Jan Baas

Sinds begin dit jaar is de NIS2-richtlijn van kracht. De richtlijn laat aan lidstaten de ruimte om zelf een afweging te maken of lokale overheden, zoals gemeenten, waterschappen en gemeenschappelijke regelingen onder de richtlijn vallen. Recentelijk is het wetsvoorstel voor de Cyberbeveiligingswet ter internetconsulatie gelegd. Zoals al werd verwacht is in het ontwerp opgenomen dat decentrale overheden, waaronder gemeenten, waterschappen en provincies, onder de NIS2 zullen vallen. NIS2 in het kort De NIS2-richtlijn is een update van de NIS-richtlijn. NIS2 stelt strengere eisen aan de beveiliging van netwerken en informatiesystemen van essentiële en belangrijke entiteiten in bepaalde sectoren. Kort samengevat bevat de NIS2-richtlijn een zorgplicht, op grond waarvan entiteiten zelf een risicobeoordeling dienen uit te voeren en passende maatregelen dienen te nemen om de continuïteit van diensten zoveel mogelijk te waarborgen en netwerk- en informatiesystemen te beschermen. Daarnaast geldt er een meldplicht van incidenten en zal er een onafhankelijke toezichthouder worden aangewezen. NIS2 is van toepassing naast bijvoorbeeld de beveiligingsverplichting in de Algemene Verordening Gegevensbescherming (‘AVG’). Waar de AVG ziet op bescherming van persoonsgegevens, legt NIS2 de nadruk op de continuïteit van essentiële diensten. Voor de sector overheidsdiensten zal de Rijksinspectie voor Digitale Infrastructuur (RDI) toezicht houden op het stelsel van informatieveiligheid. Reikwijdte Uit het wetsvoorstel voor de Cyberbeveiligingswet blijkt dat de wetgever voornemens is om decentrale overheden, waaronder gemeenten, waterschappen en provincies onder de reikwijdte van de NIS2-richtlijn te laten vallen en als essentiële entiteiten aan te merken. Gemeenschappelijke regelingen en zelfstandige bestuursorganen zullen veelal eveneens onder de onder de reikwijdte vallen. Overheidsinstanties die in de hoofdzaak activiteiten uitvoeren op het gebied van nationale veiligheid, openbare veiligheid, defensie of rechtshandhaving, vallen niet onder de richtlijn. Baseline Informatiebeveiliging Overheid Veel verplichtingen die de NIS2-richtlijn en de Cyberbeveiligingswet opleggen, zijn al van toepassing op lokale overheden via andere wettelijke kaders. De wijze waarop overheden aan deze beveiligingsverplichtingen voldoen is uitgewerkt in de Baseline Informatiebeveiliging Overheid (BIO). Er wordt nu gewerkt aan een vernieuwde versie van de BIO, BIO 2.0, onder andere om de nieuwe verplichtingen die voortvloeien uit de richtlijn en de Cyberbeveiligingswet daarin te verankeren. Inmiddels is ook een mapping gemaakt door de werkgroep BIO om aan te geven in hoeverre de NIS2-maatregelen zich verhouden tot de huidige BIO. Deze is hier te raadplegen. Tot slot Het wetsvoorstel voor de Cyberbeveiligingswet zoals die nu ter internetconsulatie is gelegd, is via deze link te raadplegen. Tot 1 juli bestaat de mogelijkheid om op het wetsvoorstel te reageren. Hoewel het nog wel even kan duren voordat de Cyberbeveiligingswet van toepassing is, is het verstandig op tijd te beginnen met het treffen van maatregelen ter bescherming van de beveiliging en continuïteit van eigen werkprocessen. Hierbij kan door overheidsinstanties gebruik worden gemaakt van de Handreiking BIO 2.0-opmaat van de BIO.    Contact Heeft u vragen over de NIS2-richtlijn? Neem dan contact op met Jan Baas, Jolijn Gijsen of Frederiek Beuning of  een van onze andere specialisten Data & Privacy.  

De Autoriteit Persoonsgegevens (AP) heeft guidance uitgebracht over de wijze waarop websites toestemming dienen te vragen als zij cookiebanners hanteren. Onder andere schrijft de AP voor dat websites de keuze om cookies te weigeren of te accepteren, op één laag moeten aanbieden. Sommige cookiebanners bevatten een knop om de opslag van cookies te accepteren en een knop waarmee de betrokkene toegang krijgt tot verdere opties, maar zonder de mogelijkheid om direct alle cookies te weigeren. Deze optie is pas te vinden in de tweede laag. Volgens de AP wordt hiermee niet voldaan aan de door haar geformuleerde eis dat het accepteren en weigeren van cookies even makkelijk moet zijn. Cookies en toestemming voor cookies Een cookie is een klein bestand dat bij het bezoeken van websites op apparaten van bezoekers kan worden geplaatst. Er bestaan verschillende soorten cookies met verschillende doeleinden. Functionele cookies zijn noodzakelijk voor het effectief functioneren van een dienst of webshop. Denk bijvoorbeeld aan het bijhouden van producten die je toegevoegd hebt aan het winkelmandje. Analytische cookies gebruikt een website bijvoorbeeld om het aantal bezoekers bij te houden. Bij tracking cookies wordt het internetgedrag van mensen gevolgd. Cookiewetgeving in Nederland is te vinden in artikel 11.7a van de Telecommunicatiewet. Dit artikel is gebaseerd op de e-Privacy Richtlijn (Richtlijn 2002/58/EG). Functionele en analytische cookies hebben over het algemeen beperkte invloed op de privacy. Deze cookies kunnen dan automatisch geplaatst worden bij bezoek aan een website, een bezoeker hoeft hiervoor geen toestemming te geven. In andere gevallen, zoals bij tracking cookies, is plaatsing slechts toegestaan indien voorafgaande toestemming is verkregen. Artikelen 4 lid 11, artikel 7 en overweging 32, 42 en 43 AVG (Verordening 2016/679 EU) bevatten vereisten waar toestemming van de betrokkene aan moet voldoen: Toestemming moet vrijelijk worden gegeven (artikel 4 lid 11 en overweging 