Privacywetgeving: Wat is het en hoe wordt dit geregeld?

Het recht op privacy wordt steeds belangrijker. Hedendaags worden veel gegevens digitaal opgeslagen. Het verzamelen van gegevens wordt gemakkelijker en daarbij is het niet altijd duidelijk wanneer en hoeveel gegevens er worden verzameld door bijvoorbeeld bedrijven of organisaties. Dit probleem speelt al decennia, waardoor er de afgelopen jaren steeds meer wetten met betrekking tot privacy zijn ontstaan. Het recht op privacy is een veelomvattende term, maar wat houdt dit eigenlijk in? En hoelang bestaat dit al? Ook zal uiteen worden gezet hoe de privacywetgeving in Nederland is geregeld. En wat persoonsgegevens eigenlijk zijn. Tenslotte zal worden ingegaan op hoe privacywetgeving op Europees niveau wordt geregeld.

Het recht op privacy

Het idee van privacy bestaat al heel wat jaren. Door een toenemende belangstelling voor privacy ontstond in 1890 een eerste juridisch getinte definitie van privacy: ‘the right to be let alone.’ In de grondwetsherziening van 1848 is in Nederland het non-discriminatiebeginsel vastgelegd: ‘gelijke aanspraak op bescherming van persoon en goed’. In 1948 werd door de Verenigde Naties de Universele Verklaring van de Rechten van de Mens (UVRM) aangenomen. Hierin staan de algemene beginselen van de mensenrechten. In artikel 12 UVRM staat het recht op privacy opgenomen. Het UVRM heeft alleen geen bindende kracht voor landen, waardoor het Internationaal Verdrag inzake burgerrechten en politieke rechten en het Internationale Verdrag inzake economische, sociale en culturele rechten zijn aangenomen. In 1950 is privacy als fundamenteel mensenrecht opgenomen in het Europees Verdrag voor de Rechten van de Mens (EVRM). Ook is het recht op privacy grondwettelijk geregeld, namelijk in artikel 10 van de Grondwet. Privacy is dan ook een mensenrecht, grondrecht en een fundamentele vrijheid.(1)

Privacywetgeving in Nederland

In Nederland zijn er vele regelingen, besluiten en wetten die regels stellen voor het verwerken van persoonsgegevens. De belangrijkste zijn de Algemene verordening gegevensbescherming (AVG) en de Richtlijn gegevensbescherming bij rechtshandhaving (RGR). De AVG en de RGR gelden in alle EU-landen. Het is aan de Autoriteit Persoonsgegevens (AP) om ervoor te zorgen dat organisaties zich houden aan de AVG en de RGR.(4)

De RGR is een Europese richtlijn voor gegevensbescherming door autoriteiten die zijn belast met rechtshandhaving, waaronder politie en justitie. Deze richtlijn geeft regels voor bevoegde autoriteiten die persoonsgegevens verwerken om strafbare feiten te voorkomen, onderzoek te doen, opsporen en vervolgen en om straffen uit te voeren. De RGR is in de Nederlandse wetgeving geïmplementeerd, waardoor ook Nederlandse burgers hier rechten aan kunnen ontlenen. Bijvoorbeeld in de Politiewet en in het Wetboek van Strafvordering.(6)

De AVG geldt sinds 2018 in Nederland. Door deze wet hebben organisaties en bedrijven die persoonsgegevens verwerken meer verantwoordelijkheden gekregen en staat er bij overtreding een hoge boete op het spel. De AVG geldt niet alleen voor bedrijven en organisaties, maar ook voor de overheid en voor individuele personen, denk bijvoorbeeld aan mensen met bewakingscamera’s. De AVG kent zes basisprincipes waaraan iedereen zich dient te houden. De zes basisprincipes van de AVG zijn: rechtmatigheid, behoorlijkheid en transparantie; doelbinding; dataminimalisatie; juistheid; opslagbeperking; vertrouwelijkheid en integriteit.(5) Om een beter beeld te krijgen van deze enigszins vage termen, zal een voorbeeld worden gegeven van een van de basisprincipes in de praktijk. Bij dataminimalisatie gaat het erom dat organisaties zo min mogelijk gegevens mogen verwerken. Dit komt erop neer dat de organisatie niet meer gegevens mag verwerken dan nodig is voor het na te streven doel. (10) Ongeveer een jaar geleden had gemeente Amsterdam het idee om van elk stoplicht in de stad een ‘intelligent stoplicht’ te maken. Deze stoplichten moesten verkeer herkennen door te communiceren via apps, waardoor bepaald verkeer sneller groen zou krijgen. Maar uit het advies van de Autoriteit Persoonsgegevens bleek dat de verkeerslichten, zonder dat mensen het merkten, contact maakten met de apps op de telefoon van weggebruikers. De AP zei: “Het is bijvoorbeeld mogelijk om volledige ritten in kaart te brengen, inclusief datum, tijd en snelheid. Omdat wegbeheerders (Rijkswaterstaat, provincies en gemeenten) weten waar de verkeerslichten staan, kunnen zij weggebruikers volgen." Als wegbeheerders dit ook daadwerkelijk zouden doen, zou dit in strijd zijn met dataminimalisatie. Aangezien ritten in kaart brengen niet noodzakelijk om het doel, dat het verkeer efficiënter kan doorrijden, te bereiken.(11)

