Guidance
NL

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

guidelines beperkingen rechten van betrokkenen

European Data Protection Board
View source
Nov 21, 2025 edpb-guidelines-beperkingen-rechten-van-betrokkenen Source

Content

Richtsnoeren 10/2020 met betrekking tot de beperkingen krachtens artikel 23 AVG

Versie 2.1

Vastgesteld op 13 oktober 2021

Translations proofread by EDPB Members.

This language version has not been proofread yet.

Versiegeschiedenis

Versie 1.0 15 december 2020 Vaststelling van de richtsnoeren voor openbare raadpleging
Versie 2.0 13 oktober 2021 Vaststelling van de richtsnoeren na openbare raadpleging
Versie 2.1 15 maart2022 Veranderingopmaak

Inhoudsopgave

1 Inleiding ........................................................................................................................5 Inleiding ........................................................................................................................5 Inleiding ........................................................................................................................5
2 De betekenis van beperkingen..........................................................................................6 De betekenis van beperkingen..........................................................................................6 De betekenis van beperkingen..........................................................................................6
3 Vereisten van artikel 23, lid 1, AVG....................................................................................7 Vereisten van artikel 23, lid 1, AVG....................................................................................7 Vereisten van artikel 23, lid 1, AVG....................................................................................7
3.1 Eerbiediging van de wezenlijke inhoud van de grondrechten en fundamentele vrijheden ...7 Eerbiediging van de wezenlijke inhoud van de grondrechten en fundamentele vrijheden ...7 Eerbiediging van de wezenlijke inhoud van de grondrechten en fundamentele vrijheden ...7
3.2 Wetgevingsmaatregelentot vaststelling van beperkingen en het vereiste van voorspelbaarheid (overweging 41 en jurisprudentie van het Hof van Justitie)..............................8 Wetgevingsmaatregelentot vaststelling van beperkingen en het vereiste van voorspelbaarheid (overweging 41 en jurisprudentie van het Hof van Justitie)..............................8 Wetgevingsmaatregelentot vaststelling van beperkingen en het vereiste van voorspelbaarheid (overweging 41 en jurisprudentie van het Hof van Justitie)..............................8
3.3 Gronden voor de beperkingen....................................................................................9 Gronden voor de beperkingen....................................................................................9
3.3.1 Nationale veiligheid, landsverdediging en openbare veiligheid...............................10
3.3.2 Voorkoming, onderzoek, opsporing en vervolging van strafbare feiten of tenuitvoerlegging van straffen, met inbegrip van waarborging tegenen voorkoming van gevaren voor de openbare veiligheid ...........................................................................................10 3.3.2 Voorkoming, onderzoek, opsporing en vervolging van strafbare feiten of tenuitvoerlegging van straffen, met inbegrip van waarborging tegenen voorkoming van gevaren voor de openbare veiligheid ...........................................................................................10 3.3.2 Voorkoming, onderzoek, opsporing en vervolging van strafbare feiten of tenuitvoerlegging van straffen, met inbegrip van waarborging tegenen voorkoming van gevaren voor de openbare veiligheid ...........................................................................................10 3.3.2 Voorkoming, onderzoek, opsporing en vervolging van strafbare feiten of tenuitvoerlegging van straffen, met inbegrip van waarborging tegenen voorkoming van gevaren voor de openbare veiligheid ...........................................................................................10
3.3.3 3.3.3 Andere belangrijke doelstellingen van algemeen belang .......................................10
3.3.4 3.3.4 Bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures..11
3.3.5 voor 3.3.5 voor Voorkoming, onderzoek, opsporing en vervolging van schendingen van beroepscodes gereglementeerde beroepen...................................................................................11
3.3.6 Taakop het gebiedvan toezicht, inspectie of regelgeving die verband houdt metde uitoefening van het openbaar gezag inde in de punten a) toten met e), en punt g) van artikel23 AVG bedoelde gevallen..................................................................................................11 3.3.6 Taakop het gebiedvan toezicht, inspectie of regelgeving die verband houdt metde uitoefening van het openbaar gezag inde in de punten a) toten met e), en punt g) van artikel23 AVG bedoelde gevallen..................................................................................................11 3.3.6 Taakop het gebiedvan toezicht, inspectie of regelgeving die verband houdt metde uitoefening van het openbaar gezag inde in de punten a) toten met e), en punt g) van artikel23 AVG bedoelde gevallen..................................................................................................11
3.3.7 Bescherming van de betrokkene of van de rechten en vrijheden van derden ...........11
3.3.8 Inning van civielrechtelijke vorderingen..............................................................12
3.4 Rechtenvan betrokkenen en verplichtingen van de verwerkingsverantwoordelijke die kunnen worden beperkt ....................................................................................................12 3.4 Rechtenvan betrokkenen en verplichtingen van de verwerkingsverantwoordelijke die kunnen worden beperkt ....................................................................................................12 3.4 Rechtenvan betrokkenen en verplichtingen van de verwerkingsverantwoordelijke die kunnen worden beperkt ....................................................................................................12
3.5 Noodzakelijkheids- en evenredigheidstoets................................................................13 Noodzakelijkheids- en evenredigheidstoets................................................................13 Noodzakelijkheids- en evenredigheidstoets................................................................13
4 Vereisten van artikel 23, lid 2, AVG..................................................................................14 Vereisten van artikel 23, lid 2, AVG..................................................................................14 Vereisten van artikel 23, lid 2, AVG..................................................................................14
4.1 Categorieën van persoonsgegevens..........................................................................15
4.2 Toepassingsgebied van de beperkingen.....................................................................15 Toepassingsgebied van de beperkingen.....................................................................15 Toepassingsgebied van de beperkingen.....................................................................15
4.4 Specificatie van de verwerkingsverantwoordelijke ......................................................16 Specificatie van de verwerkingsverantwoordelijke ......................................................16 Specificatie van de verwerkingsverantwoordelijke ......................................................16
4.5 Opslagperioden......................................................................................................16 Opslagperioden......................................................................................................16 Opslagperioden......................................................................................................16
4.6 Risico's voor de rechten en vrijheden van betrokkenen................................................16 Het recht omvande beperking op de hoogte teworden gesteld, tenzijdit afbreuk doet aan van de beperking .................................................................................................16 Risico's voor de rechten en vrijheden van betrokkenen................................................16 Het recht omvande beperking op de hoogte teworden gesteld, tenzijdit afbreuk doet aan van de beperking .................................................................................................16 Risico's voor de rechten en vrijheden van betrokkenen................................................16 Het recht omvande beperking op de hoogte teworden gesteld, tenzijdit afbreuk doet aan van de beperking .................................................................................................16
4.7 het doel doel doel
5 Raadpleging van de toezichthoudende autoriteiten(artikel 36, lid 4, en artikel 57, lid 1, punt c, AVG)..................................................................................................................................17 Raadpleging van de toezichthoudende autoriteiten(artikel 36, lid 4, en artikel 57, lid 1, punt c, AVG)..................................................................................................................................17 Raadpleging van de toezichthoudende autoriteiten(artikel 36, lid 4, en artikel 57, lid 1, punt c, AVG)..................................................................................................................................17
Niet-inachtneming van de vereisten van artikel 23 AVG door een lidstaat .............................18 Niet-inachtneming van de vereisten van artikel 23 AVG door een lidstaat .............................18 Niet-inachtneming van de vereisten van artikel 23 AVG door een lidstaat .............................18
7 Specifieke elementen voor verwerkingsverantwoordelijken en verwerkers ...........................18
7.1 Verantwoordingsplicht.................................................................................................18 7.1 Verantwoordingsplicht.................................................................................................18
7.2 Uitoefening van de rechten van betrokkenen na de opheffing van de beperking...................18 7.2 Uitoefening van de rechten van betrokkenen na de opheffing van de beperking...................18
7.3 Niet-inachtneming door een verwerkingsverantwoordelijke van een wetgevingsmaatregel 7.3 Niet-inachtneming door een verwerkingsverantwoordelijke van een wetgevingsmaatregel
houdende beperkingen .....................................................................................................19 houdende beperkingen .....................................................................................................19
8 Conclusies....................................................................................................................20
9 Bijlage: Checklists - Artikel 23 AVG in een notendop ..........................................................21
9.1 Vereisten op grond van artikel 23, lid 1, AVG..............................................................21
9.2 Vereisten op grond van artikel 23, lid 2, AVG..............................................................21

Het Europees Comité voor gegevensbescherming (hierna 'de EDPB' genoemd)

Gezien artikel 70, lid 1, punt e), van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (hierna 'AVG' genoemd),

Gezien de EER-overeenkomst en in het bijzonder bijlage XI en protocol 37 bij die overeenkomst, als gewijzigd bij Besluit nr. 154/2018 van het Gemengd Comité van de EER van 6 juli 2018 1 ,

