Stel: een collega wil een adressenbestand opbouwen op basis van gegevens uit het Handelsregister van de Kamer van Koophandel. Of een marketingafdeling wil e-mailadressen verzamelen van openbare LinkedIn-profielen. De volgende redenering klinkt dan logisch: “Die gegevens zijn openbaar, dus die mogen we toch gewoon gebruiken?”
De Commissie Koops heeft dit beeld scherp gecorrigeerd in haar advies over gegevensverwerking door de politie.[1]Volgens de commissie heeft de term “open bron” in de praktijk een ongewenste bijbetekenis gekregen: alsof “open” ook betekent dat de gegevens vrij, onbeperkt en zonder nadere juridische beoordeling mogen worden gebruikt.[2] Dat beeld is onjuist. Ook buiten de politie wordt vaak gedacht dat informatie die op internet staat, door iedereen naar eigen inzicht mag worden benut.[3]
Deze misvatting is enigszins begrijpelijk: het voelt vreemd dat gegevens die voor iedereen zichtbaar zijn, beschermd zouden zijn. Maar dat zijn ze. De Algemene Verordening Gegevensbescherming (AVG) maakt nergens een uitzondering voor persoonsgegevens op basis van de toegankelijkheid van de bron.
Dat wil overigens niet zeggen dat openbaarheid van gegevens volledig irrelevant is. Het kan namelijk wel degelijk een rol spelen in hoe sommige beginselen uit de AVG dienen te worden uitgelegd. In dit artikel bespreek ik hoe het juridische kader er werkelijk uitziet, wat de jurisprudentie ons leert, en waar in de praktijk de ruimte én de grenzen liggen.
Wat zegt de AVG precies?
Het begrip ‘verwerking’ is zeer ruim
De AVG hanteert een bijzonder ruime definitie van het begrip ‘verwerking’. Artikel 4, lid 2, AVG omvat vrijwel elke denkbare handeling met persoonsgegevens: van verzamelen en opslaan tot raadplegen, gebruiken en verstrekken.[4] Ook het enkele overtypen van gegevens uit een openbare bron, zonder die gegevens op te slaan, kwalificeert als een verwerking. Dat oordeelde de Rechtbank Noord-Nederland in een zaak die ik verderop in dit artikel bespreek.[5]
Geen uitzondering voor openbare bronnen
Het materiële toepassingsgebied van de AVG bevat een beperkt aantal uitzonderingen: verwerkingen in het kader van activiteiten die buiten de werkingssfeer van het Unierecht vallen, verwerking in het kader van nationale veiligheid, door bevoegde autoriteiten voor strafrechtelijke doeleinden, en verwerking voor zuiver persoonlijke of huishoudelijke activiteiten.[6] Een uitzondering op basis van de openbare toegankelijkheid van de bron ontbreekt.
Dat betekent dat élke verwerking van persoonsgegevens, ook wanneer die gegevens afkomstig zijn uit een openbaar toegankelijke bron, een grondslag vereist op basis van artikel 6 AVG.[7] De Autoriteit Persoonsgegevens (AP) is hierover ondubbelzinnig: het feit dat informatie over een persoon in een openbare bron staat, betekent niet dat die gegevens zomaar mogen worden gebruikt.[8]
De EDPB (European Data Protection Board) bevestigt dit in de Richtsnoeren 4/2019 inzake gegevensbescherming door ontwerp en door standaardinstellingen.[9] In paragraaf 59 schrijft de EDPB: “zelfs indien persoonsgegevens openbaar beschikbaar worden gesteld met toestemming en medeweten van een betrokkene, betekent dit niet dat andere verwerkingsverantwoordelijken die gegevens vrij mogen verwerken voor hun eigen doeleinden. Zij hebben daarvoor een eigen rechtsgrond nodig.”[10]
Twee illustraties uit de jurisprudentie
De Staatscourant-zaak
Een instructieve illustratie biedt een uitspraak van de Rechtbank Noord-Nederland uit 2017.[11] Een advocatenkantoor had persoonsgegevens van personen in de Wettelijke schuldsaneringsregeling (WSNP) overgetypt uit de Staatscourant, een bij uitstek openbaar toegankelijke bron. Het kantoor gebruikte deze gegevens om de betrokkenen een brief te sturen met een aanbod voor juridische bijstand.
De rechtbank oordeelde dat dit in strijd was met de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG. Allereerst kwalificeerde het enkele overtypen van de gegevens al als een verwerking van persoonsgegevens. Vervolgens oordeelde de rechtbank dat het advocatenkantoor niet voldoende had uitgelegd welk gerechtvaardigd belang zij bij deze verwerking had.[12]Bovendien werd een inbreuk op de belangen van de betrokkene vastgesteld: zij was geschrokken en geëmotioneerd door het onverwacht aantreffen van de brief op haar deurmat.
Het kantoor voerde aan dat directe marketing noodzakelijk was voor een gezonde bedrijfsvoering. De rechtbank verwierp dit argument: het kantoor kon haar doel ook bereiken door op andere, minder ingrijpende wijze reclame te maken. Niet was gesteld of onderbouwd dat direct marketing noodzakelijk was om als advocatenkantoor het hoofd boven water te houden.[13] De verwerking werd onrechtmatig verklaard en de betrokkene ontving een immateriële schadevergoeding van €100,-.
De kernles is helder: het feit dat de Staatscourant gegevens publiceert ter bescherming van schuldeisers, maakt niet dat die gegevens voor elk willekeurig ander doel mogen worden hergebruikt. De vereisten uit de AVG, zoals doelbinding en noodzakelijkheid zijn nog steeds van toepassing.
Deze Nederlandse uitspraak staat niet op zichzelf. Ook de hoogste Europese rechter trekt dezelfde lijn als het gaat om verwerkingen van persoonsgegevens uit openbaar toegankelijke bronnen.
Google Spain
In het arrest Google Spain uit 2014 oordeelde het HvJ-EU dat het geautomatiseerd, onophoudelijk en systematisch zoeken naar informatie die op het internet is gepubliceerd, kwalificeert als een verwerking van persoonsgegevens in de zin van de AVG (destijds de Privacyrichtlijn).[14] Het Hof oordeelde bovendien dat betrokkenen onder omstandigheden het recht hebben om zoekresultaten te laten verwijderen, ook wanneer de onderliggende informatie op zichzelf rechtmatig openbaar is.
Dit arrest maakte duidelijk dat de exploitant van een zoekmachine een zelfstandige verwerkingsverantwoordelijke is die een eigen grondslag nodig heeft, het feit dat de bronpagina rechtmatig openbaar is, ontslaat de zoekmachine daar niet van.
Wat betekent dit in de praktijk?
Op basis van het voorgaande kunnen de volgende aanbevelingen worden geformuleerd voor personen of organisaties die werken met persoonsgegevens uit openbaar toegankelijke bronnen.
Documenteer altijd een grondslag
Ook wanneer persoonsgegevens afkomstig zijn uit een openbare bron, is een grondslag op basis van artikel 6 AVG vereist. De redenering “het is openbaar, dus het mag” is juridisch onhoudbaar. Breng vooraf in kaart welke grondslag van toepassing is en leg dit vast.
Respecteer de doelbinding
Vraag u af: met welk doel zijn de gegevens openbaar gemaakt? Gegevens in het Handelsregister dienen de rechtszekerheid in het handelsverkeer. Gegevens in de Staatscourant dienen de bescherming van schuldeisers. Die doelen rechtvaardigen niet automatisch hergebruik voor andere doeleinden, zoals commerciële direct marketing.
Informeer betrokkenen
Wanneer persoonsgegevens niet rechtstreeks bij de betrokkene zijn verzameld, geldt de informatieverplichting van artikel 14 AVG; behoudens de uitzonderingen van artikel 14 lid 5 AVG. De verwerkingsverantwoordelijke moet onder meer vermelden uit welke bron de gegevens afkomstig zijn en of het een openbaar toegankelijke bron betreft.[15]Bovendien moet de betrokkene worden geïnformeerd over het doel van de verwerking, de grondslag en zijn rechten.[16]
Voldoe aan de beginselen van rechtmatige verwerking
Elke verwerking van persoonsgegevens, ook uit openbare bronnen, moet voldoen aan de beginselen van artikel 5 AVG, zoals rechtmatigheid, doelbinding en dataminimalisatie. In het bijzonder is proportionaliteit van belang: de verwerking moet in verhouding staan tot het beoogde doel.
Conclusie
Openbaar toegankelijke persoonsgegevens worden volledig beschermd door de AVG. De mythe dat openbare gegevens buiten het bereik van de privacywetgeving vallen, vindt geen steun in de wet, de jurisprudentie of de richtsnoeren van toezichthouders. Wie persoonsgegevens verwerkt uit openbare bronnen, heeft daar een grondslag voor nodig en moet voldoen aan alle beginselen van de AVG, waaronder doelbinding, dataminimalisatie en transparantie.
De les is uiteindelijk eenvoudig: openbaar betekent niet onbeschermd. Dat geldt voor de Staatscourant, voor het Handelsregister, voor LinkedIn-profielen en voor het openbare internet als geheel. Wie dat uitgangspunt hanteert, voorkomt niet alleen juridische risico’s en verlies van vertrouwen, maar toont bovenal respect voor de grondrechten van degenen wiens gegevens hij verwerkt.
Maar betekent dit dan dat openbaarheid er helemaal niet toe doet? Niet helemaal. Het openbare karakter van gegevens speelt geen rol bij de vraag óf de AVG van toepassing is, maar het kan wél meewegen bij de vraag of een verwerking gerechtvaardigd is. In het volgende artikel van deze reeks staat die andere kant centraal: de rol van openbaarheid in de belangenafweging bij gerechtvaardigd belang.
==================
voetnoten
[1] Commissie modernisering opsporingsonderzoek in het digitale tijdperk, Regulering van opsporingsbevoegdheden in een digitale omgeving, s.l. 2018, p. 151-153.
[2] Commissie modernisering opsporingsonderzoek in het digitale tijdperk, Regulering van opsporingsbevoegdheden in een digitale omgeving, s.l. 2018, p. 152.
[3] Commissie modernisering opsporingsonderzoek in het digitale tijdperk, Regulering van opsporingsbevoegdheden in een digitale omgeving, s.l. 2018, p. 152.
[4] Artikel 4, lid 2, AVG definieert ‘verwerking’ als: ‘een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.’
[5] Rb. Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700, r.o. 4.7.
[6] Artikel 2 lid 2 AVG.
[7] Artikel 6, lid 1, AVG. De zes grondslagen zijn: (a) toestemming, (b) uitvoering overeenkomst, (c) wettelijke verplichting, (d) vitaal belang, (e) taak van algemeen belang of openbaar gezag, en (f) gerechtvaardigd belang.
[8] Autoriteit Persoonsgegevens, themapagina ‘Persoonsgegevens in openbare bronnen’, te raadplegen via: https://www.autoriteitpersoonsgegevens.nl/themas/internet-slimme-apparaten/persoonsgegevens-op-internet/persoonsgegevens-in-openbare-bronnen (laatst geraadpleegd 19 mei 2026).
[9] EDPB Richtsnoeren 4/2019 inzake artikel 25.
[10] EDPB Richtsnoeren 4/2019 inzake artikel 25, par. 59.
[11] Rb. Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700.
[12] Rb. Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700, r.o. 4.10.
[13] Rb. Noord-Nederland 3 mei 2017, ECLI:NL:RBNNE:2017:1700, r.o. 4.11.
[14] HvJ-EU 13 mei 2014, ECLI:EU:C:2014:314, C-131/12 (Google Spain), r.o. 28 en 80.
[15] Artikel 14, lid 2, sub f, AVG.
[16] Artikel 14, lid 1 en 2, AVG.
