De verhouding tussen dataminimalisatie en de registerplicht : Een onderzoek naar de gewenste verhouding tussen twee plichten uit dezelfde Verordening die op conflicterende wijzen proberen bij te dragen aan hetzelfde doe

Universiteit van Amsterdam, Faculteit der Rechtsgeleerdheid

De verhouding tussen

dataminimalisatie en

de registerplicht

Een onderzoek naar de gewenste verhouding tussen twee plichten uit dezelfde Verordening die op conflicterende wijzen proberen bij te dragen aan hetzelfde doel: gegevensbescherming voor betrokkenen.

Naam student: Caroline van Ekeren Mastertrack: Informatierecht Scriptiebegeleidster: Mr. S.J. Eskens

Abstract

In deze scriptie wordt de verhouding tussen twee plichten uit de Algemene Verordening Gegevensbescherming onderzocht: de registerplicht en het beginsel van

dataminimalisatie. De registerplicht verplicht verwerkingsverantwoordelijken en verwerkers een register op te stellen van hun verwerkingsactiviteiten. Dataminimalisatie verplicht verwerkingsverantwoordelijke en verwerkers alleen die persoonsgegevens te verwerken die noodzakelijk zijn voor het bereiken van het primaire doel van de verwerking. Het doel ‘het register opstellen’ is niet het primaire doel van verwerkingen. Daarbij genereert de

registerplicht meer informatie terwijl met dataminimalisatie beoogd wordt privacyrisico’s te verkleinen door het aantal gegevens te verminderen. Uit dit onderzoek volgt hoe

dataminimalisatie en de registerplicht zich tot elkaar moeten verhouden om effectieve gegevensbescherming voor de betrokkene te bereiken.

De verhouding wordt geanalyseerd vanuit drie perspectieven. Er wordt aandacht besteed aan de visie van de wetgever en de ontwikkeling van het gegevensbeschermingsrecht, de visie van het Hof via jurisprudentie en de visie van de rechtspraktijk met behulp van literatuuronderzoek en gesprekken met professionals. Van belang is dat de informatie over persoonsgegevens (oftewel metadata, waar de registerplicht op doelt) behandeld moeten worden als persoonsgegevens. Daarom is de Verordening van toepassing op de registerplicht en wordt de verhouding onderzocht.

Er wordt geconcludeerd dat ongeacht of het register als doel transparantie naar

betrokkenen of de toezichthouder faciliteert het uniek is dat de verwerkingsverantwoordelijke en verwerkers verplicht zijn om voor zichzelf hun verwerkingen in kaart te brengen. In

samenhang met de rest van de Verordening (de plichten van aantoonbaarheid) zal het register, bij de meest praktische uitwerking, veel gegevens samenbrengen. Alle plichten helpen elkaar zo bij de implementatie van de Verordening. Omdat dataminimalisatie als beginsel lastig realiseerbaar blijkt, kan het daarom beter worden geschetst als vereiste voor het register. Op die manier is dataminimalisatie aantoonbaar. Om eventuele risico’s te mitigeren moeten juiste beveiligingsmaatregelen worden genomen, waarvoor inspiratie wordt geput uit jurisprudentie.

Inhoudsopgave

Afkortingen

1. Inleiding ... 5

1.1 Achtergrond ... 5

1.2 Probleemstelling en onderzoeksvraag ... 7

1.3 Relevantie van het onderzoek ... 7

1.4 Methodologie en indeling... 8

1.5 Reikwijdte van het onderzoek ... 10

2. Dataminimalisatie en de registerplicht... 11

2.1 Dataminimalisatie... 11

2.2 De registerplicht ... 13

2.2.2 De doelen van de registerplicht ... 15

2.2.3 De uitwerking van de registerplicht ... 16

2.3 De feitelijke verhouding tussen dataminimalisatie en de registerplicht ... 20

3. De visie van de Europese wetgever ... 22

3.1 De ontwikkeling van het gegevensbeschermingsrecht... 22

3.2 De ontwikkeling van dataminimalisatie ... 24

3.3 De ontwikkeling van de registerplicht ... 25

3.4 De verhouding tussen dataminimalisatie en de registerplicht vanuit de Europese wetgever ... 28

4. De visie vanuit de Europese jurisprudentie ... 29

4.1 De uitgangspunten ... 29

4.2 De zaak Rijkeboer ... 31

4.3 De afweging van dataminimalisatie en de registerplicht ... 32

5. De visie vanuit de rechtspraktijk ... 35

5.1 Dataminimalisatie... 35

5.2 De registerplicht ... 36

5.3 De verhouding tussen dataminimalisatie en de registerplicht vanuit de praktijk ... 40

6. Analyse en conclusie... 42

6.1 Effectieve gegevensbescherming voor de betrokkene ... 42

6.3 Conclusie ... 47 7. Literatuur- en jurisprudentielijst ... 48 Wetgeving ... 48 Literatuur ... 48 Europese Unie ... 52 Artikel 29 Werkgroep... 54 Kamerstukken... 54 Jurisprudentie ... 54 Websites ... 55 8. Bijlagen ... 57

Bijlage 1: Inzageverzoek LinkedIn door Caroline van Ekeren………57

Bijlage 2: Nederlands meldingenregister: zoekmachine……….64

Bijlage 3: Nederlands meldingenregister na zoekopdracht "V&D"………..65

Bijlage 4: Nederlands meldingenregister "Uitvoeren van koopovereenkomsten V&D………..66

Bijlage 5: Voorbeelden van de uitwerking van de registerplicht door de Belgische toezichthouder gegevensbescherming ... 67

Afkortingen

De Algemene Verordening Gegevensbescherming De Verordening

De Artikel 29 Werkgroep de Werkgroep

Europese Commissie de Commissie

Europees Hof voor de Rechten van de Mens EHRM

Europees Verdrag voor de Rechten van de Mens EVRM Het Hof van Justitie van de Europese Unie Het Hof

1. Inleiding

1.1 Achtergrond

“We maken uw gegevens beschikbaar in twee bestanden: een snel bestand dat specifieke

typen accountgegevens bevat, zoals profielgegevens, connecties en berichten (gereed in ongeveer 10 minuten), en een tweede bestand dat gedetailleerde accountgegevens bevat, waaronder uw accountactiviteit en -geschiedenis (gereed in 24 uur)”1. Dit is wat LinkedIn aanbiedt voor gebruikers die interesse hebben in welke persoonsgegevens LinkedIn

verzamelt.2 Dit zijn voornamelijk gegevens die de gebruiker zelf heeft aangeleverd of andere gegevens die aan de voorkant te zien zijn. Een korte scan van hun privacy statement laat zien dat LinkedIn meer verzamelt. Onder andere openbare gegevens, contact- en agendagegevens, persoonlijke gegevens over de gebruiker van zakelijke klanten (“e.g., when an employer buys

a premium service for its employees’ use, that employer may provide us data about such employees”3) en niet te vergeten de gegevens via cookies en andere soortgelijke

technologieën. Bijlage één is een digitaal inzageverzoek aan LinkedIn en de communicatie naar aanleiding van dat verzoek. De auteur, in casu de betrokkene,4 heeft LinkedIn op bovenstaande gewezen en al haar persoonsgegevens opgevraagd buiten de standaard

documenten.5 Idealiter zou LinkedIn reageren met alle informatie, waar die vandaan komt en een lijst met contactgegevens van de derde partijen waarmee de informatie gedeeld is. In realiteit heeft de betrokkene twee maanden na dato niet meer inzicht verkregen dan dat ze al had. LinkedIn kan geen informatie geven over persoonsgegevens van derde partijen en de agenda van de gebruiker omdat LinkedIn geen verwerkingsverantwoordelijke6 is, volgens LinkedIn. Wie de derde partijen zijn blijft onbekend (zie onderstaand kader).

1 _{Privacy Statement LinkedIn.}

2 _{Iedereen waar persoonsgegevens over verzameld wordt heeft ex art. 35 Wet bescherming persoonsgegevens}

recht op inzage in de verwerkingen.

3

Zie bijlage 1(p. 66).

4 _{De betrokkene is de wettelijke term voor degene die de persoonsgegevens betreffen.} 5 _{Zie bijlage 1(p. 65).}

6

Er wordt onderscheid gemaakt tussen de verwerkingsverantwoordelijke en de verwerker in de Verordening. De verwerkingsverantwoordelijke, die kort gezegd grotendeels bepaalt wat het doel en de middelen zijn voor de verwerking, en de verwerker die in opdracht van de verwerkingsverantwoordelijke verwerkt (zie artikel 4 lid 7 & 8 Verordening en Artikel 29 Werkgroep, WP169). Beide hebben verschillende verplichtingen onder de Verordening.

“With regards to the data we receive from partners and clients and when LinkedIn users perform an address book import, LinkedIn is the data processor for such data. As such, we are not in a position to disclose this information without the authorisation of the data controller. Please note that these partners and clients are considered data controllers with respect to this information. ‘’

Reactie van LinkedIn op inzageverzoek, 24 november 2017, bijlage 1 p. 66.

Het abstraheren van informatie van cookies en soortgelijke technologieën blijkt zodanig complex dat er een specificatie nodig is. Twee maanden later is er nog weinig inzage verkregen door de betrokkene (zie onderstaand kader).

Reactie van LinkedIn op inzageverzoek 13 december 2017, bijlage 1, p. 62.

Vanaf 25 mei 2018 zal de Algemene Verordening Gegevensbescherming (hierna: de Verordening) gehandhaafd worden. Eén van de grotere veranderingen die de Verordening met zich meebrengt is de registerplicht. De registerplicht stelt dat

verwerkingsverantwoordelijken en verwerkers alle verwerkingsactiviteiten in kaart moeten brengen en documenteren.7 De Verordening bevat een lijst aan vereisten over welke informatie het register moet bevatten. Het inzicht uit een register had LinkedIn erg kunnen helpen bij de informatievoorziening. Toch kan het genereren van informatie over alle persoonsgegevens van een verwerkingsverantwoordelijke ook een risico met zich mee brengen. Als LinkedIn één raam open laat staan ligt de inboedel gealfabetiseerd op straat. Bovendien lijkt het genereren van meer informatie onder het mom van gegevensbescherming tegenintuïtief.

De moeite die LinkedIn ondervindt met het beantwoorden van het inzageverzoek heeft te maken met de uitgebreidheid van gegevensverwerkingen. Het begrenzen van gegevensverwerkingen zou het gemakkelijker maken voor LinkedIn om aan een dergelijk

7

Artikel 30 Verordening.

“... With respect to your request for personal data LinkedIn has collected using cookies and similar technology, our engineering organization has informed us that gathering this information may take several weeks. LinkedIn has numerous data systems that will each need to be searched for personal data relating to you. The data on these systems will need to be isolated, extracted, and reviewed before we can provide you with a copy of your data. It would assist us in providing you with an earlier response if you could let us know whether there is any particular type of data or time period that you are

verzoek te voldoen. Volgens het beginsel van dataminimalisatie, dat in de Verordening wordt overgenomen uit oudere wetgeving, moeten verwerkingen beperkt worden tot het strikt noodzakelijke gelet op het primaire doel van de verwerking.8 Minder datagebruik betekent al snel een kleiner privacyrisico, maar een bedrijf kan ook niet ondoordacht alles weggooien.

Zoals met bovengenoemd voorbeeld wordt geïllustreerd, zijn dataminimalisatie en de registerplicht relevante plichten die beiden kunnen helpen bij het waarborgen van de

wetgeving (in casu via een inzageverzoek). Het is echter de vraag hoe deze plichten zich tot elkaar dienen te verhouden. Het register genereert een grote hoeveelheid gegevens op één plek in plaats van het simpelweg hebben van gegevens. Wat wordt verzameld, hoe en hoe lang het wordt gebruikt, waarom en wanneer het wordt gebruikt. Dit creëert overzicht en faciliteert gemakkelijk inzicht in gegevensverwerkingen. Door het categoriseren van de verwerkte persoonsgegevens in het register ontstaan er in feite meer gegevens. Dit kan het principe van dataminimalisatie in het gedrang brengen.

1.2 Probleemstelling en onderzoeksvraag

De vorige paragraaf toonde de mogelijke frictie tussen de registerplicht en

dataminimalisatie. Beide bepalingen beogen op hun eigen manier bij te dragen aan effectieve gegevensbescherming. De vraag is hoe deze plichten zich tot elkaar verhouden. Kruisen deze plichten elkaar? Weegt dan de toegankelijkheid en overzichtelijkheid van gegevens in één register zwaarder, óf het uitgangspunt ‘minder data, minder risico’s’? Of versterken de plichten elkaar juist in het beschermen van betrokkenen?

In dit onderzoek zal de volgende probleemstelling worden onderzocht:

Hoe zouden het beginsel van dataminimalisatie en de registerplicht zich tot elkaar moeten verhouden om de meest effectieve bescherming van persoonsgegevens voor betrokkenen te bereiken?

1.3 Relevantie van het onderzoek

Dit onderzoek evalueert de verhouding tussen de registerplicht en dataminimalisatie en beoogt daarmee een aanbeveling te doen over hoe deze plichten dienen te worden ingevuld en ten opzichte van elkaar dienen te worden toegepast. Zo levert het onderzoek een bijdrage

8

aan de discussie over de invulling van de Verordening. Dit onderzoek levert niet alleen een bijdrage aan de rechtswetenschap door in te gaan op de interpretatie van de Verordening maar ook aan de rechtspraktijk. Op basis van de interpretatie wordt een aanbeveling gedaan over de uitwerking waarmee het grondrecht op gegevensbescherming afdoende kan worden gewaarborgd. Deze handhaving is op deze manier “practical and effective, not theoretical

and illusory”9, in overeenstemming met de visie van het Europees Hof voor de Rechten van de Mens (hierna: het EHRM) en het Hof van Justitie van de Europese Unie (hierna: het Hof). 10

1.4 Methodologie en indeling

Dit onderzoek bestaat uit twee delen. In het eerste deel (hoofdstuk twee) worden de registerplicht en dataminimalisatie uitgelegd en hoe deze zich tot elkaar kunnen verhouden. Het tweede deel (hoofdstuk drie t/m vijf) behandelt hoe deze zich tot elkaar zouden moeten

verhouden voor effectieve bescherming van persoonsgegevens. Het eerste deel is

beschrijvend en zal uitgaan van een intern perspectief van de wet. Het tweede deel is vooral normatief en gaat uit van zowel een intern als extern perspectief. Er wordt immers gekeken vanuit de wetgever (intern) maar ook vanuit de rechtspraktijk (extern) naar de verhouding.

In deel één komt eerst dataminimalisatie aan bod. Wat houdt deze verplichting in, welk doel dient het te bereiken en op welke manier beoogt dit principe gegevensbescherming te waarborgen? Daarna zal de registerplicht onder de loep worden genomen waarbij dezelfde punten aan de orde komen als bij dataminimalisatie. Bij dataminimalisatie wordt

voornamelijk naar de levensloop gekeken, bij de registerplicht vooral naar de praktische uitwerking ervan. De vraag is of in het register grotendeels persoonsgegevens worden

gegenereerd of vooral informatie over die persoonsgegevens. Hier zal later dieper op worden ingegaan. Vervolgens wordt bekeken waar de plichten elkaar kunnen tegenkomen. Het is van belang om de vastgestelde doelen en hoe deze verwezenlijkt worden mee te nemen naar het

9 _{EHRM 11 juli 2002, ECLI:CE:ECHR:2002:0711JUD002895795 (Goodwin) r.o. 74.} 10

Het Hof is het primaire orgaan dat de Verordening zal interpreteren, maar de rol van het EHRM moet niet worden onderschat. De uitspraken van het Hof mogen niet in strijd zijn met het Europees Verdrag voor de Rechten van de Mens (het verdrag waarop het EHRM zich baseert) en gelijke rechten moeten hetzelfde

uitgelegd worden. Hoewel in dit onderzoek aandacht wordt besteed aan de jurisprudentie van het Hof, moet men zich bewust zijn van de rol die het EHRM hier speelt.

volgende deel van het onderzoek. De haalbaarheid van de doelen en de bijdrage aan effectieve gegevensbescherming is namelijk een beslissende factor binnen dit onderzoek.

In het tweede deel wordt onderzocht wat effectieve gegevensbescherming inhoudt. Hier zijn uiteenlopende opvattingen over. Om tot de meest gewogen conclusie te komen zal dit onderzoek meerdere perspectieven behandelen en samenbrengen. De visie van de

wetgever, de visie vanuit de jurisprudentie en de visie van de rechtspraktijk komen één voor één aan de orde. Allereerst wordt er gekeken naar de relevante wetsgeschiedenis. De

ontwikkeling van het recht en de uitwerking ervan geven een beeld over wat effectieve maatregelen zijn voor gegevensbescherming. Ten tweede wordt gekeken naar de jurisprudentie. Het Hof heeft meermaals balans opgemaakt tussen twee

fundamenteelrechtelijke belangen. Dit zal als inspiratiebron gebruikt worden bij de

beantwoording van de onderzoeksvraag. Ten derde wordt aandacht besteed aan de literatuur en de rechtspraktijk. Door recente literatuur te onderzoeken en in gesprek te gaan met professionals uit de rechtspraktijk wordt een visie gevormd op effectieve

gegevensbescherming. De gesprekken worden gebruikt om de analyse van dit onderzoek te verrijken met inzichten uit de praktijk. Zeker omdat gegevensbescherming en specifiek dataminimalisatie en de registerplicht veelvuldig bediscussieerd worden is het van belang te kijken naar wat er in de praktijk gebeurt. De gesprekken zijn genotuleerd en er is afgesproken of het gesprek mag worden opgenomen. In het kader van privacy en om te voorkomen dat er een belangenverstrengeling zou ontstaan worden de geïnterviewden bewust niet met naam in een algemene lijst (zonder specificatie om welke inhoud het gaat) genoemd. De benoeming van de werkvelden wordt voldoende geacht om inzicht te geven aan de verschillende soorten perspectieven die de analyse hebben verrijkt. Geïnterviewden zijn werkzaam in de

advocatuur (2 pers.), de privacy consultancy praktijk (2 pers.), het bedrijfsleven (2 pers.) en onderzoek (1 pers.).11 In alle hoofdstukken wordt de analyse toespitst op de verhouding tussen dataminimalisatie en registerplicht zodra de efficiëntie van gegevensbescherming aan de orde komt.

