Rechten en plichten onder de AVG

Vanuit juridisch perspectief bezien heeft de AVG in 2018 niet ineens een aardverschuiving veroorzaakt in de rechten en plichten van burgers en rechtspersonen. Ook de Wbp, die voorheen van toepassing was, kende immers een groot aantal bepalingen ter bescherming van persoonsgegevens. De AVG borduurt hierop voort,³ maar introduceerde in 2018 op een flink aantal onderdelen wel de nodige uitbreidingen en aanscherpingen. Beknopt weergegeven, betreft dat onder meer de volgende aspecten.

Samen met de enorme hoeveelheid aandacht die de AVG voorafgaand aan de inwerkingtreding heeft gekregen en de schrik voor boetes die mede daardoor is ontstaan, heeft dit ertoe geleid dat er sindsdien een sterk verhoogde aandacht bestaat voor de bescherming van persoonsgegevens en dat zowel de overheid als het bedrijfsleven een hausse aan activiteiten hebben ontplooid om binnen de eigen omgeving aan de deels nieuwe vereisten van de AVG te (blijven) voldoen. Zo hebben veel organisaties inmiddels een Functionaris Gegevensbescherming of Privacy Officer en worden er regelmatig DPIA’s uitgevoerd. Ook hebben organisaties de afgelopen jaren aandacht besteed aan de registratie en onderbouwing van verwerkingen van persoonsgegevens, aan het opstellen van verplichte verwerkersovereenkomsten en privacy statements en aan de beveiliging van hun processen en systemen met het oog op gegevensbescherming. Kortom: de invoering van de AVG en – in Nederland – de daarop voortbouwende Uitvoeringswet AVG (UAVG) hebben een grote impact gehad en zullen die impact ook blijven hebben op de omgang van organisaties met (bijzondere) persoonsgegevens.

Enkele cijfers

Hoewel het boetemaximum op basis van de AVG maar liefst € 20 miljoen bedraagt, heeft de Autoriteit Persoonsgegevens (AP) al in de Staatscourant van 14 maart 2019 beleidsregels afgevaardigd met betrekking tot het bepalen van de hoogte van bestuurlijke boetes.⁴ De maximumboete per overtreding in de hoogste categorie bedraagt op basis daarvan nog ‘slechts’ € 1 miljoen. Niettemin heeft de AP de afgelopen 5 jaar, na aanvankelijk een relatief terughoudend beleid te hebben gevoerd, inmiddels ruim 20 boetes opgelegd, waarvan enkele zeer fors. Voorbeelden daarvan zijn de boete voor Uber in 2018 van € 600.000 (wegens het te laat melden van een datalek bij de AP en de betrokkenen), de boete voor het Haga Ziekenhuis uit 2019 van € 460.000 (wegens onvoldoende passende beveiligingsmaatregelen voor de interne beveiliging, zoals logging en multifactoridentificatie), de boete voor Tennisbond KNLTB uit 2020 van € 525.000 (wegens het ontbreken van een grondslag voor het verkopen van persoonsgegevens van leden aan sponsoren) en de boetes voor de Belastingdienst uit 2021 van € 2,75 miljoen (wegens overmatige en discriminerende verwerking van de nationaliteit van aanvragers van kinderopvangtoeslag) respectievelijk uit 2022 van € 3,7 miljoen (wegens het jarenlang onrechtmatig verwerken van persoonsgegevens in de Fraude Signalerings Voorziening).⁵

De algemene meldplicht voor datalekken heeft er daarnaast voor gezorgd dat er sinds de inwerkingtreding van de AVG een grote hoeveelheid datalekken bij de AVG is gemeld. De Datalekkenrapportage 2022 laat zien dat de AP in vijf jaar tijd meer dan 114.000 meldingen heeft ontvangen. Dat zijn er derhalve meer dan 20.000 per jaar. Vaak betreft dit brieven of postpakketten met persoonsgegevens die geopend retour zijn ontvangen, zijn kwijtgeraakt of zijn verstuurd of afgegeven aan de verkeerde ontvanger(s). Ook betreft dit vaak e-mails met persoonsgegevens die zijn verstuurd aan verkeerde ontvanger(s), al dan niet in de cc. Een groeiende groep incidenten betreft hacking, malware (zoals ransomware) en phishing-activiteiten. Van de in totaal 21.151 meldingen van datalekken die de AP in 2022 ontving, hadden er 1.826 betrekking op dergelijke cyberaanvallen. Cyber security en data breach staan dan ook volop in de belangstelling en de daaraan verbonden (financiële) risico’s kunnen inmiddels bij tal van verzekeraars via speciale cyberverzekeringen worden ondergebracht. Verder blijkt dat de sector gezondheid en welzijn het vaakst meldingen doet van datalekken (41%), op enige afstand gevolgd door de sector openbaar bestuur (23%). In de sector financiële dienstverlening, waarin in 2018 ook nog relatief vaak meldingen werden gedaan (26%),⁶ is dit aantal procentueel gezien inmiddels fors gedaald (9%).⁷

