De verenigbare verdere verwerking van
persoonsgegevens verzameld op basis
van toestemming
En de verenigbaarheid hiervan met de grondslag toestemming en artikel 8 van
het Handvest van de grondrechten van de Europese Unie
Naam: Lotte aan de Stegge E-mailadres: aandestegge.lotte@gmail.com
Studentnummer: 12353507 Mastertrack: Informatierecht Begeleider: dhr. mr. O.L. van Daalen Inleverdatum: 24 juli 2020
Abstract
In deze scriptie wordt onderzocht of de verenigbare verdere verwerking (in de zin van artikel 6 lid 4 AVG) van persoonsgegevens die oorspronkelijk verzameld zijn op basis van de grondslag toestemming, verenigbaar is met de toestemmingsgrondslag en artikel 7 en 8 van het Handvest van de grondrechten van de Europese Unie. Om de onderzoeksvraag en deelvragen te beantwoorden is kwalitatief onderzoek uitgevoerd. De beantwoording wordt gebaseerd op literatuuronderzoek en een onderzoek naar relevante wet- en regelgeving. Hierbij is met name gebruik gemaakt van juridische literatuur zoals academische tijdschriften, boeken en rapporten en stukken van autoriteiten op het gebied van gegevensbescherming.
Geconcludeerd wordt dat de verenigbare verdere verwerking van persoonsgegevens verzameld op grond van toestemming, onverenigbaar is met de vereisten gesteld in artikel 8 lid 2 van het Handvest. Lid 2 van vereist namelijk dat elke verwerking eerlijk is, voor bepaalde doeleinden en met toestemming of een andere gerechtvaardigde grondslag. Wanneer gegevens die verzameld zijn op basis van toestemming verenigbaar verder worden verwerkt kwalificeert de toestemming niet meer als specifiek en geïnformeerd. Dit zijn vereisten om de betrokkene controle te geven over de verwerking. Controle vormt de ratio van de toestemmingsgrondslag. Wanneer niet voldaan wordt aan alle vereisten van toestemming is deze controle een illusie. De verenigbare verdere verwerking van persoonsgegevens verzameld op basis van toestemming is toegestaan op grond van de tekst en uitleg van AVG. Deze toepassing is onverenigbaar met de ratio van de toestemmingsgrondslag en artikel 8 van het Handvest.
Inhoudsopgave
ABSTRACT ... 3
HOOFDSTUK 1. INLEIDING ... 1
1.1. AANLEIDING, CONTEXT EN PROBLEEMSTELLING ... 1
1.1.1. AANLEIDING EN CONTEXT ... 1 1.1.2. PROBLEEMSTELLING ... 4 1.2. ONDERZOEKSVRAAG EN DEELVRAGEN ... 5 1.3. AFBAKENING ... 5 1.4. METHODOLOGIE ... 6 1.5. LEESWIJZER ... 6
HOOFDSTUK 2. HET RECHT OP PRIVACY EN BESCHERMING VAN PERSOONSGEGEVENS ... 8
2.1. RATIO ... 8
2.1.1. AUTONOMIE EN IDENTITEIT ... 8
2.1.2. PRIVACY ... 10
2.1.3. ILLUSTRATIE ... 11
2.2. DE ONTWIKKELING VAN HET RECHT OP PRIVACY ... 12
2.3. ARTIKEL 7 EN 8 VAN HET HANDVEST ... 12
2.4. AVG ... 15 HOOFDSTUK 3. TOESTEMMING ... 18 3.1. RATIO ... 18 3.2. TOESTEMMING IN AVG ... 19 3.2.1. VRIJE TOESTEMMING ... 20 3.2.2. SPECIFIEKE TOESTEMMING ... 21 3.2.3. GEÏNFORMEERDE TOESTEMMING... 21 3.2.4. ONDUBBELZINNIGE HANDELING ... 23 HOOFDSTUK 4. DOELBINDING ... 24 4.1. DOELBINDING IN DE AVG ... 24 4.1.1. WELBEPAALD ... 25 4.1.2. UITDRUKKELIJK OMSCHREVEN ... 25 4.1.3. GERECHTVAARDIGD ... 26 4.2. VERDERE VERWERKING ... 26
4.2.1. VERENIGBARE VERDERE VERWERKING ... 27
HOOFDSTUK 5. DE VERENIGBARE VERDERE VERWERKING VAN PERSOONSGEGEVENS VERZAMELD OP BASIS VAN TOESTEMMING ... 30
5.1. DE VERENIGBARE VERDERE VERWERKING EN DE AVG ... 30
5.1.1. DE VERENIGBARE VERDERE VERWERKING EN DOELBINDING ... 31
5.1.2. DE VERENIGBARE VERDERE VERWERKING EN TOESTEMMING ... 32
5.2. DE VERENIGBARE VERDERE VERWERKING VAN PERSOONSGEGEVENS VERZAMELD OP GROND VAN TOESTEMMING EN HET HANDVEST ... 33
5.2.1. BEPAALDE DOELEINDEN ... 34 5.2.2. TOESTEMMING ... 34 5.2.3. EERLIJK ... 36 5.3. VERENIGBAARHEID ... 36 HOOFDSTUK 6. CONCLUSIE ... 38 BIBLIOGRAFIE ... 41 LITERATUUR... 41 JURISPRUDENTIE ... 47
Hoofdstuk 1. Inleiding
1.1. Aanleiding, context en probleemstelling 1.1.1. Aanleiding en context
Verwerkingen van persoonsgegevens1 kunnen alleen rechtmatig zijn indien er een geldige grondslag bestaat. Deze grondslagen zijn uitgewerkt in artikel 6 lid 1 van de Algemene verordening gegevensbescherming (hierna: AVG).2 Vier van de zes grondslagen zien op specifieke situaties: verwerkingen waarbij een overeenkomst, een wettelijke verplichting, vitale belangen of een taak van algemeen belang bestaat. De grondslagen onder sub a “toestemming” en sub f “gerechtvaardigd belang”, kunnen van toepassing zijn als er van geen van de hiervoor genoemde situaties sprake is. Tussen de grondslagen bestaat geen hiërarchie.3 De Nederlandse privacy toezichthouder, de Autoriteit Persoonsgegevens (hierna: AP) legt echter tijdens media optredens de nadruk vaak op de grondslag toestemming. Aleid Wolfsen, voorzitter van de AP, zei hierover bijvoorbeeld in een aflevering van Radar:4
“Als een bedrijf data van u of mij verzamelt, moeten ze u of mij informeren en ze mogen het alleen verwerken als ik daar toestemming voor heb
gegeven. Dat is de basisvoorwaarde. Het kan ook wel via een contract ofzo, maar de kern is eigenlijk vaak toestemming. Ik en u moeten weten wat men van ons heeft.”
Deze uitspraak lijkt erop te duiden dat de AP de grondslag toestemming als “voorkeursgrondslag” ziet.
1 In art. 4 lid 1 AVG worden persoonsgegevens gedefinieerd als “alle informatie overeen
geïdentificeerde of identificeerbare natuurlijke persoon”. Een verwerking wordt in artikel 4 lid 2 AVG gedefinieerd als: “een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens […] zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen,
opvragen, raadplegen, gebruiken, verstrekken door middel van een doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens”.
2 Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 (algemene
verordening gegevensbescherming).
3 Gil González & de Hert, ERA Forum 2019/19, p. 599.
De brief normenkader digitale billboards en het boetebesluit Koninklijke Nederlandse Lawn Tennisbond (hierna: KNLTB) bevestigen deze gedachte. Hierin pleit de AP opnieuw voor breed gebruik van de grondslag toestemming.5 De AP neemt daarnaast in het boetebesluit KNLTB de positie in dat een commercieel belang in beginsel geen gerechtvaardigd belang kan vormen.6 De grondslag “gerechtvaardigd belang” beoogt een rechtvaardig evenwicht tot stand te brengen tussen uiteenlopende belangen en/of rechten.7 Het recht op bescherming van persoonsgegevens van de betrokkene wordt hierbij afgewogen tegen het belang van de verwerkingsverantwoordelijke, of een derde, bij de verwerking. (Direct-)marketing8 of vrijheid van ondernemerschap kunnen bijvoorbeeld een gerechtvaardigd belang vormen.9 Ondernemen zonder persoonsgegevens is in deze tijd immers haast onmogelijk. Dat de AP stelt dat een commercieel belang in beginsel geen gerechtvaardigd belang kan vormen is daarom opmerkelijk. Opvallend is ook dat andere toezichthouders binnen de Europese Unie commerciële belangen wèl als gerechtvaardigd belang zien. De toezichthouder van het Verenigd Koninkrijk, de Information Commissioner’s Office, stelt bijvoorbeeld:
“A wide range of interests may be legitimate interests. They can be your own interests or the interests of third parties, and commercial interests as
well as wider societal benefits.”10
Door de strenge normuitleg voor de grondslag gerechtvaardigd belang door de AP is denkbaar dat organisaties in de praktijk vaker zullen uitwijken naar de grondslag toestemming. Aangezien de AP in het boetebesluit KNLTB stelt dat er weinig beperkingen zijn aan de commerciële mogelijkheden bij toepassing van de grondslag toestemming, lijkt de AP dit ook als doel te hebben.11
Dat de AP pleit voor breed gebruik van de grondslag toestemming is opmerkelijk gezien de bestaande kritiek op deze grondslag.12 De grondslag toestemming heeft als doel dat de
5 AP, Besluit tot het opleggen van een bestuurlijke boete 2019, p. 32; AP, Normenkader digitale billboards 2018, p. 6.
6 AP, Besluit tot het opleggen van een bestuurlijke boete 2019, p. 33. 7 Overweging 47 AVG.
8 Overweging 47 AVG 9 Artikel 16 Handvest.
10 ICO, Guide to the General Data Protection Regulation (GDPR) 2020, p. 79. 11 AP, Besluit tot het opleggen van een bestuurlijke boete 2019, p. 32.
