Privacy vs. gegevensbescherming: verschil tussen art. 8 EVRM en AVG uitgelegd

Telefoons worden continu tevoorschijn gehaald om iets vast te leggen: een zonsondergang, mooie bloemen of grappige dieren. Maar daar blijft het niet bij. Ook mensen worden steeds vaker in hun dagelijkse gang van zaken gefilmd. Denk aan een moeder die haar huilende baby probeert te kalmeren in een vliegtuig, een man die tijdens een feestje enthousiast danst op een nummer van ABBA of iemand die wild zwaaiend en rennend probeert de trein te halen. Dit soort video’s verschijnen dagelijks om uiteenlopende redenen op social media, vaak zonder dat de persoon op beeld er weet van heeft. 

In de reacties lees je dan opmerkingen als: ‘Ja maar hoe zit het met de privacy van diegene?’ of ‘Dat mag niet van de privacywetgeving.’ Het woord ‘privacy’ wordt snel gebruikt, terwijl je je ook kunt afvragen of het hier niet ook gaat om een kwestie van gegevensbescherming.

Dit doet de vraag rijzen wat eigenlijk het verschil is tussen die twee? En waarom is dit onderscheid voor de rechtspraktijk belangrijk? In deze blog lees je daar meer over.

Privacy

Hoewel privacy en gegevensbescherming nauw met elkaar verbonden zijn, zijn ze niet hetzelfde. Het recht op privacy is een mensenrecht en vindt zijn grondslag onder andere in artikel 8 van het Europees Verdrag voor de Rechten van de Mens (EVRM). Dat betekent dat een ieder recht heeft op een persoonlijke levenssfeer. Het EVRM geldt voor alle lidstaten van de Raad van Europa, ongeacht of ze lid zijn van de EU. Artikel 8 EVRM waarborgt het recht op eerbiediging van privéleven, familie- en gezinsleven, woning en correspondentie. Het was oorspronkelijk bedoeld om burgers te beschermen tegen ongewenste inmenging van de staat.

Toch beperkt deze bescherming zich niet alleen tot het onthouden van inmenging door de staat (de zogenoemde ‘negatieve verplichting’). Artikel 8 EVRM legt ook een ‘positieve verplichting’ op aan staten: zij moeten actief maatregelen nemen om dit recht te beschermen.[1] Het artikel heeft dus in de eerste instantie een verticale werking. Dat betekent dat het artikel, en de wetgeving, bedoeld is om de relatie tussen de burger en staat te regelen. Daarbij wordt echter niet uitgesloten dat dit mensenrecht ook kan doorwerken in horizontale verhoudingen, zoals bij geschillen tussen burgers onderling. In zulke gevallen is een rechtstreeks beroep op artikel 8 EVRM niet mogelijk, maar het onderliggende recht op privacy kan via nationale wetgeving of algemene rechtsbeginselen, zoals de onrechtmatige daad (artikel 6:162 BW), indirect worden ingeroepen.

Hoewel de reikwijdte niet limitatief is, kan samenvattend op basis van jurisprudentie van het Europees Hof voor de Rechten van de Mens (EHRM) worden gesteld dat het artikel de bescherming van privacy, lichamelijke en geestelijke integriteit, gegevensbescherming, correspondentie, de woning en het familie- en gezinsleven omvat.[2]  In andere woorden, het gaat om de bescherming van de persoonlijke levenssfeer, zonder ongewenste inmenging van de staat of anderen.[3]

Gegevensbescherming

Gegevensbescherming valt deels onder de werking van artikel 8 EVRM[4], maar binnen de EU geldt daarnaast een specifiek juridisch kader: de Algemene Verordening Gegevensbescherming (AVG). De AVG heeft als doel enerzijds het beschermen van personen van wie persoonsgegevens worden verwerkt, en anderzijds het reguleren van het vrije verkeer van die gegevens binnen de EU.[5] Deze wetgeving richt zich dus specifiek op de verwerking van persoonsgegevens. Verwerken omvat vrijwel alles wat je met persoonsgegevens kunt doen: van verzamelen en opslaan tot delen of verwijderen. Onder persoonsgegevens wordt alle informatie verstaan over een natuurlijke persoon die direct of indirect te identificeren is. Zodra je zulke gegevens verwerkt, val je onder de reikwijdte van de AVG en is de wetgeving van toepassing.

