Privacyvoorwaarden voor de iOverheid

DOI: 10.5553/RM/0920055X2015030001003
Artikel

Privacyvoorwaarden voor de iOverheid

Vuistregels voor wet- en regelgevers met betrekking tot overheidsinformatiesystemen

Trefwoorden iOverheid, privacy, transparantie, EVRM, Handvest
Auteurs
DOI
Bron
Open_access_icon_oaa
  • Toon PDF
  • Toon volledige grootte
  • Auteursinformatie

    Prof. mr. G.J. Zwenne

    Prof. mr. G.J. Zwenne is hoogleraar Recht en de informatiemaatschappij aan de Universiteit Leiden, alsmede advocaat bij Bird & Bird LLP te Den Haag.

    Mr. W. Steenbruggen

    Mr. W. Steenbruggen is advocaat bij Bird & Bird LLP te Den Haag.

  • Statistiek

    Dit artikel is keer geraadpleegd.

    Dit artikel is 0 keer gedownload.

  • Citeerwijze

    Aanbevolen citeerwijze bij dit artikel

    Prof. mr. G.J. Zwenne en Mr. W. Steenbruggen, 'Privacyvoorwaarden voor de iOverheid', RegelMaat 2015-1, p. 19-36

    Download RIS Download BibTex

    • 1. Inleiding

      Overheden en wetgever hebben een groot vertrouwen in informatie- en communicatietechnologie (ICT). In het rapport over iOverheid zet de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) uiteen dat de technologie enthousiast wordt binnengehaald voor zowel de complexe administratieve opdracht van de overheid als de aanpak van urgente maatschappelijke uitdagingen, zoals terrorisme, veiligheid, mobiliteit en goede en betaalbare zorg.1xWRR, iOverheid, rapport nr. 86, Den Haag/Amsterdam 2011, p. 11, 34 en 93. Een recent voorbeeld daarvan is het voornemen om socialezekerheids- en belastingfraude aan te pakken door grootschalige gegevenskoppeling en analyse, het Systeem Risico Indicatie of SyRI.2xBesluit van 1 september 2014 tot wijziging van het Besluit SUWI in verband met regels voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens met inzet van SyRI, Stb. 2014, 320. Ook bij de grote decentralisatieoperaties, waarbij de rijksoverheid taken op het gebied van jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen overhevelt naar gemeenten, wordt vertrouwd op ICT.3xZie bijv. de zogenaamde decentralisatiebrief van Plasterk aan de Tweede Kamer van 19 februari 2013, 2013-0000108917, p. 11.

      Over dit ‘ICT-enthousiasme’ bij de overheid zijn zorgen. In dat verband is er vooral veel aandacht voor de soms spectaculaire budgetoverschrijdingen, vertragingen of mislukkingen, waarnaar de Tijdelijke Commissie ICT-projecten bij de Overheid (commissie-Elias) de afgelopen jaren onderzoek deed.4xKamerstukken II 2014/15, 33326, 5. Veel minder aandacht is er voor de faalfactoren die verband houden met de niet-naleving van juridische vereisten, meer in het bijzonder het risico dat bij overheidsprojecten onvoldoende rekening wordt gehouden met fundamentele rechten en vrijheden.

      Toch liggen, en dat is het uitgangspunt van deze bijdrage, ook daar serieus te nemen faalfactoren. We denken dan vooral aan de vereisten die voortvloeien uit het recht op bescherming van de persoonlijke levenssfeer en het daarvan te onderscheiden recht op bescherming van persoonsgegevens, zoals vastgelegd in het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) en het Handvest van de grondrechten van de Europese Unie (hierna: het Handvest). Op grond daarvan hebben de rechtscolleges in Straatsburg respectievelijk Luxemburg meer dan een handvol uitspraken gedaan, die ook betekenis hebben voor de inmiddels door de overheid opgetuigde en nog op te tuigen informatiesystemen.

      Als zodanig heeft die rechtspraak ook betekenis voor wat wel wordt aangeduid als de privacy impact assessment of PIA, zijnde het instrument waarvan de wetgever geacht wordt gebruik te maken bij de voorbereiding van wetgeving die gevolgen kan hebben voor de bescherming van de persoonlijke levenssfeer.5xKamerstukken I 2010/11, 31051, D. Een PIA is vooral een instrument om in een vroegtijdig stadium van de ontwikkeling van nieuwe producten, diensten en beleidsvoornemens de privacyrisico’s hiervan op overzichtelijke wijze in kaart te brengen – en als zodanig nuttig en waardevol – maar geeft nog geen garantie dat wordt voldaan aan de eisen van het EVRM en het Handvest, temeer omdat die steeds in ontwikkeling zijn en blijven.

      In deze bijdrage willen wij om die reden aan de hand van een aantal recente uitspraken in kaart brengen welke voor ICT-projecten van de overheid relevante vereisten onder andere kunnen worden afgeleid uit de rechtspraak van het Europees Hof voor de Rechten van Mens (hierna: EHRM of Hof) (Straatsburg) en het Hof van Justitie van de Europese Unie (hierna: HvJ EU) en zijn voorganger het Hof van Justitie (Luxemburg). Een onvoldoende naleving van dergelijke vereisten kan niet minder een faalfactor zijn dan een tekort aan ‘projectbeheersing’ of ‘projectportfoliomanagement’. Ook dat kan betekenen dat een overheidsinformatiesysteem niet, of niet volledig, in gebruik kan worden genomen, of in elk geval niet de verwachtingen ervan kan waarmaken.

      Onze selectie van de hier behandelde gerechtelijke uitspraken is mogelijk arbitrair. Wij menen evenwel dat het gaat om leidende uitspraken en zien dat bevestigd in de literatuur daarover.6xEen indicatie daarvoor is het aantal annotaties bij en verwijzingen naar de desbetreffende uitspraken. We maken niettemin het onvermijdelijke voorbehoud dat het niet onze bedoeling is om een uitputtend overzicht te geven van de relevante rechtspraak. Het is al heel wat als we zouden kunnen komen tot een aantal vuistregels aan de hand waarvan een inschatting kan worden gemaakt van de mate waarin een overheidsinformatiesysteem voldoet aan vereisten die voortvloeien uit voornoemde rechtspraak.

      Een en ander doen wij door in te gaan op drie aspecten of thema’s die voor veel van dergelijke overheidsprojecten direct of indirect relevant zijn, te weten:

      1. grootschalige gegevensopslag: de behoefte om persoonsgegevens centraal of decentraal op te slaan en beschikbaar te stellen;

      2. transparantie: het al dan niet heimelijke vastleggen van persoonsgegevens; en

      3. de beveiliging van persoonsgegevens: juridische en andere waarborgen tegen verlies of diefstal van persoonsgegevens.

    • 2. Gegevensvastlegging en -opslag

      Meten is weten. Wie wat bewaart, heeft wat. En baat het niet, dan schaadt het niet. Voor overheden maakt het voor langere tijd bewaren van zo veel mogelijk persoonsgegevens het mogelijk om uiteenlopende problemen op te lossen. Een voorbeeld biedt het biometrisch paspoort, het paspoort met daarin een computerchip waarop een aantal vingerafdrukken van de houder is vastgelegd. De overweging om vingerafdrukken op te slaan had aanvankelijk alleen betrekking op het tegengaan van vervalsingen en het voorkomen van identiteitsfraude. Maar al heel snel werd voorgesteld om vingerafdrukken ook op te slaan ter bestrijding van terrorisme en de opsporing van strafbare feiten, alsmede ter bevordering van de staatsveiligheid en identificatie van de slachtoffers van rampen, zoals die met het Herculesvliegtuig in 1996. Een en ander veronderstelde dat de administratie van de biometrische identiteitsdocumenten centraal wordt georganiseerd, wat zoveel betekende dat er een nationale databank met vingerafdrukken van alle paspoorthouders moest komen.

