"Gerechtvaardigd belang" (artikel 6, eerste lid onder f AVG) is zoiets als de kaart "Verlaat de gevangenis zonder betalen" in het spel Monopolie. Bij invoering van de AVG werd gezegd dat deze grondslag alleen van toepassing zou zijn in gevallen waar het tot evident onrechtvaardige situaties zou leiden als er vanwege het ontbreken van andere grondslagen geen persoonsgegevens zouden mogen worden verzameld. Zoals te verwachten viel, is de grondslag inmiddels tot in het oneindige opgerekt. Rechters vinden iets al "gerechtvaardigd" als het "proportioneel" is, en ze vinden proportioneel wat in hun kraam te pas komt. Ze volgen daarbij de wensen van datagraaiers, niet de logica van het stelsel van wet- en recht.

"Gerechtvaardigd belang" is in de praktijk helemaal niet nodig als wettelijke grondslag. De andere vijf grondslagen voldoen uitstekend.

Heb jij die zonnepanelen zelf laten installeren? Heb je daarbij van te voren gevraagd wat voor gegevens van jou daarbij zouden worden verzameld?

Heb je geweigerd die inloggegevens te geven? Wat gebeurde er toen?

Ik zie in het NOS-artikel helemaal niet staan dat gerechtvaardigd belang als verwerkingsgrondslag wordt opgevoerd. Is dat je eigen aanname erover of heb je dat ergens anders vandaan, of zie ik iets over het hoofd?

In de privacyverklaring waar je naartoe wordt geleid bij het registreren (aanmaken account) bij Volkswagen (onderdeel van de app installatie) https://identity.vwgroup.io/signin-service/v1/signin/cdd089f6-5b25-4786-accf-40e843161b22@apps_vw-dilab_com?relayState=cc67d702723f9e83915fcb3f253af6415c18462f lees ik het volgende:Dus er wordt wel degelijk, naast de mogelijke wettelijke verplichting, een beroep gedaan op gerechtvaardigd belang.

In de algemene privacyverklaring van Volkswagen https://www.volkswagen.nl/privacy-statement, lees ik onder andere het volgende over wat Volkswagen verstaat onder gerechtvaardigd belang:Serieus? Marketing en reclame als gerechtvaardigd belang betitelen?

Zoals al eerder opgemerkt wordt dit artikel naar believen gebruikt en volledig opgerekt waardoor ongebreidelde datacollectie "gelegitimeerd" wordt. Volstrekt belachelijk: dit artikel zou zsm uit de GDPR verwijderd moeten worden, gezien het misbruikt dat ervan wordt gemaakt.

Daarnaast voldoet Volkswagen naar mijn mening verder niet aan de AVG/GDPR, door deze locatiegegevens veel te lang te bewaren. Volgens mij is er 1 wettelijke verplichting (eCall), maar die hoeft pas na detectie ongeval cq indrukken alarmknop in de auto de locatie door te geven en niet continu. Verder zou hooguit de verzekering hier eisen aan kunnen stellen mbt bijvoorbeeld diefstal van een auto, echter dan hoeft deze info echt niet jaren bewaard te worden.

Dank.

Dat ze er misbruik van maken wil nog niet zeggen dat het wetsartikel dat misbruik toestaat, het is de handhaving die het niet kan bijbenen.

Bij gerechtvaardigd belang geldt dat:

1) het er moet zijn: men doet iets dat op zich niet illegaal is en waar men belang bij heeft;
2) de verwerking ervoor noodzakelijk moet zijn: als het redelijkerwijs op een manier te doen is die minder inbreuk maakt dan moet dat ook;
3) het belang van de verwerker zwaarder moet wegen dan belangen, grondrechten en fundamentele vrijheden van de betrokkene.

Het eerste criterium is een lage drempel, maar de volgende twee criteria zijn hoge drempels. Dat iets alleen maar handig is of wel goed uitkomt maakt het nog niet noodzakelijk. Overweging 47 van de AVG maakt iets belangrijks duidelijk over hoe het derde punt opgevat moet worden: onderdeel van de beoordeling is of de betrokkene de verwerking redelijkerwijs kan verwachten. Het moet met andere woorden nogal voor de hand liggen dat het ook echt nodig is voor wat geleverd wordt, en geen volslagen verrassing zijn.

Wat je keer op keer ziet is dat allerlei multinationals doen alsof van die drie criteria alleen het eerste bestaat: we hebben er belang bij dus mogen we het en doen we het ook, lijkt de benadering te zijn. En met name Facebook/Meta is bijzonder handig in het eindeloos rekken van juridische procedures, om als ze uiteindelijk verliezen iets te veranderen dat net groot genoeg is om de klacht te ontkrachten maar dat doodleuk langs een net iets andere weg de AVG opnieuw schendt, zodat het hele juridische feest van de laagste tot de hoogste rechter weer van voren af aan moet beginnen om dat aan te pakken.

