Door technologische ontwikkelingen is het voor bestuursorganen steeds eenvoudiger geworden om op grote schaal persoonsgegevens te verzamelen, te koppelen en te gebruiken bij de uitvoering van hun publieke taken. Deze digitalisering van het bestuur leidt tot fundamentele vragen over de bescherming van burgers tegen onrechtmatige gegevensverwerking door de overheid. In de rechtspraktijk blijkt echter dat nog weinig aandacht wordt besteed aan de vraag hoe burgers in rechte kunnen opkomen tegen de verwerking van hun persoonsgegevens door een bestuursorgaan.

In haar proefschrift “Rechtsbescherming tegen bestuurlijke gegevensverwerkingen: toegang, toetsing en schadevergoeding” onderzoekt Fatma Çapkurt (Universiteit Leiden) de verhouding tussen de Algemene verordening gegevensbescherming (AVG) en de Algemene wet bestuursrecht (Awb). Het onderzoek maakt inzichtelijk via welke wegen – met name de Uitvoeringswet AVG (UAVG) en de Awb – burgers kunnen opkomen tegen het gebruik van hun persoonsgegevens door bestuursorganen. Daarbij wordt gekeken naar drie pijlers van rechtsbescherming: toegang tot de rechter, de toetsing van het bestuurshandelen en de mogelijkheid tot schadevergoeding.

De centrale bevinding is dat de doorwerking van de AVG binnen het stelsel van bestuursrechtelijke rechtsbescherming gebrekkig is. Dat heeft volgens Çapkurt te maken met het feit dat beide regelingen berusten op verschillende grondslagen en uitgangspunten. De AVG is gericht op bescherming van het individuele recht op gegevensbescherming en kent een horizontale structuur met rechtstreeks werkende rechten. De Awb daarentegen is een procedurele wet die uitgaat van het “besluitbegrip” (art. 1:3 Awb) en alleen rechtsbescherming biedt tegen besluiten van bestuursorganen. Daardoor vallen veel feitelijke gegevensverwerkingen – zoals datadeling, profilering of geautomatiseerde risicoselectie – buiten het bereik van de bestuursrechter.

Het gevolg is een fragmentarisch rechtsbeschermingsstelsel. Burgers die zich willen verzetten tegen een verwerking van hun persoonsgegevens door een bestuursorgaan, worden vaak verwezen naar de civiele rechter. Dit belemmert de effectieve handhaving van hun rechten, temeer omdat bestuursorganen doorgaans binnen het publieke domein opereren en burgers daar een ongelijkwaardige positie hebben.

Çapkurt bespreekt onder meer de ontwikkeling in de rechtspraak sinds de zogeheten 1 april-uitspraken van de Afdeling bestuursrechtspraak van de Raad van State (ABRvS, 1 april 2020, ECLI:NL:RVS:2020:898 e.a.), waarin is geoordeeld dat de bestuursrechter bevoegd kan zijn kennis te nemen van schadeverzoeken wegens schending van de AVG. Ook latere uitspraken, zoals ABRvS 2 februari 2022, ECLI:NL:RVS:2022:319 (X/BFT), illustreren dat feitelijke handelingen die betrekking hebben op persoonsgegevens soms toch als besluit kunnen worden aangemerkt. Toch blijft deze jurisprudentie volgens Çapkurt incidenteel en biedt zij geen structurele oplossing.

Het proefschrift concludeert dat het bestuursrecht beter moet worden toegerust voor digitale bestuursuitoefening. De auteur pleit voor een herziening van de Awb waarin gegevensverwerking door bestuursorganen expliciet wordt genormeerd, zodat ook feitelijke handelingen en geautomatiseerde besluiten onder rechterlijke toetsing vallen. Daarnaast zou de bestuursrechter een ruimere bevoegdheid moeten krijgen om schadevergoeding toe te kennen bij schending van de AVG.

Çapkurt stelt dat alleen door een betere integratie van gegevensbeschermingsbeginselen – zoals transparantie, rechtmatigheid en doelbinding – binnen het bestuursrecht, de overheid op een rechtsstatelijke manier met persoonsgegevens kan omgaan. Zo kan het vertrouwen van burgers in de overheid worden hersteld en wordt de bescherming van het recht op privacy daadwerkelijk effectief binnen het bestuursrechtelijke kader.

Lees verder: