Bescherming van persoonsgegevens in Europa
Een digitale wereld brengt uitdagingen met zich mee die er voorheen nog niet waren. Tegenwoordig delen mensen heel veel persoonlijke informatie online. De Europese Unie1 vindt de privacy van haar burgers erg belangrijk. Eén van de grondrechten van mensen is de mogelijkheid om informatie die zij liever niet met anderen delen, ook daadwerkelijk privé te laten zijn. De EU probeert daar op verschillende manieren zorg voor te dragen.
In mei 2016 is belangrijke nieuwe wetgeving over persoonsgegevens in werking getreden. De verordening staat ook wel bekend als de Algemene Verordening Gegevensbescherming2, ook wel bekend als de AVG. De verordening3 stelt burgers beter in staat om hun persoonlijke gegevens in te zien en te wijzigen. Het doel is om een balans te creëren tussen bescherming van privacy en het bewerkstelligen van een veilige samenleving. De AVG moest in mei 2018 zijn omgezet in nationale wetgeving.
De AVG-verordening is onderdeel van een breder pakket van de bescherming van persoonsgegevens, het hervormingspakket voor gegevensbescherming. Ook onderdeel van het pakket is een richtlijn ten behoeve van de bescherming van persoonsgegevens om criminaliteit te bestrijden. Controversieel is de Europese richtlijn voor betaaldiensten PSD2 (de Payment Services Directive 2). Deze trad in februari 2019 in werking en maakt het mogelijk dat bedrijven de bankgegevens van consumenten kunnen inzien.
Bevoegdheden
EU-lidstaten4 kunnen de bescherming van persoonsgegevens in principe met eigen, nationale wetten regelen. Onderdeel van de EU's strenge antiterrorismebeleid is de bescherming van persoonsgegevens. Dankzij de digitalisering vervagen fysieke grenzen. Daarom moet er bij de hervorming van het beleid van de bescherming van persoonsgegevens verder worden gekeken dan de Europese landsgrenzen.
Beleid rond privacy in Europa wordt bepaald volgens de gewone wetgevingsprocedure5. Dat betekent dat zowel de Raad van de Europese Unie6 als het Europees Parlement7 akkoord moeten gaan met een voorstel. Zowel de regeringen van de lidstaten als het Parlement - waarin de Europese burgers vertegenwoordigd zijn - zijn zo betrokken bij het nemen van een besluit.
Algemene Verordening Gegevensbescherming (AVG)
In 2018 trad belangrijke nieuwe wetgeving over persoonsgegevens in werking (COM(2012)11), de Algemene Verordening Gegevensbescherming (AVG). De verordening heeft mede als doel om de gaten in nationale privacywetgeving te dichten.
Mede met oog op de toegenomen globalisering en technologische vooruitgang, stelde de Europese Commissie in januari 2012 een uitgebreide hervorming van de richtlijn bescherming van persoonsgegevens voor. Deze stamde namelijk nog uit 2000, en de tussentijd is er veel veranderd op digitaal gebied. De nieuwe regels moesten de bescherming van persoonsgegevens in de lidstaten verder harmoniseren.
De Commissie, de Raad en het Parlement bereikten in december 2015 na lange onderhandelingen een compromis. Met name over het gebruik van data in het kader van politieel en justitieel onderzoek bestond lang onenigheid. Deze Algemene Verordening Gegevensbescherming (AVG) is in mei 2016 aangenomen en op 25 mei 2018 in werking getreden.
In hoofdlijnen omvat de AVG het volgende:
-
-burgers krijgen makkelijker en sneller toegang tot hun data
-
-burgers kunnen bedrijven verzoeken om hun persoonlijke data te laten verwijderen. Dit 'recht om te worden vergeten' is niet absoluut, wanneer personen bijvoorbeeld veel in het nieuws zijn geweest kan die persoon niet eisen dat alle referenties naar hem/haar worden gewist
-
-burgers moeten meer inzicht krijgen in hoe hun persoonsgegevens gebruikt worden
-
-het uitwisselen van persoonlijke data tussen politie en veiligheidsdiensten wordt vergemakkelijkt. Nationale databeschermingsautoriteiten moeten erop toezien dat verzoeken om data te leveren goed zijn onderbouwd en dat er veilig met de gegevens wordt omgegaan
-
-afspraken tussen bedrijven en toezichthouders in één land gelden voor de hele Europese Unie
-
-bedrijven buiten de EU moeten voldoen aan Europese eisen wanneer zij in de EU hun diensten willen aanbieden
-
-grotere bedrijven en organisaties die veel met persoonlijke data werken moeten iemand aanstellen die toeziet op hoe er met persoonsgegevens wordt omgegaan
-
-data moet gemakkelijker kunnen worden geanonimiseerd. Zo kunnen grote databestanden worden aangelegd waar onderzoekers en bedrijven mee kunnen innoveren zonder dat privégegevens in het geding kunnen komen
Deze maatregelen gelden voor alle soorten persoonsgegevens, niet alleen voor persoonsgegevens op internet.
