Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52017AE0689

Advies van het Europees Economisch en Sociaal Comité over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (COM(2017) 8 final — 2017/0002 (COD))

PB C 288 van 31.8.2017, p. 107–114 (BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

31.8.2017   

NL

Publicatieblad van de Europese Unie

C 288/107


Advies van het Europees Economisch en Sociaal Comité over het voorstel voor een verordening van het Europees Parlement en de Raad betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG

(COM(2017) 8 final — 2017/0002 (COD))

(2017/C 288/15)

Rapporteur:

Jorge PEGADO LIZ

Raadpleging

Europese Commissie, 26.4.2017

Rechtsgrondslag

Artikel 16, lid 2, VWEU

 

 

Bevoegde afdeling:

Vervoer, Energie, Infrastructuur en Informatiemaatschappij

Goedkeuring door de afdeling

16.5.2017

Goedkeuring door de voltallige vergadering

31.5.2017

Zitting nr.

526

Stemuitslag

(voor/tegen/onthoudingen)

161/0/2

1.   Conclusies en aanbevelingen

1.1.

Uit strikt technisch-juridisch oogpunt voorziet de voorgestelde verordening op overwegend juiste en adequate wijze in de noodzakelijke aanpassing van Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad  (1) en Besluit nr. 1247/2002/EG van het Europees Parlement, de Raad en de Commissie  (2) over de bescherming van persoonsgegevens door de instellingen, organen en instanties van de Unie aan de nieuwe algemene verordening gegevensbescherming (AVG) (3), die vanaf 25 mei 2018 in de hele EU van toepassing zal zijn.

1.2.

Helaas zijn in deze definitieve AVG echter niet alle opmerkingen en aanbevelingen verwerkt die het EESC naar aanleiding van de ontwerpversie ervan had geformuleerd. Door de late goedkeuring en inwerkingtreding ervan neemt, gelet op de snelle technologische ontwikkelingen op dit gebied, bovendien het risico toe dat gegevens onrechtmatig verkregen worden en dat de behandeling en het commerciële gebruik hiervan niet volgens de regels geschieden. Het gevaar is dan ook dat de verordening nog voordat zij van toepassing zal zijn, alweer achterhaald is. Aangezien de nu voorgestelde verordening een aanpassing van die AVG aan de werking van de Europese instellingen is, gelden die bedenkingen mutatis mutandis eveneens voor de inhoud dáárvan, met name wat het ondoorzichtige taalgebruik betreft, dat voor de gemiddelde burger moeilijk te begrijpen is.

1.3.

Verder zou wat er in de EU-instellingen gebeurt als voorbeeld moeten gelden voor de procedures in de lidstaten. Daarom is zorgvuldig taalgebruik in de voorgestelde verordening zo belangrijk.

1.4.

Wat dit betreft hadden zaken als de afstemming van de voorgestelde verordening op het Statuut van de Ambtenaren van de Europese Unie, de aanpak van intimidatie en cyberpesten en de behandeling van klokkenluiders in de EU-instellingen, de toepassing van de verordening op het internet van de dingen, op big data en op het gebruik van zoekmachines om toegang te verkrijgen tot persoonsgegevens, deze te creëren of deze te gebruiken, en de persoonlijke informatie die geplaatst wordt op de sociale media-pagina’s (zoals Facebook, Twitter, Instagram en LinkedIn) van de instellingen, dan ook expliciet behandeld moeten worden.

1.5.

Ook zou de Commissie duidelijk moeten ingaan op de beveiliging van informaticasystemen voor de verwerking van gegevens en op de waarborgen tegen cyberaanvallen en het onrechtmatige gebruik of het lekken van deze gegevens. Daarbij zou zij moeten garanderen dat deze waarborgen technologisch neutraal zijn en er dus niet op moeten vertrouwen dat elke afzonderlijke dienst daar met zijn eigen regels zelf wel voor zorgt. Verder is meer duidelijkheid nodig over de manier waarop gegevensbescherming en de bestrijding van criminaliteit en terrorisme zich tot elkaar verhouden. In dit verband is het niet de bedoeling dat er overdreven bewakingsmaatregelen worden vastgesteld; hoe dan ook dient de uitvoering van maatregelen op dit vlak altijd onder toezicht van de EDPS te staan.

