r google-plus facebook twitter linkedin2 nujij P P M G W Monitor Nieuwsbrief pdclogo Afstudeer hoed man met tas twitter

Bescherming van persoonsgegevens in Europa

Net als in de afzonderlijke lidstaten is privacy in de Europese Unie als geheel erg belangrijk. Eén van de grondrechten van mensen is de mogelijkheid om informatie die zij liever niet met anderen delen, ook daadwerkelijk privé te laten zijn. De EU probeert daar op verschillende manieren zorg voor te dragen.

In april 2016 werd een nieuwe wetgeving over persoonsgegevens aangenomen. Onder de nieuwe verordening zullen burgers beter in staat zijn hun persoonlijke gegevens in te zien en te wijzigen. Deze wetgeving vervangt de bestaande versnipperde wetgeving. Het doel is om een balans te creëren tussen bescherming van privacy en het bewerkstelligen van een veilige samenleving.

De Algemene Verordening Gegevensbescherming (AVG) is 25 mei 2018 in werking getreden.

Delen

Inhoud

1.

Privacy in de Europese Unie

EU-lidstaten kunnen de bescherming van persoonsgegevens in principe met eigen, nationale wetten regelen. Toch is er ook op Europees niveau een richtlijn die de bescherming van persoonsgegevens moet waarborgen. Deze richtlijn is in het leven geroepen om een minimumniveau aan bescherming van persoonsgegevens voor de EU-burger te garanderen, vanwege de soms ver uiteenlopende privacywetgeving tussen lidstaten.

Beleid rond privacy in Europa wordt bepaald volgens de gewone wetgevingsprocedure . Dat betekent dat zowel de Raad van de Europese Unie als het Europees Parlement akkoord moeten gaan met een voorstel. Zowel de regeringen van de lidstaten als het Parlement - waarin de Europese burgers vertegenwoordigd zijn - zijn zo betrokken bij het nemen van een besluit.

Het Europees Parlement heeft meermaals nadrukkelijk haar zorgen geuit over de bescherming van persoonsgegevens van Europese burgers en hun recht op vrijheid van meningsuiting. Wanneer een voorstel van de Europese Commissie lijkt in te gaan tegen bescherming van persoonsgegevens, treedt het Parlement dan ook meestal krachtig op.

Dit gebeurt zowel op het gebied van interne (Europese) aangelegenheden als in onderhandelingen met externe spelers, zoals de Verenigde Staten en Australië. Zo heeft het Europees Parlement zich onder meer zeer kritisch uitgelaten over voorstellen om terrorisme en zware misdaad in samenwerking met de VS binnen de EU aan te pakken.

In 2015 oordeelde het Europees Hof van Justitie in Luxemburg dat persoonlijke gegevens van Europese internetgebruikers niet zomaar kunnen worden overgedragen aan de Verenigde Staten. Volgens de rechters in Luxemburg heeft de Amerikaanse overheid via servers van bijvoorbeeld Facebook toegang tot persoonsgegevens, terwijl deze alleen uitgewisseld mogen worden met derde landen waar de privacywet net zo scherp is als hier. Aangezien de VS geen regelgeving heeft op dit gebied, heeft de uitspraak van het Hof consequenties voor de afspraken die grote bedrijven zoals Facebook en Google hebben met Europese bedrijven.

Een nieuw akkoord dat de Europese Commissie met de Verenigde Staten sloot in februari 2016 stelt de regels vast over de uitwisseling van persoonsgegevens tussen de EU en de Verenigde Staten. Het zogeheten 'privacyschild' moet de grondrechten van EU-burgers beschermen van wie de persoonsgegevens worden doorgegeven aan de Verenigde Staten. Daarnaast zorgen de afspraken voor juridische duidelijkheid voor ondernemingen die gebruik maken van gegevensdoorgiften.