Vanuit de drie perspectieven wordt ten slotte de verhouding tussen dataminimalisatie en de registerplicht geanalyseerd. Dit, om tot een conclusie te komen over wat de wenselijke

11_{Indien er interesse is in de namen van de geïnterviewden kan een verzoek worden gedaan bij de auteur voor}

deze informatie. Louter in overeenstemming met de geïnterviewden zal deze informatie worden opgeleverd. Indien er interesse is en de datum en tijd van de gesprekken kan dit onverwijld worden opgevraagd bij de auteur.

verhouding is tussen dataminimalisatie en de registerplicht om het recht op gegevensbescherming van de betrokkene het meest effectief te waarborgen.

1.5 Reikwijdte van het onderzoek

De Verordening beoogt verschillende doelen te bereiken en moet altijd

geïnterpreteerd worden in overeenstemming met de voor ogen gestelde doelen.12 Met de Verordening wordt gestreefd naar het waarborgen van een afdoende niveau van

gegevensbescherming voor betrokkenen en tegelijkertijd het vrije verkeer van persoonsgegevens niet te belemmeren. In deze scriptie wordt effectieve

gegevensbescherming benaderd vanuit het streven om betrokkenen zo goed mogelijk te beschermen. De focus ligt op de functie van het recht op gegevensbescherming in de maatschappij.13

De Richtlijn 1995/46/EC (de voorganger van de Verordening, hierna: de Richtlijn) en de Verordening zijn op Europees niveau ontwikkeld maar de verantwoordelijkheid voor de implementatie ligt (deels) bij de lidstaten. Voor het overzicht binnen dit onderzoek wordt het recht vooral vanuit Europees niveau benaderd en wordt de Nederlandse wet die de Richtlijn implementeert, de Wet Bescherming Persoonsgegevens, alleen geanalyseerd ten behoeve van het onderzoeken van de uitwerking van de plichten in de praktijk.

12 _{HvJ EG 16 december 2008, C-73/07(Satamedia) r.o. 51&52.}

2. Dataminimalisatie en de registerplicht

In dit hoofdstuk zal uitgelegd worden wat dataminimalisatie en de registerplicht inhouden. Omdat dataminimalisatie reeds lang bestaat is de uitleg vooral gefocust op de geschiedenis er van. De registerplicht is nieuw, waardoor de specifieke invulling nog niet zo zeer gevormd is door de praktijk. Er wordt op een praktische wijze naar de uitwerking

gekeken. Hoe ziet de uitwerking eruit in overeenstemming met de doelen van de plicht en wat is voor verwerkingsverantwoordelijken praktisch bij de implementatie ervan? Als dit

uitgekristalliseerd is, zal er gekeken worden op welke manier deze plichten zich tot elkaar kunnen verhouden.

2.1 Dataminimalisatie

In deze paragraaf wordt allereerst uitgelegd wat het beginsel van dataminimalisatie inhoudt. Ten tweede wordt gekeken naar het beoogde doel en ten derde op welke manier hier invulling aan wordt gegeven in de praktijk. De Verordening is opgedeeld in specifieke verplichtingen en algemene beginselen. De beginselen zijn altijd van toepassing als een soort filter waar elke verwerking doorheen moet. Hoewel dataminimalisatie altijd van toepassing is, is het gek genoeg nog steeds lastig uit te leggen hoe dataminimalisatie daadwerkelijk wordt toegepast. Dit wordt een uitdaging omdat bedrijven onder de Verordening de naleving van de beginselen moeten aantonen.14 Deze aantoonbaarheid past binnen het grotere concept “accountability” van de Verordening. Accountability is simpel gezegd de

verantwoordingsplicht waardoor verwerkingsverantwoordelijken en verwerkers de naleving van de Verordening moeten aantonen.15 Dit uit zich in aantoonbaarheid van specifieke plichten maar ook algemene aantoonbaarheid, zoals bij de beginselen.

Een verwerking van persoonsgegevens moet

“toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden

waarvoor zij worden verwerkt („minimale gegevensverwerking”)”,

zo luidt het beginsel van dataminimalisatie in de Verordening. Dataminimalisatie is een van de kernprincipes van gegevensbescherming. De verwerking moet proportioneel zijn ten opzichte van het doel en er moet geen andere (minder vergaande) wijze mogelijk zijn waarop

14 _{Zie artikel 5 lid 2 Verordening.} 15

dit doel redelijkerwijs ook kan worden bereikt.16 Wanneer het doel scherp is afgebakend wordt duidelijk of de verwerking en de categorieën persoonsgegevens die verwerkt worden noodzakelijk zijn. Zo snoeit dit beginsel wildgroei aan gegevens weg en minimaliseert het buiten gegevens ook de privacyrisico’s voor de betrokkene.

Er zijn drie aspecten die illustreren waarom dataminimalisatie is opgenomen in de regelgeving. Allereerst is het doel van dataminimalisatie het verminderen van

privacyrisico’s.17

Privacyrisico’s worden gecreëerd door de verzameling van

persoonsgegevens. Theoretisch gezien is er zonder persoonsgegevens geen verwerking en daarmee geen onrechtmatige verwerking mogelijk.18 Praktisch gezien verlagen minder persoonsgegevens de kans op privacy incidenten, datalekken of andere onrechtmatige

verwerkingen (bijvoorbeeld verwerken zonder grondslag of doel). Minder gegevens betekent minder risico op onrechtmatige verwerkingen. Op die manier draagt dataminimalisatie bij aan effectieve gegevensbescherming.

Ten tweede heeft dataminimalisatie door de lange levensduur een soort onaantastbare positie in het gegevensbeschermingsrecht verworven. In 1980, in de OECD19 Richtlijnen (de aanzet tot het initiatief voor de Richtlijn) worden de basisprincipes van bescherming van persoonsgegevens opgesomd. De beginselen waren onder andere het collection limitation

principle, use limitation principle en het purpose specification principle.20 Dataminimalisatie kan gezien worden als een samenkomst van deze principes en dateert zo in andere vorm(en) van ver terug. Dataminimalisatie wordt daarom ook vaak genoemd als een van de Fair Information Principles. 21

Ten derde blijkt het belang van dataminimalisatie uit de impactanalyse van de Commissie voorafgaand aan de Verordening. Dataminimalisatie helpt, zo volgt uit

impactanalyse, mee het verbeteren van de rechten van de betrokkene en het vertrouwen dat de betrokkene heeft (of dient te krijgen) in de digitale wereld. Volgens de Commissie moet dit worden bereikt ter waarborging van effectieve gegevensbescherming en het verbeteren

16 _{Artikel 29 Werkgroep 2014, WP221, p. 2 & Handboek Europese gegevensbeschermingswetgeving 2014 p.}

3.3.1.

17 _{Hoewel het recht op privacy en het recht op gegevensbescherming los van elkaar staan wordt er in deze}

scriptie met de term ‘privacyrisico’s’ op risico’s op inbreuk van beide rechten gedoeld.

18

Concl. A-G. Colomer, HvJ EG 7 mei 2009, C-553/07, p. 40.

19

Organisation for Economic Co-operation and Development.

20 _{OECD 1980, p. 2.}

21 _{Koops 2014, p. 255 & Rapport van United States Department for Health, Education, and Welfare (HEW)}

van gegevensbescherming.22 Ongeacht of de betrokkene bijvoorbeeld toestemming geeft of controle uitoefent verkleint dataminimalisatie onafhankelijk van omstandigheden

privacyrisico’s.23

Een zekerheid als deze geeft de burger vertrouwen in de legitimiteit waarmee de verwerkingsverantwoordelijke met zijn gegevens omgaat, zeker als

toezichthouders hier streng op toezien. Daarbij komt dat dataminimalisatie buiten een plicht voor de verwerkingsverantwoordelijke tegelijkertijd gezien kan worden als een recht voor de betrokkene, het recht dat de verwerkingsverantwoordelijke die zijn gegevens verwerkt uitgaat van het beginsel van dataminimalisatie.24

2.2 De registerplicht

De registerplicht is nieuw, in tegenstelling tot het beginsel van dataminimalisatie. De voorganger van de registerplicht is de meldplicht uit de Richtlijn. De meldplicht verplichtte verwerkingsverantwoordelijken om een melding te maken van verwerkingen tenzij de verwerkingen zijn vrijgesteld.25 De grootste verschillen tussen beiden zijn dat het register intern is en dat er op een andere wijze wordt gedocumenteerd. Over de meldplicht en de ontwikkeling van de registerplicht volgt in hoofdstuk drie meer. De invulling en de

uitwerking van de registerplicht zijn nog niet duidelijk. Noch de toezichthouder op nationaal niveau, noch de toezichthouder op Europees niveau heeft uitleg gegeven. Inmiddels lijken dezelfde vragen op te komen als bij de introductie van de meldplicht, zoals het detailniveau ervan. Er is veel discussie over de invulling van het register.26 In de volgende paragraaf zal eerst op de tekst van artikel 30 van de Verordening worden ingegaan. De doelen van de registerplicht worden behandeld na de tekst van de wet omdat deze van belang zijn voor het schetsen van de uitwerking. Bij de analyse van de uitwerking wordt er onder andere

onderzocht of het register persoonsgegevens zal bevatten en hoe er met informatie over persoonsgegevens moet worden omgegaan.

