Volgens de voorzitter van de Autoriteit Persoonsgegevens (AP) is het recht op privacy veel omvattend en ziet de AP toe op de naleving daarvan en van alle andere grondrechten uit het EU Handvest. Dit blijkt niet uit het huidig positief recht. De bescherming van persoonsgegevens wordt verward met privacy in de zin van persoonlijke levenssfeer. Een toezichthouder die zowel het begrip ‘privacy’ als veelomvattend en tamelijk absoluut omschrijft en zich daarnaast bevoegd acht ten aanzien van alle grondrechten uit het Handvest is bezig met serieuze grensverkenningen. Voeg hierbij een mogelijk gebrek aan voldoende institutioneel evenwicht waarbij een instelling rekenschap en verantwoording dient af te leggen tegenover een andere, en we zien ons gesteld voor een groot knelpunt.
1. Inleiding
Bij de Open Universiteit van Heerlen mocht de voorzitter van de Autoriteit persoonsgegevens, de heer Wolfsen, de diesrede geven. De titel daarvan luidde ‘Zonder privacy en zonder goede gegevensbescherming geen rechtstaat.’1 Uit hoofde van zijn functie houdt de voorzitter wel vaker toespraken. Het doel daarvan is doorgaans agenderend en beleidsmatig van aard.
Maar nu hij de arena van de wetenschap heeft betreden, is het tijd om dat wat uitgesproken is kritisch te beschouwen. Want binnen de muren van de academie en zeker tijdens een academische zitting als die van een Dies Natalis, is het gewoonte dat het gezegde in ieder geval ook gebaseerd is op wetenschappelijke inzichten en analyse. In de wetenschap zijn de lijnen waarlangs men tot een conclusie komt helder en reconstrueerbaar, gebaseerd op objectieve gronden en moet duidelijk zijn wanneer er een persoonlijke opvatting wordt verkondigd. Met de diesrede krijgt het publiek doorgaans een inkijkje in een andere discipline en de wijze waarop wetenschappelijke inzichten doorwerken in onder meer de praktijk, hier de rechtspraktijk. In dit geval is de spreker voorzitter van een bestuursorgaan en spreekt hij in die hoedanigheid. De uitlatingen geven daardoor inzicht in de taakopvatting van de Autoriteit persoonsgegevens (AP),2 de toezichthouder op de naleving van de Algemene verordening gegevensbescherming (AVG). Reden genoeg om de diesrede op de snijtafel te leggen en te ontleden. In deze bijdrage zal ik enkele onderdelen uit de diesrede beschouwen en afsluiten met een waarschuwing.
2. De inhoud van de diesrede
Kern van de diesrede is dat het recht op privacy onmisbaar is voor een rechtsstaat.3 In de diesrede bespreekt de voorzitter van de AP dat er twee rechtsordes zijn. Vervolgens benoemt hij vijf kernwaarden en confronteert deze met privacy. De boodschap luidt dat privacy aan al deze kernwaarden raakt. Wolfsen stelt dat als het om grondrechten gaat, Nederland maar een ‘gemankeerde grondwet’ heeft, zeker in vergelijking met het Handvest voor de grondrechten voor de Europese Unie (hierna: Handvest). Volgens hem is er in Nederland een spanning tussen de democratie en de rechtsstaat. Het meest ver gaat de voorzitter van de AP in zijn stelling dat de AP bevoegd is te toetsen aan alle grondrechten uit het Handvest.
2.1 Vijf kernwaarden
Nadat betoogd wordt dat er twee rechtsordes zijn, een Europese en een nationale benoemt Wolfsen vijf kernwaarden die ‘basis normatieve uitgangspunten zijn in de Westerse rechtsordes, de Nederlandse en de Europese’.4 Deze houden in dat burgers gelijk zijn, vrij zijn, dat beslissingen op democratische wijze worden genomen, dat we in solidariteit samenleven en dat er eerlijke rechtspraak is. Als er een nieuwe Grondwet zou worden gemaakt, zo is de gedachte, dan staan deze uitgangspunten voorop.
Het is onduidelijk waarop deze onderverdeling is gebaseerd. Artikel 2 van het Verdrag van Lissabon legt vast dat de Europese Unie op de volgende vijf waarden berust: eerbied voor de menselijke waardigheid, vrijheid, democratie, gelijkheid, de rechtsstaat en eerbiediging van de mensenrechten, waaronder de rechten van personen die tot minderheden behoren. Deze waarden hebben de lidstaten gemeen in een samenleving die gekenmerkt wordt door pluralisme, non-discriminatie, verdraagzaamheid, rechtvaardigheid, solidariteit en gelijkheid van vrouwen en mannen. In het Handvest worden de volgende zes waarden benoemd: waardigheid (titel I), vrijheden (titel II), gelijkheid (titel III), solidariteit (titel IV), burgerschap (titel V), rechtspleging (titel VI).
