Bescherming van persoonsgegevens in Europa

Met dank overgenomen van Europa Nu.
Man met laptop © TheDigitalArtist

Een digitale wereld brengt uitdagingen met zich mee die er voorheen nog niet waren. Tegenwoordig delen mensen heel veel persoonlijke informatie online. De Europese Unie i vindt de privacy van haar burgers erg belangrijk. Eén van de grondrechten van mensen is de mogelijkheid om informatie die zij liever niet met anderen delen, ook daadwerkelijk privé te laten zijn. De EU probeert daar op verschillende manieren zorg voor te dragen.

In mei 2016 is belangrijke nieuwe wetgeving over persoonsgegevens in werking getreden. De verordening staat ook wel bekend als de Algemene Verordening Gegevensbescherming i, ook wel bekend als de AVG. De verordening i stelt burgers beter in staat om hun persoonlijke gegevens in te zien en te wijzigen. Het doel is om een balans te creëren tussen bescherming van privacy en het bewerkstelligen van een veilige samenleving. De AVG moest in mei 2018 zijn omgezet in nationale wetgeving.

De AVG-verordening is onderdeel van een breder pakket van de bescherming van persoonsgegevens, het hervormingspakket voor gegevensbescherming. Ook onderdeel van het pakket is een richtlijn ten behoeve van de bescherming van persoonsgegevens om criminaliteit te bestrijden. Controversieel is de Europese richtlijn voor betaaldiensten PSD2 (de Payment Services Directive 2). Deze trad in februari 2019 in werking en maakt het mogelijk dat bedrijven de bankgegevens van consumenten kunnen inzien.

1.

Privacy in de Europese Unie

Bevoegdheden

EU-lidstaten i kunnen de bescherming van persoonsgegevens in principe met eigen, nationale wetten regelen. Onderdeel van de EU's strenge antiterrorismebeleid is de bescherming van persoonsgegevens. Dankzij de digitalisering vervagen fysieke grenzen. Daarom moet er bij de hervorming van het beleid van de bescherming van persoonsgegevens verder worden gekeken dan de Europese landsgrenzen.

Beleid rond privacy in Europa wordt bepaald volgens de gewone wetgevingsprocedure i. Dat betekent dat zowel de Raad van de Europese Unie i als het Europees Parlement i akkoord moeten gaan met een voorstel. Zowel de regeringen van de lidstaten als het Parlement - waarin de Europese burgers vertegenwoordigd zijn - zijn zo betrokken bij het nemen van een besluit.

Algemene Verordening Gegevensbescherming (AVG)

In 2018 trad belangrijke nieuwe wetgeving over persoonsgegevens in werking (COM(2012)11), de Algemene Verordening Gegevensbescherming (AVG). De verordening heeft mede als doel om de gaten in nationale privacywetgeving te dichten.

Mede met oog op de toegenomen globalisering en technologische vooruitgang, stelde de Europese Commissie in januari 2012 een uitgebreide hervorming van de richtlijn bescherming van persoonsgegevens voor. Deze stamde namelijk nog uit 2000, en de tussentijd is er veel veranderd op digitaal gebied. De nieuwe regels moesten de bescherming van persoonsgegevens in de lidstaten verder harmoniseren.

De Commissie, de Raad en het Parlement bereikten in december 2015 na lange onderhandelingen een compromis. Met name over het gebruik van data in het kader van politieel en justitieel onderzoek bestond lang onenigheid. Deze Algemene Verordening Gegevensbescherming (AVG) is in mei 2016 aangenomen en op 25 mei 2018 in werking getreden.

In hoofdlijnen omvat de AVG het volgende:

  • burgers krijgen makkelijker en sneller toegang tot hun data
  • burgers kunnen bedrijven verzoeken om hun persoonlijke data te laten verwijderen. Dit 'recht om te worden vergeten' is niet absoluut, wanneer personen bijvoorbeeld veel in het nieuws zijn geweest kan die persoon niet eisen dat alle referenties naar hem/haar worden gewist
  • burgers moeten meer inzicht krijgen in hoe hun persoonsgegevens gebruikt worden
  • het uitwisselen van persoonlijke data tussen politie en veiligheidsdiensten wordt vergemakkelijkt. Nationale databeschermingsautoriteiten moeten erop toezien dat verzoeken om data te leveren goed zijn onderbouwd en dat er veilig met de gegevens wordt omgegaan
  • afspraken tussen bedrijven en toezichthouders in één land gelden voor de hele Europese Unie
  • bedrijven buiten de EU moeten voldoen aan Europese eisen wanneer zij in de EU hun diensten willen aanbieden
  • grotere bedrijven en organisaties die veel met persoonlijke data werken moeten iemand aanstellen die toeziet op hoe er met persoonsgegevens wordt omgegaan
  • data moet gemakkelijker kunnen worden geanonimiseerd. Zo kunnen grote databestanden worden aangelegd waar onderzoekers en bedrijven mee kunnen innoveren zonder dat privégegevens in het geding kunnen komen

