Einde inhoudsopgave
Het onderzoek in de enquêteprocedure (VDHI nr. 145) 2017/6.3.5.6
6.3.5.6 Wet bescherming persoonsgegevens
mr. drs. R.M. Hermans, datum 01-11-2017
- Datum
01-11-2017
- Auteur
mr. drs. R.M. Hermans
- JCDI
JCDI:ADS459097:1
- Vakgebied(en)
Ondernemingsrecht / Rechtspersonenrecht
Voetnoten
Voetnoten
Wet van 6 juli 2000 houdende regels inzake de bescherming van persoonsgegevens, Stb. 2000, 302. De Wbp wordt per 25 mei 2018 vervangen door Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119), hierna af te korten als: ‘AVG’. Vgl. over de AVG De Jong 2015; De Vries & Goudsmit 2016 met verdere verwijzingen.
HR 9 september 2011, NJ 2011/595, m.nt. E.J. Dommering (Santander/X.), r.o. 3.3 (a).
Registratiekamer 19 juni 1999, cbpweb.nl. OK 6 november 2013, JOR 2014/7, m.nt. C.D.J. Bulten (Ageas (voorheen Fortis)); OK 15 december 2011, ARO 2012/9 (Landis).
Artikel 2 lid 1 Wbp. Vgl. artikel 4(9) AVG.
R-C OK 23 april 2015, ARO 2015/124 (Xeikon).
De natuurlijke persoon, rechtspersoon of ieder ander die of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt: zie artikel 1, aanhef en sub d Wbp. Dit is de rechtspersoon als deze persoonsgegevens aan de onderzoekers ter beschikking stelt. Vgl. artikel 9(7) AVG.
HR 9 september 2011, NJ 2011/595, m.nt. E.J. Dommering (Santander/X.), r.o. 3.3 (c). Vgl. artikel6(4) jo. 23 AVG.
De rechtspersoon doet er verstandig aan die instemming schriftelijk vast te leggen.
Zie § 6.4.
HR 9 september 2011, NJ 2011/595, m.nt. E.J. Dommering (Santander/X.), r.o. 3.3 (e). Vgl. artikel7(4) AVG.
Ik meen dat die verplichting bestaat. Zie § 6.1.1.
De rechtspersoon mag opkomen voor de privacybelangen van zijn werknemers. Vgl. HR 31 maart 2017, JAR 2017/115, m.nt. L.J. de Laat (Rabobank/Stichting Restschuld Eerlijk Delen c.s.), r.o. 3.4.3-3.4.4. Ik meen dat de rechtspersoon niet alleen mag opkomen voor de privacybelangen van zijn werknemers, maar ook van zijn (voormalige) bestuurders en commissarissen.
Dit kan ook voor zakelijke e-mails het geval zijn. Te denken valt bijvoorbeeld aan een bestuurder die commissaris is bij een andere, niet-gelieerde rechtspersoon.
Zie § 6.4.5.
Artikel 27 Wbp. Deze verplichting verdwijnt in de AVG. In de plaats daarvan rusten op de verwerker rechtstreeks bepaalde verplichtingen.
Artikel 14 Wbp. Vgl. artikel 28 AVG.
R-C OK 23 april 2015, ARO 2015/124 (Xeikon).
Uit de beschikking wordt niet duidelijk wat hun functie is.
De onderzoekers moeten bij de uitoefening van hun bevoegdheden rekening houden met het feit dat de rechtspersoon gebonden is aan wettelijke beperkingen die meebrengen dat hij niet, of niet volledig, of niet zonder meer, mag voldoen aan een verzoek van de onderzoekers tot raadpleging van boeken en bescheiden en andere gegevensdragers. In het bijzonder zal de rechtspersoon rekening moeten houden met het bepaalde in de Wet bescherming persoonsgegevens (“Wbp”).1 Strekking van de Wbp is het beschermen van de persoonlijke levenssfeer van natuurlijke personen in verband met de verwerking van hun persoonsgegevens en het vrije verkeer van die gegevens. De Wbp moet conform artikel 8 EVRM worden uitgelegd.2 Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.3 Persoonsgegevens die voor de onderzoekers potentieel relevant zijn, zijn bijvoorbeeld de e-mailboxen en documenten van de bestuurders, eventuele commissarissen en sommige werknemers van de rechtspersoon. Deze bevatten immers gegevens die herleidbaar zijn tot een natuurlijk persoon, zoals de naam en contactgegevens van de verzender en ontvanger en persoonsgegevens die overigens in de e-mails zijn opgenomen.4 Hetzelfde zou voor andere documenten kunnen gelden die de onderzoekers willen raadplegen.