Gezien de artikelen 12 en 22 van zijn reglement van orde,

HEEFT DE VOLGENDE RICHTSNOEREN VASTGESTELD

1 INLEIDING

  1. Dit document heeft tot doel richtsnoeren te bieden voor de toepassing van artikel 23 AVG. Deze richtsnoeren bevatten een grondige analyse van de criteria voor het opleggen van beperkingen, de beoordelingen die moeten worden gemaakt, de wijze waarop betrokkenen hun rechten kunnen uitoefenen zodra de beperking is opgeheven en de gevolgen van inbreuken op artikel 23 AVG.
  2. De bescherming van natuurlijke personen bij de verwerking van persoonsgegevens is een grondrecht. In artikel 16, lid 2, van het Verdrag betreffende de werking van de Europese Unie worden het Europees Parlement en de Raad opgedragen de voorschriften betreffende de bescherming van persoonsgegevens en betreffende het vrije verkeer van persoonsgegevens vast te stellen. De AVG beschermt de rechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op gegevensbescherming. Gegevensbescherming kan niet worden gewaarborgd zonder inachtneming van de rechten en beginselen die in de AVG zijn neergelegd (artikelen 12 tot en met 22 en artikel 34, alsook artikel 5 voor zover de bepalingen van dat artikel overeenkomen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 22 AVG). Al deze rechten en verplichtingen vormen de kern van het grondrecht op gegevensbescherming en de toepassing ervan moet de algemene regel zijn. Elke beperking van het grondrecht op gegevensbescherming moet met name in overeenstemming zijn met artikel 52 van het Handvest van de grondrechten van de Europese Unie ('het Handvest').
  3. Tegen deze achtergrond moet artikel 23 AVG worden gelezen en geïnterpreteerd. Het artikel heeft als opschrift 'Beperkingen'. In het artikel is bepaald dat de toepassing van sommige bepalingen van de verordening betreffende de rechten van de betrokkenen en de verplichtingen van de verwerkingsverantwoordelijken door middel van een Unierechtelijke of lidstaatrechtelijke wetgevingsmaatregel kan worden beperkt in de situaties die in het artikel zijn opgesomd. De beperkingen moeten worden gezien als uitzonderingen op de algemene regel dat in de AVG

neergelegde rechten en verplichtingen van toepassing zijn 2 . Als zodanig moeten deze beperkingen restrictief worden geïnterpreteerd, en alleen worden toegepast in welomschreven omstandigheden en alleen wanneer aan bepaalde voorwaarden is voldaan.

  1. Zelfs in uitzonderlijke situaties kan de bescherming van persoonsgegevens niet in haar geheel worden beperkt. Deze bescherming moet overeenkomstig artikel 23 AVG bij alle noodmaatregelen worden gehandhaafd en draagt aldus bij tot de eerbiediging van de overkoepelende waarden van democratie, rechtsstaat en grondrechten waarop de Unie is gegrondvest: bij elke maatregel die door lidstaten wordt genomen, dienen de algemene rechtsbeginselen en de wezenlijke inhoud van de grondrechten en fundamentele vrijheden te worden geëerbiedigd; dergelijke maatregelen mogen niet onherroepelijk zijn; en de verwerkingsverantwoordelijken en verwerkers moeten de voorschriften inzake gegevensbescherming blijven naleven.
  2. Er zij op gewezen dat de in artikel 5, lid 2, AVG neergelegde verantwoordingsplicht nog steeds van toepassing is in gevallen waarin op grond van het recht van de Unie of van de lidstaten beperkingen mogen worden ingesteld ten aanzien van de rechten van betrokkenen of van de verplichtingen van de verwerkingsverantwoordelijken (met inbegrip van gezamenlijke verwerkingsverantwoordelijken 3 ) en verwerkers 4 . Dit betekent dat de verwerkingsverantwoordelijke verantwoordelijk is voor de naleving van het EU-kader voor de gegevensbescherming, waaronder de beginselen betreffende de verwerking van de gegevens van betrokkenen, en aan de betrokkenen moet kunnen aantonen dat hij of zij hieraan voldoet.
  3. Bij de vaststelling van beperkingen op grond van artikel 23 AVG, moet de Unie- of nationale wetgever ervoor zorgen dat deze voldoen aan de vereisten van artikel 52, lid 1, van het Handvest, en met name een evenredigheidsbeoordeling uitvoeren, zodat de beperkingen niet verder gaan dan wat strikt noodzakelijk is.

2 DE BETEKENIS VAN BEPERKINGEN

  1. De term 'beperkingen' is niet gedefinieerd in de AVG. In artikel 23 en overweging 73 AVG worden alleen de voorwaarden opgesomd waaronder beperkingen kunnen worden toegepast.
  2. In deze richtsnoeren wordt de term beperkingen gedefinieerd als elke beperking van de reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34 AVG, alsmede in de overeenkomstige bepalingen van artikel 5, zoals vastgesteld in artikel 23 AVG. Een beperking van een individueel recht moet belangrijke doelen waarborgen, bijvoorbeeld de bescherming van de rechten en vrijheden van anderen of belangrijke doelstellingen van algemeen openbaar belang van de Unie of van een lidstaat die zijn opgesomd in artikel 23, lid 1, AVG. Beperkingen van de rechten van

3 In geval van gezamenlijke verwerkingsverantwoordelijkheid, met name als de verwerkingsverantwoordelijken uit verschillende lidstaten afkomstig zijn, moet rekening worden gehouden met de beperkingen die overeenkomstig artikel 23 van toepassing zijn, en moeten de gezamenlijke verwerkingsverantwoordelijken hun respectieve rol in de regeling verduidelijken.

4 Hoewel de richtsnoeren voortaan alleen naar 'verwerkingsverantwoordelijken' verwijzen, zijn de aanbevelingen, waar van toepassing, ook gericht tot verwerkers.

betrokkenen mogen derhalve alleen worden ingevoerd wanneer de genoemde belangen in het geding zijn 5 en deze beperkingen tot doel hebben deze belangen te beschermen.

  1. Bijgevolg moeten de gronden voor de beperking duidelijk zijn. Beperkingen zijn alleen rechtmatig als zij door middel van een wetgevingsmaatregel zijn vastgesteld, betrekking hebben op een beperkt aantal in artikel 23 AVG 6 opgesomde rechten van betrokkenen en/of verplichtingen van verwerkingsverantwoordelijken, de wezenlijke inhoud van de betrokken grondrechten en fundamentele vrijheden eerbiedigen, in een democratische samenleving noodzakelijk en evenredig zijn en een van de in artikel 23, lid 1, AVG genoemde gronden waarborgen, zoals hieronder wordt beschreven.
  2. Zoals in overweging 73 AVG is vermeld, moeten deze beperkingen voorts in overeenstemming zijn met de vereisten van het Handvest en het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.
  3. Naast de in artikel 23 bedoelde beperkingen bevat de AVG ook bepalingen betreffende specifieke verwerkingssituaties overeenkomstig hoofdstuk IX, waarin de lidstaten bij wet specifieke maatregelen kunnen vaststellen die gevolgen hebben voor de rechten van de betrokkenen, zoals uitzonderingen of afwijkingen (bijvoorbeeld de artikelen 85 of 89 AVG). Deze richtsnoeren hebben echter geen betrekking op dergelijke gevallen.
  4. De beperking van de reikwijdte van de in de artikelen 12 tot en met 22 en artikel 34 bedoelde verplichtingen en rechten kan verschillende vormen aannemen, maar mag nooit zover gaan dat sprake is van een algemene schorsing van alle rechten. Wetgevingsmaatregelen tot vaststelling van beperkingen op grond van artikel 23 AVG mogen er ook in voorzien dat de uitoefening van een recht tijdelijk wordt uitgesteld, dat een recht gedeeltelijk wordt uitgeoefend of tot bepaalde categorieën van gegevens wordt beperkt, of dat een recht indirect via een onafhankelijke toezichthoudende autoriteit kan worden uitgeoefend.

3 VEREISTEN VAN ARTIKEL 23, LID 1, AVG

  1. Artikel 23, lid 1, AVG bevat een aantal vereisten, die hieronder worden toegelicht. Aan al deze vereisten moet worden voldaan om een maatregel rechtmatig te kunnen inroepen.

3.1 Eerbiediging van de wezenlijke inhoud van de grondrechten en fundamentele vrijheden

  1. Een van de belangrijkste doelen van de wetgeving inzake gegevensbescherming is betrokkenen meer zeggenschap te geven over de persoonsgegevens die op hen betrekking hebben. Elke beperking dient de wezenlijke inhoud te eerbiedigen van het recht dat wordt beperkt. Dit betekent dat beperkingen die dermate ruim en ingrijpend zijn dat zij een grondrecht inhoudsloos maken, niet kunnen worden gerechtvaardigd. In ieder geval zou een algemene uitsluiting van de rechten van betrokkenen met betrekking tot alle of specifieke gegevensverwerkingen of met betrekking tot specifieke verwerkingsverantwoordelijken de essentie van het grondrecht op bescherming van persoonsgegevens, zoals neergelegd in het Handvest, niet eerbiedigen. Indien afbreuk wordt gedaan aan de wezenlijke inhoud van het recht, wordt de beperking onrechtmatig beschouwd, zonder dat

5 Een uitputtende lijst van deze belangen is opgenomen in artikel 23, lid 1, AVG.

6 Er zijn bepaalde rechten die niet kunnen worden beperkt op grond van artikel 23 AVG, zoals het recht om een klacht in te dienen bij de toezichthoudende autoriteit (artikel 77 AVG).