De invoering van de AVG heeft er ook toe geleid dat de Autoriteit Persoonsgegevens jaarlijks een grote hoeveelheid klachten ontvangt over schendingen van de verplichtingen uit de AVG. In 2022 bedroeg dat 12.486 klachten, waarvan 2.335 iemands eigen persoonsgegevens betroffen. De resterende 10.151 klachten hadden meer het karakter van ‘tips voor de AP’. Vanwege een gebrek aan capaciteit om deze grote hoeveelheden klachten allemaal te onderzoeken, concentreert de AP zich met name op de eerste categorie.⁸

Personenschade

Ook voor de personenschadebranche heeft de AVG grote betekenis. Naast de hierboven besproken aspecten, betreft dat kwesties die specifiek van toepassing zijn bij de afwikkeling van letsel- en overlijdensschades. Gedurende het medisch traject dat bij personenschades wordt doorlopen, worden immers veelvuldig bijzondere persoonsgegevens opgevraagd, uitgewisseld, opgeslagen en beoordeeld. Dat is noodzakelijk om vragen over aandoeningen, klachten en beperkingen, over causaal verband en – in sommige situaties – ook over de voorafgaande vraag naar aansprakelijkheid te kunnen beantwoorden.⁹ Tegelijkertijd vraagt dit om een grote mate van zorgvuldigheid teneinde de privacybelangen van de betrokkenen te waarborgen.

Om die reden werd in de reeds in 2012 verschenen Medische Paragraaf (MP) bij de Gedragscode Behandeling Letselschade (GBL) al nadrukkelijk gerefereerd aan de Wbp en de Gedragscode Verwerking Persoonsgegevens Financiële Instellingen.¹⁰ De hele MP ademt privacybescherming, proportionaliteit en subsidiariteit.¹¹ Met name besteedt de MP veel aandacht aan de omgang met medische gegevens, waarbij een van de goede praktijken luidt: ‘De benadeelde wordt vooraf om zijn geïnformeerde toestemming gevraagd voor het verzamelen van en omgaan met zijn medische informatie volgens de in deze Medische Paragraaf opgenomen regels en goede praktijken.’¹² En hoewel de AVG ook binnen de letselbranche tot veel meer bewustwording heeft geleid en partijen in de markt heeft aangezet tot het nemen van (aanvullende) maatregelen om te (blijven) voldoen aan de vereisten die voortvloeien uit de hierboven geschetste aspecten, stonden de omgang met bijzondere persoonsgegevens en de bescherming van de privacy van betrokkenen binnen de letselbranche al ruimschoots vóór inwerkingtreding van de AVG prominent op de agenda.

Ondanks deze reeds lang bestaande aandacht voor privacybelangen bestaan er binnen de personenschadepraktijk nog steeds enkele hardnekkige AVG-gerelateerde problemen die betrekking hebben op de omgang met gezondheidsgegevens. De afgelopen jaren hebben deze verschillen van inzicht meermaals tot gerechtelijke procedures geleid, waarvan er twee inmiddels de Hoge Raad hebben bereikt. In deze kwesties, die allebei handelen over medische aansprakelijkheid, is er al een conclusie verschenen van advocaat-generaal Hartlief. Op het moment van uitkomen van dit bulletin had de Hoge Raad echter nog in geen van beide zaken arrest gewezen.

