2.4.1. Europese wet- en regelgeving

De rol van de nationale- en Europese overheden wat betreft de privacybescherming is tweezijdig en ambigu. Overheden dienen het respect voor de privacy-rechten van het individu te verzekeren en anderzijds dienen zij ook de nationale en publieke veiligheid te waarborgen. Het vinden van een evenwicht tussen beide rollen is een van de kernproblemen in de ontwikkeling van een regelgevend kader op dit gebied. Een belangrijke randvoorwaarde voor het beschermen van de persoonlijke levenssfeer is het autonome respect voor de rechtsorde, dat wil zeggen dat dit respect voor de 'rille of law' de arbitraire en discretionaire bevoegdheden van de overheden inperkt. Wat betreft de bescherming van privacy zijn de overheden dan ook verplicht de internationale verdragen op dit gebied te respecteren en ernaar te handelen.1

Het grondrecht op privacybescherming, ook wel aangeduid als het grondrecht met betrekking tot respect voor de persoonlijke levenssfeer, is opgenomen in de European Convention for the Protection of Human Rights and Fundamental Freedoms (ECHR) van 1950. Artikel 8 is de Europese basis voor privacybescherming en stelt uitdrukkelijk vast, dat de overheid het privé-, gezins- en familieleven, de woning en de correspondentie dient te respecteren, met de beperking: "unless interference is required by the law, national security, public safety, economic well-being of the country, prevention of disorder or crime, protection of health, of morals or the protection of rights and freedoms of others".

Hieruit kan geconcludeerd worden dat privacybescherming geen absoluut recht is en dus beperkingen kent in de relatie tussen overheid en burger. Omdat het geen absoluut recht is, dient er bij het toepassen van het recht op privacy altijd een belangenafweging plaats te vinden. Bij de toepassing van de in de hoofdstuk 4 te bespreken privacybedreigingsanalyse en de keuzes bij het ontwerp van privacy-veilige informatiesystemen dient een dergelijke afweging dan ook plaats te vinden.

Naast de verticale werking (verhouding tussen overheid en burgers) van het privacyrecht bestaat er ook een horizontale werking. Het betreft dan de verhouding tussen burgers onderling. Dit is van belang omdat inmiddels goedkope icttoepassingen het voor burgers mogelijk maken om bij andere burgers 'naar binnen' te kijken. Verheij stelt: "het is een historisch gegeven dat bedreigingen van grondrechten niet alleen kunnen uitgaan van de overheid, maar ook van particulieren. Het risico hierop bestaat met name bij een gezags- of afhankelijkheidsrelatie. Het bieden van weerstand tegen dergelijke bedreigingen vormt van oudsher één van de doelstellingen van grond- en mensenrechten".2

Het EVRM, tot stand gekomen binnen de Raad van Europa, leidde tot de oprichting van het Europese Hof voor de Rechten van de Mens dat de naleving overziet. Dit Hof heeft artikel 8 met betrekking tot de in dit artikel genoemde aandachtsgebieden dikwijls extensief en wat betreft de restricties nauw geïnterpreteerd. Het Hof vonniste in 1976 dat het privéleven in artikel 8 niet alleen betekent het recht op privacy, maar ook als een recht op de ontwikkeling en zelfontplooiing van iemands eigen persoonlijkheid.3 Bovendien beschouwt het Europese Hof het verzamelen, verwerken en/of opslaan van persoonsgegevens in veel gevallen als een inbreuk op het privéleven Cas an invasion into the private life sphere'). Nieuwenhuis stelt vast dat de inhoud van artikel 8 EVRM dynamisch4 en ruim is uitgelegd. Het recht op privacy beschermt enerzijds een bepaalde handelingsvrijheid en geeft anderzijds een recht tot afscherming.5 Ondanks artikel 8 EVRM kwam er toch Europese wetgeving om de bescherming van persoonsgegevens nader te regelen. De redenen daarvoor waren: 1. artikel 8 EVRM is niet op de particuliere sector van toepassing; 2. het recht op het privéleven omvat niet noodzakelijkerwijs alle persoonsgegevens waardoor het niet zeker was of alle gegevens wel afdoende beschermd zouden worden; 3. het recht tot inzage van de eigen gegevens werd niet afgedekt door de omschrijving van het begrip `het recht op privéleven' in artikel 8.6