1.6.

Daarnaast had de Commissie moeten omschrijven welke eisen qua vaardigheden, opleiding en betrouwbaarheid gelden voor functionarissen voor gegevensbescherming, voor verwerkingsverantwoordelijken en voor verwerkers die werkzaam zijn bij een EU-instelling. Ook hier is te allen tijde toezicht van de EDPS geboden.

1.7.

Gezien het specifieke karakter van de vergaarde gegevens, die zeker als ze betrekking hebben op de gezondheid van de betrokkenen of als ze van fiscale of sociale aard zijn, rechtstreeks van invloed zijn op hun persoonlijke levenssfeer, zou het gebruik ervan moeten worden beperkt tot wat strikt noodzakelijk is en zou er met de meest geavanceerde internationale en nationale regelingen en de goede praktijken van bepaalde lidstaten voor gezorgd moeten worden dat de bescherming van de betrokkenen optimaal gegarandeerd is bij de verwerking van deze uiterst gevoelige gegevens.

1.8.

In de verordening zou expliciet moeten komen te staan dat de EDPS een groter budget krijgt en wordt voorzien van genoeg personeel, met een hoog kennisniveau en technische knowhow op het gebied van gegevensbescherming.

1.9.

Verder wijst het EESC er eens te meer op dat er ook bij het verzamelen en verwerken van gegevens van rechtspersonen (zoals bedrijven, ngo’s en handelsmaatschappijen) gezorgd moet worden voor de nodige bescherming.

1.10.

Ten slotte stelt het EESC in zijn specifieke opmerkingen voor een aantal bepalingen wijzigingen voor die binnen de EU-instellingen in een betere bescherming van persoonsgegevens zouden resulteren. Daarbij gaat het niet alleen om de EU-ambtenaren, maar ook om de duizenden Europese burgers die contact met de instellingen opnemen. Het EESC dringt er daarom bij de Commissie, maar ook bij het Europees Parlement en de Raad, op aan om deze wijzigingsvoorstellen in acht te nemen.

2.   Motivering en doel van het voorstel

2.1.

Zoals de Commissie in de Toelichting schrijft, dient de voorgestelde verordening tot intrekking van Verordening (EG) nr. 45/2001  (4) en Besluit nr. 1247/2002/EG over de bescherming van persoonsgegevens door de instellingen, organen en instanties van de Unie en heeft zij twee doelstellingen:

het fundamentele recht op gegevensbescherming waarborgen;

het vrije verkeer van persoonsgegevens binnen de EU waarborgen.

2.2.

Na een lange en moeizame voorbereiding hebben de Raad en het Parlement de algemene verordening betreffende de bescherming van persoonsgegevens (5) aangenomen, die op 25 mei 2018 in de hele EU van toepassing wordt. Deze verordening brengt een aanpassing van diverse wetgevingsinstrumenten (6) met zich mee, en dan met name van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG.

2.3.

Op basis van de resultaten van onderzoeken en raadplegingen van belanghebbenden en van de evaluatie van de toepassing van die verordening in de afgelopen 15 jaar, waarop de Commissie uitgebreid ingaat, komt zij tot de slotsom dat:

Verordening (EG) nr. 45/2001 beter zou kunnen worden uitgevoerd als de Europese Toezichthouder voor gegevensbescherming meer sancties zou opleggen;

de voorschriften voor gegevensbescherming doeltreffender zijn als de Toezichthouder vaker gebruik zou maken van zijn toezichtsbevoegdheid;

de regelingen voor kennisgevingen en voorafgaande controles moeten worden vereenvoudigd om de efficiency te vergroten en de administratieve lastendruk te verminderen;

de verwerkingsverantwoordelijken een aanpak op basis van risicobeheersing zouden moeten volgen en voorafgaand aan de verwerking van gegevens de risico’s daarvan zouden moeten beoordelen; daardoor zouden de vereisten inzake de bewaring en beveiliging van gegevens beter kunnen worden nageleefd;

de voorschriften over de telecommunicatiesector verouderd zijn en dat dit hoofdstuk moet worden aangepast aan de e-privacyrichtlijn;

enkele belangrijke definities in de verordening moeten worden verduidelijkt, zoals de aanwijzing van verwerkingsverantwoordelijken in de instellingen, organen en instanties van de Unie en de definitie van ontvangers; de geheimhoudingsplicht moet worden uitgebreid tot externe verwerkers.

