Het opslaan van vingerafdrukken van ingeklokte medewerkers ter controle van de uren die ze hebben gewerkt. Foto’s van sporters op de site van hun club of de verkoop van persoonlijke gegevens aan derden. Mag dat allemaal? Tot de komst van de Algemene Verordening Gegevensbescherming (AVG) bekommerde niemand zich erg om privacyrechten en de implicaties ervan. Dat veranderde met de invoering van de AVG.
De eis was duidelijk: eind mei 2018 moesten alle organisaties voldoen aan de regels van de AVG. De Europese richtlijn met rechtstreekse werking introduceerde strengere regels voor gegevensbescherming, waardoor bedrijven onder meer verplicht zijn vast te leggen wat ze doen om zorgvuldig met (gevoelige) persoonsgegevens om te gaan. Ook kregen privacytoezichthouders de mogelijkheid om hoge boetes (maximaal 20 miljoen euro of 4% van de totale wereldwijde omzet van een onderneming in het voorgaande boekjaar) op te leggen. Met de invoering van de AVG is de Nederlandse voorloper, de Wet bescherming persoonsgegevens, komen te vervallen.

‘De invoering van de AVG heeft bij veel organisaties voor veel stress gezorgd,’ zegt Hester de Vries, voorzitter van de Vereniging Privacy Recht (VPR) en advocaat privacyrecht en databescherming bij Kennedy Van der Laan. ‘Iedereen moest op 25 mei 2018 compliant zijn en die druk werd erg gevoeld omdat toezichthouders met hoge boetes dreigden. Uiteindelijk duurde dat een jaar en heeft niemand op 26 mei een boete gekregen, maar de invoering van deze verordening bracht veel werk met zich mee.’ Volgens De Vries is de piek in complianceprojecten voorbij, en vraagt vooral het up-to-date houden van de registers en de compliancedocumentatie inspanning.
De hectiek rondom de invoering van de AVG is er dan wel af maar privacy staat volgens Friederike van der Jagt, privacyrechtadvocaat bij Hunter Legal, wel blijvend op de agenda. ‘Privacy is heel lang een ondergeschoven kindje geweest, dat is nu veranderd.’
Specialisatieopleiding
Voor de advocatuur betekende de invoering van de AVG een ware hausse aan werk. Veel advocaten zijn zich het privacyrecht in no-time eigen gaan maken om veelal bestaande cliënten te kunnen bijstaan die met de AVG in aanraking kwamen. Maar in hoeverre zijn zij voldoende toegerust om goed advies te kunnen geven? ‘Dat is precies de zorg die er is,’ zegt De Vries. ‘Je kunt je onmogelijk in een paar maanden tijd dit rechtsgebied, dat zo weerbarstig is, eigen hebben gemaakt. Iedereen noemt zich opeens een privacyexpert, maar de praktijk en dit rechtsgebied vragen om diepgaande kennis.’

Op dit moment zijn er verschillende initiatieven om de deskundigheid onder advocaten die zich met dit rechtsgebied bezighouden te vergroten. Zo is in december vorig jaar de Vereniging Privacy Recht Advocaten (VPR-A) opgericht, waarvan De Vries bestuurslid is.
In mei 2019 startte de specialisatieopleiding voor Privacy- en gegevensbeschermingsrecht aan Universiteit Leiden. Advocaten die de opleiding met goed gevolg hebben afgerond, kunnen lid worden van VPR-A. De eerste lichting heeft afgelopen september eindexamen gedaan. ‘De opleiding is opgericht zodat advocaten aan hun cliënten kunnen aantonen dat ze kwaliteit kunnen bieden,’ zegt De Vries.
In maart van dit jaar startte de Grotius-opleiding Privacyrecht, waar Van der Jagt een van de hoofddocenten is. ‘Er was zoveel belangstelling voor de eerste editie dat besloten is om de opleiding voorlopig tweemaal per jaar aan te bieden. Een goed begin,’ vindt Van der Jagt, die al ruim twaalf jaar lang alleen maar privacyrecht doet. ‘In elk vakgebied moet je vlieguren maken, en bij het privacyrecht geldt dat des te meer omdat er wekelijks nieuwe regels, richtlijnen of uitspraken zijn.’ Het is onmogelijk om alles binnen dit vakgebied bij te houden, stelt Van der Jagt.
Zo besteedt zij zelf advisering over privacy binnen de zorg uit aan specifiek daarin gespecialiseerde advocaten. ‘Advocaten die sinds de invoering van de AVG claimen privacyrecht te doen, moeten zich realiseren dat zij slechts over een stukje van dit rechtsgebied adviseren. Privacyrecht doe je er niet “even” bij. Het is een volwassen rechtsgebied met veel verschillende aspecten. Om eerlijk te zijn, was ik daarom blij toen de eerste boetes vielen, want dit rechtsgebied zou door iedereen serieus genomen moeten worden.’
