Ook openbare gegevens vallen gewoon onder de AVG

Een lezer vroeg me:

Klopt het dat de Algemene Verordening Gegevensbescherming ook gaat gelden voor informatie uit openbare bronnen? Dat kan toch niet waar zijn, dan is internet toch ineens volledig verboden terrein?

Het klopt dat de AVG ook gaat gelden voor persoonsgegevens die in een vrijelijk toegankelijke openbare bron te vinden zijn. Dit is echter onder de huidige wet ook al het geval. Kort gezegd boeit het niet hoe openbaar of afgesloten de bron van je persoonsgegevens is.

De Wbp en straks de AVG zijn geschreven voor álle verwerkingen van persoonsgegevens, ongeacht de status van de bron. Dus of je nu een zelf opgebouwd nieuwsbriefbestand hebt of e-mailadressen uit LinkedIn haalt, in beide gevallen zul je moeten laten zien dat je een grondslag uit de wet hebt om dit te mogen doen. Dus vertel maar eens, waar is de gegeven toestemming, voor welk contract is deze verwerking of welke belangenafweging met privacywaarborgen heb je gemaakt?

Vaak wordt bij informatie uit openbare bronnen gezegd dat daar toestemming mag worden verondersteld voor hergebruik. Immers, je zet het zelf op internet dus mag iedereen alles. Maar dat is onmogelijk; onder de AVG is toestemming alleen rechtsgeldig gegeven als deze specifiek is. En ‘alles mag’ is het tegenovergestelde van specifiek.

In een zaak eerder dit jaar was de rechtbank snel klaar met een advocatenkantoor dat WSNP-gegevens had overgetypt uit de Staatscourant, toch een behoorlijk openbare bron. De personen in kwestie kregen vervolgens een direct mailing met aanbod zich te laten bijstaan door het kantoor. Dat is volgens de rechtbank zonder enige twijfel een verwerking van persoonsgegevens, en dat de Staatscourant openbaar is doet daarbij volstrekt niet ter zake.

In principe is verwerken van iemands gegevens mogelijk zonder toestemming, mits jij met een duidelijke belangenafweging kunt laten zien dat dit gerechtvaardigd is én je zo veel mogelijk rekening hebt gehouden met zijn privacy. Dat gaat hier meteen mis:

De eerste vraag die aan de orde komt is of verweerder werkelijk een gerechtvaardigd belang heeft bij de verwerking van de persoonsgegevens. Hieromtrent heeft verweerder niets naar voren gebracht. De tweede vraag is of met het verwerken van persoonsgegevens een inbreuk wordt gemaakt op belangen of fundamentele rechten van verzoekster, op welke vraag de rechtbank bevestigend antwoordt. Verzoekster is immers, door het onverwachts vinden van de brief op haar deurmat, geschrokken en geëmotioneerd, waarmee haar belang een gegeven is. … De rechtbank overweegt dat verweerder haar nagestreefde doel ook op een andere manier kan bereiken, omdat zij immers mensen niet direct hoeft te benaderen voor een gezonde bedrijfsvoering, maar ook in meer algemene zin reclame kan maken. Niet is gesteld of onderbouwd dat ‘direct marketing’ noodzakelijk is om als advocatenkantoor het hoofd boven water te houden.

Daarmee weegt het belang van direct marketing niet op tegen het privacybelang van personen die met naam en toenaam in de Staatscourant genoemd worden als onder de WSNP geplaatst. Dat die bron openbaar is, komt hier in het geheel niet aan de orde. En dat klopt.

Dit wil overigens niet zeggen dat je dus niets mág met openbare bronnen. Het mag wel, maar je moet dezelfde afweging maken als bij besloten bronnen. Waarom weegt jouw marketingbelang zwaarder dan mensen hun privacybelang?

Arnoud

40 reacties

  1. De aangehaalde casus is misschien niet helemaal representatief want als betreffend kantoor wel een nette afweging had gemaakt, op basis daarvan hetzelfde had gedaan en dat als verweer had gevoerd, is het niet onwaarschijnlijk dat de rechtbank daar in mee was gegaan. Waar het op neerkomt, is iets meer vastleggen, dat is wat de AVG ten algemene als voorschrijft. En afleren om je grondslag uit een (vermeende) toestemming te halen. En dan zijn gegevens uit open bronnen gewoon fair game, zeker ala mensen ze zelf openbaar hebben gemaakt.

  2. “Dus of je nu een zelf opgebouwd nieuwsbriefbestand hebt of e-mailadressen uit LinkedIn haalt, in beide gevallen zul je moeten laten zien dat je een grondslag uit de wet hebt om dit te mogen doen.” Dus, even kort door de bocht geredeneerd, iedereen die WhatsApp toegang geeft tot zijn contactenbestand gaat onzorgvuldig om met de persoonsgegevens van anderen?

  3. Dit voorbeeld maakt duidelijk wat “verwerking van persoonsgegevens” inhoudt. Het betekent heus niet dat je geen telefoonnummer meer mag opzoeken op het internet. Het betekent wél dat als je toevallig iets over iemand weet, je daar niet gelijk mee aan de haal mag gaan.

    Ik hoop van harte dat de AVG een belangrijk wapen gaat worden tegen opdringerige marketingpraktijken.

    1. Klopt, het opzoeken is geen probleem, zolang je zelf iemand anders telefoonnummer maar niet verwerkt of opnieuw publiceert op jou eigen site/zoekmachine/whatever zonder verwerkingsgrond (een telefoonnummer gebruiken om iemand te kunnen bellen valt onder “eigen dringende noodzaak”, dus dat is afgedekt). De plek waar jij het telefoonnummer vindt moet er zelf natuurlijk wel voor zorgen dat hij een correcte verwerkingsgrond heeft voor de publicatie (hoogstwaarschijnlijk toestemming), maar dat is zijn verantwoordelijkheid.

          1. Meestal wel, ja. En in het geval een recruiter een (mobiel) nummer van een LinkedIn-profiel plukt om die persoon ongevraagd te benaderen en dat nummer opslaat? Geen relatie, in elk geval nog niet, en initiatief ligt niet bij de nummergebruiker. Publicatie van een eigen nummer betekent nog geen toestemming, right?

  4. Wat mij betreft geldt voor openbare gegevens ook heel duidelijk doelbinding. De gegevens van de WSNP zijn niet bedoeld om ongevraagd advocaten op je dak te krijgen maar om organisaties te kunnen waarschuwen dat mensen onder bewind vallen.

  5. De rechtbank overweegt dat verweerder haar nagestreefde doel ook op een andere manier kan bereiken, omdat zij immers mensen niet direct hoeft te benaderen voor een gezonde bedrijfsvoering, maar ook in meer algemene zin reclame kan maken. Niet is gesteld of onderbouwd dat ‘direct marketing’ noodzakelijk is om als advocatenkantoor het hoofd boven water te houden.

    De redenatie over gezonde bedrijfsvoering bevreemd mij nogal. Als ik dus mijn bedrijf helemaal opbouw rond het verwerken van persoonsgegevens waarvoor ik geen toestemming heb gekregen, dan is het opeens wel toegestaan? Omdat er daardoor een eigen noodzaak zou zijn in het door mij gekozen businessmodel “om het hoofd boven water te houden” ??

      1. Een beetje creatief redenerend zou je kunnen zeggen dat er geen sprake is van verstrekking als de derde al lang beschikt over de data. Daar zou je dan nog op kunnen afdingen, bijvoorbeeld als jouw verstrekking de vindbaarheid van de gegevens voor die derde vergroot.

