This document is an excerpt from the EUR-Lex website
Document 52010XX1016(02)
Opinion of the European Data Protection Supervisor on the Proposal for a Directive of the European Parliament and of the Council on waste electrical and electronic equipment (WEEE)
Advies van de Europese toezichthouder voor gegevensbescherming inzake het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende afgedankte elektrische en elektronische apparatuur (AEEA)
Advies van de Europese toezichthouder voor gegevensbescherming inzake het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende afgedankte elektrische en elektronische apparatuur (AEEA)
PB C 280 van 16.10.2010, p. 16–21
(BG, ES, CS, DA, DE, ET, EL, EN, FR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
16.10.2010 |
NL |
Publicatieblad van de Europese Unie |
C 280/16 |
Advies van de Europese toezichthouder voor gegevensbescherming inzake het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende afgedankte elektrische en elektronische apparatuur (AEEA)
2010/C 280/02
DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,
Gelet op het Verdrag betreffende de werking van de Europese Unie, en met name op artikel 16,
Gelet op het Handvest van de grondrechten van de Europese Unie, en met name op artikel 8,
Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, en met name op artikel 17,
Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, en met name op artikel 41,
BRENGT HET VOLGENDE ADVIES UIT:
I. INLEIDING
1. |
Op 3 december 2008 heeft de Commissie een voorstel goedgekeurd voor een richtlijn van het Europees Parlement en de Raad betreffende afgedankte elektrische en elektronische apparatuur (AEEA) (hierna „het voorstel”) (1). Het voorstel is bedoeld ter herschikking van Richtlijn 2002/96/EG betreffende afgedankte elektrische en elektronische apparatuur (AEEA) die werd goedgekeurd op 27 januari 2003 (hierna „de Richtlijn”) (2) zonder de argumenten of de motivering voor het inzamelen en recyclen van AEEA te wijzigen. |
2. |
De EDPS is niet geraadpleegd zoals vereist in artikel 28, lid 2, van Verordening (EG) nr. 45/2001 (3). Daarom heeft de EDPS op eigen initiatief het onderhavige advies uitgebracht op basis van artikel 41, lid 2, van dezelfde Verordening. De EDPS beveelt aan een verwijzing op te nemen naar dit advies in de preambule van het voorstel. |
3. |
De EDPS is zich ervan bewust dat onderhavig advies tot stand komt in een laat stadium van het wetgevingsproces, maar beschouwt het desondanks als gepast en nuttig om dit advies uit te brengen aangezien het voorstel belangrijke problemen inzake gegevensbescherming opwerpt die niet aan bod komen in de tekst. Dit advies is niet bedoeld om het hoofddoel en het hoofdelement van het voorstel te wijzigen, waarvan het „zwaartepunt” (4) blijft liggen op de bescherming van het milieu, maar enkel om een extra dimensie toe te voegen die steeds belangrijker wordt voor onze informatiemaatschappij (5). |
4. |
De EDPS is zich ook bewust van de beperkte reikwijdte van de herschikkingsprocedure, maar dringt er desalniettemin bij de wetgever op aan om rekening te houden met deze aanbevelingen in overeenstemming met artikel 8 van het interinstitutioneel akkoord betreffende de herschikkingsprocedure (dat in de mogelijkheid voorziet ongewijzigde bepalingen te wijzigen) (6). |
II. CONTEXT EN ACHTERGROND VAN HET VOORSTEL EN DE RELEVANTIE ERVAN VOOR GEGEVENSBESCHERMING
5. |
Het doel van het voorstel is het bijwerken van de Richtlijn voor wat betreft de verwijdering, het hergebruik en de recycling van AEEA. Technische, juridische en administratieve problemen in de eerste jaren van de tenuitvoerlegging van de richtlijn hebben tot het voorstel geleid, zoals voorzien in artikel 17, lid 5, van de Richtlijn. |
