Algemene Verordening Gegevensbescherming (AVG)
Inleiding Algemene Verordening Gegevensbescherming (AVG)
De Algemene Verordening Gegevensbescherming (Verordening EU 2016/679) is op 27 april 2016 door de Europese Unie uitgevaardigd. De Verordening is op 25 mei 2018 van kracht geworden. De Nederlandse afkorting is AVG, de Engelse term General Data Protection Regulation (GDPR). De AVG is in werking getreden op 25 mei 2018 en is rechtstreeks toepasselijk in Nederland (artikel 99 AVG en 288 VWEU).
De AVG is de opvolger van een eerdere Europese Richtlijn (Richtlijn 2000/31), die ook al door de Nederlandse wetgever was geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP). De AVG gaat verder dan de richtlijn en de regels van de AVG vervangen de eerdere nationale wetgeving. Wel kan de nationale wetgever – als de AVG daarvoor de speelruimte biedt – sommige bepalingen van de verordening zelf nader invullen. Voor bepaalde sectoren bestaan specifieke nationale regels, die binnen de AVG gehandhaafd kunnen worden (vgl. Considerans (10) AVG).
De AVG is – niettegenstaande rechtstreekse werking van de verordening – in Nederland geïmplementeerd in de Uitvoeringswet AVG, die in werking is getreden op 25 mei 2018. De verordening staat op bepaalde onderdelen een nadere of andere invulling toe op nationaal niveau, wat de invoeringswet zinvol maakt om die keuzes in te vullen, en te regelen welke instantie voor de handhaving in Nederland is aangewezen. Die instantie is de Autoriteit Persoonsgegevens (AP).
De regels van de AVG zijn erg algemeen en abstract, wat de toepassing in de praktijk soms lastig maakt. Het draait echter om de ratio van de AVG en de weging van het belang om data (persoonsgegevens) van personen te verzamelen versus de bescherming van hun privacy.
Wat is het doel van de AVG?
Het doel van de AVG is zeer uitvoerig beschreven in de considerans voor de verordening. De Considerans omvat maar liefst 173 (bij elkaar 31 pagina’s A4) aan overwegingen.
Het kerndoel van de AVG is het beschermen van fundamentele grondrechten en vrijheden van de burgers van de EU. Deze grondrechten zijn vastgelegd in het Handvest van de Grondrechten van de Europese Unie. De Considerans zegt het zo:
“(4) De verwerking van persoonsgegevens moet ten dienste staan van de mens. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving. Het moet tegen andere grondrechten worden afgewogen conform het evenredigheidsbeginsel.
Deze verordening eerbiedigt alle grondrechten en de vrijheden en beginselen die zijn erkend in het Handvest … met name de eerbiediging van het privéleven en het familie- en gezinsleven, (het recht op een) woning en (op vrije) communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid.”
Inhoud van de Algemene Verordening Gegevensbescherming
De AVG omvat elf hoofdstukken, met 99 bepalingen.
– Hoofdstuk I – Algemene bepalingen (art. 1 t/m 4)
– Hoofdstuk II – Beginselen (art. 5 t/m 11)
– Hoofdstuk III – Rechten van de betrokkene (art. 12 t/m 23)
– Hoofdstuk IV – Verwerkingsverantwoordelijke en verwerker (art. 24 t/m 43)
– Hoofdstuk V – Doorgiften aan derde landen of internationale organisaties (art. 44 t/m 50)
– Hoofdstuk VI – Onafhankelijke toezichthoudende autoriteiten (art. 51 t/m 59)
– Hoofdstuk VII – Samenwerking en coherentie (art. 60 t/m 76)
– Hoofdstuk VIII – Beroep, aansprakelijkheid en sancties (art. 77 t/m 84)
– Hoofdstuk IX – Bepalingen specifieke situaties gegevensverwerking (art. 85 t/m 91)
– Hoofdstuk X – Gedelegeerde handelingen en uitvoeringshandelingen (art. 92 en 93)
– Hoofdstuk XI – Slotbepalingen (art. 94 t/m 99)
Tot wie richt de AVG zich?
De AVG is een EU Verordening. Een verordening van de EU heeft een algemene strekking, is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat van de EU (art. 288 EU-Werkingsverdrag). Een verordening is dus hetzelfde als een wet. Alleen geldt een EU verordening in alle landen van de EU gelijkelijk en is die niet door de nationale wetgever opgesteld, maar door de Europese wetgever: de Raad van de Europese Unie (de Raad van Ministers) en het Europees Parlement, in samenspraak met de nationale parlementen.
Burgers van de EU kunnen zich dus rechtstreeks op de rechten in een EU Verordening beroepen. Omgekeerd moeten zij zich ook houden aan de verplichtingen die een verordening oplegt.
De bepalingen van een verordening gelden natuurlijk ook voor overheden, bedrijven en andere organisaties in de EU Lidstaten.
Territoriaal toepassingsgebied van de AVG
Het territoriaal bereik van de AVG is bepaald in art. 3 AVG.
De AVG geldt voor alle verwerking ten behoeve van activiteiten van een (vestiging van een) verwerkingsverantwoordelijke of een verwerker, die binnen de Unie gelegen is (art. 3 lid 1 AVG). Dit ongeacht of de verwerking zelf binnen of buiten de Unie plaatsvindt.
De AVG geldt volgens art. 3 lid 2 AVG ook wanneer het de verwerking betreft van persoonsgegevens van natuurlijke personen die zich in de Unie bevinden, ten behoeve van:
– het al dan niet gratis aanbieden van goederen of diensten aan de betrokkenen;
– het monitoren van hun gedrag, voor zover binnen de Unie;
– en bij verwerking door een verwerkingsverantwoordelijke buiten de Unie, als daar op grond van het IPR het recht van een Lidstaat geldt (bvb. de Nederlandse Antillen).
Voornaamste bepalingen van de AVG
Voor degeen, die persoonsgegevens verwerkt (de “verwerker”) of laat verwerken (de “verwerkingsverantwoordelijke”), en natuurlijk ook voor de personen wiens persoonsgegevens verwerkt worden (de “betrokkene”), zijn de voornaamste bepalingen van de AVG de bepalingen in Hoofdstuk I tot en met IV van de verordening.
Die bepalen namelijk:
– wat “verwerking van persoonsgegevens” inhoudt
– wat onder “persoonsgegevens” is te verstaan
– welke rechten de betrokkene heeft en
– waar de verwerker en diens opdrachtgever zich aan moeten houden ter bescherming van de privacy van de betrokkene.
Doel van de AVG is het reguleren van gegevensverwerking ter bescherming van de burger
De AVG heeft tot doel de verwerking van persoonsgegevens te reguleren ter bescherming van de privacy van degeen, wiens gegevens verwerkt worden (de betrokkene). En om de uitwisseling van gegevens binnen de EU te vergemakkelijken en de wetgeving binnen de EU te harmoniseren.
Doel van de AVG is niet het vrije verkeer van persoonsgegevens binnen de Unie te verbieden of te beperken (art. 1 lid 3 AVG).
Materieel toepassingsgebied van de AVG
Art. 2 lid 1 AVG bepaalt dat de AVG van toepassing is op:
– geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, en
– op de verwerking van persoonsgegevens die in een bestand zijn opgenomen, en
– op de verwerking van persoonsgegevens teneinde die in een bestand op te nemen
Definities AVG
In art. 4 AVG is de definitie te vinden van de centrale begrippen die in de AVG gehanteerd worden:
1. persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”), aan de hand van identificatoren zoals naam, ID-nr., locatie, een online identificatie (ISDN-nr.), of elementen van de fysieke, fysiologische, genetisch, psychische, economische, culturele of sociale identiteit
2. verwerking een bewerking of samenstel van bewerkingen m.b.t. persoonsgegevens (of een geheel daarvan), al dan niet uitgevoerd met geautomatiseerde procedés, zoals: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiden, ter beschikking stellen, aligneren, combineren, afschermen, wissen of vernietigen
3. beperken van verwerking het markeren van persoonsgegevens om de verwerking ervan in de toekomst te beperken
4. profilering geautomatiseerde verwerking waarbij bepaalde persoonlijke aspecten worden geëvalueerd, met name om de beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren en voorspellen
5. pseudonimisering het bewerken van persoonsgegevens zodat die niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, mits deze sleutel d.m.v. organisatorische en technische maatregelen worden afgezonderd
6. bestand elk gestructureerd geheel van persoonsgegevens, die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is, of op functionele of geografische gronden is gespreid
7. verwerkingsverantwoordelijke eenieder die het doel van de verwerking van persoonsgegevens vaststelt
8. verwerker eenieder die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt (NB zie “verwerken”)
9. ontvanger eenieder – al dan niet een derde – aan wie de verwerkte persoonsgegevens worden verstrekt (uitgezonderd overheidsinstanties die conform Unierecht gegevens ontvangen t.b.v. onderzoek).
Verder vinden we daar de begrippen: derde, toestemming, inbreuk i.v.m. persoonsgegevens, genetische gegevens, biometrische gegevens, gegevens over gezondheid, hoofdvestiging, vertegenwoordiger, onderneming, concern, bindende bedrijfsvoorschriften, toezichthoudende autoriteit, betrokken toezichthoudende autoriteit, grensoverschrijdende verwerking, relevant en gemotiveerd bezwaar, dienst van de informatiemaatschappij en internationale organisatie.
Hoofdstuk II Beginselen van de verwerking van persoonsgegevens
De verwerking van persoonsgegevens moet volgens art. 5 lid 1 AVG voldoen aan de volgende vereisten:
De verwerking van persoonsgegevens moet:
a. tegenover de betrokkene rechtmatig, behoorlijk en transparant zijn;
b. voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden;
b’ doelbinding: de verwerking moet overeenkomstig die doelen zijn (verwerking t.b.v. archivering voor onderzoek, statistiek is doelconform);
c. toereikend, dienend en ter zake dienend en beperkt tot wat noodzakelijk is voor die doeleinden (minimale verwerking)
d. juistheid; redelijke maatregelen moeten worden genomen om onjuiste gegevens te rectificeren of te verwijderen;
e. opslagbeperking: opslag moet beperkt worden zodat dit niet langer geschiedt dan noodzakelijk;
f. passende beveiliging met technische of organisatorische maatregelen ter voorkoming van onrechtmatige verwerking of onopzettelijk verlies of beschadiging (integriteit en vertrouwelijkheid).
De verwerkingsverantwoordelijke moet kunnen aantonen dat aan deze vereisten is voldaan (art. 5 lid 2).
Beslissing Belgische AP d.d. 2 februari 2022 inzake TCF’s IAB Europe
De Belgische Autoriteit Persoonsgegevens heeft – als voortrekker van 27 Autoriteiten binnen de EU – op 2 februari 2022 een beslissing genomen, waarbij het gebruik van Transparancy and Consent Framework (TCF) door IAB Europe, een leverancier van onder meer Google, Amazon en Microsoft, wordt beboet met een bedrag van EUR 250.000. Deze beslissing werkt rechtstreeks in alle lidstaten van de EU. Hiermee is IBA Europe met een hamer op de vingers getikt. Dit raakt ook de online veiling van advertenties. Zie de (Engelstalige) mededeling op de website van de Irisch Council for Civil Liberties (één van de klagers) en de gepubliceerde (lijvige) beslissing (Nederlands en Engels).
