5.4.2 De samenhang in de visie van de EU-wetgever

De EU-wetgever benadert de doelen van de AVG als twee in elkaars verlengde liggende doelen. Er bestaat daarbij geen hiërarchie.1

In het onderlinge verband tussen de twee AVG-doelen wordt de bescherming van de grondrechten en fundamentele vrijheden van natuurlijke personen door de EU-wetgever gezien als een voorwaarde voor de realisatie van de interne markt en het vrije verkeer van persoonsgegevens. Daarbij is het idee dat als burgers het gevoel hebben dat hun gegevens tussen lidstaten kunnen bewegen zonder dat hun rechten en vrijheden daarbij worden geschonden, zij het vertrouwen hebben dat nodig is om deel te nemen aan de Europese interne markt.2 Deze markt kan alleen dan tot ontwikkeling komen.3 Verder voorkomt de waarborging van grondrechten en fundamentele vrijheden dat het vrije verkeer van persoonsgegevens en de interne markt worden gehinderd door lidstatelijke verschillen.4 Zo’n ‘level playing field’ is van belang voor een goede werking van de interne markt.5 Art. 5 lid 1 onder f en 32 AVG dragen bij aan dit level playing field en tegelijkertijd het vergroten van het vertrouwen in veilige gegevensdeling.

Het is opvallend dat art. 3 lid 1 AVG bepaalt dat het vrije verkeer van persoonsgegevens niet wordt beperkt of verboden “om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens”. De EU-wetgever impliceert hiermee dat grondrechten­bescherming het verkeer van persoons­gegevens mogelijk ook kan tegenwerken.6 Verder geeft hij hier in de AVG echter geen blijk van – zijn visie is immers dat grondrechtenbescherming bijdraagt aan de totstandkoming en werking van de interne markt. Deze bepaling verzet zich vermoedelijk dan ook hoofdzakelijk tegen nationale grondrechten­beschermingsbepalingen die zich niet laten verenigen met de met de AVG beoogde harmonisering.7 Dergelijke bepalingen kunnen in de visie van de EU-wetgever immers wel aan dit vrije verkeer afdoen.

Het bovenstaande betekent dat ook de waarborging van de interne markt een “consistent en hoog beschermingsniveau” van persoonsgegevens vereist.8 Het is de vraag of de interne markt (onder omstandigheden) ook een hoger niveau van persoonsgegevens­bescherming en -beveiliging kan vergen dan vereist is om de aan deze bescherming gerelateerde grondrechten te waarborgen. Als dat niet het geval is, hangt het door verwerkingsverantwoordelijken en verwerkers te waarborgen beveiligingsniveau mogelijk uitsluiteind af van de beveiliging die nodig is om de grondrechten en vrijheden van natuurlijke personen te waarborgen. De invulling van ‘passend’ in de zin van art. 5 lid 1 onder f en 32 AVG is dan volledig afhankelijk van grondrechtelijke vereisten.9 Hierna zal blijken dat het HvJ EU bij haar beoordeling van de persoonsgegevensbeschermings­vraagstukken inderdaad alleen vanuit grondrechtelijk perspectief kijkt naar de hoogte van de te waarborgen beveiliging (zie §5.4.4). Hoewel persoons­gegevens­beveiliging relevant is voor het vrije verkeer van persoonsgegevens, gezien het vertrouwen dat het in dit kader kan inroepen, biedt de rol die deze beveiliging in dit kader speelt dus geen reden om aan te nemen dat er een hoger niveau van beveiliging moet worden geboden dan vanuit grondrechtelijk perspectief is vereist.10 Dit duidt erop dat de rol die beveiliging speelt bij het vrije verkeer van persoonsgegevens (zie §5.3 en 5.4.2) niet zal leiden tot de verplichting tot het waarborgen van een hoger beveiligingsniveau dan vereist is vanuit grondrechtelijk perspectief. Ook artikel 1 lid 3 AVG duidt hierop. Deze bepaling bepaalt immers dat het vrije verkeer van persoonsgegevens in de EU noch wordt beperkt noch wordt verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.