Please select a page template in page properties.

De werking van de AVG

Om de werking van de AVG goed te begrijpen is het van belang te weten dat de AVG een ‘algemene verordening’ en een principe-gebaseerde wet is.

De AVG is een algemene verordening om twee redenen:

  1. De AVG is generiek opgesteld en geeft alleen in algemene termen en principes weer hoe te handelen met betrekking tot persoonsgegevens; voor specifieke beleidsterreinen bestaat er specifieke wetgeving (zoals de Nieuwe Wet op de inlichtingen- en veiligheidsdiensten (WIV) of de Wet medisch-wetenschappelijk onderzoek met mensen (WMO); deze specifieke wetgeving heeft voorrang boven algemene wetgeving (zoals de AVG);
     
  2. De AVG is techniekneutraal; in de wettekst staan geen specifieke technologieën, of specificaties daarvan, zoals bijvoorbeeld de sleutellengte (128, 192 of 256 bits) van een vercijfering - bij encryptie van gegevens. In hoofdstuk 4 (Maatregelen) zijn de mogelijke technische - en organisatorische maatregelen al besproken.

Een principe-gebaseerde wet

Sommige wetten zijn gebaseerd op principes en zogenaamde ‘open normen’; andere wetten kennen duidelijke objectieve criteria en dus zogenaamde ‘gesloten normen’. Een voorbeeld van dit laatste is de aanduiding van de ‘maximumsnelheid 100 kilometer per uur tussen 06 en 19 uur':

Je weet precies op welk tijdstip welke maximumsnelheid geldt op een snelweg wanneer verkeerstekens zoals hierboven weergegeven, de snelheid aangeven. Bij een principe gebaseerde wet zoals de AVG is er niet sprake van objectieve criteria en worden begrippen gebruikt zoals:

  • een niet onverenigbaar doel
  • een vitaal belang
  • passende waarborgen
  • een hoog risico
  • noodzakelijk
  • proportioneel
  • behoorlijk

Het voordeel van open normen is dat de wetgever niet voor elke concrete situatie, of voor elke technische ontwikkeling regels hoeft op te stellen (reduceert regeldruk). Het gaat bij de AVG namelijk om de beschreven doelen (doelregelgeving). Zie ook: Jaarverslag Raad van State 2018: Open normen en rechtszekerheid. Een nadeel van open normen, zoals ook in dit jaarverslag benoemd, is rechtsonzekerheid:

Open normen bevatten het risico dat over de invulling ervan verschil van mening ontstaat. Als de wetgever niet voldoende houvast biedt, dan zal de rechter uiteindelijk de beslissing moeten nemen over de invulling van een norm.

Dus zal een onderzoeker vanuit de geformuleerde principes steeds moeten kijken welke maatregelen nodig zijn om de geformuleerde doelen van onder andere bescherming van persoonsgegevens binnen een onderzoek zo goed als mogelijk te beschermen. Hierbij geven beleidsregels (vroeger: richtsnoeren) van de nationale toezichthouder, de Autoriteit Persoonsgegevens, nadere betekenis aan open normen, zie bijvoorbeeld voor een overzicht hier

Verder geven uitspraken van rechters nadere duiding, bijvoorbeeld hier, waarin de voorzieningenrechter heeft bepaald dat een universiteit online surveillancesoftware (proctoring) mag inzetten bij het afnemen van tentamens, en waarbij deze bevestigt dat de betreffende universiteit heeft voldaan aan alle regels en beginselen van de AVG.

Tenslotte geeft het Hof van Justitie van de Europese Unie met de hoogste autoriteit duiding aan de AVG. Zo heeft het hof, op 16 juli 2020, in haar beroemde ‘Schrems 2’ arrest zelfs een besluit van de Europese Commissie ongeldig verklaard, namelijk de zogenaamde ‘adequaatheidsbeslissing’ van de VS op basis van het ‘Privacy Shield’.

Jurisprudentie speelt dus een belangrijke rol bij principe gebaseerde wetgeving met open normen, omdat op basis van het geheel van rechterlijke uitspraken gaandeweg duidelijkheid ontstaat over deze normen en bepaalde contexten.

Andere principe gebaseerde wetten

Andere voorbeelden van principe gebaseerde wetten zijn bijvoorbeeld de wet op kartelvorming, wetten voor financiële markten, integriteit, fraude, etc. Bij dat type wetten is het onmogelijk om in de wettekst bijvoorbeeld specifieke financiële producten te noemen, dat assortiment verandert vrijwel dagelijks. Om die reden zijn dit type wetten gebaseerd op principes waarbinnen men moet opereren.

Vaak is bij dit type wetgeving een toezichthouder betrokken die oordeelt over de mate waarin de principes uit de wet geschonden zijn. Jurisprudentie speelt een belangrijke rol bij dit type wetgeving, omdat men op basis van eerder uitspraken de risico’s en de te nemen maatregelen of acties in kan schatten.

Lex generalis en lex specialis

Naast het feit dat de AVG een principe gebaseerde wet is, is het van belang om de relatie tussen een algemene verordening (een ‘lex generalis’, zoals de AVG) en sectorspecifieke wetten (‘lex specialis’) te kennen. Indien er binnen een bepaalde casus sprake is van een sectorspecifieke wet (lex specialis) en de AVG (een algemene verordening, lex generalis) dan geldt het principe 'lex specialis derogat legi generali’, het specialiteitsbeginsel, waarbij de specifieke wetgeving voorrang krijgt op algemene wetgeving. Bijvoorbeeld: de uitvoeringswet UAVG is specifiek nationale wetgeving, die gaat dus vòòr op de AVG.

