Rechtbank als verwerker?

Dat de AVG de komende tijd zal zorgen voor boeiende jurisprudentie had ik al zien aankomen. De meeste jurisprudentie die momenteel beschikbaar komt is redelijk voorspelbaar en weinig opzienbarend. Des te opvallender is daarom de beslissing die de rechtbank Noord-Nederland onlangs nam. Deze rechtbank heeft zich in deze uitspraak aangemerkt als een verwerker in de zin van de AVG.

De rechtbank als verwerker in de zin van de AVG

Deze rechtszaak behandelt een vergunningaanvraag waarbij 21 (afzonderlijke) partijen betrokken zijn. De voorzieningenrechter komt tot het besluit dat zij een verwerker is in de zin van de AVG en splitst het beroep in 21 afzonderlijke zaaknummers, waarbij elke verzoeker in de gelegenheid wordt gesteld om voor elke afzonderlijke zaak aan te geven op welke nadere gronden moet worden aangenomen dat die specifieke vergunning vernietigd zou moeten worden.

De rechtbank komt tot deze conclusie op grond van de volgende overweging:

Ter voorlichting van partijen overweegt de voorzieningenrechter nog als volgt. Op 25 mei 2018 is de AVG in werking getreden. Uit artikel 4, onder 2, van de AVG, in samenhang gelezen met artikel 4, onder 8, van de AVG leidt de voorzieningenrechter af dat hij als verwerker in vorenbedoelde zin dient te worden aangemerkt en dat er in dit geval sprake is van verwerking van persoonsgegevens in de zin van de AVG bij het doorzenden van stukken aan partijen. Ingevolge artikel 5, eerste lid, aanhef en onder c, van de AVG moeten persoonsgegevens toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt (“minimale gegevensverwerking”). Die verplichting tot minimale gegevensverwerking brengt met zich dat niet alle persoonsgegevens van de afzonderlijke vergunninghouders in dit geval zonder meer kunnen worden doorgezonden. Hierbij neemt de voorzieningenrechter in aanmerking dat in de afzonderlijke bedrijfsplannen van de vergunninghouders vertrouwelijke gegevens of bedrijfsgevoelige informatie vermeld kan staan.

Opvallend?

Om te beginnen, gerechtelijke instanties zijn een bijzonder soort verwerkingsverantwoordelijke. De Autoriteit Persoonsgegevens is vanwege de onafhankelijkheid van de rechterlijke macht, op grond van art. 55 lid 3, niet bevoegd om daartegen op te treden. De rechterlijke macht dient zelf naleving en toezicht te regelen.

In artikel 20 op de toelichting bij de AVG wordt hierover gezegd:

Hoewel de onderhavige verordening onder meer van toepassing is op de activiteiten van gerechten en andere rechterlijke autoriteiten, zouden in het Unierecht of het lidstatelijke recht de verwerkingen en verwerkingsprocedures met betrekking tot het verwerken van persoonsgegevens door gerechten en andere rechterlijke autoriteiten nader kunnen worden gespecificeerd. De competentie van de toezichthoudende autoriteiten mag zich niet uitstrekken tot de verwerking van persoonsgegevens door gerechten in het kader van hun gerechtelijke taken, zulks teneinde de onafhankelijkheid van de rechterlijke macht bij de uitoefening van haar rechterlijke taken, waaronder besluitvorming, te waarborgen. Het toezicht op die gegevensverwerkingen moet kunnen worden toevertrouwd aan specifieke instanties binnen de rechterlijke organisatie van de lidstaat, die met name de naleving van de regels van deze verordening moeten garanderen, leden van de rechterlijke macht van hun verplichtingen krachtens deze verordening sterker bewust moeten maken, en klachten met betrekking tot die gegevensverwerkingen moeten behandelen.

De rechtbank is wellicht bijzonder zorgvuldig op dit punt maar wat mij betreft blijft het de vraag of de rechtbank in deze een verwerker is. Als dit nu zo is, had dit onder de Wet bescherming persoonsgegevens (Wbp) ook al het geval geweest, althans dan was de rechtbank bewerker geweest. Wat is een verwerker ook alweer volgens art. 4 onder punt 8 AVG: “een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/ dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerk”. Stel dat de rechtbank inderdaad verwerker is, wie is hier dan de verwerkingsverantwoordelijke ten behoeve waarvan de rechtbank de persoonsgegevens verwerkt? Met deze verwerkingsverantwoordelijke zullen er dus ook verwerkersovereenkomsten worden gesloten?

Zorgvuldig!

Zoals gezegd is de rechtbank wellicht bijzonder zorgvuldig op dit punt. De verweerders worden allen in de gelegenheid gesteld om voor elke afzonderlijke vergunning tot dossiervorming over te gaan. Aldus, zo stelt de rechtbank, kan worden gewaarborgd dat de gegevens en inzichten die iedere afzonderlijke vergunninghouder aan verweerder heeft toevertrouwd en in het kader van deze beroepsprocedure aan de rechtbank willen toevertrouwen, aan de rechtbank kunnen worden ingezonden zonder dat die bij de overige vergunninghouders bekend worden.

Ondanks dit nobele streven ben ik erg benieuwd of deze uitspraak bijval gaat krijgen in komende procedures. We gaan het zien, ik hou het in elk geval scherp in de gaten. Wat is het recht toch boeiend!

"Het blog Juridict.nl verschaft inzicht in het domein Recht en ICT. Dit zowel vanuit juridisch- als vanuit ICT perspectief."