25 jaar Awb in eenheid en verscheidenheid 2019/24.3:24.3 Regulering van data in de Awb

25 jaar Awb in eenheid en verscheidenheid 2019/24.3

24.3 Regulering van data in de Awb

Documentgegevens:

F. Çapkurt, prof. mr. Y.E. Schuurmans, datum 01-12-2018

Datum: 01-12-2018
Auteur: F. Çapkurt, prof. mr. Y.E. Schuurmans
Vakgebied(en): Bestuursrecht algemeen / Algemeen

Het woord ’data’ komt noch in de Awb, noch in de bijbehorende parlementaire geschiedenis voor.1 Dat de Awb ook zwijgt over ‘persoonsgegevens’ is minder voor de hand liggend, omdat daarvoor van aanvang af al een bijzonder rechtsregime gold. De Awb heeft het ouderwets over ‘(zakelijke) gegevens’ (vaak zonder te specificeren of het gaat om persoonsgegevens of niet-persoonsgegevens), ‘bescheiden’, ‘informatie’ en ‘inlichtingen’.

Het juridische kader dat van toepassing is op gegevensverzameling en verwerking binnen de Awb is vooral gekoppeld aan het besluitbegrip. Zo schrijft het zorgvuldigheidsbeginsel van artikel 3:2 Awb voor dat het bestuursorgaan kennis vergaart over feiten om tot een juist besluit te kunnen komen. Die kennis zal het ontlenen aan informatie, gegevens, data, of hoe je het ook wil noemen. Maakt het voor de bevoegdheden van het bestuur en het verzamelen en verwerken van gegevens uit of het persoonsgegevens of gewone niet-persoonsgegevens betreft? Daar zegt de Awb niets over. De Awb is geschreven vanuit het traditionele uitgangspunt waarin een burger, de aanvrager uit artikel 4:2, lid 2 Awb, zelf de nodige gegevens en bescheiden verstrekt aan het bestuursorgaan. Bestuursorganen beschikken echter (ook zonder die aanvrager) over een schat aan informatie: zij verzamelen aan de lopende band grote hoeveelheden data, koppelen databestanden en hebben toegang tot diverse basisregistraties. De toekomstbestendige Awb geeft, wat ons betreft, ook aan hoe bestuursorganen met verstrekte gegevens en zelf vergaarde data naar aanleiding van andere besluit- of beleidsvormingstrajecten om zou moeten gaan.

Artikel 5:17 Awb is illustratief voor de beperkte grip die de Awb heeft op de omgang met data. Dat artikel stelt de toezichthouder in staat inzage te vorderen van ‘zakelijke gegevens’. Die gegevens kunnen ook op de elektronische weg zijn vastgelegd, zo expliciteert de memorie van toelichting.2 Zij licht verder toe dat ‘zakelijke gegevens’ gegevens betreft die ten dienste van het maatschappelijk verkeer worden gebruikt. ‘Gegevens en bescheiden van persoonlijke aard vallen daar dus buiten. Dergelijke gegevens en bescheiden kunnen in het kader van een opsporingsonderzoek slechts worden ingezien volgens de daarvoor geldende algemene regels van het Wetboek van Strafvordering. Ter voorkoming van misverstand zij overigens opgemerkt dat ook gegevens die zijn opgenomen in persoonsregistraties een zakelijk karakter kunnen hebben.’3 Dat levert hoofdbrekers op. Het blijft gissen of met ‘gegevens van persoonlijke aard’ aansluiting is gezocht bij de Wet Bescherming Persoonsgegevens (WBP) en de destijds geldende Wet Persoonsregistratie,4 of dat de wetgever wat anders beoogde. Die hoofdbrekers nemen in de gedigitaliseerde, datagedreven overheid toe.

