Oct 262009
 

Het AD vroeg dit weekend mijn mening over een klacht bij de ombudsman van de bond van wetsovertreders tegen de politie, die videobeelden van een insluiper op youtube had gezet. Waar de bond moeite mee heeft, is dat de beelden in een huis zijn gemaakt. De gedachte was (kennlijk) dat een insluiper privacyaanspraken zou kunnen ontlenen aan het huisrecht van de bewoner van het huis waar hij is ingeslopen.

‘t Komt mij nogal kansloos voor. Als je al toekomt aan een afweging van het privacybelang van de insluiper dan moet dat wijken voor het belang van de bewoner om geen insluipers mer over de vloer te hebben, wat ook haar eigen privacybelang omvat. Verder is er natuurlijk het algemene belang dat insluipers kunnen worden opgepakt. De belangenafweging valt denk ik anders uit als de insluiper is opgepakt. Dan is er weinig belang meer bij het publiceren van het filmpje – naming and shaming lijkt mijn geen voldoende belang.

Onvermijdelijk is dat deze klacht juist leidt tot meer aandacht voor het filmpje dat inbreuk zou maken op de privacyrechten van de insluiper. Vanmiddag was het 96 keer bekeken.

Continue reading »

Oct 232009
 

Er blijft discussie over hoe OPTA de nieuwe opt-in regels voor commerciele email uitlegt. De opinie die eerder in het Financieel dagblad stond heb ik in iets gewijzigde vorm naar Adformatie gestuurd.

Inmiddels lijkt OPTA enig afstand te nemen van zijn nog-al-kort-door-de-bocht opvatting over het benaderen van bestaande klanten c.q. de personen van wie e-mailadressen zijn verkregen in het kader van de verkoop van een dienst of product.

Continue reading »

Oct 132009
 

Vorige week is het zakelijk spamverbod in werking getreden (net als het bel-me-niet-register voor telemarketing). Eerder op deze blog heb ik al eens opgemerkt dat ik mij niet kan vinden in de wijze waarop OPTA die nieuwe regels uitlegt. Inmiddels blijkt dat actueel. In het Financieel dagblad verscheen vorige week een opinierende tekst van mij hierover. In de Adformatie van deze week zal die opinie ook in iets aangepaste vorm worden opgenomen. In het juridisch periodiek Mr-online stond al een wat uitgebreider verhaal.

Dit is wat in Adformatie komt te staan: 

Continue reading »

Aug 252009
 

Een conducteur vertelde mij onlangs dat de OV-chip dit najaar wordt ingevoerd op het traject van Leiden CS naar Schiphol. Ik houd mijn hart vast. In Station Leiden is het nu al, terwijl de OV-poortjes open staan, af en toe moeilijk om het perron te bereiken. En waar OV-chip is ingevoerd zie je in de metro rijen ontstaan omdat het niet altijd duidelijk is of je nou echt bent uitgecheckt.

Read More >>

In nu.nl schreef Brenno de Winter een bericht over tram- en metrobedrijven die boetes gaan opleggen als jaar-abonnementhouders niet hebben ingecheckt. Ik heb daar twijfels bij. Er lijkt geen enkele noodzaak te zijn dat deze abonnementshouders inchecken en zodoende de vervoersbedrijven in staat stellen hun reisgedrag vast te leggen. Want de abonnementshouders mogen sowieso reizen en hebben betaald voor onbeperkt reizen (zeg maar: ‘all you can eat’). Dus waarom zou ook van hen begin- en eindpunt van de reizen worden vastgelegd? Ik zie het niet. Of zou het zijn dat men deze gegevens op enig moment wil kunnen gaan gebruiken voor vrolijke marketingacties: een kortingsbon voor de Efteling of een stedentrip naar Hamburg. Van die dingen, niet per se nodig maar waardevol voor vervoersbedrijven die de reisgegevens van hun klanten willen commercialiseren.

GVB en RET bekeuren abonnees met chipkaart

AMSTERDAM – Abonnementhouders kunnen na invoering van de OV-chipkaart als zwartrijder bekeurd worden, wanneer zij hun reis niet registreren. Of vervoersbedrijven dat mogen doen is nog maar helemaal de vraag.

Volgens de regels moet iedere reiziger bij het instappen inchecken met een OV-chipkaart. Dat geldt ook voor klanten met een abonnement en dus automatisch recht op reizen. Wie dat niet doet, krijgt bij controle een boete van 35 euro.

De vervoerbedrijven van Amsterdam en Rotterdam, het GVB en de RET, gaan die regel ook daadwerkelijk hanteren, zo laten voorlichters weten. In Amsterdam zijn er volgens het vervoersbedrijf nu nog geen bekeuringen aan vaste klanten uitgedeeld, omdat mensen nog moeten wennen.

 

Dienstverlening

 Volgens de beide vervoersbedrijven is het in- en uitchecken noodzakelijk. De RET benadrukt dat er veel voordelen aan het registreren van iedere reisbeweging van iedere klant zitten. "Wij kunnen onze dienstverlening dan beter op onze klant afstemmen", stelt voorlichtster Ingrid Verheij. Door reizigersstromen in kaart te brengen kan de capaciteit beter geregeld worden. Ook moet de kaart sociale veiligheid verhogen.

 Trajecten

 Daarnaast werken de vervoersbedrijven met abonnementen voor een beperkte afstand. "Niet alle abonnementen zijn op alle trajecten geldig, en er wordt er voor het extra gereisde afgerekend", verklaart Verheij.

Zij benadrukt dat het vervoersbedrijf niet automatisch weet wie welke routes aflegt, omdat deze gegevens door Trans Link Systems worden beheerd. Dit bedrijf slaat de informatie zeven jaar op.

 Vervoerswet

 De RET wijst er ook op dat de wetgever het inchecken voor iedereen verplicht stelt: "Dat staat in de Vervoerswet", betoogt de zegsvrouw. De wet geeft de minister van Verkeer en Waterstaat de ruimte om zelf voorwaarden aan elektronische reisbiljetten te stellen. In 2000 besloot de minister dat iedere reiziger iedere reisbeweging moet registreren.

Toch is het maar helemaal de vraag of dit uiteindelijk rechtsgeldig is. In de afspraken met het College Bescherming Persoonsgegevens (CBP) is aangegeven dat de centrale registratie nodig is om betalingen tussen de vervoersbedrijven te kunnen verdelen. Ook in de algemene voorwaarden van het overleg van vervoersbedrijven Mobilis is dat als reden voor de registratie van transacties opgegeven.

 Privacy

In het geval van abonnementen is er geen geld te verdelen, omdat er een vast bedrag wordt betaald en soms slechts aan één vervoersbedrijf. Volgens Gerrit-Jan Zwenne, universitair hoofddocent privacyrecht bij eLaw@Leiden van de Universiteit Leiden, is het daarom maar de vraag of de wet voldoende reden is voor een verplichte registratie van abonnementhouders.

In het Europees Verdrag voor de Rechten van de Mens staat dat inbreuken op het recht op privacy alleen zijn geoorloofd als deze noodzakelijk zijn. "En dat is in dit geval nou net niet het geval", stelt hij. "Een minister kan dat niet in een vervoerswet zomaar opheffen."

Zwenne wijst erop dat ook de Wet bescherming persoonsgegevens het onnodig vastleggen van persoonsgegevens verbiedt. Feit is wel dat het CBP wel akkoord met het huidige systeem is. In een reactie wijst de privacywaakhond er dan ook op dat het verplicht inchecken onderdeel van het systeem is.

Niet bij NS

Als de OV-chipkaart bij de Nederlandse Spoorwegen wordt ingevoerd, hebben vaste klanten echter de keus om wel of niet in te checken. "Wij willen de reiziger wel stimuleren om het te doen", zegt een verbaasde voorlichter Ronald Stevens in een reactie.

"Maar als iemand dat niet doet en met een geldig product reist krijgt hij natuurlijk geen bekeuring." Klanten die niet inchecken en verder reizen dan ze hebben betaald, worden wel op de bon geslingerd.

© NU.nl/Brenno de Winter

Jul 232009
 

Eerder op deze blog mopperde ik over het beleid van telecomtoezichthouder OPTA om zijn besluiten alleen te publiceren als pdf met kopieerbeperkingen. In het Tijdschrift voor Internetrecht schreef ik daarover een redactioneel. De toezichthouder heeft dat kennelijk gelezen, want deed mij kort daarna de de toezegging deed dat men dit zou aanpassen.

