E.F. Vaal
M.H.L. Hemmer
liëtte Vaal is sinds haar afstuderen aan de Universiteit van Amsterdam (2009) werkzaam als advocaat binnen de praktijkgroep Intellectual Property & Technology van AKD. Eliëtte houdt zich bezig met het Intellectueel Eigendomsrecht en het ICT- Media- en Privacyrecht. Zo behandelt zij inbreukzaken, zaken over misleidende reclame en stelt zij diverse ICT- en licentieovereenkomsten op. Daarnaast adviseert zij nationale en internationale cliënten over een breed scala aan onderwerpen zoals de bescherming van persoonsgegevens (in relatie tot cookies, Cloud computing en de inrichting privacy policies) en de overdracht van intellectuele eigendomsrechten. Verder treedt Eliëtte op in gerechtelijke procedures en domeinnaamarbitrage.
artin is advocaat (partner) bij AKD binnen de praktijkgroep Intellectual Property & Technology. Binnen die praktijkgroep is hij het aanspreekpunt van de sectie ICT, Media & Privacy. Martin heeft een specifieke interesse in de combinatie van recht en technologie. In zijn werk als advocaat ligt daardoor de nadruk op “Innovatieve IP” en “ICT, Media & Privacy”. Daarnaast adviseert en procedeert Martin regelmatig over ICT-kwesties. Daarbij kan het gaan om contracten op het gebied van (cloud-) dienstverlening, maar ook om de begeleiding bij conflicten en juridische procedures (bij de rechter of via SGOA- arbitrage) over mislukte implementaties of domeinnamen. De aanpak van Martin is oplossingsgericht. Tenslotte richt Martin zich op conflicten over onrechtmatige uitingen op internet en daarbuiten.
E
52
M
De nieuwe Europese privacyverordening Eliëtte Vaal en Martin Hemmer
he sky is the limit. Dat geldt zeer zeker voor de mogelijkheden op het gebied van technologische en digitale ontwikkelingen. Een sky die bijvoorbeeld onbeperkt gevuld kan worden met cloud-oplossingen. Wat begon als SAAS (Software As A Service) ging naar PAAS (Platform As A Service) en inmiddels wordt gesproken over XAAS, “Everything As A Service”. Als gevolg van deze ontwikkelingen bestaan voor bedrijven en overheden steeds meer mogelijkheden om gegevens te verzamelen en te delen. Omdat de mogelijkheden veelal letterlijk onbegrensd zijn, delen ook steeds meer mensen hun gegevens met de hele wereld. Als gevolg van de digitale ontwikkelingen kan de privacy in het gedrang komen. De onbegrensde technische mogelijkheden vinden dan ook soms hun begrenzing in het (privacy) recht.
T
Een voorbeeld van een technologische ontwikkeling die heeft gezorgd voor privacyrisico’s, is het gebruik van apps. Vorig jaar oordeelde het College Bescherming Persoonsgegevens (“CBP”) bijvoorbeeld dat de applicatie WhatsApp niet voldeed aan de Nederlandse privacyregels. Zo werden gegevens van inactieve gebruikers te lang bewaard en bleken berichten niet goed versleuteld. Daarnaast bleek na installatie van de app dat zonder toestemming van de gebruiker toegang werd verkregen tot de informatie uit het adressenboek van de gebruiker.1 Op die manier heeft WhatsApp – inmiddels eigendom van Facebook - ongetwijfeld de cliëntendatabase van menig advocatenkantoor onder haar controle gekregen, mogelijk een massale schending van artikel 6 van de Gedragsregels 1992. Ook na aanpassingen bleek WhatsApp nog niet aan de Wet bescherming persoonsgegevens (“Wbp”) te voldoen. Dit omdat de chatdienst tevens adresboekgegevens van gebruikers op haar servers bewaart van niet-WhatsApp gebruikers. Omdat WhatsApp geen kantoor heeft in Europa wordt de kans klein geacht dat het CBP eventueel opgelegde boetes kan innen.2
1 CBP, ‘Onderzoek naar de verwerking van persoonsgegevens in het kader van de mobiele applicatie door WhatsApp Inc.’, Rapport definitieve bevindingen, januari 2013, Z2011-00987. 2 nl.
N. Kasteleijn, ‘CBP dreigt met dwangsom tegen WhatsApp om privacyschending’, 25 februari 2014, www.nrc.
53
Verschillende internationale organisaties hebben hun zorgen geuit over de waarborging van privacy bij app gebruik. Zo wijzen de Europese toezichthouders, die zijn verenigd in de Artikel 29 Werkgroep, op het feit dat app-gebruikers onvoldoende geïnformeerd worden over wat er met hun persoonsgegevens gebeurt. 3 Daarnaast benadrukken wereldwijde toezichthouders hun eigen rol om misbruik van persoonsgegevens te voorkomen. “It is not our task to spoil the fun apps can offer to their users, but misuse of personal data has to be prevented.”4 Bovenstaande ontwikkelingen eisen dat het recht meebeweegt. In het onderstaande wordt ingegaan op de komende ontwikkelingen op privacygebied in Europa.
Nieuwe Europese privacyregels Achtergrond
De huidige Europese privacywetgeving dateert van 1995 in de vorm van de Europese Richtlijn 95/46/EG.5 In Nederland is deze richtlijn geïmplementeerd in de Wbp, de vervanger van de Wet persoonsregistraties. De wereld ziet er vandaag echter anders uit dan 19 jaar geleden. Destijds stond het internet nog in de kinderschoenen en had nog nagenoeg niemand een mobiele telefoon. Naast het feit dat de huidige Europese wetgeving is verouderd heeft deze tot nadeel dat de EU-lidstaten de wetgeving niet op gelijke wijze hebben geïmplementeerd en toepassen. Daarnaast geeft de privacyrichtlijn uit 1995 geen sterke handhavingsbevoegdheden aan de toezichthouders. De Europese Commissie heeft in 2012 een voorstel gedaan tot hervorming van de Europese regelgeving met betrekking tot gegevensbescherming.6 Een belangrijk deel van het hervormingspakket van de Commissie bestaat uit een nieuwe algemene verordening gegevensbescherming (“de Verordening”).7 In het voorstel voor de Verordening wordt door de Europese Commissie erkend dat technologie zowel de economie als het maatschappelijke leven ingrijpend heeft veranderd. Met de nieuwe Verordening beoogt de Europese Commissie de Europese regelgeving meer geschikt te maken voor het huidige digitale tijdperk en globalisering. Het is volgens de Europese Commissie tijd om een krachtiger en coherent kader te creëren voor gegevensbescherming in de EU en scherp toe te zien op de handhaving daarvan.8 Het doel van de nieuwe Verordening is om de online privacybescherming te versterken,
3 Article 29 Data Protection Working Party, ‘Opinion 02/2013 on apps on smart devices’, 27 February 2013, WP 202 (00461/13/EN). 4 35th International Conference of Data Protection and Privacy Commissioners, ‘Warsaw declaration on the “appification” of society’, 2013 (September 23-26). 5 Richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (PBEU 1995, L 281/31). 6
COM (2012) IP/12/46 (persbericht).
7
COM (2012)11 def.
8
COM (2012)11 def. p 2.
