31.8.2017   

NL

Publicatieblad van de Europese Unie

C 288/107

Rapporteur:

Jorge PEGADO LIZ

1.1.

Uit strikt technisch-juridisch oogpunt voorziet de voorgestelde verordening op overwegend juiste en adequate wijze in de noodzakelijke aanpassing van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad  (1) en Besluit nr. 1247/2002/EG van het Europees Parlement, de Raad en de Commissie  (2) over de bescherming van persoonsgegevens door de instellingen, organen en instanties van de Unie aan de nieuwe algemene verordening gegevensbescherming (AVG) (3), die vanaf 25 mei 2018 in de hele EU van toepassing zal zijn.

1.2.

Helaas zijn in deze definitieve AVG echter niet alle opmerkingen en aanbevelingen verwerkt die het EESC naar aanleiding van de ontwerpversie ervan had geformuleerd. Door de late goedkeuring en inwerkingtreding ervan neemt, gelet op de snelle technologische ontwikkelingen op dit gebied, bovendien het risico toe dat gegevens onrechtmatig verkregen worden en dat de behandeling en het commerciële gebruik hiervan niet volgens de regels geschieden. Het gevaar is dan ook dat de verordening nog voordat zij van toepassing zal zijn, alweer achterhaald is. Aangezien de nu voorgestelde verordening een aanpassing van die AVG aan de werking van de Europese instellingen is, gelden die bedenkingen mutatis mutandis eveneens voor de inhoud dáárvan, met name wat het ondoorzichtige taalgebruik betreft, dat voor de gemiddelde burger moeilijk te begrijpen is.

1.3.

Verder zou wat er in de EU-instellingen gebeurt als voorbeeld moeten gelden voor de procedures in de lidstaten. Daarom is zorgvuldig taalgebruik in de voorgestelde verordening zo belangrijk.

1.4.

Wat dit betreft hadden zaken als de afstemming van de voorgestelde verordening op het Statuut van de Ambtenaren van de Europese Unie, de aanpak van intimidatie en cyberpesten en de behandeling van klokkenluiders in de EU-instellingen, de toepassing van de verordening op het internet van de dingen, op big data en op het gebruik van zoekmachines om toegang te verkrijgen tot persoonsgegevens, deze te creëren of deze te gebruiken, en de persoonlijke informatie die geplaatst wordt op de sociale media-pagina’s (zoals Facebook, Twitter, Instagram en LinkedIn) van de instellingen, dan ook expliciet behandeld moeten worden.

1.5.

Ook zou de Commissie duidelijk moeten ingaan op de beveiliging van informaticasystemen voor de verwerking van gegevens en op de waarborgen tegen cyberaanvallen en het onrechtmatige gebruik of het lekken van deze gegevens. Daarbij zou zij moeten garanderen dat deze waarborgen technologisch neutraal zijn en er dus niet op moeten vertrouwen dat elke afzonderlijke dienst daar met zijn eigen regels zelf wel voor zorgt. Verder is meer duidelijkheid nodig over de manier waarop gegevensbescherming en de bestrijding van criminaliteit en terrorisme zich tot elkaar verhouden. In dit verband is het niet de bedoeling dat er overdreven bewakingsmaatregelen worden vastgesteld; hoe dan ook dient de uitvoering van maatregelen op dit vlak altijd onder toezicht van de EDPS te staan.

1.6.

Daarnaast had de Commissie moeten omschrijven welke eisen qua vaardigheden, opleiding en betrouwbaarheid gelden voor functionarissen voor gegevensbescherming, voor verwerkingsverantwoordelijken en voor verwerkers die werkzaam zijn bij een EU-instelling. Ook hier is te allen tijde toezicht van de EDPS geboden.

1.7.

Gezien het specifieke karakter van de vergaarde gegevens, die zeker als ze betrekking hebben op de gezondheid van de betrokkenen of als ze van fiscale of sociale aard zijn, rechtstreeks van invloed zijn op hun persoonlijke levenssfeer, zou het gebruik ervan moeten worden beperkt tot wat strikt noodzakelijk is en zou er met de meest geavanceerde internationale en nationale regelingen en de goede praktijken van bepaalde lidstaten voor gezorgd moeten worden dat de bescherming van de betrokkenen optimaal gegarandeerd is bij de verwerking van deze uiterst gevoelige gegevens.

