Aanwezigheid van persoonsgegevens

1. Het grote belang van zorgvuldige toetsing

Openbaarmaking vindt niet plaats als het belang van openbaarheid niet zwaarder weegt dan het belang van eerbiediging van de persoonlijke levenssfeer (Art. 10 tweede lid onder de Wob). Hierbij spelen persoonsgegevens een belangrijke rol. Openbaarmaking van persoonsgegevens is geregeld in de Wet bescherming persoonsgegevens (de Wbp).

Aan deze afweging van belangen komt men in zijn geheel niet toe als het gaat om persoonsgegevens over iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, het lidmaatschap van een vakvereniging, strafrechtelijke aangelegenheden en onrechtmatig of hinderlijk gedrag in verband met een opgelegd verbod naar aanleiding van dat gedrag, aldus Art. 10 eerste lid onder b Wob). Met andere woorden, in dat geval hebben we te maken met een absolute weigeringsgrond.

De aanwezigheid van persoonsgegevens is by far de belangrijkste uitzondering waar het Open Data aangaat. Immers, persoonsgegevens zitten massaal, dwars door alle soorten overheidsinformatie heen. Daarnaast is het denkbaar dat er weliswaar geen direct tot personen herleidbare gegevens zijn, maar dat men met een combinatie van gegevens wel personen kan identificeren.

In ons digitale tijdperk heeft deze weigeringsgrond een nieuwe dimensie gekregen. Gegevens op het Internet kunnen niet alleen overal 24 uur per dag geraadpleegd worden, ze zijn ook vindbaar, koppelbaar met andere gegevens en bovendien moeilijk te verwijderen. Daardoor kan de mate van inbreuk zwaarder worden. Daar komt bij dat overtreding van deze norm weliswaar niet direct leidt tot grote financiële risico's, maar het kan wel tot veel (politieke) beroering leiden. Vandaar deze uitgebreide behandeling.

2. Regeling in de Wob en de Wbp

Het regime van de Wbp is in zijn effecten tegenovergesteld aan dat van de Wob: openbaarmaking (of liever 'verwerking') van persoonsgegevens is verboden, tenzij de Wbp het toestaat. Nu kan bestuurlijke informatie persoonsgegevens bevatten zodat, bij verstrekking zowel de Wob als de Wbp van toepassing zijn. Simpel gezegd, bepaalt de Wob dan dat bij het nemen van die beslissing het bestuursorgaan het (algemene) belang van verstrekking moet afwegen tegen de eerbiediging van de persoonlijke levenssfeer van de in de informatie genoemde personen.

De cruciale term is dus het begrip persoonsgegeven: is er geen sprake van een persoonsgegeven, dan is de Wbp niet van toepassing en kan verstrekking voor hergebruik gewoon plaatsvinden. In de Wbp is in navolging van eerdere internationaal geformuleerde definities een ruime definitie van het begrip persoonsgegeven opgenomen (artikel 1, onder a Wbp). Bij persoonsgegevens gaat het op basis van deze definities om 'iedere informatie (of zoals de Wbp is opgenomen 'elk gegeven') betreffende een geïdentificeerde of identificeerbare natuurlijke persoon'. De twee elementen 'iedere informatie betreffende' en 'geïdentificeerd of identificeerbare' staan dus centraal bij de beantwoording van de vraag of een gegeven tevens een persoonsgegeven is. Laten we die twee eens nader bekijken.

3. Het begrip 'persoonsgegeven'

Met 'iedere informatie betreffende' wordt bedoeld dat het om alle gegevens gaat die omtrent een bepaalde persoon informatie kunnen verschaffen. Het gaat daarbij niet alleen om bijvoorbeeld de naam of andere personalia, maar ook om gegevens die indirect iets vertellen over de persoon, zoals informatie over goederen of gebeurtenissen. Zo kan de waarde van de auto een persoonsgegeven zijn. Dit is zeker het geval als het een auto van de zaak betreft en deze waarde van belang is voor de fiscale bijtelling. Hetzelfde geldt in beginsel voor een kenteken van een voertuig en voor foto's en verkoopprijzen van huizen. In veel gevallen is de context waarin een gegeven wordt gebruikt bepalend of er sprake is van persoonsgegevens. Van belang is dan of het gegeven bepalend kan zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. Zo kunnen gegevens over een onderneming, geo-informatie over bedrijventerreinen, of telefoongesprekken persoonsgegevens zijn als de gegevens ook iets vertellen over een natuurlijke persoon. Ook gegevens over vennootschappen onder firma, eenmanszaken en vrije beroepsbeoefenaren zijn persoonsgegevens omdat deze gegevens vaak ook informatie geven over de eigenaar of vennoten zelf.

Behalve dat de gegevens iets moeten vertellen over een persoon, moet het gaan om een geïdentificeerde of identificeerbare persoon. Personen zijn identificeerbaar als zij zonder al te veel moeite geïdentificeerd kunnen worden. Hierbij speelt vooral de vraag of de identiteit van de persoon zonder onevenredige inspanning vastgesteld kan worden. Twee factoren zijn hierbij van belang: de aard van de gegevens en de mogelijkheden van de verantwoordelijke, dat wil zeggen degene onder wiens verantwoordelijkheid de gegevens verwerkt worden, om de identificatie tot stand te brengen.

Wat de aard van de gegevens betreft, is een persoon identificeerbaar als sprake is van gegevens die alleen of die in combinatie met andere gegevens zo kenmerkend zijn voor een bepaalde persoon dat deze aan de hand daarvan kan worden geïdentificeerd. Niet ieder gegeven zal in dezelfde mate tot het identificeren van een persoon (kunnen) leiden. In dit kader kan een onderscheid worden gemaakt tussen direct en indirect identificerende gegevens. Van direct identificerende gegevens is sprake als de identiteit zonder veel omwegen eenduidig is vast te stellen. Voorbeelden zijn gegevens zoals naam, adres en geboortedatum. Die zijn in combinatie met elkaar zo uniek en kenmerkend voor een bepaalde persoon dat deze daarmee kan worden geïdentificeerd. Bij indirect identificerende gegevens kunnen de gegevens via nadere stappen in verband worden gebracht met een bepaalde persoon. Bij indirect identificerende gegevens kan weer een onderscheid worden gemaakt tussen gegevens met een hoog onderscheidend karakter, zoals leeftijd, woonplaats en beroep, en gegevens met een laag onderscheidend karakter, zoals leeftijdsklasse, woonregio en beroepsklasse. Het onderscheidende vermogen van dergelijke (combinaties van) gegevens is mede afhankelijk van de context waarbinnen ze worden gebruikt. Ze zijn bijvoorbeeld afhankelijk van de omvang van de bevolkingsgroep waarop de gegevensverwerking betrekking heeft.

Naast de aard van de gegevens, spelen de mogelijkheden van de verantwoordelijke om identificatie tot stand te brengen een rol bij de vraag of er sprake is van identificerende gegevens. Dit hangt bijvoorbeeld samen met het (kunnen) verkrijgen van aanvullende informatie. Hierbij kan gedacht worden aan openbare gegevens uit een telefoonboek of het Internet, vrij te kopen informatie, of aan binnen de eigen organisatie aanwezige informatie.

Bij de afweging of er sprake is van een 'identificeerbare' persoon gaat het niet om een absolute maatstaf. Gekeken moet worden naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs zijn in te zetten om die persoon te identificeren. Daarbij moet uitgegaan worden van een redelijk toegeruste verantwoordelijke. In concrete gevallen moet echter wel rekening worden gehouden met bijzondere expertise, technische faciliteiten en dergelijke van de verantwoordelijke. Het gaat dus enerzijds om objectivering naar een redelijk toegeruste verantwoordelijke en anderzijds om subjectivering naar bijzondere expertise. Ook als niet door de verantwoordelijke zelf, maar wel door derden (bijvoorbeeld door een ontvanger van de gegevens) identificatie kan plaatsvinden, is sprake van persoonsgegevens.

4. Wat als de privacywetgeving van toepassing is?

Toepassing van de bovenstaande uitgangspunten maakt dat gegevens, ook als ze geanonimiseerd, of geaggregeerd zijn, toch nog persoonsgegevens kunnen zijn. Daar komt nog bij dat in Nederland de toezichthouder een stringente uitleg van deze ruime uitleg van het begrip persoonsgegeven hanteert. Kortom, de Wbp zal snel van toepassing zijn, omdat een gegeven ook snel een persoonsgegeven is. Laten we daarom eens kijken wat de toepasselijkheid van de Wbp tot gevolg heeft.

De Wbp geeft regels over wanneer en onder welke voorwaarden persoonsgegevens verwerkt mogen worden. Kenmerkend voor de Wbp is het uitgangspunt dat het verwerken van persoonsgegevens alleen is toegestaan als de Wbp of een andere wettelijke regeling dit mogelijk maakt. Voor wat betreft het beschikbaar stellen voor hergebruik in het kader van Open Data zijn vooral de bepalingen met betrekking tot de zogenaamde 'doelbinding' en het verdere gebruik van gegevens relevant (met name de artikelen 7 en 9 Wbp). Op grond van artikel 7 Wbp moet bij verwerking van persoonsgegevens sprake zijn van een vooraf bepaald doel en moet aan de eisen van rechtmatigheid en kwaliteit zijn voldaan. Verder gebruik van gegevens (zoals hergebruik) is mogelijk voor zover dit gebruik in overeenstemming is met het doel waarvoor ze zijn verzameld, dit op de voet van artikel 9 Wbp. Hiervoor moet in beginsel bij ieder soort hergebruik, voor ieder doel een afweging plaatsvinden. Het met zo min mogelijk voorwaarden ter beschikking stellen van gegevens voor hergebruik zonder expliciet en specifiek doel in het kader van Open Data beleid verhoudt zich uiteraard zeer slecht met deze doelbindingsuitgangspunten.