In onderstaand, recent gepubliceerd persbericht bevestigt OPTA dit. Dat is mooi. Helaas blijft het vooralsnog bij toezeggingen. Toen ik zo even keek op de website bleken veel (heel veel) documenten nog steeds te zijn ‘beveiligd’ tegen kopieren, en soms ook tegen doorzoeken. 

‘t Zal wel de vakantieperiode zijn.

OPTA past beveiligingsniveau online-documenten aan wensen gebruikers aan

Om goed haar werk te kunnen doen publiceert OPTA, de Onafhankelijke Post en Telecommunicatie Autoriteit, jaarlijks zo’n 400 documenten op haar site. Per maand heeft www.opta.nl gemiddeld 18.000 unieke bezoekers die besluiten, consultatiedocumenten, marktcijfers, beleidsregels of andere informatie downloaden. Hiermee wil OPTA belanghebbenden zo goed mogelijk betrekken bij haar toezicht. 

Als communicatietoezichthouder stelt OPTA hoge eisen aan de beveiliging van haar digitale documenten. Zo beschikt OPTA sinds eind 2008 over een verklaring dat zij voldoet aan het Voorschrift Informatiebeveiliging Rijksdienst (VIR). Uit feedback van bezoekers is echter gebleken dat de strenge beveiliging ten koste gaat van het gebruikersgemak van de te downloaden documenten. Daarom heeft OPTA voor een ander beveiligingsniveau gekozen waarbij online documenten die vanaf nu gepubliceerd worden, doorzoekbaar zijn en teksten daaruit makkelijker gekopieerd kunnen worden. Hiermee voldoet OPTA nog steeds aan de eisen van het VIR. 

OPTA werkt continu aan het verbeteren van haar informatievoorziening. Tips en opmerkingen over OPTA’s website zijn welkom bij de webmaster .

May 152009
 

In een symposium van de Consumentenbond mocht ik met letselschade-advocaat Beers in debat over het aanpakken van privacyschendingen. Aanleiding was het voorstel van de bond om voor het lekken van persoonsgegevens uit te gaan van risico-aansprakelijkheid. Een heel slecht idee vind ik dat.

In Webwereld stond vandaag een adequate samenvatting van het debat: 

"Gerrit-Jan Zwenne, advocaat bij Bird & Bird en verbonden aan de Universiteit Leiden, bestempelde invoering van risicoaansprakelijkheid als "…een paardenmiddel. Stel, je website wordt gekraakt omdat de software van Microsoft lek is. Dan zou je hoe dan ook moeten betalen voor het lekken van privédata terwijl je aantoonbaar alles in het werk stelde om je goed te beveiligen. Of je verliest je telefoon met allemaal nummers van anderen, moet je dan gelijk schadevergoeding betalen? Dat gaat te ver. Bovendien moeten alle bedrijven zich dan gaan verzekeren en uiteindelijk betalen consumenten dat toch."
Met de bond en Boer is Zwenne van mening dat wetsovertredingen harder aangepakt moeten worden, maar volgens hem volstaat de huidige wet. Alleen zou de privacywaakhond (CBP) harder moeten optreden. Vervolgens ontstond verschil van mening of dat nu kan. Vanuit de zaal zei Willem Jan Broekema, nu voorzitter van de Internet Society en voorheen werkzaam voor het CBP, dat de wettelijke middelen tekortschieten om afdoende sancties op te leggen. 

Apr 292009
 

Over de reikwijdte van de Wet bescherming persoonsgegevens werd vorig jaar in het tijdschrift Computerrecht gediscussieerd door Moerel (De Brauw) en Fontein Bijnsdorp (CBP). ‘t Ging om de uitleg van artikel 4 van de wet. Ofwel wat wordt bedoeld met de bepaling dat de wet van toepassing is op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland. 

Op verzoek van het tijdschrift Privacy & Informatie schreef ik met kantoorgenoot Chris Erents een bijdrage aan deze discussie. Een pdf van deze bijdrage, die wordt aangemerkt als wetenschappelijk artikel (!), kan hier worden gedownload. Een html-versie staat hieronder.


Reikwijdte Wbp: enige opmerkingen over de uitleg van artikel 4, eerste lid, Wbp

Gerrit-Jan Zwenne en Chris Erents[1]

Het is niet altijd duidelijk waarop en wanneer de Wet bescherming persoons­ge­ge­vens van toepassing is. Zo is er nog steeds veel discussie over de territoriale werking van de wet. Of­wel hoe artikel 4, eerste lid, ervan moet worden uitgelegd en toegepast. Onlangs bleek dat het College bescherming persoonsgegevens uitgaat van een beperkte uitleg – dit in afwijking van wat algemeen leek te worden aangenomen. In deze bijdrage gaan wij nader in op deze discussie en plaatsen wij deze in een breder kader.

§1 Inleiding: discussie over de territoriale werking van de Wbp

In een artikel in het tijdschrift Computerrecht werd medio vorig jaar een aanzet gedaan voor een discussie over de territoriale werking van de Wet bescherming persoonsgegevens (Wbp).[2] In een uitvoerig betoog zet Moerel uiteen hoe het desbetreffende artikel 4, eerste lid, van de wet door College bescherming persoonsgegevens (CBP) wordt uitgelegd, en hoe het volgens haar zou moeten worden uitgelegd. De kern van haar betoog is dat de tekst van deze bepaling ruimte laat voor zowel een beperkte als een ruimere uitleg. Vervolgens wijst de auteur erop dat de toezichthouder om hem moverende redenen heeft gekozen voor een beperkte uitleg, te weten: een uitleg waarin de wet alleen van toepassing is als een verantwoordelijke zelf is gevestigd in Nederland en dus niet als er slechts sprake is van een vestiging van de verantwoordelijke in Nederland. Deze uitleg strookt niet, zo zet de auteur uiteen, met de bedoeling van gemeenschapswetgever met de privacyrichtlijn.[3] En daardoor geeft deze uitleg aanleiding tot verwarring bij (vooral) het internationale bedrijfsleven. Ook stelt zij dat de uitleg lacunes doet ontstaan in de bescherming van persoonsgegevens.

Vervolgens gebeurde er iets verrassends. In een uitgebreide reactie op het betoog van Moerel verklaart CBP-medewerkster Fontein-Bijnsdorp dat de toezichthouder inderdaad uitgaat van voornoemde beperkte uitleg van artikel 4, eerste lid, Wbp.[4] Ook zet zij uiteen waarom de toezichthouder dit doet. Dit is om verschillende redenen opmerkelijk. Allereerst omdat deze uitleg lijkt af te wijken van hoe daarover door veel andere auteurs wordt gedacht. Verder omdat Fontein-Bijnsdorp in haar reactie niet, zoals wel gebruikelijk, het voorbehoud maakt dat de tekst ‘op persoonlijke titel’ is geschreven. Op grond hiervan mogen wij er daarom wellicht vanuit gaan dat het gaat om een onorthodoxe bekendmaking van een beleidsopvatting van het CBP – iets wat doorgaans gebeurt via besluiten en beleidsregels, al dan niet gepubliceerd in de Staatscourant.

In een naschrift op deze reactie van het CBP geeft Moerel een uitgebreide nadere onderbouwing van haar betoog.[5] Daarbij verwijst zij met name naar de totstandkomingsgeschiedenis van de privacyrichtlijn en enige stukken van de zgn. Artikel 29 werkgroep.

Deze discussie leent zich voor een nadere analyse, en niet alleen omdat het raakt aan de fundamenten (of zoals Moerel het zegt: de ‘basics’) van de wet en de bescherming die deze biedt. Van belang is deze discussie ook omdat deze gaat over hoe ver een toezichthouder kan gaan bij het uitleggen van de wet en welke betekenis daaraan moet worden gehecht. In onze bijdrage plaatsen wij deze discussie, waarvoor wij verwijzen naar de desbetreffende bijdragen in voornoemd tijdschrift, in een breder kader en gaan wij na hoe daarover door verschillende stakeholders wordt gedacht. Wij beginnen met een korte uiteenzetting van artikel 4, eerste lid, Wbp en hoe dit artikel wordt uitgelegd (§2) Van belang daarbij is dat onderscheid wordt gemaakt tussen enerzijds de meer feitelijke vraag; welke interpretatie heeft de gemeenschapswetgever werkelijk op het oog gehad en anderzijds de meer normatieve vraag welke uitleg het meest de rechtsbescherming bevordert en het goed functioneren van de interne markt. Vervolgens gaan wij in op de vraag in hoeverre er, gelet de uitleg die wordt gegeven aan het artikel, sprake is van een probleem met betrekking tot de territoriale werking van de wet (§3). In enige afsluitende opmerkingen (§4) geven wij ten slotte onze visie op deze discussie tot dusver.

