Privacy  

Antwoord kamervragen over een uitspraak van het Europese Hof van de Rechten van de Mensen over de opslag van vingerafdrukken, Aanhangsel van de Handelingen 2012/13, nr. 2245.
Zie EHRM in de zaak M. K. c. FRANCE (Requête no 19522/09,  IT 1119). Het arrest heeft geen gevolgen voor de Nederlandse geldende regelgeving en praktijk, reeds omdat op grond van het Besluit identiteitsvaststelling verdachten en veroordeelden, de vingerafdrukken van de verdachte na een vrijspraak of sepot worden vernietigd.

Vraag 2 en 3 - Raakt deze uitspraak de Nederlandse wetgeving en praktijk van het afnemen en opslaan van vingerafdrukken? Zo ja, op welke wijze en met welke gevolgen? Zo nee, waarom niet? Acht u het in het licht van deze uitspraak mogelijk dat ook Nederland in de afweging van publieke belangen, zoals het bestrijden van criminaliteit enerzijds en de particuliere belangen van de bescherming van de persoonlijke levenssfeer anderzijds, bij het opslaan van vingerafdrukken de grens van de «margin of appreciation» van artikel 8 van het Europees Verdrag van de Rechten van de Mens en de Fundamentele Vrijheden (EVRM) overschrijdt? Zo ja, op welke wijze? Zo nee, waarom niet?

Antwoord 2 en 3
In het arrest van het Europees Hof voor de Rechten van de Mens (verder: EHRM) van 18 april 2013, nr. 19522/09 (M.K. tegen Frankrijk) stond de regeling voor het bewaren van vingerafdrukken in Frankrijk centraal. In Frankrijk werden ook de vingerafdrukken van personen die zijn vrijgesproken of ontslagen van alle rechtsvervolging of wiens zaak was geseponeerd bewaard. Ook de vingerafdrukken van de klager werden, na een vrijspraak en een sepot voor twee diefstallen, bewaard. Het EHRM acht de toepassing van de Franse bewaarregeling in dit geval niet proportioneel en daarmee in strijd met artikel 8 EVRM.
Het arrest heeft geen gevolgen voor de Nederlandse geldende regelgeving en praktijk, reeds omdat op grond van het Besluit identiteitsvaststelling verdachten en veroordeelden de vingerafdrukken van de verdachte na een vrijspraak of sepot worden vernietigd.

Vraag 4
In hoeverre is deze uitspraak van belang bij uw toezegging gedaan bij het debat in de Eerste Kamer d.d. 9 april 2013 over het wetsvoorstel Herziening ten nadele (32 044)2 om die wet zodanig aan te passen dat «in gevallen waarin naar het oordeel van het OM vaststaat dat de vrijgesproken persoon het misdrijf onmogelijk kan hebben begaan, zijn gegevens niet zullen worden bewaard»? Kan deze uitspraak ook betekenen dat vingerafdrukken van geen enkele vrijgesproken persoon nog bewaard mogen worden? Zo ja, wat betekent dat voor de werking van de Wet herziening ten nadele? Zo nee, waarom niet?

Antwoord 4
Uit het arrest kan niet worden afgeleid dat de vingerafdrukken van vrijgesproken personen nimmer mogen worden bewaard. Het EHRM noemt in het arrest enkele factoren op basis waarvan hij («en conclusion») tot het oordeel komt dat de toepassing van de Franse bewaarregeling in de zaak van de klager niet proportioneel is. Een van die factoren is dat die regeling in het geheel geen onderscheid maakt tussen gegevens van veroordeelden en personen die, zoals de klager, zijn vrijgesproken (paragraaf 42). Een andere factor is dat de regeling niet uitsluit dat vingerafdrukken ook worden bewaard bij vrijspraken voor lichte strafbare feiten (paragraaf 41). In de voorgenomen bewaarregeling, die ter uitvoering van de Wet herziening ten nadele zal worden getroffen, zullen echter verschillende beperkingen worden opgenomen die bij veroordeelden niet zijn voorzien. De belangrijkste beperking is dat vingerafdrukken van vrijgesproken personen alleen – en in opdracht van de rechter-commissaris – voor een eventuele herziening ten nadele kunnen worden gebruikt. Zij zullen daartoe in de databank voor vingerafdrukken afgeschermd worden bewaard. Zij kunnen, anders dan bij vingerafdrukken van veroordeelden het geval is, dus niet worden gebruikt in andere strafzaken. Bovendien zullen vingerafdrukken alleen worden bewaard bij vrijspraken of een ontslag van alle rechtsvervolging voor misdrijven waarbij herziening ten nadele op grond van een novum mogelijk is. Er worden dus geen vingerafdrukken bewaard in geval van lichte strafbare feiten. Om deze redenen meen ik dat artikel 8 EVRM, zoals uitgelegd in het arrest, niet aan de voorgenomen bewaarregeling in de weg staat.
Uit mijn toezegging aan de Eerste Kamer, waaraan in de vraagstelling wordt gerefereerd, vloeit voort dat in de bewaarregeling een extra beperking zal worden opgenomen. Deze houdt in dat vingerafdrukken van vrijgesproken personen niet zullen worden bewaard wanneer naar het oordeel van het openbaar ministerie vaststaat dat de vrijgesproken persoon het misdrijf onmogelijk kan hebben begaan. Deze extra waarborg kan slechts bijdragen aan het oordeel dat de voorgenomen bewaarregeling proportioneel is in het licht van artikel 8 EVRM, doordat zij bewaring van vingerafdrukken uitsluit wanneer het doel van de regeling daarmee niet kan worden bereikt.

