Mag je inzage in je emailarchief weigeren onder de AVG?

Wat moet je doen als iemand inzage eist in emails die jij in je archief hebt? Met die vraag zag de rechter zich recent geconfronteerd in een zaak tussen zo te lezen een student (of medewerker) en een universiteit. De eerste wilde inzage in emails over hem, de organisatie weigerde dat voor een groot deel.

Bij elke AVG cursus is het weer een verrassing: het inzagerecht onder de AVG kun je ook uitoefenen op emails en andere informele documenten waarin je persoonsgegevens staan. Dat recht (op een kopie en uitleg van je persoonsgegevens) is niet beperkt tot formele dossiers of gestructureerde bestanden. En ja, dan heb je een probleem als je je emails niet netjes archiveert. Gelukkig voor organisaties staat daar tegenover dat als iemand zegt “ik wil alles dat u heeft” je niet elke backuptape op een eventuele nog in de prullenbak zittende mail hoeft na te lopen.

Een lastiger probleem is dat emails natuurlijk meer bevatten dan enkel je persoonsgegevens. Of dat de persoonsgegevens niet zuiver feitelijk zijn maar bijvoorbeeld een beoordeling – denk aan de mail van je manager aan HR over een recent incident waar je bij betrokken was, of de Slack-chatdiscussie over je sollicitatie vanochtend. Dat zijn dan wel persoonsgegevens van jou – ze zeggen iets over jou – maar dat is ook een stukje privé van die manager of collega’s.

De AVG kent daar een oplossing voor: op grond van artikel 23 (lid 1 sub i) hoef je geen persoonsgegevens te verstrekken voor zover dat noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Dat is geen vrijbrief om te weigeren: het komt neer op dat je moet witmaken (niet zoals het COA) of weglaten wat je echt niet kunt onthullen. En ja, dat is een afweging per geval, geen generieke “emails bevatten interne opvattingen en worden dus niet verstrekt”.

In deze zaak was een berg mails weggelaten:

De rechtbank verwijst onder meer naar de e-mails met de nummers 4, 9, 12, 15, 17, 24, 39, 42, 47, 48, 52, 54, 58, 63, 66-68, 73, en 91. De rechtbank noemt als voorbeeld de passages die beginnen met: ‘Een email van een [naam] , die (…)’ in document 9, ‘Officieel zou [eiser] moeten aanvragen maar, (…)’ en ‘Waarschijnlijk omdat [eiser] (…)’ in document 12, ‘De heer [eiser] is sinds begin dit jaar al (…)’ in document 15 en ‘De goedkeuring door [verweerder] heeft lang op zich laten wachten door moeizame communicatie (…)’ in document 24. Deze passages, en ook andere in de hiervoor genoemde e-mail nummers, bevatten naar het oordeel van de rechtbank feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van eiser. Door deze passages in de e-mails niet in het verwerkingsoverzicht te vermelden dan wel van deze passages geen afschriften aan eiser te verstrekken, kan eiser niet controleren of verweerder zijn persoonsgegevens op juiste wijze heeft verwerkt.

Ook dergelijke mails moeten dus worden verstrekt, zij het dat je irrelevante passages (die dus niet over de persoon gaan) mag weglaten. Maar je moet dan wel een motivatie per passage hebben waaróm het irrelevant is. Enkel de algemene formule dat het “gaat om interne notities die persoonlijke gedachten van medewerkers van [verweerder] bevatten en uitsluitend voor intern overleg en beraad zijn bedoeld”, is daarbij niet genoeg. De universiteit mag dus terug naar de tekentafel en opnieuw per mailtje bedenken waarom ze niet mogen worden ingezien.

Arnoud

Hoe gratis moet een inzageverzoek in je dossier zijn?

Een lezer vroeg me:

Als een klant gebruik maakt van het inzage- en/of dataportabiliteit recht, mag je daar dan een vergoeding voor vragen? En zo ja, hoe hoog zou een dergelijke vergoeding mogen zijn?

Onder de AVG is die vraag in theorie heel kort: Nee, dat mag niet. Dit moet allemaal kosteloos gebeuren (artikel 12 lid 4 AVG). Er zijn slechts twéé gronden om een verzoek te weigeren: het verzoek is kennelijk ongegrond, of het verzoek is buitensporig.

