Open Access Advocate

• 1. Inleiding

  Het privacydebat is de laatste jaren opnieuw op de politieke agenda in Den Haag komen te staan. Dat debat wordt beheerst door het omvangrijkste wetgevingspakket van de Europese Commissie uit de zittingsperiode 2009-2014: het nieuwe gegevensbeschermingsrecht. Eenmaal aangenomen zal dat pakket verstrekkende gevolgen hebben. Gedragsnormen voor bedrijven en de overheid en rechten voor de burger worden voortaan in Brussel vastgesteld. De Wet bescherming persoonsgegevens (Wbp) zal verdwijnen. En er komt een ingewikkelde wetgevingsoperatie aan om dat in goede banen te leiden. Maar hoe zit dit in grote lijnen in elkaar, en waarmee moeten de Nederlandse wetgever en de Nederlandse wetgevingsambtenaar rekening houden?

  Het door de Commissie op 25 januari 2012 ingediende pakket bestaat uit een voorstel voor een Algemene verordening gegevensbescherming¹xVoorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming), COM(2012)11 def. (hierna: de verordening), een voorstel voor een richtlijn bescherming persoonsgegevens opsporing en vervolging,²xVoorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, COM(2012)10 def. een overkoepelende mededeling van de Commissie³xMededeling van de Europese Commissie aan het Europees Parlement, de Raad, het Economisch en Sociaal Comité en het Comité van de Regio’s, ‘Privacywaarborgen in het onlinetijdperk. Een Europees gegevensbeschermingskader voor de 21e eeuw’, COM(2012)9 def. en enkele bijlagen.⁴xHet betreft een impact assessment en een afzonderlijke samenvatting van dat stuk, SEC(2012)73, respectievelijk SEC(2012)72. Dit pakket moet het geldende EU-recht voor gegevensbescherming gaan vervangen. Dat betreft de geldende richtlijn gegevensbescherming⁵xRichtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281). (hierna: de richtlijn) en het geldende kaderbesluit gegevensbescherming politiële en justitiële samenwerking in strafzaken.⁶xKaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (PbEU 2008, L 350). In deze bijdrage ga ik alleen in op de verordening. Achtereenvolgens ga ik in op de rechtsgrondslag en de instrumentkeuze – ik behandel de inhoud van de verordening uit oogpunt van continuïteit enerzijds en vernieuwing anderzijds – op de mogelijke tekortkomingen in relatie tot technische ontwikkelingen en op de gecompliceerde verhouding tussen de verordening en de nationale wetgeving. Ik sluit af met enkele korte conclusies.

  In deze bijdrage wordt uitgegaan van de tekst van de verordening zoals die door de Commissie bij het Europees Parlement en de Raad is ingediend. Geen rekening is gehouden met de tekst die het Europees Parlement aan het slot van de eerste lezing heeft vastgesteld,⁷xZie interinstitutioneel dossier 2012/0011 (COD), document TA (2014) 0212, te raadplegen via European Parliament/Legislative Observatory. en evenmin met de teksten die in de Raad circuleren. De Raad heeft zijn eerste lezing nog niet afgerond. Verwacht wordt dat dit nog wel even kan duren.⁸xZie in dat verband de voortgangsberichten die de staatssecretaris van Veiligheid en Justitie driemaandelijks aan beide Kamers aanbiedt. Kamerstuk 32761, 34, 44, 46, 48, 51, 54, 57, 60, 68 en 75.

• 2. Rechtsgrondslagen, instrumentkeuze, andere grondrechten

  Het geldende gegevensbeschermingsrecht dateert van 1995, ruim voor de totstandkoming van het Verdrag van Lissabon. De richtlijn is vastgesteld op grond van artikel 100A van het Verdrag tot oprichting van de Europese Gemeenschap (EG) (oud). Die bepaling had tot doel om ter vervolmaking van de interne markt uiteenlopende wetgevingen van de lidstaten op aangegeven beleidsterreinen te harmoniseren. Hoewel de richtlijn twee hoofddoelstellingen kent, bescherming van de fundamentele rechten en vrijheden toegespitst op de bescherming van de persoonlijke levenssfeer en het vrij verkeer van persoonsgegevens als aspect van de interne markt, is de rechtsgrondslag uitsluitend aan de interne markt gerelateerd. Het Handvest van de grondrechten bestond in 1995 nog niet.

  De verordening biedt het omgekeerde beeld. Artikel 8 van het Handvest van de Grondrechten van de Europese Unie (hierna: het Handvest) beschermt het recht van eenieder op bescherming van zijn persoonsgegevens. Ter uitvoering van dat grondrecht is in artikel 16 lid 2 van het Verdrag betreffende de werking van de Europese Unie (VWEU) een afzonderlijke grondslag opgenomen voor de vaststelling van regels van secundair recht. Die grondslag refereert zowel aan de uitwerking van het grondrecht als aan het vrij verkeer van die gegevens. Ondanks die dubbele doelstelling is de interne markt in de verordening wat meer naar de achtergrond gedrongen. Artikel 16 lid 2 VWEU dwingt niet tot de keuze voor een bepaald instrument. Waarom nu een verordening in plaats van een richtlijn? Eén reden om een verordening vast te stellen, is dat de ruime mate van vrijheid die artikel 5 van de richtlijn aan de lidstaten biedt om de beginselen van de richtlijn in het nationale recht uit te werken niet heeft geleid tot harmonisatie, maar juist tot fragmentatie van de regelgeving van de lidstaten. Wanneer de regelgeving van de lidstaten uiteen gaat lopen, kan er van een werkelijk vrij verkeer van persoonsgegevens niet worden gesproken. Met name het bedrijfsleven ondervindt daarvan de nadelen, omdat het geconfronteerd wordt met verschillen tussen de wetgevingen van de lidstaten. Dat is niet de bedoeling van de interne markt.

