Geschiedenis van de privacywetgeving en de AP
Privacy is een universeel mensenrecht, een fundamentele vrijheid en een grondrecht. Ook de bescherming van persoonsgegevens – onderdeel van het bredere begrip privacy – is een grondrecht. De uitgangspunten voor de grondrechten privacy en bescherming van persoonsgegevens zijn al tientallen jaren ongeveer hetzelfde. Onze privacywetgeving van nu is dan ook stevig geworteld in eerdere wet- en regelgeving. Hiervan heeft het Handvest van de grondrechten van de Europese Unie (EU) uit 2009 de meeste invloed gehad.
Op deze pagina
Bescherming van privacy
Wereldwijd bestaat het idee van ‘privacy’ al heel lang. Maar pas door de opkomst van fotografie en film kwam er echt aandacht voor bescherming van privacy. Vooral de ontwikkeling van het draagbare fototoestel in 1888 heeft hieraan bijgedragen.
Deze grotere aandacht voor privacybescherming leidde in 1890 tot een eerste juridisch getinte definitie van privacy: ‘the right to be let alone’, oftewel het recht om met rust gelaten te worden, van de Amerikaanse juristen Warren en Brandeis. Deze definitie is het startpunt geweest van privacywetgeving, eerst in de Verenigde Staten en later in Europa.
Privacy als mensenrecht
In 1798 zijn in Nederland voor het eerst de rechten van burgers vastgelegd in de Staatsregeling voor het Bataafsche volk, de eerste Nederlandse grondwet. In 1848 is onder Thorbecke de grondwet aangepast. Het non-discriminatiebeginsel ‘gelijke aanspraak op bescherming van persoon en goed’ is toen vastgelegd. Dit betekent dat iedereen gelijk moet worden behandeld.
Ook bestaan er al heel lang registraties van mensen, zoals kerkregisters van geboortes en huwelijken en bevolkingsregisters. In de Tweede Wereldoorlog bleek hoe eenvoudig het was om met die bevolkingsregisters joden op te sporen. Mede hierdoor zijn er na de oorlog meerdere verdragen met mensenrechten tot stand gekomen.
1948: Universele Verklaring van de Rechten van de Mens (UVRM)
In 1948 namen de Verenigde Naties (VN) de UVRM aan. Hierin staan de algemene beginselen van de mensenrechten. De UVRM vormt de basis voor mensenrechteninstrumenten van de VN en regionale organisaties als de Raad van Europa, de Organisatie van Amerikaanse Staten en de Afrikaanse Unie.
In artikel 12 staat het recht op privacy: “Niemand zal onderworpen worden aan willekeurige inmenging in zijn persoonlijke aangelegenheden, in zijn gezin, zijn tehuis of zijn briefwisseling, noch aan enige aantasting van zijn eer of goede naam. Tegen een dergelijke inmenging of aantasting heeft een ieder recht op bescherming door de wet.”
De UVRM heeft geen bindende kracht. Dit betekent dat landen niet verplicht zijn zich eraan te houden. Er werd wel afgesproken dat er naast de UVRM verdragen zouden komen met bindende verplichtingen. Dat zijn geworden het Internationaal Verdrag inzake burgerrechten en politieke rechten en het Internationale Verdrag inzake economische, sociale en culturele rechten, beide uit 1966.
1950: Europees Verdrag voor de Rechten van de Mens (EVRM)
Het EVRM van de Raad van Europa is gebaseerd op de UVRM. Ook het EVRM kent het recht op privacy. Dit is vastgelegd als fundamenteel mensenrecht in artikel 8: “Een ieder heeft het recht op respect voor zijn privéleven, zijn familie- en gezinsleven, zijn woning en zijn correspondentie.”
1966: Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR)
In 1966 namen de VN het IVBPR aan. Landen die meedoen aan het verdrag, zijn verplicht de mensenrechten te respecteren die in het verdrag staan.
In artikel 17 staat het recht op privacy: “Niemand mag worden onderworpen aan willekeurige of onwettige inmenging in zijn privéleven, zijn gezinsleven, zijn huis en zijn briefwisseling, noch aan onwettige aantasting van zijn eer en goede naam.”
In 1976 trad het IVBPR in werking. Dat betekent dat vanaf toen de landen die het IVBPR ondertekend hebben, zich eraan moeten houden. Het Mensenrechtencomité van de VN controleert of ze dat ook echt doen.
Recht op bescherming van persoonsgegevens
Door de komst van de computer werd het mogelijk om grote hoeveelheden persoonsgegevens automatisch te verwerken. Daardoor ontstond behoefte ontstond aan een nieuw recht: het recht op bescherming van persoonsgegevens.
Handhaving en toezicht
Handhaving en (het gebrek aan) toezicht zijn altijd de lastigste punten geweest van privacywetgeving. Het toezicht is in de loop van de tijd wel steeds strenger en beter geworden. Met de invoering van de AVG zijn de bevoegdheden van de privacytoezichthouders sterk toegenomen.
1973/1974: Resoluties Raad van Europa
In 1973 werd de Resolution on the protection of the privacy of individuals vis-a-vis electronic data banks in the private sector aangenomen (vrij vertaald: ‘Resolutie over de bescherming van de privacy van individuen ten opzichte van elektronische databanken in de particuliere sector’). En in 1974 de variant voor de publieke sector.
De uitgangspunten van deze resoluties zijn – hoewel ze minder uitgebreid zijn – in wezen dezelfde als van de AVG. Bijvoorbeeld artikel 2: “The information should be appropriate and relevant with regard to the purpose for which it has been stored.” Dit komt overeen met het principe van doelbinding uit de AVG.
Toezicht
In deze resoluties staat nog niets over toezicht op de naleving van de regels.
1981: Dataprotectieverdrag van de Raad van Europa
In 1981 werd het Verdrag tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens aangenomen. Dit verdrag wordt ook wel Verdrag van Straatsburg of Conventie 108 genoemd.
Het verdrag heeft de basis gelegd voor de Europese gegevensbescherming. Het is een uitwerking van het recht op eerbiediging van het privéleven uit artikel 8 van het EVRM. In het verdrag zijn de fundamentele privacyrechten concreter gedefinieerd dan in de resoluties van de Raad van Europa uit 1973/74.
Het Dataprotectieverdrag is op 28 januari 1981 ondertekend. In 2007 hebben de Raad van Europa en de Europese Commissie daarom 28 januari uitgeroepen tot de Europese Dag van de Privacy.
Toezicht
Voor het eerst is er een toevoeging over de handhaving van de regels. Dit is echter nog maar een eerste oproep tot een vorm van toezicht, die zeker niet juridisch dekkend is.
Privacy als grondrecht
In Nederland ontstond de wens om het recht op privacy te verankeren in de Grondwet. Dit kwam onder meer door commotie bij de volkstelling van 1971, een snelle groei in geautomatiseerde gegevensverwerking en een sterke uitbreiding en modernisering van de overheidsadministratie.
1983: Bescherming persoonlijke levenssfeer in de Nederlandse Grondwet
Sinds 1983 beschermt artikel 10, eerste lid, van de Grondwet het recht op eerbiediging van de persoonlijke levenssfeer. Tot 1983 werden alleen onderdelen van de persoonlijke levenssfeer – het briefgeheim en de onschendbaarheid van de woning – grondwettelijk beschermd. Dit is dus de eerste keer dat de bescherming van de persoonlijke levenssfeer uitdrukkelijk als grondrecht is benoemd.
Daarnaast krijgt in het tweede en derde lid van artikel 10 de wetgever de opdracht om regels te stellen voor de bescherming van persoonsgegevens. Dit heeft geleid tot de Wet persoonsregistraties.
1989: Wet persoonsregistraties (Wpr)
In 1989 werd de Wet persoonsregistraties (Wpr) ingevoerd. Hiermee zijn er voor het eerst algemene regels vastgesteld voor het aanleggen en gebruiken van bestanden met persoonsgegevens.
Ook werd het door de Wpr voor Nederland mogelijk om mee te doen aan het eerdergenoemde Dataprotectieverdrag van de Raad van Europa uit 1981. Dit verdrag bevat grondbeginselen voor de bescherming van persoonsgegevens waaraan ieder deelnemend land uitvoering moet geven.
Toezicht
Onderdeel van de Wpr was de oprichting van een privacytoezichthouder: de Registratiekamer. Dit is een voorloper van de AP. De Registratiekamer hield een register bij van organisaties die persoonsgegevens verwerkten. Daarnaast gaf de Registratiekamer voorlichting over gegevensbescherming en advies over nieuwe wet- en regelgeving.
Eerste EU-privacywet
Een eerste stap in het harmoniseren (bij elkaar laten passen) van de privacyregels binnen de EU is de databeschermingsrichtlijn uit 1995 (richtlijn 95/46/EG). Door deze richtlijn werden de EU-lidstaten verplicht om hun privacywetgeving binnen de door de richtlijn aangegeven grenzen te harmoniseren.