Een verzoek is kennelijk ongegrond als evident niet is voldaan aan de randvoorwaarden bij een verzoek, of als wordt gevraagd om iets waar men evident geen recht in de AVG op heeft. Een voorbeeld zou zijn een inzageverzoek in persoonsgegevens van een ander of een wissingsverzoek op een openstaande factuur.

Een verzoek is buitensporig als het een zeer disproportionele last legt op de verwerkingsverantwoordelijke, bijvoorbeeld wanneer elke week grote dossiers opgevraagd worden of iemand dagelijks verlangt dat zijn achternaam wordt weggehaald en vervolgens weer toegevoegd.

Ik las in diverse media dat sommige organisaties (zoals het BKR) geld blijven vragen voor inzage. Maar daar zit een truc achter: er is een gratis route, alleen vereist die papier en een hoop gedoe. Wie wil betalen, krijgt sneller antwoord en online ook nog.

Het is een tikje gek omdat artikel 12 lid 3 eist dat als iemand elektronisch een verzoek doet, daar ook elektronisch antwoord op gegeven wordt. Ik kan geen manier vinden om bij het BKR gratis een elektronisch verzoek te doen.

Wie dit irritant vindt, kan overigens het BKR bellen en vragen of ze het dossier willen voorlezen. Artikel 12 lid 1 AVG zegt namelijk dat “Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.” Je moet dus alleen wel voorafgaand aan dat gesprek aantonen dat jij het bent, die belt.

Arnoud

Moment, ik app even uw huiduitslag naar mijn collega

dokter-doctor-stetoscoop-gezondheidIn veel ziekenhuizen wisselen artsen informatie over patiënten uit via WhatsApp, meldde NRC Q op gezag van diverse medici uit verschillende ziekenhuizen. Ze gebruiken de app bijvoorbeeld voor het versturen van foto’s van aandoeningen, om aan collega’s op afstand om hulp te vragen bij een acute diagnose. Eh, wacht, wàt?

Foto’s van aandoeningen, en chatberichten met beschrijvingen van patiënten of problemen, zijn al heel snel persoonsgegevens. Zodra gegevens één persoon betreffen, is dat namelijk het geval. Ook als er geen naam of patiëntnummer bij staat. Waar het namelijk om gaat, is of identificatie redelijkerwijs mogelijk is. En met een foto van een specifieke huidaandoening of een ongelukje met een shampoofles wil dat nog wel lukken.

Dit soort gegevens zijn niet zomaar persoonsgegevens, ze zijn bijzonder. En daarvoor geldt een speciaal regime: die mag je niet gebruiken tenzij in de Wbp of andere wet expliciet staat van wel (art. 16 Wbp).

Voor medisch personeel is er een uitzondering: “voor zover dat met het oog op een goede behandeling of verzorging van de betrokkene, dan wel het beheer van de betreffende instelling of beroepspraktijk noodzakelijk is”. Wel moeten ze nog steeds een grondslag kunnen aanwijzen, zoals toestemming of de uitvoering van de behandelovereenkomst. Je zou dan als arts moeten zeggen, dit overleg met een collega is noodzakelijk want anders weet ik niet welke behandeling te starten. Dat kan.

Maar dan het kanaal WhatsApp, mag dat dan? Dan kom je bij de algemene eis dat persoonsgegevens veilig moeten worden behandeld. En je kunt je afvragen of dat wel goed zit bij WhatsApp. Niet dat ik gelijk NSA-niveau spionage bedoel: gewoon heel simpel, mensen kunnen je telefoon vinden en berichten lezen. Of je stuurt een bericht naar de verkeerde persoon, of diens partner leest het bericht toevallig. Of de ander vindt het een bijzondere foto en plaatst hem op Figure 1 (twijfelachtig SFW). En ja dat is dan jouw schuld want jij moest dat voorkomen.

Maar om nou te zeggen, WhatsApp bij deze verboden voor collega-overleg, dat gaat ook weer wat ver. NRC citeert een neurochirurg uit Utrecht:

“Het komt zeker veel voor dat artsen via WhatsApp overleggen en patiënteninformatie delen. Ik heb zelfs wel eens levens gered doordat we via een mobiel bericht veel sneller over een noodsituatie konden overleggen en beslissen dan via de oude systemen. Maar er zijn duidelijke privacy-bezwaren.”