2.2.1 De tekst van de wet

Elke verwerkingsverantwoordelijke dient een register bij te houden met informatie over de verwerkingsactiviteiten die binnen een organisatie plaatsvinden. De functionaris voor 22 EC SEC (2012)72 def., p. 43. 23 Borgesius 2015, p. 417. 24 _{Safari 2017, p. 847.} 25 _{Artikel 18 Richtlijn.} 26

de gegevensbescherming (met andere woorden: de interne privacy toezichthouder) is hiervoor verantwoordelijk.27 Het register moet het volgende inhouden:

28 In het geval dat er sprake is van een verwerker stelt deze eveneens een register op. Dit register behoeft alleen sub a e g en de categorieën van verwerkingen te bevatten. Ondernemingen of organisaties die minder dan 250 werknemers in dienst hebben zijn

uitgesloten van de registerplicht. Zo’n organisatie dient wel een register op te stellen wanneer de verwerking niet incidenteel is, het bijzondere persoonsgegevens of strafrechtelijke

veroordelingen/strafbare feiten betreft of het waarschijnlijk is dat de verwerking een risico inhoudt voor de rechten of vrijheden van betrokkene(n).29 Op de uitzonderingen van de registerplicht wordt in dit onderzoek niet verder ingegaan. Het register dient te allen tijde opgevraagd te kunnen worden door de toezichthouder. Dit toont aan dat de registerplicht een

27 _{Artikel 29-Werkgroep 2016, WP234, p. 5.12.} 28 _{Artikel 30 & ov. 82 Verordening.}

29

Artikel 30 lid 2 & ov. 13 Verordening.

“a) de naam en de contactgegevens van de verwerkingsverwerkingsverantwoordelijke en eventuele gezamenlijke verwerkingsverwerkingsverantwoordelijken, en, in voorkomend geval, van de vertegenwoordiger van de verwerkingsverwerkingsverantwoordelijke en van de functionaris voor gegevensbescherming;”

“b) de verwerkingsdoeleinden;”

“c) een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens; “

“d) de categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, onder meer ontvangers in derde landen of internationale organisaties;” “e) indien van toepassing, doorgiften van persoonsgegevens aan een derde land of een internationale organisatie, met inbegrip van de vermelding van dat derde land of die internationale organisatie en, in geval van de in artikel 49, lid 1, tweede alinea, bedoelde doorgiften, de documenten inzake de passende waarborgen; “

“f) indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist; “

“g) indien mogelijk, een algemene beschrijving van de technische en organisatorische beveiligingsmaatregelen als bedoeld in artikel 32, lid 1.”

onderdeel is van de uitwerking van het concept accountability van verwerkingsverantwoordelijke.30

2.2.2 De doelen van de registerplicht

Veel organisaties en ondernemingen (vooral grote) hebben op dit moment geen idee welke persoonsgegevens zij waar hebben opgeslagen en waar de gegevens naartoe gaan. Er zijn gegevens, er zijn vast veel gegevens, maar waar?31 Het register dwingt

verwerkingsverantwoordelijken en verwerkers ertoe informatiestromen in kaart te brengen. Vanuit de Verordening moet alles wat wordt gedaan om aan de wetgeving te voldoen ook aantoonbaar zijn. Door middel van de registerplicht is het de bedoeling dat de toezichthouder gemakkelijker inzicht krijgt in de verwerkingsactiviteiten van

verwerkingsverantwoordelijken. De toezichthouder kan dan vaststellen hoe het gaat met de naleving van de Verordening. Daarnaast, omdat verwerkingsverantwoordelijken beter op de hoogte zijn van hun verwerkingen, is het gemakkelijker voor betrokkenen om hier inzicht in te krijgen. Zo draagt het register bij aan transparantie naar de toezichthouder en naar de betrokkene.3233

Daarnaast voegt de registerplicht een extra afweging toe. Wanneer persoonsgegevens in het begin worden verzameld moet de noodzakelijkheid ervan vastgesteld worden.

Vervolgens gaan ze de informatiestromen in en wordt er vaak niet meer naar omgekeken tot verwijdering (als er al verwijderd wordt). Door informatiestromen te inventariseren wordt er een tweede keer naar de gegevens gekeken. Als het bestaan van de data, de bewaartermijn, waar ze heen gaan en alles omliggend aan de gegevens immers vaststaat in het register kan het register binnen de kortste keren worden opgevraagd door de toezichthouder. Dit levert druk om na te denken over de vraag of de persoonsgegevens daadwerkelijk noodzakelijk zijn. Het meldingenregister zou voorheen ook op deze manier een preventief effect hebben op het onnodige gebruik van persoonsgegevens. Het enigszins cruciale probleem is dat de

30

OECD 2013 & Raad van Europese Unie 2015, p. 21.

31

The European Data Market Study 2017.

32 _{Schermer 2017, p.3.}

33 _{Een vergelijking kan getrokken worden met data flow maps die ook in kaart brengen welke gegevens}

meldingen (bijna) niet zijn gedaan.34 De registerplicht moet dit preventieve effect wel verwezenlijken.

2.2.3 De uitwerking van de registerplicht

In artikel 30 Verordening wordt gevraagd om het categoriseren van

persoonsgegevens. Bij strikte interpretatie van artikel 30 zonder samenhang met de rest van de Verordening is het register louter een lijstje van verwerkingsactiviteiten. Dit kan moeilijk een risico creëren. Als het register geen persoonsgegevens bevat zou de Verordening, meer specifiek dataminimalisatie, niet van toepassing zijn. Om een reële uitwerking van het register te schetsen, moet aandacht besteed worden aan een effectieve manier om het register te implementeren en de gangbare manier van omgaan met gegevens over persoonsgegevens (waar de vereisten uit artikel 30 van de Verordening op doelen).

In de inleiding kwam het inzageverzoek bij LinkedIn aan de orde. Stel dat de auteur alle persoonsgegevens over haar had ontvangen, maar niet weet met wie de

persoonsgegevens waren gedeeld. Ook niet waar ze opgeslagen staan en waar of hoe ze zijn verzameld. Het recht op inzage moet zo worden uitgewerkt dat de betrokkene zodanige inzage krijgt dat hij weet of hij andere rechten dient in te roepen of zich naar de rechter moet kunnen wenden als hij schade lijdt. Daarvoor is de gegeven informatie niet toereikend.35 De informatie over het ‘waar en hoe’ van de persoonsgegevens en andere informatie over de omgang met de persoonsgegevens worden “gegevens over persoonsgegevens” genoemd. Hiervoor zal in dit onderzoek de term metadata worden gebruikt. Deze groep gegevens is een deel van de informatie over de persoonsgegevens. De informatie over de inhoud van de persoonsgegevens is incompleet zonder de metadata. Het is onvolledig om metadata weg te laten bij alle wijzen waarbij persoonsgegevens opgevraagd of geïndexeerd worden, ongeacht of het opgevraagd wordt door de toezichthouder, betrokkenen of derde partijen. Denk aan het melden van datalekken bij de toezichthouder of het inzicht geven aan

verwerkingsverantwoordelijken wat je als verwerker doet met persoonsgegevens. Bovenstaande illustreert de relevantie van de geschetste omgeving waarin

persoonsgegevens worden verwerkt. Deze metadata zijn precies waar de registerplicht op doelt. Zonder metadata verliezen veel bepalingen uit de Verordening hun kracht. Daarom

34 _{Winter e.a. 2008, p. 11 & 158.} 35

dienen gegevens over persoonsgegevens , oftewel metadata, op dezelfde wijze behandeld te worden als persoonsgegevens.36 Dit betekent dus dat, ook als het register geen

persoonsgegevens (zonder metadata) bevat, de Verordening (en daarmee dataminimalisatie) alsnog van toepassing is op het register zelf. Gezien bovenstaande worden hierna wanneer de term persoonsgegevens wordt gebruikt ook metadata bedoeld.37

Het register valt onder het geheel van accountability. Uit de preambule van de Verordening volgt immers dat voor de aantoonbaarheid van de naleving van de Verordening een register wordt opgesteld.38 Voor elke verwerkingsactiviteit moet de

verwerkingsverantwoordelijke compliance kunnen aantonen.39 Dit heeft invloed op hoe de registerplicht in de praktijk uitwerkt. Buiten dat naleving over het algemeen aantoonbaar dient te zijn, zijn er meerdere plichten uit de Verordening die specifiek vragen om

documentatie. Denk aan het registreren en melden van datalekken en de aantoonbaarheid van de grondslag toestemming of gerechtvaardigde belangen.40 Om de ene plicht aan te tonen heb je inzicht nodig in hoe de andere wordt aangetoond. Zonder inzicht uit, en samensmelting met het register zijn sommige plichten überhaupt lastig aantoonbaar. Denk aan de impact van een datalek (wat is er precies verloren gegaan en wie heeft mogelijk inzicht in de informatie) aantonen zonder te weten op welke systemen het lek invloed heeft en welke soort gegevens hier doorheen vloeien. Of denk aan het opstellen van een document om de opgemaakte balans aan te tonen bij gerechtvaardigde belangen als grondslag voor een verwerking. Dat lijkt vergezocht. Het is logischer om dit ook in het register te verwerken. Bedrijven of

organisaties, die meestal het economisch efficiënte pad bewandelen, zullen het aantonen van andere plichten logischerwijs toevoegen aan het register. Dit toont dat het register geen lijstje van verwerkingen dient te zijn. Zo kan op de meest efficiënte manier worden omgegaan met de uitwerking van het register in samenhang met accountability.