Wat aan deze bijdrage vooraf ging

In het tijdschrift Computerrecht stelt Moerel het standpunt van het CBP aangaande de toepasselijkheid van de Wbp in internationale situaties ter discussie. Het CBP zou artikel 4 Wbp zo uitleggen dat de privacywet alleen van toepassing is wanneer de verantwoordelijke in Nederland is gevestigd. Als gegevens worden verwerkt door een vestiging in Nederland van een buitenlandse verantwoordelijke zou de Wbp volgens de toezichthouder niet van toepassing zijn. Deze beperkte uitleg leidt volgens Moerel tot verwarring bij het internationale bedrijfsleven en tot lacunes in de rechtsbescherming. (Computerrecht 2008/3, p. 81-91).

In een reactie bevestigt het CBP dat hij inderdaad artikel 4 Wbp in deze beperkte zin uitlegt. Het geeft aan waar zijn standpunt op is gebaseerd en wat daarvoor zijn overwegingen zijn. De toezichthouder meent dat met deze uitleg het functioneren van de interne markt het best wordt gewaarborgd doordat cumulatie van nationale wetgeving wordt voorkomen. Enige steun voor zijn standpunt ontleent het CBP aan overweging 18 uit de preambule van de richtlijn en de evaluatie van van de privacyrichtlijn 95/46. (Computerecht 2008/6, p. 285-289).

Moerel reageert daarop in een naschrift. Zij zet uiteen dat het CBP selectief bronnen kiest voor de onderbouwing van zijn standpunt. In een uitvoerige analyse gaat zij in op de totstandkomingsgeschiedenis van het desbetreffende artikel in de richtlijn, alsmede op de door het CBP aangehaalde bronnen. Ook bespreekt zij een recente opinie van de Artikel 29 werkgroep en enige literatuur over de richtlijn. Haar onveranderde conclusie is dat voor de toepasselijkheid van de Wbp het niet noodzakelijk is dat de verantwoordelijke zelf in Nederland is gevestigd. (Computerrecht 2008/6, p. 290-298).

§2 Artikel 4, eerste lid, Wbp

Over de uitleg en toepassing van artikel 4, eerste lid, van de wet is door verschillende auteurs het nodige gezegd. De meerderheid van deze auteurs lijkt (al dan niet impliciet) uit te gaan van een uitleg waarin sprake is van toepasselijkheid van de wet als er sprake is van een vestiging in Nederland, en niet per sé als de verantwoordelijke zelf in Nederland is gevestigd. Verder hebben ook het CBP en het overlegorgaan van Europese privacytoezichthouders, de Artikel 29 werkgroep, zich uitgelaten over de territoriale werking van de wet, zij het niet altijd even duidelijk.

Wij lopen één en ander af en beginnen bij wat in de wet en de privacyrichtlijn zelf staat.

2.1 Wat staat er in de wet?

Wat zegt de wet zelf over de territoriale werking van de wet? De tekst van het artikel in de wet is niet bijzonder duidelijk:

Deze wet is van toepassing op de verwerking van persoonsgege­vens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland.

De vraag die onmiddellijk opkomt is wie of wat zich in Nederland moet bevinden om te kunnen vaststellen dat de wet van toepassing is. Is de wet van toepassing als de activiteiten plaatsvinden in Nederland? Of als de verantwoordelijke zich in Nederland bevindt? Of ook al als er alleen sprake is van een vestiging in Nederland, zonder dat de verantwoordelijke zelf hier is gevestigd? Als wij ons zouden beperken tot alleen de tekst van de bepaling lijken alle genoemde mogelijkheden te kunnen. 

In de parlementaire geschiedenis van de wet wordt dit niet opgehelderd. Integen­deel. In de memorie van toelichting wordt de volgende nogal verwarrende (want meerduidige) opmerking gemaakt:

“het aangrijpingspunt van de Wbp is de plaats waar de verantwoordelijke is gevestigd”

De zinsnede ‘de plaats waar de verantwoordelijke is gevestigd’ kan op twee manieren worden uitgelegd, namelijk in de zin dat de wet alleen van toepassing is als de verantwoordelijke zelf in Nederland is gevestigd (beperkte uitleg), maar ook in de zin dat er sprake is van toepassing als de verantwoordelijke een vestiging in Nederland heeft (ruimere uitleg). In het laatste geval moet de aangehaalde zinsnede worden begrepen als ‘de plaats of plaatsen waar de verantwoordelijke een vestiging heeft’. Op grond van de wettekst is er, wat ons betreft, in elk geval geen reden om per sé te kiezen voor de eerste, beperkte uitleg.

2.2 Wat zeggen de artikelsgewijze commentaren?

In de uitgaven die een artikelsgewijs toelichting geven op de wet wordt vanzelfsprekend ingegaan op artikel 4, eerste lid, Wbp. In de veelgebruikte uitgave Tekst en Toelichting Wbp (onder redactie van Hooghiemstra & Nouwt)[6] wordt de bewuste passage uit de memorie van toelichting geparafraseerd, echter zonder op te helderen of het nou gaat om de vestigingsplaats van de verantwoordelijke zelf of om de plaatsen waar zich vestigingen bevinden. Deze vraag wordt in deze uitgave dus niet beantwoord.

In het wat minder bekende Compendium Wbp wordt wel een poging gedaan om de tekst van het artikel enigszins op te helderen. Maar het slaagt daarin niet helemaal. De auteur stelt dat:

Het Nederlandse recht is niet van toepassing op vormen van gegevensverwerking in Nederland door verantwoordelijken die niet over een dergelijke vaste vestiging in Nederland beschikken.[7]

Voor het compendium is dus bepalend of de verantwoordelijke al dan niet een ‘vaste vestiging in Nederland’ heeft: zo ja, dan is de wet van toepassing; zo niet, dan niet. Maar niet helemaal duidelijk is of met de term ‘een vaste vestiging in Nederland’ wordt bedoeld dat de verantwoordelijke zelf in Nederland is gevestigd (beperkte uitleg) of dat een elders gevestigde verantwoordelijke ook een vestiging in Nederland heeft (ruimere uitleg). Wij vermoeden dat de auteur de laatste, dus ruimere uitleg voorstaat, maar zijn daarover niet helemaal zeker.

In het Handboek Privacy[8] wordt het volgende, evenmin eenduidig commentaar gegeven:

De toepasselijkheid van de wet wordt in eerste instantie beoordeeld aan de hand van de plaats van vestiging van de verantwoordelijke. Is deze in Nederland gevestigd, dan is de Wbp op de gegevensverwerkingen [onderstr. door ons toegevoegd] van de verantwoordelijke van toepassing. Bevindt zich de vestiging van de verantwoordelijke binnen de Europese Unie, dan is de wetgeving van het land waar de verantwoordelijke is gevestigd van toepassing.

De onduidelijkheid in deze toelichting zit hem in het gebruik van de meervoudsvorm van ‘gegevensverwerkingen’ in de tweede zin. Daarmee lijken de auteurs ruimte te laten voor een beperkte uitleg. Dit omdat in hun uitleg niet lijkt te worden uitgesloten dat de Wbp van toepassing is als een Nederlandse verantwoordelijke een verwerking laat doen in het kader van (één van) zijn vestiging(en) in een andere lidstaat. Echter door verder te spreken over ‘vestiging van de verantwoordelijke’ en ‘het land waar de verantwoordelijke is gevestigd’ wordt niet duidelijk of de auteurs oog hebben op de lidstaat waar de verantwoordelijke zelf zijn vestiging heeft (beperkte uitleg) of ook op de lidstaten waar hij vestigingen heeft (ruime uitleg).

