Ook openbare gegevens vallen gewoon onder de AVG

Een lezer vroeg me:

Klopt het dat de Algemene Verordening Gegevensbescherming ook gaat gelden voor informatie uit openbare bronnen? Dat kan toch niet waar zijn, dan is internet toch ineens volledig verboden terrein?

Het klopt dat de AVG ook gaat gelden voor persoonsgegevens die in een vrijelijk toegankelijke openbare bron te vinden zijn. Dit is echter onder de huidige wet ook al het geval. Kort gezegd boeit het niet hoe openbaar of afgesloten de bron van je persoonsgegevens is.

De Wbp en straks de AVG zijn geschreven voor álle verwerkingen van persoonsgegevens, ongeacht de status van de bron. Dus of je nu een zelf opgebouwd nieuwsbriefbestand hebt of e-mailadressen uit LinkedIn haalt, in beide gevallen zul je moeten laten zien dat je een grondslag uit de wet hebt om dit te mogen doen. Dus vertel maar eens, waar is de gegeven toestemming, voor welk contract is deze verwerking of welke belangenafweging met privacywaarborgen heb je gemaakt?

Vaak wordt bij informatie uit openbare bronnen gezegd dat daar toestemming mag worden verondersteld voor hergebruik. Immers, je zet het zelf op internet dus mag iedereen alles. Maar dat is onmogelijk; onder de AVG is toestemming alleen rechtsgeldig gegeven als deze specifiek is. En `alles mag’ is het tegenovergestelde van specifiek.

In een zaak eerder dit jaar was de rechtbank snel klaar met een advocatenkantoor dat WSNP-gegevens had overgetypt uit de Staatscourant, toch een behoorlijk openbare bron. De personen in kwestie kregen vervolgens een direct mailing met aanbod zich te laten bijstaan door het kantoor. Dat is volgens de rechtbank zonder enige twijfel een verwerking van persoonsgegevens, en dat de Staatscourant openbaar is doet daarbij volstrekt niet ter zake.

In principe is verwerken van iemands gegevens mogelijk zonder toestemming, mits jij met een duidelijke belangenafweging kunt laten zien dat dit gerechtvaardigd is én je zo veel mogelijk rekening hebt gehouden met zijn privacy. Dat gaat hier meteen mis:

De eerste vraag die aan de orde komt is of verweerder werkelijk een gerechtvaardigd belang heeft bij de verwerking van de persoonsgegevens. Hieromtrent heeft verweerder niets naar voren gebracht. De tweede vraag is of met het verwerken van persoonsgegevens een inbreuk wordt gemaakt op belangen of fundamentele rechten van verzoekster, op welke vraag de rechtbank bevestigend antwoordt. Verzoekster is immers, door het onverwachts vinden van de brief op haar deurmat, geschrokken en geëmotioneerd, waarmee haar belang een gegeven is. … De rechtbank overweegt dat verweerder haar nagestreefde doel ook op een andere manier kan bereiken, omdat zij immers mensen niet direct hoeft te benaderen voor een gezonde bedrijfsvoering, maar ook in meer algemene zin reclame kan maken. Niet is gesteld of onderbouwd dat `direct marketing’ noodzakelijk is om als advocatenkantoor het hoofd boven water te houden.

Daarmee weegt het belang van direct marketing niet op tegen het privacybelang van personen die met naam en toenaam in de Staatscourant genoemd worden als onder de WSNP geplaatst. Dat die bron openbaar is, komt hier in het geheel niet aan de orde. En dat klopt.

Dit wil overigens niet zeggen dat je dus niets mág met openbare bronnen. Het mag wel, maar je moet dezelfde afweging maken als bij besloten bronnen. Waarom weegt jouw marketingbelang zwaarder dan mensen hun privacybelang?

Arnoud

Afkomstig van de blog Internetrecht door Arnoud Engelfriet. Koop mijn boek!

Gerelateerde berichten:

• Mag je onder de Privacyverordening geen biometrische identificatie meer uitvoeren? (02/06/17 08:13)
• Mag je medische gegevens uit forumberichten gebruiken voor onderzoek? (22/05/13 08:17)
• Moet alle oude software worden afgeschaft onder de Privacyverordening? (09/10/17 08:20)
• Wat moet je doen met een ICT-beheerder die per abuis persoonsgegevens krijgt? (29/03/19 08:08)
• Mag je sollicitanten googelen? (01/05/13 08:15)

Reacties:

Er zijn nog geen reacties op dit bericht.