Een redactionele bijdrage van Sil Kingma, SOLV Samen.

Onlangs heeft Stichting Brein de rechter gevraagd om ING te gebieden om de NAW-gegevens van gevolmachtigden op een bepaalde bij ING aangehouden rekeningnummer te verstrekken [red. IEF 12670]. Brein is bekend geraakt met het rekeningnummer omdat hiernaar op een website van FTD World, de vermeende inbreukmakende partij, wordt verwezen. Voor een volledige uiteenzetting van het feitencomplex verwijs ik graag naar een eerdere bijdrage van mijn collega Caroline de Vries.

Volgens de rechter kan de vordering van Brein worden toegewezen indien voldoende aannemelijk is dat ING onrechtmatig handelt ten opzichte van Brein. Bij beantwoording van deze vraag komt het volgens de rechter neer op een afweging van de wederzijdse belangen. ING dient zich de privacybelangen van haar klanten aan te trekken. Het belang van Brein is erin gelegen dat zij dient op te treden tegen auteursrechtinbreuken ten behoeve van bij haar aangesloten rechthebbenden, aldus de rechter.

Geen wettelijke verstrekkingsplicht
In mijn bijdrage “De botsing tussen IE- en privacyrechten. Het einde van het Lycos/Pessers-tijdperk” in het tijdschrift Privacy & Informatie, heb ik al eens betoogd dat een rechter in een geval als het onderhavige - waarbij NAW-gegevens bij een derde worden gevorderd door een auteursrechthebbende – helemaal niet behoort toe te komen aan een belangenafweging. Op grond van Europese privacyregelgeving is voor honorering van een verzoek als in het onderhavige geval een specifieke wettelijke regeling vereist, die momenteel in de Nederlandse wetgeving ontbreekt. Alleen al om die reden had de rechter de vordering van Brein moeten afwijzen.

Doelbindingsbeginsel uit de Wbp
Daar komt bij dat de rechter, evenals de betrokken partijen, bij het afwegen van de wederzijdse belangen de relevante privacywetgeving – met name de Wet bescherming persoonsgegevens (hierna: "Wpb") - onjuist lijkt te hebben toegepast. Ter toelichting op dit standpunt het volgende.

De Wbp waarborgt het recht op eerbiediging van het recht op bescherming van de persoonlijke levenssfeer, met name met betrekking tot de geautomatiseerde verwerking van persoonsgegevens. Artikel 7 van de Wbp regelt dat persoonsgegevens van individuen alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden mogen worden verzameld. Deze doeleinden moeten bepalen welke persoonsgegevens worden verzameld, hoe ze mogen worden gebruikt en aan wie ze mogen worden verstrekt. Voor een rechtmatige verwerking van persoonsgegevens dienen ze bovendien vooraf aan de betrokken personen te zijn gecommuniceerd.

Het doelbindingsbeginsel (artikel 9 Wbp) schrijft voor dat een Verantwoordelijke, in dit geval ING, persoonsgegevens niet verder mag verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ze zijn verkregen. Persoonsgegevens worden doorgaans door particulieren aan bank verstrekt met het doel een rekening te openen en/of andere financiële diensten af te nemen en niet met het doel om een bank in staat te stellen deze persoonsgegevens aan (derden) auteursrechthebbenden te verstrekken.

