Een lezer vroeg me:
Laatst las ik dat privacyorganisatie noyb bij het Oostenrijkse OM een klacht heeft ingediend om Clearview AI en de managers van het bedrijf strafrechtelijk te vervolgen. Is zoiets ook in Nederland mogelijk?Inderdaad heeft Oostenrijk in Artikel 63 van haar Datenschutzgesetz uitgewerkt dat de rechter, onder andere voor “onrechtmatige zelfverrijking” door middel van onrechtmatig verkregen persoonsgegevens, een gevangenisstraf tot een jaar kan opleggen.
De AVG erkent dat landen deze mogelijkheid hebben. Artikel 84 AVG eist dat lidstaten sancties invoeren voor overtredingen die niet in de AVG zelf al staan. Het strafrecht is dan een optie. Overweging 149 suggereert daarbij dat het afpakken van winst verkregen uit AVG-schendingen een optie zou kunnen zijn.
Omdat de AVG gebaseerd is op economische regels, kan zij zelf geen bepalingen van strafrecht introduceren. Lidstaten moeten dus zelf kiezen of en zo ja welke strafbaarstelling men invoert. Nederland heeft (zonder echte motivatie) geen algemene regels van strafrecht ingevoerd.
Mijn vermoeden is dat de wetgever denkt dat het bestuursrecht adequaat is voor handhaving. Uiteindelijk is een boete een boete, en gevangenisstraf voor bestuurders is niet echt een Nederlandse traditie.
Wel zijn er natuurlijk allerlei artikelen van strafrecht die specifiek zien op delicten gepleegd met persoonsgegevens, zoals:
- Gegevensdiefstal (art. 138c), wat ook kan met niet-openbare persoonsgegevens
- Aftappen van gegevens (art. 139c), idem
- Verwerven of openbaar maken niet-openbare persoonsgegevens (art. 139g)
- Vervalsen van identiteitsdocumenten (art. 231)
- Misbruik van biometrische persoonsgegevens (art. 231a)
- Identiteitsdiefstal (art. 231b)
- Wraakporno of deepfake-porno maken of verspreiden (art. 254ba)
- Doxing oftewel overlast geven door misbruik persoonsgegevens (art. 285d)
- Afpersing (art. 317) met bv. wissen van belangrijke gegevens
- Afdreiging (art. 318) met openbare van als privé te beschouwen persoonsgegevens
Hier is dan de gedachte dat dit zo ernstig is dat gevangenisstraf gepast zal zijn. Ook gaat het hier zelden om gebruikelijke, legitieme verwerkingen waarbij een toezichthouder af en toe binnenstapt. En vaak gaan ze samen met andere misdrijven, dus dan is het logisch dat je de politie het voortouw laat nemen.
Arnoud
Een klein taalfoutje: Afdreiging (art. 318) met openbaren van als privé te beschouwen persoonsgegevens
Hier speelt volgens mij ook het rechtsbeginsel van het “una via” principe waarbij het strafrecht het ultimum remedium is en het bestuursrecht de primaire route is.
Is het massaal scrapen van publiek beschikbare persoonsgegevens van social media sites, een dagelijkse praktijk van people aggregators, alleen bestuursrechterlijk of ook strafrechtelijk te vervolgen?
Als het bedrijf een vestiging in Nederland heeft en je kunt aantonen dat jouw gegevens zonder verwerkingsgrond verwerkt worden maak je civielrechtelijk een kans bij de rechter in Nederland.
Probleem is dat de meeste bedrijven in deze business in de VS gevestigd zijn waar (vrijwel) geen privacy wetgeving is.
Juridisch is het probleem vooral dat hier geen bezittingen van die bedrijven zijn waar de deurwaarder beslag op kan leggen. Want wat die bedrijven doen, is in Nederland dan onrechtmatig dus veroordeelt de rechter ze prima.
Om beslag te kunnen leggen in de VS, moet je een Nederlandse vonnis daar erkend krijgen; dat is lastig voor zaken die volgens de wet daar gewoon mogen.
