De betrokkene als pseudo-eigenaar van zijn persoonsgegevens?

Vanaf 25 mei 2018 wordt de beschermingsomvang van persoonsgegevens door de General Data Protection Regulation (GDPR) bepaald. Dit wordt een behoorlijke omslag die ervoor zorgt dat de rechten van de betrokkene (consument, burger,etc.) centraler komen te staan. Waarom heeft de wetgever (zowel nationaal als op Europees niveau) voor deze omslag gekozen?

Het antwoord is tweeledig:

– Om een betere invulling te geven aan het reeds in 1948 geformuleerde fundamentele recht op ‘privacy’.
– Omdat de wetgever onderkent dat in onze steeds verder digitaliserende markteconomie dit ‘recht op privacy’ ervoor moet zorgen dat de burger het ‘vertrouwen’ heeft dat zijn persoonsgegevens rechtmatig worden verwerkt. Het wegvallen van dit vertrouwen zou namelijk in een “data-driven” markteconomie tot recessies kunnen leiden.

Wat zijn de gevolgen van de omslag inzake het steeds centraler komen te staan van de rechten van de betrokkenen?

Mijn antwoord op deze vraag is dat deze omslag in de komende jaren voor de volgende ontwikkelingen gaat zorgen:

– De betrokkene gaat inzien dat verwerkingsverantwoordelijken veel geld verdienen met ‘zijn’ persoonsgegevens;
– De betrokkene gaat een deel van deze opbrengst claimen als een nieuwe en legitieme inkomstenbron.
– De betrokkene gaat zijn persoonsgegevens beheren als ‘pseudo-eigenaar’ (bezitter), door actief te bepalen wat de verwerkingsverantwoordelijke wel en niet met zijn persoonsgegevens mag doen.

Ondanks dat in Nederland persoonsgegevens wettelijk geen eigenaar kunnen hebben, kan dit gedrag van de betrokkene gezien worden als dat van een ‘pseudo-eigenaar’.

Waar kan dit ‘pseudo-eigenaarschap’ zich op gaan baseren?

Allereerst op de versterkte rechtspositie die aan de betrokkene wordt gegeven door de GDPR en daar, waar zinvol, nader gespecificeerd met afspraken op basis van het overeenkomstenrecht.

Maar ook op de uitspraak van de Hoge Raad in het zogenaamde Runescape-arrest uit 2012, waarin werd bepaald dat zelfs objecten die de eigenschappen van ‘gegevens’ hebben, vatbaar zijn voor diefstal (art. 310 Sr.) en dus als een ‘goed’ beschouwd kunnen worden. Een arrest dat mijns inziens ook voor persoonsgegevens geldt, omdat toetsing aan de Runescape-voorwaarden laat zien dat:

– persoonsgegevens het resultaat zijn van inspanning en tijdsinvestering;
– persoonsgegevens aantoonbaar verhandeld worden; en, zoals uit alles blijkt
– Persoonsgegevens uiterst begerenswaardig zijn.

Maar waarom het Runescape-arrest, dat volgde op het Elektriciteits-arrest en het ‘Giraal geld’-arrest? Omdat indien het zich opzettelijk en onrechtmatig toe-eigenen van persoonsgegevens strafbaar is ex art. 310 WvSr, dit de betrokkene als producent van zijn eigen persoonsgegevens ook de mogelijkheid biedt als ‘pseudo-eigenaar’ aangifte te doen tegen de verwerkingsverantwoordelijke die zich schuldig maakt aan dergelijk onrechtmatige toe-eigening.

Een instrument waarmee ook de ex art 80 GDPR “georganiseerde betrokkenen” de directies van verwerkingsverantwoordelijken kunnen gaan confronteren.

Wellicht dat deze ontwikkeling tevens een opmaat is naar het in de toekomst toekennen van eigendom aan (persoons)gegevens.