Over de reikwijdte van de Wet bescherming persoonsgegevens werd vorig jaar in het tijdschrift Computerrecht gediscussieerd door Moerel (De Brauw) en Fontein Bijnsdorp (CBP). ‘t Ging om de uitleg van artikel 4 van de wet. Ofwel wat wordt bedoeld met de bepaling dat de wet van toepassing is op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland.
Op verzoek van het tijdschrift Privacy & Informatie schreef ik met kantoorgenoot Chris Erents een bijdrage aan deze discussie. Een pdf van deze bijdrage, die wordt aangemerkt als wetenschappelijk artikel (!), kan hier worden gedownload. Een html-versie staat hieronder.
Gerrit-Jan Zwenne en Chris Erents[1]
Het is niet altijd duidelijk waarop en wanneer de Wet bescherming persoonsgegevens van toepassing is. Zo is er nog steeds veel discussie over de territoriale werking van de wet. Ofwel hoe artikel 4, eerste lid, ervan moet worden uitgelegd en toegepast. Onlangs bleek dat het College bescherming persoonsgegevens uitgaat van een beperkte uitleg – dit in afwijking van wat algemeen leek te worden aangenomen. In deze bijdrage gaan wij nader in op deze discussie en plaatsen wij deze in een breder kader.
§1 Inleiding: discussie over de territoriale werking van de Wbp
In een artikel in het tijdschrift Computerrecht werd medio vorig jaar een aanzet gedaan voor een discussie over de territoriale werking van de Wet bescherming persoonsgegevens (Wbp). In een uitvoerig betoog zet Moerel uiteen hoe het desbetreffende artikel 4, eerste lid, van de wet door College bescherming persoonsgegevens (CBP) wordt uitgelegd, en hoe het volgens haar zou moeten worden uitgelegd. De kern van haar betoog is dat de tekst van deze bepaling ruimte laat voor zowel een beperkte als een ruimere uitleg. Vervolgens wijst de auteur erop dat de toezichthouder om hem moverende redenen heeft gekozen voor een beperkte uitleg, te weten: een uitleg waarin de wet alleen van toepassing is als een verantwoordelijke zelf is gevestigd in Nederland en dus niet als er slechts sprake is van een vestiging van de verantwoordelijke in Nederland. Deze uitleg strookt niet, zo zet de auteur uiteen, met de bedoeling van gemeenschapswetgever met de privacyrichtlijn.[3] En daardoor geeft deze uitleg aanleiding tot verwarring bij (vooral) het internationale bedrijfsleven. Ook stelt zij dat de uitleg lacunes doet ontstaan in de bescherming van persoonsgegevens.
Vervolgens gebeurde er iets verrassends. In een uitgebreide reactie op het betoog van Moerel verklaart CBP-medewerkster Fontein-Bijnsdorp dat de toezichthouder inderdaad uitgaat van voornoemde beperkte uitleg van artikel 4, eerste lid, Wbp. Ook zet zij uiteen waarom de toezichthouder dit doet. Dit is om verschillende redenen opmerkelijk. Allereerst omdat deze uitleg lijkt af te wijken van hoe daarover door veel andere auteurs wordt gedacht. Verder omdat Fontein-Bijnsdorp in haar reactie niet, zoals wel gebruikelijk, het voorbehoud maakt dat de tekst ‘op persoonlijke titel’ is geschreven. Op grond hiervan mogen wij er daarom wellicht vanuit gaan dat het gaat om een onorthodoxe bekendmaking van een beleidsopvatting van het CBP – iets wat doorgaans gebeurt via besluiten en beleidsregels, al dan niet gepubliceerd in de Staatscourant.
In een naschrift op deze reactie van het CBP geeft Moerel een uitgebreide nadere onderbouwing van haar betoog. Daarbij verwijst zij met name naar de totstandkomingsgeschiedenis van de privacyrichtlijn en enige stukken van de zgn. Artikel 29 werkgroep.
Deze discussie leent zich voor een nadere analyse, en niet alleen omdat het raakt aan de fundamenten (of zoals Moerel het zegt: de ‘basics’) van de wet en de bescherming die deze biedt. Van belang is deze discussie ook omdat deze gaat over hoe ver een toezichthouder kan gaan bij het uitleggen van de wet en welke betekenis daaraan moet worden gehecht. In onze bijdrage plaatsen wij deze discussie, waarvoor wij verwijzen naar de desbetreffende bijdragen in voornoemd tijdschrift, in een breder kader en gaan wij na hoe daarover door verschillende stakeholders wordt gedacht. Wij beginnen met een korte uiteenzetting van artikel 4, eerste lid, Wbp en hoe dit artikel wordt uitgelegd (§2) Van belang daarbij is dat onderscheid wordt gemaakt tussen enerzijds de meer feitelijke vraag; welke interpretatie heeft de gemeenschapswetgever werkelijk op het oog gehad en anderzijds de meer normatieve vraag welke uitleg het meest de rechtsbescherming bevordert en het goed functioneren van de interne markt. Vervolgens gaan wij in op de vraag in hoeverre er, gelet de uitleg die wordt gegeven aan het artikel, sprake is van een probleem met betrekking tot de territoriale werking van de wet (§3). In enige afsluitende opmerkingen (§4) geven wij ten slotte onze visie op deze discussie tot dusver.