        In dat opzicht zou Google ook een probleem hebben: zij nemen informatie die al openbaar is, en maken die via hun zoekmachine opnieuw openbaar, op een manier die de gegevens beter vindbaar maakt. Doordat hun web crawler helemaal geautomatiseerd is kunnen ze geen (betrouwbaar) onderscheid maken tussen “onschuldige” gegevens waarbij ze dat wel mogen doen en (persoons)gegevens waarbij ze dat niet mogen doen.

  6. Geldt dit ook als het in een zakelijke context is? Bijvoorbeeld Dhr Piet Jansen is contactpersooon bij Mega Growth Company NV voor een aanvraag voor een bouwwvergunning waarbij ik mijn diensten als aannemer wil aanbieden?

    Piet Jansen is nog steeds een persoonsgegeven, en dat hij werkt bij Mega Growth Company NV ook.

    1. Dat is inderdaad een persoonsgegeven, maar de noodzaak om die te verwerken volgt uit het feit dat er een wet is die bepaalt dat in vergunningsaanvragen de naam van een persoon moet staan en dat die aanvraag op internet moet.

      Overigens moet onder de AVG bij invoering van die wet (of gemeentelijke regel) wel uitgelegd worden waaróm dat zo is bepaald. Een ambtenaar kan dus niet zomaar zelf op een formulier een naam van een persoon eisen en dan zeggen “dat moet nu eenmaal want zo ziet het formulier eruit”.

      1. Maar de vraag is eigenlijk: mag een aannemer Dhr Piet Jansen met zijn zakelijk adres opnemen in een mailing bestand. Aangezien het geen privepersoon betreft, maar een werknemer in een zakelijke functie, lijkt me van wel, in tegenstelling tot de privepersoon van het verhaal van vandaag

        1. De naam van Piet is een persoonsgegeven (zijn naam). Dus valt het onder de wet (en zeker onder de richtlijn (AVG)). Zelfs functionele namen (t.a.v. directeur inkopen) kunnen te herleiden zijn en dus onder de wet vallen. Er zal dus nog steeds een legitieme grond tot het verwerken van die gegevens moeten zijn. In het geval van eigenbelang (de enige reële grond voor dit geval) zou de afweging wellicht anders kunnen uitvallen (minder inbreuk van persoonlijke levenssfeer bij zakelijke marketing.

  7. Het eigen belang in deze zaak was niet beargumenteerd, dus dan kan de rechter er ook geen rekening mee houden.

    Bovendien wordt er aan de ontvangende kant wel wat overdreven…. geschrokken en geemotioneerd door het vinden van een onverwachte brief op de deurmat. Zo’n niet-alledaagse reactie kun je toch in alle redelijkheid de verzender niet aanwrijven?

      1. Op de spoedeisende hulp? Dat lijkt mij een probleem, omdat ze dan al gauw in de weg lopen. Bovendien zal het ziekenhuis daar ook wat van vinden. Buiten het ziekenhuis op de openbare weg? Waarom niet?

        Ik zie het hier niet zo’n vaart lopen met ambulance chasers als in de VS, aangezien om te beginnen de schadevergoedingen hier lager zijn en moeilijker te krijgen. En ten tweede advocaten niet op basis van no cure no pay mogen werken.

          1. Ik zie een patroon in de voorbeelden: Mag een bedrijf jou benaderen met aanbiedingen voor dienst X, als uit openbare bronnen blijkt dat je dienst X nodig hebt.

            Misschien ben ik raar, maar ik krijg liever aanbiedingen voor iets wat ik nodig heb, dan algemene mailingen voor zaken waar ik niets aan heb. Ik maak de wetten niet, maar mijn insteek als ik dat wel zou doen zou zijn dat bovenstaande wel mag en juist mensen persoonlijk benaderen met onnodige diensten niet. Doe dat laatste maar gewoon via websites, bushokjes en televisie.

            Overigens ben ik dan wel voor het gebruik en uitbreiding van het bel-me-niet register. Als die personen zich daarbij aangemeld hebben dan verbod op het benaderen met reclame, ook via de post.

