Samenvatting onderneming & privacy
Hoofdstuk 1.1 t/m 1.6
De wet persoonsregistraties is in 1988 ontstaan en later, in 2001, onder invloed van Europese
ontwikkelingen (met name richtlijn 95/46), tot de Wet bescherming persoonsgegevens (Wbp).
Daarnaast kwamen tal van sectorale wettelijke regimes en bepalingen tot stand. Ten slotte is
recentelijk de voorlopig laatste belangrijke stap gezet in de ontwikkeling van wettelijke maatregelen. In
mei 2018 zijn richtlijn 95/46 en de daarop gebaseerde Wbp vervangen door een Europese
verordening die rechtstreeks van toepassing is in de Nederlandse rechtsorde: de Algemene
Verordening Gegevensbescherming (AVG), omdat de AVG op sommige punten nog steeds nationale
wetgeving vereist of toelaat, is in Nederland de Uitvoeringswet AVG vastgesteld.
Naast nationale constitutionele bepalingen is in de tweede helft van de 20e eeuw geleidelijk ook
bescherming op Europees niveau tot stand gebracht. In 1954 werd Nederland partij bij het EVRM,
waarin ook een recht op bescherming van de persoonlijke levenssfeer werd vastgelegd; art. 8 EVRM.
Momenteel kan art. 8 EVRM worden beschouwd als een breed algemeen persoonlijkheidsrecht dat in
beginsel bescherming biedt aan zeer uiteenlopende rechten en belangen. Ook de persoonsgegevens
van burgers worden in beginsel door art. 8 EVRM beschermd. Inmiddels heeft ook binnen de EU de
bescherming van persoonsgegevens als fundamenteel recht meer aandacht gekregen. In 2001 stelde
de Europese Unie een grondrechtenhandvest op waarin zowel een recht op privacy (artikel 7) als een
recht op bescherming van persoonsgegevens (art. 8 EVRM) is opgenomen. Het
Grondrechtenhandvest kreeg in 2009 bindende kracht en is sindsdien van toepassing op elke situatie
die binnen het EU-recht valt.
In de eerste plaats moet worden gewezen op de grote invloed van de technologie. Goed beschouwd
werd de persoonlijke levenssfeer door het verzamelen en opslaan van persoonsgegevens potentieel
ook al bedreigd voordat de computer zijn intrede deed. In algemene zin is het streven er in het
gegevensbeschermingsrecht altijd al op gericht begrippen en regels te ontwikkelen die zoveel mogelijk
‘technologieneutraal’ zijn en daardoor minder snel verouderen als gevolg van nieuwe technologische
ontwikkelingen.
In de periode dat de bewustwording van de problematiek van de bescherming van persoonsgegevens
tot ontwikkeling kwam, ging het in juridische zin om een hoofdzakelijk nationale aangelegenheid. Om
te beginnen is van belang dat verschillende internationale organisaties rechtsnormen tot stand hebben
gebracht. In de beginperiode werd de toon gezet door de Raad van Europa met het Verdrag van
Straatsburg (1981) en ter nadere uitwerking daarvan met een aantal aanbevelingen op deelterreinen.
Later is het initiatief vanuit het interne marktperspectief overgenomen door de Europese Unie. De
laatste 25 jaar kwamen verschillende Europese richtlijnen en verordeningen tot stand met de in mei
2018 van kracht geworden Algemene Verordening Gegevensbescherming als de recentste,
belangrijkste en meest omvattende regeling. Niettemin is de normstelling van de Raad van Europa
nog steeds van groot belang. Met name de betekenis van art. 8 EVRM en de ook op dit terrein zich
steeds verder ontwikkelende rechtspraak van het EHRM neemt nog steeds toe.
Onder het regime van de AVG zal met het oog op nadere rechtsvorming ‘soft law’ in toenemende
mate van belang zijn. Het Europees Comité voor gegevensbescherming dat door de AVG is ingesteld
en dat bestaat uit de Europese toezichthouders (EDPS) en de nationale toezichthouders van de
lidstaten, kan ter invulling en concretisering van de open normen van de AVG richtsnoeren,
aanbevelingen en beste praktijken vaststellen. Verwacht mag worden dat deze ‘soft law’ – hoewel
juridisch niet bindend – een belangrijk oriëntatiepunt zal vormen voor de praktijk van
gegevensverwerking in de lidstaten.
