Nieuwe Privacyrichtlijn zet collectief actierecht onder druk


Vandaag verzond Stichting Privacy First onderstaande brief aan de Tweede Kamer:

Geachte Kamerleden,

In het kader van het Algemeen Overleg op 7 maart as. over de herziening van EU-wetgeving inzake bescherming persoonsgegevens attendeert Privacy First u hierbij op een belangrijk aspect dat vooralsnog geen publieke aandacht lijkt te hebben gekregen: de voorgestelde rechtsmiddelen ter bescherming van persoonsgegevens in collectieve zin. Wij doelen hierbij op de huidige concept-Privacyrichtlijn, art. 53 lid 1 juncto art. 50 lid 2, laatste zin: “The organisation or association must be duly mandated by the data subject(s).”[1] Deze voorwaarde ontbreekt in parallelle bepalingen van de concept-Privacyverordening en zal dus alleen gaan gelden in de sfeer van politie in justitie. De achterliggende motivatie van de Europese Commissie is Privacy First vooralsnog onbekend.

In de Nederlandse vertaling van de concept-Richtlijn luidt de betreffende bepaling als volgt:”De organisatie of vereniging moet daartoe naar behoren door de betrokkene(n) gemachtigd zijn.” Deze bepaling vormt een blokkering van de toegang tot de rechter voor stichtingen en verenigingen die onder huidig Nederlands recht in het algemeen belang privacyprocessen tegen de overheid (inclusief politie en justitie) kunnen voeren zonder daartoe vooraf door individuele burgers gemachtigd te zijn. In die zin werpt de bepaling een onwettelijke drempel op tegen het voeren van zogeheten ‘algemeen-belangacties’ ter bescherming van ieders privacy.

Ook indien deze bepaling ‘slechts’ gelezen zou worden als een zogeheten ‘representativiteitseis’ is deze in strijd met het collectieve actierecht zoals dat in Nederland sinds 1994 geldt; zie art. 3:305a BW en art. 1:2 lid 3 Awb (algemeen-belangactie) plus bijbehorende wetsgeschiedenis en jurisprudentie. Bij de totstandkoming van deze Nederlandse wetsartikelen is nadrukkelijk géén representativiteitsvereiste aan de stichting of vereniging in kwestie gesteld. Begin 2010 bevestigde de Hoge Raad dit als volgt:

“Zoals blijkt uit de wetsgeschiedenis (…) heeft de wetgever bewust ervan afgezien om representativiteit van de eisende rechtspersoon als voorwaarde in de wet op te nemen, zodat niet als eis gesteld kan worden dat de collectieve actie kan rekenen op de steun van een aanmerkelijk deel van de in aanmerking komende belanghebbenden.”[2]

In dit verband verwijst Privacy First tevens naar het actuele wetsvoorstel collectieve afwikkeling massaschade: een eerder in dit wetsvoorstel opgenomen representativiteitseis is onlangs geschrapt na terechte kritiek van de Raad van State en de Nederlandse Vereniging voor Rechtspraak.[3]

Tijdens het Algemeen Overleg op 15 september 2011 stelde staatssecretaris Teeven bovendien het volgende:

“Op de vraag of we een collectief klachtrecht voor betrokkenen gaan regelen, kan ik antwoorden dat er al een mogelijkheid bestaat tot het bundelen van klachten. Artikel 3:305a van het Burgerlijk Wetboek kent die mogelijkheid. Een specifieke mogelijkheid voor privacyklachten kan beter op Europees niveau worden geregeld. Daar worden initiatieven toe ondernomen. We zullen daarover op een volgende vergadering van de Europese Raad spreken en die ontwikkelingen wil ik nog meenemen. Op dit moment bestaat zo’n mogelijkheid al wel, maar je kunt je afvragen of die voldoende effectief is.”[4]

Door de voorgestelde bepaling in de concept-Richtlijn wordt het collectieve actierecht echter juist minder effectief, want afhankelijk van voorafgaande machtiging door individuele burgers. Algemeen-belangacties ter bescherming van ieders recht op privacy zouden daardoor tot het verleden (kunnen) gaan behoren.

Tenslotte dient hier te worden opgemerkt dat het collectieve actierecht voorheen reeds bestond in (onder meer) art. 10 van de vroegere Wet persoonsregistraties (Wpr):

“Op dit voor de praktijk belangrijke punt is de handhaving van de wet niet uitsluitend overgelaten aan de individuele geregistreerde. Volgens artikel 10 zijn ook rechtspersonen die krachtens hun doelstelling en blijkens hun feitelijke werkzaamheden de belangen behartigen van de geregistreerden, bevoegd tot het instellen van een vordering bij de burgerlijke rechter. Het kan hierbij ook gaan om een rechtspersoon die ideëel het belang van de bescherming van de persoonlijke levenssfeer behartigt. Het veld van maatschappelijke krachten kan op deze wijze invloed uitoefenen op de handhaving van de wet.”[5]

Met de invoering van art. 3:305a BW kwam deze bepaling uit de Wpr te vervallen. Een vergelijkbare bepaling werd vervolgens niet opgenomen in de Wet bescherming persoonsgegevens (Wbp), aangezien dit vanwege het algemeen werkende art. 3:305a BW en art. 1:2 lid 3 Awb overbodig werd geacht.

Hoe rijmt staatssecretaris Teeven bovenstaande constateringen met elkaar? En is de betreffende passage in art. 50 lid 2 concept-Richtlijn door Nederland ‘ingestoken’ of daar beland op initiatief van de Europese Commissie of andere EU-lidstaten? Zo ja, welke lidstaten? Erkent de Nederlandse regering dat dit aspect van de concept-Richtlijn uit de pas loopt met Nederlands recht en een achteruitgang in collectieve rechtsbescherming teweegbrengt (wellicht ook in andere EU-lidstaten)? Zo ja, is de Nederlandse regering bereid om hier in Brussel een onderhandelingspunt van te maken en deze passage te laten schrappen of te laten herzien?
(…)
Hoogachtend,

Stichting Privacy First

———————————
[1] Voorstel voor een EU-richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, COM(2012) 10 (25 januari 2012), art. 50 lid 2.

[2] Hoge Raad 26 februari 2010, LJN: BK5756, r.o. 4.2; JBPr 2010/30, m.nt. Wijers; NJ 2011/473, m.nt. Snijders.

[3] Zie Kamerstukken II 2011/12, 33126, nr. 3, p. 6.

[4] Kamerstukken II 2011/12, 32761, nr. 2, p. 20 (nadruk SPF).

[5] Kamerstukken II 1984/85, 19095, nr. 3 (MvT Wpr), p. 32. Zie tevens ibid., p. 39.