Eens. Maar als het bedrijf middelen in Nederland heeft (al is het maar de bureaus en stoelen van de marketingafdeling) dan kun je daar beslag op leggen met een Nederlands vonnis.
We zouden eigenlijk een mogelijkheid moeten hebben om bank transacties vanuit Nederland naar dat bedrijf af te vangen tot het boete/schade bedrag.
Maak het zaken doen in Nederland dan maar onmogelijk – of in ieder geval moeilijker – voor ze, tot ze zich aan onze wet houden als ze hier zaken doen.
Daarmee schaadt je waarschijnlijk de betalende partij meer dan de ontvangende partij. Gewoon alle betalingen blokkeren en terugboeken naar waar ze vandaan kwamen, en dat totdat de boete betaald is. Daarnaast maak je het natuurlijk ook zo dat zolang zo’n boete niet betaald is, zo’n partij ook geen rechtszaken hier kan aanspannen.
En wat mij betreft moet je zo’n blokkade recursief toepassen, dat wil zeggen, ook betalingen aan partijen die die betaling gaan doorsluizen blokkeren. De Amerikanen doen dat ook met in FATCA wetgeving, dus die kunnen over dat soort regels niet klagen (en veel grote Amerikaanse banken zitten ook hier, en zijn dus daarop aan te spreken.)
Grappig, ik zat met FATCA in mijn hoofd toen ik dat schreef.
Overigens weet ik zeker dat ze wel gaan klagen, het moptto van de Amerikaanse regering is op het moment Rules for thee, not for me!
Ik heb er nog eens over nagedacht. Maar in dit geval hebben we het over het kopen van illegaal verzamelde data. Dat betekent dat de koper die data dus ook niet mag hebben en gebruiken en met kopen van deze partijen probeert de wet te omzeilen.
Dus in dit geval blijf ik bij mijn standpunt dat je de betalingen moet omleiden om de boete te voldoen. Als de koper dan wil klagen zal die openbaar toe moeten geven dat hij in overtreding van de AVG data probeerde te kopen. Dat is in mijn optiek een win-win.
In het meer algemeen waar een koper mogelijk niet weet dat hij deverkoper illegaal handelt ben ik het wel eens met invoeren van een FATCA systeem.
Geen woord over straf voor het overtreden van de AVG in deze zaak https://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RBAMS:2019:4919:
“1.9. Bij brief van 23 juni 2018 heeft [naam] voor zover relevant het volgende aan [eiser] bericht, naar aanleiding van zijn auteursrechtsclaim jegens Dutch News: In 2013 maakte u enkele portretfoto’s van mij, in opdracht van een derde partij. (…) ik heb u nooit toestemming gegeven om mijn portret door te verkopen of op andere wijze commercieel te gebruiken, anders dan voor de eenmalige publicatie waarvoor de foto’s in 2013 werden genomen. (…) Daarom verzoek ik u per direct: 1. mijn portret van uw website te verwijderen. 2. mijn portret niet langer commercieel te gebruiken. 3. te stoppen met het juridisch stalken van partijen die zonder commercieel oogmerk en in goed vertrouwen een van de foto’s een paar keer op hun website hebben geplaatst en op uw verzoek direct verwijderd.”
Foto staat nog steeds online https://fotos.roeldijkstra.nl/photos/5eb28e45c1e73a1ffc01e30e en de niet door opdrachtgever gebruikte foto’s ook.
Dit is een civiele rechtszaak tussen de fotograaf en een uitgever van websites. De fotograaf kan geen AVG recht doen gelden, dat kan alleen de geportretteerde. (En we hebben de nieuwsexceptie.)
Het punt is juist: Er is geen toestemming (of andere verwerkingsgrond) onder de AVG op basis waarvan de fotograaf de de foto’s mocht verkopen/verspreiden/openbaar maken. (misschien ‘in bezit hebben en aan potentiele klanten laten zien als voorbeelden’ nog wel, maar meer niet)
Het feit dat hij dat wel gedaan heeft en nog steeds doet, maakt automatisch een AVG inbreuk.