Als sluitstuk van rechtsvorming zijn er in het Europese stelsel ten slotte twee belangrijke Europese
rechters die, niet noodzakelijkerwijs altijd met elkaar sporende, uitspraken doen op het terrein van de
bescherming van persoonsgegevens, te weten het Europees Hof voor de Rechten van de Mens en
het Hof van Justitie van de Europese Unie.
Maatschappelijke complexiteit
De totstandkoming en de toepassing van de regels op het onderhavige terrein worden ten slotte niet
vergemakkelijkt door de betrokkenheid van een groot aantal actoren die een rol hebben bij de nadere
1
,invulling en toepassing van de wettelijke normen. Voor die betrokkenheid bestaat relatief veel ruimte
omdat in de gegevensbeschermingsregels vaak gebruik wordt gemaakt van open normen. De nadere
invulling daarvan geschiedt in eerste instantie door degenen die verantwoordelijk zijn voor de
gegevensverwerking (de verwerkingsverantwoordelijke) en vanuit die verantwoordelijkheid doel en
inhoud van de gegevensverwerking bepalen. Die invulling komt tot uitdrukking in nadere regels of
richtlijnen die op een bepaalde organisatie of maatschappelijke sector van toepassing zijn of in
beslissingen over hoe in een concreet geval de AVG zal worden toegepast.
Als het gaat om zelfregulering heeft met name de Autoriteit Persoonsgegevens, mede in het licht van
zijn wettelijke taak bij de goedkeuring van gedragscodes, vaak een belangrijke rol.
In mei 2018 is met het van toepassing worden van de Algemene Verordening Gegevensbescherming
een nieuw tijdperk aangebroken voor de bescherming van persoonsgegevens. Nadat de AVG was
aangenomen kregen bedrijven en overheden twee jaar de tijd om hun zaken op orde te brengen.
Vooral de nieuwe bevoegdheid van de toezichthouders om hoge boetes op te leggen bij overtreding
van de regels, tot 4% van de wereldwijde jaaromzet, leidde tot een grote mate van bewustwording. In
de AVG is rekening gehouden met de technische complexiteit door continuering van de open
normstelling op veel terreinen. Uitgegaan wordt van de veronderstelling dat de in de AVG neergelegde
algemene beginselen van gegevensverwerking zodanig technologieonafhankelijk zijn geformuleerd
dat zij ook op toekomstige methode van gegevensverwerking kunnen worden toegepast. Verder zijn in
de AVG specifieke bepalingen opgenomen die de verwerkingsverantwoordelijke ertoe verplichten de
gegevensbescherming al in het technisch ontwerp in te bouwen (‘privacy by design’) en door het
gebruik van standaardinstellingen te realiseren (‘privacy by default’).
Hoofdstuk 2.1 t/m 2.4.1
De bescherming van persoonsgegevens werd in de Raad van Europa vanaf het begin al in verband
gebracht met het recht op bescherming van het privéleven zoals dat in art. 8 EVRM is neergelegd. In
1968 vroeg de Parlementaire Vergadering van de Raad van Europa aan het Comité van Ministers of
art. 8 EVRM en de wetgeving van de verdragsstaten het privéleven van de burger voldoende
bescherming boden in het licht van de moderne wetenschap en technologie. In 1973 en 1974 nam het
Comité van ministers twee resoluties over gegevensbescherming die als leidraad moesten dienen
voor de nationale wetgeving. De twee resoluties bleken de voorlopers te zijn van een verdrag over
gegevensbescherming: het Verdrag van Straatsburg. Dit verdrag werd op 28 januari 1981
ondertekend. Op 1 oktober 1985 trad het Verdrag in werking en op het moment dat dit boek werd
afgerond, was het geratificeerd door 51 landen, waaronder alle lidstaten van de EU en vier niet-
Europese landen. Van belang is nu dat het Verdrag voor meer landen geldt, zowel voor landen binnen
Europa als, zij het nog beperkt, voor landen daarbuiten. Het Verdrag kan de werking van de AVG als
gevolg hiervan versterken, omdat landen buiten de EU die partij zijn bij het Verdrag zich vermoedelijk
eerder zullen kwalificeren als derde land met een ‘passend beschermingsniveau’ in de zin van art. 45
AVG.
