Inleiding
Vandaag heeft de voorzieningenrechter vonnis gewezen in de wraakpornozaak tussen Chantal en het ROC, waar we al een aantal keren eerder over blogden. Even kort de feiten: van Chantal is in 2015 een filmpje op het internet verschenen waarin zij ‘liefdevolle’ handelingen verrichte bij haar toenmalige vriend. Deze video verscheen op een Facebookpagina onder de naam ‘Chantal Werkendam’; haar voornaam en de naam van het dorpje waar zij woonachtig is. Chantal heeft hiervan aangifte gedaan en enkele procedures gevoerd, op grond waarvan Facebook haar een IP-adres heeft verschaft, welke te herleiden was tot een ROC in West-Brabant.
Peter R. de Vries heeft vervolgens een lijst van 6 personen kenbaar gemaakt, die destijds onderwijs volgden aan het betreffende ROC. Tussen deze 6 personen zou de dader volgens hem moeten zitten. De advocaat van Chantal heeft het ROC verzocht in haar systemen te zoeken en kenbaar te maken welke van deze 6 personen ten tijde van het aanmaken van het nep-account bij het ROC op school zat, dan wel bij de IT-partner van de school werkzaam waren. Het ROC weigerde dit echter, waarop Chantal heeft aangestuurd op een onderzoek dat bij het ROC plaats zou moeten vinden. Het onderzoek zou bestaan uit twee fasen; een fase 1 met een technisch onderzoek naar de vraag of er nog Facebookcontacten/connecties ten tijde van het aanmaken van het account op de servers van het ROC beschikbaar zijn, en een fase 2 met een onderzoek naar de specifieke dader onder raadpleging van de persoonsgegevens van diverse leerlingen.
Het ROC gaf aan in te willen stemmen met fase 1, en heeft hiertoe een “geheimhoudings- en bewerkersovereenkomst” opgesteld, maar partijen konden het niet eens worden over de inhoud hiervan. Het ROC wilde externe deskundigen immers niet toestaan persoonsgegevens omtrent het IP-adres te verstrekken.
Kort geding
Chantal vordert in kort geding dat de rechtbank het ROC gebiedt het onderzoek aan te laten vangen, in de lijn van de (niet ondertekende) overeenkomst. Chantal stelt kort gezegd dat haar belang prevaleert boven het privacybelang van de maker, aangezien vaststaat dat hij strafbaar jegens haar heeft gehandeld. Volgens Chantal dient de dader de door haar geleden en nog te lijden schade aan haar te vergoeden. Ook dient het privacybelang van Chantal te prevaleren boven het algemene privacybelang van het ROC. In de overeenkomst (waar wij helaas geen kopie van hebben) staan volgens haar eisen die dusdanig onredelijk zijn, dat Chantal hier niet aan kan voldoen en het onderzoek feitelijk wordt tegengehouden.
Het ROC stelt daar tegenover dat het voldoende heeft gedaan om te achterhalen wie de dader is, en dat zij er vooral niet op uit is om hem te beschermen. Het ROC stelt dat zij mee wilde werken aan het onderzoek onder voorwaarde dat er geen persoonsgegevens zouden worden verwerkt en het onderzoek plaats zou vinden binnen de grenzen van (o.a.) de Wbp. Wordt in strijd met de Wbp gehandeld, dan riskeert het ROC boetes, aldus haarzelf. Volgens het ROC zijn de door haar gestelde voorwaarden in de overeenkomst dan ook redelijk. Tevens zijn er volgens haar minder ingrijpende mogelijkheden voorhanden om de dader te achterhalen, zoals:
· De uitdrukkelijke toestemming van de verdachte leerlingen voor het verwerken van hun persoonsgegevens voor het onderzoek van Chantal;
· De ontheffing/toestemming voor het onderzoek van de AP;
· Een bevel van de rechter-commissaris om de gegevens van de vermoedelijke dader op te sporen en/of het starten van een voorlopig getuigenverhoor.
