Voor eigen doeleinden post ik hieronder twee fragmentjes betreffende Nederlandse standpunten in de Europese onderhandelingen over een nieuwe privacyverordening, de General Data Protection Regulation (GDPR; 2012/0011 (COD)). Ze zijn een momentopname van (een deel van) de state of play. In de geannoteerde agenda (.doc, 4 maart 2015) van Opstelten en Teeven ter voorbereiding op de JBZ-Raad van 12 en 13 maart 2015 — die trouwens met een mooi voortgangsoverzicht (.pdf, 27 februari 2015) van JBZ-dossiers kwam — staat het volgende over “verenigbaar gebruik bij verdere verwerking”, één van de onderdelen die in de onderhandelingen naar voren zijn gekomen:
Verenigbaar gebruik bij verdere verwerking
Persoonsgegevens mogen in beginsel alleen worden verwerkt voor het doel waarvoor zij zijn verzameld. Onder omstandigheden mogen gegevens echter ook voor een ander doel worden verwerkt, mits het oorspronkelijk doel en het beoogde doel verenigbaar zijn. Of daarvan sprake is, is afhankelijk van de uitkomst van een toets, de verenigbaarheidstoets, waarbij diverse criteria een rol spelen. De verenigbaarheidstoets is een voor de praktijk uiterst belangrijk instrument, omdat deze toets burgers, bedrijven en de overheid bij de verwerking van gegevens een onmisbare mate van flexibiliteit verleent. De huidige regeling daarvan functioneert in grote lijnen goed. De voorgestelde regeling in de verordening bevat drie nieuwe elementen die tot discussie aanleiding gaven.
1. De verordening opent, anders dan de huidige richtlijn de mogelijkheid om bij onverenigbaarheid van het oorspronkelijke en het beoogde doel de verwerking niettemin als rechtmatig aan te merken, wanneer voor de verdere verwerking een afzonderlijke rechtsbasis kan worden aangewezen.
Nederland acht deze nieuwe regeling overbodig en bovendien verwarringwekkend. Overbodig, omdat wanneer na een toets op de verenigbaarheid van oorspronkelijk en beoogd doeleinde blijkt dat sprake is van onverenigbaarheid, niets een verantwoordelijke belet om voor het nieuwe doeleinde een nieuwe zelfstandige verwerking aan te vangen. Het gebrek aan een dergelijke regeling is tot dusverre niet als gemis ervaren. Het is verwarringwekkend, omdat verenigbaarheid van doeleinden en rechtvaardigingsgronden voor een verwerking verschillende normen zijn die met elkaar verknoopt worden.
Het blijkt echter dat verreweg de meeste lidstaten en de Commissie wel voorstander zijn van de regeling. Nederland zal zich er daarom bij neerleggen. Het Europees Parlement toont zich overigens geen voorstander van de voorgestelde regeling.
2. Wanneer gegevens worden verwerkt voor een ander doeleinde dan waarvoor zij oorspronkelijk zijn verzameld, en oorspronkelijk en beoogd doeleinde bovendien verenigbaar blijken, is het de vraag of de rechtsgrondslag van het oorspronkelijke doeleinde ook als fungeren als rechtsgrondslag voor het beoogde doeleinde. Naar geldend recht is dat toestaan. Ongeveer de helft van de lidstaten acht het noodzakelijk dat ook in dergelijke gevallen voor dezelfde verwerking, bij verandering van doeleinde, ook een nieuwe rechtsgrondslag wordt gezocht. Dat is zeer belastend voor overheden, want dat kan impliceren dat wetswijziging nodig is. Het is ook belastend voor bedrijven, omdat contracten zouden moeten aangepast of dat toestemming moet worden verkregen. Nederland, de Commissie en de andere helft van de lidstaten achten dit daarom te stringent. Nederland gaat ervan uit dat dit punt bevredigend kan worden opgelost. Het Europees Parlement laat zich hierover niet expliciet uit.
3. Wanneer na uitvoering van de toets sprake is van onverenigbaar gebruik, kan volgens de verordening de verwerking niettemin worden voortgezet als er voor het beoogde doeleinde een rechtvaardigingsgrond kan worden aangewezen. De Commissie meent dat het zogenoemde “gerechtvaardigd belang van de verantwoordelijke” geen rechtsbasis kan vormen voor een verdere verwerking die niet verenigbaar is met de oorspronkelijke verwerking. Nederland begrijpt niet waarom dit niet zou kunnen. De meeste lidstaten neigen ook naar deze positie. Het Europees Parlement heeft zich daarover nog niet expliciet uitgelaten.
Over bijzondere persoonsgegevens wordt het volgende gesteld:
Bijzondere persoonsgegevens
De bestaande richtlijn laat de lidstaten een ruime mate van vrijheid bij het maken van uitzonderingen op het verbod om bijzondere persoonsgegevens te verwerken. De Wet bescherming persoonsgegevens kent dan ook een uitgebreid stelsel van bijzondere en algemene uitzonderingsgronden op dat verbod. Uitgangspunt is daarbij telkens geweest dat maatschappelijk volstrekt geaccepteerde verwerkingen niet nodeloos aan een verbod worden onderworpen en op het niveau van de formele wet hun positie geregeld zien. Zo is bijvoorbeeld geregeld dat de verwerking van medische gegevens door medische beroepsbeoefenaren zonder meer is toegestaan en dat politie en OM zonder beperkingen strafrechtelijke gegevens mogen verwerken. Die wettelijke vrijheid biedt optimale mogelijkheden rekening te houden met de specifieke positie van een lidstaat. Nederland heeft bijvoorbeeld een uniek pensioenstelsel. Geregeld is daarom dat pensioenfondsen medische gegevens mogen verwerken. Met de vervanging van de richtlijn door een verordening verdwijnt de vrijheid voor de lidstaten in betekende mate. Dit is in zoverre aanvaardbaar voor Nederland dat de opheffing van het verwerkingsverbod voor bestaande en redelijkerwijs te verwachten normale verwerkingen van bijzondere persoonsgegevens hetzij door de verordening, hetzij door de nationale wetgever worden vastgesteld, respectievelijk kunnen worden vastgesteld.
Gebleken is dat er veel onbegrip bestaat over sommige verwerkingen die in Nederland als algemeen aanvaard worden beschouwd, zoals de verwerking van medische en strafrechtelijke gegevens door verzekeraars of genetische gegevens door de strafvorderlijke autoriteiten en door artsen. Nederland heeft zich daarom krachtig verzet tegen voorstellen die erop gericht zijn om de nationale wetgever nog meer ruimte te ontzeggen. Hoewel dat tot dusverre succesvol is geweest, is het niet uitgesloten dat voorstellen om de nationale wetgever aan verdere restricties te binden nog terugkeren. Over de consequenties van deze eventualiteit zal voorafgaand aan deze JBZ-Raad door de Staatssecretaris van Veiligheid en Justitie een standpunt worden ingenomen, maar niet eerder dan dat Coreper zich daarover heeft gebogen.
Andere onderwerpen die in de geannoteerde agenda zijn opgenomen t.a.v. de privacyverordening zijn:
- Bescherming van jeugdigen.
- Doorgifte medische gegevens aan derde landen.
- Samenwerking tussen toezichthouders.
- Ondersteuning van het European Data Protection Board (EDPB).
Verder leesvoer:
- 2015-03-03: Leaked documents: European data protection reform is badly broken (EDRi)
- 2015-02-26: European privacy policy is not a cynical anti-competitive plot (WaPo)
EOF