Wat aan deze bijdrage vooraf ging
In het tijdschrift Computerrecht stelt Moerel het standpunt van het CBP aangaande de toepasselijkheid van de Wbp in internationale situaties ter discussie. Het CBP zou artikel 4 Wbp zo uitleggen dat de privacywet alleen van toepassing is wanneer de verantwoordelijke in Nederland is gevestigd. Als gegevens worden verwerkt door een vestiging in Nederland van een buitenlandse verantwoordelijke zou de Wbp volgens de toezichthouder niet van toepassing zijn. Deze beperkte uitleg leidt volgens Moerel tot verwarring bij het internationale bedrijfsleven en tot lacunes in de rechtsbescherming. (Computerrecht 2008/3, p. 81-91).
In een reactie bevestigt het CBP dat hij inderdaad artikel 4 Wbp in deze beperkte zin uitlegt. Het geeft aan waar zijn standpunt op is gebaseerd en wat daarvoor zijn overwegingen zijn. De toezichthouder meent dat met deze uitleg het functioneren van de interne markt het best wordt gewaarborgd doordat cumulatie van nationale wetgeving wordt voorkomen. Enige steun voor zijn standpunt ontleent het CBP aan overweging 18 uit de preambule van de richtlijn en de evaluatie van van de privacyrichtlijn 95/46. (Computerecht 2008/6, p. 285-289).
Moerel reageert daarop in een naschrift. Zij zet uiteen dat het CBP selectief bronnen kiest voor de onderbouwing van zijn standpunt. In een uitvoerige analyse gaat zij in op de totstandkomingsgeschiedenis van het desbetreffende artikel in de richtlijn, alsmede op de door het CBP aangehaalde bronnen. Ook bespreekt zij een recente opinie van de Artikel 29 werkgroep en enige literatuur over de richtlijn. Haar onveranderde conclusie is dat voor de toepasselijkheid van de Wbp het niet noodzakelijk is dat de verantwoordelijke zelf in Nederland is gevestigd. (Computerrecht 2008/6, p. 290-298).
|
§2 Artikel 4, eerste lid, Wbp
Over de uitleg en toepassing van artikel 4, eerste lid, van de wet is door verschillende auteurs het nodige gezegd. De meerderheid van deze auteurs lijkt (al dan niet impliciet) uit te gaan van een uitleg waarin sprake is van toepasselijkheid van de wet als er sprake is van een vestiging in Nederland, en niet per sé als de verantwoordelijke zelf in Nederland is gevestigd. Verder hebben ook het CBP en het overlegorgaan van Europese privacytoezichthouders, de Artikel 29 werkgroep, zich uitgelaten over de territoriale werking van de wet, zij het niet altijd even duidelijk.
Wij lopen één en ander af en beginnen bij wat in de wet en de privacyrichtlijn zelf staat.
2.1 Wat staat er in de wet?
Wat zegt de wet zelf over de territoriale werking van de wet? De tekst van het artikel in de wet is niet bijzonder duidelijk:
“Deze wet is van toepassing op de verwerking van persoonsgegevens in het kader van activiteiten van een vestiging van een verantwoordelijke in Nederland.”
De vraag die onmiddellijk opkomt is wie of wat zich in Nederland moet bevinden om te kunnen vaststellen dat de wet van toepassing is. Is de wet van toepassing als de activiteiten plaatsvinden in Nederland? Of als de verantwoordelijke zich in Nederland bevindt? Of ook al als er alleen sprake is van een vestiging in Nederland, zonder dat de verantwoordelijke zelf hier is gevestigd? Als wij ons zouden beperken tot alleen de tekst van de bepaling lijken alle genoemde mogelijkheden te kunnen.
In de parlementaire geschiedenis van de wet wordt dit niet opgehelderd. Integendeel. In de memorie van toelichting wordt de volgende nogal verwarrende (want meerduidige) opmerking gemaakt:
“het aangrijpingspunt van de Wbp is de plaats waar de verantwoordelijke is gevestigd”
De zinsnede ‘de plaats waar de verantwoordelijke is gevestigd’ kan op twee manieren worden uitgelegd, namelijk in de zin dat de wet alleen van toepassing is als de verantwoordelijke zelf in Nederland is gevestigd (beperkte uitleg), maar ook in de zin dat er sprake is van toepassing als de verantwoordelijke een vestiging in Nederland heeft (ruimere uitleg). In het laatste geval moet de aangehaalde zinsnede worden begrepen als ‘de plaats of plaatsen waar de verantwoordelijke een vestiging heeft’. Op grond van de wettekst is er, wat ons betreft, in elk geval geen reden om per sé te kiezen voor de eerste, beperkte uitleg.