      Een ander voorbeeld van opslag van persoonsgegevens bieden de informatiesystemen, met bijbehorende infrastructuur, die door telecom- en internetaanbieders moesten worden aangelegd om te voldoen aan de bewaarplicht telecomgegevens (art. 13.2a van de Telecommunicatiewet). Op grond van de, inmiddels ongeldig verklaarde,7xHvJ EU 8 april 2014, C-293/12 en C-594/12 (zie ook voetnoot 15). Dataretentierichtlijn8xRichtlijn 2006/24/EU. moe(s)ten EU-lidstaten ervoor zorg dragen dat voornoemde aanbieders ten behoeve van politie en justitie, en inlichtingendiensten, een paar handenvol categorieën van telecomgegevens ten minste 6 en ten hoogste 24 maanden bewaren. Om deze gegevens beschikbaar te stellen werd, deels met financiering vanuit de overheid, een infrastructuur aangelegd waarmee de behoeftestellers van politie, justitie en inlichtingendiensten zo nodig snel en efficiënt konden beschikken over de door hen gewenste gegevens.

      2.1 Wat vinden Straatsburg en Luxemburg daarvan?

      Over het aanleggen van dergelijke databanken zijn er zowel in Straatsburg als in Luxemburg verschillende uitspraken gedaan. Van de beide rechtscolleges bespreken wij een uitspraak. Aan de hand daarvan proberen we een beter zicht te krijgen op de voorwaarden waaronder grootschalige gegevensopslag kan zijn toegestaan en wanneer niet.

      Opmerking vooraf verdient dat de meeste uitspraken over grootschalige gegevensopslag betrekking hebben op databanken die worden ingericht ten behoeve van de opsporing of vervolging van strafbare feiten of nationale veiligheid. Dat geldt ook voor de door ons besproken uitspraken. Dat betekent evenwel nog niet dat deze uitspraken niet relevant zouden zijn voor databanken die worden ingericht voor andere doeleinden, zoals bijvoorbeeld bij de grote decentralisatieoperaties, waarbij de rijksoverheid taken op het gebied van jeugdzorg, werk en inkomen en zorg aan langdurig zieken en ouderen overhevelt naar gemeenten, het geval is. Bij privacybeperkingen die door de aard of de omvang van de beperking als ernstig moeten worden beschouwd, plegen de beide hoven de nationale overheid veelal weinig beoordelingsruimte te laten en strikt te toetsen, ongeacht wat precies het doel van de beperking is.9xZie EHRM 4 december 2008, 30562/04 (S. Marper/VK), par. 102; EHRM 10 april 2007, 6339/05 (Evans/VK), par. 77; EHRM 24 april 1990, 11801/85 (Kruslin/Frankrijk), par. 33.

      EHRM 4 december 2008 (Marper/VK)10xEHRM 4 december 2008, NJ 2009/410 m.nt. EAA, NJCM-Bulletin 2009/4, p. 391-406 m.nt. M. van der Staak; E.J. Koops, ‘S. Marper tegen het Verenigd Koninkrijk’, EHRC 2009/13, p. 148-165.

      In Marper ging het om de aanleg van een databank met daarin vingerafdrukken, celmateriaal en DNA-profielen van personen die op enig moment als verdachten van strafbare feiten waren aangemerkt, maar die voor deze strafbare feiten vervolgens níét zijn veroordeeld. Het Hof moest uitmaken onder welke voorwaarden zo’n databank onder artikel 8 EVRM kan zijn toegestaan.

      Het Hof onderkende dat de opslag van de vingerafdrukken, celmateriaal en DNA-profielen een inbreuk betekent op het recht op bescherming van de persoonlijke levenssfeer van artikel 8 lid 1 EVRM (‘constitutes an interference with the right to respect for private life’).11xOverw. 86 van het arrest. Een dergelijke inbreuk kan evenwel, zo onderkent het rechtscollege, gerechtvaardigd zijn als die noodzakelijk is voor het voorkomen en opsporen van strafbare feiten. Voor de beantwoording van de vraag of de gegevensopslag voor dat doel inderdaad noodzakelijk is, maakt het Hof in het arrest gebruik van een aantal toetscriteria.

      Van belang is allereerst dat de gegevens geautomatiseerd worden verwerkt en ook dat daarbij gebruik wordt gemaakt van wat het Hof noemt ‘moderne wetenschappelijke technieken’ (‘modern scientific techniques’). Het gebruik daarvan leidt ertoe dat er sprake zal zijn van een verdergaande inbreuk dan als gebruik zou worden gemaakt van traditionele technieken. En dat betekent dus dat er meer waarborgen nodig zijn om de inbreuk aanvaardbaar te maken. Het is, zo overweegt het Hof, onaanvaardbaar dat de bescherming van de persoonlijke levenssfeer wordt verzwakt door het gebruik van dergelijke technieken, zonder dat er sprake is van een zorgvuldige belangenafweging.12xOverw. 112 van het arrest; zie ook EHRM 5 oktober 2010 (Köpke/Duitsland), waarin ook betekenis wordt toegekend aan de wellicht nog níét bekende inbreuken die het gevolg kunnen zijn van het gebruik van nieuwe technologieën (‘new, more and more sophisticated technologies’).

      Een ander toetscriterium is de aard of de gevoeligheid van de gegevens. Als het gaat om gegevens met een gevoelig karakter, zoals in de onderhavige zaak, waarin het onder andere ging om gegevens betreffende etniciteit en gezondheid, moet het bewaren ervan op zichzelf worden opgevat als een inbreuk op de persoonlijke levenssfeer van de desbetreffende individuen (‘retention perse must be regarded as interfering’).

      Verder neemt het Hof in het arrest in aanmerking dat de bevoegdheid op grond waarvan de gegevens worden opgeslagen een onbepaald en niet-onderscheidend karakter hadden (‘blanket and indiscriminate nature of the powers of retention’), aangezien er geen onderscheid werd gemaakt naar ernst van de strafbare feiten, of naar de leeftijd of minderjarigheid van de verdachte. Daarbij werden de gegevens opgeslagen voor onbepaalde tijd en waren er slechts beperkte mogelijkheden om de gegevens te laten verwijderen.13xOverw. 119 van het arrest. Het Hof stelt daarbij dat alleen al de opslag van de gegevens een direct effect heeft op de privacybelangen van de desbetreffende personen, alsmede dat er een risico is van stigmatisering omdat niet-veroordeelde personen, die aanspraak maken op de onschuldpresumptie, op eenzelfde wijze worden behandeld als veroordeelde personen.14xOverw. 122-126 van het arrest.

      Voor het Hof is dat bij elkaar voldoende om te komen tot het oordeel dat deze gegevensopslag in strijd is met het recht op eerbiediging van de persoonlijke levenssfeer van artikel 8 EVRM, en dus niet toelaatbaar.

      HvJ EU 8 april 2014 in gevoegde zaken C-293/12 en C-594/12 (Dataretentierichtlijn)15xHvJ EU 8 april 2014, C-293/12 en C-594/12; daarover: H. Hijmans, ‘De ongeldigverklaring van de Dataretentierichtlijn: een nieuwe stap in de bescherming van de grondrechten door het Hof van Justitie’, NtER 2014/7; D. Groenenberg, ‘Ongeldigverklaring van de Dataretentierichtlijn: de gevolgen voor de Nederlandse wetgeving’, P&I 2014, afl. 6, p. 244-248; G. Boogaard, M. van Emmerik, J. Uzman & W. Voermans, ‘Kroniek van het Nederlands en Europees constitutioneel recht’, NJB 2014/35, p. 2475. Zie voorts over de bewaarplicht: G-J. Zwenne & F. Simons, ‘Duitse bewaarplicht ongrondwettig. En in Nederland?’, IR 2010, afl. 3, p. 87-94 en W.A.M. Steenbruggen, ‘Annotatie bij BVerfG 2 maart 2010 (Vorratsdatenspeicherung)’, TvCR 2011, afl. 1, p. 67-77.

      Op grond van de Dataretentierichtlijn waren EU-lidstaten gehouden telecomaanbieders te verplichten om telecomverkeersgegevens16xZie art. 5 van de richtlijn. ten minste 6 en ten hoogste 24 maanden te bewaren ten behoeve van politie, justitie en inlichtingendiensten. Om aan dergelijke verplichtingen te voldoen waren telecomaanbieders genoodzaakt systemen te bouwen waarmee miljarden (!) van dergelijke telecomgegevens konden worden bewaard. In zijn uitspraak van 8 april 2014 verklaarde het HvJ EU de richtlijn ongeldig omdat deze, naar zijn oordeel, niet voldeed aan de vereisten die voortvloeien uit het recht op privacy en het recht op bescherming van persoonsgegevens (respectievelijk art. 7 en 8 Handvest), alsmede de uitingsvrijheid (art. 11 Handvest).

      Het HvJ EU begint met de vaststelling dat uit de te bewaren gegevens, in hun geheel beschouwd, zeer precieze conclusies kunnen worden getrokken over het privéleven van de personen van wie de gegevens zijn bewaard. Het gaat dan bijvoorbeeld om hun dagelijkse gewoonten, hun permanente of tijdelijke verblijfplaats, hun dagelijkse of andere verplaatsingen, de activiteiten die zij uitoefenen, hun sociale relaties en de sociale kringen waarin zij verkeren.17xOverw. 27 van het arrest. Aldus betekent de bewaarplicht ‘een zeer ruime en bijzonder zware inmenging’ in het recht op bescherming van de persoonlijke levenssfeer en het recht op bescherming van persoonsgegevens. Van belang daarbij is ook dat het feit dat de gegevens worden bewaard en later worden gebruikt zonder dat de abonnees of gebruikers hierover worden ingelicht, bij hen het gevoel kan opwekken dat hun privéleven constant in de gaten wordt gehouden.18xOverw. 37 van het arrest.

      Vervolgens toetste het HvJ EU of deze inmenging gerechtvaardigd is. Het stelt voorop dat de bestrijding van terrorisme ter handhaving van de internationale vrede en veiligheid een doel van algemeen belang van de Unie is, evenals de bestrijding van ernstige criminaliteit. In dit verband wijst het rechtscollege erop dat er niet alleen recht is op vrijheid, maar ook op veiligheid (art. 6 Handvest).19xOverw. 42 van het arrest. Echter, waar het gaat om de bewaarplicht is het HvJ EU er niet van overtuigd dat deze voldoet aan het evenredigheidsbeginsel, dat wil zeggen: of de verplichting niet verder gaat dan wat voor deze doeleinden geschikt en noodzakelijk is. Voor het HvJ EU gaat het er daarbij allereerst om dat er is voorzien in waarborgen dat de gegevens worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en elk onrechtmatig gebruik van deze gegevens. De noodzaak van dergelijke waarborgen is, stelt het HvJ EU, des te groter wanneer de persoonsgegevens, zoals is bepaald in de richtlijn, automatisch worden verwerkt en er een aanzienlijk risico bestaat dat deze gegevens op onrechtmatige wijze worden geraadpleegd.20xOverw. 54-55 van het arrest.

      Verder kent het HvJ EU betekenis toe aan het algemene, en daardoor onbepaalde, karakter van de bewaarplicht. Deze heeft betrekking op wijdverspreide communicatiemiddelen die een steeds belangrijker plaats innemen in het dagelijks leven. En daarbij is de verplichting van toepassing op gegevens van alle gebruikers van deze middelen, zonder dat onderscheid wordt gemaakt, enige beperking wordt gesteld of enige uitzondering wordt gemaakt op basis van het doel (namelijk het bestrijden van zware criminaliteit). De verplichting raakt dus ook de personen voor wie er geen enkele aanwijzing is dat hun gedrag een verband heeft met zware criminaliteit, met inbegrip van degenen die onder een beroepsgeheim vallen (advocaten, artsen, enzovoort). Ook wijst het HvJ EU erop dat de richtlijn ook niet voorziet in beperkingen op te bewaren gegevens, zoals met betrekking tot een bepaalde periode of locatie, of een kring van bepaalde personen die zijn betrokken bij zware criminaliteit.21xOverw. 57-59 van het arrest.

      In aanvulling daarop is van belang dat er evenmin in de richtlijn is voorzien in objectieve criteria ter beperking van de toegang die nationale autoriteiten kunnen hebben tot de gegevens, terwijl er evenmin is voorzien in voorafgaande controle door een rechter of onafhankelijke instantie. Verder wijst het HvJ EU erop dat er in de richtlijn voor de bewaartermijn geen onderscheid wordt gemaakt naar de categorieën van gegevens – sommige gegevens zouden, gelet op hun nut voor het nagestreefde doel, korter of langer moeten worden bewaard. Ten slotte voorziet de richtlijn er niet in dat de gegevens moeten worden bewaard op het grondgebied van de lidstaten, zodat het maar de vraag is of er goed toezicht kan worden gehouden op de naleving van regels met betrekking tot de beveiliging van de gegevens.

      Een en ander is voor het HvJ EU voldoende reden om de richtlijn, en de daarin geregelde bewaarplicht, ongeldig te verklaren.22xOp 20 november 2014 werd op <www.internetconsultatie.nl> een ontwerpwetsvoorstel bekendgemaakt waarmee de regering beoogt de door het HvJ EU genoemde gebreken van de bewaarplicht weg te nemen. Volgens velen, zie o.a. het redactioneel hoofdcommentaar van NRC Handelsblad (‘Inbreuk privacy blijft kwalijk’, NRC Handelsblad 20 november 2014, p. 2), is de regering daarin maar ten dele geslaagd.

      2.2 Vuistregels voor de grootschalige opslag van persoonsgegevens

      Het is uiteraard niet zonder risico om op basis van de besproken zaken meer algemene uitspraken te doen over de toelaatbaarheid van de opslag van persoonsgegevens in de ICT-systemen van de overheid. In deze zaken was sprake van specifieke omstandigheden, die de beide rechtscolleges in hun beoordeling hebben betrokken. Om te komen tot vuistregels moet daarvan worden geabstraheerd en dat leidt vanzelf tot de vraag of, en in hoeverre, die vuistregels wel uit deze rechtspraak kunnen worden afgeleid.

      Toch laten zich naar onze mening wel enkele vuistregels uit deze zaken afleiden, aan de hand waarvan kan worden beoordeeld in hoeverre er sprake is van een verdergaande privacyinbreuk, waarvoor om deze reden zwaardere waarborgen vereist zijn:

      • Het gebruik van geautomatiseerde middelen en/of moderne wetenschappelijke methoden duidt op een verdergaande inbreuk en vereist dus sterkere waarborgen om de opslag tot het minimum te beperken en misbruik te voorkomen.

      • Hetzelfde geldt voor het gebruik van gevoelige gegevens, zoals gegevens waaruit direct of indirect iets blijkt over etniciteit en gezondheid, politieke overtuiging, religie of het strafrechtelijk verleden.

      • Als er bij het bewaren van de gegevens geen onderscheid wordt gemaakt naar de ernst van de feiten waarop de gegevens betrekking hebben, dan duidt dat op een verdergaande inbreuk.

      • Als er bij het bewaren van de gegevens geen onderscheid wordt gemaakt naar bijvoorbeeld leeftijd of minderjarigheid, of anderszins, dan duidt ook dat op een verdergaande inbreuk.

      • Als de gegevens voor een langere of onbepaalde termijn worden bewaard, dan duidt ook dat op een verdergaande inbreuk.

      • Als degenen op wie de gegevens betrekking hebben geen of weinig inzicht en/of controle hebben op de te bewaren gegevens, dan duidt ook dat op een verdergaande inbreuk.

      • Ten slotte zijn er de persoonlijke implicaties voor het individu: welke risico’s zijn er voor degene over wie gegevens worden vastgelegd? Als er bijvoorbeeld sprake is van een risico van stigmatisering, dan betekent ook dat een verdergaande inbreuk.

