Is het geen tijd voor grijze en zwarte lijsten in het privacyrecht?

Het privacyrecht staat vol met open normen. Daarmee is in de praktijk niet voor iedereen direct duidelijk wat wel en niet is toegestaan. Zouden concrete lijsten met (vermoedelijk) verboden verwerkingen - analoog aan het consumentenrecht - kunnen helpen?

Van persoonlijke levenssfeer naar persoonsgegevens

De huidige privacywetgeving is eigenlijk niet goed te begrijpen zonder een korte terugblik in de geschiedenis. 

Op 10 december 1948 werd in VN-Verband de Universele Verklaring voor de Rechten van de Mens vastgesteld. In artikel 12 is hierin over privacy het volgende te lezen:

No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks.

Enkele jaren later werd in de Raad van Europa het Europees Verdrag voor de Rechten van de Mens vastgesteld. In artikel 8 uit dit verdrag komen vergelijkbare elementen voor als in de universele verklaring: 

1. Everyone has the right to respect for his private and family life, his home and his correspondence.

Oorspronkelijk zagen beide verdragen met name op de bescherming van de persoonlijke levenssfeer. De verwerking van persoonsgegevens in brede zin was nog helemaal niet zo in beeld. Privacy ging meer over de gordijnen dicht mogen houden dan over 'big data'. 

Gaandeweg aandacht voor verwerking persoonsgegevens

Na verloop van tijd begon men in te zien dat er risico's kleven aan de grootschalige verwerking van persoonsgegevens.

In Nederland zie je dit bijvoorbeeld mooi terugkomen ten tijde van de discussie over de herziening van de Grondwet in de jaren 70. Zie bijvoorbeeld deze passage uit de toenmalige Memorie van Toelichting: 

Algemeen wordt bij voorbeeld een verband gelegd tussen de registratie van persoonsgegevens en de privacy. Door allerlei gegevens omtrent personen te registreren, deze in verband met elkaar te brengen en vervolgens bij het nemen van voor de persoon belangrijke beslissingen van die gegevens gebruik te maken kan de privacy worden aangetast. Doorslaggevend daarbij behoeft niet zozeer te zijn, dat al die gegevens intieme informatie zouden bevatten (dat is in feite dikwijls ook niet het geval), maar de privacyaantasting kan hierin gelegen zijn, dat over de individuele burger met al zijn hoedanigheden, gedragingen en andere kenmerken, welke zijn persoon en zijn leven vormen, op allerlei plaatsen gegevens worden vastgelegd en dat dit geheel van gegevens een steeds grotere invloed gaat krijgen op voor hem belangrijke zaken, zoals het verkrijgen van huisvesting, de opbouw van een loopbaan, het verwerven van geldleningen, etc. Aldus kan een situatie ontstaan waarin de burger onvoldoende «ruimte» overhoudt om «zijn eigen leven te leiden met zo weinig mogelijk inmenging van buitenaf». Derhalve: niet alleen de aard van de verzamelde gegevens, maar ook het gebruik dat er van wordt gemaakt kan van betekenis zijn voor de vraag of de persoonlijke levenssfeer wordt aangetast. 

Ook op Europees niveau ziet men de gevaren van de grootschalige verwerking van persoonsgegevens. Op 28 januari 1981 kwam dan ook het verdrag van Straatsburg tot stand.

Dit verdrag bevat de basis voor de ook nu nog geldende privacywetgeving:

• de basisprincipes voor de verwerking van persoonsgegevens (artikel 5: rechtmatige verkrijging, doelbinding, juistheid en relevantie, actualiteit en beperkte bewaarduur);
• het verbod op het verwerking van bijzondere persoonsgegevens (artikel 6);
• de verplichting tot passende beveiligingsmaatregelen (artikel 7);
• het recht op transparantie, inzage, afschrift, correctie, verwijdering en gang naar de rechter bij weigering (artikel 8);
• kaders voor uitzonderingen (artikel 9);
• regels voor internationaal gegevensverkeer (artikel 12).

Privacywetgeving mede op basis van Verdrag van Straatsburg

Het verdrag van Straatsburg zelf heeft geen directe werking; het verplicht lidstaten om de inhoud van het verdrag in eigen wetgeving te verankeren. 