Het is dus niet zo dat zodra er sprake is van een persoonsgegeven, het einde oefening moet zijn. Ook binnen de grenzen van de Wbp is onder voorwaarden nog steeds veel mogelijk: voor verder gebruik van persoonsgegevens zijn er in specifieke gevallen (bij specifieke verstrekkingen van specifieke gegevens aan specifieke partijen voor specifieke doeleinden) de nodige mogelijkheden. Als een vertrekking voor een specifiek doeleinde verenigbaar is met het oorspronkelijke doel kan in dat specifieke geval verder gebruik zijn toegestaan (bijvoorbeeld bij een specifiek onderzoek op basis bepaalde gegevens voor een bepaald doel).

5. Hoe te handelen?

Hoe hier nu praktisch mee om te gaan? In het algemeen kan een datahouder de regel toepassen dat openbaarmaking van gegevensbestanden waarin systematisch persoonsgegevens zijn opgenomen, nimmer openbaar gemaakt mogen worden omdat de belangenafweging die onder de Wob gemaakt moet worden praktisch altijd in het voordeel van de bescherming van de persoonlijke levenssfeer moet uitvallen. Dit is slechts anders als er een wettelijke plicht tot openbaarheid ligt, anders dan op grond van de Wob, zoals dat het geval is bij openbare registers, zoals het Nieuwe Handelsregister.

Daar waar de data weliswaar geen directe links naar personen bevatten, maar deze mogelijk wel, in combinatie met andere data - niet noodzakelijkerwijs van de datahouder zelve - tot identificeerbaarheid zullen kunnen leiden, is ook waakzaamheid geboden en doet de datahouder er goed aan een Wbp-specialist te raadplegen. Als identificeerbaarheid inderdaad het geval blijkt te zijn, is de privacy wet- en regelgeving van toepassing en is het de vraag of de gegevens geschikt zijn voor hergebruik. Bij overtreding, zeker als die per ongeluk is begaan zijn weliswaar de financiële risico's beperkt, maar de publicitaire schade zal stevig kunnen zijn.

6. Wat als er toch wat mis is gegaan?

Wat nu als er toch persoonsgegevens voor hergebruik vrij zijn gegeven, dit in strijd met de Wbp blijkt te zijn gebeurt? Deze risico's kunnen gelegen zijn in aansprakelijkheid, schadevergoeding en sancties.

In verband met aansprakelijkheid voor privacyschendingen zijn vooral de artikelen 49 en 50 Wbp van belang. In artikel 49 Wbp wordt een recht op schadevergoeding toegekend wanneer in strijd is gehandeld met de bepalingen van de Wbp. In artikel 50 Wbp wordt de mogelijkheid gegeven tot het vorderen van een verbod om te voorkomen dat (nog verder) in strijd met deze wet wordt gehandeld. De bepaling van artikel 49 Wbp sluit aan bij het aansprakelijkheidsrecht. In beginsel zal schending van de verplichtingen uit de Wbp een handelen in strijd met een wettelijke plicht als bedoeld in artikel 6:162 lid 2 BW opleveren.

Het verdient in dit verband wel opmerking dat de schade bij een inbreuk op de privacy van een burger veelal uit niet-vermogensschade (immateriële schade) bestaat. Artikel 49 lid 2 Wbp bepaalt dat voor andere schade dan vermogensschade een vergoeding naar billijkheid wordt toegekend. Tot op heden zijn procedures die uiteindelijk tot een schadevergoeding leiden echter zeer uitzonderlijk. Wel is er een toenemende aandacht voor rechterlijke procedures waarin een verbod op het verwerken van gegevens geëist wordt. Voor zover een privacyschending heeft plaatsgevonden, speelt het vereiste van toerekenbaarheid zoals dat is neergelegd in de artikelen 6:74 en 6:162 BW nog een rol, zij het dat de verantwoordelijke voor de gegevensverwerking krachtens artikel 49 lid 4 Wbp dient te bewijzen dat de schending hem niet kan worden toegerekend (en niet omgekeerd).

Bij sancties staat uiteraard de vraag voorop of er inderdaad wel sancties gesteld zijn op een mogelijke inbreuk of bij een mogelijk tekort bij naleving. Ten aanzien van mogelijke dwangsommen kan opgemerkt worden dat het CBP de afgelopen jaren meer en meer bereid is tot het dreigen en het daadwerkelijk opleggen van een dwangsom. In de praktijk betekent dit dat een organisatie een bepaalde termijn krijgt om de tekortkomingen te herstellen.

Op dit moment kunnen bestuurlijke boeten nog slechts voor een zeer beperkt aantal handelingen opgelegd kunnen worden bij het niet naleven van de meldingsplicht. Er is thans echter wel een duidelijke ontwikkeling waarbij de mogelijkheden voor het CBP boetes op te leggen (sterk) uitgebreid zullen worden. Van strafrechtelijke vervolgingen wegens bepaalde overtredingen van de Wbp zijn geen voorbeelden bekend. Evenals bij boetes is slechts een zeer beperkt aantal handelingen strafbaar. Wel is er (in beperkte mate) sprake van strafrechtelijke vervolging wegens het schenden van een met name op een ambt of een beroep gebaseerde geheimhoudingsverplichting.