Het voorstel voor een Europese Privacy Verordening doorgelicht

Met de opkomst van de sociale media en de aanbraak van het digitale tijdperk hebben mensen het meedelen van hun persoonlijke informatie op internet aanvaard als een deel van het moderne leven. Enerzijds worden er persoonsgegevens opgevraagd voor vrijwel alle toepassingen op het internet:  voor toegang tot een online dienst, voor het gebruik van sociale netwerken, het delen van informatie op internet, online shoppen en noem maar op. Anderzijds maken individuen zelf ook veel meer persoonlijke gegevens beschikbaar op het internet, zoals cv’s op LinkedIn, foto’s op Facebook of via FlickR, locaties via Foursquare, etc. …

Uit de “Eurobarometer” van de Europese Unie van juni 2011 blijkt daarentegen dat vrijwel 80% van de Europeanen die actief zijn op het internet, het gevoel heeft de controle over zijn persoonsgegevens verloren te zijn.

Dit is een belangrijke indicatie dat de huidige nationale en Europese regelgeving niet langer voldoet om een aanvaardbaar beschermingsniveau van onze persoonsgegevens te garanderen. De “Data Protection Directive” 95/46/EC, die reeds dateert van 1995, is niet langer aangepast aan de snel evoluerende en steeds internationalere, digitale wereld. Hoewel de richtlijn als verdienste heeft dat zij een minimum beschermingsniveau in de Europese Unie kon invoeren, heeft zij ook tot een enorme versnippering geleid, nu zij vaak op verschillende manieren werd omgezet en geïnterpreteerd in de 27 nationale wetgevingen. Dit bezorgde ondernemingen actief in de hele EU een heleboel kopzorgen en extra kosten, omdat er ook 27 keer aangifte moest worden gedaan in elk van de lidstaten…

Dringend tijd voor modernisering dus. Vorige week stelde Viviane Redding, vice-president van de Europese Commissie en EU Commissaris van Justitie, dan ook een ontwerp voor van een vernieuwd regelgevend kader, dit keer in de vorm van een “Regulation” of verordening.

Het omvangrijke voorstel (de verordening is met haar 91 artikels bijna drie keer langer dan de 34 artikels tellende richtlijn), beoogt een doorgedreven harmonisering van de Europese regelgeving. Door te kiezen voor een verordening, zal er slechts één en dezelfde set regels rechtstreeks (zonder dat er enige individuele omzetting nodig is in het nationale recht van elke lidstaat) van toepassing zijn in alle 27 lidstaten. Het nieuwe regulerende kader moet leiden tot vereenvoudiging, coherentie, kostenbesparingen, een betere bescherming van de persoonsgegevens en een verhoogd vertrouwen van de Europese consument, die meer controle over zijn gegevens verwerft dankzij een eenvoudigere toegang.

De volledige tekst van het ontwerp kan u hier consulteren https://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf, maar wij deden alvast ons huiswerk en gunnen u hieronder enkele highlights uit de ontwerpverordening.

Wat zijn de meest revolutionaire wijzigingen voorzien in het voorstel?

De regelgeving heeft als doel de bescherming van natuurlijke personen m.b.t. het verzamelen en verwerken van hun persoonsgegevens. De verordening geldt enkel voor gegevens die als het ware worden verzameld in geklasseerde systemen. Wanneer de gegevens niet gestructureerd zijn in bijvoorbeeld een database, kan de bescherming van de verordening niet worden ingeroepen. Persoonsgegevens zijn alle gegevens die een persoon herkenbaar maken of kunnen maken. Anonieme gegevens zijn dus uitgesloten.

Een belangrijke wijziging in de regelgeving, is de uitbreiding van het territoriale toepassingsgebied. In de toekomst zal de Europese Privacy Regulation van toepassing zijn voor alle verantwoordelijken van de verwerking en verwerkers die een vestiging hebben in de EU, ongeacht of het verwerken van de gegevens op zich in de EU plaats vindt of niet. Dit wil zeggen dat EU regelgeving van toepassing blijft zelfs wanneer de verwerker zijn zetel in Frankrijk heeft, maar de servers waarop de verwerking gebeurt, in de Bahamas staan.

Wanneer de verantwoordelijke van de verwerking geen zetel heeft in de EU, maar toch persoonsgegevens verwerkt van EU-onderdanen, zal de Europese wetgeving ook van toepassing zijn wanneer de verwerking verbonden is aan het aanbieden van goederen of diensten aan deze personen of wordt gedaan met het doel om hun gedrag te monitoren (bijv. om te weten wat hun voorkeuren zijn, hun surfgedrag te bepalen, etc.).

Deze verduidelijking van het toepassingsgebied van de regulation is naar onze mening erg welkom, aangezien er vroeger in een internationale context nogal wat problemen waren om het toepasselijke recht te bepalen. Het zal in elk geval de positie van Europa en de Europeanen ook verbeteren ten opzichte van andere landen.

Met de invoering van een eengemaakt, uniform regelgevend kader, wordt het voor Europese ondernemingen in elk geval eenvoudiger om te voldoen aan de privacy regelgeving. Deze administratieve vereenvoudiging wordt ook nog eens versterkt door het schrappen van de algemene aangifte regel. Bedrijven moeten bijgevolg niet langer in elke lidstaat aangifte doen van elke verwerking van persoonsgegevens.

Er zullen daarentegen specifieke regels voorzien worden voor het monitoren van verwerkingen van persoonsgegevens die een hoog risico inhouden voor de betrokkenen omwille van hun aard, omvang of doel (bijvoorbeeld in geval van het verzamelen van heel gevoelige gegevens). Of dit risico aanwezig is, zal bepaald worden aan de hand van een evaluatie die de verantwoordelijke van de verwerking en de verwerker van de persoonsgegevens zal moeten uitvoeren m.b.t. de maatregelen en veiligheidsmechanismen die voorzien zijn voor de bescherming van de gegevens.

Wij stellen ons echter de vraag of de afschaffing van de aangifte werkelijk de aangekondigde administratieve vereenvoudiging en kostenbesparing tot gevolg zal hebben, met het oog op de nieuwe regels.

Voortaan zullen ondernemingen ook slechts onderworpen zijn aan één enkele privacy autoriteit, namelijk diegene van het land waar hun zetel gevestigd is. Hierdoor wordt er als het ware een “one-stop-shop” gecreëerd.

De keerzijde van de medaille is echter wel dat de aansprakelijkheid van de ondernemingen wordt verhoogd. Zij moeten een hoog beschermingsniveau van de verzamelde gegevens kunnen garanderen en indien er toch nog data verloren gaan, gestolen worden of gehacked, zijn zij verplicht om de autoriteiten “without undue delay” (lees: binnen de 24 uur) te verwittigen. Het is immers van groot belang dat individuen er onmiddellijk van worden geïnformeerd wanneer bijvoorbeeld hun kredietkaartgegevens gestolen werden. Er wordt ook een effectiever sanctiemechanisme ingevoerd in de nieuwe ontwerpverordening.

De laatste nieuwigheid voor ondernemingen met meer dan 250 werknemers, is dat zij in de toekomst zullen verplicht worden om een “dataprotection officer” aan te stellen, die erop zal moeten toezien dat de privacy van werknemers in bedrijven wordt gerespecteerd.

Ten opzichte van natuurlijke personen of de betrokkenen die hun persoonsgegevens opgeven voor verwerking, zijn er een aantal nieuwe, bijkomende garanties ingevoerd die de bescherming van deze persoonsgegevens aanzienlijk moeten verhogen. De voornaamste hiervan is de definitie van “consent” of toestemming, die werd verscherpt.

Zo moet de toestemming die de betrokkene dient te geven voor de verwerking van zijn persoonsgegevens voortaan expliciet zijn en niet langer gewoon “ondubbelzinnig”. Dit wil zeggen dat stilte of het passief blijven van de betrokkene, niet mogen geïnterpreteerd worden als een toestemming. Er is wel degelijk een verklaring of een duidelijk bevestigende actie van de betrokkene vereist (bijvoorbeeld door een tick-box aan te clicken) om van expliciete toestemming te kunnen spreken. Hierdoor wil men absoluut zeker stellen dat elke persoon zich ervan bewust is dat hij (op het punt staat om) zijn toestemming geeft voor het verwerken van persoonsgegevens.

Hoewel deze consumentvriendelijke bepaling zeker en vast de bescherming van de internetgebruiker in de hand zal werken, zal het in de praktijk voor website uitbaters wel serieuze gevolgen hebben. In principe zal het niet langer volstaan om gewoon een privacy policy in een deep link op de website te plaatsen. Om volstrekt legaal persoonsgegevens te verzamelen, zal de onderneming in kwestie dus voortaan de expliciete toestemming van de betrokkene nodig hebben en dit ook nog eens moeten kunnen bewijzen indien er discussie over ontstaat, want de Verordening legt de bewijslast bij de verantwoordelijke voor de verwerking.

