Apr 292009
 

Over de reikwijdte van de Wet bescherming persoonsgegevens werd vorig jaar in het tijdschrift Computerrecht gediscussieerd door Moerel (De Brauw) en Fontein Bijnsdorp (CBP). ‘t Ging om de uitleg van artikel 4 van de wet. Ofwel wat wordt bedoeld met de bepaling dat de wet van toepassing is op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. 

Op verzoek van het tijdschrift Privacy & Informatie schreef ik met kantoorgenoot Chris Erents een bijdrage aan deze discussie. Een pdf van deze bijdrage, die wordt aangemerkt als wetenschappelijk artikel (!), kan hier worden gedownload. Een html-versie staat hieronder.


Reikwijdte Wbp: enige opmerkingen over de uitleg van artikel 4, eerste lid, Wbp

Gerrit-Jan Zwenne en Chris Erents[1]

Het is niet altijd duidelijk waarop en wanneer de Wet bescherming persoons­ge­ge­vens van toepassing is. Zo is er nog steeds veel discussie over de territoriale werking van de wet. Of­wel hoe artikel 4, eerste lid, ervan moet worden uitgelegd en toegepast. Onlangs bleek dat het College bescherming persoonsgegevens uitgaat van een beperkte uitleg – dit in afwijking van wat algemeen leek te worden aangenomen. In deze bijdrage gaan wij nader in op deze discussie en plaatsen wij deze in een breder kader.

§1 Inleiding: discussie over de territoriale werking van de Wbp

In een artikel in het tijdschrift Computerrecht werd medio vorig jaar een aanzet gedaan voor een discussie over de territoriale werking van de Wet bescherming persoonsgegevens (Wbp).[2] In een uitvoerig betoog zet Moerel uiteen hoe het desbetreffende artikel 4, eerste lid, van de wet door College bescherming persoonsgegevens (CBP) wordt uitgelegd, en hoe het volgens haar zou moeten worden uitgelegd. De kern van haar betoog is dat de tekst van deze bepaling ruimte laat voor zowel een beperkte als een ruimere uitleg. Vervolgens wijst de auteur erop dat de toezichthouder om hem moverende redenen heeft gekozen voor een beperkte uitleg, te weten: een uitleg waarin de wet alleen van toepassing is als een verantwoordelijke zelf is gevestigd in Nederland en dus niet als er slechts sprake is van een vestiging van de verantwoordelijke in Nederland. Deze uitleg strookt niet, zo zet de auteur uiteen, met de bedoeling van gemeenschapswetgever met de privacyrichtlijn.[3] En daardoor geeft deze uitleg aanleiding tot verwarring bij (vooral) het internationale bedrijfsleven. Ook stelt zij dat de uitleg lacunes doet ontstaan in de bescherming van persoonsgegevens.

Vervolgens gebeurde er iets verrassends. In een uitgebreide reactie op het betoog van Moerel verklaart CBP-medewerkster Fontein-Bijnsdorp dat de toezichthouder inderdaad uitgaat van voornoemde beperkte uitleg van artikel 4, eerste lid, Wbp.[4] Ook zet zij uiteen waarom de toezichthouder dit doet. Dit is om verschillende redenen opmerkelijk. Allereerst omdat deze uitleg lijkt af te wijken van hoe daarover door veel andere auteurs wordt gedacht. Verder omdat Fontein-Bijnsdorp in haar reactie niet, zoals wel gebruikelijk, het voorbehoud maakt dat de tekst ‘op persoonlijke titel’ is geschreven. Op grond hiervan mogen wij er daarom wellicht vanuit gaan dat het gaat om een onorthodoxe bekendmaking van een beleidsopvatting van het CBP – iets wat doorgaans gebeurt via besluiten en beleidsregels, al dan niet gepubliceerd in de Staatscourant.

In een naschrift op deze reactie van het CBP geeft Moerel een uitgebreide nadere onderbouwing van haar betoog.[5] Daarbij verwijst zij met name naar de totstandkomingsgeschiedenis van de privacyrichtlijn en enige stukken van de zgn. Artikel 29 werkgroep.

Deze discussie leent zich voor een nadere analyse, en niet alleen omdat het raakt aan de fundamenten (of zoals Moerel het zegt: de ‘basics’) van de wet en de bescherming die deze biedt. Van belang is deze discussie ook omdat deze gaat over hoe ver een toezichthouder kan gaan bij het uitleggen van de wet en welke betekenis daaraan moet worden gehecht. In onze bijdrage plaatsen wij deze discussie, waarvoor wij verwijzen naar de desbetreffende bijdragen in voornoemd tijdschrift, in een breder kader en gaan wij na hoe daarover door verschillende stakeholders wordt gedacht. Wij beginnen met een korte uiteenzetting van artikel 4, eerste lid, Wbp en hoe dit artikel wordt uitgelegd (§2) Van belang daarbij is dat onderscheid wordt gemaakt tussen enerzijds de meer feitelijke vraag; welke interpretatie heeft de gemeenschapswetgever werkelijk op het oog gehad en anderzijds de meer normatieve vraag welke uitleg het meest de rechtsbescherming bevordert en het goed functioneren van de interne markt. Vervolgens gaan wij in op de vraag in hoeverre er, gelet de uitleg die wordt gegeven aan het artikel, sprake is van een probleem met betrekking tot de territoriale werking van de wet (§3). In enige afsluitende opmerkingen (§4) geven wij ten slotte onze visie op deze discussie tot dusver.

Wat aan deze bijdrage vooraf ging

In het tijdschrift Computerrecht stelt Moerel het standpunt van het CBP aangaande de toepasselijkheid van de Wbp in internationale situaties ter discussie. Het CBP zou artikel 4 Wbp zo uitleggen dat de privacywet alleen van toepassing is wanneer de verantwoordelijke in Nederland is gevestigd. Als gegevens worden verwerkt door een vestiging in Nederland van een buitenlandse verantwoordelijke zou de Wbp volgens de toezichthouder niet van toepassing zijn. Deze beperkte uitleg leidt volgens Moerel tot verwarring bij het internationale bedrijfsleven en tot lacunes in de rechtsbescherming. (Computerrecht 2008/3, p. 81-91).

In een reactie bevestigt het CBP dat hij inderdaad artikel 4 Wbp in deze beperkte zin uitlegt. Het geeft aan waar zijn standpunt op is gebaseerd en wat daarvoor zijn overwegingen zijn. De toezichthouder meent dat met deze uitleg het functioneren van de interne markt het best wordt gewaarborgd doordat cumulatie van nationale wetgeving wordt voorkomen. Enige steun voor zijn standpunt ontleent het CBP aan overweging 18 uit de preambule van de richtlijn en de evaluatie van van de privacyrichtlijn 95/46. (Computerecht 2008/6, p. 285-289).

Moerel reageert daarop in een naschrift. Zij zet uiteen dat het CBP selectief bronnen kiest voor de onderbouwing van zijn standpunt. In een uitvoerige analyse gaat zij in op de totstandkomingsgeschiedenis van het desbetreffende artikel in de richtlijn, alsmede op de door het CBP aangehaalde bronnen. Ook bespreekt zij een recente opinie van de Artikel 29 werkgroep en enige literatuur over de richtlijn. Haar onveranderde conclusie is dat voor de toepasselijkheid van de Wbp het niet noodzakelijk is dat de verantwoordelijke zelf in Nederland is gevestigd. (Computerrecht 2008/6, p. 290-298).

§2 Artikel 4, eerste lid, Wbp

Over de uitleg en toepassing van artikel 4, eerste lid, van de wet is door verschillende auteurs het nodige gezegd. De meerderheid van deze auteurs lijkt (al dan niet impliciet) uit te gaan van een uitleg waarin sprake is van toepasselijkheid van de wet als er sprake is van een vestiging in Nederland, en niet per sé als de verantwoordelijke zelf in Nederland is gevestigd. Verder hebben ook het CBP en het overlegorgaan van Europese privacytoezichthouders, de Artikel 29 werkgroep, zich uitgelaten over de territoriale werking van de wet, zij het niet altijd even duidelijk.

Wij lopen één en ander af en beginnen bij wat in de wet en de privacyrichtlijn zelf staat.

2.1 Wat staat er in de wet?

Wat zegt de wet zelf over de territoriale werking van de wet? De tekst van het artikel in de wet is niet bijzonder duidelijk:

Deze wet is van toepassing op de verwerking van persoonsgege­vens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland.

De vraag die onmiddellijk opkomt is wie of wat zich in Nederland moet bevinden om te kunnen vaststellen dat de wet van toepassing is. Is de wet van toepassing als de activiteiten plaatsvinden in Nederland? Of als de verantwoordelijke zich in Nederland bevindt? Of ook al als er alleen sprake is van een vestiging in Nederland, zonder dat de verantwoordelijke zelf hier is gevestigd? Als wij ons zouden beperken tot alleen de tekst van de bepaling lijken alle genoemde mogelijkheden te kunnen. 

In de parlementaire geschiedenis van de wet wordt dit niet opgehelderd. Integen­deel. In de memorie van toelichting wordt de volgende nogal verwarrende (want meerduidige) opmerking gemaakt:

“het aangrijpingspunt van de Wbp is de plaats waar de verantwoordelijke is gevestigd”

De zinsnede ‘de plaats waar de verantwoordelijke is gevestigd’ kan op twee manieren worden uitgelegd, namelijk in de zin dat de wet alleen van toepassing is als de verantwoordelijke zelf in Nederland is gevestigd (beperkte uitleg), maar ook in de zin dat er sprake is van toepassing als de verantwoordelijke een vestiging in Nederland heeft (ruimere uitleg). In het laatste geval moet de aangehaalde zinsnede worden begrepen als ‘de plaats of plaatsen waar de verantwoordelijke een vestiging heeft’. Op grond van de wettekst is er, wat ons betreft, in elk geval geen reden om per sé te kiezen voor de eerste, beperkte uitleg.

2.2 Wat zeggen de artikelsgewijze commentaren?

In de uitgaven die een artikelsgewijs toelichting geven op de wet wordt vanzelfsprekend ingegaan op artikel 4, eerste lid, Wbp. In de veelgebruikte uitgave Tekst en Toelichting Wbp (onder redactie van Hooghiemstra & Nouwt)[6] wordt de bewuste passage uit de memorie van toelichting geparafraseerd, echter zonder op te helderen of het nou gaat om de vestigingsplaats van de verantwoordelijke zelf of om de plaatsen waar zich vestigingen bevinden. Deze vraag wordt in deze uitgave dus niet beantwoord.

In het wat minder bekende Compendium Wbp wordt wel een poging gedaan om de tekst van het artikel enigszins op te helderen. Maar het slaagt daarin niet helemaal. De auteur stelt dat:

Het Nederlandse recht is niet van toepassing op vormen van gegevensverwerking in Nederland door verantwoordelijken die niet over een dergelijke vaste vestiging in Nederland beschikken.[7]

Voor het compendium is dus bepalend of de verantwoordelijke al dan niet een ‘vaste vestiging in Nederland’ heeft: zo ja, dan is de wet van toepassing; zo niet, dan niet. Maar niet helemaal duidelijk is of met de term ‘een vaste vestiging in Nederland’ wordt bedoeld dat de verantwoordelijke zelf in Nederland is gevestigd (beperkte uitleg) of dat een elders gevestigde verantwoordelijke ook een vestiging in Nederland heeft (ruimere uitleg). Wij vermoeden dat de auteur de laatste, dus ruimere uitleg voorstaat, maar zijn daarover niet helemaal zeker.

In het Handboek Privacy[8] wordt het volgende, evenmin eenduidig commentaar gegeven:

De toepasselijkheid van de wet wordt in eerste instantie beoordeeld aan de hand van de plaats van vestiging van de verantwoordelijke. Is deze in Nederland gevestigd, dan is de Wbp op de gegevensverwerkingen [onderstr. door ons toegevoegd] van de verantwoordelijke van toepassing. Bevindt zich de vestiging van de verantwoordelijke binnen de Europese Unie, dan is de wetgeving van het land waar de verantwoordelijke is gevestigd van toepassing.

De onduidelijkheid in deze toelichting zit hem in het gebruik van de meervoudsvorm van ‘gegevensverwerkingen’ in de tweede zin. Daarmee lijken de auteurs ruimte te laten voor een beperkte uitleg. Dit omdat in hun uitleg niet lijkt te worden uitgesloten dat de Wbp van toepassing is als een Nederlandse verantwoordelijke een verwerking laat doen in het kader van (één van) zijn vestiging(en) in een andere lidstaat. Echter door verder te spreken over ‘vestiging van de verantwoordelijke’ en ‘het land waar de verantwoordelijke is gevestigd’ wordt niet duidelijk of de auteurs oog hebben op de lidstaat waar de verantwoordelijke zelf zijn vestiging heeft (beperkte uitleg) of ook op de lidstaten waar hij vestigingen heeft (ruime uitleg).

Het meest helder en uitgesproken zijn Berkvens en De Vries. In de bekende Leidraad voor de praktijk (de ‘blauwe losbladige’) geeft Berkvens de volgende toelichting op artikel 4, eerste lid, van de wet:[9]

Het uitgangspunt van het buitenlandregime is dat het recht van de vestiging [woord gecursifeerd door de auteur] van de verantwoordelijke van toepassing is. Daarbij doet niet ter zake in welk land de verantwoordelijke zijn hoofdkantoor heeft. Indien de verantwoordelijke zijn hoofdkantoor houdt in een andere lidstaat van de EU maar er een vestiging in Nederland op nahoudt is het Nederlandse recht van toepassing op de verwerkingen die aan de Nederlandse vestiging kunnen worden toegerekend. Indien de verantwoordelijke zijn hoofdkantoor heeft in een land buiten de EU geldt ten aanzien van de Nederlandse vestiging en de daaraan toe te rekenen verwerkingen eveneens het Nederlandse recht. Omgekeerd geldt (op basis van de Richtlijn) binnen de EU dat de verwerkingen die kunnen worden toegerekend aan een Belgische vestiging van een Nederlands bedrijf vallen onder het Belgisch recht.

Dit commentaar gaat uit van de ruimere uitleg, zij het dat de auteur door het begrip ‘toerekening van verwerkingen’ een meer genuanceerde benadering niet uitsluit: de Nederlandse privacywet is van toepassing voorzover de verwerkingen kunnen worden toegerekend aan een vestiging in Nederland, ook als de verantwoordelijke zelf elders is gevestigd.[10] 

In haar aantekeningen bij de Wbp in Tekst & Commentaar Telecommunicatierecht laat De Vries er weinig twijfel over bestaan dat volgens haar artikel 4, eerste lid, Wbp niet in beperkte zin moet worden uitgelegd:

De Wbp is ook van toepassing als de verantwoordelijke niet zelf in Nederland is gevestigd, maar in Nederland een vestiging heeft, op voorwaarde dat er sprake is van verwerking van persoonsgegevens in het kader van de activiteiten van die vestiging.[11]

Een en ander biedt derhalve per saldo weinig steun voor een beperkte uitleg van artikel 4, eerste lid, Wbp. Voorzover er op deze kwestie wordt ingegaan is er vooral steun te vinden voor een ruimere uitleg, waarin de wet ook van toepassing is als de verantwoordelijke niet zelf in Nederland is gevestigd maar alleen een vestiging heeft.

2.3 Wat staat er in de privacyrichtlijn?

De Wbp staat niet op zichzelf, want vormt de implementatie van de privacyrichtlijn. Van belang is daarom hoe de gemeenschapswetgever de in artikel 4, eerste lid, van de wet geïmplementeerde regel heeft geformuleerd. Op het eerste gezicht lijkt ook de richtlijn op dit punt niet erg duidelijk. In de eerste volzin van artikel 4, eerste lid, onder a, van de richtlijn staat dat de wet van toepassing moet zijn op de gegevensverwerkingen die worden gedaan:

…in het kader van de activiteiten van een vestiging op het grondgebied van de Lid-Staat van de voor de verwerking verantwoordelijke

Wij lezen hierin dat de wet van toepassing is als er sprake is van een vestiging van de verantwoordelijke in de lidstaat, ook als de verantwoordelijke niet zelf in de lidstaat is gevestigd. Maar toegegeven moet worden dat deze volzin op zichzelf misschien niet een uitleg uitsluit waarin de wet slechts van toepassing is als de verantwoordelijke zelf in de lidstaat is gevestigd (beperkte uitleg). Voor zover daarover twijfel bestaat wordt deze echter weggenomen door de daarop volgende volzin in de bepaling:

…wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene Lid-Staten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving.

Uit de totstandkomingsgeschiedenis van de privacyrichtlijn kan de bedoeling van de gemeenschapswetgever met niet al te veel moeite worden achterhaald. De analyse van Moerel in haar naschrift laat op dit punt weinig aan duidelijkheid te wensen over.[12] De gemeenschapswetgever kan alleen maar hebben bedoeld dat de wet van toepassing is als er sprake is van gegevensverwerkingen die worden verricht in het kader van activiteiten van een vestiging in Nederland. Waar het dus om gaat is of er in Nederland sprake is van een vestiging én of er gegevens worden verwerkt in het kader van activiteiten van die vestiging. Of de verantwoordelijke zelf in Nederland is gevestigd, is daarbij niet direct van belang.

Ook de richtlijn biedt derhalve weinig grond voor een andere uitleg dan dat de Wbp van toepassing is als er sprake is van een vestiging in Nederland, ook als de verantwoordelijke zelf elders in de Europese Unie is gevestigd.

2.4 Wat wordt (verder) in de literatuur gezegd?

Voorzover wij hebben kunnen nagaan, gaan de meeste auteurs[13] die direct of indirect over dit onderwerp hebben geschreven er vanuit dat de Wbp van toepassing is als er sprake is van een vestiging in Nederland, ook als de verantwoordelijke zelf misschien elders in de EU is gevestigd. Veel auteurs doen dat impliciet. Met name Blok[14] problematiseert de uitleg van artikel 4 Wbp als zodanig door expliciet te stellen dat de privacyrichtlijn weinig houvast biedt bij het beantwoorden van de vraag wanneer gegevensverwerking plaatsvindt in het kader van de activiteiten van een vestiging. De auteur analyseert de bepaling en komt op basis daarvan tot de zo-even gegeven, ruimere uitleg van het artikel. Andere auteurs, zoals Terstegge,[15] Cuipers,[16] Thijssen[17] De Vries[18] alsook Berkvens[19] lijken uit te gaan van een ruimere uitleg.[20]

Een en ander betekent evenwel niet dat alle auteurs zich kunnen vinden in de implicaties van deze ruimere uitleg. Vrijwel allemaal duiden zij deze uitleg als problematisch. Dit vooral omdat verantwoordelijken als gevolg daarvan te maken kunnen hebben met een meervoudige toepassing van nationale privacywetten: [21] een multinational met vestigingen in meerdere lidstaten moet zich houden aan evenzoveel nationale privacywetten. Voor dit probleem worden verschillende praktische (deel)oplossingen aangedragen, maar geen daarvan betreft een beperkte uitleg van artikel 4, eerste lid, Wbp. Wij gaan daar in het vervolg (par. 3) verder op in.

2.5 Wat zegt de Artikel 29 werkgroep?

Het overlegorgaan van nationale privacytoezichthouders in de Europese Unie, de Artikel 29 werkgroep heeft zich meerdere keren uitgelaten over de territoriale werking van nationale privacywetten. In haar opinies lijkt evenwel niet altijd te worden uitgegaan van dezelfde uitleg. De werkgroep staat soms, zo lijkt het, een beperkte uitleg van artikel 4 van de richtlijn voor, maar soms ook een ruimere uitleg. In haar opinie over de verwerking van persoonsgegevens door SWIFT lijkt de werkgroep ervoor te hebben gekozen om uit te gaan van de toepasselijkheid van het recht van het land waar de voor de gegevensverwerking verantwoordelijke is gevestigd (beperkte uitleg). Althans, in deze complex casus[22] komt de werkgroep tot de conclusie dat Belgisch recht van toepassing is op de verwerking van persoonsgegevens door SWIFT, omdat het hoofdkantoor in België alle cruciale beslissingen neemt omtrent de verwerking.[23] De werkgroep gaat daarbij niet in op vraag of de gegevens worden verwerkt in het kader van de vestigingen. Het is voor de werkgroep niet relevant dat ook in andere EU lidstaten persoonsgegevens door SWIFT worden verwerkt. Als deze gegevens worden verwerkt in het kader van vestigingen in de andere EU lidstaten zou, uitgaande van een ruimere uitleg, het recht van deze lidstaten van toepassing zijn.

Echter in een minder recente opinie over de toepasselijkheid van de privacyrichtlijn op niet-EU websites[24] wringt de werkgroep zich in verschillende, niet helemaal geloofwaardige bochten om in artikel 4, eerste lid, onder a, van de richtlijn een zogenaamd land-van-oorsprong beginsel te lezen. En in haar recente opinie over internetzoekmachines[25] komt de werkgroep tot de conclusie dat voor toepasselijkheid van artikel 4, eerste lid, onder a, van de richtlijn niet noodzakelijk is dat de verantwoordelijke op het grondgebied van de EU is gevestigd maar volstaat een vestiging in het kader waarvan gegevensverwerking plaatsvindt.

Aan de opinies van de werkgroep kunnen dus zowel argumenten vóór een ruimere of een beperktere uitleg van artikel 4, eerste lid, Wbp respectievelijk artikel 4, eerste lid, onder a, van de richtlijn worden ontleend. Uitgaande van de meest recente opinie ligt het voor de hand om aan te nemen dat de Artikel 29 werkgroep thans van opvatting is dat een ruimere uitleg moet worden gehanteerd.

2.6 En wat vindt het CBP?

Het standpunt van het CBP over de uitleg van artikel 4, eerste lid, Wbp was tot voor kort niet duidelijk. Uit de uitlatingen die het CBP in het openbaar heeft gedaan, maakten wij in eerste instantie op dat het (nog) niet de principiële keuze heeft willen maken voor een beperkte uitleg van artikel 4, eerste lid, Wbp. In haar betoog verwijst Moerel naar enige op de website van het CBP te vinden publicaties[26] waaruit volgens deze auteur zou kunnen worden opgemaakt dat de toezichthouder uitgaat van een beperkte uitleg van artikel 4, eerste lid, Wbp. Ons overtuigen deze publicaties echter niet. Voorzover het al gaat om stukken van het CBP[27] zijn daarin welbeschouwd alleen parafraseringen te vinden van de parlementaire geschiedenis van de wet.[28] En daarvan hadden wij al vastgesteld dat deze niet uitblinkt in helderheid en (dus) niet per sé steun biedt voor de opvatting dat de wetgever heeft gekozen voor een beperkte uitleg.

Op basis van een en ander leek derhalve te kunnen worden volgehouden dat het CBP geen standpunt heeft ingenomen. En dat er dus wellicht slechts sprake is van een enigszins academische, haast semantische discussie over de betekenis van de zinsnede ‘de plaats waar de verantwoordelijke is gevestigd’ in het wetsartikel. Wat ons betreft doet daar niet aan af dat de toezichthouder – kennelijk – in enige door Moerel genoemde ongepubliceerde correspondentie wel zou uitgaan van een beperkte uitleg. Het is (ons) niet duidelijk wat het Cbp precies heeft gezegd in deze correspondentie, en hoe of waarom hij dat heeft gedaan. En daarbij kwam het ons niet logisch voor dat het CBP dergelijke voor de praktijk zeer relevante beleidsuitgangspunten niet algemeen bekend zou maken, bijvoorbeeld door deze correspondentie (zonodig geanonimiseerd) te publiceren op zijn website. Wat ons betreft kan daaraan dan ook geen, of in elk geval geen overwegende, betekenis worden toege­kend.

Al met al zou dat een reden kunnen zijn om, vooralsnog, er vanuit te gaan dat het CBP, mede gelet op de door hem gepubliceerde uitlatingen, niet heeft gekozen voor genoemde beperkte uitleg. Echter, dat bleek al snel na de publicatie in het tijdschrift Computerrecht niet meer houdbaar. In een uitvoerige reactie op het betoog van Moerel geeft de toezichthouder voor het eerst onomwonden aan hoe hij vindt dat artikel 4, eerste lid, Wbp moet worden uitgelegd.[29] Het blijkt dat het CBP zich (inderdaad) op het standpunt stelt dat het artikel 4, eerste lid, Wbp in beperkte zin uitlegt. Dit omdat deze uitleg naar zijn mening “het meest recht doet aan de bedoeling van de wetgever.” En ook omdat deze uitleg volgens hem:

de voorkeur verdient vanuit het oogpunt van rechtsbescherming van burgers, het voorkomen van onnodige lastenverzwaring en ten slotte het functioneren van de interne markt.”[30]

Om dit standpunt te onderbouwen verwijst de toezichthouder naar overweging 18 en 19 in de privacyrichtlijn, alsmede naar het Eerste Evaluatierapport van de Europese Commissie over de richtlijn,[31] één citaat uit de voorbereidende stukken bij dit Evaluatierapport,[32] de memorie van toelichting bij de Wbp[33] en enkele publicaties van de Artikel 29 werkgroep.

Uit deze, voor ons toch verrassende reactie van het CBP op het betoog van Moerel blijkt dus dat de toezichthouder inderdaad artikel 4, eerste lid, Wbp in beperkte zin uitlegt, in die zin dat de wet alleen dan van toepassing is als de verantwoordelijke zelf in Nederland is gevestigd.[34]

2.7 Wat moeten wij daarvan vinden?

Het CBP lijkt in Nederland en voorzover wij overzien in de rest van de Europese Unie[35] alleen te staan in zijn keuze om uit te gaan van een beperkte uitleg van artikel 4, eerste lid, Wbp. In elk geval noemt het geen overtuigende en gezaghebbende bronnen (auteurs, andere privacytoezichthouders enz.) die duidelijk en rechtstreeks steun bieden voor zijn standpunt. De door de toezichthouder gegeven onderbouwing is uitgebreid, maar berust op niet veel meer dan een doelredenering ter ondersteuning waarvan het in enige beleidstukken, met name het Eerste Evaluatierapport van de Commissie en enkele teksten van de Artikel 29 werkgroep, enkele argumenten heeft kunnen aanwijzen.

Onze conclusie, en naar wij vermoeden die van de in het voorgaande genoemde andere auteurs,[36] is dat de gemeenschapswetgever een duidelijke keuze heeft ge­maakt. Anders dan bij­voor­beeld bij de Richtlijn inzake elektronische handel (2001/31/EG)[37] heeft hij uitdrukkelijk niet gekozen voor het land-van-oorsprong beginsel, waarbij alleen de wet zou gelden van het land waar de verantwoordelijke is gevestigd. In plaats daarvan gaat hij uit van meervoudige toepassing als er sprake is van vestigingen in verschillende lidstaten. Als een verantwoordelijke in verschillende lidstaten vestigingen heeft, zijn de nationale privacywetten van de onderscheiden landen van toepassing.

Wij stellen dan ook, met Moerel[38] en wellicht met de in het voorgaande genoemde andere auteurs, vast dat de door het CBP voorgestane beperkte uitleg van artikel 4, eerste lid, Wbp onhoudbaar is. Wij hebben waardering voor de creativiteit van de door de toezichthouder opgebouwde argumentatie. Ook hebben wij sympathie voor de intentie van het CBP om cumulatie van wetgeving zoveel mogelijk tegen te gaan en administratieve lasten te verminderen.[39] Maar dat allemaal is toch onvoldoende om in te gaan tegen de bedoeling van de (gemeenschaps­)wetgever.

Daarbij komt de door het CBP gehanteerde beperkte uitleg misschien reële uitvoeringsproblemen oplost, maar tegelijkertijd ook gaten laat vallen in de rechtsbescherming die de wet beoogt te bieden. In haar betoog geeft Moerel een voorbeeld van een internationale klokkenluiders-regeling, op grond waarvan persoonsgegevens door een Nederlandse vestiging worden verstrekt aan een in de VS gevestigde verantwoordelijke. Dit geval is van belang omdat daaruit duidelijk wordt wat de implicaties kunnen zijn van de beperkte danwel de ruime uitleg. Moerel betoogt dat in de beperkte uitleg deze verstrekking niet onder de Wbp lijkt te vallen:

de verantwoordelijke is gevestigd buiten Nederland [en] [o]mdat de verantwoordelijke wel een vestiging heeft in Nederland is art. 4 lid 2 Wbp ook niet van toepassing”.[40]

Uit de doorgifteadviespraktijk van het CBP is een voorbeeld[41] bekend dat vergelijkbaar is met dit geval. Het betreft een vergunningsaanvraag (o.g.v. art. 77, tweede lid, Wbp) voor doorgifte van persoonsgegevens naar de Verenigde Staten in het kader van een zgn. kliklijn, die de verantwoordelijke op grond van Amerikaanse wetgeving (Sarbanes-Oxley) moest invoeren in haar gehele onderneming. Over zo een vergunningaanvraag moet het CBP de Minister van Justitie adviseren. In het onderhavige geval gaat het CBP in zijn advies niet in op de vraag of de Wbp wel van toepassing is, zodat de vraag blijft bestaan welke overwegingen aangaande te toepasselijkheid van de Wbp het CBP heeft gehad bij dit advies over de doorgifte van persoonsgegevens in het kader van kliklijnen en klokkenluiderregelingen. Was de toezichthouder van mening dat de Nederlandse vestiging, aan de hand van de feiten en omstandigheden van het geval, gezien moest worden als verantwoordelijke voor de betreffende doorgifte? Of heeft het CBP überhaupt niet stil gestaan bij de mogelijkheid dat de Wbp niet van toepassing zou kunnen zijn? Het zijn intrigerende vragen, waarop wij het antwoord niet in het desbetreffende advies terugvinden.

Fontein-Bijnsdorp gaat niet in op deze vragen maar merkt wel op dat Moerel voorbij gaat aan het feit dat de Wbp een stelsel bevat van regels voor doorgifte van persoonsgegevens buiten de EU.[42] Echter, voor de vraag of de wet überhaupt van toepassing is, zijn de doorgifteregels als zodanig niet relevant. In haar naschrift reageert Moerel dan ook terecht door te stellen dat de doorgifteregels geen uitkomst bieden omdat die pas aan de orde komen nadat is vastgesteld dat de Wbp van toepassing is.[43]

Verder achten wij de beperkte uitleg van het CBP problematisch omdat deze, voor zover wij overzien, niet wordt gevolgd door privacytoezichthouders in andere lidstaten en dus afbreuk doet aan de door de richtlijn beoogde harmonisatie. Het gevolg is dat het CBP zodoende misschien wel een oplossing heeft gevonden voor het probleem van meervoudige toepassing van privacywetgeving, maar tegelijkertijd nieuw problemen doet ontstaan, te weten onduidelijkheid over de territoriale werking van de wet en het afwijken van de in andere lidstaten gehanteerde uitgangspunten. Een en ander kan moeilijk worden gezien als een bijdrage aan de totstandkoming van de interne markt – en dat is toch een van de twee hoofddoelstellingen van de privacyrichtlijn en de privacywet.[44]

3. Meervoudige toepassing: probleem en oplossingen

In het voorgaande[45] bleek dat het CBP vooral heeft gekozen voor een beperkte uitleg van artikel 4, eerste lid, Wbp om te voorkomen dat een multinationale verantwoordelijke met vestigingen in verschillende lidstaten zich zou moeten houden aan de privacywetten van al deze lidstaten. De vraag is dan of deze meervoudige toepassing tot problemen leidt en vervolgens of het CBP er goed aan doet deze te adresseren door zijn keuze voor een beperkte uitleg van artikel 4, eerste lid, Wbp. In deze voorlaatste paragraaf van deze bijdrage gaan wij daar op in.

In haar betoog gaat Moerel zelf niet uitvoerig in op de nadelen van de door haar voorgestane ruimere uitleg, waarin de Wbp al van toepassing is als er sprake is van een vestiging in Nederland zonder dat de verantwoordelijke zelf alhier is gevestigd. Wel geeft zij aan dat deze uitleg leidt tot een ook volgens haar als problematisch te kwalificeren:

uitbreiding van de verplichtingen van de verantwoordelijke in de vorm van cumulatie van toepasselijke wetgevingen[46]

Zij geeft dan ook aan een voorstander te zijn van de invoering van het land-van-oorsprong beginsel.[47] Daarin staat zij niet alleen. Volgens andere auteurs zoals Blok, Terstegge en Cuijpers leidt de meervoudige toepassing van nationale privacywetten die het gevolg is van een ruimere uitleg van artikel 4, eerste lid, Wbp tot praktische problemen. Blok wijst erop dat verantwoordelijken rekening moeten houden met de privacywetgeving van diverse lidstaten, wat problematisch is omdat deze, ondanks de beoogde harmonisering vergaand uiteenlopen. Ook wijst hij erop dat er sprake van

onnodige cumulatie van bureaucratische verplichtingen zoals de meldingsplicht”.[48]

Als praktische deeloplossing stelt hij dan ook een gecentraliseerd (Europees) meldingsregister voor.

Terstegge wijst erop dat meervoudige toepassing tot grote kosten leidt. Hij sluit zelfs niet uit dat het voldoen aan verschillende nationale privacywetten onmogelijk is. In ieder geval leidt het tot compliance problemen en wat hij plastisch aanduid als een ‘massive administrative burden’.[49] Hij pleit dan ook voor de invoering van een land-van-oorsprong beginsel (zgn. home country control), zij het dat dit dan wel op genuanceerde wijze zou moeten worden toegepast.[50]

Ook Cuijpers wijst op het kostenaspect. Zij spreekt over een ‘onnodige belasting’ door de onduidelijkheid die bestaat over het toepasselijk recht en het feit dat verschillende nationale privacywetten van toepassing zijn.[51] Evenals Terstegge staat zij invoering van een land-van-oorsprong beginsel voor. In aanvulling daarop pleit zij voor een systeem van wederzijdse erkenning waarbij slechts één toezichthouder, namelijk die van het land van oorsprong (home country), toeziet op de verwerking van persoonsgegevens door een bepaalde organisatie, op het grondgebied van de gehele Europese Unie.

Wij sluiten ons aan bij deze auteurs. De praktijk wijst uit dat verantwoordelijken moeite hebben en extra kosten moeten maken als het nodig is om zich te verdiepen in de naleving van verschillende nationale privacywetten. Zoals gezegd hebben wij, in zoverre zeker sympathie voor de poging van het CBP om cumulatie van wetgeving (zoveel mogelijk) tegen te gaan.

In essentie moeten de problemen die het CBP wil adresseren door zijn beperkte uitleg van artikel 4 eigenlijk worden gekwalificeerd als harmoniseringsproblemen. Immers, als de harmonisatie beter was geslaagd, zou het niet heel veel moeten uitmaken welke nationale privacywet (of -wetten) van toepassing is (of zijn). Overal gelden dan dezelfde rechten en plichten. En waar er zich toch nog problemen voordoen, zouden die vooralsnog kunnen worden opgelost door procedures te stroomlijnen en door een verbeterde samenwerking van toezichthouders. Wat ons betreft moet vooralsnog – d.w.z. zolang de richtlijn niet is aangepast – langs deze lijnen worden gezocht naar deeloplossingen.

Een voorbeeld betreft het vereenvoudigen cq. harmoniseren van de wijze waarop de meldplicht van artikel 18 richtlijn en art. 27, eerste lid, Wbp wordt nageleefd. Door het CBP is daarvoor al eens voorgesteld om te komen tot een eenvormig in alle lidstaten te gebruiken standaardmeldformulier.[52] Het komt ons voor dat dit niet heel moeilijk kan zijn, zeker nu toezichthouders toch al, in het kader van de Artikel 29 werkgroep geregeld met elkaar overleggen. En als privacytoezichthouders dan toch zo een eenvormig meldformulier ontwikkelen, kan het evenmin erg ingewikkeld zijn om een minimumlijst op te stellen van de verwerkingen die (in beginsel) in alle lidstaten zouden moeten worden uitgezonderd van de meldplicht. Zeg maar harmonisering van het Vrijstellingsbesluit.[53] Het lijkt ons alleszins mogelijk en, gelet op de verminderde administratieve lasten, hoe dan ook de moeite waard om te proberen.

Er zijn wellicht nog meer praktische oplossingen te bedenken om de bestaande gebrekkige harmonisatie van privacywetgeving in de EU verder te stroomlijnen. Op termijn is er veel voor te zeggen om te komen tot een (eenduidig) land-van-oorsprong beginsel, maar die oplossing is uiteraard voorbehouden aan de gemeenschapswetgever. Een privacytoezichthouder zal zich moeten beperken tot voornoemde verbeterde samenwerking en stroomlijning van procedures, en wellicht nog andere oplossingen van praktische aard.

4. Ter afsluiting

Er kan en zal ongetwijfeld nog veel meer worden gezegd over deze discussie. In deze bijdrage komen wij evenwel tot een afronding. De Wbp bevat veel open en vage normen en abstracte, algemene begrippen. Dat is op zichzelf niet per sé verkeerd, als het al niet onvermijdelijk is.[54] Open normen zijn de middelen waarmee de wetgever regels stelt voor de situaties die hij nog niet of beperkt kan overzien. En juist als het gaat om zo iets dynamisch als het gebruik van geautomatiseerde verwerkingsmiddelen is er veel voor te zeggen om gebruik te maken van normen en begrippen die al naar gelang de concrete situatie en feitelijke omstandigheden kunnen worden ingevuld en toegepast. Een gevolg van het gebruik van dergelijke normen is dat de wet daardoor algemeen wordt ervaren als moeilijk, ingewikkeld en lastig of zelfs niet uitvoerbaar.[55]

Waar het gaat om artikel 4, eerste lid, van de wet heeft de wetgever evenwel niet bedoeld om de norm een open en vaag karakter te geven. Het is dan ook verrassend (om niet te zeggen: verbazend) dat juist de uitleg van die norm, meer dan tien jaar na de totstandkoming van de richtlijn en bijna dan zeven jaar na de inwerkingtreding van de Wbp, door toedoen van de toezichthouder toch nog aanleiding geeft tot een fundamentele discussie. Uiteraard doet dat niet af aan het belang van deze discussie. In haar reactie maakt Fontein-Bijnsdorp in alle bescheidenheid de terechte opmerking dat het laatste woord aan de rechter is. Wij hopen toch dat het, gelet op de duur en kosten van gerechtelijke procedures, niet nodig is dat daarover tot en met het Hof van Justitie wordt geprocedeerd.

Hoe dan ook, zoals gezegd, het gaat ook ons meer dan een stap te ver dat de privacytoezichthouder, via een eigen en per saldo door maar weinigen gedeelde uitleg van wet en richtlijn, een poging doet om te komen tot een oplossing van het probleem van de cumulatie van nationale privacywetten – wat er ook valt te zeggen over de effecitiviteit van die oplossing.

Daarbij hebben wij twijfels over de door de toezichthouder gevolgde procedure. Het geeft te denken dat beleids­opvattingen over zo iets fundamenteels als de territoriale werking van de wet aanvankelijk alleen in niet gepubliceerde correspondentie blijken te zijn vastgelegd. Wat ons betreft is de belangrijkste uitkomst van deze discussie tot dusver dan ook dat het CBP openheid van zaken heeft gegeven en duidelijk heeft gemaakt wanneer volgens hem de wet van toepassing is, en wanneer niet.

Wat een verantwoordelijke daarmee moet is natuurlijk wel de vraag. Hij zou zich wellicht kunnen beroepen op een gerechtvaardigd vertrouwen cq. het vertrouwensbeginsel. In voorkomend geval zou hij dan kunnen stellen dat hij er vanuit mocht gaan dat de Wbp niet van toepassing is. Maar voor zover dat al kans van slagen heeft, lijkt dat alleen behulpzaam ten opzichte van de toezichthouder zelf, niet tegenover anderen, zoals betrokkenen. Wat zou helpen is als de toezichthouder bereid zou zijn meer comfort te geven ten aanzien van de standpunten die hij heeft ingenomen in deze boeiende discussie.[56] 

Op deze tekst is een Creative Commons Licentie (by-nc-nd 2.5 Netherlands) van toepassing. Zie voor gebruiksvoorwaarden: http://creativecommons.org/licenses/by-nc-nd/2.5/nl

 


[1] Gerrit-Jan Zwenne en Chris Erents zijn beiden advocaat bij Bird & Bird te Den Haag. Eerstgenoemde is daarnaast universitair hoofddocent bij eLaw@Leiden, het centrum voor recht in de informatiemaatschappij, van de Universiteit Leiden, alsmede fellow bij het E.M. Meijers Instituut van dezelfde universiteit. De auteurs danken prof. mr. J.M.A. Berkvens, mr. drs. J.H.J. Terstegge en dr. L. Mommers voor hun commentaar op een eerdere versie van deze bijdrage.

[2] E.M.L. Moerel, ‘Back to basics; wanneer is de Wet bescherming persoonsgegevens van toepassing?’, Computerrecht 2008/3, p. 81-91.

[3] Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEG 1995, L 281/31–50.

[4] M.A.H. Fontein-Bijnsdorp, ‘Art. 4 Wbp revisited: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens’, Computerrecht 2008/6, p. 285-289.

[5] E.M.J. Moerel, ‘Art 4 Wbp revisited; naschrift De nieuwe WP Opinie inzake Search Engines’, in: Computerrecht 2008/6, p. 290-298.

[6] T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, 2007, p. 61.

[7] J.G. Brouwer, Compendium Wet bescherming persoonsgegevens. Tekst en toelichting, 2002, p. 102.

[8] A. Holleman, J. Nouwt & H.H. de Vries, Artikelgewijs commentaar, in: (Holvast e.a. red.), Handboek Privacy: Bescherming persoonsgegevens, update 27, 1300: artikel 4, Kluwer.

[9] J.M.A. Berkvens, in: Wet bescherming persoonsgegevens; Leidraad voor de praktijk, commentaar bij artikel 4, supplement 3, april 2002.

[10] In het naschrift van Fontein-Bijnsdorp is ook een, enigszins verhulde, aanwijzing te vinden voor een dergelijke genuanceerde benadering. In haar reactie geeft deze auteur aan dat “[o]m te bepalen of het Nederlandse recht van toepassing is op een specifieke verwerking in het kader van de activiteiten van de betreffende vestiging, [..] de rol die de branche speelt bij de specifieke verwerking [moet] worden vastgesteld, zoals hierboven uiteengezet. Dit moet worden beoordeeld aan de hand van de feiten en omstandigheden van het geval.” Aldus M.A.H. Fontein-Bijnsdorp, ‘Art. 4 Wbp revisited: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens’, Computerrecht 2008/6, p. 287.

[11] De Vries 2009 (T&C Telecommunicatierecht e.a), art. 4 Wbp, aant. 1, p. 559-560.

[12] Zie m.n. E.M.J. Moerel, ‘Art 4 Wbp revisited; naschrift De nieuwe WP Opinie inzake Search Engines’, Computerrecht 2008/6, p. 290-298.

[13] Een uitzondering betreft mogelijk: L.B. Sauerwein & J.J. Linnemann, Handleiding voor verwerkers van persoonsgegevens, 2002, p. 15. Deze auteurs parafraseren de memorie van toelichting, waarvan wij al hebben vastgesteld dat die niet uitblinkt in helderheid maar waaruit niettemin niet per sé moet worden afgeleid dat voor een beperkte uitleg is gekozen.

[14] P.H. Blok, ‘Privacybescherming in alle staten’, Computerrecht 2005/6, p. 297-304, m.n. p. 299.

[15] J.H.J. Terstegge, ‘Home Country Control – Improving privacy compliance and supervision’, P&I december 2002, p. 257-259.

[16] C. Cuijpers, ‘Evaluatie van de Richtlijn’, in: Privacy Concerns, 2003, p. 114.

[17] M.B.J. Thijssen, ‘Grensoverschrijdend gegevensbeschermingsrecht’, in: P&I juni 2005, nr. 3, p. 110-113.

[18] De Vries 2009 (T&C Telecommunicatierecht e.a), art. 4 Wbp, aant. 1, p. 559-560, 2009.

[19] J.M.A. Berkvens, in: Wet bescherming persoonsgegevens; Leidraad voor de praktijk, commentaar bij artikel 4, supplement 3, april 2002.

[20] In het handboek “Privacyregulering in theorie en praktijk” wordt in de vierde druk (2007) door Terstegge (p. 68-69) aangehaakt bij de ruimer uitleg. Minder helder zijn J.E.J. Prins & J.M.A. Berkvens in de derde druk (2002): “de Wbp stelt dat de Nederlandse bepalingen worden toe(ge)past, indien de verwerking van persoonsgegevens wordt verricht in het kader van de activiteiten van een vestiging van een verantwoordelijke in Nederland” en “Uit het bovenstaande blijkt dat ten aanzien van de vraag welk recht van toepassing is in eerste instantie wordt aangehaakt bij de vestigingsplaats van de voor de verwerking verantwoordelijke. Indien deze plaats zich buiten de Gemeenschap bevindt, wordt aangeknoopt bij de plaats waar de verwerking plaatsvindt.” (p. 100).

[21] Met ‘de nationale privacywet’ bedoelen wij, overeenkomstig het enigszins misleidende maar wel ingeburgerde taalgebruik, de wet waarmee de privacyrichtlijn in nationaal recht is omgezet.

[22] SWIFT is een wereldwijd opererende dienstverlener voor financieel berichtenverkeer ten behoeve van internationale geldoverboekingen. Gedurende 124 dagen slaat SWIFT al haar berichten op in twee verwerkingscentra die zijn gevestigd in de EU en in de VS. Daarnaast heeft SWIFT vestigingen in diverse EU lidstaten. Naar aanleiding van de aanslagen in de VS in september 2001 vorderen de Amerikaanse autoriteiten toegang tot de berichtgegevens. Het hoofdkantoor van SWIFT, dat in België is gevestigd, onderhandelt met de Amerikaanse autoriteiten en stemt er mee in dat deze toegang verkrijgen tot de berichtgegevens.

[23] Groep Gegevensbescherming artikel 29, WP 128, advies 10/2006 over de verwerking van persoonsgegevens door de Society for Worldwide Interbank Financial Telecommunications (SWIFT) goedgekeurd op 22 november 2006, zie: paragraaf 2.2.

[24] Groep Gegevensbescherming artikel 29, WP 56, Werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU, goedgekeurd op 30 mei 2002, zie: paragraaf 2.

[25] Groep Gegevensbescherming artikel 29, WP 148, advies 1/2008 over gegevensbescherming en zoekmachines, goedgekeurd op 4 april 2008, zie: paragraaf 4.1.2.

[26] E.M.L. Moerel, ‘Back to basics; wanneer is de Wet bescherming persoonsgegevens van toepassing?’, Computerrecht 2008/3, zie: voetnoot 21 in die tekst.

[27] Sauerwein & Linnemann hebben hun handleiding in opdracht van het Ministerie van Justitie geschreven.

[28] Dit geldt ook voor de niet door Moerel aangehaalde publicatie van D. Alonso Blas, Nota derde Landen. De doorgifte van persoonsgegevens naar derde landen in het kader van de WBP, College bescherming persoonsgegevens 2003, p. 6.

[29] M.A.H. Fontein-Bijnsdorp, ‘Art.4 Wbp revisited’: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens, Computerrecht 2008/6, p. 285-289.

[30] M.A.H. Fontein-Bijnsdorp, ‘Art.4 Wbp revisited’: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens, Computerrecht 2008/6, p. 289.

[31] Eerste verslag over de toepassing van de Richtlijn gegevensbescherming (95/46/EG), COM/2003/265, 15 mei 2003.

[32] Analysis and impact study on the implementation of Directive EC 95/46 in Member States, technical analysis of the transposition in the Member States.

[33] Kamerstukken II 1997/98, 25 892, nr. 3.

[34] Dit blijkt duidelijk uit de opmerkingen in voetnoot 5 van M.A.H. Fontein-Bijnsdorp, ‘Art.4 Wbp revisited: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens’, Computerrecht 2008/6, p. 285.

[35] Vgl. E.M.J. Moerel, ‘Art 4 Wbp revisited; naschrift De nieuwe WP Opinie inzake Search Engines’, Computerrecht 2008/3, p. 81. 

[36]Zie par. 2.4 van deze bijdrage.

[37] Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt, PbEG 2000 L178/1-16.

[38] E.M.J. Moerel, ‘Art 4 Wbp revisited; naschrift De nieuwe WP Opinie inzake Search Engines’, Computerrecht 2008/6, p. 295.

[39] M.A.H. Fontein-Bijnsdorp, ‘Art.4 Wbp revisited: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens’, Computerrecht 2008/6, p. 288.

[40] E.M.L. Moerel, ‘Back to basics; wanneer is de Wet bescherming persoonsgegevens van toepassing?’, Computerrecht 2008/3, paragraaf 3.5.

[41] CBP, Advies vergunningaanvraag ex. Art. 77 lid 2 Wbp, z2004-1233, 16 januari 2006.

[42] M.A.H. Fontein-Bijnsdorp, ‘Art.4 Wbp revisited: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens’, Computerrecht 2008/6, p. 288

[43] E.M.J. Moerel, ‘Art 4 Wbp revisited; naschrift De nieuwe WP Opinie inzake Search Engines’, Computerrecht 2008/6, p. 296.

[44] Vgl. overw. 3 van de privacyrichtlijn en uiteraard art. 1 daarvan. 

[45] Par. 2.6 van deze bijdrage.

[46] E.M.L. Moerel, ‘Back to basics; wanneer is de Wet bescherming persoonsgegevens van toepassing?’, Computerrecht 2008/3, p. 81.

[47] E.M.L. Moerel, ‘Back to basics; wanneer is de Wet bescherming persoonsgegevens van toepassing?’, Computerrecht 2008/3, p. 85.

[48] P.H. Blok, ‘Privacybescherming in alle staten’, in: Computerrecht 2005/6, p. 300.

[49] J.H.J. Terstegge, ‘Home Country Control – Improving privacy compliance and supervision’, P&I december 2002, p. 257; zie ook: G-J. Zwenne et al, Eerste fase evaluatie Wet bescherming persoonsgegevens, Ministerie van justitie, december 2007. p. 68.

[50] Aldus de toelichting die wij per e-mail ontvingen van de auteur. Een uiteenzetting van deze interessante gedachte zal hij wellicht nog uitwerken in een bijdrage voor dit tijdschrift.

[51] C. Cuijpers, ‘Evaluatie van de Richtlijn’, in: Privacy Concerns, NVvIR 2003, p. 114.

[52] CBP Brief aan Minister van Justitie, 7 december 2004, z2004-1086; zie daarover G-J. Zwenne et al, Eerste fase evaluatie Wet bescherming persoonsgegevens, Ministerie van justitie, december 2007, p. 70.

[53] Stb. 2001, 250.

[54] Zie o.a. Kamerstukken II 1997/98, 25 892, nr. 3, p. 5-6, 9, 12-13, 33.

[55] Vgl. G-J. Zwenne et al, Eerste fase evaluatie Wet bescherming persoonsgegevens, Ministerie van justitie, december 2007. p. 64-64.

[56] Dit leent zich wellicht voor een Zienswijze van het College. Vgl. CBP Regels voor verzoek om een zienswijze, 11 maart 2008 Stcrt. 2008; 71. 

Apr 272009
 

Een week of wat geleden schreef ik voor het Tijdschrift voor Internetrecht een (toegegeven: wat narrig) redactioneel over OPTA die zijn besluiten ineens alleen nog maar als pdf met kopieerbeperkingen op zijn website beschikbaar stelde. Als gevolg daarvan was het lastig om uit die besluiten te kopieren (copy-paste). 

Inmiddels heeft OPTA dit tekstje ook gelezen. En, nadat ik daarover met enkele medewerkers van de toezichthouder had gesproken, werd ik daarover gebeld. De verklaring voor de kopieerbeperkingen (‘beveiligingen’) ligt, zo werd mij verteld, in het volgende. Soms publiceert OPTA besluiten waarin de bedrijfsvertrouwelijke onderdelen zijn afgedekt cq. zwartgemaakt. De techniek die men gebruikte om deze onderdelen af te dekken cq. zwart te maken was, kennelijk, eenvoudig te omzeilen. Om dit op te lossen heeft OPTA vervolgens een beveiliging aangebracht die als onbedoeld bij-effect ook eraan in de weg stond dat er uit de besluiten kon worden gekopieerd.

Het was dus niet zo bedoeld.

Ik kan niet helemaal beoordelen in hoeverre dit hout snijdt. Is wat mij betreft ook niet zo heel belangrijk. Ik ben blij met de toezegging dat men voortaan de besluiten (en andere stukken) zodanig zal bekendmaken dat er wel (weer) uit kan worden gekopieerd. Voor het afschermen van vertrouwelijke informatie heeft men een andere oplossing gevonden.

Ik houd het in de gaten. Dat wel natuurlijk.

 

Apr 012009
 

Er zijn van die dagelijkse ergernissen waarover een redacteur van dit tijdschrift zo af en toe zijn hart moet luchten. Dit is er zo één. Uit eigen ervaring maar daarmee misschien nog niet irrelevant.

OPTA neemt om de drie jaar marktanalysebesluiten. Daarin worden regels gesteld voor KPN, Tele2, Online, Ziggo, UPC en andere marktpartijen die internet en telecomdiensten aanbieden. Deze besluiten zijn bepalend voor hoe de sector zich de komende drie jaren ontwikkelt. En dus wordt er vrijwel altijd tegen al deze besluiten geprocedeerd. Anders dan wel wordt gedacht, niet als automatische reflex maar omdat de toezichthouder nou eenmaal niet onfeilbaar is.

De besluiten hebben een omvang van vier- tot vijfhonderd bladzijden, soms nog wel meer. Voor degenen die ermee werken is het dan ook praktisch (om niet te zeggen: noodzakelijk) dat de besluiten langs elektronische weg worden bekendgemaakt. Om de besluiten goed te begrijpen en om inconsistenties eruit te halen, is het nodig om gebruikte maken van de zoek- en selecteerfunctionaliteiten. Omdat het onontkoombaar is dat een het bestreden besluit in het beroepschrift worden geciteerd, is het ook praktisch dat eruit de besluiten kan worden gekopieerd en geplakt (cut and paste).

Onlang bleek dat dit laatste niet meer mogelijk. Waar de besluiten in het verleden nog zonder beperkingen op de website werden geplaatst, heeft OPTA ervoor gekozen om de besluiten alleen met kopieerbeperkingen beschikbaar te stellen. Daardoor is het niet meer mogelijk om tekstonderdelen te kopiëren. Althans niet zonder extra software aante schaffen waarmee de kopieerbeveiliging kan worden omzeild cq. kan worden gekraakt.

Waarom OPTA dit doet is onduidelijk. Op de website wordt het niet toegelicht. Een OPTA-medewerker die ik erover sprak, vertelde mij dat men slechte ervaringen had met ‘onbeveiligde’ documenten. De terminologie is veelzeggend: alsof het citeren uitbesluiten een risico is waartegen beveiliging geboden is. Het geeft te denkenals er niet zou mogen worden geciteerd uit een gepubliceerd besluit.

Ook overigens kan ik mij weinig voorstellen bij dergelijke risico’s of slechte ervaringen. Van auteursrechtinbreuken kan geen sprake zijn, want op de besluiten rusten géén auteursrechten(art. 11 Auteurswet). Verder moet de toezichthouder, zoals alle overheidsorganen,eraan meewerken dat de informatie in besluiten en andere documenten beschikbaar wordt gemaakt voor commercieel hergebruik. In dat verband wordt verlangd dat de besluiten zoveel mogelijk langs elektronische weg worden beschikbaar gesteld (art. 11d Wet openbaarheid van bestuur).

Is het overdreven om van OPTA te verlangen dat hij zijn besluiten voortaan gewoon weer zonder kopieerbeperkingen beschikbaar stelt? Ik denk het niet. 

 

(Dit is mijn redactioneel voor het Tijdschrift voor Internetrecht, 2009/2; zie ook mijn eerdere bericht over OPTA-beleidsregels)

Apr 012009
 

Eerder berichtte ik al kort over het arrest van het Europees Hof van Justitie van 10 februari jl, in zaak C301/06 over de data retentierichtlijn 2006/24. Zoals aangekondigd heb ik daarover inmiddels een nootje geschreven dat wordt opgenomen in  het eerstvolgende nummer van het Tijdschrift voor Internetrecht (IR2009/3, bldz. 52-54). Hieronder is een voorpublicatie daarvan te lezen.

