16.10.2010   

NL

Publicatieblad van de Europese Unie

C 280/16

1.

Op 3 december 2008 heeft de Commissie een voorstel goedgekeurd voor een richtlijn van het Europees Parlement en de Raad betreffende afgedankte elektrische en elektronische apparatuur (AEEA) (hierna „het voorstel”) (1). Het voorstel is bedoeld ter herschikking van Richtlijn 2002/96/EG betreffende afgedankte elektrische en elektronische apparatuur (AEEA) die werd goedgekeurd op 27 januari 2003 (hierna „de Richtlijn”) (2) zonder de argumenten of de motivering voor het inzamelen en recyclen van AEEA te wijzigen.

2.

De EDPS is niet geraadpleegd zoals vereist in artikel 28, lid 2, van Verordening (EG) nr. 45/2001 (3). Daarom heeft de EDPS op eigen initiatief het onderhavige advies uitgebracht op basis van artikel 41, lid 2, van dezelfde Verordening. De EDPS beveelt aan een verwijzing op te nemen naar dit advies in de preambule van het voorstel.

3.

De EDPS is zich ervan bewust dat onderhavig advies tot stand komt in een laat stadium van het wetgevingsproces, maar beschouwt het desondanks als gepast en nuttig om dit advies uit te brengen aangezien het voorstel belangrijke problemen inzake gegevensbescherming opwerpt die niet aan bod komen in de tekst. Dit advies is niet bedoeld om het hoofddoel en het hoofdelement van het voorstel te wijzigen, waarvan het „zwaartepunt” (4) blijft liggen op de bescherming van het milieu, maar enkel om een extra dimensie toe te voegen die steeds belangrijker wordt voor onze informatiemaatschappij (5).

4.

De EDPS is zich ook bewust van de beperkte reikwijdte van de herschikkingsprocedure, maar dringt er desalniettemin bij de wetgever op aan om rekening te houden met deze aanbevelingen in overeenstemming met artikel 8 van het interinstitutioneel akkoord betreffende de herschikkingsprocedure (dat in de mogelijkheid voorziet ongewijzigde bepalingen te wijzigen) (6).

5.

Het doel van het voorstel is het bijwerken van de Richtlijn voor wat betreft de verwijdering, het hergebruik en de recycling van AEEA. Technische, juridische en administratieve problemen in de eerste jaren van de tenuitvoerlegging van de richtlijn hebben tot het voorstel geleid, zoals voorzien in artikel 17, lid 5, van de Richtlijn.

6.

Elektrische en elektronische apparatuur (EEA) is een grote productgroep waarin een uiteenlopend gamma aan media is opgenomen waarop persoonlijke gegevens kunnen worden opgeslagen — zoals IT- en telecommunicatieapparatuur (bijv. pc's, laptops, elektronische communicatieterminals) — gekenmerkt in de huidige technisch-economische context door steeds snellere innovatiecycli en, gezien de technologische convergentie, door de beschikbaarheid van apparaten die geschikt zijn voor meerdere gebruiksdoeleinden. De ontwikkelingen op het vlak van elektronische opslagmedia verlopen steeds sneller, voornamelijk wat betreft opslagcapaciteit en afmetingen, wat ertoe leidt dat de marktkrachten de omlooptijd van EEA (met grote hoeveelheden vaak gevoelige persoonsgegevens) evenredig doen versnellen. Het resultaat is niet alleen dat AEEA wordt beschouwd als de „snelst aanzwellende afvalstroom” in de EU (7), maar ook, in het geval van inadequate verwijdering, dat er een duidelijk verhoogd risico is op verlies en verspreiding van persoonsgegevens die zijn opgeslagen op dit type van EEA.

7.

Lange tijd was het beleid van de Europese Unie inzake milieu en duurzame ontwikkeling gericht op de beperking van de verspilling van natuurlijke hulpbronnen en het invoeren van maatregelen om vervuiling te voorkomen.

8.

De verwijdering, het hergebruik en de recycling van AEEA zijn opgenomen binnen dit kader. Deze maatregelen moeten voorkomen dat elektrische en elektronische apparatuur wordt weggegooid met gemengd afval door de producenten te verplichten om verwijdering te voorzien op de manier die door de Richtlijn wordt voorgeschreven.

9.

