Mag dat, een voertuig fotograferen dat te snel rijdt of een gevaarlijk manoeuvre uitvoert? En mag je die beelden dan online plaatsen? Neen, zegt de Belgische Privacycommissie (hun College Bescherming Persoonsgegevens) tegen De Standaard. “Er bestaat zoiets als het recht op afbeelding: je mag alleen een foto van een ander publiceren met diens toestemming’, zo wordt men geciteerd.
Achtergrond van deze zaak was een een werknemer van Fabricom die met zijn bedrijfswagen veel te snel reed. Daar werd over getwitterd mét foto:
Een nummerbord is een persoonsgegeven, want het is tot de bestuurder/eigenaar van de auto herleidbaar. In België meer dan bij ons, omdat daar het nummerbord, eh de nummerplaat dus aan de eigenaar gebonden is en niet aan de auto. Maar ook in Nederland kun je formeel het nummerbord zien als persoonsgegeven. Het identificeert misschien van tijd tot tijd verschillende personen, maar dát maakt niet uit. Zolang het op enig moment enige persoon identificeert, is het op dat moment een persoonsgegeven. Dus ja, precies zoals IP-adressen persoonsgegevens zijn. (Hela, een vergelijking tussen internet en auto’s die nog klopt ook.)
Raar is wel dat iets dus een persoonsgegeven is zodra iemand het gegeven kan vertalen naar een natuurlijk persoon. Voor nummerplaten is de hulp van de DIV nodig, en die krijgt alleen de overheid zelf. Voor IP-adressen is de provider nodig. Maar dat maakt niet uit: als er een pad is dat met ‘redelijke’ inspanning tot identificatie leidt, dan is het gegeven een persoonsgegeven. In het absurde doorgetrokken is het getal 315 dus een persoonsgegeven – als ik erbij zeg dat dit een klantnummer is van één van mijn klanten. Jullie mogen het nummer 315 nu dus niet meer gebruiken zonder zijn toestemming.
Foto’s zijn overigens ook persoonsgegevens. De regels voor een foto zijn dus hetzelfde als voor een naam. Voor foto’s bestaat al langer het portretrecht, maar wanneer het portretrecht wordt ingeroepen vanwege privacyoverwegingen dan komt dat op hetzelfde neer als inroepen van de Wet bescherming persoonsgegevens.
Wanneer je persoonsgegevens op internet zet, ‘verwerk’ je die in de zin van de privacywet (bij ons de Wet bescherming persoonsgegevens en in België de Wet tot bescherming van de persoonlijke levenssfeer). Uitgangspunt is dat je dan toestemming nodig hebt van de betrokkene, of een contract met hem hebt op grond waarvan de verwerking noodzakelijk is. Het enkele feit dat de persoonsgegevens in een openbare bron te vinden zijn, is niet genoeg om ze te mogen hergebruiken in een andere context.
Als er geen toestemming is, dan is er echter nog een escape: wanneer de verwerking “noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de verantwoordelijke” én dat belang zwaarder weegt dan de privacy, dan mag de verwerking alsnog. Ook zonder toestemming. De vrije meningsuiting is het bekendste voorbeeld van zo’n belang. Oftewel: als het genoeg nieuwswaarde heeft om iemands persoonsgegevens te gebruiken, dan mag het. Bij ons werd op die grond Blik op de weg toegestaan beelden van verkeersovertreders uit te zenden, hoewel daarbij de gezichten en de kentekenplaat waren gemaakt. Wegmisbruikers maakt sowieso altijd nummerplaten onherkenbaar als er geen toestemming is.
De vraag is dus: mag je iemands nummerbord twitteren als je meent dat die auto een verkeersovertreding begaat?
Die melding heeft enige nieuwswaarde, want het is een opmerkelijk feit dat nog niet bij het publiek bekend was. Je bent immers in ieder geval journalistiek bezig wanneer je
de bekendmaking aan het publiek van informatie, meningen of ideeën tot doel hebt, ongeacht het overdrachtsmedium. Deze activiteiten zijn niet voorbehouden aan mediaondernemingen en kunnen een winstoogmerk hebben.
Daar staat tegenover dat de nieuwswaarde niet héél groot is, en je je kunt afvragen of bij het nieuwsfeit de identiteit van de persoon wel relevant is. Dat zal van de persoon afhangen lijkt me. Als je Koos Spee met die snelheid voorbij ziet scheuren, mag je dat zeker melden. Ben ik het, dan is het discutabel (een jurist heeft voorbeeldfunctie, maar is mijn verkeersgedrag relevant voor wat ik doe?). Is het een willekeurige burger, wat is dan het belang van diens naam noemen?
Wellicht dat je soms kunt spreken van een “educatief belang”, zoals ook in de Blik-op-de-wegzaak:
Voor zover [eisers] vreest als wegmisbruiker te boek te zullen staan, weegt dit individuele belang (dat vrijwel voor alle voor “Blik op de weg” gefilmde verkeersovertreders geldt) niet op tegen het door Leo de Haas c.s. mede gediende algemene belang van een educatief programma.
Het ‘gewicht’ van het persoonsgegeven lijkt me ook relevant. Hoe sneller iemand te identificeren is of hoe meer het gegeven zegt over iemand, hoe ernstiger de privacyinbreuk als het gegeven zomaar wordt verwerkt. Dat getal 315 ergens noemen schaadt de privacy van mijn klant niet. De nummerplaat is in België aan de persoon gekoppeld, en niet aan de auto, dus daarmee is een dergelijke tweet eerder te herleiden tot die persoon dan in Nederland. Immers, er hoeft maar één publicatie ooit te zijn geweest waarin de koppeling is gedaan (een autotekoopadvertentie van jaren terug) en de link is nu gelegd.
Hoewel, in dit geval gaat het natuurlijk om een bedrijfsauto en dat nummer is dus gekoppeld aan het bedrijf. Alleen zéér indirect – door de interne administratie van de werkgever – is de natuurlijke persoon zelf nog te identificeren. Daarmee zou het privacybelang voor mij erg laag zijn. De nieuwswaarde is echter ook niet erg hoog. Beide kanten zijn daarmee verdedigbaar, maar van mij zou dit moeten mogen.
Arnoud