Het meest helder en uitgesproken zijn Berkvens en De Vries. In de bekende Leidraad voor de praktijk (de ‘blauwe losbladige’) geeft Berkvens de volgende toelichting op artikel 4, eerste lid, van de wet:[9]

Het uitgangspunt van het buitenlandregime is dat het recht van de vestiging [woord gecursifeerd door de auteur] van de verantwoordelijke van toepassing is. Daarbij doet niet ter zake in welk land de verantwoordelijke zijn hoofdkantoor heeft. Indien de verantwoordelijke zijn hoofdkantoor houdt in een andere lidstaat van de EU maar er een vestiging in Nederland op nahoudt is het Nederlandse recht van toepassing op de verwerkingen die aan de Nederlandse vestiging kunnen worden toegerekend. Indien de verantwoordelijke zijn hoofdkantoor heeft in een land buiten de EU geldt ten aanzien van de Nederlandse vestiging en de daaraan toe te rekenen verwerkingen eveneens het Nederlandse recht. Omgekeerd geldt (op basis van de Richtlijn) binnen de EU dat de verwerkingen die kunnen worden toegerekend aan een Belgische vestiging van een Nederlands bedrijf vallen onder het Belgisch recht.

Dit commentaar gaat uit van de ruimere uitleg, zij het dat de auteur door het begrip ‘toerekening van verwerkingen’ een meer genuanceerde benadering niet uitsluit: de Nederlandse privacywet is van toepassing voorzover de verwerkingen kunnen worden toegerekend aan een vestiging in Nederland, ook als de verantwoordelijke zelf elders is gevestigd.[10] 

In haar aantekeningen bij de Wbp in Tekst & Commentaar Telecommunicatierecht laat De Vries er weinig twijfel over bestaan dat volgens haar artikel 4, eerste lid, Wbp niet in beperkte zin moet worden uitgelegd:

De Wbp is ook van toepassing als de verantwoordelijke niet zelf in Nederland is gevestigd, maar in Nederland een vestiging heeft, op voorwaarde dat er sprake is van verwerking van persoonsgegevens in het kader van de activiteiten van die vestiging.[11]

Een en ander biedt derhalve per saldo weinig steun voor een beperkte uitleg van artikel 4, eerste lid, Wbp. Voorzover er op deze kwestie wordt ingegaan is er vooral steun te vinden voor een ruimere uitleg, waarin de wet ook van toepassing is als de verantwoordelijke niet zelf in Nederland is gevestigd maar alleen een vestiging heeft.

2.3 Wat staat er in de privacyrichtlijn?

De Wbp staat niet op zichzelf, want vormt de implementatie van de privacyrichtlijn. Van belang is daarom hoe de gemeenschapswetgever de in artikel 4, eerste lid, van de wet geïmplementeerde regel heeft geformuleerd. Op het eerste gezicht lijkt ook de richtlijn op dit punt niet erg duidelijk. In de eerste volzin van artikel 4, eerste lid, onder a, van de richtlijn staat dat de wet van toepassing moet zijn op de gegevensverwerkingen die worden gedaan:

…in het kader van de activiteiten van een vestiging op het grondgebied van de Lid-Staat van de voor de verwerking verantwoordelijke

Wij lezen hierin dat de wet van toepassing is als er sprake is van een vestiging van de verantwoordelijke in de lidstaat, ook als de verantwoordelijke niet zelf in de lidstaat is gevestigd. Maar toegegeven moet worden dat deze volzin op zichzelf misschien niet een uitleg uitsluit waarin de wet slechts van toepassing is als de verantwoordelijke zelf in de lidstaat is gevestigd (beperkte uitleg). Voor zover daarover twijfel bestaat wordt deze echter weggenomen door de daarop volgende volzin in de bepaling:

…wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene Lid-Staten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving.

Uit de totstandkomingsgeschiedenis van de privacyrichtlijn kan de bedoeling van de gemeenschapswetgever met niet al te veel moeite worden achterhaald. De analyse van Moerel in haar naschrift laat op dit punt weinig aan duidelijkheid te wensen over.[12] De gemeenschapswetgever kan alleen maar hebben bedoeld dat de wet van toepassing is als er sprake is van gegevensverwerkingen die worden verricht in het kader van activiteiten van een vestiging in Nederland. Waar het dus om gaat is of er in Nederland sprake is van een vestiging én of er gegevens worden verwerkt in het kader van activiteiten van die vestiging. Of de verantwoordelijke zelf in Nederland is gevestigd, is daarbij niet direct van belang.

Ook de richtlijn biedt derhalve weinig grond voor een andere uitleg dan dat de Wbp van toepassing is als er sprake is van een vestiging in Nederland, ook als de verantwoordelijke zelf elders in de Europese Unie is gevestigd.

2.4 Wat wordt (verder) in de literatuur gezegd?

Voorzover wij hebben kunnen nagaan, gaan de meeste auteurs[13] die direct of indirect over dit onderwerp hebben geschreven er vanuit dat de Wbp van toepassing is als er sprake is van een vestiging in Nederland, ook als de verantwoordelijke zelf misschien elders in de EU is gevestigd. Veel auteurs doen dat impliciet. Met name Blok[14] problematiseert de uitleg van artikel 4 Wbp als zodanig door expliciet te stellen dat de privacyrichtlijn weinig houvast biedt bij het beantwoorden van de vraag wanneer gegevensverwerking plaatsvindt in het kader van de activiteiten van een vestiging. De auteur analyseert de bepaling en komt op basis daarvan tot de zo-even gegeven, ruimere uitleg van het artikel. Andere auteurs, zoals Terstegge,[15] Cuipers,[16] Thijssen[17] De Vries[18] alsook Berkvens[19] lijken uit te gaan van een ruimere uitleg.[20]

Een en ander betekent evenwel niet dat alle auteurs zich kunnen vinden in de implicaties van deze ruimere uitleg. Vrijwel allemaal duiden zij deze uitleg als problematisch. Dit vooral omdat verantwoordelijken als gevolg daarvan te maken kunnen hebben met een meervoudige toepassing van nationale privacywetten: [21] een multinational met vestigingen in meerdere lidstaten moet zich houden aan evenzoveel nationale privacywetten. Voor dit probleem worden verschillende praktische (deel)oplossingen aangedragen, maar geen daarvan betreft een beperkte uitleg van artikel 4, eerste lid, Wbp. Wij gaan daar in het vervolg (par. 3) verder op in.

2.5 Wat zegt de Artikel 29 werkgroep?

Het overlegorgaan van nationale privacytoezichthouders in de Europese Unie, de Artikel 29 werkgroep heeft zich meerdere keren uitgelaten over de territoriale werking van nationale privacywetten. In haar opinies lijkt evenwel niet altijd te worden uitgegaan van dezelfde uitleg. De werkgroep staat soms, zo lijkt het, een beperkte uitleg van artikel 4 van de richtlijn voor, maar soms ook een ruimere uitleg. In haar opinie over de verwerking van persoonsgegevens door SWIFT lijkt de werkgroep ervoor te hebben gekozen om uit te gaan van de toepasselijkheid van het recht van het land waar de voor de gegevensverwerking verantwoordelijke is gevestigd (beperkte uitleg). Althans, in deze complex casus[22] komt de werkgroep tot de conclusie dat Belgisch recht van toepassing is op de verwerking van persoonsgegevens door SWIFT, omdat het hoofdkantoor in België alle cruciale beslissingen neemt omtrent de verwerking.[23] De werkgroep gaat daarbij niet in op vraag of de gegevens worden verwerkt in het kader van de vestigingen. Het is voor de werkgroep niet relevant dat ook in andere EU lidstaten persoonsgegevens door SWIFT worden verwerkt. Als deze gegevens worden verwerkt in het kader van vestigingen in de andere EU lidstaten zou, uitgaande van een ruimere uitleg, het recht van deze lidstaten van toepassing zijn.

Echter in een minder recente opinie over de toepasselijkheid van de privacyrichtlijn op niet-EU websites[24] wringt de werkgroep zich in verschillende, niet helemaal geloofwaardige bochten om in artikel 4, eerste lid, onder a, van de richtlijn een zogenaamd land-van-oorsprong beginsel te lezen. En in haar recente opinie over internetzoekmachines[25] komt de werkgroep tot de conclusie dat voor toepasselijkheid van artikel 4, eerste lid, onder a, van de richtlijn niet noodzakelijk is dat de verantwoordelijke op het grondgebied van de EU is gevestigd maar volstaat een vestiging in het kader waarvan gegevensverwerking plaatsvindt.

