Ophef op vrijdag: het Hof van Justitie heeft geoordeeld dat het mondeling uitspreken van persoonsgegevens ook onder de AVG valt. Wacht, wat? Oké, er zit natuurlijk iets meer nuance aan deze uitspraak (C-740/22) maar in de kern klopt het wel degelijk.
De zaak begon als een background check van de Finse afdeling Endemol Shine over een deelnemer aan een van hun programma’s. Endemol belde met de Etelä-Savon käräjäoikeus (de rechtbank Zuid-Savo, maar ik höü van Finse namen) om te vragen of er strafzaken tegen deze persoon liepen.
De rechtbank weigerde antwoord te geven “want dat mag niet van de AVG”, iets preciezer: antwoord geven zou een verwerking van strafrechtelijke persoonsgegevens opleveren, ook als men dat mondeling zou doen. En er was geen grond voor die verwerking (verstrekking) omdat “meewerken aan private background checks” niet in de wet genoemd staat. Endemol ging in beroep omdat volgens hen een mondelinge mededeling in het geheel buiten de AVG valt. Dat leidde tot vragen aan het Hof van Justitie.
Dat de gevraagde gegevens persoonsgegevens zijn staat vast. Het Hof is snel klaar met de vraag of dit telt als ‘verwerking’; dat is zo want de definitie van verwerking omvat alles dat je met persoonsgegevens kunt doen. Dus ook het voorlezen of uit je hoofd opzeggen daarvan.
Dit wil alleen niet zeggen dat de AVG geldt. Daarvoor is vereist hetzij dat de gegevens elektronisch worden verwerkt, hetzij dat ze in een bestand zitten of bestemd zijn daarin te worden opgenomen. Voorlezen is per definitie niet een elektronische verwerking, dus komt het neer op de vraag of we hier met een bestand te maken hebben.
In dit verband heeft het Hof reeds geoordeeld dat, om het in punt 34 van het onderhavige arrest in herinnering gebrachte doel te bereiken, deze bepaling een ruime omschrijving geeft van het begrip „bestand” in de zin van „elk” gestructureerd geheel van persoonsgegevens. Bovendien beoogt het vereiste dat het geheel van persoonsgegevens moet zijn „gestructureerd volgens specifieke criteria”, uitsluitend ervoor te zorgen dat de persoonsgegevens gemakkelijk kunnen worden teruggevonden. Behalve dit vereiste bevat artikel 4, punt 6, AVG geen enkele bepaling over de wijze waarop een bestand moet worden gestructureerd, en over de vorm die een dergelijk bestand moet hebben.Dat de rechtbank een systeem met dossiers had, betwistte niemand. En daarin zit een zoekfunctie, en dat is genoeg om het systeem een “bestand” te noemen in de zin van de AVG. Daaruit concludeert het Hof dat wie voorleest uit zulke dossiers, persoonsgegevens verwerkt en onder de AVG valt.
Het verstrekken van die gegevens is vervolgens triviaal in strijd met de AVG, maar dat laat ik even buiten beschouwing. De eerste conclusie is namelijk al ophef genoeg. Ik ken vele, vele partijen die erop staan dat dingen mondeling gebeuren “omdat anders de AVG van toepassing is”. En dat is dus nu geen argument meer.
De scope is echter wel iéts beperkter dan “alle voorlezen valt onder de AVG”. Men zegt immers dat het voorlezen van zulke informatie onder de AVG valt “voor zover deze informatie in een bestand is opgenomen of bestemd is om daarin te worden opgenomen.” De bron van de informatie moet dus een bestand zijn waaruit je voorleest.
Ik zie de uitspraak dus meer als een blokkade tegen “ik mag je geen mail sturen, dus ik lees het wel even voor” dan dat het Hof nu wérkelijk heeft gemeend dat iedere vorm van praten over personen onder de AVG valt.
Arnoud
Maar zou het opzoeken van de naam in het systeem van de rechtbank dan al niet een verwerking zijn die in casu niet mag onder de AVG? (dan kom je überhaupt niet aan het voorlezen toe).
Ik voeg even een “Manuela” toe aan het systeem, fictieve testgebruiker. Die mag ik natuurlijk wel even opzoeken in het systeem; geen echte persoon dus de AVG geldt niet. Vervolgens staat in het rijtje daarboven geheel toevallig een “Manuel”, maar die zocht ik niet op dus ik heb niks verkeerd gedaan.
Lijkt me dus het beste dat zowel het opzoeken als het delen verwerkingen zijn. Dan kun je geen vormfouten krijgen, zoals “we hebben een opname van het delen, maar niet vastgesteld kan worden dat deze informatie opgevraagd was in het systeem“
Maar die werd wél getoond (na een zoekopdracht) – is tonen niet óók een verwerking?
“Ik mag je geen mail sturen, dus ik lees het wel even voor” Dit klinkt ook als een manier om de letter van de wet, maar niet de geest van de wet te volgen. Als het doel van de AVG is om verwerking van persoonsgegevens te regelen en waar mogelijk beperken tot redelijke noodzaak, dan is daar om heen werken in een doorzichtige manier iets wat tegen de geest van de AVG in gaat.