2.4.

Gezien de aard en de omvang van de in de eerdere wetgevingsinstrumenten aan te brengen wijzigingen heeft de Commissie conform artikel 98 van Verordening (EU) 2016/679 besloten deze in hun geheel in te trekken en te vervangen door de onderhavige verordening, die aansluit bij de andere genoemde bepalingen die tegelijk met Verordening (EU) 2016/679 in werking zullen treden.

3.   Algemene opmerkingen

3.1.

Uit strikt technisch-juridisch oogpunt kunnen de volgende zaken in principe op bijval van het EESC rekenen:

de voorgestelde verordening is nodig en komt gelegen;

het wetsinstrument — een verordening — dat is gekozen;

de keuze om de bestaande instrumenten in hun geheel in te trekken;

de rechtsgrond voor de goedkeuring van de verordening;

de inachtneming van de criteria van evenredigheid, subsidiariteit en verantwoording (accountability);

de duidelijkheid en de onderlinge structuur van de artikelen;

de betere definitie van bepaalde begrippen, zoals „geldige toestemming”;

de samenhang met aanverwante wetsinstrumenten, met name Verordening (EU) 2016/679, het voorstel voor een verordening (COM(2017) 10 final) en de mededeling van de Commissie „Bouwen aan een Europese data-economie” (7);

de keuze om, voor het eerst, expliciet boetes op te nemen voor eventuele gevallen van niet-naleving of schendingen;

de verruiming van de bevoegdheden van de EDPS;

het niet opnemen van deze ontwerpverordening in het Refit-programma;

de moeite die de Commissie zich getroost om de ontwerpverordening te laten aansluiten op andere grondrechten, zoals vooral de rechten die zijn verankerd in het Handvest van de grondrechten van de Europese Unie: vrijheid van meningsuiting (artikel 11), bescherming van intellectuele eigendom (artikel 17, lid 2), verbod op discriminatie op grond van geslacht, ras of etnische afkomst, godsdienst of overtuiging, handicap, leeftijd of seksuele geaardheid (artikel 21), rechten van het kind (artikel 24), hoog niveau van bescherming van de menselijke gezondheid (artikel 35), inzage in documenten (artikel 42) en een doeltreffende voorziening in rechte en op een onpartijdig gerecht (artikel 47).

3.2.

In deze definitieve AVG (8) zijn echter niet alle opmerkingen en aanbevelingen verwerkt die het EESC naar aanleiding van de ontwerpversie ervan (9) had geformuleerd. Door de late goedkeuring en inwerkingtreding ervan neemt, gelet op de snelle technologische ontwikkelingen op dit gebied, bovendien het risico toe dat gegevens onrechtmatig verkregen worden en dat de behandeling en het commerciële gebruik hiervan niet volgens de regels geschieden. Het gevaar is dan ook dat de verordening nog voordat zij van toepassing zal zijn, alweer achterhaald is. Aangezien de nu voorgestelde verordening een aanpassing van die AVG aan de werking van de Europese instellingen is, gelden die bedenkingen mutatis mutandis eveneens voor de inhoud dáárvan, met name wat het ondoorzichtige taalgebruik betreft, dat voor de gemiddelde burger moeilijk te begrijpen is. Het voorstel voor de verordening had daarom beter tegelijkertijd met het voorstel voor de AVG gepresenteerd en behandeld kunnen worden.

3.3.

Verder zou wat er in de EU-instellingen gebeurt als voorbeeld moeten gelden voor de procedures in de lidstaten. Wat dat betreft zijn er bepaalde onderwerpen die in het voorstel aan de orde hadden moeten komen.

3.4.

Zo is niet duidelijk of de voorgestelde verordening wel goed op het Statuut van de ambtenaren van de Europese Unie (Verordening nr. 31 (EEG) (10)) is afgestemd. Het schort namelijk aan specifieke wettelijke voorschriften die wat aanwerving, loopbaan, duur en eventuele verlengingen van het contract en beoordeling betreft een betere bescherming van de persoonsgegevens van de ambtenaren en de personeelsleden van de instellingen waarborgen.

3.4.1.

In deze of een andere wettekst zouden algemene bepalingen moeten worden opgenomen met regels inzake de medische gegevens van ambtenaren en hun gezinsleden, de bescherming van door ambtenaren gecreëerde of gebruikte gegevens en van genetische gegevens, de behandeling en bescherming van e-mails verstuurd door burgers aan de EU-instellingen dan wel uitgewisseld tussen de ambtenaren van deze instellingen of verstuurd door hen naar derden, alsmede de inhoud hiervan en bezochte websites (11).

3.4.2.

Onverminderd het bepaalde in artikel 68 verdienen ook cyberpesten en klokkenluiden binnen de EU-instellingen speciale aandacht.

3.4.3.

Het EESC vraagt zich verder af in hoeverre de voorgestelde verordening en Verordening (EU) 2016/679 van toepassing zijn op het internet van de dingen, op big data en op het gebruik van zoekmachines om toegang te krijgen tot persoonsgegevens, deze te creëren en te gebruiken, en op persoonlijke informatie die zonder expliciete toestemming van de persoon in kwestie geplaatst wordt op de sociale media-sites (zoals Facebook, Twitter, Instagram en LinkedIn) van de instellingen

3.5.

Ook zou de Commissie, naast de vertrouwelijkheid van de elektronische communicatie waar zij in artikel 34 op ingaat, explicieter moeten zijn over de beveiliging van informaticasystemen voor de verwerking van gegevens en over de waarborgen tegen cyberaanvallen en het onrechtmatige gebruik of het lekken van deze gegevens (12). Daarbij zou zij moeten garanderen dat deze waarborgen technologisch neutraal zijn en er dus niet op moeten vertrouwen dat elke afzonderlijke dienst daar met zijn eigen regels zelf wel voor zorgt. Verder is meer duidelijkheid nodig over de relatie tussen gegevensbescherming en de bestrijding van criminaliteit en terrorisme. In dit verband is het niet de bedoeling dat er overdreven bewakingsmaatregelen worden vastgesteld; de uitvoering van maatregelen op dit vlak dient in ieder geval altijd onder toezicht van de EDPS te staan.

3.6.

Besluiten over het doorzenden van persoonsgegevens binnen de EU-organen zouden niet slechts op het in overweging 16 genoemde verantwoordingsbeginsel mogen worden gebaseerd; de Commissie zou in de voorgestelde verordening een specifieke regel moeten opnemen dat gegevens uitsluitend mogen worden doorgezonden als de EDPS daar na een verzoek van de verwerkingsverantwoordelijke of van de verwerker toestemming voor heeft gegeven.

3.7.

Daarnaast had de Commissie, behoudens het bepaalde in overweging 51 van de preambule en in artikel 44, lid 3, van het voorstel, moeten omschrijven welke eisen qua vaardigheden, opleiding en betrouwbaarheid gelden voor functionarissen voor gegevensbescherming, voor verwerkingsverantwoordelijken en voor verwerkers die werkzaam zijn bij een EU-instelling. Ook hier is te allen tijde toezicht van de EDPS geboden (13). Voor een eventuele schending door hen van hun gedragsregels zouden in de voorgestelde verordening waarlijk afschrikwekkende disciplinaire, civielrechtelijke en strafrechtelijke sancties moeten worden opgenomen, waarbij te allen tijde toezicht van de EDPS is geboden.

3.8.

