r google-plus facebook twitter linkedin2 nujij P P M G W Monitor Nieuwsbrief pdclogo man met tas twitter boek

Bescherming van persoonsgegevens in Europa

Eurocommissaris Vra Jourová, verantwoordelijk voor het EU-privacybeleid
Bron: European Commission

Een digitale wereld brengt uitdagingen met zich mee die er voorheen nog niet waren. Tegenwoordig delen mensen heel veel persoonlijke informatie online. De Europese Unie vindt de privacy van haar burgers erg belangrijk. Eén van de grondrechten van mensen is de mogelijkheid om informatie die zij liever niet met anderen delen, ook daadwerkelijk privé te laten zijn. De EU probeert daar op verschillende manieren zorg voor te dragen.

In mei 2016 is belangrijke nieuwe wetgeving over persoonsgegevens in werking getreden. De verordening staat ook wel bekend als de Algemene Verordening Gegevensbescherming, ook wel bekend als de AVG. De verordening stelt burgers beter in staat om hun persoonlijke gegevens in te zien en te wijzigen. Het doel is om een balans te creëren tussen bescherming van privacy en het bewerkstelligen van een veilige samenleving. De AVG moest in mei 2018 zijn omgezet in nationale wetgeving.

De AVG-verordening is onderdeel van een breder pakket van de bescherming van persoonsgegevens, het hervormingspakket voor gegevensbescherming. Ook onderdeel van het pakket is een richtlijn ten behoeve van de bescherming van persoonsgegevens om criminaliteit te bestrijden. Controversieel is de Europese richtlijn voor betaaldiensten PSD2 (de Payment Services Directive 2). Deze trad in februari 2019 in werking en maakt het mogelijk dat bedrijven de bankgegevens van consumenten kunnen inzien.

Inhoud

1.

Privacy in de Europese Unie

EU-lidstaten kunnen de bescherming van persoonsgegevens in principe met eigen, nationale wetten regelen. Onderdeel van de EU's strenge antiterrorismebeleid is de bescherming van persoonsgegevens. Dankzij de digitalisering vervagen fysieke grenzen. Daarom moet er bij de hervorming van het beleid van de bescherming van persoonsgegevens verder worden gekeken dan de Europese landsgrenzen.

Beleid rond privacy in Europa wordt bepaald volgens de gewone wetgevingsprocedure. Dat betekent dat zowel de Raad van de Europese Unie als het Europees Parlement akkoord moeten gaan met een voorstel. Zowel de regeringen van de lidstaten als het Parlement - waarin de Europese burgers vertegenwoordigd zijn - zijn zo betrokken bij het nemen van een besluit.

Het Europees Parlement is scherp wat betreft de bescherming van persoonsgegevens van Europese burgers en hun recht op vrijheid van meningsuiting. Wanneer een voorstel van de Europese Commissie lijkt in te gaan tegen bescherming van persoonsgegevens, treedt het Parlement dan ook meestal krachtig op. Zo heeft het Europees Parlement zich ook onder meer zeer kritisch uitgelaten over voorstellen voor samenwerking binnen de aanpak van terrorisme en zware misdaad tussen de Verenigde Staten en de EU.

In 2018 trad belangrijke nieuwe wetgeving over persoonsgegevens in werking (COM(2012)11), de Algemene Verordening Gegevensbescherming (AVG). De verordening heeft mede als doel om de gaten in nationale privacywetgeving te dichten.

Naast de regelgeving vanuit de Europese Unie geldt sinds 1981 het Verdrag tot bescherming van het individu met betrekking tot de geautomatiseerde registratie van persoonsgegevens van de Raad van Europa. Dit verdrag is voor meer landen dan alleen de Europese Unie van toepassing.

Databeschermingsrichtlijn (AVG)

Mede met oog op de toegenomen globalisering en technologische vooruitgang, stelde de Europese Commissie in januari 2012 een uitgebreide hervorming van de richtlijn bescherming van persoonsgegevens voor. Deze stamde namelijk nog uit 2000, en de tussentijd is er veel veranderd op digitaal gebied. De nieuwe regels moesten de bescherming van persoonsgegevens in de lidstaten verder harmoniseren.

De Commissie, de Raad en het Parlement bereikten in december 2015 na lange onderhandelingen een compromis. Met name over het gebruik van data in kader van politieel en justitieel onderzoek bestond lang onenigheid. Deze Algemene Verordening Gegevensbescherming (AVG) is in mei 2016 aangenomen en op 25 mei 2018 in werking getreden.