6. |
Elektrische en elektronische apparatuur (EEA) is een grote productgroep waarin een uiteenlopend gamma aan media is opgenomen waarop persoonlijke gegevens kunnen worden opgeslagen — zoals IT- en telecommunicatieapparatuur (bijv. pc's, laptops, elektronische communicatieterminals) — gekenmerkt in de huidige technisch-economische context door steeds snellere innovatiecycli en, gezien de technologische convergentie, door de beschikbaarheid van apparaten die geschikt zijn voor meerdere gebruiksdoeleinden. De ontwikkelingen op het vlak van elektronische opslagmedia verlopen steeds sneller, voornamelijk wat betreft opslagcapaciteit en afmetingen, wat ertoe leidt dat de marktkrachten de omlooptijd van EEA (met grote hoeveelheden vaak gevoelige persoonsgegevens) evenredig doen versnellen. Het resultaat is niet alleen dat AEEA wordt beschouwd als de „snelst aanzwellende afvalstroom” in de EU (7), maar ook, in het geval van inadequate verwijdering, dat er een duidelijk verhoogd risico is op verlies en verspreiding van persoonsgegevens die zijn opgeslagen op dit type van EEA. |
7. |
Lange tijd was het beleid van de Europese Unie inzake milieu en duurzame ontwikkeling gericht op de beperking van de verspilling van natuurlijke hulpbronnen en het invoeren van maatregelen om vervuiling te voorkomen. |
8. |
De verwijdering, het hergebruik en de recycling van AEEA zijn opgenomen binnen dit kader. Deze maatregelen moeten voorkomen dat elektrische en elektronische apparatuur wordt weggegooid met gemengd afval door de producenten te verplichten om verwijdering te voorzien op de manier die door de Richtlijn wordt voorgeschreven. |
9. |
Van de verschillende maatregelen die door de Richtlijn worden vooropgesteld, moet met name de nadruk worden gelegd op maatregelen gericht op hergebruik (m.a.w. handelingen waardoor AEEA of onderdelen daarvan opnieuw worden gebruikt voor hetzelfde doel als waarvoor zij oorspronkelijk zijn ontworpen, daaronder begrepen verder gebruik van de apparatuur of onderdelen daarvan die bij inzamelpunten, distributeurs, recyclingbedrijven of fabrikanten worden ingeleverd), recycling (m.a.w. de terugwinning in een productieproces van afvalmaterialen voor het oorspronkelijke doel of voor andere doeleinden) en het vinden van andere vormen van nuttige toepassing van AEEA teneinde de hoeveelheid te verwijderen afval te verminderen (zie artikel 1 en artikel 3, leden d en e, van de Richtlijn). |
10. |
Dergelijke activiteiten, met name hergebruik en recycling van AEEA, voornamelijk IT- en telecommunicatieapparatuur, kunnen meer dan in het verleden het risico vormen dat personen die AEEA inzamelen of de gebruikte of gerecyclede apparaten verkopen of kopen zich bewust zouden worden van de mogelijke persoonsgegevens die op dergelijke apparatuur zijn opgeslagen. Het kan daarbij gaan om gevoelige gegevens of gegevens die betrekking hebben op een groot aantal personen. |
11. |
Om al deze redenen vindt de EDPS dat alle betrokkenen (gebruikers en producenten van EEA) dringend moeten worden gewezen op de risico's voor persoonsgegevens, voornamelijk in het laatste stadium van de EEA-levenscyclus. In dit stadium bevat EEA, hoewel het op dat moment economisch minder waard is, vaak grote hoeveelheden persoonsgegevens en heeft EEA bijgevolg een hoge „intrinsieke” waarde voor de betrokkene en/of anderen. |
III. ANALYSE VAN HET VOORSTEL
III.1. Toepasbaarheid van Richtlijn 95/46/EG
12. |
De EDPS heeft geen opmerkingen over de algemene doelstelling van het voorstel en ondersteunt ten volle het genomen initiatief dat is bedoeld ter verbetering van de milieuvriendelijke beleidslijnen op het vlak van AEEA. |
