In de rechterlijke uitspraak (
https://uitspraken.rechtspraak.nl/details?id=ECLI:NL:RBOVE:2024:594) lees ik het o.a. volgende:
5. Uit de door eiser en de AP overgelegde stukken blijkt dat in het kader van de beoogde passantentelling in de binnenstad van Enschede in de periode van 25 mei 2018 tot en met 30 april 2020 met tien sensoren het MAC-adres is opgevangen van eigenaren/gebruikers van mobiele apparaten waarop de wifi stond ingeschakeld. De MAC-adressen werden tijdelijk op het werkgeheugen van de sensor opgeslagen en vervolgens gehasht (gepseudonimiseerd), waarna het gehashte MAC-adres direct naar de server van PFM werd doorgestuurd. Op de server werden van het gehashte MAC-adres (sedert 1 januari 2019) de laatste drie karakters afgeknipt.
6. De AP stelt zich op het standpunt dat de identiteit van de natuurlijke persoon niet direct volgt uit het MAC-adres dan wel het gepseudonimiseerde MAC-adres en de locatiegegevens van de sensoren, maar dat de natuurlijke persoon op grond van deze identificatoren wel te identificeren is.
7. De AP heeft hiertoe drie verschillende manieren genoemd, te weten:
a. identificatie van personen aan de hand van de gegevens opgeslagen op de sensor: (...)
[b.] identificatie van personen aan de hand van de gegevens in de kortetermijntabel (tot 1 januari 2019): (...)
[c.]identificatie van personen aan de hand van de gegevens in de langetermijntabel:
8. Deze drie manieren van identificatie van natuurlijke personen vergen van PFM volgens de AP, gelet op de vereiste tijd, kosten en mankracht, geen excessieve inspanning. Dat medewerkers van PFM deze middelen in de praktijk niet inzetten om personen in de binnenstad van Enschede te identificeren doet er niet aan af dat ze dit redelijkerwijs zouden kunnen. De identificatie kan ook door medewerkers van [bedrijf 1] gedaan worden omdat hij op basis van de service level agreement met PFM toegang heeft tot alle gegevens die PFM verzamelt. Ook eiser kan de identificatie doen omdat hij op basis van de bewerkersovereenkomst met [bedrijf 1] ook toegang heeft tot alle gegevens.
9. De AP komt tot de conclusie dat de combinatie van MAC-adres en locatiegegevens en de combinatie gepseudonimiseerd MAC-adres en locatiegegevens op de sensor vanaf 25 mei 2018 tot en met 30 april 2020 en in de korte- en lagentermijntabel tot aan 1 januari 2019 kwalificeren als persoonsgegevens in de zin van de AVG.
Tot zover lijkt de rechtbank de redenering van de AP te kunnen volgen. Dan schrijft de rechtbank:
12. De rechtbank constateert dat de AP haar besluiten in essentie heeft gebaseerd op de mogelijkheid voor eiser om natuurlijke personen aan de hand van gehashte, gepseudonimiseerde en afgeknipte MAC-adressen ter plaatse te identificeren. (...)
Inderdaad, want die mogelijkheid maakt dat er sprake is van persoonsgegevens. En voor het verwerken van persoonsgegevens is een wettelijke grondslag nodig. Als die grondslag ontbreekt (en dat bestrijdt de rechtbank in zijn uitspraak niet), dan is de gemeente dus in overtreding van de AVG.
De rechtbank vindt echter een truc om de gemeente toch te vrijwaren van een boete, namelijk door een extra voorwaarde te stellen voordat er volgens de rechtbank geconcludeerd mag worden dat er sprake is van een overtreding:
13. De rechtbank is van oordeel dat de AP onvoldoende heeft onderzocht of de door haar genoemde manieren het inderdaad, in de gegeven situatie, mogelijk maken om de identiteit van een gebruiker van een mobiel apparaat met het blote oog te achterhalen.
Met deze extra voorwaarde voegt de rechtbank een
extra bewijslast toe voordat van de rechtbank mag worden geconcludeerd dat
er sprake is van persoonsgegevens. Deze toevoeging van een extra bewijslast is
niet iets wat de wet voorschrijft, de rechtbank doet dat helemaal uit zichzelf. Hiermee gooit de rechtbank het voorzorgsbeginsel met betrekking tot de bescheming van de privacy van burgers bij het afval, en vervangt dat door het beginsel:
"Pas als het kalf aantoonbaar verdronken is in een concreet geval, gaan we achteraf misschien de put dempen, alleen voor dat concrete geval." Daarmee laat de rechtbank van de privacybescherming niets heel.
Vervolgens schrijft de rechtbank (nog steeds onder punt 13 van de uitspraak):
De enkele stelling van de AP dat bedoelde medewerkers dit redelijkerwijs zouden kunnen doen overtuigt de rechtbank niet. De AP had, gelet op overweging 26 van de AVG moeten onderzoeken of het redelijkerwijs te verwachten is dat de genoemde middelen worden gebruikt om de natuurlijke persoon direct of indirect te identificeren, waarbij de kosten en de benodigde tijd voor identificatie met in achtneming van de beschikbare technologie op het tijdstip van verwerken en de technologische ontwikkelingen betrokken hadden moeten worden.
