Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.5.1
4.5.1 Dataprotectierichtlijn
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660918:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Zie ook Gonzáles Fuster 2014, §5.1 Het beginpunt hiervan zijn resoluties van het Europees Parlement: Resolution of the European Parliament on the protection of the rights of the individual in the face of technical developments in data processing, 1979, OJ C 140/34.
Aanbeveling 81/679/EEG (i.h.b. pt. II).
Aanbeveling 81/679/EEG.
Dat het Verdrag van Straatsburg hiervoor niet afdoende was, heeft verschillende redenen. Allereerst hadden veel lidstaten van de EU het verdrag ten tijde van de voorbereiding van de Dataprotectierichtlijn nog niet geratificeerd. Bovendien was het verdrag algemeen geformuleerd en maakten veel lidstaten er een of meerdere voorbehoud(en) bij (Mededeling Commissie 1990, pt. 3).
Preambule Dataprotectierichtlijn, o.11; Mededeling Commissie 1990, pt. 10.
Dit blijkt niet uit de richtlijn zelf, maar is naderhand door zowel de Europese Commissie als het HvJ EU aangenomen (Mededeling Commissie 2010, §2.2 en HvJ EG 6 november 2003, ECLI:EU:C:2003:596, pt. 96 (Lindqvist)). De richtlijn geeft wel meermaals aan dat de lidstaten de mogelijkheid hebben tot het stellen van aanvullende of afwijkende regels (zie bijv. art. 5 en 13).
Art. 1 Dataprotectierichtlijn.
Zie hoofdstuk 5 voor meer over deze dubbele doelstelling.
Inleiding Dataprotectierichtlijn.
Art. 6 van de Dataprotectierichtlijn. Op het eerste oog lijkt ook art. 7 beginselen te bevatten (beginselen betreffende de toelaatbaarheid van gegevensverwerkingen). Dit artikel is echter meer geformuleerd als een bepaling die voorschrijft dat concrete verplichtingen moeten worden getroffen. In de AVG worden de hierin beschreven uitgangspunten ook niet meer als beginselen betiteld.
Preambule Dataprotectierichtlijn, o. 25. Op basis hiervan wordt wel geconcludeerd dat het gegevensbeschermingsrecht van de EU niet langer een principle-based approach heeft: Laurie & Sethi 2014, §V.1.
Het gaat daarbij om de Resoluties van de Raad van Europa, de OESO-richtlijn en het Verdrag van Straatsburg. Zie resp. §4.3.1, §4.3.2 en §4.4.1. Vooral de beginselen uit het Verdrag van Straatsburg zijn leidend geweest bij de vormgeving van de EU-rechtelijke beginselen (preambule Dataprotectierichtlijn, o. 11). Zie ook Krzysztofek 2017, §4.01.
De beginselen die onder de Dataprotectierichtlijn worden erkend zien enkel op de kwaliteit van data (zie art. 7) en komen overeen met art. 5 van het Verdrag van Straatsburg. Overigens benoemt de preambule van de Dataprotectierichtlijn wel dat de beginselen van bescherming tot uiting komen in onder meer de verplichtingen aangaande de technische beveiliging van verwerkingen (preambule Dataprotectierichtlijn, o. 25).
De Dataprotectierichtlijn bepaalt dus, anders dan het Explanatory memorandum bij de OESO-richtlijnen, niet dat deze maatregelen ook informationeel van aard kunnen zijn (vgl. art. 17 Dataprotectierichtlijn en OESO-richtlijnen 1980, Explanatory memorandum, pt. 56). De EU-wetgever geeft er echter geen enkele blijk van dat hij de beveiligingsverplichting heeft willen beperken door het treffen van bepaalde maatregelen niet (onder omstandigheden) verplicht te stellen. Het lijkt er dan ook eerder op dat hieruit kan worden geconcludeerd dat het weglaten van de ‘informationele’ maatregelen niet zozeer als een beperking van de verplichting moet worden gezien, maar als het gevolg van een andere classificering van maatregelen.
Zie ook preambule Dataprotectierichtlijn, o. 11, waaruit blijkt dat de Dataprotectierichtlijn het Verdrag van Straatsburg verduidelijkt en versterkt.