De Belgische Databeschermingsautoriteit (pag. 138) gelast IAB Europe om:
“de verwerking van persoonsgegevens in het kader van het TCF in overeenstemming te brengen met de bepalingen van de AVG door:
a. in een geldige rechtsgrond te voorzien voor de verwerking en de verspreiding van de voorkeuren van de gebruikers in het kader van het TCF, onder de vorm van een TC String en een eu-consent–v2 cookie, alsmede het gebruik van gerechtvaardigde belangen als grondslag voor de verwerking van persoonsgegevens, door organisaties die deelnemen aan het TCF in zijn huidige vorm, te verbieden via de gebruiksvoorwaarden, overeenkomstig de artikelen 5.1.a en 6 van de AVG;
b. doeltreffende technische en organisatorische controlemaatregelen te implementeren teneinde de integriteit en vertrouwelijkheid van de TC String te garanderen, overeenkomstig de artikelen 5.1.f, 24, 25 en 32 van de AVG;
c. een strikte doorlichting te handhaven van de organisaties die zich aansluiten bij het TCF, om te verzekeren dat de deelnemende organisaties voldoen aan de eisen van de AVG, overeenkomstig de artikelen 5.1.f, 24, 25 en 32 AVG;
d. technische en organisatorische maatregelen te treffen teneinde te beletten dat toestemming standaard wordt aangevinkt in de CMP interfaces alsook dat deelnemende vendors automatisch worden toegestaan op grond van een gerechtvaardigd belang, overeenkomstig de artikelen 24 en 25 AVG;
e. CMPs op te leggen om een uniforme en AVG conforme aanpak te hanteren inzake de informatie die deze laatsten aan gebruikers voorleggen, overeenkomstig de artikelen 12 tot en met 14 en 24 van de AVG;
f. het huidige register van verwerkingsactiviteiten aan te vullen, door de verwerking van persoonsgegevens in het TCF door IAB Europe op te nemen, overeenkomstig artikel 30 van de AVG;
g. een gegevensbeschermingseffectbeoordeling (GEB) uit te voeren met betrekking tot de verwerkingsactiviteiten onder het TCF en hun impact op de verwerkingsactiviteiten die onder het OpenRTB-systeem plaatsvinden, alsmede deze GEB aan te passen aan de toekomstige versies of wijzigingen aan de huidige versie van het TCF, overeenkomstig artikel 35 van de AVG;
h. een functionaris voor gegevensbescherming (DPO) aan te stellen overeenkomstig de artikelen 37 tot 39 van de AVG.
Deze nalevingsmaatregelen moeten worden verwezenlijkt binnen een termijn van zes maanden na de validatie van een actieplan door de Belgische Gegevensbeschermingsautoriteit, dat binnen twee maanden na deze beslissing aan de Geschillenkamer moet worden voorgelegd. Het niet naleven van de bovengenoemde termijnen gaat gepaard met een dwangsom van 5.000 EUR per dag, op grond van artikel 100, § 1, 12° van de WOG.
De verweerster op grond van artikel 101 van de WOG een administratieve geldboete van 250.000 EUR op te leggen.”
Voorwaarden voor het mogen verwerken van persoonsgegevens
In art. 6 lid 1 AVG stelt de verordening voor het rechtmatig verwerken van persoonsgegevens de volgende voorwaarden, waarbij aan tenminste één daarvan voldaan moet zijn:
(a) toestemming van de betrokkene voor verwerking van zijn gegevens voor één of meer specifieke doeleinden;
(b) verwerking is noodzakelijk voor uitvoering van een overeenkomst waarbij betrokkene partij is, of ter voorbereiding daarvan;
(c) verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting;
(d) verwerking is noodzakelijk t.b.v. bescherming van de vitale belangen van betrokkene of een andere natuurlijke persoon;
(e) verwerking is noodzakelijk voor de vervulling van een taak in het algemeen belang of voor een overheidstaak die aan de verwerkingsverantwoordelijke is opgedragen, als wettelijk vast te stellen;
(f) verwerking is noodzakelijk ten behoeve van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke – niet zijnde een overheidsinstantie – of een derde, behalve wanneer de belangen, grondrechten of fundamentele vrijheden van betrokkene zwaarder wegen, vooral als betrokkene een kind is.
De Lidstaten kunnen op grond van art. 6 lid 2 AVG specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast.
Gebruik van gegevens voor ander doel dan waarvoor ze zijn verzameld
Wil de verwerkingsverantwoordelijke de verkregen data wil gebruiken voor een ander doel dan waarvoor ze zijn verkregen – en de betrokkene daarvoor geen toestemming heeft gegeven – dan moet hij krachtens art. 6 lid 4 AVG bij zijn besluit daartoe meewegen:
– het verband tussen de doeleinden van verkrijgen en de voorgenomen verdere verwerking;
– het kader waarin de gegevens zijn verzameld, in het licht van de relatie tussen verwerkingsverantwoordelijke en betrokkene;
– de aard van de persoonsgegevens, met name of het bijzondere categorieën betreft;
– de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
– het bestaan van passende waarborgen, waaronder evt. versleuteling.
Toestemming van de betrokkene tot het verwerken van zijn gegevens
In art. 7 AVG zijn nadere regels gegeven over de toestemming van de betrokkene (als bedoeld in art. 6 lid 1 aanhef en sub a AVG). De verantwoordelijke moet kunnen aantonen dat de toestemming gegeven is (lid 1). De bewijslast rust dus op hem.
Als de toestemming meerdere doeleinden heeft, dan moet helder zijn geformuleerd welke dat zijn (lid 2).
De betrokkene moet vrij zijn in het geven van zijn toestemming (lid 4) en moet die even eenvoudig als hij die heeft gegeven kunnen intrekken (lid 3).
Voor kinderen gelden scherpere regels (art. 8 AVG). Tot een bepaalde leeftijd moet de wettelijk vertegenwoordiger de toestemming geven.
Verwerking van bijzondere categorieën persoonsgegevens
Niet alle persoonsgegevens zijn even gevoelig als het gaat om de bescherming van de privacy van individuen. Voor de verwerking van bepaalde ‘bijzondere persoonsgegevens’ stelt de AVG hogere eisen (art. 9 AVG).
In art. 9 lid 1 AVG wordt de verwerking van de volgende ‘bijzondere’ gegevens over een persoon in beginsel verboden:
– etnische afkomst;
– politieke opvatting;
– religieuze of levensbeschouwelijke opvatting;
– het lidmaatschap van een vakbond;
– genetische gegevens;
– biometrische gegevens ter unieke identificatie;
– gegevens over de gezondheid van een persoon;
– of de seksuele geaardheid of seksueel gedrag.
Uitzondering verbod verwerken bijzondere persoonsgegevens
Art. 9 lid 2 (a t/m j) AVG bepaalt, onder welke voorwaarden en in welke gevallen op het verbod van art. 9 lid 1 AVG uitzondering gemaakt kan worden:
(a) met uitdrukkelijke toestemming voor één of meer bepaalde doeleinden, tenzij dit bij wet is verboden;
(b) verwerking is noodzakelijk voor de uitvoering van verplichtingen en uitoefening van rechten van de verwerkingsverantwoordelijke of de betrokkene in kader van arbeidsrecht of sociale zekerheidsrecht, voor zover toegestaan bij enige wet of een CAO, die passende waarborgen biedt;
(c) ter bescherming van de vitale belangen van de betrokkene;
(d) verwerking t.b.v. haar activiteiten door een vereniging of stichting etc. zonder winstoogmerk op politiek, levensbeschouwelijk, religieus of vakbondsgebied werkzaam, mits:
– i.h.k.v. van haar gerechtvaardigde activiteiten;
– met passende waarborgen;
– uitsluitend m.b.t. leden of oud leden;
– t.b.v. contact met die leden in verband met haar doeleinden;
– en mits niet buiten die instantie worden verstrekt zonder toestemming;(e) gegevens die kennelijk al door betrokkene openbaar zijn gemaakt;
(f) verwerking is noodzakelijk voor instellen, uitoefenen, onderbouwen van een rechtsvordering of bij verwerking door gerechten binnen hun bevoegdheid;
(g) voor zwaarwegend algemeen belang;
(h) voor doeleinden van preventieve of arbeidsgeneeskunde, voor beoordeling van arbeidsgeschiktheid of medische behandeling of diagnose etc., mits met de waarborgen vermeld in art. 9 lid 3 AVG;
(i) redenen van algemeen belang volksgezondheid, op wettelijke grondslagen;
(j) voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, met inachtneming van de vereisten van evenredigheid en waarborgen conform Unierecht of recht van de Lidstaten.
De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren (art. 9 lid 4 AVG).
De verwerking van strafrechtelijke gegevens (zoals iemand strafblad) mag alleen plaatsvinden door de bevoegde overheid (art. 10 AVG).
Hoofdstuk III Rechten van de betrokkene volgens de AVG
In dit hoofdstuk worden regels gegeven voor de wijze waarop de verantwoordelijke moet omgaan met de gegevensverwerving en verwerking en welke rechten de betrokkene heeft met betrekking tot de verzamelde en verwerkte gegevens.
In Afd. 1, Hoofdstuk III is één bepaling (art. 12 AVG) gewijd aan transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene.
Transparantie (art. 12 AVG)
In art. 12 AVG worden eisen gesteld aan de maatregelen, die de verwerkingsverantwoordelijke moet nemen om helder en transparant over te brengen wat er met de gegevens gebeurt. In de hiervoor vermelde beslissing van de Belgische AP van 2 februari 2022 is beslist dat IAB Europe niet voldeed aan deze eisen met de door haar gebruikte cookie-consent.
“1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
2, De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. In de in artikel 11, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 15 tot en met 22 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
4. Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
5. Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:
a. een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel
b. weigeren gevolg te geven aan het verzoek.
Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
6. Onverminderd artikel 11 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 15 tot en met 21, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.
7. De krachtens de artikelen 13 en 14 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.
8. De Commissie is bevoegd overeenkomstig artikel 92 gedelegeerde handelingen vast te stellen om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen.”
Het arrest van het HvJ EU oktober 2023 (ECLI:EU:C:2023:811) ging over een geschil tussen een Duitse consument en diens tandarts. Het verzoek om een prejudiciële beslissing was ingediend in het kader van een geschil tussen FT (tandarts) en DW (patiënt) over de weigering van FT om haar patiënt kosteloos een eerste kopie van zijn medisch dossier te verstrekken.
Het Hof adviseerde omtrent art. 12 AVG als volgt:
“Artikel 12, lid 5, en artikel 15, leden 1 en 3 AVG moeten aldus worden uitgelegd, dat de verwerkingsverantwoordelijke ook verplicht is om aan de betrokkene kosteloos een eerste kopie van de hem betreffende die worden verwerkt te verstrekken wanneer dit verzoek wordt gedaan met een ander doel dan de in overweging 63, eerste volzin, van die verordening vermelde doeleinden.
Afd. 2, Hoofdstuk III AVG
Dit hoofdstuk bevat in art. 13, 14 en 15 AVG een aantal regels over de aan de betrokkene te verstrekken informatie en de rechten van de persoon van wie de gegevens verwerkt worden.
Art. 15 AVG (Recht van inzage van de betrokkene) luidt aldus:
“1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
a. de verwerkingsdoeleinden;
b. de betrokken categorieën van persoonsgegevens;
c. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
d. indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e. dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f. dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
g. wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h. het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.2. Wanneer persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen overeenkomstig artikel 46 inzake de doorgifte.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt.
4. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.
