Bent u het echt? (en translation)

/in /by

Bent u het echt?

6 jui 2022 / in Nieuws / door Sippe van der Tas

Bent u het echt?
Wie doet het niet: regelmatig bellen met een bedrijf of instantie waarmee je een (klant)relatie hebt, zoals een verzekeringsmaatschappij, de school van je kind of de apotheek. Vaak heb je dan een vraag over jouw persoonlijke situatie die resulteert in het verstrekken van (bijzondere) persoonsgegevens door dat bedrijf of die instantie. Voorbeelden daarvan zijn: “is mijn auto nog wel goed verzekerd” (verzekeringsmaatschappij) of “kan ik dit medicijn gebruiken in combinatie met de medicijnen die ik al gebruik en bij u geregistreerd staan?” (apotheek)

Het valt mij op dat als ik bel, ik die informatie dikwijls vrij gemakkelijk krijg. Dat is enerzijds fijn, maar anderzijds kan iemand die kwaad in de zin heeft zich voordoen als mij en op die manier persoonlijke informatie van mij verzamelen en mij daarmee schade berokkenen. Denk bijvoorbeeld aan het verzamelen van persoonlijke informatie en het op basis daarvan, in een extreem geval, plegen van identiteitsfraude met alle nadelige (financiële) gevolgen van dien.

Bovenstaande suggereert dat er, als je met een verzoek over jouw persoonlijke situatie belt, geen enkele controle is om vast te stellen of degene die belt ook degene is voor wie die zich uitgeeft. Dat is echter meestal niet het geval. Alvorens de gevraagde informatie wordt gegeven wordt er een aantal verificatievragen gesteld. Het soort verificatievragen verschilt echter nogal en varieert van “wat is uw postcode” tot “wat is uw unieke klantnummer”. Vaak is er nog een tweede vraag, zoals “geboortedatum” of “voorletters”.

Het zal duidelijk zijn dat met betrekking tot verificatievragen geldt dat naarmate het antwoord op een dergelijke vraag makkelijker kenbaar is of kan worden achterhaald (zoals bijvoorbeeld een postcode, geboortedatum of voorletters) na het stellen en juist beantwoorden van die vragen eerder kan leiden tot het verstrekken van (bijzondere) persoonsgegevens aan een andere persoon dan waarvoor deze zich heeft uitgegeven. Daarentegen is de kans daarop minder groot wanneer een verificatievraag een gegeven betreft waarover het benaderde bedrijf of de instantie beschikt en normaal gesproken slechts kenbaar is bij de vragensteller. Denk daarbij aan een uniek polisnummer of een uniek klantnummer.

Hoe moet bovenstaande nu worden gezien in het licht van de AVG?

Artikel 5 (Beginselen inzake het verwerken van persoonsgegevens) lid 1, aanhef en onder f bepaalt het volgende:

Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is, en dat zij onder meer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging („integriteit en vertrouwelijkheid”).

Het op verzoek van een beller door een bedrijf verstrekken van persoonsgegevens is ‘verwerken’ van persoonsgegevens zoals bedoeld in artikel 4, aanhef en onder 2 van de AVG. Op grond van bovengenoemd onderdeel van artikel 5 van de AVG moet dat zodanig gebeuren dat de persoonsgegevens niet ongeoorloofd of onrechtmatig worden verwerkt. Daarvoor is het nodig dat er ‘”passende technische of organisatorische maatregelen” worden genomen’.

Toegepast op de beschreven situatie betekent dit dat er zodanige verificatievragen moeten worden gesteld dat de kans dat er persoonsgegevens worden verstrekt aan een persoon die zich uitgeeft voor een ander vrijwel is uitgesloten. Eenvoudig te achterhalen en kenbare gegevens zoals postcode en geboortedatum en het op basis daarvan verstrekken van persoonsgegevens aan de verkeerde persoon zou ertoe kunnen leiden dat er onvoldoende organisatorische maatregelen zijn getroffen om ongeoorloofde of onrechtmatige te voorkomen. Daarnaast zal er dan sprake zijn van een datalek. Beide situaties kunnen leiden tot handhavend optreden van de toezichthouder, de Autoriteit Persoonsgegevens.