Internetprivacy in Europa
Het internet biedt zijn gebruikers tal van mogelijkheden: van internetbankieren tot social mediagebruik. Burgers gebruiken het daarom ook veelvuldig. Tegelijkertijd komen regelmatig onthullingen over controle- en afluisterpraktijken in het nieuws. De internetgebruiker blijkt scherp in de gaten te worden gehouden. Het internet biedt namelijk niet alleen mogelijkheden voor privégebruikers, maar ook voor bedrijven en overheden vormt het een bron van informatie.
Zo kan bijvoorbeeld aan de hand van het internetgebruik een consumentenprofiel worden opgesteld op basis waarvan bedrijven gericht advertenties kunnen versturen. In deze situatie is het belangrijk dat er een evenwicht wordt gevonden tussen de economische belangen van bedrijven, en het recht op privacy van de internetgebruiker.
Veel van de nieuwe regels zijn afgestemd op het gebruik van persoonsgegevens op internet. Zo geldt er voor kinderen onder de 16 jaar (lidstaten mogen deze grens verlagen tot 13 jaar) dat ze toestemming van hun ouders moeten hebben om bepaalde diensten af te nemen.
Privacyschending door grote bedrijven
Het gebruik van persoonlijke gegevens door het bedrijfsleven is in beginsel een zaak tussen de burger en bedrijven waar zij diensten van af nemen of producten bij kopen. Dergelijke persoonsgegevens zijn voor bedrijven vaak geld waard - er wordt gehandeld in persoonsgegevens en informatie over koop- en kijkgedrag. Voor gevoelige sectoren zoals de banken zijn er voorwaarden opgesteld over het gebruik en de handel in persoonlijke gegevens (zie ook kopje 'PSD2' onderaan).
Het is voor Europese ondernemingen niet toegestaan om persoonsgegevens van klanten te verkopen aan ondernemingen in een land dat geen regels voor de bescherming van persoonsgegevens kent. Ook mogen bedrijven sinds 2003 alleen e-mails versturen aan mensen die expliciet hebben aangegeven dat zij commerciële e-mails willen ontvangen.
Er is de Europese Unie veel aan gelegen om terroristische aanslagen te voorkomen. Er is een streng antiterrorismebeleid, dat er ook op is gericht om persoonsgegevens van burgers te beschermen. In alle paspoorten van lidstaten worden biometrische kenmerken opgenomen, zoals vingerafdrukken, om vervalsing moeilijker te maken. Ook moeten luchtvaartmaatschappijen sinds 2007 passagierslijsten van vluchten naar Europa afstaan. Dit heeft uiteraard gevolgen voor de privacy.
Het Verdrag van Prüm8 legt beperkingen op aan de uitwisseling van persoonsgegevens, waardoor grensoverschrijdende misdaden soms onbestraft blijven. In oktober 2015 kwamen de EU-ministers van Justitie9 overeen dat deze regels versoepeld moeten worden om de uitwisseling van persoonsgegevens eenvoudiger te maken. Het gaat daarbij om gegevens die van belang zijn voor de opsporing en vervolging van criminelen. De nieuwe regels moeten het onderlinge vertrouwen van politie en justitie in de lidstaten vergroten. Ook zouden deze regels de privacybescherming waarborgen.
In april 2016 is de richtlijn 2016/680 aangenomen die gaat over de gegevensbescherming in het geval van opsporing en criminele vervolging. Dit om het voor de rechtshandhavers in de verschillende EU-landen makkelijker te maken om gegevens met elkaar te delen.
Metagegevens telefoongesprekken
In september 2005 kwam de Europese Commissie met een voorstel voor een richtlijn die lidstaten verplicht tot het opslaan van metagegevens bij telecomverkeer: de dataretentierichtlijn. Het gaat hierbij onder meer om de locatie van de beller, het gebelde telefoonnummer en de duur van het gesprek. Het verplicht opslaan van deze gegevens moet politieonderzoeken vergemakkelijken.
