23/07/2019 20:31

Ook rechters worstelen met de AVG

Dat blijkt wel uit een recente uitspraak van de kortgedingrechter van de rechtbank Noord-Nederland. De zaak ging overigens helemaal niet over privacy of over de Algemene Verordening Gegevensbescherming. De zaak ging over 21 belanghebbenden met evenzoveel vergunningen op grond van de Wet Natuurbescherming (Wnb). Ingewikkeld genoeg op zich dus al en de rechter maakt het er niet minder ingewikkeld op door privacyrechtelijk uit de bocht te vliegen.

De rechter kwalificeerde zichzelf namelijk als “verwerker” in de zin van art. 4 lid 8 AVG. Vervolgens wees hij erop dat de AVG het beginsel van minimale gegevensverwerking kent. Dat houdt in dat er niet meer persoonsgegevens verwerkt mogen worden dan strikt noodzakelijk is om het met die verwerking beoogde doel te bereiken. Dat beoogde doel kwam in dit geval neer op: een goede rechtsbedeling ten aanzien van ieder van de 21 vergunningen. Om dat doel te bereiken, was het volgens de rechter niet nodig dat de 21 belanghebbenden van elkaars stukken kennis zouden nemen; voldoende was dat alleen de rechter die stukken onder ogen kreeg, te meer omdat de stukken bedrijfsgevoelige informatie bevatten. Gevolg: de rechter splitste de procedure in 21 afzonderlijke procedures.

Er vallen meteen enkele aspecten op die hier AVG-technisch mis lijken te gaan.

Geen “verwerker” maar “verwerkingsverantwoordelijke”
Ten eerste zijn rechtbanken geen “verwerkers” in de zin van de AVG, maar “verwerkingsverantwoordelijken”. Wat is het verschil? De verwerkingsverantwoordelijke is de partij die het doel en de middelen van de verwerking vaststelt. De verwerker voert louter op instructie van de verwerkingsverantwoordelijke  bepaalde handelingen uit met persoonsgegevens. Dit onderscheid is essentieel. Op de  verwerker  rusten namelijk véél minder verplichtingen op grond van de AVG dan op de verwerkingsverantwoordelijke.

Bijvoorbeeld: Hebt u een eigen bedrijf, dan is uw bedrijf verwerkingsverantwoordelijk voor wat betreft de persoonsgegevens van uw klanten. Bewaart u die gegevens in de cloud, bijvoorbeeld met een online CRM-systeem, dan is de leverancier daarvan slechts verwerker van de persoonsgegevens van uw klanten.

Terug naar de onderhavige zaak: bij een behandeling van een rechtszaak worden persoonsgegevens verwerkt in het kader van de uitvoering van de gerechtelijke taken die uit de wet voortvloeien. De P-G bij de Hoge Raad heeft in art. 3 van de “Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad” neergelegd dat gerechtelijke instanties “verwerkingsverantwoordelijken” zijn, en dus niet slechts “verwerkers”. Dat is ook logisch: gerechtelijke instanties hebben een wettelijke taak en zijn er zelf voor verantwoordelijk daar invulling aan te geven. Over de manier waarop ze dat doen, hebben de procederende partijen in feite niets te zeggen.

Rechter in persoon of rechtbank als organisatie verantwoordelijk?
Ten tweede valt op dat de rechter zichzelf in persoon aanwijst als verwerker. Ik vraag me af of dat terecht is: ik zou namelijk zeggen dat de rechtbank als organisatie (dus als geheel) gekwalificeerd dient te worden als ofwel verwerker, ofwel verwerkingsverantwoordelijke in de zin van de AVG.