12 Zie bijvoorbeeld Koops 2014, p. 3 of Moerel & Prins 2016, p. 22: zij spreken hun verbazing uit over
het feit dat wel geconstateerd wordt dat burgers informatie niet begrijpen en klakkeloos toestemming geven, maar dat de conclusie hieruit niet is de grondslag van toestemming af te schaffen. In plaats
betrokkene controle heeft over zijn persoonsgegevensverwerkingen.13 De AVG gaat ervan uit dat betrokkenen controle kunnen uitoefenen als zij – onder meer – voldoende zijn geïnformeerd. Wil de betrokkene controle uitoefenen op deze manier, dan zou deze een persoon moeten zijn die alle opties naast elkaar legt en een weloverwogen beslissing maakt: een rationeel denkend wezen. De realiteit is dat mensen niet op deze manier handelen. Betrokkenen weten vaak niet wie welke gegevens over ze verwerkt, wat hiermee gedaan wordt en wat de consequenties kunnen zijn.14 De verwerkingen waarvoor betrokkenen toestemming moeten geven zijn daarnaast vaak zo complex dat de informatie over de verwerking voor de gemiddelde burger niet behapbaar zijn. Dit geldt zowel voor de inhoud, als voor de lengte. Privacy voorwaarden worden meestal niet eens gelezen.15
Het voorgaande is te verklaren door de invloed van verschillende biases die het gedrag van de mens beïnvloeden. Uit onderzoek blijkt dat mensen de neiging hebben geen actieve keuze te maken.16 Dit resulteert erin dat mensen snel toestemming geven als er alleen opt-out mogelijkheden geboden worden. Op het moment dat er opt-in mogelijkheden zijn, geven mensen minder snel toestemming. Daarnaast zijn mensen geneigd om keuzes te maken die nú in hun voordeel zijn. Nadeel in de toekomst wordt geneigd niet meegenomen te worden hun keuze.17 Deze biases hebben invloed op mensen hun keuzes over privacy. Als mensen op dit moment gebruik willen maken van een dienst waarvoor zij akkoord moeten gaan met de privacyverklaring, zullen zij hiermee in de regel akkoord gaan en niet nadenken over nadelen hiervan in de toekomst.18 Privacy verklaringen worden niet begrepen en ook als ze begrepen zouden worden, zorgen de biases die ons gedrag beïnvloeden dat mensen alsnog niet handelen naar de informatie.19 Dit leidt ertoe dat de betrokkene in de praktijk vaak toestemming geeft zonder te weten wat de betekenis hiervan is.
hiervan worden juist voorstellen gepresenteerd om de informatievereisten te verbeteren en toestemmingsvereisten te versterken of uit te breiden.
13 Art. 29-werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
p. 3.
14 Zuiderveen Borgesius, NJB 2015/680, p. 880, met verwijzing naar: Acquisti & Grossklags 2007. 15 Zuiderveen Borgesius, NJB 2015/680, p. 881, met verwijzing naar: Cate 2006, p. 341 e.v. 16 Samuelson & Zeckhauser, Journal of Risk and Uncertainty 1, 7-59(1988), p. 47.
17 Zuiderveen Borgesius, NJB 2015/680, p. 881, met verwijzing naar: C.R. Sunstein & R.H. Thaler,
Nudge: Improving Decisions about Health, Wealth, and Happiness, Newhaven: Yale University Press 2008.
18 Ter illustratie: Consumentenbond, ‘Cookiewet heeft bar weinig opgeleverd’: “van de 50% die altijd
op ‘OK’ klikt, wil 32% van geen enkele site tracking cookies”.
1.1.2. Probleemstelling
De betrokkene wordt, gezien de huidige toepassing in de praktijk van de grondslag toestemming, alsnog geacht geïnformeerde toestemming te kunnen geven. Het voorgaande heeft immers niet geleid tot het schrappen of ander gebruik van de grondslag toestemming. Voor de bescherming van de betrokkene is het van belang dat de grondslag toestemming, los van het voorgaande, voldoende waarborgen biedt. Er bestaat echter nog een reden die mogelijk in de weg staat aan breed gebruik van de toestemmingsgrondslag.20 De verwerkingsverantwoordelijke heeft namelijk de mogelijkheid persoonsgegevens verder te verwerken. De verzamelde persoonsgegevens op basis van toestemming, kunnen later gebruikt worden voor andere doeleinden dan waarvoor toestemming is verkregen.
Dergelijke verdere verwerkingen zijn in de digitale samenleving een algemeen voorkomend verschijnsel. De samenleving innoveert continu en er ontstaan telkens nieuwe opties voor het gebruik van persoonsgegevens die eerder niet denkbaar waren. Digitale opslag maakt het makkelijker om verbanden te leggen, informatie te vergelijken en informatie terug te vinden. Op het moment van verzameling van de persoonsgegevens is vaak niet te voorzien wat er later nog meer mogelijk is met de persoonsgegevens. De AVG staat een verdere verwerking toe wanneer dit gebaseerd is op toestemming, een unierechtelijke of lidstaatrechtelijke bepaling, of wanneer er sprake is van een “verenigbaar doeleinde”.21 Toestemming kan alleen een passende rechtsgrond zijn als de betrokkene controle en een werkelijke keuze wordt aangeboden.22 Het voorgaande lijkt afbreuk te doen aan deze controle. De AP pleit voor brede inzet van de grondslag toestemming, maar gezien het voorgaande is het niet zeker of toestemming de betrokkene nog wel de controle geeft die het beoogt te geven.
De AVG is een uitwerking van artikel 8 van het Handvest van de grondrechten van de Europese Unie (hierna: Handvest).23 Deze artikelen werken het recht op privéleven en het recht op bescherming van persoonsgegevens uit. Elke verwerking van persoonsgegevens vormt in beginsel een inperking op het grondrecht van privacy van de betrokkene.24 Als een verwerking
20 Artikel 6 lid 4 AVG. 21 Artikel 6 lid 4 AVG.
22 Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
p. 3.
23 Handvest van de Grondrechten van de Europese Unie (2012/C 326/02). 24 AP, Normuitleg grondslag ‘gerechtvaardigd belang 2019, p. 1.
niet voldoet aan de AVG, vormt dit een onrechtmatige inperking van artikel 7 en 8 van het Handvest. Een inperking op deze rechten moet immers gebaseerd zijn op een wettelijke bepaling. Het is dan ook van belang voor de bescherming van onze grondrechten dat voor elke verwerking een passende grondslag gekozen wordt en dat de AVG juist geïnterpreteerd wordt. Aangezien de AP organisaties aanmoedigt om de grondslag toestemming breed te gebruiken, is het van belang dat deze grondslag de betrokkene voldoende beschermt. In deze scriptie zal daarom onderzocht worden of de verenigbare verdere verwerking van persoonsgegevens die oorspronkelijk verzameld zijn op basis van de grondslag toestemming verenigbaar is met de toestemmingsgrondslag en artikel 8 van het Handvest.
1.2. Onderzoeksvraag en deelvragen
Naar aanleiding van het voorgaande rijst de volgende onderzoeksvraag:
“Is de verenigbare verdere verwerking van persoonsgegevens in de zin van artikel 6 lid 4 van de AVG, die oorspronkelijk zijn verzameld op basis van de grondslag toestemming, verenigbaar met de toestemmingsgrondslag en daarmee met artikel 8 van het Handvest van de grondrechten van de Europese Unie?”