Persoonsgegevens

Aangezien bedrijven en organisaties meer verantwoordelijkheden krijgen, is het van belang om te weten wat persoonsgegevens eigenlijk zijn. Ook dit wordt uitgelegd in de AVG. Volgens de AVG zijn persoonsgegevens: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Hieronder kunnen namen, adressen, camerabeelden, geluidsopnames of informatie over wat iemand op het internet koopt of doet vallen. Er wordt onderscheid gemaakt tussen gewone en bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn zodanig privacygevoelig dat het een grote impact kan hebben op een persoon als deze gegevens worden verwerkt door bijvoorbeeld een bedrijf. Om deze reden worden bijzondere persoonsgegevens extra beveiligd, er gelden namelijk strenge voorwaarden voor het verwerken van deze gegevens. Onder bijzondere persoonsgegevens kunnen vallen: religieuze overtuigingen, politieke voorkeuren of iemands gezondheid.(2)

Omtrent het verwerken van persoonsgegevens bestaan er strenge regels. Een bedrijf of organisatie mag volgens de AVG enkel onder bepaalde omstandigheden persoonsgegevens verwerken. Ten eerste mogen zij alleen persoonsgegevens verwerken als daartoe een wettelijke verplichting bestaat. Ten tweede mogen zij dit alleen als het voor iemand van levensbelang is, denk bijvoorbeeld aan een levensbedreigende situatie. Ten derde mogen zij dit ter uitvoering van een overeenkomst, bij een arbeidscontract bijvoorbeeld. Ook mogen zij dit als het nodig is voor openbare dienstverlening. Als laatste mogen zij dit als er sprake is van legitieme belangen van de organisatie of het bedrijf. In de overige gevallen hebben bedrijven en organisaties uitdrukkelijk toestemming nodig voordat ze persoonsgegevens mogen verwerken.(3) Een voorbeeld van een bedrijf dat zich hier niet aan heeft gehouden en dus een hoge boete heeft moeten betalen is LinkedIn. LinkedIn heeft vorig jaar een boete van 310 miljoen euro moeten betalen, omdat zij zonder toestemming data van gebruikers gebruikten voor reclames en gedragsanalyse.(12)

Privacywetgeving op Europees niveau

De bescherming van persoonsgegevens is in de EU een grondrecht. Dit grondrecht is vastgelegd in artikel 8 van het Handvest van de grondrechten van de Europese Unie. Wetgeving omtrent gegevensbescherming op Europees niveau bestaat uit the General Data Protection Regulation (GDPR), the Law Enforcement Directive (LED), en the Data Protection Regulation for EU institutions, bodies, offices and agencies (EUDPR).(7) De GDPR is de strengste privacywet ter wereld. Deze wet kan verplichtingen opleggen aan organisaties over de hele wereld, zolang het een inwoner van de Europese Unie betreft. De GDPR is in 2018 in werking getreden.(8) Het betreft de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens. De goedkeuring van deze wet was een belangrijke stap om de rechten van personen te beschermen met betrekking tot digitale gegevens in het digitale tijdperk. De LED beschermt de rechten van burgers op gegevensbescherming in gevallen waarin persoonsgegevens door strafrechtelijke autoriteiten worden gebruik voor rechtshandhavingsdoeleinden. Daarbij vergemakkelijkt de LED de grensoverschrijdende samenwerking in de strijd tegen misdaad en terrorisme. De EUDPR bevat regels omtrent de verwerking van persoonsgegevens door instellingen, organen en instanties van de Europese Unie. Deze wet is afgestemd op de GDPR en de LED.(9)

Conclusie

Kortom, privacy is een fundamenteel recht, dat in de afgelopen jaren steeds meer is geconcretiseerd in de nationale en Europese wetgeving. Van de eerste juridisch getinte definitie: ‘the right to be let alone’ in 1890 tot privacy als fundamenteel mensenrecht in 1950. Daarnaast zijn persoonsgegevens: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’. Waarbij er onderscheid wordt gemaakt tussen gewone en bijzondere persoonsgegevens. Op nationaal niveau kennen wij de Algemene verordening gegevensbescherming (AVG) en de Richtlijn gegevensbescherming bij rechtshandhaving (RGR), welke in alle EU-landen gelden. Op Europees niveau zijn de the General Data Protection Regulation (GDPR), the Law Enforcement Directive (LED), en the Data Protection Regulation for EU institutions, bodies, offices and agencies (EUDPR) het belangrijkst. Er is dus veel wetgeving rondom privacy, waaruit blijkt dat privacy wordt gezien als een belangrijk mensenrecht, fundamentele vrijheid en grondrecht.

Bronnen

  1. ‘Geschiedenis van de privacywetgeving en de AP’, autoriteitpersoonsgegevens.nl.

  2. ‘Wat zijn persoonsgegevens?’, autoriteitpersoonsgegevens.nl.

  3. ‘Gegevensbescherming en online-privacy’, europa.eu, 31 december 2024.

  4. ‘Privacywetgeving’, autoriteitpersoonsgegevens.nl.

  5. ‘De AVG in het kort’, autoriteitpersoonsgegevens.nl.

  6. ‘Privacywetgeving’, autoriteitpersoonsgegevens.nl.

  7. ‘Legal framework of EU data protection’, commission.europa.eu.

  8. ‘What is GDPR, the EU’s new data protection law?’, gdpr.eu.

  9. ‘Legal framework of EU data protection’, commission.europa.eu.

  10. ‘De AVG in het kort’, autoriteitpersoonsgegevens.nl.

  11. ‘Amsterdam zet niet meer in op 'slimme' verkeerslichten wegens privacywetgeving’, nos.nl, 4 januari 2025. 

  12. ‘310 miljoen euro boete LinkedIn voor misbruik gebruikersdata’, nos.nl, 24 oktober 2024.