AVG boete voor gemeente Deventer
We delen steeds meer informatie over onszelf, maar ook van anderen. Soms bewust, vaak onbewust. Organisaties mogen slechts persoonsgegevens aan anderen geven als deze gegevensverstrekking is gebaseerd op de Algemene verordening gegevensbescherming. Op grond van deze verordening moet de gemeente Deventer een boete betalen. Hieronder volgt een korte samenvatting van de uitspraak en wat deze uitspraak kan betekenen voor (overheids)organisaties.
Samenvatting uitspraak
Op grond van artikel 35 van de Wet bescherming persoonsgegevens konden betrokkenen een verzoek indienen bij degene die de persoonsgegevens verwerkt (de zgn. verantwoordelijke) voor een overzicht van de persoonsgegevens die worden verwerkt; een inzageverzoek. Op grond van dit artikel werd een verzoek gedaan bij de gemeente Deventer op 27 juli 2017. Aan dit verzoek werd weliswaar voldaan, maar de betrokkene gaat alsnog in bezwaar bij de gemeente. Aan het verzoek is namelijk niet volledig voldaan. De betrokkene kwam erachter dat de gemeente zijn persoonsgegevens had gedeeld met ambtenaren van andere gemeenten. De betrokkene diende eerder twee WOB-verzoeken in bij de gemeente Deventer en de ambtenaren van verschillende gemeenten werden via deze e-mail hiervan op de hoogte gebracht. Op grond van vaste rechtspraak is sprake van het geautomatiseerd verwerken van persoonsgegevens indien een e-mail persoonsgegevens bevat. Nu niet in geschil is dat de e-mail persoonsgegevens bevat, kijkt de rechtbank of sprake was van een rechtvaardigingsgrond voor de gegevensverwerking. De rechtbank concludeert dat hier geen sprake van is. De gemeente Deventer heeft met de doorzending van de persoonsgegevens, de beginselen van proportionaliteit en subsidiariteit geschonden door niet nader onderzoek te doen of persoonsgegevens vaker waren verwerkt in de mailboxen. De rechtbank vernietigt het besluit van de gemeente Deventer en deze dient opnieuw op het bezwaar van de betrokkene te beslissen. In september 2018 verklaart de gemeente het bezwaar weliswaar gegrond, maar het verzoek om schadevergoeding wordt afgewezen. Hiertegen wordt beroep ingesteld door de betrokkene. Naar het oordeel van de rechtbank is de betrokkene, als gevolg van het onrechtmatig besluit, in zijn persoon aangetast wegens verlies van controle over zijn persoonsgegevens. Op grond van artikel 82 Algemene verordening gegevensbescherming heeft de betrokkene dan recht op schadevergoeding (met als grondslag art. 6:106 BW). Wat betreft de hoogte van die vergoeding neemt de rechtbank in acht dat in het onrechtmatige besluit geen rechtvaardiging is gegeven voor de verwerking van de persoonsgegevens van de eiser.
Schadevergoeding
Uiteraard is gegevensuitwisseling tussen gemeenten noodzakelijk voor de goede vervulling van een publiekrechtelijke taak. Echter, dit betekent niet dat dit altijd (ongemotiveerd) de rechtvaardigingsgrond is voor de uitwisseling van persoonsgegevens. Overheidsorganisaties dienen goed na te gaan of de uitwisseling wel noodzakelijk is en wat daarbij de rechtvaardigingsgrond is (ex. artikel 6 AVG). Hoewel daadwerkelijke schade door een privacy-inbreuk moeilijk is te bewijzen, maakt de AVG het voor betrokkenen het makkelijker om schade aan te tonen. Verlies van controle over persoonsgegevens en de verspreiding daarvan kan, volgens overweging 85 van de AVG, resulteren in schade.
Privacy module
Hoe dan ook, schadevergoeding wegens privacy-inbreuk is zeldzaam. De uitspraak van rechtbank Overijssel is de eerste uitspraak sinds de AVG van toepassing is, waarin schadevergoeding wordt toegekend, maar wellicht niet de laatste. Privacy staat hoog in het vaandel bij Digitale Checklisten en wij helpen onze klanten graag met het voldoen aan de AVG. Daarom hebben wij een privacy module. Meer weten? Neem contact op met onze servicedesk.