Dat laatste is eenvoudig te voorkomen. Mijn advies in dat verband is dat, als een bedrijf of instantie telefonisch persoonlijke informatie aan klanten wil geven, er voorafgaand daaraan wordt gewerkt met verificatievragen op basis van gegevens die alleen kenbaar zijn bij het bedrijf of de instantie en de klant, zoals bijvoorbeeld een polisnummer of een uniek dossiernummer. Daarbij geldt overigens dat naarmate er meer of gevoeliger persoonsgegevens worden verstrekt dit zwaardere eisen stelt aan de verificatievragen (evenredigheid).

Heeft u vragen over het bovenstaande of heeft u behoefte aan een praktisch advies met betrekking tot de toepassing van de AVG? Neem dan contact met mij op (06-28610416 / sippe.vandertas@lexdigitalis.nl) of met een van mijn collega privacy-experts van Lex Digitalis, die u kunt vinden op www.lexdigitalis.nl

Raising Privacy Awareness (en translation)

/in /by

Raising Privacy Awareness

4 jui 2022 / in Nieuws / door Nienke Koorn

While attending the IAPP intensive in The Hague, I was especially inspired by the talk that Simone van Esch – Fennell gave on metrics. Based on her pragmatic approach and practical tips, here’s my view on enhancing awareness through leveraging your metrics as a privacy professional operating in a small privacy team/office. Furthermore, I recommend reading Privacy program management as published by the IAPP for more information on how to define and report on metrics that will greatly enhance your privacy program.

Raising privacy awareness in your organization

Your colleagues need to know what to do when they create or encounter a data breach. Your marketing managers need to understand they can’t just start sending out email bombs to all your customers. Your HR employees have to be aware of the delicacy of their work with personnel files. In summary, creating privacy awareness within your organization matters. In reality, most of us privacy professionals work in small teams, and we all know there’s limited time to make all those much-needed changes. So how can you, talented privacy professional, ensure that your colleagues are aware of privacy while performing their jobs?

Get the right people on board, get a budget
The first step is an obvious one; gain support for your privacy program. A tale as old as time, but often skipped. In practice, aim to get at least one member of your executive suite ‘on your side’, meaning they understand the importance of your program. If at all possible, get your management team a privacy workshop, even if it’s a short one. Often quite difficult, but it pays off to understand the existing knowledge level in your executive suite, and simultaneously explain management where privacy comes into play within the organization.

When managers understand that they themselves still have things to learn about privacy, it contributes to the understanding that their employees need awareness and training too. This realization will then hopefully lead to a wonderful budget for you to start those awareness workshops for your colleagues.

You can only spend it once; how to set yourself up for success
If you’re just getting started with your awareness program, it’s never a bad idea to start with the basics. Offer a standard workshop that explains privacy basics and try it out with different teams. How does the information land? Is there a common denominator within different groups of employees? Casting a wide net allows you to find out what (group of) colleagues have most to learn and work with the most sensitive data. Understanding what teams do will also help you align your program with team and company values.

Pick a channel or multiple channels that fit with the audience you’re trying to reach. If your communication department puts together a wonderful magazine for all your colleagues to enjoy, get yourself a column in it.

For some, e-Learnings are a great help in getting your awareness plans going. While they can be expensive to create and roll out, the upside is that you get a vast variety in progress to track and analyze. This makes e-Learnings pretty popular to assess and track the knowledge level of your colleagues over time.

Overall, it is a good idea not to put all your eggs in one basket; spread your budget over all communication channels available, and spread it in time. Awareness is best measured over time, so don’t expect overnight results. Your awareness program should be adjustable to the inevitable changes within the organization and proportioned well over a timespan that fits the business.

Finally, don’t be afraid to step outside your comfort zone. If your colleagues are used to learning about a new topic through video instructions, it’ll be worth it to record a video yourself, no matter how cringey it might make you feel.

It’s a marathon, not a sprint
You defined your awareness program, created all the relevant workshops and shaped the perfect communication for the channels used within your organization. You tested your messages on the appropriate audiences and found that sweet spot for all your privacy awareness endeavors. What’s next?

Start measuring. If the goal is to raise awareness within a certain amount of time, you better have a way to measure and understand the progress you need to make. It might be as simple as tracking the number of mistakes made in the e-Learning per team, but it often isn’t.

One way in which metrics might surprise you, is that after you start creating awareness, there’s bound to be an uptick in the number of data breaches. Not because there are more breaches happening, but your colleagues are more aware, and they start actually reporting breaches. Once you see the number of data breaches flatten out and dipping again, it’s time to pick up those sessions again.

