Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.2.3.2
5.2.3.2 Wezenlijke inhoud
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660916:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie over deze eis en de beperkingssystematiek in het algemeen §5.2.2.2.
HvJ EU 8 april 2014, ECLI:EU:C:2014:238, pt. 40 (Digital Rights Ireland).
HvJ EU 21 december 2016, ECLI:EU:C:2016:970, pt. 101 (Tele2 Sverige AB).
HvJ EU 26 juli 2017, ECLI:EU:C:2017:592, pt. 150 (Canada PNR).
Zie over de casuïstische aard van dit principe §5.2.1.
Zie over vertrouwelijkheid §3.3.2.
Zie over de AVG-termen ‘ongeoorloofd’ en ‘onrechtmatig’ §1.4.3.
Het HvJ EU verwijst naar vertrouwelijkheid in Tele2 Sverige AB en Canada PNR (zie over de vertrouwelijkheid van persoonsgegevens §3.3.2), en naar integriteit in Canada PNR en Digital Rights Ireland (zie over integriteit §3.3.3). In Digital Rights Ireland benoemt het HvJ EU daarnaast dat moet worden voorkomen dat gegevens worden vernietigd of per ongeluk verloren raken. Dergelijke gebeurtenissen zijn allereerst integriteitsinbreuken, maar kunnen ook gevolgen hebben voor de beschikbaarheid van gegevens (zie §3.3.4).
In gelijke zin Porcedda 2019, §5.4. Zie voor een korte toelichting op essentiële en niet-essentiële grondrechtelijke elementen en hun relatie tot wezenlijke inhoud van een grondrecht §5.2.2.
Zie over het belang van art. 8 lid 2 Hv ook §5.2.3.1.
Bijv. Lynskey 2015, §5.D, vgl. Tzanou 2017, §I.IV.C.iii. Zie ook Brkan 2019, §D.III (“In an a contrario reasoning, it seems difficult to imagine that absence of data security measures could lead to interference with the essence of the fundamental right to data protection or even, for that matter, interference with that fundamental right at all”). Anders Porcedda 2019; Dalla Corte 2020, p. 44-46. Hoewel ook deze laatste van mening is dat de leden 2 en 3 de essentiële elementen van dit grondrecht omvatten, stelt hij ook dat het HvJ EU andere elementen in lid 1 kan lezen en onder de wezenlijke inhoud van het grondrecht kan begrijpen.
Porcedda 2019; Dalla Corte 2020, p. 46.
Zie over de verschillende manieren waarop beveiligingsmaatregelen persoonsgegevens kunnen beveiligen hfdst. 3, i.h.b. §3.3 en §3.5.
Zie hfdst. 3, i.h.b., §3.4.3 en §3.5.
Tzanou 2017, §I.IV.C.iii; Porcedda 2019, §5.4; Brkan 2019, §D.I. Dit zou de fundamentele rol van het principe miskennen. Zie ook Lynskey 2015, §5.D.
Resp. HvJ EU 26 juli 2017, ECLI:EU:C:2017:592, pt. 150 (Canada PNR) en HvJ EU 21 december 2016, ECLI:EU:C:2016:970, pt. 101 (Tele2 Sverige AB). Dat de doelstellingen van verwerkingen moeten worden afgebakend, blijkt ook uit art. 8 lid 2 Hv.
Digital Rights Ireland betrof de Europese Dataretentierichtlijn (HvJ EU 8 april 2014, ECLI:EU:C:2014:238, pt. 18-20), Tele2 Sverige AB een nationale regeling (HvJ EU 21 december 2016, ECLI:EU:C:2016:970, pt. 51 onder 1 i.c.m. pt. 93-94) en Canada PNR een voorgenomen overeenkomst tussen de EU en Canada (HvJ EU 26 juli 2017, ECLI:EU:C:2017:592, pt. 1).
Dat zou immers de wezenlijke inhoud van het grondrecht schenden (art. 52 Hv).
