Gegevensbescherming de problematiek van open normen Bart van
Gegevensbescherming: de problematiek van open normen Bart van der Sloot Tilburg Institute for Law, Technology, and Society (TILT) Tilburg University, Netherlands www. bartvandersloot. nl
Overzicht • (1) De algemene problematiek van de open normen • (2) De ontwikkeling binnen het gegevensbeschermingsrecht • (3) De omgang met open normen in het gegevensbeschermingsrecht • (4) Keuzes
(1) De algemene problematiek van de open normen • • • Open Normen Doelregulering Morality of Aspiration Principle based Common Law Soft Law Gesloten Normen Middelregulering Morality of Duty Rule based Civil Law Black letter law
(1) De algemene problematiek van de open normen • Voordelen • • Flexibel Per context (Technische) veranderingen Reduceert regeldruk Nadelen Onduidelijk Legitimiteit van de invulling Rechtszekerheid onder druk Laat veel aan normadressaten zelf
(1) De algemene problematiek van de open normen • Wetgever moet afzien vage en open normen in fiscale wetgeving Mr. G. T. K. Meussen, datum 01 -01 -2002 Weekblad fiscaalrecht • Toezichthouder AFM is volgens voormalig bankier Peter Verhaar een moeder met een slappe jaren zeventig mentaliteit. Follow the money. • Coen Drion, NJB: ‘Open normen zijn dus een groot goed, doch zij vormen tevens een gevaar, wanneer niet steeds de concrete invulling daarvan gezocht en gevonden wordt. Omdat anders ons recht bij open normen niet meer goed begrijpelijk is en er zelfs, het is misschien niet eens te zwaar aangezet, een mogelijk legitimiteitsprobleem zou kunnen ontstaan []’. • Koen de Roo, ‘De Corporate Governance Code en het drijfzand van de open norm’, Ars Aqui. • Open normen in Wft verlammen innovatie, findinet.
(1) De algemene problematiek van de open normen • “Waarborg de reguleringsautonomie van de normadressaat in het wettelijk kader van de open norm. ” Open normen en regeldruk, in opdracht van het ministerie van justitie. • Open normen nodig voor maatwerk in financiële sector, Theodor Kockelkoren van de Autoriteit Financiële Markten • ‘Zodoende kan een creatieve jurist (rechter) in de aard en dimensies van het psychologisch contract ankerpunten vinden om open normen in te vullen op een wijze die enerzijds flexibel genoeg is om in te spelen op de dynamische realiteit van de arbeidsrelatie, en anderzijds voldoende voorspelbaar en precies, zodat er geen rechtsonzekerheid en rechtsongelijkheid ontstaat. ’ Aline Van Bever Open normen in het individuele arbeidsrecht. • ‘A. Flexibeler auteursrecht door één algemene of meerdere bijzondere open normen [] B. Een flexibeler auteursrecht door ruimere interpretatiemogelijkheden en open normen in bestaande excepties’, BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITIE over Auteursrechtbeleid • ‘De rechtsontwikkeling staat bovendien niet stil op het gebied van telecommunicatie. Technologische ontwikkelingen vereisen flexibele regelgeving en open normen’, Bureau Brandeis, Telecommunicatiewet.
(1) De algemene problematiek van de open normen • Gegevensbeschermingsrecht is daarop geen uitzondering • Al sinds de evaluatie Wet/Richtlijn bescherming persoonsgegevens roep om: • • • Meer helderheid voor consumenten Meer helderheid voor handhavers Meer helderheid voor organisaties • De AVG zet dit spanningsveld voort Meer flexibiliteit Meer contextgebondenheid Meer mogelijkheden
(2) De ontwikkeling binnen het gegevensbeschermingsrecht • RESOLUTION (74) 29 ON THE PROTECTION OF THE PRIVACY OF INDIVIDUALS VIS-A-VIS ELECTRONIC DATA BANKS IN THE PUBLIC SECTOR • 1. As a general rule the public should be kept regularly informed about the establishment, operation and development of electronic data banks in the public sector. • 2. The information stored should be: • a. obtained by lawful and fair means, • b. accurate and kept up to date, • c. appropriate and relevant to the purpose for which it has been stored. Every care should be taken to correct inaccurate information and to erase inappropriate, irrelevant or obsolete information. • 3. Especially when electronic data banks process information relating to the intimate private life of individuals or when the processing of information might lead to unfair discrimination, • a. their existence must have been provided for by law, or by special regulation or have been made public in a statement or document, in accordance with the legal system of each member state; • b. such law, regulation, statement or document must clearly state the purpose of storage and use of such information, as well as the conditions under which it may be communicated either within the public administration or to private persons or bodies; • c. that data stored must not be used for purposes other than those which have been defined unless exception is explicitly permitted by law, is granted by a competent authority or the rules for the use of the electronic data bank are amended.
