Naarmate de technische mogelijkheden op ICT-gebied toenemen komt vaker de vraag aan de orde of een bepaalde technische oplossing vanuit privacy-oogpunt wel toelaatbaar is. De voortschrijdende techniek op ICT-gebied maakt het namelijk uiterst makkelijk om op eenvoudige wijze persoonsgegevens te verzamelen, verwerken en ook op te slaan. Dat leidt soms tot een spanningsveld. Kort gezegd: technisch kunnen we zo’n beetje alles maken, maar of het juridisch altijd mag is de vraag.
Niemand zal ontkennen dat het op zichzelf goed is dat er privacy-regels bestaan. Soms worden deze regels echter als hinderlijk beschouwd. Vooral door ondernemers. Het is de vraag of dat terecht is.
Een aardige uitspraak in dit geval werd recent gewezen door het Gerechtshof Arnhem in een geschil tussen een detacheringsbureau dat gedurende een langere periode een medewerker detacheerde bij een financiële instelling. De betreffende medeweker, laten we hem X noemen, stuurde periodiek urenverantwoordingen in en werd op basis van die urenverantwoordingen jarenlang uitbetaald. Naar later bleek stemden de door hem opgegeven uren echter niet overeen met de tijd dat hij daadwerkelijk bij de financiële instelling aanwezig was en werkte. U raadt het al: de gedeclareerde uren waren aanmerkelijk hoger dan het aantal uren dat X gewerkt had. Geconstateerd werd dat X zichzelf met maar liefst meer dan 450 uur had bevoordeeld. X was namelijk 450 uur minder op kantoor aanwezig geweest dan hij had gedeclareerd. Men was daar achter gekomen doordat de financiële instelling een registratiesysteem had gekoppeld aan de op haar kantoor vereiste toegangspassen.
In de procedure die werd gestart door de detacheerder teneinde het teveel betaalde geld terug te vorderen van X, beriep X zich op de Wet bescherming persoonsgegevens (Wbp). Hij stelde zich op het standpunt dat het koppelen van de toegangspassen aan een tijdregistratiesysteem kwalificeerde als een handeling onder de Wet bescherming persoonsgegevens. X was van mening dat het gebruik van een dergelijk systeem op grond daarvan, - zonder dat er voorafgaande toestemming is van het College bescherming persoonsgegevens – niet is toegestaan. Volgens X mocht het detacheringsbureau de betreffende gegevens dan ook in het geheel niet gebruiken in de procedure.
Dat argument werd echter door het Gerechtshof in Arnhem verworpen. Het Gerechtshof liet in het midden of het standpunt van X, dat er voor een dergelijk pasregistratiesysteem voorafgaande toestemming van het College bescherming persoonsgegevens vereist is, correct is. Het Hof stelde tevens dat zelfs indien de financiële instelling in beginsel ten onrechte een dergelijk systeem zou hebben gehanteerd, de betreffende gegevens toch mogen worden gebruikt door het detacheringsbureau. Het Gerechtshof is van mening dat zelfs indien de financiële instelling met het hanteren van het systeem onrechtmatig zou hebben gehandeld richting de X, dat niet wegneemt dat de betreffende gegevens gewoon als bewijs mogen worden gebruikt in de civiele procedure tussen X en een derde. Uitgangspunt is volgens het Gerechtshof dat het gebruik in een civiele procedure van het door een ander op onrechtmatige wijze verkregen bewijs niet per definitie onrechtmatig is en zou moeten worden uitgesloten. Daarvan is slechts sprake indien daartoe bijzondere omstandigheden aanwezig zijn. En die bijzondere omstandigheden werden in dit geval niet aangenomen.
Zo zie je maar: de bescherming van de privacy is niet absoluut en biedt lang niet altijd soelaas! Hier loopt het goed af voor de detacheerder. De privacyregels zaten haar hier niet in de weg; zij mocht de gegevens gewoon gebruiken om de fraude aan te tonen. Maar nog beter is het natuurlijk om ervoor te zorgen dat de systemen Wbp-proof zijn. Vaak is dat met een screening en enkele eenvoudige maatregelen sneller te realiseren dan u denkt!
Dit artikel is tevens verschenen in Automatisering Gids.
Voor meer informatie kunt u contact opnemen met mr. Luuk Jonker van de Sectie Intellectuele Eigendom/ICT te ’s-Hertogenbosch (T. 073 - 616 11 00, E: l.jonker@holla.nl).