Boetes
De forse boetes voor het overtreden van de AVG kwamen minder snel dan van tevoren gedacht, maar in januari 2019 kreeg Google de hoogste boete tot nu toe van 50 miljoen euro opgelegd door de Franse privacytoezichthouder CNIL. De zoekmachine zou gebruikers onvoldoende informeren over de gegevens die van hen worden verzameld en opgeslagen.
Inmiddels zijn door de verschillende privacytoezichthouders meer dan tweehonderd boetes opgelegd. In Nederland deelde de Autoriteit Persoonsgegevens (AP) afgelopen zomer haar eerste boete uit aan het HagaZiekenhuis in Den Haag. Het ziekenhuis moet 460.000 euro betalen omdat de zorginstantie de interne beveiliging van patiëntendossiers niet op orde had. Later bleek ook nog dat een medewerker een uitdraai met patiëntgegevens als boodschappenlijstje had gebruikt. De documenten lagen in een winkelkarretje in de supermarkt. Recentelijk is door de AP een boete van 525.000 euro aan de tennisbond KNLTB opgelegd voor het verkopen van gegevens van leden van de bond aan twee sponsoren.
‘Je moet vlieguren maken want er zijn wekelijks nieuwe regels, richtlijnen of uitspraken’
De Britse privacytoezichthouder ICO is voornemens om de hotelketen Marriott een boete op te leggen van omgerekend 107 miljoen euro. Dit vanwege een datalek door een kwetsbaarheid in het systeem van het door Marriott overgenomen Starwood. Dat was onopgemerkt gebleven tijdens het overnameonderzoek. ‘Het checken van de wijze waarop persoonsgegevens zijn beschermd, is een actieve plicht bij fusies en overnames waarop nu ook wordt gehandhaafd ,’ vertelt Van der Jagt. ‘Dat betekent dat bij overnames de vroeger veelal heersende “er is niks aan de hand-houding” weg is, want er is nu een reëel boeterisico. Advocaten moeten heel goed nagaan welke persoonsgegevens bij een overname worden verkregen en hoe de beveiliging daarvan is geregeld. Bij faillissementen geldt dat curatoren niet zonder meer persoonsgegevens die zich in de boedel bevinden, mogen verkopen. Ook daarbij gelden de regels van de AVG onverkort.’

Ondernemingsrechtadvocaat Robert van Muijen (Holla Advocaten) zegt dat de bewustwording rondom privacy bij fusies en overnames veel groter is geworden. ‘Ik zie dat partijen bij due diligence scherper letten op privacygevoelige informatie. Personeelsbestanden worden nu geanonimiseerd, of onzichtbaar gemaakt.’ Het is daardoor ingewikkelder een goed beeld te krijgen van het personeel, aldus Van Muijen. ‘We kunnen minder gedetailleerd rapporteren aan cliënten. Pas na de transactie weet je precies wat voor vlees je in de kuip hebt.’ Door de komst van de AVG is de ondernemingsrechtadvocaat veel hechter gaan samenwerken met het interne privacyteam. ‘Zij hebben zichzelf de afgelopen jaren op de kaart gezet, zowel buiten als binnen kantoor. Het team is bij alle transacties betrokken, in onze DD-rapporten nemen we standaard een aparte paragraaf op over privacyaspecten.’
Praktijk
Advocaten zelf moeten zich ook aan de AVG houden en dat zorgt voor lastige situaties, vindt De Vries. ‘Je mag de wet niet overtreden, maar ik heb een aantal situaties gezien waarin dat echt kan knellen.’ Want hoe zit het nu precies met het gebruik van informatie die cruciaal is in het verweer van je cliënt, maar in een andere procedure is verkregen? vraagt ze zich af. ‘Je bent verplicht om je cliënt zo goed mogelijk te helpen, maar de AVG kan het gebruik van informatie beperken. En de wederpartij kan tijdens een procedure een inzageverzoek doen. Je kunt je dan beroepen op je beroepsgeheim, maar je moet je hoe dan ook verantwoorden en bent verplicht alles in kaart te brengen. Dat is enorm arbeidsintensief.’ De Vries oppert om samen met de landelijke orde een lijst van knelpunten te maken waar advocaten tegenaan lopen. Een goed idee, vindt ook Van der Jagt. ‘Er kunnen zich lastige omstandigheden voordoen, en dan blijft het soms een puzzel. Het zou goed zijn als de orde over een aantal standaardonderwerpen – zoals de Wwft, paspoortidentificatie, bewaartermijnen – duidelijke richtlijnen kan geven.’ In een reactie verwijst de orde naar het AVG-dossier op de eigen website.