Laten we eerst stilstaan bij het begrip ’maatschappelijke verkeer’ uit de memorie van toelichting. Als gevolg van de ontwikkelingen in de technologie is het maar de vraag of nog gesproken kan worden over gegevens die niet ten dienste van het maatschappelijk verkeer worden gebruikt. Zo oordeelde de Centrale Raad van Beroep recentelijk dat de reisbewegingen van studenten die worden opgeslagen op een ov-chipkaart (geregistreerd door Translink in een private rechtsverhouding), kunnen worden gecategoriseerd als zakelijke gegevens.5 Onder die categorie vallen dus vele door private partijen verzamelde persoonsgegevens in het kader van hun zakelijke dienstverlening. Dat geeft bestuursorganen een ongelofelijk brede grondslag om van private partijen gegevens te vorderen. Ook het begrip ‘gegevens van persoonlijke aard’ levert problemen op. De techniek om ’gegevens’ te herleiden tot het individu (en daarmee tot persoonsgegevens in de zin van de AVG)6 is door koppeling en verrijking van data zodanig sterk ontwikkeld, dat data vrijwel steeds tot de persoon te herleiden zijn.7

De ‘losse’ terminologie met betrekking tot data in de Awb, zoals gegevens en informatie, maakt dat de Awb weinig sturing geeft aan datagebruik door het bestuur. Het bevreemdt dat de Awb-wetgever zo weinig aansluiting heeft gezocht bij het destijds geldende gegevensbeschermingsrecht, nu de memorie van toelichting bij de Wbp al signaleerde dat het gegevensbeschermingsrecht en bestuursrecht geïsoleerde levens leidden.8 Voor bestuursorganen is problematisch dat zij onvoldoende weten welke (persoons)gegevens van burgers zij mogen verzamelen en analyseren.9 Deze rechtsonzekerheid én voortschrijdende technologische ontwikkelingen zullen naar onze inschatting tot een dringend beroep op de wetgever leiden om het recht met betrekking tot data in het publieke domein te vereenvoudigen, systematiseren en harmoniseren.

Toon alle voetnoten

Voetnoten

Voetnoten

Het woord ‘data’ komt welgeteld tweemaal voor in de digitale versie van de parlementaire geschiedenis, eenmaal als typefout (eerste tranche – verhouding tot andere wetgeving) en eenmaal ‘data’ als datum (tijd) (tweede tranche – algemene beschouwingen en vierde tranche (invoeringsdata).

PG Awb III, p. 345-346.

M. Overkleeft-Verburg, De Wet persoonsregistraties. Norm, toepassing en evaluatie (diss. Tilburg), Zwolle: Tjeenk Willink 1995.

CRvB 8 februari 2018, ECLI:NL:CRVB:2018:269, r.o. 5.6.2 en 5.6.3. Daarin staat o.a. ‘De verwerking van reisgegevens door TLS geschiedt voor een substantieel deel ten dienste van het maatschappelijk verkeer, zoals het faciliteren van betalingen van de betrokkene aan de vervoerder en het verlenen van klantenservice. Dit betekent dat de door TLS verwerkte reisgegevens, ook al hebben deze betrekking op personen, kunnen worden aangemerkt als zakelijke gegevens als bedoeld in artikel 5:17 van de Awb.’

Zie voor een aansprekend voorbeeld uit de rechtspraak ABRvS 1 februari 2017, ECLI:RVS:2017:224, AB 2017/294 m.nt. Julicher en JB 2017/80 m.nt. Overkleeft-Verburg, r.o. 4.2: ‘Met de voormelde gegevens waarom [appellant] heeft verzocht - in combinatie met elkaar dan wel met gebruikmaking van middelen waarvan mag worden aangenomen dat zij redelijkerwijs door een persoon zijn in te zetten - kunnen personen worden geïdentificeerd.’

WRR, Big Data in een vrije en veilige samenleving, Amsterdam: AUP 2016, p. 114; M.R. Koot, Measuring and predicting anonymity, Amsterdam: AUP 2012 en P. Ohm, ‘Broken Promises of Privacy: Responding to the Surprise of Failure of Anonymization’, UCLA Law Review 2010 (57), p. 1701-1777.

Kamerstukken II 1997/98, 25892, 3, p. 25

Dit probleem doet zich bijv. voor in het sociaal domein. Uit onderzoek van de Autoriteit Persoonsgegevens, uit 2016 blijkt dat de onderzochte 41 gemeenten onvoldoende weten welke persoonsgegevens zij voor welke doeleinden kunnen verwerken en welke wetgeving hierop van toepassing is. Zie Autoriteit Persoonsgegevens, Verwerking van persoonsgegevens in het sociaal domein. De rol van toestemming, Den Haag: 2016, p. 4-5 en A. Klingenberg, ‘Gegevensbescherming in het gemeentelijk sociale domein’, in G. Vonk (red.), Rechtstatelijke aspecten van de decentralisaties in het sociale domein, Groningen: Rijksuniversiteit Groningen 2016, p. 99-118.