In hoofdlijnen omvat de AVG het volgende:

  • burgers krijgen makkelijker en sneller toegang tot hun data
  • burgers kunnen bedrijven verzoeken om hun persoonlijke data te laten verwijderen. Dit 'recht om te worden vergeten' is niet absoluut, wanneer personen bijvoorbeeld veel in het nieuws zijn geweest kan die persoon niet eisen dat alle referenties naar hem/haar worden gewist
  • burgers moeten meer inzicht krijgen in hoe hun persoonsgegevens gebruikt worden
  • het uitwisselen van persoonlijke data tussen politie en veiligheidsdiensten wordt vergemakkelijkt. Nationale databeschermingsautoriteiten moeten erop toezien dat verzoeken om data te leveren goed zijn onderbouwd en dat er veilig met de gegevens wordt omgegaan
  • afspraken tussen bedrijven en toezichthouders in één land gelden voor de hele Europese Unie
  • bedrijven buiten de EU moeten voldoen aan Europese eisen wanneer zij in de EU hun diensten willen aanbieden
  • grotere bedrijven en organisaties die veel met persoonlijke data werken moeten iemand aanstellen die toeziet op hoe er met persoonsgegevens wordt omgegaan
  • data moet gemakkelijker kunnen worden geanonimiseerd. Zo kunnen grote databestanden worden aangelegd waar onderzoekers en bedrijven mee kunnen innoveren zonder dat privégegevens in het geding kunnen komen

Deze maatregelen gelden voor alle soorten persoonsgegevens, niet alleen voor persoonsgegevens op internet.

Internetprivacy in Europa

Het internet biedt zijn gebruikers tal van mogelijkheden: van internetbankieren tot social mediagebruik. Burgers gebruiken het daarom ook veelvuldig. Tegelijkertijd komen regelmatig onthullingen over controle- en afluisterpraktijken in het nieuws. De internetgebruiker blijkt scherp in de gaten te worden gehouden. Het internet biedt namelijk niet alleen mogelijkheden voor privégebruikers, maar ook voor bedrijven en overheden vormt het een bron van informatie.

Zo kan bijvoorbeeld aan de hand van het internetgebruik een consumentenprofiel worden opgesteld op basis waarvan bedrijven gericht advertenties kunnen versturen. In deze situatie is het belangrijk dat er een evenwicht wordt gevonden tussen de economische belangen van bedrijven, en het recht op privacy van de internetgebruiker.

Veel van de nieuwe regels zijn afgestemd op het gebruik van persoonsgegevens op internet. Zo geldt er voor kinderen onder de 16 jaar (lidstaten mogen deze grens verlagen tot 13 jaar) dat ze toestemming van hun ouders moeten hebben om bepaalde diensten af te nemen.

Privacyschending door grote bedrijven

Het gebruik van persoonlijke gegevens door het bedrijfsleven is in beginsel een zaak tussen de burger en bedrijven waar zij diensten van af nemen of producten bij kopen. Dergelijke persoonsgegevens zijn voor bedrijven vaak geld waard - er wordt gehandeld in persoonsgegevens en informatie over koop- en kijkgedrag. Voor gevoelige sectoren zoals de banken zijn er voorwaarden opgesteld over het gebruik en de handel in persoonlijke gegevens (zie ook kopje 'PSD2' onderaan).

Het is voor Europese ondernemingen niet toegestaan om persoonsgegevens van klanten te verkopen aan ondernemingen in een land dat geen regels voor de bescherming van persoonsgegevens kent. Ook mogen bedrijven sinds 2003 alleen e-mails versturen aan mensen die expliciet hebben aangegeven dat zij commerciële e-mails willen ontvangen.

2.

Aspecten bescherming persoonsgegevens

Er is de Europese Unie veel aan gelegen om terroristische aanslagen te voorkomen. Er is een streng antiterrorismebeleid, dat er ook op is gericht om persoonsgegevens van burgers te beschermen. In alle paspoorten van lidstaten worden biometrische kenmerken opgenomen, zoals vingerafdrukken, om vervalsing moeilijker te maken. Ook moeten luchtvaartmaatschappijen sinds 2007 passagierslijsten van vluchten naar Europa afstaan. Dit heeft uiteraard gevolgen voor de privacy.

Het Verdrag van Prüm legt beperkingen op aan de uitwisseling van persoonsgegevens, waardoor grensoverschrijdende misdaden soms onbestraft blijven. In oktober 2015 kwamen de EU-ministers van Justitie overeen dat deze regels versoepeld moeten worden om de uitwisseling van persoonsgegevens eenvoudiger te maken. Het gaat daarbij om gegevens die van belang zijn voor de opsporing en vervolging van criminelen. De nieuwe regels moeten het onderlinge vertrouwen van politie en justitie in de lidstaten vergroten. Ook zouden deze regels de privacybescherming waarborgen.

In april 2016 is de richtlijn 2016/680 aangenomen die gaat over de gegevensbescherming in het geval van opsporing en criminele vervolging. Dit om het voor de rechtshandhavers in de verschillende EU-landen makkelijker te maken om gegevens met elkaar te delen.