De rechtbank vervangt hier het criterium dat gegevens tot personen
herleidbaar zijn (d.w.z. herleid
kunnen worden) door een ander criterium, namelijk dat de gegevens
naar verwachting tot personen herleid zullen worden.. Dat is echter niet de bedoeling van overweging 26 van de AVG (later meer hierover). Niet alleen wijkt de rechtbank hiermee af van de wet (de AVG), maar bovendien kiest de rechtbank hier voor een
zeer subjectief beoordelingscriterium. Immers, wat we kunnen "verwachten" (op de korte termijn, op de langere termijn) is iets wat niet op grond van feiten valt aan te tonen.
Waar het op neerkomt is dat de rechter twee dingen doet die in combinatie met elkaar het voor de AP zo goed als onmogelijk maken om handhavend op te treden tegen het zonder grondslag
verzamelen (maar misschien nog niet gebruiken) van persoonsgegevens:
a) De rechtbank legt een extra en onnodig zware bewijslast bij de AP dat er überhaupt sprake is van persoonsgegevens;
b) De rechtbank kiest, in afwijking van de wet, voor een subjectief beoordelingscriterium of er sprake is van persoonsgegevens, d.w.z. een criterium waarvan het nooit bewezen kan worden dat daaraan wordt voldaan, behalve achteraf als er al een overtreding heeft plaatsgevonden die door de overtreder niet tijdig kon worden verdoezeld.
De rechtbank vergt van de AP als het ware dat die feitelijk aantoont dat God bestaat (of juist niet bestaat), en zolang de AP dat niet heeft aangetoond, mag de AP geen boete opleggen.
De rechtbank gaat er ten onrechte aan voorbij dat in de AVG het "verwerken" van persoonsgegevens ruim gedefinieerd wordt, dat wil zeggen dat ook het "verzamelen" van persoonsgegevens al geacht wordt het "verwerken" daarvan te zijn. De rechtbank negeert dat als er gegevens verzameld worden die herleid
kunnen worden tot personen, er reeds sprake is van de verwerking van persoonsgegevens zoals bedoeld in de AVG. Op deze manier omzeilt de rechtbank het vereiste van een wettelijke grondslag voor persoonsgegevensverwerking, door in strijd met de feiten en de wet te ontkennen dat er sprake is van persoonsgegevens zoals bedoeld in de wet.
Op deze manier geeft de rechtbank, in strijd met de bedoeling en de letter van de AVG, rugdekking aan een overtreder en vrijwaart die overtreder van effectieve handhaving.
Zo gaat dat in de zogenaamde "rechtsstaat" Nederland. Regenten, of dat nu rechters zijn of bestuurders, beschermen elkaar.
- - - - - - - - - - - - - -
Nog even over de bovengenoemde overweging 26 van de AVG. Die luidt o.a. als volgt (onderstreping van mij):
(26) De beginselen van gegevensbescherming moeten voor elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon gelden. Gepseudonimiseerde persoonsgegevens die door het gebruik van aanvullende gegevens aan een natuurlijke persoon kunnen worden gekoppeld, moeten als gegevens over een identificeerbare persoon worden beschouwd. Om te bepalen of een natuurlijke persoon identificeerbaar is, moet rekening worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke of door een andere persoon om de natuurlijke persoon direct of indirect te identificeren, bijvoorbeeld selectietechnieken (...)
In de AVG wordt de omschrijving "waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt door de verwerkingsverantwoordelijke" dus
niet gebruikt als een beperkend criterium, maar als een aanduiding voor dingen die in ieder geval niet vergeten mogen worden. De rechtbank kat deze omschrijving, die bedoeld is om de privacy-bescherming te versterken, in zijn uitspraak echter om tot een criterium op grond waarvan de handhaving van privacy in alle andere gevallen niet zou mogen plaatsvinden. Zo kan een rechter met behulp van een intellectueel niet-integere interpretatie een wet tegen zichzelf keren, d.w.z. tegen de bedoeling van de wet.
Verderop in overweging 26 staat nog:
De gegevensbeschermingsbeginselen dienen derhalve niet van toepassing te zijn op anonieme gegevens, namelijk gegevens die geen betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon of op op persoonsgegevens die zodanig anoniem zijn gemaakt dat de betrokkene niet of niet meer identificeerbaar is.
Zoals inmiddels elke privacy-deskundige weet, is anonimisering van gegevens in de praktijk zeer moeilijk, en locatiegegevens zijn extreem moeilijk te anonimiseren, vanwege de grote hoeveelheden data die al op internet en in zeer grote dataverzamelingen voorhanden zijn, en vanwege de huidige rekenkracht van computers.
Los daarvan, legt dit laatste deel van overweging 26 de bewijslast dat persoonsgegevens effectief geanonimiseerd zijn, bij de verwerkingsverantwoordelijke. In de onderhavige casus dus bij de gemeente Enschede en niet bij de toezichthouder AP. Ook daar gaat de rechtbank in zijn uitspraak ten onrechte aan voorbij.
Als een verwerkingsverantwoordelijke één cijfer van mijn BSN-nummer weglakt en ook één cijfer van mijn geboortedatum en dan zegt: "Ziezo, deze gegevens zijn nu effectief geanonimiseerd en daarom geen persoonsgegevens", dan moet de rechtbank van zo'n verwerkingsverantwoordelijke verlangen dat die aantoont dat dat echt zo is. Anders wordt onze privacybescherming een farce. En dat is precies wat de rechtbank er ook in de onderhavige, Enschedese casus van gemaakt heeft.
M.J.