Deze onderzoeksvraag laat zich uitsplitsen in de volgende deelvragen:
1. Wat is de ratio van artikel 8 van het Handvest en hoe is het recht dat hierin is neergelegd uitgewerkt in de AVG?
2. Wat is de gedachte achter de toestemmingsgrondslag en hoe wordt toestemming uitgewerkt in de AVG?
3. Hoe is het beginsel van doelbinding uitgewerkt in de AVG en wanneer is een verenigbare verdere verwerking toegestaan?
4. Hoe verhoudt de verenigbare verdere verwerking zich tot de grondslag toestemming en artikel 8 van het Handvest?
1.3. Afbakening
Het onderzoek wordt op zeven elementen afgebakend. Ten eerste staat in dit onderzoek enkel nationaal en Europees recht centraal. Buiten het Europese recht wordt er dus geen internationaal recht behandeld. Ten tweede ligt de focus op de AVG en de regels uit andere wetten, zoals de
Telecommunicatiewet, worden hierbij niet behandeld. Ten derde ligt de focus binnen de AVG op de grondslag toestemming en het beginsel van doelbinding. De verdere verwerking heeft ook invloed op andere beginselen en deze worden soms ook kort aangehaald, maar de focus ligt hier niet op. Dit onderzoek wordt daarnaast met name gedaan vanuit het perspectief van de betrokkene. Soms zal het perspectief van de verwerkingsverantwoordelijke kort toegelicht worden, maar dit is niet het uitgangspunt. Ook toestemming van minderjarigen en toestemming voor verwerkingen van bijzondere of speciale categorieën buiten beschouwing gelaten. Als laatste wordt aangestipt dat verwerkingen met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden in beginsel altijd een verenigbare verdere verwerking vormen. Hetzelfde geldt voor verwerkingen voor taken van algemeen belang of in het kader van de uitoefening van het openbaar gezag waarvoor een wettelijke bepaling bestaat. De focus ligt hier echter niet op.
1.4. Methodologie
Om de onderzoeksvraag en deelvragen te beantwoorden is kwalitatief onderzoek uitgevoerd. De beantwoording wordt gebaseerd op literatuuronderzoek en een onderzoek naar relevante wet- en regelgeving. Hierbij is met name gebruik gemaakt van juridische literatuur zoals academische tijdschriften, boeken en rapporten en stukken van de autoriteiten op het gebied van gegevensbescherming. Teneinde de ratio van het recht op privacy te analyseren, wordt gebruik gemaakt van verschillende visies van academici. De uitwerking hiervan in wetgeving wordt hierna besproken, waarbij de nadruk ligt op artikel 7 en 8 van het Handvest. Hierna wordt een kort overzicht gegeven van de uitwerking van deze rechten in de AVG, dit wordt gedaan aan de hand van de tekst van de verordening. De ratio en uitwerking van de grondslag toestemming en het beginsel van doelbinding is voornamelijk uiteengezet aan de hand van de wettekst en richtsnoeren, opinies en adviezen van autoriteiten. In het laatste hoofdstuk wordt de invloed van de verenigbare verdere verwerking op basis van eigen analyse van de voorgaande uitwerkingen en constateringen.
1.5. Leeswijzer
Om de hoofdvraag te beantwoorden is het allereerst van belang een duidelijk beeld te hebben van wat de ratio is achter artikel 7 en 8 van het Handvest. Daarbij is een kort overzicht van de
belangrijkste beginselen binnen de AVG relevant, omdat deze de uitwerking vormen van artikel 8 van het Handvest. Dit vormt de inhoud van het eerste hoofdstuk. In hoofdstuk 2 komt de grondslag toestemming breder aan bod. Allereerst wordt de gedachte achter de toestemmingsgrondslag nader toegelicht. Hierna wordt uitgewerkt wat de vereisten zijn van toestemming op grond van de AVG. In hoofdstuk 3 wordt het beginsel van doelbinding toegelicht, omdat de verenigbare verdere verwerking hierop een uitzondering vormt. Tegen deze achtergrond kan er in hoofdstuk 4 bepaald worden hoe de verdere verwerking zich verhoudt tot het beginsel van doelbinding en de grondslag toestemming in de zin van de AVG. Hierna zal bepaald worden of het voorgaande verenigbaar is met artikel 8 van het Handvest. Tot slot wordt in de conclusie antwoord gegeven op de onderzoeksvraag.
Hoofdstuk 2. Het recht op privacy en bescherming van
persoonsgegevens
De AVG is een uitwerking van artikel 8 van het Handvest. Dit artikel werkt het grondrecht op bescherming van persoonsgegevens uit. Het recht op gegevensbescherming vormt een onderdeel van het grondrecht op privacy.25 In dit hoofdstuk wordt eerst de ratio van deze twee grondrechten uitgewerkt. Hierna wordt kort toegelicht hoe de rechten tot stand zijn gekomen en hoe deze worden gewaarborgd door het Handvest. Tot slot wordt een korte toelichting gegeven van de belangrijkste beginselen binnen de AVG.
2.1. Ratio
Privacy wordt in Europa gezien als een recht dat sterk verbonden is met de menselijke waardigheid.26 De menselijke waardigheid is de grondslag en overkoepelende waarde van alle grondrechten.27 De menselijke waardigheid wordt gevormd door drie elementen: identiteit, autonomie en privacy.28 Deze drie elementen hebben invloed op elkaar. Wanneer de een niet goed gewaarborgd wordt, heeft dat negatieve invloed op de ander. De inhoud en samenhang wordt in de volgende paragrafen omschreven.
2.1.1. Autonomie en identiteit
Autonomie vereist dat een individu vrij is. Grofweg bestaan er twee opvattingen van vrijheid: vrijheid van beperkingen of inmenging (freedom from) en vrijheid om iets te doen (freedom
to).29 Freedom from houdt in dat je vrij bent wanneer niemand je belemmert in het leven dat je wilt leiden. Freedom to is de vrijheid om doelen te kiezen in je eigen belang. Berlin noemde deze twee concepten respectievelijk negatieve en positieve vrijheid. Waar het bij de een gaat om de afwezigheid van iets (obstakels, inmenging van anderen etc.), gaat het bij de ander juist om de aanwezigheid van iets (controle, zelfbeschikking etc.). Wanneer een individu vrij is, heeft deze de mogelijkheid om autonoom te handelen.
25 Uitgewerkt in artikel 7 van het Handvest. 26 Whitman, p. 1153.
27 Zie bijvoorbeeld artikel 1 Handvest. 28 Roosendaal 2013, p. 67.
Autonomie geeft individuen de mogelijkheid en verantwoordelijkheid om eigen beslissingen te nemen en eigen doelen te stellen. Autonome individuen kunnen zelf bepalen of en hoe zij hun zelf gestelde doelen behalen. Zoals Dworkin stelde:
“A person is autonomous if he identifies with his desires, goals, and values, and such identification is not in itself influenced in ways which make the
process of identification in some way alien to the individual.”30
Om autonoom te handelen moeten individuen toegang hebben tot noodzakelijke middelen. Hieronder vallen onder andere scholing, arbeidsmogelijkheden en medische diensten.31 Een autonoom individu heeft de mogelijkheid zijn eigen mening, smaak, voorkeuren en doelen te kiezen. Wanneer deze keuzes autonoom gemaakt worden, leidt dit ertoe dat elk individu authentiek kan zijn. Hoe een individu omgaat met situaties en welke keuzes hij maakt definieert wij hij is. Autonoom handelen leidt dan ook tot de mogelijkheid tot het vormen van een eigen identiteit.32
De identiteit van een individu kan verschillen in verschillende omstandigheden, omdat keuzes vaak context gerelateerd zijn. Voor elke “losse” identiteit moet een individu keuzes maken over welke informatie hij met anderen wil delen en in welke omstandigheden hij dit wel, of juist niet doet. De mogelijkheid om zelf te bepalen welke informatie je deelt noemen we informationele
zelfbeschikking. Dit houdt in dat een individu controle heeft over de gegevens en informatie die
over hem worden verwerkt, als (noodzakelijke maar onvoldoende) voorwaarde om een bestaan te leiden dat “zelf-bepaald” is.33 Individuen kiezen er vaak voor bepaalde informatie alleen te delen in bepaalde omstandigheden. De bereidheid om privacy in te leveren hangt af van bestaande normen en waarden. Deze normen en waarden verschillen per sociale context. Zo deelt een individu vaak meer informatie omtrent gezondheid met een arts, dan met de kapper. Dit is privacy als contextuele integriteit.34 Om een autonoom individu te zijn met een eigen identiteit is informationele zelfbeschikking en contextuele integriteit vereist. Om informationele zelfbeschikking en contextuele integriteit te waarborgen, is privacy een essentieel instrument.
30 Dworkin 1988, p. 61. 31 Christman 1989, p. 19. 32 Feinberg 1989, p. 32.
33 Westin 1967, p. 7.; Rouvroy & Poullet 2009, p. 51. 34 Nissenbaum 2010, p. 3.
2.1.2. Privacy
In very early times, the law gave a remedy only for physical interference with life and property. […] Gradually the scope of these rights broadened; and now the right to life has come to mean the right to enjoy life – the right
to be let alone.35
Op deze manier werd het recht op privacy omschreven door Warren en Brandeis, in 1890.