36 _{Granger & Irion 2014, p. 847.}

37 _{Zie voor zaken en literatuur waar hetzelfde wordt geoordeeld: HvJ EG 7 mei 2009, C-553/07 (Rijkeboer), r.o.}

43-44, Concl. A-G. Colomer, HvJ EG 7 mei 2009, C-553/07, p. 42 & HvJ EG 8 april 2009, C-293/12 (DRI) r.o. 24-29.

38 _{Ov. 82 Verordening.} 39 _{Ov. 74 Verordening.} 40

De Belgische toezichthouder heeft een template voor het register opgesteld in een Excel-bestand (zie bijlage vijf).Deze template bevat meer informatie dan artikel 30 vereist en moet worden gezien als een ‘begeleidingstool’. Het feit dat deze template meer informatie bevat dan artikel 30 bevestigt wederom dat het register meer kan en( in sommige gevallen) zal bevatten dan een strikte interpretatie van de lijst aan vereisten.

Een illustratie van de ‘begeleidingstool’ van de Belgische toezichthouder. Let wel: deze tegels zijn uit het originele register geknipt en samengevoegd.

Bron: www.privacycommission.be/nl/model-voor-een-register-van-de-verwerkingsactiviteiten

Buiten dat het register meer informatie zal bevatten om tegelijkertijd aan andere accountability verplichtingen te kunnen voldoen is het ook noodzakelijk om meer informatie dan de categorisering te registreren om transparantie te kunnen waarborgen. Een overzicht strikt gebaseerd op de vereisten in artikel 30 van de Verordening zal niet veel nieuw inzicht bieden in de informatiestromen van een bedrijf (afhankelijk van de grootte). Informatie als ”De C&A verwerkt betaalgegevens” zegt een klant namelijk niet meer dan hij al wist. Een dergelijk overzicht geeft ook weinig additionele informatie aan de toezichthouder. De

toezichthouder weet uit gezond boeren verstand dat marketingbureau bepaalde

persoonsgegevens verwerkt en deelt met zijn klanten. Om een onderzoek uit te voeren voor de toezichthouder is meer dan deze informatie nodig, dus zal een toezichthouder eerder gehele databases opvragen. De strikte interpretatie uit de inleiding faciliteert weinig transparantie, om dit doel te bereiken moet in het register meer informatie gegenereerd worden. Er moet bijvoorbeeld in plaats van melden dat een marketingbureau

delen van NAW-gegevens met een bedrijf dat gaat over hypotheken levert immers een andere impact voor betrokkenen dan het delen met een bedrijf dat inzichten biedt op het gebied van reclame voor supermarkten. In het eerste geval kunnen persoonsgegevens gebruikt worden voor profilering bij het verlenen van hypotheken.41 In het tweede geval kunnen ze gebruikt worden voor reclame in de buurt van de betrokkene.42 Zonder te weten waar de

persoonsgegevens heen gaan kan de toezichthouder geen inschatting maken over de impact voor betrokkenen. Ten tweede zal in plaats van registreren dát er bijzondere

persoonsgegevens verwerkt worden duidelijk moeten zijn welke persoonsgegevens dat zijn. Een datalek waarbij medische gegevens in combinatie met NAW-gegevens en een datalek waarbij BSN-nummers in combinatie met NAW-gegevens verloren zijn gegaan leveren een andere impact. Beide combinaties van persoonsgegevens kunnen voor verschillende

doeleinden gebruikt en misbruikt worden. Denk aan identiteitsfraude met behulp van BSN-nummers of het misbruiken van medische gegevens voor commerciële doeleinden.43 Het duidelijkste zou zijn als er een algemene template (incl. detailniveau) opgesteld zou kunnen worden van het register. Dit is lastig omdat de vorm van het register afhankelijk is van het soort bedrijf/organisatie en de soort verwerkingen. De template van de Belgische

toezichthouder bevat meer informatie dan artikel 30 Verordening en wordt gezien als een voorbeeld, geen hard vereiste. Dit toont wederom dat het afhankelijk is van de verwerkingen hoe het register eruit dient te zien. Wat vastgelegd moet worden wordt besloten op basis van risicoanalyses.44 De kern is dat het register zo wordt opgesteld dat het voldoet aan wat beoogd wordt met het register: transparantie over de verwerkingen.

Het register brengt veel voordelen met zich mee en wordt in de praktijk vaak als een brenger van orde in chaos gezien. Toch kan men er ook anders naar kijken. Vaak wordt over het hoofd gezien dat deze nieuwkomer indruist tegen het oude beginsel van

dataminimalisatie. Daarnaast heeft elke verwerkingsverantwoordelijke een bewegwijzering klaar liggen wat ze verwerken, waar het heen gaat (welk

bedrijf/applicatie/databank/enzovoorts) en hoe ze daarmee omgaan. Een aardig overzicht waar veel informatie te halen valt.

41

De Horde, Bökkerink en Lalkens 2015.

42 _{Achter de feiten 2015.}

43 _{Ministerie van Volksgezondheid, Welzijn en Sport 2016.} 44

2.3 De feitelijke verhouding tussen dataminimalisatie en de registerplicht

Het moment dat in het register persoonsgegevens worden opgeslagen is op het register zelf de Verordening van toepassing, waaronder dataminimalisatie. ‘Voldoen aan de

registerplicht’ is niet het primaire doel van een verwerking. Het opslaan van

persoonsgegevens in een register wrikt daarom in beginsel al met dataminimalisatie. Wanneer de doelen van de registerplicht en dataminimalisatie naast elkaar worden gezet zijn er verschillende verhoudingen te onderscheiden. Met het register wordt direct transparantie naar de toezichthouder beoogt en indirect naar de betrokkenen. Dit zijn twee van de drie doelen van het register. Het doel van dataminimalisatie is door het verminderen van persoonsgegevens privacyrisico’s verkleinen. Voor het behartigen van transparantie met het register zijn zelfs meer gegevens nodig dan alleen een categoriale basis. Een

toezichthouder heeft bijvoorbeeld namelijk meer data nodig voor inzicht en bij het behartigen van de rechten van betrokkenen is de bedoeling dat de betrokkene zodanig inzicht krijgt dat zij indien nodig haar andere rechten kan inroepen. De registerplicht zorgt voor meer

gegevens terwijl dataminimalisatie met haar doel beoogt privacyrisico’s te verminderen door gegevens te verminderen. Het bereiken van transparantie door de registerplicht wrikt zo met hoe dataminimalisatie privacyrisico’s wil verminderen.

Hiernaast wordt met het register een dubbele check op de noodzakelijkheid van gegevensverwerkingen beoogd. Het uitvoeren van de registerplicht zou een positief effect moeten hebben op het verminderen van gegevens en eventueel de omgang met

persoonsgegevens.45 Door de extra check bij het opstellen en aanvullen van het register worden de privacyrisico’s verkleind. Tevens wordt de algemene omgang met

persoonsgegevens (denk bijvoorbeeld aan het vaststellen van bewaartermijnen na het stuiten op gegevens die te lang bewaard worden) zo mogelijk verbeterd, waardoor verwerkingen meer compliant kunnen worden. De registerplicht draagt zo bij aan het doel van

dataminimalisatie. Zo kan de registerplicht via de “noodzakelijkheids-check” dataminimalisatie versterken. Daarbij komt dat dataminimalisatie dient te worden

aangetoond.46 De minimaliserende werking van de registerplicht kan hier ook nog een middel

45 _{Winter e.a. 2008, p. 11 & 158.} 46

toe zijn doordat een register op zich aantoont dat naar alle gegevens nog een keer gekeken is. Zo helpt de registerplicht wederom de toepassing van dataminimalisatie.

Waar de transparantie die de registerplicht beoogt dataminimalisatie kan tegenwerken, versterkt de noodzakelijkheids-check van de registerplicht dataminimalisatie en kan het register mogelijk dataminimalisatie aantonen. Dit toont de tweeledige verhouding tussen de registerplicht en dataminimalisatie. Nu duidelijk is waar de plichten elkaar kunnen

tegenkomen kan er onderzocht worden hoe vanuit de verschillende actoren gekeken wordt naar de gewenste uitwerking van deze plichten tezamen.

3.

De visie van de Europese wetgever

In het volgende hoofdstuk wordt er gekeken naar de visie op effectieve

gegevensbescherming en de verhouding tussen dataminimalisatie en de registerplicht vanuit de wetsgeschiedenis en de analyse daarvan. Er wordt aandacht besteed aan de ontwikkeling van gegevensbescherming vanaf de OECD Richtlijnen tot de instemming van de

Verordening.

3.1 De ontwikkeling van het gegevensbeschermingsrecht

In de jaren ’80 van de 20e eeuw ontwikkelen verschillende landen “data laws” of “privacy protection laws” ter bescherming van privacy bij geautomatiseerde verwerkingen.47 De OECD ziet hier een probleem ontstaan en raadt de lidstaten aan samen te werken omdat uiteenlopende wetgeving het internationale verkeer van persoonsgegevens niet ten goede komt.48 De Richtlijn is een reactie op deze situatie vanuit de lidstaten. Met het vastleggen van de Richtlijn in 1995 wordt geprobeerd de nationale wetten glad(der) te strijken en het vrije verkeer van persoonsgegevens mogelijk maken en houden met inachtneming van het recht op een persoonlijke levenssfeer.

