Sovim SA (HvJ EU, C-37/20 en C-601/20) – Actieve openbaarmaking van data op het internet in strijd met het Handvest

1. Weer legt het EU Hof van Justitie een bom onder een regime dat tot openbaarmaking van gegevens strekt. In 2021 wees het Hof reeds een verstrekkend arrest[1] over Letse wetgeving waarin toegang tot data kon worden verkregen door iedereen die daarom verzocht. Daarbij werd niet gekeken naar welk doel de verzoekende partij nastreefde en dus ook niet naar de vraag of dat doel in overeenstemming was met het oorspronkelijke doel van de gegevensverwerking, in casu het tegengaan van verkeersovertredingen en daarmee het vergroten van de verkeersveiligheid. Omdat niet was aangetoond dat de nieuwe verwerkingen dat oorspronkelijke doel dienden constateerde het Hof van Justitie een schending van de Algemene Verordening Gegevensbescherming (AVG), die onder meer het vereiste van doelspecificatie en -binding kent in art. 5: ‘voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt.’ De uitspraak legde een potentiële bom onder de EU regimes voor open data en hergebruik van overheidsinformatie, zoals de Richtlijn Open Overheid.[2]

2. Een probleem is dat de EU globaal twee soorten wetten aanneemt die moeilijk met elkaar verenigbaar zijn: privacy- en gegevensbeschermingswetgeving aan de ene kant en wetgeving aangaande open data en het hergebruik van informatie aan de andere kant. In de laatste wetgeving staat doorgaans vermeld dat de wetgeving niets afdoet aan de rechten op privacy en gegevensbescherming, zoals onder meer vervat in de Algemene Verordening Gegevensbescherming;[3] bovendien gaan art. 7 en 8 van het Handvest van de Grondrechten van de EU boven secundaire wetgeving op het punt van open data en het hergebruik van data. Als er dus persoonsgegevens in een dataset staan of daaruit vallen af te leiden, dan moet er volledig rekening worden gehouden met de principes uit de AVG en de regels die zijn uitgekristalliseerd in de jurisprudentie aangaande het fundamentele recht op privacy en gegevensbescherming. Daarbij moet worden bedacht dat bijna alle datasets persoonsgegevens bevatten en dat zelfs sterk geanonimiseerde datasets vaak toch kunnen worden gereïdentificeerd of in een combinatie met andere datasets kunnen leiden tot persoonsgegevens.[4] Dit levert grote knelpunten op, omdat het openbaar maken voor hergebruik contrair lijkt aan vrijwel de meeste uitgangspunten van de AVG. Zo vereist de AVG het vertrouwelijk behandelen van gegevens en het beveiligen van de gegevens, zodat derden daar geen toegang tot krijgen; is het uitgangspunt dat gegevens alleen voor het oorspronkelijke doel mogen worden verwerkt en dus niet mogen worden hergebruikt voor andere doeleinden (bijvoorbeeld overheidsdata die voor commerciële doeleinden worden hergebruikt); en dat gegevensverwerking zo minimaal mogelijk moet zijn en dat de data weer verwijderd moeten worden zodra ze niet meer nodig zijn voor het oorspronkelijke doel van verwerking.

3. Alhoewel experts er zeker sinds 2003[5] op wijzen dat de twee juridische raamwerken zich fundamenteel niet tot elkaar verhouden en er dus meer duidelijkheid dient te worden verschaft,[6] heeft de EU dat nochtans niet gedaan. Sterker nog, het is meer en meer in gaan zetten op strengere privacy- en gegevensbeschermingswetgeving en tegelijkertijd op richtlijnen die partijen steeds meer aanzetten om gegevens actief openbaar te maken voor hergebruik door derde partijen. Een gevolg van deze constellatie is dat zowel nationale overheden als dataverwerkende organisaties zich met twee verschillende EU raamwerken geconfronteerd zagen en meenden daar een ‘balans’ in te moeten zoeken. Dat betekende doorgaans dat zij gegevens wel openbaar maakten, maar bijvoorbeeld de meest direct identificerende of gevoelige persoonsgegevens uit de datasets filterden. Dat is problematisch omdat juridisch gezien het volstrekt duidelijk is dat het niet gaat om twee gelijkwaardige juridische stelsels; gegevens mogen alleen openbaar worden gemaakt voor hergebruik als dat volledig voldoet aan alle eisen die volgen uit art. 7 en 8 van het Handvest, de AVG en andere privacy- en gegevensbeschermingswetgeving. In de Letse zaak uit 2021 bevestigde het Hof dit expliciet. Alhoewel het daar ging om passieve openbaarmaking (openbaarmaking van data op verzoek), lijkt de meest logische interpretatie om de uitspraak ook door te trekken naar actieve openbaarmaking (het op eigen initiatief openbaar maken van datasets, vaak op het internet, doorgaans toegankelijk voor iedereen zonder voorwaarden). Ondanks dat deze uitspraak werd verspreid onder overheidsorganisaties die data openbaar maakten, gingen de meesten door met business as usual. Wellicht dat de onderhavige uitspraak van het Hof uit eind 2022 hier verandering in brengt.

