2.3.2018   

NL

Publicatieblad van de Europese Unie

C 81/209

Rapporteur:

Cristian PÎRVULESCU

1.1.

Gelet op haar kernwaarden en oprichtingsdocumenten is het de taak van de EU om een mondiale speler te worden voor het bevorderen van de eerbiediging van de grondrechten en een passende bescherming van de persoonlijke levenssfeer en persoonsgegevens. Daarom roept het Comité de Commissie op om op bilateraal en multilateraal niveau de hoogste normen op het gebied van bescherming van persoonsgegevens proactief te bevorderen.

1.2.

De vier kerncriteria die de Commissie in acht moet nemen bij het beoordelen van de landen waarmee een dialoog over geschiktheid moet worden gevoerd, acht het EESC evenwichtig en redelijk. Het is echter belangrijk deze criteria te bezien in het licht van daadwerkelijke inzet van de regeringen, parlementen en gerechten in deze landen om te komen tot een gelijkwaardig en functioneel niveau van bescherming van persoonsgegevens.

1.3.

Het EESC pleit voor meer transparantie en participatie in het proces voor de toekenning van adequaatheidsbesluiten. Vertegenwoordigers van het bedrijfsleven, en met name het mkb, dienen samen met consumentenverenigingen, maatschappelijke groeperingen en andere maatschappelijke organisaties hierbij te worden betrokken en geraadpleegd. Het EESC is bereid om het raadplegingsproces te bevorderen.

1.4.

Het is ingenomen met de dialoog die de Commissie is begonnen met belangrijke handelspartners in Oost- en Zuidoost-Azië, met inbegrip van Japan en Korea, en mogelijk ook India, samen met landen in Latijns-Amerika en landen die onder het Europees nabuurschapsbeleid vallen, en die belangstelling hebben getoond in het verkrijgen van een „adequaatheidsbesluit”.

1.5.

Het EESC hoopt dat de Commissie, de Raad, de regeringen en parlementen van de lidstaten en de Amerikaanse regering en het Congres de voorstellen zullen steunen vervat in de resolutie van het Europees Parlement van 6 april 2017 betreffende de gepastheid van de bescherming die het „EU-VS-privacyschild” biedt. Het Europees Parlement spreekt in zijn resolutie ernstige bezorgdheid uit, met name over het feit dat de overeenkomst en het huidige Amerikaanse rechtskader in de praktijk de rechten van EU-burgers niet beschermen.

1.6.

Gezien de snelle technologische vooruitgang en de voortdurende expansie van ICT- infrastructuur is nauwlettend toezicht en controle door de overheid geboden. Hoewel adequaatheidsbesluiten om de vier jaar worden geëvalueerd (zie artikel 45, lid 3, van de algemene verordening gegevensbescherming) pleit het EESC voor een voortdurend contact tussen de Commissie, de gegevensbeschermingsautoriteiten (DPA’s) en overheidsinstanties uit het derde land om na te gaan welke nieuwe uitdagingen zich in deze zeer dynamische technologische en economische omgeving voordoen.

1.7.

Volgens het EESC moet de Commissie van de bevordering van de normen voor gegevensbescherming via multilaterale instrumenten een prioriteit maken; dit voornemen zou ondersteund moeten worden met middelen, zodat a priori een echte bescherming van de mensenrechten kan worden bereikt en a posteriori een doeltreffend rechtsmiddel voor vooroordelen.

1.8.

Het Comité wijst erop dat de Commissie in de mededeling geen onderscheid maakt tussen verschillende soorten en toepassingen van de persoonsgegevens, met uitzondering van in strafzaken.

1.9.

Verdrag nr. 108 van de Raad van Europa van 1981 en het aanvullend protocol van 1999 zijn het enige bindende multilateraal instrument op het gebied van gegevensbescherming. Dit instrument moet verder worden ontwikkeld en meer derde landen moeten worden aangemoedigd om zich hierbij aan te sluiten.

1.10.

