Rina Steenkamp - Privacy en technologie
Alzo Wij in overweging genomen hebben, dat het noodzakelijk is de richtlijn nr. 95/46/EG van het Europees Parlement en de Raad van de Europese Unie van 23 november 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEG L 281) te implementeren;
[Memorie van Toelichting | Aantekeningen | Volledige tekst van de Richtlijn | Waarom de Richtlijn? | De totstandkoming van de Richtlijn; Gevolgen van de implementatie van de Richtlijn | De implementatie van de Richtlijn in de Wbp | Transponeringstabel Richtlijn 95/46/EG - Wbp | WP29: The Future of Privacy - Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data | WP29: Advies 3/2010 over het verantwoordingsbeginsel]
Elk tijdperk in de geschiedenis kent zijn thema’s en deze thema’s kunnen soms voor een krachtige stroomversnelling zorgen. Ook ons tijdperk kent dergelijke thema’s: algemeen wordt aangenomen dat de totstandkoming van de informatiemaatschappij zo’n thema is. Hiermee voltrekt zich een nieuwe 'industriële revolutie' die op langere termijn mogelijk niet onderdoet voor de vorige. Sinds enige tijd maakt de omvang van de informatie en het gemak waarmee deze verkregen en verspreid kan worden een welhaast exponentiële groei door. Met behulp van geautomatiseerde zoeksystemen kan nu of in de naaste toekomst op nagenoeg elke werkplek en in elke huiskamer in de westerse wereld een vrijwel onbegrensde hoeveelheid informatie snel worden geraadpleegd. Daarnaast opent de mogelijkheid op een dergelijke wijze en in die mate kennis en informatie te verspreiden ongekende bronnen voor intensivering en verbetering van produktieprocessen.
De in deze ontwikkelingen besloten liggende mogelijkheden voor economische groei trekken de aandacht van velen. Zo nam reeds in 1991 de vice-president van de Verenigde Staten het initiatief voor de bevordering van wat hij aanduidde als de elektronische snelweg. Op 26 mei 1994 bood de Europese commissaris Bangemann zijn rapport 'Europe and the global information society' aan aan de Europese Raad van Corfu. In dit rapport wordt ter wille van de economische ontwikkeling en parallel aan de Amerikaanse ontwikkelingen, bevordering van de elektronische snelweg bepleit.
Ondanks de hoopvol stemmende mogelijkheden van de informatiemaatschappij mag niet vergeten worden dat aan deze mogelijkheden ook gevaren kleven. Gevaren die de menselijke waardigheid kunnen aantasten. Bijvoorbeeld één van de schaduwzijden van de informatiemaatschappij is de inbreuk op de persoonlijke levenssfeer die het gevolg kan zijn van een ongebreidelde vergaring, bewerking en verspreiding van persoonsgegevens. De vruchten van nieuwe technische mogelijkheden moeten worden verenigd met een nieuwe verantwoordelijkheid van de mens om zodanig met informatie om te gaan, dat een humane informatiemaatschappij als nieuw cultuurgoed wordt verwerkelijkt. Dit noopt tot de ontwikkeling van nieuwe normen en waarden die voor een deel ook in het recht moeten worden vastgelegd.
De economische voordelen van de elektronische snelweg waren begin 1995 voorwerp van overleg in de groep van de zeven grootste geïndustrialiseerde landen, de G7. Tijdens dit overleg kwamen ook de gevaren van de elektronische snelweg ter sprake. Ten aanzien van deze gevaren was een conclusie van dit overleg dat een internationale aanpak gewenst zou zijn. De reden hiervoor is dat informatie op de elektronische snelweg een immaterieel karakter heeft en dat het als gevolg hiervan moeilijk is om aanknopingspunten te vinden bij een bepaald territoir en dus te bepalen onder welke jurisdictie de informatie valt. Met het oog op de totstandbrenging van de informatiemaatschappij in de interne markt heeft de Europese Commissie in 1990 een regeling voorgesteld voor het omgaan met persoonsgegevens. Deze regeling, in de vorm van een richtlijn tot harmonisatie van de desbetrefffende wetgeving in de lidstaten, was noodzakelijk om het vertrouwen van de consument te behouden wanneer hij zich op deze snelweg zou begeven. In verband met de elektronische snelweg kan op het niveau van de Unie gewezen worden op artikel 129 B tot en met 129 D van het verdrag tot oprichting van de Europese Gemeenschap (verder te noemen het EG-verdrag).
