Over verkeerd bezorgde brieven, een envelop met creditkaartgegevens en vuilniszakken met rechtbankdossiers

Auteur(s): Bron:
  • Privacy & Informatie, P&I 2018/105, Uitgeverij Paris

Samenvatting

Er kan alleen sprake zijn van een datalek of inbreuk op de beveiliging van persoonsgegevens in de zin van artikel 34a van de Wet bescherming persoonsgegevens (Wbp), als is vastgesteld dat deze wet überhaupt van toepassing is. In deze bijdrage wordt verkend in hoeverre de Wbp van toepassing is op de persoonsgegevens die zijn vastgelegd in brieven en andere papieren documenten.

1 Aanleiding

De meldplicht datalekken werd bijna anderhalf jaar geleden ingevoerd en heeft velen van ons duchtig beziggehouden. Het afgelopen jaar zijn er bij de Autoriteit Persoonsgegevens (AP) weliswaar veel minder datalekken gemeld dan verwacht – voorspeld waren 66 000 meldingen en het werden er uiteindelijk niet meer dan 5500[1] – maar de opwinding erover was er niet minder om. Terecht natuurlijk. Want een serieus, en dus meldplichtig datalek, kan duiden op substantiële problemen in de organisatie van de verantwoordelijke en leiden tot grote risico’s of op zijn minst overlast bij de betrokkenen.

Over de meldplicht van artikel 34a van de Wet bescherming persoonsgegevens (Wbp of ook wel ‘de wet’) is, voor zover wij uit openbare bronnen kunnen achterhalen, nog geen rechtspraak. Wel heeft de AP enkele weken voor de inwerkingtreding ervan beleidsregels bekendgemaakt. Daarin zet de toezichthouder uiteen wat volgens haar een datalek of inbreuk op de beveiliging van persoonsgegevens is en wanneer zo een datalek moet worden gemeld bij haar meldloket en bij de betrokkenen die het aangaat.[2]

De beleidsregels geven een aantal voorbeelden van meldplichtige datalekken, waarvan enkele betrekking hebben op niet-geautomatiseerde gegevensverwerkingen. Een voorbeeld betreft de envelop met creditkaartbetalingsgegevens van 800 personen die per ongeluk niet is versnipperd en in verkeerde handen is gevallen. Een ander voorbeeld betreft de verkeerd bezorgde brief. Daarover zegt de AP in haar beleidsregels dat er géén sprake is van een meldplichtig datalek, als deze brief ongeopend wordt geretourneerd. En dat lijkt te impliceren dat er volgens de toezichthouder wel sprake is van een datalek als het gaat om een verkeerd bezorgde brief die wel is geopend en vervolgens provisorisch is gesloten en daarna is geretourneerd (‘retour afzender’).[3] In een latere publicatie en in de correspondentie met enkele brancheorganisaties over zogeheten bulkmeldingen bevestigt de toezichthouder dit.[4] Ook toen er door bouwvakkers bij de renovatie van de rechtbank in totaal zeven vuilniszakken met dossierstukken werden aangetroffen, leek de toezichthouder ervan uit te gaan, althans leek niet uit te sluiten, dat er inderdaad sprake was van een datalek.[5]

Een vraag bij al deze gevallen is of, en zo ja in hoeverre en onder welke voorwaarden, de Wbp überhaupt van toepassing is op niet-geautomatiseerde verwerkingen van persoonsgegevens. In de beleidsregels wordt aan deze vraag marginale aandacht gegeven. Er wordt volstaan met een vereenvoudigd stroomschema en een compacte uitleg van wat moet worden verstaan onder enkele relevante wettelijke begrippen, zoals de ‘geheel of gedeeltelijke geautomatiseerde verwerking’ en het ‘bestand’ en de uitzonderingen voor ‘journalistieke doeleinden’ enz.[6] Wat echter ontbreekt is een analyse waarin wordt uiteengezet in welke gevallen de wet van toepassing is, en in welke gevallen niet, en wanneer er dus sprake kan zijn van een meldplichtig datalek, en wanneer niet.

In deze bijdrage doen wij een poging tot zo een analyse. We doen dat om te komen tot een beantwoording van de vraag wanneer de wet van toepassing is op niet-geautomatiseerde gegevensverwerkingen, zoals in het geval dat het gaat om zoekgeraakte brieven, een envelop met creditkaartgegevens en vuilniszakken met rechtbankstukken. We beginnen met een verkenning van wat al dan niet kan worden aangemerkt als een ‘geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens’, in de zin van artikel 2 lid 1 Wbp (par. 2). Vervolgens bezien we of er, in het geval dat er geen sprake is van een geheel of gedeeltelijk geautomatiseerde verwerking, mogelijk sprake is van een niet-geautomatiseerde verwerking van persoonsgegevens die zijn ‘opgenomen in een bestand of daartoe zijn bestemd’ (par. 3). Aansluitend geven wij een korte beschouwing over onze bevindingen, waarin wij ingaan op de zoekgeraakte of verkeerd bezorgde brief, de envelop met creditkaartgegevens en vuilniszakken met rechtbankstukken (par. 4).[7]

