Op 23 april jl. organiseerde ECP een seminar over privacy. Het was de eerste in een reeks bijeenkomsten waarbij iedere keer een ander aspect van online privacy aan bod komt. Aanleiding voor de sessie van 23 april waren de voorstellen van de Europese Commissie om de dataprotectierichtlijn uit 1995 te vervangen door een Algemene privacyverordening. Ruim honderd belangstellenden waren naar het Buitenhof gekomen om te luisteren en mee te praten. Gastheer Arie van Bellen, directeur ECP, nodigde de aanwezigen alvast uit voor de eerstvolgende ECP privacybijeenkomst op 3 juli en vertelde dat ECP kennispartner is van het Nationaal Privacy Debat van Webwereld op 11 juni.
De eerste spreker was Herke Kranenborg (legal officer van de European data Protection Supervisor). Hij schreef mee aan de reactie van de European Data Protection Supervisor (EDPS) op de voorstellen van Eurocommissaris Reading. Volgens de EDPS is een verplichtende karakter voor alle lidstaten van deze wetgeving een grote stap voorwaarts in de uniformiteit in de EU vergroten en daarmee de bescherming van persoonsgegevens verbeteren. Daarnaast zullen de regels die nu voorliggen de positie van het datasubject versterken, de verantwoordelijkheid van de verantwoordelijken vergroten en het toezicht en de handhaving versterken. Ondanks deze positieve grondhouding, gaf Kranenborg op al deze onderdelen aan waar de Europese Commissie en het Europese Parlement verbeterslagen moeten maken om tot echt goede regelgeving te komen. Allereerst is het geen integrale wetgeving; er wordt een verordening voor algemene regels en een aparte (en volgens EDPS inadequate) richtlijn voor wetshandhaving voorgesteld. Daarnaast zijn teveel zaken nog onduidelijk omschreven en daardoor in de praktijk moeilijk uitvoerbaar.
Ten aanzien van de versterkte positie van het datasubject is nog onduidelijk wat de criteria zijn. Wat is precies het aanbieden goederen via internet? Stel: je bent een Amerikaan, die in Amerika een Engelstalige webshop opent, waar Europeanen bij kunnen komen. Bied je dan goederen aan op de Europese markt? Daarnaast is het idee van het recht om vergeten teruggebracht tot een inspanningsverplichting, waarbij niet helder is hoe ver die verplichting reikt. Ten derde krijgt de consument het recht op een kopie van zijn of haar gegevens. Bij dit principe van gegevensoverdraagbaarheid (dataportabiliteit) is bijvoorbeeld nog niet vermeld of het origineel dan ook verwijderd moet worden en of gegenereerde gegevens ook mee moeten. Inzake het recht van verzet, wordt de bewijslast omgedraaid. Maar de vraag wat de defaultpositie is en bij wie bezwaar gemaakt kan worden moet nog worden vastgelegd. Ten slotte zijn de uitzonderingsmogelijkheden vergroot. Zo mag het principe van doelbinding worden losgelaten als het doel onder dezelfde grond valt als de originele wettelijke grond. De EDPS zou liever zien, dat niet gemorreld wordt aan doelbinding.
De verantwoordelijkheid van de verantwoordelijken wordt vergroot om zo bureaucratie te kunnen verminderen, bijvoorbeeld door privacy by default en de meldplicht datalekken. Een dataverwerker moet de toezichthouder laten zien wat hij ongeveer doet en met welk doel. Er is echter geen ondergrens geformuleerd en het is niet helder of de plicht (naast de verantwoordelijke ) ook op de dataverwerker rust. De voorgestelde verordening kent veel gedelegeerde wetgeving. Dat mag sinds Lissabon, maar dat kan volgens de EDPS niet om essentiële dingen gaan zoals die ondergrens: die moet duidelijk zijn voordat men boetes gaat uitdelen. Dat betekent dat de gedelegeerde wetgeving er moet liggen als de verordening van kracht wordt. Daarnaast zijn er uitzonderingen voor het MKB. Daar plaatst de EDPS kanttekeningen bij: voor het datasubject maakt het geen verschil of de organisatie die zijn gegevens lekt 1 of 20000 werknemers heeft.
