Privacy en Gegevensbescherming Samenvatting 2017/2018
Privacy en Gegevensbescherming
Samenvatting
Bron:
H.R. Kranenborg en L.F.M. Verhey, De Algemene Verordening Gegevensbescher-
ming in Europees en Nederlands perspectief, Deventer: Wolters Kluwer 2018.
e.a.
Rijksuniversiteit Groningen 1
,Privacy en Gegevensbescherming Samenvatting 2017/2018
Inhoudsopgave
Week 1a: Inleiding AVG + toepassing & reikwijdte ............................................................. 5
Hoofdstuk 1, Inleiding......................................................................................................................... 5
Hoofdstuk 2, Gegevensbescherming binnen de Raad van Europa ...................................................... 7
Hoofdstuk 3, Gegevensbescherming in de Europese Unie................................................................ 10
Hoofdstuk 4, Constitutionele context ................................................................................................ 13
C.C.M. Kroeks-De Raaij, R.J.J. Westerdijk en G.J. Zwenne, ‘De Algemene Verordening
Gegevensbescherming’, Tijdschrift voor Internetrecht, 2016/2. ....................................................... 15
Week 1b: De werking van de AVG ....................................................................................... 18
Hoofdstuk 5, Reikwijdte.................................................................................................................... 18
Hoofdstuk 6, De voornaamste actoren .............................................................................................. 20
Hoofdstuk 7, Materiële normen ......................................................................................................... 21
WP29: Guidelines on Consent under Regulation 2016/679, wp259. ................................................ 24
WP29: Guidelines on transparency under Regulation 2016/679, wp260. ......................................... 27
Week 2a: Bescherming van persoonsgegevens .................................................................... 31
Hoofdstuk 9, Verplichtingen van de verwerkingsverantwoordelijke ................................................ 31
Hoofdstuk 10, Uitzonderingen en beperkingen ................................................................................. 33
Week 2b: Bescherming van persoonsgegevens/health data................................................ 35
§7.4 Verwerking van bijzondere categorieën persoonsgegevens ...................................................... 35
AP: Onderzoek naar de verwerking van persoonsgegevens in het kader van de Nike+ Running app
door Nike Inc., november 2015 (Hfst 3/5/6). .................................................................................... 37
WP29: Advice paper on special categories of data (“sensitive data”)............................................... 39
Mulder, T, Jagesar, RR, Klingenberg, AM, Mifsud Bonnici, JP & Kas, MJ 2018, 'New European
privacy regulation: Assessing the impact for digital medicine innovations' European Psychiatry, vol
54, pp. 57-58...................................................................................................................................... 40
ANNEX - health data in apps and devices. ....................................................................................... 40
European Commission: eHealth Action Plan 2012-2020 - Innovative healthcare for the 21st century,
6 December 2012............................................................................................................................... 41
Week 3a: Rechten van de betrokkene .................................................................................. 43
Hoofdstuk 8, Rechten van de betrokkene .......................................................................................... 43
Week 3b: Rechtsbescherming: toezicht & handhaving ...................................................... 47
Hoofdstuk 12, Toezicht ..................................................................................................................... 47
Hoofdstuk 13, Rechtsbescherming .................................................................................................... 49
AP: Last onder dwangsom TGB, Besluit 9 augustus 2018 ............................................................... 50
Week 4a: Bewerkingsovereenkomst & doorgifte aan derde landen .................................. 51