      Deze vuistregels maken het mogelijk om een inschatting te maken van de ernst van de gemaakte inbreuk. Als daaruit blijkt dat er sprake is van een vergaande inbreuk, is daarmee nog niet gezegd dat de desbetreffende gegevensopslag niet is toegestaan, maar wel dat er meer, en soms veel meer, moeite zal moeten worden gedaan om aan te tonen dat de inbreuk echt nodig is en dat voldoende waarborgen zijn aangebracht om ervoor te zorgen dat de inbreuk tot een minimum wordt beperkt en dat geen misbruik kan worden gemaakt van bevoegdheden. Omgekeerd, en natuurlijk beter, kan een overheid aan de hand ervan bij het optuigen van haar informatiesystemen, in het kader van bijvoorbeeld de voorgeschreven PIA, een strategie bedenken waarmee de omvang van privacyinbreuken effectief kan worden beperkt, teneinde dat systeem ‘EVRM-proof’ of ‘Handvestbestendig’ te maken.

    • 3. (In)transparantie

      Dat brengt ons bij het tweede thema dat bij de inrichting van grootschalige overheidsinformatiesystemen van belang is, te weten transparantie. Kenmerkend voor privacyinbreuken is dat deze zich veelal aan ons gezichtsveld onttrekken. Wij laten veelal onbewust overal gegevens achter die door derden worden verzameld en verwerkt en, samen met andere persoonsgegevens, een groot inzicht geven in ons gedrag, onze communicatie en gedachten en gevoelens. Ook overheden houden zich, zonder dat we dat doorhebben, op zeer grote schaal bezig met het verzamelen en verwerken van persoonsgegevens, in uiteenlopende vormen en voor zeer verschillende doeleinden. Daarbij kan het bijvoorbeeld gaan om de registratie van persoonsgegevens in de gemeentelijke basisregistratie persoonsgegevens of de verwerking van inkomensgegevens door de fiscus. We hebben er vaak geen benul van door welke overheidsdienst en voor welke doeleinden onze persoonsgegevens worden verzameld en verwerkt, temeer omdat deze gegevens vervolgens ook nog regelmatig worden verstrekt aan andere overheidsinstanties en gebruikt voor weer andere doelen. Een actueel voorbeeld biedt de discussie over de verstrekking van kentekengegevens door de politie aan de Belastingdienst ten behoeve van bijvoorbeeld de controle of leaserijders niet ook privé gebruik maken van hun auto.23xZie bijv. <http://tweakers.net/nieuws/99183/belastingdienst-gaat-meekijken-met-politiecameras-op-snelwegen.html>.

      We kunnen nog minder overzien dat onze privacy wordt beperkt als er in het geheim wordt geobserveerd, communicatie wordt getapt of andere bijzondere opsporingsbevoegdheden worden ingezet door politie en justitie. En dat geldt in nog versterkte mate als de veiligheidsdiensten dat doen, zoals de perikelen rondom de NSA wel hebben aangetoond.

      3.1 Wat hebben Straatsburg en Luxemburg daarover gezegd?

      Zowel het EHRM in Straatsburg als het HvJ EU in Luxemburg heeft zich in verschillende uitspraken uitgelaten over de toelaatbaarheid van geheime of intransparante vastleggingen en verwerkingen van persoonsgegevens. De al besproken zaak Marper van het EHRM en het arrest van het HvJ EU inzake de Dataretentierichtlijn zijn daar voorbeelden van. Uit deze uitspraken blijkt dat dergelijke maatregelen niet per definitie verboden zijn, maar wel dienen te voldoen aan materiële en procedurele eisen, die strenger en veelomvattender worden naarmate de maatregelen meer ingrijpen op de persoonlijke levenssfeer.

      Deze eisen hebben in belangrijke mate betrekking op de voorzienbaarheid en transparantie van de gegevensverwerking. Voldoende transparantie is nodig voor een effectieve bescherming. In voorkomende gevallen moet de overheid zelfs de transparantie rondom gegevensverwerking bevorderen zonder dat daaraan een concrete privacyinbreuk door de overheid vooraf is gegaan. We bespreken van beide rechtscolleges een aantal recente uitspraken en proberen aan de hand daarvan weer enige vuistregels te formuleren.

      EHRM 1 juli 2008 (Liberty)24xEHRM 1 juli 2008, NJ 2010/324 m.nt. EJD (Liberty).

      In Liberty ging het om de grootschalige monitoring van telecommunicatieverkeer. Engeland had in de jaren negentig van de vorige eeuw aan de Engelse westkust een zogenaamde Electronic Test Facility (of: ETF), waarmee alle telecommunicatie (waaronder telefoon-, fax- en e-mailcommunicatie) van Dublin naar Londen en het Europese vasteland kon worden onderschept en gecontroleerd. Ter discussie stond of de grootschalige monitoring via deze ETF wel was voorzien van een deugdelijke wettelijke basis, nu de Secretary of State zeer brede warrants en certificates afgaf, op basis waarvan communicatie grootschalig kon worden getapt en vervolgens bijna onbeperkt kon worden onderzocht voor nationale veiligheidsdoeleinden en zonder dat er verder een minister en rechter aan te pas kwamen. Richtlijnen (zogenaamde ‘arrangements’) van de Secretary of State boden wel enige bescherming, maar deze richtlijnen waren niet publiek en er was geen mogelijkheid voor de betrokkenen om in een individueel geval te (laten) toetsen of aan de richtlijnen was voldaan.

      Het Hof had zich al voor Liberty in diverse uitspraken uitgelaten over de eisen die aan de wettelijke grondslag voor beperkingen op artikel 8 EVRM worden gesteld. Uit deze uitspraken werd duidelijk dat deze eis niet slechts een formeel criterium is. Belangrijker dan de vraag wat precies de status is van de norm waarop de beperking is gebaseerd, is of de beperking voldoet aan de kwalitatieve eisen die het EHRM uit de rule of law heeft afgeleid: ‘one of the principles underlying the Convention is the rule of law, which implies that an interference by the authorities with the individual’s rights should be subject to effective control’.25xEHRM 25 maart 1983, Series A, 61 (Silver), par. 90. Het is dan niet voldoende dat de beperking is terug te voeren op een wettelijke grondslag. De grondslag moet vooral toegankelijk zijn en de beperkende maatregel voorzienbaar.

      Naarmate een maatregel evenwel ingrijpender wordt en de inzet daarvan minder controleerbaar, wordt door het Hof aanzienlijk strikter aan deze eisen getoetst en moet de wettelijke grondslag bijvoorbeeld formeel-wettelijk van aard zijn en bovendien zeer precies aangeven wanneer en door wie een beperkende maatregel kan worden opgelegd, en daarnaast ook allerlei materiële en procedurele waarborgen bevatten om misbruik te voorkomen.26xZie bijv. EHRM 6 september 1978, Series A, 28 (Klass); EHRM 2 augustus 1984, Series A, 82 (Malone); EHRM 24 april 1994, Series A, 176A en 176B (Huvig & Kruslin).

      In Liberty trekt het Hof deze lijn door. Daarbij stelt het Hof eerst vast dat er inderdaad sprake is van een inbreuk of beperking op het privacyrecht van artikel 8 lid 1 EVRM, en gaat het vervolgens in op de vraag of die beperking voldoet aan de eisen van artikel 8 lid 2 EVRM: is de beperking ‘in accordance with the law’? De Engelse regering had in dit verband een beroep gedaan op de zaak Malone, waarin het Hof had overwogen dat ‘the detailed procedures and conditions to be observed do not necessarily have to be incorporated in rules of substantive law’. Ook had de Engelse regering betoogd dat voor strategische monitoring minder strikte voorzienbaarheidseisen zouden moeten gelden. Het Hof gaat hier niet in mee. Malone verwijst namelijk op haar beurt terug naar de zaak Silver uit 1983, waarin het Hof doorslaggevende betekenis had toegekend aan het gegeven dat de niet-wettelijke regelingen bekend waren bij de betrokkenen. Daarnaast merkt het Hof op dat de zaak Weber & Saravia uit 2006 ook ging over strategische monitoring, en dat het ook geen aanleiding ziet om andere principes te hanteren voor de toegankelijkheid van regels met betrekking tot het aftappen van individuele communicatie en meer generieke vormen van surveillance.