Binnen de OESO (Organisatie voor Economische Samenwerking en Ontwikkeling), de G20 en de APEC (economische samenwerking Azië-Stille Oceaan) moet meer worden gedaan om tot een daadwerkelijk wereldwijd multilateraal systeem voor gegevensbescherming te komen. Met de speciale rapporteur van de VN moet voor het recht op privacy degelijk en functioneel worden samengewerkt.

1.11.

Wat betreft de uitwisseling van persoonsgegevens in het kader van preventie, onderzoek en vervolging van strafbare feiten is het EESC sterk vóór het creëren van solide gegevensbeschermingsgaranties, maar staat het ook open voor de invoering van adequaatheidsbesluiten op het gebied van strafrechtshandhaving. Gegevensbescherming en de preventie van, het onderzoek naar en de vervolging van strafbare feiten, met inbegrip van cybercriminaliteit en terrorisme, moeten hand in hand gaan.

1.12.

Het EESC wijst nogmaals op het belang van de bescherming van persoonsgegevens, gegevens op het gebied van gezondheid en rehabilitatie van mensen met een handicap, zoals bepaald in artikel 22 van het VN-Verdrag inzake de rechten van personen met een handicap.

2.1.

De bescherming van persoonsgegevens is een onderdeel van Europa’s gemeenschappelijke constitutionele bestel en is verankerd in artikel 8 van het Handvest van de grondrechten van de EU. Een en ander is al meer dan twintig jaar cruciaal onderdeel van het EU-recht, vanaf de gegevensbeschermingsrichtlijn van 1995 (hierna de ‘richtlijn van 1995’ genoemd) tot de vaststelling van de algemene verordening gegevensbescherming en de politiële richtlijn in 2016.

2.2.

De in april 2016 goedgekeurde hervorming van de EU-wetgeving inzake gegevensbescherming voorziet in de opzet van een systeem dat zorgt voor een hoog niveau van bescherming binnen zowel de EU als voor bescherming bij internationale uitwisseling van persoonsgegevens voor commerciële doeleinden en rechtshandhavingsdoeleinden. De nieuwe regels treden in mei 2018 in werking.

2.3.

Na afronding van de EU-gegevensbeschermingsregels werkt de Commissie nu aan een strategie ter bevordering van internationale normen voor gegevensbescherming. De mededeling bevat een overzicht van de verschillende instrumenten voor de internationale uitwisseling van persoonsgegevens op basis van de hervormde regels inzake gegevensbescherming, alsook van de strategie voor contacten met geselecteerde derde landen om in de toekomst te komen tot adequaatheidsbesluiten en bevordering van normen voor gegevensbescherming via multilaterale instrumenten.

2.4.

De algemene verordening gegevensbescherming uit 2016 bevat een toolkit met mechanismen om persoonsgegevens uit de EU aan derde landen over te dragen: adequaatheidsbesluiten, modelcontractbepalingen, bindende bedrijfsvoorschriften, certificeringsmechanismen en gedragscodes. Het primaire doel van deze regels is te waarborgen dat de persoonsgegevens van Europeanen ook bij doorgifte naar het buitenland beschermd blijven. Hoewel de architectuur van de internationaal overgedragen persoonsgegevens vergelijkbaar is met die van de richtlijn van 1995, vereenvoudigt de hervorming de toepassing ervan, breidt deze uit en voorziet ze in nieuwe instrumenten voor internationale doorgiften (bv. gedragscodes en certificeringsmechanismen).

3.1.

Het EESC waardeert de inspanningen van de EU om de persoonsgegevens van de eigen burgers te beschermen, terwijl ze open en geïntegreerd blijft in een wereld waarin alles steeds nauwer verweven raakt.

3.2.

Gelet op haar kernwaarden en oprichtingsdocumenten is het haar taak om een mondiale speler te worden bij het bevorderen van de eerbiediging van de grondrechten en een hoge mate van bescherming van de persoonlijke levenssfeer en persoonsgegevens. Daarom roept het Comité de Commissie op om op bilateraal en multilateraal niveau de hoogste normen te bevorderen op het gebied van de bescherming van de persoonsgegevens van de eigen burgers en burgers uit derde landen.