13. |
Het voorstel, evenals de Richtlijn, legt echter uitsluitend de nadruk op de milieurisico's die verbonden zijn aan de verwijdering van AEEA. Het houdt geen rekening met andere extra risico's voor personen en/of organisaties die kunnen voortvloeien uit de activiteiten van verwijdering, hergebruik of recycling van AEEA, in het bijzonder met betrekking tot de kans op ongeoorloofde verwerving, openbaarmaking of verspreiding van persoonsgegevens opgeslagen op AEEA. |
14. |
Het moet worden opgemerkt dat Richtlijn 95/46/EG (8) van toepassing is op „elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens”, inclusief het „uitwissen of vernietigen” (artikel 2, onder b)). Het verwijderen van EEA kan gegevensverwerkingen inhouden. Om die reden is er een overlap tussen het voorstel en de hierboven vermelde richtlijn en in die zin kunnen regels inzake gegevensbescherming van toepassing zijn op activiteiten die vallen onder het voorstel. |
III.2. Maatregelen voor de verwijdering en beveiliging van AEEA
15. |
De EDPS wil de aanzienlijke risico's benadrukken voor personen en/of organisaties die optreden als „voor de verwerking verantwoordelijken” (9) wanneer de AEEA, met name IT- en telecommunicatieapparatuur, persoonsgegevens bevat die betrekking hebben op de gebruikers van die apparaten en/of derde partijen op het moment van de verwijdering. De onwettige toegang tot of openbaarmaking van dergelijke persoonsgegevens, die soms bestaan uit bijzondere categorieën van gegevens waaruit zaken kunnen worden afgeleid zoals raciale of etnische afkomst, politieke opvattingen, godsdienstige of levensbeschouwelijke overtuiging, het lidmaatschap van een vakvereniging of gegevens die de gezondheid of het seksuele leven betreffen (zogeheten „gevoelige gegevens”) (10), kunnen inderdaad de privacy en waardigheid van de personen waarop de informatie betrekking heeft, evenals andere legitieme belangen van die personen/organisaties (bijv. economische belangen), beïnvloeden. |
16. |
Algemeen beschouwd acht de EDPS het nodig om de nadruk te leggen op het belang van de goedkeuring van geschikte veiligheidsmaatregelen in elk stadium (van begin tot eind) van de verwerking van persoonsgegevens, zoals herhaaldelijk naar voren werd gebracht in andere adviezen (11). Dit geldt a fortiori in de delicate fase waarbij de voor de verwerking verantwoordelijken van plan zijn apparaten te verwijderen die persoonsgegevens bevatten. |
17. |
Het naleven van beveiligingsmaatregelen is vaak een voorwaarde om het recht op de bescherming van persoonsgegevens doeltreffend te garanderen. |
18. |
Het zou bijgevolg inconsistent zijn om de verplichting op te leggen om (soms dure) veiligheidsmaatregelen in te voeren voor de gewone verwerkingsprocedures van persoonsgegevens (zoals bepaald in artikel 17 van Richtlijn 95/46/EG, indien van toepassing (12)) en vervolgens eenvoudigweg na te laten om adequate garanties met betrekking tot de verwijdering van AEEA vast te leggen. |
19. |
Het zou evenzeer inconsistent zijn om belang te hechten aan gegevensbeveiliging in die mate dat het melden van inbreuken betreffende gegevens moest worden ingevoerd via artikel 3 van Richtlijn 2009/136/EG (13) en vervolgens geen garantie of beveiliging te voorzien tijdens het verwijderen van AEEA of bij hergebruik of recycling van AEEA. |
20. |
De EDPS betreurt dat het voorstel geen rekening houdt met de potentieel schadelijke gevolgen van de verwijdering van AEEA voor de persoonsgegevens die zijn opgeslagen op „gebruikte” apparatuur. |
21. |