Aan de opinies van de werkgroep kunnen dus zowel argumenten vóór een ruimere of een beperktere uitleg van artikel 4, eerste lid, Wbp respectievelijk artikel 4, eerste lid, onder a, van de richtlijn worden ontleend. Uitgaande van de meest recente opinie ligt het voor de hand om aan te nemen dat de Artikel 29 werkgroep thans van opvatting is dat een ruimere uitleg moet worden gehanteerd.

2.6 En wat vindt het CBP?

Het standpunt van het CBP over de uitleg van artikel 4, eerste lid, Wbp was tot voor kort niet duidelijk. Uit de uitlatingen die het CBP in het openbaar heeft gedaan, maakten wij in eerste instantie op dat het (nog) niet de principiële keuze heeft willen maken voor een beperkte uitleg van artikel 4, eerste lid, Wbp. In haar betoog verwijst Moerel naar enige op de website van het CBP te vinden publicaties[26] waaruit volgens deze auteur zou kunnen worden opgemaakt dat de toezichthouder uitgaat van een beperkte uitleg van artikel 4, eerste lid, Wbp. Ons overtuigen deze publicaties echter niet. Voorzover het al gaat om stukken van het CBP[27] zijn daarin welbeschouwd alleen parafraseringen te vinden van de parlementaire geschiedenis van de wet.[28] En daarvan hadden wij al vastgesteld dat deze niet uitblinkt in helderheid en (dus) niet per sé steun biedt voor de opvatting dat de wetgever heeft gekozen voor een beperkte uitleg.

Op basis van een en ander leek derhalve te kunnen worden volgehouden dat het CBP geen standpunt heeft ingenomen. En dat er dus wellicht slechts sprake is van een enigszins academische, haast semantische discussie over de betekenis van de zinsnede ‘de plaats waar de verantwoordelijke is gevestigd’ in het wetsartikel. Wat ons betreft doet daar niet aan af dat de toezichthouder – kennelijk – in enige door Moerel genoemde ongepubliceerde correspondentie wel zou uitgaan van een beperkte uitleg. Het is (ons) niet duidelijk wat het Cbp precies heeft gezegd in deze correspondentie, en hoe of waarom hij dat heeft gedaan. En daarbij kwam het ons niet logisch voor dat het CBP dergelijke voor de praktijk zeer relevante beleidsuitgangspunten niet algemeen bekend zou maken, bijvoorbeeld door deze correspondentie (zonodig geanonimiseerd) te publiceren op zijn website. Wat ons betreft kan daaraan dan ook geen, of in elk geval geen overwegende, betekenis worden toege­kend.

Al met al zou dat een reden kunnen zijn om, vooralsnog, er vanuit te gaan dat het CBP, mede gelet op de door hem gepubliceerde uitlatingen, niet heeft gekozen voor genoemde beperkte uitleg. Echter, dat bleek al snel na de publicatie in het tijdschrift Computerrecht niet meer houdbaar. In een uitvoerige reactie op het betoog van Moerel geeft de toezichthouder voor het eerst onomwonden aan hoe hij vindt dat artikel 4, eerste lid, Wbp moet worden uitgelegd.[29] Het blijkt dat het CBP zich (inderdaad) op het standpunt stelt dat het artikel 4, eerste lid, Wbp in beperkte zin uitlegt. Dit omdat deze uitleg naar zijn mening “het meest recht doet aan de bedoeling van de wetgever.” En ook omdat deze uitleg volgens hem:

de voorkeur verdient vanuit het oogpunt van rechtsbescherming van burgers, het voorkomen van onnodige lastenverzwaring en ten slotte het functioneren van de interne markt.”[30]

Om dit standpunt te onderbouwen verwijst de toezichthouder naar overweging 18 en 19 in de privacyrichtlijn, alsmede naar het Eerste Evaluatierapport van de Europese Commissie over de richtlijn,[31] één citaat uit de voorbereidende stukken bij dit Evaluatierapport,[32] de memorie van toelichting bij de Wbp[33] en enkele publicaties van de Artikel 29 werkgroep.

Uit deze, voor ons toch verrassende reactie van het CBP op het betoog van Moerel blijkt dus dat de toezichthouder inderdaad artikel 4, eerste lid, Wbp in beperkte zin uitlegt, in die zin dat de wet alleen dan van toepassing is als de verantwoordelijke zelf in Nederland is gevestigd.[34]

2.7 Wat moeten wij daarvan vinden?

Het CBP lijkt in Nederland en voorzover wij overzien in de rest van de Europese Unie[35] alleen te staan in zijn keuze om uit te gaan van een beperkte uitleg van artikel 4, eerste lid, Wbp. In elk geval noemt het geen overtuigende en gezaghebbende bronnen (auteurs, andere privacytoezichthouders enz.) die duidelijk en rechtstreeks steun bieden voor zijn standpunt. De door de toezichthouder gegeven onderbouwing is uitgebreid, maar berust op niet veel meer dan een doelredenering ter ondersteuning waarvan het in enige beleidstukken, met name het Eerste Evaluatierapport van de Commissie en enkele teksten van de Artikel 29 werkgroep, enkele argumenten heeft kunnen aanwijzen.

Onze conclusie, en naar wij vermoeden die van de in het voorgaande genoemde andere auteurs,[36] is dat de gemeenschapswetgever een duidelijke keuze heeft ge­maakt. Anders dan bij­voor­beeld bij de Richtlijn inzake elektronische handel (2001/31/EG)[37] heeft hij uitdrukkelijk niet gekozen voor het land-van-oorsprong beginsel, waarbij alleen de wet zou gelden van het land waar de verantwoordelijke is gevestigd. In plaats daarvan gaat hij uit van meervoudige toepassing als er sprake is van vestigingen in verschillende lidstaten. Als een verantwoordelijke in verschillende lidstaten vestigingen heeft, zijn de nationale privacywetten van de onderscheiden landen van toepassing.

Wij stellen dan ook, met Moerel[38] en wellicht met de in het voorgaande genoemde andere auteurs, vast dat de door het CBP voorgestane beperkte uitleg van artikel 4, eerste lid, Wbp onhoudbaar is. Wij hebben waardering voor de creativiteit van de door de toezichthouder opgebouwde argumentatie. Ook hebben wij sympathie voor de intentie van het CBP om cumulatie van wetgeving zoveel mogelijk tegen te gaan en administratieve lasten te verminderen.[39] Maar dat allemaal is toch onvoldoende om in te gaan tegen de bedoeling van de (gemeenschaps­)wetgever.

Daarbij komt de door het CBP gehanteerde beperkte uitleg misschien reële uitvoeringsproblemen oplost, maar tegelijkertijd ook gaten laat vallen in de rechtsbescherming die de wet beoogt te bieden. In haar betoog geeft Moerel een voorbeeld van een internationale klokkenluiders-regeling, op grond waarvan persoonsgegevens door een Nederlandse vestiging worden verstrekt aan een in de VS gevestigde verantwoordelijke. Dit geval is van belang omdat daaruit duidelijk wordt wat de implicaties kunnen zijn van de beperkte danwel de ruime uitleg. Moerel betoogt dat in de beperkte uitleg deze verstrekking niet onder de Wbp lijkt te vallen:

de verantwoordelijke is gevestigd buiten Nederland [en] [o]mdat de verantwoordelijke wel een vestiging heeft in Nederland is art. 4 lid 2 Wbp ook niet van toepassing”.[40]

Uit de doorgifteadviespraktijk van het CBP is een voorbeeld[41] bekend dat vergelijkbaar is met dit geval. Het betreft een vergunningsaanvraag (o.g.v. art. 77, tweede lid, Wbp) voor doorgifte van persoonsgegevens naar de Verenigde Staten in het kader van een zgn. kliklijn, die de verantwoordelijke op grond van Amerikaanse wetgeving (Sarbanes-Oxley) moest invoeren in haar gehele onderneming. Over zo een vergunningaanvraag moet het CBP de Minister van Justitie adviseren. In het onderhavige geval gaat het CBP in zijn advies niet in op de vraag of de Wbp wel van toepassing is, zodat de vraag blijft bestaan welke overwegingen aangaande te toepasselijkheid van de Wbp het CBP heeft gehad bij dit advies over de doorgifte van persoonsgegevens in het kader van kliklijnen en klokkenluiderregelingen. Was de toezichthouder van mening dat de Nederlandse vestiging, aan de hand van de feiten en omstandigheden van het geval, gezien moest worden als verantwoordelijke voor de betreffende doorgifte? Of heeft het CBP überhaupt niet stil gestaan bij de mogelijkheid dat de Wbp niet van toepassing zou kunnen zijn? Het zijn intrigerende vragen, waarop wij het antwoord niet in het desbetreffende advies terugvinden.

