Rechtbank: Nationaal Coördinator Terrorisme en Veiligheid handelt in strijd met de AVG nu niet kan worden meegedeeld aan betrokkene aan wie persoonsgegevens zijn doorgestuurd

Geplaatst op 31 januari 2024 door Ellen Timmer

De Nationaal Coördinator Terrorisme en Veiligheid (NCTV) maakte een slechte beurt in een AVG-zaak die werd beslecht door de rechtbank Amsterdam.

In die zaak verzocht een burger op basis van de AVG om inzage van de door de NCTV (minister van Veiligheid) over hem verwerkte persoonsgegevens en wilde hij weten aan wie die persoonsgegevens waren verstrekt. De NCTV argumenteert volgens de uitspraak (overweging 7), ‘eiser’ is de burger:

De verstrekte gegevens zijn niet van de NCTV afkomstig. De NCTV heeft geen onderzoek gedaan. De gegevens zijn afkomstig van openbare bronnen, zoals tweets en kranten. Er is geen persoonsdossier van eiser opgemaakt. De NCTV had eiser niet hoeven informeren op grond van artikel 14, lid 5.b van de AVG, omdat dit een te grote inspanning van de dienst zou hebben gevergd. Eiser heeft recht op een kopie van zijn persoonsgegevens, maar niet van de originele stukken of het bestand waarin die gegevens voorkomen. Volstaan mag worden met een volledig overzicht in begrijpelijke vorm.

Eiser stapt naar aanleiding van de beslissing van de NCTV naar de rechtbank, de reden daarvoor wordt in de uitspraak beschreven:

9. Eiser is bang dat zijn persoonsgegevens bij verweerder zullen worden gewist en hij dan geen manier meer heeft te controleren met wie zijn persoonsgegevens zijn gedeeld. Reden hiervoor is dat de NCTV, en dus ook verweerder, niet weet aan welke buitenlandse veiligheidsdiensten zijn data zijn gestuurd. Dit is gebeurd in strijd met protocollen en goede regelgeving. Voor eiser houdt dit een groot risico in, met name omdat het gaat om verwijzingen naar extremisme. Die valse data zijn over de wereld verspreid. Eiser vraagt een gedegen forensisch onderzoek, zodat er weer grip kan worden gekregen op zijn dossier en de vraag aan welke buitenlandse veiligheidsdiensten zijn data zijn verstrekt.

Recht op kopieën?
Over de vraag welke gegevens eiser mocht krijgen zegt de rechtbank dat het  niet altijd nodig is overal kopieën van te krijgen:

11. Eiser heeft in zijn verzoek gevraagd om afschriften. Verweerder heeft echter volstaan met het geven van inzage in de persoonsgegevens. De vraag is of verweerder daarmee mocht volstaan.

Volgens het arrest van het Hof van Justitie van de Europese Unie (het Hof) van 4 mei 20231 dient de betrokkene alle informatie in kwestie in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal te ontvangen. Eiser heeft een overzicht gekregen met daarin persoonsgegevens, doel verwerking, ontvangers (anoniem), bron gegevens en geautomatiseerde besluitvorming en logica. De jurisprudentie vereist verder dat, om te waarborgen dat de aldus verstrekte informatie gemakkelijk te begrijpen is, het onontbeerlijk kan zijn dat uittreksels uit documenten of zelfs volledige documenten of databankuittreksels die onder meer de persoonsgegevens bevatten die worden verwerkt, worden gereproduceerd. Wanneer met name persoonsgegevens worden gegenereerd op basis van andere gegevens of wanneer dergelijke gegevens voortvloeien uit open tekstvelden, dat wil zeggen wanneer er geen data worden verstrekt en uit deze lacune informatie over de betrokkene valt af te leiden, is de context waarin deze gegevens worden verwerkt een onontbeerlijk element om de betrokkene in staat te stellen op transparante wijze inzage te krijgen in die gegevens en er een begrijpelijk beeld van te krijgen.

12. De rechtbank is in het onderhavige geval van oordeel dat het voor eiser niet onontbeerlijk is om kopieën van de door hem gevraagde stukken te ontvangen.

Onbekende ontvangers
Gunstig voor eiser is dat de rechtbank mee gaat in zijn stelling dat de NCTV aan hem moet kunnen meedelen aan wie zijn gegevens zijn verstrekt (overweging 13), markering door mij:

In voornoemd arrest van het Hof is geoordeeld dat de verwerkingsverantwoordelijke verplicht is om aan de betrokkene de identiteit van de ontvangers van zijn persoonsgegevens te verstrekken, tenzij het onmogelijk is om die ontvangers te identificeren. Vaststaat dat eisers persoonsgegevens aan ambtenaren van buitenlandse veiligheidsdiensten zijn doorgegeven. Tijdens de behandeling op zitting is gebleken dat verweerder geen antwoord kon geven op de vraag wie deze gegevens hebben doorgegeven, aan welke diensten de gegevens zijn doorgegeven en welke concrete pogingen verweerder heeft gedaan om deze gegevens te achterhalen. Verder heeft de rechtbank informatie gevraagd over protocollen die zien op het verzenden van persoonsgegevens naar andere instanties, welke gang van zaken daarbij wordt gevolgd en voor welke werknemers deze protocollen gelden. Voor de rechtbank was ook van belang te weten hoe de privacy van de betrokkenen in dergelijke gevallen wordt gewaarborgd en of er een protocol is voor het archiveren van gedeelde gegevens. Verder is aan verweerder de vraag voorgelegd of hij bereid is een extern technisch onderzoeksbureau in te schakelen teneinde deze gegevens alsnog te achterhalen.