En daar zit vandaag de dag precies het dilemma: het kanaal is erg handig, snel en bruikbaar, maar de privacy is bepaald niet ingeprogrammeerd en je moet maar hopen dat het goed gaat. (Goh, het lijkt internet als zodanig wel.) Terwijl de voor privacy ontworpen kanalen bepaald niet handig of snel te noemen zijn – een brief in dubbele envelop, vervoerd per koerier bijvoorbeeld – en daardoor in de praktijk dus niet werken. Wat moet je dan?

Arnoud

Mag ik citeren uit blafbrieven?

Regelmatig krijg ik mails van mensen die boze brieven ontvangen van advocaten of zich benadeeld voelende partijen. Soms zijn die terecht, soms niet. En de ontvanger wil dan vaak het geschil delen met zijn publiek, en knalt die brieven dan online. Maar mag dat zomaar?

Een brief (of mail) is bedoeld als privécorrespondentie. Die online zetten is dan niet direct de bedoeling, maar automatisch onrechtmatig is het ook weer niet. Een privacybelang (het standaardargument bij brieven en mails) zal niet snel aanwezig zijn, het gaat immers om een zakelijke brief. Wel zul je zaken als telefoonnummers en afzendermailadressen moeten weghalen.

Wel moet er enige rechtvaardiging zijn waarom je de brief integraal online zet in plaats van eruit te citeren of in je eigen woorden te vertellen dát je zo’n brief hebt gehad. Enkel “ik wil mijn dossier compleet hebben” is niet genoeg. Waaróm moet dat dossier compleet online?

Een blafbrief kan auteursrechtelijk beschermd zijn. In het hoger beroep van de Nijntje-parodie-zaak riep de eiser wel van alles hierover, maar kwam dit niet tot een uitspraak.

In april vorig jaar verbood de rechter een partij bij een geschil om zijn dossier te publiceren omdat daar stukken van de wederpartij in zaten waar hij geen toestemming voor had. Daarbij miste ik wel enige afweging van de nieuwswaarde van die stukken, wat óók moet als het gaat om auteursrechtschending.

Een disclaimer of geheimhoudingszin onderaan die mail verandert hier niets aan overigens; zo’n tekst is niet juridisch bindend, ook niet als deze van een advocaat afkomstig is. Alleen correspondentie tussen advocaten onderling is wettelijk beschermd en mag niet zomaar online.

In de VS bestaat het Chilling Effects project, dat als doel heeft alle DMCA claims te publiceren. Dat kan daar, omdat de DMCA alléén geldt voor auteursrechtclaims en er zelden een privacy- of vergelijkbaar belang te bedenken is tegen het publiceren van een auteursrechtclaim. En auteursrecht op de notice is naar Amerikaans recht moeilijk voorstelbaar, nog even afgezien van een fair use-claim bij het publiceren. Maar in Nederland kun je takedownclaims doen op álle soorten gronden, ook smaad of privacyschending. En het automatisch publiceren van claims is dan ook iets moeilijker, want voor je het weet publiceer je intieme details waarin naar wordt verwezen in de claimbrief.

Arnoud

Dossier op internet zetten: auteursrechtschending?

Over het publiceren van dossiers is altijd veel te doen. Je eigen teksten mag je online zetten, maar mag dat ook met brieven of stukken van de wederpartij? Vorig jaar beschreef ik de regels, maar één specifiek stuk wil ik nu nader uitlichten. De rechtbank Almelo oordeelde namelijk recent dat publiceren van stukken van de wederpartij een schending van het auteursrecht was.

Achtergrond van het geschil was de vraag wie de Gemeenschappelijke Medezeggenschapsraad (GMR) van een school was. Twee groepen mensen wierpen zich op als de ‘echte’ GMR en dat leidde tot negatieve publicaties op internet. Dat moest dan ook wel tot een rechtszaak komen, maar nu een kort geding was aangespannen kan de rechter niet echt een eindoordeel vormen over wie ‘echt’ is.

De rechter kan wel oordelen over de publicaties. Die waren zo te lezen aardig heftig, maar de rechter betrekt de doelgroep (“een klein deel van de bevolking van de gemeente Enschede, dat bekend is met het conflict”) en oordeelt dan ook dat de publicaties niet onrechtmatig zijn.

De gedane uitlatingen zijn niet van een dermate verregaande aard dat verwacht moet worden dat eisers hierdoor (ernstige) hinder dan wel schade zullen ondervinden.

Wel onrechtmatig is het publiceren van het dossier. De rechter is daar erg makkelijk: er zit auteursrecht op, dus mag het niet.

