Wat valt er onder schending van privacy?

Privacy is een fundamenteel recht dat in Nederland grondwettelijk is beschermd. Het omvat de ruimte die een persoon nodig heeft om zichzelf te zijn, zonder ongewenste inmenging van anderen. Een schending van dit recht doet zich voor wanneer persoonlijke gegevens of de persoonlijke levenssfeer zonder wettelijke grondslag of toestemming worden geraadpleegd, gebruikt, gedeeld of openbaar gemaakt.

In de kern gaat het om elke handeling die de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens aantast. Dit kan variëren van een opzettelijke en kwaadwillende daad, zoals het hacken van een database, tot onachtzaamheid, zoals het per ongeluk cc'en in plaats van bcc'en in een e-mail naar een grote groep ontvangers. Ook het zonder duidelijke noodzaak verzamelen van excessieve gegevens of het langer bewaren dan noodzakelijk vormt een inbreuk.

De schending strekt zich echter verder uit dan alleen de digitale wereld. Het omvat ook fysieke inbreuken, zoals het ongevraagd openen van iemands post, het plaatsen van een camera die een privé-terrein filmt, of het verspreiden van roddels over iemands gezondheid. Het gemeenschappelijke kenmerk is altijd de aantasting van de controle die een individu rechtmatig over zijn eigen persoon en informatie zou moeten hebben.

De Algemene Verordening Gegevensbescherming (AVG) geeft een wettelijk kader en noemt specifieke voorwaarden voor een rechtmatige verwerking. Handelingen die buiten dit kader vallen, zijn per definitie privacy schendend. Dit artikel geeft een overzicht van de belangrijkste vormen, van datalekken en identiteitsfraude tot meer subtiele overtredingen zoals function creep en het gebrek aan transparantie.

Ongeoorloofde verzameling en vastlegging van persoonsgegevens

Een fundamentele schending van privacy vindt plaats wanneer persoonsgegevens worden verzameld of vastgelegd zonder een wettelijke grondslag. De Algemene Verordening Gegevensbescherming (AVG) schrijft voor dat verwerking alleen is toegestaan op basis van toestemming, de uitvoering van een overeenkomst, een wettelijke verplichting, een vitaal belang, een taak van algemeen belang of een gerechtvaardigd belang.

Het verzamelen van gegevens zonder duidelijke, specifieke en geïnformeerde toestemming is een veelvoorkomende overtreding. Dit gebeurt bijvoorbeeld wanneer een website standaard vakjes aanvinkt, toestemming verborgen is in lange voorwaarden, of wanneer de gebruiker geen echte keuze heeft.

Ook het verzamelen van gegevens voor een niet-gespecificeerd, vaag of anders doel dan waarvoor ze zijn verkregen, is ongeoorloofd. De verzamelaar moet vooraf het doel duidelijk maken; het achteraf bedenken van een nieuw doel is niet toegestaan zonder nieuwe toestemming.

Een andere schending is de verborgen vastlegging van gegevens. Denk aan onzichtbare trackers op websites die surfgedrag monitoren, het opnemen van gesprekken zonder kennisgeving, of het gebruik van bewakingscamera's met gezichtsherkenning op openbare plaatsen zonder duidelijke waarschuwing en noodzaak.

Het vastleggen van overmatige of niet-relevante gegevens ("datamaximalisatie") is eveneens in strijd met de wet. Als een app voor een eenvoudige taak toegang vraagt tot contacten, locatie en foto's, is deze verzameling disproportioneel en dus ongeoorloofd.

Ten slotte valt het verzamelen van bijzondere categorieën van persoonsgegevens – zoals gegevens over gezondheid, ras of geloofsovertuiging – onder een strenger regime. Vastlegging hiervan zonder een expliciete uitzondering in de AVG is vrijwel altijd een privacy schending.

Delen of publiceren van gegevens zonder toestemming

Het ongeoorloofd delen of publiceren van persoonsgegevens is een van de meest voorkomende en ingrijpende privacyschendingen. Het betreft elke handeling waarbij iemands gegevens worden verspreid of toegankelijk gemaakt voor derden, zonder dat hiervoor een wettelijke grondslag of uitdrukkelijke toestemming van de betrokkene bestaat.

