13.10.2017   

NL

Publicatieblad van de Europese Unie

C 345/138

Rapporteur:

Laure BATUT

1.1.

Het EESC betreurt het ten zeerste dat de overlapping van de teksten inzake gegevensbescherming, hun omvang en hun onderlinge verwevenheid, de verwijzingen van de ene naar de andere tekst, die nodig zijn voor een goed begrip, de leesbaarheid en de uitvoering ervan waarschijnlijk beperken tot een kring van ingewijden. Daardoor is de meerwaarde voor de burger niet zichtbaar, een begrip dat overigens in het gehele voorstel voor een verordening ontbreekt. Het Comité beveelt de onlinepublicatie aan van een beknopte brochure die een en ander voor het publiek uiteenzet en voor iedereen toegankelijk maakt.

1.2.

Benadrukt zij dat van de in de effectbeoordeling genoemde opties de Commissie heeft gekozen voor de optie die de eerbiediging van het privéleven „matig” zal verbeteren. Doet zij dit ter wille van een evenwicht met de belangen van het bedrijfsleven? De Commissie vermeldt niet welke elementen van een „aanzienlijke” verbetering van de eerbiediging van de persoonlijke levenssfeer de belangen van het bedrijfsleven zouden hebben geschaad. Dit standpunt lijkt de tekst van meet af aan te verzwakken.

1.3.

Het EESC beveelt de Commissie aan om:

2.1.

Sinds de inwerkingtreding van de Richtlijnen 95/46/EG en 2002/58/EG  (2) over de eerbiediging van de persoonlijke levenssfeer in de elektronische communicatie is er heel wat veranderd in de netwerken voor elektronische communicatie.

2.2.

De in 2016 goedgekeurde algemene verordening gegevensbescherming (AVGB) (Verordening (EU) 2016/679) is de grondslag voor de maatregelen geworden en bevat de voornaamste beginselen, ook voor justitiële en strafrechtelijke gegevens. Op grond van deze verordening mogen persoonsgegevens slechts onder strenge voorwaarden voor legitieme doeleinden en met respect voor het vertrouwelijke karakter ervan worden verzameld (artikel 5 van de AVGB).

2.2.1.

De Commissie heeft in oktober 2016 een 300 bladzijden tellend voorstel voor een richtlijn tot vaststelling van een Europees wetboek voor elektronische communicatie (3) ingediend. Dit is nog niet goedgekeurd, maar de Commissie verwijst ernaar voor bepaalde definities die niet voorkomen in de AVGB, noch in de tekst waar onderhavig advies over gaat.

2.2.2.

In twee voorstellen uit januari 2017 worden bepaalde aspecten op basis van de AVGB nader gepreciseerd, nl. in het Voorstel voor een verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie (COM(2017) 8 final, rapporteur: dhr. Pegado Liz), en in de thans voorliggende tekst (COM(2017) 10 final), over de eerbiediging van het privéleven en de bescherming van persoonsgegevens.

2.3.

Alle drie bovengenoemde teksten zullen vanaf 25 mei 2018 van toepassing zijn, en zijn bedoeld om de rechten en controleprocedures te harmoniseren.

2.4.

Om dit te faciliteren is er ter bescherming van de persoonlijke levenssfeer voor een Europese verordening gekozen en niet meer voor een richtlijn.

3.1.

De volledig digitale wereld begint zich af te tekenen. Het maatschappelijk middenveld zou willen dat de EU in deze wereld een meerwaarde biedt door een omgeving te garanderen waarbinnen eenieder zich kan ontwikkelen zonder te hoeven vrezen voor de aantasting van de persoonlijke levenssfeer.

3.2.

Doordat er onophoudelijk gegevens worden gegenereerd, kunnen alle gebruikers overal getraceerd en geïdentificeerd worden. De gegevensverwerking in fysieke centra, die meestal buiten Europa liggen, geeft aanleiding tot bezorgdheid.

3.3.

Big Data zijn financieel zeer aantrekkelijk geworden: als ze slim worden verwerkt, kunnen ze het mogelijk maken om voor marktdoeleinden profielen van natuurlijke of rechtspersonen op te stellen teneinde geld te verdienen, vaak zonder dat de gebruikers het in de gaten hebben.

3.4.

Vooral echter het feit dat zich in de sector gegevensverwerking nieuwe spelers aandienen die geen internetproviders zijn, moet een aansporing vormen om de regelgevingsteksten te herzien.

4.1.

Met deze tekst wil de Commissie een evenwicht tot stand te brengen tussen consumenten en bedrijfsleven:

4.2.

Het voorstel is bedoeld om de AVGB, die net als de vertrouwelijkheid en het recht op wissing van persoonsgegevens algemeen toepasselijk is, verder te ontwikkelen waar het gaat om het specifieke aspect van de eerbiediging van het privéleven en de bescherming van persoonsgegevens in telecommunicatie. Concreet wordt voorgesteld om op het gebied van de bescherming van het privéleven strengere regels alsook gecoördineerde controles en sancties in te voeren.

4.3.

Er worden geen specifieke maatregelen uitgevaardigd over inbreuken op persoonsgegevens die van de gebruikers zelf komen, maar wel wordt al in het begin van het verordeningsvoorstel (artikel 5) bevestigd dat elektronische-communicatiegegevens vertrouwelijk zijn.

4.4.

Aanbieders kunnen inhoud van elektronische communicatie verwerken:

4.5.

Ze moeten gegevens wissen of anoniem maken nadat deze door de ontvangers zijn ontvangen.

4.6.

In artikel 4, punt 11, van de AVGB wordt „toestemming” van de betrokkene gedefinieerd als „elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt”.

4.7.

In de voorgestelde verordening wordt eraan vastgehouden dat, zoals bepaald in de AVGB, toestemming uitdrukkelijk moet worden gegeven, waarbij de bewijslast bij de exploitant ligt.

4.8.

De „verwerking” steunt op deze toestemming. De verwerkingsverantwoordelijke moet „kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens” (artikel 7, lid 1, van de AVGB).

4.9.

Overeenkomstig de wetgeving van de EU of van de lidstaat kunnen er bepaalde beperkingen (inzake rechten en verplichtingen) op het gebied van vertrouwelijkheid gelden om openbare belangen of een inspectietaak te vrijwaren.

4.10.

Natuurlijke personen moeten hun toestemming hebben gegeven alvorens hun gegevens mogen worden opgenomen in algemeen beschikbare telefoongidsen. Ze moeten de hen betreffende gegevens ook kunnen verifiëren en corrigeren (artikel 15).

4.11.

Iedere gebruiker heeft het recht om bezwaar te maken tegen het gebruik van zijn gegevens die aan een derde zijn toevertrouwd (bv. een handelaar), en telkens wanneer een bericht wordt verzonden (artikel 16). Door de nieuwe regels zullen gebruikers hun instellingen (cookies, identificatienummers) beter kunnen beheren, en ongewenste mededelingen (spam, berichten, sms’jes, telefonische oproepen) zullen geblokkeerd kunnen worden als de gebruiker geen toestemming heeft verleend.

4.12.

Wat de identificatie van oproepende nummers en de blokkering van ongewenste inkomende oproepen betreft (artikelen 12 en 14) wordt in de verordening benadrukt dat deze rechten ook gelden voor rechtspersonen.

4.13.

De structurering van een controlesysteem is in overeenstemming met de AVGB (hoofdstuk VI over toezichthoudende autoriteiten en hoofdstuk VII over samenwerking tussen toezichthoudende autoriteiten).

4.13.1.

De lidstaten en hun nationale autoriteiten die bevoegd zijn voor gegevensbescherming dienen erop toe te zien dat de vertrouwelijkheidsregels in acht worden genomen. Andere toezichthoudende autoriteiten zullen in het kader van wederzijdse bijstand bezwaren kunnen opstellen die dan eventueel aan de nationale toezichthoudende autoriteiten worden voorgelegd. Ze werken met deze laatstgenoemde autoriteiten en met de Europese Commissie samen in het kader van een coherentiemechanisme (artikel 63 van de AVGB)

4.13.2.

Het Europees Comité voor gegevensbescherming (EDPS) moet erop toezien dat de onderhavige verordening consequent wordt toegepast (artikelen 68 en 70 van de AVGB).

4.14.

Eindgebruikers — zowel natuurlijke als rechtspersonen — kunnen ter verdediging van hun belangen een beroep in rechte instellen tegen inbreuken op de verordening. Ze kunnen een vergoeding krijgen voor de geleden schade.

4.15.

Het is de bedoeling dat de administratieve geldboetes een afschrikwekkend effect hebben, want de hoogte ervan kan voor iedere overtreder oplopen tot 10 miljoen euro, en voor ondernemingen tot 2 % van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is (artikel 23). In lidstaten waar er niet is voorzien in administratieve geldboetes, dienen de lidstaten sancties vast te stellen en de Commissie daarvan op de hoogte te brengen.

4.16.

De nieuwe tekst over de eerbiediging van het privéleven en het gebruik van persoonsgegevens zal van toepassing zijn vanaf 25 mei 2018, dezelfde datum dus als de verordening betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie, en als de ontwerprichtlijn tot herschikking van het Europees wetboek voor elektronische communicatie [COM(2016) 590 final], als die worden goedgekeurd.

4.17.

Toepassingsgebied van de lex specialis ter uitvoering van de AVGB:

—

ratione personae : actoren

—

ratione materiae : gegevens

—

ratione loci : waar?

4.18.

Doelstellingen van de EU: de digitale eengemaakte markt

5.1.

Het EESC vindt het een goede zaak dat er overal in de EU tegelijkertijd een samenhangend pakket regels wordt ingevoerd ter bescherming van de rechten van natuurlijke en rechtspersonen i.v.m. het gebruik van digitale gegevens door middel van elektronische communicatie.

5.1.1.

Het is ermee ingenomen dat de Unie zich kwijt van haar taak om op te komen voor de rechten van burgers en consumenten.

5.1.2.

Het benadrukt dat er weliswaar wordt gestreefd naar harmonisatie, maar dat de interpretatie van vele concepten een zaak van de lidstaten is, waardoor de verordening toch een soort richtlijn wordt en er veel ruimte is om privégegevens te gebruiken voor marktdoeleinden. Met name in de gezondheidssector kunnen er enorme hoeveelheden privégegevens worden verzameld.

5.1.3.

De bepalingen uit artikel 11, lid 1, artikel 13, lid 2, artikel 16, lid 4 en 5, en artikel 24 zouden veeleer kunnen worden bestempeld als „omzettingsmaatregelen” die op hun plaats zijn in een richtlijn, maar niet in een verordening. Er wordt te veel ruimte gelaten voor exploitanten om de kwaliteit van de dienstverlening te verbeteren (artikelen 5 en 6). Deze verordening zou integrerend deel moeten uitmaken van het voorstel voor een richtlijn inzake het Europees wetboek voor elektronische communicatie (COM(2016) 590 final).

5.1.4.

Door de omvang van deze teksten en door het feit dat ze elkaar overlappen en nauw met elkaar zijn verstrengeld (er moet immers voortdurend worden geswitcht van de ene naar de andere tekst), zullen ze waarschijnlijk alleen maar door een beperkte kring van ingewijden worden gelezen. Het EESC betreurt dit ten zeerste. Bovendien hebben ze voor de burger geen duidelijke meerwaarde. Het voorstel is dus moeilijk leesbaar en complex. Dit staat haaks op de geest van het programma voor gezonde en resultaatgerichte regelgeving (REFIT) en op het streven naar „betere wetgeving”. Hierdoor is de tekst moeilijk te interpreteren en worden er bressen geslagen in de bescherming.

5.1.5.

