Toerekening van kennis aan rechtspersonen (O&R nr. 98) 2017/10.3.2:10.3.2 Consequenties voor toerekening van kennis

Toerekening van kennis aan rechtspersonen (O&R nr. 98) 2017/10.3.2

10.3.2 Consequenties voor toerekening van kennis

Documentgegevens:

mr. B.M. Katan, datum 01-01-2017

Datum: 01-01-2017
Auteur: mr. B.M. Katan
JCDI: JCDI:ADS597358:1
Vakgebied(en): Ondernemingsrecht / Algemeen

424. In veel gevallen waarin kennisversplintering leidt tot een nadeel voor de wederpartij of ertoe leidt dat de rechtspersoon een voordeel ontgaat, zal de Wbp zich niet verzetten tegen informatie-uitwisseling binnen de rechtspersoon. Ik geef hierna eerst enkele algemene beschouwingen en verschaf daarna voorbeelden van situaties waarin een beroep op de Wbp voorstelbaar is.

Uit art. 8 sub b Wbp1 volgt dat gegevens over eigen klanten intern gedeeld mogen worden wanneer dit noodzakelijk is voor het aangaan en uitvoeren van overeenkomsten met de desbetreffende klanten. De rechtspersoon kan aan de Wbp geen steun ontlenen voor een beroep op de onwetendheid van de handelende functionaris wanneer de handelende functionaris bevoegd was om persoonsgegevens over de eigen klant op te vragen in de eigen systemen ten behoeve van de uitvoering of totstandbrenging van een overeenkomst met die klant. Eenzelfde overweging geldt wanneer de onwetendheid van de handelende functionaris niet is veroorzaakt door zijn eigen verzuim om persoonsgegevens op te vragen, maar door het verzuim van de wetende functionaris om die gegevens op te slaan of door te leiden. De Wbp staat toe dat persoonsgegevens van de betrokkene worden opgeslagen of doorgeleid indien dat noodzakelijk is voor het aangaan of uitvoeren van een overeenkomst met de betrokkene. Zijn die gegevens van belang voor een overeenkomst die door de handelende functionaris namens de rechtspersoon met de betrokkenen wordt aangegaan of wordt uitgevoerd, en is de handelende functionaris onwetend gebleven, dan kan de rechtspersoon zich in beginsel niet met een beroep op de Wbp onttrekken aan de toerekening van de kennis van de wetende functionaris. Ook art. 8 sub f Wbp2 maakt de verwerking en het delen van persoonsgegevens binnen een organisatie veelal mogelijk. De rechtvaardigingsgrond is dan de behartiging van het gerechtvaardigde belang van de rechtspersoon of een derde, waarbij dat belang zwaarder weegt dan de inbreuk die door de gegevensverwerking wordt gemaakt op de fundamentele rechten of vrijheden van de betrokkene.

425. De mogelijkheid van de handelende functionaris tot kennisneming kan echter wel legitiem worden beperkt in verband met de Wbp. Stelt een wederpartij (niet zijnde de ‘betrokkene’, dat wil zeggen: degene om wiens persoonsgegevens het gaat) dat de rechtspersoon bepaalde persoonsgegevens kende, terwijl die persoonsgegevens niet bekend waren bij de handelende functionaris, dan hangt het van de situatie af op welke bepalingen van de Wbp de rechtspersoon zich zal willen beroepen. Ik behandel hierna drie situaties: die waarin de wetende functionaris de persoonsgegevens niet heeft opgeslagen, die waarin de persoonsgegevens zijn vernietigd en die waarin de handelende functionaris geen toegang had tot de persoonsgegevens.

A. Persoonsgegevens niet opgeslagen

426. Indien de wetende functionaris de gegevens überhaupt nooit heeft opgeslagen (en dus niet heeft verwerkt in de zin van de Wbp), zal de rechtspersoon zich mogelijk op het standpunt stellen dat opslag van die gegevens niet was toegestaan, omdat:

–: er geen rechtvaardigingsgrond bestond voor verwerking van de bedoelde gegevens, of
–: het opslaan van deze gegevens in verband met het vooraf omschreven doel (art. 7 Wbp) bovenmatig of niet ter zake dienend zou zijn (art. 11 Wbp), ook al bestond er in beginsel een rechtvaardigingsgrond.

Ik illustreer dit met een voorbeeld. Een administratiekantoor, tevens rechtspersoon, verzorgt de administratie voor de heer X, een belastingadviseur. A, de accountmanager van X, weet dat X in financiële problemen verkeert omdat een deel van X’ klanten weigert te betalen en daarvoor als reden opgeeft dat de adviezen van X verkeerd hebben uitgepakt en tot belastingschade hebben geleid. Dit lijkt een structureel probleem te zijn in X’ praktijkvoering. A, goed geïnstrueerd door zijn werkgever op het gebied van privacy, heeft de informatie over de reden voor X’ financiële problemen niet opgeslagen in een bestand. Een andere klant van het administratiekantoor heeft een fiscaal adviseur nodig en vraagt aan zijn eigen accountmanager bij het administratiekantoor, B, of die uit zijn zakelijke kring bekend is met een goede fiscaal adviseur. B, wetend dat X klant is van het administratiekantoor, maar onbekend met X’s problemen, raadt de andere klant X als fiscalist aan. Indien X een verkeerd fiscaal advies geeft en geen verhaal biedt voor de geleden schade, zal de andere klant mogelijk het administratiekantoor aanspreken en zich erop beroepen dat het administratiekantoor toerekenbaar is tekortgeschoten in de nakoming van zijn contractuele verplichtingen of onrechtmatig heeft gehandeld door X als fiscalist aan te raden terwijl het administratiekantoor wist dat de kwaliteit van X’ advies structureel ondermaats was en dat hij geen verhaal zou bieden voor de schade die daardoor zou ontstaan. Wenst het administratiekantoor zich op basis van de Wbp te kunnen beroepen op de onwetendheid van B, dan zal het kantoor stellen dat het de persoonsgegevens van X niet mocht verwerken en dat in het bijzonder art. 8 sub f Wbp daarvoor geen rechtvaardigingsgrond bood. Primair zal het kantoor stellen dat de gegevensverwerking in dit geval niet noodzakelijk was voor de behartiging van een gerechtvaardigd belang van het administratiekantoor zelf, bijvoorbeeld omdat niet voorzienbaar was dat dergelijke informatie nut zou hebben voor andere klanten van het administratiekantoor, nu klanten het administratiekantoor normaal gesproken niet vragen om advies over belastingadviseurs. Subsidiair zal het kantoor stellen dat het privacybelang van X in dit geval prevaleerde boven het belang van het administratiekantoor zelf om zijn andere klanten goede dienstverleners te kunnen aanraden.3 Of het administratiekantoor de juiste belangenafweging heeft gemaakt bij het beperken van de registratie van persoonsgegevens van X, zal moeten worden beoordeeld aan de hand van alle omstandigheden van het geval. De wederpartij zal mogelijk ook nog aan de rechtspersoon tegenwerpen dat B mondeling had moeten informeren bij de accountmanager van X of het een goed idee zou zijn om X aan te raden aan de andere klant – mondelinge informatieoverdracht wordt immers niet beperkt door de Wbp.

427. Bestaat de kennis die de wederpartij aan de rechtspersoon wil toerekenen uit bijzondere persoonsgegevens in de zin van art. 16 tot en met 22 Wbp,4 dan gelden bijzonder beperkte mogelijkheden tot verwerking van die gegevens.5 Is de handelende functionaris niet op de hoogte geraakt van bepaalde gegevens omdat dit bijzondere persoonsgegevens waren en het de rechtspersoon verboden was om die te verwerken, dan zal dit een sterk argument vormen voor het niet-toerekenen van kennis. Ook het verbod tot verwerking van bijzondere persoonsgegevens werpt echter geen absolute barrière op tegen kennistoerekening. Het verbod om bijzondere persoonsgegevens te verwerken is namelijk niet van toepassing wanneer een beroep kan worden gedaan op een van de wettelijke uitzonderingsgronden, zoals hiervoor toegelicht. De verwerking kan bijvoorbeeld geschieden met uitdrukkelijke toestemming van de betrokkene (art. 23 lid 1 sub a Wbp6).7 Voorstelbaar is dat de wederpartij onder bepaalde omstandigheden de rechtspersoon kan verwijten dat die een dergelijke toestemming niet heeft gevraagd, terwijl de rechtspersoon dat volgens de wederpartij ter bescherming van zijn belangen wel had moeten doen. Denk bijvoorbeeld aan de klant van een datingbureau die er vooraf over geïnformeerd had willen worden dat de persoon aan wie zij gekoppeld werd, verdacht is geweest van huiselijk geweld.

