De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.2.4.2:5.2.4.2 Wezenlijke inhoud

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.2.4.2

5.2.4.2 Wezenlijke inhoud

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Zowel het HvJ EU als het EHRM hebben zich over de wezenlijke inhoud van het recht op de eerbiediging van het privéleven uitgelaten. Het EHRM heeft verduidelijkt dat de essentie van art. 8 EVRM is beperkt tot de bescherming van natuurlijke personen tegen arbitraire inmengingen van overheids­instellingen in dit grondrecht en dat de zogenoemde positieve voorschriften dus buiten het bereik van deze wezenlijke inhoud vallen.1 Het EHRM geeft geen inzicht in de relatie tussen deze wezenlijke inhoud van dit grondrecht en de verschillende aspecten van het recht op informationele privacy. Zijn uitspraken hebben dan ook geen relevantie voor de invulling van AVG-normen. Ik ga hierna daarom alleen in op de uitspraken van het HvJ EU, die meer onderwerp-gerelateerde eisen stelt aan de wezenlijke inhoud van het recht op de eerbiediging van het privéleven. Mogelijk brengt deze benadering mee dat het meer onderwerpen tot de kern van het grondrecht rekent en zodoende een bredere bescherming waarborgt dan het EHRM doet. Op grond van het Handvest kan dit.2 Overigens heeft het EHRM in het verleden wel duidelijk gemaakt dat de waarborging van de informationele privacy een fundamenteel onderdeel is van art. 8 EVRM.3

De eerste keer dat het HvJ EU zich uitliet over de kern van art. 7 Hv, was in de Digital Rights Ireland-zaak, waarin de geldigheid van de Dataretentie­richtlijn centraal stond. In deze uitspraak overwoog het dat de voorgeschreven bewaring van communicatie­gegevens (zoals IP-adressen en locatiegegevens van mobiele apparatuur) een zware inmenging in het recht op eerbieding van het privéleven vormt maar niet raakt aan de wezenlijke inhoud daarvan. In dit kader wordt overwogen dat “de richtlijn niet de mogelijkheid biedt kennis te nemen van de inhoud zelf van de elektronische communicatie”.4

Twee jaar later komt in Tele2 Sverige AB ongeveer dezelfde overweging terug, bij de uitleg van de E-privacyrichtlijn tegen de achtergrond van het Handvest. Aangezien ook deze richtlijn het niet toestaat dat de inhoud van een communicatie wordt bewaard, kwam het HvJ EU tot de conclusie dat ook hier geen sprake was van een schending van de wezenlijke inhoud van het recht op de bescherming van het privéleven.5 Dat was anders in Schrems I, waarin de geldigheid van beschikking 2000/520/EG werd beoordeeld. Deze beschikking, die de doorgifte van persoonsgegevens van de Gemeenschap naar de Verenigde Staten regelde, was wel in strijd met de kern van het recht op de eerbiediging van het privéleven, omdat zij toestond dat autoriteiten veralgemeend toegang kregen tot de inhoud van elektronische communicatie.6

De laatste keer dat het HvJ EU zich in de context van persoonsgegevensbescherming over de wezenlijke inhoud van het recht op de eerbiediging van het privéleven uitliet, stond er een voorgenomen overeenkomst centraal die regels bevatte over de uitwisseling van vluchtgegevens van passagiers die reisden tussen Europa en Canada. In het advies aangaande deze Canada PNR-overeenkomst stelt het vast dat de vluchtgegevens “weliswaar zeer precieze informatie over iemands privéleven onthullen, maar [dat] de aard van deze informatie is beperkt tot bepaalde aspecten van dit privéleven”.7 Om deze reden schaadt de overeenkomst de wezenlijke inhoud van het recht op de eerbiediging van het privéleven niet.

Doordat de zaken Digital Rights Ireland, Tele2 Sverige AB en Schrems I alle drie betrekking hebben op regelingen aangaande elektronische communicatie­gegevens, geven zij een goed beeld van de voorwaarden waaraan dergelijke regelingen moeten voldoen. Deze regelingen vormen slechts een inmenging in de wezenlijke inhoud van art. 7 Hv wanneer ze toegang bieden tot de inhoud van de communicatie. Een regeling die het verwerken en bekijken van gegevens over verrichte communicatie (zogenoemde metadata) mogelijk maakt, zal daarentegen doorgaans niet een dergelijke inmenging opleveren.8 Nu deze ‘inhoudstoets’ niet is toegepast in het Canada PNR-advies, levert dit advies volgens de literatuur een breuk op met de jurisprudentie.9 Naar mijn mening bestaat er mogelijk echter een inhoudelijke verklaring voor dit verschil. In het Canada PNR-advies staan andere gegevens centraal dan in de zaken Digital Rights Ireland, Tele2 Sverige AB en Schrems I. Anders dan communicatie­gegevens, zijn deze vluchtgegevens niet onder te verdelen in twee soorten informatie waarvan er één wel, en één niet de inhoud van de gegevens betreft. Net als niet-inhoudelijke communicatiegegevens bevatten vluchtgegevens feitelijke gegevens over natuurlijke personen die, anders dan inhoudelijke communicatiegegevens, geen inzicht verschaffen in de gedachtewereld van deze individuen. Wanneer we alle uitspraken tezamen bekijken, lijkt het uitgangspunt te zijn dat zulke (niet-bijzondere) feitelijke gegevens minder gevoelig zijn dan gegevens die de gedachtewereld van natuurlijke personen betreffen. Een regeling die alleen zulke ‘minder gevoelige’ gegevens aangaat, veroorzaakt in de regel geen inbreuk op de wezenlijke inhoud van het recht op de eerbiediging van het privéleven.10 De redenering daarbij lijkt te zijn dat de informatie die zij onthullen, is beperkt tot bepaalde aspecten van dit privéleven. Dit kan ook verklaren waarom er wel een wezenlijke inhoudsschending is wanneer de inhoud van communicatiegegevens voor derden inzichtelijk is. Deze inhoud kan immers informatie onthullen over allerlei verschillende aspecten van het privéleven.11

In de literatuur is veel kritiek geuit op de wijze waarop het HvJ EU de wezenlijke inhoud van art. 7 Hv benadert.

Een van de kritiekpunten is, mijns inziens terecht, dat de veronderstelling dat de verwerking van de inhoud van communicatie­gegevens een grotere inmenging in het privéleven meebrengt dan de verwerking van metadata, onjuist is.12 Metadata kunnen zeer gevoelige en persoonlijke informatie weergeven. Op basis van bijvoorbeeld opgeroepen nummers, bezochte websites, locatiegegevens, tijdsaanduidingen etc. kunnen gedetailleerde conclusies worden getrokken over het privéleven van een persoon – zoals over zijn relaties, gewoontes en interesses. In de uitspraak Digital Rights Ireland heeft het HvJ EU dit ook erkend.13 Ook de EU-wetgever benadrukt het gevaar van metadata. Hij benoemt dat deze gegevens ‘op dezelfde manier’ informatie over natuurlijke personen kunnen bieden als de inhoudelijke communicatiegegevens.14

Verder wordt wel gesteld dat de toets van het HvJ EU niet past bij het principe van de wezenlijke inhoud. De focus lijkt niet te liggen op de vraag wanneer ‘het recht als zodanig’ is aangetast,15 maar op de ernst van de inmenging. Dergelijke overwegingen zouden beter passen bij de proportionaliteitstoets.16

Het HvJ EU heeft nooit nadrukkelijk een verband gelegd tussen de wezenlijke inhoud van het recht op de eerbiediging van het privéleven enerzijds en de beveiliging van persoonsgegevens anderzijds. Wel kijkt het bij beoordeling van deze wezenlijke inhoud in de context van persoonsgegevensbescherming naar de inzichtelijkheid van gegevens. Voor de invulling van art. 5 lid 1 onder f en 32 AVG is dan ook van belang dat de wezenlijke inhoud van het recht op de eerbiediging van het privéleven meebrengt dat er zorgvuldig met de inzichtelijkheid en toegankelijkheid van gegevens moet worden omgegaan. Wanneer te veel partijen gegevens kunnen inzien, ligt een schending van de wezenlijke inhoud van dit recht op de loer. Voor de eerbiediging ervan is de beveiliging van de vertrouwelijkheid van gegevens dan ook belangrijk. De waarborging van de integriteit en beschikbaarheid van gegevens is in deze context van minder belang.17

Deze functie is alleen te gebruiken als je bent ingelogd.