 

Samenvatting arrest  

De dataretentie-richtlijn(2006/24) verplicht EU-lidstaten om wetgeving te implementeren betreffende debewaring van telecom- en internetgegevens met het oog op het voorkomen,onderzoeken, opsporen en vervolgen van strafbare feiten, waaronder terrorisme. De richtlijn is gebaseerd op artikel 95 van het EG-verdrag. Dit artikel biedt een grondslag voor het nemen van harmoniseringsmaatregelen ten behoeve van de totstandbrenging van de interne markt (zgn. eerste pijler). Ierland,ondersteund door Slowakije, stelt dat de richtlijn nietig moet worden verklaard omdat artikel 95 geen juiste grondslag daarvoor biedt. Ierland stelt dat het‘zwaartepunt’ van de richtlijn niet de werking van de interne markt betreft,maar het onderzoeken, opsporen en vervolgen van strafbare feiten. Dergelijkemaatregelen moeten worden vastgesteld op grond van de bepalingen van het EU-Verdrag inzake politiële en justitiële samenwerking in strafzaken (zgn.derde pijler). Het Hof is het niet met Ierland eens. Het stelt vast dat derichtlijn is vastgesteld op de juiste rechtsgrondslag omdat deze overwegend betrekking heeft op de werking van de interne markt. Het Hof verwerpt het beroep van Ierland. 

Achtergrond 

Verkeers-en locatiegegevens zijn gegevens over de wijze waarop gebruik wordt gemaakt vanvaste en mobiele telecomnetwerken, maar niet de inhoud van de via dezenetwerken overgebrachte communicatie. Het gaat dus om de telefoonnummers van waaruit wordt gebeld en waarnaar wordt gebeld, IP-adressen, het tijdstip en deduur van telefoongesprekken, het moment van verzending van e-mailberichten, delocatie van een mobiele telefoon of blackberry, en dergelijke. Dergelijke gegevens zijn vaak relevant bij het onderzoeken, opsporen en vervolgen vanallerlei strafbare feiten. Afhankelijk van het belang dat wordt gehecht aandergelijke gegevens hebben de verschillende EU-lidstaten dan ook regels en verplichtingen met betrekking tot het beschikbaar houden en beschikbaar stellen daarvan door telecom- en internetaanbieders aan politie en justitie of inlichtingendiensten.

In Nederland staan de verplichtingen betreffende het beschikbaar stellen van de gegevens inde artikelen 126n-126nb van het Wetboek van Strafvordering en enige bepalingenin de Wet op de inlichtingen- en veiligheidsdiensten 2002. Vooralsnog zijntelecom- en internetaanbieders in Nederland nog maar in heel beperkte mate gehouden de gegevens te bewaren en beschikbaar houden. Een beperkte bewaarplicht geldt thans alleen voor gegevens over het tijdstip van de communicatie en denummers die daarbij zijn gebruikt, alsmede het relevante gsm-basisstation. Deze gegevens moeten gedurende drie maanden door de aanbieders worden bewaard.[1]Voor overige verkeers- en locatiegegevens geldt op dit moment nog dataanbieders deze moeten verstrekken als politie, justitie of andere ‘behoeftestellers’ deze vorderen. Echter, als de aanbieder om wat voor reden dan ook niet of niet meer over deze gegevens beschikt, kan en behoeft hij deze niet te verstrekken. Van die situatie kan al snel sprake zijn omdat de telecomwetgeving[2] inbeginsel niet toestaat dat aanbieders de gegevens langer bewaren dan nodig is voor het leveren van hun telecom- of internetdiensten en de facturering daarvan.

Vanuit politie, justitie en inlichtingendiensten wordt –niet geheel onbegrijpelijk– metenige regelmaat aangedrongen op meer mogelijkheden om te kunnen beschikken over de verkeers- en locatiegegevens die relevant kunnen zijn voor de opsporing envervolging van strafbare feiten. Deze ‘behoeftestellers’ kunnen zich dan ook wel vinden in de dataretentierichtlijn 2006/24.[3]Immers, deze richtlijn verplicht Nederland en alle andere lidstaten van de EU om aanbieders te verplichten een aantal categorieën van verkeers- en locatiegegevenstussen de zes en vierentwintig maanden te bewaren. Dit ten behoeve van het onderzoeken,opsporen en vervolgen van ernstige strafbare feiten.[4] Dergelijke wetgeving beperkt daarmee het risico dat de aanbieder niet meer beschikt over gevorderde gegevens en deze dus niet behoeft te verstrekken. In zoverre betekent de richtlijn dus, in elk geval in Nederland, een (aanmerkelijke) versteviging van de mogelijkheden van politie en justitie (enz.) om verkeers-en locatiegegevens daadwerkelijk te verkrijgen.[5]

Het arrest in zaak C301/06

Het arrest van het Hof ging over de rechts­grondslag van de dataretentierichtlijn.De richtlijn is vastgesteld op basis van artikel 95 van het EG-verdrag. Dit artikel ziet op harmonisering ten behoeve van de interne markt – dat wil zeggen:het vaststellen van maatregelen inzake de onderlinge aanpassing van de wettelijke en bestuursrechterlijke bepalingen van de lidstaten die de instelling en dewerking van de interne markt betreffen. In het Europeesrechtelijke jargon spreekt men in dat verband ook wel van ‘de eerste pijler’.

De vraagdie het Hof in zijn arrest moest beantwoorden was of de richtlijn inderdaad, zoals de gemeenschapswetgever meent, moet worden gezien als een harmoniseringsmaatregel,die op grond van dit artikel 95 van het EG-verdrag kan worden genomen. Ierland,daarbij gesteund door Slowakije, vond dat dit niet het geval was. Volgens deze lidstaat was het overwegende doel van de richtlijn niet zozeer harmonisering(eerste pijler) maar het vergemakkelijken van het onderzoek, de opsporing en de vervolging van strafbare feiten (derde pijler). En de enige geldige rechtsgrondslagdaarvoor ligt in het EU-Verdrag, niet in het EG-verdrag.[6] De relevantie van de éne of de andere pijler als grondslag houdt onder andere verband met welke instituten (de Raad, Europees Parlement) in welke mate zeggenschap hebben in de besluitvorming.

Om zijn standpunt te onderbouwen verwijst Ierland naarartikel 1, eerste lid, van de richtlijn en de considerans daarbij. Veelzeggend is de verwijzing in de considerans naar een verklaring waarin de Raad, alswetgever, wordt opgedragen om maatregelen te bestuderen cq. te overwegen methet oog op het vaststellen van gemeenschappelijke regels voor het bewaren van verkeersgegevens door telecomaanbieders,[7] onderandere naar aanleiding van de terroristische aanslagen in Londen.[8] Verder wordt in de considerans gewezen op de noodzaak om op Europees niveau te waarborgen dat verkeer- en locatiegegevens gedurende een bepaalde periode onder specifieke voorwaarden worden bewaard – dit gelet op het belang daarvan voorhet onderzoeken, opsporen en vervolgen van strafbare feiten.[9] Volgens Ierland wijst een en ander, en nog wel meer,[10]erop dat het ‘zwaartepunt’ van de richtlijn ligt in het in alle lidstaten invoeren van een bewaarplicht met betrekking tot de gegevens, en niet zozeer in het harmoniseren van dergelijke verplichtingen.

Het Hof is het daar niet mee eens. Het toetst doel en inhoud van de richtlijn en komtvervolgens tot het oordeel dat deze terecht op artikel 95 van het EG-verdrag isgebaseerd.

§         Wat betreft het doel van de richtlijn verwijst het Hofnaar enkele overwegingen in de considerans van de richtlijn, waarin wordt gesproken over de juridische en technische verschillen tussen de nationaleregelingen op het gebied van het bewaren van gegevens door de aanbieders.[11] In verband daarmee geeft het Hof aan dat de in verschillende lidstaten geldendebewaarplichten voor aanbieders een grote economische weerslag hebben, omdatdeze substantiële investeringen en exploitatiekosten met zich brengen. Volgenshet Hof wijst dat erop dat de verschillen tussen de nationale regelingen dewerking van de interne markt rechtstreeks kunnen beïnvloeden of kunnen gaanbeïnvloeden. In deze situatie, aldus overweegt het Hof, worden aangenomen dat de richtlijn inderdaad bedoeld is om de werking van de interne markt te verbeteren.

§         Wat betreft de inhoud van richtlijn stelt het Hof vast dat de bepalingen van de richtlijn zich beperken tot de activiteiten van telecom-en internetaanbieders. De richtlijn gaat, zo redeneert het Hof, over het harmoniserenvan de in verschillende lidstaten geregelde bewaarplichten als zodanig (art.3), de te bewaren categorieën gegevens (artikel 5), de bewaartermijn (artikel6), de bescherming en beveiliging van de gegevens (artikel 7) en de opslag daarvan (artikel 8). Deze bepalingen hebben, zo overweegt het Hof, nadrukkelijkgeen betrekking op de door de aanbieders aangeboden diensten, en evenmin op de toegang tot de daarvoor gegenereerde verkeers- en locatiegegevens of hetgebruik daarvan door politie en justitie, en andere behoeftestellers. Verder gaat de richtlijn niet over de uitwisseling van de gegevens of de samenwerking vanpolitie en justitie, of anderszins over activiteiten die normaal gesproken vallen binnen de werkingssfeer van het EU-Verdrag (derde pijler).2]

Een en ander is voor het Hof reden om aan te nemen dat richtlijn 2006/24 overwegend betrekkingheeft op de werking van de interne markt. En dus dat deze kan worden gebaseerd op artikel 95 van het EG-verdrag.