42 AVG); Toestemming moet specifiek zijn (artikel 4 lid 11 AVG); Toestemming moet geïnformeerd zijn (artikel 4 lid 11 AVG); Toestemming moet een ondubbelzinnige wilsuiting zijn waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige handeling hem betreffende verwerking van persoonsgegevens aanvaardt. Dit houdt in dat de toestemming expliciet via een positieve handeling gegeven moet zijn. Het gebruikmaken van aangekruiste selectievakjes mag dus niet (artikel 4 lid 11 AVG); De verwerkingsverantwoordelijke moet toestemming kunnen aantonen (artikel 7 lid 1 AVG); Toestemming moet in duidelijke en eenvoudige taal gepresenteerd zijn zodat een duidelijk onderscheid gemaakt kan worden met een andere aangelegenheid (artikel 7 lid 2 AVG); Afzonderlijke toestemming moet kunnen worden gegeven voor verschillende persoonsgegevensverwerkingen (overweging 43 AVG, het vereiste van “granularitet”); Toestemming moet te allen tijde kunnen worden ingetrokken; het intrekken van de toestemming moet even eenvoudig zijn als het geven ervan (artikel 7 lid 3 AVG). Gevolgen nieuwe guidance AP De nieuwe guidance zou betekenen dat een constructie zoals de Franse toezichthouder CNIL die in het verleden toepaste, en die ook nu nog door veel organisaties wordt gehanteerd, niet meer zou zijn toegestaan. In deze constructie wordt in de eerste laag gevraagd om toestemming (“OK, tout accepter”) met de mogelijkheid om door te klikken naar een tweede laag voor persoonlijke instellingen (“personaliser”). In de tweede laag is vervolgens de mogelijkheid te vinden om per soort cookies de instellingen te bepalen. Als het goed is, staan in deze tweede laag de cookies waarvoor toestemming moet worden gegeven “uit” en is een actieve handeling nodig om deze te activeren. CNIL had deze tweede laag vormgegeven als volgt: In deze vormgeving kunnen op de tweede laag alle cookies worden geweigerd, of kan per cookie worden gekozen om het te accepteren of te weigeren. De pagina met cookie-instellingen kan ook later steeds worden bezocht om de keuze te kunnen aanpassen. Met deze constructie wordt in onze ogen voldaan aan alle eisen die de AVG stelt aan een rechtsgeldige toestemming, in het bijzonder het vereiste van granulariteit en de eis dat de instemming ook weer eenvoudig kan worden ingetrokken. Guidance van de AP De AP laat in de guidance echter weten dat het niet is toegestaan om in de cookiebanner toestemming te vragen, en pas in een tweede laag een optie met cookies weigeren/afwijzen/niet instemmen aan te bieden. Voortaan moet deze optie beschikbaar zijn op dezelfde laag als de laag waar toestemming voor wordt gevraagd. Cookie Banner Taskforce De European Data Protection Board (EDPB) heeft een Cookie Banner Taskforce opgezet. Uit hun rapport van 17 januari komt naar voren dat het overgrote deel van de Europese privacytoezichthouders van mening is dat er sprake is van een inbreuk op de e-Privacy Richtlijn wanneer een banner niet voorziet in opties om cookies te accepteren of te weigeren op dezelfde laag. Enkele toezichthouders vinden evenwel dat er geen sprake is van een inbreuk, wegens het ontbreken van een expliciete ‘weiger optie’ voor het plaatsen van cookies op grond van artikel 5 lid 3 van de e-Privacy Richtlijn. Wij komen de door de AP gestelde eis niet tegen in de AVG dan wel de Telecommunicatiewet. Wij vragen ons – met de minderheid van de privacytoezichthouders uit de EDPB – af waar deze eis op gebaseerd kan zijn. Intrekken vs. weigeren Volgens de AP volgt de verplichting uit de door haar geformuleerde regel dat het weigeren van toestemming even eenvoudig moet zijn als het accepteren ervan. In de AVG komt die regel echter niet voor in artikel 7 lid 3 AVG staat wel dat het intrekken van toestemming even eenvoudig moet zijn als het geven ervan. In artikel 7 lid 3 AVG staat dat het intrekken van toestemming even eenvoudig moet zijn als het geven ervan, maar intrekken is iets anders dan weigeren. Vrije toestemming De volgende vraag die kan worden gesteld, is of het aanbieden van een weigerknop van cookies in de tweede laag afbreuk doet aan vrije toestemming. Doet het geven van een extra klik iets af aan het karakter van de vrije toestemming? De EDPB heeft op 17 april een opinie uitgebracht over geldige toestemming in de context van toestemmings- of betaalmodellen (ook wel bekend als ‘consent or pay’ modellen) die geïmplementeerd zijn door grote online platforms. Aanleiding hiervoor was een verzoek van de Nederlandse, Duitse en Noorse gegevensbeschermingsautoriteiten. In par. 67 van deze opinie stelt de EDPB dat verwerkingsverantwoordelijken de autonomie van betrokkenen niet mogen beperken door het moelijker te maken om toestemming te weigeren dan om toestemming te geven. Zoals hiervoor opgemerkt is dit echter geen vereiste dat volgt uit de AVG. Dat de gebruiker moet doorklikken om cookie-keuzes in te stellen maakt onzes inziens niet in algemene zin dat het geven van toestemming hiermede geen vrije keuze meer is.    