  • verder behoeft te worden beoordeeld of zij een doel van algemeen belang dient dan wel aan de criteria van noodzakelijkheid en evenredigheid voldoet.
  1. Om deze zeggenschap te waarborgen, beschikken betrokkenen over een aantal rechten binnen het kader van het recht op gegevensbescherming en heeft de verwerkingsverantwoordelijke een aantal verplichtingen ten opzichte van de betrokkene, zoals neergelegd in de artikelen 12 tot en met 22 en artikel 34 AVG, alsmede in artikel 5, voor zover de bepalingen daarvan overeenstemmen met de rechten en verplichtingen van de artikelen 12 tot en met 22 AVG. Tegen deze achtergrond moet artikel 23 AVG worden gelezen en geïnterpreteerd.

3.2 Wetgevingsmaatregelen tot vaststelling van beperkingen en het vereiste van voorspelbaarheid (overweging 41 en jurisprudentie van het Hof van Justitie)

  1. Het vereiste van voorspelbaarheid van een wetgevingsmaatregel houdt in dat verwerkingsverantwoordelijken zich alleen kunnen beroepen op een beperking als bedoeld in artikel 23 AVG voor zover deze beperking in Unierecht of lidstatelijk recht is gespecificeerd. Zonder de overeenkomstige wetgevingsmaatregel kunnen verwerkingsverantwoordelijken zich niet rechtstreeks beroepen op de in artikel 23, lid 1, AVG genoemde gronden . Overweging 41 AVG luidt als volgt: '[W]anneer in deze verordening naar een rechtsgrond of een wetgevingsmaatregel wordt verwezen, vereist dit niet noodzakelijkerwijs dat een door een parlement vastgestelde wetgevingshandeling nodig is, onverminderd de vereisten overeenkomstig de grondwettelijke orde van de lidstaat in kwestie. Deze rechtsgrond of wetgevingsmaatregel moet evenwel duidelijk en nauwkeurig zijn, en de toepassing daarvan moet voorspelbaar zijn voor degenen op wie deze van toepassing is, zoals vereist door de rechtspraak van het Hof van Justitie van de Europese Unie [...] en het Europees Hof voor de Rechten van de Mens' 7 .
  2. Volgens artikel 52, lid 1, van het Handvest moet elke beperking van de uitoefening van de in het Handvest erkende rechten en vrijheden 'bij wet worden gesteld'. Dit sluit aan bij de uitdrukking 'bij de wet is voorzien' uit artikel 8, lid 2, van het Europees Verdrag tot bescherming van de rechten van de mens 8 . Deze uitdrukking houdt niet alleen in dat de nationale wet moet worden nageleefd, maar heeft ook betrekking op de kwaliteit van die wet, onverminderd de aard van de maatregel, en vereist dat deze voldoet aan de eisen van de rechtsstaat. Met name moet de nationale wet voldoende duidelijk zijn geformuleerd om eenieder in toerekende mate te kennen te geven in welke omstandigheden en onder welke voorwaarden zij verwerkingsverantwoordelijken machtigt, dergelijke beperkingen in te voeren . Dezelfde strikte norm moet worden toegepast op beperkingen die door lidstaten kunnen worden opgelegd. Overeenkomstig de AVG en de jurisprudentie van het Hof

7 Het overwogen type wetgevingsmaatregelen moet in overeenstemming zijn met het Unierecht of met het nationaal recht. Afhankelijk van de mate van inmenging als gevolg van de beperking kan, rekening houdend met

het niveau van de norm, een bepaalde wetgevingsmaatregel op nationaal niveau vereist zijn.

van Justitie van de Europese Unie (Hof) en het Europees Hof voor de Rechten van de Mens (EHRM) is het immers van essentieel belang dat wetgevingsmaatregelen die de reikwijdte van de rechten van de betrokkenen of van de verplichtingen van de verwerkingsverantwoordelijke beogen te beperken, voorzienbaar zijn voor de betrokkenen.

  1. Hoewel elke wetgevingsmaatregel in elk geval aangepast moet zijn aan het nagestreefde doel en moet voldoen aan het voorzienbaarheidscriterium, hoeft een wetgevingsmaatregel tot vaststelling van de bepalingen voor de toepassing van beperkingen op grond van artikel 23 AVG niet altijd in de tijd te worden beperkt of aan een specifieke periode te worden gekoppeld.
  • a. In sommige gevallen is de beperking niet specifiek aan een termijn gebonden, omdat de grond voor de beperking die door de wetgevingsmaatregel moet worden gewaarborgd, zelf niet in de tijd beperkt is. In het licht van het noodzakelijkheidsen het evenredigheidsbeginsel moet ervoor worden gezorgd dat dergelijke wetgevingsmaatregelen betrekking hebben op een beperkingsgrond die in een democratische samenleving continu of permanent moet worden gewaarborgd. Een wetgevingsmaatregel die de reikwijdte van de in de artikelen 12 tot en met 22 en artikel 34 neergelegde verplichtingen en rechten beperkt om de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures te waarborgen, kan bijvoorbeeld worden beschouwd als een maatregel waarmee een constant doel in een democratische samenleving wordt nagestreefd, zodat deze maatregel niet in de tijd hoeft te worden beperkt.
  • b. In andere gevallen is de te waarborgen grond voor de beperking zelf in de tijd beperkt en moet de wetgevingsmaatregel derhalve een tijdsbeperking bevatten om aan het voorzienbaarheidscriterium te voldoen. Wanneer bijvoorbeeld in het kader van een noodtoestand beperkingen worden ingevoerd om de volksgezondheid te beschermen, is de EDPB van oordeel dat beperkingen die voor een niet precies afgebakende tijdsperiode worden opgelegd, niet aan het voorzienbaarheidscriterium voldoen, evenmin wanneer dergelijke beperkingen met terugwerkende kracht van toepassing zijn of aan niet nader omschreven voorwaarden onderworpen zijn 9 .
  1. Dit verband tussen de voorgenomen beperkingen en het nagestreefde doel moet duidelijk zijn vastgelegd en blijken uit de betrokken wetgevingsmaatregel of aanvullende documenten. Zo is een pandemie alleen geen voldoende reden voor enige beperking van de rechten van betrokkenen; een beperking moet veeleer duidelijk bijdragen tot de waarborging van een belangrijk doel van algemeen openbaar belang van de Unie of van een lidstaat.

3.3 Gronden voor de beperkingen

  1. Om een wetgevingsmaatregel houdende beperkingen te kunnen vaststellen en een beperking in een concreet geval te kunnen toepassen, moet aan een of meer van de volgende voorwaarden van artikel 23, lid 1, AVG zijn voldaan. Deze lijst is uitputtend, wat betekent dat er geen beperkingen kunnen worden opgelegd op grond van andere voorwaarden dan die welke hieronder zijn vermeld.
  2. Het verband tussen de voorgenomen beperkingen en het nagestreefde doel moet duidelijk in de wetgevingsmaatregel zijn aangegeven.

9 Zie ook punt 46.

3.3.1 Nationale veiligheid, landsverdediging en openbare veiligheid

  1. De rechten van de betrokkene kunnen worden beperkt met het oog op de waarborging van de nationale of openbare veiligheid en/of de landsverdediging van de lidstaten, zoals in artikel 23, lid 1, punten a), b) en c), AVG is bepaald.
  2. De openbare veiligheid omvat bovendien de bescherming van mensenlevens, met name bij natuurrampen of door de mens veroorzaakte rampen.

3.3.2 Voorkoming, onderzoek, opsporing en vervolging van strafbare feiten of tenuitvoerlegging van straffen, met inbegrip van waarborging tegen en voorkoming van gevaren voor de openbare veiligheid

  1. In bepaalde gevallen kan het verstrekken van informatie aan betrokkenen tegen wie een onderzoek loopt, het welslagen van dat onderzoek in gevaar brengen. Daarom kan het noodzakelijk zijn om het recht op informatie of andere rechten van de betrokkene te beperken op grond van artikel 23, lid 1, punt d), AVG. Dit is bijvoorbeeld van belang in het kader van de bestrijding van witwassen of de werkzaamheden van forensische laboratoria 10 .
  2. Niettemin moet de niet-verstrekte informatie overeenkomstig de jurisprudentie van het Hof alsnog worden verstrekt zodra het onderzoek dat wordt verricht, daardoor niet meer in gevaar kan worden gebracht 11 . Dit betekent dat de betrokkene zo spoedig mogelijk een specifieke (op maat gesneden) gegevensbeschermingsverklaring moet worden toegezonden, waarin zijn rechten worden vermeld, zoals inzage, rectificatie enz.
  3. Het doel om de openbare veiligheid te waarborgen, omvat ook de bescherming van mensenlevens, met name in geval van natuurrampen of door de mens veroorzaakte rampen 12 .

