Overzicht
1. Beperkingen op de transprantie- en informatieplichten in uitzonderlijke gevallen;
2. De uitzonderingsgronden in art. 41 Uitvoeringswet AVG (UAVG);
3. Behoefte aan rechtsvorming ten aanzien van art. 23 AVG;
3.1 Bureaucratie staat in de weg aan rechtsvorming en effectieve rechtsbescherming;
4. Specifieke gedragsregels van de Autoriteit Persoonsgegevens inzake de naleving van de AVG
1. Beperkingen op de transparantie- en informatieplichten in uitzonderlijke gevallen
In uitzonderlijke gevallen kunnen beperkingen worden aangebracht op de transparantie- en informatieverplichtingen van de verwerkingsverantwoordelijke, alsmede in uw recht van inzage, rectificatie en beperking van de verwerking van uw persoonsgegevens. De wezenlijke inhoud van de grondrechten van burgers mag door die beperking niet worden aangetast (art. 23 lid 1 AVG).
De beperking moet
een noodzakelijke en evenredige maatregel zijn ter waarborging van onder meer
de nationale veiligheid, landsverdediging en openbare veiligheid (art. 23 lid 1
a-j AVG). Hoe de beperkingsgronden van art. 23 lid 1 AVG moeten worden
ingevuld, is te vinden in punt 73 van de preambule. Onder de ‘bescherming van
de openbare veiligheid’ moet voornamelijk worden verstaan de ‘bescherming van
het menselijk leven’ en de ‘voorkoming van door de mens veroorzaakte rampen’.
Maatregelen ter compensatie van de beperking
van de transparantie- en informatieverplichtingen zijn opgenomen in art. 23 lid
2 AVG. Ten minste moeten de volgende maatregelen worden getroffen:
- de verwerkingsverantwoordelijke moet specifiek de doeleinden en categorieën van de verwerking aangeven;
- de categorieën van persoonsgegevens moeten worden omschreven;
- de verwerkingsverantwoordelijke en de categorieën van verwerkingsverantwoordelijken moeten worden gespecificeerd;
- de opslagperiodes moeten worden gespecificeerd;
- het recht van de betrokkene om van de beperking op de hoogte te worden gesteld, moet worden gewaarborgd.
- de verwerkingsverantwoordelijke moet specifiek de doeleinden en categorieën van de verwerking aangeven;
- de categorieën van persoonsgegevens moeten worden omschreven;
- de verwerkingsverantwoordelijke en de categorieën van verwerkingsverantwoordelijken moeten worden gespecificeerd;
- de opslagperiodes moeten worden gespecificeerd;
- het recht van de betrokkene om van de beperking op de hoogte te worden gesteld, moet worden gewaarborgd.
2. De uitzonderingsgronden in art. 41 Uitvoeringswet AVG (UAVG)
De Nederlandse Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) gaat verder dan de beperkingen die op grond van de AVG kunnen worden gemaakt op de transparantie- en informatieverplichtingen. In art. 41 UAVG is namelijk bepaald dat de verwerkingsverantwoordelijke de rechten en plichten van art. 12 tot en met 21 en art. 34 AVG buiten toepassing kan laten, voor zover deze uitsluiting van het recht noodzakelijk en evenredig is ter waarborging van onder meer de nationale veiligheid, de openbare veiligheid en andere doelstellingen van algemeen belang (art. 41 lid 1 onder a-j UAVG).
De Nederlandse Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) gaat verder dan de beperkingen die op grond van de AVG kunnen worden gemaakt op de transparantie- en informatieverplichtingen. In art. 41 UAVG is namelijk bepaald dat de verwerkingsverantwoordelijke de rechten en plichten van art. 12 tot en met 21 en art. 34 AVG buiten toepassing kan laten, voor zover deze uitsluiting van het recht noodzakelijk en evenredig is ter waarborging van onder meer de nationale veiligheid, de openbare veiligheid en andere doelstellingen van algemeen belang (art. 41 lid 1 onder a-j UAVG).
