De Algemene verordening gegevensbescherming (AVG) bestaat nu dik twee jaar. De aandacht is daarbij vooral uitgegaan naar datalekken en boetes die volgen op het niet goed naleven van de regels. Dat is begrijpelijk maar ook jammer, want daardoor neemt de weerstand bij mensen die met persoonsgegevens werken toe. Ze krijgen het idee van alles niet te mogen en belemmerd te worden in hun werk – wat niet zo is, want alles wat noodzakelijk is voor een rechtmatig doel, is toegestaan volgens art. 6 van de AVG
Onder AVG-juristen is er veel aandacht voor wat er allemaal nog wel mag of ‘moet mogen’. Sommigen lijken vooral gericht te zijn op een zo ruim mogelijke bevoegdheid voor bedrijven en organisaties om gegevens te mogen verwerken en een zo beperkt mogelijk recht voor de betrokkene om daarop controle uit te oefenen. Door het juridische discours en de belangen die erachter zitten, lijkt het zicht op waar het echt om gaat, het beschermen van privacy, te verdwijnen. In deze bijdrage ga ik daarop in en introduceer het voorzorgbeginsel als belangrijk AVG-principe. Gegevens kun je namelijk niet ‘ontweten’.
De AVG gaat over het beschermen van de privacy, in juridische termen de persoonlijke levenssfeer genoemd. Privacy is een basisbehoefte van elk mens en daarom ook al lang bekend in alle mensenrechtencatalogi. Het gaat om het beschermen van de autonomie, de individuele vrijheid om te leven zoals je goeddunkt, zonder dat anderen dat zien, en al helemaal zonder dat anderen (waaronder de overheid) daarover oordelen, jou uitsluiten of benadelen. De regulering van ‘verwerking van persoonsgegevens’ in de AVG is daarvan een afgeleide en deze regulering beschermt ook niet de hele persoonlijke levenssfeer – mondelinge gegevensoverdracht of een enkele losse brief waarin van alles over jou wordt geschreven, valt er niet onder.
Een niet-juridische, maar wel belangrijke vraag is wie er nu eigenlijk gaat over verwerking van persoonsgegevens, bijvoorbeeld door een gemeente. De Kamer heeft gevraagd hoe het zat met het juridische eigendom van persoonsgegevens, wat eigenlijk niet de goede vraag was. De minister kon dan ook niet veel meer dan antwoorden: “Het lijkt logisch en intuïtief om de burger te beschouwen als eigenaar, want de gegevens gaan immers over hem of haar zelf. Het is echter geen goed idee om juridisch eigendom van persoonsgegevens mogelijk te maken, omdat het eigendomsrecht daar niet op is ingericht en er bovendien grenzen aan de zeggenschap over de eigen gegevens zijn.”(1) Toch is die intuïtie interessant, want het is goed om te beseffen dat moreel gezien iemand wel als eigenaar van zijn eigen gegevens mag worden beschouwd. Het digitale burgerschap in Estland gaat uit van deze gedachte: daar kan de burger precies zien welke instantie zijn gegevens raadpleegt.
Je kunt de AVG beschouwen als een obstakel om te doen met andermans gegevens wat je wilt en als wapen om de betrokkene zo veel mogelijk buiten de deur te houden. Je kunt de AVG ook lezen als handleiding om zo veel mogelijk privacy te waarborgen en de betrokkene zo veel mogelijk invloed te geven op wat je met zijn gegevens doet. Niet alles is binnen de grenzen van de AVG toegestaan, maar veel wel. Het past in de trend van meer maatwerk en responsief bestuursrecht: zo lang je gelijke behandeling en rechten van anderen niet schaadt, is van alles mogelijk. Daarmee voorkom je problemen. Het is uiteindelijk niet veel meer dan je verplaatsen in degene wiens persoonsgegevens je verwerkt en bedenken: hoe zou ik het vinden als het over mij gaat?
Als je de tekst van AVG leest, dan staat die tussen alle gedetailleerde, technische regels door, vol over het privacybeginsel – met name artikel 5 formuleert de belangrijkste principes. Privacy ligt – hoewel dat tegenstrijdig klinkt – ook ten grondslag aan het transparantiebeginsel. Dat bepaalt niet dat zo veel mogelijk persoonsgegevens ‘transparant’ in de zin van algemeen openbaar moeten zijn, maar dat de betrokkene precies weet wat er aan persoonsgegevens over hem wordt verwerkt, hoe, door wie en waarom. Daar past niet het juridische standpunt bij dat in antwoord op een inzageverzoek ook wel kan worden volstaan met een zo beperkt mogelijk overzicht ervan met bijv. NAW-gegevens, waar de betrokkene vaak niet veel wijzer van wordt. Hij wist immers al hoe hij heet en waar hij woont.