Het begrip ‘verwerken van persoonsgegevens’ is zeer ruim. Daaronder valt elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.5 Als de rechtspersoon persoonsgegevens verstrekt aan de onderzoekers, verwerkt hij persoonsgegevens, waardoor zij het bepaalde in de Wbp in acht moeten nemen.6 In de Fortis-enquête hebben de onderzoekers de e-mailboxen opgevraagd. Hetzelfde heeft de onderzoeker in de Xeikon-enquête gedaan, hetgeen heeft geleid tot de aan het eind van deze paragraaf te bespreken beschikking van de raadsheer-commissaris.7
Artikel 8 Wbp bepaalt limitatief in welke situaties persoonsgegevens mogen worden verwerkt, waarvan er in dit verband twee relevant zijn. Verwerking van persoonsgegevens is in de eerste plaats toegestaan indien de betrokkene8 voor de verwerking zijn ondubbelzinnige toestemming heeft verleend.9 Verder is gegevensverwerking toegestaan indien deze noodzakelijk is om een wettelijke verplichting na te komen waaraan de verantwoordelijke10 onderworpen is.11 Hierbij moet echter in alle gevallen een toetsing op proportionaliteit en subsidiariteit van de verwerking plaatsvinden, hetgeen een concrete belangenafweging met zich brengt.12
Als de onderzoekers de rechtspersoon vragen om afgifte van een e-mailbox van natuurlijke personen die is opgeslagen op de servers van de rechtspersoon, kan de rechtspersoon een (elektronische) kopie daarvan aan de onderzoekers verstrekken indien de betrokken natuurlijke persoon daarmee desgevraagd ondubbelzinnig heeft ingestemd.13 Uit de strekking van de Wbp vloeit voort dat degenen die verplicht zijn de onderzoekers inlichtingen te verschaffen,14 niet gehouden zijn om met afgifte van hun e-mailbox aan de onderzoekers in te stemmen. Zij zijn evenmin gehouden aan de rechtspersoon of de onderzoekers te verantwoorden waarom zij instemming weigeren. Zij kunnen een gerechtvaardigd belang hebben om niet in te stemmen, bijvoorbeeld als zich ook privé-e-mails in de e-mailbox bevinden. Zelfs als de betrokkene toestemming heeft gegeven, ontslaat dit de onderzoekers niet zonder meer van de voornoemde belangenafweging.15
Nog afgezien van de vraag of de algemene plicht om mee te werken aan het onderzoek16 behalve op de rechtspersoon ook rust op de (voormalige) functionarissen van de rechtspersoon, meen ik dat die medewerkingsplicht niet zo ver strekt dat deze functionarissen verplicht zijn om afstand te doen van de fundamentele rechten die de Wbp hun toekent. Een eventuele weigering om mee te werken kan en mag hun ook niet worden aangerekend. Ik ben het dan ook niet eens met de aan het eind van deze paragraaf te bespreken beschikking van de raadsheer-commissaris in de Xeikon- zaak.
Ook zonder instemming van de betrokkenen kan de rechtspersoon hun e-mailboxen aan de onderzoekers ter beschikking stellen, namelijk indien dit noodzakelijk is om een wettelijke verplichting na te komen waaraan hij is onderworpen. Het bepaalde in artikel 2:351 lid 1 BW is uiteraard een wettelijke verplichting waaraan de rechtspersoon is onderworpen. Dat brengt echter niet mee dat de rechtspersoon zonder meer de gevraagde e-mailboxen integraal aan de onderzoekers mag verstrekken. Het inzagerecht van de onderzoekers is immers beperkt. Voor zover de rechtspersoon op een of meer van die beperkingen een beroep kan doen is er geen sprake van een wettelijke verplichting en hoeft hij de gevraagde persoonsgegevens niet aan de onderzoekers te verstrekken.17 De rechtspersoon zal zich een eigen oordeel moeten vormen over de rechtmatigheid, en meer in het bijzonder over de evenredigheid van het verzoek tot inzage, en zal zich niet zonder meer achter het verzoek van de onderzoekers kunnen verschuilen. Het is in ieder geval niet goed denkbaar dat de onderzoekers zonder ondubbelzinnige toestemming van de (voormalige) functionarissen van de rechtspersoon inzage kunnen krijgen in de volledige e-mailboxen van die functionarissen. Het valt immers niet in te zien dat de onderzoekers voor het onderzoek toegang zouden moeten hebben tot de volledige e-mailboxen van deze functionarissen. E-mails met bijvoorbeeld een privékarakter zijn voor het onderzoek evident irrelevant.18 De rechtspersoon zal die niet mogen verstrekken. Dit betekent dat de rechtspersoon de (voormalige) functionarissen wier e-mailboxen door de onderzoekers worden opgevraagd, in de gelegenheid zal moeten stellen deze e-mails te identificeren, zodat zij kunnen worden verwijderd uit het bestand dat aan de onderzoekers ter beschikking wordt gesteld. Eventueel zou het schonen van e-mailboxen ook door de rechtspersoon zelf kunnen gebeuren.19 Omdat de rechtspersoon niet gehouden is aan de onderzoekers e-mails en andere documenten ter beschikking te stellen waarop een verschoningsrecht rust,20 heeft de rechtspersoon bij die schoning ook een ander belang.
