Op Dataprotectioneu.eu publiceren ze hun appèl, dat vanuit de Benelux is ondertekend door:
* Jacques Berleur, University of Namur, Computer Science Faculty, Namur, Belgium
* Paul de Hert, Vrije Universiteit Brussel, Brussels, Law Science Technology & Society (LSTS), Belgium
* Cécile de Terwangne, University of Namur, Faculty of Law, Namur, Belgium
* Séverine Dussolier, University of Namur, Faculty of Law, Namur, Belgium
* Yves Poullet, University of Namur, Rector and Faculty of Law, Namur, Belgium
* Jean-Marc Van Gyseghem, University of Namur, Faculty of Law, Namur, Belgium
* Bart Jacobs, Radboud University Nijmegen, Institute for Computing and Information Sciences, Nijmegen, The Netherlands
* Ronald Leenes, Tilburg University, Tilburg Law School, Tilburg, The Netherlands
* Nico van Eijk, University of Amsterdam, Institute for Information Law, Amsterdam, The Netherlands
* Jaap-Henk Hoepman, TNO, Groningen and Radboud University Nijmegen, Institute for Computing and Information Sciences, The Netherlands
De laatste vertaalde het Engelse stuk:
De automatische verwerking van persoonlijke gegevens groeit in een onvoorstelbaar tempo, en wordt steeds meer een integraal onderdeel van onze economische, administratieve en sociale processen, in Europa en over de hele wereld. Vooral op het web vinden gebruikers het heel gewoon om voor een gratis dienst te betalen met het verstrekken van hun persoonlijke gegevens voor marketing doeleinden.
Met het oog op deze ontwikkelingen vindt er op dit moment een discussie plaats over een majeure wijziging van de Europese wetgeving rondom gegevensbescherming. Een jaar geleden presenteerde de Europese Commissie een nieuw voorstel voor een Europese Verordening voor de bescherming van persoonsgegevens. Het Europese Parlement en de Europese Raad beraden zich op dit moment op hun standpunt ten aanzien van deze verordening. Verschillende machtige lobbygroeperingen proberen daarom op ongekende wijze invloed uit toe oefenen op deze beslisorganen.
Om deze verhitte discussie in een meer objectief perspectief te plaatsen, willen we een aantal zakelijke argumenten over het voetlicht brengen. Om zo een tegenwicht te bieden aan de stemmen die de Europese bescherming van persoonsgegevens willen verzwakken.
Innovatie en concurrentie worden niet bedreigd
Het kernargument tegen de voorgestelde verordening inzake gegevensbescherming is dat de verordening innovatie en concurrentie negatief zal beïnvloeden. Critici stellen dat de voorgestelde regels inzake gegevensbescherming te streng zijn en dat ze innovatie dermate afremmen dat Europese spelers nadeel zullen ondervinden op de wereldmarkt.
Wij zijn het niet eens met dat standpunt. Integendeel, we hebben eerder gezien dat een regelgevend kader innovatie juist kan bevorderen. Zo heeft regelgeving innovatie bevorderd op het gebied van de verkeersveiligheid, milieubescherming en energie.
Voor de bescherming van persoonsgegevens zien we in heel Europa al start-ups ontstaan die Europese burgers oplossingen bieden om hun persoonlijke gegevens "out-of-the-box" te beschermen.
Beveiliging en privacy experts verkopen consultancy diensten aan bedrijven om hen te helpen het beheer van hun IT-infrastructuur beter te beveiligen. Dat bedrijven voor veel van hun bedrijfsprocessen niet voor een cloud oplossingen kiezen is niet het gevolg van wetgeving ter bescherming van persoonsgegevens, maar eerder het gevolg van onzekerheid over de bescherming van die gegevens zelf.
Een recent rapport van de Boston Consulting Group over "De waarde van Digitale Identiteit" biedt verder ondersteuning voor de stelling dat de nieuwe verordening inzake gegevensbescherming van de Europese Commissie de persoonlijke data economie niet zal belemmeren.
Vijf van de zes toepassingsgebieden van persoonlijke gegevens die de BCG schetst zijn compatibel met de voorgestelde verordening. Zo ziet het adviesbureau bijvoorbeeld persoonlijke gegevens als hefboom voor procesautomatisering, personalisatie, en de verbetering van producten en diensten.
Vanuit ons perspectief kunnen bedrijven gewoon gebruik maken van persoonsgegevens voor dergelijke doeleinden, zolang zij een persoonlijke relatie met hun klanten onderhouden. Het is al langer bekend dat mensen er geen moeite mee hebben om hun persoonlijke gegevens uit te wisselen in ruil voor diensten die voor hen nuttig zijn.
Een gepersonaliseerd aanbod en een continue verbetering van de dienstverlening is mogelijk binnen het kader van een gelijkwaardige relatie tussen bedrijven en klanten. Meer vertrouwen in de manier waarop bedrijven met persoonlijke gegevens omgaan, zal dergelijke relaties juist versterken.