Data protection by default We hebben ons vervolgens afgevraagd of de door de AP geformuleerde eis kan volgen uit artikel 25 lid 2 AVG (data protection by default). Wij menen dat dit niet zo is. Uit artikel 25 lid 2 AVG volgt dat de cookies die van toestemming afhankelijk zijn pas mogen worden geplaatst nadat toestemming is gegeven, niet dat een weigeringsknop op dezelfde laag moet worden geplaatst als de toestemmingsvraag zelf. Misleidende ontwerppatronen Op Europees niveau zijn er verschillende regelingen die misleidende ontwerppatronen (ook wel bekend als dark patterns) bespreken, waaronder de AVG, de Richtlijn oneerlijke handelspraktijken (Richtlijn 2005/29), de Digital Services Act (Verordening 2001/31), de Digital Markets Act (Richtlijn 2022/1925), de Data Act (Verordening 2023/2854)  en de Artificial Intelligence Act (COM (2021) 2016 final). De EDPB heeft Richtsnoeren uitgebracht over misleidende ontwerppatronen. EDPB Richtsnoeren Volgens de EDPB Richtsnoeren zijn misleidende ontwerppatronen interfaces op sociale mediaplatformen, websites of in cookiebanners die gebruikers ertoe brengen onbedoelde, vaak onwillige en/of mogelijk schadelijke beslissingen te nemen met betrekking tot persoonlijke data en die in het belang zijn van het sociale media platform. Misleidende ontwerppatronen zijn onder te verdelen in verschillende categorieën. Eén van de vormen waarin dit kan plaatsvinden is het zogenaamde ‘hinderen (obstructing)’. Hiervan is sprake wanneer gebruikers worden belemmerd of geblokkeerd in hun proces om informatie te krijgen of hun gegevens te beheren door de actie moeilijk of onmogelijk te maken. Gebruikers willen dan een bepaalde handeling uitvoeren die betrekking heeft op hun gegevensbescherming, en dat gebruikerstraject wordt op een zodanige manier gepresenteerd dat het meer stappen vergt dan nodig is voor de activering van opties die inbreuk hebben op data van de betreffende persoon. Dit heeft dan als gevolg dat gebruikers waarschijnlijk ontmoedigd worden om een dergelijke controle te activeren. In de Richtsnoeren van de EDPB wordt een voorbeeld aangehaald van gebruikers die tijdens het aanmeldingsproces op de knop “overslaan” klikken (om te voorkomen dat ze bepaalde data te zien krijgen) krijgen een pop-upvenster te zien met de vraag “Weet u het zeker?” Door hun beslissing in twijfel te trekken, zet de aanbieder van sociale media gebruikers aan om hun beslissing te herzien en bepaalde gegevens openbaar te maken, zoals geslacht, lijst met contactpersoon of foto. Gebruikers die ervoor kiezen om de gegevens direct in te voeren, zien daarentegen geen bericht met het verzoek om hun keuze te heroverwegen. In het begin van dit jaar had de AP Uber Technologies Inc. en Uber B.V. (Uber) een boete opgelegd van 10 miljoen euro.  Uber handelde in strijd met artikel 12 tweede lid AVG door het voor chauffeurs onnodig moeilijk te maken om een verzoek in te dienen voor het bekijken of ontvangen van hun gegevens. In de app was er een digitaal formulier voor chauffeurs beschikbaar om inzage aan te vragen, maar dit formulier was moeilijk te vinden omdat het in verschillende menu’s was verborgen en op een logischere locatie had kunnen worden geplaatst en er een groot aantal stappen (in totaal 7) doorlopen moest worden om bij het formulier te komen. Ofschoon de AP niet naar dit leerstuk verwijst zou dit gezien kunnen worden als een  voorbeeld van een misleidend ontwerppatroon. Wij menen dat het aanbieden van een weigerknop van cookies in de tweede laag in een heldere structuur, waarbij de weigerknop reeds met één extra stap wordt gevonden, niet gelijk kan worden gesteld met wat als een misleidend ontwerppatroon wordt gezien. Conclusie In onze analyse wordt bij het plaatsen van de weigerknop in een tweede laag, geen inbreuk geconstateerd op de rechtstreeks van toepassing zijnde AVG bepalingen. Het is onwaarschijnlijk dat deze praktijk via de omweg van de Richtsnoeren over misleidende ontwerppatronen opeens wél verboden zou zijn. Een en ander uiteraard afhankelijk van de verdere vormgeving van de toestemmingsteksten. We nemen daarbij in aanmerking dat de eisen waaraan cookie-toestemming, en toestemming onder de AVG in het algemeen, in de regelgeving zeer gedetailleerd is uitgewerkt en aangenomen mag worden dat een verwerking die aan deze gedetailleerde eisen voldoet, rechtmatig is. De nieuwe eis die de AP stelt en die afwijkt van de interpretatie van de betreffende wetgeving zoals die al jaren wordt gehanteerd, vereist een wetswijziging en kan niet door de toezichthouders worden ingevoerd op basis van verwijzing naar eigen Richtsnoeren en algemene rechtsbeginselen.[1] De nieuw geformuleerde eis uit de guidance van de AP, inhoudende dat accepteren even makkelijk moet zijn als afwijzen, kan volgens ons niet gezien worden als een algemene regel die volgt uit wetgeving zoals de e-Privacy Richtlijn, de Telecommunicatiewet, de DSA of de AVG. Onder omstandigheden kan wellicht worden betoogd dat het aanbieden van cookiebanners die een knop bevat om de opslag van cookies te accepteren en een knop bevat waarmee de betrokkene toegang krijgt tot verdere opties, maar zonder de mogelijkheid om direct alle cookies te weigeren, kan worden gekwalificeerd als misleidend ontwerppatroon. Dit hangt af van de vormgeving van het geheel van de website en kan niet gezien worden als een algemene regel die uit de wetgeving volgt. Wij denken gezien het voorgaande dat een boetebesluit, gebaseerd op de algemene regel dat de mogelijkheid om cookies te weigeren moet worden aangeboden op dezelfde laag als de mogelijkheid om de cookies te accepteren, in rechte geen stand behoort te houden. Ondertussen zal een voorzichtige verwerkingsverantwoordelijke rekening moeten houden met dit nieuwe standpunt van de AP en moeten overwegen om haar website hierop aan te passen. Dit blog is oorspronkelijk verschenen op Privacy Web. [1]  Vgl. Conseil d’Etat 27 maart 2020, 399922, ECLI:FR:CECHR:2020:399922.20200327, JBP 2020/97, met noot  J.A.N. Baas.  

Heeft u ooit opgemerkt dat u na het bekijken van een vakantievlucht of de laatste gadgets op een website, op een andere site plotseling een advertentie voor datzelfde product ziet? Dit is geen magie, maar het resultaat van de activiteiten van bedrijven zoals Criteo, die uw online gedrag volgen om gerichte advertenties aan te bieden. Vorige week oordeelde de voorzieningenrechter van de Rechtbank Amsterdam dat de manier waarop Criteo toestemming van betrokkene zoekt niet aan de eisen van de Algemene Verordening Gegevensbescherming (AVG) en de Telecommunicatiewet (Tw) voldoet. De Activiteiten van Criteo  Als een prominente speler in de advertentiewereld verzamelt Criteo gegevens via tracking cookies, die via websites van derden worden geplaatst. Deze informatie bepaalt welke advertenties voor gebruikers relevant kunnen zijn. Door middel van real-time biedingen koopt Criteo advertentieruimte op andere websites om specifieke advertenties aan te bieden. Deze werkwijze roept vragen op over de naleving van de e-privacy en gegevensbeschermingswetgeving. Is er wel rechtmatige toestemming gegeven door de gebruikers? Boetebeschikking van CNIL  CNIL, de Franse toezichthouder, dacht van niet. Op basis van klachten van stichting ‘None of Your Business’ (‘NOYB’) heeft CNIL op 15 juni 2023 een boete van 40 miljoen Euro opgelegd aan Criteo. Volgens CNIL kon Criteo niet aantonen dat ze de juiste toestemming van internetgebruikers had verkregen voor het plaatsen van cookies. Bovendien heeft Criteo naar het oordeel van CNIL niet voldaan aan verschillende verplichtingen van de AVG, waaronder de informatieplicht en de rechten op inzage en gegevenswissing. Het kort geding  In vervolg op deze Franse boetebeschikking heeft een Nederlandse particulier, hierna te noemen “X”, een vordering tegen Criteo aanhangig gemaakt in kort geding. De vordering zag op staking van de volgens X onrechtmatige gedragingen van Criteo, inzage (waaronder de verstrekking van een lijst van de derden die gegevens van X hadden ontvangen), gegevenswissing, en het informeren van de derde-ontvangers zodat die ook tot wissing zouden kunnen overgaan. Voor de plaatsing van de cookies is, in ieder geval op grond de e-Privacywetgeving, toestemming nodig. Criteo maakt daarom afspraken met de exploitanten van de websites via welke de cookies worden geplaatst, op basis waarvan deze exploitanten gehouden zijn om de toestemming te vragen. In de praktijk worden deze afspraken niet altijd nageleefd. In het kort geding betoogde Criteo dat niet van haar kan worden gevergd dat zij bij al haar klanten individueel controleert of die de verplichting nakomen, maar dat zij wel direct optreedt als zij bekend wordt met een inbreuk. Daarnaast wees Criteo erop dat eiser zelf ongewenste cookies ook kan verwijderen en/of een opt-out kan instellen voor de cookies van Criteo in zijn browser. X had op dit verweer van Criteo geanticipeerd. Hij betoogde dat Criteo actief moet controleren of haar klanten zich aan de contractuele verplichtingen houden. X had een deskundigenrapport overgelegd, waarin uiteen wordt gezet dat dit geautomatiseerd kan plaatsvinden, en dus niet onmogelijk of onevenredig bezwarend is. De Voorzieningenrechter maakt korte metten met de verweren van Criteo. Het door Criteo gehanteerde: ‘piepjessysteem’ voldoet volgens hem niet. Criteo heeft daarnaast onvoldoende gemotiveerd weersproken dat zij naleving geautomatiseerd zou kunnen controleren. Het betoog dat X zelf cookies kan verwijderen is ”de wereld op zijn kop”. Niet X moet actie ondernemen, maar Criteo moet zorgen dat vooraf toestemming wordt verkregen voor de plaatsing van de cookies en het verwerken van persoonsgegevens. Alle vorderingen worden daarom toegewezen. Over de uitspraak valt veel te zeggen. In dit blog licht ik er graag twee puntjes uit.  Verwerkt Criteo persoonsgegevens?  Het eerste wat opvalt is dat Criteo in het kort geding géén verweer heeft gevoerd tegen de stelling, dat zij in het kader van haar activiteiten persoonsgegevens verwerkt. Uit de boetebeschikking blijkt dat zij hierover met CNIL wel discussie heeft gevoerd. Het is niet volledig vanzelfsprekend dat de activiteiten van Criteo zien op persoonsgegevens. Criteo plaatst immers cookies op devices en koppelt hieraan profielen. Zij weet echter niet van wie deze devices zijn en op welke natuurlijke personen de profielen daadwerkelijk zien. Er is dus een ruime uitleg van het begrip ‘persoonsgegevens’ nodig om te oordelen dat Criteo persoonsgegevens verwerkt. CNIL oordeelde in de boetebeschikking dat Criteo wél persoonsgegevens verwerkt, omdat zij in bepaalde hypothetische gevallen mogelijk aanvullende gegevens verzamelt, aan de hand waarvan zij natuurlijke personen kan identificeren. Wellicht hebben de advocaten van Criteo in het Nederlandse kort geding gedacht dat een discussie hierover iets van een achterhoedegevecht zou hebben. Bij een discussie hierover zouden zij ook zijn geconfronteerd met het bewijsvermoeden van artikel 11.7a lid 4 Tw. Desondanks zou interessant zijn als dit aspect in een eventueel beroep tegen de boetebeschikking nog nadere aandacht zou krijgen. Criteo zou overigens ook los van toepasselijkheid van de AVG, het verbod van artikel 11.7a Tw overtreden door het plaatsen en uitlezen van de cookies. X zou echter geen gebruik hebben kunnen maken van de rechten die hem onder de AVG toekomen, zoals het recht op inzage en het recht op gegevenswissing. Contracteren is zilver, controleren is goud  De kern van de uitspraak ziet natuurlijk op de vraag in hoeverre een verwerkingsverantwoordelijke gehouden is om te controleren of een samenwerkingspartner die heeft toegezegd voor haar bepaalde verplichtingen uit de AVG na te leven, zoals in dit geval de verplichting om toestemming te vragen, daadwerkelijk haar verplichtingen nakomt. De uitspraak maakt duidelijk dat een verwerkingsverantwoordelijke zich niet