De AVG is inhoudelijk niet "lek", om dat woord maar te gebruiken, het probleem is dat het met toezicht en handhaving niet lukt. Dat is te versnipperd over landen om die reuzen aan te kunnen pakken, Ierland heeft redenen om Amerikaanse bedrijven niet te hard aan te pakken, en verschillende landen geven minder geld aan de toezichthouders dan die nodig hebben om hun werk goed te doen, inclusief Nederland.

De EU heeft gereageerd met de DSA, die dingen bevat die ook al in de AVG geregeld zijn maar nu met een centrale Europese toezichthouder: dat is om dingen aan te kunnen pakken waar de structuur van landelijke toezichthouders niet tegen opgewassen bleek. Hopelijk werkt die aanpak.

Falende handhaving is niet het belangrijkste probleem. Falende rechtspraak is de meer fundamentele oorzaak, die het voor de toezichthouders vaak onmogelijk maakt om effectief te handhaven, ook als ze wel voldoende budget en personeelscapaciteit zouden hebben of vrijmaken, en ook als ze de juiste attitude zouden hebben. Je ziet bijvoorbeeld dat de AP wordt teruggefloten door rechters als de AP eens een keertje wel echt probeert te handhaven.

Nee, criteria 2) en 3) zijn evenmin hoge drempels. Zoals jij criterium 2) formuleert, wordt het een soort samensmelting van het noodzakelijkheidscriterium en het subsidiariteitscriterium, zoals rechters (misschien ben jij er wel eentje) die in hun uitspraken ook vaak knutselen, d.w.z. de eerste stap in het verdoezelen van een echt, functionerend noodzakelijkheidscriterium.

Een echt noodzakelijkheidscriterium is gebaseerd op artikel 8 EVRM: "noodzakelijkheid in een democratische samenleving". Dat is iets heel anders dan wat rechters ervan maken, namelijk: "noodzakelijkheid voor het nastreven of bereiken van een door een verwerkingsverantwoordelijke met willekeur gesteld doel". De AVG had op dit punt geïnterpreteerd moeten worden in overeenstemming met het in artikel 8 EVRM genoemde vereiste. Maar dat doen Nederlandse rechters niet.

Nederlandse rechters hebben in de praktijk telkens geweigerd om het noodzakelijkheidscriterium zoals dat in artikel 8 EVRM (een internationaal verdrag) staat, toe te passen, waarbij zij als drogreden aanvoeren dat zij en de toezichthouder (de AP) ervan uit mogen gaan dat de vage criteria in de AVG reeds in overeenstemming zijn met artikel 8 EVRM, waardoor het zogenaamd niet nodig zou zijn om de uitleg van de AVG in concrete gevallen rechtstreeks aan artikel 8 EVRM te toetsen. Op deze manier omzeilen Nederlandse rechters de in de Nederlandse Grondwet vastgelegde plicht om wetten (zoals de AVG en de UAVG) wel degelijk rechtstreeks aan internationale verdragen (zoals het EVRM) te toetsen.

Daar komt nog bij dat Nederlandse rechters het in het tweede lid van artikel 5 AVG genoemde "aantoonbaarheidsvereiste" niet serieus toepassen. Een verwerkingsverantwoordelijke moet de noodzakelijkheid van een bepaalde gegevensverwerking kunnen demonstreren (aantonen), maar in de praktijk (d.w.z. in de Nederlandse rechtspraktijk) hoeft een verwerkingsverantwoordelijke alleen maar te zeggen dat-ie de betreffende verwerking nodig vindt(!) voor één of ander algemeen geformuleerd doel (bv. "veiligheid", "efficiëntie", "fraudepreventie" e.d.), waarna Nederlandse rechters onmiddellijk braaf knikken: "Oh, ja hoor, de toezichthouder mag het aannemelijk vinden dat die gegevensverwerking nodig is, en dus is de noodzakelijkheid van de gegevensverwerking aangetoond." Het verschil tussen "aannemen dat iets nodig is" en "aantonen dat iets nodig is" lijkt aan Nederlandse rechters voorbij te zijn gegaan, of verloren te zijn gegaan in hun bestuursrechtelijke methodiek van "marginale toetsing" (dat vaak als eufemisme functioneert voor het ontbreken van toetsing). Ik weet niet of er in hun universitaire opleidingen tegenwoordig aandacht wordt besteed aan het onderscheid tussen "aannemen", "aantonen" en "toetsen". Zo ja, dan zijn ze het na hun opleiding kennelijk zo snel mogelijk weer vergeten.

Het door jou genoemde Criterium 3) is in de praktijk evenmin een hoge drempel, omdat Nederlandse rechters zich vrij voelen om die "afweging" op zeer subjectieve gronden te maken, zonder zich gebonden te achten aan artikel 8 EVRM. Zo kan het komen dat sommige rechters het belang van een organisatie bij "marketing" of "efficiëntie" zwaarder kunnen vinden wegen dan het grondrecht van de klanten van die organisatie op privacy. Want ja, die organisatie is groot en goed vernetwerkt met het Nederlandse bestuur, terwijl de burger die graag privacy wil, door de rechters veel minder interessant wordt gevonden. Als gevolg van die affiniteit van rechters met politiek-bestuurlijke percepties achten zij de belangen van burgers "kleiner".