 Hoewel artikel 8 EVRM ook mogelijkheden biedt voor bescherming van persoonsgegevens, is de reikwijdte ervan aanzienlijk breder dan die van de AVG. Het EHRM heeft nooit een autonoom recht op gegevensbescherming erkend binnen het EVRM.[6]  Dit betekent dat persoonsgegevens alleen worden beschermd voor zover de verwerking daarvan een inbreuk vormt op het privéleven. Zo wordt de verwerking van bijvoorbeeld een naam en adres, of andere gegevens die in een alledaagse context worden gebruikt, doorgaans niet gezien als een inmenging in het privéleven. De AVG daarentegen kent geen dergelijke drempel: ook niet-essentiële persoonsgegevens vallen onder de bescherming en brengen rechten voor betrokkenen met zich mee.[7]

Waarom het verschil belangrijk is ?

Dat artikel 8 EVRM geen autonoom recht op gegevensbescherming kent, betekent in de praktijk dat je bij het EHRM niet simpelweg kunt stellen dat je “recht op gegevensbescherming” is geschonden. Je zult moeten aantonen dat de verwerking van jouw persoonsgegevens ook een inbreuk vormt op je privéleven. Dit leidt ertoe dat:

• Niet alle verwerkingen van persoonsgegevens onder artikel 8 EVRM vallen.

• De AVG meer directe bescherming biedt. De AVG biedt concrete rechten, zoals het recht op inzage, correctie en verwijdering, die rechtstreeks bij de verwerkingsverantwoordelijke kunnen worden uitgeoefend, zonder tussenkomst van een rechter

• Verschil in strategie bij handhaving. Wil je bescherming via artikel 8 EVRM, dan is vaak een juridische procedure nodig en moet de context van de inbreuk worden onderbouwd. Via de AVG kun je meestal direct terecht bij de organisatie die jouw gegevens verwerkt of bij de Autoriteit Persoonsgegevens.

Social media

Terugkomend op het voorbeeld van het ongewenst verschijnen op sociale media, is het belangrijk om dit onderscheid tussen het recht op privacy en gegevensbescherming scherp te maken. Wanneer iemand zonder medeweten wordt gefilmd en het beeldmateriaal vervolgens online wordt gedeeld, leidt dat vaak tot de vraag of er sprake is van een inbreuk op de ‘privacy’. Maar de cruciale vervolgvraag is dan: privacy in welke juridische zin?

Wanneer iemand herkenbaar in beeld is, spelen in beginsel beide rechtskaders een rol. Enerzijds raakt het de persoonlijke levenssfeer en kan er sprake zijn van een inmenging in het privéleven zoals bedoeld in artikel 8 EVRM. Anderzijds betreft het ook de verwerking van persoonsgegevens, aangezien beeldmateriaal waarop iemand direct of indirect identificeerbaar is, onder de definitie van persoonsgegevens valt in de zin van de AVG.

Wat kun je doen?

Hoewel artikel 8 EVRM het recht op eerbiediging van het privéleven beschermt, is het niet rechtstreeks afdwingbaar in horizontale verhoudingen. Tegen een andere burger of organisatie kun je er alleen indirect een beroep op doen, bijvoorbeeld via een vordering uit onrechtmatige daad (art. 6:162 BW). Dat vereist dat je aantoont dat een fundamenteel recht is geschonden, wat de procedure vaak juridisch complex maakt en context-afhankelijk is.

De Algemene Verordening Gegevensbescherming (AVG) biedt een juridisch kader met als doel betrokkenen meer controle te geven over hun persoonsgegevens. Waar artikel 8 EVRM een ruim beschermingsbeginsel bevat, stelt de AVG specifieke regels voor de verwerking van persoonsgegevens.

Welke specifieke regels zijn er dan op basis van de AVG?

Op grond van de AVG heb je als betrokkene diverse rechten wanneer jouw persoonsgegevens worden verwerkt zonder geldige rechtsgrondslag, zoals zonder jouw toestemming of zonder dat een gerechtvaardigd belang aanwezig is. Een belangrijk recht is het recht op gegevenswissing (ook wel ‘recht op vergetelheid’ genoemd). Je kunt daarmee verzoeken om verwijdering van jouw persoonsgegevens, waaronder beeldmateriaal waarop je herkenbaar in beeld bent.