2.2 Wat zeggen de artikelsgewijze commentaren?
In de uitgaven die een artikelsgewijs toelichting geven op de wet wordt vanzelfsprekend ingegaan op artikel 4, eerste lid, Wbp. In de veelgebruikte uitgave Tekst en Toelichting Wbp (onder redactie van Hooghiemstra & Nouwt)[6] wordt de bewuste passage uit de memorie van toelichting geparafraseerd, echter zonder op te helderen of het nou gaat om de vestigingsplaats van de verantwoordelijke zelf of om de plaatsen waar zich vestigingen bevinden. Deze vraag wordt in deze uitgave dus niet beantwoord.
In het wat minder bekende Compendium Wbp wordt wel een poging gedaan om de tekst van het artikel enigszins op te helderen. Maar het slaagt daarin niet helemaal. De auteur stelt dat:
“Het Nederlandse recht is niet van toepassing op vormen van gegevensverwerking in Nederland door verantwoordelijken die niet over een dergelijke vaste vestiging in Nederland beschikken.”
Voor het compendium is dus bepalend of de verantwoordelijke al dan niet een ‘vaste vestiging in Nederland’ heeft: zo ja, dan is de wet van toepassing; zo niet, dan niet. Maar niet helemaal duidelijk is of met de term ‘een vaste vestiging in Nederland’ wordt bedoeld dat de verantwoordelijke zelf in Nederland is gevestigd (beperkte uitleg) of dat een elders gevestigde verantwoordelijke ook een vestiging in Nederland heeft (ruimere uitleg). Wij vermoeden dat de auteur de laatste, dus ruimere uitleg voorstaat, maar zijn daarover niet helemaal zeker.
In het Handboek Privacy wordt het volgende, evenmin eenduidig commentaar gegeven:
“De toepasselijkheid van de wet wordt in eerste instantie beoordeeld aan de hand van de plaats van vestiging van de verantwoordelijke. Is deze in Nederland gevestigd, dan is de Wbp op de gegevensverwerkingen [onderstr. door ons toegevoegd] van de verantwoordelijke van toepassing. Bevindt zich de vestiging van de verantwoordelijke binnen de Europese Unie, dan is de wetgeving van het land waar de verantwoordelijke is gevestigd van toepassing.”
De onduidelijkheid in deze toelichting zit hem in het gebruik van de meervoudsvorm van ‘gegevensverwerkingen’ in de tweede zin. Daarmee lijken de auteurs ruimte te laten voor een beperkte uitleg. Dit omdat in hun uitleg niet lijkt te worden uitgesloten dat de Wbp van toepassing is als een Nederlandse verantwoordelijke een verwerking laat doen in het kader van (één van) zijn vestiging(en) in een andere lidstaat. Echter door verder te spreken over ‘vestiging van de verantwoordelijke’ en ‘het land waar de verantwoordelijke is gevestigd’ wordt niet duidelijk of de auteurs oog hebben op de lidstaat waar de verantwoordelijke zelf zijn vestiging heeft (beperkte uitleg) of ook op de lidstaten waar hij vestigingen heeft (ruime uitleg).
Het meest helder en uitgesproken zijn Berkvens en De Vries. In de bekende Leidraad voor de praktijk (de ‘blauwe losbladige’) geeft Berkvens de volgende toelichting op artikel 4, eerste lid, van de wet:
“Het uitgangspunt van het buitenlandregime is dat het recht van de vestiging [woord gecursifeerd door de auteur] van de verantwoordelijke van toepassing is. Daarbij doet niet ter zake in welk land de verantwoordelijke zijn hoofdkantoor heeft. Indien de verantwoordelijke zijn hoofdkantoor houdt in een andere lidstaat van de EU maar er een vestiging in Nederland op nahoudt is het Nederlandse recht van toepassing op de verwerkingen die aan de Nederlandse vestiging kunnen worden toegerekend. Indien de verantwoordelijke zijn hoofdkantoor heeft in een land buiten de EU geldt ten aanzien van de Nederlandse vestiging en de daaraan toe te rekenen verwerkingen eveneens het Nederlandse recht. Omgekeerd geldt (op basis van de Richtlijn) binnen de EU dat de verwerkingen die kunnen worden toegerekend aan een Belgische vestiging van een Nederlands bedrijf vallen onder het Belgisch recht.”
Dit commentaar gaat uit van de ruimere uitleg, zij het dat de auteur door het begrip ‘toerekening van verwerkingen’ een meer genuanceerde benadering niet uitsluit: de Nederlandse privacywet is van toepassing voorzover de verwerkingen kunnen worden toegerekend aan een vestiging in Nederland, ook als de verantwoordelijke zelf elders is gevestigd.
In haar aantekeningen bij de Wbp in Tekst & Commentaar Telecommunicatierecht laat De Vries er weinig twijfel over bestaan dat volgens haar artikel 4, eerste lid, Wbp niet in beperkte zin moet worden uitgelegd:
“De Wbp is ook van toepassing als de verantwoordelijke niet zelf in Nederland is gevestigd, maar in Nederland een vestiging heeft, op voorwaarde dat er sprake is van verwerking van persoonsgegevens in het kader van de activiteiten van die vestiging.”
Een en ander biedt derhalve per saldo weinig steun voor een beperkte uitleg van artikel 4, eerste lid, Wbp. Voorzover er op deze kwestie wordt ingegaan is er vooral steun te vinden voor een ruimere uitleg, waarin de wet ook van toepassing is als de verantwoordelijke niet zelf in Nederland is gevestigd maar alleen een vestiging heeft.