  Een andere reden is dat versterkte grondrechtelijke inbedding van het recht op bescherming van persoonsgegevens in het Unierecht moet leiden tot een gelijke mate van grondrechtelijke bescherming in de gehele Unie. De traditie van bescherming van grondrechten is nog niet overal in de Unie tot in de haarvaten van bedrijven en overheden doorgedrongen, en die kan in de gedachte van de Commissie wel wat steun in de rug gebruiken.

  Een verordening heeft echter ook nadelen. Het recht op bescherming van persoonsgegevens is in veel lidstaten in de grondwet geregeld of anderszins verankerd in het constitutionele recht. Dit recht is niet absoluut. De aard van juist dit grondrecht brengt met zich dat het in veel verhoudingen moet worden afgewogen tegen andere belangen, die mede door andere grondrechten worden beschermd. Dat is niet alleen een afweging tussen het recht op gegevensbescherming en de andere grondrechten in het Handvest, maar ook een afweging tussen dit recht en de in het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) en de in de nationale grondwetten geregelde grondrechten. De verordening grijpt daarin tamelijk diep in op een manier die niet alleen problemen oplost, maar deze ook oproept. Een voorbeeld kan dit verduidelijken. Artikel 83 van de verordening bindt de verwerking van persoonsgegevens voor historische, statistische en wetenschappelijke doeleinden aan verdergaande beperkingen dan de algemene bepalingen van de artikelen 5 en 6 van de verordening in algemene zin al doen. Het is de vraag hoe deze beperkende voorschriften zich verhouden tot de vrijheid van meningsuiting en de vrijheid van wetenschapsbeoefening, die worden gegarandeerd door de artikelen 11 en 13 van het Handvest. De verordening geeft daarop geen antwoord.

• 3. Continuïteit en vernieuwing

  Hoewel de verordening veel omvangrijker is dan de richtlijn, biedt de verordening een behoudend beeld, waar het de grondslagen van de gegevensverwerking betreft. Veel is hetzelfde gebleven. Maar vernieuwingen zien we bij de uitwerking van de rechten en de verplichtingen van de diverse actoren, en ook bij het toezicht op de naleving en de handhaving.

  3.1 Reikwijdte en begrippen

  Dat patroon van continuïteit en vernieuwing geldt allereerst voor de reikwijdte en de begrippencatalogus. De verordening is van toepassing op alle geheel of gedeeltelijk geautomatiseerde verwerkingen van persoonsgegevens, alsmede op de niet-geautomatiseerde verwerkingen van persoonsgegevens die in een bestand zijn opgenomen, of bestemd zijn om daarin te worden opgenomen. Het afzonderlijke papieren dossier, in personeelsadministraties nog altijd een bekend verschijnsel, wordt dus niet beheerst door de verordening. Uitgezonderd van de reikwijdte van de verordening zijn de verwerkingen die buiten de reikwijdte van het Unierecht vallen, zoals verwerkingen in het belang van de nationale veiligheid. Uitgezonderd zijn ook de verwerkingen die onder verantwoordelijkheid van de instellingen en organen van de Unie worden verricht. Daarvoor bestaat al een verordening.⁹xVerordening (EG) 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PbEG 2001, L 8). Uitgezonderd blijven ook de verwerkingen die zonder commercieel belang worden verricht in het kader van persoonlijke of huishoudelijke activiteiten en de verwerkingen die worden beheerst door de nieuwe richtlijn gegevensbescherming opsporing en vervolging. Tot zover niet veel nieuws.

  Nieuw is wel dat de territoriale reikwijdte van de verordening wordt uitgebreid tot buiten het grondgebied van de Unie. De verordening is van toepassing op de niet in de Unie gevestigde verantwoordelijke wanneer de verwerking betrekking heeft op het aanbieden van goederen en diensten in de Unie of het observeren van het gedrag van betrokkenen die zich in de Unie bevinden. Als een betrokkene in Nederland online iets in de Verenigde Staten koopt, betekent het dat de verwerking van persoonsgegevens die daarvoor nodig is, wordt beheerst door de verordening. De verordening heeft dus een zekere extraterritoriale werking. De begrippencatalogus van de richtlijn keert goeddeels terug in de verordening. Vertrouwde begrippen als ‘persoonsgegevens’, ‘betrokkene’, ‘verwerking’ en ‘verantwoordelijke’ behouden hun betekenis.

