Leestijd: 16 minuten

Annotatie

Op 12 september 2014 deed Rechtbank Amsterdam een uitspraak over een via internet openbaar toegankelijke zwarte lijst. Het arrest is op rechtspraak.nl te vinden en de annotatie van Koen Konings verscheen in Jurisprudentie Bescherming Persoonsgegevens (JBP 2014/106).

Feiten van de zaak

In deze zaak spant eiser, een eenmanszaak, een kort geding aan tegen de Stichting NWR die op internet een openbaar toegankelijk register van wanbetalers beheert via het domein www.nationaalwanbetalersregister.nl. Eiser werd bij gedaagde aangemeld voor opname in het online register, omdat eiser een onbetwiste vordering onbetaald zou laten aan Card Services Zwolle B.V. Deze vordering is in rechte vast komen te staan bij vonnis van 11 september 2013. Op 14 februari 2014 heeft gedaagde aan eiser per e-mail laten weten dat eiser is aangemeld bij het register en dat hij ter voorkoming van plaatsing van zijn gegevens 48 uur in de gelegenheid wordt gesteld om aan de vordering te voldoen. Omdat eiser niet op het verzoek van gedaagde is ingegaan, heeft gedaagde de gegevens in het online register opgenomen zoals is weergegeven in par. 2.5 van het vonnis. Onder deze gegevens bevinden zich ook de handelsnaam en het KvK-nummer van eiser.
De advocaat van eiser sommeert gedaagde om de registratie van de gegevens van eiser ongedaan te maken, omdat deze registratie onrechtmatig is onder de gegeven omstandigheden en bovendien inbreuk zou maken op de privacy van eiser. Ook wordt gedaagde verweten geen melding te hebben gemaakt van de tegenvordering van eiser op Card Services Zwolle B.V. Van een betwisting van de geregistreerde vordering door eiser is geen sprake.
Gedaagde geeft geen gehoor aan de sommatie van de advocaat van eiser en voert vervolgens de druk op om betaling van eiser van zijn geregistreerde schuld te bewerkstelligen. Dit doet gedaagde door aanmaningen te zenden en tevens te melden dat de registratie van eiser in het register een top 10 positie bij de zoekresultaten van Google heeft verworven.
De voorzieningenrechter stelt zichzelf terecht de vraag of de werkwijze van gedaagde zich niet zou kwalificeren als bedreiging of als misbruik van omstandigheden (art. 3:44 BW), maar vanwege het karakter van een kort geding is geen plaats voor een nader onderzoek naar dit vraagstuk. Ook deze annotatie zal zich hier niet op richten, maar enkel op het aspect van de bescherming van persoonsgegevens. Dat er sprake is van persoonsgegevens wordt overwogen in het niet gepubliceerde tussenvonnis.
Uiteindelijk wordt in het eindoordeel de registratie in strijd met de Wbp geacht en gedaagde dient daarom de registratie van de handelsnaam en het KvK-nummer van eiser te verwijderen. Sindsdien heeft gedaagde het gehele register van haar website verwijderd, wat op het moment van annoteren nog steeds het geval was.

Persoonsgegevens

De vraag is of de zakelijke gegevens die vermeld zijn in het online register van gedaagde, in dit geval de handelsnaam en het KvK-nummer van de eiser, zich kwalificeren als persoonsgegevens in de zin van de Wbp. In het vonnis wordt onder par. 4.4 verwezen naar een tussenvonnis van 21 juli 2014 waarin wordt overwogen dat de geregistreerde gegevens dienen te worden aangemerkt als persoonsgegevens. In dit niet gepubliceerde tussenvonnis overweegt de voorzieningenrechter in par. 1.4:

1.4. Uit de wetsgeschiedenis van de Wbp volgt dat een gegeven betrekking heeft op een persoon wanneer het gegeven voor een op de persoon gericht doel kan worden gebruikt en de verwerkte gegevens mede bepalend zijn voor de wijze waarop een persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld. Voorts moet een persoon als identificeerbaar worden aangemerkt indien sprake is van gegevens die alleen in combinatie met andere gegevens, zo kenmerkend zijn voor een bepaalde persoon dat deze aan de hand daarvan kan worden geïdentificeerd.
1.5. Naar het oordeel van de voorzieningenrechter voldoet de registratie van de naam en het kvk-nummer van de eenmanszaak van [eiser] aan de definitie die de Wbp aan (de verwerking van) een persoonsgegeven geeft. De Stichting heeft niet, althans onvoldoende gemotiveerd bestreden dat de identiteit van [eiser] met de naam en het kvk-nummer van zijn eenmanszaak door middel van een eenvoudige zoekopdracht op het internet is te achterhalen.