In het verleden werden deze gegevens al opgeslagen door telecombedrijven omdat per telefoongesprek moest worden betaald, maar nieuwe flat fee abonnementsvormen en alternatieve diensten zoals e-mail en VoIP maakten dit niet langer per definitie noodzakelijk. De richtlijn moest duidelijkheid scheppen over welke gegevens wel en welke niet moesten worden bewaard.
De plannen werden in februari 2006 goedgekeurd. In september 2007 moest de richtlijn zijn omgezet in wetgeving op nationaal niveau. Nederland heeft de wet bewaarplicht telecommunicatiegegevens10 uiteindelijk in 2009 ingevoerd, maar België en Duitsland hebben dat geweigerd. De Commissie is hierop inbreukprocedures11 gestart, maar in april 2014 haalde het Europees Hof een streep door de richtlijn omdat deze in strijd is met Europese grondrechten op privacy.
Ongeveer twee jaar heeft de herroeping van de dataretentierichtlijn geen invloed gehad op Nederlandse regelgeving omtrent het bewaren van persoonsgegevens. Met het Tele2-arrest van 21 december 2016 heeft het Hof echter bepaald dat nationale regelingen telecomaanbieders geen algemene bewaarplicht van persoonsgegevens meer mogen opleggen. Gerichte bewaring van gegevens ter bestrijding van ernstige criminaliteit is nog wel mogelijk, maar hiervoor zijn stikte voorwaarden en stevige waarborgen in het leven geroepen.
Casus: Uitwisseling persoonsgegevens EU-VS
In 2015 oordeelde het Europees Hof van Justitie12 in Luxemburg dat persoonlijke gegevens van Europese internetgebruikers niet zomaar kunnen worden overgedragen aan de Verenigde Staten. Volgens de rechters in Luxemburg heeft de Amerikaanse overheid via servers van bijvoorbeeld Facebook toegang tot persoonsgegevens, terwijl deze alleen uitgewisseld mogen worden met derde landen waar de privacywet net zo scherp is als hier. Aangezien de VS geen regelgeving heeft op dit gebied, heeft de uitspraak van het Hof consequenties voor de afspraken die grote bedrijven zoals Facebook en Google hebben met Europese bedrijven.
Hierop heeft de Europese Commissie in februari 2016 een akkoord gesloten met de Verenigde Staten waarin de regels over de uitwisseling van persoonsgegevens tussen de EU en de Verenigde Staten vastgelegd zijn. Dit 'privacyschild' moet de grondrechten van EU-burgers beschermen van wie de persoonsgegevens worden doorgegeven aan de Verenigde Staten. Daarnaast zorgen de afspraken voor juridische duidelijkheid voor ondernemingen die gebruik maken van gegevensdoorgiften.
In deze afspraken wordt onder andere geregeld onder welke voorwaarden en onder welk toezicht Amerikaanse overheidsinstellingen toegang hebben tot Europese persoonsgegevens. Zo blijft het onder meer onmogelijk voor de VS om op grote schaal Europese burgers te doorzoeken. De Europese Commissie nam het akkoord in juli 2016 aan, na aanpassingen op advies van de Europese gegevensbeschermingsautoriteiten (Artikel 29-werkgroep), de Europese Toezichthouder voor gegevensbescherming13 en het Europees Parlement. In de tweede evaluatie van het EU-VS-privacyschild (COM(2018)860) stelde de Europese Commissie dat het schild voor goede bescherming zorgde voor Europese persoonsgegevens die toegankelijk zijn voor organisaties in de VS.
Ondanks de conclusie uit deze tweede evaluatie oordeelde het Europees Hof op 16 juli 2020 dat Europese persoonsgegevens in de Verenigde Staten minder goed zijn beschermd dan in de Europese Unie. Het hof verklaart hiermee het pricacyschild nietig, waardoor de Commissie opnieuw met de VS zal gaan moeten onderhandelen over de privacybescherming.
- 1.De Europese Unie (EU) is het belangrijkste samenwerkingsverband in Europa. De deelnemende landen hebben voor deze Unie een aantal organisaties opgericht waaraan zij een deel van hun eigen bevoegdheden hebben overgedragen. Dit zijn onder meer het Europees Parlement, de Europese Commissie, de Raad en het Europese Hof van Justitie.
- 2.Een digitale wereld brengt uitdagingen met zich mee die er voorheen nog niet waren. Tegenwoordig delen mensen heel veel persoonlijke informatie online. De Europese Unie vindt de privacy van haar burgers erg belangrijk. Eén van de grondrechten van mensen is de mogelijkheid om informatie die zij liever niet met anderen delen, ook daadwerkelijk privé te laten zijn. De EU probeert daar op verschillende manieren zorg voor te dragen.
