Bijlage IV Bescherming van de persoonlijke levenssfeer en schadevergoeding, wettelijke machtigingen en fusies en overnames in de wetgeving van de Verenigde Staten

Het gebruik van persoonsgegevens op een wijze die niet in overeenstemming is met de Veiligehavenbeginselen, kan op grond van een aantal verschillende rechtstheorieën leiden tot juridische aansprakelijkheid. Zo kunnen bijvoorbeeld zowel de voor de verwerking verantwoordelijke die informatie doorgeeft, als de betrokken personen tegen de veiligehavenorganisatie die haar veiligehavenverplichtingen niet nakomt, vervolging instellen wegens onjuiste verklaringen. Het Restatement of the Law, Second, Torts (1), bepaalt het volgende:

Wie op bedrieglijke wijze een feit, mening, bedoeling of wet onjuist weergeeft met het doel een ander op basis daarvan te doen handelen of van handelen te weerhouden, kan tegenover de andere die is misleid, aansprakelijk worden gesteld voor geldelijk verlies dat deze heeft geleden doordat hij zich op verklaarbare wijze op de onjuiste weergave heeft gebaseerd.

Restatement, § 525. Een onjuiste weergave is ‘bedrieglijk’ als ze geschiedt in de wetenschap of in de overtuiging dat ze verkeerd is. Id., § 526. In het algemeen is de maker van een onjuiste weergave tegenover iedereen van wie hij wil of verwacht dat hij zich op die onjuiste weergave zal baseren, potentieel aansprakelijk voor geldelijke verliezen die hij als gevolg daarvan kan lijden. Id. 531. Bovendien kan een persoon die op bedrieglijke wijze een onjuiste weergave doet tegenover een ander, tegenover een derde aansprakelijk worden gesteld indien de overtreder wil of verwacht dat zijn onjuiste weergave wordt herhaald tegenover de derde en dat deze daarnaar handelt. Id., § 533.

In het kader van de veilige haven is de desbetreffende weergave de openbare verklaring van de organisatie dat zij de Veiligehavenbeginselen zal naleven. Na het aangaan van een dergelijke verbintenis kan de bewuste niet-nakoming van de beginselen een reden zijn op grond waarvan een vordering wegens onjuiste verklaringen kan worden ingesteld door degenen die zich op de onjuiste verklaring hebben gebaseerd. Omdat de verbintenis om de beginselen na te leven tegenover het grote publiek wordt aangegaan, kunnen zowel de personen op wie deze informatie betrekking heeft, als de voor de verwerking verantwoordelijke in Europa die persoonsgegevens aan een organisatie in de Verenigde Staten doorgeeft, redenen hebben om tegen deze organisatie een vordering wegens onjuiste verklaringen in te stellen (2). Bovendien blijft de organisatie uit de Verenigde Staten tegenover hen aansprakelijk voor de ‘voortdurende onjuiste weergave’ zolang zij zich in hun nadeel op de onjuiste weergave baseren. Restatement, § 535.

Personen die zich op een bedrieglijke onjuiste weergave baseren, hebben recht op schadevergoeding. Het Restatement bepaalt het volgende:

De ontvanger van een bedrieglijke onjuiste weergave heeft het recht om in een vordering wegens bedrog tegen de maker schadevergoeding te eisen voor het door hem geleden geldelijke verlies waarvan de onjuiste weergave de juridische oorzaak is.

Restatement, § 549. De in aanmerking komende schadevergoeding omvat het werkelijke contante verlies alsmede de gederfde ‘winst op de zaak’ in een handelstransactie. Id.; zie bv. Boling v. Tennessee State Bank, 890 S.W.2d 32 (1994) (de bank is aan leners een bedrag van 14 825 USD verschuldigd als schadevergoeding voor het bekendmaken van persoonsgegevens en businessplannen van de leners aan de voorzitter van de bank, die een strijdig belang had).

Hoewel voor een bedrieglijke onjuiste weergave hetzij werkelijke kennis vereist is of ten minste de overtuiging dat de weergave verkeerd is, kan er ook aansprakelijkheid ontstaan wegens nalatige onjuiste weergave. Volgens het Restatement kan iedereen die tijdens de uitoefening van zijn zakelijke activiteit, beroepsbezigheid of dienstbetrekking of bij een geldelijke transactie een valse verklaring aflegt, aansprakelijk worden gesteld ‘als hij nalaat een redelijke zorgvuldigheid of bekwaamheid aan de dag te leggen bij het verkrijgen of mededelen van de informatie’. Restatement, § 552(1). In tegenstelling tot wat bij bedrieglijke onjuiste weergave het geval is, is de schadevergoeding voor nalatige onjuiste weergave beperkt tot het contante verlies. Id., § 552B(1).

