Een groot deel van het leven speelt zich tegenwoordig online af. Dit betekent ook dat er steeds meer digitale persoonsgegevens zijn. Die persoonsgegevens houden niet op te bestaan zodra men komt te overlijden. Wat is de juridische status van deze gegevens en welke rechten kunnen nabestaanden uitoefenen?
Op die vragen heeft de rechtbank Den Haag in haar uitspraak van 24 januari jl. antwoord gegeven. In deze bijdrage wordt ‘post mortem’ gegevensbescherming besproken. Hierbij wordt zowel gekeken naar hoe Nederland hiermee omgaat als naar andere Europese jurisdicties.
Waar gaat de zaak over?
Het gaat om een fiscale zaak. Eiser woonde in Monaco en de Belastingdienst onderzocht of hij in de periode 2013 t/m 2017 ook inwoner was van Nederland. In het kader van dit onderzoek heeft de Belastingdienst onder meer een PowerPoint presentatie opgesteld. Hier stonden volgens eiser onjuiste (persoons)gegevens in en waren er tevens meer gegevens verwerkt dan nodig. Eiser was van mening dat hij hier inzage in moest krijgen en dat de verwerking van persoonsgegevens beperkt moest worden. Op 30 april 2022 overlijdt eiser en zetten de erfgenamen de procedure voort.
Eiser had zijn vordering gebaseerd op de rechten die op grond van de Algemene Verordening Gegevensbescherming (‘’AVG’’) aan betrokkenen worden toegekend. De erfgenamen stellen dat deze rechten krachtens erfopvolging op hen over zijn gegaan. De vraag voor de rechter is of de erfgenamen van eiser ontvankelijk zijn en de procedure voort kunnen zetten.
Oordeel rechtbank
Het antwoord van de rechtbank is duidelijk: nee. De rechter oordeelt dat de op de AVG gebaseerde rechten bij uitstek persoonlijke rechten zijn, die alleen door de eiser zelf zijn in te roepen. Zij zijn niet vermogens- of familierechtelijk van aard en daarom niet voor overgang vatbaar, zoals bedoeld in artikel 4:182 lid 1 BW (erfopvolging onder algemene titel).
Geen overgang van rechten onder de AVG krachtens erfopvolging
Op grond van hoofdstuk 3 van de AVG hebben betrokkenen ten aanzien van hun persoonsgegevens verschillende rechten. Hieronder valt onder meer het recht op inzage, rectificatie of gegevenswissing. In overweging 27 van de AVG is bepaald dat de verordening niet van toepassing is op de persoonsgegevens van overleden personen. Wel wordt aan lidstaten de bevoegdheid gegeven nadere regels op te stellen ten aanzien van de uitoefening van privacy rechten van overleden personen. Bij de implementatie van de AVG heeft Nederland ervoor gekozen om geen nadere regels hierover op te stellen. Dit betekent dat in Nederland de AVG slechts van toepassing is op levende personen en hier door nabestaanden niet een beroep op kan worden gedaan.
In Nederland is de conclusie helder. De AVG is niet van toepassing op overleden personen en de AVG-rechten die aan betrokkenen toekomen zijn niet voor overgang vatbaar.
Hoe gaan andere Europese lidstaten hiermee om?
Aangezien de AVG ruimte biedt om nadere regels te stellen ten aanzien van de verwerking van persoonsgegevens van overleden personen, heeft een aantal lidstaten hier uitvoering aan gegeven. Zo treden in Bulgarije de erfgenamen in de plaats van de overledene om de AVG-rechten uit te oefenen. In Slowakije en Estland moeten nabestaanden toestemming verlenen voor de verwerking van persoonsgegevens van de overledene.
In Spanje hebben erfgenamen het recht op inzage, gegevenswissing en rectificatie van persoonsgegevens, tenzij verwijdering of correctie door de wet of de overledene verboden is. Italiaanse wetgeving geeft een ruime bevoegdheid om de rechten van de overledene te blijven uitoefenen. Het recht op inzage, rectificatie en het recht op gegevenswissing kan na het overlijden van de betrokkene uitgevoerd worden door iedereen die daar een belang bij heeft, of anderszins handelt ter bescherming van de overledene.
Frankrijk lijkt een duidelijk systeem te hebben ingericht om privacy ‘post mortem’ te regelen. Betrokkenen hebben de mogelijkheid om instructies op te stellen voor het beheer van hun persoonsgegevens na hun overlijden. Iedere betrokkene mag voor zijn of haar dood algemene of specifieke instructies opstellen omtrent de opslag, verwijdering of openbaarmaking van zijn of haar persoonsgegevens. Hetzelfde geldt voor de overerving van zijn of haar digitale activa. De overledene kan in de instructies een persoon aanwijzen die verantwoordelijk is voor de uitvoering hiervan. Indien er geen persoon is aangewezen maar er ook geen tegengestelde instructies zijn opgesteld kunnen de rechtsopvolgers van de overledene de instructies zelf uitvoeren. Een verwerkingsverantwoordelijke dient zich aan deze instructies te houden en mag dit recht niet wegcontracteren in algemene voorwaarden.
Een lacune in de Nederlandse wet
Hierboven is een (kort) overzicht geschetst van hoe Nederland en andere Europese jurisdicties omgaan met privacy ‘post mortem’. In Nederland kunnen nabestaanden vooralsnog de privacy rechten van overledenen niet uitoefenen.
Het oordeel van de rechtbank in deze zaak is dan ook niet opmerkelijk. Nabestaanden van betrokkenen blijven (vooralsnog) aangewezen om geschillen over persoonsgegevens van overledenen via andere wegen op te lossen, bijvoorbeeld langs de lijnen van het verbintenissenrecht. Zo is het nabestaanden gelukt om toegang te verkrijgen tot een digitaal account van een overledene op basis van overgang van de overeenkomst die de overledene met de dienstverlener had gesloten. Toch zijn hiermee de rechten van overledenen nog niet genoeg geborgd, aangezien van een dergelijke onderliggende overeenkomst vaak geen sprake zal zijn.
Deze lacune in de Nederlandse wetgeving kan leiden tot rechtsonzekerheid, zowel voor betrokkenen die geen duidelijkheid hebben over wat er met hun persoonsgegevens zal gebeuren wanneer zij komen te overlijden, als voor de nabestaanden. Het stellen van nadere regels over hoe hiermee moet worden omgegaan lijkt een logische stap in de huidige (digitale) samenleving.