Overigens viel mij op dat in artikel 3 van de genoemde “Regeling toezicht verwerking persoonsgegevens door gerechten en het parket bij de Hoge Raad” ook personen worden aangewezen als “verwerkingsverantwoordelijke” en dus niet de betreffende gerechtelijke organisaties waaraan die personen verbonden zijn. Als reden wordt gegeven dat deze personen functioneel leidinggevend/eindverantwoordelijk zijn. Ik vind dat bijzonder, alhoewel ik me realiseer dat natuurlijke personen op zich wel “verwerkingsverantwoordelijke” kunnen zijn in de zin van de AVG. Waar het echter om verwerkingen door organisaties gaat, worden normaliter die organisaties als geheel beschouwd als verwerkingsverantwoordelijke. En dus niet de individuele personen die in die organisaties werkzaam zijn, al dan niet als functioneel leidinggevende. Bijvoorbeeld: een directeur grootaandeelhouder (DGA) van een BV is weliswaar functioneel leidinggevend, maar in de zin van de AVG is de BV de verwerkingsverantwoordelijke. Persoonlijke aansprakelijkheid van de DGA zal zich slechts in uitzonderlijke gevallen voordoen.

Ook de AVG zelf heeft het over het verwerken van persoonsgegevens door “gerechten” en dus niet door individuele rechters (zie onder andere nrs. 20 en 97 AVG-preambule alsmede art. 9 lid 2 sub f, art. 37 lid 1 sub a en art. 55 lid 3 AVG).

Ik zou in de regel niet snel tegen een P-G bij de Hoge Raad in durven gaan. Dit soort bepalingen roept bij mij als privacyjurist echter toch wel vragen op. Voer voor discussie dus, te meer nu de AVG nog zo’n betrekkelijk onontgonnen gebied is.

Verantwoordelijkheid voor naleving beginselen
Een derde aspect dat meteen opvalt, is dat de rechter eerst (onterecht) constateert dat hij “verwerker” is ex art. 4 lid 8 AVG en, blijkbaar als een gevolg van die constatering, zijn handelen gaat toetsen aan de beginselen uit artikel 5 AVG. Die gevolgtrekking is bijzonder. Immers, artikel 5 lid 2 AVG bepaalt juist dat de verwerkingsverantwoordelijke (en dus niét de verwerker) degene is die voor de aantoonbare naleving van de beginselen van de AVG moet zorgdragen.

Met andere woorden: nadat de rechter tot de (onjuiste) conclusie was gekomen dat hij slechts “verwerker” is ten opzichte van de procederende partijen als “verwerkingsverantwoordelijken”, had hij in feite kunnen volstaan met de opmerking dat de procederende partijen dus ervoor verantwoordelijk zijn dat de beginselen uit de AVG aantoonbaar in acht zijn genomen. Daar had de rechter zich dan dus, als veronderstelde “verwerker”, niet meer druk over hoeven maken.

Conclusie
Al het voorgaande leidt uiteindelijk tot een opmerkelijke conclusie.

De splitsing van de 21 zaken die de rechter toepast, zou namelijk zomaar eens wél terecht kunnen zijn, maar niét op grond van de redenering van de rechter in deze zaak. Immers, als verwerkingsverantwoordelijke (in plaats van verwerker) is de rechtbank er inderdaad voor verantwoordelijk dat de beginselen genoemd in artikel 5 van de AVG aantoonbaar nageleefd worden. Dat kan tot gevolg hebben dat de rechtbank in bepaalde situaties procedures moet splitsen. Dat kan namelijk noodzakelijk zijn om te voorkomen dat (gevoelige) persoonsgegevens van een procespartij terechtkomen bij andere procespartijen, zonder dat dat nodig is voor een goede rechtsbedeling.

Of splitsing in de onderhavige zaak inderdaad vereist was om aan de AVG te voldoen, hangt af van alle feiten en omstandigheden van dit concrete geval. Dat valt op basis van beperkte de informatie uit de uitspraak niet te beoordelen.

mr. Edwin Aerts

mr. Edwin Aerts

Advocaat arbeidsrecht bij KZO|O13 advocaten
Edwin Aerts is advocaat bij KZO|013 Advocaten in Tilburg. De advocaten van KZO|013 zijn meesters, maar vooral ook mensen in de rechten. Dat komt terug in de manier waarop zij hun zaken doen: professioneel en daadkrachtig, maar ook betrokken. Hard op de inhoud, zacht op de sfeer. Hun ervaring is dat zo'n aanpak het beste werkt.

Geef als eerste een reactie

Geef een reactie

Uw e-mailadres wordt niet gepubliceerd.




SLUIT
CLOSE