Dit artikel werd eerder gepubliceerd op de website van Privacyweb (d.d. 9-7-2019).
Op vragen van de PvdA-fractie aan het College van Burgemeester en Wethouders (verder: het College) van de gemeente Assen waarom een datalek niet gemeld was bij de Autoriteit persoonsgegevens (AP) en/of de betrokkene(n), antwoordde het College dat de mail niet afkomstig was van de gemeente Assen. Een reconstructie van de gang van zaken had namelijk opgeleverd dat de opsteller van de mail deze zelf per ongeluk verkeerd had geadresseerd. Een wat cryptische omschrijving. Als er een datalek is vanwege het verkeerd doorsturen van een mail, dan heeft de opsteller toch per definitie altijd het verkeerde adres in het mailsysteem ingevuld! Kortom: tijd voor een nadere beschouwing.
Per ongeluk doorgestuurde mail
Een ambtenaar van de gemeente Assen had een mail doorgestuurd naar een klant/bewoonster van de gemeente over haar aanvraag in het kader van de Wet Maatschappelijke Ondersteuning (Wmo). Bij of in die mail waren medische gegevens van die klant vermeld. De klant had vervolgens die medische gegevens, om haar vriendin op de hoogte te stellen van de reactie van de gemeente, doorgestuurd. Maar per ongeluk aan de verkeerde persoon. Aldus het verhaal van de persvoorlichter van de gemeente Assen. De vragensteller van de PvdA-fractie kon dit verhaal niet bevestigen of ontkennen. De fractie wilde de lezing van de persvoorlichter nog nader onderzoeken.
AVG van toepassing?
Maar laten we uitgaan van de juistheid van deze gegevens. Is er dan sprake van een datalek? Naar mijn kennelijke overtuiging is de AVG niet van toepassing en hoeft er geen melding plaats te vinden aan de AP. Op grond van artikel 2 lid 2 onder c AVG is deze verordening niet van toepassing op een verwerking van persoonsgegevens van een zuiver persoonlijke of huishoudelijke activiteit. Onder het persoonlijk gebruik valt onder andere het maken van een lijst met namen van familieleden en vrienden, die ik wil uitnodigen voor mijn verjaardagsfeestje. Ook op mijn werk kan ik een lijstje maken, bijvoorbeeld een lijstje van collega’s die ik vandaag nog moet bellen of mailen. Ook dat laatste lijstje valt niet onder de AVG. Als dat lijstje echter door meerdere personen gebruikt wordt, wordt het anders.
Onder huishoudelijk gebruik wordt weliswaar verstaan dat er meerdere personen gebruik mogen maken van het lijstje met namen, maar het moet echter wel gaan om een duidelijk bepaalbare groep die te maken heeft met het huishouden of gezin. Deze uitzondering geldt weer niet als het lijstje openbaar gemaakt wordt op internet (uitspraak van het Hof van Justitie van de EG in de Lindqvist-zaak).
Overweging 18, behorend bij de AVG, gaat over deze uitzondering van de persoonlijke of huishoudelijke activiteit. Daarin staat dat deze afgezet moet worden tegenover beroeps- of handelsactiviteiten. Het voeren van persoonlijke correspondentie of het houden van adresbestanden, het sociaalnetwerken en de online-activiteiten in de context van dergelijke activiteiten behoren tot de uitzondering, aldus deze overweging.
Als we artikel 2 AVG nu toepassen op de casus, dan moeten we concluderen dat de opsteller van de mail, een natuurlijk persoon, niet werkzaam bij de gemeente Assen, in een persoonlijke correspondentie haar eigen medische gegevens heeft doorgestuurd aan de verkeerde persoon. Dat betekent dat de AVG inderdaad niet van toepassing is. Het standpunt van de gemeente Assen is dus juist, ervan uitgaande dat de feiten ook juist zijn.
