[gastpost] De ondertekening voor ontvangst, van wie is die?

Wat is een handtekening voor ontvangst juridisch gezien? Gastblogger Alex de Kruijff heeft eerder hier geschreven en presenteert hieronder een uitgebreide analyse vanuit AVG perspectief.

In een tijdperk waarin digitale communicatie de overhand heeft, worden fysieke poststukken vaak over het hoofd gezien. Toch blijft het verzenden van belangrijke documenten en informatie via de post een veelvoorkomende praktijk. Hierbij is de ondertekening voor ontvangst een cruciaal element, omdat het fungeert als bewijs dat het poststuk daadwerkelijk de geadresseerde heeft bereikt. Het belang van dit bewijs van aflevering kan niet worden onderschat, zowel voor de afzender als voor de geadresseerde. In dit artikel onderzoeken we de vraag of de ondertekening voor ontvangst van een poststuk beschouwd kan worden als een persoonsgegeven van de geadresseerde, en welke implicaties dit heeft voor de bescherming van privacy en juridische aspecten rondom postdiensten. Ga met mij mee op deze verkenning en ontdek de complexiteit van dit ogenschijnlijk alledaagse, maar belangrijke aspect van onze communicatie.

De ondertekening is belangrijk op drie gebieden. Allereerst, de ondertekening fungeert als juridisch bewijs dat het poststuk de geadresseerde daadwerkelijk heeft bereikt. Dit is voornamelijk van belang in situaties waarin de ontvangst van het poststuk wordt betwist. Het bewijs van aflevering helpt bij het vaststellen van verantwoordelijkheden en kan van cruciaal belang zijn in juridische procedures. Ten tweede, de ondertekening geeft het poststuk een zekere authenticiteit, omdat het bevestigt dat het poststuk is ontvangen op het adres waar het naar toe is verzonden en niet is zoekgeraakt of in verkeerde handen is beland. Dit versterkt het vertrouwen tussen de afzender en de geadresseerde bij belangrijke en vertrouwelijke correspondentie. Tot slot, de fysieke ondertekening voor ontvangst is een tastbaar bewijs van communicatie. Het biedt een tastbaar spoor van de uitwisseling van informatie en versterkt de vertrouwelijkheid en integriteit van de communicatie tussen partijen.

Wat zijn persoonsgegevens?

Persoonsgegevens zijn alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Een persoon is te identificeren wanneer je een uniek persoon kunt aanwijzen waar de informatie over gaat. Deze identificatie kan onder meer aan de hand van een naam, locatie, of een ander gegeven dat verbonden is met een persoon. Een ondertekening kan bestaan uit de volledige naam, initialen, of een krabbel die representatief is voor de persoon, en wordt vaak geassocieerd met de persoonlijke identiteit van die persoon.

Het Hof van Justitie van de Europese Unie heeft in het Nowak arrest (r.o. 34 en 35) overwogen dat het begrip persoonsgegevens een ruime betekenis heeft. Het gaat hierbij niet alleen om gevoelige of persoonlijke informatie, maar dat het zich uitstrekt tot elke soort informatie, zowel objectieve en subjectieve informatie onder de vorm van meningen of beoordelingen, mits deze informatie de betrokkene betreft. En dat informatie de betrokkene betreft wanneer deze door zijn inhoud, doel of gevolg verbonden is aan een bepaalde persoon. Met andere woorden informatie is een persoonsgegeven van een persoon, wanneer: (i) de informatie betrekking heeft op die persoon; (ii) het doel van de informatie verband houdt met die persoon; of (iii) wanneer de informatie consequenties of gevolgen heeft voor die persoon.

Is een ondertekening voor ontvangst een persoonsgegeven?

Hoewel de Autoriteit Persoonsgegevens (18 februari 2021) en de Rechtbank Midden-Nederland (zaaknr. C/16/513136 / HA RK 20-291) van mening lijken te zijn dat een ondertekening door een ander dan de geadresseerde geen persoonsgegevens is van de geadresseerde, betoog ik hierna dat een ondertekening toch gekwalificeerd moet worden als persoonsgegeven van de geadresseerde, ook als de ondertekening door een ander is gezet.

