Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/1.2.2
1.2.2 Methode en afbakening: contextuele benadering
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660910:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Overigens geldt dat wanneer de Hoge Raad, Afdeling Bestuursrechtspraak van de Raad van State, of een rechter uit een van de andere lidstaten, zich wel hierover uit had gelaten, dit de uitleg van het EU-rechtelijke begrip niet had bepaald. Als regel geldt dat EU-recht autonoom wordt uitgelegd. Het wordt dan ook niet noodzakelijkerwijs uitgelegd in lijn met de jurisprudentie uit een of meerdere lidstaten, tenzij de regeling dit uitdrukkelijk bepaalt (zie hierover Beck 2013, p. 216). Het bijzondere karakter van EU-recht brengt wel mee dat het HvJ EU nationale opvattingen in zijn beslissingen dient mee te nemen (De Waele 2012, p. 54).
Zie daarover Asser/Vranken Algemeen deel **** 2014/8 e.v.
Dit is anders indien een regeling voor de vaststelling van de betekenis en draagwijdte van een begrip uitdrukkelijk naar het recht van lidstaten verwijst. Daarvan is voor wat betreft de AVG geen sprake. Zie in dit kader bijv. HvJ EG 27 januari 2005, ECLI:EU:C:2005:59, pt. 29 (Junk v. Kühnel), en, in de context van het persoonsgegevensbeschermingsrecht, HvJ EU 1 oktober 2019, ECLI:EU:C:2019:801, pt. 47 (Planet49). Zie verder Beck 2013, p. 216 en Asser/Vonken 10-I 2018/145. Overigens brengt het bijzondere karakter van EU-recht wel mee dat het HvJ EU nationale opvattingen dient mee te nemen (De Waele 2012, p. 54). Dit past ook bij het rechtszekerheidsbeginsel. Dit beginsel wordt gezien als enkele van de basisbeginselen van de EU en brengt mee dat rechtssubjecten moeten weten wat het recht inhoudt, zodat zij hun handelingen daarop kunnen aanpassen. Zie hierover Tridimas 2006, hfdst. 6, i.h.b. §6.1.
Zie over de geschiedenis van de AVG-beveiligingsbepalingen nader hfdst. 4.
In de literatuur wordt aangenomen dat effectieve cyberwetgeving altijd ruimte voor de context laat (bijv. Reed 2012, p. 134). Zie over het open karakter van de AVG-beveiligingsbepalingen §2.3.2.
Het HvJ EU is bevoegd uitspraak te doen over o.a. de uitleg van de handelingen van de instellingen, de organen of de instanties van de EU (art. 267 onder b VWEU). Lidstaten moeten de daadwerkelijke rechtsbescherming van het EU-recht verzekeren (art. 19 lid 1 VWEU, zie Van Harten 2011, §2.2 en de aldaar aangehaalde literatuur, Lenaerts & Van Nuffel 2017, pt. 479 en Tridimas 2018, §II.). De uitleg die het HvJ EU aan een bepaling geeft, is dan ook bindend voor Nederlandse rechters. Overigens wordt in de literatuur wel bepleit dat wanneer het HvJ EU een EU-rechtelijke bepaling nog niet heeft uitgelegd, een nationale rechter dit recht slechts mag toepassen. Indien de bepaling uitlegging behoeft, zou hij een prejudiciële vraag moeten stellen (art. 267 onder b VWEU). Dit onderscheid tussen toepassing en uitlegging wordt echter ook wel afgedaan als een juridische fictie (Van Harten 2011, p. 36 en 42-43).
Zie over de gelijkenissen tussen de onderzoeksmethode van een wetenschapper en die van een rechter uitgebreid Vranken in: Asser/Vranken Algemeen deel**** 2014/9, die schrijft dat deze grotendeels overlappen.
Beck 2013, hfdst. 7. Zie verder bijv. Bengoetxea 1993, p. 233 e.v. (die onderscheid maakt tussen taalkundige, systematische en doelgerichte argumentatie); Conclusie A-G V. Trstenjak, 17 februari 2011, ECLI:EU:C:2011:90, pt. 41-57 (die in zijn conclusie de letterlijke, systematische en teleologische uitlegging van een bepaald artikel onderscheidt) en De Waele 2012, p. 54. Zie over rechtsvindingsmethoden in het algemeen o.a. Smith 2007, i.h.b. §6.5.
