Nieuwe toestemmingsmuren in opkomst dankzij normuitleg Autoriteit Persoonsgegevens

De Autoriteit Persoonsgegevens (AP) heeft enkele weken terug een normuitleg gepubliceerd over de interpretatie van het begrip "gerechtvaardigd belang". Klinkt wellicht technisch en saai, maar het komt er op neer dat wat de betreft er eigenlijk veel vaker toestemming zou moeten worden gevraagd voor de verwerking van persoonsgegevens. Naar mijn idee slaat de AP hier de plank toch mis.

Back-to-basics: grondslag vereist voor verwerking

Allereerst even terug naar de basis. Op grond van de AVG mogen persoonsgegevens alleen worden verwerkt als daarvoor een grondslag aanwezig is. De AVG noemt zes grondslagen (samengevat):

1. toestemming betrokkene;
2. uitvoering overeenkomst of precontractuele maatregelen;
3. voldoen aan wettelijke plicht;
4. vitale belangen betrokkene of derde;
5. vervulling publieke taak;
6. gerechtvaardigd belang van de verwerkingsverantwoordelijke of een derde, mits het belang van de betrokkene niet prevaleert.

Het is vaste rechtspraak dat die lijst limitatief is. De AP geeft nu een uitleg voor laatstgenoemde grondslag (het gerechtvaardigd belang). 

Vanwege eis noodzakelijkheid al snel toestemming of gerechtvaardigd belang

Voor alle grondslagen geldt dat de verwerking alleen is toegestaan voor zover "noodzakelijk" voor dat doel. Het Hof oordeelde in het Huber-arrest in 2008 al dat noodzakelijkheid in de hele EU uniform en bovendien beperkt moet worden geïnterpreteerd.

In de praktijk worden vaak meer persoonsgegevens verwerkt dan strikt noodzakelijk voor de uitvoering van een overeenkomst, het naleven van wettelijke verplichtingen of de vervulling van een publieke taak. Dat betekent dat voor het meerdere al snel ofwel toestemming, ofwel een gerechtvaardigd belang vereist is. 

Aangezien toestemming vragen veelal niet praktisch is, blijft dus vaak slechts het gerechtvaardigd belang over. Dat maakt deze grondslag zo belangrijk. 

Historie van de grondslag gerechtvaardigd belang

De privacywetgeving kent een lange historie. Ik heb daar al eens eerder een blogje aan gewijd. 

Het komt er op neer dat het Verdrag van Straatsburg uit 1980 de belangrijkste beginselen voor de verwerking va persoonsgegevens geeft. Vervolgens kwam de EU in de jaren 90 met een voorstel voor een richtlijn, om zo te borgen dat er niet allerlei verschillende (aanvullende) regels in de landen van de EU zouden gaan ontstaan voor de verwerking van persoonsgegevens. Het idee van het vereiste van een grondslag voor de verwerking van persoonsgegevens is hier ontstaan. 

Oorspronkelijk ging men nog uit van afzonderlijke grondslagen voor de private en de publieke sector. In het bijgestelde voorstel dat de Europese Commissie uit 1992 is te lezen dat die lijst is samengevoegd tot een limitatieve en sector-onafhankelijke lijst van grondslagen: 

Article 7 provides a simplified and restructured statement of the grounds on which personal data may lawfully be processed; in the initial proposal this matter was to be found in Articles 5, 6 and 8. The distinction between the public and the private sectors has been dropped, as proposed in Parliament's amendments Nos 27, 28 and 29.

In de inleiding wordt uitgelegd dat het gerechtvaardigd belang bedoeld is om de belangen van een private partij te dienen, zoals marketingbelangen of het gebruik van openbare gegevens:

The list permits processing where the data subject has consented, or where a contract with the data subject makes it necessary, or to comply with a legal obligation, etc., and ends with a clause allowing private interests to be weighed against others. This balance-of-interest clause is likely to concern very different kinds of processing, such as direct-mail marketing and the use of data which are already a matter of public record; Member States are to weigh the balance of interest in accordance with procedures which they are to establish taking account in particular of the general principles in Section I and of the rights of data subjects.