(2) De ontwikkeling binnen het gegevensbeschermingsrecht • 4. Rules should be laid down to specify the time-limits beyond which certain categories of information may not be kept or used. However, exceptions from this principle are acceptable if the use of the information for statistical, scientific or historical purposes requires its conservation for an indefinite duration. In that case, precautions should be taken to ensure that the privacy of the individuals concerned will not be prejudiced. • 5. Every individual should have the right to know the information stored about him. Any exception to this principle or limitation to the exercise of this right should be strictly regulated. • 6. Precautions should be taken against any abuse or misuse of information. For this reason: • a. everyone concerned with the operation of electronic data processing should be bound by rules of conduct aimed at preventing the misuse of data and in particular by a duty to observe secrecy; • b. electronic data banks should be equipped with security systems which bar access to the data held by them to persons not entitled to obtain such information and which provide for the detection of misdirections of information, whether intentional or not. • 7. Access to information that may not be freely communicated to the public should be confined to the persons whose functions entitle them to take cognisance of it in order to carry out their duties. • 8. When information is used for statistical purposes it should be released only in such a way that it is impossible to link information to a particular person.
(2) De ontwikkeling binnen het gegevensbeschermingsrecht • Raad van Europa 1981 – 27 artikelen en uitgebreide toelichting • Richtlijn van de EU 1995 – 34 artikelen en 72 overwegingen • AVG 2016 - 99 artikelen en 173 overwegingen • Daarbij is het toepassingsbereik steeds groter geworden (persoonsgegevens, verwerking, territoriale toepassing) • En ook is natuurlijk het gebruik van gegevens toegenomen
(2) De ontwikkeling binnen het gegevensbeschermingsrecht • • EU Hanvest voor de Grondrechten Artikel 7 -Eerbiediging van het privé-leven en het familie- en gezinsleven Eenieder heeft recht op eerbiediging van zijn privé-leven, zijn familie- en gezinsleven, zijn woning en zijn communicatie. Artikel 8 - Bescherming van persoonsgegevens 1. Eenieder heeft recht op bescherming van de hem betreffende persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op toegang tot de over hem verzamelde gegevens en op rectificatie daarvan. 3. Een onafhankelijke autoriteit ziet toe op de naleving van deze regels.
(2) De ontwikkeling binnen het gegevensbeschermingsrecht • Waar in de Richtlijn nog vaak wordt verwezen naar het recht op privacy, is dat in de AVG volledig verdwenen. • DPIA ipv PIA • DP by design ipv Privacy by design • DP officer ipv DP officer • etc
(2) De ontwikkeling binnen het gegevensbeschermingsrecht • Artikel 1 Onderwerp en doelstellingen • 1. Bij deze verordening worden regels vastgesteld betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens. • 2. Deze verordening beschermt de grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. • 3. Het vrije verkeer van persoonsgegevens in de Unie wordt noch beperkt noch verboden om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens.
(2) De ontwikkeling binnen het gegevensbeschermingsrecht • Hebben we hier met een mensenrecht/fundamenteel recht van doen of/en met marktregulering en consumentenrecht? • Mensenrechten gaan traditioneel vrijwel uitsluitend uit van open normen die worden ingevuld door de rechter • Marktregulering gaat traditioneel uit van meer gesloten normen en concretere verplichtingen (doch niet uitsluitend) en een sterke handhavingsautoriteit • Het feit dat het toepassingsbereik van het gegevensbeschermingsrecht zo groot is (bv begrip persoonsgegeven) en de bevoegdheden en taken van de handhavende instantie doen vermoeden dat het gegevensbeschermingsrecht steeds meer de richting van markregulering is gegaan • De kern van de AVG is echter nog hetzelfde gebleven (Beginselen inzake verwerking van persoonsgegevens) – de normen zijn nog steeds open
(3) De omgang met open normen in het gegevensbeschermingsrecht • Wat zijn open normen? • ‘Je mag niet huis binnentreden, behalve als dat noodzakelijk, proportioneel en redelijk is’ vs ‘Geen voertuigen in het park’ • ‘Huis’, ‘binnentreden’ – ‘voertuig’ ‘park’ • ‘Noodzakelijk’, ‘proportioneel’ ‘redelijk’ • Doel van regels > Ook geen museum-voertuig in het park?
