Wat gaat voor, de AVG of een bewaarplicht?

| AE 11225 | Privacy | 16 reacties

Een lezer vroeg me:

Onlangs vroeg ik aan mijn (ex)apotheek of het mogelijk is om mijn medisch dossier te laten vernietigen, dit op grond van de AVG en de Wgbo. Echter, men weigert omdat de Zorgverzekeringswet bepaalt dat een zorgaanbieder verplicht is om een medisch dossier tot 5 jaar na het stoppen van de behandeling te bewaren om eventuele audits door zorgverzekeraars mogelijk te maken. Maar klopt dat wel? Wat heb ik dan aan mijn recht van verwijdering?

Er zijn ontzettend veel misverstanden over het recht van wissing van persoonsgegevens — ook wel eens het vergeetrecht genoemd. Het belangrijkste is dat het een absoluut recht zou zijn, een recht dat je altijd kunt inroepen.

De AVG noemt diverse situaties waarin je het vergeetrecht kunt inroepen, maar eigenlijk komen ze allemaal neer op het geval dat er eigenlijk überhaupt geen reden meer is om die gegevens te gebruiken. Toestemming is ingetrokken, gegevens zijn niet meer nodig, er was eigenlijk nooit een grondslag, en ga zo maar door.

Wanneer gegevens nog actueel zijn, is een recht op vergetelheid dus helemaal niet aan de orde. Je kunt een bedrijfsproces niet doorkruisen met een beroep op je vergeetrecht, tenzij je kunt hardmaken dat die gegevens helemaal niet meer nodig zijn. En dat valt niet mee als er een wettelijke plicht tot bewaren is.

Bij de Wgbo geldt ongeveer hetzelfde. Weliswaar heb je volgens artikel 7:455 BW het recht om vernietiging te verlangen van je dossier, maar daar staat een uitzondering bij:

Lid 1 geldt niet voor zover het verzoek bescheiden betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de patiënt, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet.

En dat laatste is waar het hier om gaat: er is een andere wet die eist dat de gegevens worden bewaard. Allereerst is dat artikel 7:454 lid 3 BW dat vijftien jaar bewaarplicht voorschrijft, en daarnaast de Zorgverzekeringswet die inderdaad tot 5 jaar na einde behandeling bewaren van dossier verlangt.

De conclusie is dus eenvoudig: als er een wet is die bewaren eist, dan gaat dat eigenlijk altijd boven het vergeetrecht uit de AVG.

Arnoud

Van rare websites krijg je rare vergeetrechtzaken

| AE 11078 | Privacy, Uitingsvrijheid | 55 reacties

Een arts die op de vingers is getikt door het tuchtcollege moet verwijderd worden uit de zoekresultaten van zoekmachine Google. Dat meldde Trouw vorige week. Waarmee ze overigens bedoelen dat een bericht over dat vingertikken verborgen moet blijven in de zoekresultaten, niet dat de arts geheel onvindbaar moet worden. De rechtbank Amsterdam had in december vorig jaar bepaald dat het ging om een irrelevant en tendentieus bericht, dat de arts niet hoefde te worden nagedragen ondanks de voorwaardelijke schorsing die hem door de tuchtrechter was opgelegd. Een baanbrekende zaak, aldus zijn advocaat, maar wat mij betreft is dit niets bijzonders en klopt het helemaal met de regels die we al hadden.

De arts had enkele jaren terug een operatie uitgevoerd en daarbij een fout gemaakt. Dat leidde tot een tuchtrechtelijke procedure onder de Wet BIG (Wet op de beroepen in de individuele gezondheidszorg). De arts kreeg in eerste instantie een schorsing opgelegd, maar in hoger beroep werd dat een voorwaardelijke schorsing.

Wie nadien op de naam van de arts zocht, vond hoog in de resultaten de site zwartelijstartsen punt nl (die zelf zegt “Deze website is niet bedoeld als leedtoevoeging of schandpaal.” maar ik zie dat anders) met daarin naam, BIG nummer en foto van de arts, plus de tuchtrechtelijke uitspraak en een citaat uit een regionale krant over de kwestie.

De arts had nogal last van die vermelding, en vroeg Google om verwijdering uit zoekresultaten op zijn maam. Die weigerde dat, omdat het om zakelijke berichtgeving ging over zijn professionele activiteiten. De Autoriteit Persoonsgegevens was dezelfde mening toegedaan, mede omdat de arts nog in zijn proeftijd van de voorwaardelijke schorsing zat en de berichtgeving daarmee nog actueel was. Bovendien zou een gemiddelde patiënt niet bij het BIG register kijken of zijn arts een tuchtuitspraak tegen zich had, maar wel in Google.

Daarop stapte de arts naar de rechter, die hem in tegenstelling tot Google en de AP wél gelijk gaf. De rechtbank zet daarbij voorop – zoals de HR eerder bepaalde – dat bij Google’s zoekdienst de privacy van daarin opgenomen personen in principe wint, tenzij er bijzondere redenen zijn om de informatie wél te tonen. Normaal is de afweging van grondrechten gelijkwaardig (persvrijheid versus privacy), maar bij Google dus niet.

