Naar boven ↑

Annotatie

B. van der Sloot
30 augustus 2021

Rechtspraak

Latvijas Republikas Saeima (Points de pénalité)
Hof van Justitie van de Europese Unie, 22 juni 2021
ECLI:EU:C:2021:504

Latvijas Republikas Saeima (HvJ EU, C-439/19) – Bom onder het regime van open overheid en hergebruik van overheidsinformatie?

1. Deze zaak betreft het spanningsveld tussen de open data beweging aan de ene kant en het recht op privacy en gegevensbescherming aan de andere kant. Van oudsher geldt binnen de westerse samenleving het uitgangspunt van een open en transparante overheid. Het idee is dat kritische burgers en journalisten besluitvorming moeten kunnen controleren om zo mogelijke misstanden aan de kaak te kunnen stellen; ook is het voor historici en wetenschappers mogelijk archieven na te pluizen om zo een goed beeld te krijgen van hoe de overheid in bepaalde perioden heeft geopereerd. Een open overheid hoort daarmee bij een vitale democratie.

2. Ten aanzien van deze standaarddoctrine zijn echter vier belangrijke ontwikkelingen gaande.

  • Ten eerste betreft dat de digitalisering. Overheidsdocumenten waren voorheen beschikbaar in archieven, bibliotheken of speciaal daartoe aangewezen informatiecentra. Thans worden meer en meer documenten online geplaatst. Dat heeft een belangrijk effect op wat wel wordt genoemd de ‘practical obscurity’.[1] Het feit dat er voorheen moeite moest worden gedaan om naar de documenten toe te gaan, die op te vragen en in te zien betekende dat in de praktijk slechts een beperkt aantal personen de stukken inzagen. Globaal waren dat journalisten, historici, kritische burgers die de overheid nauwgezet volgen en amateur historici die hun stamboom uitzoeken. Door de documenten openbaar te maken op het internet en geen toegangsbarrière neer te leggen kan iedereen deze stukken inzien van achter zijn bureau, door een klik op de muis.
  • Ten tweede is daarmee ook een verschuiving gekomen in de wijze van openbaarmaking. Voorheen was er primair sprake van zogenoemde ‘passieve openbaarmaking’; burgers, journalisten en anderen kregen toegang tot specifieke stukken die zij opvroegen. Zij moesten dus al min of meer weten waarnaar zij op zoek waren, voor het openbaar maken van stukken was hun initiatief nodig en de stukken waren dan doorgaans voor een bepaalde periode in te zien. Nu is er steeds vaker sprake van ‘actieve openbaarmaking’: de overheid publiceert documenten niet op verzoek, maar uit eigen beweging. Hiermee is er niet langer een concrete aanleiding waarvoor een document beschikbaar wordt gesteld en kunnen mogelijk geïnteresseerden naar hartenlust grasduinen in de documenten, die in principe permanent online blijven.
  • Ten derde zijn de technische mogelijkheden om dergelijke documenten te doorzoeken aanzienlijk toegenomen. Daarbij valt bijvoorbeeld te denken aan algoritmen en artificiële intelligentie die teksten kunnen analyseren op woorden, thema’s en onderwerpen en verbanden tussen die documenten kunnen vinden. Daarmee komt een belangrijke verschuiving in wie toegang neemt tot de documenten. Waar het voorheen primair individuen waren, gaat het nu slechts in beperkte mate om bijvoorbeeld journalisten die goed zijn in het analyseren van data en burgers met een technische achtergrond en primair om ondernemingen die de beschikking hebben over zeer geavanceerde technische middelen om de grote hoeveelheid aan documenten die beschikbaar komen te analyseren op inhoud en op waarde.
  • Ten vierde en wellicht het belangrijkste, is binnen de Europese Unie de keuze gemaakt om niet alleen data beschikbaar te maken in het kader van een open en controleerbare overheid, maar ook om het hergebruik van overheidsdata mogelijk te maken. De gedachte is dat de overheid op ‘een berg met data zit’, terwijl het economisch potentieel daarvan niet wordt benut. Als het gebruik van de data vrij zou worden gegeven voor commercieel hergebruik, dan zouden er naar schatting alleen al in de Europese Unie tientallen miljarden aan economisch potentieel vrijkomen. De EU heeft daarom in 2003 een richtlijn hergebruik overheidsinformatie aangenomen,[2] die na wijziging in 2013[3] en 2019,[4] nog dwingender is geworden in de plicht voor overheden om overheidsinformatie actief vrij te geven ten einde hergebruik door commerciële partijen mogelijk te maken.