Indien jouw persoonsgegevens zonder juridische grondslag zijn gedeeld, bijvoorbeeld door plaatsing van beeldmateriaal op sociale media, kun je een klacht indienen bij de AP. De AP is belast met het toezicht op de naleving van de AVG en kan onderzoek instellen of handhavend optreden.

De AVG biedt daarnaast de mogelijkheid om via de civiele rechter schadevergoeding te vorderen, indien je schade hebt geleden als gevolg van een inbreuk op de verordening. Dat kan zowel gaan om materiële schade (zoals financiële schade) als immateriële schade (bijvoorbeeld reputatieschade, emotionele schade of aantasting van de persoonlijke levenssfeer).

Conclusie

Hoewel zowel artikel 8 EVRM als de AVG belangrijke instrumenten bieden ter bescherming van de persoonlijke levenssfeer, verschillen ze in werking en toepassingsgebied. Waar het EVRM een fundamenteel mensenrecht waarborgt, biedt de AVG een concreet wettelijk kader dat jou als betrokkene daadwerkelijk meer regie en afdwingbare rechten geeft over de verwerking van jouw persoonsgegevens.

Het gebruik van het begrip ‘privacy’ is in het dagelijks taalgebruik begrijpelijk, maar juridisch gezien vaak te ruim of te vaag. Juist in situaties waarin herkenbaar beeldmateriaal of andere persoonsgegevens zonder jouw toestemming online worden geplaatst, is het van belang om te beseffen dat je meer hebt dan een vaag ‘recht op privacy’. Je beschikt over specifieke, afdwingbare rechten onder de AVG.

Door het onderscheid te kennen tussen privacy als mensenrecht en gegevensbescherming als wettelijke bescherming van jouw informatie, sta je online sterker

Wil je weten wat jouw organisatie moet doen om te voldoen aan de AVG? Lujin Privacy Legal helpt je graag verder! Mail naar info@lujinprivacylegal.nl of plan een vrijblijvende kennismaking in!

[1] H.R. Kranenborg, Tekst & Commentaar Privacy- en gegevensbeschermingsrecht, art. 8 EVRM, aant. 3, Deventer: Wolters Kluwer 2025 (actueel t/m 4 juli 2025), via InView.

[2]  C. Forder & M.A.K. Klaassen, Commentaar op Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden. Art. 8, Den Haag: Sdu Uitgevers 2019, serie Sdu Commentaar EVRM, digitale editie 2019, p. 1-290; Van Dijk & Van Hoof 2018, p. 670-733; W.A. Schabas, European Convention on Human Rights: a Commentary, Oxford: Oxford University Press 2015, p. 358-411.

[3] Bijv. EHRM 24 juli 2003, appl.no. 46133/99 en 48183/99, ECLI:CE:ECHR:2003:0724JUD004613399, EHRC 2003/84, m.nt. E. Brems, NJ 2005/550, m.nt. T.M. Schalken (Smirnova/Rusland). De Vries 2013, p. 130.

[4] EHRM 2 augustus 1984, Malone t. Verenigd Koninkrijk, nr. 8691/79, ECLI:CE:ECHR:1984:0802JUD000869179; EHRM 4 mei 2000, Rotaru t. Roemenië, nr. 28341/95, ECLI:CE:ECHR:2000:0504JUD002834195; EHRM 1 juli 2008, nr. 58243/00, ECLI:CE:ECHR:2008:0701JUD005824300.

[5] Verordening (EU) 2016/679 (Algemene Verordening Gegevensbescherming), art. 2 lid 1, PbEU 2016, L 119/1.

[6] M. Koning, Het recht op bescherming van persoonsgegevens in de Europese en nationale rechtsorde na Lissabon, 2017, beschikbaar via: https://merelkoning.nl/wp-content/uploads/2017/12/Het-recht-op-bescherming-van-persoonsgegevens-in-de-Europese-en-nationale-rechtsorde-na-Lissabon-m.koning.pdf, geraadpleegd op 15 augustus 2025.

[7] B. van der Sloot, Legal fundamentalism: Is data protection really a fundamental right? (2017), beschikbaar via: https://bartvandersloot.com/onewebmedia/Legal_fundamentalism_is_data_protection.pdf, geraadpleegd op 15-8-2025.