Begin april verscheen de tweede druk van het boek “De Algemene verordening gegevensbescherming in Europees en Nederlands perspectief”. Het is een bijgewerkte versie van de eerste druk die verscheen rond de tijd dat de Algemene verordening gegevensbescherming (de “AVG”, ook wel bekend onder de Engelse afkorting: “GDPR”) van toepassing werd.
De eerste druk is de afgelopen jaren als studieboek op meerdere Nederlandse universiteiten en hogescholen gebruikt, en ook in de rechtspraktijk is het boek een nuttige bron van informatie gebleken. Zo verwijst het parket bij de Hoge Raad veelvuldig naar het boek, zie bijvoorbeeld de conclusie in prejudiciële vragen over de grondslag voor BKR-registratie.
Wat het boek onderscheidt van andere werken over de AVG is in de eerste plaats dat het een echte monografie is. Dat maakt het boek toegankelijk en uitermate geschikt voor het onderwijs. In de tweede plaats besteedt het boek ruim aandacht aan de historische achtergrond van de AVG (en de UAVG), en aan hoe de regels zijn ingebed in de bredere nationale en Europese context. Dit betekent dat in het boek niet alleen naar Nederland en de Europese Unie wordt gekeken, maar ook naar de Raad van Europa en het Europees Verdrag voor de Rechten van de Mens. Alles wordt besproken met veel voorbeelden die zijn afgeleid uit de nationale en Europese jurisprudentie of uit de handhavingspraktijk van de nationale toezichthouders (zoals de Autoriteit Persoonsgegevens).
Na de verschijning van de eerste druk in 2018 heeft het gegevensbeschermingsrecht zich dankzij de AVG razendsnel ontwikkeld tot een breed en relevant rechtsgebied. De eerste druk van het boek begon dan ook al snel te verouderen.
Met name de hoeveelheid jurisprudentie is explosief toegenomen. Om een idee te geven, de periode die de tweede druk nieuw bestrijkt, leidde tot de opname van zo’n zestig uitspraken van het EU Hof van Justitie in Luxemburg, bijna twintig van het Europees Hof voor de Rechten van de Mens in Straatsburg, meer dan honderd uitspraken van de hoogste Nederlandse rechters (met name de Hoge Raad en de Afdeling bestuursrechtspraak van de Raad van State) en meer dan honderd uitspraken van lagere Nederlandse rechters.
Daarnaast verschenen er sinds 2018 vele nieuwe richtsnoeren en beslissingen van het Europees Comité voor Gegevensbescherming (de “EDPB”) en de Autoriteit Persoonsgegevens, en werd binnen de Europese Unie onder de noemer van de digitale agenda allerlei aanpalende wetgeving aangenomen, zoals de digitaledienstenverordening (de “DSA”), de datagovernanceverordening en de verordening over kunstmatige intelligentie (AI-verordening). Deze aanpalende wetgeving komt bovenop de regels van de AVG en voorziet in sommige gevallen in een verdere specificatie van die regels. Steeds doet zich de vraag voor hoe de nieuwe regels zich verhouden tot de AVG.
Het bijwerken van de eerste druk was hierdoor een behoorlijke klus en voelde soms als dweilen met de kraan open. Als een hoofdstuk was afgewerkt en een maand later nog eens werd nagelezen, bleken er alweer belangrijke uitspraken of andere relevante ontwikkelingen te zijn. Uiteindelijk is er maar een punt achter gezet: 1 oktober 2023. Toch bleek het te verleidelijk om met name latere uitspraken van het Hof van Justitie, bijvoorbeeld in de twee langverwachte Schufa–zaken van december 2023, waarin het Hof inging op de vraag of het opstellen van een kredietscore op zichzelf een geautomatiseerd beluit met rechtsgevolgen vormt, toch nog een plekje in het boek te geven.
De tweede druk begint met een rijke schets van de nationale en Europese context waarin de AVG zich situeert. Hoofdstuk 2 bespreekt de constitutionele context, hoofdstuk 3 de ontwikkeling van gegevensbescherming binnen de Raad van Europa, en hoofdstuk 4 de ontwikkelingen binnen de Europese Unie. Het grootste deel van het boek (hoofdstuk 5-15) ziet op een bespreking van de verschillende elementen van de AVG, waarbij de volgorde van bespreking min of meer de opzet van de AVG volgt.
Interessant voor het algemene onderwerp van eulawenforcement.com – de handhaving van Europees recht – zijn met name de hoofdstukken 14 en 15 waarin het toezicht op de AVG en de rechtsbescherming aan bod komt. Voor bedrijven die in meerdere EU-lidstaten actief zijn en persoonsgegevens verwerken, heeft de AVG een uniek systeem van gezamenlijke handhaving door de nationale toezichthoudende autoriteiten in het leven geroepen, het zogenaamde coherentiemechanisme. Deze tweede druk bespreekt de kritiek dat het mechanisme moeizaam verloopt en nog niet zijn waarde heeft bewezen.
Slothoofdstuk 16 van de tweede druk is van meer beschouwende aard en kijkt terug op ruim vijf jaar AVG. De AVG is in bepaalde opzichten een groot succes. De grootste verdienste van de AVG is dat het gegevensbeschermingsrecht zowel nationaal als internationaal levend recht is geworden. De AVG kent echter ook zijn beperkingen. De regels blijken bijvoorbeeld in beperkte mate de ontwikkeling van nieuwe technologieën, zoals ChatGPT, het hoofd te kunnen bieden. Ook leiden de vaak ruim geformuleerde bepalingen tot rechtsonzekerheid, en blijft het terrein complex. Tot slot wordt breed de mening gedeeld dat de handhaving van de regels op Europees niveau (zie boven), maar ook op nationaal niveau achterblijft.
De aandacht voor de AVG is verder soms onevenwichtig; er is dan te veel aandacht voor technische details en te weinig aandacht voor de echte grondrechtelijke risico’s. Dit roept de vraag op of de kern soms niet uit het oog wordt verloren, te weten het fundamentele karakter van het te beschermen rechtsgoed.
Hoe dan ook, na het succes van de eerste druk, hopen we dat ook deze tweede, geheel bijgewerkte uitgave studenten en praktijkjuristen zal helpen om het begrip van dit zeer relevante onderwerp te vergroten en de weg te vinden in dit soms lastige rechtsgebied.
De Algemene verordening gegevensbescherming in Europees & Nederlands perspectief (wolterskluwer.nl) is beschikbaar hier
Herke Kranenborg (1976) is lid van de Juridische Dienst van de Europese Commissie en hoogleraar Europees privacy- en gegevensbeschermingsrecht aan de Universiteit Maastricht.
Luc Verhey (1960) is lid van de Raad van State en bekleedt als hoogleraar staats- en bestuursrecht de Kirchheiner-leerstoel aan de Universiteit Leiden.