2 Een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens?

2.1 Verwerking van persoonsgegevens?

Is er sprake van de ‘verwerking van persoonsgegevens’ als het gaat om de postbezorging of een envelop met creditkaartgegevens? En hoe zit het als bouwvakkers bij de renovatie van de rechtbank stuiten op een verzameling rechtbankdossiers? Daarover kunnen we kort zijn. Er kan, uitzonderingen daargelaten, al snel van uit worden gegaan dat er in al deze gevallen inderdaad sprake is van de verwerking van persoonsgegevens. Ook als de inhoud van de brief geen persoonsgegevens zou bevatten, dan nog zullen in de adressering vaak wel gegevens over geïdentificeerde of identificeerbare natuurlijke personen zijn opgenomen (‘ter attentie van de heer mr. P. De Groot CIPPE/E’). Een creditkaart staat doorgaans op naam van een natuurlijke persoon, ook als het om zgn. ‘corporate cards’ gaat. En ook rechtbankstukken vermelden vrijwel altijd gegevens over natuurlijke personen, zeker als het gaat om strafrechtelijke dossiers. In al deze gevallen hebben we het zonder twijfel over de verwerking van persoonsgegevens, als bedoeld in artikel 2 lid 1, jo. artikel 1 onderdeel a en b Wbp.

In het vervolg van onze bespreking gaan we er daarom van uit dat brieven, creditkaartgegevens en rechtbankstukken in de regel wél persoonsgegevens bevatten. We willen daarmee niet suggereren dat dit geen aandacht behoeft, maar alleen dat er in verreweg de meeste gevallen wel sprake zal zijn van de verwerking van persoonsgegevens.

2.2 Geautomatiseerde verwerking?

De volgende vraag is dan of er bij de postbezorging, enveloppen en rechtbankstukken sprake is van een ‘geautomatiseerde’ verwerking van persoonsgegevens. Over wat moet worden verstaan onder ‘geautomatiseerd’ is in de parlementaire geschiedenis betrekkelijk weinig te vinden. In de MvT lezen we dat er sprake is van:

‘een geautomatiseerde verwerking (…) indien gebruik wordt gemaakt van middelen en methoden van geautomatiseerde gegevensverwerking’.

Dat is een mooi voorbeeld van een tautologie en brengt ons niet veel verder. Maar erg is dat niet. Want, eerlijk gezegd, uitgaand van de door woordenboeken gegeven begripsomschrijving, is wel duidelijk dat onder ‘geautomatiseerd’ wordt verstaan ‘met behulp van computers’, dat wil zeggen: met behulp van een elektronisch apparaat voor het opslaan en verwerken van gegevens. Daaronder vallen pc’s of iMacs en laptops , en ook smartphones, watches en wearables, settopboxen, wasmachines, auto’s, routers en ieder ander apparaat met een microchip (zgn. ‘geïntegreerde schakeling’ of ‘integrated circuit’) waarmee persoonsgegevens worden verwerkt.

Valt de bezorging van een brief daaronder? Vermoedelijk in veel gevallen niet. Althans, als we uitgaan van een postbezorger die een aan een natuurlijke persoon geadresseerde brief bezorgt. In het depot haalt hij de door hem te bezorgen brieven op. Vervolgens gaat hij te voet of op de fiets bij de adressen langs waar hij de brieven handmatig in de brievenbus duwt. Er is bij deze activiteiten, gelet op de ruime definitie van artikel 1 onderdeel b Wbp, zonder twijfel sprake van de verwerking van persoonsgegevens, maar niet vanzelfsprekend van geautomatiseerde verwerkingen. Verderop in deze bijdrage, in de volgende subparagraaf, bekijken we of we het postbezorgingsproces niet in minder beperkte zin moeten opvatten, met als gevolg dat er wellicht wel sprake kan zijn van een gedeeltelijk geautomatiseerde gegevensverwerking.

Evenmin zal er snel sprake zijn van het gebruik van geautomatiseerde middelen als het gaat om de envelop met creditkaartgegevens en de rechtbankstukken die bij de renovatie van de Rechtbank Amsterdam door bouwvakkers werden ontdekt. In de normale, meest gebruikelijke situatie denken we daarbij aan persoonsgegevens vastgelegd op papieren gegevensdragers, bijeengehouden met een nietje of in een dossiermapje. In die situaties is duidelijk dat er geen geautomatiseerde gegevensverwerkingen aan de orde zijn.

2.3 Geheel of gedeeltelijk geautomatiseerd?

Daarmee zijn we er nog niet. In artikel 2 lid 1 eerste zinsnede Wbp staat niet dat de wet alleen van toepassing is op volledig geautomatiseerde gegevensverwerkingen, maar op ‘geheel of gedeeltelijk geautomatiseerde verwerkingen’. We zouden dan kunnen redeneren dat de handmatig door de postbezorger verrichte handelingen ten behoeve van de postbezorging kunnen worden gekwalificeerd als de niet-geautomatiseerde deel-verwerkingen die deel uitmaken van een gedeeltelijk geautomatiseerde en gedeeltelijk niet-geautomatiseerde verwerking. De gedeeltelijk geautomatiseerde verwerking zou dan bijvoorbeeld kunnen bestaan uit het geheel van alle verwerkingen die verband houden met enerzijds het opstellen van een brief met gebruikmaking van tekstverwerkingsprogrammatuuur (wél een geautomatiseerde verwerking) en anderzijds de bezorging daarvan bij de natuurlijke persoon voor wie de brief is bedoeld (géén geautomatiseerde verwerking).