In general, metrics are a great way to showcase the effectiveness of your awareness activities. One way to start is by studying if you’re offered program actually works; are people signing up for your voluntary privacy sessions? Is the survey you’re sending out to measure the baseline of privacy knowledge being filled out by a significant percentage of employees within the company? Once you find an answer to those questions, you can dive into finding more relevant metrics for your specific organization. Make sure you keep the people that are interested from the start close, and include them in your plans. Those might be the colleagues that will turn into your privacy champions. They will play a big part in letting awareness flow through into other parts of your privacy program, for example by helping you determine the knowledge level of the rest of the team.

Once you have a fair amount of data from all your campaigning, it’s time to analyze and create a relevant overview for other departments. Quantifiable results are a shared language between you and the rest of the company. Creating a one-pager with your most relevant results and learnings lets you share your progress easily. It’ll help other teams and departments understand what your work is all about. And again, make sure to share your findings via the communication channels your organization uses. That way, even your write-up will contribute to more, you guessed it, privacy awareness!

Gebruik van online publiek toegankelijke bronnen door de NCTV (en translation)

/in /by

Gebruik van online publiek toegankelijke bronnen door de NCTV

20 mei 2022 / in Nieuws / door Paul Dam
Gepubliceerd in Sdu Opmaat Privacyrecht d.d. 11 mei 2022

Op 31 maart 2022 grepen vele partijen tijdens een rondetafelgesprek in de Tweede Kamer de kans om kritiek te uiten op het wetsvoorstel dat de verwerking van persoonsgegevens door de NCTV regelt. Een jaar geleden verschenen in NRC berichten over het ontbreken van een wettelijke grondslag voor activiteiten van de NCTV. De NCTV maakt gebruik van publiek toegankelijke bronnen voor het signaleren, analyseren en duiden van trends en fenomenen op het gebied van de nationale veiligheid. Alle partijen zijn het erover eens dat deze praktijk een stevige wettelijke basis behoeft. Amnesty International, Bits of Freedom, het College voor de Rechten van de Mens, de Autoriteit Persoonsgegevens (AP) en de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) uitten met name kritiek op de vage en brede formulering van doelstellingen, taken en bevoegdheden van de NCTV en de waarborgen en het toezicht op de uitvoering van deze taken door de NCTV. Dit artikel gaat in op die kritiek. Eerst wordt de aanleiding voor het wetsvoorstel kort uiteengezet. Daarna komt de inhoud van het wetsvoorstel aan bod en de geuite kritiek op het wetsvoorstel. Dit artikel is ook relevant in het kader van de monitoring van sociale media door gemeenten en andere overheden (zie daarover de kamerbrief van 29 april 2022).

NRC: ‘NCTV volgt heimelijk burgers op sociale media’

In april 2021 publiceerde NRC enkele berichten over de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV). De NCTV zou jarenlang zonder wettelijke basis privacygevoelige informatie over burgers verzameld en verspreid hebben en medewerkers van de NCTV zouden met pseudonieme accounts ‘politieke campagneleiders, religieuze voormannen en linkse en rechtse activisten’ volgen. De NCTV heeft de uitvoering van deze activiteiten op belangrijke onderdelen gestaakt in afwachting van besluitvorming over het wetsvoorstel.

Inhoud van het wetsvoorstel

Het wetsvoorstel beoogt te voorzien in een specifieke wettelijke basis mede door een nadere concretisering en afbakening van de taken en de daarbij komende bevoegdheden. De NCTV verricht deze activiteiten namens de Minister van JenV. Daardoor wordt in het wetsvoorstel de NCTV niet genoemd, maar worden de doelstellingen, taken en bevoegdheden aan de minister toegeschreven.

Doelstellingen en taak

Het wetsvoorstel (Kamerstukken II 2021/22, 35958, 1-3) regelt de verwerking van persoonsgegevens met de doelstelling ‘het verhogen van de weerbaarheid ten aanzien van terrorismebestrijding en de bescherming van de nationale veiligheid, door het versterken van de weerbaarheid van de samenleving, het voorkomen van maatschappelijke

ontwrichting en het beschermen van vitale belangen van de samenleving’. De verwerking vindt plaats in het kader van de taak van de NCTV om de samenhang en effectiviteit van het beleid en de maatregelen te coördineren van betrokken overheidsorganisaties bij terrorismebestrijding en de bescherming van de nationale veiligheid. Verschillende overheidsorganisaties kunnen in een concreet geval betrokken zijn; dit is niet beperkt. Blijkens de toelichting gaat het in ieder geval om politie, KMar, OM, AIVD, MIVD, de burgemeesters en de reclasseringsinstellingen (Kamerstukken II 2021/22, 35958, 3, p. 7-9).