In het hiervoor vermelde arrest van het HvJ EU oktober 2023 (ECLI:EU:C:2023:811) heeft het HvJ EU zich verder uitgelaten over art. 15 lid 3 AVG. Het Hof overwoog:
“Artikel 15, lid 3, eerste volzin moet aldus worden uitgelegd dat in het kader van een relatie tussen arts en patiënt uit het recht op een kopie van de persoonsgegevens die worden verwerkt voortvloeit dat aan de betrokkene een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden verstrekt. Dit recht omvat het recht om een volledige kopie te verkrijgen van de documenten in zijn medisch dossier die met name die persoonsgegevens bevatten, indien de verstrekking van een dergelijke kopie noodzakelijk is om de betrokkene in staat te stellen de juistheid en de volledigheid ervan te controleren en om de begrijpelijkheid ervan te waarborgen. Wat gegevens betreffende de gezondheid van de betrokkene betreft, omvat dit recht in ieder geval het recht om een kopie te verkrijgen van de gegevens van zijn medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en bij de betrokkene verrichte behandelingen of ingrepen.”
Afd. 5, Hoofdstuk III AVG Beperkingen
Artikel 23, lid 1 AVG bepaalt:
“De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 20, worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:
a. de nationale veiligheid;
b. de landsverdediging;
c. de openbare veiligheid;
d. de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
e. andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
f. de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
g. de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
h. een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a), tot en met e) en punt g) bedoelde gevallen;
i. de bescherming van de betrokkene of van de rechten en vrijheden van anderen;
j. de inning van civielrechtelijke vorderingen.
In het hiervoor vermelde arrest van het HvJ EU oktober 2023 (ECLI:EU:C:2023:811) heeft het HvJ EU zich verder uitgelaten over art. 23 lid 1 onder i) AVG. Het Hof overwoog:
“Artikel 23, lid 1, onder i) AVG moet aldus worden uitgelegd, dat een nationale wettelijke regeling die vóór de inwerkingtreding van deze verordening is vastgesteld binnen de werkingssfeer van deze bepaling kan vallen. Dit betekent echter niet dat een nationale wettelijke regeling kan worden vastgesteld die, ter bescherming van de economische belangen van de verwerkingsverantwoordelijke, de betrokkene de kosten doet dragen van een eerste kopie van de hem betreffende persoonsgegevens die worden verwerkt.”
Hoofdstuk IV Verwerkingsverantwoordelijke en verwerker
Hoofdstuk IV van de AVG geeft regels over de verwerkingsverantwoordelijke (degeen in wiens opdracht / in wiens belang gegevens verwerkt worden) en de verwerker (degeen die persoonsgegevens verwerkt).
Dit hoofdstuk bestaat uit meerdere afdelingen:
Afd. 1 Algemene verplichtingen (art. 24 – 31)
Verantwoordelijkheid van de verwerkingsverantwoordelijke (art. 24 AVG)
In artikel 24 AVG worden de volgende verplichtingen geformuleerd voor de verwerkingsverantwoordelijke:
“1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
3. Het aansluiten bij goedgekeurde gedragscodes als bedoeld in artikel 40 of goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen.”
Gegevensbescherming door ontwerp en door standaardinstellingen (art. 25 AVG)
Art. 25 AVG schrijft “data protection by design” voor. De bepaling luidt:
“1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
3. Een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.”
In de hiervoor vermelde beslissing van de Belgische AP van 2 februari 2022 is beslist dat IAB Europe niet voldeed aan de eisen van art. 24 AVG en art. 25 AVG.
Afd. 2 Persoonsgegevensbeveiliging (art. 32 – 34)
Beveiliging van de verwerking (art. 32 AVG)
De AVG stelt in art. 32 lid 1 AVG de volgende eisen aan de beveiliging van de gegevens:
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
a. pseudonimisering en versleuteling van persoonsgegevens;
b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.
4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.”
Afd. 3 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging (art. 35 – 36)
Afd. 4 Functionaris voor gegevensbescherming (art. 37 – 39)
Afd. 5 Gedragscodes en certificering (art. 40 – 43)
Hoofdstuk V Doorgifte van persoonsgegevens
In art. 44 tot en met art. 50 AVG worden regels gegeven voor de doorgifte van persoonsgegevens.
In art. 44 AVG wordt het ‘Algemeen beginsel inzake doorgiften’ geformuleerd, wat er op neerkomt dat als er persoonsgegevens worden doorgegeven aan derde landen, daarbij steeds het door de AVG voorgeschreven niveau van bescherming gewaarborgd moet zijn.
Dit geldt ook voor verdere doorgiften van die persoonsgegevens door degeen die ze in 1e instantie verkreeg. De bepaling luidt:
„Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.”
Max Schrems, oprichter van NOYB.eu en voorvechter van de beveiliging van onze online privacy, heeft in diverse procedures de doorgifte van persoonsgegevens aan de Amerikaanse overheid aan de kaak gesteld. In het arrest van het het HvJEU van 16 juli 2020 (Schrems II) heeft het Hof beslist, dat het werken met techbedrijven die hun basis hebben in de US meebrengt dat de persoonsgegevens van de betrokkenen onvoldoende beschermd zijn vanwege de wettelijke regels van de US overheid om gegevens op te vragen.
Zie ook het blog van Lawyrup over Google Analytics.
Art. 49 lid 1 aanhef en sub g AVG luidt:
„1. Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, of van passende waarborgen overeenkomstig artikel 46, met inbegrip van bindende bedrijfsvoorschriften, kan een doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden mits aan een van de volgende voorwaarden is voldaan:
[…]
g) de doorgifte is verricht vanuit een register dat volgens het Unierecht of lidstatelijk recht is bedoeld om het publiek voor te lichten en dat door het brede publiek dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in Unierecht of lidstatelijk recht vastgestelde voorwaarden voor raadpleging.
[…]”
In de beslissing van het HvJ EU 22 november 2022 (prejudiciële beslissing inzake WM & Sovim SA/Luxembourg Business Registers) heeft het Hof zich uitgesproken over de vraag, of de registratie van persoonsgegevens van de UBO van YO en de UBO van Sovim SA (het betrof twee soortgelijke procedures) op grond van het door de Luxemburgse wetgever ingestelde het Luxemburgse UBO-register in verband met de anti-witwasrichtlijn voldeed aan de AVG. De conclusie was: nee. Dit heeft vèrstrekkende gevolgen, ook voor het in Nederland net ingestelde UBO-register (zie de pagina Handelsregisterwet 2007). De regel van art. 15 Registre des bénéficiaires effectifs (de Luxemburgse UBO-wet) is vergelijkbaar met de Nederlandse regeling, die de mogelijkheid biedt om om klemmende redenen (zie hieronder nr. 20 en 21 beslissing HvJ EU) ontheffing van de opname van de gegevens van een UBO te verzoeken. Het HvJ EU overweegt als volgt:
“20. YO, een vastgoedmaatschappij, heeft op grond van artikel 15 van de wet van 13 januari 2019 bij LBR een verzoek ingediend om de toegang tot de in het RUB opgenomen informatie betreffende WM, haar uiteindelijke begunstigde, te beperken tot de in deze bepaling bedoelde entiteiten, omdat de toegang van de leden van de bevolking tot deze informatie hem en zijn gezin op gekwalificeerde, reële en actuele wijze zou blootstellen aan een onevenredig risico, en een risico van fraude, ontvoering, chantage, afpersing, pesterijen, geweld of intimidatie. Dit verzoek is bij besluit van 20 november 2019 afgewezen.
21. Op 5 december 2019 heeft WM beroep ingesteld bij de tribunal d’arrondissement de Luxembourg (rechter in eerste aanleg Luxemburg, Luxemburg), de verwijzende rechter, waarbij hij aanvoerde dat hij in zijn hoedanigheid van bestuurder en uiteindelijk begunstigde van YO en een aantal handelsvennootschappen regelmatig moet reizen naar landen met een onstabiel politiek regime en zware criminaliteit, wat voor hem een aanzienlijk risico met zich meebrengt op ontvoering, wederrechtelijke vrijheidsberoving, geweld en zelfs de dood.“
De rechtbank heeft daarop prejudiciële vragen aan het HvJ EU gesteld hoe de begrippen „uitzonderlijke omstandigheden”, „risico” en „onevenredig risico” in de zin van artikel 30, lid 9, van de gewijzigde richtlijn 2015/849 (de antiwitwasrichtlijn) moeten worden uitgelegd.
In de zaak van Sovim draaide meer over de inwerking van de AVG op de op grond van de antiwitwasrichtlijn ingestelde UBO-registers.
“25. Sovim heeft op grond van artikel 15 van de wet van 13 januari 2019 bij LBR een verzoek ingediend om de toegang tot de in het RUB opgenomen informatie betreffende haar uiteindelijke begunstigde te beperken tot de in deze bepaling bedoelde entiteiten. Dit verzoek is bij besluit van 6 februari 2020 afgewezen.
26. Op 24 februari 2020 heeft Sovim bij de verwijzende rechter beroep ingesteld.
28. In de eerste plaats betoogt Sovim dienaangaande dat het feit dat de identiteit en de persoonsgegevens van haar uiteindelijk begunstigde voor het publiek toegankelijk zijn, in strijd is met het recht op bescherming van het privéleven en het familie- en gezinsleven, alsmede het recht op bescherming van persoonsgegevens, zoals verankerd in respectievelijk artikel 7 en artikel 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”).
30. In de tweede plaats voert Sovim aan dat met de publieke toegang tot persoonsgegevens in het RUB meerdere bepalingen van de AVG wordt geschonden, waaronder met name een aantal in artikel 5, lid 1, ervan neergelegde grondbeginselen.
31. Subsidiair verzoekt Sovim de verwijzende rechter vast te stellen dat er in casu sprake is van een onevenredig risico in de zin van artikel 15, lid 1, van de wet van 13 januari 2019, en derhalve LBR te gelasten de toegang tot de in artikel 3 van die wet bedoelde informatie te beperken.”
De rechtbank heeft daarop prejudiciële vragen aan het HvJ EU gesteld over de volgende vragen (waarbij met de verkorte aanduiding een UBO-register wordt bedoeld een register uit hoofde van de antiwitwasrichtlijnen):
1. Is artikel 1, punt 15, onder c), van richtlijn 2018/843 (dat bepaalt dat de gegevens van UBO’s voor het publiek toegankelijk gemaakt moet worden) rechtsgeldig in het licht van artikel 7 van het Handvest en/of artikel 8 van het Handvest
2. Is slechts sprake van ‘uitzonderlijke omstandigheden’ die ontheffing van de opgaaf bieden, indien wordt bewezen dat er sprake is van een onevenredig risico van fraude, ontvoering, chantage, afpersing, pesterijen, geweld of intimidatie dat uitzonderlijk, gekwalificeerd, reëel en actueel is en daadwerkelijk bestaat voor de specifieke persoon van de uiteindelijk begunstigde? En zo ja, is dit artikel dan rechtsgeldig in het licht van het in artikel 7 van het Handvest verzekerde recht op eerbiediging van het privéleven en het familie- en gezinsleven en in het licht van het in artikel 8 van het Handvest verzekerde recht op bescherming van persoonsgegevens?
3. Moet artikel 5, lid 1, onder a), AVG, dat verplicht tot de verwerking van persoonsgegevens op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is, aldus worden uitgelegd dat:
a. het zich niet ertegen verzet dat persoonsgegevens van een uiteindelijk begunstigde die zijn ingeschreven in een UBO-register, voor de leden van de bevolking toegankelijk zijn zonder controle of rechtvaardiging, en zonder dat de betrokken persoon (de uiteindelijk begunstigde) kan weten wie toegang heeft gehad tot die hem betreffende persoonsgegevens, en de verwerkingsverantwoordelijke voor dat register van uiteindelijk begunstigden toegang verleent tot de persoonsgegevens van de uiteindelijk begunstigden aan een onbeperkt en niet vast te stellen aantal personen?
b. moet het doelbindingsbeginsel van art. 5 lid 1 onder b AVG aldus worden uitgelegd dat het zich er niet tegen verzet dat persoonsgegevens van een uiteindelijk begunstigde die zijn ingeschreven in een UBO-register voor de leden van de bevolking toegankelijk zijn zonder dat de verwerkingsverantwoordelijke van deze gegevens kan garanderen dat zij uitsluitend worden gebruikt voor het doel waarvoor zij zijn verzameld, namelijk in wezen de bestrijding van het witwassen van geld en terrorismefinanciering, een doelstelling waarvoor de bevolking niet de verantwoordelijke instantie is?
c. moet art. 5 lid 1 onder c AVG dat het beginsel van minimale gegevensverwerking oplegt, aldus worden uitgelegd dat het zich er niet tegen verzet dat middels een UBO-register de leden van de bevolking niet alleen toegang hebben tot de naam, de geboortemaand en het geboortejaar, de nationaliteit en de woonstaat van een uiteindelijk begunstigde, alsmede tot de aard en omvang van het door deze uiteindelijk begunstigde gehouden economische belang, maar tevens tot zijn geboortedatum en zijn geboorteplaats?
d. Verzet artikel 5, lid 1, onder f) AVG, op grond waarvan persoonsgegevens op een dusdanige manier moeten worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking, waardoor de integriteit en vertrouwelijkheid van die gegevens worden gewaarborgd, zich er niet tegen dat persoonsgegevens van uiteindelijk begunstigden, die beschikbaar zijn in een UBO-register onbeperkt, onvoorwaardelijk en zonder verplichting tot vertrouwelijkheid toegankelijk zijn?
e. verzet art. 25 lid 2 AVG dat zorgt voor de bescherming van persoonsgegevens door standaardinstellingen op grond waarvan met name persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt, zich er niet tegen dat een UBO-register kan worden geraadpleegd zonder registratie, zonder dat de UBO in kennis gesteld wordt en er, gelet op de doelstelling van de verwerking van de betrokken persoonsgegevens, geen enkele beperking geldt wat betreft de omvang en de toegankelijkheid van deze gegevens?
f. Moeten de artikelen 44 tot en met 50 AVG, die aan de doorgifte van persoonsgegevens aan derde landen strenge voorwaarden verbinden, aldus worden uitgelegd dat zij zich er niet tegen verzetten dat dergelijke gegevens van een uiteindelijk begunstigde die zijn ingeschreven in een UBO-register in alle gevallen voor alle leden van de bevolking toegankelijk zijn zonder dat een rechtmatig belang behoeft te worden aangetoond en ongeacht waar een lid van de bevolking zich bevindt?”
Het HvJ EU concludeerde aan de hand van deze vragen – kort gezegd – dat de vrije toegang tot UBO-registers zich niet verhoudt tot de eisen van de AVG.
Hoofdstuk VI Onafhankelijke toezichthoudende autoriteiten en VII Samenwerking en coherentie
In de hoofdstuk VI (art. 51 tot en met art. 59 AVG) en hoofdstuk VII (art. 60 tot en met art. 76 AVG) is het instellen en het functioneren van toezichthoudende instanties geregeld, zoals in Nederland de Autoriteit Persoonsgegevens, en de samenwerking tussen die instanties. Ook is er een Europese Autoriteit voor Databescherming.
HOOFDSTUK VIII Beroep, aansprakelijkheid en sancties
Klacht bij Autoriteit
Iedere betrokkene is gerechtigd een klacht in te dienen bij een Autoriteit (zoals de AP). met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevensinbreuk maakt op de verordening (art. 77 lid 1 AVG).
Een persoon, wiens rechten krachtens de AVG geschonden zijn, kan ook een procedure starten tegen de verwerker of de verwerkingsverantwoordelijke. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet (art. 79 lid 1 AVG). Daarbij kan ook schadevergoeding gevorderd worden.
Schadevergoeding wegens datalek of andere schending van de AVG
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade (art. 82 lid 1 AVG).
Een voorbeeld van de toekenning van schadevergoeding wegens een datalek geeft Ktr. 25 februari 2022 (datalek uitvoerder bouwproject). De uitvoerder van een bouwproject had per ongeluk een Excel-sheet met de persoonlijke gegevens – waaronder hun financiële gegevens – gestuurd naar 1.100 gegadigden voor een woning in het ‘Koningskwartier’. Eén betrokkene vordert EUR 20.000 schadevergoeding. De Ktr. wijst EUR 250,= toe. De Ktr. overweegt dat ook het (zij het per abuis) versturen (verspreiden) een vorm van ‘verwerken van persoonsgegevens’ is (artikel 4 sub 2 AVG). Het verweer, dat de gestelde schade geen juridisch relevante schade is, in de zin van artikel 6:106 lid 1 sub b B.W., passeert de Ktr. omdat de AVG autonoom moet worden uitgelegd, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Die bepaling doet hier dus niet ter zake, volgens de Ktr..
De Ktr. overweegt verder (r.o. 4.2):
“Uit overweging 85 van de considerans volgt dat daarbij onder meer kan worden gedacht aan: verlies van controle over persoonsgegevens, identiteitsdiefstal of -fraude, reputatieschade, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de persoon in kwestie. Overweging 146 licht toe dat het begrip “schade” ruim moet worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Verder volgt uit die overweging dat de betrokkenen volledige en daadwerkelijke vergoeding van door hen geleden schade dienen te ontvangen. Uit de voornoemde wetsbepaling en de toelichting daarbij volgt dat het schadebegrip gemeenschapsautonoom dient te worden uitgelegd, om een doeltreffende naleving van de AVG te kunnen waarborgen, met een gelijkwaardig niveau van bescherming in alle lidstaten (overweging 10 en 11 AVG).”
De Kantonrechter acht een schadevergoeding van EUR 250,= op zijn plaats, omdat het (i) een menselijke fout betrof, (ii) de groep beperkt was tot 1.100 mensen en (iii) betrokkene geen concrete schade kon aantonen. Ook was van belang, dat het geen bijzondere persoonsgegevens als bedoeld in art. 9 AVG betrof (zoals medische gegevens) en dat de ‘verwerker’ meteen actie had ondernomen en het datalek gemeld had. Als alle 1.100 geadresseerden dit bedrag moeten krijgen is het niettemin een duur foutje (EUR 275.000). De Ktr. zegt daar niets over, dus niet duidelijk is of dit gevolg is meegewogen.
HOOFDSTUK IX – Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking
In dit hoofdstuk worden nadere bepalingen gegeven voor de verwerking van gegevens voor bijzondere doeleinden.
Zoals de verwerking in het kader van de arbeidsverhouding (art. 88 AVG).
Auteur & Last edit
[MdV, 16-01-2022; laatste bewerking 8-11-2023]
Algemene Verordening Gegevensbescherming (AVG)
Inleiding Algemene Verordening Gegevensbescherming (AVG)
De Algemene Verordening Gegevensbescherming (Verordening EU 2016/679) is op 27 april 2016 door de Europese Unie uitgevaardigd. De Verordening is op 25 mei 2018 van kracht geworden. De Nederlandse afkorting is AVG, de Engelse term General Data Protection Regulation (GDPR). De AVG is in werking getreden op 25 mei 2018 en is rechtstreeks toepasselijk in Nederland (artikel 99 AVG en 288 VWEU).
De AVG is de opvolger van een eerdere Europese Richtlijn (Richtlijn 2000/31), die ook al door de Nederlandse wetgever was geïmplementeerd in de Wet Bescherming Persoonsgegevens (WBP). De AVG gaat verder dan de richtlijn en de regels van de AVG vervangen de eerdere nationale wetgeving. Wel kan de nationale wetgever – als de AVG daarvoor de speelruimte biedt – sommige bepalingen van de verordening zelf nader invullen. Voor bepaalde sectoren bestaan specifieke nationale regels, die binnen de AVG gehandhaafd kunnen worden (vgl. Considerans (10) AVG).
De AVG is – niettegenstaande rechtstreekse werking van de verordening – in Nederland geïmplementeerd in de Uitvoeringswet AVG, die in werking is getreden op 25 mei 2018. De verordening staat op bepaalde onderdelen een nadere of andere invulling toe op nationaal niveau, wat de invoeringswet zinvol maakt om die keuzes in te vullen, en te regelen welke instantie voor de handhaving in Nederland is aangewezen. Die instantie is de Autoriteit Persoonsgegevens (AP).
De regels van de AVG zijn erg algemeen en abstract, wat de toepassing in de praktijk soms lastig maakt. Het draait echter om de ratio van de AVG en de weging van het belang om data (persoonsgegevens) van personen te verzamelen versus de bescherming van hun privacy.
Wat is het doel van de AVG?
Het doel van de AVG is zeer uitvoerig beschreven in de considerans voor de verordening. De Considerans omvat maar liefst 173 (bij elkaar 31 pagina’s A4) aan overwegingen.
Het kerndoel van de AVG is het beschermen van fundamentele grondrechten en vrijheden van de burgers van de EU. Deze grondrechten zijn vastgelegd in het Handvest van de Grondrechten van de Europese Unie. De Considerans zegt het zo:
“(4) De verwerking van persoonsgegevens moet ten dienste staan van de mens. Het recht op bescherming van persoonsgegevens heeft geen absolute gelding, maar moet worden beschouwd in relatie tot de functie ervan in de samenleving. Het moet tegen andere grondrechten worden afgewogen conform het evenredigheidsbeginsel.
Deze verordening eerbiedigt alle grondrechten en de vrijheden en beginselen die zijn erkend in het Handvest … met name de eerbiediging van het privéleven en het familie- en gezinsleven, (het recht op een) woning en (op vrije) communicatie, de bescherming van persoonsgegevens, de vrijheid van gedachte, geweten en godsdienst, de vrijheid van meningsuiting en van informatie, de vrijheid van ondernemerschap, het recht op een doeltreffende voorziening in rechte en op een onpartijdig gerecht, en het recht op culturele, godsdienstige en taalkundige verscheidenheid.”
Inhoud van de Algemene Verordening Gegevensbescherming
De AVG omvat elf hoofdstukken, met 99 bepalingen.
– Hoofdstuk I – Algemene bepalingen (art. 1 t/m 4)
– Hoofdstuk II – Beginselen (art. 5 t/m 11)
– Hoofdstuk III – Rechten van de betrokkene (art. 12 t/m 23)
– Hoofdstuk IV – Verwerkingsverantwoordelijke en verwerker (art. 24 t/m 43)
– Hoofdstuk V – Doorgiften aan derde landen of internationale organisaties (art. 44 t/m 50)
– Hoofdstuk VI – Onafhankelijke toezichthoudende autoriteiten (art. 51 t/m 59)
– Hoofdstuk VII – Samenwerking en coherentie (art. 60 t/m 76)
– Hoofdstuk VIII – Beroep, aansprakelijkheid en sancties (art. 77 t/m 84)
– Hoofdstuk IX – Bepalingen specifieke situaties gegevensverwerking (art. 85 t/m 91)
– Hoofdstuk X – Gedelegeerde handelingen en uitvoeringshandelingen (art. 92 en 93)
– Hoofdstuk XI – Slotbepalingen (art. 94 t/m 99)
Tot wie richt de AVG zich?
De AVG is een EU Verordening. Een verordening van de EU heeft een algemene strekking, is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat van de EU (art. 288 EU-Werkingsverdrag). Een verordening is dus hetzelfde als een wet. Alleen geldt een EU verordening in alle landen van de EU gelijkelijk en is die niet door de nationale wetgever opgesteld, maar door de Europese wetgever: de Raad van de Europese Unie (de Raad van Ministers) en het Europees Parlement, in samenspraak met de nationale parlementen.
Burgers van de EU kunnen zich dus rechtstreeks op de rechten in een EU Verordening beroepen. Omgekeerd moeten zij zich ook houden aan de verplichtingen die een verordening oplegt.
De bepalingen van een verordening gelden natuurlijk ook voor overheden, bedrijven en andere organisaties in de EU Lidstaten.
Territoriaal toepassingsgebied van de AVG
Het territoriaal bereik van de AVG is bepaald in art. 3 AVG.
De AVG geldt voor alle verwerking ten behoeve van activiteiten van een (vestiging van een) verwerkingsverantwoordelijke of een verwerker, die binnen de Unie gelegen is (art. 3 lid 1 AVG). Dit ongeacht of de verwerking zelf binnen of buiten de Unie plaatsvindt.
De AVG geldt volgens art. 3 lid 2 AVG ook wanneer het de verwerking betreft van persoonsgegevens van natuurlijke personen die zich in de Unie bevinden, ten behoeve van:
– het al dan niet gratis aanbieden van goederen of diensten aan de betrokkenen;
– het monitoren van hun gedrag, voor zover binnen de Unie;
– en bij verwerking door een verwerkingsverantwoordelijke buiten de Unie, als daar op grond van het IPR het recht van een Lidstaat geldt (bvb. de Nederlandse Antillen).
Voornaamste bepalingen van de AVG
Voor degeen, die persoonsgegevens verwerkt (de “verwerker”) of laat verwerken (de “verwerkingsverantwoordelijke”), en natuurlijk ook voor de personen wiens persoonsgegevens verwerkt worden (de “betrokkene”), zijn de voornaamste bepalingen van de AVG de bepalingen in Hoofdstuk I tot en met IV van de verordening.
Die bepalen namelijk:
– wat “verwerking van persoonsgegevens” inhoudt
– wat onder “persoonsgegevens” is te verstaan
– welke rechten de betrokkene heeft en
– waar de verwerker en diens opdrachtgever zich aan moeten houden ter bescherming van de privacy van de betrokkene.
Doel van de AVG is het reguleren van gegevensverwerking ter bescherming van de burger
De AVG heeft tot doel de verwerking van persoonsgegevens te reguleren ter bescherming van de privacy van degeen, wiens gegevens verwerkt worden (de betrokkene). En om de uitwisseling van gegevens binnen de EU te vergemakkelijken en de wetgeving binnen de EU te harmoniseren.
Doel van de AVG is niet het vrije verkeer van persoonsgegevens binnen de Unie te verbieden of te beperken (art. 1 lid 3 AVG).
Materieel toepassingsgebied van de AVG
Art. 2 lid 1 AVG bepaalt dat de AVG van toepassing is op:
– geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens, en
– op de verwerking van persoonsgegevens die in een bestand zijn opgenomen, en
– op de verwerking van persoonsgegevens teneinde die in een bestand op te nemen
Definities AVG
In art. 4 AVG is de definitie te vinden van de centrale begrippen die in de AVG gehanteerd worden:
1. persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”), aan de hand van identificatoren zoals naam, ID-nr., locatie, een online identificatie (ISDN-nr.), of elementen van de fysieke, fysiologische, genetisch, psychische, economische, culturele of sociale identiteit
2. verwerking een bewerking of samenstel van bewerkingen m.b.t. persoonsgegevens (of een geheel daarvan), al dan niet uitgevoerd met geautomatiseerde procedés, zoals: verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken d.m.v. doorzending, verspreiden, ter beschikking stellen, aligneren, combineren, afschermen, wissen of vernietigen
3. beperken van verwerking het markeren van persoonsgegevens om de verwerking ervan in de toekomst te beperken
4. profilering geautomatiseerde verwerking waarbij bepaalde persoonlijke aspecten worden geëvalueerd, met name om de beroepsprestaties, economische situatie, gezondheid, persoonlijke voorkeuren, interesses, betrouwbaarheid, gedrag, locatie of verplaatsingen te analyseren en voorspellen
5. pseudonimisering het bewerken van persoonsgegevens zodat die niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat aanvullende gegevens worden gebruikt, mits deze sleutel d.m.v. organisatorische en technische maatregelen worden afgezonderd
6. bestand elk gestructureerd geheel van persoonsgegevens, die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit gecentraliseerd of gedecentraliseerd is, of op functionele of geografische gronden is gespreid
7. verwerkingsverantwoordelijke eenieder die het doel van de verwerking van persoonsgegevens vaststelt
8. verwerker eenieder die ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt (NB zie “verwerken”)
9. ontvanger eenieder – al dan niet een derde – aan wie de verwerkte persoonsgegevens worden verstrekt (uitgezonderd overheidsinstanties die conform Unierecht gegevens ontvangen t.b.v. onderzoek).
Verder vinden we daar de begrippen: derde, toestemming, inbreuk i.v.m. persoonsgegevens, genetische gegevens, biometrische gegevens, gegevens over gezondheid, hoofdvestiging, vertegenwoordiger, onderneming, concern, bindende bedrijfsvoorschriften, toezichthoudende autoriteit, betrokken toezichthoudende autoriteit, grensoverschrijdende verwerking, relevant en gemotiveerd bezwaar, dienst van de informatiemaatschappij en internationale organisatie.
Hoofdstuk II Beginselen van de verwerking van persoonsgegevens
De verwerking van persoonsgegevens moet volgens art. 5 lid 1 AVG voldoen aan de volgende vereisten:
De verwerking van persoonsgegevens moet:
a. tegenover de betrokkene rechtmatig, behoorlijk en transparant zijn;
b. voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden;
b’ doelbinding: de verwerking moet overeenkomstig die doelen zijn (verwerking t.b.v. archivering voor onderzoek, statistiek is doelconform);
c. toereikend, dienend en ter zake dienend en beperkt tot wat noodzakelijk is voor die doeleinden (minimale verwerking)
d. juistheid; redelijke maatregelen moeten worden genomen om onjuiste gegevens te rectificeren of te verwijderen;
e. opslagbeperking: opslag moet beperkt worden zodat dit niet langer geschiedt dan noodzakelijk;
f. passende beveiliging met technische of organisatorische maatregelen ter voorkoming van onrechtmatige verwerking of onopzettelijk verlies of beschadiging (integriteit en vertrouwelijkheid).
De verwerkingsverantwoordelijke moet kunnen aantonen dat aan deze vereisten is voldaan (art. 5 lid 2).
Beslissing Belgische AP d.d. 2 februari 2022 inzake TCF’s IAB Europe
De Belgische Autoriteit Persoonsgegevens heeft – als voortrekker van 27 Autoriteiten binnen de EU – op 2 februari 2022 een beslissing genomen, waarbij het gebruik van Transparancy and Consent Framework (TCF) door IAB Europe, een leverancier van onder meer Google, Amazon en Microsoft, wordt beboet met een bedrag van EUR 250.000. Deze beslissing werkt rechtstreeks in alle lidstaten van de EU. Hiermee is IBA Europe met een hamer op de vingers getikt. Dit raakt ook de online veiling van advertenties. Zie de (Engelstalige) mededeling op de website van de Irisch Council for Civil Liberties (één van de klagers) en de gepubliceerde (lijvige) beslissing (Nederlands en Engels).
De Belgische Databeschermingsautoriteit (pag. 138) gelast IAB Europe om:
“de verwerking van persoonsgegevens in het kader van het TCF in overeenstemming te brengen met de bepalingen van de AVG door:
a. in een geldige rechtsgrond te voorzien voor de verwerking en de verspreiding van de voorkeuren van de gebruikers in het kader van het TCF, onder de vorm van een TC String en een eu-consent–v2 cookie, alsmede het gebruik van gerechtvaardigde belangen als grondslag voor de verwerking van persoonsgegevens, door organisaties die deelnemen aan het TCF in zijn huidige vorm, te verbieden via de gebruiksvoorwaarden, overeenkomstig de artikelen 5.1.a en 6 van de AVG;
b. doeltreffende technische en organisatorische controlemaatregelen te implementeren teneinde de integriteit en vertrouwelijkheid van de TC String te garanderen, overeenkomstig de artikelen 5.1.f, 24, 25 en 32 van de AVG;
c. een strikte doorlichting te handhaven van de organisaties die zich aansluiten bij het TCF, om te verzekeren dat de deelnemende organisaties voldoen aan de eisen van de AVG, overeenkomstig de artikelen 5.1.f, 24, 25 en 32 AVG;
d. technische en organisatorische maatregelen te treffen teneinde te beletten dat toestemming standaard wordt aangevinkt in de CMP interfaces alsook dat deelnemende vendors automatisch worden toegestaan op grond van een gerechtvaardigd belang, overeenkomstig de artikelen 24 en 25 AVG;
e. CMPs op te leggen om een uniforme en AVG conforme aanpak te hanteren inzake de informatie die deze laatsten aan gebruikers voorleggen, overeenkomstig de artikelen 12 tot en met 14 en 24 van de AVG;
f. het huidige register van verwerkingsactiviteiten aan te vullen, door de verwerking van persoonsgegevens in het TCF door IAB Europe op te nemen, overeenkomstig artikel 30 van de AVG;
g. een gegevensbeschermingseffectbeoordeling (GEB) uit te voeren met betrekking tot de verwerkingsactiviteiten onder het TCF en hun impact op de verwerkingsactiviteiten die onder het OpenRTB-systeem plaatsvinden, alsmede deze GEB aan te passen aan de toekomstige versies of wijzigingen aan de huidige versie van het TCF, overeenkomstig artikel 35 van de AVG;
h. een functionaris voor gegevensbescherming (DPO) aan te stellen overeenkomstig de artikelen 37 tot 39 van de AVG.
Deze nalevingsmaatregelen moeten worden verwezenlijkt binnen een termijn van zes maanden na de validatie van een actieplan door de Belgische Gegevensbeschermingsautoriteit, dat binnen twee maanden na deze beslissing aan de Geschillenkamer moet worden voorgelegd. Het niet naleven van de bovengenoemde termijnen gaat gepaard met een dwangsom van 5.000 EUR per dag, op grond van artikel 100, § 1, 12° van de WOG.
De verweerster op grond van artikel 101 van de WOG een administratieve geldboete van 250.000 EUR op te leggen.”
Voorwaarden voor het mogen verwerken van persoonsgegevens
In art. 6 lid 1 AVG stelt de verordening voor het rechtmatig verwerken van persoonsgegevens de volgende voorwaarden, waarbij aan tenminste één daarvan voldaan moet zijn:
(a) toestemming van de betrokkene voor verwerking van zijn gegevens voor één of meer specifieke doeleinden;
(b) verwerking is noodzakelijk voor uitvoering van een overeenkomst waarbij betrokkene partij is, of ter voorbereiding daarvan;
(c) verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting;
(d) verwerking is noodzakelijk t.b.v. bescherming van de vitale belangen van betrokkene of een andere natuurlijke persoon;
(e) verwerking is noodzakelijk voor de vervulling van een taak in het algemeen belang of voor een overheidstaak die aan de verwerkingsverantwoordelijke is opgedragen, als wettelijk vast te stellen;
(f) verwerking is noodzakelijk ten behoeve van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke – niet zijnde een overheidsinstantie – of een derde, behalve wanneer de belangen, grondrechten of fundamentele vrijheden van betrokkene zwaarder wegen, vooral als betrokkene een kind is.
De Lidstaten kunnen op grond van art. 6 lid 2 AVG specifiekere bepalingen handhaven of invoeren ter aanpassing van de manier waarop de regels van deze verordening met betrekking tot de verwerking met het oog op de naleving van lid 1, punten c) en e), worden toegepast.
Gebruik van gegevens voor ander doel dan waarvoor ze zijn verzameld
Wil de verwerkingsverantwoordelijke de verkregen data wil gebruiken voor een ander doel dan waarvoor ze zijn verkregen – en de betrokkene daarvoor geen toestemming heeft gegeven – dan moet hij krachtens art. 6 lid 4 AVG bij zijn besluit daartoe meewegen:
– het verband tussen de doeleinden van verkrijgen en de voorgenomen verdere verwerking;
– het kader waarin de gegevens zijn verzameld, in het licht van de relatie tussen verwerkingsverantwoordelijke en betrokkene;
– de aard van de persoonsgegevens, met name of het bijzondere categorieën betreft;
– de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen;
– het bestaan van passende waarborgen, waaronder evt. versleuteling.
Toestemming van de betrokkene tot het verwerken van zijn gegevens
In art. 7 AVG zijn nadere regels gegeven over de toestemming van de betrokkene (als bedoeld in art. 6 lid 1 aanhef en sub a AVG). De verantwoordelijke moet kunnen aantonen dat de toestemming gegeven is (lid 1). De bewijslast rust dus op hem.
Als de toestemming meerdere doeleinden heeft, dan moet helder zijn geformuleerd welke dat zijn (lid 2).
De betrokkene moet vrij zijn in het geven van zijn toestemming (lid 4) en moet die even eenvoudig als hij die heeft gegeven kunnen intrekken (lid 3).
Voor kinderen gelden scherpere regels (art. 8 AVG). Tot een bepaalde leeftijd moet de wettelijk vertegenwoordiger de toestemming geven.
Verwerking van bijzondere categorieën persoonsgegevens
Niet alle persoonsgegevens zijn even gevoelig als het gaat om de bescherming van de privacy van individuen. Voor de verwerking van bepaalde ‘bijzondere persoonsgegevens’ stelt de AVG hogere eisen (art. 9 AVG).
In art. 9 lid 1 AVG wordt de verwerking van de volgende ‘bijzondere’ gegevens over een persoon in beginsel verboden:
– etnische afkomst;
– politieke opvatting;
– religieuze of levensbeschouwelijke opvatting;
– het lidmaatschap van een vakbond;
– genetische gegevens;
– biometrische gegevens ter unieke identificatie;
– gegevens over de gezondheid van een persoon;
– of de seksuele geaardheid of seksueel gedrag.
Uitzondering verbod verwerken bijzondere persoonsgegevens
Art. 9 lid 2 (a t/m j) AVG bepaalt, onder welke voorwaarden en in welke gevallen op het verbod van art. 9 lid 1 AVG uitzondering gemaakt kan worden:
(a) met uitdrukkelijke toestemming voor één of meer bepaalde doeleinden, tenzij dit bij wet is verboden;
(b) verwerking is noodzakelijk voor de uitvoering van verplichtingen en uitoefening van rechten van de verwerkingsverantwoordelijke of de betrokkene in kader van arbeidsrecht of sociale zekerheidsrecht, voor zover toegestaan bij enige wet of een CAO, die passende waarborgen biedt;
(c) ter bescherming van de vitale belangen van de betrokkene;
(d) verwerking t.b.v. haar activiteiten door een vereniging of stichting etc. zonder winstoogmerk op politiek, levensbeschouwelijk, religieus of vakbondsgebied werkzaam, mits:
– i.h.k.v. van haar gerechtvaardigde activiteiten;
– met passende waarborgen;
– uitsluitend m.b.t. leden of oud leden;
– t.b.v. contact met die leden in verband met haar doeleinden;
– en mits niet buiten die instantie worden verstrekt zonder toestemming;(e) gegevens die kennelijk al door betrokkene openbaar zijn gemaakt;
(f) verwerking is noodzakelijk voor instellen, uitoefenen, onderbouwen van een rechtsvordering of bij verwerking door gerechten binnen hun bevoegdheid;
(g) voor zwaarwegend algemeen belang;
(h) voor doeleinden van preventieve of arbeidsgeneeskunde, voor beoordeling van arbeidsgeschiktheid of medische behandeling of diagnose etc., mits met de waarborgen vermeld in art. 9 lid 3 AVG;
(i) redenen van algemeen belang volksgezondheid, op wettelijke grondslagen;
(j) voor archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden, met inachtneming van de vereisten van evenredigheid en waarborgen conform Unierecht of recht van de Lidstaten.
De lidstaten kunnen bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van genetische gegevens, biometrische gegevens of gegevens over gezondheid handhaven of invoeren (art. 9 lid 4 AVG).
De verwerking van strafrechtelijke gegevens (zoals iemand strafblad) mag alleen plaatsvinden door de bevoegde overheid (art. 10 AVG).
Hoofdstuk III Rechten van de betrokkene volgens de AVG
In dit hoofdstuk worden regels gegeven voor de wijze waarop de verantwoordelijke moet omgaan met de gegevensverwerving en verwerking en welke rechten de betrokkene heeft met betrekking tot de verzamelde en verwerkte gegevens.
In Afd. 1, Hoofdstuk III is één bepaling (art. 12 AVG) gewijd aan transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de betrokkene.
Transparantie (art. 12 AVG)
In art. 12 AVG worden eisen gesteld aan de maatregelen, die de verwerkingsverantwoordelijke moet nemen om helder en transparant over te brengen wat er met de gegevens gebeurt. In de hiervoor vermelde beslissing van de Belgische AP van 2 februari 2022 is beslist dat IAB Europe niet voldeed aan deze eisen met de door haar gebruikte cookie-consent.
“1. De verwerkingsverantwoordelijke neemt passende maatregelen opdat de betrokkene de in de artikelen 13 en 14 bedoelde informatie en de in de artikelen 15 tot en met 22 en artikel 34 bedoelde communicatie in verband met de verwerking in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal ontvangt, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is. De informatie wordt schriftelijk of met andere middelen, met inbegrip van, indien dit passend is, elektronische middelen, verstrekt. Indien de betrokkene daarom verzoekt, kan de informatie mondeling worden meegedeeld, op voorwaarde dat de identiteit van de betrokkene met andere middelen bewezen is.
2, De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkene uit hoofde van de artikelen 15 tot en met 22. In de in artikel 11, lid 2, bedoelde gevallen mag de verwerkingsverantwoordelijke niet weigeren gevolg te geven aan het verzoek van de betrokkene om diens rechten uit hoofde van de artikelen 15 tot en met 22 uit te oefenen, tenzij de verwerkingsverantwoordelijke aantoont dat hij niet in staat is de betrokkene te identificeren.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene onverwijld en in ieder geval binnen een maand na ontvangst van het verzoek krachtens de artikelen 15 tot en met 22 informatie over het gevolg dat aan het verzoek is gegeven. Afhankelijk van de complexiteit van de verzoeken en van het aantal verzoeken kan die termijn indien nodig met nog eens twee maanden worden verlengd. De verwerkingsverantwoordelijke stelt de betrokkene binnen één maand na ontvangst van het verzoek in kennis van een dergelijke verlenging. Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.
4. Wanneer de verwerkingsverantwoordelijke geen gevolg geeft aan het verzoek van de betrokkene, deelt hij deze laatste onverwijld en uiterlijk binnen één maand na ontvangst van het verzoek mee waarom het verzoek zonder gevolg is gebleven, en informeert hij hem over de mogelijkheid om klacht in te dienen bij een toezichthoudende autoriteit en beroep bij de rechter in te stellen.
5. Het verstrekken van de in de artikelen 13 en 14 bedoelde informatie, en het verstrekken van de communicatie en het treffen van de maatregelen bedoeld in de artikelen 15 tot en met 22 en artikel 34 geschieden kosteloos. Wanneer verzoeken van een betrokkene kennelijk ongegrond of buitensporig zijn, met name vanwege hun repetitieve karakter, mag de verwerkingsverantwoordelijke ofwel:
a. een redelijke vergoeding aanrekenen in het licht van de administratieve kosten waarmee het verstrekken van de gevraagde informatie of communicatie en het treffen van de gevraagde maatregelen gepaard gaan; ofwel
b. weigeren gevolg te geven aan het verzoek.
Het is aan de verwerkingsverantwoordelijke om de kennelijk ongegronde of buitensporige aard van het verzoek aan te tonen.
6. Onverminderd artikel 11 kan de verwerkingsverantwoordelijke, wanneer hij redenen heeft om te twijfelen aan de identiteit van de natuurlijke persoon die het verzoek indient als bedoeld in de artikelen 15 tot en met 21, om aanvullende informatie vragen die nodig is ter bevestiging van de identiteit van de betrokkene.
7. De krachtens de artikelen 13 en 14 aan betrokkenen te verstrekken informatie mag worden verstrekt met gebruikmaking van gestandaardiseerde iconen, om de betrokkene een nuttig overzicht, in een goed zichtbare, begrijpelijke en duidelijk leesbare vorm, van de voorgenomen verwerking te bieden. Wanneer de iconen elektronisch worden weergegeven, zijn ze machineleesbaar.
8. De Commissie is bevoegd overeenkomstig artikel 92 gedelegeerde handelingen vast te stellen om te bepalen welke informatie de iconen dienen weer te geven en via welke procedures de gestandaardiseerde iconen tot stand dienen te komen.”
Het arrest van het HvJ EU oktober 2023 (ECLI:EU:C:2023:811) ging over een geschil tussen een Duitse consument en diens tandarts. Het verzoek om een prejudiciële beslissing was ingediend in het kader van een geschil tussen FT (tandarts) en DW (patiënt) over de weigering van FT om haar patiënt kosteloos een eerste kopie van zijn medisch dossier te verstrekken.
Het Hof adviseerde omtrent art. 12 AVG als volgt:
“Artikel 12, lid 5, en artikel 15, leden 1 en 3 AVG moeten aldus worden uitgelegd, dat de verwerkingsverantwoordelijke ook verplicht is om aan de betrokkene kosteloos een eerste kopie van de hem betreffende die worden verwerkt te verstrekken wanneer dit verzoek wordt gedaan met een ander doel dan de in overweging 63, eerste volzin, van die verordening vermelde doeleinden.
Afd. 2, Hoofdstuk III AVG
Dit hoofdstuk bevat in art. 13, 14 en 15 AVG een aantal regels over de aan de betrokkene te verstrekken informatie en de rechten van de persoon van wie de gegevens verwerkt worden.
Art. 15 AVG (Recht van inzage van de betrokkene) luidt aldus:
“1. De betrokkene heeft het recht om van de verwerkingsverantwoordelijke uitsluitsel te verkrijgen over het al dan niet verwerken van hem betreffende persoonsgegevens en, wanneer dat het geval is, om inzage te verkrijgen van die persoonsgegevens en van de volgende informatie:
a. de verwerkingsdoeleinden;
b. de betrokken categorieën van persoonsgegevens;
c. de ontvangers of categorieën van ontvangers aan wie de persoonsgegevens zijn of zullen worden verstrekt, met name ontvangers in derde landen of internationale organisaties;
d. indien mogelijk, de periode gedurende welke de persoonsgegevens naar verwachting zullen worden opgeslagen, of indien dat niet mogelijk is, de criteria om die termijn te bepalen;
e. dat de betrokkene het recht heeft de verwerkingsverantwoordelijke te verzoeken dat persoonsgegevens worden gerectificeerd of gewist, of dat de verwerking van hem betreffende persoonsgegevens wordt beperkt, alsmede het recht tegen die verwerking bezwaar te maken;
f. dat de betrokkene het recht heeft klacht in te dienen bij een toezichthoudende autoriteit;
g. wanneer de persoonsgegevens niet bij de betrokkene worden verzameld, alle beschikbare informatie over de bron van die gegevens;
h. het bestaan van geautomatiseerde besluitvorming, met inbegrip van de in artikel 22, leden 1 en 4, bedoelde profilering, en, ten minste in die gevallen, nuttige informatie over de onderliggende logica, alsmede het belang en de verwachte gevolgen van die verwerking voor de betrokkene.2. Wanneer persoonsgegevens worden doorgegeven aan een derde land of een internationale organisatie, heeft de betrokkene het recht in kennis te worden gesteld van de passende waarborgen overeenkomstig artikel 46 inzake de doorgifte.