Wat het beschermingsniveau betreft betekent de voorgestelde verordening een vooruitgang ten opzichte van de momenteel van kracht zijnde Verordening (EG) nr. 45/2001. Gezien het specifieke karakter van de vergaarde gegevens, die zeker als ze betrekking hebben op de gezondheid van de betrokkenen of als ze van fiscale of sociale aard zijn, rechtstreeks van invloed zijn op hun persoonlijke levenssfeer, zou het gebruik ervan moeten worden beperkt tot wat strikt noodzakelijk is en zou er met de meest geavanceerde internationale en nationale regelingen en de goede praktijken van bepaalde lidstaten voor gezorgd moeten worden dat de bescherming van de betrokkenen optimaal gegarandeerd is bij de verwerking van deze uiterst gevoelige gegevens (14).

3.9.

Hoewel Verordening (EU) 2016/679 en de voorgestelde verordening alleen van toepassing zijn op gegevens van natuurlijke personen, wijst het EESC er eens te meer op dat er ook bij het verzamelen en verwerken van gegevens van rechtspersonen (zoals bedrijven, ngo’s en handelsmaatschappijen) voor de nodige bescherming moet worden gezorgd.

4.   Bijzondere opmerkingen

4.1.

In het licht van de in het Handvest van grondrechten verankerde grondbeginselen ter bescherming van de persoonlijke levenssfeer en van het evenredigheids- en het voorzorgsbeginsel geeft de tekst aanleiding tot enige twijfels en bedenkingen.

4.2.   Artikel 3

De instellingen en organen van de Unie worden in lid 2, onder a), omschreven als de instellingen, organen en instanties van de Unie die zijn opgericht bij of op grond van het Verdrag betreffende de Europese Unie, het VWEU of het Euratom-Verdrag. De vraag is of deze definitie ook de werkgroepen, adviesraden, comités, platforms, ad-hocgroepen en internationale IT-netwerken omvat die niet onder de instellingen vallen, maar waarvan deze wel deel uitmaken.

4.3.   Artikel 4

4.3.1.

Aangezien de voorgestelde verordening betrekking heeft op gegevens die binnen de EU-instellingen worden verwerkt, zou expliciet moeten worden gesteld dat voor deze gegevens het beginsel van non-discriminatie geldt.

4.3.2.

Wat artikel 4, lid 1, onder b), betreft: voor de verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden dient de Europese Toezichthouder voor gegevensbescherming toestemming te geven; een hiertoe strekkende bepaling ontbreekt in artikel 58.

4.3.3.

Ten slotte zou er met betrekking tot de overdracht van gegevens tussen de EU-instellingen een expliciete bepaling moeten worden opgenomen die overeenkomt met artikel 7 van Verordening (EG) nr. 45/2001.

4.4.   Artikel 5

4.4.1.

Het is onduidelijk waarom het in lid 2 gestelde niet geldt voor lid 1, onder b) van dit artikel, terwijl de leden c) en e) van artikel 6 wel vallen onder artikel 3 van de AVG.

4.4.2.

Aan lid 1, onder d), zou moeten worden toegevoegd dat voor de toestemming het beginsel van goede trouw dient te gelden.

4.5.   Artikel 6

4.5.1.

Dit artikel zou alleen toegepast mogen worden als de Europese Toezichthouder voor gegevensbescherming daar toestemming voor geeft.

4.5.2.

In dat geval dient de betrokkene hier altijd van op de hoogte te worden gebracht voordat zijn gegevens worden verzameld of op het moment dat een nieuw besluit wordt genomen, en moet hij de mogelijkheid hebben om zijn gegevens te rectificeren of te wissen en de verwerking ervan te beperken, alsook om bezwaar tegen de verwerking ervan te maken.

4.6.   Artikel 8

4.6.1.

De uitzondering op de regel inzake de geldigheid van de toestemming door kinderen jonger dan 16 jaar (tussen 13 en 16 jaar), die op zichzelf al een dwaling is, kan volgens het EESC om internrechtelijke redenen van culturele aard alleen voor de lidstaten gelden (artikel 8 van de AVG), en zou niet van toepassing mogen zijn op de instellingen van de EU, die een leeftijdsgrens van 13 jaar aanhoudt (artikel 8, lid 1).

