Privacyverordening update: opinie van Europees privacyoverlegplatform over toekomstige privacyverordening

shutterstock_112074470(1)Het Europees Parlement, de Europese Raad en de Europese Commissie zijn, zoals we al eerder berichtten, recent zogenaamde “trialoog” onderhandelingen gestart over de verschillende voorliggende voorstellen voor de toekomstige Privacyverordening, die het privacyrecht in de EU moet vernieuwen. 

Het Europees overlegplatform van privacyinstellingen, de European Data Protection Supervisor (EDPS) publiceerde in het licht van deze onderhandelingen en in een poging om haar standpunten kracht bij te zetten vorige week een uitgebreid document met haar standpunten over hoe het toekomstige privacyrecht in de EU er volgens haar moet uitzien en met een vergelijking tussen haar standpunten en de voorliggende ontwerpen van de Privacyverordening (Opinion 3/2015).

Een analyse van de opinie van de EDPS leert ons dat de uitvoering van haar voorstellen en ideeën in elk geval zou leiden tot een eenvoudigere privacywetgeving, die op een flexibele wijze kan omgaan met toekomstige technologische ontwikkelingen.

Privacybescherming voor iedereen

Als de nieuwe Privacyverordening wordt aangenomen, zal dat gevolgen hebben voor alle burgers in de EU en voor alle bedrijven van binnen en buiten de EU die persoonsgegevens van EU-burgers verwerken en dat voor de volgende decennia .  De verstrekkende en langdurige impact van de toekomstige regels betekent volgens de EDPS dat de Europese overheid moet zorgen voor een zeer goed evenwicht tussen een hoog niveau van bescherming van de privacy van haar burgers enerzijds en een voor bedrijven praktisch en werkbaar geheel van regels anderzijds.

Bescherming voor EU-burgers

De EDPS wijst er nogmaals op dat recent onderzoek aantoont dat een meerderheid van de EU-burgers nog steeds geen vertrouwen heeft in online ondernemingen en online handel.  de oplossing hiervoor ligt volgens de EDPS voor een belangrijk deel in een versterking van de rechten van individuele burgers door te zorgen voor non-discriminatie, maximale transparantie bij gegevensverwerking en meer controle voor burgers over de wijze waarop hun gegevens verwerkt worden.   Hiervoor is volgens de EDPS wetgeving nodig die uitgaat van het basisprincipe dat elke verwerking “wettig en gerechtvaardigd” moet zijn, in plaats van een systeem waarbij alles wat niet expliciet verboden is, toegelaten is.

Meer concreet betekent dat voor de EDPS:

  • Alle persoonsgegevens moeten de facto beschermd zijn, inclusief “pseudonieme” data die gelinkt zijn aan een persoon die indirect met een redelijke inspanning identificeerbaar is.
  • Het initiële doel waarvoor data verzameld en verwerkt wordt moet in elk geval steeds meegedeeld worden aan de betrokken persoon.   Het gebeurt steeds vaker dat databases in de loop van hun bestaan andere doelen krijgen, maar in die gevallen moet elke verwerking die niet compatibel is met het initiële doel streng beperkt worden tot welomschreven omstandigheden of gevallen.
  • Individuele burgers moeten een werkelijke keuze hebben om al dan niet in te stemmen met de verwerking van hun persoonsgegevens.  Dit is nu vaak niet het geval omdat weigering tot instemming (met in veel gevallen buitensporige gegevensverzameling) vaak betekent dat men een dienst niet kan gebruiken.
  • Data moet “draagbaar” gemaakt worden.  Individuele burgers moeten met andere woorden hun data kunnen “afgeven” en ook opnieuw “ophalen” bij een bedrijf of overdragen aan een ander bedrijf.
  • Bedrijven die persoonsgegevens verwerken moeten verplicht worden om een impact- en risicoanalyse uit te voeren als de door hen voorgenomen dataverwerking risico’s bevat voor de privacy van de betrokken of voor de veiligheid van systemen.
  • Het moet voor individuele burgers makkelijker worden om op te treden tegen inbreuken op hun privacyrechten, onder meer door bepaalde organisaties de mogelijkheid te geven om vorderingen in te stellen in naam van individuele burgers of in het belang van individuele burgers (wat onder meer in consumentenzaken vandaag al kan, overigens).

