De beveiliging van persoonsgegevens (O&R nr. 135) 2022/1.4.3:1.4.3 De AVG-termen ‘ongeoorloofd’ en ‘onrechtmatig’

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/1.4.3

1.4.3 De AVG-termen ‘ongeoorloofd’ en ‘onrechtmatig’

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660986:1
Vakgebied(en): Privacy (V)

In zowel art. 5 lid 1 onder f AVG als art. 32 AVG staat een zinsnede die vanuit Nederlandsrechtelijk perspectief voor verwarring kan zorgen. De artikelen bepalen dat persoonsgegevens moeten zijn beschermd tegen “ongeoorloofde of onrechtmatige verwerking” (art. 5 lid 1 onder f AVG) en dat bij de beveiliging van de verwerkingen rekening moet worden gehouden met verschillende handelingen die “hetzij per ongeluk hetzij onrechtmatig” plaatsvinden (art. 32 lid 2 AVG).1 Wanneer men het begrip ‘onrechtmatig’ beziet vanuit ons nationale begrippenkader, dan komt men al snel uit bij art. 6:162 BW. Dat artikel bepaalt dat hij die jegens een ander een hem toerekenbare onrechtmatige daad pleegt, is verplicht de schade te vergoeden die de ander daardoor lijdt. Hoewel de EU-wetgever de termen ‘onrechtmatig’ en ‘ongeoorloofd’ binnen de context van de AVG niet uitdrukkelijk heeft gedefinieerd, leert een bestudering van deze verordening en de preambule dat hij met het gebruik van de term ‘onrechtmatig’ in art. 4, 5 en 32 AVG niet verwijst naar deze buitencontractuele aansprakelijkheidsnorm.2 Het is, met andere woorden, van belang de term ‘onrechtmatig’ in de zin van de AVG autonoom uit te leggen.3 Hetzelfde geldt voor de term ‘ongeoorloofd’, die in bovengenoemde bepalingen wordt afgezet tegen onrechtmatig.

De term ‘ongeoorloofd’ komt in de context van de AVG alleen terug in relatie tot de beveiliging van persoonsgegevens. Het begrip is daarbij ongedefinieerd. Duidelijkheid over de betekenis ervan kan worden verkregen aan de hand van de Engelse tekstversie van de AVG, waarin het wordt geduid als “unauthorized”.4 Dit begrip is afgeleid van de term autorisatie, een zeer belangrijk aspect van beveiliging. Autorisatie verwijst naar de toekenning van een specifieke bevoegdheid aan een persoon of systeem.5 Of een partij al dan niet geautoriseerd is, hangt af van of zij feitelijk de bevoegdheid heeft gekregen om persoonsgegevens te verwerken. Daarbij is niet relevant of deze toekenning juridisch juist is. Vaak is een autorisatie zeer specifiek; een partij kan bijvoorbeeld wel zijn geautoriseerd tot het waarnemen van gegevens, maar niet tot het wijzigen ervan. Zo zijn verplegers vaak wel geautoriseerd tot het bekijken van het patiëntendossier van een patiënt die zij verplegen, maar niet tot het wijzigen van de medicatie.6 Ongeoorloofd betekent al met al ongeautoriseerd. Een ongeoorloofde verwerking is dus een verwerking die is verricht door een partij die hiertoe niet is geautoriseerd. De autorisatie ziet op een specifieke handeling: een medisch specialist kan bijvoorbeeld zijn geautoriseerd tot het inzien van medische gegevens, maar alleen op momenten dat hij of zij de patiënt behandelt. Een raadpleging op een ander moment is dan ongeautoriseerd.

Art. 32 AVG stelt overigens ook eisen aan de autorisatie zelf. Uit lid 4 van deze bepaling blijkt dat verwerkingsverantwoordelijken en verwerkers maatregelen moeten treffen “om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden”.

De AVG-term ‘rechtmatigheid’ (in het Engels ‘lawfulness’) heeft een belangrijke rol binnen de AVG. Hij komt terug in een van de beginselen inzake de verwerking van persoonsgegevens: het beginsel van rechtmatigheid, behoorlijkheid en transparantie. Dit beginsel bepaalt dat “persoonsgegevens moeten worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is”.7Art. 6 AVG gaat vervolgens nader in op de rechtmatigheid van de verwerking. Hieruit blijkt dat een verwerking alleen rechtmatig is indien en voor zover er een in de wet erkende verwerkingsgrondslag aan ten grondslag ligt.8 De tekst van de AVG maakt niet meteen duidelijk of er hiernaast nog meer eisen voor de rechtmatigheid van verwerkingen bestaan. De preambule impliceert dat dit niet zo is. Hierin is meermaals te lezen dat verwerkingen met een van deze grondslagen “rechtmatig dienen te zijn”.9 Vast staat echter wel dat, wanneer een verwerking bijzondere categorieën van persoonsgegevens (oftewel gevoelige gegevens10) betreft, ook art. 9 AVG de rechtmatigheid van deze verwerking beïnvloedt. Deze bepaling brengt mee dat deze persoonsgegevens slechts mogen worden verwerkt indien er sprake is van een in de art. 9 AVG genoemde omstandigheden.11 Om rechtmatig plaats te vinden, zal een verwerking van bijzondere persoonsgegevens moeten voldoen aan zowel art. 6 AVG, als aan art. 9 AVG.12 Bij strafrechtelijke data vervult art. 10 AVG eenzelfde rol.

Het valt op dat in de literatuur soms zonder onderbouwing wordt aangenomen dat een verwerking slechts rechtmatig is in de zin van de AVG, indien zij niet strijdig is met wat voor wettelijke verplichting dan ook.13 De EU-wetgever en het HvJ EU hebben zich hier nooit over uitgelaten. Ik interpreteer ‘onrechtmatige verwerking’ als ‘een verwerking zonder geldige rechtsgrondslag’. Deze uitleg past (zo bleek hierboven) het beste bij de AVG-term ‘rechtmatig’.14 Ook past dit beter bij het gebruik van de AVG-term ‘onrechtmatig’. Terwijl meerdere AVG-bepalingen zijn gericht op de naleving van de AVG in het algemeen,15 spreekt de AVG namelijk alleen over onrechtmatige verwerkingen in het kader van de beveiliging van persoonsgegevens. Wanneer ‘onrechtmatig’ verwijst naar iedere strijdigheid met de AVG, zou dit begrip echter juist meer op zijn plaats zijn in de context van deze meer algemene bepalingen, zoals art. 24 AVG, dan in die van art. 32 AVG.16 In context van beveiliging ligt het bovendien niet voor de hand ‘onrechtmatig’ breed uit te leggen. Anders zou dit bijvoorbeeld meebrengen dat verwerkingsverantwoordelijken en verwerkers beveiligingsmaatregelen moeten treffen tegen verwerkingen waarbij niet is voldaan aan de informatieplicht jegens de betrokkene.17 Een dergelijke relatie tussen de AVG-beveiligingsverplichtingen en andere AVG-bepalingen ligt niet voor de hand. Beveiliging is hier niet aan gerelateerd.18

Hoewel in art. 5 lid 1 onder f AVG onderscheid lijkt te worden gemaakt tussen ongeoorloofde en onrechtmatige verwerkingen, kunnen deze begrippen overlappen. Dit komt doordat het ene meer feitelijk en het andere meer juridisch van aard is. Zo kan een verwerking waarvoor geen verwerkingsgrondslag bestaat, worden verricht door iemand die niet is geautoriseerd tot het verrichten van deze handeling – maar ook door iemand die dat wel is. In het eerste geval is er sprake van een verwerking die én ongeoorloofd, én onrechtmatig is, in het tweede geval alleen van een onrechtmatig verwerking.

De AVG-beveiligingsbepalingen onderscheiden, naast ongeoorloofde en onrechtmatige verwerkingen, ook onopzettelijke handelingen. Ook dit onderscheid is niet zuiver. Allereerst kunnen onopzettelijke handelingen ook onrechtmatig zijn. Een verwerking die per ongeluk wordt verricht, hoeft immers geen geldige verwerkingsgrondslag te hebben. Verder kunnen onopzettelijke verwerkingen ook ongeoorloofd zijn. Een onopzettelijke handeling kan worden verricht door iemand die in het geheel niet is geautoriseerd tot het verrichten van deze handeling. In AVG-handhavingsbesluiten die ik heb geraadpleegd,19 gaan toezichthouders niet in op de vraag of de handeling onopzettelijk, onrechtmatig of ongeoorloofd was.

Overigens zegt de term ‘ongeoorloofd’ niets over juridische juistheid van een autorisatie. De AVG stelt wel op een andere manier eisen aan de autorisatie van partijen. Zij verzet zich bijvoorbeeld tegen inzage van gegevens door partijen die hiertoe geen geldige reden hebben.20 Het is dan ook mogelijk dat autorisatiebeleid juridisch gezien te ruim is of dat ‘verkeerde’ mensen bevoegdheden zijn toegekend. Er ontstaat dan het risico op onrechtmatige verwerkingen. Beveiligingsmaatregelen moeten hiertegen beveiligen. Een goed autorisatiebeleid valt dan ook onder de beveiligingsmaatregelen die verwerkingsverantwoordelijken en verwerkers moeten treffen. Bij een te ruim of onjuist beleid ontstaat het risico dat de beveiliging niet passend is.21

Toon alle voetnoten

Voetnoten

Voetnoten

Ook art. 4 lid 12 AVG hanteert een dergelijke formulering, namelijk ‘per ongeluk of op onrechtmatige wijze’ en ‘ongeoorloofde verstrekking van gegevens’. Deze bepaling definieert het begrip ‘inbreuk in verband met persoonsgegevens’. Zie hierover §1.4.4.

Wel kan art. 6:162 BW mogelijk ten grondslag worden gelegd aan een schadevergoedingsvordering uit hoofde van een AVG-schending. Binnen de mogelijkheden die het Nederlandse nationale recht biedt, zou bij het bestaan van een overeenkomst tussen de inbreukpleger en de betrokkene een contractuele grondslag zoals wanprestatie (art. 6:74 e.v. BW) overigens eerder voor de hand liggen. Een dergelijke contractuele grondslag zal in het bijzonder bestaan tussen betrokkenen en verwerkingsverantwoordelijken. Voor aansprakelijkheid op die grond is onrechtmatigheid in de zin van art. 6:162 BW niet vereist. Zie over samenloop tussen onrechtmatige daad en wanprestatie Asser/Sieburgh 6-IV 2019/165. Overigens kunnen claims wegens het niet-naleven van art. 5 lid 1 onder f en 32 AVG ook altijd (direct) worden gestoeld op art. 82 AVG. Zie bijv. Van der Jagt-Vink 2018, §4.1; Walree 2020, §2.1. Zie ook ABRvS 1 april 2020, ECLI:NL:RVS:2020:898, r.o. 24-25 (Appellant v. Minister voor Rechtsbescherming), waaruit impliciet hetzelfde lijkt te volgen.

In het algemeen geldt dat rechtsbegrippen en -termen uit het EU-recht zo veel mogelijk autonoom moeten worden uitgelegd. Zie hierover Asser/Vonken 10-I 2018/145.

In de Duitse taalversie van de AVG wordt in lijn hiermee gesproken over “unbefugter”.

Zie over verschillende autorisatiemethodes bijv. Whitman & Mattord 2011, p. 249.

Gegevens over medicatie zijn persoonsgegevens. Wanneer zij in een patiëntendossier zijn opgenomen, geven ze bijvoorbeeld inzicht in de ziekte van een persoon. Het begrip ‘gezondheidsgegevens’ wordt in de context van de AVG bovendien breed uitgelegd. Zie bijv. AP Last onder dwangsom UWV 2018, pt. 39.

Art. 5 lid 1 onder a AVG.

Zie hierover art. 6 lid 1 AVG.

Preambule AVG, o. 44 en 46. Ook de geschiedenis van art. 82 AVG duidt hierop. Deze bepaling bepaalt dat er een recht op schadevergoeding bestaat voor eenieder die “schade heeft geleden ten gevolge van een inbreuk op deze verordening”.

10.

Preambule AVG, o. 10.

11.

Zie ook preambule AVG, o. 51-56.

12.

Zie voor een geval waarin de AP een boete oplegde, omdat de getroffen beveiligingsmaatregelen geen onrechtmatige verwerkingen tegengingen AP, toegang tot digitale patiëntdossiers door medewerkers van het HagaZiekenhuis (onderzoeksrapport) 2019, §1.3. Bij de boete voor ziekenhuis OLVG was er sprake van (in ieder geval) ongeoorloofde verwerkingen: AP Boetebesluit OLVG 2020.

13.

Zie bijv. ‘Principle (a): Lawfulness, fainess and transparancy’, ico, ico.org.uk.; Krzysztofek 2017, §4.02; Van Alsenoy 2016. Kryzyszofek geeft hierbij overigens wel aan dat het in dit kader in het bijzonder gaat om verwerkingen zonder wettelijke basis.

14.

Zie art. 6 AVG, maar bijv. ook art. 7 lid 3 en art. 13 lid 2 onder c AVG.

15.

In dit kader zijn vooral art. 5 lid 2 en 24 AVG van belang. Zie hierover §6.2.1.

16.

Zie §6.2.1.

17.

Art. 13 AVG.

18.

Zie hfdst. 3 voor meer over het informatiebeveiligingsdomein.

19.

In §1.4.6 verder in op het belang van deze besluiten voor dit onderzoek.

20.

Vertrouwelijkheid is van groot belang in de context van de AVG, zie §8.3.4.

21.

Indien partijen verwerkingen verrichten die niet noodzakelijk zijn, zal er veelal sprake zijn van een schending van (a) het beginsel van minimale gegevensverwerking, art. 5 lid 1 onder c AVG en (b) de regels omtrent de grondslagen van persoonsgegevensverwerkingen, art. 6 lid 1 AVG. Zie in dit kader bijv. AP, Last onder dwangsom en definitieve bevindingen Menzis 2018, pt. 2 en 6.