De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.2.4.1:5.2.4.1 Inhoud en reikwijdte

De beveiliging van persoonsgegevens (O&R nr. 135) 2022/5.2.4.1

5.2.4.1 Inhoud en reikwijdte

Documentgegevens:

mr. J.A. Hofman, datum 01-07-2022

Datum: 01-07-2022
Auteur: mr. J.A. Hofman
JCDI: JCDI:ADS660944:1
Vakgebied(en): Privacy (V)

Het tweede grondrecht dat van belang is bij de beveiliging van persoonsgegevens is het recht op de eerbiediging van het privéleven en het familie- en gezinsleven (art. 7 Hv en art. 8 EVRM). Dit recht kent natuurlijke personen rechten toe aangaande uiteenlopende onderwerpen zoals hun seksuele oriëntatie, correspondentie en politieonderzoeken.1 Het gaat het bereik van dit boek te buiten om dit recht in de volle breedte te beschrijven. Ik richt mij daarom uitsluitend op de aspecten die relevant zijn voor persoonsgegevensbeveiliging.

Voor de leesbaarheid verwijs ik in dit boek kortweg naar ‘het recht op de eerbiediging van het privéleven’. Persoonsgegevensbeveiliging wordt meestal hiermee in verband gebracht, en niet zozeer met de bescherming van het familie- en gezinsleven.2 Het recht op de eerbiediging van het privéleven wordt ook wel aangeduid als het recht op de eerbiediging van de persoonlijke levenssfeer of het recht op privacy.3

Het recht op de eerbiediging van het privéleven biedt grondslag voor verscheidene rechten van natuurlijke personen die ook bestaan op grond van het recht op de bescherming van persoonsgegevens, zoals het recht op inzage en rechten aangaande het verzamelen en bewaren van gegevens.4 Echter, van de rechten en plichten op het gebied van persoonsgegevensbeveiliging wordt in de literatuur soms aangenomen dat ze geen verband houdt met de eerbiediging van het privéleven.5 Dit lijkt niet correct. Het HvJ EU noemt het recht op de eerbiediging van het privéleven bij de bespreking van de noodzaak tot persoonsgegevensbeveiliging in één adem met het recht op de bescherming van persoonsgegevens, en lijkt dus eenzelfde relatie tussen dit onderwerp en deze rechten aan te nemen.6 Wel is nooit gebleken dat art. 7 Hv op dit punt iets aan de regels van art. 8 Hv toevoegt. Het EHRM relateert art. 8 EVRM in het geheel slechts zijdelings aan de beveiliging van persoonsgegevens.7

Het belang van persoonsgegevensbeveiliging voor de waarborging van het recht op de eerbiediging van het privéleven houdt verband met de relevantie ervan voor de vertrouwelijkheid van gegevens.8 Het belang van deze vertrouwelijkheid blijkt uit de rechtspraak van zowel het EHRM als het HvJ EU. Zo is gebleken dat art. 8 EVRM verplicht tot het treffen van waarborgen die misbruik en openbaarmaking privacygevoelige gegevens tegengaan,9 en dat de mededeling van gegevens aan een derde, ongeacht de gevoeligheid van deze gegevens, voldoende is voor een inmenging in art. 7 Hv.10 Een dergelijk verband komt ook naar voren in bijvoorbeeld de Google Spain-zaak, waarin wordt overwogen dat de vindbaarheid van persoonsgegevens via zoekmachines een grote inmenging in het recht op de eerbiediging van het privéleven vormt aangezien de toegankelijkheid van deze gegevens daardoor wordt vergroot en de verspreiding ervan wordt vergemakkelijkt.11 In de uitspraak Privacy International benoemt het HvJ EU tot slot nadrukkelijk dat de transmissie van locatiedata naar anderen dan gebruikers afdoet aan het beginsel van vertrouwelijkheid.12

De relevantie van vertrouwelijkheidsbeveiliging voor de eerbiediging van het privéleven is goed te rijmen met de aard van het grondrecht. Vertrouwelijkheidsinbreuken zorgen er immers voor dat privacygevoelige informatie inzichtelijk wordt voor derden – hetgeen bij uitstek een inbreuk op de eerbiediging van het privéleven is. Het HvJ EU en het EHRM hebben tot op heden nog niet verduidelijkt welk beschermings- of beveiligingsniveau in dit kader moet worden gewaarborgd.