Hoofdstuk 11, Doorgifte van persoonsgegevens aan derde landen ................................................... 51
Rijksuniversiteit Groningen 2
,Privacy en Gegevensbescherming Samenvatting 2017/2018
WP29-WP238 - Opinion 01/2016 on the EU - U.S. Privacy Shield draft adequacy decision. ......... 53
L. Moerel, ‘De betekenis van de Safe Harbor uitspraak van het Europese Hof voor datadoorgiftes
naar de VS’, NJB 2016/17 p. 824 ...................................................................................................... 54
C.M.M. Zwinkels ‘De meldplicht datalekken: de bewerkers-overeenkomst’, P&I 2016/2. ............. 55
Week 4b: Privacy Impact Assessment (PIA) ....................................................................... 57
WP29: Richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een
verwerking "waarschijnlijk een hoog risico inhoudt" in de zin van Verordening 2016/679. ............ 57
Week 5a: ePrivacy .................................................................................................................. 60
Kranenborg/Verhey: Hoofdstuk 3 (paragraaf 3.4.2 en 3.4.3). ........................................................... 60
Kranenborg/Verhey: Hoofdstuk 3 (Herziening van de e-privacyrichtlijn)........................................ 60
WP29, Opinion 01/2017 on the Proposed Regulation for the ePrivacy Regulation (2002/58/EC). .. 61
H.W. Roerdink, ‘Over the top: Het voorstel voor de Europese e-Privacyverordening’, Tijdschrift
voor Internetrecht 2017, nr. 5/6. ........................................................................................................ 63
M.A.M. Verveld-Suijkerbuijk, Het Europese voorstel voor een e-Privacy-verordening, P&I, 2017
afl. 2 p. 70-76. ................................................................................................................................... 64
Week 5b: Wat is privacy by design?..................................................................................... 66
Ann Cavoukian. Privacy by design: The 7 foundational principles. Information and Privacy
Commissioner of Ontario, Canada, 2009 .......................................................................................... 66
Andreas Pfitzmann, Marit Hansen. A terminology for talking about privacy by data minimization:
Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity, and Identity
Management. V0.34, 2010. ............................................................................................................... 66
EDPS, Opinion 5/2018, Preliminary Opinion on privacy by design ................................................. 68
Seda Gürses, Carmela Troncoso, and Claudia Diaz: Engineering Privacy by Design, CPDP 2011. 69
Daniel Solove, A Taxonomy of Privacy, University of Pennsylvania Law Review, 154 (3), 2006.
Seda Gürses, Can you engineer privacy? .......................................................................................... 70
The challenges and potential approaches to applying privacy research in engineering practice.
Communications of the ACM, August 2014, Vol. 57 No. 8, Pages 20-23........................................ 73
Week 6a: Privacyontwerpstrategieën ................................................................................... 74
Jaap-Henk Hoepman. Privacyontwerpstrategieën. Het blauwe boekje. 2018. .................................. 74
J. van Puijenbroek and J.-H. Hoepman. Privacy impact assessment in practice. The results of a
descriptive field study in the Netherlands. In International Workshop on Privacy Engineering
(IWPE 2017), San Jose, CA, USA, May 25 2017. ............................................................................ 76
Week 6b: Privacy enhancing technologies ........................................................................... 77
Week 7a: Richtlijn politiegegevens ....................................................................................... 78
Kranenborg/Verhey: Hoofdstuk 3 (paragraaf 3.5.4). ........................................................................ 78
E. De Busser, ‘Gegevensbescherming in strafzaken: nieuwe rechtsinstrumenten in nieuwe realiteit’,
NtEr 2017, nr. 1/2. ............................................................................................................................. 78
F.C. van der Jagt, ‘De ontwerprichtlijn gegevensbescherming opsporing en vervolging’, P&I 2012,