  3.2 Beginselen van gegevensbeschermingsrecht

  Bij de algemene beginselen die aan elke verwerking van persoonsgegevens ten grondslag behoren te liggen, zijn wat accentverschillen te zien. Rechtmatigheid, doelbinding, dataminimalisatie, kwaliteitszorg en de verwerkingsduur blijven als hoofdbeginselen bestaan, maar er worden twee belangrijke elementen aan toegevoegd. Transparantie, wat zoveel betekent als het vermijden van heimelijkheid bij alle aspecten van de verwerking van persoonsgegevens, is nu uitdrukkelijk geformuleerd als beginsel. Verder is de verantwoordingsplicht van de verantwoordelijke als beginsel geëxpliciteerd. In het Nederlands is dit een lastige woordcombinatie die op het eerste gezicht de indruk wekt een soort vanzelfsprekendheid te zijn, maar dat is niet het geval. Wie persoonsgegevens verwerkt, is verplicht dat openlijk te doen en over aard en doel van die verwerking aan betrokkenen en de toezichthouder zelf verantwoording af te leggen. Explicitering van dat beginsel in de verordening is van groot belang, omdat de plicht die verantwoordelijken op grond van de richtlijn – om elke aangevangen verwerking te melden – nog hebben, in de verordening niet terugkeert. Er kan dus niet langer bij de toezichthouder worden nagegaan welke verwerkingen door een verantwoordelijke worden verricht. Daarvoor zullen betrokkenen en toezichthouder bij de verantwoordelijke terecht moeten kunnen.

  De rechtvaardigingsgronden – de vraag naar de legitimering van een gegevensverwerking – uit de richtlijn blijven nagenoeg dezelfde: toestemming van betrokkene, een contract tussen betrokkene en verantwoordelijke, een wettelijk voorschrift, een vitaal belang van de betrokkene en de publieke taak van een bestuursorgaan. Beperkt is echter het zogeheten ‘gerechtvaardigd belang’. Een verwerking kan als rechtmatig worden aangemerkt, mits het belang van de verantwoordelijke redelijk is en na afweging tussen dat belang en de belangen van de betrokkene blijkt dat aan het eerstbedoelde belang het zwaarste gewicht kan worden toegekend. Dit belang mag echter niet langer het belang van een derde zijn. Dat is van grote invloed op de mogelijkheden om bijvoorbeeld directmarketingactiviteiten te verrichten. Die verwerkingen vinden vaak in opdracht plaats. De belangenafweging wordt bovendien verzwaard wanneer de betrokkene een kind is.

  De belangen van jeugdigen worden in de verordening apart geregeld. Ouderlijke toestemming is nodig voor de verwerking van persoonsgegevens van kinderen jonger dan 13 jaar in de gevallen waarin diensten van de informatiemaatschappij rechtstreeks aan kinderen worden aangeboden. Met deze regel wil de Commissie aansluiting zoeken bij de leeftijdsgrens die in de Verenigde Staten wordt gehanteerd op grond van de Children’s Online Privacy Protection Act. Toestemming wordt ook in de verordening nadrukkelijk naar voren geschoven als de in beginsel voornaamste rechtvaardigingsgrond. Het bestaande onderscheid tussen ondubbelzinnige en uitdrukkelijke toestemming vervalt, en de bewijslast voor het bestaan van een rechtsgeldige toestemming wordt eenzijdig bij de verantwoordelijke gelegd. Toestemming voor het verwerken van persoonsgegevens moet door de verantwoordelijke bovendien worden onderscheiden van toestemming voor andere aangelegenheden.

  Continuïteit is zichtbaar bij de behandeling van bijzondere categorieën persoonsgegevens. Er blijft een verwerkingsverbod bestaan voor de bekende reeks gegevens met betrekking tot etniciteit, godsdienst of levensovertuiging, vakbondslidmaatschap, politieke overtuiging, gezondheid en seksueel gedrag en strafrechtelijke veroordelingen.

  3.3 Rechten van de betrokkene

  De rechten van de betrokkene veranderen ingrijpend. De rechten op toegang, rectificatie, wissing en afscherming worden nu verschillend behandeld. De rechten op toegang en rectificatie worden in aparte bepalingen ondergebracht, maar inhoudelijk in wezen niet gewijzigd. Ook het recht op bezwaar (verzet) blijft bestaan.

  Het recht op wissing van gegevens wordt uitgebreid tot een recht om te worden vergeten. Wanneer gegevens, gelet op het doel waarvoor ze worden verwerkt, niet langer nodig zijn, wanneer de betrokkene een verleende toestemming voor het verwerken van gegevens intrekt, wanneer hij het recht op verzet uitoefent of wanneer de gegevens overigens in strijd met de verordening zijn verwerkt, heeft de betrokkene het recht op wissing van de gegevens. Wanneer er sprake is van openbaarmaking van de gegevens – bijvoorbeeld via een socialenetwerksite – dan moet de verantwoordelijke bovendien alle redelijke maatregelen nemen om derden die de gegevens zijn gaan verwerken, op de hoogte te stellen dat de betrokkene verzoekt om de gegevens of een koppeling ernaar te wissen. Weliswaar gelden daarop uitzonderingen, bijvoorbeeld bij de uitoefening van de vrijheid van meningsuiting, maar het vergeetrecht is van verdergaande strekking.

  Een ander nieuw recht is het recht op dataportabiliteit. Zoals de abonnee van een openbare telecommunicatiedienst het recht heeft om bij wisseling van zijn aanbieder zijn nummer mee te nemen naar de nieuwe aanbieder, zo krijgt de betrokkene het recht om zijn persoonsgegevens van de ene naar de andere verantwoordelijke mee te nemen. Daarbij geldt dan wel de voorwaarde dat de gegevens in een elektronisch en gestructureerd algemeen gebruikt formaat worden verwerkt en op die manier ook overigens door de betrokkene kunnen worden gebruikt. Het is niet eenvoudig de uitoefening van dit recht in een concrete situatie voorstelbaar te maken. Mogelijk denkt de Commissie aan het faciliteren van de wisseling van een betaaldienstverlener of energieleverancier, maar die zullen uit concurrentieoverwegingen niet snel tot de introductie van gezamenlijke gegevenssets besluiten. De vraag is of deze regel van consumentenrecht wel in een verordening gegevensbescherming thuishoort.