3.3.3 Andere belangrijke doelstellingen van algemeen belang

  1. In artikel 23, lid 1, punt e), AVG worden andere belangrijke doelstellingen van algemeen belang van de Unie of een lidstaat genoemd, namelijk een belangrijk economisch of financieel belang, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid. Het kan bijvoorbeeld gaan om het houden van openbare registers die nodig zijn om redenen van algemeen belang of voor de verdere verwerking van gearchiveerde persoonsgegevens teneinde specifieke informatie over het politieke gedrag onder voormalige totalitaire regimes te verkrijgen 13 . De kosten die het verstrekken van informatie met zich meebrengt en derhalve de financiële druk op de overheidsbegrotingen volstaan echter niet als redenen van openbaar belang om de rechten van de betrokkenen te beperken. Een belastingdienst kan bijvoorbeeld beperkingen aan het recht van inzage van de betrokkene stellen wanneer tegen deze betrokkene een onderzoek loopt dat door de belastingdienst in het kader van zijn wettelijke taak wordt uitgevoerd, voor zover deze inzage het lopende onderzoek in gevaar zou brengen. Een dergelijke beperking mag evenwel niet langer van kracht zijn dan nodig is voor het specifieke onderzoek en moet worden opgeheven zodra de belastingdienst het onderzoek heeft afgesloten. De betrokkene moet hier onverwijld over worden geïnformeerd en tevens in kennis worden gesteld van de motivering van het besluit van de verwerkingsverantwoordelijke en van de datum met ingang waarvan de betrokkene zijn of haar recht van inzage opnieuw kan uitoefenen. Ook moet worden gezorgd voor passende waarborgen, zoals

10 Overweging 19 AVG.

12 Overweging 73 AVG.

13 Overweging 73 AVG.

  • bijvoorbeeld een indirecte inzage 14 - wanneer de nationale wetgeving daarin voorziet - zodat een onafhankelijke autoriteit de rechtmatigheid van de verwerking kan controleren.
  1. Teneinde de doelstelling van algemeen belang van toegankelijkheid van het recht te waarborgen, kan een overheidsinstantie beperkingen stellen aan het recht om bezwaar te maken tegen de verwerking van gepseudonimiseerde persoonsgegevens ten behoeve van de opstelling van een benchmarkdocument en van informatie waarin per soort schade de door de partijen bij een geschil gevorderde en aangeboden bedragen worden vermeld, alsmede de bedragen die door administratieve en burgerlijke rechtbanken in hoger beroep zijn toegekend aan slachtoffers als vergoeding voor hun lichamelijk letsel. Dergelijke beperkingen zijn mogelijk mits aan de voorwaarden van artikel 23, lid 2, AVG wordt voldaan, met name door middel van waarborgen zoals de raming van de schadevergoedingsbedragen, de schrapping van de voor- en achternaam van de partijen bij het geschil en de pseudonimisering van de verwerkte persoonsgegevens.

3.3.4 Bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures

  1. Artikel 23, lid 1, punt f), AVG bepaalt voorts dat bepaalde rechten van betrokkenen of verplichtingen van verwerkingsverantwoordelijken kunnen worden beperkt om de onafhankelijkheid van de rechter en gerechtelijke procedures te beschermen.
  2. De reikwijdte van deze beperkingen moet worden afgestemd op de nationale wetgeving ter zake.

3.3.5 Voorkoming, onderzoek, opsporing en vervolging van schendingen van beroepscodes voor gereglementeerde beroepen

  1. Artikel 23, lid 1, punt g), AVG betreft schendingen van beroepscodes voor gereglementeerde beroepen, zoals artsen en advocaten.
  2. Hierbij gaat het om gevallen waarin een onderzoek in beginsel geen betrekking heeft op strafbare feiten, aangezien bij een onderzoek in verband met een strafbaar feit de in punt 3.3.2 genoemde grond van toepassing zou zijn.

3.3.6 Taak op het gebied van toezicht, inspectie of regelgeving die verband houdt met de uitoefening van het openbaar gezag in de in de punten a) tot en met e), en punt g) van artikel 23 AVG bedoelde gevallen

De in artikel 23, lid 2, punt h), AVG genoemde beperkingsgrond slaat op een mogelijke beperking bij een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten 3.3.1, 3.3.2, 3.3.3 en 3.3.5 bedoelde gevallen.

3.3.7 Bescherming van de betrokkene of van de rechten en vrijheden van derden

  1. Artikel 23, lid 1, punt i), AVG betreft een beperkingsgrond die tot doel heeft de betrokkene of de rechten en vrijheden van anderen te beschermen.
  2. Een beperking ter bescherming van de rechten en vrijheden van anderen kan bijvoorbeeld worden ingevoerd in het kader van een administratief onderzoek en/of een disciplinaire procedure of een onderzoek naar beschuldigingen van pesterijen op de werkplek. In dit geval kan in een wetgevingsmaatregel zijn bepaald dat het recht van inzage van de persoon tegen wie een onderzoek

14 Dat houdt in dat de betrokkene de bevoegde toezichthoudende autoriteit kan verzoeken om de nodige controles en verificaties van de informatie over de betrokkene uit te voeren. Deze indirecte inzage kan bijvoorbeeld worden ingesteld ter bescherming van de staatsveiligheid, de landsverdediging of de openbare veiligheid. De toezichthoudende autoriteit kan dan inzage krijgen in de informatie, deze verifiëren en zo nodig verzoeken om rectificatie of wissing van de verwerkte persoonsgegevens.

of disciplinaire procedure is ingesteld, kan worden beperkt wanneer de identiteit van een vermeend slachtoffer, een vermeende getuige of een vermeende klokkenluider niet kan worden bekendgemaakt om deze persoon tegen vergelding te beschermen. Ook het recht van inzage van het slachtoffer of de getuige kan worden beperkt om het recht op privacy en gegevensbescherming te eerbiedigen van de persoon tegen wie een onderzoek of disciplinaire procedure is ingesteld.

3.3.8 Inning van civielrechtelijke vorderingen

  1. In artikel 23, lid 1, punt j), AVG wordt verder de inning van civielrechtelijke vorderingen als beperkingsgrond genoemd. Terwijl artikel 23, lid 1, punt j), AVG beperkingen toestaat ter bescherming van de individuele belangen van een (potentiële) procespartij, staat artikel 23, lid 1, punt f), AVG beperkingen toe ter bescherming van de gerechtelijke procedures zelf en van de toepasselijke procedureregels.

3.4 Rechten van betrokkenen en verplichtingen van de verwerkingsverantwoordelijke die kunnen worden beperkt

  1. Overeenkomstig artikel 23 AVG kunnen alleen de artikelen 12 tot en met 22, artikel 34 AVG en artikel 5, voor zover de bepalingen daarvan overeenstemmen met de in de artikelen 12 tot en met 22 bedoelde rechten en verplichtingen, worden beperkt.

  2. Bij beperkingen van verplichtingen gaat het om beperkingen van de beginselen met betrekking tot de verwerking van persoonsgegevens, voor zover de bepalingen van artikel 5 overeenstemmen met de verplichtingen als bedoeld in de artikelen 12 tot en met 22 AVG, en tot de mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkenen (artikel 34 AVG). Artikel 5 AVG, waarin de beginselen inzake de verwerking van persoonsgegevens zijn vastgesteld, is een van de belangrijkste artikelen van de AVG. Beperkingen met betrekking tot de gegevensbeschermingsbeginselen zijn enkel mogelijk in naar behoren gemotiveerde uitzonderlijke gevallen en moeten de wezenlijke inhoud van de grondrechten en fundamentele vrijheden in kwestie eerbiedigen en door een noodzakelijkheidsen evenredigheidstoets 15 worden voorafgegaan (zie punt 3.5). Hierbij zij erop gewezen dat artikel 5 AVG alleen kan worden beperkt voor zover de bepalingen ervan overeenstemmen met de rechten en verplichtingen waarin de artikelen 12 tot en met 22 AVG voorzien.

  3. Bij beperkingen van rechten gaat het om beperkingen van het recht op transparante informatie (artikel 12 AVG), het recht op informatie (artikelen 13 en 14 AVG), het recht van inzage (artikel 15 AVG), het recht op rectificatie (artikel 16 AVG), het recht op gegevenswissing (artikel 17 AVG), het recht op beperking van de verwerking (artikel 18 AVG), de kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking (artikel 19 AVG), het recht op overdraagbaarheid van gegevens (artikel 20 AVG), het recht van bezwaar (artikel 21 AVG), het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming (artikel 22 AVG).

  4. Dit betekent dat andere rechten van de betrokkene - zoals het recht om een klacht in te dienen bij de toezichthoudende autoriteit (artikel 77 AVG) -of andere verplichtingen van verwerkingsverantwoordelijken niet kunnen worden beperkt.

