COMMISSION STAFF WORKING PAPER

SAMENVATTING VAN DE EFFECTBEOORDELING

bij

Verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (Algemene verordening gegevensbescherming) en Richtlijn van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens

1. Inleiding

Het huidige rechtskader van de EU inzake gegevensbescherming stamt uit 1995. Sindsdien zijn door snelle ontwikkelingen op technologisch en zakelijk gebied nieuwe uitdagingen voor de bescherming van persoonsgegevens ontstaan. De mate waarin gegevens worden verzameld en gedeeld, is enorm gestegen. Door technologie kunnen bedrijven en overheid bij het uitvoeren van hun activiteiten meer dan ooit tevoren gebruikmaken van persoonsgegevens. Mensen maken hun persoonsgegevens steeds vaker wereldwijd bekend, zonder dat zij zich volledig bewust zijn van de risico’s daarvan.

Het is voor de economische ontwikkeling cruciaal om vertrouwen in de onlineomgeving tot stand te brengen. Ontbreekt dat vertrouwen, dan zijn consumenten minder geneigd om online aankopen te doen en gebruik te maken van nieuwe diensten, waaronder e-overheidsdiensten. Als dit gebrek aan vertrouwen niet wordt aangepakt, zal het de ontwikkeling van innovatieve toepassingen van nieuwe technologieën blijven vertragen, de economische groei belemmeren en het voor de overheid moeilijk maken om het potentieel van digitalisering van haar dienstverlening te verwezenlijken.

Ook is door het Verdrag van Lissabon een nieuwe rechtsgrondslag voor een gemoderniseerde totaalaanpak van gegevensbescherming en het vrije verkeer van persoonsgegevens ingevoerd: artikel 16 VWEU, dat ook van toepassing is op politiële en justitiële samenwerking in strafzaken.

2. Omschrijving van het probleem

In de effectbeoordeling worden drie grote probleemgebieden vastgesteld en geanalyseerd.

2.1. Probleem 1: belemmeringen voor het bedrijfsleven en de overheid als gevolg van fragmentatie, rechtsonzekerheid en inconsequente handhaving

Hoewel de bestaande richtlijn beoogt in de hele EU een gelijkwaardig beschermingsniveau voor persoonsgegevens tot stand te brengen, zijn er nog aanmerkelijke verschillen tussen de regels die in de lidstaten gelden. Voor de verwerking verantwoordelijken moeten daardoor rekening houden met 27 verschillende nationale wetgevingen en vereisten binnen de EU. Dit heeft geresulteerd in een gefragmenteerd rechtskader, met alle rechtsonzekerheid en ongelijke bescherming van personen van dien. Bedrijven worden daardoor geconfronteerd met onnodige kosten en administratieve lasten (in het basisscenario circa 3 miljard euro per jaar), wat een ontmoedigend effect heeft voor ondernemingen, ook in het midden- en kleinbedrijf, die op de eengemaakte markt actief zijn en hun activiteiten tot het buitenland willen uitbreiden.

De middelen en bevoegdheden van de nationale autoriteiten die voor gegevensbescherming verantwoordelijk zijn, verschillen bovendien aanzienlijk van lidstaat tot lidstaat. Soms kunnen zij daardoor hun handhavingstaak niet naar behoren uitvoeren. De samenwerking tussen deze autoriteiten op Europees niveau (via de Groep artikel 29) leidt niet altijd tot consequente handhaving en moet dan ook worden verbeterd.

2.2. Probleem 2: het is voor personen moeilijk om de controle over hun persoonsgegevens te behouden

Doordat de nationale wetgevingen inzake gegevensbescherming niet zijn geharmoniseerd en de bevoegdheden van de nationale autoriteiten niet gelijklopen, is het voor personen in sommige lidstaten moeilijker dan in andere om hun rechten uit te oefenen, met name in een onlineomgeving.

Mensen hebben de controle over hun eigen gegevens verloren door de enorme omvang van de gegevens die iedere dag opnieuw worden gedeeld en ook doordat zij er vaak niet van op de hoogte zijn dat hun gegevens worden verzameld. Volgens veel Europeanen is het bekendmaken van persoonsgegevens steeds meer onderdeel van het moderne leven[1], maar toch is 72% van de internetgebruikers in Europa bezorgd dat hun online te veel om persoonsgegevens wordt gevraagd. Internetters weten vaak ook niet hoe zij online hun rechten kunnen uitoefenen.

2.3. Probleem 3: lacunes en inconsequenties bij de bescherming van persoonsgegevens in het kader van politiële en justitiële samenwerking in strafzaken

Politiële en justitiële samenwerking in strafzaken is uitdrukkelijk uitgesloten van het toepassingsgebied van de richtlijn, die op een rechtsgrondslag voor de interne markt is gebaseerd. Het kaderbesluit dat in 2008 is vastgesteld om de verwerking van gegevens op het gebied van politiële samenwerking en justitiële samenwerking in strafzaken te reglementeren, weerspiegelt de specifieke kenmerken van de pijlerstructuur van de EU, zoals die vóór het Verdrag van Lissabon bestond. Het heeft een beperkt toepassingsgebied en kent een aantal andere lacunes die vaak aanleiding geven tot rechtsonzekerheid voor zowel personen als rechtshandhavingsautoriteiten en tot praktische uitvoeringsproblemen. Bovendien voorziet het kaderbesluit in ruime mogelijkheden om op nationaal niveau van de algemene gegevensbeschermingsregels af te wijken, waardoor er geen sprake is van harmonisering. Niet alleen dreigen deze beginselen daarmee van hun zin te worden ontdaan, wat het fundamentele recht van personen op de bescherming van hun persoonsgegevens op dit gebied aantast, maar ook wordt daardoor de vlotte uitwisseling van persoonsgegevens tussen bevoegde nationale instanties gehinderd.

3. Subsidiariteits- en evenredigheidsanalyse

Uit de subsidiariteitsanalyse komt naar voren dat, gezien de hierboven aangekaarte problemen, actie op EU-niveau vereist is om de volgende redenen:

· bescherming van persoonsgegevens is een recht dat is vastgelegd in artikel 8 van het Handvest van de grondrechten van de EU. Artikel 16 VWEU is de rechtsgrondslag voor de vaststelling van EU-voorschriften inzake gegevensbescherming;

· persoonsgegevens kunnen steeds vaker en sneller worden doorgegeven over landsgrenzen heen, zowel over de binnengrenzen van de EU als de buitengrenzen met derde landen. Er doen zich bovendien praktische problemen voor bij de handhaving van de wetgeving inzake gegevensbescherming en de samenwerking tussen de lidstaten en hun autoriteiten. Een en ander moet op EU-niveau worden geregeld om de nodige samenhang en een hoog beschermingsniveau in de hele Unie te waarborgen;

· de problemen met de huidige regeling kunnen niet door de lidstaten afzonderlijk worden verholpen. Dat geldt vooral voor problemen die ontstaan door de fragmentatie van de nationale wetgevingen ter uitvoering van het EU-regelgevingskader voor gegevensbescherming;

· de lidstaten kunnen weliswaar een beleid voeren dat waarborgt dat het recht op de bescherming van persoonsgegevens wordt gehandhaafd, maar zonder gemeenschappelijke regels op EU-niveau zal dat niet op eenvormige wijze gebeuren, waardoor belemmeringen voor het grensoverschrijdende verkeer van persoonsgegevens ontstaan.

De voorgenomen maatregelen voldoen aan het evenredigheidsbeginsel, omdat zij onder de bevoegdheden van de Unie vallen, zoals die bij het Verdrag zijn vastgesteld, en noodzakelijk zijn om eenvormige toepassing van de EU-wetgeving te waarborgen en de grondrechten van personen doeltreffend en in gelijke mate te beschermen. Er moeten op EU-niveau maatregelen worden genomen met het oog op geloofwaardigheid en om een hoog niveau van bescherming van persoonsgegevens in deze wereld van mondialisering te waarborgen, zonder afbreuk te doen aan het vrije verkeer van dergelijke gegevens. Voor de goede werking van de interne markt moeten de bepalingen voor alle marktdeelnemers gelijke voorwaarden tot stand brengen.