De eerste evaluatie van de Richtlijn in 2003 klonk positief. De Richtlijn realiseerde over het algemeen zijn doeleinden. Echter waren er toch verbeterpunten, waaronder

bewustwording van betrokkenen, die deels spaak liep door de onbekendheid van de

meldplicht.49 Over deze ontwikkeling volgt in paragraaf 3.3 meer. In 2007 wordt vastgesteld dat er aanzienlijke verbeteringen zijn sinds 2003, maar wederom valt genoeg werk te

verrichten voor een betere implementatie van de Richtlijn. 50 Een paar jaar hierna blijkt de Richtlijn niet meer voldoende bescherming te bieden. De Richtlijn is verouderd en kan niet meer gedijen in de tijd van smartphones, communicerende koelkasten en zelfrijdende auto’s.51

De wetgeving is aan herziening toe, onder andere omdat het cruciaal is voor de economie dat burgers vertrouwen hebben in de digitale omgeving. 52 Toentertijd heerste er helaas meer wantrouwen dan vertrouwen, zeker na de onthullingen van Snowden en de 47 _{OECD 1980.} 48 Ibid. p. 77. 49 EC COM(2003) 265 definitief. 50 _{EC COM(2007) 87 definitief.} 51 _{EC COM (2012) 11 definitief.} 52 EC COM(2017) 246 definitief.

informatie van Wikileaks.Het meerendeel van de Europese burgers is dan ook bang dat hun persoonsgegevens voor meer worden gebruikt dan waarvoor ze worden verzameld en maakt zich zorgen.53 Meer dan een derde van de Europese respondenten uit dat ze het gevoel hebben dat ze geen controle hebben over hun persoonsgegevens.54 Dit terwijl het inleveren van persoonsgegevens ook als een onvermijdelijk deel van het moderne leven wordt gezien.

In vergelijking met de Richtlijn is de Verordening meer gefocust op het versterken van de kennis van en de mogelijkheid tot controle voor de betrokkenen. Deze focus lijkt te komen als een antwoord op het gebrek aan wetenschap over de mogelijkheid tot controle en de waarborging van daadwerkelijke controle.55 De betrokkene krijgt er een aantal rechten bij en de verwerkingsverantwoordelijken worden verplicht om beter te communiceren over de rechten van betrokkenen. Geef de burger vertrouwen in de digitale omgeving, lijkt het streven van de wetgever.56 Effectieve gegevensbescherming moet bijdragen aan het vertrouwen. Dataminimalisatie en de registerplicht hangen hiermee op hun eigen manier samen.57

53

Special Eurobarometer 431 2015, p. 15.

54

Ibid. p. 23.

55 _{EC COM(2012) 11 def., p. 1 & 2.} 56 _{Albrecht, 2016, p. 288.}

57

Richtlijn 1995/46/EG, Artikel 6 lid 1 onder c: “De lidstaten bepalen dat de

persoonsgegevens”…”toereikend, ter zake dienend en niet bovenmatig moeten zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt”

Voorstel voor Algemene Verordening Gegevensbescherming 2012, Artikel 5 lid 1 onder c: “De persoonsgegevens moeten”…”adequaat en ter zake dienend zijn en beperkt blijven tot datgene wat minimaal nodig is voor de doeleinden waarvoor zij worden verwerkt; zij worden alleen verwerkt wanneer en voor zolang als de doeleinden niet zouden kunnen worden verwezenlijkt door het verwerken van andere gegevens dan persoonsgegevens;”

Algemene Verordening Gegevensbescherming 2016, Artikel 5 lid 1 onder c: “De persoonsgegevens moeten”…”toereikend zijn, ter zake dienend en beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt („minimale gegevensverwerking”);”

3.2 De ontwikkeling van dataminimalisatie

Dataminimalisatie is sinds 1980 (zie paragraaf 2.2) op heel veel verschillende manieren uitgelegd. In de bovenstaande tabel zijn de verschillen in bewoording van de Richtlijn, het Voorstel van de Verordening en de daadwerkelijke wettekst van de Verordening onder elkaar gezet. In de evaluatie van de Richtlijn kwam naar voren dat dataminimalisatie een meer specifieke uitleg kon gebruiken. De Richtlijn gaf niet genoeg sturing in hoe dataminimalisatie toegepast moet worden. Specifiekere uitleg zou ook helpen bij het verwerkelijken van de rechten van betrokkenen.58 Deze aandacht voor het beginsel is van belang omdat dataminimalisatie op zichzelf al effectieve gegevensbescherming

waarborgt volgens de Commissie.59 Zeker in een periode waarin huishoudapparatuur zelfs persoonsgegevens verzamelen, is een uitgangspunt als dataminimalisatie onmisbaar.60 De vraag was hoe dit belang naar voren kan worden gebracht in de tekst. In het voorstel van 2012 werd dataminimalisatie aangescherpt. Volgens de Raad van de Europese Unie was dit om rekening te houden met de nieuwe digitale eeuw en een balans te vinden tussen

gegevensbescherming en nieuwe mogelijkheden voor verwerkingsverantwoordelijken om

58 _{Ibid. p. 65.}

59 _{Ibid. p. 72/73.} 60

gegevens te verwerken.61 Hoewel de bewoordingen op details verschillen brengt elke bewoording een andere nuance mee. Volgens het Voorstel moeten gegevensverwerkingen alleen het uiterst noodzakelijke behelzen. Als er een manier is zonder persoonsgegevens om hetzelfde doel te bereiken, dan mogen er geen persoonsgegevens worden verwerkt. Met andere woorden zegt het Voorstel dat als de verwerking zonder deze persoonsgegevens zou kunnen, de persoonsgegevens verwijderd moeten worden. De vastgelegde tekst impliceert dat als het met iets minder kan, dat het met minder persoonsgegevens dient te worden verwerkt. De nuance is verschoven van geen persoonsgegevens, naar minder persoonsgegevens. Hier zien we een verschuiving van zwaarte en strengheid van het beginsel.62 Dit wordt in voorbereidende documenten een beweging terug naar de Richtlijn genoemd.63

Ondanks de vraag om aanscherpen van dataminimalisatie om op die manier een betere en explicietere uitwerking mogelijk te maken, is dat niet gebeurd. De reden hiervoor is niet af te leiden uit officiële Europese documenten. De Verordening is dan ook getekend door consensus, mede door de bedrijvenlobby.64

3.3 De ontwikkeling van de registerplicht

De Richtlijn verplichtte verwerkingsverantwoordelijken en verwerkers tot het melden van elke nieuwe persoonsgegevensverwerking aan de toezichthouder. Van de meldingen werd een meldingenregister gevormd waarin betrokkenen vrije inzage hadden. Wanneer een organisatie een functionaris voor de gegevensbescherming in dienst nam, was de organisatie vrijgesteld van de meldplicht omdat dan een intern meldingensysteem moest worden

opgesteld. In aanloop naar de Richtlijn werd er gediscussieerd over de meldplicht. Enerzijds kon het een te grote last zijn, anderzijds werd gesproken over een verbreding van de melding zelf opdat de meldplicht effectiever zou zijn.65,66 Reeds bij de eerste evaluatie van de

Richtlijn werd de uitwerking van de meldplicht veelvuldig bekritiseerd. De meldplicht werd inderdaad gezien als een te grote last voor kleine en middelgrote bedrijven. Daarnaast waren betrokkenen niet op de hoogte van de meldplicht, waardoor de beoogde transparantie voor

61 _{De Raad 2016, p. 8.}

62 _{Zie bijvoorbeeld www.lobbyplag.eu.} 63

Commissie interne markt en consumentenbescherming 2012, p. 51.

64

Pfeifle, 2015.

65 _{Economisch en Sociaal Comité, C 159/38 en EC SEC(2012) 72 definitief, p.14.}

66 _{De verbreding is te zien in de overgang van ‘bestand’ naar ‘behandeling’. ‘Bestand’zou te smal}

Nederlandse meldingenregister na zoekopdracht “V&D”

Bron:

www.collegebeschermingpersoonsgegevens.nl/asp/ORDetail.asp?moid=808e8589 8(offline)

betrokkenen verloren ging.67 De Commissie heeft de Artikel 29 Werkgroep (hierna: de Werkgroep) gevraagd om een simplificatie van het notificatiesysteem (de meldplicht en het register van meldingen tezamen) te maken. De Werkgroep constateerde twee kernproblemen: de meldplicht was niet bekend bij betrokkenen en hij betekende voor organisaties een enorme last, juist ook voor grote verwerkingsverantwoordelijken.68 Ondanks de complicaties stelde de Werkgroep dat bij een hervorming van de wet, het notificatiesysteem niet diende te

verdwijnen.

Een voorbeeld van het Nederlandse

meldingenregister69 stelt vraagtekens bij de doeltreffendheid van het

register. Het is maar de vraag of het meldingenregister überhaupt kan bijdragen aan transparantie naar betrokkenen toe. Bijlage drie toont de zoekvelden van het meldingenregister. Een betrokkene kan zoeken naar verwerkingsactiviteiten van een bepaalde

verwerkingsverantwoordelijke. Bijlage drie en vier (waarvan een voorbeeld in het kader hiernaast) geven een voorbeeld van het resultaat als de

67 _{EC COM (2003) 265 def.}

68 _{Artikel 29 Werkgroep 2005, WP106.} 69

Inmiddels is het meldingenregister offline gehaald. Helaas kon om die reden geen ander voorbeeld genomen worden dan de V&D, welke falliet is. Er wordt vanuit gegaan dat de meldingen van de V&D een waardevol voorbeeld is.Vooral omdat uit de jurisprudentie volgt dat het recht op inzage langer dan een jaar gewaarborgd moet kunnen worden, mits niet anders is afgesproken met de betrokkene. Inzage kan op het moment nog steeds relevant zijn (HvJ EG 7 mei 2009, C-553/07 (Rijkeboer).

zoekopdracht “V&D” wordt ingevoerd. Met deze beperkte informatie weet een betrokkene nog steeds niet of het om hem gaat, tevens omdat er geen bewaartermijn genoemd wordt. Het meldingenregister lijkt zeer beperkt om transparantie, indirect of direct, te faciliteren. Zelfs als een betrokkene op de hoogte is faciliteert het register weinig inzicht.