Twee internationale vormen van wet- en regelgeving hebben in het begin van de tachtiger jaren van de vorige eeuw een grote rol gespeeld bij het verder uitkristalliseren van het begrip informationele privacy. Dat zijn de Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data7 van de Raad van Europa (Convention 108) (1981) en de Guidelines Governing the Protection of Privacy and Transborder Data Flows of Personal Data8 van de Organisatie voor Economische Samenwerking en Ontwikkeling (1980). Het Explanatory Report van Convention 1089 vermeldt hoe vanaf 1968 in de Parliamentary Assembly en het Committee of Ministers werd gepleit voor een sterke gegevensbescherming in de lidstaten van de Raad van Europa. In 1980 waren er zeven landen die wetgeving op het gebied van gegevensbescherming in het leven hadden geroepen en andere landen binnen Europa wilden dit voorbeeld volgen. De procedurele aanpak verschilde, maar er was een grote mate van overeenstemming over de doelstelling en de algemene beginselen. Het echte pijnpunt was de toenemende zorg over het grensoverschrijdende data verkeer.10 Enerzijds waren de beleidsmakers bezorgd over het feit dat de nationale bescherming van de persoonsgegevens kon worden ontdoken door data te exporteren naar 'data havens' waar geen of minder bescherming gold. Anderzijds vreesden de beleidsmakers dat dergelijke wetgeving het internationaal gegevens- en handelsverkeer en de 'free international flow of information' zou kunnen belemmeren.11 Teneinde de nationale wet- en regelgeving te versterken en het probleem van het grensoverschrijdende data verkeer op te lossen, instrueerde in 1976 het Committee of Ministers het Committee of Experts on Data Processing om een Verdrag te ontwerpen. Het uiteindelijk gekozen model baseerde zich niet uitsluitend op het beginsel van reciprociteit tussen staten, maar op de aanvaarding van een standaard set van beginselen. Daarnaast zouden er ook speciale regels komen op het gebied van het grensoverschrijdende data verkeer en van wederzijdse bijstand.12

De gemeenschappelijke kernbeginselen werden gedistilleerd uit eerdere resoluties van het Committee of Ministers en uit wetgeving van de lidstaten. Die beginselen waren de thans bekende regels met betrekking tot de kwaliteit van gegevens, zoals bijvoorbeeld de eerlijke en rechtmatige verzameling en verwerking van gegevens, gevoelige gegevens, beveiliging, en de rechten van het individu. Derogerende rechten werden gemodelleerd aan de hand van artikel 8 van het EVRM en regels werden opgenomen die een verbod of een beperking van het exporteren van gegevens over de grenzen van de lidstaten bevatten op grond van privacybescherming. Het bijzondere van het verdrag is dat ook niet-Europese lidstaten tot dit verdrag konden toetreden, maar het heeft niet geleid tot toetreding van de Verenigde Staten. De Convention 108 werd in de tachtiger en vroege negentiger jaren van de vorige eeuw de belangrijkste stimulans voor gegevensbescherming in geheel Europa.13

Tegelijkertijd met het concipiërende werk dat in de Raad van Europa plaatsvond, besprak men in de Organisation for Economic Co-operation and Development (OECD) dezelfde gegevensbescherming problemen. Bij de OECD was evenwel de insteek een andere, namelijk de primaire angst dat de verspreiding van de nationale gegevensbeschermende wetgeving het grensoverschrijdende data verkeer zou kunnen frustreren met ernstige gevolgen voor de wereldeconomie. De Verklarende Memoranda bij het Convention 108 en de OECD Richtlijnen maken duidelijk dat de twee groepen die aan de Convention 108 en de OECD aanbeveling werkten, dat in nauwe samenwerking deden. Het zal dan ook geen verbazing wekken dat de twee teksten in velerlei opzicht op elkaar lijken. Maar zoals gezegd, de OECD had bewust een andere benadering van bepaalde kwesties, waarschijnlijk omdat er een grotere niet-Europese vertegenwoordiging onder haar leden was. Het onderscheidende verschil van de OECD-benadering was dat zij zich niet zo zeer concentreerde op de geautomatiseerde verwerking van persoonsgegevens, maar eerder op het in kaart brengen en behandelen van de gevaren voor de privacy en de individuele grondrechten die inherent zijn aan het gebruik van persoonsgegevens. Desalniettemin, ondanks het verschil in de benadering,

waren de kernbeginselen vrijwel gelijkluidend. Dus ook in de OECD Guidelines zijn er regels betreffende eerlijke en rechtmatige verzameling van persoonsgegevens, hun juistheid en de doeleinden van de verzameling. Data moeten actueel blijven en mogen niet worden gebruikt voor niet van tevoren bepaalde doeleinden. Bovendien moeten ze beveiligd worden en voor het individu toegankelijk worden gemaakt. Verder zijn er nog regels ten aanzien van de nationale invoering en internationale samenwerking.