2.3 Wat staat er in de privacyrichtlijn?
De Wbp staat niet op zichzelf, want vormt de implementatie van de privacyrichtlijn. Van belang is daarom hoe de gemeenschapswetgever de in artikel 4, eerste lid, van de wet geïmplementeerde regel heeft geformuleerd. Op het eerste gezicht lijkt ook de richtlijn op dit punt niet erg duidelijk. In de eerste volzin van artikel 4, eerste lid, onder a, van de richtlijn staat dat de wet van toepassing moet zijn op de gegevensverwerkingen die worden gedaan:
“…in het kader van de activiteiten van een vestiging op het grondgebied van de Lid-Staat van de voor de verwerking verantwoordelijke”
Wij lezen hierin dat de wet van toepassing is als er sprake is van een vestiging van de verantwoordelijke in de lidstaat, ook als de verantwoordelijke niet zelf in de lidstaat is gevestigd. Maar toegegeven moet worden dat deze volzin op zichzelf misschien niet een uitleg uitsluit waarin de wet slechts van toepassing is als de verantwoordelijke zelf in de lidstaat is gevestigd (beperkte uitleg). Voor zover daarover twijfel bestaat wordt deze echter weggenomen door de daarop volgende volzin in de bepaling:
“…wanneer dezelfde verantwoordelijke een vestiging heeft op het grondgebied van verscheidene Lid-Staten, dient hij de nodige maatregelen te treffen om ervoor te zorgen dat elk van die vestigingen voldoet aan de verplichtingen die worden opgelegd door de toepasselijke nationale wetgeving.”
Uit de totstandkomingsgeschiedenis van de privacyrichtlijn kan de bedoeling van de gemeenschapswetgever met niet al te veel moeite worden achterhaald. De analyse van Moerel in haar naschrift laat op dit punt weinig aan duidelijkheid te wensen over. De gemeenschapswetgever kan alleen maar hebben bedoeld dat de wet van toepassing is als er sprake is van gegevensverwerkingen die worden verricht in het kader van activiteiten van een vestiging in Nederland. Waar het dus om gaat is of er in Nederland sprake is van een vestiging én of er gegevens worden verwerkt in het kader van activiteiten van die vestiging. Of de verantwoordelijke zelf in Nederland is gevestigd, is daarbij niet direct van belang.
Ook de richtlijn biedt derhalve weinig grond voor een andere uitleg dan dat de Wbp van toepassing is als er sprake is van een vestiging in Nederland, ook als de verantwoordelijke zelf elders in de Europese Unie is gevestigd.
2.4 Wat wordt (verder) in de literatuur gezegd?
Voorzover wij hebben kunnen nagaan, gaan de meeste auteurs die direct of indirect over dit onderwerp hebben geschreven er vanuit dat de Wbp van toepassing is als er sprake is van een vestiging in Nederland, ook als de verantwoordelijke zelf misschien elders in de EU is gevestigd. Veel auteurs doen dat impliciet. Met name Blok problematiseert de uitleg van artikel 4 Wbp als zodanig door expliciet te stellen dat de privacyrichtlijn weinig houvast biedt bij het beantwoorden van de vraag wanneer gegevensverwerking plaatsvindt in het kader van de activiteiten van een vestiging. De auteur analyseert de bepaling en komt op basis daarvan tot de zo-even gegeven, ruimere uitleg van het artikel. Andere auteurs, zoals Terstegge, Cuipers, Thijssen De Vries alsook Berkvens lijken uit te gaan van een ruimere uitleg.
Een en ander betekent evenwel niet dat alle auteurs zich kunnen vinden in de implicaties van deze ruimere uitleg. Vrijwel allemaal duiden zij deze uitleg als problematisch. Dit vooral omdat verantwoordelijken als gevolg daarvan te maken kunnen hebben met een meervoudige toepassing van nationale privacywetten: [21] een multinational met vestigingen in meerdere lidstaten moet zich houden aan evenzoveel nationale privacywetten. Voor dit probleem worden verschillende praktische (deel)oplossingen aangedragen, maar geen daarvan betreft een beperkte uitleg van artikel 4, eerste lid, Wbp. Wij gaan daar in het vervolg (par. 3) verder op in.
2.5 Wat zegt de Artikel 29 werkgroep?
Het overlegorgaan van nationale privacytoezichthouders in de Europese Unie, de Artikel 29 werkgroep heeft zich meerdere keren uitgelaten over de territoriale werking van nationale privacywetten. In haar opinies lijkt evenwel niet altijd te worden uitgegaan van dezelfde uitleg. De werkgroep staat soms, zo lijkt het, een beperkte uitleg van artikel 4 van de richtlijn voor, maar soms ook een ruimere uitleg. In haar opinie over de verwerking van persoonsgegevens door SWIFT lijkt de werkgroep ervoor te hebben gekozen om uit te gaan van de toepasselijkheid van het recht van het land waar de voor de gegevensverwerking verantwoordelijke is gevestigd (beperkte uitleg). Althans, in deze complex casus komt de werkgroep tot de conclusie dat Belgisch recht van toepassing is op de verwerking van persoonsgegevens door SWIFT, omdat het hoofdkantoor in België alle cruciale beslissingen neemt omtrent de verwerking. De werkgroep gaat daarbij niet in op vraag of de gegevens worden verwerkt in het kader van de vestigingen. Het is voor de werkgroep niet relevant dat ook in andere EU lidstaten persoonsgegevens door SWIFT worden verwerkt. Als deze gegevens worden verwerkt in het kader van vestigingen in de andere EU lidstaten zou, uitgaande van een ruimere uitleg, het recht van deze lidstaten van toepassing zijn.