kan beperken tot het contractueel vastleggen van verplichtingen, maar actief toezicht moet houden op de naleving daarvan door haar partners. Dit betekent dat het simpelweg afschuiven van verantwoordelijkheden op partners niet voldoende is. Er moet daadwerkelijk actie worden ondernomen om te zorgen dat deze verantwoordelijkheden ook worden nageleefd. De vraag is wat op dit vlak van de verwerkingsverantwoordelijke kan worden gevergd. In casu had de eiser middels een deskundigenrapport onderbouwd dat Criteo de naleving relatief eenvoudig kan controleren, en volgens de uitspraak was dit door Criteo ook niet gemotiveerd weerlegd. De uitspraak benadrukt het belang van actief toezicht door verwerkingsverantwoordelijken op de naleving van de AVG door haar partners. Het is niet voldoende om verantwoordelijkheden enkel contractueel vast te leggen. Er moet daadwerkelijk actie worden ondernomen om te zorgen dat deze verantwoordelijkheden ook worden nageleefd. Contracteren is dus zilver, maar controleren is goud!   Dit artikel is oorspronkelijk verschenen op PONT | Data & Privacy  

De AVG stelt verzwaarde eisen aan de verwerking van bijzondere persoonsgegevens, zoals gegevens over gezondheid, ras of seksuele gerichtheid, zie in het bijzonder artikel 9 AVG. Soms kan een dergelijk gegeven indirect uit andere gegevens worden afgeleid. Als bijvoorbeeld iemand met een bril wordt afgebeeld op een foto, zou hieruit indirect iets kunnen worden afgeleid over zijn gezondheid. Moet een foto van iemand met een bril, nu immer als een bijzonder persoonsgegeven worden gezien? Bij de beantwoording van deze vraag wordt over het algemeen de context meegewogen waarin de gegevens worden verwerkt. Zie bijvoorbeeld op de website van de AP:[1] Geen bijzondere persoonsgegevens U verwerkt gewone – en dus géén bijzondere – persoonsgegevens met uw foto’s of filmpjes als alle 3 de volgende punten gelden: De foto’s of filmpjes zijn niet gericht op bijzondere persoonsgegevens of het maken van onderscheid op basis van deze gegevens.  Het is voor u redelijkerwijs ook niet te voorzien dat iemand onderscheid zal maken op basis van uw foto’s of filmpjes.  Het is onvermijdelijk dat u bijzondere persoonsgegevens verwerkt als u de foto’s of filmpjes maakt.  Van gewone persoonsgegevens  zal doorgaans sprake zijn bij bijvoorbeeld een smoelenboek op intranet van de werkgever, een klassenfoto of het promoten van een (algemeen) evenement. Op basis van deze contextuele benadering hoeft een foto van een brildrager niet altijd als een bijzonder persoonsgegeven te worden behandeld. Deze praktische benadering is zeer welkom, nu anders wel erg veel verwerkingen onder de verzwaarde eisen voor verwerking van bijzondere persoonsgegevens zouden komen te vallen en daardoor niet mogelijk zouden zijn, ook verwerkingen zonder groot risico voor het privéleven van de betrokkenen. In de zaak OT[2] ging het om de publicatie op internet van de naam van de partner van de directeur van een Litouwse gesubsidieerde instelling. Ingevolge anti-corruptiewetgeving diende deze een groot aantal gegevens van zichzelf en van zijn levenspartner aan te leveren. Deze werden deels ook openbaar gemaakt via internet. Uit de naam van de partner kan diens geslacht worden afgeleid, en uit de combinatie van de namen van de partners de seksuele gerichtheid van beide partners. De naam zegt zodoende niet direct, maar wel indirect iets over die seksuele gerichtheid. Is de naam daarmee een bijzonder persoonsgegeven? Het Hof beantwoordt die vraag bevestigend. In het arrest komt een eigenaardigheid in de tekst van artikel 9 AVG naar voren. Soms gaat het daarin om gegevens waaruit iets “blijkt”, soms om gegevens “over” of “met betrekking tot”. Zouden daarom bij de ene categorie bijzondere persoonsgegevens eerder indirecte gegevens in aanmerking genomen moeten worden dan bij andere categorieën? Ten aanzien van seksuele gerichtheid gaat het om gegevens “over” iemands seksuele gerichtheid. Zou dit indirecte gegevens uitsluiten? Het Hof oordeelt dat aan deze tekstuele verschillen geen betekenis moet worden toegekend en dat, mede in het licht van het beschermingskarakter van de bepaling, aan alle bijzondere persoonsgegevens een zelfde, ruime, uitleg moet worden gegeven. Alle categorieën van bijzondere persoonsgegevens kunnen op dezelfde wijze mede gegevens omvatten waaruit de gevoelige informatie indirect kan worden afgeleid. Gegevens “over” kunnen dus ook gegevens zijn waaruit indirect iets blijkt. Sluit deze ruime uitleg nu ook de contextuele benadering uit? Ik meen van niet. Ten eerste is de benadering van het Hof niet primair taalkundig. De benadering van het Hof leidt ertoe dat aan de verschillende categorieën van bijzondere persoonsgegevens een zelfde, ruime, uitleg moet worden gegeven. Ik meen dat deze uniforme benadering vervolgens ook geldt voor de toepassing van nuanceringen op die ruime uitleg, waarbij in gevallen waarin er geen oogmerk is op verwerking van bijzondere persoonsgegevens én er ook geen belangrijke risico’s zijn, aanleiding kan zijn om indirecte gegevens niet als bijzondere persoonsgegevens aan te merken.