Het passagiersgegevensarrest

Interessant is hoe het arrest zich verhoudt tot het passagiersgegevensarrest van 30 mei2006.[13]In dit arrest ging het om de gegevens over passagiers die luchtvaartmaatschappijennaar de autoriteiten in de VS moesten doorsturen. Evenals in het datarententiearrest moesten zij dit doen ten behoeve van onderzoek naar en bestrijding, opsporing en vervolging van ernstige strafbare feiten, meer in het bijzonder terrorisme. In het passagiersgegevensarrest ging het evenwel niet zozeer om het voor politie en justitie en dergelijke bewaren en beschikbaarhouden van gegevens, maar om het verstrekken ervan.

Waar het Hof beslissende betekenis aan toekent is dat de passagiersgegevens niet per sé nodig waren voor het verlenen vande diensten door de luchtvaartmaatschappijen. De verstrekking van deze gegevensis alleen nodig (althans wordt alleen nodig geacht) voor het waarborgen van de openbare veiligheid en voor de wetshandhaving. En dat betekent dat daarop gerichte maatregelen vallen onder de werkingssfeer van het EU-verdrag (derde pijler).Voor de verkeers- en locatiegegevens ligt dat volgens het Hof in het onderhavige arrest anders. In de redenering van het Hof zijn deze gegevens sowieso nodig om telecom- eninternetdiensten te verlenen. Waar het gaat om het nemen van maatregelen met betrekking tot deze gegevens gaat het dus, in de redenering van het Hof, om activiteiten die niet zozeer verband houden met activiteiten van politie en justitie, maar veeleer met de werking van de interne markt.

Wat ervan te vinden?

Ik kan de redenering van het Hof volgen, maar vind die niet overtuigend. Ik kan mij,evenals anderen,[14]niet aan de indruk onttrekken dat het de gemeenschapswetgever wel degelijk omte doen was om het introduceren van een bewaarplicht in de lidstaten, en niet zozeer om het wegwerken van verschillen in de nationale wetten van de lidstaten. De voorgeschiedenis van de richtlijn[15]en de door Ierland aangehaalde overwegingen duiden daar wat mij betreft onmiskenbaar op.

Als het om de werking van de interne markt te doen zou zijn geweest, dan is niet goed uit te leggen dat de richtlijn geen bepalingen bevat over wie opdraait voor deniet geringe kosten die moeten worden gemaakt om de gegevens te bewaren. Wat de werking van de interne markt kan verstoren, is dat de éne lidstaat ertoe overgaat om (sommige) aanbieders te compenseren, en de andere niet. Een dergelijke marktverstoring is niet denkbeeldig, zo blijkt uit de discussie[16]die thans in Nederland wordt gevoerd met betrekking tot de implementatie vanhet Wetsvoorstel bewaarplicht telecommunicatiegegevens.[17]Ook de in de richtlijn gegeven nogal ruim bemeten bandbreedte voor de bewaartermijn – ten minste 6 en ten hoogste 24 maanden – duidt volgens mij nietop de wens om nationale wetgeving binnen de Europese Unie te harmoniseren.

Wat de twijfel over de bedoelingen van de gemeenschapswetgever nog versterkt is dat de richtlijn niet aangeeft hoe en in hoeverre de werking van de interne marktwordt gehinderd door de verschillen in de nationale regelingen van delidstaten. De richtlijn volstaat met de stellingname dat…

“…de juridische en technische verschillentussen de nationale bepalingen op het gebied van het bewaren van gegevens tenbehoeve van het voorkomen, onderzoeken, opsporen en vervolgen van strafbare feiten [..] de werking van de interne markt voor elektronische communicatie [belemmeren].

En ditomdat volgens de richtlijn…

[d]e aanbieders van diensten immers wordengeconfronteerd met uiteenlopende voorschriften wat betreft de categorieën tebewaren verkeers- en locatiegegevens, de bewaringsvoorwaarden en bewaringstermijnen.”

Er isdus, volgens de gemeenschapswetgever, sprake van belemmeringen met betrekking tot de werking van de interne markt omdat er ‘uiteenlopende voorschriften’zijn. Ik vind dat te kort door de bocht. Op talloze gebieden is sprake vanuiteenlopende voorschriften, maar dat is op zichzelf nog geen reden om te harmoniseren.[18]Er moet meer aan de hand zijn, en dat vergeet de gemeenschapswetgever gemakshalve aan te geven.

Alles bijelkaar komt het nogal geforceerd over om vol te houden dat de dataretentierichtlijn gaat over de interne markt. De harmonisering wordt er, zogezegd, met de harenbijgesleept. Het lijkt erop dat de gemeenschapswetgever de verschillende overwegingen over harmonisering, waar het Hof beslissende betekenis aantoekent, vooral heeft opgenomen om de richtlijn ‘artikel 95 bestendig’ of‘ECoJ-proof’ te maken. Als ik mij beperk tot Nederland is duidelijk dat derichtlijn ertoe leidt dat politie, justitie en andere behoeftestellers meer mogelijkheden verkrijgen om te kunnen beschikken over verkeers- en locatiegegevens. Daar is wat voor te zeggen, maar heeft weinig te maken met de interne markt, en alles met onderzoek, opsporing en vervolging van strafbare feiten.

Wat ik maar wil zeggen is dat de dataretentierichtlijn, gelet op de inhoud en kennelijkebedoeling daarvan, al met al weinig bijdraagt aan de werking van interne markt.Ik heb in elk geval niet de indruk dat telecom- en internetaanbieders dankzijde richtlijn meer kansen zien om activiteiten te ontplooien in anderelidstaten. Integendeel.

Dit gezegd hebbend is het, in termen van rechtsbescherming en –waarborgen, niettemin niet verkeerd dat is gekozen voor artikel 95 EG-verdrag als grondslag. Hetalternatief zou een kaderbesluit zijn op grond van het EU-verdrag. En juist daaropvalt in termen van privacybescherming, rechtstatelijkheid en democratische legitimering veel aan te merken – al was het maar omdat het Europees Parlementbij deze grondslag weinig te zeggen heeft en het Europees Hof van Justitie slechts beperkte toetsingsmogelijkheden heeft.[19]

 

Op deze tekst is een CreativeCommons-Licentie (by-nc-nd 2.5 Netherlands) van toepassing.  

 


[1] O.g.v. art. 13.4, tweedelid, van de Telecommunicatiewet (Tw) jo. art. 7 Besluit bijzondere vergaringnummergegevens telecommunicatie (Stb.2002, 31)

[2] Art. 11.5 Tw.

[3] Richtlijn 2006/24/EG van het Europees Parlement en de Raadvan 15 maart 2006 betreffende de bewaring van gegevens die zijn gegenereerd ofverwerkt in verband met het aanbieden van openbaar beschikbareelektronische-communicatiediensten of van openbare communicatienetwerken en totwijziging van richtlijn 2002/58/EG, PbEGL 105/54)

[4] Zie voor een overzicht vande te bewaren gegeven art. 5, eerste lid, van de dataretentierichtlijn.

[5]Zwenne 2009 (T&C Telecomrecht e.a.),art. 11.13, aant. 3;Knol 2009 (T&C Telecomrecht e.a.),art. 13.2a Wetsvoorstel 31145, aant. 1 t/m 4.

[6] Nl. titel VI, m.n. art.30, 31, lid 1, sub c, en 34, lid 2, sub b, van het EU-verdrag

[7] Zie overw. 8 van deconsiderans bij de richtlijn; Europese Raad, 25 maart 2004, Declaration on combattingterrorism (www.consilium.europa.eu).

[8] Zie overw.10 van de considerans bij de richtlijn; Europese Raad 13 juli 2005, Pressrelease extraordinary council meeting Justice and Home affairs, 11116/05(presse 187).

[9] Vgl. overw. 11 van deconsiderans bij de richtlijn.

[10] Vgl. overw. 7, 9 en 21 vande considerans bij de richtlijn, alsmede artikel 1, eerste lid daarvan.

[11] Zie overw. 5 en 6 vanconsiderans bij de richtlijn.

[12] Vgl. overw. 25 van deconsiderans en artikel 4 van de richtlijn.

[13] Vgl.EHvJ van 30 mei 2006, C317/04 en C318/04  (Parlement/Raad en Commissie) Jurispr. 2006, p. I-04721.

[14] G-J. Zwenne & A.H.J.Schmidt, ‘Opmerkingen bij het wetsvoorstel Wet bewaarplicht telecommunicatiegegevens’Mediaforum 2008/7-8, p. 278-285; C.van Veen & P. van Ginneken, ‘De dataretentierichtlijn: Speelbal tussenpijlers’, Mediaforum 2009/1, p. 2-10;J. van Hoboken, ‘AG’s opinion on data retention Directive is flawed’, 15 oktober2008 (www.jorisvanhoboken.nl).

[15] Zie m.n. overw. 9 en 11 inde considerans van de richtlijn.

[16] Zie F.P. Sickinghe, ‘Debewaarplicht: slimme overheid versus domme boeven’, IR 2009/1, p. 14-15

[17] Kamerstukken I en II 2008/09, 31145, nrs. 1 t/m 16, A t/m E.

[18] G-J. Zwenne & A.H.J.Schmidt, ‘Opmerkingen bij het wetsvoorstel Wet bewaarplicht telecommunicatiegegevens’Mediaforum 2008/7-8, p. 278-279.

[19] Vgl. P. Blok, ‘Rechtszaakvan het Europarlement is geen zegen voor privacy van de luchtvaartreiziger’, NJB 2006/25, p. 1367; zie ook A.H.J.Schmidt & G-J Zwenne 2005, ‘Recht en risico: kanttekeningen bij hetvoorstel voor een richtlijn over de bewaring van telecommunicatiegegevens’, Mediaforum 2005/9, p. 292-302.