Fontein-Bijnsdorp gaat niet in op deze vragen maar merkt wel op dat Moerel voorbij gaat aan het feit dat de Wbp een stelsel bevat van regels voor doorgifte van persoonsgegevens buiten de EU.[42] Echter, voor de vraag of de wet überhaupt van toepassing is, zijn de doorgifteregels als zodanig niet relevant. In haar naschrift reageert Moerel dan ook terecht door te stellen dat de doorgifteregels geen uitkomst bieden omdat die pas aan de orde komen nadat is vastgesteld dat de Wbp van toepassing is.[43]

Verder achten wij de beperkte uitleg van het CBP problematisch omdat deze, voor zover wij overzien, niet wordt gevolgd door privacytoezichthouders in andere lidstaten en dus afbreuk doet aan de door de richtlijn beoogde harmonisatie. Het gevolg is dat het CBP zodoende misschien wel een oplossing heeft gevonden voor het probleem van meervoudige toepassing van privacywetgeving, maar tegelijkertijd nieuw problemen doet ontstaan, te weten onduidelijkheid over de territoriale werking van de wet en het afwijken van de in andere lidstaten gehanteerde uitgangspunten. Een en ander kan moeilijk worden gezien als een bijdrage aan de totstandkoming van de interne markt – en dat is toch een van de twee hoofddoelstellingen van de privacyrichtlijn en de privacywet.[44]

3. Meervoudige toepassing: probleem en oplossingen

In het voorgaande[45] bleek dat het CBP vooral heeft gekozen voor een beperkte uitleg van artikel 4, eerste lid, Wbp om te voorkomen dat een multinationale verantwoordelijke met vestigingen in verschillende lidstaten zich zou moeten houden aan de privacywetten van al deze lidstaten. De vraag is dan of deze meervoudige toepassing tot problemen leidt en vervolgens of het CBP er goed aan doet deze te adresseren door zijn keuze voor een beperkte uitleg van artikel 4, eerste lid, Wbp. In deze voorlaatste paragraaf van deze bijdrage gaan wij daar op in.

In haar betoog gaat Moerel zelf niet uitvoerig in op de nadelen van de door haar voorgestane ruimere uitleg, waarin de Wbp al van toepassing is als er sprake is van een vestiging in Nederland zonder dat de verantwoordelijke zelf alhier is gevestigd. Wel geeft zij aan dat deze uitleg leidt tot een ook volgens haar als problematisch te kwalificeren:

uitbreiding van de verplichtingen van de verantwoordelijke in de vorm van cumulatie van toepasselijke wetgevingen[46]

Zij geeft dan ook aan een voorstander te zijn van de invoering van het land-van-oorsprong beginsel.[47] Daarin staat zij niet alleen. Volgens andere auteurs zoals Blok, Terstegge en Cuijpers leidt de meervoudige toepassing van nationale privacywetten die het gevolg is van een ruimere uitleg van artikel 4, eerste lid, Wbp tot praktische problemen. Blok wijst erop dat verantwoordelijken rekening moeten houden met de privacywetgeving van diverse lidstaten, wat problematisch is omdat deze, ondanks de beoogde harmonisering vergaand uiteenlopen. Ook wijst hij erop dat er sprake van

onnodige cumulatie van bureaucratische verplichtingen zoals de meldingsplicht”.[48]

Als praktische deeloplossing stelt hij dan ook een gecentraliseerd (Europees) meldingsregister voor.

Terstegge wijst erop dat meervoudige toepassing tot grote kosten leidt. Hij sluit zelfs niet uit dat het voldoen aan verschillende nationale privacywetten onmogelijk is. In ieder geval leidt het tot compliance problemen en wat hij plastisch aanduid als een ‘massive administrative burden’.[49] Hij pleit dan ook voor de invoering van een land-van-oorsprong beginsel (zgn. home country control), zij het dat dit dan wel op genuanceerde wijze zou moeten worden toegepast.[50]

Ook Cuijpers wijst op het kostenaspect. Zij spreekt over een ‘onnodige belasting’ door de onduidelijkheid die bestaat over het toepasselijk recht en het feit dat verschillende nationale privacywetten van toepassing zijn.[51] Evenals Terstegge staat zij invoering van een land-van-oorsprong beginsel voor. In aanvulling daarop pleit zij voor een systeem van wederzijdse erkenning waarbij slechts één toezichthouder, namelijk die van het land van oorsprong (home country), toeziet op de verwerking van persoonsgegevens door een bepaalde organisatie, op het grondgebied van de gehele Europese Unie.

Wij sluiten ons aan bij deze auteurs. De praktijk wijst uit dat verantwoordelijken moeite hebben en extra kosten moeten maken als het nodig is om zich te verdiepen in de naleving van verschillende nationale privacywetten. Zoals gezegd hebben wij, in zoverre zeker sympathie voor de poging van het CBP om cumulatie van wetgeving (zoveel mogelijk) tegen te gaan.

In essentie moeten de problemen die het CBP wil adresseren door zijn beperkte uitleg van artikel 4 eigenlijk worden gekwalificeerd als harmoniseringsproblemen. Immers, als de harmonisatie beter was geslaagd, zou het niet heel veel moeten uitmaken welke nationale privacywet (of -wetten) van toepassing is (of zijn). Overal gelden dan dezelfde rechten en plichten. En waar er zich toch nog problemen voordoen, zouden die vooralsnog kunnen worden opgelost door procedures te stroomlijnen en door een verbeterde samenwerking van toezichthouders. Wat ons betreft moet vooralsnog – d.w.z. zolang de richtlijn niet is aangepast – langs deze lijnen worden gezocht naar deeloplossingen.

Een voorbeeld betreft het vereenvoudigen cq. harmoniseren van de wijze waarop de meldplicht van artikel 18 richtlijn en art. 27, eerste lid, Wbp wordt nageleefd. Door het CBP is daarvoor al eens voorgesteld om te komen tot een eenvormig in alle lidstaten te gebruiken standaardmeldformulier.[52] Het komt ons voor dat dit niet heel moeilijk kan zijn, zeker nu toezichthouders toch al, in het kader van de Artikel 29 werkgroep geregeld met elkaar overleggen. En als privacytoezichthouders dan toch zo een eenvormig meldformulier ontwikkelen, kan het evenmin erg ingewikkeld zijn om een minimumlijst op te stellen van de verwerkingen die (in beginsel) in alle lidstaten zouden moeten worden uitgezonderd van de meldplicht. Zeg maar harmonisering van het Vrijstellingsbesluit.[53] Het lijkt ons alleszins mogelijk en, gelet op de verminderde administratieve lasten, hoe dan ook de moeite waard om te proberen.

Er zijn wellicht nog meer praktische oplossingen te bedenken om de bestaande gebrekkige harmonisatie van privacywetgeving in de EU verder te stroomlijnen. Op termijn is er veel voor te zeggen om te komen tot een (eenduidig) land-van-oorsprong beginsel, maar die oplossing is uiteraard voorbehouden aan de gemeenschapswetgever. Een privacytoezichthouder zal zich moeten beperken tot voornoemde verbeterde samenwerking en stroomlijning van procedures, en wellicht nog andere oplossingen van praktische aard.