Legitiem belang? Een zuiver commercieel belang telt ook (sinds KNLTB-arrest), de vraag of de afweging in voordeel fotograaf uitpakt hangt af van de precieze foto en beoogd gebruik. Maar ik acht het niet op voorhand kansloos voor de fotograaf.
Dat KNLTB arrest had ik gemist.
Ik vraag me wel af hoe dat dan in de praktijk werkt. Je gaat naar een fotograaf voor een portret in opdracht en betaalt daar netjes voor. En een jaar later ben je een klein beetje bekend en verkoopt de fotograaf links en rechts die foto’s.
En daar kan je dan niets tegen doen? Tja, legitiem belang meneertje… Dat kan toch niet kloppen?
Ik weet dat er twee aanvullende eisen zijn (noodzakelijkheid en belangenafweging).
Maar aan die noodzakelijkheidsheids kun je echter gemakkelijk voldoen, als je het commerciele belang maar ‘juist’ definieert: ‘ik wil geld verdienen door het verkopen van foto’s van persoon X’. Daarvoor is het absoluut noodzakelijk dat ik foto’s van persoon X verwerk.
Aan de belangenafweging kun je ook makkelijk voldoen: ‘er gaan toch al veel foto’s van persoon X rond, als ik even Google zie ik er al meteen vijf, dus die extra foto die ik verwerk heeft geen aanzienlijk negatief effect op de privacy van X, maar is wel 10% van mijn omzet, dus de belangenafweging is hierbij gefixt’
Of zie ik nu iets over het hoofd?
De makkelijkste reactie is afspreken dat dit niet mag gebeuren. Een contractueel verbod wint het van een belangenafweging natuurlijk. (In de Nederlandse wet staat dit als harde regel bij een portret in opdracht, maar ik heb de principiële twijfel dat deze harde regel niet mag van de AVG.)
De noodzaak en afweging gaan objectief, niet jouw individuele positie. De subsidiariteitstoets zal al meteen een bezwaar zijn: waarom vraag je het niet gewoon? Je hebt een klantrelatie, dus dit kun je vrij eenvoudig. Waarom doe je het dan niet? De belangenafweging gaat over déze foto en jouw hergebruik, niet over andere foto’s.
“Er is geen privacybelang” is daarbij geen argument, nog los van dat het bij de AVG niet gáát over privacy maar over jouw zelfbeschikkingsrecht over je persoonsgegevens. “Je vertelt alle collega’s wat je onder de leden hebt, dus nu moet je mij ook vertellen wat voor ziekte je hebt”. Nee.
De AVG was er toch juist mede voor dat ‘afspreken’ niet meer nodig zou zijn? ‘Het mag niet, behalve in een beperkt aantal gevallen.’
Dan ben je de verwerkingsgrond aan het aanpassen naar ’toestemming’ en dan hoef je sowieso geen belangenafweging meer te doen. Of zie ik dat verkeerd?
En het antwoord is natuurlijk: Omdat er een dikke kans is dat het antwoord ‘nee’ is, en dat wil de fotograaf natuurlijk niet.
En hoe dan ook: subsidiariteit gaat niet over de verwerkingsgrond (het verlies aan zelfbeschikkingsrecht is even groot, wat ook de verwerkingsgrond is) maar over of het doel met beperktere verwerkingen bereikt kan worden. (En dat is natuurlijk niet zo in dit geval: Als het doel is: geld verdienen met een bepaalde foto, dan ontkom je er niet aan om die foto te verwerken).
Het is hoe dan ook fundamenteel onmogelijk om een ‘beperking van het zelfbeschikkingsrecht’ van persoon A af te wegen tegen € voor persoon B. Verschillende eenheden.
Als dan de foto toch al breed bekend is en googlebaar is, kun je moeilijk argumenteren dat er een grote beperking van het zelfbeschikkingsrecht door de fotograaf gebeurt. Die beperking is dan kleiner dan bij foto’s die niemand nog gezien heeft, wat natuurlijk zeker niet positief kan zijn voor de belangenafweging.
Het belang van ‘het slachtoffer’ is dan al ruim minder dan het maximaal zou kunnen zijn, en dan moet je het ook nog afwegen tegen centjes… Begin er maar aan, de uitkomst is net zo voorspelbaarder als kop of munt.
