To Wbp or to AVG?

05-03-2021

ECLI:NL:RVS:2021:107

Als iemand een bestuursorgaan verwijt dat bepaalde gegevens onrechtmatig zijn verwerkt en verzoekt om verwijdering en om schadevergoeding, welk privacyrecht moet dan worden toegepast indien tijdens de gegevensverwerking de Wet bescherming persoonsgegevens (Wbp) van kracht was, maar bij het op het verzoek volgende besluit de Algemene verordening gegevensbescherming (AVG)? Uit een recente uitspraak van de Afdeling bestuursrechtspraak van de Raad van State (1) volgt dat je onderscheid moet maken tussen het verzoek tot verwijdering (2) en het verzoek om schadevergoeding. (3)

Geschreven door Gity van Wijhe-Sharifzadeh en Coen Modderman

De AVG is van toepassing sinds 25 mei 2018 (4) en de volgens de betrokkene onrechtmatige gegevensverwerking door het college van burgemeester en wethouders van Almere heeft betrekking op de periode 2013-2017. Het besluit dateert van 13 mei 2019 (beslissing op bezwaar). Moet je dan de AVG of de Wbp bij het verzoek om verwijdering en het verzoek om schadevergoeding toepassen?

Schadevergoeding

De ABRvS maakt duidelijk dat de rechtmatigheid van de gegevensverwerkingen in het kader van het verzoek om schadevergoeding moet worden beoordeeld op basis van het op het moment van de verwerkingen toepasselijke recht. In de zaak waar deze uitspraak over gaat, betekent dit dus dat de beoordeling plaatsvindt op basis van de Wbp. (5)

Verwijderingsverzoek

Bij het verzoek tot het wissen van de gegevens van de betrokkene, ligt het echter anders. Leidend bij de beoordeling van de rechtmatigheid van de verwerkingen is welk recht van toepassing was op het moment dat het bestuursorgaan het bestreden besluit (de beslissing op bezwaar) nam, oftewel 13 mei 2019. De AVG was toen dus reeds in werking getreden. (6)

Relevantie

Maakt het wat uit of de Wbp of de AVG van toepassing is? In algemene zin wel. Zo stelt bijvoorbeeld de Autoriteit Persoonsgegevens dat het geldende recht in het algemeen vanuit het belang van privacybescherming bezien gunstiger is sinds de AVG: “Door de algemene verordening gegevensbescherming (AVG) hebben mensen meer mogelijkheden gekregen om voor zichzelf op te komen bij de verwerking van hun gegevens. Hun privacyrechten zijn namelijk versterkt en uitgebreid”, aldus de AP. (7)

In een geval zoals in deze ABRvS-uitspraak, is het evenwel niet zo relevant. De van belang zijnde beoordelingskaders voor wat betreft de rechtmatigheid van de verwerking, verschillen namelijk niet wezenlijk: “Zoals [appellant] in zijn hogerberoepschrift heeft erkend, maakt het in zijn geval namelijk geen verschil of de rechtmatigheid van de verwerkingen wordt beoordeeld aan de hand van de AVG of de Wbp. Artikel 6, eerste lid, aanhef en onder e, van de AVG biedt namelijk, net als artikel 8, aanhef en onder e, van de Wbp, een grondslag om gegevens te verwerken indien dit noodzakelijk is voor de goede vervulling van een publiekrechtelijke taak”, aldus de Afdeling. (8)

Principieel is er - wat ons betreft - veel voor het door de Afdeling bestuursrechtspraak gemaakte onderscheid te zeggen. Stel dat er, door de komst van de AVG, in een bepaald geval wel degelijk een op doorslaggevende wijze strengere toets, voor wat betreft de rechtmatigheid van de gegevensverwerking, zou zijn komen te gelden, dan is het wat ons betreft terecht om de ruimere privacybescherming door te laten werken. Oftewel om het recht tot verwijdering aan de hand van dit gunstigere recht te beoordelen.

Het is terecht als bestuursorganen aan de komst van AVG-rechten zoals het recht op vergetelheid, zo goed mogelijk gehoor moeten geven, ongeacht of de verwerkingen voor of in het AVG-tijdperk plaatshadden. Het is desalniettemin logisch dat bestuursorganen niet de portemonnee hoeven te trekken ten behoeve van schadevergoeding, indien zij op het moment van verwerking helemaal conform het toen geldende privacyrecht handelden en alleen naar latere privacy-maatstaven niet.


Voetnoten:

(1) ECLI:NL:RVS:2021:107

(2) Artikel 17, eerste lid, aanhef en onder d, van de AVG (het zogenaamde ‘recht op vergetelheid’).

(3) Artikel 82 van de AVG. Zie over schadevergoeding bij het schenden van privacyrecht door bestuursorganen en toegang tot de bestuursrechter (met jurisprudentieverwijzingen): https://www.raadvanstate.nl/@120666/bestuursrechter-kan-vaker/.

(4) Artikel 99, tweede lid, van de AVG.

(5) ECLI:NL:RVS:2021:107, r.o. 7.1.

(6) ECLI:NL:RVS:2021:107, r.o. 7.1.

(7) Zie: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/algemene-informatie-avg/algemene-informatie-avg#wat-merken-mensen-van-wie-persoonsgegevens-worden-verwerkt-van-de-avg-6211. Zie ook, over de overeenkomsten en de verschillen tussen de Wbp en de AVG: S. Bastiaans, ‘Privacy in een nieuw jasje: een vergelijking van beschermingsniveau tussen de Wbp en de AVG’, Bb 2018/24.

(8) ECLI:NL:RVS:2021:107, r.o. 7.1 en zie ook r.o. 8.2. Vergelijk verder bijvoorbeeld: r.o. 11 van ECLI:NL:RVS:2020:898.


bron: Gity van Wijhe-Sharifzadeh en Coen Modderman

Van onze partners

Privacywetgeving in de opsporing: de Wpg voor BOA's

→ Lees meer

Handboek DPIA's

→ Lees meer

Inzage- en verwijderingsverzoeken onder de AVG

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer