Van fototoestel tot online data: hoe privacywetgeving steeds belangrijker werd

Hieronder leest u in vogelvlucht hoe de privacywetgeving en de AP zijn ontstaan. Zoekt u een stap-voor-stap tijdlijn? Lees dan de volledige, uitgebreide versie van dit verhaal: Geschiedenis van de privacywetgeving en de AP

Tegenwoordig heeft bijna iedereen een smartphone met prima camera, maar in 1888 kwam het eerste draagbare fototoestel op de markt. Dat zorgde voor een flinke verandering, want plots kon iedereen overal en altijd foto’s maken.

Interessant voor de roddelpers, maar willen ‘we’ dat als maatschappij ook? Het antwoord van de Amerikaanse juristen Warren en Brandeis was duidelijk: nee. Zij maakten in 1890 de eerste definitie van privacy: ‘the right to be let alone’. Oftewel het recht om met rust gelaten te worden.

Privacy als mensenrecht

Het belang van privacy –  en dan specifiek de bescherming van persoonsgegevens – werd aangetoond door de Tweede Wereldoorlog. Dankzij de uitstekende bevolkingsregisters kon de bezetter heel makkelijk specifieke bevolkingsgroepen opsporen. Om herhaling te voorkomen, waren veel landen het erover eens dat de persoonsgegevens van mensen beter moesten worden beschermd.

De massale schendingen van grondrechten in de oorlog hebben ertoe geleid dat er steviger afspraken zijn gemaakt over mensenrechten, ook over het privéleven:

• 1948: De Verenigde Naties (VN) legden het recht op privacy vast in de Universele Verklaring van de Rechten van de Mens (UVRM).
• 1950: In Europa volgde het Europees Verdrag voor de Rechten van de Mens (EVRM). Ook hierin is privacy een fundamenteel recht.

Deze verklaring en dit verdrag zijn de basis van bijna alle latere privacywetten. Toch bleven ze vrij algemeen.

1950: Europees Verdrag voor de Rechten van de Mens (EVRM) maakt van privacy een fundamenteel recht.

De invloed van computers

De komst van computers veranderde veel. Bedrijven en overheden konden ineens grote hoeveelheden persoonsgegevens verzamelen en verwerken. Zoals belastinggegevens, klantenbestanden en ledenlijsten.

Dat was een nieuwe ontwikkeling die tot zorgen leidde, omdat er nog geen duidelijke regels waren voor het aanleggen van gegevensbestanden op zo’n grote schaal. Wie mag welke gegevens verzamelen? En wat mogen ze ermee doen? Er ontstond behoefte aan een nieuw fundamenteel recht: het recht op bescherming van persoonsgegevens, als onderdeel van het bredere recht op privacy.

In 1973 werd een eerste stuk van het antwoord gegeven. De Raad van Europa schreef aanbevelingen voor hoe persoonsgegevens beschermd moeten worden. Daarin staat bijvoorbeeld dat je alleen gegevens mag verzamelen als je weet waarvoor je ze nodig hebt. Dit idee komt duidelijk terug in latere privacywetgeving. 

Regels opstellen is een, ervoor zorgen dat iedereen de regels volgt is twee. De eerste aanzet hiervoor kwam in 1981. Toen werd het Europese Dataprotectieverdrag aangenomen. Voor het eerst kwamen er concrete regels voor het beschermen van gegevens, met een oproep om toezicht en handhaving te regelen. Dit verdrag heeft de basis gelegd voor de Europese gegevensbescherming.

1981: Het Europese Dataprotectieverdrag geeft concrete regels voor het beschermen van persoonsgegevens. Dit verdrag is op 28 januari 1981 ondertekend. Daarom is 28 januari uitgeroepen tot de Europese Dag van de Privacy.

Privacy als grondrecht in Nederland

In Nederland ontstond de wens om privacy extra te beschermen in de Grondwet. Sinds 1848 hebben we al regels voor het gelijk behandelen van burgers, maar die regels hielden geen rekening met digitale verwerking van persoonsgegevens.

In 1983 wordt het recht op privacy een officieel grondrecht dankzij artikel 10 van de Nederlandse Grondwet. Werk aan de winkel voor de regering, want er moesten ook regels komen voor de bescherming van persoonsgegevens.

Dat gebeurde voor het eerst in 1989, met de Wet persoonsregistraties (Wpr). Dit is de eerste algemene Nederlandse privacywet. Voor onafhankelijk toezicht en handhaving werd de Registratiekamer opgericht, een voorloper van de Autoriteit Persoonsgegevens (AP).

1983: Nederlandse Grondwet maakt van privacy een grondrecht.

Europa trekt een lijn

Binnen de Europese Unie (EU) maakten landen destijds verschillende nationale wetten voor het beschermen van privacy. Dat was onhandig voor bedrijven, overheden en burgers. Daarom probeerde de EU een lijn te trekken.

Het startschot werd gegeven in 1995. Dankzij de eerste EU-privacyrichtlijn (95/46/EG) moesten alle EU-lidstaten hun nationale wetten aanpassen. In de richtlijn staat bijvoorbeeld dat elke lidstaat een toezichthoudende autoriteit moet benoemen. Nederland implementeerde de richtlijn in 2001 met de Wet bescherming persoonsgegevens (Wbp).

1995: Richtlijn voor bescherming van persoonsgegevens, de eerste privacywet in de EU.

De Registratiekamer veranderde in het College bescherming persoonsgegevens (CBP). Het CBP kreeg meer mogelijkheden om ervoor te zorgen dat iedereen zich aan de wet hield, zoals het opleggen van een last onder dwangsom of een bestuurlijke boete.

De volgende mijlpaal was op 1 december 2009. Toen ging het Handvest van de Grondrechten van de EU in. Dit zorgde ervoor dat de bescherming van persoonsgegevens een zelfstandig grondrecht werd in de hele EU. In Het Handvest staat ook dat lidstaten een onafhankelijke autoriteit moeten hebben die toeziet op de regels, oftewel een privacytoezichthouder. Verder zorgt het Handvest ervoor dat de taken van de toezichthouder in de constitutie van de EU zijn vastgelegd. Dit betekent dat EU-lidstaten niet zomaar kunnen besluiten om hiermee te stoppen.

2009: Handvest van de Grondrechten van de EU, dat van de bescherming van persoonsgegevens een zelfstandig grondrecht maakte. En bepaalt dat een onafhankelijke autoriteit moet toezien op naleving van deze regels. Het Handvest ging in op 1 december 2009.

De grote stap: de AVG en de RGR

Maar wat houdt dat grondrecht precies in, en hoe zorg je ervoor dat iedereen zich eraan houdt? Daarvoor zijn uitleg, handhaving en toezicht nodig. Dat is makkelijker gezegd dan gedaan, want EU-lidstaten hadden verschillende wetten voor privacy en bescherming van persoonsgegevens. Deze regels sloten bovendien niet op elkaar aan. Het ene land had dus strengere privacyregels dan het andere.

Dat veranderde door de Algemene verordening gegevensbescherming (AVG) en de Richtlijn gegevensbescherming bij rechtshandhaving (RGR). De RGR is een speciale richtlijn voor gegevensbescherming door autoriteiten die zijn belast met rechtshandhaving, waaronder politie en justitie.

Sindsdien geldt er 1 set regels voor de hele EU. Dat maakt het voor bedrijven, de overheid en burgers duidelijker wat wel en niet mag, waar je ook in de EU bent. De AVG en de RGR werden op 25 mei 2018 van toepassing en vormen samen de belangrijkste wetgeving voor bescherming van persoonsgegevens in de EU.

2018: AVG en RGR, waardoor in de hele EU dezelfde wetgeving voor bescherming van persoonsgegevens geldt. Op 25 mei 2018 werden de AVG en de RGR van toepassing. De RGR moesten landen zelf omzetten in nationale wetgeving.

Op 25 mei 2018 werd de Autoriteit Persoonsgegevens (AP) de officiële onafhankelijke toezichthouder op de AVG, de Uitvoeringswet AVG (UAVG) en de RGR. De AP is de opvolger van het CBP.

Als toezichthouder zorgt de AP ervoor dat iedereen zich houdt aan de AVG en de RGR. En dat persoonsgegevens rechtmatig, behoorlijk en transparant worden verwerkt. En dus bijvoorbeeld ook niet op een discriminatoire wijze. We beantwoorden vragen van burgers en organisaties, doen onderzoek naar klachten en kunnen, als het nodig is, handhaven. Bijvoorbeeld door een boete op te leggen. Ook toetsen we nieuwe wetten en regels die gaan over de verwerking van persoonsgegevens.