatsverplichting en dat er geen misbruik was gemaakt van de klantgegevens en dat zij daarom geen overtredingen zouden hebben begaan:

5.2. Liander betoogt dat geen sprake is van overtreding van artikel 79, eerste lid, van de E-Wet en artikel 37, eerste lid, van de Gaswet. Volgens Liander heeft zij voldaan aan de op haar rustende zorgplicht om voldoende maatregelen te treffen om aan de geheimhoudingplicht te voldoen. Zij wijst er in dit verband op dat in confesso is dat zij maatregelen heeft getroffen om geheimhouding van klantgegevens van Liander te waarborgen. Omdat volgens Liander sprake is van een inspanningverplichting en niet van een resultaatsverplichting meent zij dat zij genoegzaam aan de geheimhoudingsplicht heeft voldaan. Voorts meent Liander dat misbruik van informatie, anders dan de ACM stelt, wel een vereiste is voor overtreding van de geheimhoudingsplicht.

5.3. Nuon CCC betoogt dat geen sprake kan zijn van (medeplegen van) een overtreding van artikel 79, eerste lid, van de E-Wet en artikel 37, eerste lid, van de Gaswet, omdat de ACM niet heeft vastgesteld dat medewerkers van Nuon Sales daadwerkelijk kennis hebben genomen van klantgegevens van Liander. Zij wijst er in dit verband op dat de meeste medewerkers van Nuon Sales niet wisten dat zij toegang hadden tot deze gegevens en zij hebben daarom ook nimmer ingelogd in SAB PLB. Nuon CCC wijst er in dit verband voorts op dat ACM niet alleen moet aantonen dat Nuon Sales daadwerkelijk kennis heeft genomen van klantgegevens van Liander, maar ook dat Nuon Sales deze gegevens heeft gebruikt. Omdat de E-Wet en de Gaswet anders dan de Wbp geen zorgplichtbepalingen bevatten met betrekking tot vertrouwelijke klantgegevens kan volgens Nuon CCC pas sprake zijn van een overtreding wanneer niet bevoegde personen daadwerkelijk kennis hebben genomen van vertrouwelijke gegevens en daar misbruik van hebben gemaakt.

De rechtbank gaat daar niet in mee en is van mening dat voor het aanwezig zijn van een overtreding niet nodig is dat van de vertrouwelijke klantgegevens misbruik is gemaakt:

5.4. De rechtbank stelt vast dat niet in geschil is dat vertrouwelijke klantgegevens van Liander binnen het raamwerk van de uitbestedingsrelatie met Nuon CCC ten tijde in geding konden worden ingezien door 90 medewerkers van Nuon Sales. (…) Het betoog van eiseressen dat eerst sprake kan zijn van een overtreding indien de ACM aantoont dat de betrokken medewerkers van Nuon Sales daadwerkelijk kennis hebben genomen van klantgegevens van Liander en dat Nuon Sales van deze commerciële gegevens ook daadwerkelijk gebruik heeft gemaakt, volgt de rechtbank niet. De in artikel 79, eerste lid, van de E-Wet en artikel 37, eerste lid, van de Gaswet opgenomen verplichting tot geheimhouding brengt naar het oordeel van de rechtbank met zich dat deze verplichting niet is nageleefd indien een derde partij – niet zijnde de uitvoeringsorganisatie Nuon CCC – de mogelijkheid heeft om deze gegevens te raadplegen. Omdat dit het geval was heeft Liander voornoemde bepalingen overtreden. Hetgeen Liander en Nuon CCC (overigens aan elkaar tegengesteld) betogen omtrent het bestaan of ontbreken van een zorgplicht kan hier niet aan afdoen. De rechtbank merkt in dit verband nog op dat blijkens de tekst en strekking van deze bepalingen sprake is van een resultaatsverplichting. Voor overtreding van deze verplichting is het voorts niet noodzakelijk dat daadwerkelijk gebruikt wordt gemaakt van de vertrouwelijke gegevens. Artikel 79, eerste lid, van de E-Wet, artikel 37, eerste lid, van de Gaswet en de aan die bepalingen ten grondslag liggende richtlijnen stellen die eis niet.

De rol van Nuon als medepleger verdient aandacht, en de vraag of is voldaan aan het vereiste van een “nauwe en bewuste samenwerking” bij de overtreding. Uiteraard meent Nuon dat aan die vereisten niet wordt voldaan. De rechtbank zegt:

6.2. De rechtbank overweegt dat de Hoge Raad in zijn arrest van 20 mei 1997 (LJN ZK0235) de conclusie van de advocaat-generaal heeft onderschreven dat voor het medeplegen van culpoze delicten het opzet slechts op de samenwerking gericht hoeft te zijn, omdat het dubbele opzetvereiste uitsluitend geldt voor het medeplegen van opzetdelicten. Van dit oordeel is de Hoge Raad nadien niet teruggekomen met zijn arrest van HR 24 mei 2011 (LJN BP6581), omdat die zaak, net als andere arresten (bijv. HR 20 september 2011, LJN BP5999 en HR 9 april 2013, LJN BZ6505), betrekking had op een opzetdelict. Voorts kan worden gewezen op een uitspraak van het College van Beroep voor het bedrijfsleven van 22 december 2009 (LJN BL0770), waarin de nauwe samenhang van twee ondernemingen maatstaf vormt voor het medeplegen van een overtreding van de meststoffenwetgeving. Met de ACM is de rechtbank van oordeel dat de nauwe samenwerking tussen Liander en Nuon CCC voortvloeit uit de uitbestedingsrelatie die contractueel is vastgelegd in de dienstverleningsovereenkomst. Omdat Liander en Nuon CCC zich beiden bewust waren van de vertrouwelijkheid van de klantgegevens van Liander en Nuon CCC in het kader van de uitbesteding over die gegevens kon beschikken, levert de ter beschikkingstelling van deze vertrouwelijke gegevens door laatstgenoemde aan Nuon Sales medeplegen op van de overtreding van artikel 79, eerste lid, van de E-Wet en artikel 37, eerste lid, van de Gaswet. Het betoog van Nuon CCC faalt.

Conclusie AG

Op 13 januari jl. is de conclusie van de AG in deze zaak bekend geworden. Het bevat interessante informatie over de diverse deelonderwerpen in deze zaak, met name:

  • Wat houdt de geheimhoudingsplicht in en hoever strekt deze plicht.
  • Hoe moet het begrip ‘schuld’ worden uitgelegd.
  • Hoe moet met ‘medeplegen’ worden omgegaan in deze bestuursrechtelijke boetezaak. Medeplegen is nieuw in het bestuursrechtelijke boeterecht en is geïntroducteerd door middel van de Vierde tranche Awb. Sindsdien is het mogelijk geworden om medeplegers van een overtreding een bestuurlijke boete op te leggen.
  • Kan worden gesproken van een resultaatsverplichting of dient de onderneming zich slechts ‘in te spannen’?

Opzet en geheimschending

De verhandeling over de geheimhoudingsverplichting in de energiewetgeving en de relatie met het strafrecht is boeiend. De AG merkt onder meer op dat opzet niet inherent is aan geheimschending (noten uit het citaat verwijderd):

