Het jaar 2018 mag met goed recht een bewogen jaar worden genoemd op het gebied van de privacywetgeving. Waar gegevensbescherming eerder via een Europese richtlijn werd geregeld, is er sinds de inwerkingtreding van de Algemene verordening gegevensbescherming (AVG) één privacywet die in alle lidstaten geldt. En hoewel de AVG slechts iets meer dan een jaar van kracht is, kent het binnen de Unie nu al historische hoogtepunten. Dat hangt nauw samen met een flink opgehoogde boetebevoegdheid én meer budget en mankracht voor de meeste privacy toezichthouders. Maar de AVG kwam niet plotseling tot stand. Privacywetgeving in historisch Europese context kent bijna een eeuw aan ontwikkeling. Privacy is dus zeker geen rage. Dus hoe zijn we eigenlijk op dit punt beland?
Volgens sommigen komen de ideeën van het moderne ‘recht op privacy’ van Amerikaanse origine.
De komst van technologieën als fotografie en de massale drukpers speelden daarbij een belangrijke rol. Privacy was niet langer vanzelfsprekend. Warren en Brandeis, twee invloedrijke advocaten, erkenden deze gevaren en publiceerde een essay in de Harvard Review:[1] The Right to Privacy. Dit was volgens velen de geboorte van de Amerikaanse ‘right to be let alone’, oftewel het recht op privacy.
De Tweede Wereldoorlog is een belangrijk punt geweest in de geschiedenis voor de vorming van de Europese Unie. In 1948 lag Europa in puin. Na de Tweede Wereldoorlog kwam de schaal van de Duitse misdaden pas aan het licht. Miljoenen mensen verloren hun leven in de holocaust. Voor de Verenigde Naties was dit een belangrijke aanleiding om de handen ineen te slaan, die leidde tot de Universele Verklaring van de Rechten van de Mens.[2] Dit document was voor zijn tijd en beschreef als eerste basis mensenrechten die voor iedereen golden. Onder deze beschreven rechten stond ook het recht op privacy beschreven. Daar stopte de ontwikkeling echter niet. Het recht op privacy werd zo belangrijk geacht, dat het daarna in verschillende verdragen werd opgenomen:
1950: Het Europese Verdrag voor de rechten van de mens – artikel 8
1966: Verdrag inzake Burgerrechten en Politieke rechten – artikel 17
Hoewel het recht op privacy al in verschillende verdragen was opgenomen, duurde het tot 1983 tot het recht op privacy ook was opgenomen in de Nederlandse grondwet.
Het jaar 2018 mag met goed recht een bewogen jaar worden genoemd op het gebied van de privacywetgeving.
De jaren 70 werden gekenmerkt door de introductie van de ‘personal computer’. Hoewel lang niet zo modern als heden, erkende men toen al dat het steeds lastiger werd om controle te houden over persoonlijke gegevens. Tegelijkertijd werd telecommunicatie steeds wijdverbreider in de jaren 70. Deze combinatie van technologieën maakte complexe informatie- en communicatienetwerken mogelijk op een schaal die nog niet eerder mogelijk was. Het is dan ook niet gek dat er tegelijkertijd zorgen opkwamen over de bescherming van persoonsgegevens. Om informatiestromen binnen en buiten Europa toch mogelijk te maken, en te voorkomen dat elk deelnemend land zijn eigen wettelijke obstakels zou vormen, werd in 1980 door de Organisatie voor Economische Samenwerking en Ontwikkeling (OECD) richtlijnen voor de bescherming van privacy opgesteld.[3] Deze richtlijnen vormen voor het grootste gedeelte nog steeds de basis voor de moderne privacywetgeving die we vandaag de dag kennen onder de AVG. De OECD principes over dataverwerking zijn zelfs één op één overgenomen door de databeschermingsrichtlijn en huidige AVG.
Globalisering en digitalisering hebben ervoor gezorgd dat privacyrichtlijnen tot stand zijn gekomen binnen Europa. Toch duurde het nog tot 1989 voordat in Nederland de eerste nationale databeschermingswet tot stand kwam: De Wet persoonsregistratie. Het is geen toeval dat deze wet sterk leunde op de door de OECD opgestelde privacyrichtlijnen. Nederland was op dat gebied niet bepaald een voorloper. Frankrijk had bijvoorbeeld sinds 1978 al een eigen nationale privacywet geïntroduceerd.
Verschillende nationale wetten kwamen binnen de Unie elk op een eigen tempo tot ontwikkeling. En dat leidde tot nieuwe problemen. Omdat niet elke lidstaat dezelfde mate van bescherming kon garanderen, spoorde het organisaties aan om persoonsgegevens te verwerken in landen met de minste bescherming. Het zogeheten ‘forum shopping’. Verdere harmonisatie was volgens de Europese Unie dan ook noodzakelijk. Deze inspanning leidde in 1995 tot het tot stand komen van de dataprotectie richtlijn.[4] Om deze richtlijn te implementeren, voerde Nederland in 2001 de opvolger van de Wet persoonsregistratie in: de Wet bescherming persoonsgegevens (Wbp). De richtlijn dwong lidstaten om binnen de marges van de Europese Unie eigen nationale wetten te implementeren binnen de marges van de richtlijn.
Sinds 1995 hebben dataverwerkingen echter een exponentiele groei doorgemaakt. Dat hangt nauw samen met de explosieve groei van internet gebruik. Waar in 1990 slechts een half procent van de wereldpopulatie was aangesloten op het internet, is dat nu maar liefst 60%. De Databeschermings- richtlijn heeft daarnaast niet kunnen voorkomen dat er tussen databeschermingswetten in de Unie grote verschillen waren ontstaan.[5] Om deze verschillen weg te nemen, moest dezelfde mate van bescherming gaan gelden in de gehele Europese Unie. Dat leidde in 2014 tot het wetsvoorstel dat wij vandaag de dag kennen als de AVG. Het zou nog twee jaar duren voordat de AVG in 2016 in werking trad, om vervolgens in 2018, 25 mei, van toepassing te zijn.
Inhoudelijk is de AVG dus het resultaat van tientallen jaren aan ontwikkeling. Toch is de AVG op sommige vlakken zeker historisch te noemen. Zo is privacywetgeving nog nooit zo geharmoniseerd geweest als voorheen, en zijn de boetes die tot nu toe zijn gevallen zeker historisch te noemen. De Britse privacy waakhond doet hierbij de grootste duit in de zak. De toezichthouder legde dit jaar een boete op van 204 miljoen euro aan British Airways en een boete van 110 miljoen aan Marriott International. Beide organisaties werden op de vingers getikt voor het niet adequaat beveiligen van persoonsgegevens. Hoewel de AVG dus niet uit de lucht is komen vallen, en in die zin geen historisch hoogtepunt, is de aandacht voor het beschermen van persoonsgegevens dat wellicht wel. Wellicht zullen we de komende tijd historisch veel aandacht krijgen voor het beschermen van persoonsgegevens.