1.8.

In de verordening zou expliciet moeten komen te staan dat de EDPS een groter budget krijgt en wordt voorzien van genoeg personeel, met een hoog kennisniveau en technische knowhow op het gebied van gegevensbescherming.

1.9.

Verder wijst het EESC er eens te meer op dat er ook bij het verzamelen en verwerken van gegevens van rechtspersonen (zoals bedrijven, ngo’s en handelsmaatschappijen) gezorgd moet worden voor de nodige bescherming.

1.10.

Ten slotte stelt het EESC in zijn specifieke opmerkingen voor een aantal bepalingen wijzigingen voor die binnen de EU-instellingen in een betere bescherming van persoonsgegevens zouden resulteren. Daarbij gaat het niet alleen om de EU-ambtenaren, maar ook om de duizenden Europese burgers die contact met de instellingen opnemen. Het EESC dringt er daarom bij de Commissie, maar ook bij het Europees Parlement en de Raad, op aan om deze wijzigingsvoorstellen in acht te nemen.

2.1.

Zoals de Commissie in de Toelichting schrijft, dient de voorgestelde verordening tot intrekking van Verordening (EG) nr. 45/2001  (4) en Besluit nr. 1247/2002/EG over de bescherming van persoonsgegevens door de instellingen, organen en instanties van de Unie en heeft zij twee doelstellingen:

2.2.

Na een lange en moeizame voorbereiding hebben de Raad en het Parlement de algemene verordening betreffende de bescherming van persoonsgegevens (5) aangenomen, die op 25 mei 2018 in de hele EU van toepassing wordt. Deze verordening brengt een aanpassing van diverse wetgevingsinstrumenten (6) met zich mee, en dan met name van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG.

2.3.

Op basis van de resultaten van onderzoeken en raadplegingen van belanghebbenden en van de evaluatie van de toepassing van die verordening in de afgelopen 15 jaar, waarop de Commissie uitgebreid ingaat, komt zij tot de slotsom dat:

2.4.

Gezien de aard en de omvang van de in de eerdere wetgevingsinstrumenten aan te brengen wijzigingen heeft de Commissie conform artikel 98 van Verordening (EU) 2016/679 besloten deze in hun geheel in te trekken en te vervangen door de onderhavige verordening, die aansluit bij de andere genoemde bepalingen die tegelijk met Verordening (EU) 2016/679 in werking zullen treden.

3.1.

Uit strikt technisch-juridisch oogpunt kunnen de volgende zaken in principe op bijval van het EESC rekenen:

3.2.

In deze definitieve AVG (8) zijn echter niet alle opmerkingen en aanbevelingen verwerkt die het EESC naar aanleiding van de ontwerpversie ervan (9) had geformuleerd. Door de late goedkeuring en inwerkingtreding ervan neemt, gelet op de snelle technologische ontwikkelingen op dit gebied, bovendien het risico toe dat gegevens onrechtmatig verkregen worden en dat de behandeling en het commerciële gebruik hiervan niet volgens de regels geschieden. Het gevaar is dan ook dat de verordening nog voordat zij van toepassing zal zijn, alweer achterhaald is. Aangezien de nu voorgestelde verordening een aanpassing van die AVG aan de werking van de Europese instellingen is, gelden die bedenkingen mutatis mutandis eveneens voor de inhoud dáárvan, met name wat het ondoorzichtige taalgebruik betreft, dat voor de gemiddelde burger moeilijk te begrijpen is. Het voorstel voor de verordening had daarom beter tegelijkertijd met het voorstel voor de AVG gepresenteerd en behandeld kunnen worden.

3.3.

Verder zou wat er in de EU-instellingen gebeurt als voorbeeld moeten gelden voor de procedures in de lidstaten. Wat dat betreft zijn er bepaalde onderwerpen die in het voorstel aan de orde hadden moeten komen.

3.4.