Metagegevens telefoongesprekken

In september 2005 kwam de Europese Commissie met een voorstel voor een richtlijn die lidstaten verplicht tot het opslaan van metagegevens bij telecomverkeer: de dataretentierichtlijn. Het gaat hierbij onder meer om de locatie van de beller, het gebelde telefoonnummer en de duur van het gesprek. Het verplicht opslaan van deze gegevens moet politieonderzoeken vergemakkelijken.

In het verleden werden deze gegevens al opgeslagen door telecombedrijven omdat per telefoongesprek moest worden betaald, maar nieuwe flat fee abonnementsvormen en alternatieve diensten zoals e-mail en VoIP maakten dit niet langer per definitie noodzakelijk. De richtlijn moest duidelijkheid scheppen over welke gegevens wel en welke niet moesten worden bewaard.

De plannen werden in februari 2006 goedgekeurd. In september 2007 moest de richtlijn zijn omgezet in wetgeving op nationaal niveau. Nederland heeft de wet bewaarplicht telecommunicatiegegevens uiteindelijk in 2009 ingevoerd, maar België en Duitsland hebben dat geweigerd. De Commissie is hierop inbreukprocedures gestart, maar in april 2014 haalde het Europees Hof een streep door de richtlijn omdat deze in strijd is met Europese grondrechten op privacy.

Ongeveer twee jaar heeft de herroeping van de dataretentierichtlijn geen invloed gehad op Nederlandse regelgeving omtrent het bewaren van persoonsgegevens. Met het Tele2-arrest van 21 december 2016 heeft het Hof echter bepaald dat nationale regelingen telecomaanbieders geen algemene bewaarplicht van persoonsgegevens meer mogen opleggen. Gerichte bewaring van gegevens ter bestrijding van ernstige criminaliteit is nog wel mogelijk, maar hiervoor zijn stikte voorwaarden en stevige waarborgen in het leven geroepen.

Op 11 maart 2015 stelde de rechtbank in Den Haag de Nederlandse Wet Bewaarplicht telecommunicatiegegevens al buiten werking.

3.

Uitwisseling persoonsgegevens EU-VS

In de zomer van 2013 kwam de veiligheid van persoonsgegevens in de EU in een ander daglicht te staan. Edward Snowden, oud-medewerker van de Amerikaanse inlichtingendienst National Security Agency (NSA), lekte namelijk informatie over afluisterpraktijken van de Amerikaanse overheid. Centraal hierin stond het uiterst geheime PRISM-systeem dat in staat bleek om op grote schaal internet- en telefoongegevens af te luisteren.

Het zogenoemde "PRISM-schandaal" kreeg een zwaardere lading nadat het Duitse tijdschrift Der Spiegel nieuwe stukken van Snowden had ingezien waaruit bleek dat de Verenigde Staten Duitsland bijzonder intensief afluisterden, met medeweten van de Duitse inlichtingendienst. Uit dezelfde documenten bleek dat ook EU-diplomaten zijn afgeluisterd.

Het Europees Parlement vond dat de Verenigde Staten het vertrouwen van de Europese Unie ernstig hadden geschonden. 'Onze bondgenoten behandelen ons niet als vrienden, maar als verdachten', aldus Europarlementariër Sophie in 't Veld (D66). Bovendien werd de claim van de EU dat zij de persoonsgegevens van haar burgers voldoende beschermde hiermee ontkracht.

Dankzij het voorval en de discussie rondom het PRISM-schandaal realiseerde de Europese Commissie zich dat er meer gedaan moest worden om de privacy van EU-burgers te waarborgen, ook met het oog op de bestrijding van terrorisme.

Privacyschild EU-VS

In 2015 oordeelde het Europees Hof van Justitie in Luxemburg dat persoonlijke gegevens van Europese internetgebruikers niet zomaar kunnen worden overgedragen aan de Verenigde Staten. Volgens de rechters in Luxemburg heeft de Amerikaanse overheid via servers van bijvoorbeeld Facebook toegang tot persoonsgegevens, terwijl deze alleen uitgewisseld mogen worden met derde landen waar de privacywet net zo scherp is als hier. Aangezien de VS geen regelgeving heeft op dit gebied, heeft de uitspraak van het Hof consequenties voor de afspraken die grote bedrijven zoals Facebook en Google hebben met Europese bedrijven.

Een nieuw akkoord dat de Europese Commissie met de Verenigde Staten sloot in februari 2016 stelt de regels vast over de uitwisseling van persoonsgegevens tussen de EU en de Verenigde Staten. Het zogeheten 'privacyschild' moet de grondrechten van EU-burgers beschermen van wie de persoonsgegevens worden doorgegeven aan de Verenigde Staten. Daarnaast zorgen de afspraken voor juridische duidelijkheid voor ondernemingen die gebruik maken van gegevensdoorgiften.