Dit aspect werd ook niet in overweging genomen bij de effectbeoordeling door de Commissie (14) hoewel de ervaring al heeft aangetoond dat het niet nemen van geschikte veiligheidsmaatregelen op het vlak van de verwijdering van AEEA de bescherming van persoonsgegevens in gevaar kan brengen (15). Gezien de complexiteit van de betrokken onderwerpen (bijvoorbeeld de vele legitieme methoden, technologieën en betrokkenen in de afvalcyclus van de AEEA), vindt de EDPS dat het gepast was geweest om een „effectbeoordeling op het gebied van persoonlijke levenssfeer en gegevensbeveiliging” uit te voeren op de processen die betrekking hebben op de verwijdering van AEEA. |
22. |
Desalniettemin wordt door de EDPS sterk aangeraden om „best beschikbare technieken” op het vlak van privacy, gegevensbescherming en beveiliging op dit vlak te ontwikkelen. |
23. |
Als verder bewijs werden, tijdens de publieke raadpleging voorafgaand aan de herschikking van de Richtlijn, hier en daar kwesties met betrekking tot de beveiliging en bescherming van persoonsgegevens aangehaald door betrokkenen, met name IT-bedrijven en elektronische communicatiebedrijven (16). |
24. |
Tot slot moet worden vermeld dat enkele nationale gegevensbeschermingsinstanties richtsnoeren hebben gepubliceerd om de risico's te minimaliseren die het resultaat kunnen zijn van het verzuim om de nodige veiligheidsmaatregelen te nemen, met name bij de verwijdering van materialen die onder de toepassing van de richtlijn vallen (17). |
25. |
De EDPS herhaalt dat Richtlijn 95/46/EG van toepassing is op het stadium van de verwijdering van AEEA die persoonsgegevens bevat. Verantwoordelijken voor de verwerking — met name zij die gebruikmaken van IT- en communicatieapparaten — zijn derhalve verplicht om te voldoen aan hun veiligheidsverplichtingen om ongeoorloofde openbaarmaking of verspreiding van persoonsgegevens te voorkomen. Om die reden en om niet verantwoordelijk gehouden te worden voor inbreuken op veiligheidsmaatregelen, moeten verantwoordelijken voor de verwerking in de openbare of private sector, in samenwerking met functionarissen voor gegevensbescherming (indien aanwezig), de geschikte beleidsmaatregelen goedkeuren voor de verwijdering van AEEA die persoonsgegevens bevat. |
26. |
Als de verantwoordelijken voor de verwerking die EEA verwijderen niet beschikken over de vereiste vaardigheden en/of technische knowhow om de persoonsgegevens in kwestie te wissen, kunnen ze die taak toevertrouwen aan gekwalificeerde verwerkers (bijv. ondersteuningscentra, fabrikanten en distributeurs van apparatuur) onder de voorwaarden zoals bepaald in artikel 17, leden 2, 3 en 4, van Richtlijn 95/46/EG. Die verwerkers zullen op hun beurt het uitvoeren van de bewerkingen in kwestie certificeren en/of ze uitvoeren. |
27. |
Op basis van deze overwegingen komt de EDPS tot de conclusie dat bij de herschikking van de Richtlijn gegevensbeschermingsbeginselen moeten worden toegevoegd aan de bepalingen betreffende de bescherming van het milieu. |
28. |
De EDPS beveelt daarom de Raad en het Europees Parlement aan om een specifieke bepaling op te nemen in het huidige voorstel waarin wordt gesteld dat de Richtlijn van toepassing is op de verwijdering van AEEA onverminderd Richtlijn 95/46/EG. |
III.3. Maatregelen voor hergebruik of recycling en beveiliging van AEEA
29. |
Omdat ze zich in een situatie bevinden waarbij ze autonome beslissingen kunnen nemen betreffende de gegevens op de EEA, kunnen de personen die de leiding hebben over de verwijderingsactiviteiten worden beschouwd als „verantwoordelijken voor de verwerking” (18). Bijgevolg moeten ze interne procedures goedkeuren om onnodige verwerkingen te vermijden van eender welke persoonsgegevens die zijn opgeslagen op de AEEA, namelijk andere verwerkingen dan de strikt noodzakelijke om te controleren of de opgeslagen gegevens daadwerkelijk werden gewist. |