In deze afspraken wordt onder andere geregeld onder welke voorwaarden en onder welk toezicht Amerikaanse overheidsinstellingen toegang hebben tot Europese persoonsgegevens. Zo blijft het onder meer onmogelijk voor de VS om op grote schaal Europese burgers te doorzoeken. De Europese Commissie nam het akkoord in juli 2016 aan, na aanpassingen op advies van de Europese gegevensbeschermingsautoriteiten (Artikel 29-werkgroep), de Europese Toezichthouder voor gegevensbescherming en het Europees Parlement.

In 2018 treedt de nieuwe wetgeving over persoonsgegevens in werking. Onder de nieuwe verordening zullen burgers beter in staat zijn hun persoonlijke gegevens in te zien en te wijzigen. Bovendien krijgen burgers het 'recht om vergeten te worden'. Dit houdt in dat zij kunnen eisen dat oudere informatie over hen van het internet wordt verwijderd. Wanneer bedrijven deze regels schenden, kunnen er forse boetes worden opgelegd.

Naast de regelgeving vanuit de Europese Unie geldt sinds 1981 het Verdrag tot bescherming van het individu met betrekking tot de geautomatiseerde registratie van persoonsgegevens van de Raad van Europa . Dit verdrag is voor meer landen dan alleen de Europese Unie van toepassing.

2.

Databeschermingsrichtlijn

Mede met oog op de toegenomen globalisering en technologische vooruitgang, stelde de Europese Commissie in januari 2012 een uitgebreide hervorming van de richtlijn bescherming van persoonsgegevens voor. De nieuwe regels moeten de bescherming van persoonsgegevens in de lidstaten verder harmoniseren. Een minimum aan maatregelen om het lekken van persoonsgegevens te voorkomen wordt verplicht, er komen regels met betrekking tot het gebruik en inkijken van persoonlijke gegevens bij politie-onderzoek, en burgers moeten meer zeggenschap krijgen over hun privégegevens. Dit moet het vertrouwen van consumenten in online diensten verbeteren. Het harmoniseren van de regels over persoonsgegevens zal ook de administratieve lasten verminderen.

De Commissie, de Raad en het Parlement bereikten in december 2015 na lange onderhandelingen een compromis. Met name over het gebruik van data in kader van politieel en justitieel onderzoek bestond lang onenigheid. Deze Algemene Verordening Gegevensbescherming (AVG) is in mei 2016 aangenomen en op 25 mei 2018 in werking getreden.

In hoofdlijnen omvat de AVG het volgende:

  • burgers krijgen makkelijker en sneller toegang tot hun data
  • burgers kunnen bedrijven verzoeken om hun persoonlijke data te laten verwijderen. Dit 'recht om te worden vergeten' is niet absoluut, wanneer personen bijvoorbeeld veel in het nieuws zijn geweest kan die persoon niet eisen dat alle referenties naar hem/haar worden gewist
  • burgers moeten meer inzicht krijgen in hoe hun persoonsgegevens gebruikt worden
  • het uitwisselen van persoonlijke data tussen politie en veiligheidsdiensten wordt vergemakkelijkt. Nationale databeschermingsautoriteiten moeten erop toezien dat verzoeken om data te leveren goed zijn onderbouwd en dat er veilig met de gegevens wordt omgegaan
  • afspraken tussen bedrijven en toezichthouders in één land gelden voor de hele Europese Unie
  • bedrijven buiten de EU moeten voldoen aan Europese eisen wanneer zij in de EU hun diensten willen aanbieden
  • grotere bedrijven en organisaties die veel met persoonlijke data werken moeten iemand aanstellen die toeziet op hoe er met persoonsgegevens wordt omgegaan
  • data moet gemakkelijker kunnen worden geanonimiseerd. Zo kunnen grote databestanden worden aangelegd waar onderzoekers en bedrijven mee kunnen innoveren zonder dat privégegevens in het geding kunnen komen

Deze maatregelen gelden voor alle soorten persoonsgegevens, niet alleen voor persoonsgegevens op internet.

