Promovendireeks #1: Het recht op een behoorlijke verwerking van persoonsgegevens, wat houdt dat eigenlijk in?

Begin dit jaar werd duidelijk dat persoonsgegevens zijn verwerkt op een manier die onbehoorlijk was richting de gebruikers van de digitale diensten Facebook, Instagram en WhatsApp. Later werd ook het sociale media platform TikTok op de vingers getikt voor schending van het behoorlijkheidsbeginsel. Het vereiste van een behoorlijke gegevensverwerking is een van de kernbeginselen van het gegevensbeschermingsrecht en samen met de beginselen van rechtmatigheid en transparantie neergelegd in artikel 5 van de Algemene Verordening Gegevensbescherming (AVG). Daarnaast is het een integraal onderdeel van het fundamentele recht op de bescherming van persoonsgegevens, vastgelegd in artikel 8 van het EU-Handvest. De onbehoorlijke gegevensverwerkingen zijn gebleken uit onderzoeken van de Ierse Data Protection Commission (DPC). In het geval van Facebook, Instagram en WhatsApp was de onbehoorlijke gegevensverwerking mede aanleiding voor het opleggen van stevige boetes, bij elkaar opgeteld voor een bedrag van 395,5 miljoen euro. Daarnaast heeft TikTok het bevel gekregen van de DPC om de onbehoorlijke praktijken te doen stoppen. Het voorgaande laat zien dat het behoorlijkheidsbeginsel wordt gehandhaafd. Het is echter nog helemaal niet zo duidelijk wat dit beginsel inhoudt. Er werd voorheen niet eens altijd een zelfstandige betekenis aan toegekend, zoals bijvoorbeeld lange tijd het geval was in Nederland. Ook nu is er nog maar beperkte uitleg over het behoorlijkheidsbeginsel te vinden. Door de vele vraagtekens rondom dit beginsel lijkt de actieve handhaving ervan nog lastig te rijmen met het lex certa-beginsel. Met het oog op de rechtszekerheid moet immers voldoende duidelijk zijn wanneer sprake is van een verboden gedraging.

Aanleiding voor de onderzoeken bij Facebook, Instagram en WhatsApp waren bijgewerkte servicevoorwaarden waarin ook gegevensverwerkingen werden beschreven. Deze voorwaarden zijn door de digitale diensten vernieuwd met het oog op de AVG die van toepassing werd op 25 mei 2018. Volgens de non-profitorganisatie None Of Your Business (NOYB) was er veel mis met deze nieuwe voorwaarden en zij dienden dan ook klachten in bij verschillende nationale toezichthouders. Er zou bijvoorbeeld sprake zijn geweest van een ‘take it or leave it’ situatie waarbij gebruikers van de digitale diensten zich gedwongen voelden om toestemming te geven voor de gegevensverwerkingen. Deze klachten zijn vervolgens onderzocht onder leiding van de DPC, aangezien de hoofdvestingen van deze diensten in Ierland zitten. Er is tijdens het onderzoek vooral gekeken naar de rechtmatigheid en transparantie van bepaalde gegevensverwerkingen beschreven in de servicevoorwaarden. Hierbij was bijvoorbeeld aandacht voor de vraag of er een juridische basis was voor deze gegevensverwerkingen en of voldoende informatie werd verstrekt aan de gebruikers van deze diensten. De DPC is haar onderzoek naar het tevens in Ierland gevestigde TikTok uit eigen beweging gestart. Dit onderzoek was voornamelijk gericht op het verwerken van persoonsgegevens van kind-gebruikers van het sociale media platform. Er werd bijvoorbeeld onderzocht of TikTok zich aan de informatieverplichtingen in de AVG hield en of het platform volgens de beginselen van ‘privacy by design & default’ was ingericht.

In deze onderzoeken werd in eerste instantie de behoorlijkheid van de gegevensverwerkingen niet onderzocht door de DPC, maar dit is later via de geschillenbeslechtingsprocedure toch onderwerp van onderzoek geworden. De AVG vereist namelijk dat toezichthouders in dit soort grensoverschrijdende onderzoeken met elkaar samenwerken en overeenstemming bereiken over het definitieve besluit. Tussen de DPC en de andere betrokken toezichthouders ontstond in de verschillende onderzoeken onder andere discussie over de vraag of niet ook het behoorlijkheidsbeginsel was geschonden. Zij kwamen daar steeds onderling niet uit, waardoor de geschillen uiteindelijk moesten worden beslecht door de European Data Protection Board (EDPB). Dit is de overkoepelende organisatie voor samenwerking tussen alle nationale toezichthouders binnen de EER op het gebied van het gegevensbeschermingsrecht. De EDPB beslecht dit soort geschillen door bijvoorbeeld een bindend besluit te nemen, waarin zij vaak ook normuitleg geeft over de juiste toepassing van het gegevensbeschermingsrecht.

