Gegevensbescherming in faillissement (O&R nr. 136) 2023/1.5.2:1.5.2 De beginselen inzake de verwerking van persoonsgegevens

Gegevensbescherming in faillissement (O&R nr. 136) 2023/1.5.2

1.5.2 De beginselen inzake de verwerking van persoonsgegevens

Documentgegevens:

mr. M.D. Reijneveld, datum 01-08-2022

Datum: 01-08-2022
Auteur: mr. M.D. Reijneveld
JCDI: JCDI:ADS675681:1
Vakgebied(en): Ondernemingsrecht (V)

Iedere persoon heeft het recht op bescherming van de hem betreffende persoonsgegevens. Het recht op gegevensbescherming is een fundamenteel recht dat onder meer is vastgelegd in het Europees Handvest,1 het Europees Verdrag voor de Rechten van de Mens (EVRM)2 en het Verdrag betreffende de werking van de Europese Unie (VWEU).3 Alleen onder voorwaarden mag dit recht worden beperkt.4 Een beperking van het recht op gegevensbescherming moet bij wet worden gesteld en moet voldoen aan de eisen van noodzakelijkheid, proportionaliteit, subsidiariteit en effectiviteit.

De bescherming van persoonsgegevens is nader uitgewerkt in verschillende richtlijnen, kaderbesluiten en verordeningen. De AVG is daar de meest bekende van, maar er is bijvoorbeeld ook een Richtlijn gegevensbescherming bij rechtshandhaving, die van toepassing is op de verwerking van persoonsgegevens door bevoegde autoriteiten in het kader van de strafrechtelijke wetshandhaving.5

In dit onderzoek staan alleen de AVG en de UAVG centraal. Deze wetten zijn van toepassing op de verwerking van persoonsgegevens door de curator. In de verschillende hoofdstukken geef ik uitleg over voor de curator belangrijke bepalingen en overwegingen uit die wetgeving. Om hier een korte introductie te geven op de kern van de AVG, ga ik in op artikel 5 AVG dat als titel draagt: “Beginselen inzake verwerking van persoonsgegevens”.

Bij elke verwerking van persoonsgegevens moet worden voldaan aan deze in artikel 5 AVG opgenomen beginselen. Deze beginselen vormen de kern van de AVG en zijn op iedere verwerking van persoonsgegevens van toepassing. De beginselen zijn: rechtmatigheid, behoorlijkheid en transparantie; doelbinding; gegevensminimalisering; juistheid; opslagbeperking; integriteit en vertrouwelijkheid; verantwoordingsplicht.6 De beginselen die ten grondslag liggen aan de AVG zijn uitgewerkt in een aantal concrete verplichtingen.7

Zoals ik in de conclusie (hoofdstuk VIII) zal bespreken, zijn de problemen waar de curator tegenaan loopt in de praktijk vrijwel altijd terug te voeren tot een van deze beginselen. Door de open en brede formulering van deze beginselen zijn dit regels waar de curator altijd rekening mee moet houden. Hieronder bespreek ik kort de beginselen, om een beeld te geven van het wettelijk kader waaraan de curator is gebonden.

Allereerst moet elke verwerking “rechtmatig, behoorlijk en transparant” zijn.8 Het beginsel van rechtmatigheid is tweeledig. Het brengt mee dat persoonsgegevens alleen verwerkt mogen worden op een wijze die niet strijdig is met de wet. Dit ziet zowel op de AVG als op alle andere wetgeving. Hier is van bijzonder belang voor de verwerking van persoonsgegevens dat, naast de AVG, artikel 8 EVRM ook altijd onverkort van toepassing is. Dit betekent dat bij iedere verwerking van persoonsgegevens moet worden voldaan aan de beginselen van proportionaliteit en subsidiariteit.9 Een inbreuk op de belangen van betrokkenen mag niet onevenredig zijn in verhouding tot het doel waarvoor gegevens worden verwerkt. Daarnaast mag het doel waarvoor de persoonsgegevens worden verwerkt niet op een andere, voor de betrokkenen minder ingrijpende manier, ook kunnen worden bereikt.

