Het doorzenden van persoonsgegevens kan aanzienlijke gevolgen hebben!
Voor zover bekend heeft de Rechtbank Overijssel de primeur om een gemeente te veroordelen tot het betalen van een schadevergoeding als gevolg van het overtreden van de AVG. Op 28 mei 2019 stelde de Rechtbank namelijk dat de gemeente Deventer in overtreding was van de AVG door persoonsgegevens onterecht per email te delen met collega’s van andere gemeenten. Hierdoor is de privacy van de betrokken persoon geschaad en daarvoor is de gemeente Deventer aansprakelijk.
Waar ging de uitspraak precies over?
Een persoon verzocht om een overzicht van zijn persoonsgegevens, alsmede een volledige lijst van alle ontvangers daarvan. Deze lijst was verstrekt, maar daarop was niet vermeld dat zijn persoonsgegevens ook per email waren gedeeld met collega’s van andere gemeenten. Dit vond de rechtbank te ver gaan: het doorzenden van de persoonsgegevens had geen duidelijk doel en was daarom niet proportioneel.
De rechtbank deed vervolgens op 28 mei 2019 uitspraak op het verzoek om schadevergoeding als gevolg van het voorgaande. Naar het oordeel van de rechtbank is de privacy van de eiser aangetast wegens verlies van controle over zijn persoonsgegevens. Dit betekent dat eiser recht heeft op een schadevergoeding. Deze wordt vastgesteld op € 500.
Waarom is deze uitspraak relevant?
Met de komst van de AVG is de privacy van persoonsgegevens en het gebruik daarvan door de overheid opnieuw voor het voetlicht geplaatst. Enerzijds maken de digitale ontwikkelingen het mogelijk om sneller en beter informatie uit te wisselen dan ooit tevoren. Tegelijkertijd dwingt de AVG overheden om bewuster om te gaan met persoonsgegevens en met het delen hiervan. In deze uitspraak wordt daarover expliciet overwogen dat verlies van controle over de eigen persoonsgegevens een schending is van het persoonlijkheidsrecht.
Als deze uitspraak stand houdt in (een eventueel) hoger beroep betekent dit dat de onjuiste verwerking van persoonsgegevens sneller en vaker tot een verzoek om schadevergoeding kan leiden.
Tips voor de praktijk?
Uit deze uitspraak volgen een aantal belangrijke overwegingen:
1. Wees je bewust van de persoonsgegevens die je op enige manier deelt. Niet enkel via brieven en andere documenten, maar ook via email, whatsapp of via besloten internetforums. Anonimiseer deze, behalve als de vermelding noodzakelijk is.
2. Indien een emailbericht persoonsgegevens bevat, is er sprake van het verwerken van persoonsgegevens.
3. Het delen van persoonsgegevens met andere organisaties, al dan niet met collegiale bedoelingen, is altijd een datalek. Dit moet gemeld worden.
4. Bij een verzoek om persoonsgegevens door een burger moet ook onderzoek worden gedaan of persoonsgegevens zijn verwerkt in mailboxen.
Meer weten?
Heb je vragen of tips over de AVG? Laat het dan weten! Je kunt over alles met betrekking tot dit onderwerp terecht bij Marco Geleijnse.