Dan is dus de vraag, wat zijn hier die bijzondere redenen. De site had aangedragen dat zij juist de openbaarheid met naam en toenaam kiezen omdat het publiek te lastig falende artsen kan vinden. Beroepsfouten door artsen zijn zeer kwalijk, dus logisch dat daar aandacht voor moet komen. En het huidige systeem vanuit de wet om dat te doen, voldoet niet genoeg.

Dat laatste ziet de rechtbank anders:

[dat] de wetgever in de wet BIG een uitgekiend wettelijk systeem heeft vastgelegd om bekendheid te geven aan beroepsbeoefenaren die een (voorwaardelijke) tuchtrechtelijke maatregel opgelegd hebben gekregen. Volgens de wet BIG wordt iedere tuchtrechtelijke maatregel in het BIG-register (www.bigregister.nl) gepubliceerd, met een zeer beperkte vermelding van de reden voor de oplegging. De tuchtrechtelijke maatregelen zijn vrij eenvoudig te vinden als in het (digitale) BIG-register wordt gezocht op de naam van de zorgverlener.

Wie dus echt wil weten of er wat speelde met zijn of haar arts, kan dat met een gerichte zoekopdracht achterhalen. Maar dat is heel wat anders dan gewoon je arts googelen en al dan niet verouderde of herroepen berichtgeving vinden, en op die basis concluderen dat je te maken hebt met een sjoemelarts (nog zo’n term van die site). Zeker als die site zich ook nog eens tooit met de toch tendentieuze term ‘zwarte lijst’, wat meer impliceert dan enkel een voorwaardelijke tik op de vingers. En het helpt al helemaal niet als blijkt dat die zwarte lijst kennelijk vrij willekeurig (met eigen, niet gepubliceerde criteria) sommige berispte artsen wel en andere niet publiceert, plus ook artsen die géén tuchtrechtelijke uitspraak tegen zich hebben.

Daar staat dan grote last voor de arts tegenover. Ik schrok er een beetje van wat de rechtbank zegt over het BIG register:

Bovendien heeft [verzoekster] diverse publicaties van de artsenfederatie KNMG overgelegd waaruit blijkt dat de publicatie van een tuchtrechtelijke maatregel in (enkel) het BIG-register – door de KNMG ‘naming and shaming’ of een ‘digitale schandpaal’ genoemd – voor de artsen die het betreft een zo grote invloed heeft, zowel persoonlijk als professioneel, dat ruim de helft van hen heeft overwogen te stoppen met werken.

Als alleen al de vermelding daar zó veel impact heeft, dan snap ik wel dat je zeker niet ook nog eens in een door willekeurige mensen opgezette zwarte lijst Dit alles bij elkaar maakt dat de rechtbank geen omstandigheden ziet om de privacy van de arts aan de kant te zetten, integendeel. Google moet dan ook binnen zeven dagen zorgen dat dit zoekresultaat niet meer wordt getoond als mensen de arts bij naam googelen.

Gezien deze feiten verbaast die uitspraak me niets. Baanbrekend zou ik hem ook weer niet noemen, de rechter past ‘gewoon’ het kader toe van alle vergeetrechtzaken. Dat het BIG register een eigen vergeet- of juist ‘herinner’-functie heeft, is wel een bijzonderheid maar ik zie die in het voordeel van de informatievrijheid. De relevante informatie over artsen is daar te vinden en wordt zorgvuldig beheerd. Wie wat wil weten of zijn arts, kan daar dus gewoon terecht. En als informatie niet meer relevant is, wordt dat door een onafhankelijke partij gescreend en weggehaald. Dat lijkt mij beter dan zelf googelen.

Arnoud

Google mag recht om vergeten te worden tot EU beperken, aldus advocaat-generaal

| AE 11061 | Privacy | 9 reacties

Google hoeft zoekresultaten die het verwijdert vanwege het Europese recht om vergeten te worden, niet op al zijn domeinen te verwijderen, maar alleen voor bezoekers binnen de EU. Dat las ik bij Tweakers onlangs. De advocaat-generaal aan het Hof van Justitie kwam in een recente analyse tot dit advies in een zaak tussen Google en de Franse Autoriteit Persoonsgegevens. Het advies weegt vaak zwaar bij het Hof van Justitie, maar is formeel niet bindend. Het is wel een mooi compromis tussen het belang te worden vergeten en het informatiebelang van anderen, zeker als je het vanuit wereldwijd perspectief bekijkt.

Sinds 2014 spreken we van een recht te worden vergeten in zoekresultaten bij diensten zoals Google. Wanneer zoekresultaten bij opdrachten rond jouw naam of jouw persoon bepaalde verouderde, irrelevante en gênante resultaten tonen, dan heb je het recht die te laten verbergen. Bij de bronsite blijven ze gewoon staan (het recht op een integer archief weegt zwaarder dan je privacy, tenzij publicaties onrechtmatig waren) maar ze zijn daarmee veel moeilijker te vinden. Met deze uitspraak wilde het Hof een balans zoeken tussen de privacy van mensen die steeds oude zoekresultaten terug zien komen, en de behoefte van anderen om informatie over mensen te vinden.