B. Persoonsgegevens vernietigd

428. Verder kan de situatie zich voordoen dat de persoonsgegevens weliswaar ooit bij de rechtspersoon waren opgeslagen en destijds ook voor de handelende functionaris toegankelijk waren, maar dat deze gegevens al vernietigd waren op het moment dat de handelende functionaris die volgens de wederpartij had moeten raadplegen. In dat geval zal de rechtspersoon de niet-beschikbaarheid van de gegevens voor de handelende functionaris wellicht kunnen rechtvaardigen met een beroep op beperkingen die art. 10 Wbp8 stelt aan het bewaren van persoonsgegevens. Was voor de rechtspersoon op het moment van vernietiging echter al voldoende voorzienbaar dat de persoonsgegevens nog nodig zouden zijn voor het doel waarvoor zij volgens de wederpartij hadden moeten worden geraadpleegd, en voldeed dat doel aan de eisen van de Wbp,9 dan zal het verweer van de rechtspersoon mogelijk niet slagen. De wederpartij zal dan mogelijk met succes kunnen tegenwerpen dat het bewaren van de persoonsgegevens nog altijd noodzakelijk was in de zin van art. 10 Wbp.

C. Handelend functionaris heeft geen toegang tot persoonsgegevens

429. Tot slot is het mogelijk dat de persoonsgegevens bij de rechtspersoon zijn opgeslagen en daar nog steeds aanwezig zijn, maar dat de handelende functionaris, gezien zijn functie, geen toegang heeft tot die gegevens. Personeelsdossiers zullen doorgaans worden afgeschermd van andere afdelingen dan personeelszaken; gegevens over het betaalgedrag van klanten zullen niet zonder meer toegankelijk zijn voor de afdeling marketing & communicatie. De rechtspersoon kan dit in beginsel rechtvaardigen met een beroep op art. 13 Wbp, in verbinding met art. 6 en 7 Wbp.10 Deze laatste twee artikelen eisen, kort omschreven, dat persoonsgegevens zorgvuldig worden verwerkt voor een vooraf bepaald, gerechtvaardigd doel. Art. 13 Wbp11 kan ertoe leiden dat de rechtspersoon zijn informatiesystemen zodanig inricht dat slechts bepaalde medewerkers toegang hebben tot bepaalde persoonsgegevens van klanten of derden (‘need-to-know’-basis). Dat is immers een passende technische of organisatorische maatregel voor de beveiliging van persoonsgegevens en voor het voorkomen van onrechtmatige verwerking.12

Deze maatregel kan meebrengen dat de handelende functionaris onwetend blijft van een persoonsgegeven dat relevant is voor de activiteiten die hij verricht voor de rechtspersoon, omdat de rechtspersoon hem uit oogpunt van de beveiliging van persoonsgegevens geen toegang heeft gegeven tot deze informatie. Onder omstandigheden zal dit ertoe kunnen leiden dat de in het informatiesysteem aanwezige persoonsgegevens niet als kennis aan de rechtspersoon worden toegerekend. Daarbij zal de rechter er mijns inziens rekening mee moeten houden dat de rechtspersoon die vooraf een beleid opstelt op het gebied van informatiedeling, niet elk geval kan voorzien waarin een beperking van de informatiedeling leidt tot benadeling van een wederpartij en niet elk van die gevallen kan voorkomen. Het enkele feit dat de Wbp in een concreet geval zou hebben toegestaan dat de handelende functionaris in het belang van de wederpartij bepaalde gegevens zou hebben geraadpleegd, brengt dus niet mee dat de rechtspersoon geen beroep toekomt op de onwetendheid van de rechtspersoon. Gaat het echter om gegevens die de handelende functionaris normaal gesproken bij de uitoefening van zijn functie zou (moeten) raadplegen en ook zou kunnen raadplegen zonder schending van de Wbp, dan zal zijn gebrek aan toegang tot die gegevens – in de verhouding tussen de rechtspersoon en de wederpartij – moeilijk met een beroep op art. 13 Wbp te rechtvaardigen zijn.

430. Een andere grond voor de beperking van interne informatie-uitwisseling zou kunnen zijn dat die uitwisseling geldt als een verdere verwerking in de zin van art. 9 Wbp.13 Een verdere verwerking is een verwerking van reeds verwerkte (opgeslagen) persoonsgegevens ten behoeve van een ander doel dan dat waarvoor de persoonsgegevens oorspronkelijk zijn verkregen. Dit is slechts toegestaan indien die verwerking verenigbaar is met het oorspronkelijke doel, zo volgt uit art. 9 Wbp. Dit kan grenzen stellen aan het ter beschikking stellen van bepaalde gegevens door een wetende functionaris op de ene afdeling van de rechtspersoon aan de handelende functionaris op een andere afdeling. Een uitzondering daarop biedt art. 43 Wbp, dat onder meer bepaalt dat de verantwoordelijke art. 9 lid 1 Wbp buiten toepassing mag laten voor zover dat noodzakelijk is voor de bescherming van de betrokkene of van de rechten en vrijheden van anderen.14 Onder die ‘anderen’ valt ook de verantwoordelijke zelf. Stel dat een medewerker juridische zaken van de rechtspersoon ontdekt dat een personeelslid samen met haar echtgenoot fraude pleegt jegens de rechtspersoon, maar dat de identiteit van de echtgenoot alleen bekend is bij de afdeling personeelszaken. Dan is het de personeelsadministratie in beginsel toegestaan om de identiteit van de echtgenoot kenbaar te maken aan de behandelend medewerker bij de afdeling juridische zaken. Gebeurt dit niet en stelt de rechtspersoon pas meer dan vijf jaar na de ontdekking van de fraude een rechtsvordering tot schadevergoeding in tegen de echtgenoot, dan zal de echtgenoot zich op verjaring kunnen beroepen, stellende dat de rechtspersoon al meer dan vijf jaar bekend was met de schade en de aansprakelijke persoon (art. 3:310 BW). Bij het voeren van verweer tegen die stelling zal de rechtspersoon in beginsel geen steun kunnen ontlenen aan de Wbp.

431. Het Verbond van Verzekeraars en de Nederlandse Vereniging van Banken hebben een gedragscode opgesteld over de verwerking van persoonsgegevens, de Gedragscode verwerking persoonsgegevens financiële instellingen.15 Art. 6.1.3 van deze gedragscode bepaalt dat persoonsgegevens inzake de gezondheid van een cliënt die zijn verwerkt met het oog op de beoordeling of acceptatie van de cliënt of de uitvoering van een overeenkomst gericht op een specifiek product, niet zonder diens uitdrukkelijke toestemming zullen worden gebruikt in het kader van de beoordeling of acceptatie van die cliënt of het uitvoeren van een overeenkomst met die cliënt ten behoeve van een ander product. Voorstelbaar is dat een cliënt die een bepaald product heeft aangevraagd waarvoor zijn gezondheidsgegevens van belang waren, zich in een geschil op het standpunt stelt dat de bank zijn gezondheidsgegevens reeds kende vanwege de gegevens die hij ten behoeve van een ander product heeft verschaft. Stelt de bank dan dat zij, ter naleving van haar plichten onder deze gedragscode, die gegevens niet toegankelijk had gemaakt voor de medewerkers die de aanvraag van het andere product behandelden (en bewijst de bank dat zo nodig), dan heeft de bank mijns inziens een valide argument tegen kennistoerekening in handen.

432. Uit de parlementaire geschiedenis van het verzekeringsrecht blijkt echter dat de minister ten aanzien van verzekeraars een ander standpunt heeft ingenomen. Die heeft bij de behandeling van het wetsvoorstel voor titel 7.17 BW in 1996 laten weten:

“Gegevens waarover de verzekeraar beschikt, maar die ingevolge regelgeving met betrekking tot de omgang met persoonsgegevens niet vrijelijk binnen de organisatie mogen circuleren of voor andere doelen mogen worden gebruikt, zijn desondanks gegevens die bij de verzekeraar bekend zijn. De opmerking in de toelichting van het tegendeel komt mij bij nader inzien onjuist voor. […] Dit brengt mee dat een beperking in het raadplegen van bestanden er niet aan in de weg staat dat gegevens waarover de verzekeraar reeds beschikt bij de verzekeraar bekend moeten worden geacht, en dat aldus deze beperking niet aan de verzekeringnemer of een derde kan worden tegengeworpen.”16

En in 2000:

“In het algemeen kan worden aangenomen dat wat bij een afdeling van een organisatie bekend is geacht moet worden binnen de hele organisatie bekend te zijn. Vergelijk in een andere context HR 9 januari 1998, NJ 1998, 586 [Rabobank Gorredijk, BK].”17

Volgens de minister kan de verzekeraar de problemen die hierdoor zouden kunnen ontstaan, voorkomen door bij het aangaan van de verzekering uitdrukkelijk naar alle feiten te vragen die voor hem voor het sluiten van de verzekering van belang zijn en waarvan hij weet dat deze gegevens niet vrijelijk binnen de organisatie mogen circuleren. Dit lijkt de minister geen bezwaar, omdat nog zelden verzekeringen worden gesloten zonder vragenlijst.18

433. Met deze redenering ben ik het niet eens. Indien de wet het onderling delen van informatie verbiedt, mag het recht niet tegelijkertijd een sanctie stellen op het niet-delen van informatie. Het recht moet voor justitiabelen geen catch-22 zijn. Daar zou het wel op neerkomen indien de rechtspersoon in zijn verhouding met de wederpartij bepaalde kennis geacht zou worden te hebben, terwijl de handelende functionaris die kennis feitelijk niet heeft en op grond van de wet ook niet mag verkrijgen.19 Toerekening van kennis aan de rechtspersoon impliceert dat de handelende functionaris over die kennis had behoren te beschikken. Dat kan niet indien hij wettelijk niet over die kennis mocht beschikken. Bij het aangaan van verzekeringen is een gebrek aan kennis bij de handelende functionaris wellicht te voorkomen door het hanteren van een vragenlijst, maar voor ter beurze gesloten polissen gaat dat niet op.20 Bovendien speelt deze problematiek niet alleen bij het aangaan van verzekeringen: kennisversplintering kan zich voordoen in allerlei verschillende gevallen waarin een vragenlijst geen oplossing biedt. De verwijzing naar Rabobank Gorredijk snijdt in dit kader geen hout. In die procedure heeft de bank zich er niet (kenbaar) op beroepen dat het haar niet zou zijn toegestaan de informatie over het overlijden van de rekeninghouder door te leiden aan de assurantiebemiddelingsafdeling. Een algemene conclusie dat wat bij een afdeling van een organisatie bekend is, geacht moet worden binnen de hele organisatie bekend te zijn, kan daaruit evenmin worden getrokken (zie par. 9.7).

434. Dit betekent vanzelfsprekend niet dat de rechtspersoon zich zonder meer kan verschuilen achter regelgeving inzake de bescherming van persoonsgegevens, in het bijzonder niet wanneer benadeling van de wederpartij voorkomen had kunnen worden zonder schending van die regelgeving. Indien een instelling bepaalde informatie niet intern deelt terwijl zij redelijkerwijs moet aannemen dat klanten daar wel op zullen rekenen, dan mag van de instelling worden verwacht dat zij haar klanten op heldere wijze inlicht over het feit dat gegevens die ten behoeve van de aanvraag van het ene product zijn aangeleverd, niet bekend zullen zijn bij medewerkers die de aanvraag van een ander product behandelen. Heeft de instelling verzuimd dergelijke maatregelen te treffen, dan kan dat ertoe leiden dat de niet-gedeelde kennis haar alsnog wordt toegerekend. Dit lijkt overigens de situatie te zijn waarop de minister vooral het oog heeft met de hiervoor geciteerde opmerkingen.21 De opmerkingen suggereren echter een veel bredere strekking.

De rechtspersoon kan zich evenmin verschuilen achter regelgeving inzake de bescherming van persoonsgegevens indien de handelende functionaris onwetend is gebleven omdat hij heeft verzuimd op andere wijze dan door raadpleging van intern beschikbare persoonsgegevens het onderzoek te verrichten waartoe de rechtspersoon gehouden is in het kader van zijn onderzoeksplicht. Een verzekeraar kan zijn onderzoeksplicht mede vervullen met behulp van de door de minister genoemde vragenlijst.

435. Gezien de vrij ruime rechtvaardigingsgronden en uitzonderingen in de Wbp en het feit dat de interne uitwisseling van persoonsgegevens veelal niet zal gelden als een nieuwe of verdere verwerking, lijkt de impact van de Wbp op toerekening van kennis al met al beperkt. Dat wil zeggen: het aantal gevallen waarin de rechtspersoon een beperking van de interne informatie-uitwisseling zal kunnen rechtvaardigen met een beroep op de Wbp, zal naar verwachting niet groot zijn.22

Toon alle voetnoten

Voetnoten

Voetnoten

Art. 6 lid 1 sub b AVG.