  Het recht van de betrokkene om beschermd te worden tegen volledig geautomatiseerd genomen besluiten, gebaseerd op gegevens die een beeld vormen van de persoonlijkheid van de betrokkene, wordt belangrijk uitgebreid. De verordening stelt beperkingen aan de mogelijkheden voor verantwoordelijken om met persoonsgegevens profilering te bedrijven. Dat wordt afhankelijk gemaakt van het bestaan van een contract, een wettelijk voorschrift of toestemming van de betrokkene.

  3.4 Verplichtingen van de verantwoordelijke

  Een rechtmatige verwerking van persoonsgegevens kan alleen plaatshebben wanneer de verantwoordelijke voor de verwerking specifieke verplichtingen nakomt. Hoofddoel daarvan is het bereiken van transparantie, die er mede op is gericht de betrokkene in staat te stellen zijn rechten uit te oefenen. In het geldende recht zijn die verplichtingen goeddeels beperkt tot het informeren van betrokkenen door middel van privacyverklaringen en de veel bekritiseerde meldplicht van de verwerking bij de toezichthouder. Die verplichtingen zijn in zekere zin als passief aan te merken. De verantwoordelijke kan binnen ruime grenzen doen wat hij wil met een verwerking, zolang hij maar laat weten wie hij is, wat hij doet en waarom hij dat doet. De verplichtingen van de verantwoordelijke worden in de verordening echter actiever.

  De meldplicht komt weliswaar te vervallen, maar de verantwoordings- en openbaarheidsverplichtingen verdwijnen niet. Integendeel, de verantwoordelijke blijft niet alleen verplicht tot het vaststellen en publiceren van privacyverklaringen, hij moet ook een actief beleid voeren en maatregelen treffen voor de uitvoering van een aantal verplichtingen die hij ingevolge de verordening heeft. Dat heet ‘accountability’.

  De verantwoordelijke krijgt vervolgens een algemene verplichting tot het toepassen van ‘privacy by design’ en ‘privacy by default’. Een verplichting om de verwerking zodanig in te richten dat zo min mogelijk belasting voor de gegevensverwerking ontstaat. Daarnaast blijft de algemene verplichting tot beveiliging van de verwerking bestaan. Bij deze verplichtingen mag overigens rekening worden gehouden met de stand van de techniek en de kosten van tenuitvoerlegging.

  Nieuw is ook een verplichting voor de verantwoordelijke om een nogal uitgebreide documentatie aan te houden waarin alle aspecten van de verwerking moeten worden beschreven. De verplichting om datalekken te melden aan de toezichthouder en betrokkenen, die op grond van Richtlijn 2009/136/EG¹⁰xPbEU 2009, L 337. al gold voor aanbieders van elektronische communicatiediensten, wordt in de verordening overgenomen en gaat gelden voor alle verantwoordelijken.

  Bij bijzonder risicovolle verwerkingen moet de verantwoordelijke een ‘privacy impact assessment’ vaststellen. Indien dit assessment daartoe aanleiding geeft of wanneer dat om andere redenen nodig is, moet voorafgaand overleg met de toezichthouder volgen, of soms een voorafgaande instemming worden verkregen. Risico’s kunnen uiteraard ook worden beheerst door aanstelling van een functionaris voor de gegevensbescherming. Die positie bestaat ook al in de richtlijn, maar in de verordening zijn positie en takenpakket van de functionaris versterkt. Mogelijkheden voor bedrijven om de eigen vleugels wat uit te slaan, zijn er in de vorm van gedragscodes en privacycertificaten.

  3.5 Doorgifte naar derde landen

  De regels voor de doorgifte van gegevens naar derde landen worden, met behoud van bestaande elementen uit de richtlijn, in de verordening in een voorkeursvolgorde geplaatst. Doorgifte van gegevens naar een derde land vindt bij voorkeur plaats op grond van een ‘adequacy finding’ ten aanzien van dat land door de Commissie. De Commissie toetst daartoe de waarborgen voor de bescherming van persoonsgegevens die het recht van het derde land biedt. De gedachte hierachter is dat wanneer eenmaal een dergelijke verklaring is afgegeven, geen nadere garanties voor de bescherming van de persoonlijke levenssfeer nodig zijn, omdat het desbetreffende land een met een lidstaat vergelijkbare status heeft. Dit beleid is weinig succesvol gebleken. In de praktijk zal er moeten worden teruggevallen op andere grondslagen. Modelcontracten, vastgesteld door de Commissie of goedgekeurd door een toezichthouder, en intern bindende bedrijfsvoorschriften zijn in de private sector dan de in aanmerking komende instrumenten. Verondersteld mag worden dat verdragen ook een voldoende garantie kunnen opleveren.

  De regeling van de intern bindende bedrijfsvoorschriften is nieuw. Een multinationale onderneming kan voor al haar onderdelen en vestigingen, juist ook de onderdelen die zich in derde landen bevinden, intern bindende privacyregels vaststellen. Na goedkeuring door de toezichthouder van die regels kunnen dan vanuit de Europese Unie (EU) zonder aanvullende eisen gegevens naar de vestiging in het derde land worden overgedragen.