De koppeling tussen privacy en identiteit is te zien in de definitie van privacy door Agre. Hij definieert privacy als het niet onredelijk beperkt worden in je identiteitsconstructie.36 De definitie van Warren en Brandeis laat nog wat te wensen over volgens hem, aangezien de mens niet altijd met rust gelaten wil worden. De mens is immers een sociaal dier. Het gaat dus om het vinden van de juiste balans tussen afzondering en samenzijn met anderen. Je moet zelf kunnen bepalen wie jij toelaat tot jouw groep (boundary management).37 Boundary
management is ook belangrijk voor informationele zelfbeschikking: het zelf bepalen wanneer,
hoe en tot hoe ver informatie over jou wordt gedeeld.38 Het recht op bescherming van persoonsgegevens is een uitwerking van informationele zelfbeschikking. Het beschermen van informatie is onder andere van belang omdat individuen elkaar beoordelen op basis van de informatie die zij van elkaar hebben.
Privacy houdt voor iedereen iets anders in en verschilt in elke situatie. Koops vat dit samen in een zin: “Privacy is having spaces in which you can be yourselves.” Hierbij geeft hij de toelichting dat mensen geen vaste ‘wezens’-identiteit hebben, maar een samenstel zijn van identiteiten.39 Koops onderscheidt acht typen van privacy: bodily, spatial, communicational, proprietary intellectual, decisional, assiciational and behavioral privacy.40 De eerste vier typen op zien op negatieve vrijheid en de laatste vier typen op positieve vrijheid. Informationele privacy is vereist voor elk type privacy en vormt dus een belangrijk onderdeel van het recht op privacy.
35 Warren & Brandeis, HLR 1890/4, p. 193-220 36 Agre & Rotenberg 1998, p. 7.
37 Altman 1975, p. 18.
38 Westin 1967, p. 7; Rouvroy & Poullet 2009, p. 51. 39 Koops, WVLR 2018/121, p. 614.
2.1.3. Illustratie
Wanneer het recht op privacy niet zou bestaan, wordt de menselijke waardigheid aangetast en de autonomie beperkt. Het autonoom vormen van een eigen identiteit is dan onmogelijk. Een bestaand voorbeeld van een inperking op privacy die als gevolg heeft dat je vrijheid wordt beperkt, is de autoverzekering waarbij je korting krijgt op basis van je rijstijl. Je levert je privacy in op het gebied van je rijstijl en als je je netjes aan de regels houdt, hoef je minder te betalen. Het kastje dat in je auto wordt geplaatst registreert verschillende variabelen: je snelheid, accelaratie, en hoe je bochten neemt. Je premie wordt bepaald op basis van een voorspelling, gebaseerd jouw eerder vertoonde rijgedrag.41 Je vrijheid wordt hierdoor ingeperkt. Je bent nu verplicht je aan de regels te houden, anders moet je meer betalen. Als jij het je financieel niet kan permitteren, kan jij geen eigen keuze maken over hoe je wilt rijden. Daarbovenop ondermijnt een dergelijke ontwikkeling de rol van solidariteit binnen onze samenleving.42
De volgende stap zijn pay-how-you-live verzekeringen. Op basis van je leefstijl kun je korting krijgen op je zorgverzekering. Dit lijkt opnieuw positief: eet en drink je gezond en beweeg je genoeg, hoef je minder te betalen. De Amerikaanse verzekeraar Oscar geeft door middel van het meten van data via wearables, korting aan klanten op basis van het aantal stappen dat zij zetten per dag. Dit is positief voor de gezondheid, maar hierdoor voel je je verplicht veel stappen te zetten op een dag. Anders krijg je de korting niet. Individuele autonomie wat betreft het maken van keuzes wordt individuen op deze manier afgenomen, omdat zij zich staande moeten houden op financieel en sociaal gebied.43 De solidariteit zal afnemen ten opzichte van individuen die een hoog risico vormen. Eerder was niet bekend dat zij een hoger risico vormden, maar door het monitoren van gedrag zullen inzichten verkregen worden over wie een groter risico loopt op ongelukken of ziekten.44 Om een lager risico te vormen moet je je gedrag veranderen, om zo minder te hoeven betalen. De menselijke autonomie wordt door deze inperking op het recht op privacy aangetast en daarmee ook de menselijke waardigheid.
41Zie bijvoorbeeld de “Veilig Rijden Autoverzekering” van ANWB: link (laatst bezocht d.d.
22-07-2020).
42 Moerel & Prins 2016, p. 43. 43 Moerel & Prins 2016, p. 46.
2.2. De ontwikkeling van het recht op privacy
Voor de Tweede Wereldoorlog werd het recht op privacy gezien als het recht om met rust gelaten te worden. Tijdens de Tweede Wereldoorlog werden de persoonsgegevens van inwoners gebruikt om minderheden te bereiken en om genocide te plegen. Na de Tweede Wereldoorlog werd om deze reden een aantal internationale verdragen aangenomen, waarin het recht op privacy én gegevensbescherming werd erkend.45 Ook verschillende Europese landen voerden gegevensbeschermingswetten in na de Tweede Wereldoorlog. Het EVRM werkt alleen het recht op privacy uit, maar uit de rechtspraak van het EHRM blijkt dat het recht op gegevensbescherming hier ook onder valt.46 Dit is ook logisch aangezien informationele privacy een onderdeel vormt van het recht op privacy.
In de jaren zeventig nam het gebruik van informatie en communicatietechnologie toe en daarmee werd het risico op misbruik van persoonsgegevens groter. Om deze reden werden in 1980 de OECD Richtlijnen op internationaal niveau goedgekeurd.47 Op lidstaatrechtelijk niveau binnen de EU ontstond er diversiteit op het gebied van gegevensbescherming, doordat het ene land wel en het andere land geen gegevensbeschermingswetten aannam. Dit vormde een belemmering op de interne markt van de EU. In 1995 is daarom de Gegevensbeschermingsrichtlijn48 opgesteld ter harmonisatie van de verschillen in wetgeving. In 2000 zijn het recht op privacy en gegevensbescherming opgenomen als grondrechten in het Handvest.
2.3. Artikel 7 en 8 van het Handvest
In 1999 concludeerde de Europese Raad dat de fundamentele rechten die van toepassing zijn op EU-niveau, moesten worden geconsolideerd in een handvest voor betere zichtbaarheid. In
45 Artikel 12 Universele Verklaring van de Rechten van de Mens, Artikel 8 Europees Verdrag van de
Rechten van de Mens en Artikel 17 van het Internationaal Verdrag inzake Burgerrechten en Politieke rechten.
46 EHRM 25 februari 1997, ELI:NL:XX:1997:AD4448, m.nt. G. Knigge (Z./Finland), par. 113. 47 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data
(C(2013)79).
beschikbaar op: link (laatst bezocht d.d. 22-07-2020).
48 Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de
bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PbEU 1995, L 281).
2000 werd het handvest formeel aangekondigd door het Europees Parlement, de Raad en de Commissie. In 2009 werd het handvest juridisch bindend en het beschikt sindsdien over dezelfde juridische waarde als het primaire EU-recht.49 Het Handvest vormt een codificatie van de algemene beginselen van het Unierecht die door het Hof zijn geïdentificeerd voor deze tijd en als een bron die het Hof kan gebruiken om nieuwe algemene beginselen vast te stellen.50 Naast het recht op privacy is er in het Handvest een nieuw grondrecht binnen de EU geïntroduceerd: het recht op de bescherming van persoonsgegevens.
De Europese Unie moet het grondrecht op privacy effectief beschermen, door middel van rechterlijk toezicht, wetgeving en toezicht door onafhankelijke autoriteiten. Vooral nu het belang van privacy en gegevensbescherming steeds groter wordt door de digitalisering, maar ook doordat maatschappelijke ontwikkelingen steeds vaker inbreuken op het recht op privacy mogelijk maken.51 Artikel 16 van het Werkingsverdrag van de Europese Unie (VWEU)52 legt samen met artikel 7 en 8 van het Handvest de taken van de Europese Unie op het gebied van privacy vast. De wetgever heeft de opdracht om regels te stellen die door onafhankelijke autoriteiten worden gegarandeerd.53 De onafhankelijke autoriteit in Nederland is de Autoriteit Persoonsgegevens (hierna: AP). Op Europees niveau is dit de Europese Toezichthouder voor de Gegevensbescherming (hierna: EDPS). De nationale toezichthoudende autoriteiten moeten ervoor zorgen dat de bescherming van persoonsgegevens wordt gewaarborgd. Zij dienen hiertoe een juist evenwicht te verzekeren tussen de naleving van het grondrecht op bescherming van de persoonlijke levenssfeer en de belangen die een vrij verkeer van persoonsgegevens noodzakelijk maken.54
49 Artikel 6 van het Verdrag betreffende de Europese Unie. 50 Lenaerts & Gutiérrez-Fons, CML Rev 2010/47 p. 1654 e.v. 51 Hierbij valt te denken aan bijvoorbeeld Corona-apps.
52 Verdrag betreffende de werking van de Europese Unie (2016/C 2012/01) 53 Artikel 16 lid 2 VWEU en 8 lid 3 Handvest.
54 HvJ EU 9 maart 2010, ECLI:EU:2010:125 (Commissie/Duitsland), par. 24; HvJ EU 8 april 2014,
Het recht op privacy en het recht op bescherming van persoonsgegevens wordt als volgt uitgewerkt in het Handvest:
Artikel 7
De eerbiediging van het privéleven en van het familie- en gezinsleven Eenieder heeft recht op eerbiediging van zijn privéleven, zijn familie- en
gezinsleven, zijn woning en zijn communicatie.