De gevaren voor het individu die de informatiemaatschappij met zich mee zou kunnen brengen, hebben reeds enige tijd de belangstelling van het Europees Parlement. Op 8 april 1976 droeg het Europees Parlement in een resolutie de Commissie op feiten en inlichtingen te verzamelen ter bescherming van de rechten van het individu in verband met mogelijke risico’s die voortkomen uit de ontwikkeling van de informatietechnologie. Enkele jaren later, op 8 mei 1979, nam het Europees Parlement een tweede resolutie aan. In het verlengde hiervan werd de Commissie uitdrukkelijk gevraagd een richtlijn te ontwerpen, rekening houdend met het parlement. Ten slotte nam het Europees Parlement op 9 maart 1982 een resolutie aan, waarin de Commissie uitdrukkelijk werd gevraagd een richtlijn te ontwerpen, rekening houdend met de wensen van het parlement.
In 1981 kwam het Verdrag inzake gegevensbescherming van de Raad van Europa tot stand. Blijkens artikel 4, tweede lid, moet een staat voorafgaand aan de bekrachtiging zijn wetgeving daarmee in overeenstemming hebben gebracht. Artikel 12 bevat een bepaling over vrij gegevensverkeer. Een groot aantal landen binnen de Europese Unie heeft sindsdien het verdrag bekrachtigd. Het vrije gegevensverkeer binnen de Unie bleek daarmee echter geenszins verzekerd. Verder moesten met de te verwachten ontwikkeling van de informatietechnologie verdergaande belemmeringen in het vrije gegevensverkeer worden gevreesd. Bovendien leden met name in Italië en Griekenland diverse pogingen om tot wetgeving te komen schipbreuk. De totstandkoming van de interne markt en de economische voordelen die daarvan worden verwacht, konden langs deze weg niet worden verzekerd.
De Commissie kwam, gevolg gevend aan de aandrang van het parlement, daarom op 27 juli 1990 met een eigen voorstel. Het werd ingediend bij het Europees Parlement en bij de Raad van Ministers van de Europese Unie. Het had als doel het vrije verkeer van persoonsgegevens binnen de Unie te garanderen. Het middel hiertoe was een vergaande, zij het geen volledige, harmonisatie van de bestaande wetten op dit terrein van de Lid-Staten. Gelet op artikel 100A, derde lid, van het EG-verdrag is de Commissie uitgegaan van een hoog niveau van bescherming. Inzet van de harmonisatie was te trachten geen afbreuk te doen aan het niveau van bescherming van persoonsgegevens in de Lid-Staten.
Het overleg in de Raad heeft er toe geleid dat dit hoge niveau van bescherming niet op alle punten is doorgezet; de onderlinge verschillen tussen de Lid-Staten bleken daarvoor toch te groot. Alle landen hebben op onderdelen op hun eigen niveau van bescherming moeten inleveren. Zo is voor Nederland de vergaande risico-aansprakelijkheid van artikel 9 van de Wet persoonsregistraties (WPR) in de nieuwe wetgeving enigszins afgezwakt.
Naar aanleiding van het advies van het Europees Parlement diende de Commissie op 15 oktober 1992 een gewijzigd voorstel van de richtlijn bij de Raad in. Belangenorganisaties hadden de mogelijkheid op het gewijzigde voorstel te reageren zowel bij de Europese Commissie als bij de delegaties van de lid-staten. Veel organisaties hebben van deze mogelijkheid gebruik gemaakt.
In Nederland zijn de reacties geïnventariseerd. Deze hebben telkens een rol gespeeld bij de voorbereiding van het Nederlands standpunt in de raadswerkgroep waar over het ontwerp van de richtlijn werd onderhandeld. Daarnaast hebben vertegenwoordigers van het Ministerie van Justitie meerdere keren overleg gehad met de Werkgroep persoonsregistraties van de Raad van de Centrale Ondernemingsorganisaties (RCO). Voorafgaand aan elke bijeenkomst van de desbetreffende raadswerkgroep in Brussel vond interdepartementaal overleg plaats. Dit gebeurde onder leiding van een vertegenwoordiger van het Ministerie van Buitenlandse Zaken.
De vaste Commissie voor Justitie van de Tweede Kamer heeft op 27 augustus 1993 een aantal vragen over de richtlijn gesteld, die de Minister van Justitie heeft beantwoord. Precies twee maanden later vond hierover mondeling overleg plaats. Op 29 september 1994 hebben de vaste Kamercommissie voor Justitie en de algemene Commissie voor Europese Zaken een nader overleg gehad met de Minister van Justitie. Dit gebeurde naar aanleiding van een brief van 27 juni 1994 van de Minister van Justitie, mede aangeboden namens de Staatssecretaris van Buitenlandse Zaken, over de nadere ontwikkelingen bij de totstandkoming van de richtlijn. Op 9 november vond er een overleg plaats met ambtenaren van de Europese Commissie en tot slot vond op 7 december 1994 een laatste overleg van beide commissies plaats met de Minister van Justitie en de Staatssecretaris van Buitenlandse Zaken. Op basis van dit overleg heeft de Nederlandse regering zich op 8 december 1994 in de Raad van Ministers van de Europese Unie uitgesproken ten gunste van een gemeenschappelijk standpunt overeenkomstig het ontwerp van de richtlijn. Mede naar aanleiding van het overleg met de commissies uit de Tweede Kamer heeft de Nederlandse delegatie tot uitgangspunt genomen dat aan de bescherming van de persoonlijke levenssfeer zoals deze is geregeld in de WPR in beginsel geen afbreuk kan worden gedaan. Ook andere landen namen ten opzichte van hun eigen wetgeving een vergelijkbaar standpunt in.