Deze maatregelen gelden voor alle soorten persoonsgegevens, niet alleen voor persoonsgegevens op internet.

Internetprivacy in Europa

Het internet biedt zijn gebruikers tal van mogelijkheden: van internetbankieren tot social mediagebruik. Burgers gebruiken het daarom ook veelvuldig. Tegelijkertijd komen regelmatig onthullingen over controle- en afluisterpraktijken in het nieuws. De internetgebruiker blijkt scherp in de gaten te worden gehouden. Het internet biedt namelijk niet alleen mogelijkheden voor privégebruikers, maar ook voor bedrijven en overheden vormt het een bron van informatie.

Zo kan bijvoorbeeld aan de hand van het internetgebruik een consumentenprofiel worden opgesteld op basis waarvan bedrijven gericht advertenties kunnen versturen. In deze situatie is het belangrijk dat er een evenwicht wordt gevonden tussen de economische belangen van bedrijven, en het recht op privacy van de internetgebruiker.

Veel van de nieuwe regels zijn afgestemd op het gebruik van persoonsgegevens op internet. Zo geldt er voor kinderen onder de 16 jaar (lidstaten mogen deze grens verlagen tot 13 jaar) dat ze toestemming van hun ouders moeten hebben om bepaalde diensten af te nemen.

Privacyschending door grote bedrijven

Het gebruik van persoonlijke gegevens door het bedrijfsleven is in beginsel een zaak tussen de burger en bedrijven waar zij diensten van af nemen of producten bij kopen. Dergelijke persoonsgegevens zijn voor bedrijven vaak geld waard - er wordt gehandeld in persoonsgegevens en informatie over koop- en kijkgedrag. Voor gevoelige sectoren zoals de banken zijn er voorwaarden opgesteld over het gebruik en de handel in persoonlijke gegevens (zie ook kopje 'PSD2' onderaan).

Het is voor Europese ondernemingen niet toegestaan om persoonsgegevens van klanten te verkopen aan ondernemingen in een land dat geen regels voor de bescherming van persoonsgegevens kent. Ook mogen bedrijven sinds 2003 alleen e-mails versturen aan mensen die expliciet hebben aangegeven dat zij commerciële e-mails willen ontvangen.

2.

Aspecten bescherming persoonsgegevens

Er is de Europese Unie veel aan gelegen om terroristische aanslagen te voorkomen. Er is een streng antiterrorismebeleid, dat er ook op is gericht om persoonsgegevens van burgers te beschermen. In alle paspoorten van lidstaten worden biometrische kenmerken opgenomen, zoals vingerafdrukken, om vervalsing moeilijker te maken. Ook moeten luchtvaartmaatschappijen sinds 2007 passagierslijsten van vluchten naar Europa afstaan. Dit heeft uiteraard gevolgen voor de privacy.

Het Verdrag van Prüm i legt beperkingen op aan de uitwisseling van persoonsgegevens, waardoor grensoverschrijdende misdaden soms onbestraft blijven. In oktober 2015 kwamen de EU-ministers van Justitie i overeen dat deze regels versoepeld moeten worden om de uitwisseling van persoonsgegevens eenvoudiger te maken. Het gaat daarbij om gegevens die van belang zijn voor de opsporing en vervolging van criminelen. De nieuwe regels moeten het onderlinge vertrouwen van politie en justitie in de lidstaten vergroten. Ook zouden deze regels de privacybescherming waarborgen.

In april 2016 is de richtlijn 2016/680 aangenomen die gaat over de gegevensbescherming in het geval van opsporing en criminele vervolging. Dit om het voor de rechtshandhavers in de verschillende EU-landen makkelijker te maken om gegevens met elkaar te delen.

Metagegevens telefoongesprekken

In september 2005 kwam de Europese Commissie met een voorstel voor een richtlijn die lidstaten verplicht tot het opslaan van metagegevens bij telecomverkeer: de dataretentierichtlijn. Het gaat hierbij onder meer om de locatie van de beller, het gebelde telefoonnummer en de duur van het gesprek. Het verplicht opslaan van deze gegevens moet politieonderzoeken vergemakkelijken.

In het verleden werden deze gegevens al opgeslagen door telecombedrijven omdat per telefoongesprek moest worden betaald, maar nieuwe flat fee abonnementsvormen en alternatieve diensten zoals e-mail en VoIP maakten dit niet langer per definitie noodzakelijk. De richtlijn moest duidelijkheid scheppen over welke gegevens wel en welke niet moesten worden bewaard.

De plannen werden in februari 2006 goedgekeurd. In september 2007 moest de richtlijn zijn omgezet in wetgeving op nationaal niveau. Nederland heeft de wet bewaarplicht telecommunicatiegegevens i uiteindelijk in 2009 ingevoerd, maar België en Duitsland hebben dat geweigerd. De Commissie is hierop inbreukprocedures i gestart, maar in april 2014 haalde het Europees Hof een streep door de richtlijn omdat deze in strijd is met Europese grondrechten op privacy.

Ongeveer twee jaar heeft de herroeping van de dataretentierichtlijn geen invloed gehad op Nederlandse regelgeving omtrent het bewaren van persoonsgegevens. Met het Tele2-arrest van 21 december 2016 heeft het Hof echter bepaald dat nationale regelingen telecomaanbieders geen algemene bewaarplicht van persoonsgegevens meer mogen opleggen. Gerichte bewaring van gegevens ter bestrijding van ernstige criminaliteit is nog wel mogelijk, maar hiervoor zijn stikte voorwaarden en stevige waarborgen in het leven geroepen.

Casus: Uitwisseling persoonsgegevens EU-VS

In 2015 oordeelde het Europees Hof van Justitie i in Luxemburg dat persoonlijke gegevens van Europese internetgebruikers niet zomaar kunnen worden overgedragen aan de Verenigde Staten. Volgens de rechters in Luxemburg heeft de Amerikaanse overheid via servers van bijvoorbeeld Facebook toegang tot persoonsgegevens, terwijl deze alleen uitgewisseld mogen worden met derde landen waar de privacywet net zo scherp is als hier. Aangezien de VS geen regelgeving heeft op dit gebied, heeft de uitspraak van het Hof consequenties voor de afspraken die grote bedrijven zoals Facebook en Google hebben met Europese bedrijven.

Hierop heeft de Europese Commissie in februari 2016 een akkoord gesloten met de Verenigde Staten waarin de regels over de uitwisseling van persoonsgegevens tussen de EU en de Verenigde Staten vastgelegd zijn. Dit 'privacyschild' moet de grondrechten van EU-burgers beschermen van wie de persoonsgegevens worden doorgegeven aan de Verenigde Staten. Daarnaast zorgen de afspraken voor juridische duidelijkheid voor ondernemingen die gebruik maken van gegevensdoorgiften.

In deze afspraken wordt onder andere geregeld onder welke voorwaarden en onder welk toezicht Amerikaanse overheidsinstellingen toegang hebben tot Europese persoonsgegevens. Zo blijft het onder meer onmogelijk voor de VS om op grote schaal Europese burgers te doorzoeken. De Europese Commissie nam het akkoord in juli 2016 aan, na aanpassingen op advies van de Europese gegevensbeschermingsautoriteiten (Artikel 29-werkgroep), de Europese Toezichthouder voor gegevensbescherming i en het Europees Parlement. In de tweede evaluatie van het EU-VS-privacyschild (COM(2018)860) stelde de Europese Commissie dat het schild voor goede bescherming zorgde voor Europese persoonsgegevens die toegankelijk zijn voor organisaties in de VS.

Ondanks de conclusie uit deze tweede evaluatie oordeelde het Europees Hof op 16 juli 2020 dat Europese persoonsgegevens in de Verenigde Staten minder goed zijn beschermd dan in de Europese Unie. Het hof verklaart hiermee het pricacyschild nietig, waardoor de Commissie opnieuw met de VS zal gaan moeten onderhandelen over de privacybescherming.

3.

Meer informatie