Eind 2011, lekte er per ongeluk al een eerdere draft versie van de ontwerp verordening uit, die op redelijk wat kritiek onthaald werd uit verschillende hoeken. Zo ging deze eerdere draft nog een stap verder door een bepaling op te nemen die voorzag dat het verwerken van persoonsgegevens voor direct marketing voor commerciële doeleinden, enkel en alleen wettig is als de betrokkene zijn expliciete toestemming hiervoor heeft gegeven. De belangenorganisatie FEDMA (moederorganisatie van BDMA – Belgian Direct Marketing Association) is er (gelukkig) in geslaagd om deze toch wel verregaande bepaling te laten doorhalen in de laatste versie van de ontwerpverordening. Het nieuwe ontwerp bevat wel nog een overweging die voorziet dat het voor de betrokkenen mogelijk moet zijn om zich gratis en eenvoudig te kunnen verzetten tegen de verwerking van hun persoonsgegevens voor direct marketing doeleinden.

De nadruk in de nieuwe regelgeving ligt werkelijk op het principe van transparantie. Enerzijds moet de betrokkene perfect geïnformeerd zijn over welke gegevens er worden verwerkt, voor welke doeleinden, hoe lang zij worden bewaard en aan wie zij eventueel worden doorgegeven. Zij moeten ook weten tot welke autoriteit zij zich kunnen richten in geval van misbruik en dit alles moet in eenvoudige bewoordingen worden uitgelegd. De betrokkene moet ook de gevolgen kennen indien hij zijn persoonsgegevens niet vrijgeeft, bijvoorbeeld: “Indien u uw persoonsgegevens niet opgeeft, heeft u geen toegang tot onze diensten”.

Daarnaast uit deze verhoogde transparantie zich in een betere controle over de eigen persoonsgegevens. De betrokkene heeft het recht op toegang tot de gegevens, kopie, verbetering en het recht om zich te verzetten. Naast deze klassieke beginselen, die reeds bestonden in de oude regelgeving, heeft het individu ook het recht om zijn gegevens over te dragen van de ene naar een andere dienstverlener (bijvoorbeeld van het ene sociale netwerk naar het andere).

Ook wordt er een “Right to be forgotten” voorzien. Dit houdt in dat een individu op elk ogenblik kan beslissen om zijn toestemming te herroepen in bepaalde gevallen en zijn gegevens dus te laten doorhalen. Bijvoorbeeld wanneer de gegevens niet langer nodig zijn voor het doel waarvoor zij werden verzameld, wanneer de overeenkomst gesloten tussen partijen is afgelopen of de duur is verlopen die voorzien was voor het opslaan van de gegevens, of nog wanneer zij werden verzameld in strijd met de regelgeving. Het kan ook zijn dat een individu bijvoorbeeld gegevens vrijgaf als kind, zonder dat hij zich op dat ogenblik ten volle bewust wast van de gevolgen hiervan. Het recht om vergeten te worden, is dan gerechtvaardigd.

Wanneer een individu dit recht uitoefent, moet de verantwoordelijke van de verwerking van de persoonsgegevens onmiddellijk alle nodige (technische) stappen ondernemen om de gegevens te verwijderen. Indien hij deze zelf heeft doorgegeven aan derden, is hij er bovendien ook verantwoordelijk voor om deze derden in te lichten van het verzoek tot doorhaling van elke link naar of kopie van deze gegevens. Dit recht weegt echter niet op tegen het recht op vrije meningsuiting en de persvrijheid. Het wissen van gegevens is evenmin gerechtvaardigd wanneer zij noodzakelijk zijn voor historische, statistische en wetenschappelijke onderzoeksdoeleinden.

Tenslotte geven we nog graag mee dat ook dienstverleners zoals sociale netwerken, hun privacy policy zullen moeten aanpassen naar aanleiding van de nieuwe ontwerpverordening. Zij moeten voortaan rekening houden met het principe “privacy by default”, dat betekent dat de standaard instellingen die zij moeten hanteren, diegene zijn die de betrokkene het meeste bescherming geven van zijn privacy. Gedaan dus met het voortdurend in het oog houden van de privacy intellingen van Facebook – voortaan moeten zij de strikste regels automatisch op jouw profiel toepassen zonder dat je de “default settings” moet wijzigen. Wij zijn alvast benieuwd of ze zich hieraan zullen houden…