In een recente zaak bijvoorbeeld oordeelde het Superior Court van Connecticut dat het feit dat een elektriciteitsbedrijf had nagelaten bekend te maken dat het informatie betreffende klantenbetalingen aan nationale kredietinformatiebureaus rapporteerde, een grond was om een vordering wegens onjuiste weergave in te stellen. Zie Brouillard v. United Illuminating Co., 1999 Conn. Super. LEXIS 1754. In deze zaak werd de klager krediet geweigerd omdat de beklaagde betalingen die niet binnen 30 dagen na facturering werden ontvangen, als ‘achterstallig’ rapporteerde. De klager voerde aan dat hij niet van dit beleid op de hoogte was gebracht toen hij bij de beklaagde een elektriciteitsaansluiting voor zijn woning aanvroeg. De rechtbank oordeelde meer specifiek dat ‘een vordering wegens nalatige onjuiste weergave kan worden gebaseerd op het feit dat de beklaagde nalaat te spreken wanneer het zijn plicht is dit te doen’. Bijgevolg kan een organisatie uit de Verenigde Staten die verzuimt volledig bekend te maken hoe zij gebruik zal maken van persoonsgegevens die zij in het kader van de veilige haven ontvangt, wegens onjuiste weergave aansprakelijk worden gesteld.

In zoverre een schending van de Veiligehavenbeginselen misbruik van persoonsgegevens inhoudt, kan ze ook een grond vormen voor een vordering van de betrokkene wegens de onrechtmatige daad van gemeen recht die bestaat in een inbreuk op de persoonlijke levenssfeer. In het recht van de Verenigde Staten zijn sedert lang erkende gronden voor rechtsvorderingen betreffende inbreuken op de persoonlijke levenssfeer voorhanden. In een uit 1905 daterende zaak (3) achtte het Hooggerechtshof van Georgia een recht op persoonlijke levenssfeer dat zijn oorsprong vond in voorschriften van natuurrecht en gewoonterecht, van toepassing op een burger wiens foto door een levensverzekeringsmaatschappij voor het illustreren van een reclame was gebruikt zonder dat hij daarvoor zijn toestemming had gegeven of daarvan op de hoogte was. De rechtbank, die momenteel vertrouwde thema's in de jurisprudentie van de Verenigde Staten over de persoonlijke levenssfeer naar voren bracht, oordeelde dat het gebruik van de foto ‘kwaadwillig’ en ‘vals’ was en bedoeld om ‘klager voor de hele wereld belachelijk te maken’ (4). De gronden van de Pavesich-beslissing zijn met lichte wijzigingen gehandhaafd en vormen nu de basis van de wetgeving van de Verenigde Staten op dit gebied. Staatsrechtbanken hebben op consequente wijze gronden voor rechtsvorderingen inzake inbreuken op de persoonlijke levenssfeer gesteund, en in ten minste 48 staten wordt nu een dergelijke grond voor een rechtsvordering juridisch erkend (5). Bovendien gelden in ten minste twaalf staten grondwettelijke bepalingen ter bescherming van het recht van hun burgers om gevrijwaard te blijven van indringerige handelingen (6), dat zich in sommige gevallen kan uitstrekken tot bescherming tegen indringing door niet-gouvernementele entiteiten. Zie bv. Hill v. NCAA, 865 P.2d 633 (Ca.1994); zie ook S. Ginder, Lost and Found in Cyberspace: Informational Privacy in the Age of the Internet, 34 S.D. L. Rev. 1153 (1997) (‘Sommige staatsgrondwetten bieden een bescherming van de persoonlijke levenssfeer die verdergaat dan de bescherming van de persoonlijke levenssfeer in de grondwet van de Verenigde Staten. Alaska, Arizona, California, Florida, Hawaii, Illinois, Louisiana, Montana, South Carolina en Washington bieden een ruimere bescherming van de persoonlijke levenssfeer.’)