Zo is niet duidelijk of de voorgestelde verordening wel goed op het Statuut van de ambtenaren van de Europese Unie (Verordening nr. 31 (EEG) (10)) is afgestemd. Het schort namelijk aan specifieke wettelijke voorschriften die wat aanwerving, loopbaan, duur en eventuele verlengingen van het contract en beoordeling betreft een betere bescherming van de persoonsgegevens van de ambtenaren en de personeelsleden van de instellingen waarborgen.

3.4.1.

In deze of een andere wettekst zouden algemene bepalingen moeten worden opgenomen met regels inzake de medische gegevens van ambtenaren en hun gezinsleden, de bescherming van door ambtenaren gecreëerde of gebruikte gegevens en van genetische gegevens, de behandeling en bescherming van e-mails verstuurd door burgers aan de EU-instellingen dan wel uitgewisseld tussen de ambtenaren van deze instellingen of verstuurd door hen naar derden, alsmede de inhoud hiervan en bezochte websites (11).

3.4.2.

Onverminderd het bepaalde in artikel 68 verdienen ook cyberpesten en klokkenluiden binnen de EU-instellingen speciale aandacht.

3.4.3.

Het EESC vraagt zich verder af in hoeverre de voorgestelde verordening en Verordening (EU) 2016/679 van toepassing zijn op het internet van de dingen, op big data en op het gebruik van zoekmachines om toegang te krijgen tot persoonsgegevens, deze te creëren en te gebruiken, en op persoonlijke informatie die zonder expliciete toestemming van de persoon in kwestie geplaatst wordt op de sociale media-sites (zoals Facebook, Twitter, Instagram en LinkedIn) van de instellingen

3.5.

Ook zou de Commissie, naast de vertrouwelijkheid van de elektronische communicatie waar zij in artikel 34 op ingaat, explicieter moeten zijn over de beveiliging van informaticasystemen voor de verwerking van gegevens en over de waarborgen tegen cyberaanvallen en het onrechtmatige gebruik of het lekken van deze gegevens (12). Daarbij zou zij moeten garanderen dat deze waarborgen technologisch neutraal zijn en er dus niet op moeten vertrouwen dat elke afzonderlijke dienst daar met zijn eigen regels zelf wel voor zorgt. Verder is meer duidelijkheid nodig over de relatie tussen gegevensbescherming en de bestrijding van criminaliteit en terrorisme. In dit verband is het niet de bedoeling dat er overdreven bewakingsmaatregelen worden vastgesteld; de uitvoering van maatregelen op dit vlak dient in ieder geval altijd onder toezicht van de EDPS te staan.

3.6.

Besluiten over het doorzenden van persoonsgegevens binnen de EU-organen zouden niet slechts op het in overweging 16 genoemde verantwoordingsbeginsel mogen worden gebaseerd; de Commissie zou in de voorgestelde verordening een specifieke regel moeten opnemen dat gegevens uitsluitend mogen worden doorgezonden als de EDPS daar na een verzoek van de verwerkingsverantwoordelijke of van de verwerker toestemming voor heeft gegeven.

3.7.

Daarnaast had de Commissie, behoudens het bepaalde in overweging 51 van de preambule en in artikel 44, lid 3, van het voorstel, moeten omschrijven welke eisen qua vaardigheden, opleiding en betrouwbaarheid gelden voor functionarissen voor gegevensbescherming, voor verwerkingsverantwoordelijken en voor verwerkers die werkzaam zijn bij een EU-instelling. Ook hier is te allen tijde toezicht van de EDPS geboden (13). Voor een eventuele schending door hen van hun gedragsregels zouden in de voorgestelde verordening waarlijk afschrikwekkende disciplinaire, civielrechtelijke en strafrechtelijke sancties moeten worden opgenomen, waarbij te allen tijde toezicht van de EDPS is geboden.

3.8.

Wat het beschermingsniveau betreft betekent de voorgestelde verordening een vooruitgang ten opzichte van de momenteel van kracht zijnde Verordening (EG) nr. 45/2001. Gezien het specifieke karakter van de vergaarde gegevens, die zeker als ze betrekking hebben op de gezondheid van de betrokkenen of als ze van fiscale of sociale aard zijn, rechtstreeks van invloed zijn op hun persoonlijke levenssfeer, zou het gebruik ervan moeten worden beperkt tot wat strikt noodzakelijk is en zou er met de meest geavanceerde internationale en nationale regelingen en de goede praktijken van bepaalde lidstaten voor gezorgd moeten worden dat de bescherming van de betrokkenen optimaal gegarandeerd is bij de verwerking van deze uiterst gevoelige gegevens (14).