Ten aanzien van het toezicht en de handhaving had Kranenborg ook enkele verbeterpunten. Zo zou het goed zijn als er ook naar andere methoden, anders dan alleen boeteoplegging, gekeken werd om tot compliance te komen. Meer duidelijkheid is ook gewenst omtrent de one stop shop. De toezichthouder van het land, waar het belangrijkste kantoor is gevestigd, neemt het voortouw in het toezicht. Onbekend is echter wat diens handelingsreikwijdte is.
Ten slotte gaf Kranenborg aan in subsidiariteit nog een mogelijk struikelblok te zien voor de verordening. Zo leven er o.a. in Duitsland, de bakermat van de gegevensbescherming en privacy, bezwaren tegen het weggooien van de nationale regels. De Nederlandse regering kan nog met de Raad om tafel en de Tweede Kamer met het Europees Parlement, die moeten met teksten ter verbetering komen. Eromheen zit natuurlijk een uitgebreid lobbycircuit. De Europese Commissie heeft nog geen commitment afgegeven of ze meer gaan doen. De gedelegeerde wetgeving moet al voorbereid worden, maar er ligt nog geen agenda klaar.
De tweede spreker van de middag was Michel Verhagen (Plaatsvervangend directeur van de directie Telecom, Ministerie van Economische Zaken, Landbouw en Innovatie). Hij vertelde dat naast het ministerie van Veiligheid & Justitie ook het Ministerie van Economische Zaken, Landbouw en Innovatie een verantwoordelijkheid heeft op het gebied van online privacy. De mogelijkheden die ICT en internet bieden kunnen alleen dan volledig benut worden, wanneer de burger en consument erop vertrouwt dat verantwoordelijk omgegaan wordt met zijn persoonsgegevens. Daarnaast moet hem handelingsperspectief geboden worden. In de Digitale Agenda.nl heeft ELI dan ook principes t.a.v. beveiliging, transparantie en vertrouwen geformuleerd. Daarnaast draagt ELI de verantwoordelijkheid voor de Telecomwet (ePrivacy). Nu het kabinet gevallen is, zal de politiek opnieuw het belang van de burger en consument afwegen in relatie tot een innovatief bedrijfsleven.
De derde spreker, Gerrit-Jan Zwenne (Partner Bird & Bird en hoogleraar aan de Universiteit van Leiden), stelde zichzelf de vraag of de privacyverordening voorziet in oplossingen voor knelpunten, die bestonden in de Wbp in relatie tot de richtlijn. Zwenne zag de voordelen van de nieuwe verordening, maar uit zijn toelichting bleek dat een aantal belangrijke punten niet verbeterd zijn. Bijvoorbeeld op het gebied van als transparantie: in de bepalingen t.a.v. de nieuwe data protection board wordt vertrouwelijkheid wel besproken, maar transparantie niet. Zwenne vindt het ook een gemiste kans dat er geen bevoegdheid komt voor een Europese toezichthouder om zo multi-jurisdictie problematiek op te heffen. De begrijpelijkheid laat ook te wensen over, er staan veel vage normen en formuleringen in. Ten slotte ziet Zwenne geen verbetering t.a.v. de fragmentatie en overregulering (“Moet je willen dat een Belg over een Italiaans bedrijf kan klagen bij de Finse toezichthouder?”).
Jeroen Terstegge (Eigenaar Privasense en voorzitter VNO-NCW commissie privacy) ging in zijn bijdrage in op het mogelijke effect van de verordening op innovatie. Hij noemde een viertal obstakels, waardoor de wetgeving een serieus probleem voor innovatie gaat vormen. Ten eerste is er geen wereldwijde consensus; zowel de VS als de EU denken over nieuwe regels, maar gaan andere richtingen op. De VS beïnvloedt daarmee ook het gedachtegoed van de APEC en de EU beïnvloedt het debat in o.a. de OESO. Daarnaast constateerde Terstegge dat internet en social media duidelijk een stempel drukken op de verordening, waardoor deze niet technologieneutraal en daarmee toekomstvast is. Het zou beter zijn om, net als in Japan, een korte verordening te maken met principes en per sector specifieke implementatieregels te formuleren. Het derde knelpunt is de onvoorspelbaarheid en de vierde is de onuitvoerbaarheid.