Ik denk dat dit meer gelezen moet worden als: “Mijn uitgaande mail wordt minimaal 5 jaar bewaard, als ooit blijkt dat ik heb lopen lekken naar onbevoegden, kan me dat me baan kosten. Via de telefoon kan ik dat wel vertellen, want daar zit minder monitoring op.”
Het gaat hier dus niet zozeer om het omzeilen van de AVG wetgeving, als wel de protocollen die zijn opgesteld om die wet te bewaken in de organisatie. Dat is niet precies hetzelfde.
Ik snap de ophef niet zo goed – de uitspraak is toch volkomen logisch als je artikel 2 lid 1 AVG (materieel toepassingsgebied) en de definitie van verwerking uit artikel 4 AVG gewoon leest? Mijn LinkedIn-tijdlijn staat er sinds de uitspraak vol mee; zijn mensen (specifiek juristen en privacy-specialisten) werkelijk verrast dat voorlezen uit een computersysteem (wat al vrij snel een bestand is) met persoonsgegevens een verwerking van persoonsgegevens is? Nog los van het voorlezen, is het opzoeken/raadplegen natuurlijk al een verwerking an sich.
Al mag ik hopen dat er alsnog op andere gronden geen antwoord moet worden gegeven.
Daaruit concludeert het Hof dat wie voorleest uit zulke dossiers, persoonsgegevens verwerkt en onder de AVG valt.
Volgt hieruit niet dat wanneer er géén gegevens over een persoon in het dossier staan, dat (volgens de AVG) wél vermeld mag worden?
Dat is een leuke. Op zich is het een persoonsgegeven dat er géén strafzaken tegen jou lopen, ik twijfel maar denk dat dit een strafrechtelijk persoonsgegeven is. Maar dat gegeven zit nou net niét in het bestand, integendeel. Dus dan denk ik dat deze jurisprudentie het toelaat om te zeggen “tegen de heer Rik lopen geen strafzaken”.
Er ontstaat alleen een probleem als je dit toelaat, want daarna vraagt de journalist het over Wim en die staat wél op de lijst. “Nee, Rik niet. Over Wim mag ik ivm AVG niets zeggen. Arnoud staat niet op de lijst, Petra ook niet.” Ik denk dat dit toch een persoonsgegeven over Wim bevat.
Is dat zo? Tegen 95% van de mensen loopt geen strafzaak en zal er nooit een lopen. Dus daar kun je niet echt iemand aan identificeren, die toestand is de ‘default’.
Het feit dat iemand twee benen heeft en zelfstandig ademt is ook geen persoonsgegeven. Bij die enkeling met 1 been die in een ziekenhuis beademd wordt is dat wel het geval.
Jouw lichaamstemperatuur op 10 maart om 12:00 ’s middags (als gemeten…) is absoluut een medisch persoonsgegeven.
Ookal is dat bij 95% van de mensen gewoon 37 graden.
Dus lijkt me het feit of iemand 2 benen heeft ook een medisch persoonsgegeven.
Als je dat in het (niet zo) extreme doortrekt, kom je tot het besluit dat het statement ‘XXX is een mens’ dan ook een persoonsgegeven is.
Immers, je weet dat door XXX te observeren, in meer of minder detail, en te vergelijken met de verzameling ‘mensen’. Een dergelijk statement, daar gaat dus onvermijdelijk een observatie van persoonsgegevens aan vooraf.
De definitie van ‘persoonsgegeven’ is een gegeven over een mens, over een natuurlijk persoon. Dat kan ook negatief zijn (“tegen Wim loopt geen strafzaak”), waar het om gaat is dat het aan een specifiek persoon (Wim) te koppelen is. Het gegeven “CG is een mens” is dus een persoonsgegeven. Ik zie niet wat daar raar aan is?
Wat daar zo raar aan is, is dat het de uitkomst is van een cirkelredenering: Het is tegelijkertijd een voorwaarde om onder de AVG te vallen, maar ook het resultaat van het feit dat aan die voorwaarde voldaan is.
Het heeft ook tot gevolg dat zelfs de uitkomst van een evaluatie of gegevens onder de AVG vallen, onder de AVG valt. Je zou zelfs kunnen stellen dat evalueren of de AVG van toepassing is op gegevens, alreeds een verwerking is.
Bijvoorbeeld: Ik maak een lijst van dode muzikanten. Dan zegt iemand: ‘die Elvis Presley is helemaal niet dood. Die is samen met JFK bewaker bij Area 51’.
Dan moet ik dus eerst evalueren of Elvis leeft of dood is alvorens ik hem intyp in Google. Dat evalueren wordt dus knap lastig, dat zal ouderwets handwerk worden, maar het lukt.
Leeft hij nog, dan is (dixit jezelf) zelfs het resultaat van die evaluatie een persoonsgegeven. En dan mag ik zonder verwerkingsgrond (en die heb ik niet) niet eens voor mezelf documenteren waarom ik hem verwijderd heb uit mijn lijst van dode muzikanten, laat staan iemand meedelen DAT ik hem verwijderd heb.
Ik mag niet eens een nieuwe lijst uitbrengen zonder zijn naam, want iemand zou beide lijsten kunnen vergelijken en dan tot een persoonsgegeven kunnen concluderen.
Absurd, natuurlijk, maar wel een consequentie van een doorgedreven wens om alles maar als persoonsgegeven te zien, zelfs als het een evidente vaststelling is.