Het risico bestaat dat de
verwerkingsverantwoordelijke de rechten en plichten van de AVG ten onrechte
terzijde stelt met een beroep op ‘andere doelstellingen van algemeen belang’. Het
is dan ook de vraag, of de uitsluiting van de transparantie- en
informatieplichten in art. 41 lid 1 UAVG verenigbaar is met het doel en de
strekking van de AVG.
3. Behoefte aan rechtsvorming ten aanzien van art.
23 AVG
Ten aanzien van de uitleg van de beperkingsgronden van art. 23 AVG bestaat mijns inziens behoefte aan rechtsvorming. Raadpleging van de preambule van de AVG en Guideline WP260 rev.01 (11 april 2018, p. 33) verschaft niet voldoende duidelijkheid. Hoe moet bijvoorbeeld worden beoordeeld, of een beperking van de transparantieplicht een noodzakelijke en evenredige maatregel is ter waarborging van één van de belangen van art. 23 lid 1 AVG? Wat kan precies worden verstaan onder ‘andere belangrijke doelstellingen van algemeen belang, met name een belangrijk economisch of financieel belang’? Is het gerechtvaardigd dat een verwerkingsverantwoordelijke informatie achterhoudt voor de betrokkene om een niet-specifiek geduid financieel belang te waarborgen? Juist in het geval van de inzet van een instrument voor dataveillance/Big Data-analyse/profilering met een ‘black box’-karakter is dringend behoefte aan duidelijkheid over de toelaatbaarheid van beperkingen op grond van art. 23 AVG.
3.1 Bureaucratie staat in de weg aan rechtsvorming en effectieve rechtsbescherming
Ten aanzien van de uitleg van de beperkingsgronden van art. 23 AVG bestaat mijns inziens behoefte aan rechtsvorming. Raadpleging van de preambule van de AVG en Guideline WP260 rev.01 (11 april 2018, p. 33) verschaft niet voldoende duidelijkheid. Hoe moet bijvoorbeeld worden beoordeeld, of een beperking van de transparantieplicht een noodzakelijke en evenredige maatregel is ter waarborging van één van de belangen van art. 23 lid 1 AVG? Wat kan precies worden verstaan onder ‘andere belangrijke doelstellingen van algemeen belang, met name een belangrijk economisch of financieel belang’? Is het gerechtvaardigd dat een verwerkingsverantwoordelijke informatie achterhoudt voor de betrokkene om een niet-specifiek geduid financieel belang te waarborgen? Juist in het geval van de inzet van een instrument voor dataveillance/Big Data-analyse/profilering met een ‘black box’-karakter is dringend behoefte aan duidelijkheid over de toelaatbaarheid van beperkingen op grond van art. 23 AVG.
3.1 Bureaucratie staat in de weg aan rechtsvorming en effectieve rechtsbescherming
Hoe kan rechtsvorming en bovenal effectieve rechtsbescherming worden bereikt? Bureaucratie is een rampzalig obstakel voor de burger. Het normenkader voor de bescherming van de rechten van de burger is weliswaar in de AVG opgenomen, maar de formele hindernissen staan in de weg aan de rechtsbescherming en rechtsvorming:
A. Rechtsvorming kan worden bereikt door een zaak bij het EHRM aan te brengen. Het probleem is dat eerst de nationale procedure dient te zijn uitgeput. In de praktijk zal het EHRM zich na gemiddeld 10 jaar over een kwestie buigen. Dat duurt te lang voor de burger die zich in zijn/haar belangen geschaad ziet;
B. Burgers kunnen zich in een gerechtelijke procedure laten vertegenwoordigen door een belangenbehartiger of individueel een procedure aanspannen, maar voor de beantwoording van een rechtsvraag zijn civiele procedures te omslachtig. Bovendien kunnen betrokkenen hun verdedigingsrechten door het 'black box'-karakter van heimelijke dataveillance/analyse/profilering niet uitoefenen. Mocht een betrokkene namelijk niet aan heimelijke dataveillance zijn onderworpen en bij gebrek aan duidelijkheid toch een proces aanspannen, dan moet de vordering worden afgewezen wegens gebrek aan procesbelang;
C. Het Europees Comité voor Gegevensbescherming/European Data Protection Board hoort zich bezig te houden met het uitvaardigen van adviezen en leidraden voor de invulling van de AVG. De overwegingen van het EDPB geven aan hoe lidstaten om moeten gaan met de rechten en plichten in de AVG.