Overtuigend komt ons deze redenering niet voor. Het is nogal geconstrueerd of willekeurig om op deze wijze verschillende verwerkingsactiviteiten als een verwerking op te vatten, teneinde te kunnen concluderen dat de wet daarop zonder meer van toepassing is. Deze redenering zal al snel ongeloofwaardige uitkomsten hebben. Voor het samenstellen van een papieren telefoonboek of adresgidsje is ongetwijfeld in het productieproces op enig moment gebruikgemaakt van geautomatiseerde middelen. Maar dat brengt niet met zich mee dat de raadpleging van dat telefoonboek of gidsje wordt aangemerkt als een gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, waarop de wet vanzelfsprekend van toepassing is. Andere voorbeelden laten zich gemakkelijk denken. Zou u de controle van een gepersonaliseerd papieren treinkaartje door de conducteur opvatten als een gedeeltelijk geautomatiseerde gegevensverwerking, enkel en alleen omdat u dat treinkaartje op de NS-website heeft aangemaakt en vervolgens heeft uitgeprint?

Ook de wetgever heeft zich dat gerealiseerd. We zien dat allereerst bij de begripsomschrijving van de ‘verwerking’ van artikel 1 onderdeel b Wbp, en de betekenis van het daarbij gebruikte element ‘elk geheel van handelingen met betrekking tot persoonsgegevens’. Voor wat daaronder moet worden verstaan, wordt in de parlementaire geschiedenis uitgegaan van maatschappelijke opvattingen. Het gaat erom of er sprake is van:

‘een bundeling van verwerkingshandelingen die in het maatschappelijk verkeer als een eenheid wordt beschouwd. Dit kan bijvoorbeeld verschillende handelingen in een samenhangende reeks betreffen: de verzameling, de opslag en het gebruik van een bepaald type persoonsgegevens.’[8]

Elders in de MvT wordt ingegaan op de combinatie van geautomatiseerde en niet-geautomatiseerde verwerkingen. Er wordt opgemerkt dat er sprake is van een ‘gedeeltelijk geautomatiseerde verwerking’ als bij de verwerking ook gebruik wordt gemaakt van andere, niet-geautomatiseerde middelen. De scheidslijn tussen een en ander is echter niet altijd gemakkelijk aan te wijzen. De wetgever verzucht dan ook dat:

‘[h]et onderscheid tussen handmatig en geautomatiseerde verwerkte of te verwerken gegevens (…) niet altijd in alle scherpte [is] te maken.’[9]

Er worden vervolgens enkele voorbeelden gegeven van gedeeltelijk geautomatiseerde en gedeeltelijk niet-geautomatiseerde verwerkingen. Van zo een verwerking is wél sprake als het gaat om ‘een handmatig bijgehouden hulpbestand van bron-documenten dat met betrekking tot de geautomatiseerd gevoerde gegevens een bewijsfunctie toekomt’. En voor deze verwerking wordt ervan uitgegaan dat de handmatige verwerkingen onder hetzelfde regime vallen als de op basis daarvan geautomatiseerd verwerkte gegevens. Dit vanwege de onderlinge verwevenheid en de gemeenschappelijke bestemming van de onderscheiden verwerkingen.

De MvT zegt het zo:

‘In de praktijk komt het voor dat een gegeven deels geautomatiseerd wordt gevoerd en deels handmatig wordt bijgehouden. Een handmatig bijgehouden hulpbestand van bron-documenten dat met betrekking tot de geautomatiseerd gevoerde gegevens een bewijsfunctie toekomt, valt onder hetzelfde regime als de op basis daarvan geautomatiseerd verwerkte gegevens. Ook komt het voor dat geautomatiseerd gevoerde gegevens en een handmatige gegevensverzameling onderling zodanig zijn verweven dat zij als één bestand moeten worden aangemerkt, bijvoorbeeld als met behulp van de geautomatiseerd gevoerde gegevens toegang kan worden verkregen tot het handmatige bestand. Er is sprake van één vorm van verwerking van persoonsgegevens als geautomatiseerde en niet geautomatiseerde gegevens een gemeenschappelijke bestemming hebben.’

Het lijkt erop dat de wetgever hier onder andere doelt op gedigitaliseerde back-upbestanden van papieren dossierverzamelingen, maar niet zozeer op het opstellen en vervolgens doen bezorgen van brieven. Vanzelfsprekend is het in elk geval niet dat enerzijds het opstellen van een brief met een tekstverwerkingsprogramma en anderzijds de bezorging van deze brief in het maatschappelijk verkeer als eenheid worden beschouwd, althans niet zodanig zijn verweven dat zij als één verwerking moeten worden aangemerkt. De verwerking van persoonsgegevens om een brief op te stellen betreft een activiteit van andere orde, en heeft ook heel andere gevolgen, dan de gegevensverwerkingen die nodig zijn om een brief te bezorgen. Het éne kan in elk geval heel goed zonder dat het andere gaat gebeuren. In zoverre is er dus geen, of maar een beperkte, verwevenheid of gemeenschappelijke bestemming. En dat betekent dus dat de onderscheiden verwerkingen niet als één verwerking hebben te gelden maar als opeenvolgende verwerkingen. Daarbij sluit goed aan dat in dezelfde parlementaire geschiedenis niet wordt gesproken van een geautomatiseerde gegevensverwerking als het gaat om het gebruik van papieren documenten, ook niet als deze documenten zijn opgesteld met behulp van een computer.