Het voorstel voor een verordening bevat bijvoorbeeld geen definitie van het begrip „exploitant”. Daarvoor moet worden gekeken naar het ontwerp voor een Europees wetboek voor elektronische communicatie (4), dat nog niet in werking is getreden, en waarmee wijzigingen zullen worden aangebracht in de voorschriften van de sector in het kader van de digitale eengemaakte markt, d.w.z. de kaderrichtlijn 2002/21/EG, de „toestemmingsrichtlijn” 2002/20/EG, de richtlijn „universele diensten” 2002/22/EG en de „toegangsrichtlijn” 2002/19/EG zoals die zijn gewijzigd, Verordening (EG) nr. 1211/2009 tot oprichting van het Berec, de radiospectrumbeschikking 676/2002/EG, besluit 2002/622/EG tot oprichting van een Beleidsgroep Radiospectrum, en besluit 243/2012/EU tot vaststelling van een meerjarenprogramma voor het radiospectrumbeleid. Het fundamentele referentiepunt blijft natuurlijk de AVGB (zie paragraaf 2.2). Onderhavig voorstel is bedoeld om de AVGB te completeren, en moet deze dus aanvullen.

5.2.

Het EESC wijst in het bijzonder op de inhoud van artikel 8, dat gaat over de bescherming van gegevens die opgeslagen zijn in eindapparatuur en over potentiële uitzonderingen. Dit artikel is cruciaal omdat de informatiemaatschappij hiermee mogelijkheden worden geboden om toegang te krijgen tot privégegevens. Ook wijst het op artikel 12, dat over de beperking van de identificatie van het oproepende en het opgeroepen nummer gaat. Beide artikelen zijn voor een niet-ingewijde weinig toegankelijk.

5.2.1.

In de richtlijn uit 1995 (artikel 2) worden „persoonsgegevens” gedefinieerd als „alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, ook wel „betrokkene” genoemd”. Met onderhavig verordeningsvoorstel wordt de gegevensbescherming uitgebreid tot metagegevens. De verordening is voortaan van toepassing op zowel natuurlijke als rechtspersonen. Er moet nogmaals worden onderstreept dat met het voorstel een tweeledig doel wordt beoogd: bescherming van persoonsgegevens, en waarborging van het vrije verkeer van elektronische-communicatiegegevens en elektronische-communicatiediensten in de EU (artikel 1).

5.2.2.

Het EESC beklemtoont dat het streven naar de bescherming van de gegevens van rechtspersonen (artikel 1, lid 2) zal botsen met andere teksten, waarin dat streven afwezig is: er wordt niet duidelijk gezegd dat de teksten ook voor rechtspersonen zullen moeten gelden (zie de AVGB, de gegevens in de Europese instellingen).

5.3.

Het EESC vraagt zich af of het echte doel van dit voorstel niet is om meer de nadruk te leggen op artikel 1, lid 2, daarvan, d.w.z. het waarborgen van „het vrije verkeer van elektronische-communicatiegegevens en elektronische-communicatiediensten in de Unie”, dat niet mag worden beperkt of verboden om redenen die verband houden met de eerbiediging van het privéleven en de communicatie van natuurlijke en rechtspersonen, in plaats van het daadwerkelijk waarborgen van wat er in artikel 1, lid 1, staat, nl. „het recht op eerbiediging van het privéleven en de communicatie en de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens”.

5.4.

Alles is gebaseerd op het verlenen van toestemming door de natuurlijke of rechtspersoon. Dit betekent volgens het EESC dat de gebruikers geïnformeerd en opgeleid moeten zijn en voorzichtig moeten blijven, want als ze eenmaal toestemming hebben gegeven, zal de aanbieder meer inhoud en metagegevens kunnen verwerken om zo veel mogelijk effect te sorteren en winst te maken. Hoeveel mensen weten voordat ze een cookie accepteren dat cookies trackers zijn? In verband met deze verordening zou er prioritair op moeten worden ingezet dat gebruikers leren hoe ze hun rechten kunnen laten gelden en hoe gegevens anoniem gemaakt of versleuteld kunnen worden.

6.1.

Privégegevens zouden alleen mogen worden verzameld door instanties die zelf aan zeer strenge voorwaarden voldoen en als er bekende en legitieme doelen mee worden beoogd (AVGB).