De Second Restatement of Torts biedt een gezaghebbend overzicht van het recht op dit gebied. In overeenstemming met de courante rechtspraktijk legt het Restatement uit dat het ‘recht op persoonlijke levenssfeer’ vier verschillende gronden voor een vordering wegens onrechtmatige daad onder die noemer omvat. Zie Restatement, § 652A. Ten eerste kan een grond voor een vordering wegens ‘indringing bij afzondering’ bestaan tegen een beklaagde die, fysiek of op andere wijze, opzettelijk binnendringt in de eenzaamheid of afzondering van een ander of in zijn privé-zaken of -aangelegenheden (7). Ten tweede kan er sprake zijn van een geval van ‘toe-eigening’ wanneer men de naam of gelijkenis van een ander voor eigen gebruik of voordeel aanneemt (8). Ten derde kan tegen de ‘bekendmaking van privé-feiten’ vervolging worden ingesteld als het bekendgemaakte materiaal van die aard is dat het voor een redelijke persoon zeer beledigend zou zijn en niet van rechtmatig belang voor het publiek (9). Ten slotte is een vordering wegens ‘publiciteit in vals daglicht’ aangewezen wanneer de beklaagde bewust of onachtzaam een ander voor het publiek op zodanige wijze in een vals daglicht plaatst dat het voor een redelijke persoon zeer beledigend zou zijn (10).

In het kader van de veilige haven zou ‘indringing bij afzondering’ het ongeoorloofde verzamelen van persoonsgegevens kunnen omvatten, terwijl het ongeoorloofde gebruik van persoonsgegevens voor commerciële doeleinden zou kunnen leiden tot een vordering wegens toe-eigening. Zo ook zou de bekendmaking van onjuiste persoonsgegevens neerkomen op een onrechtmatige daad die bestaat in ‘publiciteit in vals daglicht’ als de gegevens als zeer beledigend voor een redelijke persoon kunnen worden aangemerkt. Ten slotte kan de inbreuk op de persoonlijke levenssfeer die het gevolg is van de bekendmaking of openbaarmaking van gevoelige persoonsgegevens een grond zijn voor een vordering wegens ‘bekendmaking van privé-feiten’. (Zie voorbeelden van illustratieve gevallen hierna.)

Wat de schadevergoeding betreft, kunnen inbreuken op de persoonlijke levenssfeer de benadeelde het recht verlenen om schadevergoeding te eisen voor:

Restatement, § 652H. Gezien de algemene toepasselijkheid van het recht inzake onrechtmatige daad en de veelheid van gronden voor vorderingen betreffende verschillende aspecten van de bescherming van de persoonlijke levenssfeer, is het waarschijnlijk dat aan degenen die het slachtoffer worden van een schending van hun persoonlijke levenssfeer als gevolg van de niet-naleving van de Veiligehavenbeginselen, een geldelijke schadevergoeding wordt toegekend.

De staatsrechtbanken worden immers overstelpt met zaken wegens inbreuken op de persoonlijke levenssfeer in analoge situaties. Ex Parte AmSouth Bancorporation et al., 717 So. 2d 357, bijvoorbeeld betrof een collectief proces waarin werd aangevoerd dat de beklaagde ‘profiteerde van het vertrouwen dat de deposanten in de bank stelden door vertrouwelijke informatie betreffende de bankdeposanten en hun rekeningen mee te delen’ teneinde een met de bank gelieerde maatschappij in staat te stellen gemeenschappelijke beleggingsfondsen en andere beleggingen te verkopen. In dergelijke gevallen wordt vaak schadevergoeding toegekend. In de zaak Vassiliades v. Garfinckel's, Brooks Bros., 492 A.2d 580 (D.CApp. 1985), vernietigde een hof van appèl een vonnis van een lagere rechtbank teneinde te beslissen dat het gebruik van foto's van de klager ‘vóór’ en ‘na’ plastische chirurgie tijdens een presentatie in een warenhuis een inbreuk op de persoonlijke levenssfeer wegens de bekendmaking van privé-feiten vormde. In de zaak Candebat v. Flanagan, 487 So.2d 207 (Miss. 1986), maakte de aangeklaagde verzekeringsmaatschappij in een reclamecampagne gebruik van een ongeval waarin de vrouw van de klager zwaargewond raakte. Klager stelde vervolging in wegens een schending van de persoonlijke levenssfeer. De rechtbank besliste dat klager recht had op schadevergoeding wegens emotioneel leed en toe-eigening van identiteit. Er kunnen vorderingen wegens wederrechtlijke[lees: wederrechtelijke] toe-eigening worden ingesteld zelfs indien de klager niet persoonlijk beroemd is. Zie bv. Staruski v. Continental Telephone Co., 154 Vt. 568 (1990) (beklaagde haalde commercieel voordeel uit het gebruik van de naam en de foto van een werknemer in een krantenreclame). In de zaak Pulla v. Amoco Oil Co., 882 F.Supp. 836 (S.D. Iowa 1995), drong een werkgever binnen in de afzondering van beklaagde, een werknemer, door een andere werknemer opdracht te geven zijn creditcardgegevens na te trekken om zijn afwezigheden wegens ziekte te controleren. De rechtbank steunde een door een jury toegewezen feitelijke schadevergoeding van 2 USD en een als straf bedoelde schadevergoeding van 500 000 USD. Een andere werkgever werd aansprakelijk gesteld voor het bekendmaken van een verhaal in de bedrijfskrant over een werknemer die werd ontslagen omdat hij de gegevens betreffende zijn arbeidsverleden zou hebben vervalst. Zie Zinda v. Louisiana-Pacific Corp., 140 Wis.2d 277 (Wis.App. 1987). Het verhaal vormde door de bekendmaking van een privé-aangelegenheid een inbreuk op de persoonlijke levenssfeer van de klager omdat de krant in de gemeenschap werd verspreid. Ten slotte werd een universiteit die studenten op HIV testte nadat hun werd gezegd dat de bloedproef alleen bedoeld was om rode hond op te sporen, aansprakelijk gesteld voor indringing bij afzondering. Zie Doe v. High-Tech Institute, Inc., 972 P.2d 1060 (Colo.App. 1998). (Voor andere gemelde zaken, zie Restatement, § 652H, Appendix.)