Uitspraak
De voorzieningenrechter geeft het ROC gelijk in zijn vonnis, en wijst alle vorderingen van Chantal af. Het door Chantal gedane beroep op de kort geding-uitspraak van 25 juni waarin is geoordeeld dat Facebook NAW-gegevens af diende te geven, gaat volgens de rechter niet op:
“Anders dan bij Facebook heeft het ROC, niet zijnde een provider, namelijk met de maker van het Nep-Account geen relatie die betrekking heeft op haar digitale infrastructuur, anders dan dat het een persoon betreft die zich kennelijk in een van haar gebouwen heeft bevonden en van haar infrastructuur gebruik heeft gemaakt.”
Vervolgens oordeelt de rechter dat honorering van de vordering van Chantal een verwerking van persoonsgegevens impliceert, en dat de hiervoor in artikel 8 van de Wbp vereiste grondslagen sub a t/m e ontbreken. Wellicht zou sub f van artikel 8 Wbp soelaas kunnen bieden, op grond waarvan een belangenafweging dient te worden gemaakt tussen de belangen van Chantal enerzijds en het ROC en haar medewerkers en leerlingen anderzijds. Volgens de rechter valt de belangenafweging echter in het voordeel van het ROC uit:
“De voorzieningenrechter overweegt dat [Chantal] niet aannemelijk heeft gemaakt dat zij de identiteit van de maker van het Nep-Account niet of op minder bezwaarlijke wijze dan middels verwerking van persoonsgegevens op de computer- en netwerksystemen van het ROC kan achterhalen. […] De voorzieningenrechter is op grond van het vorenstaande van oordeel dat niet gebleken is dat de uitkomst van de belangenafweging die het ROC heeft gemaakt, dermate onredelijk is dat deze jegens [Chantal] als onrechtmatig moet worden aangemerkt.”
Conclusie
Al met al lijkt het mij een goed doordacht en prima geformuleerd vonnis. Het is begrijpelijk dat de rechter de privacybelangen van 2.590 medewerkers en leerlingen van de school boven dat van 1 persoon verkiest, ook vooral omdat de claim is gestoeld op het verhalen van schade op de dader. Voor mezelf speelt daarbij ook mee dat Chantal ooit zelf het filmpje heeft laten maken en het dus ergens toch wel heeft laten gebeuren, hoe erg de consequenties dan ook mogen zij voor haar.
Wel zijn twee overwegingen van de voorzieningenrechter interessant. Ten eerste impliceert hij dat het ROC geen provider is en geen relatie heeft met haar leerlingen in het kader van haar digitale infrastructuur. Ik vraag me nu af in hoeverre het relevant is dat het ROC niet als ‘klassieke’ ISP kan worden gezien. Het ROC biedt dan geen diensten als (bijvoorbeeld) webhosting aan, maar verschaft haar leerlingen wel toegang tot het internet en waarschijnlijk zelfs eigen e-mailadressen. Wat is dan feitelijk het verschil met een klassieke ISP? En, impliceert dit dat een dergelijke entiteit nooit verzocht kan worden gegevens af te geven, omdat het geen klassieke ISP is? Hier komt bij dat is gebleken dat het onderhavige ROC prima in staat is om onderzoek te doen naar onrechtmatige activiteiten die via haar dienst hebben plaatsgevonden.
Daarnaast vraag ik me af of het wel waar is dat het ROC geen relatie zou hebben met de mogelijke dader in het kader van digitale infrastructuur. In elk computerlokaal hangen immers bordjes met daarop instructies voor het gebruiken van het internet, en het lijkt me dat veel scholen tegenwoordig ook andere documentatie hanteren ten aanzien van internetgebruik. Dat het ROC geen digitaal raadpleegbare richtlijnen heeft zoals Facebook, lijkt me vrij logisch, maar mij lijkt niet dat het ROC daarom vrijuit zou moeten gaan.
Ook vind ik de bewijslast voor Chantal vrij zwaar. Dat de belangenafweging in het voordeel van het ROC (en vooral: haar medewerkers en leerlingen) valt, is begrijpelijk, maar dat Chantal dient te bewijzen dat er minder ingrijpende mogelijkheden zijn om de dader te achterhalen is toch ergens bijzonder, aangezien dit een behoorlijke bewijslast impliceert. Tenslotte vraag ik me af of Chantal wel eens is gewezen op het Streisand effect: zonder deze verwoede pogingen om schade te verhalen op de dader, was het gehele verhaal misschien al lang in de doofpot geraakt. Genoeg food for thought dus..