Beide beschikkingen hebben met elkaar gemeen dat er slechts aan één van de drie toetsingscriteria wordt getoetst. De Autoriteit Persoonsgegevens kijkt enkel naar het doel van de ondertekening. Dat doel van de ondertekening is het leveren van bewijs dat een poststuk is afgeleverd op het daarvoor bestemde adres, maar het begrip persoonsgegevens heeft een bredere reikwijdte. En de Rechtbank Midden-Nederland kijkt enkel naar de inhoud. De rechtbank constateert dat de ondertekening weliswaar een identificator bevat aan de hand waarvan een natuurlijk persoon kan worden geïdentificeerd, maar wederom heeft het begrip persoonsgegevens een bredere reikwijdte. Beiden hanteren dus niet de maatstaf zoals deze door het Hof van Justitie van de Europese Unie uiteen is gezet.

De Hoge Raad heeft in 2013 (r.o. 3.3.2) bepaald dat een poststuk een persoon heeft bereikt wanneer er aan twee criteria is voldaan. Als eerste, dat het poststuk is verzonden naar een adres waarvan de afzender redelijkerwijs mag aannemen dat de geadresseerde op het adres kan worden bereikt. En ten tweede, dat het poststuk op dat adres is aangekomen. Dit betekent dat de ondertekening voor ontvangst een belangrijk element is in het bepalen of het poststuk daadwerkelijk de geadresseerde heeft bereikt. De ondertekening kan dan ook gekwalificeerd worden als een persoonsgegeven van de geadresseerde.

Is de Algemene Verordening Gegevensbescherming (AVG) van toepassing?

De AVG is van toepassing wanneer de persoonsgegevens geheel of gedeeltelijk geautomatiseerd worden verwerkt of de persoonsgegevens worden opgenomen in een bestand. Er is sprake van geheel of gedeeltelijk geautomatiseerde verwerking op het moment dat er gebruik wordt gemaakt van computers. En er is sprake van een bestand wanneer de persoonsgegevens zodanig worden opgeslagen dat deze later eenvoudig kunnen worden teruggevonden en gekoppeld aan een uniek persoon.

De grote postdiensten (PostNL, DHL, en DPD) maken allemaal gebruik van computersystemen voor de verwerking van de informatie over verzending, transport, en ontvangst, waaronder ook de ondertekening zoals deze door de ontvanger is gezet. PostNL werkt met een combinatie van een code en de postcode van de geadresseerde, DHL werkt met een URL, en DPD werkt met een nummer. Er is dus sprake van een geheel of gedeeltelijk geautomatiseerde verwerking.

Wat zijn de gevolgen?

In de genoemde beschikkingen staat centraal dat de postbode voor ontvangst tekent. In beide beschikkingen werd de ondertekening niet beschouwd als persoonsgegeven van de geadresseerde. De ondertekening kon immers niet worden gebruikt om de geadresseerde te identificeren; het diende alleen als bewijs van aflevering. Hierdoor is de verwerkingsverantwoordelijke niet verplicht om de juistheid van de verwerkte informatie aan te tonen. Dit creëert problemen, omdat de rechtspraak de ondertekening wel accepteert als bewijs dat de geadresseerde het poststuk heeft ontvangen, mits de geadresseerde op het betreffende adres kon worden bereikt.

Dit probleem kan geïllustreerd worden aan de hand van een voorbeeld. Stel dat de postbode op een dag besluit om niet alleen zelf voor ontvangst te tekenen, maar ook het poststuk in de bosjes te dumpen. In dat geval zou er dus bewijs zijn dat de geadresseerde het poststuk heeft ontvangen, en tegelijk zou dat geen informatie zijn die betrekking heeft op de geadresseerde zelf. De geadresseerde moet nu tegenbewijs aanleveren. De enkele stelling dat de ondertekening niet door hem is gezet is onvoldoende. Er moet namelijk bewezen worden dat het poststuk niet is ontvangen en dat is een stevige opgave.