Verder wordt uitgelegd dat waar het oude idee om te spreken over een quasi-contractuele relatie te vaag werd bevonden en dat mede daarom het begrip gerechtvaardigd belang is geïntroduceerd:

The reference to a "quasi-contractual relationship" was considered by many sources to be vague and to fall either under the concept of a contract or under that of a legitimate interest (referred to in the new Article 7(f)); and the wording "steps at the request of the data subject preliminary to entering into a contract" has now been used to cover the situation before any contractual relationship is established (new Article 7(b)).

Opinie van de artikel 29 werkgroep

In 2014 bracht de artikel 29 werkgroep - vrij vertaald: alle Europese privacytoezichthouders bij elkaar - een opinie uit over het gerechtvaardigd belang. In die opinie waarschuwen de toezichthouders er onder meer voor dat niet te veel op toestemming moet worden geleund en dat juist een beroep op gerechtvaardigd belang valide kan zijn:

On the other hand, an appropriate assessment of the balance under Article 7(f), often with an opportunity to opt-out of the processing, may in other cases be a valid alternative to inappropriate use of, for instance, the ground of 'consent' or ‘necessity for the performance of a contract'. Considered in this way, Article 7(f) presents complementary safeguards - which require appropriate measures - compared to the other pre-determined grounds. It should thus not be considered as 'the weakest link' or an open door to legitimise all data processing activities which do not fall under any of the other legal grounds. 
(...)
There is not any indication that Article 7(f) should only be applied in exceptional cases and the text also does not otherwise suggest that the specific order of the six legal grounds would have any legally relevant effect. 
(...)
If incorrectly used, the data subject’s control becomes illusory and consent constitutes an inappropriate basis for processing.

In de opinie benadrukken de toezichthouders dat wat onder een gerechtvaardigd belang kan worden verstaan heel erg breed is en uiteen kan lopen van maatschappelijke vraagstukken, tot commerciele belangen van de onderneming:

The nature of the interest may vary. Some interests may be compelling and beneficial to society at large, such as the interest of the press to publish information about government corruption or the interest in carrying out scientific research (subject to appropriate safeguards). Other interests may be less pressing for society as a whole, or at any rate, the impact of their pursuit on society may be more mixed or controversial. This may, for example, apply to the economic interest of a company to learn as much as possible about its potential customers so that it can better target advertisement about its products or services.

(...)

In the view of the Working Party, the notion of legitimate interest could include a broad range
of interests, whether trivial or very compelling, straightforward or more controversial. 

(...)

In other words, a legitimate interest must be ‘acceptable under the law'. 

(...)

To illustrate: controllers may have a legitimate interest in getting to know their customers'
preferences so as to enable them to better personalise their offers, and ultimately, offer
products and services that better meet the needs and desires of the customers. In light of this,
Article 7(f) may be an appropriate legal ground to be used for some types of marketing activities, on-line and off-line, provided that appropriate safeguards are in place 

Algemene verordening gegevensbescherming (AVG)

In 2016 werd de AVG vastgesteld. Zoals al heel vaak geblogd bouwt de AVG voort op de hiervoor al genoemde privacyrichtlijn en brengt voor de kernbeginselen niet echt wijzigingen met zich mee.

Het artikel over gerechtvaardigd belang uit de richtlijn komt nagenoeg ongewijzigd in de AVG terug. Sterker nog, het artikel is zelfs nog iets verruimd. Onder de AVG mag met belangen van meer derden rekening worden gehouden, nu de eis dat sprake is van een derde "aan wie de gegevens worden verstrekt" is komen te vervallen. 

Over het gerechtvaardigd belang is in de overwegingen van de AVG nog het volgende te lezen:

(47) (...) Een dergelijk gerechtvaardigd belang kan bijvoorbeeld aanwezig zijn wanneer sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke. (...) De verwerking van persoonsgegevens die strikt noodzakelijk is voor fraudevoorkoming is ook een gerechtvaardigd belang van de verwerkingsverantwoordelijke in kwestie. De verwerking van persoonsgegevens ten behoeve van direct marketing kan worden beschouwd als uitgevoerd met het oog op een gerechtvaardigd belang.

De "relevante en passende verhouding" die wordt genoemd doet toch wel terugdenken aan de "quasi contractuele relatie" uit de hiervoor geciteerde wetsgeschiedenis van de privacyrichtlijn.

Dat direct marketing valt onder het gerechtvaardigd belang is zo ook duidelijk. Dat wordt nog eens nader bevestigd door het absolute recht van bezwaar bij verwerkingen voor direct marketing doeleinden (artikel 21 lid 2 AVG), terwijl het recht van bezwaar in alle andere gevallen niet absoluut is (alleen leidt tot een heroverweging).  