Ten tweede vereist het beginsel van rechtmatigheid dat iedere verwerking van persoonsgegevens is gebaseerd op een grondslag uit de AVG. Deze grondslagen zijn limitatief opgesomd in artikel 6 AVG: toestemming,10 noodzakelijkheid voor de uitvoering van een overeenkomst,11 noodzakelijkheid om te voldoen aan een wettelijke verplichting, noodzakelijkheid om vitale belangen te beschermen, noodzakelijkheid voor de vervulling van een taak van algemeen belang en noodzakelijkheid voor de behartiging van gerechtvaardigde belangen.12 Voorafgaand aan de verwerking moet de grondslag bepaald zijn.13

Het principe van behoorlijkheid houdt in dat er een evenwicht moet bestaan tussen de bescherming van de grondrechten van betrokkenen en andere belangen.14 In de overwegingen van de AVG wordt ook gesteld dat elke verwerking van persoonsgegevens “behoorlijk en rechtmatig” dient te geschieden.15 Kort gezegd betekent dit dat persoonsgegevens alleen mogen worden verwerkt op een manier die mensen redelijkerwijs zouden verwachten en die voor betrokkenen geen ongerechtvaardigde nadelige gevolgen heeft.16

Transparantie betekent dat de betrokkene moet weten of en welke persoonsgegevens worden verzameld, gebruikt, geraadpleegd of verwerkt.17 Transparantie uit zich op drie verschillende manieren: aan betrokkenen moet informatie worden verstrekt, er worden eisen gesteld aan de wijze waarop verwerkingsverantwoordelijken communiceren met betrokkenen over hun rechten op basis van de AVG, en er worden eisen gesteld aan de wijze waarop verwerkingsverantwoordelijken betrokkenen helpen hun rechten uit te oefenen.18 Aan dit beginsel zijn verschillende concrete verplichtingen gekoppeld, zoals de verplichting om betrokkenen te infomeren voorafgaand aan de verwerking van hun persoonsgegevens.19

Het beginsel van doelbinding bepaalt dat persoonsgegevens alleen mogen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Persoonsgegevens moeten worden verzameld voor een specifiek doel.20 Een verwerkingsverantwoordelijke kan niet zomaar persoonsgegevens gaan verzamelen zonder dat hij weet waarvoor dat noodzakelijk is.21 Het kan voorkomen dat een verwerkingsverantwoordelijke persoonsgegevens na verzameling alsnog ergens anders voor zou willen gebruiken. Wanneer gegevens voor een bepaald doel zijn verzameld, mogen ze in beginsel niet verder worden verwerkt op een met die doeleinden onverenigbare wijze.22 Onder voorwaarden mag je persoonsgegevens wel verder verwerken, namelijk wanneer die verdere verwerking berust op toestemming van de betrokkene, een wettelijke bepaling of verenigbaarheid van de doeleinden met elkaar.23

Het beginsel van minimale gegevensverwerking brengt specifiek mee dat alleen de ter zake dienende persoonsgegevens mogen worden verwerkt. Iedere verwerking van persoonsgegevens moet noodzakelijk, effectief en evenredig zijn.24 Er mogen niet meer gegevens worden verzameld en verwerkt dan noodzakelijk is om het doel van de verwerking te bereiken. Het beginsel van gegevensminimalisering houdt in dat de persoonsgegevens adequaat en relevant moeten zijn en beperkt moeten blijven tot wat nodig is in verband met het doel waarvoor ze worden verwerkt.25 Volgens de considerans van de AVG vereist dit “met name dat ervoor wordt gezorgd dat de opslagperiode van de persoonsgegevens tot een strikt minimum wordt beperkt”.26 Dit beginsel ziet op de hoeveelheid gegevens die wordt verwerkt.27 Vanaf het begin van de verwerking moet rekening worden gehouden met het beginsel van minimale gegevensverwerking in het ontwerp van de gegevensverwerking.28

Daarnaast heeft de verwerkingsverantwoordelijke een inspanningsverplichting om ervoor te zorgen dat de verwerkte gegevens juist zijn.29 Onder omstandigheden brengt dit mee dat gegevens geactualiseerd moeten worden. Alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren.30