In Nederland is dit gebeurd met de Wet persoonsregistraties die in 1989 van kracht werd. 

Richtlijn 1995/46 bouwt voort op Verdrag

In de Europese Unie werd in 1990 een voorstel gelanceerd om te komen tot een richtlijn om privacywetgeving in EU-landen te harmoniseren. Dit leidde uiteindelijk tot de richtlijn 1995/46. De gedachte hierachter was eenvoudig: als lidstaten verschillende privacyregels hanteren, dan kan dit knellen met de interne vrije markt. 

De richtlijn bouwt deels voort op het verdrag:

• de zorgvuldigheidsprincipes uit het verdrag van Straatsburg komen terug;
• er is bepaald wanneer een verwerking rechtmatig is (de grondslagen: van toestemming tot gerechtvaardigd belang);
• er is nader uitgewerkt wanneer een verwerking van bijzondere persoonsgegevens wel is toegestaan;
• er zijn waarborgen opgenomen tegen geautomatiseerde besluitvorming;
• er worden eisen gesteld aan het inschakelen van verwerkers;
• de meldplicht en het voorafgaand onderzoek worden geïntroduceerd;
• het aansprakelijkheidsregime wordt geïntroduceerd;
• de regels over internationale doorgifte worden uitgewerkt; en 
• er zijn uniforme regels over het toezicht en de samenwerking tussen toezichthouders geïntroduceerd.

In Nederland werd deze richtlijn omgezet in de Wet bescherming persoonsgegevens (Wbp). 

AVG bouwt voort op richtlijn

Sinds 25 mei is de AVG (of GDPR) in de EU van kracht. De AVG vervangt de hiervoor genoemde richtlijn. Het grote verschil tussen AVG en richtlijn is vooral gelegen in de introductie van allerlei aanvullende compliance verplichtingen en de rol van en samenwerking tussen de toezichthouders. Over de verschillen tussen AVG en richtlijn schreef ik al eerder op deze blog. De AVG bevat in de kern nog steeds vooral open normen en weinig heel concrete regels. 

Open normen tientallen jaren oud

Het privacyrecht in Europa is voor een belangrijk deel nog steeds gebaseerd op open normen uit de jaren 70/80.

Open normen die - naar hun aard - weinig houvast bieden voor toepassing in een concrete situatie. Zo noemde de Raad van State - een van de belangrijkste adviseurs van de regering - de in de Wbp opgenomen normen in 2014 nog te "vaag" om boetes op te stellen.

Toegegeven, er zijn de vele opinies van de toezichthouders over de interpretatie van de diverse begrippen uit het privacyrecht. Het nadeel van die opinies is echter dat deze zelf ook vaak weer bol staan van nieuwe open normen, zijn opgesteld door de toezichthouders, niet allemaal op elkaar aansluiten en eigenlijk allemaal samen moeten gelezen om goed te kunnen destilleren hoe met een bepaalde situatie om te gaan. Dat is voor de praktijkjurist niet bepaald werkbaar.

Open normen komen wel meer voor

Nu is het gebruik van open normen natuurlijk niet uniek voor het privacyrecht. Het recht staat er zelfs vol mee.

Een open norm kan echter lastig op zichzelf blijven staan. De norm zal moeten worden ingevuld. Zoals Coen Drion zo mooi schrijft:

Open normen verdienen dus invulling. Wordt dat overgeslagen, dan blijft het recht als het ware te ver boven de feiten zweven, want die invulling is de brug van de norm naar het feitencomplex, en terug. 

Veel open normen worden wel nader ingevuld in rechtspraak of in de wet.

Zo zijn er hele handboeken verschenen waarin wordt beschreven wat allemaal reeds als 'onrechtmatige daad' is aangemerkt. Daarmee blijven er natuurlijk altijd onduidelijke situaties of grensgevallen. Niettemin is, mede door veel rechtszaken, bijvoorbeeld de afhandeling van veelvoorkomende schadegevallen bij veel verzekeraars redelijk gestandaardiseerd. 