Rechtspraak tot op heden

De rechtspraak bij het Hof van Justitie tot op heden kan als volgt worden samengevat:

1. In het Asnef-arrest oordeelde het Hof dat lijst met grondslagen limitatief is. Er mogen uitdrukkelijk geen aanvullende eisen worden gesteld aan het gerechtvaardigd belang, hooguit indicatieve richtsnoeren worden uitgevaardigd. Dat is later herbevestigd in o.m. het Breyer-arrest. 
2. In datzelfde Asnef-arrest benadrukt het Hof dat het gerechtvaardigd belang twee eisen stelt (gerechtvaardigd belang enerzijds en geen prevalerende rechten anderzijds).
3. Later in o.m. het Rigas-arrest, het Breyer-arrest, het Fashion-ID-arrest en het M5A-arrest maakt het Hof er drie criteria van: (i) gerechtvaardigd belang, (ii) noodzaak en (iii) niet prevaleren van de belangen van de betrokkene. 

In die rechtspraak erkent het Hof de volgende belangen als gerechtvaardigd:

1. In het Promusicae-arrest oordeelde het Hof dat zolang een juist evenwicht wordt gezocht tussen belangen van rechthebbenden en inbreukmakers, denkbaar is dat gegevens van inbreukmakers worden verstrekt;
2. In het Google Spain arrest wordt overwogen dat het gerechtvaardigd belang van Google is gelegen in de informatievrijheid van andere internetters, niet in een eigen commercieel belang (daarvoor gaat de privacyinbreuk te ver). Maar let op: het Hof oordeelt niet dat een economisch/commercieel belang niet gerechtvaardigd zou kunnen zijn. 
3. In het Rigas-arrest oordeelt het Hof dat het “lijdt geen twijfel” dat verhalen van schade gerechtvaardigd belang is, dat minderjarigheid geen reden is geen gegevens te verstrekken die noodzakelijk zijn voor dagvaarden.
4. In het Breyer-arrest wordt overwogen dat het borgen van de goede werking van een website een rechtvaardiging kan zijn om bezoekersgegevens te bewaren.
5. In het Fashion-ID arrest (over Facebook plug-ins) herhaalt lijkt het Hof niet principieel van oordeel dat het commerciële karakter van de plug-ins op voorhand aan een gerechtvaardigd belang in de weg staat. Wel wijst het Hof erop dat de lokale rechter zal moeten toetsen of zowel de websitehouder als Facebook een gerechtvaardigd belang hebben. 
6. In het M5A-arrest overweegt het Hof dat bewaking van eigendommen met videocamera's een gerechtvaardigd belang kan zijn.

Tussenconclusie: open norm, onder meer voor commerciële doeleinden bedoeld

Een kort resumé van het voorgaande. De grondslag "gerechtvaardigd belang" is vanaf de introductie in de jaren 90 tot op heden bedoeld geweest als open norm, uitdrukkelijk geschikt voor o.m. commerciële doeleinden en de rechtspraak is (zeer) consequent dat aan die open norm geen nadere voorwaarden mogen worden verbonden.

Normuitleg gerechtvaardigd belang

Op 1 november jl. heeft de Autoriteit Persoonsgegevens het document "normuitleg gerechtvaardigd belang" gepubliceerd. In dit document - dat vermoedelijk kwalificeert als beleidsregel in de zin van de Awb - geeft de Autoriteit een heel eigen uitleg aan de grondslag gerechtvaardigd belang. 

Zo is in de normuitleg onder meer het volgende te lezen: 

De eerste voorwaarde is dat de belangen van de verwerkingsverantwoordelijke of een derde kwalificeren als gerechtvaardigd. Dat houdt in dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang. Een belang dat ook in rechte beschermd wordt, dat beschermingswaardig wordt geacht en dat in beginsel gerespecteerd moet worden en ‘afgedwongen’ kan worden.

De AP leest hier een eis in de grondslag die er niet (onomwonden) staat.

De vraag is ook hoe bijvoorbeeld het meten van statistieken of het borgen van de goede werking van een website (Breyer-arrest) als een afdwingbaar rechtsbelang zou moeten kunnen worden gezien. 