3.5 Noodzakelijkheids- en evenredigheidstoets

  1. Beperkingen zijn alleen rechtmatig wanneer zij in een democratische samenleving een noodzakelijke en evenredige maatregel vormen, zoals is bepaald in artikel 23, lid 1, AVG. Dit betekent dat beperkingen een noodzakelijkheidsen evenredigheidstoets moeten doorstaan om in overeenstemming te zijn met de AVG 16 . De noodzakelijkheids- en evenredigheidstoets moet worden uitgevoerd voordat de wetgever besluit in een beperking te voorzien.
  2. De te waarborgen doelstelling vormt de achtergrond waartegen de noodzakelijkheid van de maatregel kan worden beoordeeld. Het is derhalve van belang de doelstelling voldoende gedetailleerd te omschrijven teneinde te kunnen beoordelen of de maatregel noodzakelijk is. Indien het in een administratieve procedure bijvoorbeeld noodzakelijk is om een deel van het onderzoek niet bekend te maken, maar bepaalde informatie reeds aan de betrokkenen kan worden verstrekt, dan moet die informatie aan de betrokkene worden verstrekt. In de jurisprudentie van het Hof wordt een strikte noodzakelijkheidstoets toegepast voor beperkingen op de uitoefening van de rechten op bescherming van persoonsgegevens en eerbiediging van het privéleven bij de verwerking van persoonsgegevens: 'uitzonderingen op en beperkingen van de gegevensbescherming [moeten] binnen de grenzen van het strikt noodzakelijke blijven' 17 . Het EHRM past afhankelijk van de context en alle specifieke omstandigheden een strikte noodzakelijkheidstoets toe, zoals met betrekking tot geheime toezichtmaatregelen 18 .
  3. Indien aan deze toets is voldaan, wordt de evenredigheid van de voorgenomen maatregel beoordeeld. Indien de ontwerpmaatregel de noodzakelijkheidstoets niet doorstaat, hoeft de evenredigheid ervan niet te worden onderzocht. Een maatregel waarvan de noodzakelijkheid niet is aangetoond, mag niet worden voorgesteld, tenzij en totdat hij zodanig is gewijzigd dat hij aan de eis van noodzakelijkheid voldoet.
  4. De noodzakelijkheids- en evenredigheidstoets houdt doorgaans in dat de risico's voor de rechten en vrijheden van de betrokkenen worden beoordeeld. De risico's voor de rechten en vrijheden van betrokkenen worden nader toegelicht in punt 4.7 van deze richtsnoeren.
  5. Volgens het evenredigheidsbeginsel mag de inhoud van de wetgevingsmaatregel niet verder gaan dan wat strikt noodzakelijk is om de in artikel 23, lid 1, punten a) tot en met j), AVG genoemde doelstellingen te waarborgen. De beperking moet dus geschikt zijn voor het bereiken van de legitieme doelstellingen die door de wetgeving in kwestie worden nagestreefd en mag de grenzen niet overschrijden van wat passend en noodzakelijk is voor het bereiken van deze doelstellingen. Volgens de jurisprudentie van het Hof kan artikel 23 AVG niet aldus worden uitgelegd dat het de lidstaten de bevoegdheid kan verlenen om afbreuk te doen aan de eerbiediging van de persoonlijke levenssfeer, in strijd met artikel 7 van het Handvest, of aan de andere door het Handvest geboden waarborgen. De bevoegdheid die artikel 23, lid 1, AVG de lidstaten verleent, kan met name slechts worden uitgeoefend

16 In het kader van de opdracht van de toezichthoudende autoriteiten en met het oog op rechtszekerheid is het raadzaam dat de evenredigheids- en noodzakelijkheidstoets wordt gedocumenteerd. Toezichthoudende autoriteiten kunnen om aanvullende documentatie verzoeken.

in overeenstemming met het evenredigheidsvereiste, dat verlangt dat uitzonderingen op de bescherming van persoonsgegevens en beperkingen ervan binnen de grenzen van het strikt noodzakelijke blijven 19 .

  1. Een voorgestelde beperkende maatregel moet worden gestaafd met bewijsmateriaal waarin is beschreven welk probleem met die maatregel wordt aangepakt, hoe het hiermee zal worden aangepakt en waarom bestaande of minder ingrijpende maatregelen het probleem niet voldoende kunnen aanpakken. Ook moet worden aangetoond hoe de voorgestelde inmenging of beperking daadwerkelijk beantwoordt aan doelstellingen van algemeen belang van de staat en de EU of aan de noodzaak om de rechten en vrijheden van anderen te beschermen. De beperking van de gegevensbeschermingsrechten moeten worden toegespitst op specifieke risico's.
  2. Indien beperkingen bijvoorbeeld bijdragen tot de bescherming van de volksgezondheid in een noodtoestand, is de EDPB van oordeel dat de beperkingen strikt moeten zijn begrensd in reikwijdte (bv. het doel, de betreffende rechten van de betrokkenen of de betreffende categorieën van verwerkingsverantwoordelijken) en in tijdsduur. Beperkingen mogen met name niet langer van kracht zijn dan de periode van de noodtoestand. De rechten van de betrokkenen kunnen wel worden beperkt, maar niet worden ontzegd.

4 VEREISTEN VAN ARTIKEL 23, LID 2, AVG

  1. Volgens de jurisprudentie van het Hof moet elke wetgevingsmaatregel die op grond van artikel 23, lid 1, AVG wordt vastgesteld, met name voldoen aan de specifieke vereisten van artikel 23, lid 2, AVG 20 . In artikel 23, lid 2, AVG is bepaald dat de wetgevingsmaatregelen die beperkingen stellen aan de rechten van de betrokkenen en de verplichtingen van de verwerkingsverantwoordelijken, in voorkomend geval, specifieke bepalingen moeten bevatten over de verschillende hieronder uiteengezette criteria. In de regel moeten alle hieronder beschreven vereisten worden opgenomen in de wetgevingsmaatregel die beperkingen oplegt krachtens artikel 23 AVG.
  2. Uitzonderingen op deze regel die zijn ingegeven door het feit dat een of meer bepalingen van artikel 23, lid 2, AVG niet relevant zijn voor de wetgevingsmaatregel die in de beperking van de rechten van betrokkenen voorziet, moeten door de wetgever naar behoren worden gemotiveerd. De interpretatie van de EDPB van de uitdrukking 'in voorkomend geval' in artikel 23, lid 2, AVG hangt samen met de specifieke omstandigheden van een geval.
  3. In artikel 23, lid 2, punt a), AVG worden de doeleinden van de verwerking of de categorieën van verwerking genoemd als een van de specifieke bepalingen die moeten worden vermeld in wetgevingsmaatregelen waarmee de rechten van betrokkenen of verplichtingen van verwerkingsverantwoordelijken worden beperkt. Overeenkomstig overweging 8 AVG moet de reden

voor de beperking begrijpbaar zijn voor de personen op wie zij van toepassing is. Dit houdt ook in dat duidelijk moet zijn hoe en wanneer de beperking van toepassing kan zijn.

  1. Zo kan in de nationale wetgeving inzake preventie en onderzoek van schendingen van de beroepscodes voor gereglementeerde beroepen zijn bepaald dat de informatie gedurende een beperkte tijd niet aan de betrokkene mag worden meegedeeld, indien het doel van het onderzoek kan worden ondermijnd door de openbaarmaking van het feit dat tegen een persoon een onderzoek loopt vanwege een ernstige schending.
  2. De mogelijke doeleinden van de verwerking moeten aan de in punt 3.3 van deze richtsnoeren genoemde beperkingsgronden worden gekoppeld.
  3. Hierbij moet worden opgemerkt dat de uitoefening van de rechten van de betrokkenen de verwerkingsverantwoordelijken soms helpt bij de uitoefening van hun taak. Zo kan het recht op rectificatie bijdragen tot de kwaliteit van de gegevens.

4.1 Categorieën van persoonsgegevens

  1. In artikel 23, lid 2, punt b), AVG is bepaald dat de categorieën van persoonsgegevens waarvoor beperkingen gelden, moeten worden aangegeven in de wetgevingsmaatregel die in deze beperkingen voorziet 21 .
  2. Omdat beperkingen met betrekking tot speciale categorieën van persoonsgegevens grotere gevolgen voor de betrokkenen kunnen hebben, moeten de betrokken speciale categorieën van gegevens eveneens worden vermeld in de wetgevingsmaatregel waarin een dergelijke beperking wordt vastgesteld.

4.2 Toepassingsgebied van de beperkingen

  1. In artikel 23, lid 2, punt c), AVG is voorgeschreven dat ook het toepassingsgebied van de beperkingen moet worden gespecificeerd, d.w.z. op welke rechten zij betrekking hebben en in welke mate zij worden beperkt, bijvoorbeeld dat een beperking alleen betrekking heeft op het recht op beperking van de verwerking (artikel 18 AVG), of dat zij betrekking kan hebben op de inzage, rectificatie en wissing.