      Het Hof stelt voorts vast dat in casu op grond van de toepasselijke wetgeving de discretie van de autoriteiten om telecommunicatie te onderscheppen en te lezen, wel bijna onbeperkt (‘virtually unfettered’) is en dat de richtlijnen die een waarborg moeten vormen tegen misbruik, niet zijn vervat in wetgeving of anderszins aan het publiek bekend zijn gemaakt. Dat de toezichthouder in zijn jaarverslagen wel in algemene zin kon aangeven of aan de richtlijnen was voldaan, maakte dit niet goed, omdat hij niet mocht aangeven wat die richtlijnen dan wel inhielden. De procedures die gelden voor onderzoek, gebruik en opslag van onderschepte gegevens, moeten volgens het Hof zijn opgesteld in een vorm die openstaat voor het publiek.

      De Engelse regering had in dit verband nog betoogd dat bekendmaking van de richtlijnen en werkmethoden niet kon, omdat de veiligheidsdiensten dan hun werk niet meer effectief zouden kunnen doen, maar het Hof wijst erop dat in de al genoemde zaak Weber & Saravia de Duitse autoriteiten wel zeer uitvoerig hadden aangegeven hoe moet worden omgegaan met onderschepte gegevens. Ook wijst het Hof erop dat latere Engelse wetgeving wel voorziet in de bekendmaking van uitvoerige extracten uit de Code of Practice. Dat alles suggereert dat het wel degelijk mogelijk is om bepaalde details bekend te maken zonder dat daarmee gelijk de nationale veiligheid in gevaar wordt gebracht.

      De eindconclusie van het Hof is dan ook dat de nationale wetgeving niet op voldoende transparante wijze uitwerkt wat de omvang en aard van de discretie is van de overheid bij het onderscheppen en onderzoeken van communicatie. In het bijzonder is niet op voldoende toegankelijke wijze inzicht verschaft in de te hanteren procedures en waarborgen bij het onderzoek, het delen, de opslag en de vernietiging van via de ETF onderschepte gegevens. De beperking is dan ook niet ‘in accordance with the law’.

      EHRM 28 april 2009 (K.H./Slowakije)27xEHRM 28 april 2009, EHRC 2012/18 m.nt. Hendriks (K.H./Slowakije); EHRM 28 april 2009, EHRC 2009/77 m.nt. Ploem. A.C. Hendriks, ‘Kroniek rechtspraak rechten van de mens’, TvGR 2011, afl. 7, p. 630.

      Transparantie is niet alleen van belang om de burger inzicht te geven in de mogelijkheid van geheime vastlegging, de wijze van verwerking en waarborgen, maar bovendien om hem in staat te stellen te zien of voor hem relevante gegevens worden verwerkt. Inzage in dossiers is voor de burger vaak een noodzakelijke voorwaarde om vast te stellen of zijn rechten zijn beperkt, bijvoorbeeld omdat zijn communicatie is getapt, of juist om informatie te krijgen die voor hem noodzakelijk is om zijn rechten daadwerkelijk uit te oefenen. Het is dan ook niet voor niets dat artikel 8 lid 2 van het Handvest bepaalt dat ‘eenieder recht op toegang heeft tot de over hem verzamelde gegevens en op rectificatie daarvan’.

      Ook het Hof in Straatsburg heeft zich in verschillende zaken uitgelaten over de vraag of en wanneer de overheid de burger op grond van artikel 8 EVRM toegang moet geven tot voor hem relevante informatie waarover de overheid beschikt. Dat is niet per definitie het geval. Indien het bijvoorbeeld de nationale veiligheid of terrorismebestrijding betreft, kan de overheid (tijdelijk) weigeren om de burger inzage te verlenen in zijn dossier.28xZie bijv. EHRM 26 maart 1987, Series A, 1 16 (Leander/Zweden); EHRM 6 juni 2006, RJ&D 2006-VII (Segerstedt-Wiberg/Zweden). In de meeste andere gevallen moet de overheid hem evenwel wel degelijk actief toegang geven tot zijn dossier, of hem tenminste in staat stellen een weigering voor te leggen aan een onafhankelijke toetsingsinstantie.29xZie bijv. EHRM 7 juli 1989, NJ 1991/659 m.nt. EJD (Gaskin); EHRM 19 februari 1998, NJ 1999/690 (Guerra) en EHRM 9 juni 1998, RJ&D 1998-III (McGinley & Egan/VK). In die gevallen zal via wetgeving dus moeten zijn voorzien in effectieve inzageprocedures.

      Een recente zaak uit Straatsburg is K.H./Slowakije. In deze zaak ging het erom of en in welke vorm inzage moest worden verleend in medische dossiers. Klaagsters waren tijdens hun zwangerschap en bevalling behandeld in het ziekenhuis. Nadien lukte het niet meer om zwanger te worden. Zij machtigden hun advocaten om hun medische dossiers in te zien. De ziekenhuizen weigerden echter de gevraagde inzage te verlenen en de nationale rechter oordeelde dat de ziekenhuizen klagers niet in staat hoefden te stellen kopieën te maken en dat dit ook niet voortvloeide uit artikel 8 EVRM. Het Hof stond dus voor de vraag of uit artikel 8 EVRM inzagerechten voortvloeiden en hoever die strekten.

      Het Hof stelt bij zijn beoordeling voorop dat naast onthoudingsplichten artikel 8 EVRM ook positieve verplichtingen met zich mee kan brengen. Of dat het geval is, moet volgens vaste rechtspraak worden bepaald op basis van een afweging tussen de belangen van de gemeenschap en de belangen van de individuele burger (de zogenaamde ‘fair balance’-test). Het Hof wijst er vervolgens op dat het al in verschillende zaken heeft aangenomen dat artikel 8 EVRM positieve verplichtingen kan meebrengen ten aanzien van de inzage van informatie.

      De vraag is vervolgens of deze positieve verplichtingen met zich meebrengen dat ook een kopie van het dossier moet worden verstrekt. Dat is volgens het Hof in deze zaak het geval. Dat betekent overigens niet dat zonder meer en gratis kopieën aan de betrokkene moeten worden verstrekt. Maar de overheid kan niet simpelweg een verzoek afwijzen omdat de betrokkene niet voldoende heeft aangetoond dat hij een kopie nodig heeft. Het is aan de overheid aan te tonen dat er zwaarwegende redenen (‘compelling reasons’) zijn om niet aan een dergelijk verzoek te voldoen.

      Aan deze bewijslast heeft de Slowaakse overheid in deze zaak niet voldaan. In het bijzonder ziet het Hof niet in dat de betrokkene misbruik zou kunnen maken door de relevante documenten te kopiëren, zoals door de nationale autoriteiten betoogd. Het ging immers om documenten over henzelf. En voor zover er sprake zou kunnen zijn van misbruik door derden, zou dit volgens het Hof ook op een andere manier kunnen worden voorkomen, bijvoorbeeld door in het nationale recht passende waarborgen op te nemen en de verdere verspreiding van de informatie aan strikte beperkingen te onderwerpen. De conclusie is dan ook dat artikel 8 EVRM is geschonden.

      HvJ EU 17 juli 2014 (Y.S./Minister IIA en Minister IIA/M. en S.)30xHvJ EU 17 juli 2014, zaken C-141/12 en C-372/12, AB 2014/365 m.nt. M. van Graafeiland (Y.S./Minister IIA en Minister IIA/M. en S.); F. Borgesius & E. Brouwer, ‘Inzage in de minuten van de asielzoekprocedure: persoonsgegevens of geen persoonsgegevens?’, A&MR 2014/7; M. Jansen, ‘Arrest HvJEU inzake begrip persoonsgegevens en karakter inzagerecht’, P&I 2014, afl. 5, p. 200-206.

      Uit K.H./Slowakije blijkt dus dat de inzageverplichtingen van de overheid onder omstandigheden ver kunnen gaan. Om daaraan uitvoering te geven zal de nationale overheid passende wetgeving moeten opstellen. Hoever zij daarin moet gaan, is evenwel niet geheel duidelijk en hangt van de omstandigheden van het geval af. Duidelijk lijkt wel dat het EHRM en het HvJ EU niet helemaal op één lijn zitten voor wat betreft de inhoud en reikwijdte van de inzagerechten van betrokkenen. Dat lijkt in ieder geval de conclusie te moeten zijn op grond van de recente uitspraak van het HvJ EU in de zaken Y.S./Minister Immigratie, Integratie en Asiel en Minister Immigratie, Integratie en Asiel/M. en S. In deze zaken moest het HvJ EU zich naar aanleiding van prejudiciële vragen uitlaten over het begrip persoonsgegevens en de reikwijdte van het inzagerecht op grond van artikel 12 van de Privacyrichtlijn.31xRichtlijn 95/46/EG.