De MvT laat daarover weinig twijfel bestaan:

‘[p]apieren documenten die gedrukt zijn op een faxapparaat of met behulp van een personal computer, vallen, indien zij persoonsgegevens bevatten, onder de voorschriften die van toepassing zijn op de niet-geautomatiseerde verwerking van persoonsgegevens.’[10]

De wetgever is dus in dit geval niet geneigd om de verschillende geautomatiseerde en niet-geautomatiseerde verwerkingen tezamen als één verwerking op te vatten. Onbegrijpelijk is dat niet, al was het maar omdat de wet niet zonder reden ook een regeling bevat voor de toepassing op niet-geautomatiseerde gegevensverwerkingen. Een heel ruime uitleg van het begrip ‘geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens’ verhoudt zich immers slecht met de systematiek van artikel 2 lid 1 Wbp en de regeling die daarin is getroffen voor de niet-geautomatiseerde verwerking van persoonsgegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. De betekenis van de regeling voor bestanden zou anders wel heel marginaal zijn.

Er moet dus onderscheid worden gemaakt naar enerzijds de gegevensverwerkingen ten behoeve van het opstellen van een brief en anderzijds de handelingen die nodig zijn voor de bezorging ervan. Een andere, volgende vraag is dan of er mogelijk bij de postbezorging sprake is van een gedeeltelijk geautomatiseerde gegevensverwerking. Deze vraag is meer feitelijk van aard. Voor de grotere postbezorgers, zoals bijvoorbeeld PostNL en Sandd, is duidelijk dat er bij het sorteren en de distributie van de post gebruik wordt gemaakt van geautomatiseerde middelen: de post wordt gescand en met geautomatiseerde procedés gesorteerd. En afhankelijk van de geleverde dienst, is er soms ook sprake van ‘track-and-trace’, waarvoor ook gebruik wordt gemaakt van geautomatiseerde middelen. In dergelijke situaties ligt dus voor de hand om, gelet op de verwevenheid van de onderscheiden geautomatiseerde en niet-geautomatiseerde verwerkingen, wel uit te gaan van een gedeeltelijk geautomatiseerde gegevensverwerking, waarop de wet wel zonder meer van toepassing is.

Voor de vele kleinere postvervoerders of koeriersbedrijven kan dat echter anders liggen. Voor een postvervoerder die binnen een gemeente de post bezorgt ligt minder voor de hand om te investeren in geautomatiseerde sorteermachines. Hetzelfde geldt voor een koeriersbedrijf dat voor advocatenkantoren processtukken bezorgt bij de rechtbank of wederpartijen. Voor dergelijke activiteiten kan, menen wij, niet snel worden gezegd dat er sprake is van gedeeltelijk geautomatiseerde gegevensverwerkingen, waarop de wet zonder meer van toepassing is.

2.4 De verkeerd bezorgde of zoekgeraakte brief? De envelop met creditkaartgegevens en vuilniszakken met rechtbankstukken?

Wat betekent het voorgaande voor de verkeerd bezorgde of zoekgeraakte brief? Of voor de envelop met creditkaartgegevens en de vuilniszak met rechtbankstukken? We lopen de verschillende gevallen af.

De verkeerd bezorgde of zoekgeraakte brief

Voor de verkeerd bezorgde brief kunnen we, uitgaand van de in de parlementaire geschiedenis genoemde criteria, vaststellen dat er enerzijds bij de geautomatiseerde sorteermachines en anderzijds de handmatige postbezorging wel sprake is van een zodanige verwevenheid dat er wel kan worden gesproken van een gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. In het geval van de verkeerd bezorgde of zoekgeraakte brief zal er dan dus eerder wél sprake zijn van een datalek, als het gaat om postvervoerders die gebruikmaken van geautomatiseerde sorteermachines. Echter, van een datalek zal veel minder snel sprake zijn als het gaat om de vele kleinere postvervoerders of koeriersbedrijven die geen gebruik maken van geautomatiseerde middelen.

Een envelop met creditkaartgegevens en vuilniszakken met rechtbankdossiers

Voor een envelop met creditkaartgegevens en vuilniszakken met rechtbankstukken ligt niet voor de hand dat de wet om deze reden daarop van toepassing is. Voor de verwerking van de daarin opgenomen gegevens is er niet, althans niet zoals bij de postbezorging, sprake van gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens. En zelfs als de A4’tjes met creditkaartgegevens of de rechtbankstukken zijn samengesteld met behulp van tekstverwerkingsprogrammatuur, dan nog leidt dat er niet toe dat er kan worden gesproken van een gedeeltelijk geautomatiseerde gegevensverwerking. Voor de incidenten met de op deze papieren gegevensdragers vastgelegde persoonsgegevens moeten we daarom bezien in hoeverre er sprake is van een niet-geautomatiseerde gegevensverwerking waarop de wet, gelet op artikel 2 lid 1 tweede zinsnede Wbp, van toepassing is. Dat doen we in de volgende paragraaf, die gaat over het bestand als bedoeld in artikel 1 onderdeel c Wbp.

