Open normen in het privacyrecht
De privacywetgeving bestaat voor een belangrijk deel uit open normen. Aan de hand van beginselen als dataminimalisatie, noodzakelijkheid en opslagbeperking moet worden getoetst of een verwerking van persoonsgegevens rechtmatig is. Die normen zijn overigens al decennia oud en komen uit conventie 108 van de Raad van Europa.
Het Hof van Justitie benadrukt weliswaar in veel zaken dat die beginselen in beginsel streng en strikt moeten worden geïnterpreteerd en dat afwijkingen daarop alleen bij uitzondering zijn toegestaan, het blijven tegelijkertijd principieel open normen die niet vooraf kunnen worden ingevuld. Tekenend is bijvoorbeeld ook het Huber-arrest: het begrip noodzakelijkheid moet streng, strikt en Europees uniform worden geïnterpreteerd, maar het blijft uiteindelijk wel aan de feitenrechter om dit beginsel in concreto te toetsen.
Open normen en normstelling
Een open norm betekent per definitie dat er meerdere manieren zijn om aan de regel te kunnen voldoen. Anders had de wet immers net zo goed vooraf in concreto de norm kunnen stellen.
Bij veel regelgeving stelt de wetgever zelf in concreto de norm. Zo stelt het RVV hele concrete regels over gedrag op de weg: er moet rechts worden gereden (dus wie links rijdt zit fout) en er gelden maximumsnelheden (dus wie te hard rijdt zit fout).
Bij open normen is die duidelijkheid er niet op voorhand. De wetgever geeft slechts algemene kaders, aan de hand waarvan in concreto zal moeten worden getoetst of de regel is overtreden. Dat geeft ruimte en maakt ook dat er meerdere manieren zijn waarop aan de wet kan worden voldaan.
Aanvaardbaarheid open normen
Open normen zijn zeker niet per definitie fout. Zoals ik eerder blogde komen ze heel veel voor in het recht.
En het is ook al lang en breed uitgemaakt dat open normen in beginsel ook handhaafbaar zijn. Zie in dit kader ook de toelichting van de regering bij de introductie van de boetebevoegdheid van in de toenmalige Wet bescherming persoonsgegevens:
In de jurisprudentie van het EHRM, die vooral is gevormd naar aanleiding van strafrechtelijke wetgeving, wordt aanvaard dat de wetgever niet altijd in staat is om nauwkeurig geformuleerde normen vast te stellen, en dat aanvulling van de wetgeving door vaste jurisprudentie mogelijk is. Het gaat erom dat de betrokkene zijn handelen op het gehele recht kan afstemmen. Verder mag van de betrokkene een redelijke inspanning worden gevraagd, om, zo nodig met behulp van deskundig advies, het eigen handelen op een wettelijke norm af te stemmen (EHRM 25 mei 1993, Kokkinakis tegen Griekenland, Publ ECHR, Serie A, vol. 260, r.o. 52; EHRM 27 september 1995, G. tegen Frankrijk, NJ 1996, 49, m.n. Kn; EHRM 17 september 2009, Scoppola tegen Italië, appl. no. 10249/03), EHRM 15 november 1996, nr. 17862/91 (Cantoni/Frankrijk) en 25 juni 2009, nr. 12157/05 (Liivik/Estland). Een Nederlandse zaak waarin het ging om de oplegging van een bestuurlijke boete op grond van de Wet arbeid vreemdelingen betreft EHRM 28 juni 2011, LJN BT2901 (Financiële Dagblad B.V./Nederland). De klacht over het onbepaalde werkgeversbegrip in de Wet arbeid vreemdelingen in relatie tot artikel 7 EVRM werd kennelijk ongegrond bevonden.