4. Ter afsluiting

Er kan en zal ongetwijfeld nog veel meer worden gezegd over deze discussie. In deze bijdrage komen wij evenwel tot een afronding. De Wbp bevat veel open en vage normen en abstracte, algemene begrippen. Dat is op zichzelf niet per sé verkeerd, als het al niet onvermijdelijk is.[54] Open normen zijn de middelen waarmee de wetgever regels stelt voor de situaties die hij nog niet of beperkt kan overzien. En juist als het gaat om zo iets dynamisch als het gebruik van geautomatiseerde verwerkingsmiddelen is er veel voor te zeggen om gebruik te maken van normen en begrippen die al naar gelang de concrete situatie en feitelijke omstandigheden kunnen worden ingevuld en toegepast. Een gevolg van het gebruik van dergelijke normen is dat de wet daardoor algemeen wordt ervaren als moeilijk, ingewikkeld en lastig of zelfs niet uitvoerbaar.[55]

Waar het gaat om artikel 4, eerste lid, van de wet heeft de wetgever evenwel niet bedoeld om de norm een open en vaag karakter te geven. Het is dan ook verrassend (om niet te zeggen: verbazend) dat juist de uitleg van die norm, meer dan tien jaar na de totstandkoming van de richtlijn en bijna dan zeven jaar na de inwerkingtreding van de Wbp, door toedoen van de toezichthouder toch nog aanleiding geeft tot een fundamentele discussie. Uiteraard doet dat niet af aan het belang van deze discussie. In haar reactie maakt Fontein-Bijnsdorp in alle bescheidenheid de terechte opmerking dat het laatste woord aan de rechter is. Wij hopen toch dat het, gelet op de duur en kosten van gerechtelijke procedures, niet nodig is dat daarover tot en met het Hof van Justitie wordt geprocedeerd.

Hoe dan ook, zoals gezegd, het gaat ook ons meer dan een stap te ver dat de privacytoezichthouder, via een eigen en per saldo door maar weinigen gedeelde uitleg van wet en richtlijn, een poging doet om te komen tot een oplossing van het probleem van de cumulatie van nationale privacywetten – wat er ook valt te zeggen over de effecitiviteit van die oplossing.

Daarbij hebben wij twijfels over de door de toezichthouder gevolgde procedure. Het geeft te denken dat beleids­opvattingen over zo iets fundamenteels als de territoriale werking van de wet aanvankelijk alleen in niet gepubliceerde correspondentie blijken te zijn vastgelegd. Wat ons betreft is de belangrijkste uitkomst van deze discussie tot dusver dan ook dat het CBP openheid van zaken heeft gegeven en duidelijk heeft gemaakt wanneer volgens hem de wet van toepassing is, en wanneer niet.

Wat een verantwoordelijke daarmee moet is natuurlijk wel de vraag. Hij zou zich wellicht kunnen beroepen op een gerechtvaardigd vertrouwen cq. het vertrouwensbeginsel. In voorkomend geval zou hij dan kunnen stellen dat hij er vanuit mocht gaan dat de Wbp niet van toepassing is. Maar voor zover dat al kans van slagen heeft, lijkt dat alleen behulpzaam ten opzichte van de toezichthouder zelf, niet tegenover anderen, zoals betrokkenen. Wat zou helpen is als de toezichthouder bereid zou zijn meer comfort te geven ten aanzien van de standpunten die hij heeft ingenomen in deze boeiende discussie.[56] 

Op deze tekst is een Creative Commons Licentie (by-nc-nd 2.5 Netherlands) van toepassing. Zie voor gebruiksvoorwaarden: http://creativecommons.org/licenses/by-nc-nd/2.5/nl

 


[1] Gerrit-Jan Zwenne en Chris Erents zijn beiden advocaat bij Bird & Bird te Den Haag. Eerstgenoemde is daarnaast universitair hoofddocent bij eLaw@Leiden, het centrum voor recht in de informatiemaatschappij, van de Universiteit Leiden, alsmede fellow bij het E.M. Meijers Instituut van dezelfde universiteit. De auteurs danken prof. mr. J.M.A. Berkvens, mr. drs. J.H.J. Terstegge en dr. L. Mommers voor hun commentaar op een eerdere versie van deze bijdrage.

[2] E.M.L. Moerel, ‘Back to basics; wanneer is de Wet bescherming persoonsgegevens van toepassing?’, Computerrecht 2008/3, p. 81-91.

[3] Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PbEG 1995, L 281/31–50.

[4] M.A.H. Fontein-Bijnsdorp, ‘Art. 4 Wbp revisited: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens’, Computerrecht 2008/6, p. 285-289.

[5] E.M.J. Moerel, ‘Art 4 Wbp revisited; naschrift De nieuwe WP Opinie inzake Search Engines’, in: Computerrecht 2008/6, p. 290-298.

[6] T. Hooghiemstra & S. Nouwt, Tekst en toelichting Wet bescherming persoonsgegevens, 2007, p. 61.

[7] J.G. Brouwer, Compendium Wet bescherming persoonsgegevens. Tekst en toelichting, 2002, p. 102.

[8] A. Holleman, J. Nouwt & H.H. de Vries, Artikelgewijs commentaar, in: (Holvast e.a. red.), Handboek Privacy: Bescherming persoonsgegevens, update 27, 1300: artikel 4, Kluwer.

[9] J.M.A. Berkvens, in: Wet bescherming persoonsgegevens; Leidraad voor de praktijk, commentaar bij artikel 4, supplement 3, april 2002.

[10] In het naschrift van Fontein-Bijnsdorp is ook een, enigszins verhulde, aanwijzing te vinden voor een dergelijke genuanceerde benadering. In haar reactie geeft deze auteur aan dat “[o]m te bepalen of het Nederlandse recht van toepassing is op een specifieke verwerking in het kader van de activiteiten van de betreffende vestiging, [..] de rol die de branche speelt bij de specifieke verwerking [moet] worden vastgesteld, zoals hierboven uiteengezet. Dit moet worden beoordeeld aan de hand van de feiten en omstandigheden van het geval.” Aldus M.A.H. Fontein-Bijnsdorp, ‘Art. 4 Wbp revisited: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens’, Computerrecht 2008/6, p. 287.

[11] De Vries 2009 (T&C Telecommunicatierecht e.a), art. 4 Wbp, aant. 1, p. 559-560.

[12] Zie m.n. E.M.J. Moerel, ‘Art 4 Wbp revisited; naschrift De nieuwe WP Opinie inzake Search Engines’, Computerrecht 2008/6, p. 290-298.

[13] Een uitzondering betreft mogelijk: L.B. Sauerwein & J.J. Linnemann, Handleiding voor verwerkers van persoonsgegevens, 2002, p. 15. Deze auteurs parafraseren de memorie van toelichting, waarvan wij al hebben vastgesteld dat die niet uitblinkt in helderheid maar waaruit niettemin niet per sé moet worden afgeleid dat voor een beperkte uitleg is gekozen.

[14] P.H. Blok, ‘Privacybescherming in alle staten’, Computerrecht 2005/6, p. 297-304, m.n. p. 299.

[15] J.H.J. Terstegge, ‘Home Country Control – Improving privacy compliance and supervision’, P&I december 2002, p. 257-259.

[16] C. Cuijpers, ‘Evaluatie van de Richtlijn’, in: Privacy Concerns, 2003, p. 114.

[17] M.B.J. Thijssen, ‘Grensoverschrijdend gegevensbeschermingsrecht’, in: P&I juni 2005, nr. 3, p. 110-113.

[18] De Vries 2009 (T&C Telecommunicatierecht e.a), art. 4 Wbp, aant. 1, p. 559-560, 2009.

[19] J.M.A. Berkvens, in: Wet bescherming persoonsgegevens; Leidraad voor de praktijk, commentaar bij artikel 4, supplement 3, april 2002.

[20] In het handboek “Privacyregulering in theorie en praktijk” wordt in de vierde druk (2007) door Terstegge (p. 68-69) aangehaakt bij de ruimer uitleg. Minder helder zijn J.E.J. Prins & J.M.A. Berkvens in de derde druk (2002): “de Wbp stelt dat de Nederlandse bepalingen worden toe(ge)past, indien de verwerking van persoonsgegevens wordt verricht in het kader van de activiteiten van een vestiging van een verantwoordelijke in Nederland” en “Uit het bovenstaande blijkt dat ten aanzien van de vraag welk recht van toepassing is in eerste instantie wordt aangehaakt bij de vestigingsplaats van de voor de verwerking verantwoordelijke. Indien deze plaats zich buiten de Gemeenschap bevindt, wordt aangeknoopt bij de plaats waar de verwerking plaatsvindt.” (p. 100).

[21] Met ‘de nationale privacywet’ bedoelen wij, overeenkomstig het enigszins misleidende maar wel ingeburgerde taalgebruik, de wet waarmee de privacyrichtlijn in nationaal recht is omgezet.