Een ander doel waarvoor ING blijkens het door haar gehanteerde privacystatement persoonsgegevens verzamelt, is om aan wettelijke verplichtingen te voldoen. Onder een wettelijke verplichting valt ieder wettelijk voorschrift. Zowel een wet in formele als een wet in materiële zin valt hieronder. Maar ook rechtstreeks werkende verdragsbepalingen.

Een bepaling op basis waarvan een bank gehouden kan worden om aan een auteursrechthebbende NAW-gegevens van mogelijk inbreukmakend handelende klanten te verstrekken, ontbreekt hier ter lande. Brein zou derhalve niet succesvol kunnen betogen dat het ING op basis van dit doel vrijstaat om de persoonsgegevens van de inbreukmakers aan haar te verstrekken. Ook de overige in het door ING gehanteerde privacystatement opgenomen doeleinden bieden geen rechtvaardigingsgrond voor inwilliging van de door Brein ingestelde vordering.

Het behoeft dan ook geen nader betoog dat honorering van het verzoek van Brein door ING, onvermijdelijk tot gevolg zal hebben dat ING persoonsgegevens zal verwerken op een wijze die onverenigbaar is met de doeleinden waarvoor ING ze heeft verzameld. In dat geval zou ING onvermijdelijk in strijd handelen met het doelbindingsbeginsel.

Nuance tussen artikel 8 en 43 Wbp
Het voorgaande neemt niet weg dat de rechter - met partijen - er vanuit gaat dat het doelbindingsbeginsel met een beroep op artikel 8 (f) van de Wbp aan de kant kan worden geschoven. Dit ten onrechte.

Artikel 8 Wbp versterkt uitsluitend en limitatief de rechtvaardigingsgronden op basis waarvan een Verantwoordelijke persoonsgegevens voor door hem vooraf welbepaalde doeleinden mag verzamelen en verder mag verwerken. Als gezegd is het verstrekken van persoonsgegevens aan een derde auteursrechthebbende niet een dergelijk vooraf vastgesteld en aan de rekeninghouder gecommuniceerd doel. Een inbreuk op het doelbindingsbeginsel van artikel 9 van de Wbp is daarom niet te rechtvaardigen met een beroep op artikel 8 (f) van de Wbp.

Volgens mij is een schending van artikel 9 Wbp door een Verantwoordelijke enkel toegestaan op basis van een beperkt aantal in artikel 43 van de Wbp opgenomen zwaarwegende belangen. De bescherming van degene waarvan persoonsgegevens worden verwerkt en van de rechten en vrijheden van anderen, is daar een van. Een ander belang is bijvoorbeeld de staatsveiligheid.

Brein had zich derhalve met een beroep op artikel 43 Wbp op het standpunt kunnen stellen dat het ING is toegestaan om het doelbindingsbeginsel te doorbreken. Als zwaarwegend belang had Brein de bescherming van de rechten van anderen, te weten de auteursrechten van de rechthebbenden die zij vertegenwoordigt, kunnen opvoeren.

Conclusie
Concluderend staat wat mij betreft vast dat niet artikel 8 (f) Wbp, maar enkel artikel 43 Wbp een grondslag voor een geoorloofde schending van het in artikel 9 Wbp neergelegde doelbindingsbeginsel kan bieden. Of het bewandelen van de route via artikel 43 Wbp in het onderhavige geval tot een andere uitspraak zou moeten leiden, is maar de vraag.. Zoals eerder aangegeven, lijkt de afwezigheid van een specifieke wettelijke bepaling die een auteursrechthebbende het recht verleent om NAW-gegevens bij derden op te vragen, hieraan in de weg te staan.

Sil Kingma
SOLV Samen

CBP, CBP adviseert over brief- en telecommunicatiegeheim in Grondwet, adviesdatum 11 februari 2013, CBPWeb.nl.
Uit't persbericht: Het College bescherming persoonsgegevens (CBP) heeft geadviseerd over het conceptwetsvoorstel tot aanpassing van artikel 13 van de Grondwet (brief-, telefoon- en telegraafgeheim) aan de condities van de huidige tijd. Dit artikel zal voortaan ook gelden voor digitale communicatiemiddelen. Het aldus voorgestelde brief- en telecommunicatiegeheim richt zich primair tegen (heimelijke) inzage in de inhoud van communicatie door de overheid. Het CBP heeft bezwaar tegen het wetsvoorstel en adviseert het niet in de huidige vorm in te dienen.

In hoofdpunten:
Verkeersgegevens
In de toelichting bij het wetsvoorstel wordt aangegeven dat verkeersgegevens (informatie over de communicatie, zoals wanneer en hoe lang iemand heeft gebeld of geïnternet) niet primair tot het belang behoren dat artikel 13 van de Grondwet beoogt te beschermen, omdat zij niet de inhoud van de communicatie weergeven.
 
In het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM) en het Unierecht wordt niet op deze manier onderscheid gemaakt tussen verkeersgegevens en de communicatie-inhoud. Verkeersgegevens kunnen ook veel over iemand zeggen. Bij nieuwe communicatiemiddelen is het moeilijk een (technische) scheiding aan te brengen tussen verkeersgegevens en inhoud van de communicatie. Daarom adviseert het CBP nadere aandacht te besteden aan de reikwijdte van artikel 13.
 
Informed consent
Het CBP adviseert de passages over zogeheten informed consent in de toelichting bij het wetsvoorstel zodanig aan te passen dat alle drie de voorwaarden voor een geldige toestemming voor de gegevensverwerking op grond van de Wet bescherming persoonsgegevens (vrij, specifiek en geïnformeerd) worden genoemd.
 
Beperkingensystematiek Grondwet
De memorie van toelichting laat ruimte voor de mogelijkheid dat de burger minder bescherming kan ontlenen aan het voorgestelde artikel 13 van de Grondwet dan aan artikel 8 van het EVRM. Dat heeft te maken met de ruimere mogelijkheden in artikel 13 tot beperking van het grondrecht. Deze keuze is onvoldoende gemotiveerd, aldus het CBP.
 
Bescherming persoonsgegevens in randapparatuur
Gegevens opgeslagen in randapparatuur, zoals een computer of smartphone, worden niet beschermd in het voorgestelde artikel 13 van de Grondwet. Het CBP adviseert ook deze gegevens onder de bescherming van artikel 13 te laten vallen.

B. van der Sloot, De nieuwe consumentenrechten in de Algemene verordening gegevensbescherming: vergeten worden, dataportabiliteit en profilering, Tijdschrift voor Consumentenrecht en handelspraktijken 2012-6, p. 250-259.
De Europese Dataprotectierichtlijn stelt regels ten aanzien van de verwerking van persoonsgegevens. Anders dan het recht op privacy ziet het gegevensbeschermingsrecht niet zozeer op restricties, maar op waarborgen door middel van de codificatie van algemene zorgvuldigheidsnormen, en niet op de relatie tussen staat en burger,maar op die tussen burgers en bedrijven onderling. In januari 2012 is er een voorstel gedaan voor een Algemene verordening gegevensbescherming, die de richtlijn uit 1995 op termijn zal moeten vervangen. De verordening speelt onder meer in op het digitale tijdperk en de snelgroeiende internetdiensten. De verordening zet daarbij in op een vergroting van de handhavende rol van de staat en op concrete rechten van de consument, zoals het recht om vergeten teworden, het recht op dataportabiliteit en het recht op bescherming tegen profilering. Dit artikel belicht de belangrijkste wijzigingen onder de verordening,analyseert de nieuw toegekende consumentenrechten en beoordeelt in hoeverre de verordening consumenten in het digitale tijdperk een adequate bescherming zal bieden.

Lees verder

SCL The IT Law Community bericht: The EU data protection authorities are keen to see clear limits established on profiling and have published an advice paper on the topic.

In the latest input to the data protection reform discussions, the Article 29Working Party has published an advice paper on profiling, setting out some further guidance and indicating a preferred definition.

The Working Party believes that connecting personal data to create and use profiles has become an important challenge for individuals' rights and freedoms. Profiling is seen by them as enabling companies and public authorities to determine, analyze or predict peoples' personality or aspects of their personality – especially their behaviour, interests and habits. Furthermore, the Article 29 Working Party are concerned that people understand little about profiling and usually do not know to what extent they are being profiled.

