NL EN
  • Home»
  • Weblog »
  • Wordt de opvolger van de Privacyrichtlijn een verordening?

Wordt de opvolger van de Privacyrichtlijn een verordening?

Op 30 november was ik in Brussel bij de European Data Protection and Privacy Conference, en op 1 december een door Sophie in ’t Veld georganiseerd Privacy Platform. Zoals hier eerder vermeld wordt momenteel in Brussel gewerkt aan een update van de huidige Dataprotectierichtlijn 95/46 (ook wel Privacyrichtlijn). Beide evenementen werden in dat kader georganiseerd.

 

De huidige Dataprotectierichtlijn heeft twee doelen: het waarborgen van grondrechten en het waarborgen van de vrije markt binnen Europa, zoals blijkt uit de officiële titel: “Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens.” De gedachtegang in 1995 was kort gezegd als volgt. Als alle Europese lidstaten een hoog niveau van bescherming van persoonsgegevens in de wet vastleggen, kunnen gegevens vervolgens zonder problemen over de grens gestuurd worden. Nederlandse bedrijven en personen kunnen er bijvoorbeeld op rekenen dat hun gegevens in bijvoorbeeld België net zo goed beschermd worden als in Nederland. Of het beschermen van fundamentele rechten en privacy erg goed lukt is de vraag. Ook is het dubieus of het harmoniseren van het nationale recht succes heeft gehad. Veel landen hebben eigen keuzes gemaakt of oude tradities behouden tijdens het implementeren van de richtlijn.

 

Daarbij komt dat internet nog niet erg relevant was in 1995. Er is over de oude richtlijn overigens 15 jaar gedebatteerd voor hij werd ingevoerd; je zou dus ook kunnen zeggen dat hij uit de jaren 80 stamt. Het zal duidelijk zijn dat een update van het regime geen overbodige luxe is.

 

Hieronder worden enkele hoofdpunten die naar voren kwamen tijdens de twee bijeenkomsten genoemd.

 

- Harmonisatie

 

De harmonisatie van nationaal recht moet beter. In dit kader overweegt de Europese Commissie zelfs om een verordening in plaats van een richtlijn uit te vaardigen.

 

Een richtlijn (zoals de huidige Dataprotectierichtlijn) bevat regels voor lidstaten; zij zijn dus verplicht om een richtlijn uit te voeren, maar mogen zelf beslissen op welke manier ze een richtlijn implementeren. De resultaten liggen met andere woorden vast, maar de wijze van omzetting op nationaal niveau wordt aan de lidstaten wordt overgelaten. In Nederland is de Dataprotectierichtlijn bijvoorbeeld geïmplementeerd in de Wet bescherming persoonsgegevens.

 

Een verordening bevat daarentegen regels die direct gelden voor alle burgers in de Lidstaten. Zij hebben dezelfde werking als een nationale wet. Voor bedrijven die internationaal werken zou een verordening enorme voordelen hebben. Terwijl bijvoorbeeld een social network site nu nog in verschillende landen aan verschillende ‘wetten bescherming persoonsgegevens’ moet voldoen, zou dat met een verordening in een keer opgelost zijn.

 

Het gaat hier slechts om een idee. Of het echt zover komt dat de huidige richtlijn wordt vervangen door een verordening moet nog blijken. Ik kan me voorstellen dat veel nationale regeringen en onderhandelaars niet gecharmeerd zijn van een verordening; die geeft immers minder mogelijkheden om nationale eigenaardigheden te handhaven.

 

- Meldplicht voor datalakken

 

Er bestaat eigenlijk geen tijfel meer: er komt een Europese meldplicht voor datalekken.

Dit verbaast niet. De vernieuwde e-Privacyrichtlijn (die in Nederland in de Telecommunicatiewet wordt geïmplementeerd) bevat al een dergelijke meldplicht voor – kort gezegd – internet acces providers. (Zie voor een uitgebreide bespreking van de aanpassingen in de e-Privacyrichtlijn dit artikel van Bart van der Sloot en mij.) De enige discussie is eigenlijk nog hoe die meldplicht precies wordt vormgegeven. Overigens hebben bijna alle staten van de Verenigde Staten – een land dat verder niet uitblinkt in privacybescherming – al een dergelijke meldplicht. In de Verenigde Staten staan er meestal geen hoge boetes op datalekken; in Europa worden wel hoge boetes overwogen.

 

- De definitie van persoonsgegevens

 

Momenteel is “iedere informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon” een persoonsgegeven. Sommigen vinden de definitie momenteel te onduidelijk of te ruim. Het is bijvoorbeeld niet altijd duidelijk of IP-adressen onder de definitie vallen; in sommige lidstaten vindt de rechter van wel, in andere van niet.

 

Thomas Boué van de Business Software Alliance betoogde dat IP-adressen niet als persoonsgegevens gezien zouden moeten worden. Zijn belangrijkste argument was dat de handhaving van intellectuele eigendomsrechten gehinderd wordt door privacywetgeving.  Als IP-adressen niet als persoonsgegevens zouden gelden, zou de Dataprotectierichtlijn niet van toepassing zijn. Dat zou het makkelijker maken om bijvoorbeeld IP-adressen van uploaders van illegale kopieën van software te verzamelen; de (soms) strenge privacyregels zouden dan niet gelden.

 

Kostas Rossoglou van de European Consumers' Organisation wees Boué er op dat hij op een privacycongres was, niet op een congres over handhaving van intellectuele eigendom. Stavros Lambridinis, vice president van het Europees Parlement, liet weten dat het Parlement zeker niet van plan was om de definitie van persoonsgegevens aan te passen aan de wensen van rechthebbenden.

