Op 20 december 2018 heeft de rechtbank Noord-Nederland een opvallende
uitspraak gedaan. De voorzieningenrechter merkte zichzelf namelijk aan als verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG). Wat is de gedachte achter deze kwalificatie en wat zijn hier de gevolgen geweest voor die rechtszaak? Dat leest u hieronder.
21 verleende vergunningen De zaak gaat over 21 verleende vergunningen. De bezwaren tegen de vergunningen zijn in één besluit afgewezen waardoor de rechter, in plaats van 21 afzonderlijke zaken, de rechtmatigheid van deze vergunningen samengevoegde tot één zaak.
Het doorzenden van stukken aan partijen In de vergunningsaanvragen staan persoonsgegevens van individuele vergunninghouders. Door het samenvoegen van de aanvragen worden de persoonsgegevens aan alle andere partijen doorgestuurd en dus verwerkt in de zin van de AVG. Hierdoor merkte de rechter zichzelf aan als verwerker. Een, naar mijn mening, opmerkelijk onderdeel uit de uitspraak over de verwerking van persoonsgegevens is de volgende passage:
“Hierbij neemt de voorzieningenrechter in aanmerking dat in de afzonderlijke bedrijfsplannen van de vergunninghouders vertrouwelijke gegevens of bedrijfsgevoelige informatie vermeld kan staan.”
De gegevens die de rechter hier benoemt lijken mij geen persoonsgegevens. Bedrijfsplannen en ‘andere bedrijfsgevoelige informatie’ bevatten in beginsel geen gegevens over een natuurlijk persoon, maar over een rechtspersonen. De AVG is niet van toepassing op gegevens die enkel herleiden naar een rechtspersoon. Dit neemt uiteraard niet weg dat er wel degelijk persoonsgegevens in de stukken kunnen staan. Bij het doorlopen van het
aanvraagformulier voor onderhavige vergunning worden contactgegevens (naam, adres, telefoonnummer en e-mailadres) ingevuld. Verdere verstrekking van persoonsgegevens bij de aanvraag lijkt niet aan de orde te zijn. Het gaat dus slechts om enkele gegevens die worden verwerkt. Dat persoonsgegevens in een rechtszaak worden verwerkt, is uiteraard niks nieuws. Deze verwerking is gerechtvaardigd omdat dit noodzakelijk is voor het uitvoeren een wettelijke taak van de rechterlijke macht, namelijk de behandeling van rechtszaken.
Het beginsel van minimale gegevensverwerking Het probleem dat volgens de rechter zich voordoet is dat iedere verwerking van persoonsgegevens in overeenstemming moet zijn met artikel 5 lid 1, aanhef en onder c van de AVG. In dit artikel staat het beginsel van “minimale gegevensverwerking”. Op grond van dit beginsel moet de gegevensverwerking voor het doel toereikend zijn, ter zake dienend en mogen er niet meer gegevens worden verwerkt dan dat noodzakelijk is. De rechter bepaalde op basis van bovenstaand beginsel dat het beroep wordt gesplitst in 21 afzonderlijke zaaknummers. Het beginsel van minimale gegevensverwerking brengt volgens de rechter namelijk mee dat niet alle persoonsgegevens van de afzonderlijke vergunninghouders in onderhavig geval zonder meer kunnen worden doorgezonden. Door alle vergunningen in afzonderlijke zaken te behandelen, worden slechts de persoonsgegevens ingezien van de vergunningen waartegen bezwaar wordt gemaakt. De overige stukken worden door deze maatregel immers niet naar hen doorgezonden door de rechter.
Belangenafweging Het opsplitsen in 21 aparte zaaknummers is in lijn met het beginsel van minimale gegevensverwerking. Wat mijns inziens echter uit het oog wordt verloren is dat de verwerking van persoonsgegevens uiteindelijk altijd neerkomt op een belangenafweging. Prevaleert hier daadwerkelijk het belang van het zoveel mogelijk beperken van de verwerking van persoonsgegevens? Of zou het belang van een voortvarende en niet te ingewikkelde rechterlijke procedure in casu moeten prevaleren? Daarnaast weegt ook de mate van inbreuk op de privacy mee en de mogelijkheid om een minder ingrijpende maatregel te treffen. Volgens mij staan er slechts enkele persoonsgegevens in de vergunningaanvragen. Deze delen kunnen bijvoorbeeld ook zwart worden gemaakt waardoor de zaken niet hoeven worden opgesplitst. Naar mijn mening is de rechter hier doorgeslagen in de ‘hype van de AVG’.
Verwerker of verwerkingsverantwoordelijke? Dat de rechter zichzelf als verwerker aanmerkt, is overigens gebaseerd op artikel 4, onder 2 jo. artikel 4, onder 8, van de AVG. Wie volgens de rechter als verwerkingsverantwoordelijke van de gegevensverwerking moet worden aangemerkt, wordt helaas niet genoemd. (De verwerkingsverantwoordelijke is degene die het doel en de middelen van de verwerking bepaalt.) Het lijkt mij logischer dat, indien wordt aangenomen dat er sprake is van een verwerking van persoonsgegevens, de rechter moet worden aangemerkt als verwerkingsverantwoordelijke. De rechter bepaalt immers op welke manier persoonsgegevens worden verwerkt en voor welk doel. Daar komt nog bij dat, indien de rechter de verwerker zou zijn, een procespartij (of wellicht beide procespartijen?) waarschijnlijk als verwerkingsverantwoordelijke wordt aangemerkt. Dit zou tot de opmerkelijke uitkomst leiden waarbij de rechter onder andere verwerkersovereenkomsten met procespartijen moet sluiten. Het is aldus een zeer merkwaardige uitspraak waarbij het, alleen al omwille van de voortvarendheid van de rechtspraak, te hopen is dat dit geen stand houdt.
Heeft u vragen naar aanleiding van dit artikel, bijvoorbeeld over uw rol als verwerker of verwerkingsverantwoordelijke? Neem dan vrijblijvend contact op met Floortje Eijdems of met één van de andere leden van het Privacy-team.