6.2.

Het EESC merkt nogmaals op te betreuren „dat de Commissie te veel uitzonderingen en beperkingen voorstelt ten aanzien van de vaststaande beginselen voor de bescherming van persoonsgegevens” (5). Het evenwicht tussen vrijheid en veiligheid zou het handelsmerk van de EU moeten blijven, en niet zozeer het evenwicht tussen persoonlijke grondrechten en bedrijfsleven. De in het kader van artikel 29 opgerichte werkgroep heeft in zijn analyse van de ontwerpverordening (WP 247 van 4 april 2017, Advies 1/2017, punt 17) duidelijk aangegeven dat de verordening leidt tot een verlaging van het beschermingsniveau zoals omschreven in de AVGB, met name waar het gaat om de locatie van de eindapparatuur en het gebrek aan beperking van de gegevens die verzameld kunnen worden, en dat de verordening niet standaard in bescherming van de persoonlijke levenssfeer voorziet (punt 19).

6.3.

Gegevens vormen een verlengde, zeg maar een „schaduwidentiteit” van een persoon. Gegevens behoren toe aan de persoon die ze genereert, maar zijn ze eenmaal verwerkt, dan heeft deze persoon er geen invloed meer op. Iedere lidstaat blijft verantwoordelijk voor het bewaren en de overdracht van gegevens, en vanwege eventuele rechtenbeperkingen die met de ontwerpverordening mogelijk worden, is er geen harmonisatie. Het EESC wijst erop dat er verschillen dreigen te ontstaan doordat het beperken van rechten aan de discretie van de lidstaten wordt overgelaten.

6.4.

Een belangrijke vraag voor met name personen die in ondernemingen werken, is: van wie zijn de gegevens die zij tijdens hun werk genereren? En hoe worden ze beschermd?

6.5.

De opzet van het controlesysteem is niet erg duidelijk (6). Ondanks het toezicht door de EDPS lijken de waarborgen om willekeur tegen te gaan onvoldoende, en er is niet beoordeeld hoelang de procedures om sancties op te leggen in beslag zullen nemen.

6.6.

Het EESC pleit voor het creëren van een Europese portaalsite waar alle Europese en nationale teksten, alle rechten, beroepsmogelijkheden, jurisprudentie en praktische aspecten samengebracht en up-to-date gehouden worden, om burgers en consumenten wegwijs te helpen maken in het oerwoud van teksten en praktijken, zodat ze hun rechten kunnen uitoefenen. Deze portaalsite zou op zijn minst gebaseerd moeten zijn op de voorschriften van Richtlijn (EU) 2016/2102 van 26 oktober 2016 inzake de toegankelijkheid van de websites en mobiele applicaties van overheidsinstanties, en op de beginselen uit de overwegingen 12, 15 en 21 van het richtlijnvoorstel inzake de zgn. Europese toegankelijkheidswet 2015/0278(COD), en zou inhoud moeten bieden die voor alle eindgebruikers toegankelijk en begrijpelijk is. Het EESC is bereid om aan het opzetten van deze portaalsite mee te helpen.

6.7.

In artikel 22 ontbreekt een verwijzing naar „groepsacties” zoals het EESC al in zijn advies over het Europees wetboek voor elektronische communicatie heeft opgemerkt.

6.8.

De beperking van het materiële toepassingsgebied (artikel 2, lid 2), de uitbreiding van de mogelijkheid om gegevens te verwerken zonder toestemming van de eigenaar (artikel 6, lid 1 en 2) en het weinig waarschijnlijke verkrijgen van toestemming van ALLE betrokken gebruikers (artikel 6, lid 3, onder b) en artikel 8, lid 1, 2 en 3), de rechtenbeperkingen waartoe de lidstaten kunnen besluiten als ze deze beperkingen „noodzakelijk, gepast en evenredig” achten, zijn allemaal regels die inhoudelijk tot zo veel interpretaties kunnen leiden dat ze de bescherming van de privacy allesbehalve ten goede komen. Specifieke aandacht moet daarnaast uitgaan naar de bescherming van gegevens betreffende minderjarigen.

