Raad van State stelt prejudiciële vragen over internationale bevoegdheid CBP en beleidsvrijheid bij handhaving privacywet

De Raad van State heeft op 15 april 2015 twee prejudiciële vragen gesteld aan het Hof van Justitie. De Raad wil allereerst weten in hoeverre het College Bescherming Persoonsgegevens bevoegd is wanneer door een buitenlands onderzoeksbureau in Nederland een persoonsonderzoek is verricht. De Raad wil verder weten of het beleid van het College Bescherming Persoonsgegevens om niet handhavend op te treden in individuele gevallen, wel in overeenstemming is met de privacyrichtlijn.

Onderzoek door Amerikaanse verzekeraar in Nederland

De zaak gaat in de kern over het volgende. Een man die tot 2005 in de USA woonachtig was, raakte begin deze eeuw arbeidsongeschikt. Hij was op dat moment verzekerd bij een Amerikaanse verzekeringsmaatschappij. Deze maatschappij startte daarop uitkeringen. In 2005 is de man verhuisd naar Amsterdam.

In 2008 en in 2010 is in opdracht van de Amerikaanse verzekeraar onderzoek verricht naar de man. Het onderzoek in 2008 is uitgevoerd door een Engels bedrijf en het onderzoek in 2010 door een Nederlands bedrijf. Naar aanleiding van deze onderzoeken heeft de Amerikaanse verzekeringsmaatschappij de uitkering van de man stopgezet.

Verzoek tot handhaving afgewezen

De man dient daarop een verzoek tot handhaving in bij het College Bescherming Persoonsgegevens (CBP). Dit verzoek wordt door het CBP afgewezen. Met betrekking tot de Amerikaanse en Engelse partij stelt het CBP zich op het standpunt dat het niet bevoegd is handhavend jegens hen op te treden.

Met betrekking tot de betrokken Nederlandse partijen stelt het CBP zich - conform zijn handhavingsbeleid - op het standpunt dat handhavend optreden niet opportuun is, omdat er geen aanwijzingen zijn dat sprake is van een structurele overtreding van de wet.

Beroep en hoger beroep

De man gaat vervolgens in bezwaar en beroep. De rechtbank heeft het beroep van de man afgewezen. De rechtbank oordeelde dat het CBP het beleid goed heeft toegepast en dat er geen aanleiding was prejudiciele vragen te stellen. Overigens heb ik over die uitspraak al een eerder blogbericht geschreven.

De man gaat van die uitspraak in hoger beroep. Daarmee komt de zaak dus bij de Raad van State terecht.

Raad van State: aanleiding voor twee vragen

De Raad van State -de hoogste rechter op bestuursrechtelijk gebied - concludeert dat er aanleiding is om twee vragen te stellen.

Eerste vraag: maakt onderzoek doen in Nederland het CBP bevoegd?

In de privacyrichtlijn staat onder meer dat de Wbp van toepassing is - en daarmee het CBP bevoegd - als er zich middelen in Nederland bevinden waarmee persoonsgegevens worden verwerkt, tenzij die middelen louter voor doorvoer worden gebruikt. In de regel wordt hierbij gedacht aan bijv. een serverpark op Nederlandse bodem.

De Raad van State vraagt zich nu af hoe ruim je dit begrip "middelen" moet lezen. Daarbij is ook relevant dat de privacyrichtlijn is bedoeld om een goede privacybescherming te borgen. Vast staat namelijk dat er mensen in Nederland zijn geweest die de man hebben geobserveerd, aantekeningen hebben gemaakt en hem hebben gefilmd. De vraag is dan ook in hoeverre de privacyrichtlijn nog wel nuttig effect heeft, als de privacyregels niet van toepassing (zouden) zijn op observaties die in de EU plaatsvinden, maar van buiten de EU worden aangestuurd. Het is nu aan het Hof van Justitie om hierop antwoord te geven.

Tweede vraag: is effectieve privacybescherming wel geborgd bij huidige beleid CBP?

De eerste vraag is nog wat juridisch-technisch van aard en voor velen wellicht niet zo 1-2-3 toepasbaar. De tweede vraag raakt echter iedereen die zich met privacy bezighoudt en is in zoverre nog veel relevanter.

Het College Bescherming Persoonsgegevens heeft beleidsregels opgesteld over de handhaving. Die regels komen er in het kort op neer dat het CBP alleen optreedt tegen grootschalige schendingen van de wet en niet tegen incidenten. Individuele verzoeken tot handhaving zullen dan ook in de regel door het CBP worden afgewezen. De gedachte achter dit beleid is dat het CBP geen onbeperkte menskracht heeft en dus keuzes moet maken.

In de privacyrichtlijn staat in artikel 28 lid 4 echter opgenomen dat een ieder een verzoek moet kunnen indienen bij de toezichthoudende autoriteiten. De Raad van State vraagt zich af of het nuttig effect van die bepaling niet wordt ondergraven, als in de praktijk het CBP ieder individueel verzoek categorisch afwijst. Vandaar dat de Raad aan het Hof van Justitie de vraag stelt of er ruimte bestaat voor nationale toezichthouders zaken zodanig te prioriteren, dat individuele zaken in de praktijk niet worden vervolgd.

Wachten op antwoord vanuit Luxemburg

Het is nu een kwestie van afwachten totdat het Hof van Justitie de twee vragen heeft beantwoord. We houden op de hoogte.