Wat zijn de rechten en plichten van partijen?

Als we accepteren dat de ondertekening een persoonsgegeven is van de geadresseerde, zoals ik betoog, dan moet er voldaan worden aan de eisen uit de AVG. De postdiensten mogen de ondertekening alleen verwerken als zij daar een rechtmatige grondslag voor hebben. Daarnaast moet de verwerking plaatsvinden in overeenstemming met de beginselen van doelbinding, rechtmatigheid, juistheid, transparantie en proportionaliteit. De postdiensten moeten technische en organisatorische maatregelen nemen om dit te waarborgen. Tot slot moet de betrokkene zijn rechten op onder meer inzage, rectificatie, en gegevenswissing kunnen uitvoeren.

De rechtmatige grondslag kan gevonden worden in het gerechtvaardigd belang van de verwerkingsverantwoordelijke, maar het gaat fout op het gebied van de maatregelen om onjuiste of onrechtmatige verwerking tegen te gaan en het uitoefenen van de rechten door de betrokkene. Deze aspecten worden heden niet gewaarborgd doordat de postdiensten en de rechtspraak de maatstaf voor persoonsgegevens niet goed toepassen.

Conclusie

De ondertekening voor ontvangst van een poststuk kan worden beschouwd als een persoonsgegeven van de geadresseerde, omdat het direct of indirect betrekking heeft op die persoon en gevolgen heeft voor die persoon. Daarnaast is een ondertekening ook een persoonsgegeven van de persoon die deze heeft gezet. De AVG is van toepassing, omdat de postdiensten de ondertekening voor ontvangst elektronisch verwerken. De geadresseerde kan dan ook met een inzageverzoek de ondertekening opvragen.

Het is alleen wel essentieel dat postdiensten en rechters de maatstaf voor persoonsgegevens juist toepassen. Zij zullen zich moeten afvragen of de de informatie betrekking heeft op die persoon, het doel van de informatie verband houdt met die persoon, en of de informatie consequenties of gevolgen heeft voor die persoon. De praktijk laat nu zien dat deze maatstaf niet of onvolledig wordt toegepast.

Alex

11 reacties

  1. of (iii) wanneer de informatie consequenties of gevolgen heeft voor die persoon.
    Dat is nieuw voor me. Wat wordt daar bedoeld?

    “Het tarief van de 1e schijf inkomstenbelasting is verlaagd van 37,07 % naar 36,93 %” is informatie die voor mij persoonlijk significante gevolgen heeft. Maar ik zie niet hoe dat dan een persoonsgegeven betreft.

    1. Ik ook niet. In jouw voorbeeld gaat het om een stukje informatie dat niet verbonden is aan een persoon. Als we het hebben over een handtekening onder een formulier dan is dat een gegeven dat niet verbonden is met een paar miljoen mensen, maar slechts met de geadresseerde en de persoon door wie de ondertekening is gezet.

      1. Uit de blogpost:

        Met andere woorden informatie is een persoonsgegeven van een persoon, wanneer: (i) de informatie betrekking heeft op die persoon; (ii) het doel van de informatie verband houdt met die persoon; of (iii) wanneer de informatie consequenties of gevolgen heeft voor die persoon.
        Zo bezien snap ik de reactie van Frank wel.

  2. In de genoemde beschikkingen staat centraal dat de postbode voor ontvangst tekent. Is dat zo? Volgens mij dient de geadresseerde of in sommige gevallen degene die het stuk in ontvangst neemt te tekenen. Dat gebeurt via een krabbel op een scherm (en daarmee begint dan de automatische verwerking).

    1. Mijn ervaring met aangetekende stukken, in elk geval vanaf de pandemie, is dat die vaak gewoon in de bus komen (en dat AD-zendingen – alleen huisadres – ook gewoon elders worden afgeleverd).

  3. Hierop voortbordurend: waarom zouden bedrijven een handtekening voor ontvangst nodig hebben als er eenvoudiger methoden zijn om vast te stellen dat een zaak is ontvangen.