Ten eerste betreft dit een cassatie in het belang der wet over de vraag of een patiënt recht heeft op inzage in de bevindingen van een arts die in opdracht van (de aansprakelijkheidsverzekeraar van) het ziekenhuis – op basis van het medisch dossier maar zonder de patiënt in kwestie te zien – heeft beoordeeld of de behandeling van de desbetreffende patiënt volgens de regelen der kunst heeft plaatsgevonden. Het gaat, met andere woorden, over de vraag naar recht op inzage in een medisch advies waarin het handelen van de betrokken arts(en) ten aanzien van de betrokkene wordt beoordeeld. Na een zeer uitvoerige en lezenswaardige analyse van deze problematiek concludeert advocaat-generaal Hartlief uiteindelijk dat dit recht op inzage, mede op basis van de bepalingen in de AVG, in principe niet bestaat.¹³

Ten tweede betreft dit een drietal aan de Hoge Raad voorgelegde prejudiciële vragen over, kort gezegd, de vraag of er toestemming is vereist van de patiënt voor de verstrekking van medische gegevens bij de buitengerechtelijke afhandeling van medische aansprakelijkheidsclaims. Ook in dit geval heeft advocaat-generaal Hartlief een zeer uitvoerige en lezenswaardige conclusie geschreven. Hij komt daarin uiteindelijk, kort samengevat, tot de conclusie (i) dat ‘een ziekenhuisjurist en/of schadebehandelaar/jurist van de verzekeraar in het kader van de buitengerechtelijke afhandeling van een claim niet zonder toestemming van de patiënt (en zelfs ondanks de kenbare bezwaren van de patiënt) kennis mag nemen van medische gegevens’, (ii) dat ‘de grondslag hiervoor is te vinden in art. 88 Wet BIG, art. 7:457 lid 1 BW, art. 8 EVRM en art. 9 AVG’ en (iii) dat ‘van een ziekenhuis dat door een patiënt aansprakelijk is gesteld in verband met een medische behandeling, in beginsel niet mag worden verlangd dat het in de buitengerechtelijke fase een standpunt inneemt omtrent aansprakelijkheid indien de patiënt zich ertegen verzet dat een door of ten behoeve van de medische hulpverlener ingeschakelde ziekenhuisjurist en/of schadebehandelaar/jurist van de verzekeraar kennis neemt van relevante medische gegevens’.¹⁴

Het voert te ver om in deze terugblik op vijf jaar AVG in meer detail te treden over deze beide kwesties, maar het betreft hier wel aspecten die voor de personenschadebranche uiterst belangrijk zijn. Hopelijk zal de Hoge Raad hierover dan ook spoedig – en liefst zo definitief mogelijk – uitsluitsel geven.

Toekomst

De AVG en de UAVG zullen ook in de toekomst hun stempel blijven drukken op de afwikkeling van personenschades. De toenemende digitalisering en de verscheidenheid aan daaraan gerelateerde nieuwe risico’s maken bovendien dat er vanuit de Europese Unie verschillende voorstellen in voorbereiding zijn voor aanvullende of gewijzigde verordeningen, die vroeg of laat in principe allemaal gevolgen zullen hebben voor de omgang met persoonsgegevens, ook in Nederland.¹⁵ Daarnaast heeft de voorzitter van de AP in een van zijn privacyblogs toegelicht dat de rol van de AP de komende vijf jaren zal veranderen.¹⁶ Zo zal de AP, aldus de voorzitter, als hoeder van de democratische rechtsstaat voor wat betreft datagedreven processen, zijn adviezen bij wetgevingstrajecten nog breder, fundamenteler en explicieter maken. Daarnaast zal de AP de komende jaren vaker proactief optreden, ambtshalve onderzoeken instellen en gegevensverwerkingsprocessen al dan niet tijdelijk stopzetten bij gebleken misverstanden. Ten slotte zal de AP zich als ‘algoritmetoezichthouder’ de komende jaren niet meer alleen richten op de effecten van geautomatiseerde besluitvorming, maar ook onder de motorkap kijken: hoe worden algoritmes getraind, welke aannames zitten daarin verborgen en hoe zijn de verantwoordelijkheden belegd? Dit alles brengt met zich mee dat alle partijen die actief zijn binnen de letselschaderegeling grondig en blijvend aandacht zullen moeten schenken aan de wijze waarop zij omgaan met de verwerking van persoonsgegevens.

Wie even googelt op de zoekterm ‘5 jaar AVG’ treft een veelheid aan artikelen, blogs en posts. Dat laat wel zien wat voor impact de Algemene Verordening Gegevensbescherming (AVG)¹, die sinds 25 mei 2018 de Wet Bescherming Persoonsgegevens (Wbp)² vervangt en enige tijd geleden dus vijf jaar van toepassing was, inmiddels heeft gehad. Hoog tijd om voor het PPS-Bulletin op een rij te zetten wat de AVG tot nu toe heeft betekend.