De vijf kernwaarden volgen dus niet uit bovengenoemde rechtsbronnen. Ook trof ik de opsomming niet aan in literatuur. Dit leidt tot de conclusie dat de kernwaarden een uitdrukking zijn van een persoonlijke of beleidsmatige prioritering. Daar is op zich niets mis mee, maar het zou voor de gedachtevorming beter zijn als dit expliciet wordt gemaakt.
2.2 ‘Privacy raakt aan alle vijf de kernwaarden’
In het vervolg van de diesrede wordt gesteld dat privacy raakt aan elk van deze vijf kernwaarden. Louter als gedachte-experiment probeer ik de vervolgvraag te beantwoorden: snijdt het hout dat privacy aan deze waarden raakt? Daarvoor is ten eerste nodig te begrijpen wat hier wordt bedoeld met privacy.
Het begrip privacy valt uiteen in drie verschijningsvormen: relationele privacy, fysieke privacy en informationele privacy.5 In de Nederlandse Grondwet gaat het dan om verschillende grondrechten. Van oudsher wordt het brief- en communicatiegeheim gezien als bescherming van de relationele privacy, de onaantastbaarheid van het lichaam als de fysieke privacy en bescherming van persoonsgegevens ten behoeve van de informationele privacy.
Het recht op privacy maakte na de Tweede Wereldoorlog zijn opwachting in het internationaal recht. In artikel 12 van de Universele verklaring voor de rechten van de mens werd vastgelegd dat niemand zal worden onderworpen aan willekeurige inmenging in persoonlijke aangelegenheden (‘interference with his privacy’). In artikel 8, eerste lid, van het Europees Verdrag voor de Rechten van Mens (EVRM) werd vastgelegd dat eenieder recht heeft op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie (‘everyone has the right to respect for their private and family life)’.6 De focus op privacy en private life was nieuw en een duidelijke reactie op de gebeurtenissen in de Tweede Wereldoorlog.7
Enkele jaren na afkondiging van het EVRM volgde het Internationale Verdrag inzake Burgerrechten en Politieke rechten, waarin in artikel 17 lid 1 lid valt te lezen dat niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn privéleven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam (‘no one shall be subjected to arbitrary or unlawful interference with his privacy’).
Voor Europa is vooral belangrijk wat er in de jaren ’70 gebeurt. De Raad van Europa start met de voorbereidingen voor een verdrag dat ziet op de bescherming van privacy. De inspanningen resulteren in het Verdrag van Straatsburg, internationaal bekend als ‘convention 108’.8 De tekst is helder over welke vorm van privacy dit gaat. In artikel 1 staat:
‘The purpose of this Convention is to secure in the territory of each Party for every individual, whatever his nationality or residence, respect for his rights and fundamental freedoms, and in particular his right to privacy, with regard to automatic processing of personal data relating to him ("data protection").
De Nederlandse vertaling spreekt over het waarborgen van de eerbiediging van zijn rechten en fundamentele vrijheden, en met name zijn recht op persoonlijke levenssfeer met betrekking tot de geautomatiseerde verwerking van hem betreffende persoonsgegevens (‘gegevensbescherming’).
