Feiten

Werkneemster is als verzorgende in dienst geweest van de Stichting Zorggroep Groningen (hierna: ZGG). Vanwege ziekte (hernia) is zij in maart 2015 uitgevallen voor haar werkzaamheden. Nadat werkneemster al geruime tijd ziek was geweest, heeft ZGG in mei 2016 contact opgenomen met Hoffmann met het verzoek om een onderzoek te verrichten naar signalen die ZGG naar eigen zeggen hadden bereikt over de mogelijkheid dat werkneemster ondanks haar ziekte werkzaamheden zou verrichten. Op basis van een door Hoffmann op 20 mei 2016 gedane offerte is tussen ZGG en Hoffmann een overeenkomst van opdracht tot stand gekomen. De overeenkomst vermeldt als opdracht: ‘onderzoek vermoeden verzuimfraude’.  Ter uitvoering van de opdracht heeft Hoffmann op 9 juni en 10 juni 2016 observaties verricht bij de woning van werkneemster. De observatie op 9 juni duurde volgens opgave van Hoffmann van 15.00 tot 15.05 uur en was beperkt tot de vaststelling van de identiteit van werkneemster door Hoffmann. Vervolgens heeft Hoffmann op 10 juni van 07.26 uur tot 12.30 uur werkneemster in haar tuin geobserveerd. Die tuin werd door werkneemster gedeeltelijk gebruikt als voor het publiek toegankelijke ‘theetuin’, waar zij thee, koffie en gebak verkocht aan bezoekers. De observaties werden gedaan vanuit een bij de woning geparkeerde auto. Daarbij zijn ook video-opnamen gemaakt. Van haar observaties heeft Hoffmann een verslag opgesteld, waarbij ook enkele ‘snapshots’ van door haar gemaakte videobeelden waren gevoegd. Dat verslag heeft zij op 20 juni 2016 toegestuurd aan ZGG. Werkneemster is op staande voet ontslagen. Werkneemster vordert in deze procedure schadevergoeding van Hoffman wegens een inbreuk op haar privacyrecht. De kantonrechter heeft de vordering afgewezen.

Oordeel

Het gerechtshof oordeelt als volgt. 

Privacygedragscode bedrijfsrecherche rechtvaardigt inbreuk op privacy

In de Nederlandse wetgeving gold tot 25 mei 2018 de Wbp. Sindsdien geldt de Algemene verordening gegevensbescherming. De Wbp vormde de implementatie in het Nederlandse recht van Richtlijn nr. 95/46/EG die gaat over de bescherming van natuurlijke personen in verband met de verwerking van en omgang met persoonsgegevens. De Wbp bevatte tevens regels als bedoeld in de leden 2 en 3 van artikel 10 Gw; regels om de persoonlijke levenssfeer te beschermen in verband met het vastleggen en verstrekken van persoonsgegevens, de kennisname daarvan door personen van wie gegevens zijn vastgelegd en het gebruik van die gegevens. In de Wbp was vastgelegd voor welke doeleinden en op welke wijze persoonsgegevens mochten worden verzameld, vastgelegd en verwerkt.

De observatie door Hoffmann van werkneemster en de vastlegging van de bevindingen dient te worden beschouwd als een verzameling, vastlegging en verwerking van persoonsgegevens (over werkneemster) als bedoeld in de Wbp. Zij vormde ook een inbreuk op de persoonlijke levenssfeer van werkneemster. Daarmee was die observatie echter nog niet zonder meer onrechtmatig. Van een onrechtmatige inbreuk op de privacy van werkneemster kan in beginsel niet worden gesproken indien de observatie en de vastlegging daarvan bleef binnen de ruimte die de Wbp daarvoor bood. In dat geval is sprake van een inbreuk die wordt gelegitimeerd door de wet. Hoffmann heeft onweersproken gesteld dat zij een particulier onderzoeksbureau is op basis van de Wet particuliere beveiligingsorganisaties en recherchebureaus, dat zij als zodanig in het bezit is van een vergunning van het ministerie van Justitie en Veiligheid en dat zij ook beschikt over een keurmerk particulier onderzoeksbureau van de Nederlandse Veiligheidsbranche. Hoffmann heeft verklaard dat op haar daarom van toepassing is de Privacygedragscode sector particuliere onderzoeksbureaus, die als bijlage is opgenomen in de Regeling particuliere beveiligingsorganisaties en recherchebureaus. Over een dergelijke code bepaalt artikel 25 van de Wbp dat organisaties die voornemens zijn een gedragscode vast te stellen het College bescherming persoonsgegevens (later de Autoriteit Persoonsgegevens) kunnen verzoeken om te verklaren dat de in die code opgenomen regels een juiste uitwerking vormen van de wet of van andere wettelijke bepalingen over de verwerking van persoonsgegevens. De Nederlandse Veiligheidsbranche heeft aan de Autoriteit Persoonsgegevens verzocht om haar Privacygedragscode te voorzien van een verklaring als bedoeld in artikel 25 Wbp. De Autoriteit Persoonsgegevens heeft op 9 maart 2016 die verklaring afgegeven. Dit betekent dat als het door Hoffmann verrichte onderzoek in overeenstemming is met de Privacygedragscode in beginsel geen sprake is geweest van een onrechtmatige inbreuk op de privacy van werkneemster. 

Observatie van tuin werkneemster voldoet aan code en eisen proportionaliteit en subsidiariteit

De wijze waarop Hoffmann de observatie heeft uitgevoerd voldoet bovendien aan de eisen van proportionaliteit en subsidiariteit. Er is kort geobserveerd (halve dag). De observatie had betrekking op een een vanaf de openbare weg zichtbare plek (voortuin woonadres werkneemster). Het fotomateriaal dat is gebruikt is beperkt en doelmatig.