In november 2022 is de Staatscommissie rechtsstaat ingesteld, die advies zal gaan uitbrengen. In het kader van de voorbereiding van dat advies is een internetconsultatie gehouden, die op 1 juli jl. is gesloten. Op de consultatie zijn 61 reacties binnen gekomen en verder zijn er een groot aantal brieven geschreven aan de commissie, die op de documentenpagina te vinden zijn. Onder meer is door Privacy First gereageerd.

Brief Privacy First

Privacy First heeft in haar brief van 14 juli jl. aandacht gevraagd voor gegevensbescherming en daarmee samenhangende onderwerpen:

Geachte heer Kummeling,

Bij brief van 2 mei jl. verzocht u Stichting Privacy First om inbreng te leveren t.b.v. de werkzaamheden van de Staatscommissie Rechtsstaat. In deze brief delen wij graag een aantal relevante ervaringen en onze standpunten met u.

Grondwettelijke toetsing

Allereerst pleit Privacy First in dit verband graag voor de instelling van een Constitutioneel Hof ter toetsing van wetgeving en beleid aan de Grondwet, danwel afschaffing van het huidige grondwettelijk toetsingsverbod. Dit opdat de Grondwet die voor de meeste Nederlanders de afgelopen decennia een dode letter is gebleken, weer een levend document wordt ter ‘empowerment’ van de bevolking. Een krachtige en bij de rechter inroepbare Nederlandse Grondwet zou burgers bovendien sterkere rechten kunnen bieden dan vergelijkbare Europese en/of internationale mensenrechten en de bijbehorende supranationale jurisprudentie. In het Nederlandse rechtsstelsel prevaleert nu Europees recht, ook boven de Nederlandse Grondwet. Vanuit rechtsstatelijk perspectief zou echter altijd het recht moeten prevaleren dat aan mensen de sterkste rechtsbescherming biedt; in dergelijke gevallen zou de Nederlandse Grondwet voorrang moeten hebben boven Europees en internationaal recht, zeker wanneer dit ‘hogere’ Europees of internationaal recht op gespannen voet staat met universele mensenrechten, waaronder het recht op privacy.

Gebrekkige rechtsbescherming voor burgers in het digitale tijdperk

Al jaren ontvangt Privacy First vrijwel dagelijks klachten, meldingen en signalen van burgers en consumenten over de meest uiteenlopende privacyschendingen. Bij instanties zoals de Autoriteit Persoonsgegevens (AP) blijven dergelijke klachten vaak jarenlang onbehandeld op de plank liggen of worden onvoldoende serieus behandeld. Mensen voelen zich hierdoor aan het lijntje gehouden en van het kastje naar de muur gestuurd. Vaak hebben zij het gevoel dat zij nergens worden gehoord en nergens terecht kunnen. Dit is een modern, rijk en ontwikkeld land als Nederland onwaardig. De capaciteit en middelen van de AP zullen dus snel drastisch moeten worden vergroot, temeer nu betere rechtsbescherming tegen profiling en (semi-)besluitvorming middels algoritmen (AI) steeds urgenter wordt.

Deels geldt bovenstaande constatering ook voor de rechterlijke macht: talloze malen maakte Privacy First de afgelopen jaren mee dat rechters het zaakdossier niet beheersten en dat zij tijdens de zitting in Jip & Janneke-taal over cruciale technische kwesties moesten worden voorgelicht. Diplomatieker geformuleerd: is de rechterlijke macht wel voldoende geëquipeerd om complexe privacyrechtelijke zaken te kunnen beslechten en overzien zij de implicaties van hun vonnissen voldoende? Meer rechterlijke specialisatie op het terrein van privacy en ICT-recht lijkt gewenst.

Daarnaast is te overwegen om de onafhankelijkheid van de AP te versterken, bijvoorbeeld door de AP de status van Hoog College van Staat te geven. Er zou bovendien paal en perk gesteld moeten worden aan minachting van de onafhankelijkheid van de AP vanuit de politiek, getuige bijvoorbeeld recente kritische uitlatingen over de standpunten van de AP vanuit enkele Tweede Kamerfracties en vroegere vergelijkbare misplaatste kritiek op de AP door bewindslieden.