      In beide zaken ging het erom dat asielzoekers inzage wilden krijgen in de juridische analyse die is gebruikt bij de voorbereiding op de uiteindelijke beslissing in hun asielprocedure. Zij verzochten daarom met een beroep op het inzagerecht uit artikel 35 van de Wet bescherming persoonsgegevens (Wbp), de nationale implementatie van artikel 12 van de Privacyrichtlijn, een afschrift van de minuut van de beslissing waarin die juridische analyse was neergelegd.

      Het HvJ EU beantwoordt in zijn arrest allereerst de vraag of een juridische analyse beschouwd moet worden als een persoonsgegeven. Het HvJ EU overweegt hierover als volgt: ‘De juridische analyse in een minuut kan daarentegen persoonsgegevens bevatten, maar vormt op zich niet een dergelijk gegeven in de zin van artikel 2, sub, van richtlijn 95/46.’32xOverw. 39 van het arrest. De minuut bevat volgens het HvJ EU namelijk geen ‘informatie over de aanvrager van de verblijfstitel, maar hooguit, voor zover die analyse niet beperkt blijft tot een zuiver abstracte uitlegging van het recht, informatie over de beoordeling en toepassing van dat recht door de bevoegde autoriteit op de situatie van de aanvrager, waarbij die situatie met name wordt vastgesteld middels de hem betreffende persoonsgegevens waarover die autoriteit beschikt’.33xOverw. 40 van het arrest.

      Vervolgens beantwoordt het HvJ EU de vragen over de precieze inhoud en reikwijdte van het inzagerecht, meer specifiek of de betrokkene recht heeft op afschrift van bescheiden of niet. Het HvJ EU benadrukt daarbij allereerst – onder verwijzing naar zijn bestendige lijn – dat de Privacyrichtlijn moet worden uitgelegd tegen de achtergrond van de grondrechten,34xOverw. 54 van het arrest. maar merkt vervolgens op dat het in artikel 8 lid 2 van het Handvest vermelde inzagerecht is uitgewerkt in artikel 12 onderdeel a van de Privacyrichtlijn.35xOverw. 55 van het arrest.

      De Privacyrichtlijn laat het over aan de lidstaten om te bepalen op welke concrete wijze uitvoering wordt gegeven aan het inzagerecht, mits de verstrekte gegevens ‘begrijpelijk’ zijn en de betrokkene in staat stellen kennis te nemen van die gegevens, deze te controleren en te verifiëren of deze in overeenstemming met de richtlijn worden verwerkt.36xOverw. 57 van het arrest. Hieruit blijkt volgens het HvJ EU dat de betrokkene aan de Privacyrichtlijn dus geen recht op afschrift van bescheiden kan ontlenen, mits maar in andere vorm volledig aan voornoemde doelstellingen kan worden voldaan.37xOverw. 58 van het arrest. Het volstaat dan ook dat ‘aan de aanvrager van de verblijfstitel een volledig overzicht, in begrijpelijke vorm, van al deze gegevens wordt gegeven, dat wil zeggen in een vorm die deze aanvrager in staat stelt kennis te nemen van die gegevens en te controleren of ze juist zijn en zijn verwerkt in overeenstemming met deze richtlijn, omdat hij eventueel de hem bij de artikelen 12, sub b en c, 14, 22 en 23 van die richtlijn verleende rechten kan uitoefenen’.38xOverw. 59 van het arrest. Met andere woorden, in deze zaken hoeft dus geen kopie van (stukken uit) het dossier te worden verstrekt.

      3.2 Vuistregels voor de vereiste transparantie

      Uit de besproken zaken blijkt dat bij gegevensverwerking transparantie een belangrijke rol speelt. De (in)transparantie van de gegevensverwerking speelt niet alleen een rol bij de vraag of de beperking van de privacy voorzienbaar is, maar bovendien bij de vraag of deze proportioneel is. In voorkomende gevallen zal het recht op privacy met zich meebrengen dat de overheid actief informatie over de verwerking van persoonsgegevens moet verstrekken en inzagemogelijkheden moet bieden, ook zonder dat sprake is van een concrete privacyinbreuk. We komen mede aan de hand van de genoemde uitspraken tot de volgende vuistregels:

      • Naarmate de verwerking van de persoonsgegevens zich meer aan het zicht van de burger onttrekt, worden strengere eisen gesteld aan de wettelijke grondslag en zal in de wet verder moeten worden uitgewerkt wie onder welke voorwaarden toegang heeft tot de gegevens, wanneer de gegevens moeten worden vernietigd, en zal de wet moeten voorzien in een effectieve vorm van toetsing door een onafhankelijke instantie.

      • De overheid moet effectieve mogelijkheden tot inzage in de verwerking van persoonsgegevens verschaffen. Soms is voldoende dat een weigering van een verzoek tot inzage kan worden voorgelegd aan een onafhankelijke instantie, maar naarmate de gegevens of verwerking privacygevoeliger van aard zijn, moet de overheid ook eerder daadwerkelijk inzage geven in de verwerking van gegevens, in voorkomende gevallen door verstrekking van een afschrift van het volledige dossier.

    • 4. Beveiliging

      De veiligheid van onze ICT-infrastructuur en de informatie daarop is verre van gegarandeerd. Dat geldt niet alleen voor de netwerken en diensten van private partijen, ook de beveiliging van de overheids-IT-infrastructuur laat nogal eens te wensen over. Dat bleek nadrukkelijk in de zaak DigiNotar.39xZie Rb. Rotterdam 16 mei 2013, ECLI:NL:RBROT:2013:CA1010 (DigiNotar). DigiNotar staat evenwel niet op zichzelf. Er gaat tegenwoordig bijna geen dag voorbij zonder dat er weer een beveiligingsincident bekend wordt.40xVgl. het inmiddels afgesloten Zwartboek Datalekken van Bits of Freedom, zie <www.bof.nl>.

      Dit roept de vraag op of de overheid, indien zij overgaat tot de grootschalige opslag en verwerking van persoonsgegevens, niet ook vanuit grondrechtelijk oogpunt moet waarborgen dat deze goed beveiligd zijn, temeer nu er zonder een deugdelijke IT-beveiliging bijna geen sprake meer kan zijn van een effectieve privacybescherming.

      4.1 Wat vinden Straatsburg en Luxemburg ervan?

      Er is nog niet veel jurisprudentie uit Straatsburg of Luxemburg waaruit zich heldere lijnen laten trekken voor wat betreft de beveiliging van informatiesystemen. Er is wel rechtspraak waaruit valt op te maken dat de overheid actief voorzorgsmaatregelen moet nemen tegen kennisname van persoonsgegevens door derden om de privacy van betrokkenen te beschermen, zeker indien de overheid degene is die de persoonsgegevens onder zich heeft.

      Het arrest van het HvJ EU over de Dataretentierichtlijn bespraken wij hierboven al. Daaruit bleek onder meer dat de (dis)proportionaliteit van de bewaarplicht mede werd bepaald door het ontbreken in de richtlijn van waarborgen dat de gegevens worden beschermd tegen het risico van misbruik en tegen elke onrechtmatige raadpleging en onrechtmatig gebruik van deze gegevens. Het HvJ EU zegt zelfs expliciet: ‘De noodzaak om over dergelijke garanties te beschikken is des te groter wanneer de persoonsgegevens, (…) automatisch worden verwerkt en er een aanzienlijk risico bestaat dat deze gegevens op onrechtmatige wijze zullen worden geraadpleegd.’41xZie overw. 55 van het arrest.

      Het Hof in Straatsburg heeft vergelijkbare zaken gewezen. Hierboven werden reeds de zaken Liberty en Weber & Saravia genoemd. En in het arrest over de Dataretentierichtlijn verwijst het HvJ EU naar de ook besproken zaak Marper. Uit deze zaken blijkt dat de wettelijke regeling op grond waarvan de overheid de bevoegdheid heeft op grote schaal gegevens te verwerken, kenbaar moet voorzien in een aantal minimumwaarborgen om misbruik te voorkomen en effectieve rechtsbescherming te waarborgen. Deze waarborgen hebben mede betrekking op procedures bij de verdere verwerking van de verzamelde gegevens, voorzorgsmaatregelen die in acht moeten worden genomen bij het doorgeven van de gegevens, en het wissen of vernietigen van de gegevens nadat ze niet meer nodig zijn. Bij deze waarborgen zou goed passen dat vooraf een PIA wordt verricht om de privacyrisico’s in kaart te brengen, maar vooralsnog wordt een PIA nog niet door het Hof in Straatsburg vereist.

      Duidelijk is wel dat enkel het wettelijk voorschrijven van een adequate beveiliging waarschijnlijk niet voldoende is. Ook hier zal veelal enige concretisering nodig zijn om de burger een beeld te geven van wat hij kan verwachten. Uit de zaak Craxi II42xEHRM 17 juli 2003 (Craxi II), <www.echr.coe.int>. volgt ook dat de wettelijke waarborgen niet slechts van papier mogen zijn, maar moeten leiden tot een daadwerkelijke en effectieve bescherming. De overheid moet ook echt passende maatregelen nemen om ervoor te zorgen dat vertrouwelijke gegevens niet aan derden bekend worden. Dat betekende in die zaak dat een datalek onderzocht moest worden en waar mogelijk de schuldigen bestraft. In die lijn past dat de betrokkene van een dergelijk lek op de hoogte wordt gesteld indien daarmee mogelijk aanzienlijke schade aan zijn persoonlijke levenssfeer kan worden voorkomen. Dergelijke maatregelen zullen in de regel enige wettelijke inbedding vereisen. In Nederland is in de Telecommunicatiewet overigens al een dergelijke meldplicht opgenomen voor aanbieders van openbare elektronische communicatienetwerken en -diensten en wordt een brede meldplicht datalekken voorzien in de Wbp.43xWetsvoorstel brede meldplicht datalekken, Kamerstukken II 2014/15, 33662, 9.

      Wij bespreken hierna in aansluiting op de genoemde zaken nog kort een vrij recente zaak van het Hof in Straatsburg over informatiebeveiliging van een medische databank en formuleren aansluitend een paar vuistregels voor de beveiliging van overheidsinformatiesystemen.

      EHRM 17 juli 2008 (I./Finland)44xEHRM 17 juli 2008, EHRC 2008/124 m.nt. Forder (I./Finland).

      In deze zaak stond ter discussie of Finland had voldaan aan zijn positieve verplichtingen op grond van artikel 8 EVRM om de privacy te waarborgen door middel van regels voor de verwerking van persoonsgegevens. Klaagster I. werkte als verpleegster in een openbaar ziekenhuis en was bij hetzelfde ziekenhuis onder behandeling, omdat ze was gediagnosticeerd als hiv-positief. I. had het vermoeden dat collega’s in haar medisch dossier hadden gekeken en dat het ziekenhuis dus niet had voorzien in adequate waarborgen tegen onbevoegde toegang. Ze sprak het ziekenhuis daarop aan, maar kreeg bij de nationale rechter nul op het rekest, omdat ze niet kon bewijzen dat haar collega’s daadwerkelijk haar dossier hadden ingezien.

      Het Hof moest dus beoordelen of Finland zijn positieve verplichting had geschonden om het privéleven te beschermen door middel van regels voor de verwerking van persoonsgegevens.

      Dat een dergelijke verplichting bestaat, staat voor het Hof eigenlijk niet ter discussie. Het stelt in dat verband vast dat bescherming van persoonsgegevens, in het bijzonder van medische gegevens, van fundamenteel belang is voor het genot van de burger van zijn recht op privacy. Het respecteren van de vertrouwelijkheid van medische gegevens is bovendien een vitaal principe in het recht van alle verdragsstaten. Het nationale recht moet dan ook voorzien in passende waarborgen om de communicatie of bekendmaking van medische persoonsgegevens te voorkomen.

      De Finse wetgeving voorzag overigens in regels voor de bescherming van gevoelige persoonsgegevens. Op grond daarvan moest de verantwoordelijke er bijvoorbeeld voor zorgen dat persoonsgegevens op passende wijze beveiligd waren tegen onder meer onbevoegde toegang. Ook moest de verantwoordelijke ervoor zorgen dat slechts het behandelend personeel toegang had tot het medisch dossier van de patiënt.

      Toch was het bestaan van deze regels in deze zaak voor het EHRM niet voldoende voor compliance met artikel 8 EVRM. In casu liet de implementatie ervan namelijk te wensen over. Het gebruik van de medische gegevens kon achteraf niet goed worden gecontroleerd, omdat telkens alleen de laatste vijf opvragingen waren geregistreerd en deze informatie werd gewist nadat het dossier terug naar het archief was gestuurd. Als gevolg daarvan konden de nationale rechters niet vaststellen of er informatie van klaagster door onbevoegden was ingezien en werd dus haar vordering afgewezen, omdat dit niet door haar was bewezen.

      Het Hof is van mening dat de bewijslast niet bij klaagster had mogen worden gelegd. ‘What is required in this connection is practical and effective protection to exclude any possibility of unauthorised access occurring in the first place. Such protection was not given here.’ Het Hof concludeert dan ook dat artikel 8 EVRM is geschonden.

      4.2 Vuistregels voor beveiligingsvereisten

      Mede aan de hand van bovenstaande zaken kunnen de volgende vuistregels voor de IT-beveiliging worden geformuleerd, die mede door de wetgever moeten worden geadresseerd bij de inrichting van de wettelijke basis voor een specifiek overheidsinformatiesysteem:

      • Informatiesystemen moeten worden beveiligd en dit betekent in elk geval dat voorschriften moeten worden opgesteld om ervoor te zorgen dat alleen bevoegde personen toegang hebben tot de persoonsgegevens.

      • Naarmate de gegevens een gevoeliger karakter hebben en naarmate de implicaties van beveiligingsinbreuken ernstiger kunnen zijn, geldt een verdergaande beveiligingsplicht en dient de overheid ook te zorgen voor technische en organisatorische maatregelen om de vertrouwelijkheid, integriteit en authenticiteit van de gegevens te waarborgen; in dat verband moet in elk geval voor langere tijd worden vastgelegd wie kennis hebben genomen van de gegevens en aan wie gegevens zijn verstrekt (zogenaamde logfile-verplichting).

      • Maatregelen moeten worden genomen om bij beveiligingsincidenten schade voor de betrokkene zo veel mogelijk te beperken en indien nodig de verantwoordelijke personen te kunnen bestraffen.

    • 5. Afsluitend

      Fundamentele rechten en vrijheden stellen grenzen en voorwaarden aan de iOverheid. Het is een open deur. Maar wel een die, zo wijst de praktijk uit, zo nu en dan moet worden opengetrapt. Overheden en wetgevers doen er, juist omdat er bij hen sprake is van een onverminderd groot vertrouwen in ICT, verstandig aan om nadrukkelijk rekening te houden met de bescherming van fundamentele rechten en vrijheden, waaronder privacyrechten.

      Dat gaat verder dan de obligate paragrafen in de memorie van toelichting van een wetsvoorstel dat ten grondslag ligt aan een of ander privacybeperkend overheidsinformatiesysteem. Dit natuurlijk in de eerste plaats omdat we juist van overheden en wetgevers mogen verwachten dat zij instaan voor deze rechten. Maar als dat niet voldoende reden zou zijn, dan toch ook omdat een onvoldoende naleving van dergelijke vereisten kan betekenen dat een kostbaar informatiesysteem niet (volledig) in gebruik kan worden genomen, of in elk geval niet de verwachtingen ervan kan waarmaken.