Bevoegdheid: verkrijgen van persoonsgegevens uit publiek toegankelijke bronnen

Een van de onderdelen van het wetsvoorstel betreft de bevoegdheid om gegevens te verkrijgen van online publiek toegankelijke bronnen voor ‘het signaleren, analyseren en duiden van trends en fenomenen’. Onderzoek gericht op personen is niet toegestaan. Indien noodzakelijk om redenen van zwaarwegend algemeen belang kan het hierbij ook gaan om persoonsgegevens van strafrechtelijke aard en bijzondere persoonsgegevens waaruit ras of etnische afkomst, politieke, religieuze of levensbeschouwelijke overtuigingen blijken en gegevens over gezondheid. Blijkens het nader rapport is niet denkbaar dat genetische en biometrische relevant kunnen zijn voor de verrichting van de taken van de NCTV  (Kamerstukken II 2021/22, 35958, 4, p. 15). De verwerking van die gegevens is daarom in het wetsvoorstel bij voorbaat volledig uitgesloten.

Daarbij geldt dat bij het gebruik van online bronnen geen gebruik gemaakt mag worden van ‘technische hulpmiddelen, die op basis van profilering persoonsgegevens verzamelen, analyseren en combineren’. Uit de toelichting blijkt dat daarmee, kort gezegd, bedoeld is het gebruik van webcrawlers en samengestelde zoekvragen op zoekmachines niet toe te staan (Kamerstukken II 2021/22, 35958, 3, p. 20).

Bevoegdheid: verstrekken van analyses en duidingen met persoonsgegevens

De NCTV kan, op grond van artikel 7 van het wetsvoorstel, een met behulp van de – onder andere uit publiek toegankelijke bronnen – verzamelde gegevens opgestelde analyse of duiding verstrekken aan:

  • een burgemeester in verband met de handhaving van de openbare orde,
  • de politie en de Koninklijke Marechaussee in verband met de politietaak,
  • het Openbaar Ministerie in verband met de strafrechtelijke handhaving van de rechtsorde en zijn andere wettelijke taken,
  • de AIVD en MIVD in verband met hun taken op grond van de Wet op de inlichtingen- en veiligheidsdiensten 2017 (Wiv 2017),
  • de reclasseringsinstellingen in verband met hun wettelijke taken, en,
  • indien noodzakelijk, een (andere) minister in verband met zijn wettelijke taken.

Bij een dergelijke verstrekking moeten de persoonsgegevens gepseudonimiseerd worden, tenzij dit vanwege de doeleinden niet mogelijk is. Wordt een analyse of duiding door de NCTV openbaar gemaakt, dan moeten de gegevens geanonimiseerd worden, tenzij dit vanwege de doeleinden niet mogelijk is.

Bewaartermijn

De gegevens uit online publiek toegankelijke bronnen moeten op grond van artikel 4, lid 7 van het wetsvoorstel uiterlijk 5 jaar na de eerste verwerking worden vernietigd, tenzij de Minister van JenV toestemt met een verlenging van 5 jaar, indien dit voor het doel van de verwerking noodzakelijk is.

Rechten van betrokkenen

De rechten van betrokkenen kunnen ingevolge artikel 9 van het wetsvoorstel en als bedoeld in artikel 23 van de AVG door de Minister van JenV beperkt worden, indien dit noodzakelijk is ter waarborging van de nationale veiligheid, de openbare veiligheid, de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen of de bescherming van de betrokkene of van de rechten en vrijheden van anderen. De minister dient de betrokkene dit schriftelijk mee voorzien van een dragende onderbouwing, tenzij dit afbreuk doet aan het doel van de beperking.