3.13 Naar mijn mening is opzet niet inherent aan geheimschending. Blijkens de delictsomschrijving van artikel 272 Sr ( “(…) die (…) opzettelijk schendt (…)” ) ligt het opzet niet al in de delictshandeling (het schenden) zelf besloten. Dat het oorspronkelijke regeringsontwerp dat aan de totstandkoming van de bepaling in het Wetboek van 1886 ten grondslag lag, naast de delictshandeling uitdrukkelijk opzet verlangde, leidde destijds overigens wel tot de vraag van de Raad van State of het woord “opzettelijk” niet zou moeten worden weggelaten. “Het opzet (zo motiveerde de Raad van State die vraag) blijkt uit de daad der openbaring.” De indiener van het ontwerp antwoordde daarop in het Rapport aan den Koning: “Het woord opzettelijk kan niet worden gemist. Het is toch mogelijk, dat iemand zich een geheim laat ontsnappen, zonder dat hij de openbaring wilde, of ook zonder te weten dat het een geheim is. Daarom moet het opzet aanwezig zijn, zal het feit strafbaar worden; (…).” Dat geheimschending niet al naar haar aard een opzetdelict is, vindt ten slotte bevestiging in het feit dat de wetgever in de jaren vijftig/zestig van de vorige eeuw voornemens was in artikel 272 Sr ook culpoze geheimschending strafbaar te stellen. Van dat voornemen is de wetgever teruggekomen, waarbij in het bijzonder een rol speelde dat het door de Hoge Raad in de jaren vijftig van de vorige eeuw erkende voorwaardelijke opzet ook bij schending van geheimen een rol kan spelen. Kennelijk werd tegen die achtergrond voor algemene strafbaarstelling van culpoze geheimschending geen aanleiding meer gezien, nu dankzij het voorwaardelijke opzet tegen de meest flagrante vormen van (tot bekendmaking leidende) onachtzaamheid reeds op grond van artikel 272 Sr zou kunnen worden opgetreden.

3.14 Opzet is niet inherent aan geheimschending. Voorts stellen noch de betrokken geheimhoudingsbepalingen, noch de wettelijke bepalingen op grond waarvan eventuele overtredingen bestuurlijk kunnen worden beboet, die overtredingen van enig opzet afhankelijk. Bij die stand van zaken biedt het feit dat artikel 272 Sr naast de schending van het geheim ook een daarop gerichte opzet verlangt, géén grond om aan te nemen dat slechts een opzettelijke overtreding van de wettelijke geheimhoudingsbepaling bestuursrechtelijk kan worden beboet. Dat geldt temeer nu de wetgever van de Awb onder ogen heeft gezien dat de bestuursrechtelijk gesanctioneerde gedragingen, evenals de overtredingen in het strafrecht, veelal materieel zijn omschreven en geen opzet of schuld als bestanddeel kennen. Daarom kon in de visie van de wetgever worden volstaan met het vastleggen van het beginsel dat geen boete kan worden opgelegd voor een gedraging waarvan de dader geen verwijt kan worden gemaakt.

Resultaatsverplichting

In het civiele rechten kennen we resultaats- en inspanningsverplichtingen, de vraag is of dat concept ook in het bestuursrecht mogelijk is. De rechtbank nam in de uitspraak een resultaatsverplichting aan.

De AG meent echter dat niet van een resultaatsverplichting inzake geheimhouding kan worden gesproken en voorts dat schending van de verplichting om voldoende maatregelen te nemen niet valt onder de hier aan de orde zijnde geheimhoudingsbepaling:

6.15 Wat overigens van het voorgaande zij, ik meen dat het karakter van de litigieuze geheimhoudingsplicht als resultaatsverplichting niet kan worden aanvaard. Voorts meen ik dat het bij een schending van die geheimhoudingsplicht evenmin gaat om het schenden van een (zorg)plicht om voldoende maatregelen te treffen teneinde geheimhouding te waarborgen, maar om een schending van het geheim zelf, bestaande in een bekendmaking daarvan. Dat de geheimhoudingsplicht geen resultaatsverplichting is, impliceert anderzijds niet dat de geheimhouder slechts met een door hem te leveren inspanning kan volstaan. Een (aan de geheimhouder toe te rekenen) bekendmaking van de geheim te houden gegevens impliceert steeds een schending van de op de geheimhouder rustende geheimhoudingsplicht, waarbij de mate van zorg die de geheimhouder heeft betracht hooguit bepalend is voor de mate van verwijtbaarheid, zowel in verband met een mogelijk beroep op a.v.a.s. als in verband met de straftoemeting.