4.6.2.

Verder is onduidelijk wat er concreet wordt bedoeld met de in artikel 58, lid 1, onder b), genoemde „bijzondere aandacht” die de Europese Toezichthouder voor gegevensbescherming aan op kinderen gerichte activiteiten zou moeten besteden, vooral als het gaat om in artikel 36 behandelde gebruikerslijsten met voor het publiek toegankelijke gegevens.

4.7.   Artikel 10

4.7.1.

In lid 1 zouden ook het lidmaatschap van een partij (niet hetzelfde als politieke opvattingen) en persoonlijke levenssfeer genoemd moeten worden.

4.7.2.

Lid 2, onder b): ook als gegevens worden verwerkt voor de uitvoering van verplichtingen en de uitoefening van specifieke rechten van de betrokkene moet deze altijd vooraf op de hoogte worden gebracht.

4.7.3.

Lid 2, onder d): verwerking mag alleen plaatsvinden als de betrokkene ermee heeft ingestemd.

4.7.4.

Onder e) mag alleen als uitzondering gelden als uit verklaringen van de betrokkene onmiskenbaar blijkt dat deze instemt met de verwerking van de gegevens.

4.8.   Artikel 14

Omdat de instellingen van de EU geen vergoeding mogen verlangen van de administratieve kosten voor de verstrekking van informatie, zou de weigering om een verzoek te beantwoorden alleen een laatste redmiddel mogen zijn.

4.9.   Artikelen 15, 16 en 17

4.9.1.

Wat de in artikel 15, lid 2, genoemde aanvullende informatie betreft: de betrokkene dient er ook van in kennis te worden gesteld of de verwerkingsverantwoordelijke zijn verzoek moet dan wel mag beantwoorden en welke gevolgen het uitblijven van een antwoord zou kunnen hebben.

4.9.2.

Worden gegevens uit open netwerken gehaald, dan moet de betrokkene hiervan op de hoogte worden gesteld indien zijn gegevens onbeveiligd op deze netwerken circuleren en er dus het risico bestaat dat ze worden ingezien en gebruikt door onbevoegde derden.

4.9.3.

Het in artikel 17, lid 1, genoemde uitsluitsel moet zonder beperkingen, binnen een redelijke termijn, snel of onmiddellijk en zonder kosten verkregen worden.

4.9.4.

De betrokkene zou ook verplicht uitsluitsel moeten krijgen over de vraag of zijn persoonsgegevens wel of niet verwerkt worden.

4.9.5.

De in artikel 17, lid 1, genoemde informatie moet begrijpelijk en duidelijk zijn. Dat geldt vooral voor informatie over de gegevens die verwerkt worden of zijn en voor informatie over de herkomst van die gegevens.

4.10.   Artikel 21

Het feit dat bepalingen die identiek zijn aan het gestelde in de leden 2 en 3 van artikel 21 van de AVG niet gelden voor de voorgestelde verordening betekent volgens het EESC dat persoonsgegevens nooit ten behoeve van direct marketing kunnen worden verwerkt, wat een goede zaak is. Maar omdat het EESC niet zeker weet of deze interpretatie juist is, zou een en ander expliciet geformuleerd moeten worden in dit artikel.

4.11.   Artikel 24

4.11.1.

Aan lid 2, onder c) zou moeten worden toegevoegd dat toestemming van de betrokkene alleen mogelijk is als deze duidelijk is voorgelicht over de rechtsgevolgen die een dergelijk besluit voor hem heeft, want alleen in dat geval berust zijn toestemming op kennis van zaken.

4.11.2.

Wat lid 3 betreft: niet de verwerkingsverantwoordelijke maar de Europese Toezichthouder voor gegevensbescherming zou moeten bepalen welke passende maatregelen worden getroffen.

4.12.   Artikel 25

4.12.1.