4.3 Waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte

  1. In artikel 23, lid 2, punt d), AVG is bepaald dat de wetgevingsmaatregel waarborgen moet bevatten om misbruik of onrechtmatige toegang of doorgifte te voorkomen. Dit betreft met name organisatorische en/of technische maatregelen 22 die nodig zijn om inbreuken of onrechtmatige doorgiften te voorkomen, zoals de veilige opslag van fysieke documenten. In sommige lidstaten bijvoorbeeld kan de uitoefening van rechten met betrekking tot de verwerking in specifieke sectoren plaatsvinden via de bemiddeling van de nationale toezichthoudende autoriteit voor gegevensbescherming.
  2. De wetgevingsmaatregel kan ook betrekking hebben op periodieke maatregelen voor de toetsing van een bepaald besluit inzake beperkingen. De wetgever kan voorstellen dat elke beperking die door de verwerkingsverantwoordelijke wordt uitgevoerd, periodiek moet worden getoetst om na te gaan of deze nog steeds gerechtvaardigd is.

21 Waar mogelijk kan de verwerkingsverantwoordelijke verder gaan en de specifieke gegevenselementen opsommen waarop de beperking van rechten van toepassing kan zijn, zoals de voorlopige resultaten van een onderzoek, een besluit tot opening van een onderzoek enz.

4.4 Specificatie van de verwerkingsverantwoordelijke

  1. Artikel 23, lid 2, punt e), AVG vereist dat in de wetgevingsmaatregel wordt gespecificeerd wie de verwerkingsverantwoordelijke is of wie de categorieën van verwerkingsverantwoordelijken zijn. Deze aanduiding van de verwerkingsverantwoordelijken in de wetgevingsmaatregel komt niet alleen de rechtszekerheid omtrent de verantwoordelijkheid voor de verwerkingsactiviteiten in verband met de beperkingen ten goede, maar zorgt er ook voor dat de betrokkenen kunnen nagaan tot wie zij zich moeten richten wanneer zij hun rechten willen uitoefenen wanneer de beperking eenmaal is opgeheven.

4.5 Opslagperioden

  1. In artikel 23, lid 2, punt f), AVG is bepaald dat de wetgevingsmaatregel een specifieke bepaling moet bevatten betreffende de opslagperioden en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking. De bewaartermijn zou bijvoorbeeld kunnen worden berekend als de duur van de verwerkingsactiviteit vermeerderd met enige extra tijd voor mogelijke geschillen.

4.6 Risico's voor de rechten en vrijheden van betrokkenen

  1. Artikel 23, lid 2, punt g), AVG vereist dat de wetgevingsmaatregel specifieke bepalingen bevat met betrekking tot de risico's voor de rechten en vrijheden van de betrokkenen als gevolg van de beperkingen. Dit is een zeer belangrijke stap met het oog op de noodzakelijkheidsen evenredigheidstoets van de beperkingen.
  2. Het doel van deze beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen is tweeledig. Enerzijds levert deze beoordeling een overzicht op van de gevolgen die beperkingen kunnen hebben voor de betrokkenen. Anderzijds worden elementen aangereikt voor de noodzakelijkheids- en evenredigheidstoets van de beperkingen. In dit verband, en indien van toepassing, moet een gegevensbeschermingseffectbeoordeling worden overwogen 23 .
  3. De wetgever moet de risico's voor de rechten en vrijheden van de betrokkenen beoordelen vanuit het perspectief van de betrokkenen. Het is niet altijd verplicht een gegevensbeschermingseffectbeoordeling uit te voeren, maar concrete risico's voor betrokkenen, zoals foutieve profilering die leidt tot discriminatie, aantasting van de menselijke waardigheid 24 , de vrijheid van meningsuiting, het recht op privacy en gegevensbescherming 25 , een groter effect op kwetsbare groepen (zoals kinderen of personen met een handicap) - om er maar enkele te noemen - kunnen in voorkomend geval in de wetgevingsmaatregel worden vermeld.
  4. Wanneer een dergelijke beoordeling wordt uitgevoerd, acht de EDPB het noodzakelijk deze op te nemen in de overwegingen of de toelichting bij de wetgeving 26 of in de effectbeoordeling 27 .

4.7 Het recht om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk doet aan het doel van de beperking

24 De menselijke waardigheid is een recht dat wordt beschermd door artikel 1 van het Handvest.

25 De artikelen 7 en 8 van het Handvest.

26 Het doel van de toelichting is uitleg te bieden over de redenen voor en de context van een wetgevingsmaatregel aan de hand van de verschillende fasen van het voorbereidingsproces.

27 Zie artikel 35, lid 10, AVG.

  1. In artikel 23, lid 2, punt h), AVG is bepaald dat de betrokkenen op de hoogte moeten worden gesteld van de beperking, tenzij dit afbreuk kan doen aan het doel van de beperking. Dit betekent dat de betrokkenen in het algemeen over de beperking van hun recht op informatie moeten worden ingelicht. Daartoe kan een algemene gegevensbeschermingsverklaring volstaan.
  2. Wanneer een betrokkene bijvoorbeeld op een bijzonder kritiek moment van een administratief onderzoek specifiek vraagt om een bepaald recht uit te oefenen, moet de betrokkene, indien mogelijk, op de hoogte worden gesteld van de redenen voor de beperking. Indien de mededeling van de redenen voor de beperking aan de betrokkene er echter toe zou leiden dat het effect van de beperking teniet wordt gedaan (d.w.z. de voorlopige effecten van het onderzoek zou belemmeren), mag die informatie niet worden bekendgemaakt. Ter bescherming van onderzoeken kunnen beperkingen worden vastgesteld. In dit geval moeten de beperkingen noodzakelijk en evenredig blijven en daartoe moet de verwerkingsverantwoordelijke een beoordeling uitvoeren om na te gaan of het doel van de beperking zou worden ondermijnd, indien de betrokkene op de hoogte wordt gesteld van de beperking.
  3. Met andere woorden, indien de betrokkene om informatie over een mogelijk naar hem of haar lopend onderzoek vraagt, zou de verwerkingsverantwoordelijke in buitengewone omstandigheden bijvoorbeeld in de zeer vroege stadia van een onderzoek - kunnen besluiten deze informatie op dat moment niet te verstrekken, mits deze beperking rechtmatig is en strikt noodzakelijk is om in het specifieke geval geen afbreuk te doen aan het doel van de beperking.
  4. In een later stadium - bijvoorbeeld nadat de voorbereidende fase van het onderzoek is voltooid moeten de betrokkenen een (specifieke) gegevensbeschermingsverklaring ontvangen. Het is in dit stadium nog steeds mogelijk dat bepaalde rechten worden beperkt, zoals het recht op inzage in de informatie over de opening van een onderzoek of de beschuldigingen van potentiële slachtoffers van intimidatie 28 . Dit feit moet in de gegevensbeschermingsverklaring worden vermeld, indien mogelijk samen met een aanduiding van de termijn waarbinnen de rechten volledig zullen worden hersteld.

5 RAADPLEGING VAN DE TOEZICHTHOUDENDE AUTORITEITEN (ARTIKEL 36, LID 4, EN ARTIKEL 57, LID 1, PUNT C, AVG)

  1. Wanneer op het niveau van de lidstaten beperkingen worden vastgesteld, moeten de toezichthoudende autoriteiten overeenkomstig artikel 36, lid 4, AVG worden geraadpleegd vóór de vaststelling van een door een nationaal parlement vast te stellen wetgevingsmaatregel, of een daarop gebaseerde regelgevingsmaatregel tot beperking van de rechten van de betrokkenen uit hoofde van artikel 23 AVG.
  2. Overeenkomstig artikel 57, lid 1, punt c), AVG behoort het ook tot de taken van de toezichthoudende autoriteiten om advies te verstrekken over wetgevingsmaatregelen met betrekking tot de bescherming van de rechten en vrijheden van personen bij de verwerking van hun persoonsgegevens.
  3. Als toezichthoudende autoriteiten niet naar behoren worden geraadpleegd, kunnen zij krachtens artikel 58, lid 3, punt b), AVG op eigen initiatief aan het nationaal parlement, aan de regering van de lidstaat of, overeenkomstig het lidstatelijk recht, aan andere instellingen of organen alsmede aan het

publiek advies verstrekken over aangelegenheden die verband houden met de bescherming van persoonsgegevens.

  1. De nationale wetgeving inzake gegevensbescherming kan voorts specifieke procedures bevatten voor de vaststelling van wetgevingsmaatregelen tot beperking, op grond van artikel 23 AVG, van de rechten waarin de artikelen 12 tot en met 22 en artikel 34 AVG voorzien. Dit is alleen mogelijk als dit in overeenstemming is met de AVG.

6 NIET-INACHTNEMING VAN DE VEREISTEN VAN ARTIKEL 23 AVG DOOR EEN LIDSTAAT

  1. Als hoedster van de Verdragen heeft de Europese Commissie de plicht toe te zien op de toepassing van het primaire en afgeleide recht van de EU en ervoor te zorgen dat dit recht in de hele EU uniform wordt toegepast, onder meer door maatregelen te nemen wanneer nationale maatregelen niet in overeenstemming zouden zijn met het EU-recht.
  2. Voorts is het volgens het beginsel van de voorrang van het EU-recht zo dat de 'verplichting om met het Unierecht strijdige nationale wetgeving buiten toepassing te laten niet alleen [rust] op de nationale rechters, maar ook op alle overheidsorganen, met inbegrip van de administratieve autoriteiten, die in het kader van hun respectieve bevoegdheden zijn belast met de toepassing van de bepalingen van het Unierecht' 29 .

7 SPECIFIEKE ELEMENTEN VOOR VERWERKINGSVERANTWOORDELIJKEN EN VERWERKERS

7.1 Verantwoordingsplicht

  1. In het licht van de verantwoordingsplicht (artikel 5, lid 2, AVG) en hoewel artikel 30 AVG dit niet voorschrijft, is het een goede praktijk dat de verwerkingsverantwoordelijke de toepassing van beperkingen in concrete gevallen documenteert in een specifiek register. In dit register moeten de toepasselijke redenen voor de beperkingen worden vermeld, alsmede de toepasselijke grond(en) als bedoeld in artikel 23, lid 1, AVG (wanneer de wetgevingsmaatregel beperkingen op verschillende gronden toestaat), de looptijd en het resultaat van de noodzakelijkheids- en evenredigheidstoets. De registers moeten desgevraagd aan de toezichthoudende autoriteit voor gegevensbescherming ter beschikking worden gesteld.
  2. Indien de verwerkingsverantwoordelijke een functionaris voor gegevensbescherming heeft, moet deze functionaris - ten minste op algemene wijze - onverwijld worden ingelicht wanneer de rechten van de betrokkenen overeenkomstig de wetgevingsmaatregel worden beperkt. De functionaris voor gegevensbescherming moet toegang krijgen tot de desbetreffende registers en alle documenten betreffende de feitelijke of juridische context waarin de beperking plaatsvindt. De betrokkenheid van de functionaris voor gegevensbescherming bij de toepassing van beperkingen moet eveneens worden gedocumenteerd.

7.2 Uitoefening van de rechten van betrokkenen na de opheffing van de beperking

  1. De verwerkingsverantwoordelijke moet de beperkingen opheffen zodra de omstandigheden die deze rechtvaardigen, niet langer van toepassing zijn. Indien de betrokkenen vóór dat moment nog niet van de beperkingen in kennis zijn gesteld, dient dit uiterlijk bij de opheffing ervan alsnog te gebeuren.
  2. Tijdens de toepassing van een beperking kan de betrokkenen worden toegestaan al hun rechten uit te oefenen die niet beperkt zijn. Om te beoordelen wanneer de beperking gedeeltelijk of volledig kan worden opgeheven, kan tijdens de toepassing van een beperking verschillende malen een noodzakelijkheids- en evenredigheidstoets worden uitgevoerd.
  3. Wanneer de beperking is opgeheven - hetgeen in het in punt 5 genoemde register moet worden gedocumenteerd - kunnen betrokkenen al hun rechten uitoefenen.
  4. Indien de verwerkingsverantwoordelijke de betrokkenen niet in staat stelt hun rechten uit te oefenen nadat de beperking is opgeheven, kunnen de betrokkenen overeenkomstig artikel 57, lid 1, punt f), AVG een klacht tegen de verwerkingsverantwoordelijke indienen bij de toezichthoudende autoriteit.

7.3 Niet-inachtneming door een verwerkingsverantwoordelijke van een wetgevingsmaatregel houdende beperkingen

  1. Wanneer de wetgevingsmaatregelen houdende beperkingen uit hoofde van artikel 23 AVG in overeenstemming zijn met de AVG, maar een verwerkingsverantwoordelijke deze overtreedt, kunnen de toezichthoudende autoriteiten hun advies-, onderzoeks- en correctiebevoegdheden aanwenden tegen de verwerkingsverantwoordelijke, zoals in elk ander geval van niet-naleving van de AVG-regels.
  2. Overeenkomstig de in artikel 58, lid 1, AVG vastgestelde bevoegdheden hebben de toezichthoudende autoriteiten de onderzoeksbevoegdheden om:
  • de verwerkingsverantwoordelijke, de verwerker en, in voorkomend geval, de vertegenwoordiger van de verwerkingsverantwoordelijke of van verwerker te gelasten alle voor de uitvoering van haar taken vereiste informatie te verstrekken;
  • onderzoeken te verrichten in de vorm van gegevensbeschermingscontroles;
  • de verwerkingsverantwoordelijke of de verwerker in kennis te stellen van een beweerde inbreuk op de AVG;
  • van de verwerkingsverantwoordelijke en de verwerker toegang te verkrijgen tot alle persoonsgegevens en alle informatie die noodzakelijk is voor de uitvoering van haar taken;
  • toegang te verkrijgen tot alle bedrijfsruimten van de verwerkingsverantwoordelijke en de verwerker, daaronder begrepen tot alle uitrustingen en middelen voor gegevensverwerking, in overeenstemming met het uniale of lidstatelijke procesrecht.
  1. Indien er corrigerende maatregelen moeten worden genomen, kunnen de toezichthoudende autoriteiten in overeenstemming met artikel 58, lid 2, AVG:

  • de verwerkingsverantwoordelijke of de verwerker waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk inbreuk op bepalingen van de AVG wordt gemaakt;

  • de verwerkingsverantwoordelijke of de verwerker berispen wanneer met verwerkingen inbreuk op bepalingen van de AVG is gemaakt;

  • de verwerkingsverantwoordelijke of de verwerker gelasten de verzoeken van de betrokkene tot uitoefening van zijn rechten uit hoofde van de AVG in te willigen ;

  • de verwerkingsverantwoordelijke of de verwerker gelasten , waar passend, op een nader bepaalde manier en binnen een nader bepaalde termijn, verwerkingen in overeenstemming te brengen met de bepalingen van de AVG;

  • de verwerkingsverantwoordelijke gelasten een inbreuk in verband met persoonsgegevens aan de betrokkene mee te delen ;

  • een tijdelijke of definitieve verwerkingsbeperking, waaronder een verwerkingsverbod , opleggen ;

  • het rectificeren of wissen van persoonsgegevens of het beperken van verwerking uit hoofde van de artikelen 16, 17 en 18 AVG gelasten , alsmede de kennisgeving van dergelijke handelingen aan ontvangers aan wie de persoonsgegevens zijn verstrekt, overeenkomstig artikel 17, lid 2, en artikel 19 AVG;

  • naargelang de omstandigheden van elke zaak, naast of in plaats van de in artikel 58, lid 2, AVG bedoelde maatregelen, een administratieve geldboete opleggen op grond van artikel 83;

  • de opschorting van gegevensstromen naar een ontvanger in een derde land of naar een internationale organisatie gelasten .

  1. Wat de bij artikel 58, lid 3, AVG vastgestelde adviesbevoegdheden betreft, kunnen de toezichthoudende autoriteiten:
  • de verwerkingsverantwoordelijken advies verstrekken in overeenstemming met de procedure van voorafgaande raadpleging van artikel 36, lid 1 en 5, AVG;
  • toestemming geven voor verwerking als bedoeld in artikel 36, lid 5, AVG indien die voorafgaande toestemming door het lidstatelijk recht wordt voorgeschreven.

8 CONCLUSIES

  1. Op grond van artikel 23 AVG kan een nationale wetgever of de Uniewetgever onder specifieke voorwaarden de reikwijdte van de verplichtingen en rechten als bedoeld in de artikelen 12 tot en met 22 en artikel 34, alsmede artikel 5 AVG voor zover de bepalingen van dat artikel overeenkomen met de rechten en verplichtingen als bedoeld in de artikelen 12 tot en met 22, beperken door middel van een wetgevingsmaatregel, op voorwaarde dat die beperking de wezenlijke inhoud van de grondrechten en fundamentele vrijheden onverlet laat en in een democratische samenleving een noodzakelijke en evenredige maatregel is ter waarborging van, onder meer, belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat.
  2. Beperkingen van de rechten van betrokkenen moeten voldoen aan de vereisten van artikel 23 AVG. Wanneer de lidstaten of de Unie wetgevingsmaatregelen met dergelijke beperkingen vaststellen, moeten zij zich bewust zijn van het uitzonderlijke karakter van deze beperkingen. Dit geldt ook voor de verwerkingsverantwoordelijken die deze beperkingen toepassen.
  3. Voordat beperkingen van de rechten van betrokkenen in het recht van de Unie of van de lidstaten worden opgenomen, moet de evenredigheidstoets worden uitgevoerd.
  4. De toezichthoudende autoriteiten moeten vóór vaststelling van wetgevingsmaatregelen tot instelling van beperkingen worden geraadpleegd en moeten de bevoegdheid hebben om de naleving van de AVG af te dwingen.
  5. Zodra de beperkingen worden opgeheven, moeten de betrokkenen door de verwerkingsverantwoordelijke in staat worden gesteld hun rechten uit te oefenen.

9 BIJLAGE: CHECKLISTS - ARTIKEL 23 AVG IN EEN NOTENDOP

9.1 Vereisten op grond van artikel 23, lid 1, AVG

  • i. Eerbiediging van de wezenlijke inhoud van de grondrechten en fundamentele vrijheden
  1. ii.
  2. Evenredigheids- en noodzakelijkheidstoets
  • iii. Wetgevingsmaatregelen tot vaststelling van beperkingen en het vereiste van voorspelbaarheid (overweging 41 en jurisprudentie van het Hof)
  • iv. Rechten van betrokkenen en verplichtingen van de verwerkingsverantwoordelijke die kunnen worden beperkt:
  • a) het recht op transparante informatie (artikel 12 AVG),
  • b) het recht op informatie (artikelen 13 en 14 AVG),
  • c) het recht van inzage (artikel 15 AVG),
  • d) het recht op rectificatie (artikel 16 AVG),
  • e) het recht op gegevenswissing (artikel 17 AVG),
  • f) het recht op beperking van de verwerking (artikel 18 AVG),
  • g) de kennisgevingsplicht inzake rectificatie of wissing van persoonsgegevens of verwerkingsbeperking (artikel 19 AVG),
  • h) het recht op overdraagbaarheid van gegevens (artikel 20 AVG),
  • i) het recht van bezwaar (artikel 21 AVG),
  • j) het recht om niet te worden onderworpen aan geautomatiseerde individuele besluitvorming (artikel 22 AVG),
  • k) de verplichtingen als bedoeld in artikel 12 tot en met 22 AVG (artikel 5 AVG), en
  • l) de mededeling van een inbreuk in verband met persoonsgegevens aan de betrokkenen (artikel 34 AVG).

v. Gronden voor de beperkingen:

  • a) de nationale veiligheid,
  • b) landsverdediging,
  • c) de openbare veiligheid,
  • d) de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, met inbegrip van de bescherming tegen en de voorkoming van gevaren voor de openbare veiligheid,
  • e) andere belangrijke doelstellingen van algemeen belang van de Unie of van een lidstaat, met name een belangrijk economisch of financieel belang van de Unie of van een lidstaat, met inbegrip van monetaire, budgettaire en fiscale aangelegenheden, volksgezondheid en sociale zekerheid,
  • f) de bescherming van de onafhankelijkheid van de rechter en gerechtelijke procedures,
  • g) de voorkoming, het onderzoek, de opsporing en de vervolging van schendingen van de beroepscodes voor gereglementeerde beroepen,
  • h) een taak op het gebied van toezicht, inspectie of regelgeving die verband houdt, al is het incidenteel, met de uitoefening van het openbaar gezag in de in de punten a) tot en met e), en punt g) bedoelde gevallen,
  • i) de bescherming van de betrokkene of van de rechten en vrijheden van anderen,
  • j) de inning van civielrechtelijke vorderingen.

9.2 Vereisten op grond van artikel 23, lid 2, AVG

  • i. De doeleinden van de verwerking of van de categorieën van verwerking

  • ii. De categorieën van persoonsgegevens

  • iii. Het toepassingsgebied van de ingevoerde beperkingen

  • iv. De waarborgen ter voorkoming van misbruik of onrechtmatige toegang of doorgifte

  • v. De specificatie van de verwerkingsverantwoordelijke of de categorieën van verwerkingsverantwoordelijken

  • vi. De opslagperioden en de toepasselijke waarborgen, rekening houdend met de aard, de omvang en de doeleinden van de verwerking of van de categorieën van verwerking

  • vii. De risico's voor de rechten en vrijheden van de betrokkenen

  • viii. Het recht van betrokkenen om van de beperking op de hoogte te worden gesteld, tenzij dit afbreuk kan doen aan het doel van de beperking

Footnotes

  1. Verwijzingen naar 'lidstaten' in dit document moeten worden gelezen als verwijzingen naar 'lidstaten van de EER'.

  2. Deze situaties omvatten niet de scenario's waarop Richtlijn (EU) 2016/680 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens en tot intrekking van Kaderbesluit 2008/977/JBZ van de Raad van toepassing is.

  3. Zie met name Europees Hof voor de Rechten van de Mens, 14 september 2010, Sanoma Uitgevers B.V. tegen Nederland, EC:ECHR:2010:0914JUD003822403, punt 83: 'Wat voorts de bewoordingen 'bij de wet voorzien' in de artikelen 8 tot en met 11 van het Verdrag betreft, merkt het Hof op dat het de term 'wet' steeds heeft opgevat i n zijn 'materiële' en niet in zijn 'formele' betekenis heeft opgevat; in die zin dat deze term zowel het ,geschreven recht', waaronder regelgeving van lagere rang en regelgevingshandelingen die door beroepsorganisaties zijn vastgesteld in het kader van hun door de wetgever gedelegeerde normatieve bevoegdheid, als het 'ongeschreven recht' omvat. De term 'wet' kan derhalve zowel het geschreven recht als het 'rechtersrecht' omvatten. Kortom, de 'wet' is de geldende bepaling zoals de bevoegde rechtbanken die hebben uitgelegd'. Wat betreft de bewoordingen 'bij wet worden gesteld' moeten de door het EHRM ontwikkelde criteria worden gehanteerd, zoals is voorgesteld in de conclusie van de advocaat-generaal in de gevoegde zaken C-203/15 en C-698/15, Tele2 Sverige AB, ECLI:EU:C:2016:572, punten 137-154, of in zaak C-70/10, Scarlet Extended, ECLI:EU:C:2011:255, punt 99.

  4. Advies 1/15 van het Hof (grote kamer) over de ontwerpovereenkomst tussen Canada en de Europese Unie i nzake de doorgifte en verwerking van persoonsgegevens van passagiers, 26 juli 2017, ECLI:EU:C:2017:592.

  5. Zie European Data Protection Supervisor (EDPS) Guidelines - 'Assessing the necessity of measures that limit the fundamental right to the protection of personal data: A Toolkit' (Richtsnoeren van de EDPS - Beoordeling van de noodzakelijkheid van maatregelen die het grondrecht op de bescherming van persoonsgegevens beperken: een toolkit), EDPS Guidelines on assessing the proportionality of measures that limit the fundamental rights to privacy and to the protection of personal data (Richtsnoeren van de EDPS betreffende de beoordeling van de evenredigheid van maatregelen die de grondrechten op privacy en op de bescherming van persoonsgegevens beperken) en EDPS quick-guide to necessity and proportionality (snelgids van de EDPS inzake noodzakelijkheid en evenredigheid).

  6. Zie arrest van het Hof van 16 december 2008, C-73/07, Tietosuojavaltuutettu/Satakunnan Markkinapörssi Oy en Satamedia Oy, ECLI:EU:C:2008:727, punt 56.

  7. Zie EHRM, Szabo en Vissy tegen Hongarije, 12 januari 2016, punt 73.

  8. Arrest van het Hof van 6 oktober 2020, La Quadrature du net e.a., gevoegde zaken C-511/18, C-512/18 en C520/18, ECLI:EU:C:2020:791, punt 210. Zo heeft het Hof met betrekking tot de bewaring van gegevens door aanbieders van openbare online communicatiediensten en hostingdiensten in punt 212 geconcludeerd dat 'artikel 23, lid 1, [AVG], gelezen in het licht van de artikelen 7, 8 en 11 en artikel 52, lid 1, van het Handvest, [...] aldus [moet] worden uitgelegd dat het zich verzet tegen een nationale regeling waarbij aanbieders die het publiek online toegang verlenen tot communicatiediensten en aanbieders van opslagdiensten een verplichting tot algemene en ongedifferentieerde bewaring van met name de met die diensten verband houdende persoonsgegevens wordt opgelegd'.

  9. Arrest van het Hof van 6 oktober 2020, La Quadrature du net e.a., gevoegde zaken C-511/18, C-512/18 en C520/18, ECLI:EU:C:2020:791, punt 209.

  10. Zie Richtsnoeren 4/2019 inzake artikel 25 - Gegevensbescherming door ontwerp en door standaardinstellingen (EDPB).

  11. Zie ook de door de Groep gegevensbescherming artikel 29 opgestelde richtsnoeren voor gegevensbeschermingseffectbeoordelingen en bepaling of een verwerking 'waarschijnlijk een hoog risico i nhoudt' in de zin van Verordening 2016/679, wp248rev.01, zoals door de EDPB goedgekeurd op 25 mei 2018.

  12. Zie voor meer informatie arrest van het Hof van 17 juli 2014, YS/Minister voor Immigratie, Integratie en Asiel en Minister voor Immigratie, Integratie en Asiel/M en S, C-141/12 en C-372/12, ECLI:EU:C:2014:2081, punten 45 en 46, en arrest van 20 december 2017, Novak, C-434/16, ECLI:EU:C:2017:994, punt 56.

  13. Arrest van het Hof van 4 december 2018, C-378/17, ECLI:EU:C:2018:979, punt 38.