Zoals gezegd liggen de privacy beginselen die opgenomen zijn in de OECD Guidelines en de Convention 108 aan de basis van de verdere Europese en internationale wet- en regelgeving. Halverwege de negentiger jaren is binnen de Europese Economische Gemeenschap (later Europese Unie) de privacyrichtlijn 95/46/EG op 24 oktober 1995 van kracht. De Richtlijn (DPD) van het Europees Parlement en de Raad betreft de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens. Op de lidstaten rust de verplichting dat zij uiterlijk op 24 oktober 1998 hun nationale wetgeving op het gebied van bescherming van persoonsgegevens moeten hebben geharmoniseerd met de Richtlijn. De burgers dienen dan eenzelfde bescherming als beoogd in de Richtlijn te hebben. De harmonisatie duurde overigens wel een stuk langer. Zo werd in Nederland pas in 2001 de wetgeving, die door de Richtlijn voorgeschreven was, ingevoerd.14

De Richtlijn heeft twee belangrijke doelstellingen, namelijk dat de privacy-rechten van het individu EU-breed een equivalente bescherming genieten en dat de persoonsgegevens vrijelijk binnen de Gemeenschappelijke Markt van de EU kunnen worden verwerkt en elektronisch verzonden. De Richtlijn zorgt voor een juridisch generiek raamwerk. Om effectief te werken moet de inhoud van de Richtlijn worden gecomplementeerd met aanvullende implementatiemiddelen. In de Richtlijn zijn naast de rechten van het individu ook de verplichtingen van de verantwoordelijken voor de verwerking van de gegevens geregeld. De onafhankelijke toezichthoudende autoriteiten, de data protection authorities (DPA), controleren op naleving. In 1997 volgt de Richtlijn 97/66/EG, die in 2002 wordt vervangen door de e-Privacy Richtlijn 2002/58/EC (Directive on Privacy and Electronic Communications) (DPEC).15 Deze Richtlijn vertaalt de beginselen van de DPD voor de telecommunicatiesector, waarbij de toepaste telecommunicatietechnologie niet van belang is. Toch kwamen ook hier vragen. Valt VoIP (Voice over Internet Protocol) over private netwerken16 nu wel onder deze Richtlijn? Te meer omdat de DPEC refereert aan "available electronic communications services in public communications networks in the Community". Extra aandacht krijgt in deze Richtlijn: beveiliging, confidentialiteit, verkeersgegevens, gespecificeerde rekeningen, `calling line identification,' spam en bepaalde technische kenmerken en standaardisatie. In 2006 ziet ten gevolge van de 'war on terror' de Data Retentie Richtlijn 2006/24/EG17 (DRD) het licht, waarin in afwijking van het bepaalde in 2002/58/EG het bewaren van verkeersgegevens ten behoeve van de opsporing van (potentiële) terroristen en misdadigers nader wordt geregeld.

De dispariteit tussen de privacywetgeving van de Europese Unie en de Verenigde Staten leidt na lange onderhandelingen tussen beide partijen ertoe dat tussen de EU en de VS op 26 juli 2000 de Safe Harbor Agreement wordt gesloten. Deze heeft tot doel het in artikel 25 van de Richtlijn 95/46/EG vereiste niveau van bescherming van persoonsgegevens te garanderen. Een dergelijke afspraak was nodig, omdat uit een in opdracht van de EU-Commissie uitgevoerd onderzoek was gebleken dat de Amerikaanse privacywetgeving in vergelijking met de Richtlijn 95/46/EG grote gaten vertoonde en derhalve niet de vereiste adequate bescherming bood.18 De bepalingen in de DPD en DPEC zijn nader verklaard in vele door de Article 29 Working Party opgestelde werkdocumenten en aanbevelingen en zogenaamde Opinions. Een lijst van de relevante Opinions in het kader van dit proefschrift is achterin dit boek opgenomen.

Het begrip `Article 29' slaat op artikel 29 van de DPD, waarin een onafhankelijke adviserende 'groep' is voorzien om, hetzij op eigen initiatief, hetzij op verzoek van een vertegenwoordiger van de nationale toezichthoudende autoriteiten (DPA), hetzij op verzoek van de Commissie met betrekking tot de kwesties rond de verwerking en bescherming van persoonsgegevens te adviseren. In deze Working Party hebben zitting een vertegenwoordiger van het toezichthoudend orgaan (DPA) in iedere lidstaat, een vertegenwoordiger van de European Data Protection Supervisor (EDPS), de voor de communautaire instellingen en organen opgerichte autoriteit op het gebied van de bescherming van persoonsgegevens en een vertegenwoordiger van de Commissie. Sinds 1997 heeft de Werkgroep meer dan 160 documenten aangenomen.19