Van de verschillende maatregelen die door de Richtlijn worden vooropgesteld, moet met name de nadruk worden gelegd op maatregelen gericht op hergebruik (m.a.w. handelingen waardoor AEEA of onderdelen daarvan opnieuw worden gebruikt voor hetzelfde doel als waarvoor zij oorspronkelijk zijn ontworpen, daaronder begrepen verder gebruik van de apparatuur of onderdelen daarvan die bij inzamelpunten, distributeurs, recyclingbedrijven of fabrikanten worden ingeleverd), recycling (m.a.w. de terugwinning in een productieproces van afvalmaterialen voor het oorspronkelijke doel of voor andere doeleinden) en het vinden van andere vormen van nuttige toepassing van AEEA teneinde de hoeveelheid te verwijderen afval te verminderen (zie artikel 1 en artikel 3, leden d en e, van de Richtlijn).

10.

Dergelijke activiteiten, met name hergebruik en recycling van AEEA, voornamelijk IT- en telecommunicatieapparatuur, kunnen meer dan in het verleden het risico vormen dat personen die AEEA inzamelen of de gebruikte of gerecyclede apparaten verkopen of kopen zich bewust zouden worden van de mogelijke persoonsgegevens die op dergelijke apparatuur zijn opgeslagen. Het kan daarbij gaan om gevoelige gegevens of gegevens die betrekking hebben op een groot aantal personen.

11.

Om al deze redenen vindt de EDPS dat alle betrokkenen (gebruikers en producenten van EEA) dringend moeten worden gewezen op de risico's voor persoonsgegevens, voornamelijk in het laatste stadium van de EEA-levenscyclus. In dit stadium bevat EEA, hoewel het op dat moment economisch minder waard is, vaak grote hoeveelheden persoonsgegevens en heeft EEA bijgevolg een hoge „intrinsieke” waarde voor de betrokkene en/of anderen.

12.

De EDPS heeft geen opmerkingen over de algemene doelstelling van het voorstel en ondersteunt ten volle het genomen initiatief dat is bedoeld ter verbetering van de milieuvriendelijke beleidslijnen op het vlak van AEEA.

13.

Het voorstel, evenals de Richtlijn, legt echter uitsluitend de nadruk op de milieurisico's die verbonden zijn aan de verwijdering van AEEA. Het houdt geen rekening met andere extra risico's voor personen en/of organisaties die kunnen voortvloeien uit de activiteiten van verwijdering, hergebruik of recycling van AEEA, in het bijzonder met betrekking tot de kans op ongeoorloofde verwerving, openbaarmaking of verspreiding van persoonsgegevens opgeslagen op AEEA.

14.

Het moet worden opgemerkt dat Richtlijn 95/46/EG (8) van toepassing is op „elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens”, inclusief het „uitwissen of vernietigen” (artikel 2, onder b)). Het verwijderen van EEA kan gegevensverwerkingen inhouden. Om die reden is er een overlap tussen het voorstel en de hierboven vermelde richtlijn en in die zin kunnen regels inzake gegevensbescherming van toepassing zijn op activiteiten die vallen onder het voorstel.

15.

De EDPS wil de aanzienlijke risico's benadrukken voor personen en/of organisaties die optreden als „voor de verwerking verantwoordelijken” (9) wanneer de AEEA, met name IT- en telecommunicatieapparatuur, persoonsgegevens bevat die betrekking hebben op de gebruikers van die apparaten en/of derde partijen op het moment van de verwijdering. De onwettige toegang tot of openbaarmaking van dergelijke persoonsgegevens, die soms bestaan uit bijzondere categorieën van gegevens waaruit zaken kunnen worden afgeleid zoals raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, het lidmaatschap van een vakvereniging of gegevens die de gezondheid of het seksuele leven betreffen (zogeheten „gevoelige gegevens”) (10), kunnen inderdaad de privacy en waardigheid van de personen waarop de informatie betrekking heeft, evenals andere legitieme belangen van die personen/organisaties (bijv. economische belangen), beïnvloeden.

16.

Algemeen beschouwd acht de EDPS het nodig om de nadruk te leggen op het belang van de goedkeuring van geschikte veiligheidsmaatregelen in elk stadium (van begin tot eind) van de verwerking van persoonsgegevens, zoals herhaaldelijk naar voren werd gebracht in andere adviezen (11). Dit geldt a fortiori in de delicate fase waarbij de voor de verwerking verantwoordelijken van plan zijn apparaten te verwijderen die persoonsgegevens bevatten.

17.