In lijn met deze maatregelen, kwamen de Raad en het Europees Parlement een nieuwe regulering voor omgang met persoonsgegevens overeen. Deze regulering omvat een aantal principes die nageleefd moeten worden bij het verwerken van persoonsgegevens. Zo moeten mensen van wie data verzameld wordt, het recht hebben om toegang te krijgen tot die gegevens, ze te corrigeren of te wijzigen. Ook moeten instituties ervoor zorgen dat het mogelijk gemaakt wordt voor die mensen gebruik te maken van hun rechten. Het Parlement en de Raad moeten deze regulering nog formeel goedkeuren. Als dat gebeurd is, treedt de regulering in de herfst van 2018 in werking.

3.

Internetprivacy in Europa

Het internet biedt zijn gebruikers tal van mogelijkheden: van internetbankieren tot social mediagebruik. Burgers gebruiken het daarom ook veelvuldig. Tegelijkertijd komen regelmatig onthullingen over controle- en afluisterpraktijken in het nieuws. De internetgebruiker blijkt scherp in de gaten te worden gehouden. Het internet biedt namelijk niet alleen mogelijkheden voor privégebruikers, maar ook voor bedrijven en overheden vormt het een bron van informatie.

Zo kan bijvoorbeeld aan de hand van het internetgebruik een consumentenprofiel worden opgesteld op basis waarvan bedrijven gericht advertenties kunnen versturen. In deze situatie is het belangrijk dat er een evenwicht wordt gevonden tussen de economische belangen van bedrijven, en het recht op privacy van de internetgebruiker.

Veel van de nieuwe regels zijn afgestemd op het gebruik van persoonsgegevens op internet. Zo geldt er voor kinderen onder de 16 jaar (lidstaten mogen deze grens verlagen tot 13 jaar) dat ze toestemming van hun ouders moeten hebben om bepaalde diensten af te nemen.

Privacyschending door grote bedrijven?

In maart 2008 nam internetbedrijf Google de online reclameonderneming Doubleclick over. Doubleclick is een Amerikaans bedrijf dat via websites bijhoudt waarop mensen klikken en aan de hand daarvan gericht advertenties op hen afvuurt. De Europese Commissie verleende bij monde van toenmalig eurocommissaris voor Mededinging Neelie Kroes , haar goedkeuring aan deze overname.

Sinds Doubleclick onderdeel is van Google, bestaat er angst voor een allesomvattend internetimperium. Internetgebruikers maken al jaren gebruik van tal van diensten die Google aanbiedt, zoals zoekmachines, e-mail en chatten.

Google was al in het bezit van de benodigde informatie om talloze consumentenprofielen op te stellen. Nu het netwerk van Doubleclick hieraan toegevoegd is, is deze berg van persoonlijke informatie aanzienlijk gegroeid. Om tegemoet te komen aan deze angsten startte de Europese Commissie een onderzoek naar de mogelijkheid van machtsmisbruik en de kwestie van privacy van internetgebruikers.

In februari 2014 toonde de Europese Commissie zich tevreden met het jongste voorstel van Google. Het internetbedrijf sprak zelf van belangrijke veranderingen in de manier waarop de zoekmachine in Europa werkt. Google kwam hiermee tegemoet aan de bezwaren van de Commissie en voorkwam zo (voorlopig) grote boetes.

Zoekmachine Google kon daarnaast verplicht worden links naar websites met gevoelige persoonsgegevens uit de zoekresultaten te verwijderen. Volgens het Europees Hof van Justitie moest er een afweging gemaakt worden tussen het recht op informatie en het recht om vergeten te worden. Men kan tegenwoordig een verzoek richten aan Google om gevoelige informatie te verwijderen. Indien dat verzoek niet tot het gewenste resultaat leidt, kan de persoon zich wenden tot een nationale privacycommissie of de rechter.