      2. Nee juist niet. Zo iemand heeft waarschijnlijk de laatste tijd veel brieven van allerlei juristen langs zien komen. Eentje meer of minder…ach. En als die dan ook nog begint met: Beste mevrouw, wij kunnen U helpen…..

  8. En hier slaat men dus volledig door. Welke privacy wordt hier dan beschermd?

    De staatscourant is al openbaar, het advocaten kantoor schrijft jou persoonlijk aan, het is niet zo dat deze een dienst aanbied waarmee het nog makkelijker wordt of er nog een bron is waar derden informatie over jouw schuldsanering kunnen vinden.

    De privacy wetgeving beschermt hier in feite helemaal niets en slaat nergens op.

    Het advocatenkantoor legt een bestand aan en dat extra bestand schend de privacy? Dan leg je toch geen bestand aan, staatscourant is tegenwoordig gewoon online, scrape de personen, maak en print de brief en sla niets op. Geen bestand met persoonsgegevens aanwezig en de verwerking heeft werkelijk helemaal niets met privacy te maken.

    Sorry, maar hoe meer ik mij in de privacy wetgeving verdiep, hoe meer ik de neiging krijg om op een anti-EU partij te gaan stemmen. De regeldrift en bureaucratie is volledig op hol geslagen.

      1. Ik begrijp het prima. Ik vraag mij alleen af welk privacy belang het verbod op het verwerken hier dient?

        Ik begrijp dat het verwerken van niet openbare gegevens voor doel waarvoor deze niet zijn verzameld een probleem is. Ik zie echter niet waar het privacy belang voor een verbod op het verwerken van openbare gegevens in zit, zeker wanneer dit niet leidt tot opname in nieuwe databases waar je geen weet van hebt.

        Welk belang wordt hier beschermd? Wat is de morele rechtvaardiging van dit verbod? Ik zie die niet en zonder rechtvaardiging denk ik alleen maar: waarom bemoeit de overheid zich hiermee.

        1. In de huidige maatschappij is “als we het maar volgens de procedures doen, dan doen we het, ongeacht de feitelijke uitkomst, goed” in de mode. “Function follows form” is het adagium, terwijl een “form follows function” wellicht beter op zijn plaats zou zijn. Het gaat in casu ook weer om (een exponent van) het al dan niet leefbaar houden van de samenleving.

          Strikt juridisch heeft men wellicht gelijk, maar de vraag rijst of dit ook (nog) te verkopen is aan de betreffende, uit juridische leken bestaande, bevolking. Het recht en de interpretatie daarvan is of behoort in beginsel dienend te zijn aan een samenleving. Mogelijk leeft deze essentie van het recht meer dan gemiddeld bij mensen die het (volgens anderen) “niet (meer) begrijpen”.

          1. Roel,

            Laten we blij zijn dat we in een vrije en democratische samenleving leven. Een dergelijke samenleving legt de bevolking zo weinig mogelijk regels op: alleen die noodzakelijk zijn. Dat betekent dat je wetten die een beperking van je vrije rechten inhouden ook nauw moet interpreteren.

            Dienend aan de samenleving, zeg je. Ja, maar dat is dienend aan de samenleving juist door de samenleving zo vrij mogelijk te laten.

            Dat is niet dienend door alles wat vervelend is te verbieden. Iets wat vervelend is verbieden is fijn voor het potentiele slachtoffer, maar de ‘dader’ heeft ook het recht ‘vervelend’ te zijn, zijn business uit te bouwen op een legale manier.

            Ik geloof best dat de betreffende dame dit niet leuk vond. En ik vind het zelf niet netjes, en zou het zelf niet doen. Maar om nu een ander te verbieden het te doen, dat gaat me een stapje te ver. En het gaat me nog een tweede, grote, stap te ver om dit te doen op AVG gronden.

            Waar is, logisch gesproken, niet juridisch, het privacygevaar? Zie de uitleg van Elroy.