Het naleven van beveiligingsmaatregelen is vaak een voorwaarde om het recht op de bescherming van persoonsgegevens doeltreffend te garanderen.

18.

Het zou bijgevolg inconsistent zijn om de verplichting op te leggen om (soms dure) veiligheidsmaatregelen in te voeren voor de gewone verwerkingsprocedures van persoonsgegevens (zoals bepaald in artikel 17 van Richtlijn 95/46/EG, indien van toepassing (12)) en vervolgens eenvoudigweg na te laten om adequate garanties met betrekking tot de verwijdering van AEEA vast te leggen.

19.

Het zou evenzeer inconsistent zijn om belang te hechten aan gegevensbeveiliging in die mate dat het melden van inbreuken betreffende gegevens moest worden ingevoerd via artikel 3 van Richtlijn 2009/136/EG (13) en vervolgens geen garantie of beveiliging te voorzien tijdens het verwijderen van AEEA of bij hergebruik of recycling van AEEA.

20.

De EDPS betreurt dat het voorstel geen rekening houdt met de potentieel schadelijke gevolgen van de verwijdering van AEEA voor de persoonsgegevens die zijn opgeslagen op „gebruikte” apparatuur.

21.

Dit aspect werd ook niet in overweging genomen bij de effectbeoordeling door de Commissie (14) hoewel de ervaring al heeft aangetoond dat het niet nemen van geschikte veiligheidsmaatregelen op het vlak van de verwijdering van AEEA de bescherming van persoonsgegevens in gevaar kan brengen (15). Gezien de complexiteit van de betrokken onderwerpen (bijvoorbeeld de vele legitieme methoden, technologieën en betrokkenen in de afvalcyclus van de AEEA), vindt de EDPS dat het gepast was geweest om een „effectbeoordeling op het gebied van persoonlijke levenssfeer en gegevensbeveiliging” uit te voeren op de processen die betrekking hebben op de verwijdering van AEEA.

22.

Desalniettemin wordt door de EDPS sterk aangeraden om „best beschikbare technieken” op het vlak van privacy, gegevensbescherming en beveiliging op dit vlak te ontwikkelen.

23.

Als verder bewijs werden, tijdens de publieke raadpleging voorafgaand aan de herschikking van de Richtlijn, hier en daar kwesties met betrekking tot de beveiliging en bescherming van persoonsgegevens aangehaald door betrokkenen, met name IT-bedrijven en elektronische communicatiebedrijven (16).

24.

Tot slot moet worden vermeld dat enkele nationale gegevensbeschermingsinstanties richtsnoeren hebben gepubliceerd om de risico's te minimaliseren die het resultaat kunnen zijn van het verzuim om de nodige veiligheidsmaatregelen te nemen, met name bij de verwijdering van materialen die onder de toepassing van de richtlijn vallen (17).

25.

De EDPS herhaalt dat Richtlijn 95/46/EG van toepassing is op het stadium van de verwijdering van AEEA die persoonsgegevens bevat. Verantwoordelijken voor de verwerking — met name zij die gebruikmaken van IT- en communicatieapparaten — zijn derhalve verplicht om te voldoen aan hun veiligheidsverplichtingen om ongeoorloofde openbaarmaking of verspreiding van persoonsgegevens te voorkomen. Om die reden en om niet verantwoordelijk gehouden te worden voor inbreuken op veiligheidsmaatregelen, moeten verantwoordelijken voor de verwerking in de openbare of private sector, in samenwerking met functionarissen voor gegevensbescherming (indien aanwezig), de geschikte beleidsmaatregelen goedkeuren voor de verwijdering van AEEA die persoonsgegevens bevat.

26.

Als de verantwoordelijken voor de verwerking die EEA verwijderen niet beschikken over de vereiste vaardigheden en/of technische knowhow om de persoonsgegevens in kwestie te wissen, kunnen ze die taak toevertrouwen aan gekwalificeerde verwerkers (bijv. ondersteuningscentra, fabrikanten en distributeurs van apparatuur) onder de voorwaarden zoals bepaald in artikel 17, leden 2, 3 en 4, van Richtlijn 95/46/EG. Die verwerkers zullen op hun beurt het uitvoeren van de bewerkingen in kwestie certificeren en/of ze uitvoeren.

27.

Op basis van deze overwegingen komt de EDPS tot de conclusie dat bij de herschikking van de Richtlijn gegevensbeschermingsbeginselen moeten worden toegevoegd aan de bepalingen betreffende de bescherming van het milieu.