Echter in een minder recente opinie over de toepasselijkheid van de privacyrichtlijn op niet-EU websites wringt de werkgroep zich in verschillende, niet helemaal geloofwaardige bochten om in artikel 4, eerste lid, onder a, van de richtlijn een zogenaamd land-van-oorsprong beginsel te lezen. En in haar recente opinie over internetzoekmachines komt de werkgroep tot de conclusie dat voor toepasselijkheid van artikel 4, eerste lid, onder a, van de richtlijn niet noodzakelijk is dat de verantwoordelijke op het grondgebied van de EU is gevestigd maar volstaat een vestiging in het kader waarvan gegevensverwerking plaatsvindt.
Aan de opinies van de werkgroep kunnen dus zowel argumenten vóór een ruimere of een beperktere uitleg van artikel 4, eerste lid, Wbp respectievelijk artikel 4, eerste lid, onder a, van de richtlijn worden ontleend. Uitgaande van de meest recente opinie ligt het voor de hand om aan te nemen dat de Artikel 29 werkgroep thans van opvatting is dat een ruimere uitleg moet worden gehanteerd.
2.6 En wat vindt het CBP?
Het standpunt van het CBP over de uitleg van artikel 4, eerste lid, Wbp was tot voor kort niet duidelijk. Uit de uitlatingen die het CBP in het openbaar heeft gedaan, maakten wij in eerste instantie op dat het (nog) niet de principiële keuze heeft willen maken voor een beperkte uitleg van artikel 4, eerste lid, Wbp. In haar betoog verwijst Moerel naar enige op de website van het CBP te vinden publicaties waaruit volgens deze auteur zou kunnen worden opgemaakt dat de toezichthouder uitgaat van een beperkte uitleg van artikel 4, eerste lid, Wbp. Ons overtuigen deze publicaties echter niet. Voorzover het al gaat om stukken van het CBP zijn daarin welbeschouwd alleen parafraseringen te vinden van de parlementaire geschiedenis van de wet. En daarvan hadden wij al vastgesteld dat deze niet uitblinkt in helderheid en (dus) niet per sé steun biedt voor de opvatting dat de wetgever heeft gekozen voor een beperkte uitleg.
Op basis van een en ander leek derhalve te kunnen worden volgehouden dat het CBP geen standpunt heeft ingenomen. En dat er dus wellicht slechts sprake is van een enigszins academische, haast semantische discussie over de betekenis van de zinsnede ‘de plaats waar de verantwoordelijke is gevestigd’ in het wetsartikel. Wat ons betreft doet daar niet aan af dat de toezichthouder – kennelijk – in enige door Moerel genoemde ongepubliceerde correspondentie wel zou uitgaan van een beperkte uitleg. Het is (ons) niet duidelijk wat het Cbp precies heeft gezegd in deze correspondentie, en hoe of waarom hij dat heeft gedaan. En daarbij kwam het ons niet logisch voor dat het CBP dergelijke voor de praktijk zeer relevante beleidsuitgangspunten niet algemeen bekend zou maken, bijvoorbeeld door deze correspondentie (zonodig geanonimiseerd) te publiceren op zijn website. Wat ons betreft kan daaraan dan ook geen, of in elk geval geen overwegende, betekenis worden toegekend.
Al met al zou dat een reden kunnen zijn om, vooralsnog, er vanuit te gaan dat het CBP, mede gelet op de door hem gepubliceerde uitlatingen, niet heeft gekozen voor genoemde beperkte uitleg. Echter, dat bleek al snel na de publicatie in het tijdschrift Computerrecht niet meer houdbaar. In een uitvoerige reactie op het betoog van Moerel geeft de toezichthouder voor het eerst onomwonden aan hoe hij vindt dat artikel 4, eerste lid, Wbp moet worden uitgelegd. Het blijkt dat het CBP zich (inderdaad) op het standpunt stelt dat het artikel 4, eerste lid, Wbp in beperkte zin uitlegt. Dit omdat deze uitleg naar zijn mening “het meest recht doet aan de bedoeling van de wetgever.” En ook omdat deze uitleg volgens hem:
“de voorkeur verdient vanuit het oogpunt van rechtsbescherming van burgers, het voorkomen van onnodige lastenverzwaring en ten slotte het functioneren van de interne markt.”
Om dit standpunt te onderbouwen verwijst de toezichthouder naar overweging 18 en 19 in de privacyrichtlijn, alsmede naar het Eerste Evaluatierapport van de Europese Commissie over de richtlijn, één citaat uit de voorbereidende stukken bij dit Evaluatierapport, de memorie van toelichting bij de Wbp en enkele publicaties van de Artikel 29 werkgroep.
