Ineens was-ie er: de “Normuitleg grondslag ‘gerechtvaardigd belang” (PDF). Een document van de Autoriteit Persoonsgegevens (AP) dat uitleg geeft aan het begrip “gerechtvaardigd belang” – één van de zes grondslagen op basis waarvan persoonsgegevens gebruikt mogen worden. Handig, aangezien bedrijven deze grondslag in de praktijk vaak niet goed toepassen. Maar worden we veel wijzer van de normuitleg? Ik vrees het niet.

Goed bedoeld, maar…

De intentie van de normuitleg is goed. De toezichthouder probeert hiermee praktische handvatten te geven als bijvoorbeeld bedrijven persoonsgegevens willen gebruiken op basis van de ‘gerechtvaardigd belang’-grondslag.

Zo beschrijft de toezichthouder wat gerechtvaardigde belangen kunnen zijn. Bijvoorbeeld het belang om je eigendommen te beschermen (denk aan cameratoezicht) of de bescherming en beveiliging van computersystemen (denk aan de inzet van een data loss prevention-tool om datalekken op te sporen).

En dan gaat het mis. De toezichthouder geeft voorbeelden waarin een partij zoals een bedrijf géén gerechtvaardigd belang heeft. Deze uiteenzetting sluit af met de zin:

“Wat ook niet als een gerechtvaardigd belang kwalificeert, is bijvoorbeeld: het enkel dienen van zuiver commerciële belangen, winstmaximalisatie, (…)”.

Online, en ook later tijdens het Nationaal Privacycongres 2019 gisteren, waren de kritieken niet mals. ‘Kan de toezichthouder voortaan niet beter de gezichten van Lenin en Marx als logo gebruiken?’, grapte prof. Zwenne tijdens het congres. Immers, als “zuiver commerciële belangen, winstmaximalisatie” geen gerechtvaardigd belang zijn, dan kan een for-profit bedrijf (en dat zijn de meeste firma’s) geen gebruik maken van deze grondslag.

AP staat alleen

Er zijn ook meer inhoudelijke argumenten te noemen, los van de vraag of we volgens de AP een communistische heilstaat moeten nastreven. Prof. Zwenne noemde een aantal hiervan tijdens zijn lezing op het congres. Zo noemt de AVG in een overweging “direct marketing” een gerechtvaardigd belang. Dat is toch zeker een commercieel doel. Ook de Britse toezichthouder ICO erkende “commercial interests” als gerechtvaardigde belangen.

Na het congres trof ik een andere bron aan, afkomstig van de Europese privacytoezichthouders (destijds verenigd in de Artikel 29 Werkgroep). Ook zij hebben er schijnbaar geen moeite mee. In een voetnoot schrijven ze:

“Binnen de grenzen van de wetgeving kunnen ook andere elementen (…) en het algemene kader en de feiten van de zaak, in acht worden genomen bij de vaststelling of een bepaald doeleinde gerechtvaardigd is. Dit omvat de aard van de onderliggende relatie tussen de voor de verwerking verantwoordelijke en de betrokkenen, of die nu commercieel is of niet.” (WP217, voetnoot 48, mijn cursief).

Het EU-Hof maakt zich evenmin druk om de commerciële aard van het gerechtvaardigde belang. Het Hof vond bijvoorbeeld dat journalistieke activiteiten prima een winstoogmerk kunnen hebben (zie de “Satamedia-zaak”). Sterker nog, het Hof erkent het belang dat ‘elke onderneming met haar activiteiten uit is op winst’.

Hoe zit het dan wel?

Wat maakt een belang gerechtvaardigd? Mijns inziens legt Advocaat-Generaal Michal Bobek het goed uit in de “Fashion ID”-zaak (=de zaak over de Facebook duimpjes) . Het begrip “gerechtvaardigd belang is tamelijk flexibel en open van aard,” aldus Bobek. “Mits op zichzelf wettig, bestaat er geen type van belang dat per se uitgesloten is.”

Het moet dus gaan om wettige, legale, belangen. Een commercieel oogmerk, al dan niet gericht op winstmaximalisatie, valt daaronder. Deze opvatting sluit ook aan bij grondrechten als het recht op vrijheid van ondernemerschap en het recht op eigendom (hieronder vallen ook intellectuele eigendomsrechten, waarbij de mogelijkheid om investeringen terug te verdienen één van de achterliggende redenen is geweest om deze rechten in het leven te roepen).

Het punt is duidelijk: de AP staat als toezichthouder vrijwel alleen door te stellen dat “enkel zuiver commerciële belangen” of “winstmaximalisatie” geen gerechtvaardigde doelen kunnen zijn. De AVG, Europese collega-toezichthouders en EU-rechtspraak wijzen in een andere richting.

Hoe verder?

De praktijk dient rekening te houden met de normuitleg van de AP. De toezichthouder kan het gebruiken als bron in het kader van normoverdracht naar bedrijven, bijvoorbeeld in waarschuwende brieven. Een nadere toelichting op de normuitleg is voor de praktijk dus gewenst.

Wat mij betreft kan de AP minstens twee dingen doen. De normuitleg wordt (1) nader onderbouwd met argumenten waarom enkel zuiver commerciële belangen en winstmaximalisatie niet als gerechtvaardigd belang kunnen dienen (die onderbouwing ontbreekt nu), of (2) de normuitleg wordt aangepast zodat de stelling wordt geschrapt.

Ik vermoed dat de AP een vergissing heeft begaan. Volgens mij heeft de toezichthouder bedoeld te zeggen dat het bestaan van louter commerciële belangen in de belangenafweging (om na te gaan of de gegevens gebruikt mogen worden) ervoor zorgt dat deze in het voordeel van de betrokkene (zoals een klant) kunnen doen doorslaan. Er is dan geen grondslag voor het gegevensverbruik, behalve als ‘toestemming’ een mogelijkheid is. Deze gedachtegang leest men terug in de genoemde WP217-opinie en in de “Google Spanje”-zaak. In die zaak overwoog het Hof dat de privacyrechten van een persoon ‘in beginsel voorrang krijgen op enkel het economische belang van Google.’ (mijn parafrasering en cursivering). Of mijn vermoeden juist is, blijft vooralsnog gissen. De AP kan dit toelichten.

De toezichthouder is dus aan zet. Wat wordt het? Nadere onderbouwing of toch… Control + Z.

Dit bericht verscheen eerder op LinkedIn.