De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.3.1:4.3.1 Resoluties van de Raad van Europa

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.3.1

4.3.1 Resoluties van de Raad van Europa

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

In de jaren ’70 bogen, naast het EHRM en enkele nationale wetgevers, ook inter­gouvernementele organisaties zich over de wettelijke persoonsgegevensbeschermingslacunes. In 1973 resulteerde dit in twee resoluties van de Raad van Europa,1 een orgaan dat zich richt op het bevorderen van eenheid tussen zijn leden en hiertoe (onder meer) de rechten van de mens en de fundamentele vrijheden beoogt te verwezenlijken.2 Aanleiding voor deze privacy-resoluties was de conclusie dat art. 8 EVRM en de nationale regelingen van de leden van de Raad onvoldoende bescherming boden tegen de privacy­risico’s van technologie in het algemeen en elektronische databanken in het bijzonder.3

Op het moment dat de privacy-resoluties van de Raad van Europa werden vastgesteld, kenden veel Europese landen nog geen eigen gegevensbeschermingsrecht. Verschillende auteurs zien deze resoluties daarom als de eerste stap in de ontwikkeling van dit rechtsgebied in Europa.4 Hoewel ze door (in het bijzonder) het Verdrag van Straatsburg inmiddels vrijwel geen belang meer hebben, zijn zij nooit officieel ingetrokken en hebben ze ook tegenwoordig nog gelding.

De privacy-resoluties van de Raad dienen te bewerkstelligen dat de rechten van natuurlijke personen in de gevallen waarin gebruik wordt gemaakt van databanken afdoende worden gewaarborgd. Daarnaast moeten zij de rechtsstelsels van de leden van de Raad van Europa tot op zekere hoogte gelijktrekken.5 Het voornaamste verschil tussen de twee resoluties zit in de sectoren waarop zij zien; de een is toegespitst op de private sector, de andere op de publieke sector. Omdat ze inhoudelijk (in ieder geval voor zover het de beveiliging van persoonsgegevens betreft) sterk overeenkomen, behandel ik ze tezamen.

De privacy-resoluties bevatten minimum­standaarden en verzoeken nationale wetgevers deze te effectueren.6 Zij geven de leden houvast bij het opstellen van hun gegevens­beschermings­recht, maar zijn niet bindend.7 Verder bepalen ze niet welke concrete verplichtingen de leden van de Raad moeten opleggen. In plaats daarvan beschrijven ze slechts de beginselen die zij dienen te waarborgen (en dus aan hun persoons­gegevensbeschermingsrecht ten grondslag moeten liggen).

Beide resoluties wijden een beginsel aan de beveiliging van persoons­gegevens die worden verwerkt met gebruikmaking van elektronische databanken.8 Deze beginselen bepalen dat maatregelen zouden moeten worden getroffen (“should be taken”) ter voorkoming van verkeerd gebruik en misbruik van gegevens,9 en dat dit meebrengt dat a. de toegang tot de gegevens zou moeten worden gereguleerd en b. misdirections van de gegevens zouden moeten worden opgespoord. Voor de publieke sector dient daarnaast een geheimhoudingsplicht te bestaan.10 Ten aanzien van de te treffen maatregelen heeft de Raad van Europa toegelicht dat de beveiligingsbeginselen niet enkel ‘van toepassing zijn op’ technische maatregelen (waarmee de veiligheid van data binnen de reikwijdte van de state of the art computer technology wordt gegarandeerd), maar ook op andersoortige maatregelen - die bijvoorbeeld zien op het aannamebeleid voor personeel.11 De Raad ziet dan ook verschillende manieren, technische én niet-technische, om verkeerd gebruik en misbruik van gegevens te voorkomen. De beoogde normadressaten zijn voor wat betreft de private sector de fabrikanten van hardware en software en de medewerkers van computercentra en voor wat betreft de publieke sector iedereen die te maken krijgt met het gebruik van databanken. Daarbij maakt het niet uit of zij in dienst zijn bij een overheidsdienst.12

Deze functie is alleen te gebruiken als je bent ingelogd.