Ten tijde van de afkondiging van het Verdrag van Straatsburg werd binnen de EU al enkele jaren gesproken over het belang van een EU-breed afgestemd beschermingsniveau voor de bij persoonsgegevensverwerkingen betrokken rechten.1 De Europese Commissie achtte het Verdrag van Straatsburg een geschikt middel om een ‘aan elkaar aangepast niveau van gegevensbescherming binnen de lidstaten van de Europese Gemeenschappen’ te verwezenlijken.2 Daarom beval zij de lidstaten van de EU het te ratificeren spoedig na de afkondiging ervan.3 Het verdrag bleek echter niet het gewenste effect te hebben. De EU-wetgever nam daarom in 1995 een eigen persoonsgegevensbeschermingsregeling aan, de Dataprotectierichtlijn.4 Deze richtlijn moest het Verdrag van Straatsburg verduidelijken en versterken en alsnog een hoog beschermingsniveau bewerkstelligen binnen de gehele EU.5 Zij voorzag hiertoe in volledige harmonisatie.6 Omdat de Dataprotectierichtlijn een Europese richtlijn is, zijn alle lidstaten verplicht de richtlijn in hun nationale recht om te zetten.
Met de Dataprotectierichtlijn beoogde de EU-wetgever zowel de fundamentele rechten en vrijheden van natuurlijke personen in verband met de verwerkingen van hun persoonsgegevens te waarborgen – ‘inzonderheid’ het recht op persoonlijke levenssfeer – als het vrije verkeer van persoonsgegevens te faciliteren.7 De Dataprotectierichtlijn had, in andere woorden, een ‘dubbele doelstelling’.8 Voor het vaststellen van de richtlijn maakte de EU-wetgever gebruik van de art. 100A van het Verdrag tot oprichting van de Europese Gemeenschap.9 Op basis hiervan had hij de bevoegdheid regels te stellen die de instelling en werking van de interne markt betreffen.
In de hiervoor behandelde supranationale regelingen was het materiële persoonsgegevensbeschermingsrecht vormgegeven aan de hand van privacybeginselen. Deze beginselen schreven niet voor welke verplichtingen de lidstaten concreet aan de beoogde normadressaten moesten opleggen, maar gaven een algemene norm die deze normadressaten moeten waarborgen. De Dataprotectierichtlijn had een andere systematiek. De EU-wetgever heeft in de zogenoemde ‘beginselen betreffende de kwaliteit van de gegevens’ weliswaar beschreven welke algemene eisen lidstaten aan verwerkingen moesten stellen,10 maar verplichtte hen tegelijkertijd bepaalde specifieke verplichtingen op te leggen.11 Hoewel de beginselen zijn gemodelleerd naar de eerder besproken intergouvernementele regelingen,12 was de bepaling over de beveiliging van persoonsgegevens een specifiek voorschrift. Deze beveiliging wordt onder het regime van de Dataprotectierichtlijn niet als beginsel benaderd.13 De beveiligingsbepaling, art. 17 Dataprotectierichtlijn, luidt als volgt:
“De Lid-Staten bepalen dat de voor de verwerking verantwoordelijke passende technische en organisatorische maatregelen ten uitvoer dient te leggen om persoonsgegevens te beveiligen tegen vernietiging, hetzij per ongeluk, hetzij onrechtmatig, tegen verlies, vervalsing, niet-toegelaten verspreiding of toegang, met name wanneer de verwerking doorzending van gegevens in een netwerk omvat, dan wel tegen enige andere vorm van onwettige verwerking.”
Op grond van art. 17 van de Dataprotectierichtlijn moesten lidstaten de partij die verantwoordelijk was voor een persoonsgegevensverwerking verplichten passende technische en organisatorische beveiligingsmaatregelen te treffen om persoonsgegevens te beveiligen tegen – kort gezegd – iedere denkbare onwettige verwerking.14 Hierdoor was dit artikel in ieder geval theoretisch gezien breder en tijdsbestendiger van opzet dan het beveiligingsbeginsel uit het Verdrag van Straatsburg, waarin een (weliswaar veelomvattende) limitatieve opsomming is gemaakt van de gevaren waartegen de normadressaat moet beschermen.15 Een ander nieuw aspect aan de beveiligingsbepaling van de Dataprotectierichtlijn was de toevoeging van de zinsnede dat de maatregelen het passende beveiligingsniveau moeten garanderen. De betekenis of achtergrond van deze toevoeging is onduidelijk; noch de Europese, noch de Nederlandse wetgever gaat hierop in. Zie over de inhoud van deze norm ook de volgende paragraaf.