Artikel 8
De bescherming van persoonsgegevens
1. Eenieder heeft recht op bescherming van zijn persoonsgegevens. 2. Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een
andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht van inzage in de over hem verzamelde gegevens en op
rectificatie daarvan.
3. Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.
Artikel 8 van het Handvest vormt onderdeel van artikel 7 van het Handvest en moeten daarom samen bekeken worden. Artikel 8 vormt een specificatie op het gebied van de bescherming van persoonsgegevens; de bescherming van informationele privacy.55 Artikel 7 van het Handvest heeft dezelfde inhoud en reikwijdte als artikel 8 EVRM. De beperkingen die kunnen worden gesteld aan artikel 7 van het Handvest zijn daarom dezelfde als gesteld kunnen worden aan artikel 8 EVRM.56 Het uitgangspunt van artikel 8 van het Handvest is dat eenieder recht heeft op bescherming van zijn persoonsgegevens. Elke verwerking van persoonsgegevens moet 1) eerlijk, 2) voor bepaalde doeleinden en 3) op basis van toestemming of een gerechtvaardigde grondslag waarin de wet voorziet plaatsvinden. Hiernaast heeft eenieder recht van inzage en
55 Westin 1967, p 7.
rectificatie. Ook moet een onafhankelijke autoriteit erop toezien dat de regels worden nageleefd.
Het Handvest vormt een uitwerking van algemene beginselen van het Unierecht. Van algemene beginselen van het Unierecht is vastgesteld dat deze direct horizontaal werken.57 Directe
werking houdt kort gezegd in dat personen zich op het Handvest kunnen beroepen bij de rechter. Horizontale werking houdt in dat het Handvest niet alleen van toepassing is op de
overheid-burger relatie, maar ook tussen (rechts)personen onderling. De directe horizontale werking van de rechten in het Handvest valt ook af te leiden uit het feit dat de civiele rechter wordt gekwalificeerd als orgaan van de lidstaat en dat het Handvest zich richt tot lidstaten en de organen daarvan. In de literatuur bestaat hierover echter geen eensgezindheid.58 Ook uit de rechtspraak van het EHRM volgt dat artikel 7 en 8 van het Handvest direct horizontaal werken. Het EHRM oordeelde dat Google bepaalde pagina’s niet meer mocht laten verschijnen wanneer er gezocht werd op de naam van Costeja González.59 Het Handvest functioneerde hierbij als hulpmiddel bij de interpretatie van secundair EU-recht en nationaal recht.60 Op basis van het voorgaande wordt er in deze scriptie vanuit gegaan dat artikel 7 en 8 van het Handvest directe horizontale werking toekomt.
2.4. AVG
De AVG is een uitwerking van artikel 8 van het Handvest. De AVG is van kracht sinds 25 mei 2018 en is de opvolger van de Gegevensbeschermingsrichtlijn (en de Wet bescherming persoonsgegevens in Nederland). Het doel van de AVG is om twee belangen te waarborgen: de bescherming van natuurlijke personen in verband met de verwerking van hun gegevens en het vrije verkeer van persoonsgegevens binnen de Europese Unie.61
In de AVG staat een aantal beginselen opgesomd waaraan elke verwerking van persoonsgegevens62 moet voldoen.63 Deze zes beginselen worden in andere bepalingen binnen
57 Lenaerts & Gutiérrez-Fons, CML Rev 2010/47.
58 Zie bijvoorbeeld Craig 2010, p. 208: hij meent dat deze opvatting te vergaand is.
59 EHRM 13 mei 2014, ECLI:EU:C:2014:317 (Google Spain/AEPD en Costeja González), par. 94. 60 Emaus, NTBR 2015/10, p. 69.
61 JenV, Handleiding AVG en UAVG 2018, p. 9.
62 Verwerking van persoonsgegevens wordt in deze scriptie vaak afgekort tot “verwerking” ten
behoeve van de leesbaarheid.
de AVG verder uitgewerkt. Het is voor de beantwoording van de onderzoeksvraag van belang deze beginselen kort toe te lichten, omdat deze centraal staan binnen de AVG. Bij elke verwerking dienen de volgende beginselen in acht genomen te worden:
1. Het beginsel van rechtmatigheid, behoorlijkheid en transparantie64
De doeleinden waarvoor de gegevens worden verzameld, moeten gerechtvaardigd zijn. Ze moeten verzameld worden op basis van een van de grondslagen van artikel 6 van de AVG. Hiernaast moet de verwerking netjes en verantwoord gebeuren en moet duidelijk zijn voor welke doelen de gegevens worden verwerkt en hoe dit gebeurt.
2. Het beginsel van doelbinding65
Zie voor de uitwerking hiervan Hoofdstuk 4. Doelbinding. 3. Het beginsel van minimale gegevensverwerking66
De persoonsgegevens die verwerkt worden moeten toereikend en ter zake dienend zijn. Persoonsgegevens die niet noodzakelijk zijn voor het gestelde doel, mogen niet worden verwerkt.
4. Het beginsel van juistheid67
De gegevens moeten correct en actueel zijn. Gegevens die dit niet zijn moeten worden gewist of gecorrigeerd.
5. Het beginsel van opslagbeperking68
Wanneer gegevens niet meer noodzakelijk zijn voor het doel van de verwerking, moeten deze worden vernietigd of gewist.
6. Het beginsel van integriteit en vertrouwelijkheid69
Persoonsgegevens moeten goed worden beschermd tegen onopzettelijk verlies, vernietiging of beschadiging en tegen ongeoorloofde of onrechtmatige verwerking.
Het eerste beginsel, het beginsel van rechtmatigheid, behoorlijkheid en transparantie, vereist dat elke verwerking een geldige grondslag heeft. Alleen dan kan een verwerking rechtmatig zijn. De AVG noemt hiervoor zes mogelijke grondslagen:
1. Toestemming van de betrokkene;70
64 Artikel 5 lid 1 sub a AVG. 65 Artikel 5 lid 1 sub b AVG. 66 Artikel 5 lid 1 sub c AVG. 67 Artikel 5 lid 1 sub d AVG. 68 Artikel 5 lid 1 sub e AVG. 69 Artikel 5 lid 1 sub f AVG. 70 Artikel 6 lid 1 sub a AVG.
2. Noodzakelijk voor de uitvoering van de overeenkomst;71 3. Noodzakelijk om te voldoen aan een wettelijke verplichting;72
4. Noodzakelijk om de vitale belangen van de betrokkene te beschermen;73 5. Noodzakelijk voor de vervulling van een taak van algemeen belang;74
6. Noodzakelijk ter behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke.75
Het lijkt alsof er een hiërarchie bestaat tussen de verschillende grondslagen. Dit is niet het geval.76 Er bestaat geen hiërarchie tussen de grondslagen en elke grondslag is geschikt voor ander soort verwerkingen, hoewel deze soms kunnen overlappen. Noodzakelijkheid wordt bij vijf van de zes grondslagen uitdrukkelijk genoemd. Dit betekent niet dat dit per definitie bij de grondslag toestemming niet vereist is. Hierover bestaat discussie in de literatuur. Vanwege het feit dat artikel 52 van het Handvest benadrukt dat alleen beperkingen kunnen worden gesteld aan grondrechten indien deze beperkingen noodzakelijk zijn, wordt er in deze scriptie van uitgegaan dat noodzakelijkheid ook onderdeel is van de grondslag toestemming. Ten behoeve van de beantwoording van de onderzoeksvraagvraag dient de grondslag toestemming uitgebreider toegelicht te worden. Deze toelichting is te vinden in het volgende hoofdstuk (Hoofdstuk 3. Toestemming).
71 Artikel 6 lid 1 sub b AVG. 72 Artikel 6 lid 1 sub c AVG. 73 Artikel 6 lid 1 sub d AVG. 74 Artikel 6 lid 1 sub e AVG. 75 Artikel 6 lid 1 sub f AVG. 76 Dumitru, EJLPA 2019/6, p. 293.
Hoofdstuk 3. Toestemming
In artikel 8 van het Handvest wordt toestemming genoemd als een van de gerechtvaardigde grondslagen voor persoonsgegevensverwerkingen. Toestemming is een passende grondslag wanneer het mogelijk is om duidelijke en begrijpbare informatie te verschaffen op het juiste moment én als individuen een echte keuze hebben met betrekking tot het gebruik van hun persoonsgegevens.77 Als toestemming aan alle eisen van de AVG voldoet, zou dit betekenen dat toestemming de betrokkene controle geeft over zijn persoonsgegevensverwerkingen. Als er niet aan de vereisten wordt voldaan, is de controle een illusie en is toestemming ongeldig verkregen. Dit heeft als gevolg dat de verwerking onrechtmatig is.78 Het krijgen van toestemming van de betrokkene voor een verwerking, ontslaat de verwerkingsverantwoordelijke niet van de verplichting te voldoen aan de overige beginselen die gelden binnen de AVG. Data minimalisatie geldt bijvoorbeeld aanvullend, ook al is er toestemming gegeven. De toestemming die een betrokkene heeft gegeven voor een verwerking die niet noodzakelijk is voor de beschreven doeleinden, is dus alsnog onrechtmatig.79
3.1. Ratio
De Europese Raad en de Europese Commissie stellen dat individuen het recht hebben op effectieve controle over hun persoonsgegevens.80 Toestemming vormt een belangrijke
waarborg voor deze controle. De vraag rijst wat ‘controle’ precies inhoudt. Een individu heeft controle wanneer hij zich bewust is van een situatie en de bewuste keuze en het vermogen heeft om een situatie te starten, te stoppen of in stand te houden. Om controle te hebben, dient een individu minimaal te weten wie welke informatie over hem heeft en wat hiermee gedaan wordt.