De verordening beperkt slechts de praktijken van bedrijven die enkel waarde creëren op basis van aggregatie en handel in persoonsgegevens, en die niet investeren in directe relaties met hun klanten. Zo zullen grote ad-targeting netwerken of data brokers worden beperkt in hun gebruik van persoonsgegevens als de verordening wordt doorgevoerd in zijn huidige vorm. Maar juist op deze gebieden zien we inderdaad de noodzaak om de regelgeving aan te passen en om sancties te introduceren.
Ook innovatie wordt niet bedreigd door de nieuwe verordening inzake gegevensbescherming, omdat veel diensten helemaal geen gegevens nodig hebben die direct betrekking hebben op individuen. In veel gevallen kan het gebruik van persoonsgegevens worden vermeden door technologieën voor anonimisering.
Wanneer een dienst echt persoonlijke gegevens vereist, kunnen deze gegevens worden verzameld op basis van een contract. Diensten kunnen ook toegang krijgen tot persoonsgegevens door burgers - op een eerlijke manier – geïnformeerd om toestemming te vragen.
Met betrekking tot geïnformeerde toestemming
Sinds 1995 is het gebruik van persoonsgegevens in de Europese Unie gebaseerd op het principe van geïnformeerde toestemming. Dit principe vormt het hart van informationele zelfbeschikking. Velen zijn van mening dat dit principe in de praktijk nog niet vaak goed wordt toegepast.
Aan de ene kant beklagen gebruikers zich over slecht leesbare privacyverklaringen en algemene voorwaarden, die bovendien de gebruiker geen werkelijke keus laten: Wil men gebruik maken van een dienst, dan moet men min of meer blindelings akkoord gaan met de voorwaarden.
Aan de andere kant zien bedrijven de juridische vormgeving van hun privacy voorwaarden als het kiezen tussen twee kwaden. Het formuleren van de voorwaarden wordt gezien als een kostbare aangelegenheid. Tegelijkertijd worden klanten te zwaar belast of afgeschrikt door de kleine lettertjes.
Als gevolg hiervan stellen veel vertegenwoordigers van de industrie een omkering van het principe van geïnformeerde toestemming voor. Zij omhelzen juist het opt-out principe, zoals dat vandaag de dag in de Verenigde Staten gebruikelijk is. In de Verenigde Staten is het verwerken van persoonlijke gegevens gewoonlijk in eerste instantie toegestaan, zolang de gebruiker niet opt-out.
De ontwerpverordening daarentegen versterkt juist de informatieve zelfbeschikking. Expliciete toestemming blijft geboden. Bovendien kan, daar waar er een significante onbalans is tussen de positie van de betrokkene en de verantwoordelijke, toestemming niet dienen als rechtsgrondslag voor de verwerking. Het koppelen van het gebruik van een dienst aan het verzamelen van persoonlijke gegevens is zelfs verboden indien dat gebruik verder gaat dan de directe dienstverlening zelf.
Wij ondersteunen het ontwerp van de verordening inzake gegevensbescherming, omdat we geloven dat expliciete geïnformeerde toestemming onmisbaar is. Ten eerste zou een omkering van het principe van expliciete geïnformeerde toestemming naar een opt-out principe de positie van de burger aanzienlijk verzwakken.
Een dergelijke omkering geeft mensen minder controle, en tast daardoor hun vertrouwen in het internet aan. Daarnaast zien wij verschillende mogelijkheden om de huidige gebruikersproblemen op te lossen.
Europese bedrijven ontwikkelen op dit moment technische hulpmiddelen die gebruikers helpen om hun privacy voorkeuren automatisch, of met geringe inspanning, te beheren. In de VS zien we het “do-not-track” initiatief van de W3C dat de uitvoering van de voorkeuren van de gebruiker in browsers voorziet.
Bovendien worden er op dit moment technologieën ontwikkeld die ingewikkelde privacy voorwaarden voor de gebruiker kunnen vertalen en samenvatten, om zo het maken van een keuze te ondersteunen.
Zodra de koppeling van persoonsgegevens aan het gebruik van een dienst verboden is, kunnen gebruikers pas echt keuzes maken.
Met betrekking tot ‘rechtmatig belang’
Op dit moment kunnen bedrijven persoonsgegevens verwerken zonder toestemming van de cliënt, indien zij kunnen aanvoeren dat zij een rechtmatig belang hebben bij het gebruik van die gegevens. Vooralsnog laat de term "rechtmatig belang" ruimte voor veel verschillende interpretaties: Wanneer is een belang rechtmatig en wanneer is het dat niet?
Om misbruik van deze, in principe redelijke, regel te voorkomen definieert en balanceert de nieuwe verordening inzake gegevensbescherming de rechtmatige belangen van bedrijven en klanten. De verordening schrijft voor dat bedrijven niet alleen een rechtmatig belang moeten claimen, maar ook moeten rechtvaardigen.
Bovendien beschrijft het ontwerpverslag van de rapporteur van het Europees Parlement de legitieme belangen van de burgers. Het bepaalt waar de belangen van de burgers zwaarder wegen dan bedrijfsbelangen en vice-versa.
In de door de rapporteur voorgestelde wijzigingen in de verordening hebben burgers een legitieme belang dat er geen profielen over hen worden gemaakt zonder hun medeweten, en dat hun gegevens niet worden gedeeld met een groot aantal derde partijen die ze niet kennen. We vinden deze afweging van belangen een zeer redelijke compromis dat de belangen van het bedrijfsleven en de belangen van de burgers gelijk stelt.
Wanneer is de verordening van toepassing? Wanneer zijn gegevens “persoonlijk”?
Een belangrijk twistpunt is wanneer de verwerking van gegevens eigenlijk onder de verordening zou moeten vallen. Online gebruikers worden vaak impliciet geïdentificeerd, dat wil zeggen, gebruikers worden geïdentificeerd via het netwerk adres van hun apparaten (IP-adressen) of door middel van cookies die via webbrowsers worden geplaatst.
Impliciete identifiers kunnen worden gebruikt om profielen aan te maken. Sommige van deze impliciete identifiers veranderen voortdurend, waardoor ze op het eerste gezicht geen probleem lijken te zijn uit oogpunt van gegevensbescherming. Het lijkt immers alsof individuen niet opnieuw kunnen worden geïdentificeerd op basis van zulke dynamische identifiers. Echter, veel experimenten hebben aangetoond dat hernieuwde identificatie wel degelijk mogelijk is.
Ondanks de onbetwistbare mogelijkheid om profielen op te bouwen en gegevens opnieuw te identificeren, houden een aantal vertegenwoordigers van de industrie vol dat gegevens gekoppeld aan impliciete identifiers niet onder de verordening zouden moeten vallen. Zij stellen dat internetbedrijven die veel gegevens van gebruikers verzamelen slechts geïnteresseerd zijn in geaggregeerde en statistische gegevens en zich niet zullen inlaten met re-identificatie.
Uit technisch, economisch en juridisch oogpunt kunnen we niet meegaan in deze redenering. Technisch gezien is het eenvoudig om gegevens die over een lange periode zijn verzameld aan een uniek individu te relateren. Economisch gezien kan het zo zijn dat de identificatie van individuen momenteel niet een prioriteit van het bedrijfsleven is.
Echter, potentieel is re-identificatie aantrekkelijk, en dus kan niet worden uitgesloten dat dit in de toekomst alsnog gebeurt. Wettelijk gezien moeten we gegevens die re-identificeerbaar zijn beschermen, aangezien later dergelijke voorzorgsmaatregelen de enige effectieve remedie kunnen blijken te zijn.
Sommige EU-parlementariërs suggereren dat anonieme, pseudonieme en versleutelde gegevens in het algemeen niet onder de verordening inzake gegevensbescherming zouden moeten vallen. Zij stellen dat dergelijke gegevens niet "persoonlijk" meer zijn. Dit is een gevaarlijk misverstand. Natuurlijk, anonimisering, pseudonomisering, en versleuteling zijn nuttige technische instrumenten voor de bescherming van gegevens: Versleutelen helpt om gegevens vertrouwelijk te houden. Pseudoniemen beperken de kennis over mensen en hun gevoelige gegevens (bijvoorbeeld de relatie tussen de medische gegevens van een patiënt) tot degenen die die kennis echt nodig hebben.
Echter, in veel gevallen kunnen zelfs dit soort beschermde gegevens gebruikt worden om mensen opnieuw te identificeren. Daarom geloven wij dat ook dit soort gegevens onder de verordening inzake gegevensbescherming moeten vallen, zelfs als deze gegevens op een andere manier behandeld kunnen worden dan persoonsgegevens die direct identificeerbaar zijn.
Bovendien, opnemen van dit soort gegevens is ook nodig om ervoor te zorgen dat de bescherming goed en professioneel wordt toegepast. We hebben bindende regels nodig die regelmatig worden aangepast aan de technische normen (dwz. de beste beschikbare technieken) om te bepalen wanneer gegevens voldoende gepseudonimiseerd zijn, en wanneer ze als anoniem beschouwd kunnen worden.
Wie moet de eisen aangaande gegevensbescherming bepalen?
Naast de vele positieve aspecten van de ontwerpverordening, zien we een structurele zwakheid, die echter gemakkelijk kan worden verholpen: In veel artikelen stelt het huidige ontwerp van de Europese Commissie slechts vage doelen. Voor verdere details wordt de Europese Commissie zelf als de instelling aangewezen die later de details vorm geeft door middel van 'gedelegeerde' en 'uitvoerende' bepalingen.
Deze opzet plaatst de Europese Commissie in een machtspositie die niet overeenkomt met de Europese grondwettelijke bepalingen. Regels inzake gegevensbescherming kunnen grote invloed hebben op economische, administratieve en sociale activiteiten.
Het is daarom de plicht van de Europese wetgevende organen zelf om dergelijke beslissingen te nemen. Alle relevante regels moeten dan ook worden ingebed in de verordening zelf. Alleen details die minder kritiek zijn vanuit politiek perspectief of vanuit de grondrechten gezien kunnen worden overgelaten aan het oordeel van de Commissie.