De voorzieningenrechter concludeert in zijn eigen woorden dat er sprake is van ‘indirecte identificeerbaarheid’ en dat daarom de onderhavige registratie als een persoonsgegeven moet worden beschouwd. Dit is in lijn met de in het algemeen ruime opvatting van het begrip persoonsgegeven. De Groep Gegevensbescherming Artikel 29, die bestaat uit afgevaardigden van alle Europese privacytoezichthouders, heeft in haar Advies 4/2007 over het wettelijke begrip persoonsgegeven (01248/07/NL, WP 136 van 20 juni 2007) zich al uitgelaten over indirecte identificeerbaarheid:

Bij “indirect” geïdentificeerde of identificeerbare personen gaat het doorgaans om een klein of groot aantal “unieke combinaties”. In gevallen waarin het op het eerste gezicht niet mogelijk is met de beschikbare identificatiemiddelen één bepaalde persoon te onderscheiden, kan die persoon wellicht toch “identificeerbaar” zijn doordat aan de hand van die informatie in combinatie met andere gegevens (die al dan niet bij de voor de verwerking verantwoordelijke berusten) de betrokkene van andere personen kan worden onderscheiden.

Als deze redenering wordt gevolgd, dan leidt de combinatie van een handelsnaam en een KvK-nummer van een eenmanszaak door raadpleging in het handelsregister of via een zoekopdracht op internet inderdaad eenvoudig tot identificatie van de natuurlijke persoon, die de eenmanszaak drijft. Op basis van deze redenering zijn de handelsnaam en het KvK-nummer daarom terecht als persoonsgegevens te beschouwen. Aan de andere kant zou via deze redenering elk willekeurig gegeven al snel als persoonsgegeven te beschouwen zijn, zeker als zoekmachines steeds beter worden om gegevens te combineren en om met de zoekresultaten eenvoudig tot identificaties komen. Dit leidt tot de meer algemene vragen over waar de grens ligt tussen gewone bedrijfsgegevens en persoonsgegevens en of het begrip ‘persoonsgegeven’ door de voortschrijdende techniek wellicht niet iets te ruim wordt.

Journalistieke uitzondering

De gedaagde voert verweer door zich op de journalistieke uitzondering van art. 3 Wbp te beroepen. De voorzieningenrechter maakt daar korte metten mee, nu gedaagde geen normale journalistieke werkzaamheden verricht en geen bijdrage levert aan het maatschappelijk debat. Het register van gedaagde heeft evenmin de functie om het publiek in algemene zin te informeren over wanbetaling. De door gedaagde opgeworpen uitzondering gaat daarom niet op en de voorzieningenrechter passeert terecht dit verweer.

Verwerking van persoonsgegevens op internet

Het CBP heeft in haar ‘Richtsnoeren publicatie van persoonsgegevens op internet’ van december 2007, zoals raadpleegbaar op haar website, duidelijke handvatten meegegeven voor verwerkingen van persoonsgegevens op internet. In het onderhavige geval, waar niet om de toestemming van geregistreerde is gevraagd, zal de grond van verwerking liggen in een gerechtvaardigd belang van art. 8 aanhef en sub f Wbp. Dit kan volgens het CBP echter niet snel worden aangenomen:
‘In beginsel zullen slechts weinig publicaties zich op deze rechtvaardigingsgrond kunnen beroepen, omdat publicatie op internet onvoorspelbare risico’s met zich meebrengt voor de persoonlijke levenssfeer van betrokkenen.
Een verantwoordelijke die zich op artikel 8 onder f Wbp wil beroepen moet allereerst aantonen dat een voorgenomen publicatie noodzakelijk is voor de verwezenlijking van een gerechtvaardigd eigenbelang. Noodzaak is volgens jurisprudentie van het EHRM niet hetzelfde als ‘leuk’ of ‘nuttig’. Bovendien dient de verantwoordelijke aan te tonen dat het beoogde belang niet anderszins of met minder ingrijpende middelen kan worden gediend.’
De invulling van het begrip ‘noodzaak’ heeft het CBP herleid uit het arrest EHRM 25 maart 1983, Silver and others v. United Kingdom, nr. 97. De laatste zin uit het voorgaande citaat wijst op de eisen van proportionaliteit en subsidiariteit, die ook in de onderhavige uitspraak worden aangehaald. De praktijk van gedaagde zal deze toetsen niet kunnen doorstaan.

De reden dat de wet grenzen stelt aan publicatie van persoonsgegevens op internet ligt aan de potentieel grote consequenties van een dergelijke publicatie. Ook als de gepubliceerde gegevens op zichzelf juist zijn, kan door de publicatie een onvolledig en negatief beeld ontstaan van een persoon. Dat geldt temeer als er sprake is van een ‘zwarte lijst’.