Uit art. 1 Verdrag van Straatsburg blijkt dat dit verdrag in beginsel alleen betrekking heeft op
geautomatiseerde verwerking van persoonsgegevens. De werking van het Verdrag kan onder
bepaalde voorwaarden door een verdragspartij worden beperkt of uitgebreid.
In art. 5 zijn de voorschriften neergelegd waaraan de automatische verwerking van persoonsgegevens
moet voldoen. Het betreft algemene beginselen over het verkrijgen, het opslaan, het gebruiken, het
actualiseren en het bewaren van persoonsgegevens.
Art. 6 verbiedt de verwerking van bepaalde speciale categorieën gegevens, tenzij in nationale
wetgeving voldoende waarborgen zijn neergelegd. Het gaat om gegevens over iemands ras, politieke,
godsdienstige of andere opvattingen of overtuigingen, gezondheid, seksualiteit. In art. 8 zijn
waarborgen opgenomen voor de persoon van wie de gegevens worden verwerkt.
Uitzonderingen op art. 5, 6 en 8 zijn alleen mogelijk als deze bij wet zijn voorzien en noodzakelijk zijn
in een democratische samenleving in het belang van de veiligheid van de staat, de openbare orde, het
monetaire belang van de staat of de vervolging van strafbare feiten (art. 9 lid 2 onder a). In art. 10 is
bepaald dat verdragspartijen passende sancties en rechtsmiddelen moeten instellen voor
schendingen van de bepalingen uit het Verdrag.
2
,In het Verdrag van Straatsburg is afgesproken dat de verdragspartijen elkaar bijstaan om de
implementatie van het Verdrag te bewerkstellingen (art. 13). Voor dat doel roepen de verdragsstaten
een of meer autoriteiten in het leven. In art. 14-17 Verdrag zijn regels neergelegd over de bijstand die
de verdragspartijen moeten bieden aan elke persoon die zich in het buitenland bevindt en die van de
waarborgen uit art. 8 gebruik wil maken.
In art. 12 zijn regels neergelegd over het grensoverschrijdende verkeer van persoonsgegevens. Het is
een verdragspartij niet toegestaan om, met als enige doel de bescherming van het privéleven, het
grensoverschrijdende verkeer van persoonsgegevens tussen twee verdragsstaten te verhinderen of
aan speciale toestemming onderhevig te maken. Hierop zijn twee uitzonderingen:
1. Het geval dat een verdragsstaat speciale beschermende regels heeft voor bepaalde
categorieën gegevens.
2. De situatie waarin doorgifte van de persoonsgegevens naar een andere verdragsstaat
duidelijk is bedoeld om de gegevens vervolgens naar een derde land door te geven.
Art. 8 EVRM
Dat binnen de Raad van Europa een specifiek verdrag over gegevensbescherming werd opgesteld,
betekent niet dat art. 8 EVRM voor de gegevensbescherming geen betekenis heeft. Integendeel, het
recht op eerbiediging van het privéleven blijkt, mede gelet op de rechtspraak van het EHRM, nauw
verweven met de bescherming van persoonsgegevens.
Na de inwerkingtreding van het Verdrag van Straatsburg nam het aantal zaken onder art. 8 EVRM
over verwerking van persoonsgegevens gestaag toe. In algemene zin gaat het EHRM ervan uit dat de
bescherming van persoonsgegevens een fundamentele betekenis is voor het recht op eerbiediging
van het privéleven en gezinsleven als bedoeld in art. 8 EVRM. Art. 8 EVRM beschermt de burger in
beginsel tegen ongerechtvaardigd overheidsoptreden.
Hoofdstuk 3.1 t/m 3.4.1 & 3.5
De eerste EU-regels over gegevensbescherming stammen uit 1995, dus ver voor het Verdrag van
Lissabon. De regels waren neergelegd in een richtlijn die was gebaseerd op art. 95 EG-Verdrag (nu
art. 114 VWEU) waarin de algemene bevoegdheid voor de EG was neergelegd om regels te stellen
voor de instelling en werking van de interne markt. De grondgedachte van deze richtlijn, richtlijn 95/46,
hing dan ook nauw samen met de voornaamste doelstelling van de voormalige eerste pijler van de
EU: het realiseren van een interne markt binnen Europa.
Met het verdrag van Lissabon werd een apart artikel geïntroduceerd in het VwEU dat een algemene
rechtsgrondslag vormt voor wetgeving over gegevensbescherming op alle beleidsterreinen van de EU.
Art. 16 VWEU geldt nu. In vergelijking met de voormalige verdragen, maakte het recht op
bescherming van persoonsgegevens hiermee een belangrijke ontwikkeling door. In de eerste plaats is
de rechtsgrondsla voor de aanname van regels over bescherming van persoonsgegevens autonoom
en is het niet langer nodig een ‘toevlucht’ te zoeken in de rechtsgrondslag voor het bewerkstelligen
van de interne markt.
In de tweede plaats is het recht op bescherming van persoonsgegevens als subjectief recht in het
VWEU opgenomen. Dit betekent dat burgers in beginsel, in samenhang met artikel 7 en 8 EU
Handvest, hierop een beroep kunnen doen voor de rechter. In derde plaats is het artikel een
vooraanstaand deel van het VWEU geplaatst, namelijk in het hoofdstuk met bepalingen die algemeen
toepasselijk zijn. In dit hoofdstuk is het recht op bescherming van persoonsgegevens geplaatst naast
fundamentele beginselen als het gelijkheidsbeginsel (art. 8) het non-discriminatiebeginsel (art. 10) en
het beginsel van openbaarheid van bestuur (art. 15).
Naast art. 16 VWEU, is het recht op bescherming van persoonsgegevens als apart recht neergelegd
in het EU-Grondvestenhandvest. Art. 8 Handvest geeft een nadere invulling aan art. 16 VWEU. Daar
waar laatstgenoemd artikel het subjectieve recht op bescherming van persoonsgegevens vastlegt,
geeft artikel 8 Handvest, ter nadere uitwerking van dat recht, een aantal voorschriften over de manier
waarop persoonsgegevens moeten worden beschermd.
Het recht op bescherming van persoonsgegevens is in het Handvest opgenomen als zelfstandig recht
naast het recht op eerbiediging van het privéleven (art. 7). Sinds het Handvest bindende kracht heeft
gekregen, spelen art. 7 en 8 een prominente rol in de jurisprudentie van het Hof van Justitie. De
3
, secundaire wetgeving wordt steevast uitgelegd in het licht van het Handvest. In verschillende
spraakmakende uitspraken heeft het Hof Europese regelgeving opzijgezet vanwege schendingen van
de rechten uit art. 7 en 8 van het Handvest.
Gegevensbescherming in het secundaire Unierecht voor mei 2018
De eerste gegevensbeschermingsregels die binnen de EU werden aangenomen, betroffen zoals
gezegd de interne markt. Na de totstandkoming van het Verdrag van Straatsburg in 1981 bleek al snel
dat voor de EU-lidstaten de daarmee beoogde doelstellingen niet of niet voldoende konden worden
bereikt. Tegen deze achtergrond kwam Europese Commissie op verzoek van het Europees Parlement
in 1990 met het voorstel voor een richtlijn over het vrij verkeer van persoonsgegevens. Na veel
onderhandeling werd op 24 oktober 1995 richtlijn 95/46 aangenomen. Richtlijn 95/46 bouwde expliciet
voort op het Verdrag van Straatsburg. In de elfde considerans van de richtlijn werd gemeld dat de
beginselen van het Verdrag van Straatsburg in de richtlijn werden verduidelijkt en versterkt. De richtlijn
moest de vrije uitwisseling van persoonsgegevens mogelijk maken door de nationale waarborgen ter
bescherming van persoonsgegevens en de daarmee verband houdende rechten van de burger,
althans op hoofdlijnen te harmoniseren. Daarmee moest ook een gelijkwaardig beschermingsniveau
worden gewaarborgd.
De richtlijn beoogde volledige harmonisatie maar bood tegelijkertijd een zekere bandbreedte: er was
een minimum en een maximum dat niet mocht worden overschreden. Richtlijn 95/46 gaf een nadere
invulling aan een aantal elementaire begrippen die bepalend waren voor de reikwijdte van de richtlijn,
zoals ‘persoonsgegeven’ en ‘verwerken’ van persoonsgegevens. Voorts bevatte de richtlijn de
algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens, wat het
meest substantiële deel van de richtlijn vormde. De richtlijn regelde verder de mogelijkheid voor het
opstellen van gedragscodes en bepaalde dat elke lidstaat een of meerdere toezichthoudende
autoriteiten diende in te stellen. Deze instantie deed via een systeem van verplichte aanmelding aan
preventieve controle, maar beschikte ook over de bevoegdheden om achteraf controle op
gegevensverwerking uit te oefenen. Volgens art. 28 moest deze instantie zijn activiteiten in volledige
onafhankelijkheid verrichten.
Op grond van art. 29 van de richtlijn werd op Europees niveau een werkgroep opgericht voor de
bescherming van personen in verband met de verwerking van persoonsgegevens. Deze groep, ook
wel de ‘Artikel 29-groep’ bestond uit vertegenwoordigers van de nationale toezichthoudende
autoriteiten. Het was een adviesorgaan van de Europese Commissie en kon op verzoek van de
Commissie ook uit eigen beweging aanbevelingen doen. Tot slot werd het ‘Artikel 31-Comité’
opgericht dat bestond uit vertegenwoordigers van de lidstaten en dat werd voorgezeten door de
Commissie. Het Comité gaf zijn oordeel over ontwerpen voor te nemen maatregelen die de
Commissie het Comité voorlegde.
De aanpassing in het secundaire Unierecht van mei 2018
In mei 2003 presenteerde de Europese Commissie een verslag over de toepassing van richtlijn 95/46.
De Commissie ging in op de wenselijkheid van een aanpassing van de richtlijn en achtte het niet
raadzaam wijzigingen voor te stellen. De Commissie zag vooral ruimte voor verbetering bij de
toepassing van de richtlijn. In het verslag stelde de Commissie een werkprogramma op dat onder
andere zag op het verzamelen en analyseren van informatie over de tenuitvoerlegging van de richtlijn
en het bevorderen van de uitwisseling van best practises wanneer leemtes zouden worden
geconstateerd. Vier jaar later, in maart 2007, presenteerde de Europese Commissie in een
mededeling haar visie op de stand van zaken ten aanzien van richtlijn 95/46. Wederom zag de
Commissie geen aanleiding de richtlijn te wijzigen. Volgens de Commissie beantwoordde de richtlijn
aan de oorspronkelijke doelstellingen, namelijk het creëren van een vrij verkeer van
persoonsgegevens en een hoog niveau van gegevensbescherming in de Gemeenschap. De
Commissie kondigde voorts aan interpretatienota’s uit te vaardigen over de tenuitvoerlegging van
sommige bepalingen uit de richtlijn. Daarbij zei de Commissie rekening te willen houden met de
adviezen van de Artikel 29-Groep. De EDPS was zeer kritisch over het voorstel van de Commissie om
interpretatienota’s uit te vaardigen.
De EDPS wees erop dat de Commissie daarmee op de stoel van de Artikel 29-Groep dreigde te gaan
zitten. Het uitvaardigen van coherentie verhogende adviezen was in de richtlijn immers aan deze
groep opgedragen. Het lag in de rede dat de Commissie na advies van de Artikel 29-Groep en met
4