nr. 3, p. 118........................................................................................................................................ 79
Rijksuniversiteit Groningen 3
,Privacy en Gegevensbescherming Samenvatting 2017/2018
Week 7b: Cameratoezicht ..................................................................................................... 81
AP: Beleidsregels cameratoezicht (2016). ........................................................................................ 81
Inleiding......................................................................................................................................... 81
Algemene uitgangspunten verwerking persoonsgegevens d.m.v. camera’s.................................. 81
Uitwerking AVG ........................................................................................................................... 82
Uitwerking artikel 151c Gemeentewet jo. Wpg ............................................................................ 83
Cameratoezicht op combinatie van private goederen en openbare plaatsen ................................. 85
Rechten van betrokkenen en de rol van de Autoriteit Persoonsgegevens ..................................... 86
WP29, Opinion 01/2015 on Privacy and Data Protection Issues relating to the Utilisation of Drones,
2015. .................................................................................................................................................. 87
Rijksuniversiteit Groningen 4
,Privacy en Gegevensbescherming Samenvatting 2017/2018
Week 1a: Inleiding AVG + toepassing & reikwijdte
Hoofdstuk 1, Inleiding
§1.1 Historie
In de tweede helft van de twintigste eeuw werd men zich steeds meer bewust van de mogelijke gevaren
van de registratie en het gebruik van persoonsgegevens. De opkomst van computers en het internet
speelde daarbij een belangrijke rol. De discussie omtrent de bescherming van persoonsgegevens heeft
geresulteerd in de Wet persoonsregistraties (1988) en onder invloed van Europese ontwikkelingen,
voornamelijk de Richtlijn bescherming persoonsgegevens, in de Wet bescherming persoonsgegevens
(Wbp; 2001). Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van kracht
geworden. De AVG is een rechtstreeks werkende Europese verordening en vervangt de Richtlijn be-
scherming persoonsgegeven. Daarmee is ook de implementatie van die richtlijn, de Wbp, komen te
vervallen. Het feit dat de AVG geen implementatie in nationale wetgeving behoeft betekent echter niet
dat er in het geheel geen rol meer is weggelegd voor nationale wetgever. Nog steeds laat de AVG ruimte
voor uitwerking of ‘operationalisering’, hetgeen is geschied bij de Uitvoeringswet AVG.
Bescherming van persoonsgegevens wordt doorgaans in verband gebracht met de term ‘pri-
vacy’. Dat concept kent echter een veel langere geschiedenis en hoewel ook het fundamentele recht op
privacy wordt beïnvloed door technologische ontwikkeling, is het privacyrecht - dat de traditionele kern
van het privéleven beoogt te beschermen - anders van aard dan de bredere en abstracte beginselen van
behoorlijke gegevensverwerking. Het recht op privacy komt onder andere tot uitdrukking in de Neder-
landse Grondwet (Gw), waarin het recht op bescherming van de persoonlijke levenssfeer is gewaar-
borgd (art. 10-13). Daarnaast biedt ook het Europees Verdrag tot bescherming van de Rechten van de
Mens (EVRM) bescherming (art. 8 EVRM). Meer recent kent ook de Europese Unie (EU) een eigen
bescherming toe aan de persoonlijke levenssfeer en persoonsgegevens (art. 7 en 8 van het Handvest
voor de Grondrechten van de EU).
Als gevolg van technologische ontwikkelingen kunnen persoonsgegevens op grote schaal wor-
den verzameld, opgeslagen, gekoppeld en verspreid. Vaak gebeurt dit op een niet-transparante wijze,
door zowel het bedrijfsleven als de overheid. Het betreft een complex domein dat zich nauwelijks in
goed toepasbare regels laat normeren. Aan de ene kant moet aan betrokkenen voldoende bescherming
worden geboden, maar aan de andere kant mogen de regels niet zo restrictief zijn dat ze bijvoorbeeld
het handelsverkeer belemmeren. De wetgever moet dus een effectief kader bieden waar alle belangen
op een inzichtelijke, controleerbare en evenwichtige wijze tegen elkaar (kunnen) worden afgewogen.
De complexiteit van de materie heeft drie aspecten, die hierna achtereenvolgens aan de orde komen.
§1.2 Technologische complexiteit
In de eerste plaats is sprake van een snelle en voortschrijdende technologische ontwikkeling. Door
automatisering en de opkomst van het internet is het mogelijk om, met geavanceerde en indringende
digitale verwerkingstechnieken (‘big data’), op grote schaal persoonsgegevens te verwerken. Die tech-
nologische ontwikkelingen beïnvloeden het recht, omdat het recht moet worden afgestemd op de tech-
niek. Hoewel de beginselen die aan het recht ten grondslag liggen grotendeels onveranderd blijven,
vragen nieuwe technieken om een andere praktische uitwerking, zowel procedureel als materieel. Pro-
cedureel kan zich bijvoorbeeld de vraag voordoen waar gegevens zich bevinden als sprake is van ‘cloud
computing’, hetgeen doorslaggevend kan zijn voor een bevoegdheidsvraag. Materieel gezien zijn bij-
voorbeeld beginselen van gegevensverwerking (zoals doelbinding en dataminimalisatie) onder druk ko-
men te staan door de verzameling, analyse en gebruik van big data.
Wegens snelle technologische vooruitgang is het noodzakelijk om regels techniekonafhanke-
lijk te formuleren, zodat ook toekomstige technieken zo veel mogelijk onder huidige regelgeving vallen.
Gevolg daarvan is wel dat veel gebruik wordt gemaakt van open en abstracte normen, die voor velerlei
uitleg vatbaar zijn en derhalve weinig houvast bieden in concrete situaties. Dit geldt niet alleen voor de
materiële normen omtrent gegevensverwerking, maar ook voor de vraag of die materiële normen über-
haupt van toepassing zijn (wanneer is bijvoorbeeld sprake van een ‘persoonsgegeven’, ‘verwerking’
daarvan en van een ‘verwerkingsverantwoordelijke’?).
Om tot goede (toepassing van) de wetgeving te komen is ook in steeds grotere mate technische
expertise noodzakelijk. Ook dit compliceert het leerstuk van de bescherming van persoonsgegevens.
Rijksuniversiteit Groningen 5
,Privacy en Gegevensbescherming Samenvatting 2017/2018
Overigens kan de techniek individuen ook bescherming bieden, bijvoorbeeld via ‘privacy enhancing
technologies’ of ‘privacy by design’. Dat houdt in dat de privacy gewaarborgd wordt door de wijze
waarop een apparaat is ontworpen.
§1.3 Juridische complexiteit
In de tweede plaats gaat het ook om een juridisch complex terrein. Dit wordt deels veroorzaakt door
de genoemde technologische ontwikkelingen, omdat die noodzaken tot min of meer abstracte wetge-
ving. Daarnaast wordt de juridische complexiteit veroorzaakt door een ingewikkelde en gelaagde struc-
tuur van wetgeving. Zowel internationale, Europese als nationale regels kunnen van toepassing zijn op
een bepaald concreet geval. Aanvankelijk was de bescherming van persoonsgegevens een nationale aan-
gelegenheid, maar sinds 1981 (het Verdrag van Straatsburg) zijn diverse internationale rechtsinstrumen-
ten tot ontwikkeling gekomen.
Daarbij moet vooral worden gedacht aan het EVRM en het recht van de Europese Unie. Onder
het regime van de Europese AVG zal bovendien, ter invulling van abstracte normen, gebruik (moeten)
worden gemaakt van ‘soft law’. Zo kan het Europees Comité voor gegevensbescherming ter invulling
en concretisering van de open normen van de AVG richtsnoeren, aanbevelingen en ‘best practices’ vast-
stellen. Hoewel deze formeel-juridisch niet bindend zijn, zullen zij vermoedelijk wel een grote rol spelen
bij de toepassing van de AVG. Omdat de AVG een verordening is, speelt de nationale wetgever, afge-
zien van de Uitvoeringswet AVG, slechts een beperkte rol. Als sluitstuk van de rechtsvorming moet tot
slot worden gewezen op rechtspraak, voornamelijk van het Hof van Justitie van de Europese Unie (HvJ)
en het Europees Hof voor de Rechten van de Mens (EHRM).
§1.4 Maatschappelijke complexiteit
In de derde plaats kenmerkt de bescherming van persoonsgegevens zich door maatschappelijke com-
plexiteit. Er is een groot aantal actoren betrokken bij de invulling en toepassing van de abstracte wette-
lijke normen. Die normen zullen worden geconcretiseerd door de actoren op wie zij van toepassing zijn,
bijvoorbeeld in nadere (beleids)regels of richtlijnen. Dit soort regels komen tot stand in wisselwerking
met belangenorganisaties en toezichthouders. Waar het gaat om zelfregulering speelt met name de Au-
toriteit Persoonsgegevens (AP) een grote rol.