[22] SWIFT is een wereldwijd opererende dienstverlener voor financieel berichtenverkeer ten behoeve van internationale geldoverboekingen. Gedurende 124 dagen slaat SWIFT al haar berichten op in twee verwerkingscentra die zijn gevestigd in de EU en in de VS. Daarnaast heeft SWIFT vestigingen in diverse EU lidstaten. Naar aanleiding van de aanslagen in de VS in september 2001 vorderen de Amerikaanse autoriteiten toegang tot de berichtgegevens. Het hoofdkantoor van SWIFT, dat in België is gevestigd, onderhandelt met de Amerikaanse autoriteiten en stemt er mee in dat deze toegang verkrijgen tot de berichtgegevens.

[23] Groep Gegevensbescherming artikel 29, WP 128, advies 10/2006 over de verwerking van persoonsgegevens door de Society for Worldwide Interbank Financial Telecommunications (SWIFT) goedgekeurd op 22 november 2006, zie: paragraaf 2.2.

[24] Groep Gegevensbescherming artikel 29, WP 56, Werkdocument betreffende de internationale toepassing van de gegevensbeschermingswetgeving van de EU op de verwerking van persoonsgegevens op internet door websites van buiten de EU, goedgekeurd op 30 mei 2002, zie: paragraaf 2.

[25] Groep Gegevensbescherming artikel 29, WP 148, advies 1/2008 over gegevensbescherming en zoekmachines, goedgekeurd op 4 april 2008, zie: paragraaf 4.1.2.

[26] E.M.L. Moerel, ‘Back to basics; wanneer is de Wet bescherming persoonsgegevens van toepassing?’, Computerrecht 2008/3, zie: voetnoot 21 in die tekst.

[27] Sauerwein & Linnemann hebben hun handleiding in opdracht van het Ministerie van Justitie geschreven.

[28] Dit geldt ook voor de niet door Moerel aangehaalde publicatie van D. Alonso Blas, Nota derde Landen. De doorgifte van persoonsgegevens naar derde landen in het kader van de WBP, College bescherming persoonsgegevens 2003, p. 6.

[29] M.A.H. Fontein-Bijnsdorp, ‘Art.4 Wbp revisited’: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens, Computerrecht 2008/6, p. 285-289.

[30] M.A.H. Fontein-Bijnsdorp, ‘Art.4 Wbp revisited’: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens, Computerrecht 2008/6, p. 289.

[31] Eerste verslag over de toepassing van de Richtlijn gegevensbescherming (95/46/EG), COM/2003/265, 15 mei 2003.

[32] Analysis and impact study on the implementation of Directive EC 95/46 in Member States, technical analysis of the transposition in the Member States.

[33] Kamerstukken II 1997/98, 25 892, nr. 3.

[34] Dit blijkt duidelijk uit de opmerkingen in voetnoot 5 van M.A.H. Fontein-Bijnsdorp, ‘Art.4 Wbp revisited: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens’, Computerrecht 2008/6, p. 285.

[35] Vgl. E.M.J. Moerel, ‘Art 4 Wbp revisited; naschrift De nieuwe WP Opinie inzake Search Engines’, Computerrecht 2008/3, p. 81. 

[36]Zie par. 2.4 van deze bijdrage.

[37] Richtlijn 2000/31/EG van het Europees Parlement en de Raad van 8 juni 2000 betreffende bepaalde juridische aspecten van de diensten van de informatiemaatschappij, met name de elektronische handel, in de interne markt, PbEG 2000 L178/1-16.

[38] E.M.J. Moerel, ‘Art 4 Wbp revisited; naschrift De nieuwe WP Opinie inzake Search Engines’, Computerrecht 2008/6, p. 295.

[39] M.A.H. Fontein-Bijnsdorp, ‘Art.4 Wbp revisited: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens’, Computerrecht 2008/6, p. 288.

[40] E.M.L. Moerel, ‘Back to basics; wanneer is de Wet bescherming persoonsgegevens van toepassing?’, Computerrecht 2008/3, paragraaf 3.5.

[41] CBP, Advies vergunningaanvraag ex. Art. 77 lid 2 Wbp, z2004-1233, 16 januari 2006.

[42] M.A.H. Fontein-Bijnsdorp, ‘Art.4 Wbp revisited: enkele opmerkingen inzake de toepasselijkheid van de Wet bescherming persoonsgegevens’, Computerrecht 2008/6, p. 288

[43] E.M.J. Moerel, ‘Art 4 Wbp revisited; naschrift De nieuwe WP Opinie inzake Search Engines’, Computerrecht 2008/6, p. 296.

[44] Vgl. overw. 3 van de privacyrichtlijn en uiteraard art. 1 daarvan. 

[45] Par. 2.6 van deze bijdrage.

[46] E.M.L. Moerel, ‘Back to basics; wanneer is de Wet bescherming persoonsgegevens van toepassing?’, Computerrecht 2008/3, p. 81.

[47] E.M.L. Moerel, ‘Back to basics; wanneer is de Wet bescherming persoonsgegevens van toepassing?’, Computerrecht 2008/3, p. 85.

[48] P.H. Blok, ‘Privacybescherming in alle staten’, in: Computerrecht 2005/6, p. 300.

[49] J.H.J. Terstegge, ‘Home Country Control – Improving privacy compliance and supervision’, P&I december 2002, p. 257; zie ook: G-J. Zwenne et al, Eerste fase evaluatie Wet bescherming persoonsgegevens, Ministerie van justitie, december 2007. p. 68.

[50] Aldus de toelichting die wij per e-mail ontvingen van de auteur. Een uiteenzetting van deze interessante gedachte zal hij wellicht nog uitwerken in een bijdrage voor dit tijdschrift.

[51] C. Cuijpers, ‘Evaluatie van de Richtlijn’, in: Privacy Concerns, NVvIR 2003, p. 114.

[52] CBP Brief aan Minister van Justitie, 7 december 2004, z2004-1086; zie daarover G-J. Zwenne et al, Eerste fase evaluatie Wet bescherming persoonsgegevens, Ministerie van justitie, december 2007, p. 70.

[53] Stb. 2001, 250.

[54] Zie o.a. Kamerstukken II 1997/98, 25 892, nr. 3, p. 5-6, 9, 12-13, 33.

[55] Vgl. G-J. Zwenne et al, Eerste fase evaluatie Wet bescherming persoonsgegevens, Ministerie van justitie, december 2007. p. 64-64.

[56] Dit leent zich wellicht voor een Zienswijze van het College. Vgl. CBP Regels voor verzoek om een zienswijze, 11 maart 2008 Stcrt. 2008; 71. 

Apr 272009
 

Een week of wat geleden schreef ik voor het Tijdschrift voor Internetrecht een (toegegeven: wat narrig) redactioneel over OPTA die zijn besluiten ineens alleen nog maar als pdf met kopieerbeperkingen op zijn website beschikbaar stelde. Als gevolg daarvan was het lastig om uit die besluiten te kopieren (copy-paste). 

Inmiddels heeft OPTA dit tekstje ook gelezen. En, nadat ik daarover met enkele medewerkers van de toezichthouder had gesproken, werd ik daarover gebeld. De verklaring voor de kopieerbeperkingen (‘beveiligingen’) ligt, zo werd mij verteld, in het volgende. Soms publiceert OPTA besluiten waarin de bedrijfsvertrouwelijke onderdelen zijn afgedekt cq. zwartgemaakt. De techniek die men gebruikte om deze onderdelen af te dekken cq. zwart te maken was, kennelijk, eenvoudig te omzeilen. Om dit op te lossen heeft OPTA vervolgens een beveiliging aangebracht die als onbedoeld bij-effect ook eraan in de weg stond dat er uit de besluiten kon worden gekopieerd.

Het was dus niet zo bedoeld.

Ik kan niet helemaal beoordelen in hoeverre dit hout snijdt. Is wat mij betreft ook niet zo heel belangrijk. Ik ben blij met de toezegging dat men voortaan de besluiten (en andere stukken) zodanig zal bekendmaken dat er wel (weer) uit kan worden gekopieerd. Voor het afschermen van vertrouwelijke informatie heeft men een andere oplossing gevonden.

Ik houd het in de gaten. Dat wel natuurlijk.