Consequenties

De AG laat in zijn conclusies blijken het op allerlei fronten niet met de rechtbank eens te zijn (onderstreping door mij), al worden vraagtekens gezet bij de vraag of Liander mocht uitbesteden (zie 7.7):

7.1 Voor de inhoud en reikwijdte van de geheimhoudingsplicht van artikel 79, eerste lid, E-wet en artikel 37, eerste lid, Gaswet, acht ik bepalend dat artikel 272 Sr, dat de schending van (onder meer) wettelijke geheimhoudingsplichten strafrechtelijk sanctioneert, voor de schending van een geheimhoudingsplicht een bekendmaking van de geheim te houden gegevens verlangt. Het begrip bekendmaking kan strikt en minder strikt worden opgevat, maar het omvat zeker niet alle gevallen waarin het aan een voldoende beveiliging van de geheim te houden gegevens ontbreekt.

7.2 Artikel 79, eerste lid, E-wet en artikel 37, eerste lid, Gaswet, behelzen géén resultaatsverplichting, in die zin dat ieder bekend worden van de geheim te houden gegevens een beboetbare overtreding vormt. Een beboetbare overtreding doet zich slechts voor als de geheimhouder de geheim te houden gegevens bekend heeft gemaakt dan wel een bekendmaking van die gegevens aan de geheimhouder dient te worden toegerekend, en de geheimhouder zich niet met succes op afwezigheid van alle schuld kan beroepen.

7.3 De geheimhoudingsplicht van artikel 79, eerste lid, E-wet en artikel 37, eerste lid, Gaswet kan mijns inziens evenmin als een zorgplicht worden getypeerd. Een gebrek aan zorg dat niet tot een bekendmaking van de geheim te houden gegevens leidt, vormt geen schending van de geheimhoudingsplicht. Anderzijds vormt een bekendmaking van de geheim te houden gegevens door de geheimhouder of een bekendmaking van die gegevens die aan de geheimhouder dient te worden toegerekend, een schending van de geheimhoudingsplicht, ongeacht de mate van zorg die de geheimhouder heeft betracht om bekendmaking van die gegevens te voorkomen. De door de geheimhouder betrachte zorg kan wel leiden tot afwezigheid van alle schuld of tot een met het oog op de straftoemeting relevante mindere mate van verwijtbaarheid.

7.4 Als bekendmaking van de geheim te houden gegevens de delictsgedraging vormt, kan schending van de geheimhoudingsplicht van artikel 79, eerste lid, E-wet en artikel 37, eerste lid, Gaswet niet als een omissiedelict worden aangemerkt.

7.5 Dat bekendmaking van de geheim te houden gegevens als delictsgedraging heeft te gelden, impliceert dat een bekendmaking van de geheim te houden gegevens door een derde slechts dan een overtreding door de geheimhouder vormt, als de betrokken gedragingen van die derde aan de geheimhouder moeten worden toegerekend. Daarbij komt het, voor zover van belang, aan op de vraag of de geheimhouder erover vermocht te beschikken of die gedragingen al dan niet zouden plaatsvinden en of zodanig of vergelijkbaar gedrag blijkens de feitelijke gang van zaken door de geheimhouder werd aanvaard of placht te worden aanvaard. Onder aanvaarden wordt hier mede begrepen het niet betrachten van de zorg die in redelijkheid van de geheimhouder kon worden gevergd met het oog op de voorkoming van de gedraging.

7.6 Als de bekendmaking door een derde aan de geheimhouder dient te worden toegerekend op grond van het laatste criterium, sluit dat een beroep op afwezigheid van alle schuld praktisch uit. In dat geval is de geheimhouder immers tekortgeschoten in de zorg die in redelijkheid van hem kon worden gevergd.