Lees verder

B. van der Sloot, Tussen beeld en werkelijkheid: het verschil tussen de traditionele kartografie en Google Street View, Geo-Info 2013-3, p. 4-6.
Middels een 360 graden horizontaal en 290 graden verticaal panoramisch zicht kunnen gebruikers van de Google Street View rondlopen door de door hen aangeklikte straten en inzoomen op details in het beeld dat is gebaseerd op foto’s. Dit wijkt op een fundamentele wijze af van de tot nu toe gangbare vormen van kartografie, die doorgaans een extract van de werkelijkheid vormen en een presentatie geven op grond van bewust gekozen selecties. Het weergeven van het leven op straat in al zijn detail levert een flink aantal vragen op, waaronder de vraag naar de bescherming van de persoonlijke levenssfeer.

Lees verder

CBP, Advies concept wetsvoorstel Basisregistratie Ondergrond, z2012-00836, CBPWeb.nl
Uit't persbericht: Het ministerie van Infrastructuur en Milieu heeft het College bescherming persoonsgegevens (CBP) om advies gevraagd over het conceptwetsvoorstel betreffende de basisregistratie ondergrond. In deze registratie staan gegevens over de geologische en bodemkundige opbouw van de ondergrond, de ondergrondse infrastructuur en de gebruiksrechten in relatie tot de ondergrond. Een aantal van deze gegevens zijn persoonsgegevens, zoals de gegevens van een natuurlijke vergunninghouder van gebruiksrechten. Het CBP heeft enkele opmerkingen bij het conceptwetsvoorstel en adviseert de minister daaraan op passende wijze aandacht te schenken.

Doel en verstrekking van gegevens
Het CBP adviseert onder meer om de twee doelomschrijvingen van de basisregistratie ondergrond aan te passen. Persoonsgegevens mogen alleen worden verzameld voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden.

Invoering basisregistratie ondergrond
Met het oog op een doelmatige informatievoorziening in de publieke sector werkt de overheid aan een stelsel van basisregistraties. Een basisregistratie fungeert voor bestuursorganen als unieke bron van essentiële gegevens. Het kabinet heeft op 12 december 2008 besloten tot de invoering van de basisregistratie ondergrond. Deze basisregistratie wordt samengesteld uit reeds bestaande registraties.

Verwerking en bescherming persoonsgegevens; Brief regering; Rapportage 1e kwartaal 2013 EU-regelgeving gegevensbescherming, Kamerstukken II 2012/13, 32 761, nr. 48.
Een artikelsgewijze bespreking van en de Nederlandse standpunten op diverse bepalingen rondom het toezichthouderschap, bestuursrechtelijke boete (artikel 79) en de bepalingen over de bijzondere gegevensverwerkingen (artikelen 80 tot en met 85), en geclusterd: het klachtrecht, het aansprakelijkheidsrecht en de sanctionering; uitwerking door de Raadswerkgroep van het thema "risico-georiënteerde benadering". Een vergadering over het thema "flexibiliteit voor gegevensverwerking in de publieke sector".

Een selectie: Artikel 46 voorziet in de verplichting van de lidstaten om een onafhankelijke toezichthouder in te stellen. Nederland stelt daarbij de vraag of dit artikel uitsluit dat meer dan één toezichthouder kan worden ingesteld, zodat de bestaande situatie kan worden gehandhaafd, waarbij het College bescherming persoonsgegevens (Cbp) en de Onafhankelijke Post- en Telecommunicatieautoriteit (OPTA) beiden taken vervullen voor de handhaving van de bescherming van persoonsgegevens. De verordening sluit dat niet uit, zo blijkt uit de behandeling.

In artikel 47 is de onafhankelijke positie van de toezichthouder gegarandeerd. Inzake art. 47, lid 5, spreekt het wat Nederland betreft voor zich dat elke lidstaat gehouden is de toezichthouder op redelijke en evenredige wijze in staat te stellen zijn taken en bevoegdheden onder de verordening en nationaal recht uit te kunnen oefenen. Nederland komt die verplichting na.

Artikel 48 bevat de algemene bepalingen voor de benoeming van leden van de toezichthouders. Nederland acht artikel 48, lid 2, dat kwaliteitseisen bevat voor deze leden te onbepaald.

De artikelen 49 en 50 bevatten bepalingen over, respectievelijk, de inrichting van de nationale instellingswet en het ambtsgeheim voor de toezichthouder. Deze bepalingen gaven geen aanleiding voor een interventie.

In artikel 51 is de belangrijke regeling van de bevoegdheid van toezichthouders in de EU neergelegd. Hoofdregel is dat de toezichthouder op het eigen territoir de bevoegdheden uitoefent, maar dat bij grensoverschrijdende aspecten de toezichthouder bevoegd is van de lidstaat waar de hoofdvestiging van de verantwoordelijke is gevestigd. Deze bepaling is in het concept van de verordening zeer belangrijk. De bepaling geeft echter ook aanleiding tot zeer veel vragen. Nederland stemt in met het one stop shop-principe, maar heeft nog wel de nodige vragen bij de invulling daarvan.

De eerste vraag van Nederland bij art. 51, lid 2, is wat het verwerken van persoonsgegevens in het kader van een vestiging betekent. De vraag is dus of er ook verwerkingen buiten het kader van een vestiging kunnen worden verricht. Het is immers zo dat iedereen uiteindelijk wel ergens gevestigd is, ook al worden data door de verantwoordelijke feitelijk mobiel verwerkt. De tweede vraag van Nederland is of het criterium van de hoofdvestiging dat gedefinieerd is in artikel 4, onder 13, van de verordening in de praktijk niet voor bijzonder veel interpretatieproblemen kan zorgen. Wanneer de plaats waar de beslissingen worden genomen verschilt van de plaats waar een eventuele centrale verwerking plaatsvindt, kan dat lastig te bepalen zijn. De derde vraag van Nederland is of de keuze van de hoofdvestigingsregel niet voor nodeloos veel problemen zal zorgen. Het is ogenschijnlijk aantrekkelijk voor bedrijven, die met één vaste toezichthouder te maken hebben, maar onaantrekkelijk voor betrokkenen die zich tot een buitenlandse toezichthouder moeten richten, als ze feitelijk al kunnen begrijpen dat dit de bedoeling is. Daarin ligt het gevaar dat dit leidt tot een overvraging van de nationale toezichthouder waartoe betrokkenen zich dan zullen moeten richten.

Verder is het een redelijk belang van de toezichthouders om zonder middeling van de EDPB te kunnen zien wat zich aan gegevensbeschermingszaken op het eigen grondgebied afspeelt. Een alternatief is dan om de nationale toezichthouder algemeen bevoegd te maken voor elke verwerking die op het grondgebied van de nationale staat plaatsvindt te regelen, waarna bij bestaande grensoverschrijdende aspecten het consistency mechanisme moet worden geadresseerd met het doel een "lead authority" aan te wijzen die in het vervolg als enig contactpunt voor verantwoordelijke en betrokkenen kan fungeren, zo hebben vele lidstaten, en ook Nederland, voorgesteld. In dit verband verdient ook artikel 73 aandacht, omdat het om dezelfde redenen niet wenselijk is dat elke betrokkene in elke lidstaat naar elke toezichthouder mag gaan om daar elke klacht in te dienen.

Column ingezonden door Menno Weij, SOLV.

Waarom de politieke vrees voor de Patriot Act ongegrond is.

Recent was er weer politieke ophef over de Amerikaanse Patriot Act en het, als gevolg van die Act, door de Amerikaanse overheid – beweerdelijk! – kunnen graaien naar data en persoonsgegevens van Nederlanders.

Ditmaal ontstond de ophef in het kader van eID, de nieuwe elektronische identiteitskaart die DigiD moet gaan opvolgen. De Tweede Kamer had tijdens een debat over eID aan Minister Plasterk gevraagd te onderzoeken of de Rijksoverheid Amerikaanse bedrijven mag uitsluiten van aanbestedingen. Met name D66 wees er in dat verband op dat er geen privégegevens van Nederlanders zouden mogen weglekken naar de Verenigde Staten.

Tijdens het debat werd (weer) duidelijk: politiek Den Haag vreest de Patriot Act, want die zou opsporingsdiensten carte blanche geven om vrijelijk naar u en mijn data te graaien. Minister Plasterk vroeg de landsadvocaat vervolgens om een spoedadvies, namelijk mag de Staat bij een Europese aanbestedingsprocedure een bedrijf uitsluiten om de enkele reden dat het een Amerikaanse onderneming betreft.

Het antwoord van de landsadvocaat (brief van 15 april jl.) laat zich natuurlijk raden. Nee, de Staat kan een bedrijf niet zomaar uitsluiten om de enkele reden dat het een Amerikaan is. Belangrijkste argumenten daarvoor zijn dat Nederland en de VS beide (i) lid zijn van de Wereldhandelsorganisatie (WTO), en (ii) partij zijn bij de WTO-overeenkomst inzake overheidsovereenkomsten (de zogenaamde Agreement on Government Procurement (“GPA”)).