1995: Richtlijn betreffende de bescherming van natuurlijke personen in verband met de behandeling van persoonsgegevens en betreffende het vrije verkeer van die gegevens
Deze Richtlijn 95/46/EG is de eerste privacywet in de EU. Alle EU-lidstaten maakten op basis van de richtlijn hun eigen nationale wetgeving.
Toezicht
In artikel 28 van de richtlijn staat dat elke lidstaat een toezichthoudende autoriteit moet benoemen.
2001: Wet bescherming persoonsgegevens (Wbp)
De Wet bescherming persoonsgegevens (Wbp) is de Nederlandse implementatie van de EU-richtlijn uit 1995. De Wbp vervangt de Wet persoonsregistraties uit 1989.
Toezicht
De Registratiekamer veranderde in het College bescherming persoonsgegevens (CBP). Het CBP kreeg nieuwe (handhavings)bevoegdheden, zoals de bevoegdheid om een last onder dwangsom op te leggen of een boete van maximaal 820.000 euro.
Gegevensbescherming als grondrecht
Lange tijd was de bescherming van grondrechten niet duidelijk geregeld in het EU-recht. Er was daarom behoefte aan een document waarin de grondrechten duidelijk werden vastgelegd. Dat kwam er in 2000: het Handvest van de grondrechten van de EU.
2000-2009: Handvest van de grondrechten van de EU en Verdrag van Lissabon
In 2000 is het Handvest van de grondrechten van de EU vastgesteld. Het was toen nog niet juridisch bindend. Dat werd het pas op 1 december 2009, met de inwerkingtreding van het Verdrag van Lissabon.
Artikel 8 van het Handvest maakte van de bescherming van persoonsgegevens een zelfstandig grondrecht. Dit was een mijlpaal in de bescherming van persoonsgegevens. Het artikel is het fundament waarop de AVG gebouwd is.
Toezicht
Onafhankelijk toezicht is een expliciet onderdeel van het Handvest.
Huidige privacywetgeving
Dat de EU-lidstaten verschillende privacywetten hadden, maakte handhaving en toezicht complex. Bovendien zorgde dit voor regeldruk voor bedrijven die actief waren in meerdere lidstaten. Daardoor ontstond de behoefte om de privacywetten in de EU op elkaar te laten aansluiten.
2018: AVG en RGR
In 2012 lag er een concept-AVG, na een lang traject van onderhandelingen. Tot nu toe is dit het meest belobbyde traject in de EU. Dat betekent dat zeer veel belangengroepen de keuzes probeerden te beïnvloeden.
Naast de AVG kwam er een aparte Europese richtlijn voor gegevensbescherming door autoriteiten die zijn belast met rechtshandhaving, waaronder politie en justitie. Dat is de Richtlijn gegevensbescherming bij rechtshandhaving (RGR).
In 2016 werd de AVG aangenomen. Organisaties kregen tot 2018 de tijd om zich voor te bereiden. Op 25 mei 2018 werd de AVG van toepassing. De Wbp kwam daarmee te vervallen. Op een aantal punten onder de AVG moesten landen zelf nog wetgeving maken. In Nederland is dit voor een belangrijk deel gebeurd in de Uitvoeringswet AVG (UAVG).
De RGR moesten de landen omzetten in eigen nationale wetgeving. In Nederland is de RGR geïmplementeerd in onder meer de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).
Toezicht
Per 1 januari 2016 veranderde de naam van het CBP in Autoriteit Persoonsgegevens (AP). Deze naamswijziging gold alleen ‘in het maatschappelijk verkeer’, stond in artikel 51 van de Wbp. De formele naam bleef het CBP.
Per 25 mei 2018 (met het van toepassing worden van de AVG) werd ook de formele naam Autoriteit Persoonsgegevens. Vanaf 1 januari 2016 kon de AP boetes opleggen en werden organisaties verplicht ernstige datalekken direct te melden.
De AVG en de RGR regelen de taken en bevoegdheden van de AP als toezichthouder. De taken en bevoegdheden van de AP die in de AVG en de RGR staan, zijn in de UAVG, Wpg en Wjsg verder uitgewerkt.
Met de AVG kreeg de AP de bevoegdheid om boetes op te leggen van maximaal 20 miljoen euro of 4% van de jaaromzet. Ook kreeg de AP meer handhavingsinstrumenten, zoals het opleggen van een berisping of een verwerkingsverbod.
De nationale privacytoezichthouders werken sinds 2018 samen in de European Data Protection Board (EDPB).