Privacy & gegevensbescherming, 2019-2020, Tilburg University
Het vak privacy en gegevensbescherming behandelt de Europese juridische kaders voor privacy
(artikel 8 EVRM) en gegevensbescherming (Algemene Verordening Gegevensbescherming) met als
doel dat studenten de ratio, systematiek en kernconcepten van deze kaders kennen en begrijpen en
deze juridische kaders op feitelijke en fictieve cases toe kunnen passen.
Inhoud
College 2: Het recht op privacy (inleiding en klachtrecht)......................................................................6
College 3: Het recht op privacy (materiële reikwijdte en beperking)...................................................12
College 4: Het recht op privacy (beperkingen).....................................................................................16
College 5: Het recht op gegevensbescherming(inleiding en toepassing)..............................................23
College 7: Het recht op gegevensbescherming (rechten en plichten)..................................................35
College 1: Inleiding privacy & gegevensbescherming
Colleges, literatuur en groepsopdracht
Zoek op privacy in de websites
www.nu.nl
www.ad.nl
https://www.nytimes.com/section/technology
Voor de voorbeelden besproken tijdens het college en meer, zoals
Nextdoor buurtapp
HagaZiekenhuis bekende casus waarbij allerlei artsen onze Barbie gingen begluren
Het vijgenblad van Adam en Eva zelfs zo lang geleden hunkerde men al naar privacy
- Oudste definitie van privacy The individual's right to be left alone (US Supreme Court
Justice Louis Brandeis, 1890)
- An interest of the human personality. It protects the inviolate personality, the individual's
independence, dignity and integrity (Edward Bloustein, 1964)
- Het recht op eerbiediging van de persoonlijke levenssfeer heeft een duidelijke kern die ziet
op de bescherming van de woning, de vertrouwelijke communicatie, het intieme leven en
het lichaam. Het gaat bij privacy dus om de bescherming van het privéleven. (Blok, 2002)
Hoe je zelf met je privacy omgaat, kan ook een indicati zijn voor wanneer er sprake is van een
inbreuk op je privacy en wanneer niet.
Privacy wordt ook wel de “Koningin van de grondrechten” genoemd.
Welke persoonlijke waarden kunnen onderscheiden worden die onder het recht op privacy
bescherming genieten?
• Zelfstandigheid van het individu
• Bewegingsvrijheid
• Ongestoord leven laat me lekker met rust aub
• Vrij blijven van stigmatisering
• Vrij blijven van manipulatie als die keuzes gemanipuleerd zijn, kun je alsnog geen eigen
keuze maken.
• Eigenwaarde
1
, • Gelijkheid
• (lichamelijk) Integriteit
• Autonomie
Bv. bescherming van woning, onafhankelijk (denk aan de keuzes in bepaalde relaties). Recht op
het beschermen van je eigen reputatie, autonomie. Het beschermen van je autonomie (het maken
van keuzes in je eigen leven). Iedere keer als iets op Google intikt, worden er bepaalde keuzes voor
jou gemaakt.
Juridisch kader privacy
Bescherming van de persoonlijke levenssfeer
Art. 10, 11, 12 en 13 Grondwet
• Bescherming van relaties (famillie leven)
• Bescherming van persoonsgegevens (informationele privacy)
• Bescherming van het lichaam (lichamelijke integriteit)
• Bescherming van/in ruimte/plaatsen (huis, maar ook werk)
• Bescherming van communicatie (correspondentie)
www.wetten.nl Grondwet
Artikel 8 Europees Verdrag voor de rechten van de mens en de fundamentele vrijheden (1950)
http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm
Recht op eerbiediging van privéleven, familie- en gezinsleven
1. Een ieder heeft recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning
en zijn correspondentie.
2. Geen inmenging van enig openbaar gezag is toegestaan in de uitoefening van dit recht, dan
voor zover bij de wet is voorzien en in een democratische samenleving noodzakelijk is in het
belang van de nationale veiligheid, de openbare veiligheid of het economisch welzijn van het
land, het voorkomen van wanordelijkheden en strafbare feiten, de bescherming van de
gezondheid of de goede zeden of voor de bescherming van de rechten en vrijheden van
anderen.
Toets: 1. Is er een inmenging?