Zo was bijv. in HvJ EG 20 mei 2003, ECLI:EU:C:2003:294, pt. 93 (Österreichischer Rundfunk e.a.) een rol weggelegd voor tekstuele argumenten, in HvJ EU 1 oktober 2019, ECLI:EU:C:2019:801, pt. 48 (Planet49) voor historische argumenten, in HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 68 (Google Spain) voor teleologische argumenten, in HvJ EU 5 mei 2011, ECLI:EU:C:2011:279, pt. 61 (Deutsche Telekom) voor systematische argumenten en in HvJ EU 9 maart 2010, ECLI:EU:C:2010:125, pt. 26-29 (Commissie v. Duitsland) voor vergelijkende argumenten. Zie verder Beck 2013, §7.II en de introducties van de hoofdstukken 2-6 van deze studie.
In de literatuur wordt dan ook ten onrechte vaak aangenomen dat het HvJ EU voornamelijk belang hecht aan teleologische argumenten (bijv. Fennelly 1997, p. 664; Lenaerts & Gurriérrez-Fons 2013, §1.C). Zie voor het (Duitse) onderzoek waarin is geïnventariseerd hoe het HvJ EU zijn conclusies vormgeeft Dederichs 2004, en voor een Nederlandstalige analyse en bespreking daarvan De Waele 2012. Overigens wordt bij rechtsvinding ook in het algemeen veel waarde gehecht aan de tekst van de wet. Zie bijv. Polak 1953, §III.1; Asser/Scholten Algemeen deel* 1974/10; Snijders 1978, §2.12; Pontier 1998, §2.4.1.a en Groenewegen 2006, §3.2. Dit wordt echter ook genuanceerd – met name t.a.v. de gevallen waarin juist over de betekenis van bepaalde woorden wordt getwist (zoals het geval is bij de term ‘passend’). Een uitleg die strijdig is met (de tekst van) de wet zal al snel een schending opleveren van het rechtszekerheidsbeginsel, dat binnen de Europese rechtsorde zeer belangrijk is. Zie over dit beginsel (en meer specifiek het vertrouwensbeginsel) De Vos 2011, i.h.b. hfdst. 4.
Zie de volgende voetnoot en bijv. HvJ EG 23 maart 2006, ECLI:EU:C:2006:199, pt. 17 (Honyvem Informazioni Commerciali) en HvJ EG 11 september 2008, ECLI:EU:C:2008:496, pt. 41 (Caffaro). Zie t.a.v. een verordening: HvJ EU 13 juli 2017, ECLI:EU:C:2017:546, pt. 28. (Assens Havn). Zie ook de in deze overwegingen aangehaalde jurisprudentie.
Bijv. HvJ EG 16 december 2008, ECLI:EU:C:2008:727, pt. 51 (Satamedia) en HvJ EU 14 februari 2019, ECLI:EU:C:2019:122, pt. 49 (Buivids).
HvJ EU 9 maart 2010, ECLI:EU:C:2010:125, pt. 17 (Commissie v. Duitsland).
Zie in dit kader ook HvJ EU 1 oktober 2019, ECLI:EU:C:2019:801, pt. 48 (Planet49), waaruit blijkt dat bij de uitleg van een bepaling rekening moet worden gehouden met het gehele EU-recht en “de context van de norm”.
Bij een analyse van EU-rechtelijke open voorschriften ligt het voor de hand veel aandacht te besteden aan uitspraken van het Hof van Justitie van de Europese Unie (HvJ EU) die over hun invulling gaan. Vooralsnog heeft het HvJ EU, overigens evenals de Hoge Raad en de Afdeling Bestuursrechtspraak van de Raad van State, zich echter niet uitgelaten over de invulling van de AVG-beveiligingsbepalingen.1 Ik ben daarom op zoek gegaan naar andere aanknopingspunten die houvast bieden bij de uitleg van de AVG-beveiligingsbepalingen. Vervolgens beoordeel ik welke inzichten die verschillende invalshoeken tezamen in deze bepalingen bieden.
De methode waar ik in mijn onderzoek gebruik van heb gemaakt is hoofdzakelijk de juridisch-dogmatische.2 Ook baseer ik mij op literatuur op het gebied van de informatiebeveiliging. Ik hanteer tekstanalytische methoden en beoog aan de hand van argumenten en redeneerwijzen oplossingen te vinden voor rechtsvragen rondom de AVG-beveiligingsbepalingen. Om de AVG-beveiligingsbepalingen inzichtelijk te maken en houvast te bieden bij de invulling van de beveiligingsverplichtingen, benader ik art. 5 lid 1 onder f en 32 AVG vanuit verschillende perspectieven, die ik contexten noem. Bij deze contextuele behandeling analyseer ik op basis van nationale en internationale bronnen welke inzichten relevant zijn bij de invulling van de beveiligingsbepalingen. Daarbij ga ik in op de specifieke dynamiek van het persoonsgegevensbeschermingsrecht en probeer ik aanknopingspunten te vinden voor een duiding van het karakter en de inhoud van de AVG-beveiligingsbepalingen. Ik behandel daarom alle contexten die duidelijkheid kunnen bieden over de uitleg van art. 5 lid 1 onder f en 32 AVG en argumenten kunnen verschaffen in het kader van de tekstuele, systematische, doelgerichte/teleologische, vergelijkende en historische rechtsvindingsmethoden.
De contexten die ik bespreek zijn de tekst en systematiek van de art. 5 lid 1 onder f en 32 AVG, het informatiebeveiligingsdomein, de rechtshistorische context, de doelstelling van de AVG, de voor persoonsgegevensbeveiliging relevante systematiek van de AVG en enkele met art. 32AVG vergelijkbare geformuleerde bepalingen in het EU-recht. Omdat termen uit het EU-recht (zoals ‘passende beveiligingsmaatregelen’ en ‘het passende beveiligingsniveau’) in beginsel autonoom moeten worden uitgelegd, heb ik ervoor gekozen de bepalingen niet vanuit het Nederlandse nationale recht te benaderen.3 Ieder hoofdstuk bevat de beschrijving van een van deze contexten (zie over de opzet van deze studie verder §1.3). In de inleidende paragrafen van de betreffende hoofdstukken ga ik steeds in op de manier waarop deze besproken context kan bijdragen aan de invulling van de AVG-beveiligingsbepalingen. Omdat mijn onderzoek is gericht op de invulling van de open norm, beperk ik de bespreking van art. 32 AVG tot de leden 1 en 2 van deze bepaling. Art. 32 lid 3 en 4 AVG zijn niet open geformuleerd en behoeven daarom geen verdere invulling. Zij komen daarom slechts zijdelings ter sprake.4
Mijn onderzoek is verkennend van aard. Deze invalshoek past bij de huidige stand van zaken. Hoewel er een met art. 32 AVG sterk vergelijkbare bepaling bestond onder het regime van de (omzettingswetgeving van) de Dataprotectierichtlijn, hebben de beveiligingsbepalingen uit het Europese persoonsgegevensbeschermingsrecht slechts een beperkte ontwikkeling doorgemaakt.5 Zo bestaat er – zoals gezegd – nog geen richtinggevende rechtspraak op dit punt en is er nog niet veel over de invulling van deze bepalingen geschreven. Gedetailleerde en uitgesproken conclusies over welke maatregelen in welke omstandigheden passend zijn en wat voor beveiligingsniveau wanneer moet worden gerealiseerd, kunnen niet worden getrokken op basis van de kleine hoeveelheid bronnen die op deze verdragsbepalingen betrekking hebben. Een meer verkennende benadering is daarom vereist. Dit past overigens ook beter bij het open karakter van de AVG-beveiligingsbepalingen en de elkaar snel opvolgende ontwikkelingen op het gebied van informatiebeveiliging.6 Conclusies over de daadwerkelijk te treffen maatregelen zouden snel aan waarde inboeten bij het verschijnen van rechtspraak of het voortschrijden van de techniek. Ik heb dan ook geen ‘omstandighedencatalogus’ opgesteld waaruit blijkt onder welke omstandigheden welke beveiligingsmaatregelen moeten worden getroffen of welk beveiligingsniveau moet worden gewaarborgd. In plaats daarvan verduidelijk ik het karakter en de inhoud van de AVG-beveiligingsbepalingen door de achterliggende contexten te analyseren. Dit biedt een kader voor de rechtspraktijk en -wetenschap voor de invulling van de artikelen in een concreet geval.
Met mijn onderzoek wil ik houvast kunnen bieden aan verwerkingsverantwoordelijken, verwerkers, betrokkenen, rechters en toezichthouders. Omdat de uiteindelijke invulling van de AVG-beveiligingsbepalingen afhangt van de uitleg die het HvJ EU aan art. 5 lid 1 onder f en 32 AVG geeft,7 heb ik geprobeerd aansluiting te zoeken bij de manier waarop dit HvJ EU tot zijn oordelen komt. De contextuele benadering die ik voor dit onderzoek heb gekozen, sluit mijns inziens aan bij de redeneermethode die het HvJ EU hanteert.8
Wanneer het HvJ EU duidelijkheid verschaft over een EU-rechtelijke bepaling en de verplichtingen die daaruit in een specifiek geval voortvloeien, benadert het deze bepaling doorgaans vanuit verschillende invalshoeken. In de literatuur worden meerdere soorten door het HvJ EU gebruikte redeneringen onderscheiden. Beck, die uitgebreid onderzoek heeft gedaan naar de argumentatie van het HvJ EU, maakt onderscheid tussen redeneringen die zijn gebaseerd op tekstuele, systematische, doelgerichte/teleologische, vergelijkende en historische/op intentie-gebaseerde rechtsvindingsmethoden.9 In de uitspraken van het HvJ EU ten aanzien van het persoonsgegevensbeschermingsrecht zijn al deze type redeneringen terug te vinden.10 Overigens hanteert het HvJ EU deze methoden niet allemaal in gelijke mate. Uit onderzoek uit 2014 blijkt dat het zich bij de uitleg van een nieuwe bepaling in het bijzonder baseert op eerdere uitspraken en de tekst van de wet. Vervolgens kijkt het HvJ EU het meest naar de teleologische achtergrond van de bepaling, en daarna naar de geschiedenis ervan en naar redeneringen die zijn gebaseerd op systematiek.11 In de hoofdstukken 2 tot en met 7 benader ik elke context zelfstandig. In hoofdstuk 8 bespreek ik in hoeverre zij bij de uitleg van de AVG-beveiligingsbepalingen met elkaar botsen of stroken.
Het HvJ EU legt EU-rechtelijke bepalingen volgens vaste rechtspraak uit tegen de “achtergrond en het doel ervan en van de daarbij ingevoerde regeling”: “the aims pursued by the directive and the system it establishes”.12 Dit blijkt ook in zijn uitspraken aangaande het persoonsgegevensbeschermingsrecht.13 Het HvJ EU is daarbij niet volledig consistent in de door hem gebruikte terminologie. In Commissie v. Duitsland wordt bijvoorbeeld niet gesproken over de ‘achtergrond’, maar over de ‘opzet’ van de regeling – ‘the scheme of the directive’.14 Het HvJ EU heeft nooit uitdrukkelijk toegelicht wat het onder de ‘achtergrond’ of ‘opzet’ verstaat. Nu het onder meer teleologische, historische, systematische en vergelijkende argumenten aan zijn beslissingen ten grondslag kan leggen, lijken deze begrippen breed te moeten worden begrepen. Bij de uitleg van een bepaling kan mogelijk dan ook de volledige context van zowel de uit te leggen bepaling als de regeling waarin deze is opgenomen een rol spelen.15 Omdat ik in mijn onderzoek een zo volledig mogelijk beeld van de norm schets, sluit mijn onderzoek goed aan bij de wijze waarop het HvJ EU bepalingen uitlegt.
Dit onderzoek is afgerond op 1 januari 2022.