4. Doelstellingen

De drie voornaamste beleidsdoelen zijn:

· de internemarktdimensie van gegevensbescherming versterken door de fragmentatie te bestrijden, de onderlinge samenhang te verbeteren en de regels te vereenvoudigen en daardoor onnodige kosten te vermijden en de administratieve lasten te verminderen;

· het grondrecht op bescherming van persoonsgegevens effectiever maken en personen de controle geven over hun eigen gegevens;

· de samenhang van het EU-kader voor gegevensbescherming vergroten, ook wat betreft politiële en justitiële samenwerking in strafzaken, zoals bepaald in het Verdrag van Lissabon.

5. Beleidsopties 5.1. Optie 1:        Zachte acties

Deze optie omvat met name interpretatieve mededelingen van de Commissie, hulpmiddelen voor technische ondersteuning en financiering, maar ook aanmoediging van normalisatie en zelfregulering. Het doel daarvan is versterking van de praktische tenuitvoerlegging van de bestaande regels door voor de verwerking verantwoordelijken en bewustmaking van de betrokkenen. Bij deze optie stelt de Commissie slechts zeer beperkte wijzigingen van de wetgeving voor, namelijk om reeds bestaande begrippen in de richtlijn te verduidelijken en specifieke vraagstukken aan te pakken die niet doeltreffend anders kunnen worden geregeld. Deze beleidsoptie is slechts relevant voor de problemen 1 en 2.

De beperkte wetswijzigingen zouden inhouden dat de beginselen van transparantie en minimale gegevensverwerking expliciet worden gemaakt en een rechtsgrondslag wordt ingevoerd voor bindende bedrijfsvoorschriften met betrekking tot internationale gegevensdoorgifte.

5.2. Optie 2:        Modernisering van het rechtskader

Deze optie houdt in dat de Commissie wetgevingsvoorstellen doet om de materiële regels verder te harmoniseren, specifieke bepalingen te verduidelijken en inconsequenties weg te werken die door de verschillende benaderingen in de lidstaten zijn ontstaan. Met deze voorstellen zouden de problemen 1 en 2 worden aangepakt door enerzijds gegevensstromen binnen de EU en van de EU naar derde landen te vergemakkelijken en anderzijds de rechten van personen (zoals het recht van toegang, het “recht om te worden vergeten”, duidelijker procedures voor toestemmingverlening en voor melding van gegevenslekken) te verduidelijken en te versterken en de verantwoordelijkheid – en de verantwoordingsplicht – van voor de verwerking verantwoordelijken en van gegevensverwerkers te versterken (bijvoorbeeld door, waar relevant, de benoeming van functionarissen voor gegevensbescherming verplicht te stellen en een privacyeffectbeoordeling uit te voeren). Deze optie omvat met name een éénloketsysteem voor voor de verwerking verantwoordelijken (d.w.z. één wet en één gegevensbeschermingsautoriteit). De algemene kennisgevingsvereisten zouden in het kader van optie 2 worden vereenvoudigd (basisregistratie). Deze optie vergroot de onafhankelijkheid van de gegevensbeschermingsautoriteiten en harmoniseert hun bevoegdheden. Samenwerking en wederzijdse bijstand tussen de gegevensbeschermingsautoriteiten worden bevorderd, onder meer met een nieuwe “conformiteitstoetsing” waarbij een nieuw op te richten “Europees comité voor gegevensbescherming” en de Europese Commissie betrokken zijn.

Ten aanzien van de gegevensbescherming in het kader van politiële samenwerking en justitiële samenwerking in strafzaken (probleem 3) doet de Commissie bij deze optie voorstellen om het kaderbesluit te vervangen door een nieuw instrument met een uitgebreider toepassingsgebied en pakt zij de ernstigste lacunes en tekortkomingen aan, om zowel de rechten van personen te versterken als de samenwerking tussen rechtshandhavingsautoriteiten te faciliteren, met inachtneming van de specifieke kenmerken van de sector rechtshandhaving.