3 Een niet-geautomatiseerde verwerking van persoonsgegevens opgenomen in een bestand?

Als er geen sprake is van een geheel of gedeeltelijk geautomatiseerde gegevensverwerking, kan de wet ook van toepassing zijn op de verwerking van persoonsgegevens die zijn opgenomen in een bestand of die zijn bestemd om daarin te worden opgenomen. De te beantwoorden vraag is dan of een brief, envelop of vuilniszak moet worden aangemerkt als bestand. Of eigenlijk: of de daarin opgenomen gegevens zijn opgenomen in zo een bestand of bestemd zijn om daarin te worden opgenomen.

Wat is een bestand? Een bestand wordt in artikel 1 onderdeel c Wbp gedefinieerd als een ‘gestructureerd geheel van persoonsgegevens (…) dat volgens bepaalde criteria toegankelijk is en betrekking heeft op verschillende personen’. Daarbij maakt het niet uit of dit geheel van gegevens gecentraliseerd is of verspreid is op een functioneel of geografisch bepaalde wijze. Onderscheidend criterium is dus allereerst de structuur die is aangebracht in het geheel van persoonsgegevens en de toegankelijkheid van de gegevens volgens bepaalde criteria. In aanvulling daarop is uiteraard ook van belang dat de wet vereist dat een bestand betrekking moet hebben op verschillende personen.[11] We bespreken een en ander en beginnen met het laatste criterium, omdat dit het eenvoudigst toe te passen lijkt. Daarna gaan we in op het eerste criterium of vereiste, dat betrekking heeft op de mate van structuur die is aangebracht in een bestand.

3.1 Op verschillende personen betrekking hebbende

Er kan alleen sprake zijn van een bestand als daarin persoonsgegevens zijn opgenomen, of in opgenomen gaan worden, als die persoonsgegevens betrekking hebben op verschillende natuurlijke personen. In de Wbp is de Nederlandse wetgever met dit vereiste bewust afgeweken van de tekst van de richtlijn, die daartoe ook nadrukkelijk ruimte laat – dit om de aansluiting te bewaren met de voorloper van de Wbp, zijnde de Wet persoonsregistraties (Stb. 1989, 281).[12]

Daarmee kunnen we meteen al vaststellen dat er, in termen van de Wbp,[13] geen sprake is van een bestand als er in een brief, envelop of vuilniszak slechts gegevens zijn opgenomen over één natuurlijke persoon. En daarmee is ook duidelijk dat er geen sprake zal zijn van een datalek als het gaat om een zoekgeraakte brief die door een fietskoerier wordt bezorgd en waarin alleen gegevens zijn opgenomen over één natuurlijke persoon. Als zo een brief bij de verkeerde persoon wordt afgegeven is dat onzorgvuldig en mogelijk op te vatten als niet-nakoming van de vervoersovereenkomst, maar een inbreuk op de beveiliging van persoonsgegevens in de zin van artikel 34a lid 1 of 2 Wbp is het niet. Hetzelfde geldt voor de envelop met de creditkaartgegevens van één enkele kaarthouder of de vuilniszak met stukken waarin alleen gegevens zijn opgenomen over één enkele verdachte, zonder vermelding van persoonsgegevens over rechters, getuigen, deskundigen enz. Dit laatste zal een nogal onwaarschijnlijk geval zijn. In het vervolg van onze analyse gaan we ook daarom ervan uit dat er wel sprake is van gegevens over verschillende geïdentificeerde of identificeerbare natuurlijke personen.

3.2 Een gestructureerd geheel, volgens bepaalde criteria toegankelijk

Een bestand in de zin van artikel 1 onderdeel c Wbp moet verder een ‘gestructureerd geheel van persoonsgegevens’ betreffen dat ‘volgens bepaalde criteria toegankelijk is’. Wat betekent dat? Uit de parlementaire geschiedenis blijkt dat er sprake moet zijn van een structuur die verdergaat dan zuiver chronologisch of zuiver alfabetisch. Het moet gaat om een gegevens­verzameling die ‘met het oog op doeltreffende raadpleging volgens bepaalde criteria [is] aangelegd’ en waarvan de daarin opgenomen persoonsgegevens ‘[d]oor de systematische structuur gemakkelijk toegankelijk zijn’.

Voorbeelden zijn:

‘kaartsystemen en gegevensverzamelingen die in hoofdzaak bestaan uit voorbedrukte formulieren’, evenals ‘dossierverzamelingen (…) in combinatie met een al dan niet geautomatiseerd bestand met een verwijsfunctie naar de dossiers’.[14]

Voor de beantwoording van de vraag of er sprake is van een bestand komt dan ook overwegende betekenis toe aan de maatregelen die zijn genomen:

‘(…) met het oog op een systematische ontsluiting van in het bestand opgenomen gegevens. Het kan hierbij gaan om een systematische opbouw van de dossiers volgens een vaste structuur die de toegang tot de inhoud van de dossiers gemakkelijk maakt of om het gebruik van een geautomatiseerde index ter ontsluiting van die dossiers. (…) Dossiers waarbij dergelijke maatregelen niet zijn genomen, vallen niet onder (…) de Wbp. Hieraan doet geen afbreuk dat de dossiers volgens een enkel criterium, bijvoorbeeld alfabetisch of op datum van binnenkomst worden opgeborgen.’[15]

