Einde inhoudsopgave
De beveiliging van persoonsgegevens (O&R nr. 135) 2022/4.1
4.1 Inleiding
mr. J.A. Hofman, datum 01-07-2022
- Datum
01-07-2022
- Auteur
mr. J.A. Hofman
- JCDI
JCDI:ADS660999:1
- Vakgebied(en)
Privacy (V)
Voetnoten
Voetnoten
Of een voorganger de invulling van een bepaling kan beïnvloeden is o.a. afhankelijk van de vergelijkbaarheid van hun juridische contexten. Zie ook Asser/Scholten 1974/1, §18. Het HvJ EU acht de ontstaansgeschiedenis van een EU-rechtelijke bepaling dan ook relevant voor de uitleg daarvan. Zie in het algemeen bijv. HvJ EU 10 december 2018, ECLI:EU:C:2018:999 pt. 68 (Wightman e.a.) en in het kader van de bescherming van persoonsgegevens HvJ EU 1 oktober 2019, ECLI:EU:C:2019:801, pt. 48 (Planet49). Toch baseert het HvJ EU hier zelden zijn oordeel op. De invulling van art. 5 lid 1 onder f en 32 AVG zal dan ook maar beperkt door hun rechtshistorisch kader worden beïnvloed. Zie bijv. HvJ EU 9 maart 2010, ECLI:EU:C:2010:125, pt. 29 (Commissie v. Duitsland), waarin de ontstaansgeschiedenis van de Dataprotectierichtlijn expliciet geen rol speelde bij de uitleg van een richtlijnbepaling omdat de bewoordingen, doelstellingen, opzet van de richtlijn en de bepaling zelf voldoende duidelijkheid boden. Zie verder Beck 2013, §7.VI en Conway 2012 p. 255-258, waaruit ook blijkt dat, wanneer het HvJ EU de ontstaansgeschiedenis wel meeneemt in zijn oordeel, dit veelal slechts een uitleg onderbouwt die is gebaseerd op andere argumenten (zie bijv. HvJ EU 6 november 2003, ECLI:EU:C:2003:595 (Dornier). Overigens wordt ook in de literatuur weinig gepleit voor het gebruik van de rechtshistorische interpretatiemethode, i.h.b. vanwege het vermeende verstarrende effect ervan (Groenewegen 2006, §3.3.5.8)).
Ook in bijv. de Verenigde Staten is veel van doen over wat wij de bescherming van persoonsgegevens noemen. Hier spreekt men van de bescherming van informationele privacy, wat een onderdeel is van het Amerikaanse recht op privacy. De Verenigde Staten benaderen dit recht niet als fundamenteel recht, maar als handelsartikel. Hierdoor bestaan er grote verschillen in de Europese en de Amerikaanse benadering van persoonsgegevensbescherming. Omdat de invulling van de AVG-beveiligingsbepalingen niet zal afhangen van andere visies dan de Europese, ga ik niet in op ontwikkelingen elders in de wereld. Zie over de Amerikaanse visie en de verschillen daarvan met de Europese Dommering 2019, §5.2-5.4; Brouwer 2018, §2.2.
Zie over de doelstelling van deze regeling verder hfdst. 5 en over de inhoud daarvan hfdst. 6.
De AVG is niet de eerste regeling die bepaalt dat persoonsgegevens binnen Europa moeten worden beveiligd. Met art. 5 lid 1 onder f en 32 AVG lijken de regels op dit punt zelfs grotendeels gelijk gebleven.1 In dit hoofdstuk kijk ik of de voorgangers van deze bepalingen en de regelingen waarvan zij deel uitmaakten, aanknopingspunten bieden voor de invulling van de AVG-beveiligingsbepalingen. Daartoe plaats ik art. 5 lid 1 onder f en 32 AVG in hun historische context en bespreek ik de manier waarop hun voorgangers zijn geformuleerd en ingevuld. Dit biedt mogelijk inzicht in de uitgangspunten en ideeën die tot art. 5 lid 1 onder f en 32 AVG hebben geleid en maakt het mogelijk deze bepalingen te vergelijken met haar voorgangers.2 Uiteindelijk formuleer ik aanknopingspunten die dit historische kader biedt voor de invulling in de huidige verplichtingen.
Gezien de herkomst van de AVG-beveiligingsbepalingen bespreek ik in dit hoofdstuk de ontwikkeling van het Europese persoonsgegevensbeschermingsrecht. Voor zover het daarbij gaat om regelingen die moesten worden omgezet in nationaal recht, kijk ik ook naar de Nederlandse implementaties daarvan.3
Dit hoofdstuk is chronologisch gestructureerd. Ik begin met een korte beschrijving van de opkomst van het persoonsgegevensbeschermingsrecht (§4.2) en ga vervolgens in op de eerste Europese regelingen op dit gebied: de privacy-resoluties van de Raad van Europa en de OESO-richtlijnen (§4.3). Aansluitend bespreek ik het eerste verdrag dat Europese landen verplichtte regels aangaande gegevensbescherming in te voeren en de regeling waarmee Nederland aan deze verplichting voldeed: het Verdrag van Straatsburg en de Wet persoonsregistraties (§4.4). In de daaropvolgende paragraaf behandel ik de eerste EU-regeling op het gebied van gegevensbescherming en de Nederlandse omzettingswet daarvan: de Dataprotectierichtlijn en de Wet bescherming persoonsgegevens (§4.5). Voordat ik tot slot inga op de AVG, bespreek ik het Handvest van de grondrechten van de Europese Unie (het Handvest/Hv) en het Verdrag van Lissabon. Deze instrumenten zijn tussentijds ingevoerd en hebben een belangrijk effect gehad op het persoonsgegevensbeschermingsrecht (§4.6). Daarna bespreek ik de AVG. Hierbij ligt de nadruk op de aanleiding voor de invoering van de AVG en de verschillen tussen art. 5 lid 1 onder f en 32 AVG aan de ene kant en de Wbp-beveiligingsbepaling aan de andere kant (§4.7).4 Ik rond dit hoofdstuk af met een schematisch overzicht van de belangrijkste ontwikkelingen van de persoonsgegevensbeveiligingsbepalingen en een overzicht van de aanknopingspunten die het rechtshistorisch perspectief op art. 5 lid 1 onder en 32 AVG biedt voor de invulling van deze bepalingen (§4.8).