3. De verwerkingsverantwoordelijke verstrekt de betrokkene een kopie van de persoonsgegevens die worden verwerkt. Indien de betrokkene om bijkomende kopieën verzoekt, kan de verwerkingsverantwoordelijke op basis van de administratieve kosten een redelijke vergoeding aanrekenen. Wanneer de betrokkene zijn verzoek elektronisch indient, en niet om een andere regeling verzoekt, wordt de informatie in een gangbare elektronische vorm verstrekt.
4. Het in lid 3 bedoelde recht om een kopie te verkrijgen, doet geen afbreuk aan de rechten en vrijheden van anderen.
In het hiervoor vermelde arrest van het HvJ EU oktober 2023 (ECLI:EU:C:2023:811) heeft het HvJ EU zich verder uitgelaten over art. 15 lid 3 AVG. Het Hof overwoog:
“Artikel 15, lid 3, eerste volzin moet aldus worden uitgelegd dat in het kader van een relatie tussen arts en patiënt uit het recht op een kopie van de persoonsgegevens die worden verwerkt voortvloeit dat aan de betrokkene een getrouwe en begrijpelijke reproductie van al deze gegevens moet worden verstrekt. Dit recht omvat het recht om een volledige kopie te verkrijgen van de documenten in zijn medisch dossier die met name die persoonsgegevens bevatten, indien de verstrekking van een dergelijke kopie noodzakelijk is om de betrokkene in staat te stellen de juistheid en de volledigheid ervan te controleren en om de begrijpelijkheid ervan te waarborgen. Wat gegevens betreffende de gezondheid van de betrokkene betreft, omvat dit recht in ieder geval het recht om een kopie te verkrijgen van de gegevens van zijn medisch dossier, dat informatie bevat over bijvoorbeeld diagnosen, onderzoeksresultaten, beoordelingen door behandelende artsen en bij de betrokkene verrichte behandelingen of ingrepen.”
Afd. 5, Hoofdstuk III AVG Beperkingen
Artikel 23, lid 1 AVG bepaalt:
“De reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede in artikel 5 kan, voor zover de bepalingen van die artikelen overeenstemmen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 20, worden beperkt door middel van Unierechtelijke of lidstaatrechtelijke bepalingen die op de verwerkingsverantwoordelijke of de verwerker van toepassing zijn, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van:
a. de nationale veiligheid;
b. de landsverdediging;
c. de openbare veiligheid;
d. de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid;
e. andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid;
f. de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures;
g. de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen;
h. een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a), tot en met e) en punt g) bedoelde gevallen;
i. de bescherming van de betrokkene of van de rechten en vrijheden van anderen;
j. de inning van civielrechtelijke vorderingen.
In het hiervoor vermelde arrest van het HvJ EU oktober 2023 (ECLI:EU:C:2023:811) heeft het HvJ EU zich verder uitgelaten over art. 23 lid 1 onder i) AVG. Het Hof overwoog:
“Artikel 23, lid 1, onder i) AVG moet aldus worden uitgelegd, dat een nationale wettelijke regeling die vóór de inwerkingtreding van deze verordening is vastgesteld binnen de werkingssfeer van deze bepaling kan vallen. Dit betekent echter niet dat een nationale wettelijke regeling kan worden vastgesteld die, ter bescherming van de economische belangen van de verwerkingsverantwoordelijke, de betrokkene de kosten doet dragen van een eerste kopie van de hem betreffende persoonsgegevens die worden verwerkt.”
Hoofdstuk IV Verwerkingsverantwoordelijke en verwerker
Hoofdstuk IV van de AVG geeft regels over de verwerkingsverantwoordelijke (degeen in wiens opdracht / in wiens belang gegevens verwerkt worden) en de verwerker (degeen die persoonsgegevens verwerkt).
Dit hoofdstuk bestaat uit meerdere afdelingen:
Afd. 1 Algemene verplichtingen (art. 24 – 31)
Verantwoordelijkheid van de verwerkingsverantwoordelijke (art. 24 AVG)
In artikel 24 AVG worden de volgende verplichtingen geformuleerd voor de verwerkingsverantwoordelijke:
“1. Rekening houdend met de aard, de omvang, de context en het doel van de verwerking, alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen, treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en te kunnen aantonen dat de verwerking in overeenstemming met deze verordening wordt uitgevoerd. Die maatregelen worden geëvalueerd en indien nodig geactualiseerd.
2. Wanneer zulks in verhouding staat tot de verwerkingsactiviteiten, omvatten de in lid 1 bedoelde maatregelen een passend gegevensbeschermingsbeleid dat door de verwerkingsverantwoordelijke wordt uitgevoerd.
3. Het aansluiten bij goedgekeurde gedragscodes als bedoeld in artikel 40 of goedgekeurde certificeringsmechanismen als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat de verplichtingen van de verwerkingsverantwoordelijke zijn nagekomen.”
Gegevensbescherming door ontwerp en door standaardinstellingen (art. 25 AVG)
Art. 25 AVG schrijft “data protection by design” voor. De bepaling luidt:
“1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
3. Een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.”
In de hiervoor vermelde beslissing van de Belgische AP van 2 februari 2022 is beslist dat IAB Europe niet voldeed aan de eisen van art. 24 AVG en art. 25 AVG.
Afd. 2 Persoonsgegevensbeveiliging (art. 32 – 34)
Beveiliging van de verwerking (art. 32 AVG)
De AVG stelt in art. 32 lid 1 AVG de volgende eisen aan de beveiliging van de gegevens:
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, die, waar passend, onder meer het volgende omvatten:
a. pseudonimisering en versleuteling van persoonsgegevens;
b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen;
d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
2. Bij de beoordeling van het passende beveiligingsniveau wordt met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.
3. Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 kan worden gebruikt als element om aan te tonen dat dat de in lid 1 van dit artikel bedoelde vereisten worden nageleefd.
4. De verwerkingsverantwoordelijke en de verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de verwerkingsverantwoordelijke of van de verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.”
Afd. 3 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging (art. 35 – 36)
Afd. 4 Functionaris voor gegevensbescherming (art. 37 – 39)
Afd. 5 Gedragscodes en certificering (art. 40 – 43)
Hoofdstuk V Doorgifte van persoonsgegevens
In art. 44 tot en met art. 50 AVG worden regels gegeven voor de doorgifte van persoonsgegevens.
In art. 44 AVG wordt het ‘Algemeen beginsel inzake doorgiften’ geformuleerd, wat er op neerkomt dat als er persoonsgegevens worden doorgegeven aan derde landen, daarbij steeds het door de AVG voorgeschreven niveau van bescherming gewaarborgd moet zijn.
Dit geldt ook voor verdere doorgiften van die persoonsgegevens door degeen die ze in 1e instantie verkreeg. De bepaling luidt:
„Persoonsgegevens die worden verwerkt of die zijn bestemd om na doorgifte aan een derde land of een internationale organisatie te worden verwerkt, mogen slechts worden doorgegeven indien, onverminderd de overige bepalingen van deze verordening, de verwerkingsverantwoordelijke en de verwerker aan de in dit hoofdstuk neergelegde voorwaarden hebben voldaan; dit geldt ook voor verdere doorgiften van persoonsgegevens vanuit het derde land of een internationale organisatie aan een ander derde land of een andere internationale organisatie. Alle bepalingen van dit hoofdstuk worden toegepast opdat het door deze verordening voor natuurlijke personen gewaarborgde beschermingsniveau niet wordt ondermijnd.”
Max Schrems, oprichter van NOYB.eu en voorvechter van de beveiliging van onze online privacy, heeft in diverse procedures de doorgifte van persoonsgegevens aan de Amerikaanse overheid aan de kaak gesteld. In het arrest van het het HvJEU van 16 juli 2020 (Schrems II) heeft het Hof beslist, dat het werken met techbedrijven die hun basis hebben in de US meebrengt dat de persoonsgegevens van de betrokkenen onvoldoende beschermd zijn vanwege de wettelijke regels van de US overheid om gegevens op te vragen.
Zie ook het blog van Lawyrup over Google Analytics.
Art. 49 lid 1 aanhef en sub g AVG luidt:
„1. Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45, lid 3, of van passende waarborgen overeenkomstig artikel 46, met inbegrip van bindende bedrijfsvoorschriften, kan een doorgifte of een reeks van doorgiften van persoonsgegevens aan een derde land of een internationale organisatie slechts plaatsvinden mits aan een van de volgende voorwaarden is voldaan:
[…]
g) de doorgifte is verricht vanuit een register dat volgens het Unierecht of lidstatelijk recht is bedoeld om het publiek voor te lichten en dat door het brede publiek dan wel door iedere persoon die zich op een gerechtvaardigd belang kan beroepen, kan worden geraadpleegd, maar alleen voor zover in het geval in kwestie wordt voldaan aan de in Unierecht of lidstatelijk recht vastgestelde voorwaarden voor raadpleging.
[…]”
In de beslissing van het HvJ EU 22 november 2022 (prejudiciële beslissing inzake WM & Sovim SA/Luxembourg Business Registers) heeft het Hof zich uitgesproken over de vraag, of de registratie van persoonsgegevens van de UBO van YO en de UBO van Sovim SA (het betrof twee soortgelijke procedures) op grond van het door de Luxemburgse wetgever ingestelde het Luxemburgse UBO-register in verband met de anti-witwasrichtlijn voldeed aan de AVG. De conclusie was: nee. Dit heeft vèrstrekkende gevolgen, ook voor het in Nederland net ingestelde UBO-register (zie de pagina Handelsregisterwet 2007). De regel van art. 15 Registre des bénéficiaires effectifs (de Luxemburgse UBO-wet) is vergelijkbaar met de Nederlandse regeling, die de mogelijkheid biedt om om klemmende redenen (zie hieronder nr. 20 en 21 beslissing HvJ EU) ontheffing van de opname van de gegevens van een UBO te verzoeken. Het HvJ EU overweegt als volgt:
“20. YO, een vastgoedmaatschappij, heeft op grond van artikel 15 van de wet van 13 januari 2019 bij LBR een verzoek ingediend om de toegang tot de in het RUB opgenomen informatie betreffende WM, haar uiteindelijke begunstigde, te beperken tot de in deze bepaling bedoelde entiteiten, omdat de toegang van de leden van de bevolking tot deze informatie hem en zijn gezin op gekwalificeerde, reële en actuele wijze zou blootstellen aan een onevenredig risico, en een risico van fraude, ontvoering, chantage, afpersing, pesterijen, geweld of intimidatie. Dit verzoek is bij besluit van 20 november 2019 afgewezen.
21. Op 5 december 2019 heeft WM beroep ingesteld bij de tribunal d’arrondissement de Luxembourg (rechter in eerste aanleg Luxemburg, Luxemburg), de verwijzende rechter, waarbij hij aanvoerde dat hij in zijn hoedanigheid van bestuurder en uiteindelijk begunstigde van YO en een aantal handelsvennootschappen regelmatig moet reizen naar landen met een onstabiel politiek regime en zware criminaliteit, wat voor hem een aanzienlijk risico met zich meebrengt op ontvoering, wederrechtelijke vrijheidsberoving, geweld en zelfs de dood.“
De rechtbank heeft daarop prejudiciële vragen aan het HvJ EU gesteld hoe de begrippen „uitzonderlijke omstandigheden”, „risico” en „onevenredig risico” in de zin van artikel 30, lid 9, van de gewijzigde richtlijn 2015/849 (de antiwitwasrichtlijn) moeten worden uitgelegd.