Dit artikel bevat een te ruime uitleg van de beperkingen die in artikel 23 van de AVG worden gesteld aan de toepassing van de bepalingen inzake de grondrechten van de betrokkene. Een kritische herformulering is daarom aan te bevelen, aan de hand van een zorgvuldige en eventueel restrictieve analyse van de verschillende leden, vooral wat betreft de in artikel 7 van het Handvest van de grondrechten verankerde beperking van het recht op vertrouwelijkheid in elektronischecommunicatienetwerken, die ook in de huidige e-privacyrichtlijn wordt genoemd en waaraan wordt vastgehouden in de ontwerpverordening waarover een ander EESC-advies in de maak is.

4.12.2.

Het EESC is er fel tegen gekant dat de instellingen en organen van de Unie krachtens artikel 25, lid 2, de toepassing van artikelen die de rechten van betrokkenen beschermen kunnen beperken zonder rechtshandelingen die hen daar expliciet toe machtigen. Hetzelfde geldt voor artikel 34.

4.13.   Artikel 26

Voor de duidelijkheid moet erop worden gewezen dat verwerkingsverantwoordelijken, verwerkers en personen die bij de uitoefening van hun taken inzicht hebben in de verwerkte persoonsgegevens ook na hun ambtstermijn gedurende een redelijke termijn gebonden blijven aan het beroepsgeheim.

4.14.   Artikelen 29 en 39

Hoewel het bepaalde in artikel 24, lid 3, en in artikel 40 en verder (gedragscodes) van de AVG weliswaar terecht niet is overgenomen in de ontwerpverordening, zoals de Commissie duidelijk aangeeft in het deel van de Toelichting dat betrekking heeft op artikel 26, is het niet juist dat in artikel 29, lid 5, en artikel 39, lid 7, van de ontwerpverordening de aansluiting van verwerkers die geen instelling of orgaan van de Unie zijn bij een gedragscode als bedoeld in artikel 40 van de AVG, als voldoende garantie wordt beschouwd voor de uitoefening van hun taken.

4.15.   Artikel 31

In lid 5 van artikel 31 is slechts sprake van een mogelijkheid om registers van verwerkingsactiviteiten in een centraal en openbaar toegankelijk register onder te brengen. Dat kan beter worden veranderd in een verplichting.

4.16.   Artikel 33

De verwerkingsverantwoordelijke en de verwerker zouden ook toezicht moeten houden op gegevensdragers, de opname van gegevens in lijsten, het gebruik van gegevens en de doorzending van gegevens, waarbij ze dienen:

te voorkomen dat onbevoegden toegang hebben tot de apparatuur die wordt gebruikt voor de verwerking van gegevens;

te verhinderen dat onbevoegden de gegevensdragers lezen, kopiëren, wijzigen of meenemen;

te verhinderen dat onbevoegden gegevens invoeren of opgeslagen persoonsgegevens inzien, wijzigen of verwijderen

te voorkomen dat geautomatiseerde registratiesystemen door middel van datatransmissieapparatuur door onbevoegden kunnen worden gebruikt;

te garanderen dat wordt nagegaan aan welke instanties persoonsgegevens kunnen worden overgedragen;

te garanderen dat bevoegde personen alleen toegang hebben tot gegevens voor de inzage waarvan vooraf toestemming is verleend.

4.17.   Artikel 34

Het EESC zou graag zien dat dit artikel in overeenstemming wordt gebracht met de bepalingen inzake het voorstel voor een e-privacyverordening en dat de instellingen en organen van de EU wat de vertrouwelijkheid van elektronische communicatie betreft onder het toezicht van de EDPS vallen.

4.18.   Artikel 42

In lid 1 zou het gebruik van het woord „na” de indruk kunnen wekken dat de raadpleging pas hoeft plaats te vinden als de rechtshandeling eenmaal is goedgekeurd en dat de EDPS niet meer, zoals nu gebeurt, daaraan voorafgaand hoeft te worden geraadpleegd.

4.19.   Artikel 44

In beginsel verdient het de voorkeur dat alleen ambtenaren worden aangewezen als functionarissen voor gegevensbescherming. Mocht dat bij wijze van uitzondering niet mogelijk blijken, dan moeten deze functionarissen worden aangeworven door middel van een openbare aanbesteding en onder het toezicht van de EDPS vallen.