4. De zaak gaat over het openbaar maken van gegevens over marktpartijen. Bij marktverkeer is altijd een zekere mate van openbaarheid gebruikelijk geweest; zo zijn bedrijven geregistreerd, met de namen van de bestuurders en eventuele wederwaardigheden, zodat de betrouwbaarheid van partijen kan worden gecontroleerd. Bijvoorbeeld een onderzoeksbureau met de naam Veritas klinkt veelbelovend, maar als blijkt dat Diederik Stapel de directeur is kan er toch enige aarzeling bestaan om met dit bedrijf in zee te gaan. Aan de traditie van openbaarheid op dit punt zijn er vanaf 2001 successievelijk en gradueel twee zaken veranderd (net zoals dat er meer in het algemeen een traditie bestond van openbaarheid van bestuur waarin kritische burgers en onderzoeksjournalisten toegang konden krijgen tot specifieke overheidsdocumenten, maar dat dit door de EU is veranderd door te eisen dat overheidsinformatie actief openbaar wordt gemaakt, voor iedereen toegankelijk is, voor hergebruik geschikt wordt gemaakt en dat dit niet de controle op de macht ten doel heeft, maar het hergebruik voor commerciële doeleinden). Ten eerste heeft de EU gestimuleerd dat bestaande data over marktpartijen actief openbaar worden gemaakt, bij voorkeur op het internet. Dat betekent dat niet alleen marktpartijen navraag doen naar de achtergrond van een bedrijf waar zij mogelijkerwijs zaken mee willen doen, maar dat een ieder de gegevens kan raadplegen. Dat heeft onder meer met zich meegebracht dat bij eenmansbedrijven de naam en het adres van privépersonen beschikbaar is, wat bijvoorbeeld tot ongevraagde advertenties en spam heeft geleid. Ten tweede heeft de EU vereist dat meer data beschikbaar worden gemaakt, ook met het oog op andere doeleinden. Een voorbeeld is de Richtlijn aangaande witwassen en terrorismefinanciering,[7] waaruit volgt dat informatie over begunstigden van ondernemingen openbaar dient te worden gemaakt. De Luxemburgse implementatiewet, waar het in casu om draait, vereiste dat de volgende informatie over de uiteindelijk begunstigden van de geregistreerde entiteiten moet worden ingeschreven en bewaard in het register van de uiteindelijk begunstigden: naam, nationaliteit(en), geboortedag, geboortemaand, geboortejaar, geboorteplaats, woonstaat, volledig privé- of zakelijk adres. Voor personen die zijn ingeschreven in het Rijksregister van natuurlijke personen: het identificatienummer, voor personen die niet in Luxemburg wonen en niet zijn ingeschreven in het Rijksregister van natuurlijke personen: een buitenlands identificatienummer, de aard van het gehouden daadwerkelijke belang en de omvang van het gehouden daadwerkelijke belang.

5. Zowel in de EU richtlijn aangaande witwassen en terrorismefinanciering als in de Luxemburgse wet stond een uitzondering op openbaarmaking die van toepassing is als er onevenredige nadelen waren voor de begunstigde bij de openbaarmaking van deze data. De zaak voor het Hof van Justitie is een samenvoeging van twee zaken die op Luxemburgs niveau speelden en waarover de Luxemburgse rechter prejudiciële vragen heeft gesteld. In beide zaken werd een verzoek om een uitzondering afgewezen. De Luxemburgse rechter stelt een vrij divers palet van vragen die het Hof allemaal onder de privacy- en gegevensbeschermingsnoemer schaart, een teken dat het er inderdaad van uitgaat dat dit het overkoepelende kader is. Het neemt daartoe twee stappen.