Ook in de nationale bestuursrechtelijke jurisprudentie wordt aanvaard dat wetgeving die wordt gehandhaafd met een bestuurlijke boete onder omstandigheden noodzakelijkerwijs uit vage normen bestaat, welke normen in de toepassingspraktijk nader moeten worden ingevuld. Wel worden in zulke gevallen aan de motivering van het besluit hoge eisen gesteld. Aangetoond moet worden waar het gedrag van de overtreder tekortschiet en ook waarom hetgeen de overtreder daartegen inbrengt niet tot een andere conclusie leidt (CBB 24 augustus 2006, LJN AZ3770, CRvB 27 april 2000, LJN AA5669). Door de Afdeling bestuursrechtspraak van de Raad van State wordt in ieder geval aanvaard dat min of meer vage normen kunnen worden aangevuld door een zogenaamde best beschikbare techniek (ABRS 15 november 2006, LJN AZ2271) of door een concretisering van de normen in het kader van het toezicht («toezichtbeleidsbrief») (ABRS 14 december 2005, LJN AU7977). Het geheel aan de belanghebbende overlaten om een vereiste inspanningsverplichting te leveren om een boete te ontgaan, zonder dat de overheid daarover in enige vorm duidelijkheid verschaft, oordeelde de Afdeling bestuursrechtspraak in strijd met art. 7 EVRM (ABRS 20 november 2002, LJN AF0842). Maar onder omstandigheden kan ook een in algemene termen vervat voorschrift toch voldoende duidelijk zijn voor belanghebbenden om hun gedrag daarop af te stemmen (ABRS 3 mei 2006, LJN AW 7337, en CBB 20 december 2007, LJN BC2232).
Normstelling door toezichthouder zelf
Tegelijkertijd zit er wel een spanningsveld rondom open normen, zeker wanneer deze nader worden geïnterpreteerd door nota bene de toezichthouder.
De Raad van State wees er bij datzelfde wetsvoorstel op dat het niet ondenkbaar is dat de open norm door de toezichthouder zelf nader wordt ingevuld, maar dat het wel - zeker bij een grondrecht als privacy - wel ongewenst is dat normstelling en handhaving in één hand komen te liggen:
Het voorgaande betekent dat de concretisering van de vage wettelijke normen in hoofdzaak geschiedt door middel van richtsnoeren en nadere beslissingen23 van het Cbp. In de huidige omstandigheden kan het onder omstandigheden nuttig zijn dat het Cbp door het uitbrengen van richtsnoeren meer duidelijkheid probeert te bieden over de wijze waarop de Wbp moet worden uitgelegd. Nu het Cbp echter ook bevoegd wordt bestuurlijke boetes op te leggen voor overtreding van een groot aantal verplichtingen in de Wbp, is sprake van een sterkere concentratie van uiteenlopende taken dan voorheen het geval is. Hoewel de richtsnoeren geen algemeen verbindende voorschriften zijn en de opstelling van richtsnoeren niet gebaseerd is op een expliciete wettelijke bevoegdheid komt het in de toekomstige situatie er feitelijk op neer dat althans een deel van de normstelling komt te liggen bij het orgaan dat vervolgens geacht wordt om dezelfde normen via punitieve sancties te handhaven. Aldus komen normstelling en bestraffing in belangrijke mate in één hand te liggen.
De Afdeling is zich er van bewust dat vergelijkbare situaties ook voorkomen bij andere toezichthouders op andere beleidsterreinen. In het onderhavige geval echter betreft het een grondrechtelijke aangelegenheid waarin de wetgever gelet op artikel 10, tweede en derde lid, Grondwet een bijzondere verantwoordelijkheid draagt. Bovendien gaat het, anders dan bij andere toezichthouders, niet om specifieke sectoren maar om de bescherming van persoonsgegevens die in beginsel van belang is voor alle maatschappelijke terreinen.
Tegen deze achtergrond is het naar het oordeel van de Afdeling gewenst om bij de totstandkoming van nadere normstelling in elk geval de betrokkenheid van de voor de wetgeving op dit terrein verantwoordelijke bewindspersoon in de wet te waarborgen.