            En kom nu niet met ‘ja het staat in de wet’. Het gaat er juist over dat deze wet, in ieder geval in deze interpretatie, zijn doel ver ver ver voorbijschiet, en dus een slechtgeformuleerde wet is.

            1. Beste CG,

              Ten aanzien van jouw alinea 1 t/m 4: hier kan een weldenkend mens het uitsluitend mee eens zijn.

              Ten aanzien van jouw alinea 5: deze opmerking getuigt van realiteitszin.

              Ten aanzien van jouw alinea 6: (ook) ik ben geen voorstander van wetten van “mindere kwaliteit” en misinterpretaties daarvan. Het (tragische) feit is, dat we daar wel mee worden geconfronteerd. Het Cookiewetdebacle is een prima voorbeeld hiervan. De AVG stuurt erg op de “vorm”. Of de AVG in de praktijk gaat werken, zal moeten blijken. 😉

              1. Ik vermoed dat de AVG er vooral voor gaat zorgen dat het vestigingsklimaat voor innovatieve internetdiensten in de EU om zeep wordt geholpen.

                Je zag al dat deze vooral in de VS gestart werden en nu is er nog minder reden om je in de EU te vestigen.

                Ik heb geen enkele illusie dat onze privacy er beter door beschermd wordt, al is het alleen al omdat terwijl we allemaal druk zijn om de laatste loodjes te leggen om aan de AVG te voldoen, de overheid besloten heeft om sleepnetten uit te gooien. En laat ik dat nu veel zorgelijker vinden als wat Google van me weet…

  9. kan de schrijver dit artikel eens herschrijven in verstaanbaar Nederlands. “Kort gezegd boeit het niet hoe openbaar of afgesloten de bron van je persoonsgegevens is.” ???? De Wbp en straks de AVG zijn geschreven ??????? Als dat allemaal waar is kan de overheid geen enkele gegevensbron meer gebruiken ook niet om verkiezingen uit te schrijven of zelfs maar een database aan te leggen met autoplaatnummers.

    1. De AVG laat veel op bestuurlijk vlak (lees overheid) buiten de richtlijn. Voor verwerking van autoplaatnummers op geautomatiseerde of structurele wijze is echter wel een grondslag nodig. Bestuurlijk betekend dat in dit geval (wellicht secundaire) wetgeving. Veel van die wetgeving bestaat al lang en is de grond waarop de verwerking plaats vindt. Ook als je mensen bij de synagoge joden laat identificeren in plaats van het gebruik van gegevens van een volkstelling is het een inbreuk op de privacy met mogelijk zeer kwalijke gevolgen.

  10. Ik wil graag eens een gedachte delen. We zijn namelijk van nature geneigd om ’te zenden’ en daarom privacy te kunnen schenden. Maar wat nu als je vanuit sales-en marketing meer gaat reageren? Bijvoorbeeld reageren op blogs/artikelen van klanten die je aan spreken. Dan kom je toch op een eerlijke oprechte manier met elkaar in contact en kun je daarna met elkaar afspraken maken hoe je contact wenst te houden en dit vastleggen? Graag zou ik met mensen in gesprek gaan om te verduidelijken HOE sales met de GDPR wetgeving om zou moeten gaan.

  11. De rechter lijkt hierin duidelijk te zeggen: openbaarmaking mag, als er doelbinding is. Verzamelen en verwerken uit openbare bronnen mag niet, omdat het doel voor het verzamelen en verwerken niet strookt met het doel van de publicatie. De verwerker moet zelf voor het verzamelen een doel formuleren, dat strookt met de AVG.

  12. Hoe zit het eigenlijk met de sites zoals Yelp die hun gegevens uit het openbare handelsregister halen en de gegevens op hun site zetten zodat consumenten hun ervaringen over lokale bedrijven kunnen delen. Mogen zij dit met de komst van AVG doen zonder toestemming ?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.