Procedures over de vraag of iemand recht heeft op een kopie (een afschrift van het document waarin zijn persoonsgevens staan) of niet, zijn in het licht ook niet erg burgervriendelijk. De vraag is juridisch wellicht interessant, maar vanuit het privacybeginsel en transparantiebeginsel is er – behoudens rechten van anderen, weglakken dus – niets op tegen om gewoon een kopie te geven als iemand erom vraagt. Ook de steeds opduikende verweren – gebaseerd op art. 11 van de Wob – dat ‘gegevens verwerkt voor intern beraad’ niet onder het inzagerecht vallen, is onnodig. Het EU Hof van Justitie heeft, net als de Raad van State, al uitgemaakt dat dit niet zo is.(2)
Vanuit het transparantiebeginsel past ook niet het standpunt dat allerlei informatie niet hoeft te worden verstrekt. Een voorbeeld is de in procedures vaak opduikende argumentatie dat als persoonsgegevens maar ‘in een juridische analyse’ worden verwerkt, deze niet onder het AVG-inzagerecht valt. Zo stond het echter niet in de uitspraak ECLI:EU:C:2014:2081 (‘minuutarrest’), waarop de verweerders die geen verantwoording wil afleggen hierover, zich beroepen. Hier stond namelijk slechts dat een ‘abstracte juridische analyse’ geen verwerking van persoonsgegevens was. Een concrete analyse is dat wél volgens deze uitspraak en annotatoren Dommering en Van Graafeiland.(3)(4) Dit bevestigt de rechtbank Den Haag.(5)
Voorbeeld: in een rapport over een persoon zijn verschillende paragrafen. In paragraaf 1 wordt de situatie van de persoon beschreven, in paragraaf 2 wordt in algemene zin het toepasselijke recht geduid en in de paragrafen 3 en 4 wordt dit toepasselijke recht concreet toegepast op de persoon en worden er conclusies aan verbonden. Alleen paragraaf 2 is of bevat geen verwerking van persoonsgegevens. Ook hier: je kunt interessante juridische discussies voeren, maar als er niet echt een bezwaar is tegen inzage, geef die dan.
Een belangrijk beginsel is niet geëxpliciteerd in de AVG, maar is wel onderliggend aanwezig, bijvoorbeeld in het beginsel van dataminimalisatie en behoorlijkheid. De overheid, en vooral democratische organen als de gemeenteraad of provinciale staten, heeft enerzijds de dure plicht om zo veel mogelijk informatie openbaar te maken, op grond van de organieke wetten en de Wet openbaarheid van bestuur. Het idee is dan dat als een burger vrijwillig een raadsvergadering bijwoont, hij zijn recht op privacy – bijvoorbeeld om te worden gefilmd en online gezet – opgeeft. Dat kan botsen met de wens van de betrokkene om dat niet te doen.
Daarom leg ik uit dat het het beste is hier het voorzorgbeginsel toe te passen. Hoogleraar Hildebrand pleit hier ook voor:(6)
“Het gaat eigenlijk steeds om een verplichting om te voorzien dat de verwerking waarschijnlijk leidt tot aantasting van rechten en vrijheden en vervolgens om een verplichting tot het nemen van de nodige maatregelen. Een van die maatregelen kan zijn om af te zien van de verwerking. Het gaat hier dus eigenlijk om het voorzorgbeginsel.”
In de Gids openbaarheid van bestuur heb ik hiervoor het begrip ‘ontweten’ geïntroduceerd.(7) Dat bestaat namelijk niet:
“Het probleem is namelijk dat, bijvoorbeeld in een gerechtelijke procedure, wel kan worden geoordeeld dat die informatie niet openbaar gemaakt mocht worden, maar dat het weghalen ervan op de eigen website of het terughalen van stukken niets oplost. Het is namelijk onmogelijk om te ‘ontweten’. Mensen hebben er al kennis van kunnen nemen.
Helaas zie ik vaak dat organisaties met verwerking, waaronder publicatie, van persoonsgegevens het recht in eigen hand nemen. Dat is in strijd met het voorzorgbeginsel, mogelijk schadelijk en vaak is nergens voor nodig. Noch de organieke wetten, noch de AVG, nog de Wob verplichten hiertoe – over de Wob en privacy is al behoorlijk veel jurisprudentie hierover die een evenwichtig beeld laat zien.”
Weet je niet zeker hoe ver de publicatieplicht gaat, vraag het dan aan een deskundige en ga niet over een nacht ijs. Is publicatie van persoonsgegevens, bijvoorbeeld van een brief van een burger inclusief naam en adres of diens hoofd in een videoverslag, niet strikt verplicht, doe het dan – vooralsnog - niet. Mocht iemand er behoefte aan hebben, dan kan er altijd nog een praktische oplossing worden bedacht of een procedure over gevoerd worden. Pas als de hoogste rechter erover heeft beslist, dan heb je alle voorzorg in acht genomen. Tot die tijd kan – en ook die gevallen zijn er helaas – ongewenste verwerking worden beschouwd als eigenmachtig optreden.
Veel beter is het natuurlijk om de betrokkene zelf te vragen wat hij wil. Je kunt er namelijk niet van uitgaan dat de betrokkene de gevolgen van het schrijven van een brief of het bezoeken van een raadsvergadering overziet. Vaak zal een burger helemaal geen probleem hebben met de ‘verwerking’. In die gevallen waarin dat wel zo is, adviseer ik: zet je eigen mening opzij, en respecteer diens wens.
(1) Kamerbrief 15 juni 2020, eigenaarschap van persoonsgegevens
(2) HvJ EU, ECLI:EU:C:2017:994 (Nowak), ECLI:NL:RVS:2015:319)
(3) (NJ 2018/314 (Nowak)
(4) (AB 2014/365)
(5) (ECLI:NL:RBDHA:2019:12031)
(6) https://politeia.be/nl/artikels/237933-opiniestuk%3A+voorzorg+en+risico+in+de+algemene+verordening+gegevensbescherming
(7) https://berghauserpont.nl/winkel/boeken/gids-openbaarheid-van-bestuur-van-wob-naar-wet-open-overheid/
Op woensdag 18 november 2020 vindt de cursus AVG voor griffiers plaats. Tijdens deze cursus maakt mr. dr. Caroline Raat de cursisten bewust van de invloed die de AVG heeft op de werkzaamheden van de griffier. Naast een praktische uitleg over de AVG wordt uitgebreid uiteengezet wat de verplichtingen en risico’s in de AVG zijn voor de gemeenteraad. De cursus is zowel op locatie als op afstand te volgen.
Klik hier voor meer informatie over de cursus AVG voor griffiers.