28.

De EDPS beveelt daarom de Raad en het Europees Parlement aan om een specifieke bepaling op te nemen in het huidige voorstel waarin wordt gesteld dat de Richtlijn van toepassing is op de verwijdering van AEEA onverminderd Richtlijn 95/46/EG.

29.

Omdat ze zich in een situatie bevinden waarbij ze autonome beslissingen kunnen nemen betreffende de gegevens op de EEA, kunnen de personen die de leiding hebben over de verwijderingsactiviteiten worden beschouwd als „verantwoordelijken voor de verwerking” (18). Bijgevolg moeten ze interne procedures goedkeuren om onnodige verwerkingen te vermijden van eender welke persoonsgegevens die zijn opgeslagen op de AEEA, namelijk andere verwerkingen dan de strikt noodzakelijke om te controleren of de opgeslagen gegevens daadwerkelijk werden gewist.

30.

Bovendien moeten ze ervoor zorgen dat onbevoegde personen geen kennis krijgen van gegevens die zijn opgeslagen op de EEA of dat ze die gegevens niet kunnen verwerken. Vooral wanneer opslagmedia worden gerecycled of hergebruikt, en dus opnieuw op de markt komen, bestaat een verhoogd risico op ongeoorloofde openbaarmaking of verspreiding van persoonsgegevens, evenals een behoefte om onbevoegde toegang tot persoonsgegevens te voorkomen.

31.

De EDPS geeft de Raad en het Europees Parlement daarom de raad om een specifieke bepaling op te nemen in het huidige voorstel om het op de markt brengen van gebruikte apparaten te verbieden als die apparaten niet eerst werden onderworpen aan passende veiligheidsmaatregelen in overeenstemming met de technische normen van de huidige stand der techniek (bijvoorbeeld multi-pass overwriting), met als doel alle mogelijke persoonsgegevens op de apparaten te wissen.

32.

Het toekomstige wettelijke kader over elektronisch afval zou niet enkel een specifieke bepaling moeten bevatten met betrekking tot het bredere „beginsel van ecologisch ontwerp” van de apparatuur (zie artikel 4 van het voorstel inzake „Productontwerp”) maar ook — zoals vroeger verklaard in andere adviezen van de EDPS (19) — een bepaling over het beginsel „privacy by design” (20) of, nauwkeuriger op dit gebied, „security by design” (21). Voor zover mogelijk moeten privacy en gegevensbescherming standaard worden geïntegreerd in het ontwerp van elektrische en elektronische apparatuur zodat gebruikers — op een eenvoudige manier en gratis — in staat zijn persoonsgegevens te wissen die aanwezig kunnen zijn op apparaten wanneer ze worden verwijderd (22).

33.

Die aanpak wordt duidelijk ondersteund door artikel 3, lid 3, onder c), van Richtlijn 1999/5/EG (23) betreffende het ontwerpen van radioapparatuur en telecommunicatie-eindapparatuur en door artikel 14, lid 3, van Richtlijn 2002/58/EG (24).

34.

Daarom moeten producenten garanties „inbouwen” op het vlak van privacy en veiligheid aan de hand van technologische oplossingen (25). In dit kader moeten initiatieven worden gestimuleerd en ondersteund die zijn gericht op het adviseren van de betrokkenen over de behoeften om persoonsgegevens te wissen voor de verwijdering van AEEA (inclusief de producenten die gratis software ter beschikking stellen om dat te doen) (26).

35.

Gezien het bovenstaande beveelt de EDPS aan dat gegevensbeschermingsinstanties, met name via de Groep gegevensbescherming artikel 29, en de EDPS nauw worden betrokken bij initiatieven op het vlak van de verwijdering van AEEA door middel van raadpleging in een voldoende vroege fase alvorens relevante maatregelen worden ontwikkeld.

36.

Overwegende de context waarin persoonsgegevens worden verwerkt, raadt de EDPS aan dat in het voorstel specifieke bepalingen worden opgenomen die:

37.

De EDPS raadt derhalve ten stelligste aan dat het voorstel als volgt wordt gewijzigd, in overeenstemming met Richtlijn 95/46/EG:

—   Considerans (11):

38.

Bovendien acht de EDPS het passend dat de volgende amendementen in overweging zouden worden genomen:

—   Artikel 4, lid 2:

—   Artikel 8, lid 7:

—   Artikel 14, lid 6: