In het NPC2021 mag ik weer de (volgens mij) belangrijkste ontwikkelingen van 2020 en 2021 bespreken. Dit is de presentatie waarvan ik gebruik ga maken.
De Autoriteit persoonsgegevens (AP) houdt toezicht op de naleving van de privacywetgeving, zoals de Algemene Verordening Gegevensbescherming of AVG. Deze verordening is niet altijd even duidelijk. Daarom maakt de autoriteit met enige regelmaat bekend wat haar opvattingen zijn over de begrippen en regels daaruit.
Vorige maand publiceerde de autoriteit zo’n norm-uitleg over de verwerkingsgrondslag van het gerechtvaardigd belang. Daarover was, en is, veel te doen. De normuitleg is eigenzinnig, om niet te zeggen controversieel. Waarover gaat het?
De privacywet AVG staat toe dat er persoonsgegevens worden verwerkt als er sprake is van een gerechtvaardigd belang, tenzij [lees verder]
Dit is mijn inbreng (op persoonlijke titel natuurlijk) voor de internetconsultatie van het ontwerp van de Uitvoeringswet AVG
REACTIE T.B.V. INTERNETCONSULTATIE
Uitvoeringswet Algemene Verordening Gegevensbescherming
20 januari 2017 | prof. mr. G-J. Zwenne
1. In de toelichting bij het ontwerp van de Uitvoeringswet AVG wordt uiteengezet dat daarin wordt gestreefd naar een beleidsneutrale uitvoering van de verordening ten opzichte van het geldend recht onder de richtlijn en de Wbp. Dit houdt in dat het bestaande recht wordt gehandhaafd, tenzij dit in het licht van de verordening niet mogelijk is.
2. In het licht daarvan is opmerkelijk, en te betreuren, dat in het ontwerp van de Uitvoeringswet niet is voorzien in een regeling voor de bindende aanwijzing zoals die op dit moment is opgenomen in artikel 66, derde t/m vijfde lid, van de Wet bescherming persoonsgegevens (“Wbp”)
3. De regeling voor de bindende aanwijzing is recent, namelijk op 1 januari 2016, opgenomen in de wet (Stb. 2015, 230 en 281). Dit nadat de Raad van State had gewezen op de noodzaak daarvan (Stcrt. 2014, nr. 34523), en nadat daarover zowel in zowel de Tweede Kamer als in de Eerste Kamer serieus en uitvoerig is gedebatteerd.
Zie o.a. Kamerstukken II 2012/13, 33662, nr. 3, p. 13, nr. 5, p. 10; Kamerstukken II 2013/14, 33 662, nr. 7, p. 5; Kamerstukken II 2014/15, 33662, nr. 9, p. 1-2, 6, nr. 11, p. 14, nr. 15, p. 2-4; Kamerstukken I 2014/15, 33662, B, p. 5-7, C, p. 19 en 23-24.
4. De overweging om de bindende aanwijzing op te nemen in de wet houden verband met het lex certa-beginsel. Dit beginsel houdt in dat een voorschrift dat door punitieve sancties wordt gehandhaafd, voldoende duidelijk, voorzienbaar en kenbaar moet zijn. Het betreft een belangrijk rechtstatelijk beginsel en is dan ook te vinden artikel 16 Grondwet, alsmede in de mensenrechtverdragen (art. 15 IVBPR en art. 7 EVRM) en in artikel 5:4 van de Algemene wet bestuursrecht.
5. Een bindende aanwijzing is volgens de Raad van State nodig omdat het in de privacywetgeving, op dit moment de Wbp, over vrijwel de gehele linie gaat om zeer vage normen waarover relatief weinig rechtspraak bestaat. Onder die omstandigheden is duidelijk dat de verantwoordelijke, als normadressaat, in een niet te verwaarlozen aantal gevallen een aanzienlijke inspanningsverplichting moet leveren om, met inzet van (vaak kostbare) professionele deskundigheid, te (laten) beoordelen in hoeverre hij in overtreding is en in verband daarmee of, en op welke wijze, hij een bestuurlijke boete kan ontlopen.
6. Ook merkt de Raad van State op dat eventuele nadere regels, richtsnoeren van de toezichthouder of gedragscodes dit probleem slechts gedeeltelijk kunnen oplossen. Dit omdat het veelal gaat om een afweging van vaag omschreven belangen die pas in het concrete geval betekenis krijgen. Om deze reden acht de Raad van State het ongewenst dat onder dergelijke omstandigheden zonder meer een bestuurlijke boete kan worden opgelegd.