[3] Ten tweede koppelt het Hof zijn conclusies in rechtsoverweging 128 en in het dictum van het arrest zeer strikt aan een aantal feiten en omstandigheden van de zaak, dit terwijl de prejudiciële vraag een veel algemenere strekking had. De omstandigheden die het Hof noemt zijn: publicatie op internet; van persoonsgegevens die indirect de seksuele gerichtheid van een natuurlijke persoon kunnen onthullen; Door een overheidsinstantie die belast is met het verzamelen van de opgaven van particuliere belangen en het uitoefenen van controle op de inhoud daarvan. Het Hof kiest er dus duidelijk niet voor om een algemeen uitgangspunt te formuleren maar beperkt zijn oordeel nadrukkelijk tot de omstandigheden van het geval. Tezamen indiceren deze omstandigheden een groot risico op inbreuk op het privéleven. Anders dan het feit dat iemand een bril draagt, die bij ieder contact direct zichtbaar is, is iemands seksuele gerichtheid niet altijd openbaar en het is aan de persoon zelf om daar al dan niet bekendheid aan te geven. Het is niet aan de overheid om dat ongevraagd te openbaren. Ook is de expliciete koppeling aan de omstandigheden van het geval als zodanig al een aanwijzing dat het Hof een analyse van de context van de verwerking relevant acht voor de vraag of (indirecte) gegevens in een specifiek geval als bijzondere persoonsgegevens moeten worden aangemerkt. Mijn conclusie is daarom dat het in de omstandigheden van het geval zeer voor de hand lag om de naam van de partner als bijzonder persoonsgegeven aan te merken, maar dat dit niet automatisch impliceert dat alle gegevens waaruit indirect een bijzonder persoonsgegeven kan worden afgeleid, onder alle omstandigheden als bijzonder persoonsgegeven aangemerkt dienen te worden. Geen streep dus door de contextuele benadering van bijzondere persoonsgegevens.   Dit blog is oorspronkelijk verschenen op Privacy Web.    [1] https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/foto-en-film/beeldmateriaal, laatst bekeken op 22 mei 2023. Aanknopingspunten voor een contextuele benadering zijn ook te vinden in overweging 51 bij de AVG en in richtsnoeren van het Europees Comité voor Gegevensbescherming (EDPB, Guidelines 3/2019 on processing of personal data through video devices, 29 januari 2020; par. 60 en verder). [2] HvJ EU 1 augustus 2022, C‑184/20, OT/ Vyriausioji tarnybinės etikos komisija, ECLI:EU:C:2022:601. Dit blog is deels een bewerking van mijn noot bij het arrest in JBP 2023/41. [3] Zoals in overweging 51 bij de AVG ten aanzien van biometrische gegevens.

De toestemming voor een coffeeshop is juridisch een raar beestje. Een gemeente mag geen vergunning geven voor de verkoop van softdrugs, want die verkoop is eigenlijk verboden en wordt louter “gedoogd”. Wel kunnen gemeenten (strikt gezien is het de burgemeester die deze vergunning verleent) exploitatievergunningen verlenen voor de horeca-activiteiten in de coffeeshop. Ten aanzien van de verkoop van softdrugs worden gedoogverklaringen afgegeven. Op 13 september 2023 heeft de Afdeling Bestuursrechtspraak van de Raad van State (“De Afdeling”) hierover twee belangrijke uitspraken gedaan.  Exploitatievergunning coffeeshop schaarse vergunning  De eerste uitspraak betrof een geschil tussen twee coffeeshophouders en de burgemeester van Roermond. In Roermond werd het aantal te verlenen horecaexploitatievergunningen voor coffeeshops beleidsmatig gemaximeerd op twee. De vergunningen werden voorts verleend voor de bepaalde tijd van vijf jaren. De coffeeshophouders stelden zich op het standpunt dat de vergunning voor onbepaalde tijd had moeten verleend. In haar eerste  uitspraak van 13 september 2023 (ECLI:NL:RVS:2023:3482) oordeelt de Afdeling dat het is toegestaan om een beleid te voeren waarin het aantal coffeeshops is gemaximeerd. Indien een dergelijk maximum is gesteld gelden de exploitatievergunningen als schaarse vergunningen. Volgens de Afdeling mogen de vergunningen daarom in tijd worden beperkt. Ik voeg daaraan toe dat in het licht van de Dienstenwet en -richtlijn en de Vlaardingenuitspraak waarschijnlijk zelfs moet worden aangenomen dat een verplichting bestaat om dergelijke schaarse exploitatievergunningen voor een passende bepaalde tijd te verlenen. Voor de verkoop van softdrugs kan, zoals opgemerkt, géén vergunning worden verleend. De exploitatievergunningen moeten volgens de Afdeling in relatie daarmee worden gezien als (impliciete) gedoogverklaringen. Omdat de gedoogverklaringen aan de exploitatievergunningen zijn verbonden hebben die dezelfde looptijd als de exploitatievergunning. De Afdeling vindt ook de beperking van de tijd van de gedoogverklaringen aanvaardbaar. Een zeer interessante uitspraak, die bevestigt dat gemeenten de mogelijkheid hebben om middels een schaarse-vergunningenbeleid en hieraan gekoppelde looptijden van vergunningen en uitgiftecriteria meer grip op hun bestand aan coffeeshops te krijgen. Gedoogverklaring Appellabel besluit  Op dezelfde dag heeft de Afdeling bestuursrechtspraak nóg een belangrijke uitspraak over coffeeshops gedaan. Tot op heden was het vaste rechtspraak dat een gedoogverklaring geen besluit was ingevolge de Algemene wet bestuursrecht, waartegen beroep en bezwaar openstaat. Een coffeeshophouder kon daarom de weigering van een gedoogverklaring, of de voorwaarden waaronder een gedoogverklaring werd verleend, niet rechtstreeks aan de bestuursrechter voorleggen. Indien hij het niet met de weigering of de voorwaarden eens was zou hij het op handhaving moeten laten aankomen om de weigering of de voorwaarden ter discussie te stellen, met alle risico’s van dien. In haar tweede uitspraak van 13 september 2023 (ECLI:NL:RVS:2023:3431) komt de Afdeling terug op haar eerdere rechtspraak op dit punt, en oordeelt dat het onevenredig bezwarend is om van een coffeeshophouder te verwachten dat hij het op handhaving laat aankomen om een weigering om een gedoogverklaring af te geven, of de voorwaarden die aan een gedoogverklaring zijn verbonden, aan de bestuursrechter voor te leggen. De Afdeling merkt daarom een gedoogverklaring voortaan wél aan als een besluit is als bedoeld in artikel 1:3, eerste lid, van de Algemene wet bestuursrecht waartegen in bezwaar of beroep kan worden opgekomen. De Afdeling constateert terecht dat de landelijke overheid enerzijds vasthoudt aan het uitgangspunt dat het exploiteren van een coffeeshop illegaal is, maar anderzijds wel regels stelt die onder omstandigheden verkoop van softdrugs mogelijk maken. Het lijkt juist dat de toepassing van die regels vervolgens aan de bestuursrechter kan worden voorgelegd. Wilt u meer weten over dit onderwerp? Neem dan contact op met Jan Baas. 

