Navigation path

Left navigation

Additional tools

Digitale Agenda: consumenten profiteren van nieuwe specifieke regels bij verlies of diefstal van telecom-persoonsgegevens in EU

European Commission - IP/13/591   24/06/2013

Other available languages: EN FR DE DA ES IT SV PT FI EL CS ET HU LT LV MT PL SK SL BG RO

Europese Commissie

Persbericht

Brussel, 24 juni 2013

Digitale Agenda: consumenten profiteren van nieuwe specifieke regels bij verlies of diefstal van telecom-persoonsgegevens in EU

De Europese Commissie voert nieuwe regels in waarin is bepaald wat telecomexploitanten en internetdienstenaanbieders (ISP's) moeten doen als er persoonsgegevens van hun klanten kwijtraken, worden gestolen of op een andere manier worden gevaar lopen. Het doel van deze "technische uitvoeringsmaatregelen" is te waarborgen dat alle klanten bij problemen met hun persoonsgegevens in de hele EU gelijkwaardig worden behandeld en dat bedrijven deze problemen EU-breed kunnen aanpakken als zij in meerdere landen actief zijn.

Telecomexploitanten en ISP's bezitten een reeks gegevens over hun klanten, zoals hun naam, adres en bankgegevens, alsook informatie over telefoonnummers en bezochte websites. Sinds 2011 moeten deze bedrijven voldoen aan een algemene verplichting die inhoudt dat zij de nationale autoriteiten en abonnees moeten inlichten bij inbreuken in verband met persoonsgegevens (IP/11/622).

Dankzij een verordening van de Commissie weten bedrijven precies hoe zij aan die verplichtingen moeten voldoen en hebben klanten meer zekerheid dat problemen goed worden aangepakt. Bedrijven moeten onder meer aan de volgende verplichtingen voldoen:

  • de bevoegde nationale autoriteit binnen 24 uur na opsporing van een incident daarover inlichten, zodat de gevolgen zo goed mogelijk binnen de perken kunnen worden gehouden. Als alle details nog niet kunnen worden verstrekt, moeten zij binnen 24 uur alle beschikbare informatie doorgeven en de resterende gegevens binnen drie dagen;

  • aangeven om welke informatie het gaat en welke maatregelen het bedrijf heeft genomen of nog zal nemen;

  • bij de beoordeling of zij abonnees op de hoogte brengen (bijvoorbeeld door te testen of de inbreuk naar verwachting nadelige effecten heeft met betrekking tot persoonsgegevens of de persoonlijke levenssfeer), dienen bedrijven rekening te houden met het type gegevens dat in gevaar is gebracht. In de telecomsector gaat het met name om financiële informatie, locatiegegevens, internetlogbestanden, webbrowsegeschiedenis, e-mailgegevens en uitgesplitste lijsten met gesprekken;

  • bij de kennisgeving aan de bevoegde nationale autoriteit moet er een gestandaardiseerd formaat worden gebruikt (bijvoorbeeld een onlineformulier dat in alle EU-lidstaten hetzelfde is).

De Commissie wil bedrijven verder aanmoedigen om persoonsgegevens te versleutelen. De Commissie zal daarom samen met het Enisa (Europees Agentschap voor netwerk- en informatiebeveiliging) een indicatieve lijst publiceren met technologische beschermingsmaatregelen, zoals versleutelingstechnieken, waarmee de gegevens voor onbevoegden onbruikbaar worden. Als er bij een bedrijf dat dergelijke technieken toepast een inbreuk op gegevens plaatsvindt, hoeft het de abonnee daarvan niet op de hoogte te brengen, aangezien de persoonsgegevens van de abonnee daarbij niet daadwerkelijk worden onthuld.

Vicevoorzitter van de Europese Commissie Neelie Kroes: "De consumenten moeten weten wanneer hun persoonsgegevens gevaar hebben gelopen, zodat zij maatregelen kunnen treffen. Bedrijven willen gemakkelijkere regels. Met deze nieuwe praktische maatregelen zorgen wij daarvoor."

De Commissie voert deze regels in naar aanleiding van een openbare raadpleging die in 2011 is gehouden, waaruit bleek dat er onder de belanghebbenden een breed draagvlak voor een geharmoniseerde aanpak op dit gebied is. De regels zijn opgesteld door een comité van de lidstaten en daarna door het Europees Parlement en de Raad onder de loep genomen. De regels zijn geïntegreerd in een verordening van de Commissie die rechtstreeks van toepassing is, niet in nationaal recht hoeft te worden omgezet en twee maanden na de bekendmaking ervan in het Publicatieblad van de Europese Unie van kracht wordt.

Achtergrond

Volgens de ePrivacy-richtlijn van 2002 zijn telecomexploitanten en internetdienstenaanbieders verplicht persoonsgegevens vertrouwelijk en veilig te bewaren. Het gebeurt echter dat gegevens gestolen worden of dat personen op ongeoorloofde wijze toegang daartoe krijgen. Dergelijke gevallen zijn bekend als "inbreuken op persoonsgegevens". Wanneer een inbreuk op persoonsgegevens plaatsvindt, vereist de herziene ePrivacy-richtlijn (2009/136/EG) dat de aanbieder dit meldt aan een specifieke nationale autoriteit, gewoonlijk de nationale autoriteit voor gegevensbescherming of de telecomtoezichthouder. Verder moet de aanbieder de desbetreffende abonnee rechtstreeks inlichten als de inbreuk naar verwachting nadelige effecten heeft op persoonsgegevens of de persoonlijke levenssfeer. Om te zorgen voor consistente uitvoering van de regels inzake inbreuken op persoonsgegevens in alle lidstaten kan de Commissie volgens de ePrivacy-richtlijn "technische uitvoeringsmaatregelen" nemen – dit zijn praktische regels ter aanvulling van de bestaande wetgeving – over de omstandigheden, het formaat en de procedures voor de kennisgeving.

Volgens de ePrivacy-richtlijn moet de Commissie "alle relevante belanghebbenden" bij de voorbereiding van deze maatregelen betrekken. Daarom is er in 2011 een openbare raadpleging gehouden. Hierop hebben uiteenlopende partijen gereageerd, waaronder nationale autoriteiten, aanbieders en het maatschappelijk middenveld. Uit de resultaten bleek dat de belanghebbenden achter geharmoniseerde regels staan en dat er op nationaal niveau verschillende benaderingen bestaan. Verder heeft de Commissie bij het voorbereiden van de maatregelen het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa), de Groep gegevensbescherming artikel 29 en de Europese Toezichthouder voor gegevensbescherming (EDPS) geraadpleegd.

De maatregelen staan los van de door de Commissie voorgestelde herziening van het EU-wetgevingskader voor de bescherming van persoonlijke gegevens en het Commissievoorstel voor een richtlijn inzake netwerk- en informatiebeveiliging.

Nuttige links

Verordening van de Commissie inzake maatregelen die van toepassing zijn op de kennisgeving van inbreuken in verband met persoonsgegevens op grond van de ePrivacy-richtlijn

De ePrivacy-richtlijn

Privacy op internet in de Digitale agenda

De EU-richtlijn inzake gegevensbescherming

Hashtag: #eprivacy

Geef uw mening

Digitale agenda

Neelie Kroes Volg Neelie op Twitter

Contact:

Ryan Heath (+32 2 296 17 16), Twitter: @RyanHeathEU

Linda Cain (+32 2 299 90 19)


Side Bar

My account

Manage your searches and email notifications


Help us improve our website