Verder dienen gegevens niet langer te worden bewaard dan noodzakelijk is, aldus het beginsel van opslagbeperking.31 De termijn die noodzakelijk is moet worden bepaald aan de hand van de doeleinden waarvoor de gegevens verwerkt worden en dient tot een strikt minimum te worden beperkt.32 Voor bijvoorbeeld archivering mogen persoonsgegevens langer worden bewaard.33 De AVG bevat geen concrete bewaartermijn voor persoonsgegevens. Wettelijke bewaartermijnen uit andere wetten kunnen van invloed zijn op de duur van de bewaartermijn uit de AVG.

Ten slotte is er een gegevensbeschermingsbeginsel dat ziet op integriteit en vertrouwelijkheid.34 Dit beginsel bepaalt dat passende technische en organisatorische maatregelen moeten worden genomen om persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.35 Ook mogen gegevens alleen dusdanig worden verwerkt dat “een passende beveiliging ervan gewaarborgd is”.36 De getroffen beveiligingsmaatregelen moeten waarborgen dat verwerkingen een op het risico afgestemd beveiligingsniveau hebben.37

De AVG bevat naast deze inhoudelijke beginselen ook een meer formeel beginsel, de verantwoordingsplicht.38 Deze verantwoordingsplicht speelt in mijn onderzoek geen grote rol, maar is wel een belangrijk beginsel voor de praktijk. Dit beginsel is tweeledig: allereerst is de verwerkingsverantwoordelijke verantwoordelijk voor de naleving van de hierboven genoemde beginselen, maar daarnaast moet de verwerkingsverantwoordelijke die naleving ook kunnen aantonen. Dat betekent dat je er als verwerkingsverantwoordelijke verantwoordelijk voor bent om aan te tonen dat je aan de AVG voldoet door veel aspecten van het verwerkingsproces te registreren. Het doel van dit beginsel is om een betere naleving van de AVG te bevorderen door ervoor te zorgen dat gegevensbescherming doordringt in de organisatiestructuren van de verwerkingsverantwoordelijken, doordat zij de naleving van de AVG in hun beleid op moeten nemen. Daarnaast wordt het werk van de toezichthoudende autoriteiten vergemakkelijkt.39 Veel organisaties leggen bijvoorbeeld in een privacybeleid vast hoe zij voldoen aan de beginselen.40

Om te voldoen aan de verantwoordingsplicht noemt de AVG een aantal verplichte maatregelen. De verwerkingsverantwoordelijke moet een verwerkingsregister bijhouden.41 Dit is een register met informatie over de verwerkingen die onder de verantwoordelijkheid van de verwerkingsverantwoordelijke plaatsvinden.42 Daarnaast moet de verwerkingsverantwoordelijke voor bepaalde verwerkingen een gegevensbeschermingseffectbeoordeling (data protection impact assesement - DPIA) uitvoeren. Dit geldt voor verwerkingen met een hoog risico voor de rechten en vrijheden van natuurlijke personen.43 Verder moet de verwerkingsverantwoordelijke een register van datalekken bijhouden,44 een register bijhouden waarmee kan worden aangetoond dat een betrokkene daadwerkelijk toestemming heeft gegeven als een verwerking daarop is gebaseerd45 en onder omstandigheden een functionaris gegevensbescherming aanstellen.46 Ook moeten schriftelijke overeenkomsten worden gesloten met verwerkers en tussen gezamenlijke verwerkingsverantwoordelijken.

De hierboven omschreven beginselen vormen de basis van het gegevensbeschermingsrecht. Zij zijn van invloed op het handelen van iedereen die persoonsgegevens verwerkt, inclusief de curator. Als normadressaat van de AVG zal hij bewust moeten omgaan met persoonsgegevens die hij aantreft in het faillissement.

Toon alle voetnoten

Voetnoten

Voetnoten

Art. 8 Handvest van de Grondrechten van de EU.

Art. 8 EVRM.

Art. 16 lid 1 VWEU.

Art. 52 Handvest.

RICHTLIJN (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad.

Art. 5 lid 1 AVG.