In het recht betekent gelijk hebben, niet ook altijd gelijk krijgen. Om gelijk te krijgen is het belangrijk om bewijs te kunnen leveren. Dat bewijs is soms echter in handen van een derde. Het recht biedt zekere mogelijkheden om informatie die zich onder derden bevindt, op te eisen. In de Wet open overheid (Woo), die op 1 mei 2022 in werking is getreden, zijn op dit vlak enige belangrijke noviteiten te vinden. Deze zijn zowel van belang voor partijen die informatie willen verzamelen, als voor overheden, die met nieuwe verzoeken onder de Woo geconfronteerd worden. Woo: uitzonderingen beperkter Net als onder de Wob kan eenieder onder de Woo een verzoek doen aan bestuursorganen om openbaarmaking van documenten. De gevallen waarin een bestuursorgaan openbaarmaking kan weigeren (in de Woo: “uitzonderingen”), zijn ingeperkt. In het bijzonder kan openbaarmaking niet meer zomaar worden geweigerd vanwege het voorkomen van onevenredige bevoordeling of benadeling van bij de aangelegenheid betrokken natuurlijke personen of rechtspersonen dan wel van derden; dit kan alleen nog in uitzonderlijke gevallen en niet in combinatie met een beroep op andere uitzonderingen. Bij informatie ouder dan 5 jaar geldt voorts een verzwaarde motiveringsplicht bij weigering. Gevolg succesvol Woo-verzoek: plaatsing documenten op internet Een volgende belangrijke noviteit is dat indien een Woo-verzoek succesvol is, de informatie door het bestuursorgaan voor eenieder op internet geplaatst dient te worden (Artikel 3.3 lid 2 sub i Woo). Deze verplichting is overigens nog niet in werking getreden; deze wordt van toepassing op een bij Koninklijk Besluit te bepalen tijdstip. Desalniettemin dient bij het doen van een Woo-verzoek bedacht te worden dat het verzoek er niet alleen toe leidt dat de aanvrager zelf informatie verkrijgt, maar ook dat de aandacht van een breder publiek (waaronder bijvoorbeeld concurrenten) op de informatie kan worden gericht. Dat is een gevolg dat niet iedere Woo-verzoeker zal wensen. Ook overheden kunnen goede redenen hebben om informatie alléén aan een specifieke verzoeker te verstrekken, en deze niet algemeen openbaar te maken. Woo: nieuwe mogelijkheden om met het oog op specifieke belangen informatie op te vragen Dat de informatie actief openbaar gemaakt wordt via het internet, heeft als achtergrond dat de Woo, net als voorheen de Wob, bedoeld om het algemene belang van openbaarheid van overheidsinformatie te dienen. Bij een Woo-verzoek hoeft daarom ook geen belang gesteld te worden: het belang bij openbaarheid is op voorhand gegeven. Een opvallende noviteit is dan ook dat de Woo het mogelijk maakt om in documenten vastgelegde, op de verzoeker zelf, en op diens overleden echtgenoot, geregistreerd partner, kind of ouder, betrekking hebbende informatie op te vragen (artikel 5.5 Woo). Ook is het mogelijk om niet-openbare informatie wegens klemmende redenen, al dan niet onder geheimhouding, alléén aan de verzoeker verstrekken (artikel 5.6 Woo). Aan deze artikelen ligt niet per se een algemeen openbaarheidsbelang ten grondslag, maar specifieke belangen van de betreffende verzoekers. Vangnetbepaling? Artikel 5.5 Woo is van toepassing onverminderd het elders bij wet bepaalde. Volgens de parlementaire geschiedenis bij het artikel wordt hiermede uitgedrukt dat het artikel een vangnetbepaling is, en geen toepassing vindt indien een ander regime de verstrekking regelt. De vraag kan worden gesteld of  deze bedoeling overeenstemt met de tekst van het artikel. Met “onverminderd” wordt immers gemeenlijk uitgedrukt dat de bepaling de werking van andere wettelijke bepalingen onverlet laat, en de verschillende wettelijke regimes dus naast elkaar van toepassing zijn, en niet dat andere wettelijke regimes voorrang hebben.[1] De lezing in de parlementaire geschiedenis stemt overigens overeen met vergelijkbare toepassing van het woord “onverminderd” in artikel 2 Wob.[2] De voorrang is beperkt tot regimes die de verstrekking van gegevens uitputtend beogen te regelen. In relatie tot regimes die géén uitputtende regeling beogen, behoort de voorrangsregel niet te leiden tot weigering van verstrekking onder artikel 5.5 Woo. Vgl. in dit verband ook artikel 5.5 lid 4 Woo, waaruit blijkt dat informatie die onder 5.2 en 5.3 van de Woo openbaar zou zijn, desondanks (ook) onder artikel 5.5 Woo kan worden verstrekt. In de Parlementaire geschiedenis wordt betoogd dat de AVG het de meest in het oog springende uitputtende regime is, en dat een verzoeker met betrekking tot de verwerking van de eigen persoonsgegevens, dus nimmer zal toekomen aan een verzoek op grond van artikel 5.5 Woo. In het licht van de voorrang van het Europese recht en de (in beginsel) volledige harmonisatie van het gegevensbeschermingsrecht in de AVG denken we inderdaad dat er naast artikel 15 AVG geen ruimte is voor een afwijkende nationale regeling voor inzage in persoonsgegevens ter bescherming van privacy of bescherming