Schade claimen
Mocht nu de ontvanger van de persoonsgegevens deze gegevens kenbaar maken aan derden, dan kan de opsteller de ontvanger civielrechtelijk aanspreken op grond van een onrechtmatige daad. In een kort geding kan de opsteller het doorgeven van de persoonsgegevens tegenhouden en in een hoofdprocedure kan hij de geleden schade vorderen. De opsteller moet dan niet alleen aannemelijk maken wat de schade is, maar hij moet ook het causale verband tussen het doorsturen van de informatie en zijn schade aantonen. Strafrechtelijk zou je kunnen denken aan smaad. Het gaat dan om het opzettelijk aantasten van de eer en de goede naam in het openbaar. Ook is artikel 138c, namelijk het wederrechtelijk overnemen van niet-openbare gegevens, een mogelijkheid. Vereist hiervoor is dat opzettelijk en wederrechtelijk ongewenst gegevens verspreid en openbaar gemaakt zijn. Om deze middelen in te zetten, zal het wel om “serieuze” zaken moeten gaan.
Verantwoordelijkheid overheidsorgaan of werkgever voor datalek
Stel nu dat het een ambtenaar van de gemeente Assen is geweest die per ongeluk de medische gegevens per mail naar de verkeerde persoon heeft gestuurd, dan is er wel sprake van een datalek. De hierboven genoemde uitzondering van de persoonlijke en huishoudelijke activiteit geldt dan niet, want de mail is immers beroepshalve verstuurd. Tevens moet er dan bij zowel de AP als de betrokkene gemeld worden, omdat het gaat om bijzondere gegevens, te weten medische gegevens, en omdat het om gegevens betreft van een kwetsbare burger (gelet op diens afhankelijkheid van de gemeente vanwege de Wmo-aanvraag en vanwege de mogelijke medische beperking van de betrokkene).
Gelet op de aard van de rechtsverhouding tussen overheidsorgaan en de ambtenaar (de ambtenaar wordt immers met een eenzijdige rechtshandeling aangesteld), of tussen een werkgever en een werknemer (bij een arbeidsovereenkomst is er sprake van een gezagsverhouding want je bent als werknemer in dienst van de werkgever) is het overheidsorgaan (of de werkgever) verantwoordelijk voor de werkzaamheden van de ambtenaar (of de weknemer) in de uitvoer van de werkzaamheden die hij gedurende zijn werktijd verricht. Bij een datalek moet de verantwoordelijke ook het datalek melden. De verantwoordelijke in de AVG is diegene die het doel en de middelen van de verwerking bepaalt. Dat is uiteraard het overheidsorgaan (of de werkgever). Het bepaalt immers met welk doel de ambtenaar (of werknemer) de gegevens verwerkt en welke middelen die ambtenaar (of werknemer) ter beschikking staan om de gegevens te verwerken.
Aansprakelijkheid ambtenaar of werknemer voor datalek
Kan het overheidsorgaan of de werkgever de ambtenaar of werknemer aansprakelijk stellen voor het lekken van data? De betrokkene kan in ieder geval op de verantwoordelijke zijn schade verhalen. Zie artikel 82 AVG. Maar kan vervolgens de verantwoordelijke de schade verhalen op de ambtenaar of werknemer? In het arbeidsrecht, dat na de invoering van de Wet normering rechtspositie ambtenaren per 1 januari 2020 ook voor de meeste ambtenaren zal gelden, is dat geregeld in artikel 7:661 BW. De werkgever kan de schade alleen verhalen als er sprake is van opzet of bewuste roekeloosheid. Bewuste roekeloosheid is net zo moeilijk te bewijzen als opzet. De werkgever moet dan namelijk aantonen dat de werknemer kort voordat hij het lek veroorzaakte zich exact realiseerde wat de fout en de consequenties daarvan zouden zijn. In artikel 66 ARAR is dit voor de rijksambtenaren geregeld. Voor de provincie, de gemeente en de waterschappen bestaan vergelijkbare regelingen. In het ambtenarenrecht worden weliswaar woorden gebruik als “verwijt ”of “nalatigheid”, hetgeen zou suggereren dat een ambtenaar eerder aansprakelijk is dan een werknemer, maar de Centrale Raad van Beroep heeft in diverse uitspraken al laten weten dat deze begrippen zodanig moeten worden uitgelegd dat het gaat om een aan opzet of bewuste roekeloosheid grenzende ernstige verwijtbaarheid.
Foto: https://www.gemeente.nu/bedrijfsvoering/privacy/persoonlijk-schuldig-aan-datalek/
No Comments