7. Om aan dit bezwaar tegemoet te komen heeft de wetgever in de wet bepaald dat de toezichthouder bij een vermoeden van een overtreding niet onmiddellijk een bestuurlijke boete kan opleggen, maar eerst een bindende aanwijzing moet geven. De toezichthouder kan daarin ter concretisering van de abstract-algemene wettelijke norm aangeven welke gedraging op grond van de Wbp van de verantwoordelijke wordt verwacht en kan deze verantwoordelijke daarbij opdragen om de overtreding te beëindigen. Als de bindende aanwijzing vervolgens niet binnen een bepaalde termijn wordt opgevolgd, kan een bestuurlijke boete worden opgelegd.
8. Elders in de Nederlandse wetgeving worden ter uitvoering en handhaving van Europese regelgeving vergelijkbare constructies gehanteerd.
Aldus Advies Raad van State, nr. W03.13.0464/II 19 februari 2014, inz. nota van wijziging inzake wijziging van de Wet bescherming persoonsgegevens (33 662), Nader Rapport, Stcrt. 2014, 34523.
9. De regering heeft naar aanleiding van dit advies in artikel 66, derde t/m vijfde lid, Wbp de regeling voor de bindende aanwijzing opgenomen. Aldus is voorzien in de waarborg dat wordt voldaan aan de vereisten die voortvloeien uit het lex certa-beginsel.
10. In de AVG staan niet minder vage normen en begrippen dan op dit moment in de Wbp. Integendeel. In besprekingen van de verordening wordt erop gewezen dat de verordening nog onverminderd heel veel open begrippen en algemeen-abstracte normen bevat, die allemaal in de praktijk zullen moeten worden geconcretiseerd en waarvan een eenduidige en geloofwaardige uitleg in veel gevallen vereist dat de rechter zich daarover uitspreekt.
Zie bijv. J. Holvast, ‘Veel onduidelijkheden kenmerken de nieuwe AVG’, P&I 2016/6, p. 237; J.P. De Jong, ‘De Algemene verordening gegevensbescherming’, Regelmaat 2015/1, p. 1-18; H. de Vries & M. Goudsmit, ‘Voorsorteren op de Algemene Verordening Gegevensbescherming: twee stappen vooruit, één stap terug’, NJB 2016/22, p. 1553-1560.
11. Er is verder geen aanleiding om te veronderstellen dat de regeling voor de bindende aanwijzing, zoals die op dit moment in de wet is opgenomen, niet zou zijn te verenigen met de verordening of afbreuk zou doen aan de door de verordening te beschermen belangen. Het is daarom niet goed te begrijpen waarom in het ontwerp van de Uitvoeringswet AVG, gelet op het uitgangspunt van beleidsneutrale implementatie, niet is voorzien in handhaving van deze regeling. Het lex certa-beginsel is, als gezegd, een belangrijk rechtstatelijk beginsel. En juist als het gaat om de bescherming van fundamentele rechten en vrijheden kan daaraan niet voorbij worden gegaan.
12. Om deze redenen ligt in de rede dat de regeling voor de bindende aanwijzing, zoals die op dit moment staat in artikel 66, derde t/m vijfde lid, Wbp, wordt gehandhaafd in de Uitvoeringswet AVG.
Den Haag, 19 januari 2016
Het siert Airbnb dat het tot nu toe niet gezwicht is voor druk van sommige stemmen in gemeente om klantgegevens te delen
De Amsterdamse deeleconomie doet het goed. Via het online platform voor vakantieverhuur Airbnb verhuren veel Amsterdammers af en toe hun woning aan toeristen. De gemeente ziet daarvan de voordelen. Zo incasseerde de hoofdstad vorig jaar ongeveer € 5,5 mln aan toeristenbelasting van het platform. Amsterdam nam al in 2014 de beslissing om deze vorm van vakantieverhuur onder voorwaarden toe te staan.
Maar, zoals dat gaat, niet iedereen houdt zich altijd aan die voorwaarden. En daarom verlangt de gemeente thans de stelselmatig verstrekking van de persoonsgegevens van de gebruikers van het platform. De Amsterdamse overheid denkt dat dit kan op basis van vrijwilligheid en hoopt er in overleg met het platform uit te komen.
Op het eerste gezicht lijkt voor die maatregel wel wat te zeggen en onder andere in deze krant was daarvoor ook wel enige bijval. Omdat sommige van de overtreders gebruik maken van Airbnb ligt het voor de hand om van het platform te verlangen dat het de gegevens van huurders en verhuurders doorgeeft, zodat de gemeente effectief kan optreden tegen illegale verhuur en overlast. Waarom zou, zo redeneert de gemeente, Airbnb geen bijdrage leveren aan het oplossen van de problemen die door het gebruik van haar platform worden veroorzaakt?
Toch zou zo een ‘publiek-private samenwerking’ een slechte ontwikkeling zijn die op gespannen voet staat met de Wet Bescherming Persoonsgegevens, in het dagelijks leven ook wel de privacywet genoemd. Het zou betekenen dat de gegevens die zijn verzameld voor het aanbieden van een commerciële marktplaats worden gebruikt voor publiekrechtelijke repressieve handhavingsdoeleinden en de oplossing van grootstedelijke problemen.
Wie gebruik maakt van Airbnb verwacht, en mag in redelijkheid verwachten, dat zijn gegevens in beginsel alleen worden gebruikt door het verlenen van e de door deze gebruiker afgenomen diensten. En dat laat zich niet verenigen met de stelselmatige verstrekking van al die gegevens aan de overheid om overlast te bestrijden van een aantal van deze huurders en verhuurders. Daarbij is er het niet denkbeeldige risico dat de gegevens ook voor andere doeleinden gaan worden gebruikt. Bijvoorbeeld om iets te doen aan scheefwonen of inkomensbeleid. We spreken dan al snel van ‘fishing expeditions’ en ‘function creep’. En dat risico wordt alleen maar groter als gegevens ‘vrijwillig’ worden verstrekt aan de overheid zonder duidelijke wettelijke spelregels.
Er zijn natuurlijk situaties voorstelbaar waarbij de gemeente in individuele gevallen wél gegevens bij Airbnb moet kunnen opvragen. Maar daarvoor is in de wet voorzien in procedures die van de autoriteiten eisen dat zij zorgvuldige belangenafwegingen maken. Als er een onderzoek loopt tegen een verhuurder die zich niet houdt aan de regels, bijvoorbeeld als hij zijn woning — die onder de categorie vakantieverhuur valt — meer dan zestig dagen per jaar verhuurt, kan de gemeente bij Airbnb zijn gegevens opvragen. En als aan alle voorwaarden van de wet is voldaan, is er geen enkele reden waarom het platform de gegevens niet zou verstrekken.
Deze wettelijke regeling is er niet voor niets. Er is zo gewaarborgd dat er voldoende gewicht wordt toegekend aan de belangen van de huurders en verhuurders, waarvan de meesten zich keurig aan de regels houden. En ook dat de gemeente niet te gemakkelijk kan beschikken over hun gegevens. Het platform heeft in deze context ook al eerder aangegeven dat het gegevens zou verstrekken als dat op de juiste wijze wordt verzocht.
Het siert Airbnb dan ook dat het tot nu toe niet gezwicht is voor de druk van sommige stemmen in de gemeente om de gegevens van zijn klanten stelselmatig te delen. De hoogste Europese rechter heeft al een paar keer uitgesproken dat de verplichte bulkverstrekking van klantgegevens aan overheden al snel in strijd komt met het fundamentele recht van privacy en gegevensbescherming.
De gemeente Amsterdam doet er goed aan daarvan nota te nemen en Airbnb niet te dwingen om net zo illegaal te handelen als de verhuurders die de gemeente wil aanpakken.
Prof. mr. Gerrit-Jan Zwenne is hoogleraar recht en de informatiemaatschappij aan de Universiteit Leiden en advocaat bij Brinkhof te Amsterdam.
Wat doen we met de functionaris voor de gegevensbescherming (m/v)?
Over iets minder dan twee jaar treedt de Algemene Verordening Gegevensbescherming in werking. Een van gevolgen daarvan zal zijn dat veel internetondernemingen een zogeheten ‘functionaris voor de gegevensbescherming’ of ‘data protection officer’ (m/v) moeten benoemen. Dat is iemand die binnen de organisatie waarvoor hij is benoemd optreedt als onafhankelijk toezichthouder op toepassing van privacy- en gegevensbeschermingsregels. Een functionaris wordt onder andere verplicht als er sprake is van het stelselmatig observeren van internetgebruikers op grote schaal,[1] wat bijvoorbeeld gebeurt als gedragingen van internetgebruikers op een website of app worden gevolgd en bijgehouden. Er kan daarom wel vanuit worden gegaan dat er een grote vraag zal zijn naar dergelijke functionarissen.[2]
Wie komen er in aanmerking om te worden benoemd als functionaris? In de verordening staat dat een functionaris wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen om de hem of haar opgedragen taken te vervullen. Een en ander laat nogal wat interpretatieruimte. En dat vergroot het risico dat er functionarissen worden benoemd die daarvoor niet zonder meer geschikt zijn.