Volgens Hustinx betekent dit dat gegevensbescherming enerzijds ruimer is dan privacybescherming omdat het ook andere fundamentele rechten en vrijheden en alle soorten gegevens betreft los van de relatie met privacy. Anderzijds is het beperkter omdat het alleen gaat over het verwerken van persoonlijke informatie waarbij de andere inbreuken op iemands privacy niet meetellen.9
Met het ratificeren van het Verdrag van Straatsburg hebben leden van de Raad van Europa zich specifiek verplicht tot de bescherming van de informationele privacy. 10 Later volgt het Handvest. In artikel 7 van het Handvest staat dat eenieder recht heeft op eerbiediging van zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn communicatie (‘everyone has the right to respect for his or her private and family life, home and communications’). Artikel 8 van het Handvest draagt expliciet de titel ‘De bescherming van persoonsgegevens’ (‘protection of personal data’). Het eerste lid legt vast dat eenieder recht heeft op bescherming van zijn persoonsgegevens. In het derde lid staat dat een onafhankelijke autoriteit erop toeziet dat deze regels worden nageleefd. Uit overweging 1 bij de AVG blijkt dat de AVG hiervan de nadere uitwerking is.11
Bij gebruik van het woord privacy, maakt de context vaak helder om welke van de drie hiervoor genoemde vormen van privacy het gaat. Zie bijvoorbeeld de uitspraak in een strafzaak waarin de rechter overweegt dat het een feit van algemene bekendheid is dat woninginbraken niet alleen de nodige materiële schade veroorzaken, maar ook een forse inbreuk maken op de ‘privacy van de bewoners’.12
Gezien de taakstelling van de AP ligt het voor de hand dat de voorzitter daarvan met het begrip privacy doelt op de bescherming van persoonsgegevens. Een dergelijke uitleg van het begrip privacy is gezien het dagelijks spraakgebruik niet zo vreemd. In de kloeke kroniek van Holvast is dat ook terug te lezen; de privacydiscussie die daarin wordt besproken vanaf de volkstelling gaat over informationele privacy.13 Ook de Amerikaanse Cohen schrijft over ‘information privacy’ als zij het heeft over hedendaags privacyrecht.14 Dit zou erop duiden dat Wolfsen spreekt over privacy, terwijl hij doelt op de bescherming van persoonsgegevens.
Maar dan krijgt het betoog in de diesrede een onverwachte wending. Volgens de spreker behoort ook het afbreken van een zwangerschap tot het recht op privacy. Evenals het zelf bepalen wanneer het leven eindigt: ‘Ik bepaal zelf wanneer mijn leven eindigt als vrije burger in een vrij land. Los van de vraag of er assistentie bij mag plaatsvinden, ja of nee, maar dat is de kern van je vrijheid.’
Niet alleen is dit een opvallend extensieve interpretatie maar ook worden deze twee rechten in het Nederlands of Europees recht niet onder ‘privacy’ geschaard.15 Bovendien zijn juist deze beide rechten dan wel ‘vrijheden’ geen gemeengoed binnen de Europese Unie. Zie de discussie over het opnemen van een recht op abortus als grondrecht in het EU Handvest voor de grondrechten.16 Ook het ‘right to die’ wordt in de EU niet als geldend recht gezien.17
De stelling dat het recht op abortus en het recht op autonomie van levenseinde worden gezien als recht op privacy is aanvechtbaar, om niet te zeggen onjuist. Wat we daar ook van vinden, duidelijk is daarmee wel dat de diesrede niet gaat over de bescherming van persoonsgegevens. Het lijkt er op dat we moeten aannemen dat het over alle voorstelbare vormen van privacy gaat en nog veel meer dan dat. Dat deze vormen van privacy dan raken aan de eerder gekozen ‘kernwaarden’ zal niet verbazen. Ik zal verder niet ingaan op deze denkrichting.
Op zichzelf hoeft een (veel) bredere definitie van een begrip niet bezwaarlijk te zijn, zolang maar wordt aangegeven dat dit géén weergave is van geldend recht en een particuliere interpretatie betreft. Onder de omstandigheid dat hier de voorzitter van een toezichthouder spreekt, kan het daarnaast betekenen dat dat de AP zich voor een ruimere taak ziet gesteld dan de Uniewetgever en de nationale wetgever hebben beoogd.
2.3. Tegenstelling tussen democratie en rechtsstaat?
Een volgend onderdeel van de diesrede is dat er wordt gesproken over de democratie en de rechtsstaat als twee tegengestelde grootheden. Omdat het zich lastig laat samenvatten gebruik ik een citaat:
‘Hoe zit het nu met discussie over de boeren in Nederland? Daar wordt gezegd: “Ja, dat is toch allemaal democratisch besloten?” Ja, zeker, dat zal zo zijn. Maar dat wil nog niet zeggen dat het rechtsstatelijk is gelegitimeerd. Als we samen een rechtstaat zijn (…), dat gaat om de grondrechten van ieder individu in deze zaal en [dan] kan wel de ene helft zeggen: “Ja, maar ik ga jouw grondrechten helemaal illusoir maken” of “Ik ga al je eigendommen onteigenen of ik ga je persoonsgegevens verwerken.” Democratisch mag dat, rechtsstatelijk mag dat natuurlijk niet. Maar volgens de Nederlandse grondwet wel he. [Volgens] de Nederlandse Grondwet die kan de ene helft de andere helft onteigenen. A: omdat er geen grondrecht op bescherming van je vrije eigendom bestaat. Maar zo zit de Grondwet ook in elkaar, de helft plus één beslist […].’18
Dat een staatsinrichting waar louter de meeste stemmen gelden niet hetzelfde is als een rechtsstaat, is geen opvallende constatering. De oorsprong van mensenrechtenverdragen is juist gelegen in het beteugelen van staatsmachten, ook de democratisch gelegitimeerde. De Nederlandse staatsinrichting is dan ook die van een democratische rechtsstaat.