30. |
Bovendien moeten ze ervoor zorgen dat onbevoegde personen geen kennis krijgen van gegevens die zijn opgeslagen op de EEA of dat ze die gegevens niet kunnen verwerken. Vooral wanneer opslagmedia worden gerecycled of hergebruikt, en dus opnieuw op de markt komen, bestaat een verhoogd risico op ongeoorloofde openbaarmaking of verspreiding van persoonsgegevens, evenals een behoefte om onbevoegde toegang tot persoonsgegevens te voorkomen. |
31. |
De EDPS geeft de Raad en het Europees Parlement daarom de raad om een specifieke bepaling op te nemen in het huidige voorstel om het op de markt brengen van gebruikte apparaten te verbieden als die apparaten niet eerst werden onderworpen aan passende veiligheidsmaatregelen in overeenstemming met de technische normen van de huidige stand der techniek (bijvoorbeeld multi-pass overwriting), met als doel alle mogelijke persoonsgegevens op de apparaten te wissen. |
III.4. Privacy en veiligheid „by design”
32. |
Het toekomstige wettelijke kader over elektronisch afval zou niet enkel een specifieke bepaling moeten bevatten met betrekking tot het bredere „beginsel van ecologisch ontwerp” van de apparatuur (zie artikel 4 van het voorstel inzake „Productontwerp”) maar ook — zoals vroeger verklaard in andere adviezen van de EDPS (19) — een bepaling over het beginsel „privacy by design” (20) of, nauwkeuriger op dit gebied, „security by design” (21). Voor zover mogelijk moeten privacy en gegevensbescherming standaard worden geïntegreerd in het ontwerp van elektrische en elektronische apparatuur zodat gebruikers — op een eenvoudige manier en gratis — in staat zijn persoonsgegevens te wissen die aanwezig kunnen zijn op apparaten wanneer ze worden verwijderd (22). |
33. |
Die aanpak wordt duidelijk ondersteund door artikel 3, lid 3, onder c), van Richtlijn 1999/5/EG (23) betreffende het ontwerpen van radioapparatuur en telecommunicatie-eindapparatuur en door artikel 14, lid 3, van Richtlijn 2002/58/EG (24). |
34. |
Daarom moeten producenten garanties „inbouwen” op het vlak van privacy en veiligheid aan de hand van technologische oplossingen (25). In dit kader moeten initiatieven worden gestimuleerd en ondersteund die zijn gericht op het adviseren van de betrokkenen over de behoeften om persoonsgegevens te wissen voor de verwijdering van AEEA (inclusief de producenten die gratis software ter beschikking stellen om dat te doen) (26). |
IV. CONCLUSIES
35. |
Gezien het bovenstaande beveelt de EDPS aan dat gegevensbeschermingsinstanties, met name via de Groep gegevensbescherming artikel 29, en de EDPS nauw worden betrokken bij initiatieven op het vlak van de verwijdering van AEEA door middel van raadpleging in een voldoende vroege fase alvorens relevante maatregelen worden ontwikkeld. |
36. |
Overwegende de context waarin persoonsgegevens worden verwerkt, raadt de EDPS aan dat in het voorstel specifieke bepalingen worden opgenomen die:
|
37. |
De EDPS raadt derhalve ten stelligste aan dat het voorstel als volgt wordt gewijzigd, in overeenstemming met Richtlijn 95/46/EG: — Considerans (11): „Bovendien moet deze Richtlijn van toepassing zijn onverminderd de wetgeving inzake gegevensbescherming, met name Richtlijn 95/46/EG. Aangezien elektrische en elektronische apparatuur (EEA) een brede productgroep is die een groot aantal media bevat die in staat zijn om persoonsgegevens op te slaan (zoals IT- en telecommunicatieapparatuur), kunnen verwijderingsactiviteiten die op die apparaten betrekking hebben, met name het hergebruik en de recycling, risico's inhouden wat betreft onbevoegde toegang tot persoonsgegevens die zijn opgeslagen op de AEEA. Daarom moeten, voor zover mogelijk, garanties op het vlak van privacy en gegevensbescherming standaard worden geïntegreerd in het ontwerp van elektrische en elektronische apparatuur die persoonsgegevens kunnen opslaan, zodat gebruikers — op een eenvoudige manier en gratis — in staat zijn om dergelijke persoonsgegevens te wissen die aanwezig zijn op het moment van verwijdering.”; „Deze Richtlijn is van toepassing onverminderd de wetgeving inzake gegevensbescherming, met name Richtlijn 95/46/EG.” |
38. |
Bovendien acht de EDPS het passend dat de volgende amendementen in overweging zouden worden genomen: — Artikel 4, lid 2: „Lidstaten stimuleren maatregelen ter bevordering van het ontwerp en de productie van elektrische en elektronische apparatuur die het wissen van mogelijk aanwezige persoonsgegevens op EEA vergemakkelijken op het moment van hun verwijdering.”; — Artikel 8, lid 7: „Lidstaten zorgen ervoor dat alle AEEA die wordt verzameld en persoonsgegevens bevat en die wordt onderworpen aan een behandeling om te worden gerecycled of hergebruikt, niet op de markt wordt gebracht tenzij dergelijke gegevens eerst werden verwijderd door middel van de best beschikbare technieken.”; — Artikel 14, lid 6: „Lidstaten kunnen vereisen dat gebruikers van EEA die persoonsgegevens bevat informatie krijgen van producenten en/of distributeurs, bijv. in de gebruiksaanwijzing of in het verkooppunt, met betrekking tot de behoefte om persoonsgegevens te wissen die opgeslagen kunnen zijn op de EEA alvorens die wordt verwijderd.”. |
Gedaan te Brussel, 14 april 2010.
Peter HUSTINX
Europese Toezichthouder voor gegevensbescherming
(1) COM(2008) 810 definitief.
(2) PB L 37 van 13.2.2003, blz. 24.
(3) Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, PB L 8 van 12.1.2001, blz. 1.
(4) Zie HvJ, 23.2.1999, C-42/97 Europees Parlement tegen Raad van de Europese Unie, [1999] Jurispr. I-869, punt 43.
(5) Zie ook, inter alia, HvJ, 30.1.2001, C-36/98 Spanje tegen Raad, [2001] Jurispr. I-779, punt 59: „Indien uit het onderzoek van een gemeenschapshandeling volgt, dat zij een tweeledig doel heeft of dat er sprake is van twee componenten, en indien één ervan als hoofdelement of overwegende component kan worden aangewezen, terwijl de andere slechts een ondergeschikt element is, moet de handeling op één enkele rechtsgrondslag worden gebaseerd, namelijk die welke het hoofddoel, het hoofdelement of de overwegende component verlangt.”.
(6) Interinstitutioneel akkoord van 28 november 2001 over een systematischer gebruik van de herschikking van besluiten, PB C 77 van 28.3.2002, blz. 1.
(7) Zie werkdocument van de diensten van de Commissie bij het voorstel voor een richtlijn van het Europees Parlement en de Raad betreffende afgedankte elektrische en elektronische apparatuur (AEEA) (herschikking). Effectbeoordeling, 3.12.2008 (COM(2008) 810 definitief) SEC(2008) 2933, blz. 17.
(8) Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281 van 23.11.1995, blz. 31.
(9) Zie artikel 2, onder d), van Richtlijn 95/46/EG voor de definitie van „voor de verwerking verantwoordelijke”.
(10) Zie artikel 8, Richtlijn 95/46/EG.
(11) Zie advies van de EDPS over het Agentschap voor het operationele beheer van grootschalige IT-systemen (PB C 70 van 19.3.2010, blz. 13), punten 46 en 47; advies over het voorstel voor een richtlijn betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (PB C 128 van 6.6.2009, blz. 20), punten 27-31.
(12) Zie artikel 3 van dezelfde richtlijn.