De Verenigde Staten wordt vaak bekritiseerd omdat het te sterk tot procederen geneigd zou zijn, maar dit betekent ook dat particulieren echt rechtsmiddelen kunnen aanwenden, en dit ook doen, wanneer ze vinden dat hun onrecht is aangedaan. Vele aspecten van het rechtssysteem van de Verenigde Staten maken het voor klagers gemakkelijk om hetzij individueel, hetzij gezamenlijk een proces aan te spannen. De balie, die verhoudingsgewijs groter is dan in de meeste andere landen, maakt professionele vertegenwoordiging gemakkelijk beschikbaar. Door klagers ingeschakelde advocaten die personen bij particuliere vorderingen vertegenwoordigen, werken doorgaans met een resultaatafhankelijke beloning, zodat zelfs arme of behoeftige klagers rechtsmiddelen kunnen aanwenden. Hiermee wordt een belangrijke factor naar voren gebracht — in de Verenigde Staten betaalt elke partij gewoonlijk het honorarium en andere kosten van haar eigen advocaat. In Europa daarentegen geldt als algemene regel dat de verliezende partij de kosten van de andere partij moet vergoeden. Zonder nader in te gaan op de relatieve voordelen van beide systemen kan worden gesteld dat met de in de Verenigde Staten geldende regel de kans kleiner is dat personen met rechtmatige vorderingen zich laten afschrikken omdat ze bang zijn de kosten van beide partijen niet te zullen kunnen betalen als ze het proces verliezen.

Personen kunnen een eis tot schadevergoeding instellen zelfs als hun vorderingen relatief klein zijn. In de meeste, zoniet alle staten van de Verenigde Staten zijn er rechtbanken voor kleine vorderingen die vereenvoudigde en minder dure procedures aanbieden voor geschillen die onder de wettelijke drempels blijven (11). De mogelijkheid dat een hoge schadevergoeding wordt toegewezen, biedt ook een financiële beloning aan personen die misschien weinig directe schade hebben geleden om vervolging wegens laakbaar wangedrag in te stellen. Ten slotte kunnen personen die op dezelfde wijze zijn benadeeld, hun middelen en hun vorderingen bundelen om een collectief proces aan te spannen.

Een goed voorbeeld van de mogelijkheid voor personen om een eis tot schadeloosstelling in te stellen is het hangende geschil tegen Amazon.com wegens inbreuk op de persoonlijke levenssfeer. Amazon.com, de grote on-linedetaillist, wordt aangeklaagd in een collectief proces waarbij de klagers beweren dat zij niet op de hoogte werden gebracht van, en niet hebben ingestemd met, het verzamelen van persoonsgegevens over hen toen zij gebruikmaakten van een softwareprogramma onder de naam ‘Alexa’ dat eigendom is van Amazon. In deze zaak hebben de klagers gewezen op schendingen van de Computer Fraud and Abuse Act wegens illegale toegang tot hun opgeslagen communicaties, en van de Electronic Communications Privacy Act wegens illegale interceptie van hun elektronische en via kabel verzonden communicaties. Op grond van het gewoonterecht voeren zij tevens aan dat een schending van de persoonlijke levenssfeer heeft plaatsgevonden. Dit vloeit voort uit een klacht die in december door een deskundige op het gebied van Internetveiligheid werd ingediend. Er wordt een schadevergoeding van 1 000 USD per lid van de groep geëist, plus de honoraria van de advocaten en de winst die als gevolg van wetsovertredingen is gemaakt. Aangezien de groep miljoenen leden kan tellen, kan de totale schadevergoeding miljarden dollars bedragen. De FTC is ook bezig met een onderzoek van de beschuldigingen.