2. Is de inmenging voorzienbaar bij wet?
3. In het belang van een van de belangen genoemd in 8(2)?
4. Is de inmenging noodzakelijk in een democratische samenleving?
= proportioneel en subsidiair? je moet met het middel het doel kunnen
bereiken (proportionaliteit) en er mag geen middel meer zijn dat minder
ingrijpend is dan het middel dat gebruikt wordt (subsidiariteit).
Privacy vs gegevensbescherming
In welk opzicht is privacy een breder concept dan gegevensbescherming?
Het ziet niet alleen op gegevens maar ook op ander dimensies: huis, lijf, relaties….
In welk opzicht is privacy een smaller concept dan gegevensbescherming?
Privacy ziet enkel op het privé-leven, gegevensbescherming is van toepassing bij elke verwerking van
persoonsgegevens
https://www.youtube.com/watch?v=-4LtYMNl4yw
Relatie privacy tot gegevensbescherming
Privacy is een overkoepelend begrip verschillende dimensies die we willen beschermen, namelijk
de relationele, territoriale, lichamelijke, informationele (gegevensbescherming).
Situaties waarin alleen je privacy aangetast wordt. Bv. wanneer iemand aan je lijf zit. Dat heeft alles
met privacy te maken en niets met gegevensbescherming.
2
,Situaties waarin zowel de privacy als de gegevensbescherming wordt aangetast. Bv. als het gaat om
het verspreiden van een naaktfoto. En het kan ook zo zijn dat er wel sprake is van
gegevensbescherming, waarbij er geen echte link is met de privésfeer.
Waarom is dit van belang? Je moet bij een casus weten waar je zit. Alleen privacy? Dan art. 8
EVRM. Privacy én gegevensbescherming? Art 8 EVRM en instrumenten die gaan over
gegevensbescherming (zoals de AVG). Of zit je alleen in de gegevensbescherming? Dan hoef je alleen
maar met dat wettelijk kader rekening te houden.
Waarom is bescherming van persoonsgegevens belangrijk?
• Achter elk gegeven gaat een persoon schuil die beschadigd kan worden.
• Belangrijk voor vertrouwen (bijvoorbeeld van klanten).
• Negatieve publiciteit en schadeclaims voorkomen.
• Gebruik, maar met name misbruik van (gevoelige) persoonsgegevens, kan bijvoorbeeld
leiden tot (onterechte) in- en uitsluiting, stigmatisering etc. = discriminatie (etnisch
profileren)
• Marktwerking en consumentenbescherming
• …
• Zet je alles op Sociale media? Zelf? En mogen anderen dat van jou?
• De namen van frauderende werknemers binnen een bedrijf?
• De namen van veroordeelde pedofielen in uw buurt?
(voorbeeld zaken rondom website ‘dutch predators’.)
Doen jullie wel eens via een ‘vanity search’ wat er over jezelf bekend is online?
Meestal voelen we ons pas aangetast in onze privacy wanneer de inbreuk daarop een bedreiging
vormt voor onze:
• vrijheid
• financiën
• gezondheid
• relaties
• Andere voorbeelden ???
• https://decorrespondent.nl/209/nee-je-hebt-wel-iets-te-verbergen/6428004- ab2d5fc2
Gegevensbescherming is dus niets nieuws onder de zon
Privacy:
• 1950 European Convention Human Rights Art. 8
• 1950 Universal Declaration of Human Rights , Art. 12
• 1969 International Convenant on Civil and Political Rights, Art. 17
• 2000 EU Charter of Fundamental Human Rights, Art. 7
Gegevensbescherming:
• 1973 Resolution (73)22 on the protection of individuals vis-à-vis electronic data banks in the
private sector.