Uit deze, voor ons toch verrassende reactie van het CBP op het betoog van Moerel blijkt dus dat de toezichthouder inderdaad artikel 4, eerste lid, Wbp in beperkte zin uitlegt, in die zin dat de wet alleen dan van toepassing is als de verantwoordelijke zelf in Nederland is gevestigd.
2.7 Wat moeten wij daarvan vinden?
Het CBP lijkt in Nederland en voorzover wij overzien in de rest van de Europese Unie alleen te staan in zijn keuze om uit te gaan van een beperkte uitleg van artikel 4, eerste lid, Wbp. In elk geval noemt het geen overtuigende en gezaghebbende bronnen (auteurs, andere privacytoezichthouders enz.) die duidelijk en rechtstreeks steun bieden voor zijn standpunt. De door de toezichthouder gegeven onderbouwing is uitgebreid, maar berust op niet veel meer dan een doelredenering ter ondersteuning waarvan het in enige beleidstukken, met name het Eerste Evaluatierapport van de Commissie en enkele teksten van de Artikel 29 werkgroep, enkele argumenten heeft kunnen aanwijzen.
Onze conclusie, en naar wij vermoeden die van de in het voorgaande genoemde andere auteurs, is dat de gemeenschapswetgever een duidelijke keuze heeft gemaakt. Anders dan bijvoorbeeld bij de Richtlijn inzake elektronische handel (2001/31/EG)[37] heeft hij uitdrukkelijk niet gekozen voor het land-van-oorsprong beginsel, waarbij alleen de wet zou gelden van het land waar de verantwoordelijke is gevestigd. In plaats daarvan gaat hij uit van meervoudige toepassing als er sprake is van vestigingen in verschillende lidstaten. Als een verantwoordelijke in verschillende lidstaten vestigingen heeft, zijn de nationale privacywetten van de onderscheiden landen van toepassing.
Wij stellen dan ook, met Moerel en wellicht met de in het voorgaande genoemde andere auteurs, vast dat de door het CBP voorgestane beperkte uitleg van artikel 4, eerste lid, Wbp onhoudbaar is. Wij hebben waardering voor de creativiteit van de door de toezichthouder opgebouwde argumentatie. Ook hebben wij sympathie voor de intentie van het CBP om cumulatie van wetgeving zoveel mogelijk tegen te gaan en administratieve lasten te verminderen. Maar dat allemaal is toch onvoldoende om in te gaan tegen de bedoeling van de (gemeenschaps)wetgever.
Daarbij komt de door het CBP gehanteerde beperkte uitleg misschien reële uitvoeringsproblemen oplost, maar tegelijkertijd ook gaten laat vallen in de rechtsbescherming die de wet beoogt te bieden. In haar betoog geeft Moerel een voorbeeld van een internationale klokkenluiders-regeling, op grond waarvan persoonsgegevens door een Nederlandse vestiging worden verstrekt aan een in de VS gevestigde verantwoordelijke. Dit geval is van belang omdat daaruit duidelijk wordt wat de implicaties kunnen zijn van de beperkte danwel de ruime uitleg. Moerel betoogt dat in de beperkte uitleg deze verstrekking niet onder de Wbp lijkt te vallen:
“de verantwoordelijke is gevestigd buiten Nederland [en] [o]mdat de verantwoordelijke wel een vestiging heeft in Nederland is art. 4 lid 2 Wbp ook niet van toepassing”.
Uit de doorgifteadviespraktijk van het CBP is een voorbeeld bekend dat vergelijkbaar is met dit geval. Het betreft een vergunningsaanvraag (o.g.v. art. 77, tweede lid, Wbp) voor doorgifte van persoonsgegevens naar de Verenigde Staten in het kader van een zgn. kliklijn, die de verantwoordelijke op grond van Amerikaanse wetgeving (Sarbanes-Oxley) moest invoeren in haar gehele onderneming. Over zo een vergunningaanvraag moet het CBP de Minister van Justitie adviseren. In het onderhavige geval gaat het CBP in zijn advies niet in op de vraag of de Wbp wel van toepassing is, zodat de vraag blijft bestaan welke overwegingen aangaande te toepasselijkheid van de Wbp het CBP heeft gehad bij dit advies over de doorgifte van persoonsgegevens in het kader van kliklijnen en klokkenluiderregelingen. Was de toezichthouder van mening dat de Nederlandse vestiging, aan de hand van de feiten en omstandigheden van het geval, gezien moest worden als verantwoordelijke voor de betreffende doorgifte? Of heeft het CBP überhaupt niet stil gestaan bij de mogelijkheid dat de Wbp niet van toepassing zou kunnen zijn? Het zijn intrigerende vragen, waarop wij het antwoord niet in het desbetreffende advies terugvinden.