In mijn te optimistische verwachting dat het EDPB wellicht geïnteresseerd zou zijn in kwesties die direct de belangen en rechten van alle burgers raken, heb ik een rechtsvraag over de uitleg van de beperkingsgronden van art. 23 AVG voorgelegd aan het EDPB. Het EDPB heeft aangegeven aan geen antwoord te willen geven over de uitleg van art. 23 AVG en wijst mij weer terug naar Guideline WP29, waar ik zoals eerder gezegd niets aan heb ten aanzien van de uitleg van art. 23 AVG. Organisaties pretenderen zich in te zetten voor hun vakgebied, maar er is werkelijk bijna niemand te vinden die met enthousiasme in een belangrijke kwestie duikt. 'Dat is niet onze taak'. Als onderzoeker ben ik gewend om op onwelwillendheid te stuiten, maar ik blijf het gebrek aan interesse en daadkracht een ergernis vinden. Het gebrek aan daadkracht zorgt ervoor dat burgers in alle sectoren tegen een muur lopen;
D. Een laatste optie is om een rechtsvraag aan de Autoriteit Persoonsgegevens voor te leggen. Ik had mijn rechtsvraag aan het EDPB voorgelegd, omdat het EDPB een overkoepelende organisatie is en in tegenstelling tot een nationale toezichtsautoriteit, supranationale en meer geüniformeerde aanwijzingen kan geven over de invulling van de AVG. Dat neemt niet weg dat de AP (hiervoor het Cbp) gedragsregels kan uitvaardigen, die verwerkingsverantwoordelijken in acht hebben te nemen bij de verzameling, opslag en verwerking van persoonsgegevens.
A. Rechtsvorming kan worden bereikt door een zaak bij het EHRM aan te brengen. Het probleem is dat eerst de nationale procedure dient te zijn uitgeput. In de praktijk zal het EHRM zich na gemiddeld 10 jaar over een kwestie buigen. Dat duurt te lang voor de burger die zich in zijn/haar belangen geschaad ziet;
B. Burgers kunnen zich in een gerechtelijke procedure laten vertegenwoordigen door een belangenbehartiger of individueel een procedure aanspannen, maar voor de beantwoording van een rechtsvraag zijn civiele procedures te omslachtig. Bovendien kunnen betrokkenen hun verdedigingsrechten door het 'black box'-karakter van heimelijke dataveillance/analyse/profilering niet uitoefenen. Mocht een betrokkene namelijk niet aan heimelijke dataveillance zijn onderworpen en bij gebrek aan duidelijkheid toch een proces aanspannen, dan moet de vordering worden afgewezen wegens gebrek aan procesbelang;
C. Het Europees Comité voor Gegevensbescherming/European Data Protection Board hoort zich bezig te houden met het uitvaardigen van adviezen en leidraden voor de invulling van de AVG. De overwegingen van het EDPB geven aan hoe lidstaten om moeten gaan met de rechten en plichten in de AVG.