- 3.Dit bindende besluit van de Europese Unie geldt rechtstreeks in alle lidstaten van de Europese Unie. Hierdoor hebben verordeningen dezelfde werking als een nationale wet. In geval van strijdigheid gaat de verordening echter boven nationaal recht. Daarmee is een verordening het meest verstrekkende wetgevingsinstrument van de Europese Unie.
- 4.Momenteel zijn 27 landen lid van de Europese Unie. De meest recente uitbreiding van de Unie vond plaats op 1 juli 2013, met de toetreding van Kroatië. Er wordt verder over uitbreiding gesproken met verschillende landen in Oost-Europa. Het Verenigd Koninkrijk is sinds 31 januari 2020 middernacht geen lid meer van de Europese Unie. Dat was het eerste land dat de EU verliet.
- 5.Deze procedure is de wetgevingsprocedure die standaard van toepassing is op alle besluitvorming in de Europese Unie, tenzij in de verdragen specifiek staat dat er een andere, bijzondere wetgevingsprocedure geldt. De procedure stond vóór de inwerkingtreding van het Verdrag van Lissabon eind 2009 bekend als de medebeslissingsprocedure. Kern van de procedure is dat zowel de Raad van Ministers als het Europees Parlement een beslissende stem hebben in het wetgevingsproces, én dat allebei de instellingen de mogelijkheid hebben om een voorstel aan te passen.
- 6.In deze instelling van de Europese Unie (kortweg 'de Raad van Ministers' of nog korter 'de Raad' genoemd) zijn de regeringen van de 27 lidstaten van de EU vertegenwoordigd. De Raad oefent samen met het Europees Parlement de wetgevings- en begrotingstaak uit.
- 7.Het Europees Parlement (EP) vertegenwoordigt ruim 450 miljoen Europeanen en bestaat momenteel uit 720 afgevaardigden (inclusief voorzitter). Nederland heeft 31 zetels in het Europees Parlement. Het Europees Parlement wordt geacht een stem te geven aan de volkeren van de 27 landen die aan de Unie deelnemen, en vooral te letten op het belang van de Unie in zijn geheel.
- 8.In mei 2005 tekenden zeven EU-lidstaten (België, Duitsland, Frankrijk, Luxemburg, Nederland, Oostenrijk en Spanje) het Verdrag van Prüm in de gelijknamige Duitse stad. De doelstelling van het verdrag is de intensivering van de samenwerking op het gebied van de bestrijding van grensoverschrijdende criminaliteit, terrorisme en illegale migratie. Binnen deze doelstellingen ligt het zwaartepunt bij het vergemakkelijken van het uitwisselen van informatie.
- 9.De raadsformatie Justitie en Binnenlandse Zaken (JBZ) bestaat uit de ministers van justitie en/of binnenlandse zaken. Deze Raad vergadert meestal om de drie maanden, ook informele bijeenkomsten zijn mogelijk. Namens Nederland sluit doorgaans minister van Justitie en Veiligheid David van Weel (VVD) aan.
- 10.Dit voorstel is gebaseerd op de overweging, dat het noodzakelijk is de Telecommunicatiewet en de Wet op de economische delicten te wijzigen in verband met implementatie van Richtlijn nr 2006/24/EG van het Europees Parlement en de Raad van de Europese Unie van 23 februari 2006 betreffende de bewaring van gegevens die zijn verwerkt in verband met het aanbieden van openbare elektronische communicatiediensten en tot wijziging van Richtlijn 2002/58/EG (PbEG L 105).
- 11.De inbreukprocedure (ook wel beroep wegens niet-nakoming genoemd) wordt gebruikt wanneer een lidstaat Europese wetgeving niet uitvoert. Door middel van de inbreukprocedure kunnen lidstaten verplicht worden Europese regelgeving alsnog goed en volledig toe te passen.
- 12.Het in 1952 opgerichte Hof van Justitie van de Europese Unie (HvJ-EU) moet ervoor zorgen dat de wetten en regels die in Europa gemaakt worden, goed worden toegepast. De Europese wetten - het gemeenschapsrecht - moeten in alle lidstaten hetzelfde worden uitgevoerd. Het Hof van Justitie ziet er verder op toe dat het EU-recht in alle lidstaten op dezelfde manier wordt toegepast.
- 13.De Europese Toezichthouder voor Gegevensbescherming ziet erop toe dat alle instellingen en organen van de EU de privacy respecteren bij het verwerken van persoonsgegevens. De Engelse naam is European Data Protection Supervisor (EDPS).