Pragmatische regels die zich aanpassen aan toekomstige technologie

Anderzijds denkt de EDPS ook aan de bedrijven die al deze regels in de praktijk moeten brengen en wijst ze op het belang van pragmatische en in praktijk bruikbare regels, die mee kunnen evolueren met de techniek.  De EDPS geeft aan de Europese instellingen onder meer de volgende aandachtspunten mee voor het schrijven van de definitieve versie van de Privacyverordening:

  • Duidelijkheid en eenvoud zijn in het belang van iedereen.
  • Focus op de regels die écht noodzakelijk zijn.
  • Vermijdt details en formaliteiten die in de weg kunnen staan van handel, innovatie en user experience.
  • Vermijd taalgebruik en gebruiken/technieken die op een gegeven ogenblik achterhaald zullen zijn (wij denken bijvoorbeeld aan de eeuwige focus op cookies…).
  • Focus op resultaten meer dan op het documenteren van processen.  administratie moet “een middel en geen doel zijn“.
  • Verbiedt bepaalde activiteiten niet blindelings, maar eis van dataverwerkende bedrijven dat zij transparant zijn over bijvoorbeeld de logica en de doelstellingen achter bepaalde profiling-algoritmes.
  • Belangrijk is vooral dat dataverwerkende bedrijven verantwoordelijk en aansprakelijk zijn voor de wijze waarop zij data verwerken, meer dan dat zij gedwongen worden tot bepaalde concrete policies of maatregelen.
  • Het melden van een hacking of datalek kan beperkt worden tot die gevallen waarin het lek “een risico kan betekenen voor de rechten en vrijheden van de betrokken personen”  (we wijzen er nog even op dat vooral in het ontwerp van het Europees Parlement zéér strenge regels rond communicatie van datalekken is opgenomen, op basis waarvan een bedrijf binnen enkele uren al iedereen in haar database persoonlijk zou moeten verwittigen van élk lek).

Pragmatische houding

Bovenstaande wijst op een erg pragmatische houding van de European Data Protection Supervisor met betrekking tot het toekomstig Europees Privacyrecht, met enerzijds de klassieke aandacht voor de rechten van individuele burgers, maar anderzijds toch ook erg veel oor voor de bezorgdheden vanuit de bedrijfswereld.  Strenge privacyregels dreigen immers de werking van heel wat sectoren te bemoeilijken (e-commerce, online marketing, list brokers, etc…) en heel wat sectoren maken zich al dan niet terecht zorgen over de toekomst.

De EDPS is vanzelfsprekend slechts een adviesorgaan en de uiteindelijke beslissingen worden genomen door (vooral) de Europese raad, samen met het Europees Parlement en de Commissie.  Niettemin is het geruststellend voor het bedrijfsleven om te lezen dat de vergaande (en vanzelfsprekend nodige) bescherming van burgerrechten in haar opinie gepaard moet blijven gaan met aandacht voor flexibiliteit, technologische innovatie en een pragmatische en toekomstgerichte aanpak.   Het blijft nu afwachten in welke mate de adviezen van de EDPS ook een impact hebben op het politieke beslissingsproces…

Vragen over Privacyrecht?

Sirius Legal volgt in elk geval de verdere totstandkoming van de privacyverordening op de voet op en we informeren u van elke belangrijke evolutie.

Heeft u in afwachting concrete vragen, aarzel dan niet om te mailen naar bart@siriiuslegal.be of te bellen op 0032 486 901 931.