Dat het verstoren van de werking van een website mogelijk onrechtmatig is, wil immers nog niet per se zeggen dat een websitehouder omgekeerd er recht op heeft jegens willekeurig wie dan ook de goede werking van de website af te kunnen dwingen.

Of om een parallel te trekken: kan ik dan als ik op straat een publiektelling wil kunnen houden, eisen dat het winkelend publiek stil gaat staan? Dat lijkt mij toch niet. 

Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, het zonder gerechtvaardigd belang volgen van het gedrag van werknemers of het (koop)gedrag van (potentiële) klanten, etc.

Dit is denk ik de meest bekritiseerde passage uit de normuitleg. Commerciële belangen zouden geen gerechtvaardigde belangen zijn.

Ik ben het - net als naar mijn inschatting de rest van de privacydeskundigen in Nederland - niet met de AP eens. Ik wijs in dat kader op een paar argumenten:

1. de norm gerechtvaardigd belang is zo ongeveer "uitgevonden" voor commerciële belangen (zie hiervoor de historie eerder in deze blog); 
2. het borgen van het privacybelang van de betrokkene ligt nu juist besloten in de afweging die op grond van het wetsartikel moet worden gemaakt, het past dan niet om op voorhand al eisen te stellen aan wat "gerechtvaardigd" is; 
3. het is vaste rechtspraak dat lidstaten en dergelijke niet op voorhand al mogen vastleggen hoe de afweging onder het gerechtvaardigd belang mag uitpakken, hetgeen toch lijkt te gebeuren wanneer bepaalde verwerkingen op voorhand categorisch worden uitgesloten; 
4. de AVG zelf gaat er bij o.m. het recht van verzet vanuit dat een verwerking onder het gerechtvaardigd belang vaak een commercieel doel zal dienen, hetgeen het meest duidelijk blijkt uit het absolute recht van verzet bij direct marketing;
5. het Handvest van de EU erkent in artikel 16 het recht op vrijheid van ondernemerschap en ondernemingen zijn nu juist - naar hun aard - gericht op het nastreven van commerciële belangen en winstmaximalisatie; en
6. waarin verschilt het erkende recht op het handhaven van IE-rechten teneinde gederfde winst (of geleden schade) alsnog te innen bij de inbreukmakers (Promusicae-arrest) van het streven naar winstmaximalisatie eigenlijk?
7. in het jaarverslag 2018 schreef de AP zelf nog dat bij marketingactiviteiten bij direct marketing per post gerechtvaardigd belang volstaat.

De cirkelredenering van de AP dat het niet gerechtvaardigd is om zonder gerechtvaardigd belang mensen te volgen kan ik overigens helemaal niet volgen.

De cirkelredenering daargelaten, is het ook opvallend dat de AP op 15 augustus 2019 over het "volgen van het (...) (koop)gedrag van (potentiële) klanten" middels cookies in Google Analytics in haar eigen handleiding daarover nog schreef: "U verwerkt met dit soort 'onschuldige' analytische cookies nog steeds persoonsgegevens, maar de verwerking is dan mogelijk met een beroep op de grondslag van de noodzaak ter behartiging van uw gerechtvaardigd belang (artikel 6.1, onder f, van de AVG).".

Moeten we het standpunt van de AP dan zo begrijpen dat zodra de handleiding van de AP opgevolgd wordt, dat daarmee sprake is van het volgen met een gerechtvaardigd belang? Dat zou echter betekenen dat de AP nadere eisen stelt aan het gerechtvaardigd belang, hetgeen haaks staat op de al aangehaalde rechtspraak. Of is die handleiding van de AP (die nog gewoon online staat) nu opeens impliciet ingetrokken? Waarom staat deze dan echter nog online? Het is mij een raadsel. 

Let op: verwerkt de verwerkingsverantwoordelijke of derde persoonsgegevens op basis van de grondslag gerechtvaardigd belang, dan geeft dat hem wel extra verantwoordelijkheid om de belangen van betrokkenen in acht te nemen en de rechten van betrokkenen te garanderen. Zoals de verplichting om de betrokkene vooraf over die voorgenomen verwerking te informeren.

Dit is ook zo'n wonderlijke passage. 

De AP lijkt hier te schrijven dat bij een verwerking op grond van het gerechtvaardigd belang er een verzwaarde transparantieverplichting geldt. Op grond van de AVG moet je echter altijd transparant zijn over de verwerking van persoonsgegevens (enkele uitzonderingen daargelaten, zie artikel 23 AVG).