5.3. Optie 3:        Gedetailleerde rechtsvoorschriften op EU-niveau

Deze optie omvat de meeste onderdelen van optie 2, met daarnaast veel uitgebreidere EU-rechtsvoorschriften, inclusief sectorale wetgeving (bijvoorbeeld voor de medische sector en de zorgsector) en een gecentraliseerde handhavingsstructuur op EU-niveau (bijvoorbeeld een EU-gegevensbeschermingsautoriteit). Deze optie omvat tevens afschaffing van de vereisten inzake algemene kennisgeving (behalve controle vooraf bij verwerking van gevoelige gegevens), opzetten van een EU-certificeringsregeling voor privacyconforme processen en producten en vaststelling van geharmoniseerde strafrechtelijke sancties op EU-niveau voor inbreuk op de privacyvoorschriften. De hoofdregel wordt dus: geen verwerking zonder toestemming.

Wat betreft de politiële en justitiële samenwerking in strafzaken worden, naast de inhoudelijke maatregelen van optie 2, nadere voorschriften vastgesteld inzake het toegangsrecht van personen (dat altijd direct moet zijn). Ook worden de relevante bepalingen van alle bestaande instrumenten die tot de derde pijler behoorden, gewijzigd en aangepast aan de nieuwe, uitgebreide geharmoniseerde voorschriften.

6. Effectbeoordeling 6.1. Beleidsoptie 1: Zachte acties

Interpretatieve mededelingen van de Commissie over richtlijnbepalingen zijn niet bindend en bestrijden rechtsonzekerheid en kosten dus slechts in beperkte mate. Meer zelfregulering op EU-niveau kan in specifieke sectoren tot een grotere rechtszekerheid voor voor verwerking verantwoordelijken leiden, maar is niet voldoende om doeltreffende en consequente toepassing van de regels te waarborgen, als er niet ook een duidelijk en geharmoniseerd rechtskader op EU-niveau aan ten grondslag ligt.

Voorlichting kan ertoe bijdragen dat mensen hun privacyrechten beter kennen en begrijpen hoe ze die praktisch kunnen uitoefenen. Het volstaat echter niet dat personen hun rechten kennen, als die rechten in de wet niet duidelijk zijn gedefinieerd. Verduidelijking van de wetgeving wat de beginselen van transparantie, minimale gegevensverwerking, toereikendheid en bindende bedrijfsvoorschriften betreft, versterkt de harmonisatie en de rechtszekerheid voor personen en bedrijven.

Wat de handhaving betreft, veranderen mededelingen van de Commissie weinig aan de geringe bereidheid van de lidstaten om hun nationale rechtsvoorschriften te wijzigen en de gegevensbeschermingsautoriteiten onafhankelijker te maken en hun bevoegdheden te harmoniseren. Betere coördinatie door de Groep artikel 29 en uitwisseling tussen de gegevensbeschermingsautoriteiten bevorderen een consequente handhaving van de regels, maar als de nationale wetgevingen en de interpretatie ervan blijven uiteenlopen, blijft het effect van betere coördinatie tussen de gegevensbeschermingsautoriteiten beperkt.

De te verwachten financiële en economische impact van deze beleidsoptie zijn beperkt, en de geconstateerde problemen worden erdoor voor het merendeel niet verholpen.

6.2. Beleidsoptie 2: Modernisering van het rechtskader

De rechtsonzekerheid voor particuliere bedrijven en overheden wordt aanzienlijk verminderd. Bepalingen die problemen opleveren, worden verduidelijkt en de onderlinge samenhang wordt verbeterd door inperking van de interpretatiemarge en door uitvoeringsmaatregelen en/of gedelegeerde handelingen van de Commissie.

Als de verplichting om kennis te geven van elke verwerking van gegevens wordt vervangen door een vereenvoudigd geharmoniseerd registratiesysteem, blijft de voorafgaande controle in geval van gevoelige gegevens en de verwerking daarvan bestaan, maar verdwijnt voor de verwerking verantwoordelijken een verplichting die momenteel op uiteenlopende wijze is geïmplementeerd. Als de verantwoordelijkheid van de voor de verwerking verantwoordelijken en verwerkers wordt uitgebreid door de invoering van functionarissen voor gegevensbescherming en privacyeffectbeoordelingen (in bepaalde gevallen, en vanaf welbepaalde drempels) en van het beginsel “privacy by design”, kan conformiteit gemakkelijker aantoonbaar worden gewaarborgd.