Google gaf op zich gehoor aan de uitspraak, maar kwam wel meteen met een restrictie: alleen bij zoekopdrachten vanuit de EU. Wie bijvoorbeeld met een vpn naar google.com gaat, kan gewoon ‘verboden’ zoekresultaten opvragen. De CNIL (de Franse Autoriteit Persoonsgegevens, zeg maar) vond dat ook dit in strijd was met de privacy: vergeten is vergeten, ongeacht IP-adres. De zaak kwam daarmee bij het Hof van Justitie, en haar onafhankelijk juridisch adviseur doet nu dus suggestie om het vergeetrecht Europees te beperken.

De belangrijkste reden lijkt te zijn dat de wetgeving (de oude Richtlijn, en nog niet de AVG) niet duidelijk maakt wanneer deze territoriaal van toepassing is bij internetdiensten als deze. Het gaat dan nogal ver om een wereldwijde verplichting af te leiden uit zo’n wet. Bij de AVG zou dat anders kunnen zijn, omdat de regels daar (artikel 3) veel breder te lezen zijn. Maar daar gaat deze zaak niet over.

Ook is de advocaat-generaal bezorgd over escalatie: als de EU buitenlandse dienstverleners gaat vertellen wat ze moeten blokkeren, gaan andere landen misschien Europese dienstverleners ook dergelijke dingen opleggen, of hun eigen dienstverleners opdragen om Europese bezoekers minder informatie te geven. Een informatieoorlog is wel het laatste waar je op zit te wachten.

Alles bij elkaar lijkt het dan ook het beste om te gaan voor een Europees vergeetrecht. Ik ben het daar wel mee eens: voor Europeanen is er zo een redelijke balans tussen privacy en informatievrijheid. Wie de informatie écht nodig heeft, kan met extra moeite deze wel vinden. Desnoods door bij de individuele bronnen zelf te gaan zoeken, of dus met een VPN bij een buitenlandse zoekmachine. Dan is er dus een stevig informatiebelang (waarom anders die moeite doen) en dat rechtvaardigt dan het kunnen vinden.

Arnoud

Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

| AE 10935 | Privacy, Security | 15 reacties

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem: Af en toe komt het –… Lees verder

Geldt het vergeetrecht onder de AVG ook bij forumdiscussies?

| AE 10495 | Uitingsvrijheid | 28 reacties

Een lezer vroeg me: Ik beheer een relatief groot discussieforum. Moet ik straks onder de AVG van iedereen die dat vraagt zijn berichten weghalen onder het vergeetrecht? Dan houd ik straks geen historie meer over! Het klopt dat je als aanbieder van internetdiensten al snel te maken krijgt met de AVG. Heel vaak werk je… Lees verder

Google moet berichten over afgesloten strafzaken vergeten

| AE 9230 | Privacy, Uitingsvrijheid | 25 reacties

Google moet een belastend zoekresultaat over een ontuchtpleger uit Doetinchem uit de zoekmachine verwijderen, las ik in Tubantia. Gauw het vonnis erbij gepakt: Google moet inderdaad uit haar zoekresultaten (bij Googelen op ’s mans naam) een Facebookpagina weglaten omdat deze vertelt over de strafrechtszaak, met naam en toenaam (en foto) van de man. Omdat het… Lees verder

‘Containerkwestie’ geen argument voor verwijdering zoekresultaten

| AE 7442 | Ondernemingsvrijheid, Privacy | 15 reacties

Een KPMG-topman die vanwege een geschil met zijn aannemer enkele maanden in een container moest bivakkeren, kan artikelen daarover niet in Google zoekresultaten laten blokkeren. Dat vonniste de rechtbank Amsterdam in de tweede vergeetrechtzaak in ons land. Artikelen laten blokkeren is een laatste redmiddel bij irrelevante en overmatige zoekresultaten, geen alternatief kanaal voor als een… Lees verder

Recht vergeten te worden geldt niet bij strafrechteljke veroordeling

| AE 6985 | Ondernemingsvrijheid, Privacy, Uitingsvrijheid | 19 reacties

Het recht om vergeten te worden, dat gebruikers irrelevante en verouderde informatie uit zoekmachines laat verwijderen, geldt niet voor een zware crimineel die daarom vroeg. Dat meldde Tweakers vrijdag naar aanleiding van een kort geding te Amsterdam. De man wilde dat Google verschillende links die verwijzen naar websites (waarop informatie staat over de veroordeling van… Lees verder

Tiradeweek: Nee, Google moet zich gewoon ook aan onze wet houden

| AE 6885 | Ondernemingsvrijheid | 105 reacties

Weinig uitspraken van het Hof van Justitie hebben zo veel losgemaakt als het vergeetrechtarrest. Zoekmachines als Google dienen (op grond van de privacywetgeving) zoekresultaten op te schonen wanneer deze over personen irrelevante of verouderde informatie bevatten. Termen als censuur en de opmaat tot boekverbrandingen zijn nog de lichtste kwalificaties die ik hierover heb gelezen van… Lees verder