In de zaak van Sovim draaide meer over de inwerking van de AVG op de op grond van de antiwitwasrichtlijn ingestelde UBO-registers.
“25. Sovim heeft op grond van artikel 15 van de wet van 13 januari 2019 bij LBR een verzoek ingediend om de toegang tot de in het RUB opgenomen informatie betreffende haar uiteindelijke begunstigde te beperken tot de in deze bepaling bedoelde entiteiten. Dit verzoek is bij besluit van 6 februari 2020 afgewezen.
26. Op 24 februari 2020 heeft Sovim bij de verwijzende rechter beroep ingesteld.
28. In de eerste plaats betoogt Sovim dienaangaande dat het feit dat de identiteit en de persoonsgegevens van haar uiteindelijk begunstigde voor het publiek toegankelijk zijn, in strijd is met het recht op bescherming van het privéleven en het familie- en gezinsleven, alsmede het recht op bescherming van persoonsgegevens, zoals verankerd in respectievelijk artikel 7 en artikel 8 van het Handvest van de grondrechten van de Europese Unie (hierna: „Handvest”).
30. In de tweede plaats voert Sovim aan dat met de publieke toegang tot persoonsgegevens in het RUB meerdere bepalingen van de AVG wordt geschonden, waaronder met name een aantal in artikel 5, lid 1, ervan neergelegde grondbeginselen.
31. Subsidiair verzoekt Sovim de verwijzende rechter vast te stellen dat er in casu sprake is van een onevenredig risico in de zin van artikel 15, lid 1, van de wet van 13 januari 2019, en derhalve LBR te gelasten de toegang tot de in artikel 3 van die wet bedoelde informatie te beperken.”
De rechtbank heeft daarop prejudiciële vragen aan het HvJ EU gesteld over de volgende vragen (waarbij met de verkorte aanduiding een UBO-register wordt bedoeld een register uit hoofde van de antiwitwasrichtlijnen):
1. Is artikel 1, punt 15, onder c), van richtlijn 2018/843 (dat bepaalt dat de gegevens van UBO’s voor het publiek toegankelijk gemaakt moet worden) rechtsgeldig in het licht van artikel 7 van het Handvest en/of artikel 8 van het Handvest
2. Is slechts sprake van ‘uitzonderlijke omstandigheden’ die ontheffing van de opgaaf bieden, indien wordt bewezen dat er sprake is van een onevenredig risico van fraude, ontvoering, chantage, afpersing, pesterijen, geweld of intimidatie dat uitzonderlijk, gekwalificeerd, reëel en actueel is en daadwerkelijk bestaat voor de specifieke persoon van de uiteindelijk begunstigde? En zo ja, is dit artikel dan rechtsgeldig in het licht van het in artikel 7 van het Handvest verzekerde recht op eerbiediging van het privéleven en het familie- en gezinsleven en in het licht van het in artikel 8 van het Handvest verzekerde recht op bescherming van persoonsgegevens?
3. Moet artikel 5, lid 1, onder a), AVG, dat verplicht tot de verwerking van persoonsgegevens op een wijze die ten aanzien van de betrokkene rechtmatig, behoorlijk en transparant is, aldus worden uitgelegd dat:
a. het zich niet ertegen verzet dat persoonsgegevens van een uiteindelijk begunstigde die zijn ingeschreven in een UBO-register, voor de leden van de bevolking toegankelijk zijn zonder controle of rechtvaardiging, en zonder dat de betrokken persoon (de uiteindelijk begunstigde) kan weten wie toegang heeft gehad tot die hem betreffende persoonsgegevens, en de verwerkingsverantwoordelijke voor dat register van uiteindelijk begunstigden toegang verleent tot de persoonsgegevens van de uiteindelijk begunstigden aan een onbeperkt en niet vast te stellen aantal personen?
b. moet het doelbindingsbeginsel van art. 5 lid 1 onder b AVG aldus worden uitgelegd dat het zich er niet tegen verzet dat persoonsgegevens van een uiteindelijk begunstigde die zijn ingeschreven in een UBO-register voor de leden van de bevolking toegankelijk zijn zonder dat de verwerkingsverantwoordelijke van deze gegevens kan garanderen dat zij uitsluitend worden gebruikt voor het doel waarvoor zij zijn verzameld, namelijk in wezen de bestrijding van het witwassen van geld en terrorismefinanciering, een doelstelling waarvoor de bevolking niet de verantwoordelijke instantie is?
c. moet art. 5 lid 1 onder c AVG dat het beginsel van minimale gegevensverwerking oplegt, aldus worden uitgelegd dat het zich er niet tegen verzet dat middels een UBO-register de leden van de bevolking niet alleen toegang hebben tot de naam, de geboortemaand en het geboortejaar, de nationaliteit en de woonstaat van een uiteindelijk begunstigde, alsmede tot de aard en omvang van het door deze uiteindelijk begunstigde gehouden economische belang, maar tevens tot zijn geboortedatum en zijn geboorteplaats?
d. Verzet artikel 5, lid 1, onder f) AVG, op grond waarvan persoonsgegevens op een dusdanige manier moeten worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking, waardoor de integriteit en vertrouwelijkheid van die gegevens worden gewaarborgd, zich er niet tegen dat persoonsgegevens van uiteindelijk begunstigden, die beschikbaar zijn in een UBO-register onbeperkt, onvoorwaardelijk en zonder verplichting tot vertrouwelijkheid toegankelijk zijn?
e. verzet art. 25 lid 2 AVG dat zorgt voor de bescherming van persoonsgegevens door standaardinstellingen op grond waarvan met name persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt, zich er niet tegen dat een UBO-register kan worden geraadpleegd zonder registratie, zonder dat de UBO in kennis gesteld wordt en er, gelet op de doelstelling van de verwerking van de betrokken persoonsgegevens, geen enkele beperking geldt wat betreft de omvang en de toegankelijkheid van deze gegevens?
f. Moeten de artikelen 44 tot en met 50 AVG, die aan de doorgifte van persoonsgegevens aan derde landen strenge voorwaarden verbinden, aldus worden uitgelegd dat zij zich er niet tegen verzetten dat dergelijke gegevens van een uiteindelijk begunstigde die zijn ingeschreven in een UBO-register in alle gevallen voor alle leden van de bevolking toegankelijk zijn zonder dat een rechtmatig belang behoeft te worden aangetoond en ongeacht waar een lid van de bevolking zich bevindt?”
Het HvJ EU concludeerde aan de hand van deze vragen – kort gezegd – dat de vrije toegang tot UBO-registers zich niet verhoudt tot de eisen van de AVG.
Hoofdstuk VI Onafhankelijke toezichthoudende autoriteiten en VII Samenwerking en coherentie
In de hoofdstuk VI (art. 51 tot en met art. 59 AVG) en hoofdstuk VII (art. 60 tot en met art. 76 AVG) is het instellen en het functioneren van toezichthoudende instanties geregeld, zoals in Nederland de Autoriteit Persoonsgegevens, en de samenwerking tussen die instanties. Ook is er een Europese Autoriteit voor Databescherming.
HOOFDSTUK VIII Beroep, aansprakelijkheid en sancties
Klacht bij Autoriteit
Iedere betrokkene is gerechtigd een klacht in te dienen bij een Autoriteit (zoals de AP). met name in de lidstaat waar hij gewoonlijk verblijft, hij zijn werkplek heeft of waar de beweerde inbreuk is begaan, indien hij van mening is dat de verwerking van hem betreffende persoonsgegevensinbreuk maakt op de verordening (art. 77 lid 1 AVG).
Een persoon, wiens rechten krachtens de AVG geschonden zijn, kan ook een procedure starten tegen de verwerker of de verwerkingsverantwoordelijke. Onverminderd andere mogelijkheden van administratief of buitengerechtelijk beroep, heeft elke betrokkene het recht een doeltreffende voorziening in rechte in te stellen indien hij van mening is dat zijn rechten uit hoofde van deze verordening geschonden zijn ten gevolge van een verwerking van zijn persoonsgegevens die niet aan deze verordening voldoet (art. 79 lid 1 AVG). Daarbij kan ook schadevergoeding gevorderd worden.
Schadevergoeding wegens datalek of andere schending van de AVG
Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade (art. 82 lid 1 AVG).
Een voorbeeld van de toekenning van schadevergoeding wegens een datalek geeft Ktr. 25 februari 2022 (datalek uitvoerder bouwproject). De uitvoerder van een bouwproject had per ongeluk een Excel-sheet met de persoonlijke gegevens – waaronder hun financiële gegevens – gestuurd naar 1.100 gegadigden voor een woning in het ‘Koningskwartier’. Eén betrokkene vordert EUR 20.000 schadevergoeding. De Ktr. wijst EUR 250,= toe. De Ktr. overweegt dat ook het (zij het per abuis) versturen (verspreiden) een vorm van ‘verwerken van persoonsgegevens’ is (artikel 4 sub 2 AVG). Het verweer, dat de gestelde schade geen juridisch relevante schade is, in de zin van artikel 6:106 lid 1 sub b B.W., passeert de Ktr. omdat de AVG autonoom moet worden uitgelegd, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Die bepaling doet hier dus niet ter zake, volgens de Ktr..
De Ktr. overweegt verder (r.o. 4.2):
“Uit overweging 85 van de considerans volgt dat daarbij onder meer kan worden gedacht aan: verlies van controle over persoonsgegevens, identiteitsdiefstal of -fraude, reputatieschade, of enig ander aanzienlijk economisch of maatschappelijk nadeel voor de persoon in kwestie. Overweging 146 licht toe dat het begrip “schade” ruim moet worden uitgelegd in het licht van de rechtspraak van het Hof van Justitie, op een wijze die ten volle recht doet aan de doelstellingen van deze verordening. Verder volgt uit die overweging dat de betrokkenen volledige en daadwerkelijke vergoeding van door hen geleden schade dienen te ontvangen. Uit de voornoemde wetsbepaling en de toelichting daarbij volgt dat het schadebegrip gemeenschapsautonoom dient te worden uitgelegd, om een doeltreffende naleving van de AVG te kunnen waarborgen, met een gelijkwaardig niveau van bescherming in alle lidstaten (overweging 10 en 11 AVG).”
De Kantonrechter acht een schadevergoeding van EUR 250,= op zijn plaats, omdat het (i) een menselijke fout betrof, (ii) de groep beperkt was tot 1.100 mensen en (iii) betrokkene geen concrete schade kon aantonen. Ook was van belang, dat het geen bijzondere persoonsgegevens als bedoeld in art. 9 AVG betrof (zoals medische gegevens) en dat de ‘verwerker’ meteen actie had ondernomen en het datalek gemeld had. Als alle 1.100 geadresseerden dit bedrag moeten krijgen is het niettemin een duur foutje (EUR 275.000). De Ktr. zegt daar niets over, dus niet duidelijk is of dit gevolg is meegewogen.
HOOFDSTUK IX – Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking
In dit hoofdstuk worden nadere bepalingen gegeven voor de verwerking van gegevens voor bijzondere doeleinden.
Zoals de verwerking in het kader van de arbeidsverhouding (art. 88 AVG).
Auteur & Last edit
[MdV, 16-01-2022; laatste bewerking 8-11-2023]
Algemene Verordening Gegevensbescherming (AVG)
Zoeken binnen de kennisbank
Lawyrup, jouw gratis kennisbank over burgerlijk (proces)recht!