Fontein-Bijnsdorp gaat niet in op deze vragen maar merkt wel op dat Moerel voorbij gaat aan het feit dat de Wbp een stelsel bevat van regels voor doorgifte van persoonsgegevens buiten de EU. Echter, voor de vraag of de wet überhaupt van toepassing is, zijn de doorgifteregels als zodanig niet relevant. In haar naschrift reageert Moerel dan ook terecht door te stellen dat de doorgifteregels geen uitkomst bieden omdat die pas aan de orde komen nadat is vastgesteld dat de Wbp van toepassing is.
Verder achten wij de beperkte uitleg van het CBP problematisch omdat deze, voor zover wij overzien, niet wordt gevolgd door privacytoezichthouders in andere lidstaten en dus afbreuk doet aan de door de richtlijn beoogde harmonisatie. Het gevolg is dat het CBP zodoende misschien wel een oplossing heeft gevonden voor het probleem van meervoudige toepassing van privacywetgeving, maar tegelijkertijd nieuw problemen doet ontstaan, te weten onduidelijkheid over de territoriale werking van de wet en het afwijken van de in andere lidstaten gehanteerde uitgangspunten. Een en ander kan moeilijk worden gezien als een bijdrage aan de totstandkoming van de interne markt – en dat is toch een van de twee hoofddoelstellingen van de privacyrichtlijn en de privacywet.
3. Meervoudige toepassing: probleem en oplossingen
In het voorgaande bleek dat het CBP vooral heeft gekozen voor een beperkte uitleg van artikel 4, eerste lid, Wbp om te voorkomen dat een multinationale verantwoordelijke met vestigingen in verschillende lidstaten zich zou moeten houden aan de privacywetten van al deze lidstaten. De vraag is dan of deze meervoudige toepassing tot problemen leidt en vervolgens of het CBP er goed aan doet deze te adresseren door zijn keuze voor een beperkte uitleg van artikel 4, eerste lid, Wbp. In deze voorlaatste paragraaf van deze bijdrage gaan wij daar op in.
In haar betoog gaat Moerel zelf niet uitvoerig in op de nadelen van de door haar voorgestane ruimere uitleg, waarin de Wbp al van toepassing is als er sprake is van een vestiging in Nederland zonder dat de verantwoordelijke zelf alhier is gevestigd. Wel geeft zij aan dat deze uitleg leidt tot een ook volgens haar als problematisch te kwalificeren:
“uitbreiding van de verplichtingen van de verantwoordelijke in de vorm van cumulatie van toepasselijke wetgevingen”
Zij geeft dan ook aan een voorstander te zijn van de invoering van het land-van-oorsprong beginsel. Daarin staat zij niet alleen. Volgens andere auteurs zoals Blok, Terstegge en Cuijpers leidt de meervoudige toepassing van nationale privacywetten die het gevolg is van een ruimere uitleg van artikel 4, eerste lid, Wbp tot praktische problemen. Blok wijst erop dat verantwoordelijken rekening moeten houden met de privacywetgeving van diverse lidstaten, wat problematisch is omdat deze, ondanks de beoogde harmonisering vergaand uiteenlopen. Ook wijst hij erop dat er sprake van
“onnodige cumulatie van bureaucratische verplichtingen zoals de meldingsplicht”.
Als praktische deeloplossing stelt hij dan ook een gecentraliseerd (Europees) meldingsregister voor.
Terstegge wijst erop dat meervoudige toepassing tot grote kosten leidt. Hij sluit zelfs niet uit dat het voldoen aan verschillende nationale privacywetten onmogelijk is. In ieder geval leidt het tot compliance problemen en wat hij plastisch aanduid als een ‘massive administrative burden’. Hij pleit dan ook voor de invoering van een land-van-oorsprong beginsel (zgn. home country control), zij het dat dit dan wel op genuanceerde wijze zou moeten worden toegepast.
Ook Cuijpers wijst op het kostenaspect. Zij spreekt over een ‘onnodige belasting’ door de onduidelijkheid die bestaat over het toepasselijk recht en het feit dat verschillende nationale privacywetten van toepassing zijn. Evenals Terstegge staat zij invoering van een land-van-oorsprong beginsel voor. In aanvulling daarop pleit zij voor een systeem van wederzijdse erkenning waarbij slechts één toezichthouder, namelijk die van het land van oorsprong (home country), toeziet op de verwerking van persoonsgegevens door een bepaalde organisatie, op het grondgebied van de gehele Europese Unie.
Wij sluiten ons aan bij deze auteurs. De praktijk wijst uit dat verantwoordelijken moeite hebben en extra kosten moeten maken als het nodig is om zich te verdiepen in de naleving van verschillende nationale privacywetten. Zoals gezegd hebben wij, in zoverre zeker sympathie voor de poging van het CBP om cumulatie van wetgeving (zoveel mogelijk) tegen te gaan.
In essentie moeten de problemen die het CBP wil adresseren door zijn beperkte uitleg van artikel 4 eigenlijk worden gekwalificeerd als harmoniseringsproblemen. Immers, als de harmonisatie beter was geslaagd, zou het niet heel veel moeten uitmaken welke nationale privacywet (of -wetten) van toepassing is (of zijn). Overal gelden dan dezelfde rechten en plichten. En waar er zich toch nog problemen voordoen, zouden die vooralsnog kunnen worden opgelost door procedures te stroomlijnen en door een verbeterde samenwerking van toezichthouders. Wat ons betreft moet vooralsnog – d.w.z. zolang de richtlijn niet is aangepast – langs deze lijnen worden gezocht naar deeloplossingen.