6. Ten eerste bekijkt het of er een inmenging is met het recht op privacy en/of gegevensbescherming. Dat is evident zo, omdat het gaat om een verwerking van persoonsgegevens. Sterker nog, zo stelt het Hof, het gaat om een ernstige inmenging,  onder meer omdat de informatie vrijelijk toegankelijk is voor iedereen en omdat het hergebruik van deze informatie voor andere doeleinden dus niet kan worden uitgesloten, zeker nu de gegevens op het internet zijn gepubliceerd en zij kunnen worden opgeslagen en verder verspreid. Dit betekent dat het voor betrokkenen in geval van dergelijke opeenvolgende verwerkingen des te moeilijker of zelfs illusoir wordt zich doeltreffend tegen misbruik te verdedigen.

7. Ten tweede bekijkt het of deze inmenging gerechtvaardigd is. De EU Richtlijn en de Luxemburgse implementatie daarvan geven een juridische basis voor de verwerking van persoonsgegevens. Ook schendt de openbaarmaking van de gegevens niet de essentie of de wezenlijke inhoud van art. 7 en 8 van het Handvest. Ten aanzien van het publieke belang wordt opgemerkt dat de EU, door te voorzien in de toegang tot informatie over uiteindelijk begunstigden beoogt het witwassen van geld en de financiering van terrorisme te voorkomen door via een grotere transparantie een omgeving te creëren die minder gemakkelijk daartoe kan worden gebruikt. Deze doelstelling vormt een doelstelling van algemeen belang die volgens het Hof zelfs zware inmengingen in de door de art. 7 en 8 van het Handvest gewaarborgde grondrechten kan rechtvaardigen.Ten aanzien van het legitieme doel merkt het Hof evenwel iets wezenlijks op. ‘Voor zover de Raad van de Europese Unie in deze context bovendien uitdrukkelijk verwijst naar het beginsel van openheid, zoals dat voortvloeit uit de art.1 en 10 VEU alsook uit art. 15 VWEU, moet worden opgemerkt dat dit beginsel, zoals deze instelling zelf benadrukt, een betere deelneming van de burgers aan het besluitvormingsproces mogelijk maakt en een grotere legitimiteit en meer doelmatigheid en verantwoordelijkheid van de administratie waarborgt ten opzichte van de burgers binnen een democratisch systeem. Hoewel dit beginsel in dit verband vooral concreet gestalte krijgt in eisen van institutionele en procedurele transparantie in het kader van publieke taken, waaronder het gebruik van overheidsmiddelen, ontbreekt een dergelijk verband met openbare instellingen wanneer, zoals in het onderhavige geval, de betrokken maatregel tot doel heeft gegevens betreffende de identiteit van particuliere uiteindelijk begunstigden en de aard en de omvang van hun economische belangen in de vennootschappen en andere juridische entiteiten toegankelijk te maken voor de leden van de bevolking. Bijgevolg kan het beginsel van openheid, zoals dat voortvloeit uit de artikelen 1 en 10 VEU alsook uit artikel 15 VWEU, als zodanig niet worden beschouwd als een doelstelling van algemeen belang die de uit de toegang van de leden van de bevolking tot informatie over uiteindelijk begunstigden resulterende inmenging in de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten kan rechtvaardigen (par. 60-62).’

8. Dan komt het tot de wezenlijke inhoud van de uitspraak, namelijk de vraag naar de noodzakelijkheid, proportionaliteit en subsidiariteit van de inmenging. De Commissie heeft daarbij aangegeven dat het lastig is om toegang tot de gegevens slechts te beperken tot personen of organisaties met een legitiem belang, omdat dat legitieme belang lastig te definiëren is en dus zowel tot grote diversiteit tussen Lidstaten kan leiden als tot zeer restrictieve beperkingen in de toegang tot de gegevens. Daarom is er voor gekozen om simpelweg te bepalen dat iedereen toegang zou moeten hebben tot de data. Met deze redenering maakt het Hof korte metten door te stellen dat ‘het feit dat het moeilijk kan zijn om nauwkeurig vast te stellen in welke gevallen en onder welke voorwaarden publieke toegang tot informatie over de uiteindelijk begunstigden mogelijk is, niet kan rechtvaardigen dat de Uniewetgever bepaalt dat alle leden van de bevolking toegang hebben tot deze informatie (par. 72)’.