‘De patiëntgegevens lagen in een winkelkarretje in de supermarkt’
Toename klachten
Uit de klachtenrapportage over 2019 van de Autoriteit Persoonsgegevens blijkt dat het aantal privacyklachten met bijna 79 procent is toegenomen ten opzichte van 2018. Ruim 27.800 mensen dienden een klacht in – veelal over het vastlopen van inzage- of verwijderverzoeken. Kennelijk weten mensen de weg naar de AP steeds beter te vinden. ‘Wat ik in mijn praktijk vooral terugzie, is dat er meer geprocedeerd wordt dan bij de Wbp,’ zegt De Vries. ‘Mensen denken dat de AVG meer rechten biedt en ze proberen opnieuw inzageverzoeken te doen. Een herhaling van zetten.’ Ook Van der Jagt ziet in haar werk het aantal procedures groeien. ‘Mensen weten steeds beter wat hun rechten zijn en dwingen bedrijven er iets mee te doen. Die klachten zorgen ervoor dat de AP in actie moet komen.’
En precies daar schort het volgens beide privacyadvocaten tot op heden nogal eens aan. Zij klagen vooral over de gebrekkige en onduidelijke informatie van de AP. Van der Jagt moest ondanks veel aandringen één jaar wachten op antwoord over de interpretatie van een bepaald standpunt aangaande het gebruik van foto’s van werknemers. ‘Dat antwoord bleek niet eenduidig en week af van het standpunt Europees breed. Terwijl je het op dezelfde manier moet interpreteren. De AP is geneigd om te zeggen: jullie zijn de specialisten, zoeken jullie het maar uit. Maar je kunt niet verwachten dat de markt eenduidig gaat interpreteren. Er zijn ook advocaten die zeggen: als de AP geen duidelijke normen stelt, kunnen we het op allerlei manieren interpreteren, dan kun je risicovoller adviseren.’
Pauline Gras, woordvoerder bij de AP, zegt zich deels te herkennen in deze kritiek. ‘We blijven een kleine toezichthouder met een groot toezichtgebied en beperkte capaciteit. Dat wringt. Het kan voorkomen dat advocaten daardoor langer op een antwoord wachten dan wij zelf ook wenselijk achten.’ De AP gaf onlangs bij de publicatie van de klachtenrapportage over 2019 aan dat zij door capaciteitsgebrek de meeste klachten pas na zes maanden in behandeling kan nemen.
Toekomstbeeld
De Nederlandse rechter heeft inmiddels in meerdere zaken schadevergoeding op grond van de AVG toegekend. Zo wees de rechter 250 euro schadevergoeding toe aan een werkneemster, omdat het UWV haar nieuwe werkgever informeerde over haar eerdere burn-out bij haar vorige werkgever. Ook werd onlangs een schadevergoeding van 500 euro toegekend aan een man die erachter kwam dat een gemeente andere gemeenten had geïnformeerd dat hij Wob-verzoeken deed.
‘Hoe de hoogte van de schadevergoeding wordt bepaald, is nu niet veel zicht op,’ vertelt Van der Jagt. ‘Dat zal onder meer samenhangen met de gevoeligheid van de informatie en het aantal partijen aan wie de gegevens onrechtmatig zijn verstrekt. Het lijkt nu vaak nog willekeurig en dat kan tot rechtsongelijkheid leiden.’
Het privacyrecht heeft nog veel open normen. Vanuit Europa moeten toezichthouders nieuwe richtlijnen met elkaar afstemmen en worden regels steeds meer verduidelijkt. Dat vraagt tijd. Daarnaast heeft ook nieuwe wetgeving impact op het privacyrecht. Zoals de recente inwerkingtreding van de Wet afwikkeling massaschade in collectieve actie.
Daarmee is het voor gedupeerden kort gezegd mogelijk om via een collectieve actie schadevergoeding te vorderen vanwege privacyschendingen, bijvoorbeeld door overheden of grote bedrijven. ‘Het is interessant om zaken in Nederland te gaan starten nu er een schadevergoedingsmogelijkheid is en de kosten van de procedure door de eisers kunnen worden gedeeld,’ aldus Van der Jagt. ‘Hierin zouden litigators ook goed kunnen samenwerken met privacyspecialisten.’ Iets dat ze zelf momenteel al doet.
Ook De Vries denkt dat het een kwestie van tijd is voordat de eerste massaclaims komen. ‘Er zijn voortekenen dat het die kant opgaat. Grote datalekken waarbij vertrouwelijke gegevens van meerdere individuen in de openbaarheid zijn gekomen, kunnen zorgen voor massaclaims. Dat zal voor een heel nieuwe dimensie zorgen binnen dit rechtsgebied.’
Dit artikel is ook gepubliceerd in Advocatenblad 2020-4