Niet-naleving van de Veiligehavenbeginselen kan niet alleen leiden tot burgerlijke aansprakelijkheid op grond van het recht inzake onrechtmatige daad, maar kan ook een schending van een van de honderden federale en staatswetten inzake de persoonlijke levenssfeer vormen. Vele van deze wetten, die betrekking hebben op de verwerking van persoonsgegevens zowel door de overheid als de particuliere sector, stellen personen in staat om een eis tot schadevergoeding in te stellen wanneer overtredingen plaatsvinden. Bijvoorbeeld:

Electronic Communications Privacy Act van 1986. De ECPA verbiedt de ongeoorloofde interceptie van cellulaire telefoongesprekken en van datatransmissie tussen computers. Overtredingen kunnen leiden tot burgerlijke aansprakelijkheid met een geldboete van minimaal 100 USD per dag dat de overtreding duurt. De door de ECPA geboden bescherming strekt zich ook uit tot de ongeoorloofde toegang tot of bekendmaking van opgeslagen elektronische communicaties. Overtreders dienen de geleden schade te vergoeden of zien de winst die als gevolg van de overtreding is gemaakt, verbeurdverklaard.

Telecommunications Act van 1996. Krachtens hoofdstuk 702 mag klanteninformatie die eigendom is van telecommunicatienetten (CPNI, customer proprietary network information) niet worden gebruikt voor andere doeleinden dan het verlenen van telecommunicatiediensten. Abonnees van telecommunicatiediensten kunnen ofwel een klacht indienen bij de Federal Communications Commission, ofwel een proces aanhangig maken bij een federale arrondissementsrechtbank om schadevergoeding en de honoraria van de advocaten te vorderen.

Consumer Credit Reporting Reform Act van 1996. De wet van 1996 wijzigde de Fair Credit Reporting Act van 1970 (FCRA) teneinde verbetering te brengen in de kennisgeving en het recht van toegang betreffende kredietinformatiethema's. De herzieningswet legde ook nieuwe beperkingen op aan wederverkopers van consumentenkredietrapporten. Consumenten kunnen bij overtredingen schadevergoeding en de honoraria van de advocaten vorderen.

Staatswetten beschermen ook de persoonlijke levenssfeer in tal van situaties. Tot de gebieden waarop de staten maatregelen hebben genomen, behoren bankgegevens, abonnementen op kabeltelevisie, kredietrapporten, arbeidsgegevens, overheidsgegevens, genetische informatie en medische gegevens, verzekeringsgegevens, schoolgegevens, elektronische communicatie en videoverhuur (12).

B. Uitdrukkelijke juridische machtigingen

De Veiligehavenbeginselen bevatten een uitzondering wanneer wetten, regelingen of jurisprudentie ‘tegenstrijdige verplichtingen of uitdrukkelijke machtigingen creëren, mits de organisaties die van een dergelijke machtiging gebruikmaken kunnen aantonen dat de niet-naleving van de beginselen beperkt is tot de mate die nodig is om de met de machtiging beoogde doorslaggevende, legitieme belangen te waarborgen’. Het is duidelijk dat, indien de wetgeving van de Verenigde Staten een tegenstrijdige verplichting oplegt, organisaties uit dat land de wet in acht moeten nemen, ongeacht of ze aan de veilige haven deelnemen of niet. Wat uitdrukkelijke machtigingen betreft, zijn we, ofschoon de Veiligehavenbeginselen bedoeld zijn om de verschillen tussen de regeling van de Verenigde Staten en die van de Europese Unie inzake bescherming van de persoonlijke levenssfeer te overbruggen, eerbied verschuldigd aan de prerogatieven van onze verkozen wetgevers op het gebied van wetgeving. De beperkte uitzondering op de strikte toepassing van de Veiligehavenbeginselen is bedoeld om een evenwicht tot stand te brengen tussen de legitieme belangen aan beide kanten.