Zwarte lijsten

Terecht wordt het register aangemerkt als een zogenaamde ‘zwarte lijst’, waarvoor op grond van de Wbp bijzondere zorg is vereist. Een zwarte lijst kan aanzienlijke schade van zowel materiële als immateriële aard toebrengen aan de geregistreerde. Een dergelijke lijst spreekt immers een ernstige diskwalificatie uit over de geregistreerde. Opname op een zwarte lijst zal leiden tot moeilijkheden of onmogelijkheden bij het aangaan van nieuwe overeenkomsten of tot ongunstigere voorwaarden. Hoe groter de kring van gebruikers van de zwarte lijst is, des te meer deuren sluiten zich voor geregistreerde. Dit gaat in nog grotere mate op voor een zwarte lijst die openbaar op het internet is te raadplegen, zoals de onderhavige.
Het CBP hanteert voor zwarte lijsten dan ook het beleid dat bedrijven die een zwarte lijst willen hanteren een protocol opstellen. Deze protocollen zijn grotendeels gebaseerd op de achtergrondstudie ‘Zwarte lijsten, Belangen en effecten van waarschuwingssystemen’ van mr. drs. A.F. Rommelse, zoals gepubliceerd door de toenmalige Registratiekamer in mei 1995. Deze protocollen moet de voorgenomen gegevensverwerking bevatten en aandacht besteden aan onder meer de belangenafweging tussen de belangen van de houders van een zwarte lijst enerzijds en de belangen van de geregistreerden anderzijds. Bij deze belangenafweging speelt de ernst van de misstand een rol in relatie tot de proportionaliteit en de subsidiariteit. Bij het toetsen van de proportionaliteit gaat het erom of de inbreuk op de persoonlijke levenssfeer zich verhoudt tot het met de zwarte lijst nagestreefde doel. Bij de subsidiariteit gaat het om de vraag of het beoogde doel niet op een andere en minder ingrijpende wijze bereikt kan worden. In de bovengenoemde achtergrondstudie merkt Rommelse terecht op dat er een risico bestaat dat de zwarte lijst gaat fungeren als een ongeoorloofd middel om de (vermeende) vordering te laten betalen. Dat is precies wat er in de onderhavige zaak aan de orde is.
Gedaagde had dus een protocol moeten opstellen en die ter goedkeuring aan het CBP moeten voorleggen. Op de website van het CBP staan talloze goedgekeurde protocollen en handreikingen over het opstellen daarvan. De door het CBP goedgekeurde zwarte lijsten hebben allen een beperkte en nauw omschreven kring van gebruikers. Nu gedaagde haar zwarte lijst niet had aangemeld en geen goedgekeurd protocol heeft, neemt de voorzieningenrechter voorshands terecht aan dat de vereisten van proportionaliteit en subsidiariteit zijn geschonden nu het register van gedaagde openbaar is voor het gehele internetpubliek. Over de door de voorzieningenrechter aangehaalde art. 7, 8 en 11 Wbp kan worden gezegd dat met name niet wordt voldaan aan het vereiste van een gerechtvaardigd belang van art. 8 aanhef en sub f Wbp en aan het vereiste van een juiste en nauwkeurige verwerking van art. 11 lid 2 Wbp. Het voorgaande kan dan ook niet leiden tot een ander oordeel dan dat de onderhavige verwerking van persoonsgegevens door gedaagde jegens eiser onrechtmatig is en dat gedaagde de onderhavige registratie over eiser dient te verwijderen.

Anderszins onrechtmatig

Voordat het vonnis inging op de privacyaspecten van de zaak, speelde de vraag nog naar of het handelen van gedaagde de algemene zorgvuldigheidsnorm van onrechtmatige daad (art. 6:162 BW) schendt. Deze vraag wordt door de voorzieningenrechter ontkennend beantwoord. Het registreren van bedrijven, die een of meer vorderingen onbetaald hebben gelaten, is weliswaar in beginsel niet in strijd met de wet of met hetgeen in het maatschappelijk verkeer betaamt, maar dan dient gedaagde wel de belangen van de betrokken bedrijven voldoende in het oog te houden. De voorzieningenrechter concludeert terecht dat de door gedaagde gehanteerde procedure tekortschiet nu zij debiteuren, die aangemelde vorderingen op hen betwisten, simpelweg verwijst naar de vermeende schuldeiser. Gedaagde behoort in het kader van de zorgvuldigheid een eigen onderzoek te verrichten naar de vraag of de vordering onbetwist is, nu gedaagde degene is die de debiteuren in de openbaarheid registreert. Echter, omdat eiser de geregistreerde vordering onbetwist heeft gelaten, leidt dit volgens de voorzieningenrechter niet tot het oordeel dat de publicatie onrechtmatig is. Hoewel te bediscussiëren valt of een louter formele onzorgvuldigheid niet toch zou moeten leiden tot het aannemen van de onrechtmatigheid van het handelen van gedaagde, valt dit onderwerp buiten de reikwijdte van deze annotatie.

Vragen?

Voor vragen over zwarte lijsten, de verwerking van persoonsgegevens of andere aanverwante zaken, dan staan de adviseurs van NORD Advocatuur u graag te woord.

Geplaatst op 10 december 2015 door Koen Konings