28 januari 2011: In de wolken met World Data Protection Day.

Op 28 januari is het precies 30 jaar geleden dat de Raad van Europa de Conventie voor de bescherming van individuen met betrekking tot de automatische verwerking van persoonlijke gegevens ondertekende. Het is een gelegenheid voor privacyautoriteiten overal ter wereld en voor de Europese Unie en de Raad van Europa om feest te vieren en na te denken over de toekomst van de privacybescherming in een snel veranderende maatschappij.

Op vrijdag 28 januari 2001 vieren de EU, de Raad van Europa en Privacyautoriteiten overal ter wereld de dertigste verjaardag van Conventie 108 van de Raad van Europa, één van de belangrijkste basisteksten voor de bescherming van uw en mijn persoonsgegevens. Deze conventie werd inmiddels door meer dan veertig Europese landen geratificeerd en vormde de basis voor de Europese Privacyrichtlijn en dus voor de nationale privacywetgeving in alle lidstaten van de EU. De Conventie heeft nog steeds een grote actualiteitswaarde, enerzijds omdat de ratificering ervan openstaat voor niet-Europese landen, die geen lid zijn van de Raad van Europa, en anderzijds omdat zij een aantal aangelegenheden regelt die buiten de bevoegdheden van de EU-richtlijn vallen, zoals staatsveiligheid en strafrecht.

Op Data Protection Day organiseren de verschillende betrokken nationale overheden vieringen, seminaries, workshops en informatiemomenten. De Belgische Privacycommissie bijvoorbeeld organiseert op 27 januari al een persconferentie in het Brusselse Crown Plaza hotel om de aandacht te leggen op haar website www.ikbeslis.be, die kinderen en jongeren moet sensibiliseren voor de privacyrisico’s die verbonden zijn aan het gebruik van bijvoorbeeld social networks.

Ook de Europese Commissie en in het bijzonder Europees Commissaris Vivian Reding doen hun duit in het zakje met o.m. een uitgebreid meerdaags seminarie en een Joint High Level Meeting samen met de Raad van Europa in Brussel.

Mevrouw Reding sprak bovendien op 27 januari al het World Economic Forum in Davos toe over o.m. de noodzaak om de Privacyrichtlijn uit 1995 aan te passen aan nieuwe fenomenen als cloud computing. De Commissaris wijst erop dat enkele van de voornaamste gevolgen van de als paddenstoelen uit de grond schietende cloud computing oplossingen zijn dat individuen de fysieke controle verliezen over hun persoonsgegevens en dat het zeer moeilijk wordt om te bepalen welke regels van toepassing zijn op het beheer en de verwerking van deze persoonsgegevens wanneer een individu zich in één land bevindt, hij software gebruikt die gehost wordt in een tweede land waardoor gegevens verwerkt worden in een derde land en vervolgens opgeslagen worden in nog een vierde land om toegankelijk te zijn voor gebruikers uit alweer talloze andere landen.

Het is overigens onder meer vanuit het gevoel dat de privacywetgeving aan een update toe is dat de Europese Commissie sinds geruime tijd werkt aan een nieuwe richtlijn in verband met privacybescherming. Er zijn inmiddels uitgebreide consultatierondes gehouden, waarvan de laatste afliep op 15 januari ll. en de Commissie zal normaal in de loop van 2011 met een eerste voorstel van nieuwe Richtlijn komen.

De Commissie zal hierbij onder meer rekening houden met de vaststelling dat cloud computing op lange termijn alleen kan werken als consumenten hun vertrouwen kunnen leggen in de aanbieders van online diensten. Met dit doel bekijkt ze onder meer in welke mate “privacy by design” ingevoerd kan worden, waarbij privacybescherming ingebouwd wordt in software en/of in devices. De Commissie zoekt bij dit alles naar het creëren van een “cloud-vriendelijke” omgeving voor aanbieders en afnemers van diensten. Het verzekeren van een uniforme regelgeving doorheen de ganse EU en het verdergaand gelijktrekken van alle bestaande wetgevingen in de lidstaten vormt daar één element van, naast het versterken van de rechten van de consument en het vereenvoudigen van de administratie voor aanbieders middels standaard aanmeldingsformulieren en standaard disclaimers.

Waaraan mag men zich verwachten wat de inhoud van de nieuwe Richtlijn betreft:

• Eengemaakte aangifteformulieren doorheen de ganse EU

• Een Europese standaard privacy policy of privacy warning en strengere regels over de mededeling ervan aan gebruikers

• Nieuwe, strengere en duidelijkere regels over de wijze waarop gebruikers hun toestemming moeten geven voor het verzamelen, verwerken en gebruiken van hun persoonsgegevens

• Het invoeren van een “recht om vergeten te worden” of een “recht op elektronische dood”, met andere woorden een recht om de volledige verwijdering van alle persoonsgegevens te vragen

• Het invoeren van een recht op overdraagbaarheid “data portability” van persoonsgegevens van de ene dienstverlener naar de andere

• Nieuwe en strengere sancties voor inbreuken op de privacy, inclusief strafsancties en het recht voor privacywaakhonden om naar de rechtbank te stappen

• Het invoeren van een meldingsplicht aan de gebruiker wanneer er een schending van zijn privacy heeft plaatsgevonden, weze het opzettelijk of per ongeluk

• Een verduidelijking van de regels die van toepassing zijn op het opslaan en verwerken van gegevens in de cloud, inclusief o.m. het opzetten van een duidelijke territoriale bevoegdheidsstructuur

• Het invoeren van een system van objectieve aansprakelijkheid van verantwoordelijken voor verwerking van persoonsgegevens om extra incentives te geven voor het nauwgezet opvolgen en naleven van de privacywetgeving

• Een verplichting voor bedrijven om een verantwoordelijke persoon voor het opvolgen van privacyverplichtingen aan te duiden, om een “privacy impact assessment te maken en om de mogelijkheden van “privacy by design” te onderzoeken

• Verbeteringen aan de huidige procedures voor de uitwisseling van persoonsgegevens tussen de EU en andere landen

• Aangepaste standaardclausules voor international uitwisseling van persoonsgegevens.

Zoals steeds bij toekomstige Richtlijnen, heeft een en ander nog een hele weg af te leggen voordat onze nationale privacywetgeving uiteindelijk aangepast zal worden. Indien de Commissie inderdaad in 2011 nog met een tekst voor de Richtlijn voor de dag komt, zal het nog zeker tot 2013 of 2014 duren voor de Belgische privacywetgeving aangepast zal worden.

Niettemin is het ganse aanpassingsproces en de discussies die eraan vooraf gaan boeiend om volgen.