  Daarnaast kent de verordening nog tal van andere grondslagen die kunnen worden ingeroepen voor de doorgifte van gegevens naar een derde land. Die grondslagen zijn ook opgenomen in de richtlijn. Te denken valt aan toestemming van de betrokkene, een gewichtige reden van algemeen belang of doorgifte vanuit een openbaar register. Vreemd genoeg worden die grondslagen aangeduid als afwijkingen. In de praktijk gaat het echter om hoofdregels en zal juist bij uitzondering een beroep op adequacy findings, modelcontracten of bedrijfsvoorschriften worden gedaan.

  3.6 Toezicht op de naleving en samenwerking tussen de toezichthouders

  De verordening voorziet in een omvangrijke regeling voor de onderlinge samenwerking tussen de toezichthouders van de 28 lidstaten in de EU. Die regeling is een rechtstreeks gevolg van de instrumentkeuze. Bij een verordening past eigenlijk een centrale toezichthouder, omdat eenvormige regels uniform moeten worden uitgelegd. De aard van het gegevensbeschermingsrecht maakt het echter vrijwel onmogelijk tot de inrichting van een dergelijke toezichthouder te besluiten. Die zou 500 miljoen burgers moeten bedienen. Toepassing en handhaving kunnen onmogelijk worden aangestuurd door alleen de uitleg van de verordening door het Hof van Justitie van de EU. De nationale toezichthouders blijven dan ook onmisbaar. Onder de richtlijn bestaat de zogenaamde Artikel 29-werkgroep, die in zijn bestaan bijna tweehonderd documenten heeft vastgesteld waarin een nadere invulling aan de richtlijn wordt gegeven.

  De groep van samenwerkende toezichthouders wordt onder de verordening verenigd in een Europees Comité voor gegevensbescherming, inmiddels bekend onder de naam EDPB. De EDPB krijgt de taak de verordening consequent toe te passen. De EDPB krijgt de opdracht om ‘richtsnoeren, aanbevelingen en beste praktijken’ voor de toezichthouders vast te stellen. Van deze uitleg, gegeven door deskundigen en gebaseerd op ervaring met de praktijk, mag – op basis van de ervaringen met de documenten van de op grond van artikel 29 van de richtlijn opgerichte werkgroep – het nodige worden verwacht. Juist vanwege dat verwachtingspatroon valt het op dat de verordening niet voorziet in een procedure voor de vaststelling van die richtsnoeren, die in enige waarborgen voorziet, zoals het horen van organisaties van belanghebbenden. Dat zou het draagvlak van de richtsnoeren kunnen vergroten. De uitleg van het onafhankelijkheidsvereiste voor dataprotectietoezichthouders in de rechtspraak van het Hof van Justitie van de EU is al bijzonder strikt. Wanneer de EDPB zich afsluit voor de buitenwereld kan die onafhankelijkheid omslaan in isolatie.

  3.7 Sanctionering

  De verordening kent een sluitend stelsel van wat wordt genoemd ‘administratieve sancties’. Het betreft bestuurlijke boetes. Het gaat hier niet om geringe bedragen. De maxima uit de diverse categorieën bedragen € 250.000, € 500.000, respectievelijk € 1.000.000, of 0,5 procent, 1 procent, respectievelijk 2 procent van de wereldwijde jaaromzet op concernniveau wanneer dat bedrag hoger is. Toepassing van de laatste maatstaf kan bij grote multinationale ondernemingen leiden tot boetemaxima in de orde van grootte van € 1 miljard. Het is duidelijk waarom de Commissie die stap heeft gezet. Wanneer de vaststelling van de wijze van sanctionering aan de nationale wetgevers zou zijn overgelaten, zou dat niet alleen leiden tot onderlinge verschillen, maar naar alle waarschijnlijkheid ook tot een veel grotere terughoudendheid bij de nationale wetgevers. De Commissie propageert een gegevensbeschermingsrecht met tanden. De maxima kunnen ook nog eens bij gedelegeerde handeling worden ‘geactualiseerd’. De verordening kan, in elk geval in de Engelstalige versie, bovendien zo worden gelezen dat bij elke overtreding een sanctie moet worden opgelegd. Beleidsvrijheid lijkt te ontbreken. Juist vanwege die hoge maxima en het ontbreken van beleidsvrijheid is het opvallend dat de verordening vrijwel geen substantiële en procedurele waarborgen bevat die bij de boeteoplegging in acht moeten worden genomen. Er moet dan worden teruggevallen op de algemeen geformuleerde waarborgen van het Handvest en de jurisprudentie van het Hof van Justitie van de EU. Het moet er dan ook voor worden gehouden dat de nationale wetgever ook op dit aspect zijn verantwoordelijkheid moet nemen. Er mag van worden uitgegaan dat hoofdstuk 5 van de Algemene wet bestuursrecht een stelsel van waarborgen bevat dat nagenoeg volledig is.

