Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.2.1
5.2.1 Inleiding
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660941:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Claes 2009, §2; FRA 2018, p. 15. Op dit moment is het EVRM formeel niet in de rechtsorde van de EU opgenomen, waardoor de grondrechten uit dit verdrag alleen als algemene beginselen deel uitmaken van het EU-recht (art. 6 lid 3 VEU - een codificatie van o.a. HvJ EU 16 juli 2009, ECLI:EU:C:2009:482 (Rubach)). Dit zal veranderen wanneer de EU tot het EVRM toetreedt. Zij is hiertoe verplicht op grond van art. 6 lid 2 VEU, maar heeft dit tot op heden nog niet gedaan, o.a. door een negatief advies van het HvJ EU over een ontwerp-toetredingsakkoord (zie Barkhuysen & Bos 2015).
Preambule van de AVG, o. 4 (‘de eerbiediging van alle grondrechten, vrijheden en beginselen die in het Handvest zijn erkend’). Het HvJ EU heeft zelfs overwogen dat de AVG “uitsluitend tegen de achtergrond van de door het Handvest gewaarborgde grondrechten” te worden uitgelegd (HvJ EU 21 december 2016, ECLI:EU:C:2016:970, pt. 127-128 (Tele2 Sverige AB)).
Handvest van de grondrechten van de Europese Unie, introductie (zie ook art. 6 VEU en §4.6.1). Zij omvat dus ook de rechten uit het EVRM en de algemene beginselen van de EU.
Het Handvest heeft immers ‘dezelfde juridische waarde als Verdragen’ (art. 6 VEU (jo. Art. 51 Hv)). Zie §4.6.2. Zie t.a.v. de rol en bevoegdheid van het HvJ EU art. 51 Hv en art. 267 VWEU (en hierover FRA 2018, p. 35 en 44) en t.a.v. de Nederlandse rechter art. 51 Hv (jo. art. 6 Verdrag van Lissabon) en Asser/Hartkamp 3-1 2019/100 en FRA 2018, p. 31. De tenuitvoerlegging van EU-recht omvat o.a. de toepassing van EU-recht door de rechter (toelichtingen bij het Handvestvest van de grondrechten, toelichting ad. art. 51).
Art. 52 lid 3 Hv.
Toelichtingen bij het Handvest van de grondrechten, toelichting ad art. 52 lid 3. Dat het Handvest ruimere bescherming mag bieden, blijkt uit art. 51 lid 3 Hv en wordt door het HvJ EU benoemd in o.a. HvJ EU 21 december 2016, ECLI:EU:C:2016:970, pt. 129 (Tele2 Sverige AB). Zie ook de aldaar aangehaalde rechtspraak en Bruno 2014, §3.
Art. 52 lid 3 en 53 Hv. Zie bijv. HvJ EU 14 februari 2019, ECLI:EU:C:2019:122, pt. 65-66 (Buivids). Het HvJ EU betrekt het EVRM ook na de inwerkingtreding van het Verdrag van Lissabon nog in haar uitspraken over het persoonsgegevensbeschermingsrecht. Zie bijv. HvJ EU 9 maart 2010, ECLI:EU:C:2010:125, pt. 1 (Commissie v. Duitsland) en HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 81 (Google Spain).
Wel sluit het HvJ EU zich bij vragen met een grondrechtelijke component primair aan bij het Handvest (zie Laenarts 2011; Sarmiento 2013; Barkhuysen & Bos 2014, §4.1; Bruno 2014, p. 90 e.v.; Barkhuysen & Bos 2015, §1; Emaus 2015, §2.1). Nederland is (anders dan de EU) partij bij het EVRM, waardoor de Nederlandse rechter de EVRM-rechten van eenieder die ressorteert onder zijn rechtsmacht dient te verzekeren (art. 1 EVRM).
FRA 2018, p. 16.
Zie t.a.v. grondrechtenbescherming d.m.v. algemene beginselen bijv. Tridimas 1999, hfdst. 6; Claes 2009, §2 en Barkhuysen & Bos 2015, §1, Cuyvers 2017, §6.2.
Zie het Handvest.
Zie bijv. HvJ EU 8 april 2014, ECLI:EU:C:2014:238, pt. 53-54 (Digital Rights Ireland). Dit doet het HvJ EU ook nog na de erkenning van het recht op de bescherming van persoonsgegevens. Zie bijv. HvJ EU 14 februari 2019, ECLI:EU:C:2019:122, pt. 65-66 (Buivids). Het recht op de eerbiediging van het privéleven is van oudsher bovendien sterk gerelateerd aan het recht op de bescherming van persoonsgegevens (zie §4.2 en §4.6). Zo is art. 8 Hv op o.a. art. 8 EVRM gebaseerd (Toelichtingen bij het Handvest van de grondrechten, toelichting ad art. 8).