54
een boost te geven aan de Europese digitale economie en meer rechtszekerheid te bieden voor bedrijven en overheden.9
Verordening als wetgevingsinstrument
Er is gekozen om de regelgeving vast te leggen in een verordening. Omdat een verordening anders dan een richtlijn, zonder nationale implementatie rechtstreeks toepasselijk is in alle lidstaten van de Europese Unie zal de Verordening in Nederland de Wbp vervangen. Het feit dat is gekozen voor het instrument van een verordening heeft tot gevolg dat er in vergelijking met een richtlijn minder verschillende (nationale)regels zullen bestaan. Dat zal de rechtszekerheid en garantie op privacybescherming in de Europese Unie bevorderen. Daarnaast brengt de keuze voor een verordening met zich dat de macht over de gegevensbescherming van de lidstaten verschuift naar Europa. De vraag kan gesteld worden of dit laatste feit de bescherming van persoonsgegevens wel ten goede komt.10
Status wetgevingsproces
De Verordening bevat een aantal ingrijpende wijzigingen ten opzichte van de huidige privacyregels in Europa en in Nederland. Temeer omdat iedereen te maken krijgt met de nieuwe regels is de Verordening veel besproken en bekritiseerd. Tegen de ontwerpverordening hebben EU-parlementsleden (mede onder druk van lobbyisten) bijna 4000 amendementen ingediend. Het Europese Parlement heeft op 12 maart 2014 ingestemd met het voorstel van de Europese Commissie.11 Voordat de Verordening in werking treedt wordt de Verordening beoordeeld door de Europese Raad van Ministers. Vervolgens zal de Verordening worden aangenomen door de Europese Commissie, het Parlement en de Raad. De verwachting is dat de Verordening in 2015 in werking treedt.
Welke veranderingen brengt de Verordening?
In het navolgende wordt een aantal belangrijke wijzingen van de Verordening ten opzichte van de huidige wetgeving genoemd. Territoriale toepassingsbereik.12 Het geografisch toepassingsgebied van de privacywetgeving wordt verruimd. Ook bedrijven zonder vestiging in Europa vallen onder het bereik van de wetgeving indien zij goederen of diensten aanbieden aan EU-burgers of indien zij EU-burgers observeren. Deze wijziging betekent dat bijvoorbeeld zoekmachines die het (zoek)gedrag van EU-burgers in kaart brengen en bedrijven als WhatsApp onder het bereik van de Verordening vallen. Deze bedrijven moeten in de toekomst dus voldoen aan de strenge Europese regels.
9
COM (2014) MEMO/14/186, p. 2.
10 Zie J.M. Titulaer-Meddens, ‘de Algemene verordening gegevensbescherming en het bedrijfsleven’, P&I (3), p.101. 11 Europees Parlement, Wetgevingsresolutie van het Europees Parlement van 12 maart 2014, A7-0402/2013. Europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0212+0+DOC+XML+V0//NL. 12 Art. 3 Verordening.
55
Introductie hoge boetes.13 Toezichthouders krijgen de mogelijkheid om als sanctie op overtreding van de Verordening een hoge boete op te leggen. Waar de maximumboete in de Wbp slechts EUR 4.500,- bedraagt, zijn de boetes voor ondernemingen in de Verordening maximaal EUR 1 miljard euro of 5% van de wereldwijde omzet van de onderneming. De introductie van deze boetes is ingrijpend. Het dwingt het bedrijfsleven om compliance met de privacyregels (hoog) op de agenda te zetten. De Verordening voorziet in een lange lijst factoren die van invloed zijn op de op te leggen straf. Zo moeten toezichthouders onder meer rekening houden met de aard, ernst en de duur van de niet-naleving, het feit of sprake is van recidive en de vraag of de inbreuk opzettelijk of uit nalatigheid is gepleegd. Het recht om vergeten te worden.14 De tekst van het voorstel voor de Verordening benoemde het recht om vergeten te worden. Omdat de introductie van een basaal ‘recht om vergeten te worden’ controversieel bleek, is deze in de aangenomen tekst gewijzigd in het ‘recht om gegevens te laten wissen’. Dit recht is vergelijkbaar met het recht van verzet dat is opgenomen in de Wbp (artikel 36 Wbp). De verplichting van de verantwoordelijke om onder omstandigheden gegevens van de betrokkene te wissen en niet verder te verspreiden gaat echter verder. Deze verplichting houdt tevens de zorg in dat bij de gegevensverwerking betrokken derden iedere koppeling naar, of kopie of reproductie van de persoonsgegevens wissen. In de praktijk zal het voor verantwoordelijken niet eenvoudig zijn om na te gaan welke derde partijen naar de persoonsgegevens linken of daarvan gebruik maken.15 Recentelijk heeft het Hof van Jusititie EU in het Google -arrest echter een algemeen recht om vergeten te worden geïntroduceerd. Personen hebben er volgens het Hof onder omstandigheden recht op dat bepaalde informatie niet meer met hun naam wordt verbonden via een zoekresultatenlijst van een zoekmachine (ook al is deze informatie afkomstig uit rechtmatige publicaties).16 Het arrest heeft ook kritiek ontmoet. Men kan zich bijvoorbeeld afvragen of het niet leidt tot een onwenselijke herschrijving van digitale geschiedenis. In zijn conclusie wees de advocaat-generaal op de onwenselijkheid van het toekennen van een algemeen recht op vergetelheid. De introductie van dit recht zou ertoe leiden dat bij de verwerking van persoonsgegevens ten onrechte getoetst wordt aan subjectieve voorkeuren. Ook wijst de advocaat-generaal op het probleem dat zoekmachines hun functie van onafhankelijke schakel verliezen, omdat zij zichzelf noodgedwongen in de positie van de uitgever van de bronpagina moeten verplaatsen. 17 Profilering.18 De Verordening bevat een nieuw artikel over profilering. Dat betreft het - in de online marketing veel gebruikte - aanleggen van profielen van personen om zo het gedrag van personen te analyseren of te voorspellen. De achtergrond van de regel13 Art. 79 Verordening. 14 Art. 17 Verordening. 15 N. Wolters Ruckert, ‘De nieuwe ‘privacyverordening’: vol verwachting klopt het hart van ‘privacyland’, Juridisch Up to date 2012 (5), p. 24. 16 HvJEU 13 mei 2014, C-131/1225, IEPT20140513 (Google Spain v AEPD), (concl. A-G Jaaskinen, IEPT20140513). 17 HvJEU 13 mei 2014, C-131/1225, IEPT20140513 (Google Spain v AEPD), (concl. A-G Jaaskinen, IEPT20140513), r.o. 108 e.v. 18 Art. 20 Verordening.
56
geving is dat het indelen van individuen in profielen discriminatie en stigmatisatie tot gevolg kan hebben. Bepaalde soorten van profilering is op grond van de Verordening wel toegestaan. Dat is het geval op voorwaarde dat het noodzakelijk is voor het sluiten of uitvoeren van een overeenkomst, als dat is toegestaan op grond van wetgeving die voorziet in passende waarborgen, of met toestemming van de betrokkenen. De Verordening bepaalt dat profilering die leidt tot discriminatie te allen tijde verboden is. Belangenorganisatie Bits of Freedom meent dat het profileren van burgers met het nieuwe artikel makkelijker wordt dan onder de Wbp. Als gevolg van de uitzonderingen is niet in alle gevallen voorafgaande toestemming vereist voor het aanleggen van een profiel. Dat brengt met zich dat bedrijven veel makkelijker klantendatabases kunnen analyseren om klanten te profileren.19 Het CBP heeft de aanpak van ongeoorloofde profilering, met name via het volgen van gebruikers op internet of via draadloze verbindingen (tracking&tracing), als speerpunt voor 2014 gedefinieerd.20 Zorgplicht.21 De Verordening introduceert een aantal zorgplichten voor verantwoordelijken. Zo is de verantwoordelijke verplicht om aantoonbaar passend beleid vast te stellen en aantoonbare technische en organisatorische maatregelen uit te voeren. Daarnaast is