De observatie “waarom vraag je het niet” is deel van de belangenafweging bij gerechtvaardigd belang. Als je het makkelijk kunt vragen, en in plaats daarvan je wilt beroepen op gerechtvaardigd belang, dan is dat een punt in je nadeel. Precies om wat jij zegt, “omdat er een dikke kans is dat men nee zegt en dat wil je niet”. Die situatie ontlopen is een teken dat de belangenafweging scheef zit.
Rechten zoals zelfbeschikking of privacy zijn inderdaad niet eenvoudig plat te slaan tot een geldbedrag. Maar je kunt ze wel nader preciseren. Maak die inbreuk concreet, schets de impact, waarom zou iemand hier bezwaar tegen kunnen hebben. Dan kun je zien wat er wel en niet groot is, en hoe maatschappelijk zwaar we dat wegen.
Ik begrijp je punt fundamenteel niet. Natuurlijk zegt de geportreteerde ‘Nee’, er zitten immers voor hem/haar alleen nadelen, geen voordelen aan.
De belangenafweging gaat er juist om, om nadelen voor persoon A af te wegen tegen voordelen voor persoon B.
Dat persoon A, die immers alleen nadelen heeft, ‘Nee’ zegt, is volledig logisch, wisten we al, en verandert niets aan de belangenafweging.
Als er een deal is: ‘500€ afpakken van mij en 1000€ aan jou geven’, dan is de belangenafweging duidelijk in jouw voordeel. En toch zeg ik ‘Nee’, en dat verandert helemaal niks aan de belangenafweging, die blijft zoals die was.
Bij de belangenafweging móet je meenemen “ik heb het niet gevraagd, want”. Dat punt weegt dan mee in die afweging. “Natuurlijk ga ik inbrekers niet vragen of ze gefilmd willen worden” is een argument waarom je camera’s mag ophangen onder gerechtvaardigd belang. “iedereen zou nee zeggen” is een punt in jouw nadeel. Daarmee is de race nog niet gelopen; jij moet nu vooral aangeven waarom je ondanks het vermoeden van massaal nee-zeggen tóch je ding mag doen. “Ik denk dat niemand er last van heeft” zou een begin van zo’n argument kunnen zijn.
Het kwartje valt nu, (denk ik ten minste): Jij ging er van uit (neem ik aan, correct me if I am wrong) dat ik eerder niet had meegenomen in de belangenafweging dat de andere partij ‘nee’ zou zeggen.
Maar dat had ik wel: De andere partij zegt zeer waarschijnlijk ‘nee’, en zelfs als ik het zou vragen en zhij daadwerkelijk ‘nee’ zou zeggen, krijg ik toch de belangenafweging rond.
De vraag ‘mag het?’ daadwerkelijk stellen wordt daarmee irrelevant.
Natuurlijk moet je beginnen met de gedachte ‘de ander wil het niet want er zitten voor hem/haar alleen nadelen aan’, ik heb nooit gedacht dat dat niet zou hoeven.
Toen jij dus om 10:16 vroeg ‘waarom vraag je het niet gewoon?’ was de onderliggende gedachte van mij dan ook ‘Ik heb al eerlijk en maximaal meegewogen dat zhij het niet wil, en toch weegt mijn belang zwaarder, dus wat is dan de toegevoegde waarde van vragen? Als ik toestemming had, hoefde ik deze hele belangenafwegingsoefening niet eens te doen, het feit dat ik hem doe bewijst al dat ik geen toestemming heb en ook niet verwacht die te krijgen, anders had ik deze verwerkingsgrond niet gekozen’
Juristen kunnen hier eindeloos over bakkeleien, waarvan akte!
Het boerenverstand zegt dat een geportretteerde een foto, die reeds op het openbare internet staat, mag verstrekken aan partij om te publiceren bij zijn columns. En dat een fotograaf de wet overtreedt door die partij jarenlang te stalken dat ze duizenden euro’s moeten betalen voor het gebruik van die foto.