Ook van de AVG mag je onrechtmatig verkregen bewijs gebruiken in een juridische procedure. Dat oordeelde de hoogste Europese rechter in het NTH-arrest (C-484/24) vorige week. Het verbaast me niets, maar ik ben er toch blij mee.
In Nederland is de hoofdregel dat onrechtmatig verkregen bewijs in principe wél gewoon gebruikt mag worden. Althans in civiele rechtszaken; in het strafrecht moeten politie en Justitie volgens het wetboek van strafvordering werken, op straffe van uitsluiting van het bewijs.
De Hoge Raad oordeelde al in 1987 dat voor uitsluiting van bewijs sprake moet zijn van een “rechtens ontoelaatbare inbreuk op de privacy, zulks op basis van bijkomende omstandigheden die deze conclusie rechtvaardigen”. Oftewel: een inbreuk op zich is niet genoeg, het moet wel een hele erge zijn.
Met enige regelmaat zijn er rechtszaken (opvallend vaak arbeidsrecht, maar dat ligt vast aan mij) waarin een partij iets evident onrechtmatigs doet maar het bewijs wél mag gebruiken. Met dan de aanvullende consequentie van een schadevergoeding naar de ander. Zoals in in een zaak over inbreken op de e-mail van de werknemer. De werkgever moest € 7500 schadevergoeding betalen, maar het verkregen bewijs werd desondanks gebruikt en het ontslag kwam er door.
In deze zaak had een Duitse werkgever het vermoeden dat een werknemer goederen van de werkgever verkocht op eBay. De werkgever wist dat te bewijzen door in het eBay-account van de werknemer te kijken:
[De werkgever gebruikte] dat platform door de browsegeschiedenis te raadplegen van de computer die [werkgever] toebehoort en die door [werknemer] werd gebruikt, en dat hij het wachtwoord heeft achterhaald door een „familiedossier” te raadplegen dat op haar server was aangemaakt. [Werknemer] verklaart echter dat zij dat wachtwoord niet had opgeslagen in de digitale opslag van [werkgever]. [Werknemer] stelt daarentegen dat de mobiele telefoon die zij gebruikte en op naam van het bedrijf was geregistreerd door de directeur van [werkgever] als verloren werd opgegeven teneinde een nieuwe simkaart (subscriber identity module-kaart, abonnee-identiteitsmodulekaart) bij de betrokken telefoonmaatschappij te kunnen aanvragen.
Het recovery-nummer van het account was dus verbonden aan de zakelijke telefoon, zodat de werkgever een reset kon doen nadat deze een nieuwe simkaart had verkregen.
Mogelijk onrechtmatig, aldus de Duitse rechter. Met de vervolgvraag: dit is een verwerking van persoonsgegevens, dus staat de AVG dan in de weg aan het alsnog gebruiken van dat bewijs? Dit mede omdat de werknemer op grond van artikel 17 AVG onmiddellijke vernietiging van die gegevens had geëist, want immers onrechtmatig verkregen.
Persoonsgegevens hoeven echter niet gewist als zij “nodig” zijn voor de instelling, uitoefening of onderbouwing van een rechtsvordering, aldus lid 3 van dat artikel. Maar de algemene aanname is natuurlijk dat je alleen voor rechtmatige doelen persoonsgegevens verwerkt, en irrelevante of illegale persoonsgegevens direct wist (minimale gegevensbescherming).
Tijd voor vragen aan het Hof van Justitie. Dat zegt nu: als het enkel gaat om “het eenvoudigweg aantonen van de door [een partij] aangevoerde feiten”, dan is het geen probleem dat de rechter bewijzen gebruikt die persoonsgegevens bevatten en die in strijd met de wet zijn verkregen door die partij. Wel moet de rechter nagaan of die gegevens beperkt zijn tot het absoluut noodzakelijke en minimale. En als dat nodig is, ook maatregelen nemen om de privacy van betrokkenen te beschermen.
Voor mij niet verrassend. De AVG is nooit absoluut, maar juist pragmatisch. Het algemene principe dat we in Nederland (en grofweg ook in België, de Antigoon-jurisprudentie) hebben, is ook pragmatisch: het gaat om de waarheid, en de negatieve impact van die onrechtmatige handeling kun je separaat oplossen.
Arnoud