4.20.   Artikel 45

4.20.1.

Onverminderd het bovenstaande moeten functionarissen voor gegevensbescherming die geen ambtenaar zijn gezien de aard van hun functie te allen tijde ontslagen kunnen worden. Daarvoor volstaat instemming van de EDPS (lid 8 van dit artikel).

4.20.2.

Hun ambtstermijn dient standaard 5 jaar te bedragen en zou slechts één keer verlengd mogen worden.

4.21.   Artikel 56

Gezien recente en welbekende controverses over hoge ambtenaren van de instellingen zou het raadzaam zijn om vast te leggen welke functies, met name in het bedrijfsleven, de Europese Toezichthouder voor gegevensbescherming na zijn ambtstermijn gedurende een redelijke termijn niet mag aanvaarden.

4.22.   Artikel 59

De in sommige talen, met name het Engels, in lid 5 gebruikte term „actions” is te beperkt en zou moeten worden vervangen door „proceedings” (in de Portugese versie is dit begrip correct vertaald).

4.23.   Artikel 63

Gelet op het delicate onderwerp van de voorgestelde verordening zou het in lid 3 genoemde principe van stilzwijgende afwijzing moeten worden omgedraaid: indien er op klachten geen duidelijk antwoord komt van de Europese Toezichthouder voor gegevensbescherming, gelden ze als aangenomen.

4.24.   Artikel 65

Conform hetgeen het EESC al eerder schreef in zijn advies over de ontwerpversie van Verordening (EU) 2016/679 zou de voorgestelde verordening in aanvulling op artikel 67 moeten voorzien in de mogelijkheid van een groepsvordering tegen een inbreuk in verband met persoonsgegevens, dus zonder dat daarvoor een individuele actie nodig is. In het algemeen treffen dergelijke inbreuken immers niet slechts één persoon, maar een — soms onduidelijk — aantal personen.

4.25.

Het wemelt in het voorstel van de onduidelijke en subjectieve bewoordingen, die beter kunnen worden aangepast of vervangen. Bijvoorbeeld: „zo veel mogelijk”, „indien mogelijk”, „onverwijld”, „hoog risico”, „naar behoren”, „redelijke termijn” en „met name relevant”.

Brussel, 31 mei 2017.

De voorzitter van het Europees Economisch en Sociaal Comité

Georges DASSIS


(1)  PB L 8 van 12.1.2001, blz. 1.

(2)  PB L 183 van 12.7.2002, blz. 1.

(3)  Verordening (EU) 2016/679 van het Europees Parlement en de Raad (PB L 119 van 4.5.2016, blz. 1).

(4)  Het EESC bracht een advies over dit voorstel uit (PB C 51 van 23.2.2000, blz. 48).

(5)  Verordening (EU) 2016/679 van 27.4.2016 (PB L 119 van 4.5.2016, blz. 1).

(6)  COM(2017) 10 final, COM(2017) 9 final.

(7)  COM(2017) 9 final.

(8)  Verordening (EU) 2016/679.

(9)  PB C 229 van 31.7.2012, blz. 90

(10)  PB 45 van 14.6.1962, blz. 1385/62 en opeenvolgende wijzigingen.

(11)  Zie bijvoorbeeld de „Adviezen en aanbevelingen van de [Belgische] Privacycommissie rond privacy op de werkvloer” (januari 2013).

(12)  Aanbeveling betreffende de na te leven veiligheidsmaatregelen ter voorkoming van gegevenslekken, Belgische Commissie voor de bescherming van de persoonlijke levenssfeer, 1/2013 van 21 januari 2013.

(13)  Zie voor een voorbeeld de op 13 december 2016 vastgestelde Guidelines on Data Protection Officers van de werkgroep 243 inzake artikel 29.

(14)  Zie bijvoorbeeld de Portugese wet voor gegevensbescherming (wet 67/98 van 26 oktober 1998).


Top