Een voorbeeld betreft het vereenvoudigen cq. harmoniseren van de wijze waarop de meldplicht van artikel 18 richtlijn en art. 27, eerste lid, Wbp wordt nageleefd. Door het CBP is daarvoor al eens voorgesteld om te komen tot een eenvormig in alle lidstaten te gebruiken standaardmeldformulier. Het komt ons voor dat dit niet heel moeilijk kan zijn, zeker nu toezichthouders toch al, in het kader van de Artikel 29 werkgroep geregeld met elkaar overleggen. En als privacytoezichthouders dan toch zo een eenvormig meldformulier ontwikkelen, kan het evenmin erg ingewikkeld zijn om een minimumlijst op te stellen van de verwerkingen die (in beginsel) in alle lidstaten zouden moeten worden uitgezonderd van de meldplicht. Zeg maar harmonisering van het Vrijstellingsbesluit.[53] Het lijkt ons alleszins mogelijk en, gelet op de verminderde administratieve lasten, hoe dan ook de moeite waard om te proberen.
Er zijn wellicht nog meer praktische oplossingen te bedenken om de bestaande gebrekkige harmonisatie van privacywetgeving in de EU verder te stroomlijnen. Op termijn is er veel voor te zeggen om te komen tot een (eenduidig) land-van-oorsprong beginsel, maar die oplossing is uiteraard voorbehouden aan de gemeenschapswetgever. Een privacytoezichthouder zal zich moeten beperken tot voornoemde verbeterde samenwerking en stroomlijning van procedures, en wellicht nog andere oplossingen van praktische aard.
4. Ter afsluiting
Er kan en zal ongetwijfeld nog veel meer worden gezegd over deze discussie. In deze bijdrage komen wij evenwel tot een afronding. De Wbp bevat veel open en vage normen en abstracte, algemene begrippen. Dat is op zichzelf niet per sé verkeerd, als het al niet onvermijdelijk is. Open normen zijn de middelen waarmee de wetgever regels stelt voor de situaties die hij nog niet of beperkt kan overzien. En juist als het gaat om zo iets dynamisch als het gebruik van geautomatiseerde verwerkingsmiddelen is er veel voor te zeggen om gebruik te maken van normen en begrippen die al naar gelang de concrete situatie en feitelijke omstandigheden kunnen worden ingevuld en toegepast. Een gevolg van het gebruik van dergelijke normen is dat de wet daardoor algemeen wordt ervaren als moeilijk, ingewikkeld en lastig of zelfs niet uitvoerbaar.[55]
Waar het gaat om artikel 4, eerste lid, van de wet heeft de wetgever evenwel niet bedoeld om de norm een open en vaag karakter te geven. Het is dan ook verrassend (om niet te zeggen: verbazend) dat juist de uitleg van die norm, meer dan tien jaar na de totstandkoming van de richtlijn en bijna dan zeven jaar na de inwerkingtreding van de Wbp, door toedoen van de toezichthouder toch nog aanleiding geeft tot een fundamentele discussie. Uiteraard doet dat niet af aan het belang van deze discussie. In haar reactie maakt Fontein-Bijnsdorp in alle bescheidenheid de terechte opmerking dat het laatste woord aan de rechter is. Wij hopen toch dat het, gelet op de duur en kosten van gerechtelijke procedures, niet nodig is dat daarover tot en met het Hof van Justitie wordt geprocedeerd.
Hoe dan ook, zoals gezegd, het gaat ook ons meer dan een stap te ver dat de privacytoezichthouder, via een eigen en per saldo door maar weinigen gedeelde uitleg van wet en richtlijn, een poging doet om te komen tot een oplossing van het probleem van de cumulatie van nationale privacywetten – wat er ook valt te zeggen over de effecitiviteit van die oplossing.
Daarbij hebben wij twijfels over de door de toezichthouder gevolgde procedure. Het geeft te denken dat beleidsopvattingen over zo iets fundamenteels als de territoriale werking van de wet aanvankelijk alleen in niet gepubliceerde correspondentie blijken te zijn vastgelegd. Wat ons betreft is de belangrijkste uitkomst van deze discussie tot dusver dan ook dat het CBP openheid van zaken heeft gegeven en duidelijk heeft gemaakt wanneer volgens hem de wet van toepassing is, en wanneer niet.
Wat een verantwoordelijke daarmee moet is natuurlijk wel de vraag. Hij zou zich wellicht kunnen beroepen op een gerechtvaardigd vertrouwen cq. het vertrouwensbeginsel. In voorkomend geval zou hij dan kunnen stellen dat hij er vanuit mocht gaan dat de Wbp niet van toepassing is. Maar voor zover dat al kans van slagen heeft, lijkt dat alleen behulpzaam ten opzichte van de toezichthouder zelf, niet tegenover anderen, zoals betrokkenen. Wat zou helpen is als de toezichthouder bereid zou zijn meer comfort te geven ten aanzien van de standpunten die hij heeft ingenomen in deze boeiende discussie.