3.3.

De EU zou de agenda voor mondiale bescherming van persoonsgegevens en de kern daarvan moeten steunen: gegevensbescherming is een grondrecht, de bescherming hiervan wordt georganiseerd door goedkeuring van overkoepelende wetgeving op dit gebied, invoering van afdwingbare individuele privacyrechten en de opzet van onafhankelijke toezichthoudende instanties.

3.4.

De hoogst mogelijke bescherming van persoonsgegevens is niet alleen een wettelijke verantwoordelijkheid, maar ook een grote kans. De digitale economie, internationale goederen- en dienstenstromen en de e-overheid profiteren allemaal van het vertrouwen van burgers in institutionele en regelgevende bescherming. Gegevensbescherming en een eerlijke internationale handel zijn van essentieel belang voor de burgers en mogen niet worden beschouwd als waarden die elkaar bijten.

3.5.

Het Comité blijft zich scharen achter de algemene richting van het EU-beleid voor gegevensbescherming, zoals het dat ook heeft gedaan in zijn eerdere adviezen, maar dringt daarbij wel aan op betere bescherming. In zijn advies SOC/455 over de algemene verordening gegevensbescherming geeft het enkele gedetailleerde voorbeelden met betrekking tot een aantal artikelen, om bij te dragen aan een betere definitie van de rechten, van betere bescherming van de burgers in het algemeen en werknemers in het bijzonder, van de aard van de toestemming, van de rechtmatigheid van de verwerking en, met name, van de taken van functionarissen voor gegevensbescherming en gegevensverwerking in het kader van de arbeidsverhouding (1).

3.6.

Verder heeft het EESC gewezen op het recht van natuurlijke en rechtspersonen op toestemming met betrekking tot hun gegevens. In advies TEN/631, Bescherming van persoonsgegevens, stelt het EESC dat „de gebruikers geïnformeerd en opgeleid moeten zijn en voorzichtig moeten blijven, want als ze eenmaal toestemming hebben gegeven, zal de aanbieder meer inhoud en metagegevens kunnen verwerken om zo veel mogelijk effect te sorteren en winst te maken. […] In verband met deze verordening [verordening betreffende de eerbiediging van de persoonlijke levenssfeer en de bescherming van de persoonsgegevens in elektronische communicatie] zou er prioritair op moeten worden ingezet dat gebruikers leren hoe ze hun rechten kunnen laten gelden en hoe gegevens anoniem gemaakt of versleuteld kunnen worden” (2).

3.7.

Het EESC steunt de oprichting, in mei 2018, van één pan-Europees pakket van regels in plaats van 28 nationale wetten zoals die nu van kracht zijn. Dankzij het nieuwe één-loketmechanisme zal er één gegevensbeschermingsautoriteit verantwoordelijk zijn voor het toezicht op grensoverschrijdende gegevensverwerking door een onderneming in de EU. Een consistente interpretatie van de nieuwe regels wordt gewaarborgd. Met name in grensoverschrijdende gevallen, waarbij verschillende nationale gegevensbeschermingsautoriteiten betrokken zijn, zal één besluit worden vastgesteld om ervoor te zorgen dat gemeenschappelijke problemen op dezelfde manier worden opgelost. Het EESC hoopt dat de nieuwe procedures niet alleen zorgen voor samenhang in de uitlegging, maar ook voor het hoogst mogelijke niveau van gegevensbescherming.

3.8.

Het stelt vast dat de mededeling en de belangrijkste voorstellen daarvan worden omarmd door Digital Europe, de organisatie die de digitaletechnologiesector in Europa vertegenwoordigt (3).

De toenemende penetratie van cloud computing leidt tot nieuwe en complexe uitdagingen, die zich nog zullen ontwikkelen gezien het snelle tempo van de technologische veranderingen. De wetgeving moet kunnen worden aangepast om gelijke tred te houden met de technologische en marktontwikkelingen.