Open normen en Bunq-kwestie
Dat is een lange inleiding om bij de actuele aanleiding voor deze blog uit te komen: de recente uitspraak inzake het geschil tussen DNB en Bunq. In die kwestie verwijt DNB kort gezegd onder meer dat Bunq te weinig zou doen aan screening van klanten.
Als gezegd laat ik het financeelrechtelijke van die kwestie voor wat het is. Ik signaleer alleen het volgende.
In de kwestie gaat het o.a. over de plicht tot het doen van cliëntenonderzoek. De discussie tussen DNB en Bunq is niet of dat onderzoek moet worden gedaan, maar "de wijze waarop dit cliëntenonderzoek moet worden gedaan" (r/o 8.4).
En dan is interessant dat het CBB in de kwestie twee constateert dat de wet "niet voorschrijft op welke wijze het cliëntenonderzoek moet worden verricht". Het is, zo vat ik het CBB vrij samen, gelet daarop aan de DNB om te onderbouwen waarom de wijze die Bunq heeft gekozen niet zou voldoen aan de wettelijke eis. En dat heeft de DNB kennelijk niet onderbouwd. Het lijkt erop, als ik de kwestie goed begrijp, dat DNB verlangde dat werd vastgehouden aan een specifieke werkwijze. Dat klinkt als (te) strikt vasthouden aan een eigen interpretatie van de wet.
Open normen en de Autoriteit Persoonsgegevens
Ook de Autoriteit Persoonsgegevens geeft vaak eigen interpretaties aan de wet. Een bekend en recent voorbeeld is de normuitleg gerechtvaardigd belang (in de kern ook samengevat in de FAQ op de site), die bij de hoogste bestuursrechter al in feite onderuit is gegaan, maar waarover de rechtbank Amsterdam recent prejudiciële vragen stelde.
Een ander voorbeeld is de stelling van de Autoriteit Persoonsgegevens dat een curator klantgegevens alleen bij contractoverneming zou mogen doorgeven, maar in andere gevallen toestemming van de betrokkene nodig heeft. Dit volgt uit een strikt interpretatie van de beginselen van de wet door de AP. Onduidelijk is echter of de taak van de curator - vrij vertaald: belangen van schuldeisers dienen - niet rechtvaardigt dat er persoonsgegevens ook bij andere vormen van doorstart dan middels contractoverneming mogen blijven worden verwerkt.
Of wat te denken van de eisen die de AP (en andere toezichthouders) stellen aan het verkrijgen van goedkeuring op een gedragscode. De AVG zelf geeft in artikel 40 slechts een beperkt aantal eisen voor dergelijke gedragscodes; de Europese toezichthouders (niet alleen de AP) hebben die lijst eisen echter flink uitgebreid. Best ironisch eigenlijk dat een gedragscode die bedoeld is om open normen in te vullen, en die zelf volgens de wet op allerlei manieren kan worden ingevuld, volgens de toezichthouders heel strikt geïnterpreteerd moet worden.
Ten slotte
Het CBB is niet de hoogste bestuursrechter bij handhaving door de Autoriteit Persoonsgegevens, dat is de Afdeling Bestuursrechtspraak van de Raad van State. Dat laat onverlet dat de redenering van het CBB in abstracto ook op kan gaan in privacykwesties. Ook voor de privacywet geldt immers, in de woorden van de rechter, dat de wet "niet voorschrijft op welke wijze" een bepaalde verplichting "moet worden verricht". Bovendien heeft de afdeling advisering van de Raad van State, zoals hiervoor geciteerd, al gesignaleerd dat er een verzwaarde motiveringsplicht voor de Autoriteit Persoonsgegevens geldt bij de invulling van open normen. Op stellige interpretaties van de privacywetgeving door de AP zal dus mogelijk best wat af te dingen zijn.