In 2007 benadrukt de Commissie wederom dat het melden inderdaad een grote last is. De voordelen, transparantie en een vermindering van de werklast voor de toezichthouder, werden ook genoemd. Maar als betrokkenen nooit daadwerkelijk voldoende waren

geïnformeerd over het notificatiesysteem is het de vraag of de voordelen van de meldplicht daadwerkelijk hout snijden.70 Bovendien deden weinig organisaties en bedrijven überhaupt alle vereiste meldingen. De discussie over het opnemen van een meldplicht of een ander soort notificatieplicht ging verder in de aanloop naar de Verordening. Naar Europees onderzoek bleek dat het volledig afschaffen van een dergelijke plicht tot wel 130 miljoen per jaar zou schelen aan administratieve kosten voor verwerkingsverantwoordelijken.71 In de discussie werd benadrukt dat registreren louter een middel is om andere doelen te verwezenlijken en dat het documenteren zelf niets zou bijdragen. Overbodige documentatie zou zoveel mogelijk moeten worden teruggedrongen.72 Echter, het registreren van verwerkingen zou wél de werklast voor de toezichthouder verminderen omdat deze dan makkelijker inzicht kan krijgen in de verwerkingsactiviteiten van organisaties. Daarbij komt dat de Verordening gekleurd wordt door het streven naar het verbeteren van controlemogelijkheden voor betrokkenen. Documentatie (in een register) verbetert deze mogelijkheden en kan dus de betrokkene indirect de mogelijkheid geven zijn recht adequaat uit te kunnen oefenen. Zo is de registerplicht in lijn met het streven van de Verordening en helpt de registerplicht het vertrouwen van de burger te herstellen in de digitale omgeving. 73

Het is de bedoeling van de registerplicht om de doelen, die de meldplicht niet bereikte, wel te verwezenlijken. De plichten beogen hetzelfde maar verschillen veel. Met name door de samenhang van de registerplicht met accountability (zie paragraaf 2.2.2). Voor het register moeten gegevensstromen in kaart worden gebracht en worden gecategoriseerd

70 EC COM(2007) 87, p. 5&7. 71 _{Ibid. p. 73.} 72 _{EDPS 2016/C 67/05, p.2.} 73 Winter e.a. 2008, p. 158.

voor interne registratie. Dit verschilt met een lijst van meldingen in de dossierkast van de toezichthouder. Het blijft de vraag of in werkelijkheid het register een minder zware last zal zijn voor verwerkingsverantwoordelijken.

3.4 De verhouding tussen dataminimalisatie en de registerplicht vanuit de

Europese wetgever

De registerplicht blijkt vanuit de visie van de Europese wetgever zeer belangrijk. De Europese wetgever wil immers het vertrouwen van de burger in digitale gegevensopslag herstellen door gehoor te geven aan de veelgehoorde kritiek op het gebrek aan inzicht in wat er met persoonsgegevens gebeurt. De registerplicht helpt hierbij. Als dataminimalisatie in het gedrang komt door het verwerken van persoonsgegevens in het register, ongeacht de

hoeveelheid, prevaleert het belang van het naleven van de registerplicht. Het register moet dan wel bijdragen aan het faciliteren van rechten en inzicht voor betrokkenen.

Dataminimalisatie als recht van een betrokkene dient echter niet uit het oog verloren te worden en ook bij het opstellen van het register is het van belang te kijken naar wat strikt noodzakelijk is om de doeleinden van het register te bereiken.74 Hoewel de specificatie achterwege blijft wordt immers in de voorbereiding naar de Verordening nog aandacht besteed aan dataminimalisatie en het belang ervan. Of de mogelijkheid tot controle die geboden wordt daadwerkelijk bijdraagt aan effectieve gegevensbescherming zal behandeld worden in hoofdstuk vijf.

74

4. De visie vanuit de Europese jurisprudentie

Het Hof van Justitie van de Europese Unie is het primaire orgaan dat de Verordening zal interpreteren.75 Daarom zal in dit hoofdstuk aandacht besteed worden aan de visie van het Hof op de verhouding tussen de registerplicht en dataminimalisatie. Deze visie wordt bij gebrek aan jurisprudentie op basis van de Verordening, gebaseerd op jurisprudentie op basis van de Richtlijn.

De Verordening en de Richtlijn dienen dezelfde doeleinden, namelijk het effectief beschermen van de betrokkenen en het waarborgen van de interne markt van persoonsgegevens. Daarbij gebruiken beide wetgevingsstukken dezelfde (of weinig veranderde) terminologie. Om de visie van het Hof op gegevensbeschermingsrecht te

illustreren, is de jurisprudentie aan de hand van de Richtlijn het meest gepast. Daarom kan en zal de interpretatie van de Richtlijn door het Hof gebruikt worden voor de interpretatie van de Verordening.76

4.1

De uitgangspunten

Hoofdstuk twee toont twee perspectieven van waaruit gekeken kan worden naar de verhouding tussen de registerplicht en dataminimalisatie. Een elkaar versterkend en een elkaar verzwakkend perspectief. Voor een analyse vanuit de visie van het Hof is een conflict nodig. Het Hof voert immers bij grondrechtelijke geschillen een belangenafweging uit. In de analyse van de visie van het Hof op de verhouding tussen de registerplicht en

dataminimalisatie wordt daarom gekeken vanuit het perspectief waarbij de doeleinden conflicteren. In casu wrikt het doel van dataminimalisatie om privacyrisico’s te verminderen met het verzamelen van persoonsgegevens voor het register om transparantie te bereiken naar de toezichthouder en de betrokkene. Dit is de wisselwerking die uiteengezet moet worden voor het opmaken van een balans. 77

Het Hof heeft veel zaken over privacy en gegevensbescherming voor zich gehad. Vaak gaat het bij deze zaken over een conflict tussen het recht op gegevensbescherming en

75 _{Artikel 267 VWEU.}

76_{Bonnici 2014, p. 136.} 77

een ander grondrecht.78 Rondom deze zaken woedt een hevige discussie over een eventuele hiërarchie tussen grondrechten. De afweging die in dit onderzoek gemaakt dient te worden betreft twee bepalingen die beiden het recht op bescherming van persoonsgegevens

waarborgen. De discussie zal dus niet zijn welk grondrecht prevaleert (en of er een hiërarchie is) maar welke bepaling. In casu gaat het om een innerlijk conflict binnen het

gegevensbeschermingsrecht waarin wordt getracht de betrokkene effectief te beschermen. In dit hoofdstuk zal de verhouding worden geanalyseerd op de wijze waarop het normaliter Hof balans opmaakt tussen belangen. Er zal overwegend gekeken worden naar een zeer

gelijkende zaak, Rijkeboer, met inachtneming van de relevante verschillen.79 Het Hof heeft factoren vastgesteld die van belang zijn bij het opmaken van de balans tussen twee

grondrechten. Deze worden gebruikt om tot een conclusie te komen hoe het register en dataminimalisatie zich tot elkaar dienen te verhouden. In lijn met jurisprudentie op basis van de Richtlijn wordt het volgende uitgangspunt genomen bij de interpretatie van de

Verordening: een zo hoog mogelijke bescherming voor de betrokkene in het kader van de verhouding tussen de plichten.

Een grondrecht kan beperkt worden op grond van artikel 52 Handvest van de Europese Unie. Of een inbreuk op een grondrecht gerechtvaardigd is, hangt af van de proportionaliteit of evenredigheid van de maatregel ten opzichte van de doelen van de handeling.80 Daarom moet de inbreuk strikt noodzakelijk zijn en effectief bijdragen aan het doel dat wordt beoogd.81 Continu moet worden gekeken naar hoe de de handeling van de inbreuk bijdraagt aan het doel en of dit ook op een minder vergaande manier kan worden bereikt. 82 Daarom zal de onderliggende casus als volgt worden geanalyseerd. De plichten worden tegen elkaar afgewogen, waarbij de (verwezenlijking van) de doeleinden van de plichten in ogenschouw worden genomen. Hierbij vormt het evenredigheidsbeginsel de kern van de afweging. 83

78 _{HvJ EG 6 november 2003, C-101/01 (Lindqvist) & HvJ EU 16 februari 2012, C-360/10 (Scarlet/Sabam).} 79 _{HvJ EG 7 mei 2009, C-553/07(Rijkeboer).}

80

HvJ EG 20 mei 2003 C-465/00 (Österreichischer Rundfunk) r.o. 57, HvJ EG 29 januari 2008, C-275/06 (Promusicae) r.o. 68&70, HvJ EU 9 november 2010, C92/09&C-93/03(Schecke) r.o. 50.