Vandaar dat de woede van een deel van de Nederlandse bevolking over "D66-rechters" begrijpelijk is, ook los van de vraag naar de concrete partijpolitieke voorkeuren van de betreffende rechters.

In theorie klopt het wat je hier zegt, en in abstracto wordt dat door rechters ook plechtstatig en voornaam onderschreven. Maar in concreto, d.w.z. in de Nederlandse rechtspraktijk, werkt het anders (zie boven).

De in overweging 47 AVG genoemde "verwachtbaarheid" is opnieuw een zeer vaag criterium. Er staat letterlijk: "...rekening houdend met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke. Een dergelijk gerechtvaardigd belang kan bijvoorbeeld aanwezig zijn wanneer sprake is van een relevante en passende verhouding tussen de betrokkene en de verwerkingsverantwoordelijke, in situaties waarin de betrokkene een klant is of in dienst is van de verwerkingsverantwoordelijke." Wat is "passend"? In de zes jaar tussen 2018 en heden hebben rechters allerlei privacy-schendingen om onduidelijke redenen "passend" gevonden.

Tja, de Azteken vonden het passend om mensenoffers te brengen. Big deal. Nederlandse rechters, zeker op de hogere niveaus (bijv. RvS, CrvB) zijn zo verweven met de politiek-bestuurlijke klasse, dat hun perceptie wat "passend" is meer met politiek-bestuurlijke wensen te maken heeft dan met een humanitaire en ethische analyse van de oorspronkelijke en essentiële doelen van internationale en nationale wetgevers, zoals die in de betreffende wetten zijn vervat.

Dit is maar één klein aspect van het probleem. Het wordt door de EU en EU-lidstaten misbruikt om de aandacht af te leiden van wat de EU en haar lidstaten zelf zoals uitspoken op het gebied van het ondermijnen van de rechten van hun eigen burgers. Het is makkelijk om Amerikaanse multinationals tot boemannen te maken.

Ja, daar zijn multinationals handig in.

De betekenis van de AVG hangt in de praktijk af van rechterlijke interpretaties. Sinds 2018 hebben Europese rechters met een aantal interpretaties de AVG "lek geprikt". Daar zijn Big Gov en Big Data heel tevreden mee. Die rechters mogen van hen promotie krijgen.

Nee. De AVG voorziet in samenwerking tussen de toezichthouders in verschillende EU-lidstaten (artt.56 en 60-62 AVG, waarin het begrip "leidende toezichthouder" van belang is). Bovendien zijn de toezichthouders verenigd zijn in EDPB.

Het werkelijke probleem is dat toezichthouders meestal geen zin hebben om hun bevoegdheden op het gebied van samenwerking met elkaar effectief te gebruiken. Daardoor is er op dat punt ook nog weinig jurisprudentie ontwikkeld.

De DSA (Digital Services Act) biedt geen enkele oplossing voor het ontbreken van legale handhaving van privacy, en al helemaal niet voor de hierboven door mij genoemde ondeugdelijke rechterlijke interpretaties van de AVG. De DSA kan weliswaar worden gebruikt om grote internetbedrijven zoals Meta/Facebook op sommige punten aan te pakken, overigens op een manier die de vrijheid van meningsuiting in de EU ondermijnt. Maar burgers die hun eigen privacy willen beschermen, kunnen zelf geen beroep doen op de DSA. De DSA is een cadeautje dat machthebbers aan zichzelf hebben gegeven, ten koste van bepaalde rechten van burgers en particuliere bedrijven.

De DSA kan door de EU ingezet worden als machtsmiddel om multinationals te chanteren voor relatief willekeurige doelen. Maar dat heeft op zichzelf niets met privacybescherming te maken. Natuurlijk, elk chantagemiddel kan worden ingezet om verschillende doelen te bereiken, dus als het de EU om opportunistische redenen goed uitkomt om op enig moment een keertje Meta in het nauw te drijven en daar dan ook het aspect "privacy" bij te betrekken, omwille van wat positieve propaganda voor de DSA, dan kan de EU dat doen. Dat is dan vergelijkbaar met hoe de VS in 2003 zijn militaire machtsmiddelen inzette toen de VS Irak binnenviel om een akelige dictator af te zetten en zogenaamd "democratie te brengen". Een politiek opportuun geachte inzet van zo'n machtsmiddel is echter iets heel anders dan een functionerende, structurele rechtsbescherming voor burgers.

Op deze manier wordt privacy tot een politieke gunst die door Europese machthebbers naar believen kan worden uitgedeeld aan welgevallige groepen burgers, maar ook naar believen weer kan worden ingetrokken - op basis van volstrekt ondoorzichtige "belangenafwegingen", waarbij het heersende bewind de uitkomsten van haar eigen afwegingen uiteraard "gerechtvaardigd" vindt.

M.J.