(13) Richtlijn 2009/136/EG van het Europees Parlement en de Raad van 25 november 2009 tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronischecommunicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking tussen de nationale instanties die verantwoordelijk zijn voor handhaving van de wetgeving inzake consumentenbescherming, PB L 337 van 18.12.2009, blz. 11.
(14) Werkdocument van de diensten van de Commissie bij het voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende afgedankte elektrische en elektronische apparatuur (AEEA) (herschikt), SEC(2008) 2933, 3.12.2008; maar zie United Nations University, 2008 Review of Directive 2002/96/EC on Waste Electrical and Electronic Equipment (WEEE), Europese Commissie, België, 2007, blz. 273 (http://ec.europa.eu/environment/waste/weee/pdf/final_rep_unu.pdf); „Data security is also an issue — removing personal data from a hard-drive”.
(15) Zie bijv. het artikel op BBC online „Children's files on eBay computer”, 4 mei 2007, waarin wordt vermeld dat een computer met persoonsgegevens over het als pleegkind opnemen en adopteren van kinderen werd verkocht op eBay (http://news.bbc.co.uk/2/hi/uk_news/england/6627265.stm); zie ook het artikel op BBC online „Bank customer data sold on eBay”, 26 augustus 2008, waarin melding wordt gemaakt van een harde schijf met persoonsgegevens van een miljoen bankklanten die werd verkocht op eBay (http://news.bbc.co.uk/2/hi/uk_news/7581540.stm).
(16) Zie HP, Stakeholder Consultation on the Review of Directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical and Electronic Equipment (WEEE), blz. 7-8; DELL (ontwerp-opmerkingen), WEEE Review Policy Options of the stakeholder consultation on the review of directive 2002/96/EC of the European Parliament and of the Council on Waste Electrical And Electronic Equipment (WEEE), blz. 2, punt 1.1. en blz. 4, punt 1.3. (3.6.2008); Royal Philips Electronics Position and Proposal, Stakeholder consultation on the Revision of the WEEE Directive, blz. 12 (5.6.2008) (http://circa.europa.eu/Public/irc/env/weee_2008_review/library). Zie ook WEEE Consultation Response, Summary of responses and Government response to fourth consultation on implementation of Directives 2002/96/EC and 2003/108/EC on Waste Electrical and Electronic Equipment, december 2006, blz. 30: „Data protection and security. Some waste management companies would like there to be some guidance issued on data protection and security, particularly in light of the fact they will be handling sensitive data.” („Gegevensbescherming en -beveiliging. Sommige afvalverwerkende bedrijven zouden graag een vorm van begeleiding hebben op het vlak van gegevensbescherming en -beveiliging, met name gezien het feit dat ze zullen omgaan met gevoelige gegevens.”) (http://www.berr.gov.uk/files/file35961.pdf).
(17) Landesbeauftragter für Datenschutz und Informationsfreiheit Bremen, Entwicklung eines Konzeptes zur Löschung und Datenträgervernichtung durch Behörden und Unternehmen, 16. mei 2007 (http://www.datenschutz-bremen.de/rtf/datenloeschung.rtf); Garante per la protezione dei dati personali, Electrical and Electronic Waste and Data Protection, 13 oktober 2008 (http://www.garanteprivacy.it/garante/doc.jsp?ID=1583482), ook vermeld in het twaalfde jaarverslag van de Groep gegevensbescherming artikel 29, 16 juni 2009, blz. 57; zie ook de Internationale werkgroep over gegevensbescherming en telecommunicatie, Recommendation on Data Protection and E-Waste, Sofia, 12-13.3.2009 (http://www.datenschutz-berlin.de/attachments/650/675.38.14.pdf?1264671551).
(18) „The concept of controller is […] functional, in the sense that it is intended to allocate responsibilities where the factual influence is, and thus based on a factual rather than a formal analysis” („Het concept van voor de verwerking verantwoordelijke is […] functioneel, in die zin dat het is bedoeld om de verantwoordelijkheden te leggen op de plaats waar de eigenlijke invloed wordt uitgeoefend, en dus gebaseerd op een factuele analyse in plaats van een formele analyse”): zie Groep gegevensbescherming artikel 29, WP 169, Opinion 1/2010 on the concepts of „controller” and „processor”, goedgekeurd op 16 februari 2010.