De rechtsstaat kan gezien worden als staatsvorm waarbij de staat onder het gezag van het recht wordt geplaatst en niet alleen rechtschepper is, maar zelf ook gebonden is aan het recht.19 De rechtsstaat kan als idee (als ‘ideële’ werkelijkheid) worden onderscheiden van de rechtsstaat als praktijk (als ‘materiële werkelijkheid’).20 Dit is dan nog slechts de beperkte juridische blik op de rechtsstaat. Zoals Zouridis laat zien zijn er ook sociologische en bestuurswetenschappelijke perspectieven op het begrip rechtsstaat.21 Juist als een meerderheid de fundamentele rechten van een minderheid wil inperken kan de rechtstaat bescherming bieden. Het is zeker geen rustig bezit, onze democratische rechtsstaat. Bij politieke partijen gaan nog steeds stemmen op om Nederland te onttrekken aan belangrijke mensenrechtenverdragen. Zo bleek uit onderzoek voor de Nederlandse Orde van Advocaten naar verkiezingsprogramma’s dat de SGP voor invoering van de doodstraf is en het Forum voor Democratie voor het terugtreden uit het Europees Hof voor de Rechten van de Mens.22
Beginselen van de democratie en de rechtsstaat kunnen zeker conflicteren, maar een tegenstelling zoals de voorzitter van de AP hier doet voorkomen lijkt geen goede voorstelling van zaken. Sterker, democratie en de rechtsstaat worden juist gezien als twee zijden van dezelfde medaille. Het zijn elkaar complementerende principes die ertoe dienen om grenzen te stellen aan de uitoefening van overheidsmacht.23 In dit verband wordt dan ook vaak verwezen naar Hirsch Ballin die analyseert dat democratie en rechtsstaat niet los van elkaar verkrijgbaar zijn.24 De stelling dat de AP elke dag aanloopt tegen de spanning tussen de democratie en de rechtstaat lijkt daarmee meer op een gepercipieerde tegenstelling.
2.4. De AP als toezichthouder op grondrechten uit het Handvest
Het voorgaande lijkt vooral te fungeren als opmaat naar de eigenlijke boodschap. Die luidt dat bescherming van persoonsgegevens aan alle grondrechten raakt en dat de AP bij het adviseren over wetsvoorstellen ook mag toetsen aan het evenredigheidsbeginsel en andere grondrechten uit het Handvest. Deze opvatting is overigens niet nieuw. Ook in het NJB schreef Wolfsen dat de AP (concept)wetsvoorstellen toetst aan alle in het Handvest opgenomen grond- en vrijheidsrechten. Volgens Wolfsen valt het verwerken van persoonsgegevens immers binnen de werkingssfeer van het EU-recht zodat het ‘hele Handvest’ daarop van toepassing is.25 Wolfsen:
‘Dat maakt de AP feitelijk in de digitale rechtsstaat, zodra er persoonsgegevens worden verwerkt, guardian van alle in het Handvest opgenomen grondrechten.’26
Deze opvatting verdient een kritische blik. Op z’n zachtst gezegd lijkt dit te botsen met de eerder zo bejubelde rechtsstaat, specifiek het legaliteitsbeginsel. Bevoegdheden van overheidsorganen kunnen alleen bestaan op grond van een wet en moeten conform de wet worden uitgeoefend.27
In de woorden van Putters die in dezelfde academische zitting een eredoctoraat kreeg uitgereikt moet een onbegrensde staat voorkomen worden:
‘Dat vraagt terughoudendheid en precisie op burgerrechten, soms afstand houden en de eigen integriteit bewaken’.28
Om te kunnen beoordelen of deze taakopvatting klopt, onderzoek ik daarom vanuit het legaliteitsbeginsel eerst wat de bevoegdheid van de AP is en hoe absoluut deze is.