Wat daarom nuttig lijkt is een systematiek waarbij de benoeming van een functionaris kan worden getoetst. Wie zou dat moeten doen? Voor de hand ligt wellicht dat een beroepsorganisatie van functionarissen dat gaat doen. De organisatie die in Nederland het dichtst daarbij in de buurt komt is het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming of NGFG.[3] Het genootschap kan bijvoorbeeld de wettelijke vereisten uit werken in een toetsingskader, dat kan worden gebruikt om te toetsen of iemand over de kwaliteiten beschikt om te worden aangemerkt als functionaris.
Ook de toezichthouder, de Autoriteit persoonsgegevens, kan daarbij een rol spelen. In het kader van het toezicht op de naleving van de functionarisverplichting kan de toezichthouder verlangen dat wordt aangetoond dat een functionaris beschikt over de vereiste deskundigheid en professionele kwaliteiten. Voorstelbaar is dat de toezichthouder dan ook betekenis toekent aan de toetsing door een beroepsvereniging, als NGFG, als die inderdaad erin slaagt een werkend toetsingskader op te tuigen.
Van alle nieuwe dingen die de verordening gaat brengen wordt de verplichte functionaris voor internetondernemingen misschien wel een van de minst vrijblijvende. Er is ook daarom veel voor te zeggen nu al na te denken over de wijze waarop straks aan deze verplichting kan worden voldaan.[4]
[1] Art. 37, eerste lid, onder b, AVG.
[2] ‘Ten minste 28 duizend data protection officers nodig’ Emerce 5 augustus 2016
[3] Het NGFG is de Nederlandse beroepsvereniging van Functionarissen Gegevensbescherming. Zie www.ngfg.nl
[4] Voor een verder uitwerking wordt verwezen naar: G-J. Zwenne, ‘Een voorstel om de kwaliteit van de FG te waarborgen. Of: wat het betekent als een functionaris is gecertificeerd’, Privacy & Informatie 2016/5.
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming in werking. Als het gaat om de verwerking van persoonsgegevens hebben we vanaf dat moment niet meer te maken met de Wet bescherming persoonsgegevens, maar met nieuwe regels die in de hele Europese Unie gelijk zijn. Wat betekent dat? In deze bijdrage gaan we in op de tien belangrijkste veranderingen die de verordening met zich brengt.
Een persoonsgegeven is elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Over de uitleg van dit kernbegrip uit het privacy- of gegevensbeschermingsrecht is onenigheid. Enige jaren geleden is onze privacytoezichthouder, toen het ging over de kwalificatie van IP-adressen, zich op het standpunt gaan stellen dat er al sprake is van een persoonsgegeven als de éne persoon kan worden onderscheiden van de andere, ook als onbekend is wie deze persoon is. De toezichthouder rekte daarmee de reikwijdte van het begrip, en dus ook zijn toezichtsdomein, vergaand op. Van de aldus door hem zelf verruimde bevoegdheid maakte de toezichthouder de afgelopen jaren zo een tiental keren enthousiast gebruik. In deze bijdrage voor het tijdschrift Privacy & Informatie (2015/6) een commentaar daarop.
Verkeersborden op de daken van gebouwen en gashouders
In de tweede helft van de twintigste eeuw kwam de commerciële luchtvaart op. En toen al voorzag men dat de maatschappelijke implicaties daarvan groot zouden zijn. Om het toenemend luchtvaartverkeer in goede banen te leiden werd door de ANWB – de organisatie die indertijd verantwoordelijk was voor de bewegwijzering in Nederland – het voorstel gedaan om wegwijzers en verkeersborden te schilderen op de daken van gebouwen en gashouders. Anders zouden, dacht men, vliegtuigen kunnen verdwalen en zouden er ongelukken kunnen gebeuren.
In hun boekje over Big Data gebruiken Sander Klous en Nart Wielaard[*] het voorstel van de ANWB als voorbeeld om te laten zien dat regulering van nieuwe technologische en maatschappelijke ontwikkelingen bepaald niet gemakkelijk is. Hun boekje gaat over Big Data maar het voorbeeld heeft evengoed betekenis voor internet en internetrecht.
Allerlei rechtsgeleerden, onze arme wetgever en zo af en toe een rechter, allemaal zijn ze heel druk bezig om juridische oplossingen te bedenken voor wat wordt gezien als internetproblemen. Denk aan de discussies over trackingcookies, het downloadverbod, het recht om te worden vergeten en misschien ook wel netneutraliteit. Over twintig of dertig jaar weten we welke van deze juridische oplossingen in dezelfde categorie past als het voorstel om verkeersborden af te beelden op de daken van gebouwen en gashouders. We gaan het zien.