De Raad stelde op 20 februari 1995 definitief het gemeenschappelijk standpunt vast. Over dit gemeenschappelijk standpunt bracht het Europees Parlement op 14 juni 1995 in tweede lezing een advies uit. De Europese Commissie nam van dit advies zeven amendementen over. De Raad van Ministers nam op 24 juli 1995 de geamendeerde tekst van de richtlijn over. De Staatssecretaris van Buitenlandse Zaken heeft de Voorzitter van de Algemene Commissie voor Europese Zaken hiervan op 25 juli 1995 per brief op de hoogte gesteld. De richtlijn kwam tot stand op 24 oktober 1995 door de gezamenlijke ondertekening door de voorzitters van het Europees Parlement en de Raad. Hij werd gepubliceerd op 23 november 1995 (PbEG L 281, blz. 31). De implementatietermijn loopt af op 24 oktober 1998. Daarmee is binnen de Europese Gemeenschap, voor zover het het communautaire recht betreft, een gemeenschappelijk rechtsgebied wat betreft de bescherming van persoonsgegevens tot stand gebracht. Ingevolge de jurisprudentie van het Europese Hof van Justitie heeft dit onder meer tot gevolg dat op dit terrein de Gemeenschap in internationale gremia, bij voorbeeld de Raad van Europa, een gecoördineerd standpunt dient uit te dragen. Dit wordt telkens bij gekwalificeerde meerderheid binnen de Gemeenschap vastgesteld. Deze procedure is reeds gevolgd bij bij voorbeeld het ontwerp van de Aanbeveling van de Raad van Europa over de verwerking van persoonsgegevens voor statistische doeleinden. Daarnaast zal de jurisprudentie van het Europese Hof van Justitie richting geven aan de verdere rechtsontwikkeling binnen de Gemeenschap. De rechtsontwikkeling binnen de Gemeenschap zal gevolgen hebben voor de nationale rechtsontwikkeling.
Het onderhavige voorstel voor een nieuwe Wet bescherming persoonsgegevens (verder te noemen WBP) strekt tot de implementatie van de richtlijn. Zoals opgemerkt leidt de richtlijn niet tot een volledige harmonisatie van de privacywetgeving, maar biedt zij een zekere bandbreedte: er is een zeker minimum en een maximum dat niet mag worden overschreden. Binnen dit kader zijn de Lid-Staten vrij hun wetgeving in te richten. Anderzijds dient gewezen te worden op artikel 5 van de richtlijn. Deze bepaling geeft de opdracht aan de Lid-Staten binnen de grenzen van Hoofdstuk II van de richtlijn nader de voorwaarden te bepalen waaronder de verwerkingen van persoonsgegevens rechtmatig zijn. De vraag rijst op welke wijze de wetgever invulling dient te geven aan deze bepaling. Verschillende benaderingen zijn mogelijk.
Een eerste uitwerking van artikel 5 van de richtlijn zou kunnen zijn om steeds elke norm van hoofdstuk II van de richtlijn in het onderhavige wetsvoorstel zelf te concretiseren. Het voordeel van deze benadering is dat op een heldere wijze in een en dezelfde wet uitvoering wordt gegeven aan de verplichting van artikel 5. Voorts zou een preciezere normering in de WBP de rechtszekerheid kunnen bevorderen. Daar staan evenwel belangrijke nadelen tegenover. Precisering van normen die in zeer uiteenlopende casusposities moeten worden toegepast, kan tot gevolg hebben dat de wet een keurslijf wordt dat onvoldoende op de praktijk is toegesneden. Dat gevaar is zeker aanwezig op het onderhavige terrein. Te vergaande detaillering in de WBP houdt bovendien het risico in dat de bandbreedte van de richtlijn wordt overschreden.
Vanwege de nadelen die aan deze eerste benadering zijn verbonden, is gekozen voor een genuanceerdere benadering waarin de precisering slechts deels in het wetsvoorstel heeft plaatsgevonden. Als voorbeeld kan worden gewezen op artikel 9, tweede lid, waarin factoren worden geschetst die een rol spelen bij de vraag of een verwerking van persoonsgegevens verenigbaar is met het doel waarvoor deze gegevens zijn verkregen. In dit voorschrift wordt artikel 6, eerste lid, onderdeel b, van de richtlijn geconcretiseerd. Ook de voorschriften met betrekking tot de verwerking van bijzondere gegevens zijn op diverse punten te beschouwen als een concretisering van de uitzonderingen op het verbod van artikel 8, eerste lid, van de richtlijn.
Daarnaast zal de concretisering van de richtlijn in belangrijke mate op een andere wijze dienen plaats te vinden. In sectorale wetgeving worden reeds thans nadere voorwaarden gesteld ten aanzien van het verwerken van persoonsgegevens. Zo geeft de Wet geneeskundige behandelingsovereenkomst aanvullende voorschriften op het terrein van de verwerking van persoonsgegevens ten behoeve van de medische behandeling van personen. Ook de Archiefwet 1995 kan als zodanig worden beschouwd. Op deze wijze kan worden aangesloten bij de behoefte in de specifieke sectorale wet een nadere invulling te geven aan het kader dat de WBP biedt en waarin expliciet rekening wordt gehouden met de hierdoor bestreken vormen van gegevensverwerking. In bepaalde gevallen is het voorts mogelijk de concretisering via zelfregulering na te streven. Organisaties kunnen er voor kiezen zelf in een gedragscode een nadere invulling te geven aan het normenkader van de WBP. Ook blijft het mogelijk in reglementen vast te leggen hoe binnen de organisatie met de verwerking van persoonsgegevens wordt omgegaan. Tot slot zal een deel van de concretisering ook plaats moeten hebben in de jurisprudentie. Binnen de ruimte die de richtlijn liet, is uitgegaan van het beschermingsniveau van de WPR, voor zover de evaluaties geen aanwijzingen hebben opgeleverd voor een afwijkend standpunt (zie verder onder 15). De thans geldende WPR komt daarmee geheel te vervallen.
[MvT, pagina 3-6.]
EUR-Lex: Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens
[Open link in dit venster | Open link in nieuw venster]
Overheid.nl: Europese regelgeving
[Open link in dit venster | Open link in nieuw venster]
EUR-Lex: Geldende wetgeving
[Open link in dit venster | Open link in nieuw venster]
(Bron: MvT, zie hierboven.)
(Bron: MvT, zie hierboven.)
Bron: MvT, zie hierboven.
(Bron: MvT, zie hierboven.)
Artikel 1 Onderwerp van de richtlijn
Artikel 2 Definities
Artikel 3 Werkingssfeer
Artikel 4 Toepasselijk nationaal recht
Artikel 5 [Algemene voorwaarden voor de rechtmatigheid van de verwerking van persoonsgegevens]
Artikel 6 [De kwaliteit van de gegevens]
Artikel 7 [De toelaatbaarheid van de gegevensverwerking]
Artikel 8 [Bijzondere categorieën verwerkingen]
Artikel 9 Verwerking van persoonsgegevens en vrijheid van meningsuiting
Artikel 10 Informatieverstrekking in geval van verkrijging van gegevens bij de betrokkene
Artikel 11 Informatieverstrekking aan de betrokkene wanneer de gegevens niet bij de betrokkene zijn verkregen
Artikel 12 Recht van toegang
Artikel 13 Uitzonderingen en beperkingen
Artikel 14 Recht van verzet van de betrokkene
Artikel 15 Geautomatiseerde individuele besluiten
Artikel 16 Vertrouwelijkheid van de verwerking
Artikel 17 Beveiliging van de verwerking
Artikel 18 Verplichting tot aanmelding bij de toezichthoudende autoriteit
Artikel 19 Inhoud van de aanmelding
Artikel 20 Voorafgaand onderzoek
Artikel 21 Openbaarheid van de verwerkingen
Artikel 22 Beroep
Artikel 23 Aansprakelijkheid
Artikel 24 Sancties
Artikel 25 Beginselen
Artikel 26 Afwijkingen
Artikel 27 [Gedragscodes]
Artikel 28 Toezichthoudende autoriteit
Artikel 29 Groep voor de bescherming van personen in verband met de verwerking van persoonsgegevens
Artikel 30 [Taken van de Groep]
Artikel 31 Het Comité
Artikel 32 [Implementatie]
Artikel 33 [Evaluatie]
Artikel 34 [Adressanten van de richtlijn]
(Bron: MvT, pagina 198-200)
WP29: The Future of Privacy - Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data, adopted on 01 December 2009 (PDF)
[Open link in dit venster | Open link in nieuw venster]
WP29
[Open link in dit venster | Open link in nieuw venster]
(Bron: The Future of Privacy - Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data, pagina 2)
WP29: Advies 3/2010 over het verantwoordingsbeginsel, goedgekeurd op 13 juli 2010 (PDF)
[Open link in dit venster | Open link in nieuw venster]
WP29
[Open link in dit venster | Open link in nieuw venster]
(Bron: Advies 3/2010 over het verantwoordingsbeginsel, pagina 2)