(19) Zie bijv. The EDPS and EU Research and Technological Development. Beleidsnota, 28 april 2008, blz. 2; advies van de EDPS betreffende intelligente vervoerssystemen (PB C 47 van 25.2.2010, blz. 6); advies van de EDPS inzake geneesmiddelenbewaking (PB C 229 van 23.9.2009, blz. 19).
(20) Ter ondersteuning van een brede toepassing van het beginsel, zie Groep gegevensbescherming artikel 29 — Working Party on Police and Justice, The Future of Privacy. Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data, WP 168, goedgekeurd op 1 december 2009, blz. 3 en 12; zie ook de aanbeveling van de Commissie over de tenuitvoerlegging van de beginselen inzake privacy en gegevensbescherming in door radiofrequentie-identificatie ondersteunde toepassingen, C(2009) 3200 definitief, blz. 8.
(21) Zie mededeling van de Commissie, een Europese agenda voor onderzoek en innovatie op het gebied van veiligheid — Initieel standpunt van de Commissie over de belangrijkste bevindingen en aanbevelingen van het ESRIF, COM(2009) 691 definitief, blz. 6 en 14.
(22) Zie ook EDPS, Opinion of 18 March 2010 on promoting trust in the Information Society by fostering data protection and privacy.
(23) Artikel 3, lid 3, van Richtlijn 1995/5/EG van het Europees Parlement en van de Raad van 9 maart 1999 betreffende radioapparatuur en telecommunicatie-eindapparatuur en de wederzijdse erkenning van hun conformiteit (PB L 91 van 7.4.1999, blz. 10): „[…] de Commissie kan besluiten dat apparatuur van bepaalde apparatuurcategorieën of apparatuur van een bepaalde soort zo geconstrueerd moet zijn dat zij voorzieningen bevat om […] de persoonsgegevens en de persoonlijke levenssfeer van de gebruiker en de abonnee te beschermen”.
(24) „Zo nodig kunnen maatregelen worden goedgekeurd om ervoor te zorgen dat de eindapparatuur gebouwd is op een wijze die verenigbaar is met het recht van gebruikers om het gebruik van hun persoonsgegevens te beschermen en te controleren, in overeenstemming met Richtlijn 1995/5/EG en met Beschikking 87/95/EEG van de Raad van 22 december 1986 betreffende de normalisatie op het gebied van de informatietechnologieën en de telecommunicatie.” Zie ook considerans 46 van dezelfde richtlijn, vermeld in voetnoot 13.
(25) Ter ondersteuning van dit beleidsperspectief, zie ook V. Reding, programmaverklaring op de Dag van de gegevensbescherming, 28 januari 2010, Europees Parlement, Brussel, SPEECH/10/16: „Businesses must use their power of innovation to improve the protection of privacy and personal data from the very beginning of the development cycle. Privacy by Design is a principle that is in the interest of both citizens and businesses. Privacy by Design will lead to better protection for individuals, as well as to trust and confidence in new services and products that will in turn have a positive impact on the economy. I have seen some encouraging examples, but much more needs to be done.” („Bedrijven moeten hun innovatiekracht aanwenden om de bescherming van privacy en persoonsgegevens te verbeteren van bij het prille begin van de ontwikkelingscyclus. Privacy by design is een principe dat in het belang is van zowel burgers als bedrijven. Privacy by design zal leiden tot een betere bescherming voor personen, maar ook tot vertrouwen in nieuwe diensten en producten die op hun beurt een positieve impact zullen hebben op de economie. Ik heb enkele bemoedigende voorbeelden gezien, maar er moet nog veel meer worden gedaan.”)
(26) Zie bijv. Royal Canadian Mounted Police, B2-002 — IT Media Overwrite and Secure Erase Products (05/2009), op http://www.rcmp-grc.gc.ca/ts-st/pubs/it-ti-sec/index-eng.htm