In de drie bindende besluiten ten aanzien van de onderzoeken naar Facebook, Instagram en WhatsApp concludeert de EDPB dat het behoorlijkheidsbeginsel inderdaad is geschonden en instrueert zij de DPC dit vast te stellen in het definitieve besluit. Hierbij benoemt de EDPB voor het eerst expliciet dat het behoorlijkheidsbeginsel een zelfstandige betekenis heeft, afzonderlijk van de vereisten van rechtmatigheid en transparantie. De EDPB geeft nieuwe normuitleg en laat zien hoe het behoorlijkheidsbeginsel (en de uitleg die zij daaraan geeft) volgens haar kan worden toegepast en worden gehandhaafd in een concrete situatie. Deze normuitleg herhaalt de EDPB in haar bindende besluit met betrekking tot het onderzoek naar TikTok, waarbij zij wederom de DPC instrueert om schending van het behoorlijkheidsbeginsel vast te stellen. Eerder schreef ik al een uitgebreider artikel waarin ik de nieuwe normuitleg over het behoorlijkheidsbeginsel die volgt uit de bindende besluiten van de EDPB onder de loep neem (P&I 2023/3). Daarbij stel ik de vraag of we nu voldoende uitleg voor handen hebben om het beginsel goed te begrijpen en concludeer dat er nog steeds veel onduidelijkheden en vraagtekens zijn.

Zo is er behoefte aan meer duiding ten aanzien van de (zelfstandige) betekenis van het behoorlijkheidsbeginsel. Het vereiste van een behoorlijke gegevensverwerking wordt namelijk niet gedefinieerd in de AVG en in jurisprudentie van het Hof van Justitie van de Europese Unie is tot dusver geen definitie te vinden. Daarnaast heeft de EDPB nog geen richtsnoer uitgevaardigd die specifiek is gericht op het behoorlijkheidsbeginsel, terwijl zij dit wel heeft gedaan over andere kernbeginselen van het gegevensbeschermingsrecht. Tot dusver is de normuitleg over dit beginsel vanuit de EDPB beperkt gebleven tot de hiervoor besproken bindende besluiten en enkele opmerkingen in andere richtsnoeren. Daarmee ontbreekt een volledig beeld en roept de interpretatie en toepassing die de EDPB geeft aan dit beginsel nog veel vragen op. Verder is de uitleg niet altijd terug te herleiden naar de tekst van de AVG en kan dus onvoorspelbaar zijn.

Deze vaagheid rondom het behoorlijkheidsbeginsel is ook lastig voor de Nederlandse rechtspraktijk. Het is namelijk niet mogelijk om een eigen nationale uitleg te geven. Allereerst omdat de AVG een verordening is die direct van toepassing is in Nederland en geen implementatie behoeft. Daarnaast wordt er voor het bepalen van de betekenis van het behoorlijkheidsbeginsel in de bewoording van de betreffende bepaling in de AVG niet verwezen naar het recht van de lidstaten. Volgens vaste rechtspraak moet een dergelijke bepaling dan in de gehele Europese Unie autonoom en uniform worden uitgelegd. De huidige memorie van toelichting bij de Nederlandse Uitvoeringswet AVG (UAVG) zegt dan ook niks over het behoorlijkheidsbeginsel.

In het verleden heeft de Nederlandse wetgever wel een eigen invulling aan het behoorlijkheidsbeginsel gegeven. De voorloper van de AVG was een richtlijn die lidstaten implementeerden in hun nationale wetgeving. Deze richtlijn vereiste dat persoonsgegevens ‘eerlijk’ werden verwerkt. Dit is destijds in artikel 6 van de Wet bescherming persoonsgegevens (Wbp) geïmplementeerd als het vereiste om persoonsgegevens op ‘behoorlijke en zorgvuldige wijze’ te verwerken. Volgens de memorie van toelichting bij de Wbp is de term ‘eerlijk’ niet overgenomen, omdat dit begrip in het Nederlandse recht nauwelijks zou voorkomen en geen specifieke juridische betekenis zou hebben. In plaats daarvan zou aansluiting zijn gezocht bij de algemene beginselen van behoorlijk bestuur en bij de maatschappelijke zorgvuldigheidsnorm (onrechtmatige daad) in artikel 6:162 BW. Een onbehoorlijke gegevensverwerking zou op zichzelf al in strijd zijn met de wet en daarmee een ander kernbeginsel van het gegevensbeschermingsrecht schenden, namelijk het beginsel van rechtmatigheid. De Nederlandse wetgever zag de begrippen ‘eerlijk’ en ‘rechtmatig’ dus als een tautologie. In de hiervoor besproken bindende besluiten heeft de EDPB echter duidelijk gemaakt dat het behoorlijkheidsbeginsel wel een zelfstandige betekenis heeft. Daaruit volgt dat het beginsel niet meer precies hetzelfde kan inhouden als het vereiste van rechtmatigheid. Wat het dan wel precies inhoudt blijft nog altijd onduidelijk.

Momenteel verricht ik promotieonderzoek naar de vraag wat het behoorlijkheidsbeginsel in het Europese gegevensbeschermingsrecht inhoudt en beoog daarmee bij te dragen aan een beter begrip van de betekenis en werking van dit beginsel. Hopelijk kan dit organisaties helpen bij het waarborgen van een behoorlijke gegevensverwerking en wordt het voor burgers duidelijker waar ze recht op hebben. Hierdoor ontstaat er meer rechtszekerheid voor iedereen en kunnen toezichthouders dit kernbeginsel makkelijker handhaven.