 

- Cloud computing versus Dataprotectierichtlijn

 

Er was veel aandacht voor de onhandige relatie tussen de Dataprotectierichtlijn – die voorschrijft dat persoonsgegevens alleen verwerkt mogen worden in landen met voldoende bescherming – en cloud computing. Bij cloud computing is het moeilijk om te zorgen dat gegevens niet buiten Europa worden opgeslagen. Iedereen was het er over eens dat de regels op dit punt duidelijker en moderner moeten.

 

- Minder bureaucratie

 

Alle aanwezigen – waaronder Jacob Kohnstamm en Peter Hustinx – zeiden dat de bureaucratie moet worden teruggebracht. Meer specifiek wordt overwogen om de notificatieplicht aan de nationale toezichthouders te versimpelen of voor categorieën verwerkingen af te schaffen.

 

- Steviger handhaven

 

Onder meer Jacob Kohnstamm wees er op dat nationale toezichthouders hoge(re) boetes zouden moeten kunnen uitdelen. Het Engelse College bescherming persoonsgegevens kan nu bijvoorbeeld al boetes tot een half miljoen pond opleggen. De kans lijkt groot dat dit soort bevoegdheden er inderdaad zullen komen in Europa. Het Parlement legt tegenwoordig – met het Europees Handvest in de hand – soms veel nadruk op grondrechten. Stevige handhaving tegen overheden of bedrijven die nonchalant omspringen met gegevens past goed in dat plaatje. Kohnstamm benadrukte verder dat toezichthouders er goed aan zouden doen om zich meer met handhaving (ex post) dan met advies (ex ante) bezig te houden. Hij zei dat je de politie immers ook niet vraagt of je ergens misschien toch niet 140 mag rijden.

 

- Toestemming en internet

 

Zoals duidelijk wordt in de Europawijde discussie over cookies, blijft het lastig om echte toestemming te regelen op het internet. Is een haastige muisklik voldoende? Kan men toestemming geven door middel van browserinstellingen? Kan zulke ‘toestemming’ wel op informatie berusten?

 

Lambridinis reageerde wat geïrriteerd op bedrijven en landen die menen dat toestemming voor cookies via browserinstellingen gegeven kunnen worden. Hij kondigde aan dat als het aan hem ligt – als er verwarring zou blijven – het Parlement duidelijk zou maken dat browsertoestemming niet voldoet in de opvolger van de Dataprotectierichtlijn. Rossoglou viel hem bij; ook volgens hem was het absurd om te denken dat browserinstellingen inhouden dat een internetgebruiker toestemming geeft voor cookies.

 

Chris Sherwood, director public policy van Yahoo!, liet zien dat Yahoo! nu – net als Google – een opt-out mogelijkheid geeft voor behavioural advertising en de mogelijkheid biedt om zelf het surfprofiel dat wordt aangelegd in te zien en aan te passen. Hij moest echter wel toegeven dat het enige effect van een opt-out is dat men geen gepersonaliseerde advertenties te zien krijgt. Surfgedrag wordt met andere woorden na een opt-out nog steeds geregistreerd.

 

Opvallend was dat Lambridinis expliciet liet weten dat wat hem betreft het scannen van email voor marketingdoeleinden verboden dient te worden. (Veel online emailproviders doen dit; Gmail krijgt in de praktijk de meeste aandacht.) Lambridinis vroeg de aanwezigen wat zij ervan zouden vinden als een brievenvervoerder zou voorstellen brieven open te stomen om er reclamefolders in te stoppen.

 

Verder was er opnieuw veel aandacht voor het recht om vergeten te worden: men moet eenmaal gegeven toestemming weer in kunnen trekken, en gegevens dienen dan ook verwijderd te worden.

 

De Europese Commissie is van plan om in de zomer van 2011 een voorstel voor een nieuw regime – een richtlijn of een verordening – te presenteren. De discussie zal dus nog wel even duren.

BRON: EU


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

REACTIES (4)

Piet vrijdag 3 december 2010 13:19

"Lambridinis vroeg de aanwezigen wat zij ervan zouden vinden als een brievenvervoerder zou voorstellen brieven open te stomen om er reclamefolders in te stoppen. "

Slechte vergelijking: de brievenvervoerder is een betaalde dienst. Google GMail is gratis. En daar zit de crux. Persoonsgegevens worden steeds vaker een betaalmiddel.

Ingmar Balkenende donderdag 27 maart 2014 16:26

@Piet:
Persoonsgegevens zijn geen valuta. Het zijn gegevens betreffende iemands persoonlijke levenssfeer.

Als ze door de 'verkoper' als betaalmiddel gezien worden, lijkt het mij zaak dat deze dit aan de 'koper' bijzonder duidelijk maakt. Indien dat niet het geval is zijn ze wat mij betreft sec en puur gegevens, geen betaalwijze.

Ingmar Balkenende donderdag 27 maart 2014 16:28

Overigens lijkt het mij persoonlijk dan ook zaak om onderscheid te maken tussen het deel van het verdienmodel dat gebaseerd is op het tonen van reclame en de niet onlosmakelijke factor van persoonlijking hiervan.

Het aangeprezen krijgen van bepaalde goederen of diensten is volgens mij het betaalmiddel, niet iemands persoonlijke informatie.

Maarten vrijdag 2 oktober 2015 13:52

Denk het wel eh, dit jaar wordt dat bekend.

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.