De uitzondering is beperkt tot gevallen waar er een uitdrukkelijke machtiging voorhanden is. Daarom moet de desbetreffende wet, regeling of rechterlijke beslissing bij wijze van drempel het bijzondere gedrag van veiligehavenorganisaties affirmatief toestaan (13). Met andere woorden, de uitzondering zou niet gelden als de wet niet expliciet is. Bovendien zou de uitzondering alleen gelden als de uitdrukkelijke machtiging in strijd is met de naleving van de Veiligehavenbeginselen. Zelfs dan is de uitzondering ‘beperkt tot de mate die nodig is om de met de machtiging beoogde doorslaggevende, legitieme belangen te waarborgen’. Om het duidelijk te stellen, wanneer de wet een onderneming gewoon machtigt persoonsgegevens aan overheidsinstanties te verstrekken, zou de uitzondering niet gelden. Omgekeerd, wanneer de wet de onderneming specifiek machtigt persoonsgegevens aan overheidsinstanties te verstrekken zonder de toestemming van de betrokkene, zou dit een ‘uitdrukkelijke machtiging’ vormen om te handelen op een wijze die in strijd is met de Veiligehavenbeginselen. Aan de andere kant zouden specifieke uitzonderingen op affirmatieve voorschriften om kennisgeving te doen en toestemming te verkrijgen, binnen de uitzondering vallen (daar dit hetzelfde zou zijn als een specifieke machtiging om de informatie zonder kennisgeving en toestemming bekend te maken). Een wet bijvoorbeeld die artsen machtigt de medische gegevens over hun patiënten zonder voorafgaande toestemming van de patiënten aan ambtenaren van de gezondheidsdienst te verstrekken, zou een uitzondering op de beginselen van kennisgeving en keuze kunnen toelaten. Deze machtiging zou een arts niet toestaan dezelfde medische gegevens aan een organisatie voor gezondheidszorg (HMO, health maintenance organization) of aan commerciële farmaceutische onderzoekslaboratoria te verstrekken, wat buiten de door de wet toegestane doeleinden en bijgevolg buiten het geldingsgebied van de uitzondering zou vallen (14). Het rechtsinstrument in kwestie kan een ‘op zichzelf staande’ machtiging zijn om specifieke dingen met persoonsgegevens te doen, maar, zoals uit de hierna gegeven voorbeelden blijkt, zal het waarschijnlijk een uitzondering op een ruimere wet zijn die het verzamelen, het gebruik of de bekendmaking van persoonsgegevens verbiedt.

In de meeste gevallen is het toegestane gebruik ofwel in overeenstemming met de voorschriften van de richtlijn en de beginselen, ofwel wordt het gebruik door de een of andere erkende uitzondering toegestaan. Punt 702 van de Telecommunications Act (gecodificeerd in 47 U.S.C. § 222) legt telecommunicatie-exploitanten bijvoorbeeld de verplichting op de vertrouwelijkheid van persoonsgegevens die zij bij het verlenen van hun diensten aan hun klanten verkrijgen, in acht te nemen. Deze bepaling staat telecommunicatie-exploitanten specifiek toe:

Zie 47 U.S.C. § 222(c)(1)–(3). De wet staat de telecommunicatie-exploitanten ook een uitzondering toe voor het gebruik van klanteninformatie om:

.

Id., § 222(d)(1)–(3). Ten slotte dienen de telecommunicatie-exploitanten informatie betreffende de abonneelijsten, die alleen de namen, adressen, telefoonnummers en de bedrijfsactiviteit voor commerciële klanten mag omvatten, aan uitgevers van telefoongidsen te verstrekken. Id., § 222(e).

De uitzondering voor ‘uitdrukkelijke machtigingen’ zou een rol kunnen spelen wanneer telecommunicatie-exploitanten gebruikmaken van CPNI om bedrog of ander illegaal gedrag te voorkomen. Zelfs hier zouden dergelijke handelingen als van ‘openbaar belang’ kunnen worden aangemerkt en om die reden door de beginselen kunnen worden toegelaten.