6.9.

Het EESC is ingenomen met de rechten waarnaar in artikel 12 wordt verwezen, maar wijst op de zeer hermetische formulering daarvan, waarmee een lans lijkt te worden gebroken voor telefonische oproepen door bellers met een „onbekende” of „verborgen” identiteit, alsof het wordt aanbevolen om anoniem te blijven, terwijl het beginsel zou moeten zijn dat oproepen kunnen worden geïdentificeerd.

6.10.

Ongewenste communicatie (artikel 16) en direct marketing komen al aan de orde in de richtlijn over oneerlijke handelspraktijken (7). De standaardregeling zou niet gebaseerd moeten worden op opt-out (weigering), maar op opt-in (aanvaarding).

6.11.

Volgens het voorstel verricht de Commissie om de drie jaar een evaluatie. In de digitale wereld is dat te lang. Na twee evaluaties zal de digitale wereld er totaal anders uitzien. De bevoegdheid tot het vaststellen van gedelegeerde handelingen (artikel 25), die uitgebreid zal kunnen worden, zou echter moeten gelden voor een bepaalde duur, die eventueel kan worden verlengd.

6.12.

De wetgeving moet de rechten van de gebruikers beschermen (artikel 3 VEU) en tegelijkertijd zorgen voor de juridische stabiliteit die nodig is om commerciële activiteiten te kunnen ontplooien. Het EESC vindt het jammer dat in het voorstel niet wordt ingegaan op het verkeer van gegevens tussen machines (M2M). Daarvoor wordt doorverwezen naar het Europees wetboek voor elektronische communicatie (richtlijnvoorstel, artikelen 2 en 4).

6.12.1.

Het internet der dingen (IoT) (8) zal leiden tot „big data”, dan tot „huge data” en vervolgens tot „all data”. Dit is cruciaal voor de toekomstige innovatiegolven. Kleine en grote machines communiceren met elkaar en dragen persoonsgegevens aan elkaar over (denk bv. aan hartslaggegevens die via je horloge naar de computer van je arts worden gestuurd). Vele digitale spelers hebben hun eigen platform opgezet voor aangesloten apparaten: Amazon, Microsoft, Intel, en in Frankrijk Orange en La Poste.

6.12.2.

In het dagelijks leven kan het internet der dingen gemakkelijk voorwerp worden van kwaadaardige binnendringing: de hoeveelheid persoonlijke informatie die op afstand kan worden verzameld (geolokalisatie, medische gegevens, beeld- en geluidsstromen) neemt toe. Lacunes in de bescherming van gegevens wekken de belangstelling van o.m. verzekeringsmaatschappijen die beginnen om hun klanten voor te stellen aangesloten apparaten aan te schaffen en hen tot een meer verantwoord gedrag aan te zetten.

6.13.

Veel internetreuzen proberen hun oorspronkelijke applicaties om te vormen tot platforms. Zo moet er een onderscheid worden gemaakt tussen de Facebook-applicatie en het platform Facebook, dat ontwikkelaars in staat stelt om applicaties te ontwerpen die toegankelijk zijn via gebruikersprofielen. Amazon op zijn beurt was een webapplicatie gespecialiseerd in onlineverkoop. Nu is ze een platform geworden waarmee derden — van particulieren tot grote concerns — hun producten aan de man kunnen brengen en daarbij kunnen profiteren van de hulpmiddelen van Amazon: reputatie, logistiek enz. Dit gebeurt allemaal via de overdracht van persoonsgegevens.

6.14.

Met de deeleconomie ontstaat er een wildgroei aan platforms: „een platform dat een groot aantal aanbieders van goederen of diensten in contact brengt — meestal langs elektronische weg — met een groot aantal gebruikers” (9). Platforms zijn gewild vanwege de bedrijvigheid en de werkgelegenheid die ze opleveren, maar het EESC vraagt zich wel af hoe de overdracht van gegevens die ze genereren kan worden gecontroleerd, bij de toepassing van zowel de AVGB als deze verordening.