77 CIPL Recommendations for Implementing Transparency, Consent and Legitimate Interest 2017, p.
2.
78 Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
p. 3.
79 Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
p. 4.
80 Opinion of the European Economic and Social Committee on the ‘Proposal for a Regulation of the
European Parliament and of the Council on the protection of individuals with regard tot he proessing of personal data and on the free movement of such data (General Data Protection Regulation)’, p. 2 (online via: link, laatst bezocht d.d. 23-07-2020).
Door toestemming te geven voor een verwerking, geeft een betrokkene goedkeuring dat zijn data wordt verwerkt voor bepaalde doeleinden. Geeft de betrokkene deze toestemming niet wordt zijn data ook niet verwerkt. Wanneer de betrokkene voldoende informatie krijgt over de verwerking, heeft hij op deze manier controle over wie zijn persoonsgegevens op welke manier gebruikt. Vanuit grondrechtelijk perspectief is controle uitoefenen door middel van toestemming een belangrijk concept. Toestemming bestaat met de gedachte dat dit bijdraagt aan de autonomie van de individu. Het geeft de betrokkene informationele zelfbeschikking. De betrokkene kan door het wel of niet geven van toestemming geven voor bepaalde verwerkingen zelf bepalen wat er met zijn gegevens gebeurt. Ook de contextuele integriteit wordt door middel van de grondslag toestemming gewaarborgd. De betrokkene kan zelf kiezen met wie hij zijn gegevens wel en niet wil delen. De autonomie van de betrokkene is zowel een voorwaarde als een gevolg van toestemming: het geeft de betrokkene invloed op de verwerking van zijn persoonsgegevens.
De betrokkene moet op elk moment controle kunnen uitoefenen op zijn gegevensverwerkingen. Zo kan toestemming bijvoorbeeld altijd ingetrokken worden, zodat de individu ook na het geven van toestemming nog controle kan uitoefenen op de verwerking.81 Bij de andere grondslagen is ook controle uit te oefenen op de verwerking, bijvoorbeeld door middel van het recht om bezwaar te maken.82 Dit is echter controle in een ander stadium van de verwerking. De persoonsgegevens zijn dan al verzameld en verwerkt. Toestemming is dus de enige grondslag die betrokkenen al vanaf het eerste moment, vóór de verwerking, controle geeft op hun gegevensverwerking. De ratio achter toestemming is controle ten behoeve van de betrokkene. Deze controle vormt een belangrijke bouwsteen voor informationele zelfbeschikking en contextuele integriteit, welke een belangrijk element van de menselijke waardigheid vormen.
3.2. Toestemming in AVG
De definitie van toestemming in de AVG is: “elke vrije, specifieke, geïnformeerde en
ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens
81 Artikel 7 lid 3 AVG. 82 Artikel 21 AVG.
aanvaardt.”83 De verwerkingsverantwoordelijke dient aan te kunnen tonen dat de betrokkene
toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens.84 Daarnaast heeft de betrokkene het recht om zijn toestemming te allen tijde in te trekken. Het intrekken van toestemming door de betrokkene moet net zo eenvoudig zijn als het geven ervan.85 Uit de definitie van toestemming zijn vier vereisten af te leiden: vrij, specifiek, geïnformeerd en een ondubbelzinnige wilsuiting door een verklaring of ondubbelzinnige actieve handeling. Deze vereisten zullen in de volgende paragrafen worden uitgewerkt.
3.2.1. Vrije toestemming
Het element ‘vrij’ ziet op controle en echte keuze voor de betrokkene. Een echte keuze bestaat alleen indien het weigeren van toestemming voor een verwerking, geen negatieve gevolgen met zich meebrengt voor de betrokkene.86 Ook kan de betrokkene alleen een echte keuze maken, indien er geen afhankelijkheidsrelatie bestaat.87 Een voorbeeld van een afhankelijkheidsrelatie is de relatie tussen werkgever en werknemer.88 Een werknemer is (financieel) afhankelijk van zijn werkgever en kan daarom niet geacht worden een vrije keuze te kunnen maken ten aanzien van zijn werkgever. Bij het weigeren van toestemming zal bij de werknemer de angst bestaan dat dit zal leiden tot negatieve gevolgen. Er moet dus te allen tijde een daadwerkelijke keuze kunnen worden gemaakt.
Artikel 7 lid 4 van de AVG stelt dat toestemming niet vrijelijk gegeven kan worden wanneer de uitvoering van een overeenkomst afhankelijk is van toestemming voor een verwerking, terwijl deze verwerking niet noodzakelijk is voor de uitvoering van de overeenkomst. Dit resulteert erin dat het doel van de verwerking niet verhuld of gebundeld mag zijn een contract, waarvoor de persoonsgegevens helemaal niet noodzakelijk zijn. Als een verwerking noodzakelijk is voor een overeenkomst, is artikel 6 lid 1 sub b van de AVG de passende
83 Artikel 4 lid 11 AVG. 84 Artikel 7 lid 1 AVG. 85 Artikel 7 lid 3 AVG. 86 Overweging 42 AVG. 87 Overweging 43 AVG.
88 Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
rechtsgrond.89 Toestemming voor andere, niet noodzakelijke, verwerkingen kan alleen vrij gegeven worden als de uitvoering van het contract hiervan niet afhankelijk is. Als laatste wordt toestemming niet geacht vrijelijk verleend te zijn indien de toestemming is gegeven voor samengevoegde doeleinden. Als een verwerking meerdere doeleinden heeft, moet toestemming voor elk doel worden verleend. Betrokkenen moeten vrij kunnen kiezen welke doeleinden ze accepteren. Dit vereiste is verwant aan specifieke toestemming, het vereiste dat in de volgende paragraaf uitgewerkt wordt.
3.2.2. Specifieke toestemming
Specifieke toestemming beoogt te zorgen voor controle en transparantie voor de betrokkene. Het eerste vereiste van specifieke toestemming is dat de doeleinden specifiek geformuleerd dienen te worden. De combinatie van doelbinding en specifieke toestemming fungeert als waarborg tegen de geleidelijke verbreding of vervaging van de doeleinden waarvoor toestemming gegeven is.90 De verwerkingsverantwoordelijke moet specifieke informatie geven, waardoor de betrokkene specifieke toestemming kan geven. Hiernaast moet per doel los toestemming gegeven worden. Generieke toestemming, zoals: “hierbij geef ik toestemming voor het verwerken van mijn persoonsgegevens” voldoet hier niet aan. Als laatste dient de informatie over de gevolgen van toestemming en informatie over andere zaken duidelijk gescheiden te worden.
3.2.3. Geïnformeerde toestemming
Om te kunnen spreken van geïnformeerde toestemming moet de betrokkene, voorafgaand aan het verzamelen en verwerken van zijn persoonsgegevens, geïnformeerd worden over welke persoonsgegevens verwerkt zullen worden voor welke doeleinden. Dit maakt het mogelijk voor de betrokkene om een weloverwogen keuze te maken. Wanneer er onvoldoende of onjuiste informatie verschaft wordt, is het voor een betrokkene niet mogelijk geïnformeerde toestemming te geven. De informatie die de betrokkene krijgt over de verwerking moet voor de
89 Artikel 6 lid 1 sub b: “de verwerking is noodzakelijk voor de uitvoering van een overeenkomst
waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen”.
gemiddelde persoon makkelijk te begrijpen zijn.91 De informatie moet dan ook gegeven worden in heldere en duidelijke taal. Juridisch jargon moet vermeden worden. Daarbij moet alle informatie die nodig is voor het maken van een weloverwogen beslissing over het geven van toestemming makkelijk toegankelijk zijn. Dit betekent dat ze niet in de algemene voorwaarden verborgen mogen worden.92 De informatie wordt meestal opgenomen in de privacy statement, maar de AVG bepaalt niet in welke vorm de informatie verstrekt moet worden om te voldoen aan geïnformeerde toestemming.93 De betrokkene moet de informatie makkelijk tot zich kunnen nemen, dus bij het geven van toestemming moet de betrokkene kennis kunnen nemen van de inhoud van de toestemming. Voor geïnformeerde toestemming is nodig dat de verwerkingsverantwoordelijke volledig transparant is over de voorgenomen verwerking;94 wat een belangrijk beginsel vormt binnen de AVG.