    Bijvoorbeeld:

    • verkoper A verkoopt zaak X aan koper B
    • koper B ontvangt een bevestiging met een unieke code (bijvoorbeeld 123456)
    • verkoper A verzendt de zaak naar B met postdienst C
    • bij ontvangst moet B aan C de unieke code geven voordat de zaak wordt afgegeven

    Dit zou een veel betrouwbaarder methode zijn dan een handtekening die (1) inderdaad een persoonsgegeven is (2) kan lekken en (3) op een klein schermpje van een handheld device nauwelijks goed te zetten is.

    De grootste reden om het anders te doen is nog wel dat de postdienst helemaal niet controleert of de handtekening wel klopt. Dus er worden persoonsgegevens verwerkt, maar het is op voorhand onduidelijk of dat wel nodig is en het zou ook anders kunnen.

    De AP heeft vandaag aandacht gevraagd voor datalekken, want dat is waar het hier eigenlijk om gaat. Het verwerken van een handtekening door een postdienst is niet een probleem, maar het lekken daarvan naar kwaadwillenden. Maar goed, dat begint uiteraard met de verwerking. En dus is de vraag: is er wel echt een noodzaak?

    https://autoriteitpersoonsgegevens.nl/actueel/iedereen-kan-slachtoffer-worden-van-een-datalek

    1. Ik neem aan dat in jouw scenario postdienst C de door koper B verstrekte code op juistheid moet checken bij verkoper A. Als dat gebeurt via een handheld (‘geheel of gedeeltelijk geautomatiseerd’) en de code is (direct of indirect, i.c. samen met de barcode van de zending of PC4/PC6 of PC + huisnummer) herleidbaar tot een klant (de beoogde ontvanger), is er dan niet net zo goed sprake van een verwerking van persoonsgegevens? Waarin verschilt ondertekenen met een voornaam zich van ondertekenen met een x-cijferige code?

      1. Waarin verschilt ondertekenen met een voornaam zich van ondertekenen met een x-cijferige code?

        Een handtekening die niet kan uitlekken. Probeer je handschrift maar eens te veranderen van de ene op de andere dag. En als iemand tekent met ‘Bas’ wat zegt dat dan?

        Een unieke code is uiteraard veel logischer. Maar ook complexer en duurder. Drie keer raden waarom er krakkemikkige handtekeningen op mobiele devices worden verzameld.

        De enige manier om dit te veranderen is door het een wettelijke verplichting te maken. Begin maar met binnenlandse zendingen zou ik zeggen.

        1. Helder. Mijn vraag was meer gericht op dat er nog steeds (maar dan andere) persoonsgegevens verwerkt worden; daarin zie ik geen verschil (wél andere persoonsgegevens, minder gevoelig, terecht punt).

    2. En voordeel 4: een code is even effectief als een handtekening en maakt minder inbreuk op de privacy van de ontvanger. Alleen daarom al zou het de voorkeur verdienen.

      De constructie met de code zoals je die beschrijft wordt ongeveer precies zo toegepast als je het pakket af laat leveren bij een PostNL pakketautomaat. De automaat vraagt niet om je naam/handtekening/ID, alleen om de code. En dit werkt zelfs bij zendingen waar de verzender heeft aangegeven aan handtekening te willen.

      Blijkbaar heeft PostNL dus de infrastructuur voor werken met codes op orde. Daarom snap ik niet dat ze blijven vragen met de handtekeningen en ID’s bij (gewone) PostNL locaties.

      1. Bij ophalen bij een PostNL-punt wordt in het geval van een rijbewijs de QR-code gescand (met daarin de informatie zoals ook in de MRZ) én een handtekening gevraagd, maar de gezette handtekening wordt nooit vergleken met die op het document. Waarom is de handtekening dan precies noodzakelijk? Een streep of x volstaat voor het systeem (en mogelijk zonder input bevestigen ook wel). Hoe verhoudt zich dat tot artikel 5(1)(c) AVG (‘minimale gegevensverwerking’)?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.