3.9.

Hoewel Verordening (EU) 2016/679 en de voorgestelde verordening alleen van toepassing zijn op gegevens van natuurlijke personen, wijst het EESC er eens te meer op dat er ook bij het verzamelen en verwerken van gegevens van rechtspersonen (zoals bedrijven, ngo’s en handelsmaatschappijen) voor de nodige bescherming moet worden gezorgd.

4.1.

In het licht van de in het Handvest van grondrechten verankerde grondbeginselen ter bescherming van de persoonlijke levenssfeer en van het evenredigheids- en het voorzorgsbeginsel geeft de tekst aanleiding tot enige twijfels en bedenkingen.

4.3.1.

Aangezien de voorgestelde verordening betrekking heeft op gegevens die binnen de EU-instellingen worden verwerkt, zou expliciet moeten worden gesteld dat voor deze gegevens het beginsel van non-discriminatie geldt.

4.3.2.

Wat artikel 4, lid 1, onder b), betreft: voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden dient de Europese Toezichthouder voor gegevensbescherming toestemming te geven; een hiertoe strekkende bepaling ontbreekt in artikel 58.

4.3.3.

Ten slotte zou er met betrekking tot de overdracht van gegevens tussen de EU-instellingen een expliciete bepaling moeten worden opgenomen die overeenkomt met artikel 7 van Verordening (EG) nr. 45/2001.

4.4.1.

Het is onduidelijk waarom het in lid 2 gestelde niet geldt voor lid 1, onder b) van dit artikel, terwijl de leden c) en e) van artikel 6 wel vallen onder artikel 3 van de AVG.

4.4.2.

Aan lid 1, onder d), zou moeten worden toegevoegd dat voor de toestemming het beginsel van goede trouw dient te gelden.

4.5.1.

Dit artikel zou alleen toegepast mogen worden als de Europese Toezichthouder voor gegevensbescherming daar toestemming voor geeft.

4.5.2.

In dat geval dient de betrokkene hier altijd van op de hoogte te worden gebracht voordat zijn gegevens worden verzameld of op het moment dat een nieuw besluit wordt genomen, en moet hij de mogelijkheid hebben om zijn gegevens te rectificeren of te wissen en de verwerking ervan te beperken, alsook om bezwaar tegen de verwerking ervan te maken.

4.6.1.

De uitzondering op de regel inzake de geldigheid van de toestemming door kinderen jonger dan 16 jaar (tussen 13 en 16 jaar), die op zichzelf al een dwaling is, kan volgens het EESC om internrechtelijke redenen van culturele aard alleen voor de lidstaten gelden (artikel 8 van de AVG), en zou niet van toepassing mogen zijn op de instellingen van de EU, die een leeftijdsgrens van 13 jaar aanhoudt (artikel 8, lid 1).

4.6.2.

Verder is onduidelijk wat er concreet wordt bedoeld met de in artikel 58, lid 1, onder b), genoemde „bijzondere aandacht” die de Europese Toezichthouder voor gegevensbescherming aan op kinderen gerichte activiteiten zou moeten besteden, vooral als het gaat om in artikel 36 behandelde gebruikerslijsten met voor het publiek toegankelijke gegevens.

4.7.1.

In lid 1 zouden ook het lidmaatschap van een partij (niet hetzelfde als politieke opvattingen) en persoonlijke levenssfeer genoemd moeten worden.

4.7.2.

Lid 2, onder b): ook als gegevens worden verwerkt voor de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de betrokkene moet deze altijd vooraf op de hoogte worden gebracht.

4.7.3.

Lid 2, onder d): verwerking mag alleen plaatsvinden als de betrokkene ermee heeft ingestemd.

4.7.4.

Onder e) mag alleen als uitzondering gelden als uit verklaringen van de betrokkene onmiskenbaar blijkt dat deze instemt met de verwerking van de gegevens.