Gerrit-Jan Zwenne
[*] Sander Klous & Nard Wielaard, Wij zijn Big Data – De toekomst van de informatiesamenleving, Business Contact 2014
Iets minder dan twee jaar geleden trad in Nederland een nieuwe cookiewet in werking. Sindsdien worden we bij het bezoek van websites geconfronteerd met ongevraagde cookiemededelingen en toestemmingsverzoeken, die door de meesten van ons ongelezen worden weggeklikt.
De bedoeling van de cookiewet — privacybescherming — was goed. De toepassing ervan stuitte op onbegrip. De wet wil internetgebruikers beschermen tegen cookies waarmee heimelijk hun surfgedrag wordt gevolgd. Maar veel internetters ergeren zich vooral aan de pop-ups en banners. Onze cookiewet is bovendien veel strenger dan de wetgeving in andere EU-lidstaten. Nederland heeft een zogeheten bewijsvermoeden in de cookiewet opgenomen. Zogeheten trackingcookies worden volgens onze wet vermoed persoonsgegevens te zijn. En dat betekent dat daarop verschillende juridische voorschriften van toepassing kunnen zijn en dat verschillende toezichthouders daarop toezicht houden. Het gaat om de Telecomwet waarop ACM toezicht houdt, én om de Wet bescherming persoonsgegevens waarop toezicht wordt gehouden door het College Bescherming Persoonsgegevens (CBP).
Een en ander maakt onze cookiewet behalve veel strenger ook onnodig gecompliceerd, met als onvermijdelijk resultaat veel rechtsonzekerheid. In termen van internationale concurrentieverhoudingen is dat op zijn minst hinderlijk. Daarbij is het maar de vraag of onze cookiewet tot meer privacybescherming leidt. In de context van internet is het nou eenmaal altijd twijfelachtig of afwijkende nationale regels überhaupt effectief zijn te handhaven.
Wat ook niet helpt is dat onze nationale privacytoezichthouder nogal eigenzinnige opvattingen heeft over de uitleg van de cookieregels. Zo lijkt het CBP te vinden dat er geen sprake is van geldige toestemming als de internetgebruiker goed is geïnformeerd over de cookies en er vervolgens voor kiest het bezoek aan de website voort te zetten. Volgens het CBP kan er alleen sprake zijn van geldige toestemming als de internetgebruiker klikt op een akkoord- of toestemmingsknop, of als hij een vinkje zet, of iets dergelijks. Door voor de minst gebruiksvriendelijke oplossing te kiezen, negeert de toezichthouder de wens van de Nederlandse en Europese wetgevers. Die hebben zich juist sterk gemaakt voor gebruiksvriendelijkere manieren om toestemming van internetgebruikers te verkrijgen. Ook diskwalificeert het CBP de oplossingen die de afgelopen twee jaar onder andere door buitenlandse toezichthouders zijn ontwikkeld om de privacy van internetgebruikers te beschermen zonder het internet onbegaanbaar te maken.
Het is opvallend dat het CBP juist zijn controversiële opvattingen over het toestemmingsvereiste door middel van handhavingsacties probeert af te dwingen. In onlangs bekendgemaakte ‘rapporten van bevindingen’ concludeert de toezichthouder dat de wet is overtreden omdat de voor cookies verkregen toestemming op ongeldige wijze — want zonder actieve handeling — zou zijn verkregen.
De timing van het CBP lijkt goed. In maart kwam de regering met een wetsvoorstel dat beoogt de cookiewet te versoepelen. Deze reparatiewet beoogt het toestemmingsvereiste te laten vervallen voor cookies met beperkte privacyrisico’s. In de toelichting wordt nogmaals uiteengezet dat de cookieregels, zelfs met het bewijsvermoeden, wel degelijk ruimte bieden voor oplossingen zonder ergerlijke wegklikpop-ups.
Vanuit een ivoren toren is het zicht meestal slecht. De privacytoezichthouder zou er goed aan doen wat beter naar de wetgever te luisteren. Ook wat meer aandacht voor wat internetgebruikers zelf willen zou goed zijn. Uiteindelijk gaat het om de bescherming van hun privacy.
Gepubliceerd in Financieel Dagblad, 18 juni 2014, met daarbij uiteraard vermeld dat ik in mij hoedanigheid van advocaat enkele partijen bijsta die onderwerp zijn van een Cbp onderzoek naar overtreding van de cookieregels.