Niettegenstaande de geruchten dat de tekst van het (definitieve)voorstel voor de nieuwe privacy verordening ter herziening van de huidige Privacy Richtlijn (95/64/EG) zou worden uitgesteld tot eind februari, (volgens kwade tongen door de VS in de wereld gebracht) is de tekst toch op 25 januari bekend geworden.
Met name is van belang dat de harmonisatie binnen Europa is gediend bij het gebruik van het instrument verordening in plaats van een richtlijn. Een verordening is immers een op een van toepassing op de nationale regelgeving. Marges en verschillen in toepassing tussen de regelgeving van de verschillende lidstaten horen hiermee tot het verleden, tenminste als dit voorstel als verordening wordt aangenomen en dat kan nog wel tot ruim in 2013 duren.
De reden om te kiezen voor een verordening is, onder andere, dat de bescherming van persoonsgegevens (niet de privacy!) zoals neergelegd in artikel 8 Europees Verdrag Rechten van de Mens (EVRM) niet gebaat is bij verschillen in nationale wetgeving binnen de Europese Unie. Afwijkingen tussen staten onderling zou belemmeringen zowel voor de bescherming als zodanig als ook voor het verkeer van die data tussen de lidstaten opleveren.
De eerder uitgelekte tekst (versie 34) had al veel protest opgeroepen bij het bedrijfsleven omdat de lasten met name bij dat bedrijfsleven werden gelegd zonder dat er sprake zou zijn van een werkelijke verbetering van de positie van de betrokkene.
Het uiteindelijke voorstel van de verordening is volgens mij niet zo desastreus voor het bedrijfsleven. De lobby, met name vanuit de direct marketing (DM) hoek, heeft zijn vruchten afgeworpen.
Voor direct marketing is immers wederom een uitzondering gemaakt op het uitgangspunt dat uitdrukkelijke toestemming voor het verzamelen en gebruiken van gegevens is vereist. De bewijslast van die verkregen toestemming ligt overigens bij de verwerkende organisatie (artikel 7). Gegevens van kinderen onder de 13 worden zonder toestemming van de ouders niet verwerkt.
Natuurlijk zijn er wel verdergaande verplichtingen voor het bedrijfsleven en overigens alle overige verwerkers van persoonsgegevens. Elektronische verzoeken tot informatie, verwijdering of, wijziging van persoonlijke informatie dienen zonder vertraging en in ieder geval binnen een maand te worden afgewikkeld. Dit is nog een redelijke termijn voor de organisatie (artikel 12).
Wat betreft de beginselen (artikel 5 – 11) wordt een grote nadruk gelegd op de transparantie (artikel 11 -18)en een minimalisatie van het gebruik van persoonsgegevens. Nieuw is het recht ”om vergeten te worden” (artikel 17) en toestemming te onthouden aan “profiling”activiteiten (artikel 19 en 20) voor zover technisch mogelijk natuurlijk. In de praktijk zal zo’n “vergeetknop” moeilijk zijn te hanteren omdat het onmogelijk zal worden om alle informatie bij bijvoorbeeld alle ”facebook-vrienden” over een bepaalde persoon te verwijderen, laat staan de informatie buiten de reikwijdte van die organisatie.
Verder moeten bedrijfsleven en organisaties kunnen aantonen dat zij persoonsgegevens adequaat beschermen. Om te beginnen moet de bescherming gebaseerd zijn op “privacy by design’, De beveiligingsmaatregelen dienen afdoende te zijn, in aanmerking nemende de aard van de gegevens, state of the art en de kosten die bescherming met zich meebrengt, niet revolutionair in vergelijking met de bestaande regelgeving..
Wel tamelijk ingrijpend, maar al eerder meegenomen in een wetsvoorstel tot wijziging van de WBP en de Telecommunicatiewet, is de bepaling dat als er sprake is van een datalek, de verantwoordelijken dit zo spoedig mogelijkmoeten melden bij de nationale privacytoezichthouder (artikel30) Verder dient ook de betrokkene te worden ingelicht (artikel 31) als er daadwerkelijk schade wordt verwacht door de inbreuk..
Interessant is verder het opnemen van een “data impact assesment”, “bij risicovolle verwerkingen van gevoelige gegevens, gedragingen of voorkeuren van natuurlijke personen” of “gevoelige verwerkingen” als video opnamen van bewegingen en gedrag (artikel 33). Overigens vindt dit onderzoek plaats door de verantwoordelijke of bewerker van de eigen organisatie, een directe koppeling naar een onafhankelijk partij of toezichthoudend orgaan is niet verplicht.
De reactie van het CBP op het voorstel is enigszins terughoudend en verder tamelijk neutraal in zijn bewoordingen. Het College erkent dat het voorstel voor de verordening op onderdelen een versterking van de rechten van burgers betekent maar is niet juichend.
Wel is het College verheugd over de versteviging van de rol van privacytoezichthouders. In het voorstel staan duidelijke criteria voor de onafhankelijkheid van de privacytoezichthouders en hun onderzoeksbevoegdheden. Privacytoezichthouders hebben bijvoorbeeld het recht op informatie van bedrijven en organisaties en moeten toegang kunnen krijgen tot hun panden. Ook krijgen de toezichthouders geharmoniseerde en krachtige handhavingbevoegdheden, inclusief een boetebevoegdheid waarbij de boetes kunnen oplopen tot één miljoen euro.
Het CBP -en naar alle waarschijnlijkheid ook het bedrijfsleven- zijn verder positief over het vervallen van de bestaande verplichting tot melden van gegevensverwerking bij de toezichthouders, omdat dit een verlichting van de administratieve lasten betekent en tegelijkertijd, naar hun zeggen, niet ten koste gaat van het niveau van bescherming persoonsgegevens.
Kortom, door de verwachte wijzigingen wordt de positie van de datasubjecten enigszins verbeterd en het bedrijfsleven niet echt zwaar getroffen. De realiseerbaarheid van de doelstellingen is echter niet altijd even doordacht. Dit is enigszins teleurstellend, gezien het lange draagtraject dat tot deze geboorte van de verordening heeft geleid.
Nu maar eens kijken wat er van de uiteindelijke verordening en de toepassing en handhaving overblijft!
Wat de invoering van deze verordening voor de gegevensverwerkende bedrijven en organisaties betekent, zal dit voorjaar in een aantal door Mitopics georganiseerde workshops uiteen worden gezet.
U bent van harte uitgenodigd, let op de komende berichtgeving.
Terug