Maatregelen

Op grond van artikel 4, lid 5 van het wetsvoorstel zal een (nog niet bekend gemaakt) AMvB regels stellen met betrekking tot de technische, personele en organisatorische maatregelen bij de verwerking van de gegevens, waaronder regels over functiescheiding en autorisaties. Ingevolge artikel 5 van het wetsvoorstel is het periodiek uitvoeren van een, nader bij AMvB te regelen, gegevensbeschermingsaudit verplicht.

Rondetafelgesprek: kritiek op het wetsvoorstel

Alle partijen zien het belang van de nationale veiligheid. Ook staat niet ter discussie dat hiertoe persoonsgegevens en andere gegevens verwerkt moeten worden en alle partijen geven aan dat dit een gedegen wettelijke basis behoeft.

Tijdens het rondetafelgesprek in de Tweede Kamer hebben onder andere Amnesty International, Bits of Freedom, het College voor de Rechten van de Mens, de CTIVD, de AP, prof. mr. Zuiderveen Borgesius, de politie, de AIVD, de gemeente Den Haag en de NCTV de gelegenheid gekregen hun standpunt duidelijk te maken. Vrijwel alle partijen, behalve de NCTV, maken zich zorgen over het wetsvoorstel op de volgende punten (Kamerstukken II 2021/22, 35958, 6; zie ook de position papers van de aan het rondetafelgesprek deelnemende partijen):

  • De doelstellingen, taken en bevoegdheden van de NCTV zijn te vaag en te breed
    Artikel 10 Grondwet en artikel 8 EVRM vereisen voor een beperking van het recht op eerbiediging van de persoonlijke levenssfeer een specifieke wettelijke grondslag. Er dient in dat kader, ten minste op hoofdlijnen, op het niveau van de wet een belangenafweging plaats te vinden. Dat hangt samen met de eisen van noodzakelijkheid en evenredigheid voortvloeiend uit artikel 8 EVRM. Deze belangenafweging blijkt nauwelijks uit het wetsvoorstel en de toelichting (zie ook het position paper van de CTIVD, p. 2).

Het is ook de vraag of het wetsvoorstel voldoet aan de AVG, die eist dat het doel van gegevensverwerking ‘welbepaald’ en ‘uitdrukkelijk omschreven’ is. Zo het doel al rechtmatig is, leidt dit ertoe dat de NCTV veel ruimte krijgt om persoonsgegevens te verzamelen, voor doelen die nu niet goed te voorspellen zijn. De reikwijdte van het voorstel is daarmee onvoldoende begrensd. Dat leidt tot privacy-risico’s (zie het position paper van prof.mr. Zuiderveen Borgesius, p. 2).

Voorts is van belang dat de reikwijdte van de doelstellingen en taken van de NCTV voldoende helder worden omschreven (Kamerstukken II 2021/22, 35 958, nr. 4, m.n. p. 8-9; Advies AP 30 juni 2021, m.n. 3-4 en 5-6; zie ook het position paper van prof.mr. Zuiderveen Borgesius, p. 2 en het position paper van de AP, p. 3). Vanuit dat perspectief is onvoldoende helder hoe de NCTV zich tot de AIVD verhoudt.

  • De waarborgen en het toezicht zijn onvoldoende
    Op de verwerking van persoonsgegevens door de NCTV namens de Minister is de AVG van toepassing. Dit betekent dat het toezicht daarop ligt bij de Autoriteit Persoonsgegevens (AP). Enkele partijen betogen dat de analysetaak van de NCTV mogelijk beter past onder de Wiv 2017 (zie het position paper van de CTIVD, p. 2 en het position paper van prof.mr. Zuiderveen Borgesius, p. 2). De CTIVD constateert dat het wetsvoorstel substantieel afwijkt van hoe de balans tussen nationale veiligheid en fundamenteel rechten (zoals privacy) is gewaarborgd in de Wiv 2017. Als de Wiv 2017 van toepassing is, dan is de Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD) toezichthouder en gelden de strenge waarborgen van de Wiv 2017. De CTIVD heeft diepgaande kennis over het nationale veiligheidsdomein opgebouwd en beschikt over vergaande onderzoeksbevoegdheden. De AVG is dan mogelijk niet van toepassing. De AP is uitsluitend toezichthouder op verwerkingen van persoonsgegevens, niet op het geheel van de taakuitvoering van de NCTV.