Een van de doelen van de AVG is de bescherming van de grondrechten en de fundamentele vrijheden van natuurlijke personen, ‘met name hun recht op bescherming van persoonsgegevens’.1 Deze rechten en vrijheden zijn onmiskenbaar van belang bij de invulling van art. 5 lid 1 onder f en 32 AVG: de passendheid van beveiligingsmaatregelen is immers onder meer afhankelijk van de “de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen”.2 Welke grondrechten en vrijheden hierbij een rol spelen, bepaalt de AVG niet.
Vast staat dat de grondrechten en vrijheden die binnen de EU worden erkend, hun grondslag vinden in het Handvest, de algemene beginselen van het EU-recht en (indirect) in het EVRM.3 In het kader van de AVG is vooral het Handvest van belang.4 Deze grondrechtencatalogus beschrijft alle rechten, vrijheden en beginselen die in de EU worden erkend.5 Het HvJ EU en de nationale rechter moeten de eerbiediging van deze rechten verzekeren (de nationale rechter slechts voor zover hij het EU-recht ten uitvoer legt).6 Zij zullen de AVG dan ook conform het Handvest uitleggen. Daarbij is het uitgangspunt dat de rechten en vrijheden die ook worden erkend in het EVRM qua inhoud en reikwijdte, inclusief de toegestane beperkingen, gelijk zijn aan deze corresponderende EVRM-rechten.7 De Handvestgrondrechten mogen een hoger beschermingsniveau bieden,8 maar geen beperking vormen van of afbreuk doen aan de bescherming die het EVRM biedt.9 De rechten uit het EVRM en de uitleg die het EHRM daaraan geeft, zijn daardoor van betekenis bij de uitleg van de rechten uit het Handvest. Bij de invulling van art. 5 lid 1 onder f en 32 AVG dient hier rekening mee te worden gehouden.10 De algemene beginselen van het EU-recht bevatten geen extra regels ten aanzien van de bescherming van persoonsgegevens.11 De AVG en het HvJ EU brengen de AVG (vermoedelijk daarom) ook niet met deze algemene beginselen in verband. Om deze reden ga ik niet op hen in.12
Binnen de EU worden in ieder geval vijftig verschillende grondrechten en fundamentele vrijheden erkend.13 Omdat veel grondrechten en fundamentele vrijheden niet strikt zijn afgebakend en de AVG-beveiligingsbepalingen niet naar specifieke rechten verwijzen, is niet met zekerheid te zeggen welke grondrechten en fundamentele vrijheden relevant zijn voor de invulling van art. 5 lid 1 onder f en 32 AVG. Wel staat vast dat de AVG als geheel met name is gericht op “de eerbiediging van het privéleven en het familie- en gezinsleven, woning en communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid”.14 In dit hoofdstuk bespreek ik de rechten en vrijheden die het nauwst aan persoonsgegevensbeveiliging zijn gerelateerd. Het gaat daarbij allereerst om de grondrechten en fundamentele vrijheden die bij een beveiligingsinbreuk mogelijk worden geschonden: het recht op de bescherming van persoonsgegevens, dat bovendien terugkomt in de AVG-doelstelling,15 en het recht op de eerbiediging van het privéleven, dat het HvJ EU ook expliciet met de beveiliging van persoonsgegevens in verband brengt.16 Verder bespreek ik het recht op de vrijheid van ondernemerschap, dat tegenover de eerdergenoemde rechten kan staan, bijvoorbeeld als strenge beveiligingseisen het voor verwerkingsverantwoordelijken en verwerkers financieel onmogelijk maken om hun diensten of producten aan te bieden. Voordat ik inga op deze grondrechten, bespreek ik een aspect dat zij gemeenschappelijk hebben en waarnaar ik in het overige van dit hoofdstuk geregeld zal verwijzen: de algemene beperkingssystematiek van het Handvest. Deze systematiek is van belang, omdat juist uit de beperkingseisen kan worden afgeleid aan welke minimumeisen beveiliging moet voldoen om de relevante grondrechten te waarborgen. Bij de bespreking van de verschillende grondrechten komen de belangrijkste eisen dan ook steeds terug, toegepast op de betreffende grondrechten.
Uit §5.2.2 blijkt de meer algemene achtergrond en inhoud van deze vereisten. Vervolgens ga ik in §5.2.3 in op het recht op de bescherming van persoonsgegevens (art. 8 Hv). In §5.2.4 bespreek ik op het recht op de eerbiediging van het privéleven en het familie- en gezinsleven (art. 7 Hv en art. 8 EVRM, hierna het recht op de eerbiediging van het privéleven). In §5.2.5 staat het recht op de vrijheid van ondernemerschap centraal (art. 16 Hv). Als laatste bespreek ik het vrije verkeer (van diensten) in §5.2.6. Deze bespreking is kort, omdat deze fundamentele vrijheid vooral van belang is in de context van het vrije verkeer van persoonsgegevens en dus in §5.3 aan bod komt.