7.7 Het uitgangspunt dat de geheimhoudingsbepalingen van de E-wet en de Gaswet niet eraan in de weg staan dat een netbeheerder zijn klantgegevens in het kader van een uitbesteding aan een administratiekantoor bekendmaakt, acht ik problematisch. Weliswaar heeft de wetgever zodanige uitbesteding blijkens de memorie van toelichting tijdelijk willen toestaan, maar daarbij heeft hij zich kennelijk onvoldoende rekenschap gegeven van de complicatie die de geheimhoudingsbepalingen in dat verband vormen. Als de gedachte zou zijn dat de aan uitbesteding inherente overtreding van de geheimhoudingsbepalingen tijdelijk moet worden gedoogd onder voorwaarde van voldoende (voorzorgs)maatregelen, geldt dat zodanige voorwaarde niet is geëxpliciteerd en dat bij overtreding daarvan niet de overtreding van die voorwaarde, maar de niet langer te gedogen bekendmaking kan worden beboet. De bestreden besluiten zijn echter uitdrukkelijk niet op de uitbesteding gericht.

7.8 Of sprake is van een medeplegen, wordt (uiteraard) allereerst bepaald door de delictsgedraging die tot het grondfeit leidt. Het oordeel kan anders uitvallen, al naar gelang een gebrek aan zorg dan wel een bekendmaking van de geheim te houden gegevens als de in aanmerking te nemen delictsgedraging heeft te gelden.

7.9 Medeplegen veronderstelt een voldoende nauwe en bewuste samenwerking tussen de medeplegers. Niet iedere samenwerking volstaat voor een medeplegen. Hoewel voor het medeplegen van overtredingen niet mag worden verlangd dat sprake is van “dubbele” opzet (opzet op de samenwerking en opzet op het delict), moet worden aangenomen dat de voor medeplegen vereiste samenwerking minst genomen op de delictsgedraging moet zijn gericht.

7.10 Van medeplegen is pas sprake als de intellectuele en/of materiële bijdrage van de medepleger aan het delict van voldoende gewicht (significant of wezenlijk) is. In die zin moet de samenwerking tussen de medeplegers gelijkwaardig zijn. Hierbij komt het aan op een zekere gelijkwaardigheid bij het plegen van de overtreding. Daarvoor is op zichzelf niet voldoende dat de medeplegers, als zij in een contractuele relatie tot elkaar staan, als contractpartijen gelijkwaardig zijn.

De AG is van oordeel dat hier onvoldoende grondslag is voor een bestuursrechtelijke boete wegens het onvoldoende nemen van maatregelen om geheimhouding van klantgegevens van Liander te waarborgen.

Als dit standpunt door het College van Beroep voor het bedrijfsleven zou worden gevolgd, is aanpassing van de wetgeving nodig, om te zorgen dat er een stimulans is voor grote partijen als Liander en Nuon om goede maatregelen te nemen ter geheimhouding van de persoonsgegevens van hun klanten.

Dat zo’n stimulans nodig is wordt geïllustreerd door ziektekostenverzekeraar Ohra, onlangs werd bekend dat dit bedrijf persoonsgegevens van verzekerden aan enquêtebureau MediQuest had verstrekt, zie onder meer dit bericht. Ik kan me niet voorstellen dat dit op grond van de regelgeving inzake ziektekostenverzekeringen is toegestaan.

Meer informatie

Over Ellen Timmer, advocaat ondernemingsrecht @Pellicaan

Verbonden aan Pellicaan Advocaten, http://www.pellicaan.nl/, kantoor Rotterdam, telefoon 088-6272287, fax 088-6272280, e-mail ellen.timmer@pellicaan.nl ||| Weblogs: algemeen: https://ellentimmer.com/ || modernisering ondernemingsrecht: http://flexbv.wordpress.com/ ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Bestuurlijke boete, Bestuursrecht, ICT, privacy, e-commerce, Strafrecht en getagged met , , , , , . Maak dit favoriet permalink.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s