4.9.1.

Wat de in artikel 15, lid 2, genoemde aanvullende informatie betreft: de betrokkene dient er ook van in kennis te worden gesteld of de verwerkingsverantwoordelijke zijn verzoek moet dan wel mag beantwoorden en welke gevolgen het uitblijven van een antwoord zou kunnen hebben.

4.9.2.

Worden gegevens uit open netwerken gehaald, dan moet de betrokkene hiervan op de hoogte worden gesteld indien zijn gegevens onbeveiligd op deze netwerken circuleren en er dus het risico bestaat dat ze worden ingezien en gebruikt door onbevoegde derden.

4.9.3.

Het in artikel 17, lid 1, genoemde uitsluitsel moet zonder beperkingen, binnen een redelijke termijn, snel of onmiddellijk en zonder kosten verkregen worden.

4.9.4.

De betrokkene zou ook verplicht uitsluitsel moeten krijgen over de vraag of zijn persoonsgegevens wel of niet verwerkt worden.

4.9.5.

De in artikel 17, lid 1, genoemde informatie moet begrijpelijk en duidelijk zijn. Dat geldt vooral voor informatie over de gegevens die verwerkt worden of zijn en voor informatie over de herkomst van die gegevens.

4.11.1.

Aan lid 2, onder c) zou moeten worden toegevoegd dat toestemming van de betrokkene alleen mogelijk is als deze duidelijk is voorgelicht over de rechtsgevolgen die een dergelijk besluit voor hem heeft, want alleen in dat geval berust zijn toestemming op kennis van zaken.

4.11.2.

Wat lid 3 betreft: niet de verwerkingsverantwoordelijke maar de Europese Toezichthouder voor gegevensbescherming zou moeten bepalen welke passende maatregelen worden getroffen.

4.12.1.

Dit artikel bevat een te ruime uitleg van de beperkingen die in artikel 23 van de AVG worden gesteld aan de toepassing van de bepalingen inzake de grondrechten van de betrokkene. Een kritische herformulering is daarom aan te bevelen, aan de hand van een zorgvuldige en eventueel restrictieve analyse van de verschillende leden, vooral wat betreft de in artikel 7 van het Handvest van de grondrechten verankerde beperking van het recht op vertrouwelijkheid in elektronischecommunicatienetwerken, die ook in de huidige e-privacyrichtlijn wordt genoemd en waaraan wordt vastgehouden in de ontwerpverordening waarover een ander EESC-advies in de maak is.

4.12.2.

Het EESC is er fel tegen gekant dat de instellingen en organen van de Unie krachtens artikel 25, lid 2, de toepassing van artikelen die de rechten van betrokkenen beschermen kunnen beperken zonder rechtshandelingen die hen daar expliciet toe machtigen. Hetzelfde geldt voor artikel 34.

—

te voorkomen dat onbevoegden toegang hebben tot de apparatuur die wordt gebruikt voor de verwerking van gegevens;

—

te verhinderen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of meenemen;

—

te verhinderen dat onbevoegden gegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen

—

te voorkomen dat geautomatiseerde registratiesystemen door middel van datatransmissieapparatuur door onbevoegden kunnen worden gebruikt;

—

te garanderen dat wordt nagegaan aan welke instanties persoonsgegevens kunnen worden overgedragen;

—

te garanderen dat bevoegde personen alleen toegang hebben tot gegevens voor de inzage waarvan vooraf toestemming is verleend.

4.20.1.

Onverminderd het bovenstaande moeten functionarissen voor gegevensbescherming die geen ambtenaar zijn gezien de aard van hun functie te allen tijde ontslagen kunnen worden. Daarvoor volstaat instemming van de EDPS (lid 8 van dit artikel).

4.20.2.

Hun ambtstermijn dient standaard 5 jaar te bedragen en zou slechts één keer verlengd mogen worden.

4.25.

Het wemelt in het voorstel van de onduidelijke en subjectieve bewoordingen, die beter kunnen worden aangepast of vervangen. Bijvoorbeeld: „zo veel mogelijk”, „indien mogelijk”, „onverwijld”, „hoog risico”, „naar behoren”, „redelijke termijn” en „met name relevant”.