9. Het vervolgt door op te merken dat er zeker partijen zijn die een legitiem belang hebben bij toegang tot de informatie, zoals organisaties die zaken willen doen met respectievelijke ondernemingen en journalisten en maatschappelijke organisaties die onderzoek doen naar witwassen en terrorismefinanciering, maar de noodzaak om iedereen toegang te geven tot de informatie ontbreekt. Sterker nog, het Hof stelt dat het in principe primair aan overheidspartijen is om onderzoek te doen naar witwassen en terrorismefinanciering. Het merkt op ‘dat het een feit blijft dat de bestrijding van het witwassen van geld en van terrorismefinanciering in de eerste plaats een zaak is van de overheid en van entiteiten zoals kredietinstellingen of financiële instellingen die uit hoofde van hun activiteiten ter zake specifieke verplichtingen hebben. Het is overigens om die reden dat artikel 30, lid 5, eerste alinea, onder a) en b), van de gewijzigde richtlijn 2015/849 bepaalt dat informatie over de uiteindelijk begunstigde in alle gevallen toegankelijk moet zijn voor de bevoegde autoriteiten en de financiële-inlichtingeneenheden, zonder enige beperking, en voor de meldingsplichtige entiteiten, in het kader van het cliëntenonderzoek (par. 83-84)’.

10. Tot slot zoomt het in op de mogelijkheid voor specifieke partijen om een uitzondering te vragen ten aanzien van de openbaarmaking van hun gegevens. Daarbij is het Hof kritisch op twee bepalingen in de richtlijn die Lidstaten veel interpretatieruimte geven: ten eerste mogen zij zelf bepalen of ook andere dan in de EU richtlijn genoemde informatie openbaar moet worden gemaakt en ten tweede mogen zij bepalen onder welke voorwaarden er een uitzondering geldt. Dit maakt dat de wetgeving op dit punt niet voldoende helder en duidelijk is, zeker gezien de aanzienlijke inmenging op de fundamentele rechten van burgers. Het is overigens interessant dat het Hof dit euvel niet bespreekt onder de vraag of er een voldoende juridische basis is voor de inmenging, omdat zowel het Hof van Justitie als het Europees Hof voor de Rechten van de Mens in toenemende mate aannemen dat er niet alleen een wettelijke basis dient te zijn, maar dat die wet ook aan tal van kwaliteitseisen moet voldoen, zoals dat die voldoende toegankelijk, helder en specifiek dient te zijn.[8] Deze vrijblijvendheid brengt met zich dat er geen evenwichtige afweging heeft plaatsgevonden tussen de nagestreefde publieke doeleinden en de bescherming van de grondrechten als vervat in art.en 7 en 8 van het Handvest.