de verantwoordelijke verplicht om zijn beleid ten minste om de twee jaar te evalueren. De verplichting om voor elke verwerking bepaalde documentatie te bewaren is in de aangenomen tekst van de Verordening verwijderd. De aangenomen tekst bevat wel de verplichting van verantwoordelijken die binnen zijn groep persoonsgegevens uitwisselt om interne gedragscodes op te stellen.22 De meldplicht uit de Wbp komt niet terug in de Verordening en zal dus bij inwerkingtreding van de Verordening verdwijnen. Wel verplicht de Verordening in bepaalde omstandigheden tot de aanstelling van een functionaris van de gegevensbescherming.23 Verplichte Data Privacy Officer. De verantwoordelijke en de verwerker moeten een DPO aanwijzen in gevallen waarin de verwerking door een rechtspersoon wordt uitgevoerd en betrekking heeft op meer dan 5.000 betrokkenen in elke aaneengesloten periode van 12 maanden. Dit is een verschuiving van het criterium van het aantal werknemers (ten minste 250) voorgesteld door de Commissie. Als gevolg daarvan kunnen grote ondernemingen met een lage gegevensverwerking worden vrijgesteld, terwijl kleine “Big Data” bedrijven kunnen worden gedekt. DPO’s worden benoemd voor ten minste vier jaar (in het geval van werknemers) of twee (in het geval van externe contractanten). One Stop Shop24 Internationale bedrijven hebben onder de nieuwe Verordening nog maar met één toezichthouder te maken, in plaats van in iedere EU-lidstaat een andere. Deze nieuwe regel zal de kosten en (administratieve) lasten voor bedrijven verlagen. Belangenorganisaties wijzen erop dat de regel “shopgedrag” van bedrijven in de hand
19 Bits of Freedom, ‘Privacy en persoonlijke data’, geraadpleegd op www.bof.nl. 20 CBP, ‘Agenda 2014’, geraadpleegd op www.cbpweb.nl. 21 Art. 22-28 Verordening. 22 Art. 22 Verordening. 23 Art. 35-37 Verordening. 24 Art. 54 bis Verordening.
57
kan werken. Voorkomen moet worden dat bedrijven de minst strenge autoriteit kunnen uitkiezen. Meldplicht bij datalekken.25 De Verordening introduceert een algemene meldplicht voor de verantwoordelijke bij datalekken. De verantwoordelijke is verplicht om inbreuken in verband met persoonsgegevens zonder onnodige vertraging aan de toezichthouder en onder omstandigheden aan betrokkenen te melden. Dat is bijvoorbeeld het geval als een computersysteem is gehackt. Deze meldplicht is vergelijkbaar met de meldplicht datalekken die naar verwachting in de Wbp wordt opgenomen als implementatie van de Europese e-Privacyrichtlijn.26 Dit wetsvoorstel is nog in behandeling bij de Tweede Kamer.27
Conclusie
Als gevolg van technologische ontwikkelingen en globalisering dienen de Europese privacyregels aangescherpt te worden. Dat gebeurt in de vorm van de nieuwe Verordening. De grootste wijziging die de richtlijn brengt, is ons inziens de introductie van sterke handhavingsmogelijkheden voor de toezichthouders met hoge boetes. Deze hoge boetes dwingen bedrijven en overheden om zich actief met de waarborging van privacy bezig te gaan houden. Maar ook de uitbreiding van de territoriale toepasselijkheid zal grote effecten hebben. Met een sterke Europese privacywetgeving verkrijgt Europa daarnaast een sterkere positie ten opzichte van de Verenigde Staten.28 Europa zal met de nieuwe Verordening weer een hele tijd vooruit kunnen, totdat de wetgeving ongetwijfeld weer zal worden ingehaald door nieuwe technologische ontwikkelingen!
25 Art. 31-32 Verordening. 26 Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 7 maart 2002 van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (PB L 201/37) 27 Kamerstukken II, 33 662, nr. 3. 28 Zie ook H. Hijmans, ‘De nieuwe Europese privacywetgeving: stand van zaken bijna twee jaar na Commissievoorstel’ NtEr 2013 (10), p. 347.
58