Er is een aantal verplichtingen waaraan de rechtspersoon zich zal moeten houden voordat deze de geschoonde e-mailboxen aan de onderzoekers ter beschikking kan stellen. In de eerste plaats zal hij de persoonsgegevens niet aan de onderzoekers mogen verstrekken voordat het voornemen daartoe is gemeld aan het College bescherming persoonsgegevens of een door de rechtspersoon overeenkomstig artikel 62 Wbp aangewezen functionaris voor de gegevensbescherming.21 In de tweede plaats zal de rechtspersoon op grond van artikel 33 en 34 Wbp uiterlijk op het moment dat de betrokken e-mailboxen aan de onderzoekers worden verschaft, de betrokkene van (de doeleinden van) de gegevensverstrekking op de hoogte moeten stellen, tenzij de betrokkene daarvan al op de hoogte is. In de derde plaats zullen de onderzoekers, als zij de elektronisch verzamelde gegevens door een derde laten verwerken, een overeenkomst moeten sluiten waarin gewaarborgd wordt dat de gegevens voldoende zijn beveiligd.22 De onderzoekers zullen de rechtspersoon desgevraagd een afschrift van die overeenkomst moeten verstrekken, opdat hij zich ervan kan vergewissen dat aan de uit de Wbp voortvloeiende verplichtingen is voldaan.
Uit dit alles mag duidelijk zijn dat er veel haken en ogen zijn verbonden aan het inzien door de onderzoekers van de e-mailboxen van (voormalige) functionarissen van de rechtspersoon en dat de behandeling van een verzoek daartoe van de rechtspersoon en zijn (voormalige) functionarissen veel tijd en inspanning vergt. Mede gezien de ervaringen uit het verleden dat onderzoekers ook zonder het toepassen van forensische onderzoeksmethoden zeer wel in staat zijn om het onderzoek te verrichten, denk ik dat toepassing van deze onderzoeksmethoden, uitzonderingen daargelaten, de toets aan het evenredigheidsbeginsel niet zal kunnen doorstaan.
De eerste zaak waarbij een rechtspersoon een beroep op de Wbp heeft gedaan, heeft geleid tot een beschikking van de raadsheer-commissaris in de Xeikon-zaak.23 In deze beschikking verwierp de raadsheer-commissaris de argumenten die Xeikon met betrekking tot de e-mailboxen meende te kunnen ontlenen aan de Wbp. De raadsheer-commissaris overwoog dat, reeds gelet op de door de onderzoeker geformuleerde beperking tot een paar met name genoemde transacties, het feit dat betrokkenen op de voet van artikel 2:351 lid 1 BW verplicht zijn aan een onderzoek mee te werken en het belang dat gediend is bij het verkrijgen van opening van zaken, de Wbp zich niet verzette tegen de verstrekking aan de onderzoeker van bepaalde notulen van vergaderingen en de e-mailboxen van de drie betrokkenen.24 Met deze beslissing ben ik het niet eens. De strekking van de Wbp kan niet uit artikel 2:351lid 1 BW worden afgeleid, maar alleen uit de Wbp zelf. Ik verwijs naar hetgeen ik hiervoor in deze paragraaf over de verhouding tussen de medewerkingsplicht en de Wbp heb geschreven.
Voorafgaand aan diens in de vorige alinea besproken overweging had de raadsheer- commissaris al overwogen dat het evident is dat de inhoud van (onder meer) de e-mailboxen relevant zou kunnen zijn voor het onderzoek en het dus alleszins begrijpelijk was dat de onderzoeker kennisneming van deze stukken voor het onderzoek nodig achtte. Het was, aldus hem, aan de onderzoeker en niet aan Xeikon om te bezien welke gegevens uit de e-mailboxen daadwerkelijk licht zouden werpen op de te onderzoeken onderwerpen. Volgens de raadsheer-commissaris stond het Xeikon niet vrij de verstrekking van de opgevraagde gegevens afhankelijk te maken van een nadere toelichting van de onderzoeker op de mogelijke relevantie ervan, en kon Xeikon er geen aanspraak op maken in de gelegenheid te worden gesteld zelf te beoordelen welke delen van de e-mailboxen zij aan de onderzoeker ter beschikking zou stellen.
Naar mijn mening brengt het door een onderzoeker in acht te nemen evenredigheidsbeginsel wel degelijk mee dat hij, al is het summier, aannemelijk maakt waarom het ter beschikking stellen van e-mailboxen nodig is voor het onderzoek. Ofschoon de raadsheer-commissaris de eis van Xeikon verwierp, denk ik dat de onderzoeker daar wel aan had voldaan. Verder had de raadsheer-commissaris Xeikon in de gelegenheid moeten stellen de e-mailboxen van de betrokken natuurlijke personen te schonen van privé-e-mails en stukken die onder een verschoningsrecht vallen. Tevens had Xeikon aan afgifte van de stukken de eis mogen verbinden dat de onderzoeker haar een overeenkomst zou tonen met de hulppersoon die hij wilde inschakelen voor de gegevensverwerking, die voldeed aan de eisen als bedoeld in artikel 14 Wbp. Ten slotte had voor de afgifte voldoende moeten zijn geregeld dat de bestanden niet langer zouden worden bewaard dan voor het onderzoek nodig zou zijn. Dit mede gezien het bepaalde in artikel 8 EVRM.