Deze stukken ontberen niet een oorspronkelijk karakter en om die reden komen zij in aanmerking voor volledige auteursrechtelijke bescherming. Het op de website plaatsen van die stukken kan worden gezien als een openbaarmaking in de zin van artikel 12 Auteurswet (hierna te noemen Aw). Gelet op het bepaalde in artikel 1 Aw is openbaarmaking echter uitsluitend voorbehouden aan de maker. [Gedaagde] heeft aldus door plaatsing van genoemde stukken op de website inbreuk gemaakt op de auteursrechten van eisers dan wel hun raadsvrouwe.

Dat had wel iets minder ongenuanceerd gekund. Het publiceren van de stukken diende hier hetzelfde doel als de gewraakte eigen publicaties: informeren en discussiëren over dat conflict. Er werd hier niet gepubliceerd om andermans economische exploitatierechten aan te tasten. Het voelt dan nogal met de haren erbij gesleept om op grond van het auteursrecht te eisen dat de dossierstukken verwijderd moeten worden.

Ik had graag gezien hoe de rechter de vrije meningsuiting had afgewogen tegen de auteursrechten. Het lijkt erop dat op dit punt geen verweer is gevoerd – er staat niets over in het vonnis. Mijns inziens is goed verdedigbaar dat publicatie van de stukken een hoger doel dient dan het auteursrecht in dit soort situaties. (Denk aan het Scientology-arrest, hoewel dat een nogal extreme situatie was.) Mensen een compleet beeld geven van je geschil kan eigenlijk niet zonder de stukken van de wederpartij laten zien.

Arnoud

Ik wil mijn dossier op internet zetten, mag dat?

dossier-bestand-folder-mappen-papier-papieren.jpgDiverse lezers vroegen me, in allerlei variaties:

Al geruime tijd ben ik verwikkeld in een conflict met een niet nader te noemen instantie. Mijn klachten worden constant getraineerd en afgewezen om onterechte redenen, zelfs nadat ik reeds enkele rechtszaken heb gewonnen en ze gewoon moeten doen wat de rechter zegt. Nu wil ik dit graag eens onder de aandacht van het publiek brengen, dus ik ga een website bouwen en daar het hele dossier op zetten. Maar mag dat eigenlijk wel, of krijg ik dan last met bv. de privacywetgeving?

Op zich is het toegestaan om een website te bouwen (of op andere wijze te publiceren) over een bepaalde situatie. Alleen bij het publiceren van concrete dossierstukken moet je uitkijken. De privacywetgeving is het belangrijkste probleem: een brief van de wederpartij kan naam en adres van een specifieke medewerker bevatten, en publicatie daarvan is een privacyschending. Je zult dus dat soort gegevens altijd moeten anonimiseren.

Bij uitgebreidere stukken, zoals bijvoorbeeld deskundigenrapporten of adviezen van derden, krijg je mogelijk ook te maken met auteursrechten. Zo’n stuk kan bijvoorbeeld een lap tekst of een afbeelding uit een werk van een ander bevatten, en het is niet gezegd dat je dat online mag publiceren. Bij het schrijven van zulke stukken wordt vaak geen rekening gehouden met auteursrechten, omdat de auteur niet verwacht dat die stukken openbaar gemaakt worden.

Correspondentie tussen advocaten moet je ook niet zomaar openbaar maken. Er bestaat zoiets als “confraternele correspondentie”, oftewel correspondentie tussen advocaten waarmee ze proberen een zaak te schikken. Dergelijke correspondentie mag niet zomaar ‘in het geding’ worden gebracht (art. 12 en 13 van de gedragsregels voor advocaten). Een advocaat die zo’n brief zomaar aan de rechter overhandigt, handelt in strijd met die gedragsregels.

Het is niet duidelijk of dit ook geldt voor de cliënt, maar als een advocaat willens en wetens meewerkt aan zo’n publicatie door zijn cliënt dan heeft die advocaat toch wel een probleem denk ik. In het hoger beroep in de Nijntje-zaak heeft Nijntje (Mercis) mede op die grond geëist dat Mijndomein ophoudt de toegezonden stukken te publiceren.

Een vonnis of beschikking van de rechtbank mag altijd online. Dit is publieke informatie waar geen rechten op zitten. Als het vonnis niet ter zake doende namen of andere persoonsgegevens noemt, is het netjes die te anonimiseren. Procedeer je bijvoorbeeld tegen een gemeente, dan hoeft de naam van de behandelend ambtenaar niet genoemd te worden.

Arnoud