van persoonsgegevens. Dat maakt voor ons nog niet evident dat het inzageregime van de AVG in de weg staat aan een aanvullende nationale, op overheden rustende verplichting om informatie te verstrekken aan burgers om andere redenen. In verband met openbaarheid van overheidsinformatie verwijzen we mede naar artikel 86 AVG. Hier zal ongetwijfeld nog jurisprudentie over komen. In ieder geval geldt dat het soort inzageverzoeken dat artikel 15 AVG mogelijk maakt voor levende natuurlijke personen, nu ook gedaan kan worden door rechtspersonen en in bepaalde gevallen ten aanzien van gegevens van overleden personen. Voor zover discussie kan ontstaan naar aanleiding van het vangnetkarakter, zou een beroep op artikel 5.5 van de Woo eventueel subsidiair gedaan kunnen worden, in combinatie met een beroep op andere verstrekkingenregimes. Vergelijking met bestaande wettelijke verstrekkingenregimes Naast de Woo, zijn op verschillende plekken in andere wetten bepalingen opgenomen op basis waarvan het mogelijk is om informatie te verkrijgen. Denk aan bijvoorbeeld de Algemene wet bestuursrecht (Awb), de Algemene Verordening Gegevensbescherming (AVG) en het Wetboek van Burgerlijke Rechtsvordering (Rv). Zo hebben belanghebbenden in een bestuurlijke procedure op grond van artikel 7:4, tweede lid, van de Awb, voorafgaand aan het horen, het recht om de op de zaak betrekking hebbende stukken in te zien. Als een bestuurlijke boete is opgelegd, moet het bestuursorgaan op grond van artikel 5:49 van de Awb de overtreder in de gelegenheid stellen om de gegevens die hebben geleid tot het opleggen van de bestuurlijke boete in te zien en daarvan afschriften te vervaardigen. Ook in een (hoger)beroepsprocedure hebben partijen, gelet op artikel 8:39 van de Awb, het recht om een afschrift te ontvangen van de op de zaak betrekking hebbende stukken. Ten aanzien van verwerking van persoonsgegevens biedt artikel 15 van de AVG voor natuurlijke personen de mogelijkheid om bij een verwerkingsverantwoordelijke een verzoek in te dienen en daarmee uitsluitsel te krijgen of al dan niet persoonsgegevens van hem worden verwerkt. Bij inwilliging van een verzoek aan een bestuursorgaan, moet het onder andere meedelen of het (bijzondere) persoonsgegevens van de verzoeker verwerkt en een kopie van die persoonsgegevens verstrekken. In civiele procedures bestaat op grond van artikel 843a Rv de mogelijkheid om, als een rechtmatig belang bestaat bij inzage, inzage, afschrift of uittreksel te eisen van bepaalde bescheiden aangaande een rechtsbetrekking waarin hij of zijn rechtsvoorgangers partij zijn. In onderstaande tabel zetten we een aantal van de mogelijkheden onder elkaar:   Wie mag verzoeken? Belang stellen? Soort gegevens Gevolgen van openbaarheid t.o.v. derden Soort procedure Awb Belanghebbende die deelneemt aan een bestuursrechtelijke procedure Ja Procesdossier Geen openbaarheid voor derden Bestuursrechtelijk Woo (4.1) Eenieder Nee Documenten die verband houden met publieke taak bestuursorgaan Openbaarheid voor een ieder, tenzij… Bestuursrechtelijk Woo (5.5) Natuurlijke of rechtspersoon Nee Op verzoeker althans overleden naasten betrekking hebbende informatie Geen openbaarheid voor derden Bestuursrechtelijk AVG Natuurlijke persoon Nee Van verzoeker verwerkte persoonsgegevens Geen openbaarheid voor derden Bestuurs- of civielrechtelijk Rv Eiser tot inzage Rechtmatig belang Bepaalde bescheiden aangaande een rechtsbetrekking waarin hij of zijn rechtsvoorgangers partij zijn Geen openbaarheid voor derden. Civielrechtelijk Afronding De Woo bevat een aantal noviteiten die tot op heden enigszins onderbelicht zijn gebleven. Er zijn voor overheden minder gronden om openbaarmaking te weigeren, terwijl verstrekking aan één verzoeker als gevolg van een succesvol Woo-verzoek, in beginsel leidt tot openbaarmaking voor eenieder op het internet. Anderzijds creëert artikel 5.5 Woo een nieuwe mogelijkheid om gegevens op te vragen die zijn vastgelegd over de verzoeker zelf, óók als die verzoeker een rechtspersoon is. Daarnaast kunnen in bepaalde gevallen gegevens worden opgevraagd van overleden personen. Artikel 5.5 Woo is een interessante toevoeging aan de toolbox van procederende partijen waar zeker mee geëxperimenteerd zal gaan worden, en we zijn benieuwd hoe de jurisprudentie rond dit artikel zich zal ontwikkelen. Voor overheden bieden de artikelen 5.5 en 5.6 Woo mogelijkheden om informatie in specifieke gevallen aan belanghebbenden te verstrekken zonder deze direct op het open internet te plaatsen. [1] Vgl. ABRvS 30 juni 2021, ECLI:NL:RVS:2021:1422, AB 2021, 255, m.nt. H.E. Bröring, Volgens de annotator blijkt dit zelfs “klip en klaar” uit het woord onverminderd. Vgl. ook aanwijzing 3.35 van de aanwijzingen voor regelgeving. [2] Zie bijvoorbeeld Sdu Commentaar Wet Openbaarheid van Bestuur, aantekening 4 bij artikel 2 Wob, en ABRvS 25 maart 2009, ECLI:NL:RVS:2009:BH7691, JB 2009/127, m. nt. G. Overkleeft-Verburg.