De AP bouwt een toestemmingsmuur die ze zelf onwenselijk vindt

De normuitleg vind ik dus op meerdere gronden slecht te volgen. 

Het wonderlijke is wel: de AP duwt partijen hiermee richting de grondslag van 'toestemming'. Dat zal immers - mede gelet op de uitleg van het begrip 'noodzakelijkheid' - de enig denkbare resterende grondslag zijn. 

Toestemming is echter volgens de AP zelf voor veel situaties helemaal geen gewenste grondslag:

• In het stappenplan voor het MKB schrijft de AP dat toestemming vragen "minder vaak voor [komt] dan u denkt";
• in de FAQ over toestemming verwijst de AP naar de WP29-opinie over toestemming, waarin nu juist staat dat goed moet worden afgewogen of toestemming wel de goede grond is;
• in de WP29-opinie over gerechtvaardigd belang schrijven de toezichthouders (waaronder dus de AP) over toestemming: "Indien incorrect gebruikt, verwordt de controle van de betrokkene tot een illusie en vormt de toestemming een ongeschikte basis voor de verwerking";
• enz.

De AP duwt bedrijven en instellingen dus richting het vaker vragen van toestemming, terwijl niemand daar op te wachten zit. De bedrijven niet, maar ook de betrokkenen niet. Onderzoek naar de cookiewetgeving laat immers zien dat gebruikers allerlei meldingen achteloos wegklikken.

Lastige bewijspositie voor de AP

De AP wurmt zich als handhaver bovendien ook in een ogenschijnlijk onmogelijke positie.

Als er toestemming gevraagd moet worden, dan gaan bedrijven en instellingen dat - onder dreiging van handhaving - echt wel doen. De ervaringen met de cookiewetgeving laat dit wel zien. Wat je dan krijgt is nog meer digitale "muren" waar je eerst op akkoord moet klikken of papieren die je eerst voor akkoord moet ondertekenen, alvorens je door kunt gaan. 

Het enige dat de AP dan effectief heeft bereikt is ongemak voor de burger. Aard en omvang van de persoonsgegevensverwerkingen zal naar mijn inschatting niet substantieel wijzigen. Het is immers eenvoudiger een toestemmingsmuur te bouwen, dan meer principieel te gaan nadenken over of een verwerking echt noodzakelijk is of niet. 

De AP zal vervolgens vermoedelijk gaan betogen dat het afdwingen van toestemming niet geldig is. Die discussie zien we bij de cookiewetgeving ook steeds terugkomen. Soms zal de AP daar best een punt hebben, zeker bij bedrijven en instellingen waar een grote afhankelijkheidsrelatie bestaat tussen betrokkene en het betreffende bedrijf of instelling. 

Daar waar die afhankelijkheidsrelatie echter niet of minder bestaat, raakt die discussie aan de handelingsvrijheid (of handelingsbekwaamheid) van burgers. Zolang toestemming een geldige grondslag is, kunnen burgers zeggen: "ja, ik vind het prima om op deze site gevolgd te worden in ruil voor gratis nieuws". Als burgers daar met hun volle verstand voor kiezen, wie is de AP dan om daar op in te grijpen? Of moet de AP dan gaan gedachtelezen, dan wel zich paternalistisch opstellen, bij het toetsen van de vraag of betrokkenen echt hebben bedoeld in te stemmen of niet?

Zeker als bijvoorbeeld nieuwswebsites op den duur worden aangeboden in twee varianten - betalen met geld of betalen met je privacy (bijv. met gepersonaliseerde advertenties) - en de betrokkene dus vrijelijk kan kiezen uit de routes, waar ligt dan nog de bevoegdheid van de AP om in te grijpen?

En als er al ingegrepen zou kunnen worden in de autonomie van de burger (om ja te zeggen tegen dat aanbod), waar ligt dan de grens? Wanneer mag een "muur" wel en wanneer niet? Dit vind je allemaal niet in de AVG. De toezichthouder zou zodoende wel een grote rol krijgen bij het invullen van dergelijke normen. Dat worden interessante vragen om in (langdurige) rechtszaken te beantwoorden. 

Ten slotte

Over de route die de AP inslaat is dus voorlopig het laatste woord nog niet gezegd. We blijven het volgen. Heeft u in de tussentijd vragen over het privacyrecht, neem dan gerust contact op.