Home Kennis Actualiteiten privacyrecht

Actualiteiten privacyrecht

13 december 2018
Marte van Graafeiland
en
Tim Gillhaus

Dit is een verslag van een workshop die tijdens Inzicht in bestuursrecht 2018 is gegeven.

Marte van Graafeiland en Tim Gillhaus hebben tijdens het jaarlijkse congres ‘Inzicht in bestuursrecht’ in de workshop ‘Actualiteiten Privacyrecht’ de ontwikkelingen besproken die zich het afgelopen jaar hebben voorgedaan op het gebied van het privacyrecht. Waar ligt de focus van het risicogericht toezicht van de AP? Wat zijn trends in Europese en Nederlandse rechtspraak? En tot slot: wat adviseert de Afdeling over de effecten van digitalisering op de rechtsstatelijke verhoudingen?  

De AVG: waar staan we?

Allereerst is stilgestaan bij de inwerkingtreding van de AVG en het toezicht van de Autoriteit Persoonsgegevens (‘AP’) op de naleving van de AVG. Hoewel overheden en bedrijven sinds 25 mei 2018 moeten voldoen aan de nieuwe verplichtingen van de AVG, blijkt een groot deel van de organisaties nog niet volledig compliant. De ogen zijn dan ook gericht op de AP. Zoals volgt uit het Toezichtkader 2018-2019 richt de AP haar risicogericht toezicht voornamelijk op de overheid, de zorg, de handel in persoonsgegevens en het melden van datalekken. Focusgebieden van het risicogericht toezicht op de overheid betreffen de beveiliging van persoonsgegevens, het bestaan van een wettelijke grondslag bij gegevensuitwisseling, het verwerkingsregister en tot slot de positionering van de Functionaris Gegevensbescherming.

Trends in de Europese rechtspraak (Hof van Justitie EU)

Vervolgens is tijdens de workshop de relevante rechtspraak van het Europees Hof van Justitie van het afgelopen jaar besproken. Een trend in de rechtspraak van het Hof is de uitleg van de basisbegrippen van de AVG. Zo heeft het Hof in Nowak-arrest geoordeeld dat de beantwoording van examenvragen en de beoordeling van de examinator persoonsgegevens betreffen van de geëxamineerde. Het Hof heeft in het arrest Jehovan Todistatjat geconcludeerd dat het registreren van persoonsgegevens door Jehovah’s getuigen in het kader van huis-tot-huisverkondigen valt onder de reikwijdte van de AVG. De verzamelde overzichten betreffen een ‘bestand’ waarvoor de Jehova gemeenschap en haar leden gezamenlijke verwerkingsverantwoordelijken zijn en er kan geen beroep worden gedaan op de uitzondering van persoonlijk/huishoudelijk gebruik. In het arrest Wirschaftsakademie heeft het Hof een nadere uitleg gegeven van de begrippen verwerkingsverantwoordelijke en verwerker door te oordelen dat een beheerder van een fanpagina op Facebook en Facebook zelf moeten worden aangemerkt als gezamenlijke verwerkingsverantwoordelijken voor het verwerken van persoonsgegevens.

Trends in de Nederlandse rechtspraak

Met de deelnemers aan de workshop is onderzocht of gegevensverstrekkingen in de nationale rechtspraak kritischer worden getoetst. Hoewel er meer aandacht lijkt te zijn voor het bestaan van een wettelijke grondslag voor de verstrekking van persoonsgegevens, lijkt van een kritischere toetsing geen sprake.

Vgl. CRvB 5 februari 2018, ECLI:NL:CRVB:269 waarin de Centrale Raad heeft geoordeeld dat toezichthouders van DUO  met toepassing van artikel 5:17 Awb reisgegevens van studenten mogen opvragen bij Trans Link System (het bedrijf dat gegevens van OV-chipkaarthouders beheert) om te controleren of de student terecht een beurs voor uitwonenden ontvangt.

Zie voor een andere bespreking van de uitspraak van de Centrale Raad het blog ‘Reisgegevens van studenten: persoonsgegevens, zakelijke gegevens of beide?’.

Vgl. Rb. Amsterdam 15 november 2018, ECLI:NL:RBAMS:2018:8138, waarin de rechtbank heeft geconcludeerd dat de Stichting museumjaarkaart verplicht is om op grond van artikel 47 en 53 Algemene wet op de Rijksbelastingen gegevens over het museumbezoek van een van haar kaarthouders te verstrekken aan de Belastingdienst.

Een andere signalering is dat in de nationale rechtspraak meer oog lijkt te zijn voor de bescherming van bijzondere persoonsgegevens. Bijzondere persoonsgegevens mogen niet worden verwerkt, tenzij daarvoor een wettelijke doorbrekingsgrond bestaat (artikel 9, eerste lid, AVG jo. artikelen 22 tot en met 30 UAVG).

Vgl. Rb. Midden-Nederland 11 september 2018, ECLI:NL:RBMNE:2018:4404. In deze uitspraak heeft de rechtbank Midden-Nederland geoordeeld dat DUO geen overzichten van leerlingen (met daarin persoonsgegevens over het geboorteland en de nationaliteit van leerlingen) mag anonimiseren en verstrekken aan journalisten. Het anonimiseren en verstrekken van de bestanden zijn beiden een verwerking van bijzondere persoonsgegevens (gegevens betreffende iemands ras). DUO kan zich niet beroepen op een doorbrekingsgrond.

Vgl.  ABRvS 29 augustus 2018, ECLI:NL:RVS:2018:2856 en Rb. Den Haag van 8 maart 2018, ECLI:NL:RBDHA:2018:2662, waarin de Afdeling en de rechtbank hebben geoordeeld dat het professionele seksuele leven van een sekswerker een bijzonder persoonsgegeven is. Doordat een doorbrekingsgrond ontbreekt, mag dit gegeven niet worden verwerkt door de gemeente en/of de exploitant van een seksinrichting ten behoeve van het toezicht op de prostitutiebranche.

Zie voor een nadere bespreking van de uitspraak van de Afdeling het blog ‘Het zijn van sekswerker is een bijzonder persoonsgegeven’.

Een derde trend is dat er vaak beroep wordt gedaan op de uitgebreide rechten van de betrokkene (artikel 15 AVG tot en met 21 AVG) en dan met name op het inzagerecht (artikel 15 AVG).

Het ongevraagd advies van de Afdeling advisering van de Raad van State

Tot slot is tijdens de workshop ingegaan op het ongevraagde advies van de Afdeling advisering van de Raad van State over de effecten van digitalisering voor de rechtsstatelijke verhoudingen. De Afdeling maakt zich onder meer zorgen om de nadelige gevolgen van (geautomatiseerde) digitale besluitvorming. Bij dergelijke besluitvorming wordt menselijke betrokkenheid vervangen door het gebruik van algoritmen en de koppeling van grote hoeveelheden data. De gelijke behandeling, de privacy en de autonomie en menselijke waardigheid van burgers kunnen hierdoor onder druk komen te staan. Om tegemoet te komen aan de risico’s van geautomatiseerde besluitvorming adviseert de Afdeling om de algemene beginselen van behoorlijk bestuur in die context, in het bijzonder het motiveringsbeginsel en het zorgvuldigheidsbeginsel, ‘verscherpt’ te interpreteren. Het bieden van inzicht in de gebruikte data en algoritmen en menselijke heroverweging van automatische besluiten spelen daarbij een belangrijke rol.