De laatste zin uit de aangehaalde tekst maakt duidelijk dat we niet te snel ervan kunnen uitgaan dat een verzameling van papieren documenten voldoende gestructureerd is om als bestand te worden aangemerkt. Het is in elk geval onvoldoende om de gegevens op te bergen op volgorde van ontvangst of alfabetisch te rubriceren naar verzender of ontvanger.[16]

Er is over het bestandbegrip nogal wat rechtspraak. Vaak ging het daarbij om de reikwijdte van op artikel 35 lid 1 Wbp gebaseerde inzageverzoeken. Een voorbeeld waarin, uitgaand van voornoemde criteria, in de rechtspraak werd geoordeeld dat er wél sprake was van een bestand in de zin van de wet betrof het geval van een analoge geluidsband met opnames van telefoongesprekken, waarbij er een overzicht beschikbaar was waaruit bleek op welke tijdstippen de verschillende gesprekken waren begonnen en geëindigd. Dit overzicht voorzag in de voor een bestand vereiste structuur en mogelijkheid van systematische raadpleging.[17]

Een ander, en voor onze analyse belangrijker voorbeeld betreft het zwartboek dat niet was opgeborgen in een dossierkast maar in een afzonderlijke bureaulade, en dat dus geen deel uitmaakte van een gestructureerde dossierverzameling. Om deze reden werd dit zwartboek niet aangemerkt als bestand in de zin van de wet. Overwogen werd daarbij dat het enkele feit dat het dossier chronologisch is geordend, ook niet tot de conclusie kan leiden dat sprake is van een gestructureerd geheel van persoonsgegevens dat volgens bepaalde criteria toegankelijk is.[18]

Een boek is als zodanig nog geen bestand. Echter, volgens de voorzieningenrechter van de Rechtbank Amsterdam kan een boek door toevoeging van een persoonsregister wel worden aangemerkt als bestand. In het licht van de zo-even besproken parlementaire geschiedenis en rechtspraak zal het dan wél moeten gaan om een register dat verschillende ingangen biedt en dat aldus door de aangebrachte systematische structuur de desbetreffende gegevens gemakkelijk toegankelijk maakt.[19]

3.3 Opnieuw: de verkeerd bezorgde of zoekgeraakte brief, een envelop met creditkaartgegevens en vuilniszakken met rechtbankstukken?

Wat betekent het voorgaande voor het geval waarin een brief door de postbezorger op het verkeerde adres wordt bezorgd of om andere reden is zoekgeraakt? En wat valt er te zeggen over de envelop met creditkaartgegevens en de vuilniszak met rechtbankstukken? We bespreken weer de verschillende gevallen.

De verkeerd bezorgde of zoekgeraakte brief

Het komt ons voor dat alleen in betrekkelijk uitzonderlijke situaties kan worden aangenomen dat een brief op zichzelf een bestand in de zin van artikel 1 onderdeel c Wbp betreft, of dat de in een brief vermelde persoonsgegevens bestemd zijn om te worden opgenomen in zo een bestand. Er kan mogelijk, en dan wel met enige moeite, worden volgehouden dat veel van de correspondentie in een zakelijke omgeving doorgaans is bestemd om te worden opgenomen in een bestand, als deze correspondentie inderdaad bedoeld is om te worden opgenomen in een dossierverzameling waarin een structuur is aangebracht die de systematische toegang tot de inhoud van de dossiers vergemakkelijkt. En dan vervolgens, als ook nog is voldaan aan het vereiste dat er sprake is van gegevens over verschillende natuurlijke personen, kan worden aangenomen dat de wet daarop van toepassing is. In dat geval kan zo een zakelijke brief, als die verkeerd is bezorgd of is zoekgeraakt, een datalek opleveren dat moet worden gemeld als ook is voldaan aan de overige voorwaarden van artikel 34a lid 1 en 2 Wbp.

Voor de correspondentie die niet volledig in een zakelijke omgeving plaatsvindt is dat maar de vraag. We kunnen ons vergissen natuurlijk, maar vermoeden dat het voor veel consumenten allerminst voor de hand ligt om de door hen ontvangen brieven, ook als de inhoud daarvan voor hen belangrijk is, op een zodanige gestructureerde wijze te bewaren dat kan worden gesproken van een bestand in de zin van de wet. We vermoeden dat de meeste consumenten met zo een brief niet veel meer doen dan deze in min of meer chronologische volgorde te bewaren in een schoenendoos of ordner. Wij vragen ons dan ook af in hoeverre kan worden aangenomen dat de wet überhaupt van toepassing is daarop. En daarmee is het wat ons betreft ook nog maar de vraag of er, in het geval dat een aan een consument gerichte brief verkeerd wordt bezorgd of zoekraakt, sprake is van een datalek dat door de verzender op grond van artikel 34a lid 1 Wbp moet worden gemeld. Het hangt er, zoals vrijwel altijd als het gaat om privacy- of gegevensbescherming, maar vanaf. Maar heel erg waarschijnlijk lijkt het ons niet.[20]