De Artikel 29-Werkgroep heeft de minimale informatievereisten opgesomd, welke noodzakelijk zijn voor een betrokkene om een weloverwogen keuze te maken. Dit zijn:
i) De identiteit van de verwerkingsverantwoordelijke;
ii) De doeleinden van elke verwerking waarvoor toestemming gevraagd wordt95; iii) Welke (soort) gegevens zullen worden verzameld en gebruikt;
iv) Het bestaan van het recht de toestemming weer in te trekken;
v) Informatie over het gebruik van de gegevens voor automatische besluitvorming in overeenstemming met artikel 22 lid 2 sub c AVG waar relevant;
vi) De mogelijke risico’s die dergelijke doorgiften bij het ontbreken van een adequaatheidsbesluit en van passende waarborgen, zoals beschreven in artikel 46.96 Naast transparantie over bovenstaande punten, moet er ook transparantie bestaan over onder andere het onverwacht en toekomstig gebruik van gegevens.97
91 Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
p. 15.
92 Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
p.16.
93 Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
p. 15.
94 Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
p.16.
95 Overweging 42 AVG.
96Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
p. 15
97 CIPL, Recommendations for Implementing Transparancy, Consent and Legitimate interest 2017, p.
3.2.4. Ondubbelzinnige handeling
Voor rechtmatige toestemming is een ondubbelzinnige wilsuiting vereist, door middel van een verklaring of ondubbelzinnige actieve handeling.98 Stilzwijgende toestemming is dus onvoldoende.99 Ook vooraf aangekruiste opt-in vakjes mogen niet als toestemming gelden, hierbij moet de betrokkene juist een handeling verrichten om toestemming te weigeren.100 De betrokkene moet dus een opzettelijke handeling uitvoeren om toestemming te verlenen voor een specifieke verwerking.101
98 Artikel 4 lid 11 AVG.
99 Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
p. 18.
100 Overweging 32 AVG.
101 Art. 29-Werkgroep, Richtsnoeren inzake toestemming overeenkomstig Verordening 2016/679 2017,
Hoofdstuk 4. Doelbinding
Doelbinding vormt een van de grondbeginselen voor gegevensbescherming binnen de AVG en wordt ook in het Handvest expliciet genoemd. Het beschermt betrokkenen door grenzen te stellen aan hoe verwerkingsverantwoordelijken en verwerkers hun persoonsgegevens kunnen gebruiken. Persoonsgegevens mogen enkel verwerkt worden voor doeleinden die vooraf vastgesteld zijn. Het beginsel van doelbinding is niet absoluut. Dit zou leiden tot inflexibiliteit en inefficiëntie voor de verwerkingsverantwoordelijke.102 Verwerkingen voor een ander doel dan vooraf vastgesteld zijn dus mogelijk, maar alleen onder strikte voorwaarden. Dit hoofdstuk werkt de uitwerking van het beginsel van doelbinding binnen de AVG verder uit.
4.1. Doelbinding in de AVG
Doelbinding wordt in de AVG als volgt gedefinieerd: “persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt”. Wanneer doelbinding niet strikt genomen wordt, zorgt dat ervoor dat andere belangrijke persoonsgegevensbeschermingsbeginselen binnen de AVG niet gewaarborgd kunnen worden. Zijn de doelen niet juist geformuleerd, zal dit bijvoorbeeld effect hebben op het beginsel van transparantie, op de proportionaliteit en wellicht zou zelfs de bewaartermijn anders zijn geweest op basis van de juiste formulering. Daarom is doelbinding een van de belangrijkste beginselen binnen de AVG; het vormt een startpunt voor het legitimeren van een verwerking. Een verwerking moet passen binnen het verwachtingspatroon van betrokkenen. Betrokkenen hebben een bepaalde verwachting bij het delen van hun gegevens; wordt er niet voldaan aan deze verwachting zal dit voor betrokkenen ervaren worden als een inbreuk op hun recht op gegevensbescherming. Dit is een andere reden waarom doelbinding een belangrijk beginsel is binnen de AVG.
Het beginsel van doelbinding kan opgesplitst worden in twee delen:
1. Persoonsgegevens moeten voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld;
2. Persoonsgegevens mogen niet op een met die doeleinden onverenigbare wijze verder worden verwerkt.103
De manier waarop de AVG invulling geeft aan deze onderdelen wordt in de volgende paragrafen uitgewerkt.
4.1.1. Welbepaald
Het bestanddeel welbepaald houdt in dat persoonsgegevens enkel mogen worden verzameld voor specifieke doeleinden. Een welbepaald doel houdt verband met het beginsel van minimale gegevensverwerking. Minimale gegevensverwerking houdt in dat persoonsgegevens die verzameld en verwerkt worden toereikend en ter zake dienend moeten zijn. Daarbij moeten de persoonsgegevens beperkt zijn tot hetgeen wat noodzakelijk is om de doeleinden te bereiken.104
Een welbepaalde doelomschrijving maakt het doel van de verwerking duidelijk en specifiek. Een welbepaalde doelomschrijving geeft dus in detail aan wat de verwerkingsverantwoordelijke voornemens is te gaan doen met de persoonsgegevens en legt in bepaalde mate dus ook een beperking op aan de verwerkingsverantwoordelijke.105 Als persoonsgegevens worden verzameld voor verschillende doeleinden, zorgt een welbepaalde doelomschrijving ervoor dat verschillende verwerkingen van elkaar onderscheiden kunnen worden.106
4.1.2. Uitdrukkelijk omschreven
Het bestanddeel uitdrukkelijk omschreven houdt in dat de doeleinden op zo’n manier omschreven dienen te worden dat het duidelijk is wat de verwerkingsverantwoordelijke voornemens is te doen met de persoonsgegevens - ongeacht de hoedanigheid van de lezer.107 Dit moet op een begrijpelijke manier worden opgeschreven. Het draagt bij aan het beginsel van transparantie en aan de voorspelbaarheid voor de betrokkene. De betrokkene moet dus kunnen inschatten wat de organisatie gaat doen met zijn gegevens. Uitdrukkelijk omschreven
103 Artikel 5 lid 1 sub b AVG.
104 Art. 29 Werkgroep, Opinion 03/2013 on purpose limitation 2013, p. 15. 105 Art. 29 Werkgroep, Opinion 03/2013 on purpose limitation 2013, p. 15. 106 Art. 29 Werkgroep, Opinion 03/2013 on purpose limitation 2013, p. 16. 107 Art. 29 Werkgroep, Opinion 03/2013 on purpose limitation 2013, p. 17.
doeleinden zorgen ervoor dat de betrokkene dezelfde verwachtingen heeft van de verwerking als de verwerkingsverantwoordelijke. Op het moment van het verzamelen van de persoonsgegevens moet dit kenbaar zijn voor de betrokkene.108
4.1.3. Gerechtvaardigd
Of het doel te rechtvaardigen is wordt grotendeels bepaald door het hebben van een rechtsgeldige grondslag109, maar het is breder dan dat. Het omvat rechtvaardig in de breedste zin van het woord. De grondslag moet dus overeenstemmen met andere wet- en regelgeving, maar ook in lijn zijn met de jurisprudentie, constitutionele principes, fundamentele rechten en andere contractuele afspraken of ethische codes.110
4.2. Verdere verwerking
Zoals eerder omschreven moeten persoonsgegevens voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verwerkt. Persoonsgegevens mogen alleen verder worden verwerkt op een wijze die verenigbaar is met de beschreven doeleinden. Een verdere verwerking kan een verwerking door dezelfde verwerkingsverantwoordelijke zijn, maar kan ook de doorgifte aan een andere verwerkingsverantwoordelijke inhouden. In het laatste geval moet de “nieuwe” verwerkingsverantwoordelijke een zelfstandige rechtsgrond hebben.
Als de verwerkingsverantwoordelijke reeds verkregen persoonsgegevens verder wil verwerken voor nieuwe doeleinden, is dit toegestaan in drie situaties:
1) Indien de betrokkene toestemming voor de verdere verwerking heeft gegeven, of 2) Op basis van een Unierechtelijke of lidstaatrechtelijke bepaling die in een
democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23 lid 1 AVG van de verordening bedoelde doelstellingen van algemeen belang (hierna: wettelijke bepaling), of
108 Art. 29 Werkgroep, Opinion 03/2013 on purpose limitation 2013, p. 17. 109 Artikel 6 lid 1 AVG.
3) Als het nieuwe doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld (hierna: verenigbare verdere verwerking).111
De eerste twee situaties zien op gevallen waarin verder verwerkt mag worden, ook al is dit voor een onverenigbaar doel. Een verdere verwerking voor een onverenigbaar doel moet met terughoudendheid worden toegepast.112
Door het geven van toestemming laat de betrokkene zien dat hij de inbreuk op de persoonlijke levenssfeer die plaatsvindt door de verdere verwerking niet bezwaarlijk acht. Daarom vormt toestemming een aanvaardbaar vereiste voor een verdere verwerking.113 Toestemming moet voldoen aan alle vereisten die hiervoor gelden op basis van de AVG. Bij de tweede situatie, wettelijke bepaling, valt te denken aan de situatie waarin de verwerkingsverantwoordelijke verplicht is bepaalde gegevens te overhandigen aan de politie. De politie moet dan zelf over een verwerkingsgrondslag bezitten. De meest voor de hand liggende verweringsgrondslag daarbij is taak van algemeen belang of in het kader van de uitoefening van het openbaar gezag. De laatste situatie ziet enkel op verenigbare doelen: de verenigbare verdere verwerking. Voor beantwoording van de onderzoeksvraag is enkel deze vorm van de verdere verwerking relevant.
