Wat valt er onder schending van privacy?

Privacy is een fundamenteel recht, maar in onze digitale samenleving wordt het dagelijks op de proef gesteld. Een schending van privacy doet zich voor wanneer persoonlijke gegevens worden verzameld, gebruikt of gedeeld op een manier die in strijd is met de wet of de redelijke verwachting van het individu. Dit is niet louter een abstract juridisch concept; het gaat om concrete inbreuken op de controle die een persoon over zijn of haar eigen informatie hoort te hebben.

De kern van een privacyschending ligt vaak in het ontbreken van wettelijke grondslag en transparantie. Dit betekent bijvoorbeeld dat gegevens worden verwerkt zonder toestemming, of voor een ander doel dan waarvoor ze oorspronkelijk zijn verzameld. Het kan ook gaan om het onvoldoende beveiligen van gevoelige informatie, waardoor datalekken ontstaan. Een schending is dus zowel een overtreding van formele regels als een aantasting van het vertrouwen.

De praktijk is breder dan alleen datalekken. Het omvat ook subtielere vormen, zoals stalking, het plaatsen van beeldmateriaal zonder toestemming (denk aan revenge porn), ongewenst observeren, of het publiceren van iemands gezondheidsinformatie. Zelfs het ongevraagd verzamelen en combineren van online gedrag voor een gedetailleerd persoonsprofiel kan een schending vormen. Het gaat steeds om de onrechtmatige inbreuk op de persoonlijke levenssfeer, zowel online als in de fysieke wereld.

Verzamelen en gebruiken van gegevens zonder toestemming of duidelijke reden

Een fundamentele schending van privacy is het verzamelen of verwerken van persoonsgegevens zonder een geldige rechtsgrondslag. De Algemene Verordening Gegevensbescherming (AVG) vereist dat elke gegevensverwerking berust op één van de zes grondslagen, zoals toestemming of een gerechtvaardigd belang. Het verzamelen van gegevens 'zomaar', omdat het misschien later nuttig zou kunnen zijn, is strikt verboden.

Het ontbreken van transparantie is hierbij cruciaal. Gebruikers moeten geïnformeerd worden over het doel van de gegevensverwerking voordat hun data wordt verzameld. Het achteraf bedenken van een doel of het gebruiken van gegevens voor een ander, niet-gerelateerd doel (ook wel 'function creep' genoemd) vormt een ernstige overtreding. Een voorbeeld is een navigatie-app die locatiegegevens vervolgens gebruikt voor gerichte advertenties zonder dit expliciet te vermelden.

Een veelvoorkomende praktijk is het plaatsen van niet-noodzakelijke cookies of het gebruik van onzichtbare trackers (bijvoorbeeld pixels) om surfgedrag, klikpatronen en tijdsbesteding uitgebreid te monitoren. Dit gebeurt vaak zonder dat de gebruiker een reële keuze heeft of het werkelijke doel en de omvang begrijpt. Dergelijke gegevens worden vervolgens geanalyseerd om gedragsprofielen op te stellen.

Ook het kopen en verkopen van persoonsgegevenslijsten tussen partijen, zonder de oorspronkelijke toestemming van de betrokken personen voor die doorverkoop, valt onder deze categorie. De persoon wiens gegevens worden verhandeld, heeft hier geen controle over en is zich vaak niet bewust van welke organisaties allemaal over zijn gegevens beschikken.

Deze handelingen ondermijnen het principe van gegevensminimalisatie en doelbinding. Ze beroven individuen van hun autonomie over hun persoonlijke informatie en creëren een machtsongelijkheid waar de organisatie meer weet over de persoon dan omgekeerd, vaak zonder een duidelijk, vooraf gespecificeerd en rechtmatig belang.

Onbevoegde toegang tot of lekken van persoonsgegevens

Dit is een van de meest voorkomende en ernstige vormen van privacyschending. Het betreft elke situatie waarin persoonsgegevens in handen vallen van personen die geen toegang horen te hebben. Dit kan het gevolg zijn van kwaadwillende acties, maar ook van menselijke fouten of technische tekortkomingen.

Onbevoegde toegang doet zich voor wanneer iemand zonder toestemming of wettelijke grondslag een systeem of locatie binnendringt waar persoonsgegevens zijn opgeslagen. Voorbeelden zijn het hacken van een database, het stelen van een laptop of dossier, of het inzien van patiëntendossiers door een medewerker zonder behandelrelatie.

Een datalek is het onbedoeld of illegaal vrijkomen van persoonsgegevens. Dit kan gebeuren door een kwetsbaarheid in software, het per ongeluk mailen van gegevens naar de verkeerde ontvanger, het weggooien van niet-vernietigde papieren dossiers, of het verliezen van een USB-stick. Het lekken van grote hoeveelheden gegevens na een cyberaanval, zoals ransomware, valt ook onder deze categorie.

De gevolgen voor de betrokken personen zijn vaak groot. Zij kunnen te maken krijgen met identiteitsfraude, financiële schade, chantage of reputatieschade. Ook psychisch leed door het gevoel van schending is een reëel gevolg. De verwerkingsverantwoordelijke is wettelijk verplicht om passende technische en organisatorische maatregelen te nemen om dit te voorkomen en moet een lek in veel gevallen melden bij de Autoriteit Persoonsgegevens en de betrokkenen.

Plaatsen van foto's, video's of persoonlijke informatie zonder instemming

Dit is een van de meest voorkomende en ingrijpende privacyschendingen. Het betreft het online of offline publiceren van materiaal waarop een persoon herkenbaar is, zonder diens uitdrukkelijke toestemming. De kern van de schending ligt in het ontnemen van individuele controle over het eigen beeld en informatie.

Het publiceren van foto's of video's genomen in privésfeer is bijzonder ernstig. Denk aan beelden binnen een woning, in een besloten groep of in een situatie met een redelijke verwachting van privacy. Ook het delen van screenshots van privé-gesprekken, bijvoorbeeld via messaging apps, valt hieronder.

Persoonlijke informatie omvat veel meer dan alleen beeldmateriaal. Het plaatsen van iemands adres, telefoonnummer, BSN, gezondheidsgegevens, salarisinformatie of intieme correspondentie zonder instemming is een duidelijke schending. Dit kan leiden tot identiteitsfraude, stalking, intimidatie of reputatieschade.

De context is cruciaal. Een onschuldige vakantiefoto die iemand tagt op sociale media kan al problematisch zijn als die persoon anoniem wil blijven of veiligheidsredenen heeft. Het is niet alleen een kwestie van intentie, maar van het recht op zelfbeschikking over persoonlijke gegevens.

Zelfs als de informatie of het beeld eerder openbaar was, kan het opnieuw plaatsen in een nieuwe, schadelijke context een privacyschending vormen. De Algemene Verordening Gegevensbescherming (AVG) en het recht op portret beschermen individuen hiertegen. Slachtoffers kunnen een verzoek tot verwijdering indienen en in ernstige gevallen aangifte doen of een civiele procedure starten.

Veelgestelde vragen:

Wat zijn voorbeelden van privacy schending in het dagelijks leven?

Privacy schendingen komen vaker voor dan veel mensen denken. Een duidelijk voorbeeld is wanneer een colleoma zonder toestemming op je computer kijkt terwijl je bent ingelogd. Ook het ongevraagd maken en verspreiden van foto's of video's waar iemand anders op staat, is een schending. Denk aan een situatie waarin iemand een foto in een kleedkamer maakt. Daarnaast kan het stiekem volgen van iemands locatie via een telefoon, het openen van iemands post of het afluisteren van een privégesprek allemaal onder privacy schending vallen. Zelfs het delen van iemands persoonlijke gezondheidsinformatie met anderen zonder dat daar een goede reden voor is, hoort hierbij.

Mag mijn werkgever mijn e-mails lezen?

Dit mag alleen onder strikte voorwaarden. Uw werkgever moet een gegronde reden hebben, zoals een vermoeden van misbruik of het onderzoeken van een klacht. Het beleid hierover moet vooraf duidelijk zijn vastgelegd in een personeelshandboek of reglement, en u moet hiervan op de hoogte zijn. Zomaar routinematig alle e-mails van werknemers lezen is niet toegestaan. De werkgever moet altijd een afweging maken tussen zijn bedrijfsbelang en uw recht op privacy. Het gaat te ver om privé-berichten in een persoonlijk e-mailaccount te lezen, tenzij dit account op een bedrijfsapparaat staat en er een zeer zwaarwegend belang is.

Is het plaatsen van een foto van iemand anders op sociale media altijd verboden?

Niet altijd, maar het kan wel. U heeft in principe toestemming nodig van de persoon op de foto voordat u deze plaatst. Er zijn uitzonderingen, zoals foto's van mensen in het openbaar bij een nieuwswaardige gebeurtenis of als ze niet herkenbaar zijn. Plaatst u echter een foto waarop iemand duidelijk te zien is in een privésituatie, dan schendt u waarschijnlijk diens privacy. Dit geldt sterker voor gevoelige beelden, zoals iemand in zwemkleding. De persoon op de foto kan vragen de foto te verwijderen. Weigert u dat, dan kan dit tot een juridische procedure leiden.

Wat kan ik doen als een bedrijf mijn gegevens lekt?

U heeft verschillende opties. Stap één is om het bedrijf zelf te contacteren en een duidelijke klacht in te dienen. Vraag om een volledige uitleg over wat er is gebeurd en welke gegevens zijn gelekt. Het bedrijf is verplicht om de lek te melden bij de Autoriteit Persoonsgegevens (AP) als er een risico is voor uw rechten. Doet het bedrijf dit niet, dan kunt u zelf een melding doen bij de AP. U kunt de AP ook vragen om het handelen van het bedrijf te onderzoeken. In ernstige gevallen, bijvoorbeeld als de lek tot financiële schade of identiteitsfraude leidt, kunt u overwegen om een civiele procedure te starten voor schadevergoeding.

Valt het gebruik van bewakingscamera's ook onder privacywetgeving?

Ja, dat valt er zeker onder. Het plaatsen van een camera die de openbare weg of andermans eigendom filmt, is vaak niet toegestaan. U mag alleen uw eigen terrein filmen. Plaatst u een camera aan uw huis, dan moet u ervoor zorgen dat deze niet onnodig de stoep, de weg of de tuin van de buren filmt. Ook op de werkvloer gelden regels: de werkgever moet het cameragebruik aankondigen, een legitiem doel hebben (zoals diefstal voorkomen) en de beelden niet langer bewaren dan nodig. Het recht op privacy van voorbijgangers en medewerkers weegt zwaar.