Navigation path

Left navigation

Additional tools

Europese Commissie

MEMO

Brussel, 28 januari 2013

De hervorming van de gegevensbescherming - stand van zaken na één jaar

Een jaar geleden heeft de Europese Commissie een grondige hervorming van de EU-gegevensbeschermingsregels van 1995 voorgesteld om de privacy online beter te waarborgen en de digitale economie in Europa te stimuleren (IP/12/46). De manier waarop gegevens worden verzameld, geraadpleegd en gebruikt, is door de technologische vooruitgang en de globalisering ingrijpend veranderd. Tevens hebben de 27 EU-lidstaten de regels van 1995 verschillend omgezet, wat tot verschillen in toepassing en handhaving heeft geleid. Een geïntegreerde wetgeving moet een einde maken aan de huidige fragmentatie en aan dure administratieve formaliteiten, waardoor bedrijven circa 2,3 miljard EUR per jaar kunnen besparen. Met het initiatief moet het consumentenvertrouwen in online diensten worden aangewakkerd, wat de groei, werkgelegenheid en innovatie in Europa de noodzakelijke impulsen kan geven.

Hoe zal de hervorming van de gegevensbescherming de economische groei stimuleren?

Het delen van gegevens is cruciaal geworden voor economische groei. Privacybescherming en vrij verkeer van gegevens zijn geen contradictoire maar complementaire begrippen. 

Om tot ontplooiing te komen, heeft de digitale economie vertrouwen nodig. Velen hebben er geen vertrouwen in hun persoonsgegevens online mee te delen. Dat betekent dat zij minder snel gebruik zullen maken van online diensten en andere technologieën. Volgens een GSMA-studie maken 9 op 10 smartphonegebruikers zich zorgen over mobiele apps die zonder hun toestemming hun gegevens verzamelen en zeggen te willen weten wanneer de gegevens op hun smartphone met een derde worden gedeeld.

Sterke, betrouwbare en consequent toegepaste regels zullen de gegevensverwerking veiliger en goedkoper maken en het vertrouwen versterken. Vertrouwen zorgt op zijn beurt voor groei. Dat is een boodschap die wereldwijd goed wordt begrepen. In een brief aan het Europees Parlement waarin het hervormingspakket voor de gegevensbescherming krachtig wordt gesteund, hebben 25 belangrijke consumentenorganisaties uit de Verenigde Staten beklemtoond dat “sterkere privacynormen in Europa consumenten over de hele wereld ten goede zullen komen”.

Wat betekent de hervorming voor ondernemingen?

De voorgestelde gegevensbeschermingswetgeving van de EU helpt bedrijven op drie manieren groei te realiseren:

Ten eerste worden kosten gedrukt en de rechtszekerheid bevorderd door de lappendeken van wetgeving in Europa te vervangen door één stel regels voor alle 27 lidstaten van de EU.

De formaliteiten worden teruggedrongen door te zorgen dat bedrijven voor de contacten met de regelgevende instanties bij één loket terecht kunnen. In de toekomst zullen bedrijven alleen nog te maken hebben met de gegevensbeschermingsinstanties in het land waar zij gevestigd zijn.

Zij zullen ook niet langer verplicht zijn om elke activiteit van gegevensverwerking mee te delen aan de regelgevende instanties.

Door dit alles zullen ondernemingen circa 2,3 miljard EUR per jaar besparen.

Ten tweede zal de hervorming groei realiseren omdat daarin rekening wordt gehouden met de kosten van niet-naleving. De kosten van schendingen van gegevensbeschermingsregels kunnen enorm hoog zijn. Volgens bepaalde verslagen kostte een aanval op Sony waarbij 100 miljoen accounts werden gehackt tussen 1 en 2 miljard USD. Dat klanten onverwijld op de hoogte worden gebracht wanneer hun gegevens, waaronder hun creditcardgegevens, zijn gehackt, zal vertrouwen wekken en consumenten met vertrouwen online zaken laten doen.

Ten derde voorzien de voorstellen van de Commissie in een uitbreiding van de manier waarop ondernemingen kunnen aantonen dat zij hoge beschermingsnormen naleven bij het doorgeven van persoonsgegevens over de EU-grenzen. Het gaat om een lange lijst. Ondernemingen die wereldwijd actief zijn, zullen voordeel halen uit duidelijke regels die bepalen hoe zij bindende bedrijfsvoorschriften en modelcontractbepalingen kunnen gebruiken om persoonsgegevens veilig door te geven.