De envelop met creditkaartgegevens en vuilniszakken met rechtbankdossiers

Voor de envelop met creditkaartgegevens en vuilniszakken met rechtbankdossiers moeten we nog meer kijken naar wat juristen gewoonlijk aanduiden als ‘de omstandigheden van het geval’. Een verzameling van A4’tjes met daarop een lijst van creditkaartnummers, gegevens van kaarthouders en wellicht vervaldatum of Card Verification Value-codes (CVV) zal, vermoeden wij, niet zodanig door de systematisch structuur gemakkelijk toegankelijk zijn dat kan worden gesproken van een bestand. De gegevens zullen doorgaans slechts volgens een enkel criterium geordend zijn, wellicht alfabetisch op achternaam van de kaarthouder, en dat is volgens de wetgever onvoldoende. Dat kan anders zijn als er is voorzien in de een of andere, al dan niet geautomatiseerde verwijsindex. Maar dat is niet het beeld dat wij hebben als er wordt gesproken over een envelop met creditkaartgegevens. Onze conclusie is dan ook dat de envelop met creditkaartgegevens niet snel kwalificeert als bestand in de zin van de wet. En dat de Wbp daarop dus niet van toepassing is, zodat er meestal evenmin sprake kan zijn van een meldplichtig datalek.

Ook voor de vuilniszak met rechtbankstukken hangt het af van allerlei feitelijkheden of omstandigheden van het geval. Als de stukken door bouwvakkers zijn aangetroffen in een dossierkast, keurig geordend en voorzien van verwijsindex of een zoek- of selectiemethodiek, en vervolgens door hen in vuilniszakken zijn gepropt, kan worden gesproken van een bestand. In dat geval is de wet daarop van toepassing en zal er ook sprake zijn van een meldplichtig datalek. Dat zal anders zijn als de stukken door deze bouwvakkers zijn aangetroffen in vuilniszakken, die in een vuilcontainer zijn gegooid. In dat geval zal er waarschijnlijk geen sprake meer zijn van enige betekenisvolle ordening of systematische toegankelijkheid. En dan is er dus geen sprake van een bestand of gegevens die bestemd zijn om te worden opgenomen in een bestand, zodat er evenmin sprake kan zijn van een datalek dat op grond van artikel 34a lid 1 en 2 Wbp, door de rechtbank moet worden gemeld aan de AP en eventueel de desbetreffende betrokkenen.

4 Afsluiting

We vatten een en ander samen en komen tot een afsluiting. Als er bij de postbezorging gebruik wordt gemaakt van geautomatiseerde middelen, bijvoorbeeld in een sorteercentrum waar adressen worden gescand en automatisch worden gesorteerd en gedistribueerd, is er sprake van een gedeeltelijk geautomatiseerde verwerking van persoonsgegevens. En als er vervolgens bij deze verwerkingen wat misgaat waardoor een brief verkeerd wordt bezorgd of zoekraakt, kan er inderdaad sprake zijn van een datalek dat mogelijk op grond van artikel 34a lid 1 en 2 Wbp, moet worden gemeld. Een dergelijke situatie zal zich kunnen voordoen bij de grotere postvervoerders, die gebruikmaken van geautomatiseerde sorteer- en distributiecentra.

Voor kleinere postvervoerders die daarvan geen gebruik maken zal dat anders liggen. Op de brieven die worden bezorgd door zo een (niet-geautomatiseerde) postvervoerder zal de wet alleen van toepassing kunnen zijn als de brief op zichzelf kan worden aangemerkt als een bestand, of daarvan deel uitmaakt of bestemd is om daarvan deel uit te maken. Een vereiste is dan allereerst dat in deze brief persoonsgegevens zijn opgenomen over verschillende personen. Verder moet er sprake zijn van een zekere structuur en systematische toegankelijkheid van deze persoonsgegevens. Een en ander brengt volgens ons met zich dat veel brieven die naar consumenten worden verstuurd niet vanzelfsprekend als datalek kwalificeren. Voor de gemeente die gebruikmaakt van een niet-geautomatiseerde lokale postvervoerder, zal een verkeerd bezorgde of zoekgeraakte brief meestal niet als datalek in de zin van de wet kwalificeren.

Als we praten over een envelop met creditkaartgegevens of vuilniszakken met rechtbankstukken, zal er meestal, vanwege het ontbreken van voldoende structuur of systematische toegankelijkheid, geen sprake zijn van de verwerking van persoonsgegevens die in een bestand zijn opgenomen of daartoe zijn bestemd. De wet is dan niet van toepassing. En er zal dan ook geen sprake zijn van een datalek dat op grond van artikel 34a lid 1 of 2 Wbp moet worden gemeld. Onder omstandigheden kan dat natuurlijk anders zijn. Een envelop met creditkaartgegevens, met daarbij een verwijsindex of personenregister of een ordening die verdergaat dan alleen alfabetisch of chronologisch, kan mogelijk wel als bestand worden opgevat. Ook een dossierkast in een rechtbank, waar bouwvakkers tegenaan lopen bij renovatiewerkzaamheden, zal doorgaans wel kwalificeren als een bestand. En als de rechtbankstukken vervolgens in vuilniszakken worden gedaan en afgeleverd worden bij een landelijk dagblad, is er wel sprake van een datalek. 