Bij een dergelijk invulling van de AVG spelen noodzakelijkerwijs (vertegenwoordigers van)
verschillende actoren een rol. Enerzijds zal het bedrijfsleven pleiten voor vereenvoudiging en versoepe-
ling van de regels. Anderzijds zullen individuele burgers hun recht op een zorgvuldige verwerking van
persoonsgegevens willen verwezenlijken. Daar komt bij het probleem dat burgers vaak wel waarde
hechten aan hun privacy, maar geen handelingen verrichten die daar op duiden (de ‘privacyparadox’)
of zich zelfs in het geheel niet bewust zijn van de gevaren. Dit vergroot de verantwoordelijkheid van
degenen die persoonsgegevens verwerken en degenen die moeten toezien op naleving van de regels
inzake de verwerking van persoonsgegevens.
§1.5 De AVG: terugdringing van complexiteit?
Het is de vraag in hoeverre de AVG in staat is om tegemoet te komen aan de in de vorige paragrafen
gesignaleerde complexiteit. In de eerste plaats is, juridisch bezien, van belang dat het gaat om een ver-
ordening, zodat de onderlinge verschillen tussen lidstaten afnemen. Dit brengt voor bedrijven ongetwij-
feld een economisch voordeel mee, omdat zij zich minder op de diverse nationale regels hoeven te ori-
enteren. Toch laat de AVG op sommige punten ruimte voor nationale uitwerking, zodat de verschillen
niet geheel zullen verdwijnen en de vraag rijst naar de verhouding de AVG enerzijds en nationale regels
anderzijds. Hoewel de AVG op veel punten duidelijkheid heeft geschapen, roept zij ook nieuw vragen
op, bijvoorbeeld omtrent het recht op overdraagbaarheid van gegevens. Ook zullen de nieuwe verplich-
tingen voor verwerkingsverantwoordelijken nog nader moeten worden ingevuld, grotendeels aan de
hand van richtsnoeren van het Comité voor gegevensbescherming
Wat betreft de technologische complexiteit geldt dat nieuwe technologieën steeds tot nieuwe
vragen zullen leiden. De AVG houdt daarmee rekening door open normstellingen te formuleren. Daar-
naast kent de AVG echter ook specifieke bepalingen, bijvoorbeeld de verplichtingen om bescherming
al in het technische ontwerp van een systeem of in standaardinstellingen in te bouwen (‘privacy by
design’ respectievelijk ‘privacy by default’). Ook bevat de AVG een veranderd verbod op geautomati-
seerde besluitvorming. Het zal de komende jaren moeten blijken of de AVG op deze manier in staat is
om de nadelige gevolgen van bijvoorbeeld het gebruik van big data te verminderen.
Rijksuniversiteit Groningen 6
, Privacy en Gegevensbescherming Samenvatting 2017/2018
Wat betreft maatschappelijke complexiteit geldt tot slot dat de AVG heeft geleid tot een gro-
tere bewustwording van de gegevensbeschermingsregels. Daarbij spelen de AP en de Nederlandse re-
gering een belangrijke rol. De AVG schept de mogelijkheid tot het opleggen van hoge boetes en ver-
sterkt de positie van burgers op verschillende manieren.
§1.6 Gegevensbeschermingsrecht: een andere benadering?