4.2.1. Verenigbare verdere verwerking
De verwerking van persoonsgegevens voor andere doeleinden dan die waarvoor de persoonsgegevens aanvankelijk zijn verzameld, is toegestaan indien de verdere verwerking verenigbaar is met de doeleinden waarvoor de persoonsgegevens aanvankelijk zijn verzameld. Als sprake is van een verenigbare verdere verwerking is er geen afzonderlijke rechtsgrond vereist, dan die op grond waarvan de persoonsgegevens zijn verzameld. Ter illustratie: een organisatie verzamelt en verwerkt de gegevens van een betrokkene op basis van toestemming. De organisatie wil deze gegevens voor een nieuw doeleinde verwerken. Is dit doel verenigbaar met de doeleinden waarvoor de betrokkene toestemming heeft gegeven, is deze verwerking toegestaan. Er hoeft dan niet opnieuw toestemming gevraagd te worden.
De verwerkingsverantwoordelijke dient zelf te bepalen of er sprake is van een verenigbare verwerking. Er is sprake van een verenigbaar doel op het moment dat de verdere verwerking in
111 Artikel 6 lid 4 AVG.
112 MvT UAVG, p. 31; Kamerstukken II 2017/18, 34851, nr. 3, par. 4.2.3. 113 MvT UAVG, p. 33.
voldoende mate verwant is aan het oorspronkelijke doel. Artikel 6 lid 4 en overweging 50 van de AVG sommen voor deze beoordeling een aantal factoren op waarmee de verwerkingsverantwoordelijke onder meer rekening moet houden. Dit zijn de volgende:
a) Een eventuele koppeling tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld en de doeleinden van de voorgenomen verdere verwerking;
b) Het kader waarin de gegevens zijn verzameld – met name de redelijke verwachtingen van de betrokkene op basis van de verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik van zijn persoonsgegevens;
c) De aard van de persoonsgegevens – hoe gevoeliger de persoonsgegevens, hoe minder snel er sprake is van een verenigbare verdere verwerking;
d) De gevolgen van de voorgenomen verdere verwerking voor de betrokkenen – er moet rekening gehouden worden met de mogelijke gevolgen van de verdere verwerking voor de betrokkene; de verdere verwerking mag geen onevenredig grote impact hebben; e) Passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere
verwerkingen – zoals versleuteling of pseudonimisering.
De verdere verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, onderworpen aan passende waarborgen, dient altijd als verenigbaar met de aanvankelijke doeleinden beschouwd.114 Wanneer een verwerkingsverantwoordelijke een taak van algemeen belang of een taak in het kader van de uitoefening van het openbaar gezag heeft, kan in het Unierecht of het recht van de lidstaat worden vastgesteld welke taken en doeleinden dit zijn. De verdere verwerking in het kader van deze taken en doeleinden kan ook als verenigbaar met het oorspronkelijke doel worden beschouwd.115
De factoren in artikel 6 lid 4 van de AVG zijn weergegeven als open normen. De verwerkingsverantwoordelijke kan dus naast deze factoren, welke gelden als een minimum, andere factoren in overweging nemen.116 Het bepalen of een verwerking verenigbaar is aan de hand hiervan biedt veel ruimte voor interpretatie.117 De factoren zijn immers breed geformuleerd en zijn daardoor onduidelijk en vaag. Daarbij zijn ze slechts indicatief.
114 Artikel 89 AVG. 115 Overweging 50 AVG.
116 De Hert & Papakonstantinou, CLSR 2016/32, p. 186. 117 Ramírez López, JIPITEC 2018/9, p. 39.
Verwerkingsverantwoordelijken kunnen aanvullende factoren betrekken in de afweging.118 Doordat de factoren enkel indicatief zijn, is daadwerkelijke naleving voor de verwerkingsverantwoordelijke nooit meer dan een gok, totdat autoriteiten dit controleren. Ter verduidelijking heeft de Artikel 29-Werkgroep onderscheid gemaakt tussen drie categorieën van verdere verwerking van persoonsgegevens: duidelijk verenigbaar; verenigbaarheid is niet vanzelfsprekend en vereist verdere analyse; duidelijk onverenigbaar.
Volgens de Artikel 29-Werkgroep is het makkelijk om een duidelijk (on)verenigbaar doeleinde te onderscheiden van een niet vanzelfsprekend verenigbaar doeleinde. Soms zijn niet alle details en doeleinden volledig verwoord vanaf het begin van de verwerking, maar voldoet het aan de redelijke verwachtingen van de betrokkene dat zijn persoonsgegevens voor het verenigbare doeleinde worden verwerkt.119 Wanneer de verdere verwerking niet in het logische verwachtingspatroon van de betrokkene ligt en deze ongepast of anderszins verwerpelijk is, is de verwerking duidelijk onverenigbaar. De verwachting van de betrokkene is echter een subjectief gegeven. Wanneer verenigbaarheid niet vanzelfsprekend is, is een verdere analyse vereist. Hoe uitgebreid deze analyse dient te zijn hangt af van de mate waarin het doeleinde voor nieuw gebruik verschilt van de oorspronkelijke doeleinden.120 De verdere analyse dient te geschieden door middel van een afweging van de factoren genoemd in artikel 6 lid 4 van de AVG. Dit is een afweging, want op bepaalde punten kan de afweging neigen naar onverenigbaarheid, terwijl deze op andere punten kan neigen naar verenigbaarheid. De uitkomst hangt af van de feitelijke omstandigheden van het geval.121
118 De Hert & Papakonstantinou, CLSR 2016/32, p. 184.
119 Art. 29 Werkgroep, Opinion 03/2013 on purpose limitation 2013, p. 22. 120 Art. 29 Werkgroep, Opinion 03/2013 on purpose limitation 2013, p. 24.
121 Een indicatie van factoren die (on)verenigbaar zijn is te vinden in: Art. 29 Werkgroep, Opinion 03/2013 on purpose limitation 2013.
Hoofdstuk 5. De verenigbare verdere verwerking van
persoonsgegevens verzameld op basis van toestemming
Zoals in hoofdstuk 1 is uitgewerkt, vormen artikel 7 en 8 van het Handvest een uitwerking van het recht op privacy en gegevensbescherming. Artikel 8 vormt een onderdeel van artikel 7 van het Handvest. Elke verwerking van persoonsgegevens vormt een inbreuk op het recht op gegevensbescherming van de betrokkene. Wil een verwerking rechtmatig zijn, moet deze dus voldoen aan de vereisten van artikel 8 van het Handvest. Gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een
andere gerechtvaardigde grondslag waarin de wet voorziet.122 Deze vereisten zijn cumulatief en worden uitgewerkt in de AVG. Om te bepalen of de verenigbare verdere verwerking van persoonsgegevens verzameld op basis van toestemming verenigbaar is met artikel 8 van het Handvest, moet eerst bepaald worden hoe deze zich verhoudt tot de AVG. Hierna dient te worden uitgewerkt of de manier waarop deze regels en beginselen zijn uitgewerkt in de AVG verenigbaar is met artikel 8 van het Handvest.
5.1. De verenigbare verdere verwerking en de AVG
De verenigbare verdere verwerking van persoonsgegevens die verzameld zijn op basis van toestemming heeft betrekking op alle drie de vereisten van artikel 8 lid 2 van het Handvest: eerlijk, bepaalde doeleinden en toestemming. Een verwerking is op basis van de AVG “eerlijk” wanneer deze, onder andere, voldoet aan het beginsel van rechtmatigheid, behoorlijkheid en transparantie. Dit betekent onder meer dat elke verwerking een rechtmatige grondslag moet hebben. De AVG geeft hiervoor zes opties in artikel 6 lid 1, waarvan één de grondslag toestemming is.123 De grondslag toestemming binnen de AVG vormt de uitwerking van “toestemming” in de zin van artikel 8 lid 2 van het Handvest. Het vereiste “bepaalde doeleinden” in de zin van artikel 8 lid 2 van het Handvest lijkt vertaald te zijn in het beginsel op doelbinding in de AVG.124 In de volgende paragraaf zal de invloed van de verenigbare verdere verwerking op het beginsel van doelbinding kort worden uitgewerkt. Hierna zal de
122 Artikel 8 lid 2 Handvest. 123 Artikel 6 lid 1 sub a AVG. 124 Artikel 5 lid 1 sub b AVG.