• 1974 Resolution (74)29 on the protection o incificuals vis-à-vis electronic databanks in the
public sector
• 1980 The OECD guidelines on the Protection of Privacy and Transborder Flows of Personal
Data
• 1981 Treaty of Strasbourg, Convention nr. 108
• 1990 Proposal Directive 95/46/EC
• 1992 Amended Proposal Directive 95/46/EG
• 1995 Directive 95/46/EG adopted by EP and Council
• 2000 EU Charter of Fundamental Human Rights, Art. 8
• 2002 Directive 2002/58/EG (e-Privacy)
• 2006 Directive 2006/24/EC (Data Retention, declared invalid by CJEU in 2014)
3
, • 2009 Directive 2009/136/EC (amending 2002/58, inc. data breach notification)
• 2012 Proposal General Data Protection Regulation (25 January)
• 2016 Regulation (EU) 2016/679, 27 April 2016 on the protection of natural persons with
regard to the processing of personal data and on the free movement
of such data, and repealing Directive 95/46/EC (General Data Protection Regulation and
Directive (EU) 2016/680 27 April 2016 on the protection of natural
persons with regard to the processing of personal data by competent authorities for the
purposes of the prevention, investigation, detection or prosecution
of criminal offences or the execution of criminal penalties, and on the free movement of such
data, and repealing Framework Decision 2008/977/JHA
Verplicht artikel Gellert & Gutwirth Hoe gaat de rechter nu om met de privacytoets? Maar hoe
past het Hof die toets toe? Daar gaat het voorgeschreven artikel van Gellert en Gutwirth over. Zij
gaan in op hoe de rechter nu omgaat met de privacytoets. Dat is namelijk niet altijd duidelijk en het
wordt niet alijd duidelijk door de rechter toegepast. Er is een verschil in hoe de privacy-test wordt
toegepast “lenient” en “strict”
Lenient: vrij losse afweging van fundamentele belangen “het laten prevaleren van een
belang boven het andere, gaat altijd gepaard met een zekere verzwakking/inbreuk op het
recht van de ander”, “de balancing van fundamental values”. Aan de ene kant heet iemand
het recht op vrijheid van meningsuiting, iemand anders heet anderzijds het recht op privacy.
We nemen op de koop toe dat als we 1 van die twee rechten laten prevaleren, dat dat
andere recht dan zwakker is. We accepteren dat in deze ‘lossere’ toets. Soms komen
belangen met elkaar in conflict en moeten ze met elkaar worden afgewogen.
-Strict: “Hoe kan zo min mogelijk inbreuk gemaakt worden op beide fundamentele
rechten?”. Hier wordt de toets strikter toegepast. “How much erosion of a fundamental
right is compatible with the democratic state?” “Explore other opions” = meer aandacht
voor subsidiariteit. Niet dat het ene recht zwaarder weegt dan de ander, maar juist: hoe
krijgen we nu balans in die schaal en welke maatregelen moeten we nemen om zo min
mogelijk inbreuk te maken op de fundamentele rechten die in het geding zijn. Zijn er nu
andere opties/mogelijkheden, waarmee we uitkomen in een situatie die compatible is met
een democratic state. Je gaat hier dus niet uit van het zoeken naar 1 recht dat prevaleert
boven de andere, maar juist naar wat we kunnen aanpassen aan de situatie om ervoor te
zorgen dat de fundamentele rechten zo min mogelijk in het geding komen. Hoe kunnen we
de erosie van de fundamentele rechten tegengaan? In het artikel geven ze er een aantal
voorbeelden over, dus lees het artikel.
Je ziet soms groot verschil met hoe de rechter omgaat met deze privacytoets. Bv. over de
voorzienbaarheid: heel vaak oordeelt een rechter dat een algemene bevoegdheid tot iets (bijv., tot
het controleren) vaak onvoldoende duidelijkheid geeft over wat daartoe dan voor middelen ingezet
mogen worden. Op het moment dat wij niet direct een reden hebben om te mogen verwachten dat
die camera’s ook andere dingen van ons gedrag gaan registreren, zoals het gebruik van een
leaseauto, dan komt de voorzienbaarheid in het gedrang. Dan strandt de zaak al in een heel vroeg
stadium omdat het daar al op stuk loopt. Bv. iemand bij de Belastingdienst dacht ook een keer: ik ga
mensen proactief waarschuwen voor het overschrijden van privékilometers met een leaseauto. Dus
hij keek op zondag bij de IKEA met een systeem welke auto’s daar stonden om goedbedoeld een
waarschuwing te geven. Maar dit is natuurlijk heel ingrijpend.
Gellert & Gutwirth Wanneer raakt gegevensverwerking privacy? Volgens G&G:
- Aard van de gegevens Wanneer het echt gelinkt is aan de privésfeer van een persoon. Wat wil je
niet graag delen met anderen? Medische gegevens, financiële gegevens, foto’s. In NL bestempelen
wij financiële gegevens als gevoelige gegevens, maar in Europa zien ze dit niet zo. Wel gevoelig zijn
de godsdienst, politieke voorkeur, seksuele geaardheid, etnische afkomst.
* “Intrinsically linked to the privacy of a person” -
4
, Duur van de verwerking Als je eenmalig geobserveerd wordt vinden wij dat minder erg dan
wanneer je stelselmatig bekeken wordt.
* “Are data systematically stored’’
Privacy vs. gegevensbescherming
- Privacy is breder dan gegevensbescherming: huis, lijf en relaties…
- Privacy is smaller dan gegevensbescherming: enkel in relatie tot privéleven (Zie ook Gellert en
Gutwirth, paragraaf 3.3), terwijl de regels voor gegevensbescherming altijd gelden.
- Verschil tussen privacy- en gegevensbescherming heet geleid tot een punt van discussie: Had
gegevensbescherming als zodanig wel verheven moeten worden tot fundamenteel recht?
Bv. fundamentele rechten mogen we niet van afwijken. Wordt beschermd, we kunnen dus ook niet
afwijken van contracten die hiervan afwijken. Maar dit is de kritiek die nu aanwezig is op het
gegevensbeschermingsrecht. Het gegevensbescherming recht rijkt miss te ver. We worden
beschermd bij verwerken persoonsgegevens, maar er zijn ook situaties waarin wij onze gegevens
zouden willen gebruiken als handelswaar. Is dat überhaupt nog wel mogelijk als het een
fundamenteel recht is waaraan wij gen afbreuk mogen doen?
Voorbeeld Gellert en Gutwirth
- Hebben het in hun stuk over Human Enhancement Technologies en toestemming (Denk bv. aan
deep brain simulation in relatie tot Parkinson = apparaatje dat ze in je hoofd inplanten dat impulsen
afgeeft. Zorgt ervoor dat je nadelige effecten van Parkinson kunt wegcijferen). Hierin wordt G&G een
onderscheid gemaakt in het kader van privacy en gegevensbescherming.
- Onder privacy is toestemming mogelijk. Onder privacyrecht is dat niet zo lastig. Daar kun je
makkelijk toestemming voor formuleren.
- Maar geldt dit ook onder het gegevensbeschermingsrecht? Denk aan artikel 6 AVG. Hierin staat dat
je een rechtmatige grondslag moet hebben voor de verwerking. Je hebt daar verschillende
grondslagen. Art. 6 AVG = rechtmatigheid van de verwerking:
1a) de betrokkene heeft toestemming gegeven. Maar eigenlijk is de toestemming van de betrokkene
een ultimum remedium. Je moet dus eerst de andere grondslagen proberen. Je ziet helemaal
onderaan, bij sub f staan dat de verwerking noodzakelijk is voor de behartiging van de
gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer
de fundamentele rechten van de ander zwaarder wegen. Wanneer mijn privacybelang in deze casus
zwaarder weegt dan het commerciële belang van een ander, dan weegt mijn privacybelang zwaarder
en kun je je niet beroepen op art. 6f. Er blijft dan alleen nog toestemming over. Maar in de AVG staat
dat toestemming vrij gegeven moet zijn. G&G stellen hier de vraag: kan dit eigenlijk wel? Als de
producent van het apparaatje zegt dat je het alleen maar meekrijgt als je ook toestemming geeft
voor de verwerking van gegevens, dan wordt de toestemming niet meer vrij gegeven. Is die
toestemming dan geldig onder de AVG?
Vrije toestemming
- Als het gerechtvaardigd belang van de verwerker niet prevaleert boven het belang van betrokkene
(commercieel gebruiker van de verkregen data is maar de vraag of dit hieraan voldoet) dan is
toestemming nodig.
- Maar kan deze vrij gegeven worden als er sprake is van een ‘’trade-of’’ of ‘machtsrelatie’’?
- Daar zou de wet in de weg staan, want wet wil daartegen bescherming bieden. Je zou niet
gedwongen moeten worden om gegevens af te staan. Hiervan zeggen G&G dat er situaties zijn
waarbij het recht tegen je kan werken.
- Zouden wij deze vrijheid gewoon moeten hebben (contractuele verhouding) of moeten wij door de
overheid beschermd worden tegen onze eigen domme keuzes? Argumenten?
* Paternalisme van de overheid (als een goede huisvader over de burgers waken),
garanties in contractenrecht (niet elk contract is legitiem en er zijn middelen in het
recht om die fouten aan te vechten), remedies als het misgaat? Er zijn dus discussies
5