Sociale media

Begin februari 2010, enkele dagen voordat Neelie Kroes de portefeuille van Viviane Reding overnam als Commissaris voor Digitale Agenda , stond de populaire sociale netwerksite Facebook ter discussie. Het netwerk had zijn beleid gewijzigd, waardoor persoonlijke gegevens standaard voor iedereen toegankelijk waren. Kroes zei in juni tijdens een debat in het Europees Parlement scherp toezicht te willen houden op Facebook , maar ook op soortgelijke sociale media als Twitter en LinkedIn .

De discussie in het Parlement vond plaats niet alleen naar aanleiding van het gewijzigde beleid van Facebook; ook zou het sociale netwerk persoonlijke data misbruiken voor commerciële doeleinden. Europarlementariër Lambert van Nistelrooij (CDA ) stelde dat profielen van minderjarige gebruikers standaard afgeschermd moeten worden van personen buiten hun netwerk. Ook pleitte Van Nistelrooij ervoor dat gebruikers beter op de hoogte worden gesteld van de risico's die het plaatsen van persoonlijke gegevens op internet met zich meebrengt.

4.

Aspecten bescherming persoonsgegevens

Terrorismebestrijding en privacy

Er is de Europese Unie veel aan gelegen om terroristische aanslagen te voorkomen. Daartoe bestaat een streng beleid ten aanzien van mogelijke vormen van terrorisme. In alle paspoorten van lidstaten worden biometrische kenmerken opgenomen, zoals vingerafdrukken, om vervalsing moeilijker te maken. Daarnaast krijgen Europese instanties die onderzoek doen naar terrorisme meer macht. Ook moeten luchtvaartmaatschappijen sinds 2007 passagierslijsten van vluchten naar Europa afstaan. Dit heeft uiteraard gevolgen voor de privacy.

Metagegevens telefoongesprekken

In september 2005 kwam de Europese Commissie met een voorstel voor een richtlijn die lidstaten verplicht tot het opslaan van metagegevens bij telecomverkeer: de dataretentierichtlijn . Het gaat hierbij onder meer om de locatie van de beller, het gebelde telefoonnummer en de duur van het gesprek. Het verplicht opslaan van deze gegevens zou politieonderzoeken moeten vergemakkelijken.

In het verleden werden deze gegevens al opgeslagen door telecombedrijven omdat per telefoongesprek moest worden betaald, maar nieuwe flat fee abonnementsvormen en alternatieve diensten zoals e-mail en VoIP maakten dit niet langer per definitie noodzakelijk. De richtlijn moest duidelijkheid scheppen over welke gegevens wel en welke niet moesten worden bewaard.

De plannen werden in februari 2006 goedgekeurd en in april gepubliceerd. In september 2007 moest de richtlijn zijn omgezet in wetgeving op nationaal niveau. Nederland heeft de wet bewaarplicht telecommunicatiegegevens uiteindelijk in 2009 ingevoerd, maar België en Duitsland hebben dat geweigerd. De Commissie is hierop inbreukprocedures gestart, maar in april 2014 haalde het Europees Hof een streep door de richtlijn omdat deze in strijd is met Europese grondrechten op privacy.

Ongeveer twee jaar heeft de herroeping van de dataretentierichtlijn geen invloed gehad op Nederlandse regelgeving omtrent het bewaren van persoonsgegevens. Met het Tele2-arrest van 21 december 2016 heeft het Hof echter bepaald dat nationale regelingen telecomaanbieders geen algemene bewaarplicht van persoonsgegevens meer mogen opleggen. Gerichte bewaring van gegevens ter bestrijding van ernstige criminaliteit is nog wel mogelijk, maar hiervoor zijn stikte voorwaarden en stevige waarborgen in het leven geroepen.

Op 11 maart 2015 stelde de rechtbank in Den Haag de Nederlandse Wet Bewaarplicht telecommunicatiegegevens al buiten werking.

Uitwisseling van passagiersgegevens

In mei 2004 bereikten de EU en de Verenigde Staten een overeenkomst over het uitwisselen van gegevens van passagiers die naar de VS reizen. Het Europees Parlement was het niet eens met deze overeenkomst, omdat de privacy van de Europese burger in het geding was. Daarom stapte het naar het Europese Hof van Justitie . Uiteindelijk werd de overeenkomst ongeldig verklaard door het Hof.

Er volgden nieuwe onderhandelingen, met verscherpte eisen van zowel de EU als de VS. De EU wilde meer bescherming van de persoonsgegevens van Europeanen, terwijl de VS juist meer informatie wilde krijgen. In 2006 werd een tijdelijk verdrag gesloten, waarin de VS de beschikking hield over dezelfde gegevens, maar waarbij meer Amerikaanse instanties toegang kregen tot deze gegevens. De EU sprak de wens uit snel over te gaan van een pull-systeem naar een push-systeem .

Een aantal Europese landen wil ook binnen de Europese Unie passagiersgegevens opslaan en delen. Hiermee hopen zij Europese burgers die mee willen vechten voor terroristische groeperingen of in de jihad, of burgers die juist terugkeren na deelname aan een dergelijke strijd, beter in de gaten te kunnen houden. Dit voornemen is in de zomer van 2014 uitgesproken, zonder dat er een concreet voorstel aan werd gekoppeld.

In november 2014 heeft de Europese Commissie voor 50 miljoen euro aan subsidies verstrekt aan lidstaten om een systeem op te zetten voor het uitwisselen van passagiersgegevens. Frankrijk heeft het meeste geld ontvangen, €17,8 miljoen, Nederland volgt met €5,7 miljoen. Veertien lidstaten lanceerden het passenger name record (PNR) aan het einde van 2014. Op 27 april 2016 hebben het Parlement en de Raad ingestemd met de PNR-richtlijn. Deze richtlijn beschrijft o.a. de voorwaarden voor het gebruik van persoonsgegevens van passagiers door luchtvaartmaatschappijen in de strijd tegen terrorisme en zware criminaliteit.

Uitwisseling van bankgegevens

Sinds 2010 is er een overeenkomst tussen de Europese Unie en de Verenigde Staten waardoor Europa en de VS bankgegevens van Europese burgers en bedrijven kunnen uitwisselen. Omdat Europarlementariërs vonden dat de privacy van de Europese burger onvoldoende werd beschermd, is in het akkoord opgenomen dat onafhankelijke Europese inspecteurs erop zullen toezien dat de VS geen misbruik maakt van de inzage in de Europese gegevens.

Uitwisseling van gegevens over criminelen

Het Verdrag van Prüm legt beperkingen op aan de uitwisseling van persoonsgegevens, waardoor grensoverschrijdende misdaden soms onbestraft blijven. Op 9 oktober 2015 kwamen de EU-ministers van Justitie overeen dat deze regels versoepeld moeten worden om de uitwisseling van persoonsgegevens eenvoudiger te maken. Het gaat daarbij om gegevens die van belang zijn voor de opsporing en vervolging van criminelen.

De nieuwe regels zouden het onderlinge vertrouwen van politie en justitie in de lidstaten vergroten. Ook zouden deze regels de privacybescherming waarborgen. Om extra toezicht te houden op de uitwisseling van persoonsgegevens wordt er gekeken naar de mogelijkheid om een Europese instantie op te richten die deze taak op zich kan nemen. In april 2016 is de richtlijn 2016/680 aangenomen.

PRISM internet surveillance schandaal

Eind juni 2013 kwam de veiligheid van persoonsgegevens in de EU in een ander daglicht te staan. Edward Snowden, oud-medewerker van de Amerikaanse inlichtingendienst National Security Agency (NSA), lekte namelijk informatie over afluisterpraktijken van de Amerikaanse overheid. Centraal hierin stond het uiterst geheime PRISM-systeem dat in staat bleek om op grote schaal internet- en telefoongegevens af te luisteren.

Op 19 juni 2013 werd in het Europees Parlement gediscussieerd over de afluisterpraktijken. De nadruk lag hierbij op het idee dat de Verenigde Staten het vertrouwen van de Europese Unie ernstig hadden geschonden. 'Onze bondgenoten behandelen ons niet als vrienden, maar als verdachten', aldus Europarlementariër Sophie in 't Veld (D66). Bovendien leek de claim van de Europese Unie dat de gegevens van haar burgers beschermd werden hiermee ontkracht.

Toenmalig eurocommissaris Viviane Reding introduceerde daarop de doelstelling een Europese wet voor persoonsgegevens op te stellen. Deze wet zou 'een gouden standaard' moeten worden. Trans-Atlantische samenwerking zou daarvoor echter onmisbaar zijn.

Het PRISM-schandaal kreeg een zwaardere lading nadat het Duitse tijdschrift Der Spiegel nieuwe stukken van Snowden had ingezien waaruit bleek dat de Verenigde Staten Duitsland bijzonder intensief afluisterden, met medeweten van de Duitse inlichtingendienst. Uit dezelfde documenten bleek dat ook EU-diplomaten zijn afgeluisterd.

Paraplu-verdrag VS

Het Umbrella Agreement met de Verenigde Staten regelt hoe er met persoonsgegevens wordt omgegaan en hoe de rechtsbescherming van individuen gegarandeerd kan worden als aanvulling op de bestaande verdragen met de VS (o.a. over het gebruik van persoonsgegevens in justitieel onderzoek (privacy shield), de uitwisseling van betalingsgegevens (SWIFT) en de uitwisseling van passagiersgegevens (PNR). Europese burgers kunnen voortaan inbreuk op hun privacy aanvechten voor het Amerikaans gerecht. Dit was andersom voor Amerikaanse burgers al mogelijk in veel EU-landen.

Het verdrag is op 2 juni 2016 ondertekend door de Europese Commissie. Op 1 december 2016 keurde ook het Europees Parlement het verdrag goed. De volgende dag heeft ook de Raad haar goedkeuring gegeven. Het paraplu-verdrag treedt in werking zodra de VS goedkeuring heeft gegeven.

Europese lidstaten en spionage

Al eerder werd duidelijk dat de Europese lidstaten zelf ook geen schone handen hebben als het gaat om afluisterpraktijken. Goed voorbeeld hiervan is de houding van het Verenigd Koninkrijk tijdens de G8 van 2013 in dat land. Hoge diplomaten werden naar een voor de gelegenheid ingericht internetcafé gelokt, waar de Britse geheime diensten vervolgens de communicatie konden volgen.

Commercieel gebruik privégegevens

Het gebruik van persoonlijke gegevens door het bedrijfsleven is in beginsel een zaak tussen de burger en bedrijven waar zij diensten van af nemen of producten bij kopen. Dergelijke persoonsgegevens zijn voor bedrijven vaak geld waard - er wordt gehandeld in persoonsgegevens en informatie over koop- en kijkgedrag. Voor gevoelige sectoren zoals de banken zijn er voorwaarden opgesteld over het gebruik en de handel in persoonlijke gegevens.

Europese regelgeving verplicht banken betaalgegevens te verkopen aan partijen die daar om vragen. Om toch nog enige bescherming van die gegevens te waarborgen moeten dergelijke partijen daar een vergunning voor hebben en moeten klanten van de bank daar iedere keer toestemming voor geven. Klanten mogen verkoop weigeren. Bedrijven die bankgegevens hebben opgekocht horen daar verantwoord mee om gaan. Bij overtredingen kunnen ze miljoenenboetes krijgen. De controle daarop is een zaak van nationale instanties.

Het is voor Europese ondernemingen niet toegestaan om persoonsgegevens van klanten te verkopen aan ondernemingen in een land dat geen regels voor de bescherming van persoonsgegevens kent. Ook mogen bedrijven sinds 2003 alleen e-mails versturen aan mensen die expliciet hebben aangegeven dat zij commerciële e-mails willen ontvangen.

5.

Meer informatie

  •  

Delen

Terug naar boven