In deze afspraken wordt onder andere geregeld onder welke voorwaarden en onder welk toezicht Amerikaanse overheidsinstellingen toegang hebben tot Europese persoonsgegevens. Zo blijft het onder meer onmogelijk voor de VS om op grote schaal Europese burgers te doorzoeken. De Europese Commissie nam het akkoord in juli 2016 aan, na aanpassingen op advies van de Europese gegevensbeschermingsautoriteiten (Artikel 29-werkgroep), de Europese Toezichthouder voor gegevensbescherming en het Europees Parlement. In de tweede evaluatie van het EU-VS-privacyschild (COM(2018)860) stelde de Europese Commissie dat het schild voor goede bescherming zorgde voor Europese persoonsgegevens die toegankelijk zijn voor organisaties in de VS.

In februari 2019 kwam de Raad met een aanbeveling om onderhandelingen te beginnen met de VS over het delen van bewijsmateriaal over grensoverschijdende criminele activiteiten.

Paraplu-verdrag VS

Het Umbrella Agreement oftewel paraplu-verdrag met de VS regelt hoe er met persoonsgegevens wordt omgegaan en hoe de rechtsbescherming van individuen gegarandeerd kan worden als aanvulling op de bestaande verdragen met de VS (o.a. over het gebruik van persoonsgegevens in justitieel onderzoek (privacy shield), de uitwisseling van betalingsgegevens ook wel 'SWIFT' genoemd (2010/411) en de uitwisseling van passagiersgegevens (PNR). Europese burgers kunnen voortaan inbreuk op hun privacy aanvechten voor het Amerikaans gerecht. Dit was andersom voor Amerikaanse burgers al mogelijk in veel EU-landen.

Het verdrag is op 2 juni 2016 ondertekend door de Europese Commissie. Op 1 december 2016 keurde ook het Europees Parlement het verdrag goed. De volgende dag heeft ook de Raad haar goedkeuring gegeven. Het paraplu-verdrag trad op 1 februari 2017 in werking.

4.

Commercieel gebruik privégegevens

Europese regelgeving verplicht banken betaalgegevens te verkopen aan partijen die daar om vragen. Om toch nog enige bescherming van die gegevens te waarborgen moeten dergelijke partijen daar een vergunning voor hebben en moeten klanten van de bank daar iedere keer toestemming voor geven. Klanten mogen verkoop weigeren. Bedrijven die bankgegevens hebben opgekocht horen daar verantwoord mee om gaan. Bij overtredingen kunnen ze miljoenenboetes krijgen. De controle daarop is een zaak van nationale instanties.

Payments Services Directive 2 (PSD2)

PSD2 is een Europese wet die gaat over het betalingsverkeer tussen consumenten en bedrijven. De voorloper van PSD2, de Payments Services Directive, stamt uit 2007. PSD2 werd in november 2015 aangenomen en trad op 19 februari 2019 in werking. Dit was één jaar later dan gepland, omdat er onduidelijkheid was over de veiligheidseisen van de nieuwe wet-en regelgeving.

Met de nieuwe richtlijn wil de Europese Commissie één juridisch kader stellen voor het betalingsverkeer binnen de EU. Ook wil de EU ruimte bieden voor innovatie wat betreft mogelijkheden tot (elektronische) betaling. Denk daarbij aan nieuwe manieren om te betalen in winkels of (niet-bancaire) dienstverleners die inzicht in je koopgedrag mogelijk maken door middel van een analyse van je betaalgegevens.

Voordat de niet-bancaire of derde partijen betaalgegevens mogen inzien, zal de rekeninghouder daar eerst nadrukkelijk toestemming voor moeten verlenen. Bij het vragen van toestemming door de 'derde partijen' zal rekening gehouden moeten worden met AVG-regels en met veiligheidseisen die PSD2 stelt. Wanneer de rekeninghouder instemt met het informatieverzoek, kunnen tech-bedrijven en commerciële organisaties al zijn betalingsgegevens zien tot 90 dagen terug. Dit onderdeel leidt tot veel controversie, omdat zij deze informatie dan ook kunnen gebruiken voor hun eigen bedrijfsvoering.

Om toegang te krijgen tot de bankgegevens van individuen zullen bedrijven een vergunning moeten hebben van De Nederlandsche Bank (DNB) of een andere Europese toezichthouder. Zonder deze vergunning krijgen ze ook niet zomaar toegang tot iemands bankgegevens. Binnen Nederland zullen, naast de Autoriteit Persoonsgegevens (AP), ook DNB, de Autoriteit Consument & Markt (ACM) en de Autoriteit Financiële Markten (AFM) erop toezien dat de privacy van de gebruikers onder de nieuwe wetgeving wordt veiliggesteld.

Meer informatie

Terug naar boven