Verwerking persoonsgegevens
Dit nummer gaat over recente ontwikkelingen op het terrein van de bescherming van persoonsgegevens. Veel wetgevingsjuristen hebben met dit onderwerp te maken. Dat is niet iets van de laatste tijd. Al vele jaren is de problematiek in de Nederlandse wetgeving aan de orde. Naast de al bestaande en op het EU-recht gebaseerde Wet bescherming persoonsgegevens (Wbp) van 2000 (sindsdien enkele keren aangepast) zijn veel bijzondere wettelijke regels tot stand gekomen of gewijzigd. Ook in het recente verleden is dat het geval geweest. Op diverse gebieden, zoals de zorg, de sociale zekerheid en justitie, zijn de mogelijkheden om te komen tot grootschalige gegevensverwerking, en met name het uitwisselen van en het leggen van verbanden tussen persoonsgegevens, door middel van aangepaste regels uitgebreid. In veel gevallen blijkt het (ook) te gaan om gevoelige persoonsgegevens, zoals medische en strafrechtelijke gegevens.
Verschillende factoren dragen aan de geschetste verruimingen bij. Deels hangen zij samen met bestuurlijke veranderingen. Bij de grote decentralisaties naar gemeenten wordt gestreefd naar integrale hulpverlening en begeleiding in het sociale domein. Integrale dienstverlening impliceert bundeling van persoonsgegevens die eerder bij verschillende hulpverleningsinstanties waren ondergebracht en voor verschillende doelen waren verzameld. De per 1 januari 2015 in werking getreden wetgeving maakt onder voorwaarden een verdergaande bundeling van persoonsgegevens mogelijk. Daarbij speelt de techniek een belangrijke rol. Technologische ontwikkelingen maken het verwerken en uitwisselen van persoonsgegevens in de praktijk steeds gemakkelijker. De beveiliging van informatiesystemen en de daarbinnen verwerkte gegevens wordt daarentegen lastiger. Het aantal incidenten waarbij informatiesystemen kwetsbaar zijn gebleken voor inbraak of de beveiliging van informatiesystemen anderszins tekort is geschoten, lijkt te zijn toegenomen. De vraag is of en hoe de wetgever op deze ontwikkelingen moet reageren.
Terwijl de geschetste maatschappelijke en technologische ontwikkelingen zich voltrekken, kondigen – deels in reactie daarop – al weer nieuwe ontwikkelingen zich aan. Sinds 2012 wordt in Brussel gewerkt aan nieuwe Europese wetgeving voor de bescherming van persoonsgegevens. Belangrijk onderdeel daarvan is de vervanging van de bestaande Richtlijn 95/46 – waarop de huidige Wbp is gebaseerd – door een nieuwe verordening. Deze zal naar verwachting de beleidsruimte van de lidstaten aanzienlijk inperken. Deze inperking zal zowel de materiële normstelling als het toezicht en de handhaving betreffen. Tegelijkertijd laat ook de Europese rechter zich niet onbetuigd. In 2014 was er baanbrekende rechtspraak, waarin het Hof van Justitie onder meer de voor de opsporing belangrijke Dataretentierichtlijn naar de prullenmand verwees (Digital Rights Ireland) en het fundamentele recht om te vergeten van een juridisch fundament voorzag (Google). Ook in de Straatsburgse rechtspraak is op grond van artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) geleidelijk een belangrijk samenstel van rechten en waarborgen ontwikkeld.
In dit themanummer wordt op een aantal van deze ontwikkelingen ingegaan. De Jong bespreekt de Europese ontwerpverordening bescherming persoonsgegevens. Weliswaar zijn de onderhandelingen in Brussel hierover nog niet afgerond, maar wel zodanig gevorderd dat de hoofdlijnen van de nieuwe regeling, zoals die naar alle waarschijnlijkheid komt te luiden, kunnen worden geschetst. Daaruit blijkt dat de EU-verordening hoe dan ook vergaande implicaties zal hebben voor zowel de Wbp als de bijzondere wetgeving. De verhouding tussen het EU-recht en de nationale wetgeving zal opnieuw moeten worden doordacht. De nieuwe EU-verordening zal de wetgevingsagenda voor de komende jaren dan ook in belangrijke mate gaan bepalen. Daarna geven Zwenne en Steenbruggen een overzicht van enkele leading cases van de Straatsburgse en Luxemburgse rechtspraak van de afgelopen jaren. Deze hebben betrekking op verschillende aspecten van het gegevensbeschermingsrecht: de eisen waaraan grootschalige opslag van persoonsgegevens, zoals hiervoor vermeld, moet voldoen, de door de gegevensverwerkende instanties te betrachten transparantie en de beveiliging van persoonsgegevens. De auteurs gaan daarbij na wat deze rechtspraak betekent voor de wetgever en komen op elk van de genoemde terreinen tot de formulering van een aantal praktische vuistregels. Ten slotte gaat Jacobs in op recente technologische ontwikkelingen en de bedreigingen die daarvan uitgaan voor de bescherming van de identiteit en de persoonsgegevens van burgers in de digitale wereld. Hij probeert in kort bestek een aantal van deze ontwikkelingen ook voor niet-juristen begrijpelijk te maken. De vraag of er een taak voor de overheid en meer in het bijzonder voor de wetgever is weggelegd om de burger in de digitale omgeving te beschermen, beantwoordt Jacobs bevestigend: ‘Uiteindelijk is het aan de wetgever’, zo concludeert hij, ‘om vanuit een heldere visie en met een assertieve houding ook op internet aan “de publieke zaak” invulling te geven, om de eigen waarden vorm te geven, de zwakkeren te beschermen, en om een level-playing field te bewerkstelligen.’
De drie bijdragen pretenderen allerminst een uitputtend overzicht te bieden; daarvoor is het terrein van de privacybescherming te veelomvattend. Buiten beschouwing blijft bijvoorbeeld het voorstel tot wijziging van artikel 13 van de Grondwet dat de regering in 2014 bij de Tweede Kamer heeft ingediend. Ook de recente decentralisaties in het sociale domein en de implicaties daarvan voor de bescherming van persoonsgegevens komen niet aan de orde. Wel blijkt uit de uiteenlopende bijdragen in dit themanummer eens te meer dat de ontwikkelingen razendsnel gaan en vaak specialistische kennis vergen om ze in al hun facetten te doorgronden. De gerechtvaardigde vraag is mede in dat licht bezien of de wetgever het allemaal nog kan bijbenen. Het lijkt in elk geval een illusie te menen dat de wetgever binnen de eigen nationale jurisdictie de ontwikkelingen onder controle zal kunnen houden. Tegelijkertijd blijft er, zoals Jacobs heeft aangegeven, een belangrijke taak weggelegd voor de overheid en voor de wetgever. Daarvoor staan er voor burgers, bedrijven alsook voor de overheid zelf te grote belangen op het spel. Om enigszins effectief te kunnen zijn zullen vaak Europese of zelfs internationale regels en afspraken nodig zijn. Het is dan ook niet overdreven te stellen dat de problematiek van de verwerking van persoonsgegevens in al haar aspecten een belangrijk onderdeel zal blijven van de wetgevingsagenda van de komende decennia.