Een interessante vraag waar wij in elk geval nog niet helemaal over uit zijn is of er ook sprake is van een datalek, als enerzijds de wet van toepassing is omdat er sprake is van gedeeltelijk geautomatiseerde verwerking, terwijl anderzijds het datalek het gevolg is van iets dat is misgegaan in het niet-geautomatiseerde deel van de verwerking – een voorbeeld zou de brief zijn die op juiste wijze in het geautomatiseerde sorteercentrum is verwerkt en die vervolgens door een menselijke fout van de postbezorger in de verkeerde brievenbus wordt gedaan. Het komt ons vooralsnog niet heel onlogisch voor dat er in een dergelijke situatie géén sprake is van een datalek, al was het maar omdat het niet goed uit te leggen is dat exact dezelfde menselijke fout van de postbezorger in het éne geval wél, en in het andere geval niet, kan leiden tot een datalek.

5 Eindnoten

1. Zie resp. Kamerstukken II 2012/13, 33662, 3, p. 17; 5, p. 12; 6, p. 29 en Autoriteit persoonsgegevens, Factsheet facts & figures meldplicht datalekken 2016, februari 2017.

2. Autoriteit persoonsgegevens, Beleidsregels meldplicht datalekken 2015, 8 december 2015.

3. Autoriteit persoonsgegevens, Beleidsregels meldplicht datalekken 2015, par. 4.2, p. 25-26.

4. Zie resp. Autoriteit persoonsgegevens, Factsheet facts & figures meldplicht datalekken 2016, februari 2017 en Autoriteit persoonsgegevens, Datalekken bij grootschalige postzendingen, bijlage bij brief d.d. 23 februari 2017; deze brief is (nog) niet bekendgemaakt op de AP-website, maar wij verwachten dat de toezichthouder medio mei beslist op het WOB-verzoek dat wij daartoe indienden.

5. Bart Mos, ‘Geheime rechtbankdossiers bij oud vuil’ en ‘Autoriteit Persoonsgegevens start onderzoek naar datalek’, De Telegraaf 10 februari 2017.

6. Autoriteit persoonsgegevens, Beleidsregels meldplicht datalekken 2015, par. 1.3, p. 13-15.

7. Er zijn beperkingen aan de omvang van de in dit tijdschrift op te nemen bijdragen. Daarom gaan wij vooralsnog voorbij aan de vraag of gebruik kan worden gemaakt van een van de uitzonderingen van artikel 2 lid 2 en 3 of artikel 3 Wbp. In de praktijk zal daarvan vooral betekenis toekomen aan de uitzondering voor activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden van artikel 2 lid 2 onderdeel a Wbp.

8. Kamerstukken II 1997/98, 25892, 3, p. 51.

9. Kamerstukken II 1997/98, 25892, 3, p. 69.

10. Kamerstukken II 1997/98, 25892, 3, p. 60.

11. Kamerstukken II 1997/98, 25892, 3, p. 54 en daarover G-J. Zwenne e.a., Eerste fase evaluatie Wet bescherming persoonsgegevens. Literatuuronderzoek en knelpuntenanalyse, Den Haag: WODC/Ministerie van Justitie 2007, p. 43; zie ook Conclusie A-G D.W.F. Verkade bij HR 3 juni 2005, ECLI:NL:HR:2005:AT1093 (Zwartboek).

12. Zie Kamerstukken II 1997/98, 25892, 3, p. 52; Kamerstukken II 1998/99, 25892, 8, p. 1 en daarover G-J. Zwenne e.a., Eerste fase evaluatie Wet bescherming persoonsgegevens. Literatuuronderzoek en knelpuntenanalyse, Den Haag: WODC/Ministerie van Justitie 2007, p. 43.

13. Onder de AVG verandert dit. In artikel 4 onderdeel 6 AVG staat niet meer het vereiste dat een bestand betrekking heeft op verschillende personen.

14. Kamerstukken II 1997/98, 25892, 3, p. 54.

15. Kamerstukken II 1997/98, 25892, 3, p. 2.

16. Kamerstukken II 1997/98, 25892, 3, p. 1.

17. HR 29 juni 2007, ECLI:NL:HR:2007:AZ4663 (Dexia). Zie daarover G-J. Zwenne, ‘Nogmaals de WBP en de winstverdubbelaar’, Computerrecht 2007/172, p. 274-279.

18. HR 3 juni 2005, ECLI:NL:HR:2005:AT1093 (Zwartboek).

19. Rb. Amsterdam (vzr.) 23 oktober 2012, ECLI:NL:RBAMS:2012:BY0934; zie verder ook ABRvS 16 juli 2014, ECLI:NL:RVS:2014:2594.

20. In het geval een consument een brief verstuurt zal er vaak ook sprake zijn van ‘activiteiten met uitsluitend persoonlijke of huishoudelijke doeleinden’, waarop de wet op grond van artikel 2 lid 2 onderdeel a Wbp niet van toepassing is.

Titel, auteur en bron

Titel

Over verkeerd bezorgde brieven, een envelop met creditkaartgegevens en vuilniszakken met rechtbankdossiers

Auteur(s)

Gerrit-Jan Zwenne
Paul de Groot

Bron

Privacy & Informatie, P&I 2018/105, Uitgeverij Paris

Permanente link

Huidige versie

https://www.openrecht.nl?jcdi=JCDI:ALT206:1