11. Dit arrest heeft grote commotie veroorzaakt bij nationale Kamers van Koophandel, handelsregisters en andere overheidspartijen die actief gegevens openbaar maken. En terecht. Het Hof benadrukt nog maar weer eens dat art. 7 en 8 van het Handvest boven secundaire wetgeving op het gebied van openbaarheid van informatie en het hergebruik van data gaan. Belangrijk is daarbij dat partijen altijd schermden met het feit dat er geen misbruik van de gegevens hoefde plaats te vinden als de data vrijelijk beschikbaar zouden zijn, dat gegevens niet voor andere, onverenigbare doeleinden hoefden te worden ingezet. Als partij A gegevens openbaar maakt en partij B daar toegang toe krijgt en de gegevens vervolgens verwerkt voor een ander, onverenigbaar doel, dan is dat niet de schuld van partij A, zo werd vaak geopperd, maar die van partij B. Partij B houdt zich immers niet aan de AVG en art. 7 en 8 van het Handvest. Ammehoela, zegt het Hof van Justitie nu: als gegevens op het internet worden gezet en vrijelijk beschikbaar zijn voor iedereen dan kun je er vergif op innemen dat die gegevens ook voor andere doeleinden worden gebruikt. Juridisch geformuleerd: partij A heeft een zorgplicht om alles wat redelijkerwijs mogelijk is te doen om misbruik of onrechtmatig gebruik van de door haar ter beschikking gestelde gegevens te voorkomen. Een belangrijke consequentie van deze uitspraak is ook dat een ander argument van tafel wordt geveegd. Vaak werd gesteld dat er drie doelen voor verwerking waren bij het openbaar maken van gegevens: (1) het oorspronkelijke doel voor de verwerking van partij A, (2) de openbaarmaking van de gegevens door partij A en (3) het nieuwe doel van de verwerking van partij B. In deze lijn van argumentatie dient (2), het openbaar maken van gegevens, dus een eigenstandig doel; het openbaar maken van gegevens is als zodanig een publiek belang, zo werd geopperd, omdat het bijdraagt aan een open samenleving, transparantie en een controleerbare overheid en de controleerbaarheid van commerciële ondernemingen. Experts gaven al langer aan dat dit argument niet opgaat, omdat ‘transparantie’ of soortgelijke doeleinden niet specifiek genoeg zijn om aan het doelspecificatiebeginsel te voldoen (welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden). Het Hof veegt ook dit argument van tafel, waardoor slechts doel (1) en (3) overblijfven en zowel de vraag is in hoeverre (2) bedraagt aan doel (1) als in hoeverre (3) bijdraagt aan doel (1). Hieruit volgt dat publieke en actieve openbaarmaking bijna per definitie problematisch is; deze uitspraak kan derhalve zeer verstrekkende gevolgen hebben. Tot slot valt op dat het Hof zeer kritisch is op EU wetgeving die zeer algemeen en vaag blijft en veel overlaat aan Lidstaten. In hoeverre deze lijn bredere repercussies zal krijgen is nog niet duidelijk, maar EU wetgeving is bijna per definitie vaag en laat bijna altijd veel ruimte over aan Lidstaten, zeker op het gebied van fundamentele rechten. Zelfs de Algemene Verordening Gegevensbescherming, die het fundamentele recht op gegevensbescherming op EU niveau zou neerleggen middels een direct werkend juridisch kader, iets waarvan toen deze optie werd voorgesteld door sommigen werd gezegd dat dat waanzin zou zijn, omdat Verordeningen geschikt zouden zijn om visquota vast te stellen, niet om mensenrechten in te kaderen, kent eigenlijk slechts zeer algemene principes en beginselen, die verdere invulling en concretisering behoeven van Lidstaten, sectoren en gegevensverwerkende organisaties. Het is interessant om te zien of deze bandering door het Hof de komende jaren wordt voortgezet en bredere gevolgen krijgt.  

Bart van der Sloot

[1] B, C‑439/19, 22 juni 2021: ECLI:EU:C:2021:504.

[2] Richtlijn (Eu) 2019/1024 Van Het Europees Parlement En De Raad van 20 juni 2019 inzake open data en het hergebruik van overheidsinformatie.

[3] Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) .

[4] B. Van der Sloot, S. Van Schendel & & C. A. F. López, The influence of (technical) developments on the concept of personal data in relation to the GDPR, 2002,WODC.

[5] Richtlijn 2013/37/EU van het Europees Parlement en de Raad van 26 juni 2013 tot wijziging van Richtlijn 2003/98/EG inzake het hergebruik van overheidsinformatie.

[6] Zie o.a. B. van der Sloot, ‘On the fabrication of sausages, or of open government and private data’, eJournal of eDemocracy & Open Government, 3 2011 (2)).

[7] Richtlijn (EU) 2015/849 van het Europees Parlement en de Raad van 20 mei 2015 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, tot wijziging van Verordening (EU) nr. 648/2012 van het Europees Parlement en de Raad en tot intrekking van Richtlijn 2005/60/EG van het Europees Parlement en de Raad en Richtlijn 2006/70/EG van de Commissie. Richtlijn (EU) 2018/843 van het Europees Parlement en de Raad van 30 mei 2018 tot wijziging van Richtlijn (EU) 2015/849 inzake de voorkoming van het gebruik van het financiële stelsel voor het witwassen van geld of terrorismefinanciering, en tot wijziging van de Richtlijnen 2009/138/EG en 2013/36/EU.

[8] B. Van der Sloot, The quality of law: How the European Court of Human Rights gradually became a European Constitutional Court for privacy cases. J. Intell. Prop. Info. Tech. & Elec. Com. L., 11, 2020,160. G. Malgieri & P. de Hert, One European legal framework for surveillance: The ECtHR’s expanded legality testing copied by the CJEU. In Surveillance and privacy in the digital age: European, transatlantic and global perspectives, 2021. (pp. 255-295. Bloomsbury Publishing.