Maar bij conflicten tussen deze lex specialis en lex generalis geldt weer een ander principe: ‘lex superior derogat legi inferiori’, de hiërarchie tussen ‘hogere’ en ‘lagere’ wetgeving. De ‘hogere’ wetgeving, van de hoogste wetgever, wint. Dus als de specifieke en algemene wet conflicteren ‘wint’ dus toch de algemene wetgeving (AVG) boven de specifieke wetgeving (UAVG). Het punt is dat in de specifieke wetgeving in de regel meer specifieke bepalingen staan. Alleen als er daardoor sprake is van een conflict, wint de hogere wetgeving. Dat komt voor, maar is meer uitzondering.

Onderstaande afbeelding laat de hiërarchie tussen de verschillende wetten nogmaals duidelijk zien:


 

Zie tenslotte ook dit bericht, waarin de hiërarchie wordt uitgelegd van de AVG en de Wet politiegegevens (Wpg) in de context van de Nationale Politie:

Wet politiegegevens

De politie moet net als elke andere organisatie voldoen aan de regels van de AVG. Bij het verwerken van gegevens in het kader van vervolging of opsporing geldt echter een andere wet: de Wet politiegegevens (Wpg). Deze wet geldt naast de AVG als een ‘Lex specialis’. Dat betekent dat de regels in de AVG niet gelden wanneer de Wpg van toepassing is. Daarvan is sprake wanneer het taken betreft voor de opsporing en vervolging van strafbare feiten en tenuitvoerlegging van straffen. Voor persoonsgegevens die bij de politie worden verwerkt in het kader van normale bedrijfsvoering is de AVG gewoon van toepassing. Toch heeft de politie ook te maken met de AP, wanneer de Wpg van toepassing is. In de Wpg is namelijk opgenomen dat de AP het toezichthoudende orgaan is dat toeziet op naleving van de bepalingen in de Wpg.

 

Aanvullende bepalingen en uitzonderingen voor wetenschappelijk onderzoek

De AVG geeft zelf expliciet aan dat lidstaten een mate van vrijheid hebben om van de AVG af te wijken. Een bijvoorbeeld hiervan is AVG Artikel 9 (Verwerking van bijzondere categorieën van persoonsgegevens), lid 2, onderdeel j. Daar stelt de AVG dat lidstaten aanvullende bepalingen kunnen opstellen:

“De verwerking is noodzakelijk met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, lid 1, op grond van Unierecht of lidstatelijk recht, waarbij de evenredigheid met het nagestreefde doel wordt gewaarborgd, de wezenlijke inhoud van het recht op bescherming van persoonsgegevens wordt geëerbiedigd en passende en specifieke maatregelen worden getroffen ter bescherming van de grondrechten en de belangen van de betrokkene.”

In onze nationale wetgeving de UAVG zijn onder andere aanvullende bepalingen opgesteld ten behoeve van wetenschappelijk onderzoek. Hierover stelt de UAVG vervolgens meer specifiek Artikel 24:
 


Uitzonderingen voor wetenschappelijk of historisch onderzoek of statistische doeleinden      

Gelet op artikel 9, tweede lid, onderdeel j, van de verordening, is het verbod om bijzondere categorieën van persoonsgegevens te verwerken niet van toepassing, indien:

a.de verwerking noodzakelijk is met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden overeenkomstig artikel 89, eerste lid, van de verordening; en

b.het onderzoek, bedoeld in onderdeel a, een algemeen belang dient; en

c.het vragen van uitdrukkelijke toestemming onmogelijk blijkt of een onevenredige inspanning kost; en

d.bij de uitvoering is voorzien in zodanige waarborgen dat de persoonlijke levenssfeer van de betrokkene niet onevenredig wordt geschaad.


Hoe dit te lezen? De UAVG krijgt hier zoals we zagen (lex specialis) dus voorrang op de algemene regel uit de AVG. In UAVG Artikel 22 zien we dus nader gepreciseerd voorgeschreven dat men in Nederlandbijzondere categorieën van persoonsgegevens ten behoeve van onderzoek alleen rechtmatig kan verwerken, als men kan aantonen dat het vragen om toestemming aan onderzoeksdeelnemers ‘onmogelijk blijkt of een onevenredige inspanning kost’. 

De UAVG schrijft hier dus feitelijk ‘comply or explain’ als uitgangspunt voor: vraag uitdrukkelijke toestemming aan onderzoeksdeelnemers, wanneer bijzondere categorieën van persoonsgegevens in onderzoek worden verwerkt, of leg uit waarom dit niet - met evenredige inspanning - kan.

Op sommige plekken geeft de AVG duidelijk aan dat nationale implementatiewetgeving nadere invulling kan geven aan een bepaalde AVG verplichting, zoals bijvoorbeeld in het geval van het BSN (nationaal identificatienummer (AVG Artikel 87)): “De lidstaten kunnen de specifieke voorwaarden voor de verwerking van een nationaal identificatienummer of enige andere identificator van algemene aard nader vaststellen”.