Art. 6 lid 1 sub f AVG.

De rechtvaardigingsgrond ‘behartiging van het belang van de derde’, die ook in art. 8 sub f Wbp is opgenomen, is in deze casus niet van toepassing, omdat de derde in deze casus niet stelt dat de persoonsgegevens van X aan hem hadden moeten worden verstrekt, maar dat X hem in het geheel niet had moeten zijn aangeraden.

Art. 9 AVG en 10 AVG.

In het kort: verwerking kan alleen met toestemming van de betrokkene (art. 16 Wbp) of op de limitatief voor elk type persoonsgegevens in art. 17 t/m 22 weergegeven gronden.

Art. 9 lid 2 sub a AVG.

Het moet dan wel gaan om vrijelijk gegeven toestemming, zie art. 1 sub i Wbp.

Art. 5 lid 1 sub e AVG (‘niet langer te identificeren’).

Bijvoorbeeld doordat er een rechtvaardigingsgrond voor de verwerking bestond op grond van art. 8 Wbp of omdat verdere verwerking verenigbaar was met de doeleinden waarvoor de gegevens waren verkregen (zie art. 9 Wbp).

10.

Art. 24 en 25 AVG in verbinding met art. 5 AVG.

11.

Art. 24 en 25 AVG.

12.

Daarnaast kan de rechtspersoon op basis van art. 11 lid 2 Wbp de mogelijkheid van functionarissen beperken om persoonsgegevens van – bijvoorbeeld – klanten te bewerken, indien de rechtspersoon daarmee tracht te voorkomen dat de bestanden ‘vervuild’ raken. Nu de enkele inzage in gegevens in beginsel geen verwerking van persoonsgegevens is, zal artikel 11 lid 2 Wbp (Art. 5 lid 1 sub d AVG) veelal niet kunnen rechtvaardigen dat een functionaris geen toegang heeft gekregen tot bepaalde gegevens.

13.

Art. 5 lid 1 sub b AVG.

14.

Art. 23 AVG staat het lidstaten toe om bepalingen van deze strekking in te voeren.

15.

Deze gedragscode dateert van 29 mei 2009 en is gepubliceerd op wetten.overheid.nl. Dit is een gedragscode in de zin van art. 25 Wbp, waarvoor de organisatie die de gedragscode hanteert, aan de Autoriteit Persoonsgegevens kan verzoeken om te verklaren dat de daarin opgenomen regels een juiste uitwerking vormen van de Wbp. De goedkeurende verklaring voor deze gedragscode is verlopen per 1 mei 2015. De laatste keer dat ik het controleerde (3 januari 2017) was de gedragscode volgens wetten.overheid.nl nog altijd geldend, maar kwam deze niet voor op de lijst met goedgekeurde gedragscodes van de Autoriteit Persoonsgegevens (www.autoriteitpersoonsgegevens.nl → zelf doen → gedragscodes).

16.

PG Verzekeringsrecht, p. 17 (VvW 1986).

17.

PG Verzekeringsrecht, p. 20 (NvW 2000).

18.

PG Verzekeringsrecht, p. 20 (VvW 2000).

19.

In dezelfde zin: Bott 2000, p. 226; Buck 2001, p. 491; Buck-Heeb 2010, Rn. 37; Hoenig & Klingen 2013, p. 1049.

20.

Tiggele-Van der Velde 2011b, p. 234.

21.

Zie PG Verzekeringsrecht p. 20 (VvW 2000): “Desondanks kan dit een verzekeringnemer, die doorgaans niet op de hoogte is van deze beperkingen in het raadplegen van gegevensbestanden, niet worden tegengeworpen, omdat hij er vanuit mag gaan dat deze gegevens bij de verzekeraar bekend zijn zodat op hem ter zake geen mededelingsplicht rust.”

22.

Diezelfde conclusie trekt de Duitse auteur Bott ten aanzien van het Bundesdatenschutzgesetz (dat evenals de Wbp is gebaseerd op Richtlijn 95/46/EG. Zie Bott 2000, p. 223-224. Buck wijst ook op de ruime rechtvaardigingsgronden en uitzonderingen (Buck 2001, p. 489-490), maar doet geen uitspraak over de totale impact van privacybescherming op de toerekening van kennis.