Vooral in hoofdstuk IV AVG. Zie ook overweging 25 Dataprotectierichtlijn.

Art. 5 lid 1 sub a AVG.

HR 9 september 2011, ECLI:NL:HR:2011:BQ8097, r.o. 3.3 (Santander); HR 3 december 2021, ECLI:NL:HR:2021:1814, r.o. 3.1.2.

10.

EDPB 5/2020.

11.

EDPB 2/2019.

12.

AP november 2019, maar zie kritisch ook Rb. Midden-Nederland 23 november 2020, ECLI:NL:RBMNE:2020:5111 (VoetbalTV) en ABRvS 27 juli 2022, ECLI:NL:RVS:2022:2173 (VoetbalTV). Het is dan ook de verwachting dat de AP zijn normuitleg zal aanpassen. Inmiddels zijn hierover prejudiciële vragen gesteld, zie Rb. Amsterdam, 22 september 2022, ECLI:NL:RBAMS:2022:5565. Zie ook conclusie A-G Rantos 20 september 2022, ECLI:EU:C:2022:704 (Meta). Zie ook: WP29 6/2014. Zie over alle grondslagen uitgebreid Bonthuis 2020, §12.2; FRA & CoE 2018, §4.1.1.

13.

González Fuster & De Hert 2019, p. 599. Zie over de grondslagen voor de curator uitgebreid hoofdstuk III.

14.

Clifford & Ausloos 2018, p. 138 e.v. Zie ook het good faith principle in de Draft Common Frame of Reference: “[t]he expression “good faith and fair dealing” refers to a standard of conduct characterised by honesty, openness and consideration for the interests of the other party to the transaction or relationship in question”. art. I. — 1:103 Draft Common Frame of Reference.

15.

Overweging 39 AVG.

16.

Malgieri 2020; WP29 2017; Butterworth 2018.

17.

WP29 2017.

18.

WP29 2017, rn. 1; Felzmann e.a. 2019; Ausloos 2019. Zie ook EDPB 1/2022.

19.

Art. 13 en 14 AVG. Zie over de hierbij komende verplichtingen uitgebreider Reijneveld 2020c; Jansen & Reijneveld 2020. Ook art. 15 AVG is een uitwerking van het transparantiebeginsel.

20.

Art. 5 lid 1 sub b AVG; Forgó e.a. 2017.

21.

Koning 2020.

22.

Art. 5 lid 1 sub b AVG.

23.

Art. 6 lid 4 AVG en overweging 50 AVG. Zie ook WP29 3/2013; De Hert & Papakonstantinou 2016, p. 186.

24.

Bolte 2020, p. 1.

25.

Art. 5 lid 1 sub c AVG.

26.

Overweging 39 AVG.

27.

Koops, Hoepman & Leenes 2013.

28.

Art. 25 lid 1 AVG. Zie Hoepman 2020, p. 5-7.

29.

Art. 5 lid 1 sub d AVG. Van der Sloot 2012; Hallinan & Zuiderveen Borgesius 2020.

30.

Vgl. art. 16 AVG.

31.

Art. 5 lid 1 sub e AVG.

32.

Overweging 39 AVG, Voss 2016/17. Zie ook: Gils e.a. 2020, p. 84-86.

33.

Art. 89 AVG, zie ook overweging 162.

34.

Wachter 2017.

35.

Art. 5 lid 1 sub f AVG; Bartolini e.a. 2019; Hofman 2022.

36.

Art. 5 lid 1 sub f AVG. Zie ook overweging 76 AVG.

37.

Art. 32 AVG. Beveiligingsmaatregelen omvatten onder meer pseudonimisering en versleuteling of het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en toegang tot de persoonsgegevens tijdig te herstellen. Zie ook overweging 75 AVG.

38.

Art. 5 lid 2 AVG; WP29 3/2010; Lindqvist 2018.

39.

Binns 2017; Lynskey 2020, p. 83.

Art. 24 lid 1 AVG.

Art. 30 AVG.

Art. 30 AVG.

Art. 35 AVG.

Art. 33 lid 5 AVG.

Art. 7 lid 1 AVG.

Art. 37 AVG e.v.