Dutch court: black lists containing personal data of medical personnel should be taken offline

Read this article in Dutch

Two websites that included black lists of medical personnel, owned by SIN.nl can no longer be available to the public on the internet.[1] SIN.nl is an online news platform focused on publishing information about (alleged) medical incidents/medical mistakes. According to the District-court Midden-Nederland, the black lists caused harm to the reputation of doctors named on the list. Another issue was that the websites processed personal data in such a way that violated the General Data Protection Regulation ("GDPR").[2]

What happened?

Both websites contained the names, addresses and sometimes photos of medical personnel such as doctors, dentists, psychologists whom allegedly had made mistakes in the past. The Dutch foundation SOS aimed at stopping online shaming, filed the case on behalf of the people mentioned on the black lists. According to this foundation, the real purpose behind the websites was not to inform the public, but rather serve as a sort of pillory. Therefore, it requested that both websites were to be taken offline as well as to stop adding new names or information to the already existing black lists. All references made to the websites should be taken out of the results presented by search engines.

Fundamental rights at stake

The Dutch court had to take two fundamental rights into consideration before it could issue a judgment. On the one hand the freedom of speech and on the other hand the right to respect one's honour and reputation. The court looked at different factors to decide what right has priority over the other. Factors of importance were the nature of the information published on the websites, the public interest in the matter, the facts used to substantiate the claims and the possibility that the information could have been made available without causing detrimental effects to the listed people.

Judgment

The court was of the opinion that using the term black list in this case automatically amounts to serious accusations that were not based on actual evidence. Furthermore, while the websites were a private initiative, it was unclear for internet users whether the websites stemmed from an official Dutch authority. The lists contained information from all sorts of medical personnel and not only those who were suspended but also those who received a warning but are still allowed to exercise their professions.

Another issue is that it is almost impossible to get information removed. The way in which search results are shown by search engines negatively impacts personal and professional lives of medical personnel. Since SIN.nl could have reached the results in a different less harmful manner, the court ordered them to transfer the domain names to the foundation and to remove all harmful information concerning medical personnel.

Black lists under the GDPR

Black lists are commonly used to warn organisations not to do business with certain individuals. These lists contain personal data about those individuals, such as criminal records. A black list can only be used if certain criteria have been fulfilled because of its negative impact on those individuals named on it. There needs to be a legitimate interest, the black lists must be necessary and the interests that the black lists pursues outweighs the privacy interests of data subjects. The aforementioned conclusion by the court Midden-Nederland is in line with the GDPR and the guidance issued by the Dutch Data Protection Authority regarding the usage of black lists in the Netherlands.
 

---

Dutch

Rechtbank: zwarte lijsten over onbetrouwbare artsen moet offline gehaald worden

Twee websites van SIN.nl mogen niet langer aangeboden worden op het internet.[3] SIN.nl is een online nieuwsplatform dat erop gericht is om informatie over medische fouten en misstanden in de zorg te publiceren. Volgens de rechtbank Midden-Nederland tasten de zwarte lijsten de daarop genoemde artsen in hun eer en goede naam aan. Bovendien verwerken de websites persoonsgegevens op een wijze die in strijd is met de Algemene Verordening Gegevensbescherming ("AVG").[4]

Wat ging eraan vooraf?

Beide websites bevatte persoonsgegevens, zoals namen, adressen en soms foto's van medisch specialisten die volgens de websites in de fout waren gegaan. De Nederlandse stichting SOS die zich bezighoudt met het bestrijden van online shaming spande daarop een rechtszaak aan tegen SIN.nl. Hoewel SIN.nl stelde dat deze websites van algemeen belang zijn, omdat er misstanden in de zorg mee worden aangetoond, was de stichting juist van mening dat de websites louter dienden als online schandpalen. Stichting SOS vorderde dat beide websites offline werden gehaald en dat er voorlopig geen nieuwe informatie op de lijsten geplaatst mocht worden. Daarnaast moesten alle verwijzingen in zoekresultaten van zoekmachines verwijderd worden.

Fundamentele rechten in het geding

In deze zaak woog de rechtbank twee fundamentele rechten tegen elkaar af. Enerzijds het recht op de vrijheid van meningsuiting en anderzijds het recht op eerbiediging van eer en goede naam. Bij het bepalen van de uitkomst waren verschillende factoren van belang, zoals de aard van de informatie op de websites, het algemeen belang met betrekking tot de beschikbaarheid van deze informatie, de feiten waarop de beweringen gebaseerd waren en de mogelijkheid dat de informatie ook openbaar gemaakt had kunnen worden zonder dat de genoemde personen daarvan hinder ondervonden.

Oordeel van de rechtbank

De rechtbank was van mening dat de term zwarte lijst automatisch tot zware verdenkingen leidt zonder dat deze verdenkingen gebaseerd zijn op feiten. Bovendien waren de websites geen officiële zwarte lijst, maar slechts een lijst die door een privépersoon wordt bijgewerkt. De websites bevatte ook persoonsgegevens van medische professionals die slechts een waarschuwing hadden ontvangen en wel aan het werk mochten blijven. Voor een leek was het onderscheid tussen waarschuwingen en schorsingen niet duidelijk.

Een ander probleem is dat het bijna onmogelijk was voor degene die op de lijst stonden om hun rechten onder de AVG uit te oefenen, zoals het recht op verwijdering van persoonsgegevens. Dit is in strijd met de AVG volgens de rechtbank. Daarnaast was van belang dat de manier waarop de zoekresultaten door zoekmachines werden getoond vergaande negatieve gevolgen had voor de medische professionals. Hoewel niet iedere uiting onrechtmatig was, werd iedereen op de website aan dezelfde schandpaal genageld. Vandaar dat de rechtbank tot de conclusie komt dat de medische professionals in hun eer en goede naam zijn aangetast en de vorderingen van SOS toewijst.

Zwarte lijsten onder de AVG

Zwarte lijsten worden veelal gebruikt om waarschuwingen af te geven aan organisaties wanneer zij zakendoen met bepaalde individuen. Deze lijsten bevatten persoonsgegevens, zoals strafrechtelijke gegevens. Een zwarte lijst mag alleen onder bepaalde voorwaarden gebruikt worden vanwege de grote negatieve impact op de privacy van de mensen die op de lijst vermeld staan. Er moet sprake zijn van een gerechtvaardigd belang, de zwarte lijst moet noodzakelijk zijn en het belang van de zwarte lijst moet zwaarder wegen dan het privacybelang van de betrokkenen. De uitspraak is in lijn met de AVG en het beleid dat de Autoriteit Persoonsgegevens hanteert met betrekking tot het gebruik van zwarte lijsten in Nederland.