De GPA stelt met zoveel woorden dat alle bij de overeenkomst betrokken landen, op dezelfde wijze deel dienen kunnen te nemen aan aanbestedingen wanneer de desbetreffende aanbesteding onder de reikwijdte van de GPA valt (voor de liefhebber: zie in dat verband overweging 7 bij Richtlijn 2004/18/EG). De landsadvocaat geeft daarbij aan dat de GPA niet alleen geldt voor zuiver Amerikaanse bedrijven, maar ook voor Europese bedrijven met een Amerikaanse aandeelhouder. Kortom, een Amerikaanse (dochter-)onderneming moet dus op gelijke voet worden behandeld.

Er is overigens meer aan te voeren tegen het uitsluiten van Amerikaanse bedrijven bij aanbestedingen. In mijn optiek zou het algemene non-discriminatieverbod eraan in de weg kunnen staan. Ook maakt Nederland gebruik van het zogenaamde gesloten stelsel van uitsluitingsgronden, en dit stelsel laat zich hiermee ook niet al te gemakkelijk verenigen. De Staat mag trouwens wel typisch “Nederlandse” eisen stellen aan de aanbesteding van eID, zoals de eis van Nederlandstalige gebruiksdocumentatie en de eis dat de helpdesk de Nederlandse taal spreekt.

Het is mij onduidelijk waar de politieke vrees voor de Patriot Act en het fenomeen datagraaien vandaan komt in het licht van eID. Toegegeven, de precieze reikwijdte van de Patriot Act is nog niet geheel duidelijk (zie daarvoor ook mijn vorige column), maar er moet wel iets serieus aan de hand zijn wil de Amerikaanse overheid gegevens kunnen opvragen onder de Patriot Act. Het beeld dat er maar vrijelijk in gegevens kan worden gesnuffeld door Amerikaanse opsporingsinstanties, is dus onjuist.(En laten we niet vergeten dat Nederland op dit punt ook een flinke reputatie heeft opgebouwd, onder andere als koploper heimelijk aftappen.)

Bovendien, bij louter de ontwikkeling van het eID-systeem, speelt het probleem überhaupt niet. Gedurende de ontwikkeling worden er nog helemaal geen privégegevens verwerkt in eID; hooguit testdata. Het is dus wellicht de moeite waard voor de Staat om de mogelijkheid te onderzoeken om het project op te splitsen in de ontwikkeling en levering van het systeem enerzijds, en operationeel beheer, onderhoud en ondersteuning anderzijds (en ja, ik weet dat intellectuele eigendomsrechten daarbij een rol spelen).

Tenslotte kennen Nederland en Europa hun eigen privacy regime. Ook de Staat dient zich natuurlijk aan de regels omtrent verwerking van persoonsgegevens te houden. In zijn algemeenheid is er altijd de toets ‘wie verwerkt de persoonsgegevens, voor welke doeleinden en hoe lang worden gegevens bewaard’, en bovendien gelden er bijzondere, strenge regels voor de zogenaamde doorgifte van persoonsgegevens buiten Europa. De landsadvocaat lijkt hierop ook te zinspelen in zijn advies: “daarmee zeggen wij nog niets over de eventuele mogelijkheden (…) om te bereiken dat gecontracteerd wordt met een partij die de nationale en Europese privacyregels zal kunnen naleven”, maar haast zich eraan toe te voegen dat het “de rechter zal zijn die toetst of een gekozen maatregel juridisch toelaatbaar is.”

Het laatste woord over eID, privacy, datagraaien en de Patriot Act is ongetwijfeld nog niet gezegd, maar ik hoop wel dat de discussie in de juiste context zal worden gevoerd. Met name dat de politiek haar angst voor de Patriot Act en datagraaien door de Amerikaanse overheid laat varen, en kritisch kijkt naar onze eigen privacy regels.

Deze column is eerder gepubliceerd in AG.

Column ingezonden door Ruud Leether, Ministerie van Veiligheid & Justitie.