Open normen vooraf ingevuld met lijsten in het consumentenrecht

Consumenten hoefden gelukkig niet zelf jaren te procederen om ook tot dergelijke invulling te komen. Consumenten worden in het recht geholpen met zwarte en grijze lijsten van (vermoedelijk) oneerlijke bedingen, lijsten met verplicht te geven informatie bij offertes, bij straatverkoop, online of straatverkoop of verkoop in de winkel en lijsten met handelingen die als agressief of misleidend worden aangemerkt.

Zo mogen geen kwaliteitslabels worden gevoerd die niet zijn verkregen, niet worden gedaan alsof de verkoper de enige is die wettelijke garanties biedt, mag je geen kinderen aanzetten hun ouders iets te laten kopen, is het beperken van aansprakelijkheid jegens een consument slechts haalbaar indien daar goede redenen voor zijn en moet de consument altijd naar zijn lokale rechter kunnen gaan. Om er een paar te noemen. 

Tel daar de rechtspraak bij op op grond waarvan de rechter die wetgeving ook zonder dat de consument daarom vraagt mag toepassen en waarbij de bewijslast dat de wetgeving is nageleefd nagenoeg altijd bij de zakelijke partij ligt, en het wordt duidelijk dat de consument er (in ieder geval in theorie) juridisch goed voorstaat. 

Een consument die (bewust of onbewust) instemt met eenzijdige contractuele voorwaarden, staat er dankzij het consumentenrecht dus vaak nog best goed voor. 

Nauwelijks invulling in het privacyrecht 

Het privacyrecht worden de open normen echter nauwelijks nader ingevuld.

Er is maar weinig rechtspraak over vermeende inbreuken op het privacyrecht. De AP is slechts een kleine toezichthouder en eventuele handhaving door de AP wordt bijna nooit voor de rechter ter discussie gesteld. De reden hiervoor is eenvoudig: bedrijven en instellingen zitten er niet op te wachten in het nieuws te zijn rondom het onderwerp privacy. De invulling van de open normen door de AP wordt zodoende nauwelijks door een onafhankelijke rechter getoetst (met als paradoxaal bij-effect dat de AP steeds voortbouwt op eigen historische oordelen). 

Onder de AVG is dit tot op heden in feite weinig anders dan onder de Wbp. Mogelijk dat er wel geprocedeerd gaat worden zodra er boetes opgelegd gaan worden. Juist echter omdat boetes voor de extreme situaties bedoeld zullen zijn, is de vraag of uit rechtspraak over dergelijke boetebesluiten uiteindelijk veel helderheid voor de praktijk zal volgen. De dagelijkse praktijk zal immers - veelal - niet zo extreem zijn.

Geen zwarte lijsten mogelijk, maar wellicht wel grijs?

Onder privacyrichtlijn (95/46) waren lijsten zoals uit het consumentenrecht vermoedelijk wel mogelijk.

Het Hof van Justitie heeft in het Asnef-arrest immers geoordeeld dat het lidstaten is toegestaan om "richtsnoeren" op te stellen voor de afweging die moet worden gemaakt bij verwerkingen op grond van het gerechtvaardigd belang. Die richtsnoeren mogen echt niet de "afweging van tegengestelde rechten en belangen definitief vast te stellen, zonder ruimte te bieden voor een afwijkende uitkomst wegens de bijzondere omstandigheden van een concreet geval". 

Naar analogie van het consumentenrecht zou de conclusie dan, vrij vertaald, zijn: in het privacyrecht waren onder de vorige privacywet grijze lijsten toegestaan, zwarte lijsten niet. 

Biedt de AVG hier echter nog wel ruimte voor? 

In de AVG staat in artikel 6 lid 2 echter alleen voor de grondslagen "wettelijke verplichting" en "publiekrechtelijke taak" ruimte voor de lidstaten om specifiekere regels in te voeren. Dit betekent vermoedelijk, omgekeerd, dat er voor de overige grondslagen dus geen nationale ruimte is voor die afweging.

In de memorie van toelichting bij de UAVG komt bijvoorbeeld ook regelmatig terug dat de AVG een verordening is die rechtstreeks werkt, dat de daarin opgenomen normen autonoom zullen worden uitgelegd en dat het "niet aan de Nederlandse wetgever om hierin een definitieve uitleg te geven". 