De middag werd afgesloten met een discussie over de balans tussen privacy en innovatie tussen de dagvoorzitter Bart Schermer (Partner Considerati en universitair docent aan de vakgroep ICT recht van de Universiteit Leiden (eLaw@Leiden)), het publiek en de panelleden (Jaap-Henk Hoepman, senior scientist privacy & security TNO en universitair hoofddocent Radboud Universiteit Nijmegen. Bart Pegge, beleidsadviseur ICT~Office. Rogier Klimbie, policy manager Google Benelux). Allereerst kwam dataportabiliteit aan bod. Aangegeven werd dat het een goed beginsel is waarmee de keuzevrijheid en leveranciersonafhankelijkheid van de consument vergroot wordt. Vanuit het oogpunt van innovatie is het ook een belangrijk instrument. Het zal echter grote inspanning van het bedrijfsleven vergen om het juridisch en technisch goed te regelen. Het betekent ook dat bedrijven wiens verdienmodel grotendeels op persoonsgegevens berust, die data aan een concurrent overdragen. Inkadering van en transparantie over het principe is dus van groot belang. Ook wordt opgemerkt dat het lang niet voor alle instellingen een geschikt middel is. Op platforms zoals Google en Facebook, waar geen doelbinding is, is dataportabiliteit logisch. Maar in de relatie overheid- burger, leverancier- consument en werkgever- werknemer, zal een deel van de data niet passen bij de verzamelingsdoelen van de nieuwe aanbieder. Ten slotte wordt aangegeven dat dataportabiliteit alleen mogelijk is, wanneer semantische standaarden en tools voor portabiliteit ontwikkeld worden, zodat een ieder de data kan verwerken zoals het aangeleverd wordt.
In de discussie over de rol van de toezichthouder kwam naar voren dat alle panelleden het wenselijk zouden vinden als het Cbp de dialoog aangaat met het bedrijfsleven. Het werkt kostenbesparend, wanneer bedrijven in een vroeg stadium weten hoe het Cpb ongeveer denkt over nieuwe toepassingen. Het is op de lange termijn in ieders voordeel om de dialoog aan te gaan met de partijen die de nieuwe wereld bouwen. In meer algemene zin zou het goed zijn als wetgevers, beleidsmakers en toezichthouders door krijgen dat ICT in alle sectoren een bepalende en positieve invloed heeft op innovatie en economisch herstel. Het is nu eenmaal zo dat innovatieve producten en diensten door techneuten worden ontwikkeld, die nieuwe dingen uitproberen en introduceren als experiment. Privacyoverwegingen zitten niet van nature op de eerste rij in dit creatieve proces. Innovatie waarbij je in een vroeg stadium privacyoverwegingen meeneemt (privacy by design) kan wel, maar wordt moeizaam als er geen dialoog mogelijk is en de discussie teveel naar aanleiding van incidenten gevoerd wordt. Bedrijven, overheid en bedrijfsleven moeten samenwerken om ervoor te zorgen dat privacy een ‘enabler’ wordt i.p.v. een barrière voor innovatie. Waarbij rekening gehouden moet worden met wat consumenten nou echt willen op het gebied van gegevensbescherming én gebruiksgemak. Dat ook het Ministerie van ELI en de Kamercommissie voor Economische Zaken het thema van online privacy behandelen vinden de aanwezigen dan ook een vruchtbaardere insteek dan enkel behandeling door de Minister en de Kamercommissie van Veiligheid & Justitie.
Onderaan deze pagina kunt u de presentaties downloaden.
Privacy reeks
ECP draagt bij aan een evenwichtig debat over privacy en ICT en fungeert als neutrale kennisbron. Zo organiseert ECP in 2012 vier bijeenkomsten over het thema. Elke bijeenkomst heeft een andere insteek. De eerstvolgende privacy bijeenkomst vindt plaats op 3 juli aanstaande van 14.00 tot 17.00 in Nieuwspoort te Den Haag. De focus ligt dan op innovatie in relatie tot een verantwoorde omgang met persoonsgegevens. Op dinsdagavond 2 oktober staat de eindgebruiker centraal in een interactieve sessie Tek Tok in het Paard van Troje (Den Haag). De conclusies vanuit deze reeks worden gepresenteerd en verder bediscussieerd tijdens het ECP Jaarcongres op 15 november.