Het recht op de eerbiediging van het privéleven beschermt op het eerste oog andere gegevens dan het recht op de bescherming van persoonsgegevens. Persoonsgegevensbescherming betreft alle gegevens over identificeerbare personen.13 Voor art. 8 EVRM en art. 7 Hv geldt een andere toets. Blijkens de rechtspraak van het EHRM is het beschermingsbereik van dit recht beperkt tot gegevens die ‘het privéleven raken’.14 Vergelijkbaar hiermee benoemt het HvJ EU dat het recht op de eerbiediging van het privéleven bescherming biedt wanneer een verwerking de persoonlijke levenssfeer van de betrokkene kan ondermijnen.15 Of gegevens het privéleven raken en of een verwerking daarvan een ondermijning van het recht op de eerbiediging van het privéleven is, is situatieafhankelijk. Bij deze beoordeling moet rekening worden gehouden met de context waarbinnen de informatie is verzameld, de aard van de gegevens, de manier waarop de gegevens worden gebruikt en de conclusies die daaruit kunnen worden getrokken.16

Vanwege het bovenstaande wordt in de literatuur veelal gesteld dat het recht op de bescherming van persoonsgegevens een ruimere bescherming biedt dan het recht op de eerbiediging van het privéleven.17 Uit recente rechtspraak blijkt echter dat de begrippen ‘gegevens die het privéleven raken’ en ‘gegevens waarvan de verwerking het recht op de eerbiediging van het privéleven kan ondermijnen’ naar het begrip ‘persoonsgegevens’ zijn toegegroeid.18 Zo heeft het HvJ EU meermaals overwogen dat de “eerbiediging van het recht op persoonlijke levenssfeer bij de verwerking van persoonsgegevens, iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon betreft”.19 Daarnaast heeft het EHRM bij zijn uitleg van art. 8 EVRM vastgesteld dat de brede uitleg die het hanteert van ‘gegevens die het privéleven raken’ correspondeert met het begrip ‘persoonsgegevens’ uit het Verdrag van Straatsburg.20 Het recht op de bescherming van persoonsgegevens en het recht op de eerbiediging van het privéleven betreffen hoogstwaarschijnlijk dan ook dezelfde gegevens.21

Wanneer het HvJ EU tot het oordeel komt dat er in een specifiek geval een inmenging in het recht op de bescherming van persoonsgegevens heeft plaatsgevonden, concludeert het doorgaans dat ook art. 7 Hv is aangetast. Soms laat het zich hierover niet uit, maar tot een tegenovergestelde conclusie is het nog nooit gekomen. Waarschijnlijk is een verwerking van persoonsgegevens in beginsel dan ook in strijd met het recht op de eerbiediging van het privéleven.22 De beoordeling van de ernst van zo’n schending lijkt eveneens ten aanzien van beide rechten op dezelfde manier, en soms zelfs tezamen, te gebeuren.23 Hun wezenlijke inhoud is wel verschillend.24

Toon alle voetnoten

Voetnoten

Voetnoten

Het recht heeft onder het Handvest dezelfde inhoud en reikwijdte als onder het EVRM (Toelichtingen bij het Handvest van de grondrechten, toelichting ad art. 52). Zie voor een overzicht van de jurisprudentie aangaande art. 8 EVRM, EHRM 2020. Zie ook Choudhry 2015, p. 184 e.v.

Lock 2019, p. 2116; EHRM 2020. Het recht strekt zich bijvoorbeeld uit tot ‘gegevens die het privéleven raken’.

Veelal wordt dit recht onderverdeeld in het recht op relationele privacy en het recht op informationele privacy. Zie Verhey 1992, §7.2; Kranenborg 2007, §4.2 en Tzanou 2017, §1.II.C. Naast deze twee vormen van privacy, onderscheiden sommigen nog het recht op ruimtelijke privacy en/of het recht op lichamelijke integriteit (bijv. Borking 2010, §2.2).