In de literatuur is ter vernieuwing van het gegevensbeschermingsrecht een andere benadering geop-
perd. Zo is betoogd dat het doelbindingsvereiste, zeker bij moderne technieken, onvoldoende bescher-
ming biedt. Ingewikkelde verplichtingen voor verwerkingsverantwoordelijken zouden leiden tot doel-
bewuste ondermijning van de regels, terwijl het niet reëel is om de handhaving van die regels aan be-
trokkenen zelf over te laten. Daarom zou het beter zijn om gebruik te maken voor een algemene grond-
slag voor de verwerking van persoonsgegevens, namelijk het ‘gerechtvaardigd belang’. Binnen die
grondslag zou aan de hand van art. 6:162 van het Burgerlijk Wetboek (BW) een concrete afweging
moeten worden gemaakt die getuigt van de beginselen die aan het gegevensbeschermingsrecht ten
grondslag liggen en tegelijkertijd recht doet aan de concrete omstandigheden van het geval.
Deze alternatieve benadering is gestuit op kritiek en is in de AVG ook niet gevolgd. De AVG
voorziet juist in een uitbreiding van de rechten van individuen en van de verplichtingen van verwer-
kingsverantwoordelijken. Ook is de positie van de toezichthouder versterkt, zodat het individu beter kan
worden beschermd. Bovendien zou de benadering zoals hiervoor geschetst alleen toepasbaar zijn in de
private sector, en zich minder goed lenen voor toepassing in de publieke sector.
§1.7 Doelstelling van de monografie
Deze monografie beoogt inzicht te bieden in het complexe systeem van het gegevensbeschermingsrecht.
Daarbij wordt ingegaan op de ontwikkeling van dit rechtsgebied en zal met name aandacht worden
besteed aan de AVG. Het gaat steeds om een uitwerking op hooflijnen, zodat men aan de hand daarvan
beter in staat is de nadere regels van het gegevensbeschermingsrecht – in het bijzonder de AVG – toe te
passen.
§1.8 Plan van behandeling
Afgezien van deze inleiding bestaat de verdere behandeling uit twee delen. Eerst zal worden ingegaan
op het Europese recht inzake de bescherming van persoonsgegevens in het kader van zowel de Raad van
Europa (EVRM) als de Europese Unie (Handvest en secundaire wetgeving). Daarna komt een specifiek
product van secundaire wetgeving aan de orde, namelijk de AVG.
Hoofdstuk 2, Gegevensbescherming binnen de Raad van Europa
§2.1 Inleiding
Als gevolg van technologische ontwikkelingen stond gegevensbescherming al vanaf de jaren zeventig
van de vorige eeuw in de belangstelling van Europese wetgevers (eerst de Raad van Europa, daarna ook
de EU). De Raad van Europa wilde binnen de aangesloten landen tot een min of meer uniforme toe-
passing van het recht op bescherming van persoonsgegevens komen. Dit zou het onbelemmerd grens-
overschrijdend verkeer van persoonsgegevens, als deel van het recht op ontvangen en verspreiden van
informatie (art. 10 EVRM), bevorderen. Tegelijkertijd moest de bescherming van persoonsgegevens in
voldoende mate worden gegarandeerd, nu in veel gevallen de verwerking van persoonsgegevens raakt
aan de privacy zoals die is gewaarborgd in art. 8 EVRM.
§2.2 Het algemene kader
Art. 8 lid 1 EVRM bepaalt dat eenieder het recht heeft op respect voor zijn privéleven, zijn familie- en
gezinsleven, zijn woning en zijn correspondentie (vgl. art. 10-13 Gw). Naast dit generieke recht op
bescherming van de persoonlijke levenssfeer nam het Comité van Ministers in 1972 en 1974 twee reso-
luties aan over gegevensbescherming, die de voorlopers bleken van het Verdrag van Straatsburg
(1981). In 2001 werd dit verdrag voorzien van een additioneel protocol inzake de doorgifte van per-
soonsgegevens aan landen die geen partij zijn bij het Verdrag van Straatsburg (‘derde landen’). EU-
lidstaten moeten hoe dan ook voldoen aan de regels die daaromtrent in de AVG zijn gesteld (zie art. 45
AVG). Naast de algemene beginselen uit het Verdrag van Straatburg heeft het Comité van Ministers
Rijksuniversiteit Groningen 7