Toegang tot de rechter voor belangenorganisaties

De ontvankelijkheid van belangenorganisaties in ideële algemeen-belangacties of groepsacties ter rechterlijke toetsing van wetgeving en beleid onder art. 3:305a BW staat al jaren onder toenemende druk. Bij de invoering van art. 3:305a BW medio jaren ’90 werden belangenorganisaties door de overheid nog gezien als mede-handhavers van het recht en werd hen in de jaren daarna door de rechterlijke macht ruim baan gegeven om rechtszaken tegen de Staat te kunnen voeren. De afgelopen jaren is echter sprake van een negatieve tendens en is het voeren van dit type rechtszaken door de Hoge Raad bemoeilijkt en onnodig complex gemaakt, althans qua civielrechtelijke ontvankelijkheid. [1] Ook door de wetgevende macht worden de laatste jaren steeds meer drempels opgeworpen aan NGO’s om bestaande rechtsmiddelen te benutten, getuige bijvoorbeeld nieuwe representativiteitseisen onder art. 3:305a BW en een recente parlementaire motie om de ontvankelijkheid van belangenorganisaties verder te beperken. [2] Dit bemoeilijkt het effectieve functioneren van belangenorganisaties ter bescherming van de Nederlandse democratische rechtsstaat. Een mogelijke oplossing in dit verband zou de invoering van een nieuwe wettelijke mogelijkheid van direct beroep tegen wetgeving en beleid zijn via de Awb i.p.v. 3:305a BW (middels wijziging van art. 8:2 Awb), vergelijkbaar met rechtsmiddelen zoals die in andere landen bestaan.

Referendum

Vrijwel direct na het succesvolle referendum over de controversiële Wet op de inlichtingen- en veiligheidsdiensten heeft de Nederlandse wetgevende macht in 2018 het raadgevend referendum afgeschaft. Op de vroegere DDR na is Nederland sindsdien het enige land ter wereld dat het referendum na invoering weer heeft opgeheven. In de optiek van Privacy First heeft dit de bestaande kloof tussen burger en bestuur de afgelopen jaren verder vergroot en geleid tot verder verlies van vertrouwen in de nationale politiek. Dit heeft onze democratie verzwakt en, zonder de corrigerende werking van het referendum, ook onze rechtsstaat. Internationaalrechtelijk is een nationaal referendum immers een vorm van intern zelfbeschikkingsrecht: het collectieve recht van een nationale bevolking om haar eigen democratische en rechtsstatelijke toekomst te bepalen. Zoals alle mensenrechten dient dit recht voortdurend te worden bevorderd. Privacy First pleit daarom voor herinvoering van een correctief nationaal referendum.

Buitenwettelijke gegevensverwerkingen door de overheid

De wettelijke basis voor gegevensverwerkingen door de overheid dient in veel gevallen te worden versterkt. Te vaak ziet Privacy First dat de overheid verregaande gegevensverwerkingen uitvoert op basis van een ontbrekende of zeer magere wettelijke basis (bijvoorbeeld de taak van een gemeente om de openbare orde te handhaven die te pas en te onpas wordt gebruikt om burgers in de gaten te houden, in toenemende mate ook online). Mits er überhaupt sprake is van maatschappelijke noodzaak en proportionaliteit van dergelijke gegevensverwerkingen (dit kan vaak worden betwijfeld), zou het rechtsstatelijk juister zijn als de wetgever in dergelijke gevallen een specifieke wettelijke basis in het leven zou roepen, mét ook specifieke waarborgen en effectief toezicht.

In dit verband vestigt Privacy First ook graag de aandacht op enkele voorbeelden die exemplarisch zijn voor de uitholling van de Nederlandse rechtsstaat in de afgelopen jaren: de Nationaal Coördinator Terrorismebestrijding en Veiligheid, NCTV (nieuwe buitenwettelijke geheime dienst), het Team Openbare Orde Inlichtingen (TOOI) van de Nationale Politie (nauwelijks gereguleerd) en het Land Information Manoeuvre Centre (LIMC) van Defensie (buitenwettelijke inlichtingeneenheid tijdens de Coronacrisis). In de optiek van Privacy First zijn deze drie organisaties emblematisch voor het gebrek aan rechtsstatelijk gehalte en bewustzijn binnen sommige onderdelen van de Nederlandse overheid.

Uitwisseling van persoonsgegevens door toezichthouders

Privacy First maakt zich al jaren zorgen over het opvragen van persoonsgegevens door toezichthouders en vervolgens de uitwisseling daarvan. Vaak zien wij dat toezichthouders zeer uitgebreid informatie opvragen en die vervolgens delen. Voorbeeld: de gemeente vraagt informatie op bij een zorginstelling in het kader van Wmo-toezicht en deelt dat vervolgens met andere gemeenten in het kader van een RIEC-convenant. Tegelijkertijd vraagt de fiscus een kopie van alle digitale data en geeft aan dat zij die informatie met alle regionale gemeenten mag delen in het kader van hetzelfde RIEC-convenant. Als gevolg daarvan wisselen diverse toezichthouders enorme hoeveelheden persoonsgegevens uit, en kunnen ze bevoegdheden onderling aanvullen. Aangezien lokale overheden tegenwoordig zeer actief jagen op zorgfraudeurs treft dit de gezondheidsgegevens van miljoenen kwetsbare mensen.

In dit verband ook relevant: de verwerkingsverantwoordelijke die niet voldoet aan een informatieverzoek begaat een bestuursrechtelijke overtreding en kan aan de verantwoordelijke op grond van art. 5:20 Awb een last onder dwangsom worden opgelegd. Dit lijkt ons in strijd met HvJ État Luxembourg (C-245/19, par. 56-68) waar het HvJ nu juist heeft bepaald dat de houder van persoonsgegevens een dergelijk informatieverzoek in rechte moet kunnen betwisten zonder dat hij daarmee het risico loopt gestraft te worden. (In de praktijk zal de bestuursrechter vaak de dwangsom schorsen, maar dat is slechts een lapmiddel. Overigens is dit wel goed geregeld voor de fiscale informatieverplichting, waar de fiscus eerst een informatiebeschikking moet uitbrengen, waartegen bezwaar en beroep openstaat.)

Privatisering van overheidstaken

In toenemende mate is de afgelopen jaren sprake van publiek-private samenwerking en privatisering van overheidstaken, met alle gevaren en risico’s van dien, waaronder koppeling van systemen en digitale sleepnetten. In dit verband dient er meer aandacht te worden gevestigd op het functioneren van ondernemingen die overheidstaken uitvoeren (zoals banken in de witwasbestrijding) en die essentiële diensten leveren (telecombedrijven, energiebedrijven, ziekenhuizen etc). Momenteel is er veel aandacht voor een goed functionerende digitale overheid, maar niet voor het feit dat voor bedrijven die overheidstaken uitvoeren of essentiële diensten leveren hetzelfde moet gelden. Deze toenemende gegevensverzamelingen zijn zeer gevaarlijk voor burgers en er wordt door de wetgever onvoldoende aandacht besteed aan de risico’s. Op deze verwerkingen van persoonsgegevens is ook onvoldoende toezicht, mede doordat de AP onvoldoende budget heeft. Ons advies: stop met regelgeving die leidt tot mateloze verzameling van vertrouwelijke (persoons)gegevens met alle privacyrisico’s van dien. Een actueel voorbeeld in dit verband is de controversiële Wet gegevensverwerking door samenwerkingsverbanden (WGS).

Meer openbaarheid van bestuur

De Wet open overheid (Woo) is nieuw maar functioneert niet goed, omdat de digitale overheid nog niet op de Woo is ingericht. Open overheid moet in onze optiek zijn: 1) verbetering van de eigen informatiehuishouding, 2) meer en betere communicatie tussen overheid en burger en 3) hogere kwaliteit van de informatievoorziening door de overheid (rijksoverheid.nl schiet vaak tekort). Omgekeerd is tevens sprake van een zorgwekkende tendens richting steeds meer openbaarmaking van bedrijfsgegevens en gevoelige persoonsgegevens, getuige bijvoorbeeld de ontwikkelingen rond het UBO-register.

 

Desgewenst zal Privacy First over bovenstaande of verwante onderwerpen graag nader met u van gedachten wisselen. Wij zijn daartoe te allen tijde bereikbaar op telefoonnummer 020-8100279 of per email: info@privacyfirst.nl.

Hoogachtend,
namens Stichting Privacy First,

Vincent Böhre
juridisch adviseur

 

[1] Zie bijv. Hoge Raad 22 mei 2015: Staat/Stichting Privacy First, ECLI:NL:HR:2015:1296 en bijbehorende annotaties. Zie voor een overzicht van andere grootschalige rechtszaken van Privacy First tegen de Staat https://privacyfirst.nl/rechtszaken/.
[2] Zie Gewijzigde motie van het lid Stoffer c.s. over verkennen in hoeverre voor belangenorganisaties met een ideëel doel op grond van artikel 3:305a BW nadere vereisten aan representativiteit gesteld moeten worden (21 februari 2023), Kamerstukken II, 36169-37.