Ook de afgelopen weken was er weer het nodige te doen over de Patriot Act. Daarbij wees de Landsadvocaat er nog eens op dat Nederland en Amerika partij zijn bij de Government Procurement Agreement (GPA) en dat die overeenkomst er toe verplicht om ondernemingen die in een deelnemend land zijn gevestigd op gelijke voet aan aanbestedingen te laten deelnemen. Een terechte constatering waaraan hij een interessante opmerking toevoegde namelijk dat daarmee nog niets is gezegd over de mogelijkheden die aanbestedingsregels en GPA zouden kunnen bieden om te bereiken dat wordt gecontracteerd met een partij die de nationale en Europese privacyregels zal kunnen naleven. Daarmee gaf hij een even interessante als apocriefe opmaat voor een vervolgadvies. 

Gesteld dat Nederlandse overheden Amerikaanse bedrijven vanwege de Patriot Act problematiek van hun opdrachten zouden willen uitsluiten (zowel commercieel als kwalitatief zou dat wel eens onhandig kunnen zijn), wat moeten we ons dan bij die voorzet van de Landsadvocaat voorstellen ? Waar het hier vooral lijkt te gaan om een specifiek probleem m.b.t. de persoon van opdrachtgever, bestaan daarvoor verschillende mogelijkheden. Bijvoorbeeld in de vorm van een uitsluitingsgrond of een geschiktheidseis maar ook, al dan niet in “knock out” vorm, door een specifieke contractuele voorwaarde. Lidstaten mogen de in de wet opgesomde limitatieve uitsluitingsgronden echter alleen aanvullen als bij hun overheidsopdrachten wordt gewaarborgd dat het beginsel van gelijke behandeling van alle inschrijvers en het beginsel van transparantie in acht worden genomen en dat lijkt in dit geval niet aan de orde. Een specifieke op het naleven van privacyregels gerichte geschiktheidseis, is evenzeer lastig. Wat immers heeft naleving van privacyregels met technische, juridische, economische of beroepsbekwaamheid van een inschrijver te maken ? Ook een contractuele bepaling in de vorm van een garantie of minder vergaande verplichting, roept vragen op. Van een “level playing field” is dan geen sprake meer want Amerikaanse inschrijvers kunnen die garantie strikt genomen niet geven. Wie dat ruiterlijk toegeeft valt echter direct uit de boot of scoort minder punten. Maar waarom zou je ? Zo’n verplichting kan immers hooguit niet worden nagekomen als men inderdaad een Patriot Act vordering ontvangt. De kans daarop is, mogen we HP op het recente Patriot Act seminar van iBestuur geloven, echter nihil. Bovendien kan dan altijd nog worden geprobeerd die vordering met juridische middelen te blokkeren. Maar belangrijker nog, opdrachtgever komt meestal niet eens te weten dat wederpartij zo’n vordering heeft ontvangen om de simpele reden dat die daarover geen mededelingen aan wie dan ook mag doen.

Op de naleving van zo’n contractuele verplichting is in dit geval dus geen enkele controle mogelijk.
Zou een Amerikaanse onderneming die “tegen beter weten in” akkoord gaat met zo’n contractuele verplichting dan wellicht kunnen worden uitgesloten omdat aanbestedende diensten weten dat de werkelijkheid anders is ? Ook dat lijkt buitengewoon twijfelachtig. Zolang de inschrijver geen Patriot Act vordering heeft ontvangen, kan die een dergelijke garantie of andersoortige contractuele bepaling immers als ieder ander nakomen. Van een valse verklaring lijkt derhalve geen sprake en uitsluiting zou vrijwel zeker disproportioneel zijn.

Rest de vraag, hoe dan wel met deze problematiek om te gaan ? Ik zou menen door te beginnen met voor eens en altijd vast te stellen dat de Patriot Act geen Nederlands probleem is, laat staan een Nederlands aanbestedingsprobleem, maar een jurisdictieconflict tussen Amerika en de EU dat alleen op dat niveau kan worden opgelost. Het lijkt me bovendien slecht uit te leggen als Amerikaanse bedrijven in een Europese Unie met identieke privacy en aanbestedingsregels, alleen in Nederland de toegang tot de overheidsmarkt ontzegd zou worden. Met de erkenning dat niet alleen de oorzaak van het conflict maar ook de oplossing daarvan buiten Nederland ligt, kan een moeizame nationale aanbestedingsrechtelijke discussie als hiervoor bedoeld achterwege blijven. Net als het vervolgadvies van de Landsadvocaat …

Column is eerder gepubliceerd in AG.