De goedgekeurde gedragscodes in de AVG

De enige ruimte die de AVG lijkt te bieden is die van de goedgekeurde gedragscodes (artikel 40 AVG). In die gedragscodes kan een uitwerking van de AVG zijn opgenomen die is toegespitst op een bepaalde sector. Gedragscodes die alleen in een lidstaat van toepassing zijn worden goedgekeurd door de nationale toezichthouder. Gedragscodes die in meer lidstaten van toepassing zijn moeten zowel aan het Comité als de Europese Commissie ter goedkeuring worden voorgelegd. 

Recent zijn richtsnoeren gepubliceerd over het opstellen van dergelijke gedragscodes door het  Comité. Uit die richtsnoeren volgt dat de lat voor goedgekeurde gedragscodes best hoog ligt:

• codes mogen alleen door partijen worden opgesteld die de sector vertegenwoordigen;
• de code moet voorzien in onafhankelijk toezicht;
• de code moet alle toepasselijke nationale wetgeving adresseren;
• de code moet heel precieze, concrete regels geven (par. 37);
• de code moet alle adviezen van het Comité adresseren (par. 38);
• de code moet alle bestaande rechtspraak adresseren (voetnoot 47).

Deze lat ligt zo hoog dat ik me afvraag of het in de praktijk tot veel gedragscodes zal komen. De paradox daarvan zou zijn dat de ruimte voor richtinggevend beleid die er onder de richtlijn op grond van het Asnef-arrest nog wel was, nu onder de AVG in feite niet meer is toegestaan. 

Do's en don'ts 

De praktijk heeft echter wel behoefte aan concrete do's en dont's. Het antwoord op de simpele vraag "mag dat?", is namelijk privacyrechtelijk vaak nog niet zo eenduidig. 

Vandaar het volgende idee. Waarom maken we niet de Europese Commissie bevoegd om de volgende lijsten op te stellen:

• grijze lijsten (lijsten van vermoedelijk verboden verwerkingen van persoonsgegevens);
• witte lijsten (lijsten van vermoedelijk aanvaardbare verwerkingen van persoonsgegevens).

Of vrij vertaald: lijsten van indicatieve do's & don'ts. Indicatief, want zwarte lijsten (met absolute verboden) matchen niet goed met het open karakter van de normen die nu eenmaal in de wet staan (omdat ze in het verdrag van Straatsburg staan). 

De EC lijkt de aangewezen instantie om dergelijke lijsten op te stellen. Grofweg zijn hiervoor twee argumenten. 

1. Scheiding der machten. In het kader van de scheiding der machten (trias politica) lijkt het me zuiverder om de EC dit (richtinggevende) werk te laten doen dan de European Data Protection Board (EDPB), die in feite bestaat uit de Europese privacytoezichthouders.
2. Inhoudelijk. De EC is reeds bevoegd om te beoordelen of een land voldoende passende waarborgen biedt, standaardbepalingen vaststellen voor verwerkersovereenkomsten, grensoverschrijdende gedragscodes goed te keuren, modelcontracten voor gegevensuitwisseling goed te keuren, regels vast te stellen voor wederzijdse bijstand, icoontjes vaststellen, eisen vaststellen voor certificeringsmechanismen, etc. Het opstellen van lijsten lijkt inhoudelijk sterk op dit werk.
3. Politiek. Bij de EC komen de verschillende, soms botsende, belangen die bij het privacyrecht spelen vermoedelijk beter tot hun recht dan bij de toezichthouders (die maar een belang hebben te dienen: privacybescherming). 

Een kleine wijziging van de AVG zou voldoende zijn om de Commissie die ruimte te bieden. 

Ik vrees echter dat men na het complexe wetgevingstraject rondom de AVG, met meer dan 3500 amendementen, nu geen zin meer heeft in verdere wijzigingen.

En ik vrees dat de toezichthouders, verenigd in de Board, zich fel zouden verzetten tegen dergelijke gedelegeerde bevoegdheid. 

Andere ideeën wellicht ook mogelijk

Het voorgaande is ook maar een gedachte om het privacyrecht iets concreter richting te geven. Ik zie in de praktijk namelijk een grote behoefte aan heldere, eenduidige regels. Ik zoek hierover graag het debat op. Mogelijk dat er nog wel andere routes denkbaar zijn. Ik hoor uw ideeën graag.