Het voorstel voorziet ook in de afschaffing van veel lastige procedures van voorafgaande toestemming. Onder bepaalde voorwaarden zal het mogelijk zijn om gegevens door te geven buiten de Unie op grond van gedragscodes. Aan de "veilige haven" wordt niet geraakt.

De voorgestelde nieuwe EU-regels inzake geschiktheid houden ten volle rekening met privacyregelingen in andere landen. Het gaat er niet om een regeling te hebben die identiek is aan die van de EU, maar wel om in de praktijk hetzelfde niveau van gegevensbescherming te garanderen. Uit ervaring blijkt dat deze aanpak werkt.

Wat betekent de hervorming voor de burger?

De voorgestelde gegevensbeschermingswetgeving van de EU helpt individuen op drie manieren controle te krijgen over hun gegevens en meer vertrouwen te krijgen in het gebruik van online diensten.

Ten eerste zal het EU-recht, door het bestaande "recht om te worden vergeten" te versterken (het recht om te vragen dat gegevens worden gewist wanneer deze niet meer nodig zijn), burgers helpen hun gegevensbeschermingsrisico's online beter te beheren: zij zullen hun gegevens kunnen wissen wanneer er geen legitieme gronden meer zijn om deze nog te bewaren. Zij zullen ook gemakkelijker toegang krijgen tot hun eigen gegevens en gemakkelijker persoonsgegevens kunnen doorgeven van één service provider naar een andere.

Ten tweede moet, wanneer toestemming vereist is voor de verwerking van gegevens, deze toestemming uitdrukkelijk worden gegeven, en mag deze niet langer worden vermoed, zoals nu soms het geval is. Toestemming is thans – en ook in de voorgestelde wetgeving – slechts één van verscheidene gronden voor rechtmatige gegevensverwerking. De verwerking kan ook gegrond zijn op de uitvoering van een overeenkomst, op een wettelijke verbintenis, op een openbaar belang of op de legitieme belangen van de controleur, enz. Wanneer echter voor de gegevensverwerking toestemming is vereist, moet die toestemming uitdrukkelijk zijn: zwijgen is niet hetzelfde als instemmen.

Uitdrukkelijke toestemming moet niet noodzakelijk schriftelijk worden gegeven: een persoon kan instemmen met de verwerking van zijn gegevens door iconen of vakjes aan te klikken op een website. Dat betekent niet dat er constant pop-ups zullen verschijnen, aangezien toestemming voor meerdere verrichtingen kan worden gegeven.

Ten derde zullen nieuwe regels het aantal gegevenslekken helpen verminderen. Wanneer dat toch gebeurt en persoonsgegevens verloren gaan, worden gestolen of gehackt, moeten de slachtoffers zo snel mogelijk op de hoogte worden gebracht. Snel optreden tegen gegevenslekken benadeelt criminelen en niet de eerlijke ondernemingen. Waarom moeten gegevenslekken niet binnen 24 uur worden meegedeeld wanneer dat haalbaar is? De voorstellen van de Commissie vragen niets meer. De statistieken tonen het aan: in landen waar er snel kennisgeving plaatsvindt, zijn er minder gegevenslekken. Het is duidelijk dat strenge regels op dat gebied ondernemingen aanmoedigen om persoonsgegevens veiliger te beheren.

Wat betekent het recht om te worden vergeten in werkelijkheid?

Zij die hopen via het recht om te worden vergeten, hun kredietverleden te wissen, zullen teleurgesteld zijn.

Het voorstel van de Commissie bouwt voort op het reeds bestaande recht om te vragen dat persoonsgegevens worden gewist wanneer zij niet langer nodig zijn voor een rechtmatig doel. Het gaat om zeer uiteenlopende alledaagse situaties. Het is bijvoorbeeld mogelijk dat kinderen niet begrijpen welke gevaren verbonden zijn aan het vrijgeven van hun persoonsgegevens, en daar spijt van hebben wanneer zij volwassen worden. Zij moeten die gegevens kunnen wissen wanneer zij dat wensen.

Zal de geschiedenis worden herschreven met het recht om te worden vergeten?

Het recht om te worden vergeten, betekent niet dat de geschiedenis wordt herschreven. Het voorstel van de Commissie beschermt specifiek (in de artikelen 17 en 80) de vrijheid van meningsuiting en de mediavrijheid, alsook historisch en wetenschappelijk onderzoek.

Tegelijk mogen persoonsgegevens zolang worden bewaard als nodig is om een overeenkomst uit te voeren of om een wettelijke verplichting na te komen. Kortom: het recht om te worden vergeten, is niet absoluut.

De rechten van ondernemingen worden ook beschermd. Wanneer de betrokken persoonsgegevens openbaar zijn gemaakt (bijvoorbeeld op het internet), moet een onderneming zich oprecht inspannen om ervoor te zorgen dat derden op de hoogte zijn van het verzoek om de gegevens te wissen. Het is evident dat een onderneming niet alle sporen in zoekindexen zal kunnen wissen en dat is niet wat de EU-ontwerpwetgeving vraagt. Ondernemingen moeten echter wel alle redelijke maatregelen nemen om ervoor te zorgen dat derden waaraan de gegevens zijn doorgegeven, op de hoogte worden gebracht van het verzoek van de betrokkene dat die gegevens worden gewist. In de meeste gevallen zal daarvoor een eenvoudige e-mail volstaan.

Zal de hervorming van de gegevensbescherming de Commissie een blanco cheque geven om te reguleren?

De uitvoeringsbevoegdheden die de Commissie krijgt in het hervormingspakket voor de gegevensbescherming, zijn geen blanco cheque. Met deze uitvoeringsbevoegdheden kunnen alleen niet-essentiële elementen van de wetgeving worden aangepast aan nieuwe ontwikkelingen, onder toezicht van het Europees Parlement en de Raad van ministers. Zonder deze flexibiliteit om de wetgeving aan te passen aan technologische verandering zou de nieuwe wetgeving onvermijdelijk te prescriptief zijn en minder open staan voor innovatie. De nieuwe regels zouden snel verouderd zijn. Zoals steeds zal de Commissie de belanghebbenden uitgebreid raadplegen alvorens haar bevoegdheden te gebruiken.

Het Europees recht voorziet in dit soort uitvoeringsbevoegdheden met een reden: ervoor zorgen dat de technische aspecten van onze regels snel kunnen worden aangepast aan de veranderende werkelijkheid, zonder dat daarvoor de volledige en lange procedure moet worden doorlopen om nieuwe wetgeving aan te nemen.

Zullen de nieuwe regels de internationale samenwerking ter bestrijding van criminaliteit verzwakken?

De uitwisseling van gegevens tussen rechtshandhavingsintanties zal niet moeilijker worden. Alleen de overeenkomsten waarbij persoonlijke gegevens worden uitgewisseld die niet voldoende waarborgen op het gebied van gegevensbescherming bevatten, zullen moeten worden herbekeken.

Wat zijn de volgende stappen?

De ontwerpwetgeving moet nu door de Europese medewetgevers worden goedgekeurd: het Europees Parlement en de Raad die is samengesteld uit de nationale ministers. De rapporteurs van het Europees Parlement (leden van het Europees Parlement die het voortouw nemen in de hervorming van de gegevensbescherming) hebben hun ontwerpverslagen opgesteld (MEMO/13/4) die nu in de relevante parlementaire commissies zullen worden besproken. De stemming in het Europees Parlement vindt naar verwachting eind april plaats.

Het Ierse EU-voorzitterschap, dat de volgende zes maanden de bijeenkomsten van de Raad zal voorzitten en sturen, heeft van gegevensbescherming een prioriteit gemaakt en werkt hard om vóór het einde van het Ierse voorzitterschap (juni 2013) een politieke overeenstemming over de hervorming van de gegevensbescherming te bereiken. Op de informele Raad Justitie van 18 januari werd aanzienlijke vooruitgang geboekt (zie SPEECH/13/29).

De Europese Commissie zal zeer nauw met het Europees Parlement en de Raad blijven samenwerken om de inspanningen van het Parlement en het Ierse EU-voorzitterschap te steunen en de wetgeving inzake gegevensbescherming voor het einde van het jaar te laten goedkeuren.

Voor meer informatie

Persdossier: hervorming gegevensbescherming:

http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm

Europese Commissie – gegevensbescherming: http://ec.europa.eu/justice/data-protection

Homepage van vicevoorzitter Viviane Reding, EU-commissaris voor Justitie:

http://ec.europa.eu/reding

Newsroom van het directoraat-generaal Justitie:

http://ec.europa.eu/justice/newsroom/index_en.htm

Volg de vicevoorzitter op Twitter: @VivianeRedingEU


Side Bar