Dit zien we terug in de rechtspraak van het EHRM. Zie voor een volledig overzicht EHRM 2020, §II.2.

Bijv. Dalla Corte 2020, p. 40.

HvJ EU 8 april 2014, ECLI:EU:C:2014:238, pt. 38-72 (Digital Rights Ireland).

Zie voor een overzicht van de jurisprudentie aangaande art. 8 EVRM EHRM 2020.

Zie over vertrouwelijkheid §3.3.2.

Resp. EHRM 17 december 2009, ECLI:CE:ECHR:2009:1217JUD001642805, pt. 62 (Gardel v. Frankrijk) en EHRM 13 november 2012, ECLI:CE:ECHR:2012:1113JUD002402907, pt. 207 (M.M. v. het Verenigd Koninkrijk). De automatische verwerking van deze gegevens vergroot de behoefte aan dergelijke maatregelen (EHRM 17 december 2009, ECLI:CE:ECHR:2009:1217JUD001642805, pt. 62 (Gardel v. Frankrijk)). Overigens heeft het EHRM meermaals overwogen dat het gebruik en de opslag van privacygevoelige gegevens een inbreuk op art. 8 EVRM teweeg kan brengen (Zie EHRM 26 maart 1987, ECLI:CE:ECHR:1987:0326JUD000924881, pt. 48 (Leander v. Zweden) en EHRM 4 mei 2000, ECLI:CE:ECHR:2000:0504JUD002834195, pt. 46 (Rotaru v. Roemenië). Zie ook EHRM 2020, pt. 123-126).

10.

HvJ EG 20 mei 2003, ECLI:EU:C:2003:294, pt.75 (Österreichischer Rundfunk e.a.).

11.

HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 87 (Google Spain).

12.

HvJ EU 6 oktober 2020, ECLI:EU:C:2020:790, pt. 69 (Privacy International).

13.

Het grondrecht is mede vormgegeven aan de hand van de Dataprotectierichtlijn (Toelichtingen bij het Handvest, toelichtingen ad art. 8). Voor wat betreft de definitie van het begrip persoonsgegevens moet, nu er geen reden is om aan te nemen dat dit anders is, dan ook daarbij aangesloten worden. Zie §2.2.2.2.

14.

Dit heeft het voor het eerst zo geformuleerd in EHRM 26 maart 1987, ECLI:CE:ECHR:1987:0326JUD000924881, pt. 48 (Leander v. Zweden).

15.

HvJ EG 20 mei 2003, ECLI:EU:C:2003:294 (Österreichischer Rundfunk e.a.); GvEA EG 08 november 2007, ECLI:EU:T:2007:334, pt. 118-123 (Bavarian Lager).

16.

EHRM 18 oktober 2011, ECLI:CE:ECHR:2011:1018JUD001618807, pt. 55 (Khelili v. Zwitserland). Zie ook Koning 2015, §2.2 en De Hert & Gutwirth 2009, §1.2.1.5.

17.

Nieuwenhuis 2001, §7.7; Kranenborg 2007, §4.2; Lynskey 2015, §3.F; Tzanou 2017, §1.II.C; Dalla Corte, p. 36 e.v. Zie voor een verdere uitwerking van de verschillen tussen het recht op privacy en het recht op bescherming van persoonsgegevens o.a. Kranenborg 2007, hoofdstuk 4; Gonzáles Fuster 2014, §8.3.2; Tzanou 2017, §1.II.C.

18.

Zie ook Van der Sloot 2021, die nog wel iets meer onderscheid ziet. Vroeger was dit nog niet zo. Zie bijv. HvJ EU 16 juli 2015, ECLI:EU:C:2015:489, pt. 32 (ClientEarth), waarin het HvJ EU overweegt dat de begrippen ‘persoonsgegevens’ en ‘gegevens die het privéleven raken’ niet door elkaar moeten worden gehaald.

19.