De rechtbank constateert dat de NCTV heeft toegegeven dat de gang van zaken rondom het doorzenden van de persoonsgegevens van eiser niet correct is geweest en oordeelt hard over de handelswijze (overweging 15):

Gelet op het feit dat het hier persoonsgegevens van een individu betrof die zonder de benodigde zorgvuldigheid te betrachten zijn doorgezonden aan derden, acht de rechtbank deze gang van zaken ongeoorloofd en onacceptabel. De rechtbank is dan ook van oordeel dat verweerder hiermee onrechtmatig heeft gehandeld in strijd met de interne protocollen.

Gegrondverklaring
Het beroep wordt gegrond verklaard maar de uitspraak laat de rechtsgevolgen van het vernietigde besluit in stand (overweging 18):

De rechtbank ziet echter geen aanleiding om verweerder een nieuw besluit op bezwaar te laten nemen. (…) De rechtbank neemt wel in overweging dat eiser naar alle waarschijnlijkheid hierdoor benadeeld is, maar ziet geen andere mogelijkheid dan de rechtsgevolgen van het vernietigde besluit in stand te laten. Dat neemt echter niet weg dat het eiser vrij staat via andere wegen compensatie te vragen voor dit ervaren nadeel. De rechtbank geeft verweerder ook uitdrukkelijk mee zelf na te denken over compensatie van eiser naar aanleiding van de hierboven geschetste handelswijze.

 

De AVG gaat over het grondrecht dat zorgvuldig met persoonsgegevens wordt omgegaan

Deze zaak geeft een goede illustratie van wat de bedoeling is van de AVG en het grondrecht op privacy. Het draait om een zorgvuldige omgang van verantwoordelijken (hier de NCTV) met persoonsgegevens, waarbij het allereerst van belang is dat de NCTV niet op onjuiste gronden iemand het stempel vermoedelijke terrorist op plakt. In het kader van het grondrecht is essentieel dat de betrokkene weet bij wie zijn persoonsgegevens terecht komen, zodat hij de consequenties kan overzien en eventueel maatregelen kan nemen.

CRIF uitspraak HvJ
In bovenstaande uitspraak wordt melding gemaakt van het arrest van het Europese Hof in de CRIF zaak van 4 mei 2023, C487/21 [1]. CRIF is een datahandelaar die zich bezig houdt met kredietwaardigheidsbeoordelingen. In deze uitspraak wordt uitgebreid ingegaan op de reikwijdte van het inzagerecht, dat tot doel heeft dat de betrokkene kan verifiëren of zijn persoonsgegevens juist zijn en rechtmatig worden verwerkt en zo nee dat bepaalde rechten kunnen worden uitgeoefend, onder meer het recht op rectificatie van gegevens, op gegevenswissing (‘vergetelheid’), en op beperking van de verwerking. Het Hof verklaarde voor recht dat:

het recht om van de verwerkingsverantwoordelijke een kopie te verkrijgen van de persoonsgegevens die worden verwerkt, inhoudt dat aan de betrokkene een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden gegeven. Dit recht omvat het recht om een kopie te verkrijgen van uittreksels van documenten of zelfs van volledige documenten of databankuittreksels die onder meer die gegevens bevatten, indien de verstrekking van een dergelijke kopie onontbeerlijk is om de betrokkene in staat te stellen de hem bij deze verordening verleende rechten daadwerkelijk uit te oefenen, waarbij moet worden benadrukt dat daarbij ook rekening moet worden gehouden met de rechten en vrijheden van anderen.

Österreichische Post uitspraak HvJ
Zie over het belang voor betrokkene om te weten wie zijn persoonsgegevens ontvangen ook de uitspraak van 12 januari 2023 inzake de Österreichische Post, zaak C-154/21 [2], door mij in dit blog besproken.

 

Noten

[1] ECLI:EU:C:2023:369, zie de uitspraakpagina bij EUR-Lex, en de overzichtspagina over de procedure bij het Hof. Er is een Nederlandstalige versie van de uitspraak beschikbaar.

[2] ECLI:EU:C:2023:3, zie het persbericht (Engelstalig), de Nederlandstalige versie van de uitspraak en de overzichtspagina bij het Hof.

Onbekend's avatar

About Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Grondrechten, ICT, privacy, e-commerce en getagd met , , , , , , , , , . Maak de permalink favoriet.

Plaats een reactie