3. Deze ontwikkeling roept tal van vragen op over de legitimiteit en wenselijkheid van hergebruik van overheidsinformatie.[5] Zo is de vraag of dit niet indruist tegen de kerngedachte achter een democratische rechtsstaat, namelijk dat de burger controle en data aan de overheid geeft om algemene belangen te behartigen (veiligheid, belastinginning, ordening van de samenleving, etc.) en niet om vervolgens weer door te spelen aan de commerciële sector. Daarnaast zijn tal van specifieke juridische doctrines van belang, zoals onder meer het intellectueel-eigendomsrecht en de rechten op privacy en gegevensbescherming. Dat die laatste rechten op het spel staan is evident, namelijk om een aantal redenen.

  • Allereerst bevatten veel zo niet bijna alle overheidsdocumenten persoonsgegevens, zeker omdat de interpretatie van het begrip ‘persoonsgegeven’ steeds verder is opgerekt. Het omvat niet alleen direct identificeerbare gegevens, maar ook indirect identificerende gegevens. Dat wil zeggen dat ook als uit informatie kan worden afgeleid over wie de informatie vermoedelijk gaat, de gegevens als persoonsgegevens hebben te gelden.
  • Daarnaast betreft het niet alleen identificerende gegevens, maar ook identificeerbare gegevens. Dat wil zeggen dat niet alleen gegevens waarmee op dit moment een persoon direct of indirect kan worden geïdentificeerd, maar ook gegevens waarmee een dergelijk identificatieproces nu niet mogelijk is maar in de toekomst wel (bijvoorbeeld vanwege voortschrijdende technische mogelijkheden) onder het begrip persoonsgegevens zullen vallen.
  • Daarbij moet ook worden bedacht dat het anonimiseren van gegevens vaak weinig soelaas biedt, omdat het omgekeerde proces, het de-anonimiseren of het re-identificeren ook mogelijk is.[6]
  • Tot slot is van belang dat ook algemene informatie kan worden gebruikt om beslissingen over personen of groepen te nemen. Zo kunnen criminaliteitscijfers van wijken worden gebruikt door verzekeraars om te bepalen of en zo ja tegen welke voorwaarden zij iemand willen verzekeren; als dat gebeurt dan is ook die algemene informatie te kwalificeren als persoonsgegeven. Dit alles brengt met zich dat de Algemene Verordening Gegevensbescherming vaak van toepassing zal zijn op overheidsdocumenten die openbaar worden gemaakt.

4. Zoals wel vaker als er een ingewikkelde relatie bestaat tussen twee juridische instrumenten van de Europese Unie, maakt de EU-wetgever geen keuze, maar laat het de verhouding tussen deze twee instrumenten in het midden. Het hergebruikregime stelt bijvoorbeeld in de herschikte tekst uit 2019 in Artikel 1 lid 4 slechts: ‘Deze richtlijn doet geen afbreuk aan het Unierecht of het nationale recht betreffende de bescherming van persoonsgegevens, met name Verordening (EU) 2016/679 [De AVG] en Richtlijn 2002/58/EG [De zogenoemde e-Privacy Richtlijn, die ziet op privacy- en gegevensbescherming in de telecomsector], en de overeenkomstige bepalingen van nationaal recht.’ Een strikte lezing zou met zich brengen dat het publiceren van overheidsinformatie voor hergebruikdoeleinden nimmer het recht op persoonsgegevens van burgers mag beperken. Dat roept tal van fundamentele vragen op, omdat alhoewel de AVG geen absoluut verbod neerlegt voor het gebruik en zelfs hergebruik van informatie, er wel tal van beperkingen gelden, zoals, maar niet beperkt tot:

  • De gegevens mogen in principe slechts voor hetzelfde doel worden verwerkt als waarvoor ze zijn verzameld. Artikel 5 lid 1 sub b van de AVG bepaalt dat persoonsgegevens ‘voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.’ Daarop bestaat een uitzonderingsmogelijkheid bij toestemming of in het geval van hergebruik van persoonsgegevens voor wetenschappelijk of historisch onderzoek, maar daarvan is in het geval van hergebruik voor commerciële doeleinden nu juist geen sprake.
  • Artikel  5 lid 1 sub c geeft het dataminimalisatiebeginsel, waaruit volgt dat gegevens slechts mogen worden verwerkt in zoverre dat strikt noodzakelijk is voor het doel waarvoor ze zijn verzameld. Het doel waarvoor gegevens zijn verzameld zal per geval verschillen, maar betreft zaken als belastingheffing, het garanderen van sociale voorzieningen en het beschermen van de openbare orde. Daarvoor is het publiceren van de informatie doorgaans niet strikt noodzakelijk, zelf niet noodzakelijk. Bovendien brengt het vrijgeven van de overheidsinformatie met zich dat er geen controle en rem zit op de verdere doeleinden waarvoor de informatie wordt verwerkt door derden.
  • Artikel  5 lid 1 sub f geeft het uitgangspunt van het vertrouwelijk en veilig bewaren van gegevens, zodat onbevoegde derden daar geen toegang tot kunnen krijgen. Het online publiceren van informatie lijkt haaks te staan op dit beginsel.
  • Tot slot moet het verdere hergebruik van de overheidsinformatie voor een specifiek doel, bijvoorbeeld het ontwikkelen van een app die tegen betaling kan worden gedownload en waarop criminaliteitscijfers per stad, wijk en straat kunnen worden bekeken, ook een legitieme verwerkingsgrondslag hebben. Voor het commercieel hergebruik van ‘gewone’ persoonsgegevens zal doorgaans slechts één grond kunnen worden ingeroepen, namelijk het geval genoemd in artikel 6 lid 1 sub f waarin het belang van het hergebruik van de informatie voor commerciële doeleinden de belangen van de datasubjecten op bescherming van hun fundamentele rechten overstijgt. De analyse omtrent de toepasselijkheid van deze bepaling zal van geval tot geval moeten worden gemaakt, maar duidelijk is, dat er slechts in een beperkt aantal gevallen een succesvol beroep op deze grond kan worden gedaan omdat de belangen van burgers zwaar zullen wegen, zeker als er data over kinderen worden verwerkt (die in voorgenoemde bepaling expliciet worden genoemd en waarbij moet worden bedacht dat het ‘wegfilteren’ van specifieke gegevens over bijvoorbeeld kinderen in een bulkdataset veel tijd en middelen zal kosten, als het al mogelijk is om automatisch te bepalen welke data over minderjarigen gaan). Daarnaast geldt wegens artikel 9 in principe een verbod op het verwerken van ‘bijzondere’ of ‘gevoelige persoonsgegevens’, zoals aangaande ras, geaardheid, gezondheid en strafrechtelijke gegevens. Wel worden er tien uitzonderingsgronden gegeven, maar een uitzonderingsgrond voor het hergebruik van dergelijke overheidsinformatie voor commerciële doelen ligt niet direct voor de hand. Daarbij moet worden opgemerkt dat ‘bijzondere persoonsgegevens’ niet slechts gegevens zijn, waaruit direct gevoelige informatie kan worden afgeleid, maar gegevens waarin indirect gevoelige informatie blijkt. Om een simpel voorbeeld te noemen: als twee datasets zijn gepubliceerd en uit de een blijkt het woonadres van personen en uit de andere volgt dat in een bepaalde wijk 99% van de bevolking moslim is, dan zullen die gegevens samen een gevoelig persoonsgegeven zijn.

5. Alhoewel er meermaals is opgeroepen om duidelijkheid te geven omtrent de verhouding tussen de twee juridische regimes, heeft de EU-wetgever ervoor gekozen om de interpretatie van deze kwestie aan nationale overheden en de rechter te laten. In deze uitspraak geeft het EU-Hof zijn oordeel, zij het over een systeem dat primair passieve openbaarmaking betreft. Dat doet het op basis van prejudiciële vragen van de Letse rechter omtrent de verhouding van de regimes op nationaal niveau. Het betreft het voor hergebruik beschikbaar stellen van informatie over ‘strafpunten’ die bij verkeersovertredingen worden toebedeeld. Globaal staan er twee vragen centraal in deze uitspraak: ten eerste of strafpunten voor verkeersovertredingen als ‘bijzonder persoonsgegeven’ hebben te gelden en ten tweede of het voor hergebruik beschikbaar stellen van dergelijke informatie in strijd moet worden geacht met het fundamentele recht op gegevensbescherming. Op beide punten antwoord het Hof van Justitie bevestigend.

6. Ten aanzien van het eerste punt stelt het Hof (punt 87) dat er drie criteria relevant zijn om te beoordelen of de strafpunten die worden opgelegd bij administratiefrechtelijke verkeersovertredingen een strafbaar feit van strafrechtelijke aard betreft (Art. 10 AVG spreek van (‘persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen’): (1) de juridische kwalificatie van het strafbare feit naar nationaal recht, (2) de aard zelf van het strafbare feit en (3) de zwaarte van de sanctie die aan de betrokkene kan worden opgelegd. Dat eerste is niet het geval, erkent het Hof. Bij het tweede criterium gaat het om de vraag of met de sanctie in kwestie met name een repressief doel wordt nagestreefd. De maatregelen in kwestie hebben in ieder geval gedeeltelijk een repressief karakter, maar kennen ook andere doeleinden, zo meent het Hof. Bij het derde criterium merkt het Hof op dat alleen verkeersovertredingen van een zekere ernst tot gevolg hebben dat strafpunten worden toegekend, dat strafpunten doorgaans worden opgelegd wegens een dergelijke overtreding en dat de accumulatie van strafpunten zelf rechtsgevolgen kan hebben, zoals de verplichting om een examen af te leggen of zelfs een rijverbod. Daarom meent het Hof dat er wel sprake is van een strafrechtelijk gegeven. Het is een wat moeilijk te volgen redenatie: criterium 1 is niet van toepassing, criterium 2 maar half en bij criterium 3 meent het Hof dat het feit dat een persoon die vaker verkeersovertredingen begaat opnieuw zijn rijexamen moet afleggen of een rijverbod krijgt opgelegd ertoe bijdraagt dat het hier om een strafrechtelijk gegeven gaat. Wat een rijexamen of rijverbod precies met het strafrecht te maken heeft wordt verder niet toegelicht.

7. Het oordeel wordt interessant als het aan de tweede prejudiciële vraag toekomt, namelijk de vraag of het voor hergebruik ter beschikking stellen van dergelijke informatie legitiem is. Daarbij is van belang dat naast de AVG er ook een zogenoemde Politierichtlijn is, die ziet op de verwerking van strafrechtelijke gegevens door bevoegde overheidsorganisaties, en dat het volgende is bepaald over bijzondere persoonsgegevens:

  • Artikel 10 AVG bepaalt: ‘Persoonsgegevens betreffende strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen mogen op grond van artikel 6, lid 1, alleen worden verwerkt onder toezicht van de overheid of indien de verwerking is toegestaan bij Unierechtelijke of lidstaatrechtelijke bepalingen die passende waarborgen voor de rechten en vrijheden van de betrokkenen bieden. Omvattende registers van strafrechtelijke veroordelingen mogen alleen worden bijgehouden onder toezicht van de overheid.’
  • Dit artikel komt na 9 AVG, dat in het eerste lid bepaalt: ‘Verwerking van persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en verwerking van genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid zijn verboden.’
  • Daarna wordt in lid 2 van artikel 9 AVG uitzonderingsgronden gegeven.
  • In de voorloper van de AVG, de Richtlijn bescherming persoonsgegevens, stonden beide artikelen (art. 9 en 10 AVG) in één bepaling genoemd.
  • De verwerking van strafrechtelijke gegevens is een categorie apart – een nog ‘bijzonderder’ bijzonder persoonsgegeven – omdat daarop in principe de Politierichtlijn van toepassing is en niet de AVG. In principe kan iedere partij een beroep doen op een van de uitzonderingsgronden genoemd in artikel 9 lid 2, maar worden strafrechtelijke gegevens primair verwerkt door politie en justitie.

8. Het Hof oordeelt dat in casu de Politierichtlijn niet van toepassing is, aangezien de directie verkeersveiligheid die de persoonsgegevens verwerkt geen ‘bevoegd gezag’ is als bedoeld in de Richtlijn. Daarom worden hier wel strafrechtelijke persoonsgegevens verwerkt, maar is alsnog de AVG van toepassing. Interessant is dat dit tot gevolg heeft dat niet het regime van de Politierichtlijn van toepassing is en ook niet het zware regime voor bijzondere persoonsgegevens, als vervat in artikel 9, maar het ‘gewone’ regime voor ‘gewone’ persoonsgegevens, als vervat in artikel 6 AVG (daarin staan in lid 1 zes gronden voor legitieme verwerking van persoonsgegevens genoemd: (a) toestemming, (b) contractuele relatie, (c) wettelijke plicht, (d) bescherming vitale belangden datasubject, (e) publiek belang en (f) de eerder genoemde grond van het ‘wegen’ van belangen). Wel, zo stelt het Hof, gelden dan de additionele vereisten als genoemd in artikel 10 AVG, namelijk dat de verwerking onder toezicht van een overheidsorganisatie dient te gescheiden en dat er additionele beschermingsmaatregelen zijn getroffen.  

9. Dan vervolgt het Hof met iets wat het zelden doet: het betwijfelt de noodzaak van de verwerking van de persoonsgegevens en de subsidiariteit van het door het Letse parlement aangenomen regime. Als het gaat om het beschermen of vergroten van de verkeersveiligheid, zo stelt het Hof, blijkt uit de wetgeving in andere landen dat heel goed kan worden volstaan met minder ingrijpende maatregelen dan het verstrekken van informatie over personen aangaande hun verkeersovertredingen. Het Hof benadrukt dat het openbaar maken van deze informatie tot stigmatisering en andere maatschappelijke consequenties kan leiden. Ook betwijfelt het de causale relatie tussen dit door het Letse parlement ingestelde regime en de dalende cijfers in termen van verkeersovertredingen in Letland. Vervolgens stelt het dat het regime het voor derden mogelijk maakt om toegang te krijgen tot de informatie ook als die derden andere doeleinden hebben dan die verband houden met het vergroten van de verkeersveiligheid. Dat is niet toegestaan wegens het ‘purpose limitation’ of doelbindingsprincipe.

10. Het Hof verwijst ook naar twee bepalingen aan het eind van de AVG die lidstaten de mogelijkheid geven om het recht op gegevensbescherming omwille van publieke belangen in te perken, namelijk de vrijheid van meningsuiting (artikel 85) en de openbaarheid van informatie (artikel 86). Kan de Letse regeling worden gezien als invulling van deze discretionaire bevoegdheid die aan lidstaten wordt gelaten? Nee, oordeelt het Hof van Justitie. ‘Immers, de toegang van het publiek tot officiële documenten vormt blijkens overweging 154 van deze verordening weliswaar een algemeen belang dat kan rechtvaardigen dat de in die documenten vervatte persoonsgegevens worden verstrekt, maar die toegang moet niettemin worden verzoend met het grondrecht op eerbiediging van het privéleven en het grondrecht op bescherming van persoonsgegevens, zoals artikel 86 AVG overigens uitdrukkelijk vereist. Gelet op met name de gevoeligheid van gegevens betreffende wegens verkeersovertredingen toegekende strafpunten en de ernst van de inbreuk die de openbaarmaking van die gegevens maakt op het grondrecht op eerbiediging van het privéleven en het grondrecht op bescherming van persoonsgegevens van de betrokken personen, moet worden geoordeeld dat deze rechten prevaleren boven het belang dat het publiek heeft bij toegang tot officiële documenten, met name het nationale register van voertuigen en de bestuurders daarvan.  Bovendien kan het in artikel 85 AVG bedoelde recht op vrijheid van informatie om dezelfde reden niet aldus worden uitgelegd dat het een rechtvaardiging vormt om persoonsgegevens die betrekking hebben op strafpunten die zijn toegekend wegens verkeersovertredingen, te verstrekken aan eenieder die erom verzoekt (punten120-121).’

11. Het Hof had al benadrukt dat het op hun verzoek toegang verlenen aan burgers tot gevoelige gegevens over andere burgers zonder dat zij hoeven te preciseren wat hun belang daarbij is, laat staan hoeven aan te tonen dat dat een gerechtvaardigd belang is, niet rechtmatig is. Dit heeft ook consequenties voor de Letse praktijk waarbij de directie verkeersveiligheid informatie doorstuurt naar commerciële partijen. De Richtlijn hergebruik overheidsinformatie, zo benadrukt het Hof nog maar eens, geeft aan dat de AVG onverminderd van toepassing is. Dergelijks is dus niet legitiem. 

12. Al met al is dit een tamelijk revolutionaire uitspraak van het Hof, met name omdat het een bom lijkt te leggen onder de regimes van de open overheid en het hergebruik van overheidsinformatie. Al langer wordt gesteld dat binnen de EU de rechten op privacy en gegevensbescherming een soort superrechten zijn geworden, vergelijkbaar met het first amendement right in de Amerikaanse rechtsorde. Op het terrein van deze twee rechten is het Hof in toenemende mate ook bereid andere belangen naar de achtergrond te schuiven. Het is de vraag hoe de Europese Commissie zal omgaan met dit oordeel. Toen het Hof een streep zette door het juridische instrument dat het delen van persoonsgegevens tussen de EU en de VS mogelijk maakte, terwijl evident was dat in de VS zeer minimale privacy- en gegevensbescherming geldt, haastte de Commissie zich om binnen enkele maanden weer een nieuw gegevensdelingsregime op te tuigen, om de economische belangen veilig te stellen. Of het ook deze keer weer hetzelfde pad zal bewandelen, bijvoorbeeld door snel een nieuw regime of een nieuwe bepaling omtrent de verhouding tussen het recht op gegevensbescherming en het hergebruik van overheidsinformatie aan te nemen, valt te bezien.

B. van der Sloot
Tilburg Institute for Law, Technology and Society, Tilburg University.


[1] Zie o.a.: A. B. Bepko, ‘Public availability or practical obscurity: the debate over public access to court records on the internet’, NYL Sch. L. Rev.49, 2004, 967. N. S. Marder, ‘From Practical Obscurity to Web Disclosure: A New Understanding of Public Information’, Syracuse L. Rev.59, 2008, 441. D. S. Ardia, ‘Privacy and Court Records: Online Access and the Loss of Practical Obscurity’, U. Ill. L. Rev., 1385, 2017.

[2] Richtlijn 2003/98/EG van het Europees Parlement en de Raad van 17 november 2003 inzake het hergebruik van overheidsinformatie

[3] Richtlijn 2013/37/EU van het Europees Parlement en de Raad van 26 juni 2013 tot wijziging van Richtlijn 2003/98/EG inzake het hergebruik van overheidsinformatie

[4] Richtlijn (EU) (EU) 2019/1024 van het Europees Parlement en de Raad van 20 juni 2019 inzake open data en het hergebruik van overheidsinformatie

[5] B. van der Sloot, ‘Van openbaarheid naar hergebruik van overheidsinformatie: Of een vaarwel aan het sociaal contract’, NJB, 2015-36.

[6] P. Ohm, ‘Broken promises of privacy: Responding to the surprising failure of anonymization´, Ucla L. Rev.57, 2009, 1701.