In mijn te optimistische verwachting dat het EDPB wellicht geïnteresseerd zou zijn in kwesties die direct de belangen en rechten van alle burgers raken, heb ik een rechtsvraag over de uitleg van de beperkingsgronden van art. 23 AVG voorgelegd aan het EDPB. Het EDPB heeft aangegeven aan geen antwoord te willen geven over de uitleg van art. 23 AVG en wijst mij weer terug naar Guideline WP29, waar ik zoals eerder gezegd niets aan heb ten aanzien van de uitleg van art. 23 AVG. Organisaties pretenderen zich in te zetten voor hun vakgebied, maar er is werkelijk bijna niemand te vinden die met enthousiasme in een belangrijke kwestie duikt. 'Dat is niet onze taak'. Als onderzoeker ben ik gewend om op onwelwillendheid te stuiten, maar ik blijf het gebrek aan interesse en daadkracht een ergernis vinden. Het gebrek aan daadkracht zorgt ervoor dat burgers in alle sectoren tegen een muur lopen;
D. Een laatste optie is om een rechtsvraag aan de Autoriteit Persoonsgegevens voor te leggen. Ik had mijn rechtsvraag aan het EDPB voorgelegd, omdat het EDPB een overkoepelende organisatie is en in tegenstelling tot een nationale toezichtsautoriteit, supranationale en meer geüniformeerde aanwijzingen kan geven over de invulling van de AVG. Dat neemt niet weg dat de AP (hiervoor het Cbp) gedragsregels kan uitvaardigen, die verwerkingsverantwoordelijken in acht hebben te nemen bij de verzameling, opslag en verwerking van persoonsgegevens.
4. Specifieke gedragsregels van de Autoriteit
Persoonsgegevens inzake de naleving van de AVG
De stelling, dat de gedragsregels die door het College Bescherming Persoonsgegevens zijn uitgevaardigd vóór de inwerkingtreding van de AVG, niet langer gelding hebben, gaat niet op. De AVG waarborgt gelijke rechten en stelt gelijke verplichtingen die ook onder vigeur van de Wet bescherming persoonsgegevens golden, met dien verstande dat de AVG strikter is dan de Wbp. De volgende gedragsregels moeten door de verwerkingsverantwoordelijke worden nageleefd:
- Bestandsvergelijking gaat buiten de betrokkene om. Bij bestandsvergelijking voor het opmaken van risicoprofielen is de verwerkingsverantwoordelijke gehouden om zich naar de eisen van proportionaliteit en subsidiariteit te richten. Bestandsvergelijking in het kader van profilering moet een redelijk middel zijn in verhouding tot het te bereiken doel. De bestandvergelijking in het kader van profilering mag slechts worden aangewend, indien het doel niet op een andere, voor de persoonlijke levenssfeer van de betrokkene minder belastende wijze kan worden bereikt';
- De verwerkingsverantwoordelijke maakt met bestandsvergelijking een inbreuk op de persoonlijke levenssfeer van de betrokkene. De verwerkingsverantwoordelijke moet aannemelijk maken dat deze inbreuk gerechtvaardigd is. Aan de bestandsvergelijking die niet wettelijk is geregeld, moet een concrete verdenking van de betrokkene van fraude ten grondslag liggen;
- Zodra van een andere partij gegevens worden verkregen van de betrokkene, dient de betrokkene hierover te worden ingelicht;
- Persoonsgegevens die in de bestanden van de sociale diensten zijn opgenomen, mogen alleen worden verstrekt indien voor deze verstrekking een wettelijke grondslag bestaat. Het uitvoeren van een privacytoets (Privacy Impact Assessment) kan niet worden aangewend om de persoonsgegevens alsnog rechtmatig te verstrekken. Dezelfde beperkingen gelden voor intergemeentelijke afdelingen;
- Zijn in een fraudeonderzoek heimelijke waarnemingen verricht, dan dient de betrokkene hierover altijd te worden ingelicht. Een beperking van de informatieverplichtingen van de verwerkingsverantwoordelijke mag niet achteraf aan de betrokkene worden tegengeworpen;
- Het koppelen van bestanden is géén wettelijke verplichting, maar een mogelijkheid om de publiekrechtelijke taak uit te oefenen. De betrokkene dient over bestandskoppeling betreffende zijn persoonsgegevens altijd te worden ingelicht. De informatieverplichting achteraf is specifieker, omdat door de koppeling nieuwe persoonsgegevens zijn ontstaan;
- Bestandskoppeling houdt in dat persoonsgegevens worden gebruikt voor een ander doel dan waarvoor deze zijn verkregen. Bestandskoppeling moet verenigbaar zijn met het doelbindingsprincipe. Het gebruik van persoonsgegevens voor een ander doel is rechtmatig, indien bestandskoppeling noodzakelijk is voor de uitvoering van de publieke taak, armoedebestrijding.