In artikel 5 VEU is het algemene uitgangspunt neergelegd dat alle EU-instellingen binnen de grenzen van hun bevoegdheid opereren.29 Artikel 51 lid 1 AVG bevat de basis van de competentie van de toezichthouder. Elke lidstaat moet een of meer onafhankelijke overheidsinstanties instellen die verantwoordelijk zijn voor het toezicht op de toepassing van de AVG. In Nederland is dat de AP.30 Het gaat dus om toezicht op de toepassing van de AVG. In artikel 55 van de AVG wordt de bevoegdheid neergelegd van de toezichthouder. De toezichthoudende autoriteit heeft de bevoegdheid op het grondgebied van haar lidstaat de taken uit te voeren die haar overeenkomstig deze verordening zijn opgedragen en de bevoegdheden uit te oefenen die haar overeenkomstig deze verordening zijn toegekend. Daarmee heeft de Europese wetgever duidelijk gemaakt dat er een toezichthouder is, waarop deze toezicht houdt en dat deze taken en bevoegdheden krijgt toegekend.
De taken en bevoegdheden van de toezichthouder worden in de AVG nauwkeurig omschreven, te weten in artikel 57 de taken (maar liefst 22) en in artikel 58 AVG de bevoegdheden. Zo kan het houden van een toespraak geschaard worden onder de taak om bekendheid met en het inzicht in risico’s, regels, waarborgen en rechten in verband met de verwerking te bevorderen. Een andere belangrijke taak in dit verband is dat de AP overeenkomstig het recht van de lidstaat, advies verleent aan het nationale parlement, de regering, en andere instellingen en organen over wetgevingsinitiatieven en bestuursmaatregelen in verband met de bescherming van de rechten en vrijheden van natuurlijke personen op het gebied van verwerking (57 lid 1 onder c AVG).
Net als in artikel 1 van de AVG wordt ook hier dus duidelijk een verband gelegd tussen de verwerking van persoonsgegevens en de bescherming van de rechten en vrijheden van natuurlijke personen. Dit volgt ook uit overweging 4 van de AVG waarin staat dat het recht op bescherming van persoonsgegevens geen absolute gelding heeft maar moet worden beschouwd in relatie tot de functie ervan in de samenleving en conform het evenredigheidsbeginsel afgewogen moet worden tegen andere grondrechten.
Het is niet zonder reden dat HvJ EU in verschillende recente arresten (zie o.a. CNIL/Google en GC/CNIL31) veel betekenis toekent aan juist het in deze overweging onder woorden gebracht uitgangpunt.32
Dit betekent dat de AVG ziet op de bescherming van persoonsgegevens ter verwezenlijking van de grondrechten en fundamentele vrijheden van natuurlijke personen. Voor het omgekeerde zijn geen aanknopingspunten. Het is niet zo dat de AVG ziet op de bescherming van grondrechten en fundamentele vrijheden van natuurlijke personen zodra er persoonsgegevens worden verwerkt.
Toen bij een eerdere gelegenheid dezelfde stelling werd ingenomen, werd dan ook niet zozeer verwezen naar de AVG als rechtsbron maar naar een uitspraak van het Europees Hof van Justitie.33 Meer in het bijzonder naar overweging 51 van deze uitspraak. Die luidt als volgt:
‘Overigens moet in herinnering worden geroepen dat uit vaste rechtspraak volgt dat de in de rechtsorde van de Unie gewaarborgde grondrechten toepassing kunnen vinden in alle situaties die door het Unierecht worden beheerst en dat toepasselijkheid van het Unierecht de toepasselijkheid van de door het Handvest gewaarborgde grondrechten impliceert (arrest van 16 mei 2017, Berlioz Investment Fund, C-682/15, ECLI:EU:C:2017:373, punt 49 en aldaar aangehaalde rechtspraak).’
Waarom deze overweging de grondslag zou zijn om de bevoegdheid van de AP op te rekken tot buiten de AVG is niet duidelijk. In dit rechtsoordeel werd een zeer specifieke rechtsvraag beantwoord. Ook gaat de overweging niet over de reikwijdte van de competentie van een EU-instelling of de verhouding tussen de AVG en het Handvest. De overweging werd bovendien opgevolgd door overweging 52 waarin staat dat als besluiten naar nationaal recht zijn genomen maar met het oog op het uitvoeren van EU recht in de zin van artikel 51 lid 1 van het Handvest, de bepalingen van het Handvest van toepassing zijn. Vervolgens moet de rechter hiermee rekening houden.
Als er al iets uit deze uitspraak is af te leiden over de bevoegdheid van de AP, dan is dat de bepalingen van het Handvest gericht zijn op de AP. En dat is interessant want juist artikel 51 van het Handvest geeft de grenzen aan van de AP. Ten eerste moet de AP de rechten eerbiedigen en de beginselen naleven. Ook moet de AP de toepassing daarvan bevorderen ‘overeenkomstig hun respectieve bevoegdheden en met inachtneming van de grenzen van de bevoegdheden zoals deze in de Verdragen aan de Unie zijn toegedeeld’. In het tweede lid is bepaald dat het Handvest het toepassingsgebied van het recht van de Unie niet verder uitbreidt dan de bevoegdheden van de Unie reiken, geen nieuwe bevoegdheden of taken voor de Unie schept, noch wijzigt het de in de Verdragen omschreven bevoegdheden en taken.
De conclusie dat de AP bevoegd is om toezicht te houden op iets anders dan het verwerken van persoonsgegevens, kortom toezicht op de andere grondrechten uit het EU Handvest, is onduidelijk, en in ieder geval wetenschappelijk ongefundeerd. De AP is geen hoeder van de Europese mensenrechten, ook niet in de digitale rechtsstaat. Daar komt bij dat de evenredigheidstoets uit het eerste lid van artikel 52 van het Handvest is geadresseerd aan de lidstaten. Nergens is bepaald dat er een EU-instelling is of moet zijn die bevoegd is om als een super Handvest toezichthouder te fungeren. Het lijkt er dan ook op dat hier sprake is van ‘competence creep’.34 En dat is problematisch, zeker omdat ook eerder al is geconstateerd dat de AP vaker zonder enige serieuze controle of reflectie standpunten uitdraagt die zich soms moeizaam verhouden met wat rechters of wetgever hebben gezegd.35 Daar waar Vleugel wijst op de fundamentele en institutionele vragen bij een evenredigheidsvereiste dat veel ruimte creëert voor rechterlijke belangenafweging, is dit zeker ook aan de orde bij de belangenafweging door een toezichthouder.36 Hiermee doel ik overigens niet op de verplichting van de AP zelf om zich te houden aan het evenredigheidsbeginsel bij het nemen van besluiten.37
Dat het niet bij woorden in een diesrede of in het NJB blijft, blijkt ook uit handelingen en besluiten van de AP. Zo werd de Afdeling bestuursrechtspraak van de Raad van State zelfs ‘medeplichtig’ genoemd aan discriminatie.38 Het verwerken van persoonsgegevens door de Afdeling bestuursrechtspraak valt echter niet onder de competentie van de AP,39 noch is de AP bevoegd in het kader van de Algemene wet gelijke behandeling. In een advies over voorgenomen wetgeving (plan van aanpak witwassen), blijkt dat de AP niet zozeer ingaat op de grondslag voor het verwerken van persoonsgegevens in relatie tot de AVG, maar toetst aan ‘het recht op bescherming van persoonsgegevens en van het recht op eerbiediging van de persoonlijke levenssfeer, zoals neergelegd in onder meer de Grondwet, de AVG, het Handvest van de Grondrechten van de Europese Unie (hierna: Handvest) en het Europees Verdrag voor de Rechten van de Mens (hierna: EVRM)’. In het bijzonder wordt ook getoetst aan het evenredigheidsbeginsel zoals neergelegd in het Handvest en aan artikel 8 EVRM.40 Dat is nogal wat. Ook hier wordt dus de bescherming van persoonsgegevens verward met privacy in de zin van persoonlijke levenssfeer en wordt door de toezichthouder op het gebied van de AVG een oordeel gegeven over evenredigheid van de wet. Dat leidt vroeg of laat tot het bedrijven van politiek en een vervaging van de scheiding tussen politiek en recht.41
Een toezichthouder die zowel het begrip ‘privacy’ als veelomvattend en tamelijk absoluut omschrijft en zich daarnaast bevoegd acht ten aanzien van alle grondrechten uit het Handvest is bezig met serieuze grensverkenningen. Het doet sterk denken aan wat Kortmann ‘raison d’Etat’ noemde:
‘het al dan niet uitdrukkelijk aanvoeren van (veelal buiten juridische) argumenten om zich buitenwettelijke bevoegdheden aan te meten, om de toepassing van rechtsregels te ontgaan of om deze een betekenis te verlenen die zij van origine niet of zeer waarschijnlijk niet hadden.’42
Voeg hierbij een mogelijk gebrek aan voldoende institutioneel evenwicht waarbij een instelling rekenschap en verantwoording dient af te legen tegenover een andere,43 en we zien ons gesteld voor een groot knelpunt.