  3.8 Gedelegeerde en uitvoeringshandelingen en praktijkvoorschriften – aanpassing van de wetgeving aan de technische ontwikkelingen

  De continuïteit tussen richtlijn en verordening komt ook tot uitdrukking in de aard van de normering. Die blijft algemeen-abstract en behoeft in concrete situaties nadere invulling. Daarbij moet ook rekening worden gehouden met nieuwe technische ontwikkelingen. Het gaat niet om details. Ik geef enkele voorbeelden. De richtlijn, en impliciet ook de verordening, gaat uit van het model van min of meer overzichtelijke en afgebakende verwerkingen in afzonderlijke databases. De toepassing van dit model in een wereld waarin de verwerking van persoonsgegevens een permanent levensverschijnsel geworden is, zal naar verwachting aanzienlijke interpretatieproblemen oproepen. Daarbij kan onder meer worden gedacht aan de vraag of het klassieke model van verantwoordelijke en bewerker voldoende aansluit bij de werkelijkheid van cloud computing. Denk ook aan de vraag of het gebruik van big data niet verder beheerst moet worden dan met alleen een bepaling over profileren. Op deze vragen biedt de verordening nog geen volledig antwoord. En recent heeft het Hof van Justitie van de EU uitspraak gedaan in een prejudiciële zaak, waarin het Hof het recht op wissing en het recht op verzet ten aanzien van persoonsgegevens verwerkt in zoekresultaten van zoekmachinediensten ruim heeft geïnterpreteerd in relatie tot de vrijheid van meningsuiting.¹¹xHvJ EU 13 mei 2014, C-131/12, Google Spain SL en Google Inc/AEPD en Mario Costeja Gonzalez. Zie ook Kamerstuk 32761, 65 en 72, en WP doc 225. De verordening biedt ook voor dit conflict van grondrechten geen duidelijke oplossing.

  De Commissie heeft dit type problemen bij het ontwerpen van de verordening natuurlijk voorzien en heeft voor de uniforme toepassing en handhaving een oplossing bedacht. Er wordt op ruime schaal gebruik gemaakt van de mogelijkheid om gedelegeerde en uitvoeringshandelingen vast te stellen. In de 91 artikelen van de verordening zijn niet minder dan 45 grondslagen neergelegd voor de vaststelling van gedelegeerde en uitvoeringshandelingen, als bedoeld in de artikelen 290 en 291 VWEU, door de Commissie.

  Die ruimhartige bevoegdheidstoedeling heeft verschillende gezichten. Enerzijds wordt voorzien in duidelijke gecoördineerde uitwerking van de verordening in vrijwel alle opzichten. Dat komt de doelstellingen van de verordening ten goede. Anderzijds leidt dit tot een vergaande terugdringing van de bevoegdheid van de wetgevers van de lidstaten om waar nodig en mogelijk de verordening te kunnen in- en aanvullen. Daarop wordt hieronder nader ingegaan.

  Bovendien is een aanmerkelijk aantal van de voorgestelde gedelegeerde bevoegdheden zo ruim geformuleerd dat gerede twijfel mogelijk is of wel voldaan wordt aan de eis van artikel 290 VWEU, dat alleen de niet-essentiële onderdelen van de verordening worden uitgewerkt. Ik noem twee voorbeelden. Wanneer de Commissie op grond van artikel 6 lid 5 van de verordening gedelegeerde handelingen vaststelt om invulling te geven aan de rechtvaardigingsgrond ‘gerechtvaardigd belang van de verantwoordelijke’, dan zal dat ingrijpende consequenties kunnen hebben voor de vrijheid van ondernemerschap. Immers, dan maakt eigen verantwoordelijkheid van bedrijven plaats voor regelgeving. En wanneer de Commissie op grond van artikel 9 lid 3 van de verordening gedelegeerde handelingen vaststelt voor de nadere invulling van de regeling voor het verwerken van alle categorieën bijzondere persoonsgegevens, dan maakt dit het werk van de nationale wetgevers om op grond van artikel 9 lid 2 onder b van de verordening de voorwaarden vast te stellen waaronder het verbod op het verwerken van bijzondere persoonsgegevens kan worden opgeheven, grotendeels illusoir. Bovendien volgt uit de aard van sommige bevoegdheden dat deze gedelegeerde handelingen eigenlijk vastgesteld moeten zijn op het ogenblik dat de verordening van toepassing wordt. Het is dan ook niet vreemd dat op deze bevoegdheidstoekenningen veel kritiek is gekomen. De verwachting is dat zowel de Raad als het Europees Parlement de grootschalige bevoegdheidstoedeling aan de Commissie sterk zal beperken.

  Dat lost de hier gesignaleerde problemen overigens niet zomaar op. In plaats van gedelegeerde en uitvoeringshandelingen zullen interpretatieve praktijkvoorschriften van de EDPB daarom nog belangrijker worden.

• 4. Implementatie van de verordening

  Nu de verordening het grootste deel van de materiële normstelling met betrekking tot de verwerking van persoonsgegevens gaat bevatten en daarnaast vele tientallen bepalingen wijdt aan de opzet van de handhaving en de sanctionering, is het duidelijk dat de Wbp moet worden ingetrokken. In plaats van de Wbp zal er een Uitvoeringswet Algemene verordening gegevensbescherming moeten komen, die ten minste de bepalingen bevat tot de vaststelling waarvan de verordening verplicht. Daarnaast zal de wetgever moeten beoordelen aan welke aanvullende regelgeving, binnen de ruimte die de verordening laat, behoefte bestaat. Dat vergt een geheel afzonderlijke beoordeling. Ten slotte zal moeten worden beoordeeld welke nationale wetgeving onverenigbaar is met de verordening en moet worden ingetrokken. Een omvangrijke wetgevingsoperatie ligt in het verschiet. De verordening kent een implementatietermijn van twee jaar.