Het HvJ EU heeft zich meerdere keren uitgelaten over de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens.1 De belangrijkste uitspraak op dit punt is die inzake Digital Rights Ireland. Hierin beoordeelt het HvJ EU of de door de Dataretentierichtlijn voorgeschreven gegevensbewaring afbreuk doet aan de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens. Het concludeert dat dit niet zo is omdat de richtlijn beginselen van gegevensbescherming en ‑beveiliging bevat, en dat deze beginselen de lidstaten verplichten ervoor te zorgen dat de relevante normadressaten passende technische en organisatorische maatregelen treffen om te vermijden dat de gegevens per ongeluk of onrechtmatig worden vernietigd dan wel per ongeluk verloren geraken of worden gewijzigd.2 Ook in twee andere zaken heeft het HvJ EU zich uitgelaten over de wezenlijke inhoud van het recht uit art. 8 Hv. In Tele2 Sverige AB overweegt het dat een nationale regeling geen inbreuk op deze wezenlijke inhoud maakt, omdat zij niet toestaat dat de inhoud van een communicatie wordt bewaard.3 Ook de Canada PNR-overeenkomst maakte niet zo’n inbreuk, omdat zij regels omvat “die met name de beveiliging, de vertrouwelijkheid en de integriteit van deze gegevens moeten verzekeren en deze gegevens moeten beschermen tegen onrechtmatige toegang en verwerking” en daarnaast vereist dat de doelstelling van de verwerkingen duidelijk is afgebakend.4
Door de casuïstische aard van het wezenlijke-inhoudsprincipe en het zaaksgebonden karakter van bovenstaande uitspraken is het (nog) niet mogelijk om de kern van het recht op de bescherming van persoonsgegevens in zijn algemeenheid te formuleren.5 Wel valt op dat het HvJ EU de eerbiediging van de wezenlijke inhoud van dit recht altijd direct of indirect relateert aan (onder meer) beveiligingsvoorschriften en -waarborgen. In Digital Rights Ireland en Canada PNR gebeurt dit expliciet. In Tele2 Sverige AB wordt het belang van vertrouwelijkheidswaarborging benadrukt – iets dat onder andere hierop gerichte beveiligingsmaatregelen vereist.6
Regelingen die meebrengen dat persoonsgegevens onder bepaalde omstandigheden mogen worden verwerkt, zoals de AVG, dienen dus (onder meer) te bepalen dat deze verwerkingen moeten zijn beveiligd. Zo’n beveiligingsbepaling is noodzakelijk om de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens te eerbiedigen en daarom ook voor de rechtmatigheid van grondrechtenbeperkingen. Specifieker blijkt uit bovengenoemde uitspraken dat gegevens dienen te worden beveiligd tegen onrechtmatige en onopzettelijke verwerkingen, in het bijzonder tegen vernietigingen, wijzigingen en onrechtmatige toegang.7 De focus zal daarbij vooral moeten liggen op vertrouwelijkheids- en integriteitsinbreuken.8 Dergelijke beveiligingseisen zijn, met andere woorden, een zogenoemd ‘essentieel element’ van het recht op de bescherming van persoonsgegevens zoals dat in art. 8 Hv is erkend.9
De hiervoor behandelde jurisprudentie is niet zonder kritiek ontvangen. Er zijn twee belangrijke kritiekpunten.
Het eerste kritiekpunt is dat de manier waarop het HvJ EU de kern van het recht op de bescherming van persoonsgegevens construeert niet rijmt met art. 8 lid 2 Hv. Deze bepaling, die de rechtvaardiging van grondrechteninmengingen betreft, lijkt immers met zich te brengen dat persoonsgegevensverwerkingen kunnen zijn ‘gerechtvaardigd’ ongeacht de aanwezigheid van beveiligingswaarborgen.10 Dit staat op gespannen voet met de visie dat beveiligingseisen onderdeel zijn van de wezenlijke inhoud van het grondrecht.11 In de literatuur wordt echter ook, met reden, bepleit dat deze kritiek niet terecht is. Daarbij is het idee dat het HvJ EU de rechtvaardigingseisen uit art. 8 lid 2 kan aanvullen met elementen die het (wetssystematisch gezien) uit art. 8 lid 1 Hv destilleert.12 Op deze wijze kan het lid 2 toch aan de beveiliging van persoonsgegevens relateren. Mijn inschatting is dat er een goede kans is dat het HvJ EU hiertoe - indien nodig - inderdaad zal overgaan, gezien het belang dat het aan beveiliging toekent en het feit dat beveiligingsmaatregelen de risico’s die persoonsgegevensverwerkingen meebrengen aanzienlijk beperken.13 Zij gaan tegen dat een verwerking dusdanig wordt gecompromitteerd dat er (bijvoorbeeld als gevolg van onderschepping) andere, niet te rechtvaardigen, inmengingen in art. 8 Hv zullen plaatsvinden.14
Het andere kritiekpunt ziet op de omvang van de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens. In de uitspraken van het HvJ EU ligt volgens verschillende auteurs ten onrechte besloten dat een wet op grond waarvan persoonsgegevensverwerkingen mogen plaatsvinden de wezenlijke inhoud van dit recht al eerbiedigt indien zij minimumeisen bevat voor de beveiliging van deze verwerkingen. De kern van het recht op de bescherming van persoonsgegevens zou daardoor te beperkt en te snel gewaarborgd zijn.15 Dit is naar mijn mening een te strenge lezing van de jurisprudentie. In de hierboven beschreven uitspraken relateert het HvJ EU de kern van het recht op de bescherming van persoonsgegevens ook aan andere aspecten van persoonsgegevensbescherming. Zo volgt uit Canada PNR dat een regeling die persoonsgegevensverwerkingen regelt er ook voor moet zorgen dat de doelstellingen van verwerkingen duidelijk worden afgebakend, en blijkt uit Tele2 Sverige AB dat de vertrouwelijkheid van gegevens in brede zin van in dit kader belang is.16 De wezenlijke inhoud van het recht op de bescherming van persoonsgegevens vereist dan ook dat de gegevens worden beveiligd, maar is hier niet toe beperkt. Het is goed denkbaar dat het HvJ EU in de toekomst aangeeft dat er in deze context ook nog andere elementen van belang zijn.
Alle jurisprudentie van het HvJ EU over de wezenlijke inhoud van het recht op de bescherming van persoonsgegevens betreft de verenigbaarheid van een bepaalde regeling met art. 8 Hv.17 Het is dan ook duidelijk dat een regeling waarmee dit recht wordt beperkt, moet voorschrijven dat persoonsgegevens worden beveiligd. De uitspraken stellen echter geen duidelijke eisen aan de vereiste mate van beveiliging. Toch bieden zij ook houvast bij de invulling van het beveiligingsvoorschrift uit de AVG. Zo verduidelijken ze dat andere belangen dan beveiligingsbelangen, zoals belangen die zijn gerelateerd aan het vrije verkeer van persoonsgegevens of de vrijheid van ondernemerschap, niet kunnen meebrengen dat er geen beveiligingsmaatregelen hoeven te worden getroffen.18 Ook rechtvaardigen ze de conclusie dat de waarborging van de vertrouwelijkheid en integriteit van gegevens van groter belang is voor de waarborging van het recht op de bescherming van persoonsgegevens dan de waarborging van de beschikbaarheid van gegevens.
Het staat nog niet vast of het wezenlijke-inhoudsprincipe nadere inhoudelijke eisen stelt aan persoonsgegevensbeveiliging in een specifiek geval.19 Gezien de functie van deze eis en de situatieafhankelijke invulling daarvan ligt het in de rede dat dit wel het geval is. Te lage eisen realiseren immers niet dat de persoonsgegevensverwerkingsrisico’s voor natuurlijke personen daadwerkelijk worden beheerst. Daarbij vereist art. 8 Hv in ieder geval dat verwerkingsverantwoordelijken en verwerkers vertrouwelijkheids- en integriteitsinbreuken tegengaan.