020 530 0160

Data Protection Conference Brussel: nieuwe uitdagingen voor privacybescherming

Op 19 en 20 mei was ik op de Data Protection Conference in Brussel. Het onderwerp was de informationele privacy: de controle over de eigen persoonsgegevens. (In Nederland geeft de Wet Bescherming Persoonsgegevens hier regels voor.) Het doel van de conferentie was de verschillende stakeholders een kans te geven hun mening te geven over de uitdagingen voor het persoonsgegevensbeschermingsrecht. De conferentie maakt deel uit van een consultatieronde over hoe het fundamentele recht tot bescherming van de eigen gegevens – the fundamental right to protection of personal data, de woorden van de organisatie – verder kan worden ontwikkeld en worden beschermd.

De Europese wetgever ziet zich voor nieuw problemen en situaties geplaatst. Hetzelfde geldt voor de vele toezichthouders – zoals in Nederland het College Bescherming Persoonsgegevens – die Europa rijk is. De Richtlijn bescherming en vrije verkeer persoonsgegevens (95/46), kortweg de Privacyrichtlijn, is alweer veertien jaar oud en toen deze werd opgesteld had men nog niet het web 2.0 voor ogen.

In 1995 bestond Google nog niet en behavioral advertising was nog geen veel gehoorde term. Ook was het in 1995 nog niet gebruikelijk dat mensen zelf hun hele leven on line zetten op blogs en social networking sites, vaak inclusief gevoelige gegevens. Tegenwoordig worden er vrijwel ongemerkt veel gegevens verzameld: zo wordt surf, kijk- en koopgedrag bijgehouden als men op het internet rondkijkt.

 

Een groot aantal lobbyisten, academici, Data Protection Authorities (zoals het College Bescherming Persoonsgegevens in Nederland) en andere belanghebbenden kwam aan het woord tijdens de conferentie. Vanzelfsprekend waren vele sprekers het niet met elkaar eens, maar toch kwamen enkele thema’s zo vaak terug dat ik ze hier even vermeld. Wellicht komen sommige van deze onderwerpen uiteindelijk terecht in de opvolger van de huidige Privacyrichtlijn, en dus in de opvolger van de huidige Wet bescherming persoonsgegevens.

 

1) Het belangrijkste is om niet te tornen aan de principes uit de huidige richtlijn: gegevensverwerking dient zorgvuldig te gebeuren, en gegevens mogen niet voor een ander doel gebruikt worden dan het doel waarvoor ze verzameld zijn. Het gegevens verzamelen omdat ze misschien ooit nog eens te pas kunnen komen is en blijft niet acceptabel.

 

2) Het zou verplicht moeten worden om een lek te melden. Het niet melden van het lekken van persoonsgegevens zou (zwaar) bestraft moeten kunnen worden.

 

Enkele schandalen die zich recentelijk in Duitsland hebben voorgedaan illustreren dat er op het gebied van beveiliging en handhaving nog ruimte voor verbetering is. Zo was er op de zwarte markt een collectie bankgegevens van 21 miljoen Duitse klanten te koop voor 11 miljoen euro en werd er bij een Duitse krant een pakket bezorgd met een vergelijkbare hoeveelheid financiële gegevens van nietsvermoedende consumenten.

 

3) Er zijn verschillende redenen waarom de huidige praktijk van het aanklikken van een privacyverklaring op een website niet echt effectief is. Het is twijfelachtig of gebruikers van alle leeftijden begrijpen waar ze nu eigenlijk mee akkoord gaan voor ze hun gegevens invullen op een website. Waarschijnlijk lezen de meesten een privacyverklaring niet eens voor ze op ‘akkoord’ klikken. Soms geeft een consument met zo’n klikje toestemming aan een bedrijf om bijna alles met zijn gegevens te doen.

 

4) Een probleem onder de huidige regelgeving is dat een individu weinig effectieve middelen heeft om af te dwingen dat de overheid of bedrijven correct met zijn persoonsgegevens omgaat. Er werd dan ook geopperd om het mogelijk te maken dat consumenten immateriële schadevergoeding kunnen eisen als bedrijven onzorgvuldig met hun gegevens omgaan. Ook werd voorgesteld om het mogelijk te maken om collectieve rechtszaken te beginnen (bijvoorbeeld door consumentenorganisaties) als bedrijven onzorgvuldig met persoonsgegevens omgaan.

 

5) Een aantal sprekers vond dat het nodig is om de Data Protection Authorities zoals het College Bescherming Persoonsgegevens meer bevoegdheden te geven, zoals de mogelijkheid om hogere boetes uit  te delen in meer gevallen.

 

Er waren overigens zeker niet alleen pro-privacygeluiden te horen. Degenen die zich bezig houden met veiligheid en de strijd tegen terrorisme en ‘serious crime’ zoals hooliganism (!)  klaagden dat de huidige regels te streng zijn. Zij vonden onder andere dat de maximale bewaartermijn voor persoonsgegevens eigenlijk te kort is en dat het belangrijk is dat er veel meer gegevens met betrekking tot elektronische communicatie bewaard worden. Dit soort communicatiegegevens zouden nuttig zijn in de strijd tegen terrorisme en tegen ‘serious crime’.

 

Mijns inziens terecht werd er door prof. Douwe Korff (London Metropolitan University) op gewezen dat niet aangegeven werd wat ‘serious crime’ nu precies was. Valt een ‘hooligan’ (die geen misdaden heeft begaan) onder de categorie? En een extremist? En wat is een extremist precies? Iemand met extreem religieuze gevoelens? Prof. Spiros Simitis wees er nog eens op dat in een democratische rechtsstaat niet geaccepteerd kan worden dat data worden verzameld omdat die data misschien ooit nog eens van pas kunnen komen voor veiligheidsdiensten.

 

De komende jaren zullen we hier nog meer van horen.

 

Hier een linkje naar het congres, maar nog geen verslag.

 

Te zijner tijd wordt hier een videoverslag van de conferentie geplaatst.

 

Bron: EU
Deze blog is automatisch geïmporteerd uit een oudere versie van deze website. Daarom is de lay-out mogelijk niet perfect.
Deel:

auteur

Frederik Zuiderveen Borgesius

publicaties

Gerelateerde artikelen