Verduidelijking en vereenvoudiging van de voorschriften door voor de hele EU één toepasselijke wet vast te stellen en een éénloketsysteem voor privacytoezicht in te voeren, versterkt de interne markt, ook doordat de verschillen tussen de administratieve formaliteiten van de gegevensbeschermingsautoriteiten worden weggenomen. Hiermee kan op jaarbasis, aan administratieve formaliteiten alleen, in totaal circa 2,3 miljard euro worden bespaard.

Een consequente handhaving wordt ook bevorderd door de bevoegdheden van de gegevensbeschermingsautoriteiten uit te breiden en te harmoniseren, krachtige mechanismen voor samenwerking en wederzijdse bijstand op te zetten voor zaken met een EU-dimensie en te harmoniseren welke feiten aanleiding geven tot administratieve sancties.

Met een voor de EU geharmoniseerde verplichting om gegevenslekken te melden, worden personen beter beschermd, wordt de onderlinge samenhang voor alle sectoren bevorderd en worden concurrentienadelen vermeden.

De rechten van betrokkenen en hun controle over de henzelf betreffende gegevens worden aanzienlijk versterkt door de invoering van nieuwe rechten en de verbetering en verduidelijking van de bestaande rechten. Ten behoeve van kinderen komen er maatregelen die specifiek rekening houden met hun kwetsbaarheid. Verenigingen krijgen meer mogelijkheden om betrokkenen de helpen hun rechten uit te oefenen, ook in rechtszaken.

Toepassing van de algemene beginselen inzake gegevensbescherming op politiële en justitiële samenwerking in strafzaken komt de algehele samenhang van het EU-kader voor gegevensbescherming ten goede en is ook in overeenstemming met de specifieke vereisten van de rechtshandhaving. De rechten van personen worden met name beter gewaarborgd als het toepassingsgebied van de gegevensbeschermingsregels op dit gebied wordt uitgebreid tot de binnenlandse verwerking, regels voor de uitoefening van het toegangsrecht worden vastgesteld en strengere regels inzake doelbinding worden opgesteld.

Wat de financiële en economische impact betreft, leidt de verplichting om in grotere ondernemingen (meer dan 250 werknemers) een functionaris voor gegevensbescherming te benoemen niet tot onevenredige kosten, aangezien die functie in zulke bedrijven meestal al bestaat. De kosten om aan dit voorschift te voldoen, bedragen 320 miljoen euro per jaar. Deze verplichting zou niet meer voor de verwerking verantwoordelijken treffen dan struikt genomen noodzakelijk, want kleine en middelgrote ondernemingen zijn in de regel vrijgesteld, tenzij hun gegevensverwerkingsactiviteiten een aanzienlijk privacyrisico inhouden. Overheidsinstanties mogen één gegevensverwerkingsfunctionaris voor verschillende onderdelen (bijvoorbeeld bureaus of afdelingen) benoemen, rekening houdend met hun organisatiestructuur.

Vereenvoudiging van de voorschriften voor internationale doorgiften (bijvoorbeeld door de reikwijdte van de bindende bedrijfsvoorschriften uit te breiden) heeft eveneens een gunstige invloed op de internationale concurrentiepositie van het EU-bedrijfsleven.

Het versterken van de onafhankelijkheid en de bevoegdheden van de gegevensbeschermingsautoriteiten en de verplichting voor de lidstaten om voldoende middelen ter beschikking te stellen, brengen extra kosten met zich mee voor overheidsinstanties die nog niet over de juiste bevoegdheden en adequate middelen beschikken.

Ook het nieuwe mechanisme voor samenwerking en wederzijdse bijstand tussen gegevensbeschermingsautoriteiten brengt extra kosten met zich mee voor die autoriteiten en voor de Europese Toezichthouder voor gegevensbescherming. Voor de aanvullende taken waarmee de Europese Toezichthouder wordt belast in verband met de secretariaatswerkzaamheden voor het EU-comité voor gegevensbescherming (dat in de plaats komt van de Groep artikel 29) en vooral zijn rol bij de conformiteitstoetsing, moeten de huidige middelen van de toezichthouder waarschijnlijk met gemiddeld 3 miljoen euro per jaar worden verhoogd gedurende de eerste zes jaar, waarbij kredieten voor tien extra personeelsposten zijn inbegrepen.

6.3. Beleidsoptie 3: Gedetailleerde rechtsvoorschriften op EU-niveau

Door nader gedetailleerde (o.a. sectorale) rechtsvoorschriften vast te stellen die verder gaan dan de maatregelen van optie 2, kunnen de discrepanties tussen de lidstaten maximaal worden teruggedrongen. Het kan echter zijn dat de lidstaten niet voldoende flexibel kunnen optreden om met alle nationale bijzonderheden rekening te houden.

Door de kennisgevingen volledig af te schaffen (behalve wat voorafgaande controles betreft), kan de regelgeving aanzienlijk worden vereenvoudigd en de administratieve belasting verminderd.

Door oprichting van een EU-agentschap voor gegevensbescherming kan de wetgeving consequenter worden gehandhaafd en wordt een einde gemaakt aan de inconsistenties bij gevallen met een duidelijke EU-dimensie. Het kan echter zijn dat de EU-wetgeving dergelijke bevoegdheden voor een EU-agentschap niet toelaat. De kosten van zo’n agentschap zouden voor de begroting van de EU zeer hoog zijn. Ook harmonisering van de strafrechtelijke sancties bevordert consequente handhaving, maar zal anderzijds wellicht op sterk verzet van de lidstaten stuiten.

De rechten van de betrokkenen, onder wie kinderen, worden bij deze optie verder versterkt, bijvoorbeeld doordat de definitie van gevoelige gegevens wordt uitgebreid tot gegevens betreffende kinderen, biometrische gegevens en financiële gegevens. Ook door ter beslechting van geschillen collectieve vorderingen mogelijk te maken, kunnen rechten worden gemaximaliseerd. Individuele rechten zouden nog verder kunnen worden versterkt door op EU-niveau sancties (ook strafrechtelijke) te harmoniseren.

Een uitdrukkelijke wijziging van alle rechtsinstrumenten waarbij de algemene voorschriften inzake gegevensbescherming van toepassing worden op de politiële en justitiële samenwerking in strafzaken, zou de effectiviteit en de samenhang van de voorschriften op dit gebied, maar ook de rechten van personen, positief beïnvloeden. Zo’n radicale aanpak zou echter stuiten op verzet van de lidstaten en politiek moeilijk haalbaar zijn.

7. Vergelijking van de opties

Bij beleidsoptie 1 zijn de nalevingskosten en administratieve kosten beperkt, vooral voor particuliere voor verwerking verantwoordelijken, aangezien de meeste bijkomende kosten voor rekening komen van de nationale overheden en EU-instanties. De optie zou echter slechts een gering positief effect hebben op de geconstateerde problematiek en de verwezenlijking van de beleidsdoelen.

Wat de politieke haalbaarheid van deze optie betreft: de voorstellen zijn niet controversieel, maar zullen waarschijnlijk op verzet van de belanghebbenden stuiten omdat zij niet ver genoeg gaan en een geringe impact hebben en dus onvoldoende ambitieus worden bevonden.

Beleidsoptie 2 leidt tot een aanzienlijke vermindering van fragmentatie en rechtsonzekerheid. Deze optie is naar verwachting veel effectiever om de geconstateerde problemen op te lossen en de beleidsdoelen te verwezenlijken. De verhouding tussen de nalevingskosten en administratieve kosten bij deze optie en de voordelen en de besparingen van circa 2,3 miljard euro per jaar aan administratieve lasten zal naar verwachting redelijk zijn, wat van groot belang is voor het bedrijfsleven. Deze optie zorgt over het algemeen voor betere en consequentere handhaving. Door de kennisgevingen af te schaffen en te vervangen door een veel eenvoudiger systeem van basisregistraties kan de regelgeving worden vereenvoudigd en de administratieve belasting verminderd.

Wat het draagvlak voor deze optie betreft: zij zal waarschijnlijk positief worden ontvangen door bedrijven en overheden, omdat de nalevingskosten erdoor over het algemeen worden verlaagd, met name de kosten die samenhangen met de huidige gefragmenteerde regeling. De versterking van de privacyrechten zal gunstig worden ontvangen door degenen die bij gegevensbescherming betrokken zijn, met name de gegevensbeschermingsautoriteiten. Wat de derde algemene doelstelling betreft: deze optie draagt bij tot de samenhang en de effectiviteit van de voorschriften inzake gegevensbescherming op het gebied van politiële en justitiële samenwerking in strafzaken door het kaderbesluit in te trekken en te vervangen door een tekst die met het Verdrag van Lissabon verenigbaar is. Daarmee wordt een aantal lacunes aangepakt, met name door het toepassingsgebied uit te breiden tot verwerking in het binnenland.

Beleidsoptie 3 omvat de meeste van de maatregelen van beleidsoptie 2, maar gaat in een aantal opzichten verder. Deze optie heeft daardoor een grote positieve impact: zij bestrijdt de kosten die met juridische fragmentatie gepaard gaan en versterkt de rechten van personen. Bovendien maximaliseert beleidsoptie 3 de effectiviteit en de samenhang van de privacyregels die voorheen in de derde pijler waren opgenomen en zorgt zij in die context voor strengere privacynormen. Enkele van de maatregelen van deze optie leiden echter tot buitensporig hoge nalevingskosten of grote weerstand bij de belanghebbenden. Daarnaast is een gelijktijdige wijziging van alle voormalige derdepijlerinstrumenten zeer complex en politiek controversieel.

Voorkeursoptie:

De voorkeur wordt gegeven aan optie 2, in combinatie met:

– afschaffing van de kennisgevingsplicht, zoals in optie 3, en

– enkele “zachte maatregelen” zoals in optie 1: aanmoediging van privacyversterkende technologieën en certificeringsregelingen en voorlichtingscampagnes.

De kans dat de beleidsdoelstellingen worden bereikt zonder buitensporige nalevingskosten en met een aanzienlijke verlichting van de administratieve lasten, is bij de voorkeursoptie het grootst.

De strengere gegevensbeschermingsregels zullen naar verwachting leiden tot iets hogere nalevingskosten, met name voor voor verwerking verantwoordelijken die met gevoelige gegevens werken. Een robuuste regeling voor gegevensbescherming kan voor de economie van de EU een concurrentievoordeel opleveren, doordat de betere bescherming en de verwachte daling van privacyincidenten en ‑lekken het vertrouwen van de consument kunnen versterken. Als bedrijven aan strenge privacynormen moeten voldoen, kan dat leiden tot duurzame verbeteringen voor het Europese bedrijfsleven, dat een koppositie kan innemen voor privacybevorderende technologieën of privacy by design-oplossingen. Daarmee kan de Europese Unie bedrijven, banen en kapitaal aantrekken.

Voor bedrijven die op de interne markt van de EU opereren, kan de grotere harmonisatie het grensoverschrijdend verwerken van persoonsgegevens eenvoudiger en goedkoper maken. Dit kan voor die bedrijven een aanzienlijke stimulans betekenen om hun activiteiten naar het buitenland uit te breiden, waardoor zij kunnen profiteren van de voordelen van de interne markt. Dat is zowel voor consumenten als voor de hele Europese economie voordelig.

De voorkeursoptie omvat tevens een evenwichtige oplossing voor probleem 3: zij versterkt de rechten van natuurlijke personen, biedt oplossingen voor lacunes en inconsistenties in de gegevensbescherming op het gebied van politiële en justitiële samenwerking in strafzaken, terwijl zij de samenwerking bij de rechtshandhaving vergemakkelijkt en rekening houdt met de specifieke kenmerken van de sector en de operationele behoeften.

8. Toezicht en evaluatie

Het toezicht op en de evaluatie van het effect van de voorkeursoptie zullen worden toegespitst op de volgende aspecten: de wijze waarop de nieuwe instrumenten worden gebruikt, de bevoegdheden en middelen van de nationale gegevensbeschermingsautoriteiten, de tijd en de middelen die de voor de verwerking verantwoordelijken moeten spenderen om aan de voorschriften te voldoen en de ontwikkeling van het vertrouwen dat betrokkenen hebben in de bescherming van hun persoonsgegevens op internet.

[1]               Zie speciale Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union, juni 2011, blz. 23.