3. Conclusie
In een academische zitting mag worden verwacht dat hetgeen dat wordt verkondigd op een zorgvuldige wijze is geformuleerd, tot stand is gekomen op basis van onderzoek en andere wetenschappers inzicht biedt in een bepaald vakgebied. De diesrede door de voorzitter van de AP voldoet niet aan deze normen. De stellingen die zijn ingenomen zijn onjuist en daarmee niet te kwalificeren als wetenschappelijk. De lezing biedt wel een interessant kijkje in de taakopvatting van de AP. Op basis daarvan kan de vraag gesteld worden of de AP zich buiten het toch al ruime boekje begeeft. Volgens de voorzitter van de AP is het recht op privacy veel omvattend en ziet de AP toe op de naleving daarvan en van alle andere grondrechten uit het EU Handvest. Dit blijkt niet uit het huidig positief recht. En dat wordt het ook niet door het overal te herhalen. Het wordt tijd om deze grensverkenningen te zien voor wat ze zijn; pogingen tot het uitbreiden van bevoegdheid en zeggenschap. Dat is problematisch gedrag, zeker als het een bestuursorgaan betreft dat boetes oplegt en de nationale wetgever adviseert. Het doet ook de bescherming van persoonsgegevens geen goed. Het verabsoluteren van een grondrecht zal leiden tot vermindering van draagvlak en acceptatie. De bescherming van persoonsgegevens verdient een genuanceerde benadering.
Voetnoten
1 Direct gevolgd door de zin: ‘Dat wil zeggen, geen rechtstaat in de digitale wereld, de digitale rechtstaat.’
2 Bij de afkorting van dit bestuursorgaan wordt gebruik gemaakt van de ingeburgerde spellingswijze hoewel dit niet de spellingwijze is die volgt uit art. 6 Uitvoeringswet AVG.
3 A. Wolfsen, ‘Zonder privacy en zonder gegevensbescherming geen rechtsstaat.’ Diesrede Open Universiteit, 23 september 2022. De rede is te zien via de website van de Open Universiteit: https://www.ou.nl/en/-/terugkijken-op-de-38e-dies-natalis-video-opname-online
4 Te horen rond 4:19
5 J. Holvast, ‘Kroniek van de privacy-discussie. Nederland tot de jaren negentig.’ Zutphen: Paris. 2020, p. 13.
6 Overigens bleek uit de diesrede dat de AP het EVRM heeft ‘gearchiveerd’ omdat ‘in het Europees recht het EVRM geen aanvullende werking meer heeft.’
7 P. Hustinx, 'EU Data Protection Law: The Review of Directive 95/ 46/ EC and the General Data Protection Regulation', in New Technologies and EU Law, M. Cremona, (eds) Oxford University Press, 2017, p. 126
8 P. Hustinx, 'EU Data Protection Law: The Review of Directive 95/ 46/ EC and the General Data Protection Regulation', in New Technologies and EU Law, M. Cremona, (eds) Oxford University Press, 2017, p. 127.
9 P. Hustinx, 'EU Data Protection Law: The Review of Directive 95/ 46/ EC and the General Data Protection Regulation', in New Technologies and EU Law, M. Cremona, (eds) Oxford University Press, 2017, p. 127.
10 Nederland pas op 24 augustus 1993 https://www.coe.int/en/web/data-protection/netherlands geraadpleegd op 14 oktober 2022
11 A.W. Heringa e.a., Staatsrecht, Deventer: Wolters Kluwer 2022, p.605.
12 Hof Den Bosch, 18 oktober 2021, ECLI:NL:GHSHE:2021:4389.
13 J. Holvast, ‘Kroniek van de privacy-discussie. Nederland tot de jaren negentig.’ Zutphen: Paris 2020
14 Julie Cohen,‘How (Not) to Write a Privacy Law‘, 2021, https://knightcolumbia.org/content/how-not-to-write-a-privacy-law.
15 In de Verenigde Staten ligt dit anders, zie daarvoor T. Barkhuysen, ‘Abortus: (g)een zaak grondrechten.’ NJB 2022/1513.
16 S. Bencharif, ’MEP’s vote for arbortion rights to be in the EU Charter of Fundamental Rights’ juni 2022, Politico, https://www.politico.eu/article/meps-vote-for-abortion-rights-to-be-in-eu-charter-of-fundamental-rights/
17 N.n. ‘Helping people to die: where is it legal in Europe?’ April 2022, Expatica, https://www.expatica.com/nl/general/helping-people-to-die-where-its-legal-in-europe-188091/
18 Te horen vanaf 18:09
19 A.W. Heringa e.a, Staatsrecht, Deventer: Wolters Kluwer 2022, p. 22
20 S. Zouridis, Een rechter maakt nog geen rechtsstaat. Hoe rechters de institutionele crisis van de rechtsstaat kunnen keren,’ in Crisis in de rechtstaat? Rechtstreeks 1/2021, p. 20.
21 S. Zouridis, De institutionele crisis van de rechtsstaat. Over de binnenkant van rechtsstatelijk bestuur. Den Haag: Boom bestuurskunde, 2019.
22 Orde van Advocaten, ‘De partijprogramma’s voor de verkiezingen 2021 Rechtstatelijk?’ Rapport van de commissie rechtsstatelijkheid in verkiezingsprogramma’s, maart 2021, p. 35 en p. 27.
23 Kamerstukken II 2015/16, 34516, nr. 3, p. 2
24 E.H.M. Hirsch Ballin, De plek van de Grondwet in politiek en samenleving, Amsterdam, 11 oktober 2013, de Rechtsstaatlezing. Ook aangehaald in eerder genoemde MvT en in toespraak vice-voorzitter Raad van State in februari 2019 in Nijmegen ‘Rechtsstaat, vrijheid en democratie horen bij elkaar’ https://www.raadvanstate.nl/publicaties/toespraken-vice-president/rechtsstaat-vrijheid/
25 A. Wolfsen, ‘De Autoriteit Persoonsgegevens. Toezichtreflex of …’ NJB 2022/749, p. 910
26 A. Wolfsen, ‘De Autoriteit Persoonsgegevens. Toezichtreflex of …’ NJB 2022/749, p. 909
27 A.W. Heringa e.a., Staatsrecht, Deventer: Wolters Kluwer 2022, p. 22
28 K. Putters, ‘Dankwoord bij toekenning ere-doctoraat Open Universiteit’, 2022, https://www.ser.nl/nl/actueel/toespraken/eredoctoraat-open-universiteit
29 F. Ambtenbrink en H.H.B. Vedder, Recht van de Europese Unie, Boom Juridisch, 2017, p. 166.
30 A.W. Heringa e.a. Staatsrecht, Deventer: Wolters Kluwer 2022, p. 609.
31 HvJEU 24 september 2019 (Google/CNIL) ECLI:EU:C:2019:772 respectievelijk HvJEU 24 september 2019 (GC/CNIL) ECLI:EU:C:2019:773.
32 Zie voor een heldere uitleg over overweging 7 van de AVG de na de diesrede gepubliceerde conclusie van AG Campos Sanchez Bordona in de zaak UI/Österreichische Post AG, HvJEU 6 oktober 2022, ECLI:EU:C:2022: 756
33 HvJEU 13 september 2018, ECLI:EU:C:2018:715, EHRC 2019, 1, m.nt S.M. Andriessen
34 G. Conway, 'Conflicts of Competence Norms in EU Law and the Legal Reasoning of the ECJ', German Law Journal, 2010. 11(9), 966-1005.
35 J.E.J. Prins, 'Rutte IV: toezichtreflex en Autoriteit Persoonsgegevens', NJB 2022/233.
36 J. Vleugel, ‘Grondrechtencatalogi met een evenredigheidstoets. Een fundamenteel en institutioneel vraagstuk.’ NTM/NJCM 2022/13.
37 Zie bijvoorbeeld artikel 5, lid 4 van het VEU of het oordeel van het Cbb van 18 oktober 2022, ECLI:NL:CBB:707 (Bunq/DNB), over een besluit van De Nederlandse Bank in relatie tot artikel 3:4, lid 2, Awb.
38 ‘Raad van State medeplichtig aan discriminatie slachtoffers toeslagenaffaire’, NOS 17 november 2021, https://nos.nl/nieuwsuur/artikel/2406038-raad-van-state-medeplichtig-aan-discriminatie-slachtoffers-toeslagenaffaire
39 Artikel 55, lid 3 AVG
40 AP, 'Advies consultatieversie voorstel voor de wet plan van aanpak witwassen', 20 maart 2020 https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/advies_wet_plan_van_aanpak_witwassen.pdf
41 J. Vleugel, ‘Grondrechtencatalogi met een evenredigheidstoets. Een fundamenteel en institutioneel vraagstuk.’ NTM/NJCM 2022/13, p. 197
42 C.A.J.M. Kortmann, Staatsrecht en raison d’Etat. Afscheidscollege 27 februari 2009, Deventer: Kluwer, 2009, p. 4.
43 J.W. van den Gronden ea. ‘Kern van het Europees recht’, Boom Juridisch. 2018, p. 257 en J.E.J. Prins, ‘Naschrift’, NJB 2022/750.
Afbeelding: Pixabay