3.1.
Tussen partijen staat het navolgende vast.
- [eiseres] heeft in juni 2015 een kort geding gevoerd tegen Facebook nadat een haar onbekende derde onder de naam “ [naam X] ” (voornaam en woonplaats van [eiseres] ) op 22 januari 2015 een account heeft aangemaakt op Facebook met een profielfoto van [eiseres] (hierna: het Nep-Account). Deze derde heeft daarop een opname geplaatst waarin [eiseres] seksuele handelingen verricht bij een jongen die ten tijde van maken van de opname (in februari 2012) haar (minderjarige) vriend was (hierna: de Opname). [eiseres] is op de Opname duidelijk herkenbaar in beeld.
- De Opname is met een mobiele telefoon gemaakt. [eiseres] heeft haar (inmiddels) ex-vriend nooit toestemming gegeven om de Opname te openbaren, op welke wijze dan ook.
- [eiseres] heeft op 23 januari 2015 aangifte bij de politie gedaan tegen de persoon die met haar gegevens het Nep-Account heeft aangemaakt.
- In maart en april 2016 heeft (na procedures in kort geding) een onderzoek plaats- gevonden bij Facebook naar het Nep-Account. Uit dit onderzoek is gebleken dat de maker van het Nep-Account voor het creëren van het Account en/of het uploaden van
de Opname hoogstwaarschijnlijk gebruik heeft gemaakt van IP adres [IP-adres] (hierna: het IP-adres).
- Het IP-adres wordt beheerd door de besloten vennootschap met beperkte aanspra- kelijkheid IT-Workz BV uit Etten-Leur (hierna: IT-Workz).
- Het ROC is een organisatie voor voortgezet onderwijs, middelbaar beroeps- onderwijs en volwasseneneducatie in West-Brabant. Het ROC kent 20 verschillende scholen.
- IT-Workz is een dochteronderneming van het ROC. Zij legt zich toe op het verlenen van diensten op het gebied van automatisering en informatisering voor onderwijsinstellingen, zowel van ROC-scholen als van andere onderwijs- instellingen. Daarnaast verschaft en beheerst IT-Workz diverse IP-adressen voor internetverbindingen voor schoolcomputers, waarop verschillende scholen zijn aangesloten, waaronder de scholen van het ROC.
- IT-Workz heeft op 19 mei 2016 per email aan de advocaat van [eiseres] kenbaar gemaakt dat ten tijde van de plaatsing van de Opname op het Nep-Account, het
IP-adres in gebruik was bij IT-Workz, het [school A] in Breda en het [school B] te Bergen op Zoom.
- Het [school A] en het [school B] zijn MBO-instellingen die vallen onder de opleidingen die worden aangeboden door het ROC.
- Door een medewerkster van misdaadverslaggever [naam misdaadverslaggever] is aan IT Workz een lijstje met namen gestuurd, waaronder de namen van zes personen die als leerling een opleiding bij een ROC-school volgen of gevolgd hebben. Aan het ROC is verzocht of het bereid was om in zijn systemen te onderzoeken en door te geven wie van deze zes personen in de periode waarin het Nep-Account is aangemaakt bij het [school A] dan wel het [school B] op school hebben gezeten danwel bij IT-Workz hebben gewerkt. IT Workz en het ROC hebben dit geweigerd.
- Namens [eiseres] heeft haar advocaat contact opgenomen met IT-Workz en aangestuurd op een intern onderzoek naar de gebruiker van het IP-adres.
- Omdat partijen het niet eens konden worden over het uit te voeren onderzoek, heeft [eiseres] het ROC een twee-fasen onderzoek voorgesteld, waarbij Onderzoeksfase 1 bestaat uit een technisch onderzoek naar de vraag of er nog Facebookcontacten/ connecties op 22 januari 2015 op de computers en netwerksystemen van het ROC voorhanden en beschikbaar zijn en Onderzoeksfase 2 uit een onderzoek naar de specifieke dader onder raadpleging van de persoonsgegevens van diverse leerlingen. Ten slotte diende het ROC het resultaat te delen met [eiseres] .
- Op 27 mei 2016 heeft het ROC aangegeven bereid te zijn om mee te werken aan Onderzoeksfase 1. Zijn advocaat heeft daartoe een “geheimhoudings- en bewerkersovereenkomst” opgesteld met het verzoek aan de deskundigen om die te ondertekenen.
- De overeenkomst is niet ondertekend. Partijen hebben over de inhoud van de overeenkomst geen overeenstemming kunnen bereiken.
- Het ROC heeft te kennen gegeven niet bereid te zijn deskundigen toe te staan persoonsgegevens omtrent het IP-adres aan [eiseres] te verstrekken en derhalve geen medewerking te zullen verlenen Onderzoeksfase 2.
3.2.
[eiseres] legt aan haar vorderingen ten grondslag dat het ROC jegens haar onrechtmatig handelt door, ondanks toezeggingen daartoe in de media en gelet op het vonnis van de rechtbank Amsterdam in kort geding van 25 juni 2015 tussen haar en Facebook, niet mee te werken aan een onderzoek naar de bij hem beschikbare gegevens van de maker van het Nep-Account en niet toe te staan dat mogelijke gegevens aan haar worden verstrekt. Haar belang om de gegevens te achterhalen van de maker van het Nep-Account dient te prevaleren boven het individuele privacybelang van de maker, nu vaststaat dat deze onrechtmatig en strafbaar jegens haar heeft gehandeld. Zij concretiseert dit belang door te stellen dat zij de verantwoordelijke dader wil aanspreken om haar schade te vergoeden die zij lijdt en reeds geleden heeft. Haar belang, aldus [eiseres] , dient te prevaleren boven het algemeen privacybelang van het ROC. Door te weigeren de bij het ROC bekende gegevens aan [eiseres] te verstrekken heeft ook Onderzoeksfase 1 voor haar geen nut meer. Het ROC beschermt in feite de dader.
Voorts stelt [eiseres] dat het ROC in de “geheimhoudings- en bewerkersovereenkomst” onacceptabele eisen stelt aan de wijze waarop het onderzoek dient te worden uitgevoerd. Niet alleen wil het ROC de omvang, locatie en duur van het onderzoek op voorhand vastleggen (en daarmee ernstig beperken), maar tevens kan de deskundige [deskundige A] niet als een onafhankelijk deskundige zijn werk doen. [eiseres] wijst er in dit verband op dat de deskundigen [deskundige A] en [deskundige B] met elkaar op één lijn zitten voor wat betreft de omvang en de aanpak van het uit te voeren onderzoek. Het ROC blokkeert door zijn eisen het onderzoek.
3.3.
Het ROC betwist dat het onrechtmatig jegens [eiseres] handelt en voert daartoe het navolgende aan. Vanaf het moment dat het heeft vernomen dat het Nep-Account onder gebruikmaking van zijn infrastructuur is aangemaakt, heeft het aangegeven zoveel mogelijk zijn medewerking aan het onderzoek van [eiseres] naar de dader te willen verlenen. Het heeft niet toegezegd daartoe juridisch gehouden te zijn. Het ROC heeft ook daadwerkelijk meegewerkt door (onverplicht en op zijn eigen kosten) een extern bureau in te huren om te achterhalen welke ROC-scholen van het IP-adres gebruik maken. Daarnaast heeft het diverse gesprekken gevoerd met de advocaat van [eiseres] alsmede met [naam misdaadverslaggever] en zijn team en meegedacht over de beschikbare mogelijkheden om de dader te achterhalen. Het heeft zijn ICT-mensen bij de zaak betrokken en hun kennis met [eiseres] gedeeld. Het is er niet op uit om de dader te beschermen. Hoewel het ROC de kans zeer gering acht dat de gegevens van januari 2015 nog traceerbaar zijn, is het nog steeds bereid om zijn medewerking te verlenen aan Onderzoeksfase 1, daarvoor een ICT-expert van IT-Workz in te schakelen en de kosten daarvan geheel onverplicht voor zijn rekening te nemen, zulks evenwel onder de voorwaarde dat er geen persoonsgegevens worden verwerkt èn het onderzoek plaatsvindt binnen de grenzen van de wet, meer speciaal de Wet bescherming persoonsgegevens (hierna: Wbp). Op grond van deze wet staat het hem niet vrij om persoonsgegevens van leerlingen te raadplegen, met elkaar in verband te brengen en aan een derde door te geven voor een ander doeleinde dan waarvoor het de gegevens van de leerlingen in zijn systemen heeft opgeslagen. Indien in strijd wordt gehandeld met de Wbp riskeert het ROC boetes. De door hem ten aanzien van de “geheimhoudings- en bewerkers-overeenkomst” in dat kader gestelde voorwaarden zijn derhalve redelijk. De in de Wbp genoemde rechtvaardigingsgronden, op grond waarvan het verwerken van persoonsgegevens voor andere doeleinden toch is toegestaan doen zich hier niet voor. Het individuele belang van [eiseres] prevaleert niet boven het algemene privacybelang van het ROC en de duizenden betrokken leerlingen en medewerkers.
Ten slotte betwist het ROC dat [eiseres] de gegevens van de dader alleen via de computer- en netwerksystemen van het ROC kan achterhalen. Naar zijn mening zijn er minder ingrijpende mogelijkheden voorhanden, zoals de uitdrukkelijke toestemming van de verdachte studenten voor het verwerken van hun persoonsgegevens voor het onderzoek van [eiseres] , de ontheffing/ toestemming voor dit onderzoek van de Autoriteit Persoonsgegevens, een bevel van de rechter-commissaris om de gegevens van de vermoedelijke dader op te sporen en/of het starten van een voorlopig getuigenverhoor.
3.7.
Het beroep van [eiseres] op het vonnis in kort geding van de rechtbank Amsterdam van 25 juni 2015 waarin de voorzieningenrechter heeft geoordeeld dat Facebook jegens [eiseres] onrechtmatig heeft gehandeld doordat zij onvoldoende zorgvuldigheid in acht heeft genomen bij het naleven van een rechtsplicht tot het verstrekken van NAW-gegevens met betrekking tot degene die onrechtmatig jegens [eiseres] heeft gehandeld, slaagt evenmin. In voormeld vonnis heeft de voorzieningenrechter onder 4.4. overwogen:
“Een rechtsplicht tot het verstrekken van NAW-gegevens zoals in deze zaak gevorderd, kan voor een provider bestaan als aannemelijk is dat anoniem, althans door een door de benadeelde niet te traceren persoon, onrechtmatige uitingen via deze provider openbaar zijn gemaakt en de benadeelde alleen door tussenkomst van de provider, door middel van het verstrekken van NAW-gegevens, dergelijk onrechtmatig handelen zou kunnen bestrijden. Facebook heeft dat op zichzelf ook niet betwist. Sterker nog, uit voornoemde algemene voorwaarden en richtlijnen volgt duidelijk dat zij er alles aan stelt te doen om dergelijke onrechtmatige uitingen (zoals bijvoorbeeld in de vorm van pesten, het plaatsen van privacygevoelige informatie over anderen, seksueel misbruik) te voorkomen en te bestrijden. Ook mogen gebruikers van Facebook volgens haar richtlijnen geen profielen aanmaken van gegevens die niet van hen zijn”.
Anders dan bij Facebook heeft het ROC, niet zijnde een provider, namelijk met de maker van het Nep-Account geen relatie die betrekking heeft op haar digitale infrastuctuur, anders dan dat het een persoon betreft die zich kennelijk in een van haar gebouwen heeft bevonden en van haar infrastructuur gebruik heeft gemaakt.
3.11.
Volgens het ROC dient het algemene privacybelang van haar leerlingen en medewerkers te prevaleren. Zij heeft in dit verband gesteld dat nu de gegevens van de dader niet bekend zijn, het door [eiseres] gewenste onderzoek betekent dat op 1.000 computers van beide scholen alle connecties van omstreeks 2.500 leerlingen en medewerkers, alsmede de connecties op de computers van IT-Workz van 90 werknemers, die op of omstreeks 22 januari 2015 om 8.53 uur (het tijdstip waarop blijkens onderzoek bij Facebook het Nep-Account is aangemaakt) hebben plaatsgevonden, handmatig moeten worden bekeken. Daarbij zal zichtbaar zijn wat de inlogcodes van de leerlingen en medewerkers zijn. De inlogcodes bij het ROC zijn initialen van de leerling of medewerker, gevolgd door een code en zijn eenvoudig terug te leiden tot een persoon. Tevens wordt zichtbaar welke websites zij hebben bezocht danwel welke andere handelingen zij hebben verricht. Daarnaast zijn er inlogcodes van de leerling of medewerker en mogelijk ook cookies zichtbaar, die direct herleidbaar zijn tot een persoon. De privacyrechten van circa 2.590 leerlingen en medewerkers zullen derhalve onmiskenbaar worden geschonden. Het ROC beroept zich op het proportionaliteits- en subsidiariteitsbeginsel. Volgens het ROC kan [eiseres] de gegevens van de dader ook op andere, minder bezwaarlijke wijzen achterhalen.
.jpg?width=50&height=55)
.jpg?width=50&height=55)
