Door juristen wordt nog volop gediscussieerd over juridische labeltje dat op ‘data’ geplakt kan gaan worden. Veel schrijvers lijken het er in ieder geval over eens dat data juridisch gezien niet kwalificeert als een ‘goed’ in de zin van ons Burgerlijk Wetboek.
Als we die conclusie als uitgangspunt nemen, dan lijkt het juridisch gezien niet mogelijk om het eigendom van data te hebben. Dat betekent dat Big Data niet verkocht (juridische overdracht) zou kunnen worden (en bijvoorbeeld onderdeel uitmaakt van de eventuele goodwill bij een overname), maar ook dat beslag daarop niet mogelijk is. Dat is enigszins vreemd, immers voor steeds meer ondernemingen vertegenwoordigt de data een behoorlijke waarde.
Er is echter overlap tussen Big Data en het begrip ‘databank’ in de zin van de Databankenwet – en dat biedt mogelijkheden. Bijna iedere (digitale) verzameling gegevens, kan worden gezien als een databank in de zin van de Databankenwet, en op een databank is beslag wél mogelijk.
Feitelijke tenuitvoerlegging – Big Data op een usb-stick of in de cloud?
..op een gegevensdrager
Om beslag te leggen op een set gegevens is van belang waar deze zich bevinden: staan deze op een USB-stick, externe harde schijf of andere gegevensdrager, dan is de tenuitvoerlegging vergelijkbaar met beslag op roerende zaken. De deurwaarder zal de gegevensdrager ten titel van beslag namelijk kunnen meenemen. Dat je wellicht nog geen inzage hebt in de gegevens (bijvoorbeeld omdat er een wachtwoord op zit), is geen probleem voor het beslag zelf. Voor het beslag is inzage in de gegevens namelijk helemaal niet toegestaan. Mocht het zover komen dat het beslag ten uitvoer wordt gelegd (en de data wordt verkocht) zal de beslagene (uw debiteur) medewerking moeten verlenen aan het ‘ontsluiten’ van de bestanden.
..in de cloud
Op het moment dat de gegevens in de cloud staan, wordt het leggen van beslag ingewikkelder. De deurwaarder kan namelijk geen gegevensdrager meenemen waar de data op staat – omdat die er nu juist niet is, en er is ook niet één server aan te wijzen waar hij het beslag op kan leggen (onder een derde). De deurwaarder zal dan voor het beslag een kopie moeten maken van de data die in de cloud staat. Maar de deurwaarder kan niet zomaar bij die gegevens, hij zal toegang moeten verkrijgen door gebruik te maken van een gebruikersnaam en wachtwoord.
Alhoewel de Hoge Raad heeft geoordeeld dat de beslagene in dat geval verplicht is mee te werken aan het beslag (13 september 2013, NJ 2014, 455), is het de vraag wat je kunt doen als de beslagene simpelweg weigert. Het Nederlands recht biedt bijzonder weinig mogelijkheden zijn om hem er uiteindelijk toe te dwingen toegang te geven tot de gegevensbestanden.
Beslag op data – privacy?
Veel verzamelingen van data waar zich géén persoonsgegevens in bevinden, zullen er niet zijn. Er zijn zelfs wetenschappers die beweren dat, hoe groter je set aan data, hoe moeilijker het zal zijn om de data nog anoniem te houden. Zet een stel computers op met enorme rekenkracht op deze data en uiteindelijk zullen de gegevens weer naar individuen te herleiden zijn – aldus zitten er persoonsgegevens (verscholen) in bijna alle Big Data.
Dat betekent dat bij het beslag op data rekening moet worden gehouden met de regels van de Wet bescherming persoonsgegevens (Wbp).
…even terug naar de Wbp
De Wbp biedt een beperkt aantal grondslagen voor rechtmatige verwerking van persoonsgegevens (artikel 8). Als niet aan één van deze grondslagen is voldaan, is het niet toegestaan om persoonsgegevens te verwerken. Tenuitvoerlegging van een rechterlijke uitspraak (bijvoorbeeld het verlof voor het leggen van beslag), staat niét in de Wbp als grondslag genoemd.
Op het moment dat het beslag gelegd wordt op een set data in de cloud, zal de deurwaarder een kopie moeten maken. Het kopiëren van data waar persoonsgegevens in staan, is een verwerking van persoonsgegevens in de zin van de Wbp. De vraag is dus, op welke wijze de beslaglegging op de gegevens kan worden gerechtvaardigd, nu het leggen van beslag op zichzelf geen rechtvaardiging vormt. Het zal er op neerkomen dat een belangenafweging moet worden gemaakt: wegen de belangen van de betrokkenen (recht op privacy) op tegen het belang van de beslaglegger? Zo nee, dan zou het beslag niet toegestaan moeten worden. Naar mijn idee zal deze belangenafweging al moeten worden gemaakt door de rechter die het verlof tot het leggen van beslag verleent.
Voorgaande betreft uitsluitend het leggen van beslag. Mocht het zover komen dat over wordt gegaan tot executie: verkoop van de data, stuiten we op wellicht nog een grotere uitdaging. Ook de verkoop van een set data (inclusief persoonsgegevens) zal binnen de grenzen van de Wbp moeten blijven. Dat is op z’n zachtst gezegd een uitdaging.
Conclusie
Kortom, het goede nieuws is: beslag op big data lijkt mogelijk. Maar er is nog weinig duidelijkheid over (en oog voor) de privacy van de personen wier persoonsgegevens bij dat beslag worden betrokken.
Mocht u nadere informatie of advies wensen over dit onderwerp of andere privacy- en IT gerelateerde onderwerpen, neem dan contact op met Iris Tuk (tuk@kadv.nl of 023 – 5125025).