      In deze bijdrage hebben we geprobeerd inzichtelijk te maken hoe vooral de bescherming van privacyrechten als slagingsfactor kan en moet worden betrokken bij de bouw van ICT-systemen en de aanleg van grootschalige databanken. Het ligt voor de hand dit te doen bij de toepassing van het instrument van de PIA. Daarmee kunnen in een vroeg stadium van de ontwikkeling van beleidsvoornemens de risico’s in relatie tot de bescherming van de persoonsgegevens in kaart worden gebracht. Voor de rijksoverheid is inmiddels een PIA-toetsmodel ontwikkeld. Dat is een goed begin, maar niet meer dan dat. Waar het om gaat, is dat op basis van die inventarisatie vervolgens adequate juridische en andere maatregelen worden genomen, en zo nodig ook worden aangepast, om nieuwe risico’s te adresseren die later nog kunnen opkomen. Immers, de technologie is dynamisch en dat betekent dat de effectiviteit van de genomen maatregelen steeds moet worden heroverwogen in wat wordt aangeduid ‘the lights of present-day conditions’.45xEHRM 25 april 1978, Series A, 26 (Tyrer). De adequate bescherming van privacyrechten is en blijft daarom voorwerp van aanhoudende zorg.

    Noten

    • 1 WRR, iOverheid, rapport nr. 86, Den Haag/Amsterdam 2011, p. 11, 34 en 93.

    • 2 Besluit van 1 september 2014 tot wijziging van het Besluit SUWI in verband met regels voor fraudeaanpak door gegevensuitwisselingen en het effectief gebruik van binnen de overheid bekend zijnde gegevens met inzet van SyRI, Stb. 2014, 320.

    • 3 Zie bijv. de zogenaamde decentralisatiebrief van Plasterk aan de Tweede Kamer van 19 februari 2013, 2013-0000108917, p. 11.

    • 4 Kamerstukken II 2014/15, 33326, 5.

    • 5 Kamerstukken I 2010/11, 31051, D.

    • 6 Een indicatie daarvoor is het aantal annotaties bij en verwijzingen naar de desbetreffende uitspraken.

    • 7 HvJ EU 8 april 2014, C-293/12 en C-594/12 (zie ook voetnoot 15).

    • 8 Richtlijn 2006/24/EU.

    • 9 Zie EHRM 4 december 2008, 30562/04 (S. Marper/VK), par. 102; EHRM 10 april 2007, 6339/05 (Evans/VK), par. 77; EHRM 24 april 1990, 11801/85 (Kruslin/Frankrijk), par. 33.

    • 10 EHRM 4 december 2008, NJ 2009/410 m.nt. EAA, NJCM-Bulletin 2009/4, p. 391-406 m.nt. M. van der Staak; E.J. Koops, ‘S. Marper tegen het Verenigd Koninkrijk’, EHRC 2009/13, p. 148-165.

    • 11 Overw. 86 van het arrest.

    • 12 Overw. 112 van het arrest; zie ook EHRM 5 oktober 2010 (Köpke/Duitsland), waarin ook betekenis wordt toegekend aan de wellicht nog níét bekende inbreuken die het gevolg kunnen zijn van het gebruik van nieuwe technologieën (‘new, more and more sophisticated technologies’).

    • 13 Overw. 119 van het arrest.

    • 14 Overw. 122-126 van het arrest.

    • 15 HvJ EU 8 april 2014, C-293/12 en C-594/12; daarover: H. Hijmans, ‘De ongeldigverklaring van de Dataretentierichtlijn: een nieuwe stap in de bescherming van de grondrechten door het Hof van Justitie’, NtER 2014/7; D. Groenenberg, ‘Ongeldigverklaring van de Dataretentierichtlijn: de gevolgen voor de Nederlandse wetgeving’, P&I 2014, afl. 6, p. 244-248; G. Boogaard, M. van Emmerik, J. Uzman & W. Voermans, ‘Kroniek van het Nederlands en Europees constitutioneel recht’, NJB 2014/35, p. 2475. Zie voorts over de bewaarplicht: G-J. Zwenne & F. Simons, ‘Duitse bewaarplicht ongrondwettig. En in Nederland?’, IR 2010, afl. 3, p. 87-94 en W.A.M. Steenbruggen, ‘Annotatie bij BVerfG 2 maart 2010 (Vorratsdatenspeicherung)’, TvCR 2011, afl. 1, p. 67-77.

    • 16 Zie art. 5 van de richtlijn.

    • 17 Overw. 27 van het arrest.

    • 18 Overw. 37 van het arrest.

    • 19 Overw. 42 van het arrest.

    • 20 Overw. 54-55 van het arrest.

    • 21 Overw. 57-59 van het arrest.

    • 22 Op 20 november 2014 werd op <www.internetconsultatie.nl> een ontwerpwetsvoorstel bekendgemaakt waarmee de regering beoogt de door het HvJ EU genoemde gebreken van de bewaarplicht weg te nemen. Volgens velen, zie o.a. het redactioneel hoofdcommentaar van NRC Handelsblad (‘Inbreuk privacy blijft kwalijk’, NRC Handelsblad 20 november 2014, p. 2), is de regering daarin maar ten dele geslaagd.

    • 23 Zie bijv. <http://tweakers.net/nieuws/99183/belastingdienst-gaat-meekijken-met-politiecameras-op-snelwegen.html>.

    • 24 EHRM 1 juli 2008, NJ 2010/324 m.nt. EJD (Liberty).

    • 25 EHRM 25 maart 1983, Series A, 61 (Silver), par. 90.

    • 26 Zie bijv. EHRM 6 september 1978, Series A, 28 (Klass); EHRM 2 augustus 1984, Series A, 82 (Malone); EHRM 24 april 1994, Series A, 176A en 176B (Huvig & Kruslin).

    • 27 EHRM 28 april 2009, EHRC 2012/18 m.nt. Hendriks (K.H./Slowakije); EHRM 28 april 2009, EHRC 2009/77 m.nt. Ploem. A.C. Hendriks, ‘Kroniek rechtspraak rechten van de mens’, TvGR 2011, afl. 7, p. 630.

    • 28 Zie bijv. EHRM 26 maart 1987, Series A, 1 16 (Leander/Zweden); EHRM 6 juni 2006, RJ&D 2006-VII (Segerstedt-Wiberg/Zweden).

    • 29 Zie bijv. EHRM 7 juli 1989, NJ 1991/659 m.nt. EJD (Gaskin); EHRM 19 februari 1998, NJ 1999/690 (Guerra) en EHRM 9 juni 1998, RJ&D 1998-III (McGinley & Egan/VK).

    • 30 HvJ EU 17 juli 2014, zaken C-141/12 en C-372/12, AB 2014/365 m.nt. M. van Graafeiland (Y.S./Minister IIA en Minister IIA/M. en S.); F. Borgesius & E. Brouwer, ‘Inzage in de minuten van de asielzoekprocedure: persoonsgegevens of geen persoonsgegevens?’, A&MR 2014/7; M. Jansen, ‘Arrest HvJEU inzake begrip persoonsgegevens en karakter inzagerecht’, P&I 2014, afl. 5, p. 200-206.

    • 31 Richtlijn 95/46/EG.

    • 32 Overw. 39 van het arrest.

    • 33 Overw. 40 van het arrest.

    • 34 Overw. 54 van het arrest.

    • 35 Overw. 55 van het arrest.

    • 36 Overw. 57 van het arrest.

    • 37 Overw. 58 van het arrest.

    • 38 Overw. 59 van het arrest.

    • 39 Zie Rb. Rotterdam 16 mei 2013, ECLI:NL:RBROT:2013:CA1010 (DigiNotar).

    • 40 Vgl. het inmiddels afgesloten Zwartboek Datalekken van Bits of Freedom, zie <www.bof.nl>.

    • 41 Zie overw. 55 van het arrest.

    • 42 EHRM 17 juli 2003 (Craxi II), <www.echr.coe.int>.

    • 43 Wetsvoorstel brede meldplicht datalekken, Kamerstukken II 2014/15, 33662, 9.

    • 44 EHRM 17 juli 2008, EHRC 2008/124 m.nt. Forder (I./Finland).

    • 45 EHRM 25 april 1978, Series A, 26 (Tyrer).

Reageer

Tekst