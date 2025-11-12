Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Laatst las ik dat privacyorganisatie noyb bij het Oostenrijkse OM een klacht heeft ingediend om Clearview AI en de managers van het bedrijf strafrechtelijk te vervolgen. Is zoiets ook in Nederland mogelijk?

Antwoord: Inderdaad heeft Oostenrijk in Artikel 63 van haar Datenschutzgesetz uitgewerkt dat de rechter, onder andere voor "onrechtmatige zelfverrijking" door middel van onrechtmatig verkregen persoonsgegevens, een gevangenisstraf tot een jaar kan opleggen.

De AVG erkent dat landen deze mogelijkheid hebben. Artikel 84 AVG eist dat lidstaten sancties invoeren voor overtredingen die niet in de AVG zelf al staan. Het strafrecht is dan een optie. Overweging 149 suggereert daarbij dat het afpakken van winst verkregen uit AVG-schendingen een optie zou kunnen zijn.

Omdat de AVG gebaseerd is op economische regels, kan zij zelf geen bepalingen van strafrecht introduceren. Lidstaten moeten dus zelf kiezen of en zo ja welke strafbaarstelling men invoert. Nederland heeft (zonder echte motivatie) geen algemene regels van strafrecht ingevoerd. Mijn vermoeden is dat de wetgever denkt dat het bestuursrecht adequaat is voor handhaving. Uiteindelijk is een boete een boete. Gevangenisstraf voor bestuurders is niet echt een Nederlandse traditie.

Wel zijn er natuurlijk allerlei artikelen van strafrecht die specifiek zien op delicten gepleegd met persoonsgegevens, zoals: - Gegevensdiefstal (art. 138c) van niet-openbare persoonsgegevens - Aftappen van persoonsgegevens (art. 139c) - Verwerven of openbaar maken niet-openbare persoonsgegevens (art. 139g) - Vervalsen van identiteitsdocumenten (art. 231) - Misbruik van biometrische persoonsgegevens (art. 231a) - Identiteitsdiefstal (art. 231b) - Wraakporno of deepfake-porno maken of verspreiden (art. 254ba) - Doxing oftewel overlast geven door misbruik persoonsgegevens (art. 285d) - Afpersing (art. 317) met bv. wissen van belangrijke gegevens - Afdreiging (art. 318) met openbare van als privé te beschouwen persoonsgegevens (Ik vergeet er vast de nodige.)

Hier is dan de gedachte dat dit zo ernstig is dat gevangenisstraf gepast zal zijn. Ook gaat het hier zelden om gebruikelijke, legitieme verwerkingen waarbij een toezichthouder af en toe binnenstapt. En vaak gaan ze samen met andere misdrijven, dus dan is het logisch dat je de politie het voortouw laat nemen.