Zie letterlijk: HvJ EU 17 oktober 2013, ECLI:EU:C:2013:670, pt. 26 (Schwarz), en sterk vergelijkbaar HvJ EU 24 november 2011, ECLI:EU:C:2011:777, pt. 42 (ASNEF & FECEMD) en HvJ EU 9 november 2010, ECLI:EU:C:2010:662, pt. 52 (Volker en Schecke). Een recente uitspraak waaruit de literatuur concludeert dat er nog steeds onderscheid wordt gemaakt tussen persoonsgegevens en gegevens die het privéleven raken, is HvJ EU 8 april 2014, ECLI:EU:C:2014:238 (Digital Rights Ireland), zie bijv. Mostert e.a. 2017. De overwegingen uit deze uitspraak waarin het HvJ EU onderzoekt of de gegevens het privéleven aantasten (pt. 27), is echter in de eerste plaats een onderdeel van zijn redenering aangaande de betrokkenheid van art. 11 Hv (pt. 28). Het verband met art. 7 Hv wordt niet ontegenzeggelijk gelegd (pt. 29).

20.

EHRM 16 februari 2000, ECLI:CE:ECHR:2000:0216JUD002779895, pt. 65-67 (Amann v. Zwitserland); EHRM 4 mei 2000, ECLI:CE:ECHR:2000:0504JUD002834195, pt. 43 (Rotaru v. Roemenië). Anders GvEA EG 08 november 2007, ECLI:EU:T:2007:334, pt. 118-123 (Bavarian Lager), waaruit blijkt dat een lijst met de aanwezigen van een vergadering geen privacygevoelige gegevens bevat wanneer deze aanwezigen niet op persoonlijke titel aanwezig waren. In een hogere voorziening ging het HvJ EU hier echter niet in mee. Het overwoog dat dat verordening 45/2001 niet toestaat “dat de gevallen waarin persoonsgegevens worden verwerkt, worden gescheiden in twee categorieën, te weten een categorie waarin deze verwerking alleen wordt onderzocht op basis van art. 8 EVRM en de rechtspraak van EHRM inzake dat artikel, en een andere categorie waarin deze verwerking is onderworpen aan de bepalingen van verordening nr. 45/2001” (HvJ EU 29 juni 2010, ECLI:EU:C:2010:378, pt. 61 (Bavarian Lager)). Deze lijn wordt sindsdien aangehouden (Kranenborg 2014, pt. 08.52). Gezien de sterke gelijkenissen tussen deze verordening en de AVG gaat dit hoogstwaarschijnlijk ook op voor de AVG (zie §7.3.1, dat gaat over de expliciet van verordening 45/2001).

21.

Vgl. art. 2 onder a Verdrag van Straatsburg met art. 4 onder 1 AVG. Zie ook Lock 2019, p. 2123, die het recht op de bescherming van persoonsgegevens om deze reden aanduidt als een ‘lex specialis’. Zie verder HvJ EU 27 september 2017, ECLI:EU:C:2017:725, pt. 112 (Puškár) en de aldaar aangehaalde jurisprudentie. Hierin is overwogen dat “de bescherming van het grondrecht op eerbiediging van het privéleven op het niveau van de EU vereist immers dat de uitzonderingen op de bescherming van de persoonsgegevens en de beperkingen daarvan binnen de grenzen van het strikt noodzakelijke blijven”.

22.

Bijv. HvJ EU 17 oktober 2013, ECLI:EU:C:2013:670, pt. 25 (Schwarz); HvJ EU 13 mei 2014, ECLI:EU:C:2014:317, pt. 80 (Google Spain); HvJ EU 26 juli 2017, ECLI:EU:C:2017:592, pt. 36 (Canada PNR).

23.

Zie HvJ EU 2 oktober 2018, ECLI:EU:C:2018:788, pt. 58 e.v. (Ministerio Fiscal), Zie voor meer over de manier waarop deze ernst wordt beoordeeld §5.2.3.1.

24.

Zie over het ‘vage’ onderscheid tussen het recht op de bescherming van persoonsgegevens en het recht op de eerbiediging van het privéleven Brkan 2017, §2.2.