Google hoeft recht op vergetelheid niet wereldwijd toe te passen van EU

| AE 11507 | Ondernemingsvrijheid, Privacy | 11 reacties

Google heeft een rechtszaak gewonnen tegen de Franse privacywaakhond CNIL die wilde dat de gegevens van een persoon wereldwijd uit de zoekresultaten van Google verwijderd werden. Dat meldde Nu.nl gisteren. Iets preciezer: het Hof van Justitie oordeelde dat het Europees privacyrecht niet eist dat mensen wereldwijd vergeten hoeven te kunnen worden. Dit naar aanleiding van een bevel van de Franse toezichthouder dat Google wereldwijd zoekresultaten op persoonsnaam moet opschonen als naar Europees recht die resultaten verouderde of irrelevante informatie bevatten. Dat bevel gaat te ver – maar vooral omdat de Europese wetgever niet heeft gedurfd het vergeetrecht wereldwijd in te voeren.

Het zogeheten “recht te worden vergeten” staat natuurlijk in de AVG (artikel 17) maar is in 2014 al ingevoerd als brede uitleg van de oude privacyregels. Het komt erop neer dat je als persoon zeggenschap hebt over wat Google over je meldt als mensen op je naam zoeken, in die zin dat verouderde en irrelevante informatie buiten beeld moet blijven. Die is immers niet meer relevant vandaag de dag, maar kan je privacy raken doordat oude dingen je nagedragen blijven worden. En daarbij wint de privacy dan in beginsel boven het recht van Google om als bedrijf informatie te mogen ontsluiten.

Google volgde dit arrest maar zocht vanaf het begin de grenzen op. Eentje daarvan was dat de te vergeten resultaten alleen buiten beeld bleven in de zoekinterface met Europese domeinnamen (dus niet de .com). De Franse CNIL legde een bevel op dat dit te weinig was, en dat Google eigenlijk ongeacht locatie van de zoeker tot blokkade moet overgaan, omdat je anders triviaal dat vergeetrecht kunt schenden. (Google had overigens in de tussentijd IP-geolocatie ingevoerd, zodat het niet meer uitmaakte welke extensie je zoekinterface had. Je moet dus een niet-Europees IP-adres hebben om nog om de zoekbeperking heen te komen.)

De vraag kwam natuurlijk bij het Hof van Justitie. Dat oordeelt dat het vergeetrecht weliswaar uit het grondrecht tot bescherming van persoonsgegevens volgt, maar wel in balans moet staan met andere grondrechten, in dit geval de vrijheid van informatie van internetgebruikers wereldwijd. Die vrijheid kan aanzienlijk variëren; lang niet alle landen kennen iets als ons vergeetrecht. En dan gaat het wel heel ver om nu te zeggen, die grondrechten elders moeten maar wijken voor onze grondrechten.

Het kán wel, het Hof laat nadrukkelijk de optie open dat Europa wereldwijd bescherming van grondrechten afdwingt. Alleen, dat is wel iets dat de Uniewetgever dan expliciet moet regelen. Niets in de AVG suggereert dat ze dit hebben willen doen, terwijl er wel andere dingen in staan voor bedrijven buiten de EU. Dus kennelijk heeft de wetgever dat niet aangedurfd of niet gewild. En als dat zo is, dan moet de rechter natuurlijk niet alsnog die regel zelf op gaan leggen.

Het Hof laat wel een gaatje open: Europese landen mogen zelf aanvullende regels stellen over hoe om te gaan met informatievrijheid versus privacy, en het is daarin mogelijk om een regel in te voeren die gaat over wereldwijd vergeten van zoekresultaten. Dat is dan wel legaal, omdat een land er dan over nagedacht heeft en in een wetsartikel heeft vastgelegd wat de belangenafweging en motivatie dan moet zijn.

Arnoud

Wat gaat voor, de AVG of een bewaarplicht?

| AE 11225 | Privacy | 16 reacties

Een lezer vroeg me:

Onlangs vroeg ik aan mijn (ex)apotheek of het mogelijk is om mijn medisch dossier te laten vernietigen, dit op grond van de AVG en de Wgbo. Echter, men weigert omdat de Zorgverzekeringswet bepaalt dat een zorgaanbieder verplicht is om een medisch dossier tot 5 jaar na het stoppen van de behandeling te bewaren om eventuele audits door zorgverzekeraars mogelijk te maken. Maar klopt dat wel? Wat heb ik dan aan mijn recht van verwijdering?

Er zijn ontzettend veel misverstanden over het recht van wissing van persoonsgegevens — ook wel eens het vergeetrecht genoemd. Het belangrijkste is dat het een absoluut recht zou zijn, een recht dat je altijd kunt inroepen.

De AVG noemt diverse situaties waarin je het vergeetrecht kunt inroepen, maar eigenlijk komen ze allemaal neer op het geval dat er eigenlijk überhaupt geen reden meer is om die gegevens te gebruiken. Toestemming is ingetrokken, gegevens zijn niet meer nodig, er was eigenlijk nooit een grondslag, en ga zo maar door.

Wanneer gegevens nog actueel zijn, is een recht op vergetelheid dus helemaal niet aan de orde. Je kunt een bedrijfsproces niet doorkruisen met een beroep op je vergeetrecht, tenzij je kunt hardmaken dat die gegevens helemaal niet meer nodig zijn. En dat valt niet mee als er een wettelijke plicht tot bewaren is.

Bij de Wgbo geldt ongeveer hetzelfde. Weliswaar heb je volgens artikel 7:455 BW het recht om vernietiging te verlangen van je dossier, maar daar staat een uitzondering bij:

Lid 1 geldt niet voor zover het verzoek bescheiden betreft waarvan redelijkerwijs aannemelijk is dat de bewaring van aanmerkelijk belang is voor een ander dan de patiënt, alsmede voor zover het bepaalde bij of krachtens de wet zich tegen vernietiging verzet.

En dat laatste is waar het hier om gaat: er is een andere wet die eist dat de gegevens worden bewaard. Allereerst is dat artikel 7:454 lid 3 BW dat vijftien jaar bewaarplicht voorschrijft, en daarnaast de Zorgverzekeringswet die inderdaad tot 5 jaar na einde behandeling bewaren van dossier verlangt.

De conclusie is dus eenvoudig: als er een wet is die bewaren eist, dan gaat dat eigenlijk altijd boven het vergeetrecht uit de AVG.

Arnoud

Van rare websites krijg je rare vergeetrechtzaken

| AE 11078 | Privacy, Uitingsvrijheid | 55 reacties

Een arts die op de vingers is getikt door het tuchtcollege moet verwijderd worden uit de zoekresultaten van zoekmachine Google. Dat meldde Trouw vorige week. Waarmee ze overigens bedoelen dat een bericht over dat vingertikken verborgen moet blijven in de zoekresultaten, niet dat de arts geheel onvindbaar moet worden. De rechtbank Amsterdam had in december vorig jaar bepaald dat het ging om een irrelevant en tendentieus bericht, dat de arts niet hoefde te worden nagedragen ondanks de voorwaardelijke schorsing die hem door de tuchtrechter was opgelegd. Een baanbrekende zaak, aldus zijn advocaat, maar wat mij betreft is dit niets bijzonders en klopt het helemaal met de regels die we al hadden.

De arts had enkele jaren terug een operatie uitgevoerd en daarbij een fout gemaakt. Dat leidde tot een tuchtrechtelijke procedure onder de Wet BIG (Wet op de beroepen in de individuele gezondheidszorg). De arts kreeg in eerste instantie een schorsing opgelegd, maar in hoger beroep werd dat een voorwaardelijke schorsing.

Wie nadien op de naam van de arts zocht, vond hoog in de resultaten de site zwartelijstartsen punt nl (die zelf zegt “Deze website is niet bedoeld als leedtoevoeging of schandpaal.” maar ik zie dat anders) met daarin naam, BIG nummer en foto van de arts, plus de tuchtrechtelijke uitspraak en een citaat uit een regionale krant over de kwestie.

De arts had nogal last van die vermelding, en vroeg Google om verwijdering uit zoekresultaten op zijn maam. Die weigerde dat, omdat het om zakelijke berichtgeving ging over zijn professionele activiteiten. De Autoriteit Persoonsgegevens was dezelfde mening toegedaan, mede omdat de arts nog in zijn proeftijd van de voorwaardelijke schorsing zat en de berichtgeving daarmee nog actueel was. Bovendien zou een gemiddelde patiënt niet bij het BIG register kijken of zijn arts een tuchtuitspraak tegen zich had, maar wel in Google.

Daarop stapte de arts naar de rechter, die hem in tegenstelling tot Google en de AP wél gelijk gaf. De rechtbank zet daarbij voorop – zoals de HR eerder bepaalde – dat bij Google’s zoekdienst de privacy van daarin opgenomen personen in principe wint, tenzij er bijzondere redenen zijn om de informatie wél te tonen. Normaal is de afweging van grondrechten gelijkwaardig (persvrijheid versus privacy), maar bij Google dus niet.

Dan is dus de vraag, wat zijn hier die bijzondere redenen. De site had aangedragen dat zij juist de openbaarheid met naam en toenaam kiezen omdat het publiek te lastig falende artsen kan vinden. Beroepsfouten door artsen zijn zeer kwalijk, dus logisch dat daar aandacht voor moet komen. En het huidige systeem vanuit de wet om dat te doen, voldoet niet genoeg.

Dat laatste ziet de rechtbank anders:

[dat] de wetgever in de wet BIG een uitgekiend wettelijk systeem heeft vastgelegd om bekendheid te geven aan beroepsbeoefenaren die een (voorwaardelijke) tuchtrechtelijke maatregel opgelegd hebben gekregen. Volgens de wet BIG wordt iedere tuchtrechtelijke maatregel in het BIG-register (www.bigregister.nl) gepubliceerd, met een zeer beperkte vermelding van de reden voor de oplegging. De tuchtrechtelijke maatregelen zijn vrij eenvoudig te vinden als in het (digitale) BIG-register wordt gezocht op de naam van de zorgverlener.

Wie dus echt wil weten of er wat speelde met zijn of haar arts, kan dat met een gerichte zoekopdracht achterhalen. Maar dat is heel wat anders dan gewoon je arts googelen en al dan niet verouderde of herroepen berichtgeving vinden, en op die basis concluderen dat je te maken hebt met een sjoemelarts (nog zo’n term van die site). Zeker als die site zich ook nog eens tooit met de toch tendentieuze term ‘zwarte lijst’, wat meer impliceert dan enkel een voorwaardelijke tik op de vingers. En het helpt al helemaal niet als blijkt dat die zwarte lijst kennelijk vrij willekeurig (met eigen, niet gepubliceerde criteria) sommige berispte artsen wel en andere niet publiceert, plus ook artsen die géén tuchtrechtelijke uitspraak tegen zich hebben.

Daar staat dan grote last voor de arts tegenover. Ik schrok er een beetje van wat de rechtbank zegt over het BIG register:

Bovendien heeft [verzoekster] diverse publicaties van de artsenfederatie KNMG overgelegd waaruit blijkt dat de publicatie van een tuchtrechtelijke maatregel in (enkel) het BIG-register – door de KNMG ‘naming and shaming’ of een ‘digitale schandpaal’ genoemd – voor de artsen die het betreft een zo grote invloed heeft, zowel persoonlijk als professioneel, dat ruim de helft van hen heeft overwogen te stoppen met werken.

Als alleen al de vermelding daar zó veel impact heeft, dan snap ik wel dat je zeker niet ook nog eens in een door willekeurige mensen opgezette zwarte lijst Dit alles bij elkaar maakt dat de rechtbank geen omstandigheden ziet om de privacy van de arts aan de kant te zetten, integendeel. Google moet dan ook binnen zeven dagen zorgen dat dit zoekresultaat niet meer wordt getoond als mensen de arts bij naam googelen.

Gezien deze feiten verbaast die uitspraak me niets. Baanbrekend zou ik hem ook weer niet noemen, de rechter past ‘gewoon’ het kader toe van alle vergeetrechtzaken. Dat het BIG register een eigen vergeet- of juist ‘herinner’-functie heeft, is wel een bijzonderheid maar ik zie die in het voordeel van de informatievrijheid. De relevante informatie over artsen is daar te vinden en wordt zorgvuldig beheerd. Wie wat wil weten of zijn arts, kan daar dus gewoon terecht. En als informatie niet meer relevant is, wordt dat door een onafhankelijke partij gescreend en weggehaald. Dat lijkt mij beter dan zelf googelen.

Arnoud

Google mag recht om vergeten te worden tot EU beperken, aldus advocaat-generaal

| AE 11061 | Privacy | 9 reacties

Google hoeft zoekresultaten die het verwijdert vanwege het Europese recht om vergeten te worden, niet op al zijn domeinen te verwijderen, maar alleen voor bezoekers binnen de EU. Dat las ik bij Tweakers onlangs. De advocaat-generaal aan het Hof van Justitie kwam in een recente analyse tot dit advies in een zaak tussen Google en… Lees verder

Moet je van het AVG-vergeetrecht je backups opschonen van oude persoonsgegevens?

| AE 10935 | Privacy, Security | 15 reacties

Interessante discussie in de berichtgeving over de Bits of Freedom informatieopvraagtool, waarmee je makkelijk brieven genereert om je rechten naar bedrijven over je persoonsgegevens uit te oefenen. En dan (natuurlijk) het vergeetrecht, hoe ver gaat dat als je vraagt om vergeten te worden. Tweaker ‘RedSandro’ signaleert een specifiek probleem: Af en toe komt het –… Lees verder

Geldt het vergeetrecht onder de AVG ook bij forumdiscussies?

| AE 10495 | Uitingsvrijheid | 29 reacties

Een lezer vroeg me: Ik beheer een relatief groot discussieforum. Moet ik straks onder de AVG van iedereen die dat vraagt zijn berichten weghalen onder het vergeetrecht? Dan houd ik straks geen historie meer over! Het klopt dat je als aanbieder van internetdiensten al snel te maken krijgt met de AVG. Heel vaak werk je… Lees verder

Google moet berichten over afgesloten strafzaken vergeten

| AE 9230 | Privacy, Uitingsvrijheid | 25 reacties

Google moet een belastend zoekresultaat over een ontuchtpleger uit Doetinchem uit de zoekmachine verwijderen, las ik in Tubantia. Gauw het vonnis erbij gepakt: Google moet inderdaad uit haar zoekresultaten (bij Googelen op ’s mans naam) een Facebookpagina weglaten omdat deze vertelt over de strafrechtszaak, met naam en toenaam (en foto) van de man. Omdat het… Lees verder

‘Containerkwestie’ geen argument voor verwijdering zoekresultaten

| AE 7442 | Ondernemingsvrijheid, Privacy | 15 reacties

Een KPMG-topman die vanwege een geschil met zijn aannemer enkele maanden in een container moest bivakkeren, kan artikelen daarover niet in Google zoekresultaten laten blokkeren. Dat vonniste de rechtbank Amsterdam in de tweede vergeetrechtzaak in ons land. Artikelen laten blokkeren is een laatste redmiddel bij irrelevante en overmatige zoekresultaten, geen alternatief kanaal voor als een… Lees verder

Recht vergeten te worden geldt niet bij strafrechteljke veroordeling

| AE 6985 | Ondernemingsvrijheid, Privacy, Uitingsvrijheid | 19 reacties

Het recht om vergeten te worden, dat gebruikers irrelevante en verouderde informatie uit zoekmachines laat verwijderen, geldt niet voor een zware crimineel die daarom vroeg. Dat meldde Tweakers vrijdag naar aanleiding van een kort geding te Amsterdam. De man wilde dat Google verschillende links die verwijzen naar websites (waarop informatie staat over de veroordeling van… Lees verder