• 5. Verhouding van de verordening tot de nationale wetgeving

  Bij de implementatie van de verordening komt het erop neer goed in het oog te houden wat de verhouding is tussen de verordening en de nationale wetgeving. De complicaties van die verhouding zijn helder in kaart gebracht door de Europese Toezichthouder voor gegevensbescherming (EDPS) en door de Afdeling advisering van de Raad van State in een voorlichting aan de Tweede Kamer.¹²xOpinion of the European Data Protection Supervisor on the data protection reform package, te vinden op <www.edps.europa.eu/EDPSWEB/edps/site/mySite/reform-package>. Een samenvatting in het Nederlands is te vinden in PbEU 2012, C 192. Het advies is zeer lezenswaardig, zeker voor lezers die behoefte hebben aan meer begrip van de inhoud van de verordening. De voorlichting van de Afdeling advisering van de Raad van State dateert van 28 juni 2012, nr. W03.12.0188/II, zie m.n. par. 2.3 en 2.4. De EDPS onderscheidt vier verschillende rechtsbetrekkingen tussen het EU-recht en het nationale recht.¹³xZie nr. 50 t/m 70 van het advies (voetnoot 12). Die categorieën behandel ik hieronder.

  5.1 Verordening en bestaande nationale wetgeving

  De eerste categorie betreft de normen in de verordening die zelf voortbouwen op nationaal recht waarvan het bestaan wordt voorondersteld. Een voorbeeld: artikel 6 lid 1 onder c van de verordening regelt dat de verwerking van persoonsgegevens rechtmatig is wanneer de verwerking noodzakelijk is om te voldoen aan een wettelijke verplichting van de voor de verwerking verantwoordelijke. Die rechtvaardigingsgrond kan slechts worden ingeroepen wanneer er een wettelijk voorschrift bestaat dat tot de verwerking van persoonsgegevens verplicht.¹⁴xBijv. art. 47 AWR. Artikel 6 lid 3 van de verordening stelt bovendien eisen aan het inroepen van die rechtvaardigingsgronden. Er moet daadwerkelijk een grondslag voor de verplichting zijn aan te wijzen in EU-wetgeving of een nationaal wettelijk voorschrift. En als het een nationaal wettelijk voorschrift betreft, moet dat voorschrift ook nog eens voldoen aan een doelstelling van algemeen belang of noodzakelijk zijn om de rechten en vrijheden van anderen te beschermen, moet het de wezenlijke inhoud van het recht op bescherming van persoonsgegevens eerbiedigen en moet het evenredig zijn met het nagestreefde doel. Die eisen zijn een serieuze complicatie. In artikel 52 van het Handvest is immers al een systematiek neergelegd voor de gevallen waarin inbreuk op een van de in het Handvest geregelde grondrechten wordt gemaakt. En dat Handvest bindt ook de lidstaten in de uitoefening van hun wetgevende bevoegdheden. Om het allemaal nog ingewikkelder te maken stemt artikel 52 van het Handvest weer niet volledig overeen met artikel 6 lid 3 van de verordening. Bij de implementatie van de verordening zal dus moeten worden nagegaan of alle bestaande wettelijke voorschriften aan alle eisen beantwoorden. Daarnaast blijven de eisen die voortvloeien uit artikel 8 lid 2 EVRM en artikel 10 van de Grondwet gewoon gelden.

  5.2 Verordening en nieuw vast te stellen nationale wetgeving

  De tweede categorie betreft normen van nationaal recht die voortbouwen op de verordening. Zo moeten de lidstaten een toezichthoudende autoriteit instellen, wettelijke waarborgen treffen voor de onafhankelijkheid van die toezichthouder en een orgaan aanwijzen dat de toezichthouder benoemt, schorst en ontslaat. De verordening laat hier enige beleidsruimte, bijvoorbeeld over de naamgeving en het aantal leden van het orgaan. De taken en bevoegdheden van de toezichthouder worden echter volledig in de verordening geregeld. De EDPS wijst erop dat de verordening mogelijk vooronderstelt dat de nationale wetgever ook impliciete bevoegdheden – mogelijk zelfs impliciete verplichtingen – tot aanvullende regelgeving heeft. In de paragraaf over sanctionering is al aangegeven dat de nationale wetgever het gebrek aan inhoudelijke en procedurele waarborgen bij de oplegging van sancties zal moeten goedmaken.

  5.3 Verordening en sectorspecifieke nationale wetgeving

  Een derde categorie bestaat uit normen voor specifieke verwerkingen van persoonsgegevens. Die staan in hoofdstuk IX van de verordening. Daarin vinden we bepalingen inzake de verwerking van persoonsgegevens bij de uitoefening van de vrijheid van meningsuiting, inzake de verwerking van gegevens betreffende de gezondheid, in het kader van de arbeidsverhouding, inzake de verwerking van gegevens door beroepsbeoefenaren met een geheimhoudingsplicht en de verwerking van gegevens door kerken en religieuze verenigingen. Er is sprake van aanzienlijke onderlinge verschillen tussen die bepalingen, en daarmee ook voor hun effect op de bevoegdheid van de nationale wetgevers. Soms is sprake van een algemeen geformuleerde regelingsopdracht. Zo moeten lidstaten voorzien in uitzonderingen op of afwijkingen van sommige onderdelen van de verordening, waar het gaat om de verwerking van persoonsgegevens in het kader van de vrijheid van meningsuiting. Soms is sprake van een verplichting tot het vaststellen van nadere regels binnen de grenzen van de verordening. Dat is het geval bij de verwerking van gegevens betreffende de gezondheid. En soms is sprake van een bevoegdheid tot het vaststellen van nadere regels, alweer binnen de grenzen van de verordening. Dat is het geval bij de verwerking van gegevens in het kader van de arbeidsverhouding. Ook hier moet de wetgever dus de grenzen van zijn bevoegdheid goed bewaken.

  5.4 Uitzonderingen op de verordening in nationale wetgeving

  Ten slotte de vierde categorie. Die betreft de bevoegdheid van de nationale wetgever om beperkingen te stellen aan de uitoefening van bepaalde rechten. Net als de richtlijn voorziet ook de verordening in een algemene bevoegdheid voor de nationale wetgever om met het oog op bepaalde belangen bij de wet beperkingen te stellen op de algemene beginselen voor gegevensverwerking en op de rechten van de betrokkene. Die belangen zijn de openbare veiligheid en de opsporing en vervolging van strafbare feiten en enige andere algemeen geformuleerde belangen. Er zijn wel wat verschillen tussen richtlijn en verordening. Het aantal bepalingen waarop de verordening beperkingen toelaat, is aanmerkelijk groter dan bij de richtlijn. In de richtlijn ontbreekt de mogelijkheid beperkingen vast te stellen op de algemene beginselen van gegevensverwerking. Ook zijn de belangen waarnaar de nationale wetgever kan verwijzen wanneer hij beperkingen vaststelt, in de verordening op onderdelen ruimer omschreven. De verordening bevat ook beperkingen op de bevoegdheid van de nationale wetgever van algemene aard. Die doen sterk denken aan de formulering van artikel 52 van het Handvest en de beperkingssystematiek van het EVRM. En die beperkingen ontbreken in de richtlijn. De inmenging in het grondrecht die op grond van het EVRM gerechtvaardigd kan worden, heeft doorgaans een casuïstisch karakter. Van geval tot geval moet de wetgever zich rekenschap geven van die inmenging. Juist daarom is het de vraag of de verordening met eenzelfde bepaling van algemene aard zal kunnen worden geïmplementeerd als de overeenkomende bepaling uit de richtlijn.

• 6. Enkele conclusies

  Kijkend naar de inhoud van de verordening is er op het gebied van de materiële regels sprake van een combinatie van continuïteit en verandering. Veel van het geldende recht keert herkenbaar terug, maar rechten van betrokkenen krijgen een uitbreiding, en op het gebied van de verplichtingen van verantwoordelijken is sprake van een aanscherping van de normen. Het toezicht op de naleving en de sanctionering van de verordening veranderen drastisch. De gekozen methode om de verordening aan te passen aan nieuwe technische ontwikkelingen is institutioneel omstreden.

  Uit wetgevingsoogpunt verandert er veel. De vertrouwde Wbp verdwijnt en maakt plaats voor een gecompliceerd patroon van Europese hoofdregels en nationale uitwerking. Daarvoor is een omvangrijke en ingewikkelde wetgevingsoperatie nodig.

Noten

• * Deze bijdrage is op persoonlijke titel geschreven.

• 1 Voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming), COM(2012)11 def.

• 2 Voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens, COM(2012)10 def.

• 3 Mededeling van de Europese Commissie aan het Europees Parlement, de Raad, het Economisch en Sociaal Comité en het Comité van de Regio’s, ‘Privacywaarborgen in het onlinetijdperk. Een Europees gegevensbeschermingskader voor de 21e eeuw’, COM(2012)9 def.

• 4 Het betreft een impact assessment en een afzonderlijke samenvatting van dat stuk, SEC(2012)73, respectievelijk SEC(2012)72.

• 5 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG 1995, L 281).

• 6 Kaderbesluit 2008/977/JBZ van de Raad van 27 november 2008 over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (PbEU 2008, L 350).

• 7 Zie interinstitutioneel dossier 2012/0011 (COD), document TA (2014) 0212, te raadplegen via European Parliament/Legislative Observatory.

• 8 Zie in dat verband de voortgangsberichten die de staatssecretaris van Veiligheid en Justitie driemaandelijks aan beide Kamers aanbiedt. Kamerstuk 32761, 34, 44, 46, 48, 51, 54, 57, 60, 68 en 75.

• 9 Verordening (EG) 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (PbEG 2001, L 8).

• 10 PbEU 2009, L 337.

• 11 HvJ EU 13 mei 2014, C-131/12, Google Spain SL en Google Inc/AEPD en Mario Costeja Gonzalez. Zie ook Kamerstuk 32761, 65 en 72, en WP doc 225.

• 12 Opinion of the European Data Protection Supervisor on the data protection reform package, te vinden op <www.edps.europa.eu/EDPSWEB/edps/site/mySite/reform-package>. Een samenvatting in het Nederlands is te vinden in PbEU 2012, C 192. Het advies is zeer lezenswaardig, zeker voor lezers die behoefte hebben aan meer begrip van de inhoud van de verordening. De voorlichting van de Afdeling advisering van de Raad van State dateert van 28 juni 2012, nr. W03.12.0188/II, zie m.n. par. 2.3 en 2.4.

• 13 Zie nr. 50 t/m 70 van het advies (voetnoot 12).

• 14 Bijv. art. 47 AWR.