Richtsnoeren publicatie van persoonsgegevens op internet

Het College bescherming persoonsgegevens (CBP) handhaaft de Wet bescherming persoonsgegevens. Op internet worden veel persoonsgegevens gepubliceerd. Dit document geeft aan hoe het CBP publicatie van persoonsgegevens op internet in het algemeen beoordeelt. De richtsnoeren bevatten tevens uitleg over de wet, geïllustreerd met praktijkvoorbeelden. Voor iedereen die publiceert op internet is van belang dat duidelijk is of, wanneer en in welke vorm publicatie is toegestaan. De richtsnoeren beogen bij te dragen aan deze duidelijkheid. Helderheid over toepasselijke normen bevordert de naleving ervan en past in een efficiënt handhavingsbeleid. Deze richtsnoeren zijn gepubliceerd in de Staatscourant van 11 december 2007.

Inleiding

Eerbiediging van de persoonlijke levenssfeer wordt beschouwd als een essentiële voorwaarde voor een menswaardig bestaan en als een van de grondslagen van onze rechtsorde. Eenieder heeft recht op bescherming tegen de ongebreidelde vergaring, bewerking en verspreiding van zijn persoonsgegevens.

Op internet worden op heel veel manieren persoonsgegevens gepubliceerd. Internet maakt het door zijn aard zeer laagdrempelig om persoonsgegevens te publiceren: via een website, in een discussieforum of in een online dagboek. Mensen kunnen gegevens over zichzelf publiceren of over anderen. Publicaties op internet zijn over het algemeen wereldwijd 24 uur per dag toegankelijk voor een potentieel zeer omvangrijk en divers publiek. Voor mensen van wie de persoonsgegevens op internet staan, kunnen de consequenties groot zijn, bijvoorbeeld als het gaat om onbewezen verdenkingen of intieme details uit het persoonlijke leven. Zelfs als de gegevens op zichzelf juist zijn, kan door de publicatie op internet een onvolledig beeld ontstaan van een persoon, met een negatieve beoordeling tot gevolg.

Daarom stelt de wet grenzen aan de toelaatbaarheid van de publicatie van persoonsgegevens op internet.

Hoofdregel van de Wet bescherming persoonsgegevens (hierna: Wbp) is dat iedereen die persoonsgegevens publiceert zélf verantwoordelijk is voor de naleving van de wet. Particulieren, ondernemingen, organisaties en instellingen die voornemens zijn gegevens over personen op internet te publiceren, dienen dus zelf voorafgaand aan de publicatie te beoordelen of dat wel is toegestaan, en zo ja, aan welke voorwaarden zij daarbij moeten voldoen.

Met deze richtsnoeren wil het College bescherming persoonsgegevens (hierna: CBP) het eenvoudiger maken dat te beoordelen. Dat is in het belang van degenen die op internet publiceren en in het belang van de mensen over wie (mogelijk) gegevens worden gepubliceerd.

Deze richtsnoeren behandelen de hoofdlijnen van de beoordeling van een publicatie van persoonsgegevens op internet, onder de geldende privacywetgeving en jurisprudentie.1Het juridisch kader bestaat voornamelijk uit de Wet bescherming persoonsgegevens (Wet van 6 juli 2000, Stb. 302), jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM), het Europees Hof van Justitie (HvJEG) en relevante interpretaties van de Artikel 29-werkgroep, het samenwerkingsverband van toezichthouders op het gebied van bescherming van persoonsgegevens in de Europese Unie (EU). Waar relevant komt ook algemene Nederlandse jurisprudentie aan de orde, evenals uitspraken van het CBP zelf. De richtsnoeren richten zich primair op het World Wide Web.

Publicaties kunnen ook uit anderen hoofde dan privacybescherming onrechtmatig zijn, bijvoorbeeld omdat ze in strijd zijn met de Auteurswet. De handvatten in deze richtsnoeren zijn beperkt tot de toelaatbaarheid van de publicatie onder de geldende privacywetgeving. In deze richtsnoeren wordt dus niet ingegaan op de rechtmatigheid van de publicatie op grond van andere wetgeving.

De richtsnoeren behandelen veel van de belangrijkste regels op het gebied van de bescherming van persoonsgegevens maar bevatten geen uitputtende beschrijving van alle bestaande wettelijke bepalingen en jurisprudentie. De voorbeelden die in deze richtsnoeren zijn opgenomen, dienen alleen ter illustratie van de manier waarop het CBP een specifieke bepaling uit de Wbp toepast bij de beoordeling van een publicatie. Publicatievormen die niet bij wijze van voorbeeld in deze richtsnoeren zijn opgenomen, kunnen toch in strijd zijn met de Wbp.

Bij de beoordeling van een publicatie die vergelijkbaar is met een voorbeeld kunnen ook andere dan de besproken Wbp-bepalingen een rol spelen. Ook indien een concreet soort publicatie veel lijkt op een voorbeeld, dient men erop bedacht te zijn dat de definitieve beoordeling alleen gemaakt kan worden met inachtneming van alle omstandigheden van het individuele geval en dat de beoordeling daarom anders kan uitpakken.

Rechterlijke uitspraken kunnen naast wetswijzigingen, technische ontwikkelingen en praktijkervaringen aanleiding vormen tot aanvulling of herziening.

Deze richtsnoeren treden in werking met ingang van 11 december 2007, zijnde de datum van publicatie in de Staatscourant.

Hoofdstuk I. Basisbeginselen van de bescherming van persoonsgegevens op internet

1. Inleiding

Persoonsgegevens op internet moeten op dezelfde zorgvuldige wijze worden verwerkt als in de offlinewereld. De wet is van toepassing op ‘de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens’,2De wet is ook van toepassing op niet-geautomatiseerde verwerkingen, zoals papieren dossiers, maar alleen als de gegevens opgenomen zijn of worden in een bestand, dat wil zeggen een gestructureerd geheel van persoonsgegevens dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen. dus op elke publicatie van persoonsgegevens op internet.3Memorie van toelichting bij de Wbp, Kamerstukken II, 28 509, 3 (hierna: MvT), blz 71: ’Zodra informatie digitaal is vastgelegd is er in ieder geval sprake van geautomatiseerde verwerking van gegevens. In een geautomatiseerd systeem is immers het zoeken naar digitale gegevens mogelijk. (...) Het feit dat langs geautomatiseerde weg geluid- of beeldvergelijking van digitaal vastgelegde informatie over iemand onvergelijkbaar veel sneller en nauwkeuriger kan plaatsvinden dan wanneer dit handmatig zou moeten geschieden, rechtvaardigt een aangescherpt juridisch regime.’ Iedereen die persoonsgegevens op internet publiceert, ongeacht of dit een privépersoon is, een bedrijf, een instelling of een bestuursorgaan, dient te voldoen aan de verplichtingen die de wet oplegt. Deze zijn: het behoorlijk en zorgvuldig te werk gaan, transparantie, doelbinding, rechtvaardigingsgrond, kwaliteit en evenredigheid, informatierechten, beveiliging en beperking van doorgifte naar landen buiten de EU.

Artikel 1 van de Wbp bevat definities van de begrippen die in de wet worden gehanteerd. Niet alle begrippen zijn even relevant voor het beoordelen van publicaties op internet. Hieronder volgen de belangrijkste. Tevens worden drie belangrijke uitzonderingen op de toepasselijkheid van de Wbp kort toegelicht: de verwerking van persoonsgegevens voor persoonlijk/huishoudelijk gebruik; de verwerking voor uitsluitend journalistieke, literaire of artistieke doeleinden en het gebruik voor historische, statistische en wetenschappelijke doeleinden.

2. Op wie legt de wet verplichtingen? De verantwoordelijke

Met de term ‘verantwoordelijke’ wordt in deze richtsnoeren degene aangeduid die onder de Wbp verantwoordelijk is voor de inhoud van een publicatie op internet. Volgens de wet is de verantwoordelijke de natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of te zamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

De verantwoordelijke kan de houder van een website zijn, de maker van een persoonlijk profiel, maar ook de eigenaar/beheerder van een discussieforum. In een discussieforum, of in een reactiemogelijkheid onder artikelen, kunnen lezers bijdragen leveren waarin persoonsgegevens worden verwerkt. In beginsel is iedereen die een bijdrage levert zelf verantwoordelijk voor die verwerking van persoonsgegevens, maar de algemene verantwoordelijkheid voor een zorgvuldige gegevensverwerking ligt bij de houder van het forum, omdat die immers het doel en de middelen bepaalt. De houder van de website of het forum, degene die formeel-juridisch de zeggenschap over de verwerking heeft, biedt de gelegenheid tot het publiceren van gegevens en heeft daarom de plicht om zorg te dragen voor een zorgvuldige omgang met persoonsgegevens. 4’Iemand die persoonsgegevens heeft vastgelegd en gebruikt, bijvoorbeeld door deze ter raadpleging aan te bieden, ook al zijn deze anoniem door een derde via Internet aangeleverd, is aanspreekbaar op naleving van dit wetsvoorstel en kan zich niet verschuilen achter het adagium ’geen boodschap aan de boodschap’. Zodra opslag met het oog op raadpleging plaatsvindt, bijvoorbeeld in de vorm van een ’cache-service’, is er sprake van verwerking.’ MvT, blz. 60.

Website in de Verenigde Staten

Een in Nederland gevestigde verantwoordelijke kan ervoor kiezen om technische middelen buiten Nederland aan te wenden voor een publicatie, bijvoorbeeld door gebruik te maken van webhosting5Webhosting is het (over het algemeen tegen betaling) verhuren van schijfruimte op een internetserver waarop verantwoordelijken internetpagina’s kunnen plaatsen. Dergelijke servers kunnen binnen de EU staan, maar ook erbuiten. Het webhostingbedrijf heeft geen zeggenschap over de inhoud van de publicatie. in de Verenigde Staten. Hoewel de website niet op Nederlands grondgebied is gevestigd, is de Wbp toch van toepassing. De Wbp is van toepassing op alle in Nederland gevestigde verantwoordelijken.

De houder van een webforum is een tussenpersoon op internet. Bij elke handeling op internet zijn tussenpersonen betrokken. Andere tussenpersonen zijn bijvoorbeeld aanbieders van toegang tot internet, partijen die hosting aanbieden van websites of zoekmachines. Het begrip verantwoordelijke uit de Wbp is een breed begrip en is daarom ook van toepassing op sommige tussenpersonen.

Voor toegangsdiensten geldt dat zij geen controle hebben over het al dan niet doorgeven van persoonsgegevens. Zij kunnen daarom niet gelden als verantwoordelijke, tenzij het om informatie gaat die ze op eigen initiatief en onder eigen redactie aanbieden, zoals bijvoorbeeld via een nieuwsbrief. Anders is dat voor de beheerder van een discussieforum. Deze heeft de juridische en feitelijke zeggenschap over de gegevens op het forum, bepaalt in eerste en laatste instantie de doelen van het forum en zorgt dat het forum functioneert.

In het geval van hosting van materiaal, het plaatsen van een hyperlink naar persoonsgegevens en het gebruik dat zoekmachines maken van materiaal op internet moet gekeken worden welke zeggenschap deze diensten hebben over de verwerking van persoonsgegevens. Van bijzonder belang is de vraag of een tussenpersoon zeggenschap heeft over de verwijdering van de gegevens. Deze vraag moet bevestigend worden beantwoord indien een tussenpersoon de mogelijkheid heeft informatie te verwijderen en gewend is dit ook te doen in bepaalde gevallen waarin derden hem op onrechtmatige publicaties wijzen. Een dergelijke tussenpersoon is verantwoordelijke ten aanzien van de verwerking van door derden gepubliceerde persoonsgegevens (in het bijzonder het ter beschikking houden en de verwijdering of blokkering) en is op grond daarvan medeverantwoordelijke voor deze verwerking.

Het begrip bewerker uit de Wbp is niet van toepassing op de aanbieder van een dienst als een geleverde dienst aan de verantwoordelijke niet expliciet betrekking heeft op de verwerking van persoonsgegevens. De genoemde tussenpersonen zullen dus in beginsel niet beschouwd kunnen worden als bewerker.

Verschil verantwoordelijkheid en aansprakelijkheid

Verantwoordelijkheid op grond van de Wbp is iets anders dan aansprakelijkheid. Sommige tussenpersonen zijn onder voorwaarden vrijgesteld van aansprakelijkheid voor onrechtmatig handelen van derden. Het gaat om diensten van de informatiemaatschappij die bestaan uit het verlenen van toegang, de tijdelijke opslag en de hosting van materiaal. Deze regels komen voort uit de richtlijn elektronische handel en zijn te vinden in artikel 6:196c van het Burgerlijk Wetboek. De scheidslijn tussen verantwoordelijke en niet-verantwoordelijke in de Wbp is niet afgestemd met de vrijstelling van aansprakelijkheid van sommige tussenpersonen. Het kan dus zo zijn dat een dienst, die op grond van artikel 6:196c BW beschouwd moet worden als een hostingdienst (lid 4), op grond van de Wbp geldt als verantwoordelijke. Deze aanbieder is in dat geval niet aansprakelijk voor onrechtmatige verwerkingen van persoonsgegevens door derden. Wel moet de aanbieder de informatie verwijderen of de toegang daartoe onmogelijk maken zodra hij weet of redelijkerwijs behoort te weten dat er sprake is van onrechtmatigheid. Gezien de aard van de normen in de Wbp en de beperkte mogelijkheid van tussenpersonen zich te vergewissen van de rechtmatigheid van de publicatie van persoonsgegevens zal deze verplichting tot blokkeren of verwijderen alleen bij evidente overtredingen van de Wbp ontstaan.

Het bovenstaande betekent voor de praktijk dat tussenpersonen die zich kunnen beroepen op een wettelijke vrijwaring van aansprakelijkheid zich kunnen richten op de regeling met bijbehorende voorwaarden in artikel 6:196c van het Burgerlijk Wetboek.

Met de term ‘betrokkene’ wordt de persoon bedoeld wiens persoonsgegevens worden verwerkt. Op internet lopen de twee rollen nogal eens door elkaar; wie een persoonlijk webdagboek bijhoudt, kan zowel verantwoordelijke als betrokkene zijn.

Profielsites

Profielsites zijn bijzonder populair bij jongeren. Met een profiel laten ze zien wie ze zijn, welke vrienden ze hebben en hoeveel het er zijn. Ze schrijven over wat ze doen en leuk vinden en laten persoonlijke berichten achter bij anderen. Hoe meer informatie iemand van zichzelf laat zien, hoe beter diegene kan laten zien dat hij of zij de moeite waard is. Er zijn veel jongeren die erg ver gaan met het delen van informatie op publiek toegankelijke profielen, bijvoorbeeld met verhalen over feestjes, drugsgebruik en seks.

De aanbieders van profielsites zijn samen met de gebruikers medeverantwoordelijk voor de verwerking van persoonsgegevens op de betreffende website. De aanbieders van deze diensten moeten zich daarom houden aan de regels uit de Wbp. Zo dienen ze gebruikers vooraf volledig te informeren over de beschikbaarheid van de profielen voor andere bezoekers van de site. Ze dienen geschikte beveiligingsmaatregelen te treffen, zoals het standaard afschermen van de profielen voor zoekmachines en alleen toegang te bieden aan vrienden van de gebruiker. Ook dienen ze de mogelijkheid te bieden de profielen en elders op de site geplaatste informatie te verwijderen.

3. Wat is een persoonsgegeven?

De Wbp kent een ruime definitie van persoonsgegevens. In artikel 1 sub a Wbp wordt een persoonsgegeven gedefinieerd als ‘elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. De omschrijving is letterlijk overgenomen van artikel 2 van het Europees Dataverdrag6Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, Straatsburg 1981, Trb. 1988.. De Europese privacyrichtlijn 95/46/EG (hierna: de richtlijn) waarop de Wbp is gebaseerd, geeft een iets uitgebreidere omschrijving.

De richtlijn geeft in artikel 2 onder a als definitie van persoonsgegevens: *iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, hierna ’betrokkene’ te noemen; als identificeerbaar wordt beschouwd een persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.*

Hoewel het tweede deel van de Europese definitie, de uitleg over specifieke elementen die iemand identificeerbaar maken, niet is overgenomen in de Wbp, maakt de Memorie van Toelichting bij de Wbp duidelijk dat de Wbp het zelfde uitgangspunt hanteert ten aanzien van indirect identificerende gegevens.

Allereerst is voor het begrip ’persoonsgegeven’ relevant of de gegevens informatie over een persoon bevatten. In veel gevallen, zoals bij feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen, zal dit uit de aard van de gegevens voortvloeien. In andere gevallen zal mede aandacht moeten worden besteed aan de context waarin het gegeven wordt vastgelegd en gebruikt. Als gegevens medebepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, moeten die gegevens als persoonsgegevens worden aangemerkt. Het (maatschappelijk) gebruik dat van gegevens wordt gemaakt is dus medebepalend voor de beantwoording van de vraag of sprake is van een persoonsgegeven.7Memorie van toelichting bij de Wbp, Kamerstukken II, nr. 25 892, nr. 3, blz 46.

De Artikel 29-werkgroep van samenwerkende privacytoezichthouders in de EU heeft in een recente opinie de verschillende onderdelen van de definitie van persoonsgegevens nader uitgewerkt. Het gaat om de begrippen ‘iedere informatie’, ‘betreffende een natuurlijk persoon’ en ‘direct of indirect herleidbaar’.

3.1. Iedere informatie

De werkgroep benadrukt dat ‘iedere informatie’ zowel objectieve als subjectieve gegevens omvat, ongeacht of ze juist of bewezen zijn. Denk aan waardeoordelen als ‘Jan is een betrouwbare lener’ of ‘Jan is een goede medewerker die promotie verdient.’ 8Opinion 4/2007 on the concept of personal data van de Artikel 29-werkgroep, aangenomen op 20 juni 2007, blz. 6.

3.2. Betreffende een persoon

Om te bepalen of een gegeven betrekking heeft op een persoon, moet volgens de Artikel 29-werkgroep één van de volgende drie elementen aanwezig zijn: een inhoudelijk element, een doelelement of een resultaatelement.

Een inhoudelijk element betekent dat het om informatie gaat over een persoon, ongeacht het doeleinde van de verantwoordelijke of het resultaat voor die persoon, zoals de resultaten van een medisch onderzoek betrekking hebben op de patiënt of zoals de gegevens in een klantenbestand van een bedrijf betrekking hebben op de klant.