Stel, iemand houdt een blog bij gehost door internetbedrijf X. Op zijn blog plaatst de blogger foto’s van zichzelf waarop hij te zien is terwijl hij een auto-inbraak pleegt. Erbij staat een tekst die zijn passie voor het kraken van auto’s onderschrijft. Internetbedrijf X stuit op de merkwaardige vondst en doet wat een goed internetbedrijf betaamt: zijn NAW-gegevens en foto’s doorspelen aan de politie. Dit op vrijwillige basis (zonder verzoek of bevel van het OM). Is dit toegestaan? Het lijkt op het eerste gezicht een kant-en-klare casus: er is een strafbare handeling verricht, dus de gegevens mogen worden verstrekt. Wat als het echter zijn eigen auto is geweest of een auto van iemand die daar toestemming voor heeft gegeven? Bovendien legt de bijbehorende tekst niet uit hoe auto’s moeten worden gekraakt, alleen dat hij van auto-inbraken houdt. Fans van de Ocean’s Eleven filmreeks houden van casino’s overvallen, maar dat maakt hen nog niet strafbaar. Het is al met al een grenssituatie. In deze blogpost zal de loep worden gelegd op de vraag of de NAW-gegevens en foto’s vrijwillig mochten worden verstrekt. M.a.w. zijn de gegevens ‘top secret’ of niet? Beginnen we met een algemene vraag: hoe staat het met het publiceren van persoonlijke gegevens op het internet?

Publiceren en doorspelen van persoonlijke gegevens

Het door Silicon Valley genoemde Web 2.0 staat voor sociale interactie tussen internetgebruikers. Het concept blijkt revolutionair, getuige o.a. het feit dat u bent uitgekozen tot ‘person of the year’ door Time Magazine in 2006. Door deze internetrevolutie is het gevaar van privacyschending nog nooit zo reëel geweest. Denk aan de massa’s mensen die zich lid maken van sociale netwerksites en hun profielen vervolgens volplempen met persoonlijke gegevens, foto’s, homevideo’s en meer. Of de opkomst van het fenomeen bloggen (en vloggen) waar blogposts soms louter een uiteenzetting is van het persoonlijke leven van de blogger. Dit is i.c. het geval: de blogger heeft foto’s en verhalen van zichzelf op zijn blog geplaatst.

Het publiceren van persoonlijke gegevens heeft dus een behoorlijke vlucht genomen. Deze gegevens kunnen (potentieel) schadelijk zijn. Zijn de gepubliceerde gegevens van onze blogger schadelijk? Daar kan over worden gediscussieerd. Mag een internetbedrijf zonder meer deze schadelijke gegevens (met NAW-gegevens) verstrekken aan de politie? Deze vraag kan vanuit verschillende invalshoeken worden benaderd: strafrechtelijk, civielrechtelijk en privacyrechtelijk. Ik ga in op de laatste invalshoek, omdat die naar mijn mening het meest interessant is. Zo zal blijken dat de Wet persoonsregistraties (hierna: Wpr) de privacy meer schaadt dan baat.

De weinig voorstellende Wpr?

De privacywetgeving bij uitstek is de Wet bescherming persoonsgegevens (hierna: Wbp). Het is de opvolger van de Wpr (gegolden tot 1 september 2001). Hoewel de Wpr inmiddels is ingetrokken ga ik er toch op in, omdat verschillende ISP’s (nog steeds) vrijwillig NAW-gegevens verstrekken op basis van art. 11 lid 2 Wpr. Dit op basis van een in oktober 1998 gesloten overeenkomst tussen NLIP en het openbaar ministerie.

Art. 11 lid 2 Wpr bevat een drietal verstrekkingsgronden. I.c. is de derde verstrekkingsgrond relevant: verstrekking op grond van dringende en gewichtige reden. Naast deze twee eisen geldt de (cumulatieve) eis dat de verstrekking de privacytoets – geen disproportionele schade toegebracht aan de persoonlijke levenssfeer? – moet kunnen doorstaan. Als voldaan is aan deze 3 eisen, dan mogen de foto’s (auto-inbraak) en NAW-gegevens van de blogger worden verstrekt.

Er moet dus een goed afgewogen beslissing worden genomen. Als internetbedrijf X van oordeel is dat voldaan is aan de 3 eisen verstrekt hij de gegevens. Voldoende waarborgen zou je zeggen? Helaas pindakaas: deze eisen stellen in de praktijk weinig voor. Neem bijv. de uitspraak van de Hoge Raad (hierna: HR) op 20 november 2001. Daarin oordeelde zij dat sprake was van een gewichtige reden, louter omdat er een redelijke verdenking was van een misdrijf strafbaar gesteld in de Opiumwet. Als een Opiumwet-delict is gepleegd is dus zonder meer sprake van een gewichtige reden voor gegevensverstrekking. Ook de eis van dringendheid stelde weinig voor. Volgens de HR was in die zaak sprake van een dringende reden, doordat de gewenste gegevens niet tijdig langs andere weg konden worden verkregen. Kunnen de gegevens niet (tijdig) elders worden verkregen, dan is dus voldaan aan de eis van dringendheid. Aan beide eisen werd dus betrekkelijk snel voldaan.

Duidelijk is dat dit een slechte ontwikkeling is voor de privacy van iedere burger. Zijn persoonlijke gegevens (NAW-gegevens en foto’s in onze casus) kunnen snel worden doorgespeeld aan de politie. Er is immers snel voldaan aan de eisen voor verstrekking.

Daar blijft het echter niet bij. Tijdens het vooronderzoek kan de vermoedelijke dader op geen enkele wijze op de hoogte komen van de verstrekking van zijn persoonsgegevens aan de politie! Zowel de opsporingsambtenaren als de houder van de persoonsgegevens hebben namelijk ingevolge de Wpr de mogelijkheid de verstrekking af te schermen. Pas als de dader wordt vervolgt staat dit (doorgaans) in het strafdossier. Hij heeft echter in dit stadium – blijkens de jurisprudentie – weinig middelen om zich tegen de verstrekking te verzetten. De blogger in onze casus komt er dus niet achter dat zijn persoonlijke gegevens zijn verstrekt. Dat ontdekt hij pas in een evt. strafzaak, maar dan kan hij er niks meer tegen doen.

Geconcludeerd kan worden dat de Wpr weinig voorstelt. Er is snel voldaan aan de eisen voor vrijwillige verstrekking. Bovendien kan het doorspelen van de gegevens worden afgeschermd. Hoe zit het met zijn opvolger, de Wbp? Kunnen persoonlijke gegevens net zo gemakkelijk worden verstrekt als bij de Wpr? Deze vraag zal centraal staan in het binnenkort te verschijnen deel 2.

Geschreven door A.M.C.S. Katoen (LISA lid).