81 _{Irion 2016, p. 882.}

82 _{HvJ EG 13 november 1990, C-331/88( FEDESA) r.o. 13.} 83

4.2

De zaak Rijkeboer

Het Hof heeft één zaak voor zich gehad waarbij het net zoals hier een Dr. Jeckyll &

Mr. Hyde situatie betrof: twee belangen binnen één grondrecht.84 In deze zaak werd het inzagerecht door de betrokkene, Rijkeboer, ingeroepen. Het verzoek betrof persoonsgegevens en informatie over persoonsgegevens (in hoofdstuk twee reeds geïntroduceerd als

‘metadata’). 85

De metadata werden binnen een jaar verwijderd, waar de persoonsgegevens vijf jaar werden bewaard. De betrokkene was niet meer in staat om de metadata op te vragen en daardoor kon de betrokkene niet weten met wie de gegevens gedeeld waren en of deze partijen de gegevens nog steeds hebben, of deze correct zijn, enzovoorts. De vraag was of het recht zich uitstrekte tot de verleden tijd van de persoonsgegevens, geschetst door de

metadata. Aan de ene kant moeten gegevens natuurlijk niet onnodig lang worden bewaard en is het niet de bedoeling de verwerkingsverantwoordelijke een grote last op te leggen om de gegevens langer te bewaren. Aan de andere kant moeten betrokkenen zich effectief kunnen beroepen op hun rechten. Ondoordacht weggooien van gegevens blijkt niet verstandig. Wat is de waarde van een inzagerecht immers als je niet weet waar de persoonsgegevens naartoe zijn verzonden? Een betrokkene kan op die manier lastig een beroep doen op andere rechten, zoals wijziging of verwijdering. De betrokkene verliest zo de mogelijkheid zich effectief te beroepen niet alleen op zijn inzagerecht, maar ook op andere rechten. Vanuit twee kanten kan gepleit worden dat beoogd werd gegevens effectief te beschermen. De afweging was simpel gezegd als volgt. Moeten de metadata door de verwerkingsverantwoordelijke langer bewaard worden zodat betrokkenen hun recht op toegang kunnen inroepen ongeacht de last van de verwerkingsverantwoordelijke? In het onderzoek van deze scriptie gaat het om de volgende rechtsvraag: Moet er geregistreerd worden voor transparantie ondanks dat dataminimalisatie

hierdoor geschaad kan worden en privacyrisico’s daarmee vergroot? Het verschil met

Rijkeboer is dat de last die het daar betreft voortvloeit uit de interpretatie van de uitwerking van een plicht. In casu is de “last” (opstellen van een register) als verplichting wettelijk vastgelegd net zoals dataminimalisatie. Bij Rijkeboer werd duidelijk dat voor een effectief beroep op het recht op inzage het recht zich tot het verleden strekt, en de metadata tevens van belang zijn. De verwerkingsverantwoordelijke diende de persoonsgegevens (in casu de

84 _{Concl. A-G. Colomer, HvJ EG 7 mei 2009, C-553/07, p. 25.} 85

metadata) langer te bewaren om te kunnen voldoen aan het recht van een betrokkene, mits de betrokkene niet voldoende vooraf geïnformeerd werd over de bewaartermijn en wat er met de gegevens zou gebeuren. Met het oog op de primaire doeleinden van de verwerking zouden de gegevens al verwijderd dienen te zijn, maar het recht op toegang maakt dat ze bewaard moeten worden.

4.3 De afweging van dataminimalisatie en de registerplicht

Er moet geanalyseerd worden of het proportioneel is dat de registerplicht

dataminimalisatie beperkt in zijn werking voor het bereiken van transparantie. De kernvraag is nu zo gesteld alsof de registerplicht de basisregel is en dataminimalisatie de

uitzondering/inbreuk daarop. Men dient zich ervan bewust te zijn dat bij de afweging van twee verschillende grondrechten deze in beginsel gelijk aan elkaar zijn. In casu wordt dit ook zo benaderd tussen de verschillende bepalingen. Er moet een dusdanige balans worden opgemaakt tussen de plichten die de doeleinden van de Verordening en de bepalingen reflecteert en bijdraagt aan een effectieve toepassing van de wetgeving. 86 Op deze manier wordt getracht een balans tussen de plichten te creëren die aan het bovenstaande voldoet, zoals ook bij Rijkeboer gebeurde.

In casu gaat het niet alleen om persoonsgegevens maar ook over gegevens over

persoonsgegevens. Deze dienen op dezelfde wijze behandeld te worden als persoonsgegevens gezien de informatiewaarde ten opzichte van persoonsgegevens (zie paragraaf 2.2.3).

Het opstellen van een register treedt buiten de primaire doeleinden van de verwerking en schaadt dataminimalisatie. Het Hof heeft zich eerder streng uitgelaten over het buiten de primaire doeleinden van de verwerking treden. 87 Het beperken van dataminimalisatie door het register op te stellen schaadt tevens de kwaliteitsbeginselen. Het vernietigen van onnodige gegevens middels dataminimalisatie draagt namelijk bij aan eerlijke en rechtmatige

verwerking van persoonsgegevens (kwaliteit). 88 Met de verwijdering van gegevens verdwijnen risico’s en dataminimalisatie kan zo op zeer effectieve wijze aan haar eigen doelstellingen en aan de doelstellingen van de Richtlijn bijdragen.

86 _{HvJ EG 16 december 2008, C524/06 (Huber) r.o. 52 & 62.} 87 _{HvJ EU 5 juli 2011, F 46/09.}

88

Buiten dat het opstellen van een register dataminimalisatie in de weg zit, kan het bewaren van een grote hoeveelheid persoonsgegevens een grote last zijn voor een

verwerkingsverantwoordelijke zoals in hoofdstuk drie is aangekaart. Het opstellen van een uitgebreid register kost veel tijd en kan privacyrisico’s met zich mee brengen. Het moet daarom buiten kijf staan dat als een register wordt opgesteld, het zo wordt opgesteld dat het bijdraagt aan de doeleinden van het register.

Hoewel het Hof zich streng uitlaat over het te buiten treden van primaire doeleinden van een verwerking heeft zij duidelijk gemaakt dat voor de naleving van de ene plicht de andere kan worden ingeperkt. Bij Rijkeboer was het bijvoorbeeld niet meer nodig voor het doeleinde van de verwerking om de persoonsgegevens te bewaren. Het wel bewaren ervan zou dus per definitie ingaan tegen dataminimalisatie. Om de rechten van betrokkenen te waarborgen moesten de gegevens toch bewaard worden. Is dit in casu ook het geval? Is het nodig, ondanks het nadeel van het register voor dataminimalisatie, om de registerplicht na te leven ter waarborging van transparantie naar de toezichthouder en betrokkenen?

Met het oog op het bijdragen van het register aan de doeleinden van de Verordening wordt gekeken naar de visie van de wetgever, aangezien het Hof deze moet interpreteren. Het volgende is van belang. Door het opstellen van het register wordt transparantie (beter)

gewaarborgd door het in kaart brengen van gegevens. Daar waar

verwerkingsverantwoordelijken hier nu zelf de weg in moeten vinden, maakt de registerplicht het (indirect) mogelijk voor een betrokkene om zich te beroepen op zijn recht op inzage doordat duidelijk is welke gegevens waar zijn. Het recht op inzage is afdoende nageleefd wanneer de betrokkene zodanig veel inzicht in de gegevens heeft gekregen dat hij eventueel zijn andere rechten kan inroepen, zoals het recht op rectificatie.89 Het register kan dit faciliteren als het op een wijze wordt uitgevoerd zoals geïllustreerd in paragraaf 2.2.

Het register neemt een grote last weg voor de toezichthouder en biedt inzage in de verwerkingsactiviteiten van organisaties (volgens de wetgever). Het is een basis om

compliance aan te tonen voor meer plichten dan alleen de registerplicht (zie paragraaf 2.2) en kan hier zeer relevant voor zijn.

Concluderend kan vastgesteld worden dat hoewel het uitvoeren van de registerplicht dataminimalisatie in het gedrang brengt, deze beperking proportioneel lijkt wanneer er

89 _{HvJ EG 7 mei 2009, C-553/07(Rijkeboer), r.o. 48, Concl. A-G. Colomer, & HvJ EU 17 juli 2014}

gekeken wordt naar het effectief verwezenlijken van het doel: transparantie. Met betrekking tot proportionaliteit is van belang dat een minder vergaande uitvoering van de registerplicht, waarbij dataminimalisatie niet wordt ingeperkt, niet op dezelfde wijze transparantie kan borgen. Of in ieder geval een minder vergaande wijze wettelijk niet vastgesteld kan worden door de vele betrokken belangen. Dit kan worden afgeleid uit de eindeloze zoektocht naar minder vergaande maatregelen in de naweeën van de meldplicht en de discussies over de notificatieplicht. De dubbele noodzakelijkheids-check die het register faciliteert is in

overeenstemming met de visie van het Hof. Hoewel dataminimalisatie belemmerd wordt zou zonder het register deze evenredigheidstoets niet, zo structureel en wijdverbreid,

plaatsvinden. Dit sluit naadloos aan bij de proportionaliteitseisen gesteld door het Hof bij grondrechtinbreuken.

Later, in hoofdstuk zes, worden de uitgangspunten van het Hof die gebruikt worden voor de analyse verrijkt met de inzichten uit de praktijk. Om visies zo goed mogelijk te analyseren op zichzelf, gaat het Hof hier puur uit van de visie van de wetgever op de Verordening.