Deze schending kan vele vormen aannemen. Het variëren van het doorsturen van een vertrouwelijk e-mailbericht met persoonlijke inhoud aan onbevoegden, tot het op sociale media plaatsen van foto's of video's waarop anderen herkenbaar in beeld zijn zonder hun akkoord. Ook het online publiceren van iemands adres, salaris, gezondheidsinformatie of andere gevoelige data valt hieronder.

De Algemene Verordening Gegevensbescherming (AVG) benadrukt het beginsel van 'doelbinding'. Gegevens die voor een specifiek doel zijn verzameld, mogen niet zomaar voor een ander doel worden gedeeld. Een werkgever die werknemersgegevens deelt met een ander bedrijf voor commerciële doeleinden, of een arts die medische informatie bespreekt buiten de behandelkamer, handelt in strijd met dit beginsel.

Bijzonder ernstig is het delen van bijzondere categorieën van persoonsgegevens, zoals gegevens over ras, geloof, gezondheid of seksuele voorkeur. Voor de verwerking van dergelijke gevoelige informatie gelden extra strenge voorwaarden. Publicatie zonder toestemming is vaak niet alleen een privacyschending, maar kan ook leiden tot discriminatie of stigmatisering.

De gevolgen voor het slachtoffer zijn vaak aanzienlijk. Naast gevoelens van machteloosheid en wantrouwen, kan het leiden tot financieel verlies, identiteitsfraude, reputatieschade, pestgedrag of psychisch leed. De verantwoordelijke voor de ongeoorloofde verspreiding kan aansprakelijk worden gesteld en riskeren hoge boetes van de toezichthouder.

Onbevoegde toegang tot systemen en datalekken

Een van de ernstigste privacyschendingen is het verkrijgen van onbevoegde toegang tot informatiesystemen. Dit omvat elke handeling waarbij een persoon of entiteit zonder toestemming of wettelijke grondslag digitale omgevingen binnendringt waar persoonsgegevens zijn opgeslagen. Methodes variëren van het kraken van wachtwoorden en het gebruik van malware tot het misbruiken van zwakke plekken in software.

Een direct gevolg van onbevoegde toegang is vaak een datalek. Een datalek doet zich voor wanneer persoonsgegevens per ongeluk of op onrechtmatige wijze worden vernietigd, verloren, gewijzigd of vrijgegeven. Het gaat niet alleen om diefstal door externe hackers; ook het per ongeluk versturen van een gevoelig bestand naar de verkeerde ontvanger of het onbeveiligd achterlaten van een database zijn datalekken.

De impact hiervan is groot. Gegevens die bij een lek worden blootgelegd, kunnen bijvoorbeeld medische dossiers, financiële informatie, identificatienummers of privécorrespondentie zijn. Deze informatie kan worden gebruikt voor identiteitsfraude, chantage, financiële diefstal of het veroorzaken van persoonlijke schade en reputatieschade.

Volgens de Algemene Verordening Gegevensbescherming (AVG) zijn organisaties verplicht technische en organisatorische maatregelen te treffen om dit te voorkomen. Het niet adequaat beveiligen van systemen, wat leidt tot een lek, kan op zichzelf al een schending van de privacywetgeving vormen, ongeacht de intentie. Bij een ernstig lek bestaat er een meldplicht aan de toezichthouder en, in bepaalde gevallen, aan de betrokken personen.

Verborgen observatie en aantasting van de persoonlijke sfeer

Een van de meest ingrijpende privacyschendingen is het onderwerpen van een persoon aan verborgen observatie. Hierbij wordt iemands persoonlijke leven of handelingen vastgelegd zonder zijn medeweten of toestemming, wat een directe en ernstige aantasting van de persoonlijke levenssfeer vormt. Het gaat om situaties waarin een redelijke verwachting van privacy bestaat.

De kern van de schending ligt in het verborgen karakter. De betrokkene kan zich niet vrij gedragen, is niet op de hoogte van de observatie en kan er dus ook geen bezwaar tegen maken. Deze praktijken kunnen zowel fysiek als digitaal plaatsvinden.

• Fysieke observatie en opname:
  
  
  
  
  
  • Het plaatsen van verborgen camera's in privéruimtes zoals slaapkamers, badkamers, kleedkamers of hotelkamers.
  
  
  
  • Het heimelijk maken van audio-opnames van privégesprekken, bijvoorbeeld via een verborgen voice-recorder.
  
  
  
  • Stelselmatig achtervolgen of bespieden (stalking) met als doel iemands privéleven vast te leggen.
  