Persoonlijke noot auteur

De kritieken lijken mij terecht. Ten aanzien van de bevoegdheid om persoonsgegevens uit publiek toegankelijke bronnen te verkrijgen blijven echter de concrete verschillen en overeenkomsten met soortgelijke bevoegdheden van de politie, AIVD en MIVD onderbelicht. Daaruit zou mijns inziens geleerd kunnen worden hoe de bevoegdheden van de NCTV concreet te begrenzen zijn en toezicht en waarborgen concreet vormgegeven kunnen worden.

De AIVD en MIVD zijn op grond van artikel 38 van de Wiv 2017 bevoegd tot het stelselmatig overnemen van persoonsgegevens uit publiek toegankelijke bronnen. Ook de politie is na introductie van artikel 2.8.8 van het nieuwe Wetboek van Strafvordering hiertoe bevoegd. De politie is momenteel reeds bevoegd dergelijke handelingen te verrichten op grond van het meeromvattende artikel 126j Sv (stelselmatige inwinning). Zowel in het geval van de AIVD en MIVD als de politie is de uitoefening van deze bevoegdheid met waarborgen omkleed.

De tekortkomingen in het wetsvoorstel klemmen te meer nu met het wetsvoorstel tevens een misstap wordt begaan ten aanzien van het leerstuk van de stelselmatigheid. Er is sprake van stelselmatigheid indien ‘een min of meer volledig beeld van bepaalde aspecten van iemands leven wordt verkregen’ (Kamerstukken II 1996/97, 25403, 3, p. 26-27). Voor de vraag of sprake is van stelselmatigheid is een aantal elementen van belang: de duur, de plaats, de intensiteit of frequentie en het al dan niet toepassen van een technisch hulpmiddel dat méér biedt dan alleen versterking van de zintuigen’. Ieder voor zich, maar met name in combinatie, zijn deze elementen bepalend voor de vraag of een min of meer volledig beeld van bepaalde aspecten van iemands leven wordt verkregen. Naarmate de observatie langer plaatsvindt, de plaats waar de te observeren persoon zich bevindt intiemer is, de intensiteit of frequentie waarmee geobserveerd wordt groter is, dan wel een technisch hulpmiddel dat wordt ingezet meer mogelijkheden biedt, is de kans groter dat een dergelijk beeld wordt verkregen.

Bepalend is dat verrichtingen stelselmatigheid tot resultaat kunnen hebben. De toetsing of sprake zal zijn van stelselmatigheid vindt dus vooraf plaats, hoewel ook achteraf kan blijken dat meer dan een geringe inbreuk is gemaakt op het recht op respect voor het privéleven.

Het wetsvoorstel beoogt de verzameling van persoonsgegevens uit publiek toegankelijke bronnen mogelijk te maken en sluit onderzoek gericht op personen uit. Dat neemt niet weg dat onderzoek naar trends en fenomenen – in termen van het Wetboek van Strafvordering en de Wiv 2017 – wel tot stelselmatigheid kan leiden. Daartoe is niet nodig dat het onderzoek niet gericht is op personen. Immers, volgens de toelichting bij het wetsvoorstel zijn ‘sommige personen […] onlosmakelijk verbonden met bepaalde trends en fenomenen waardoor juist hun uitingen relevant zijn voor een analyse van het fenomeen en bij het onderzoeken van het fenomeen daardoor juist hun uitingen naar voren blijven komen’ (Kamerstukken II 2021/22, 35958, 3, p. 10). Stelselmatigheid kan gelegen zijn in het doel van het onderzoek, maar of sprake is van niet meer dan een geringe inbreuk is bovenal een gevolg en kan alleen uitgesloten worden indien de onderzoeksmethode niet geschikt is geweest om een min of meer volledig beeld van bepaalde aspecten van iemands leven te krijgen (zie ook HR 19 januari 2021, ECLI:NL:HR:2021:80, r.o. 2.5.2 en HR 6 november 2018, ECLI:NL:HR:2018:2050, r.o. 2.4). Het wetsvoorstel onderkent dit niet. Juist een dergelijke inbreuk op de persoonlijke levenssfeer vergt een formeel wettelijke grondslag die aan de eisen van artikel 10 Grondwet, artikel 8, lid 2, EVRM en artikel 17 IVBPR voldoet. Daarvoor zijn goede voorbeelden te vinden in artikel 2.8.8 van het nieuwe Wetboek van Strafvordering en in artikel 38 van de Wiv 2017.