De stelling, dat de gedragsregels die door het College Bescherming Persoonsgegevens zijn uitgevaardigd vóór de inwerkingtreding van de AVG, niet langer gelding hebben, gaat niet op. De AVG waarborgt gelijke rechten en stelt gelijke verplichtingen die ook onder vigeur van de Wet bescherming persoonsgegevens golden, met dien verstande dat de AVG strikter is dan de Wbp. De volgende gedragsregels moeten door de verwerkingsverantwoordelijke worden nageleefd:
- Bestandsvergelijking gaat buiten de betrokkene om. Bij bestandsvergelijking voor het opmaken van risicoprofielen is de verwerkingsverantwoordelijke gehouden om zich naar de eisen van proportionaliteit en subsidiariteit te richten. Bestandsvergelijking in het kader van profilering moet een redelijk middel zijn in verhouding tot het te bereiken doel. De bestandvergelijking in het kader van profilering mag slechts worden aangewend, indien het doel niet op een andere, voor de persoonlijke levenssfeer van de betrokkene minder belastende wijze kan worden bereikt';
- De verwerkingsverantwoordelijke maakt met bestandsvergelijking een inbreuk op de persoonlijke levenssfeer van de betrokkene. De verwerkingsverantwoordelijke moet aannemelijk maken dat deze inbreuk gerechtvaardigd is. Aan de bestandsvergelijking die niet wettelijk is geregeld, moet een concrete verdenking van de betrokkene van fraude ten grondslag liggen;
- Zodra van een andere partij gegevens worden verkregen van de betrokkene, dient de betrokkene hierover te worden ingelicht;
- Persoonsgegevens die in de bestanden van de sociale diensten zijn opgenomen, mogen alleen worden verstrekt indien voor deze verstrekking een wettelijke grondslag bestaat. Het uitvoeren van een privacytoets (Privacy Impact Assessment) kan niet worden aangewend om de persoonsgegevens alsnog rechtmatig te verstrekken. Dezelfde beperkingen gelden voor intergemeentelijke afdelingen;
- Zijn in een fraudeonderzoek heimelijke waarnemingen verricht, dan dient de betrokkene hierover altijd te worden ingelicht. Een beperking van de informatieverplichtingen van de verwerkingsverantwoordelijke mag niet achteraf aan de betrokkene worden tegengeworpen;
- Het koppelen van bestanden is géén wettelijke verplichting, maar een mogelijkheid om de publiekrechtelijke taak uit te oefenen. De betrokkene dient over bestandskoppeling betreffende zijn persoonsgegevens altijd te worden ingelicht. De informatieverplichting achteraf is specifieker, omdat door de koppeling nieuwe persoonsgegevens zijn ontstaan;
- Bestandskoppeling houdt in dat persoonsgegevens worden gebruikt voor een ander doel dan waarvoor deze zijn verkregen. Bestandskoppeling moet verenigbaar zijn met het doelbindingsprincipe. Het gebruik van persoonsgegevens voor een ander doel is rechtmatig, indien bestandskoppeling noodzakelijk is voor de uitvoering van de publieke taak, armoedebestrijding.