  
  
  
  
  



• Digitale observatie en surveillance:
  
  
  
  
  
  • Het gebruik van spyware of stalkerware op een smartphone of computer om berichten, locatie, gesprekken en toetsaanslagen heimelijk te monitoren.
  
  
  
  • Het ongemerkt activeren van een webcam of microfoon op een apparaat (camjacking).
  
  
  
  • Het volgen van iemand via de GPS in zijn voertuig of smartphone zonder dat hij dit weet of wil.
  
  
  
  
  
  

De wettelijke bescherming tegen deze vormen is sterk. De Algemene Verordening Gegevensbescherming (AVG) verbiedt het verwerken van persoonsgegevens, waaronder beeld en geluid, zonder geldige grondslag. Daarnaast is in het Wetboek van Strafrecht het 'huisvredebreuk'-artikel (art. 138a Sr) van toepassing: het binnendringen in een besloten ruimte met een technisch hulpmiddel om daar een waarneming te verrichten. Ook het heimelijk afluisteren, opnemen of aftappen van gesprekken is strafbaar gesteld (art. 139a e.v. Sr).

Het maakt hierbij niet uit of de beelden of geluidsopnamen ooit openbaar worden gemaakt. Alleen het feit van de verborgen vastlegging op zich is al een privacyschending, omdat de autonomie en de persoonlijke ruimte van het individu fundamenteel worden geschonden.

Veelgestelde vragen:

Ik heb een kleine webshop. Mag ik de e-mailadressen van mijn klanten gebruiken om nieuwsbrieven te sturen?

Dat mag alleen onder strikte voorwaarden. Het verzamelen en gebruiken van een e-mailadres voor nieuwsbrieven valt onder de verwerking van persoonsgegevens. U moet hiervoor een geldige rechtsgrondslag hebben uit de AVG. Meestal is dit de ondubbelzinnige toestemming van de klant. Dit betekent dat de klant actief moet hebben aangegeven het goed te vinden, bijvoorbeeld door een vinkje te zetten in een niet-vooringevuld vakje. Alleen een algemene voorwaarden-tekst waar dit in staat, is niet genoeg. Ook moet u bij de verzameling duidelijk vermelden waarvoor het adres gebruikt wordt. Verder moet u altijd een eenvoudige mogelijkheid tot uitschrijven aanbieden in elke mailing. Gebruikt u de adressen zonder toestemming, dan is dat een privacyschending.

Mijn buurman heeft een camera die ook een stukje van mijn oprit filmt. Is dit toegestaan?

Dit kan een inbreuk op uw privacy zijn. De Algemene Verordening Gegevensbescherming (AVG) en de Nederlandse wet gelden ook voor particulieren als zij persoonsgegevens verwerken, zoals camerabeelden. Een belangrijk uitgangspunt is proportionaliteit. Film de camera alleen uw eigen terrein, dan is het meestal toegestaan. Richt de camera echter (ook) op openbare ruimtes of andermans eigendom, zoals uw oprit, dan weegt het privacybelang van voorbijgangers en buren zwaar. Uw buurman moet kunnen aantonen dat het noodzakelijk is voor een legitiem doel, zoals beveiliging, en dat dit doel niet op een minder ingrijpende manier bereikt kan worden. Hij moet ook duidelijk informeren over de camera met een bordje. U kunt eerst met hem in gesprek gaan over een andere opstelling. Blijft de camera op uw privéterrein gericht, dan kunt u een klacht indienen bij de Autoriteit Persoonsgegevens.

Mijn werkgever controleert al onze bedrijfsmail en internetgebruik. Mag dit zomaar?

Een werkgever mag dit niet zonder duidelijke regels en grenzen doen. Het controleren van e-mail en internetgedrag is een ernstige inbreuk op de privacy van werknemers. Het is alleen toegestaan als er een zwaarwegend bedrijfsbelang is, bijvoorbeeld bij een vermoeden van ernstige misdragingen of om bedrijfsgeheimen te beschermen. Zomaar preventief alle communicatie controleren is verboden. Er moeten duidelijke interne richtlijnen zijn waar alle werknemers van op de hoogte zijn. Deze moeten specifiek beschrijven wat wel en niet mag, wat er gecontroleerd wordt en onder welke voorwaarden. Ook moet de controle in verhouding staan tot het doel. De ondernemingsraad of personeelsvertegenwoordiging moet hierover worden geraadpleegd. Gebeurt het zonder deze waarborgen, dan schendt de werkgever uw privacy.