Als aanvulling op de DPD, DPEC zijn er door de Europese wetgever een aantal specifieke wettelijke bepalingen aangenomen, die een aanvulling zijn op de DPD. Een voorbeeld hiervan is Artikel 8 van de Elektronische Handtekeningen Richtlijn (1999/93/EG).20 Artikel 8 bepaalt: "1. (...) certification-service-providers and national bodies responsible for accreditation or supervision comply with the requirements laid down in Directive 95/46/EC. 2. (...) a certification-serviceprovider (...) may collect personal data only directly from the data subject, or after the explicit consent of the data subject, and only insofar as it is necessary for the purposes of issuing and maintaining the certificate. The data may not be collected or processed for any other purposes without the explicit consent of the data subject. 3. Without prejudice to the legai effect given to pseudonyms under national law, Member States shall not prevent certification service providers from indicating in the certificate a pseudonym instead of the signatory's name."

Het sprak vanzelf dat de Europese Commissie zichzelf en haar instellingen ook verbond aan de getrouwe uitvoering van de DPD. Het gevolg van deze intentie is Regulation (EC) No 45/2001.21

In de artikelen 7 t/m 14 van de Guidelines on the Protection of Privacy and Transborder Flows of Personal Data van de OECD22 als in de artikelen 5,6 en 8 van de Convention 108 van de Raad van Europa23 wordt een opsomming van de privacyrealisatiebeginselen voor gegevensbescherming gegeven. Deze beginselen zijn ter bevordering en het effectief uitoefenen van de privacybescherming geïncorporeerd en verder uitgebreid in de Richtlijn 95/46/EG (DPD).

Er kunnen elf privacyrealisatiebeginselen worden onderscheiden en in de Richtlijn 2002/58/EG (DPEC) zijn daaraan nog vier extra vereisten toegevoegd, die vanuit het individu kunnen worden gezien als verdere aanvulling op de specifieke uitoefeningsrechten van het individu met betrekking tot zijn persoonsgegevens.

Omdat het Europese Hof in Luxemburg in 1996 had uitgemaakt dat de oprichtingsverdragen van de Europese Gemeenschap het voor de Europese gemeenschap niet mogelijk maakten om tot European Convention on Human Rights toe te treden,24 werd tijdens de Europese Raad van 3 en 4 juni 1999 in Keulen besloten een Charter of Fundamental Rights op te stellen. In dit Charter van 7 december 2000 erkennen de Europese Raad, de Europese Commissie en het Europese Parlement uitdrukkelijk: "Everyone has the right to the protection of personal data concerning him or her. Such data must be processed fairly for specified purposes and on the basis of the consent of the person concerned or some other legitimate basis laid down by law. Everyone has the right of access to data that has been collected concerning him or her, and the right to have it rectified. Compliance with these rules shall be subject to control by an independent authority".25

De erkenning leverde dit Handvest niet de status van EU gemeenschapsrecht op. Het gevolg hiervan is, dat rechtsgedingen niet uitsluitend op grond van strijdigheid met dit Handvest kunnen worden gevoerd. Daarom was het noodzakelijk om het Handvest onderdeel te maken van de Europese Grondwet van 2004. Deze Grondwet kon nochtans na de referendumnederlagen in Frankrijk en Nederland niet worden geratificeerd. Vervolgens werd gepoogd het enigszins gewijzigde Handvest onderdeel te laten zijn van het Verdrag van Lissabon van 2007. Ierland verwierp in een referendum evenwel dit Verdrag, waardoor het Verdrag niet van kracht kon worden. Het Verdrag, dat de werking van de Unie van 27 landen moet organiseren, is op Ierland na ondertussen door alle lidstaten via hun parlement geratificeerd. De Ieren hebben inmiddels op 2 oktober 2009 vóór goedkeuring van het Verdrag van Lissabon gestemd. Als laatste heeft de President van Tsjechië het Verdrag van Lissabon op 3 november 2009 ondertekend.

Gezien de wereldwijde consensus over de universele privacybeginselen is het niet verwonderlijk dat de Fair Information Practices and Principles,26 de Safe Harbor Agreement en de APEC (Asia-Pacific Economic Cooperation) Privacy Principles dezelfde privacyrealisatiebeginselen vermelden. Evenwel zijn in het APEC voorstel van 2004 niet alle in Europa aanvaarde privacyrealisatiebeginselen opgenomen.27 De in paragraaf 2.3 vermelde universele privacybeginselen worden wel erkend in alle verdragen, wet- of regelgeving of voorstelteksten op het gebied van de bescherming van persoonsgegevens.