Het ministerie van Volksgezondheid en Welzijn (HHS) heeft regels betreffende normen voor de bescherming van de persoonlijke levenssfeer ten aanzien van individueel identificeerbare gezondheidsinformatie voorgesteld. Zie 64 Fed. Reg. 59,918 (3 nov. 1999) (te codificeren in 45 C.F.R., punten 160–164). De regels zouden de voorschriften inzake de bescherming van de persoonlijke levenssfeer van de Health Insurance Portability and Accountability Act van 1996, Pub. L. 104–191, ten uitvoer leggen. De voorgestelde regels zouden de bedoelde entiteiten (d.w.z. gezondheidsplannen, clearingkantoren op het gebied van gezondheidszorg, en zorgverleners die gezondheidsinformatie in elektronisch formaat verzenden) in het algemeen verbieden beschermde gezondheidsinformatie zonder toestemming van de betrokkene te gebruiken of openbaar te maken. Zie het voorgestelde 45 C.F.R. § 164.506. Volgens de voorgestelde regels zou beschermde gezondheidsinformatie slechts voor twee doeleinden openbaar mogen worden gemaakt: 1. om de betrokkenen in staat te stellen de gezondheidsinformatie over henzelf te raadplegen en te kopiëren, zie id. § 164.514; en 2. om de regels te doen toepassen, zie id. § 164.522.

De voorgestelde regels zouden het gebruik of de openbaarmaking van beschermde gezondheidsinformatie zonder specifieke machtiging van de betrokkene in beperkte omstandigheden toestaan. Daaronder vallen bijvoorbeeld de inspectie van het gezondheidszorgstelsel, de rechtshandhaving en noodsituaties. Zie id. § 164.510. De voorgestelde regels beschrijven in detail de beperkingen die aan het gebruik en de openbaarmaking worden gesteld. Bovendien zouden het toegestane gebruik en de toegestane openbaarmaking van beschermde gezondheidsinformatie worden beperkt tot de minimale hoeveelheid benodigde informatie. Zie id. § 164.506.

Het gebruik dat door de voorgestelde regeling uitdrukkelijk wordt toegestaan, is in het algemeen in overeenstemming met de Veiligehavenbeginselen of wordt anders door een andere uitzondering toegestaan. Zo worden bijvoorbeeld rechtshandhaving en gerechtelijke administratie toegestaan, evenals medische research. Andere vormen van gebruik, zoals de inspectie van het gezondheidszorgstelsel, de functie volksgezondheid en door de overheid beheerde gezondheidsgegevenssystemen, dienen het openbaar belang. Openbaarmaking voor de verwerking van betalingen en premies in de gezondheidszorg is noodzakelijk voor het verlenen van gezondheidszorg. Het gebruik in noodsituaties, om de naaste verwanten te raadplegen in verband met een behandeling wanneer de toestemming van de patiënt ‘niet op een uitvoerbare of redelijke wijze kan worden verkregen’, of om de identiteit of de doodsoorzaak van de overledene te bepalen, beschermt de vitale belangen van de betrokkene en van anderen. Het gebruik voor het beheer van militairen in actieve dienst of andere speciale categorieën personen draagt bij tot de behoorlijke uitvoering van de militaire taak of soortgelijke dringende situaties; en in elk geval zullen dergelijke vormen van gebruik weinig of niet van toepassing zijn op de consument in het algemeen.

Dan blijft alleen nog het gebruik van persoonsgegevens door instellingen voor gezondheidszorg om patiëntenlijsten te maken. Hoewel dit gebruik misschien niet het niveau van het ‘vitale’ belang haalt, zijn de lijsten wel nuttig voor de patiënten en voor hun vrienden en verwanten. Bovendien is de reikwijdte van dit toegestane gebruik inherent zeer beperkt. Daarom vormt het inroepen van de uitzondering in de beginselen voor door de wet voor dit doel ‘uitdrukkelijk toegestane’ vormen van gebruik een zeer gering risico voor de persoonlijke levenssfeer van patiënten.

De Europese Commissie heeft er haar bezorgdheid over geuit dat de uitzondering voor ‘uitdrukkelijke machtigingen’ ‘daadwerkelijk een vaststelling van gepastheid zou creëren’ voor de Fair Credit Reporting Act (FCRA). Dit zou niet het geval zijn. Bij ontstentenis van een specifieke vaststelling van gepastheid voor de FCRA zouden de organisaties uit de Verenigde Staten die zich anders op een dergelijke vaststelling zouden baseren, moeten beloven de Veiligehavenbeginselen in alle opzichten na te leven. Dit betekent dat wanneer de FCRA-voorschriften het in de beginselen vastgelegde beschermingsniveau overtreffen, organisaties uit de Verenigde Staten alleen de FCRA hoeven na te leven. Omgekeerd, wanneer de FCRA te kort zou schieten, zouden die organisaties hun informatiepraktijken in overeenstemming met de beginselen moeten brengen. De uitzondering zou aan deze fundamentele beoordeling niets veranderen. Zoals de uitzondering is geformuleerd, geldt ze alleen wanneer de desbetreffende wet uitdrukkelijk gedrag toestaat dat niet met de Veiligehavenbeginselen in overeenstemming zou zijn. De uitzondering zou niet van toepassing zijn wanneer de FCRA-voorschriften gewoon niet beantwoorden aan de Veiligehavenbeginselen (16).

Met andere woorden, het ligt niet in onze bedoeling de uitzondering zo op te vatten dat wat niet wordt voorgeschreven, bijgevolg ‘uitdrukkelijk toegestaan’ is. Bovendien geldt de uitzondering alleen wanneer datgene wat door de wetgeving van de Verenigde Staten uitdrukkelijk wordt toegestaan, in strijd is met de voorschriften van de Veiligehavenbeginselen. De wet in kwestie moet aan deze beide elementen voldoen voordat niet-naleving van de beginselen zou worden toegestaan.

Punt 604 van de FCRA bijvoorbeeld machtigt kredietinformatiebureaus uitdrukkelijk in verschillende opgesomde situaties consumentenrapporten uit te brengen. Zie FCRA, § 604. Als punt 604 aldus kredietinformatiebureaus machtigt in strijd met de Veiligehavenbeginselen te handelen, zouden de kredietinformatiebureaus zich op de uitzondering moeten baseren (tenzij natuurlijk een andere uitzondering zou gelden). Kredietinformatiebureaus moeten zich houden aan rechterlijke beslissingen en dagvaardingen voor de kamer van inbeschuldigingstelling, en het gebruik van kredietrapporten door overheidsdiensten voor wetshandhaving op het gebied van vergunningen, sociale bijstand en kinderbescherming dient een doel van openbaar belang. Id., § 604(a)(1), (3)(D) en (4). Bijgevolg zou het kredietinformatiebureau zich hiervoor niet op de uitzondering voor ‘uitdrukkelijke machtigingen’ hoeven te baseren. Wanneer het kredietinformatiebureau handelt in overeenstemming met schriftelijke instructies van de consument, zou het volledig aan de Veiligehavenbeginselen voldoen. Id., § 604(a)(2). Zo kunnen ook consumentenrapporten worden verstrekt in verband met sollicitatieprocedures alleen met schriftelijke toestemming van de consument (id., §§ 604(a)(3)(B) en (b)(2)(A)(ii)) en met betrekking tot krediet- en verzekeringstransacties die niet op initiatief van de consument tot stand komen, alleen als de consument dergelijke verzoeken niet door een ‘opt-out’ heeft geweigerd (id., § 604(c)(1)(B)). Voorts verbiedt de FCRA kredietinformatiebureaus medische informatie in verband met sollicitatieprocedures te verstrekken zonder de toestemming van de consument. Id., § 604(g). Dergelijke vormen van gebruik beantwoorden aan de beginselen van kennisgeving en keuze. Andere door punt 604 toegestane vormen van gebruik leiden tot transacties waarbij de consument betrokken is en zouden om die reden door de beginselen worden toegelaten. Zie id., § 604(a)(3)(A) en (F).

Het resternde[lees: resterende] door punt 604 ‘toegestane’ gebruik heeft betrekking op secundaire kredietmarkten. Id., § 604(a)(3)(E). Het gebruik van consumentenrapporten voor dit doel is niet per se strijdig met de Veiligehavenbeginselen. Het is inderdaad zo dat de FRCA bijvoorbeeld niet van kredietinformatiebureaus verlangt dat ze kennisgeving doen aan en toestemming verkrijgen van de consumenten wanneer ze rapporten voor dat doel verstrekken. Wij wijzen er echter nogmaals op dat de afwezigheid van een verplichting niet neerkomt op een ‘uitdrukkelijke machtiging’ om op een andere wijze te handelen dan wordt verlangd. Zo staat ook punt 608 kredietinformatiebureaus toe sommige persoonsgegevens aan overheidsdiensten te verstrekken. Deze ‘machtiging’ zou niet rechtvaardigen dat een kredietinformatiebureau zich niet houdt aan zijn verplichtingen om de Veiligehavenbeginselen na te leven. Dit staat in tegenstelling tot onze andere voorbeelden waar uitzonderingen op affirmatieve verplichtingen inzake kennisgeving en keuze gelden om het gebruik van persoonsgegevens zonder kennisgeving en keuze uitdrukkelijk toe te staan.

Zelfs onze beperkte bespreking van deze wetten levert een duidelijk patroon op:

Tot besluit kan worden gesteld dat de uitzondering voor ‘uitdrukkelijke machtigingen’ in de wet uit de aard der zaak waarschijnlijk een vrij beperkte draagwijdte zal hebben.