(3) De omgang met open normen in het gegevensbeschermingsrecht • Artikel 5: ‘worden verwerkt op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant’ • ‘welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt’ • ‘toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt’ • ‘juist zijn en zo nodig worden geactualiseerd; alle redelijke maatregelen moeten worden genomen om de persoonsgegevens die, gelet op de doeleinden waarvoor zij worden verwerkt, onjuist zijn, onverwijld te wissen of te rectificeren’ • ‘worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is’ • ‘door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging’
(3) De omgang met open normen in het gegevensbeschermingsrecht • • Artikel 6 Toestemming moet vrij, helder, specifiek en ondubbelzinnig zijn Noodzakelijk voor de uitvoering van een overeenkomst Noodzakelijk om te voldoen aan een wettelijke verplichting Noodzakelijk om de vitale belangen van de betrokkene Noodzakelijk voor de vervulling van een taak van algemeen belang Noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen
(3) De omgang met open normen in het gegevensbeschermingsrecht • Artikel 12: Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel: a) een redelijke vergoeding aanrekenen; ofwel b) weigeren gevolg te geven aan het verzoek. • Artikel 14: niet van toepassing wanneer en voor zover het verstrekken van die informatie onmogelijk blijkt of onevenredig veel inspanning zou vergen • Artikel 19: De verwerkingsverantwoordelijke stelt iedere ontvanger aan wie persoonsgegevens zijn verstrekt, in kennis van elke rectificatie of wissing van persoonsgegevens of beperking van de verwerking overeenkomstig artikel 16, artikel 17, lid 1, en artikel 18, tenzij dit onmogelijk blijkt of onevenredig veel inspanning vergt.
(3) De omgang met open normen in het gegevensbeschermingsrecht • Artikel 24: Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. • Artikel 34: Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt de verwerkingsverantwoordelijke de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee. • Artikel 35: Wanneer een soort verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen voert de verwerkingsverantwoordelijke vóór de verwerking een beoordeling uit van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. • Artikel 46: Bij ontstentenis van een besluit hoofde van artikel 45, lid 3, mag een doorgifte van persoonsgegevens aan een derde land of een internationale organisatie door een verwerkingsverantwoordelijke of een verwerker alleen plaatsvinden mits zij passende waarborgen bieden en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken.
(3) De omgang met open normen in het gegevensbeschermingsrecht • Wat is een specifiek doel – een niet onverenigbaar doel – wat is een vitaal belang - passende waarborgen – een hoog risico – wat is vrije en specifieke toestemming? • Wat is noodzakelijk, proportioneel en behoorlijk? • Wat is het doel van de verordening? Wat kan er bijvoorbeeld in verband met de nieuwe technologie?
(4) Keuzes • Welke openheid willen we eigenlijk kwijt? • Die van de taal? • Die van juridische begrippen als noodzakelijkheid en proportionaliteit? • Die van het doel van en het idee achter de verordening? • De openheid die samenhangt met de algemeenheid van een omnibusregeling?
(4) Keuzes • Mogelijke denkrichtingen: • (1) We gieten alles in een open norm (Moerel & Prins): • (2) We houden het ongeveer zoals het is: een algemeen en redelijk abstract kader in de AVG en concrete invulling door verantwoordelijken in hun specifieke context • (3) We vullen de algemene regels verder in door gedragscodes, sectorspecifieke wetten, richtsnoeren AP en EDPB en van de Commissie
(4) Keuzes • Als er voor wordt gekozen om nog meer open te maken dan zijn er de voordelen die met open normen samenhangen, maar bestaat er tegelijkertijd: • Meer rechtsonzekerheid voor organisaties • Bestaat er gevaar voor rechtsongelijkheid • Is er meer rechtsonzekerheid voor burgers • Moeten rechters/handhavingsorganisatie per geval een evaluatie doen • Dreigt het gevaar van eerst doen dan denken
(4) Keuzes • Als de wet zo prima is, dan blijft er enige maar beperkte openheid • Het is een evenwicht (of negatief gesteld, vlees noch vis): • Tussen open- en geslotenheid • Tussen mensenrechten en marktregulering • Tussen flexibiliteit en duidelijkheid • Tussen legitimiteit en concreetheid
(4) Keuzes • Als er voor wordt gekozen om de open normen verder in te vullen dan gelden de voordelen voor gesloten normen, maar tegelijkertijd: • Moeten we accepteren dat het gegevensverwerkingsrecht veel meer een consumentenrecht/marktwerkingsregulering is geworden dan een mensenrecht • Is de consequentie dat veel van de invulling gebeurt door partijen zonder directe democratische legitimatie • Zal de regeldruk voor organisaties vermoedelijk alleen nog groter worden • Verdwijnt misschien al snel de gedachter de wet • Hoe concreter de regels, hoe sneller achterhaald • Hoe concreter de regels, hoe makkelijker omzeild
(4) Keuzes • ‘Contrary to lawyers’ dearly held beliefs, there is no necessary correlation between precision and certainty, or at least not after a certain point. The more precise the rules, the more complex they become; the greater the number of ‘gaps’ that are created, the greater the potential for internal inconsistencies in their application, and the more uncertain their application becomes in any particular circumstance. Certainty does not come from the structure of the rule or principle per se, but from the interpretation it receives. Whether a rule, principle, or any written norm is certain depends on the extent to which there is a shared understanding as to their meaning and application within and between regulator, regulated any organization (regulatory decisions committee, court or tribunal) called upon to make a determination. ’ Julia Black, Forms and paradoxes of principles-based regulation
- Slides: 26