4.1.

De door de Commissie genomen adequaatheidsbesluiten zijn momenteel het meest geschikte instrument om te zorgen voor gegevensbescherming voor EU-burgers ten aanzien van andere landen, overheids- en particuliere instanties. Zij vormen ook een nuttig instrument om derde landen aan te moedigen die streven naar een vergelijkbaar niveau van bescherming voor hun eigen burgers; naar dit instrument moet de voorkeur uitgaan voor de uitwisseling van persoonsgegevens.

4.2.

De vier kerncriteria (4) die de Commissie in acht moet nemen bij het beoordelen van de landen waarmee een dialoog over geschiktheid moet worden gevoerd, acht het EESC evenwichtig en redelijk. Het is echter belangrijk deze criteria te bezien in het licht van de daadwerkelijke inzet van de regeringen, parlementen en gerechten in deze landen om te komen tot een gelijkwaardig en functioneel niveau van bescherming van persoonsgegevens.

4.3.

Het EESC pleit voor meer transparantie en participatie in het proces voor de toekenning van adequaatheidsbesluiten. Vertegenwoordigers van het bedrijfsleven, en met name het mkb, dienen samen met consumentenverenigingen en maatschappelijke organisaties hierbij te worden betrokken en geraadpleegd. Het EESC is bereid om het raadplegingsproces te bevorderen.

4.4.

Het EESC is ingenomen met de dialoog die de Commissie is begonnen met belangrijke handelspartners in Oost- en Zuidoost-Azië, met inbegrip van Japan en Korea, en mogelijk ook India, samen met landen in Latijns-Amerika en landen die onder het Europees nabuurschapsbeleid vallen, die belangstelling hebben getoond in het verkrijgen van een „adequaatheidsbesluit”.

4.5.

Volgens het EESC is gedeeltelijke geschiktheid voor bepaalde landen, waarbij sommige sectoren en gebieden zijn opgenomen, problematisch omdat toereikende en consistente constitutionele, procedurele en institutionele waarborgen dat persoonsgegevens worden beschermd, niet gegarandeerd zijn. Gedeeltelijke adequaatheid zou een nuttige tussenfase kunnen zijn waarin de EU en de betrokken landen naar overeenstemming zoeken en de inspanningen op elkaar afstemmen. Op de lange termijn moet een meer solide en alomvattende overeenkomst worden bereikt op basis van bestaande structuren in alle betrokken landen (5).

4.6.

Het EESC is verheugd over de inspanningen om te komen tot een degelijke en functionele bilaterale kaderovereenkomst met de Verenigde Staten van Amerika. Het onlangs genomen besluit over het EU-VS-privacyschild, dat het EU-VS-veiligehavenkader vervangt, is een stap in de goede richting. Het is echter beperkt van omvang, aangezien deelname vrijwillig is. Veel organisaties in de VS zijn daarom niet aangesloten.

4.7.

Het EESC hoopt dat de Commissie, de Raad, de regeringen en parlementen van de lidstaten en de Amerikaanse regering en het Congres de voorstellen zullen steunen in de resolutie van het Europees Parlement van 6 april 2017 betreffende de gepastheid van de bescherming die het „EU-VS privacyschild” biedt. Het Europees Parlement spreekt in de resolutie ernstige bezorgdheid uit, met name over het feit dat de overeenkomst en het huidige Amerikaanse rechtskader in de praktijk de rechten van EU-burgers niet beschermen (6).

4.8.

Diverse maatschappelijke organisaties in de Europese Unie en de Verenigde Staten hebben soortgelijke zorgen uitgesproken (7). Het EESC drukt alle EU-instellingen op het hart van deze bezwaren nota te nemen.

4.9.

Het Comité stelt vast dat de Commissie een nieuw elan tot stand wil brengen, maar merkt op dat haar voorstellen rechtsonzekerheden bevatten voor personen wier rechten geschonden zijn. Diverse aspecten dragen daartoe bij:

4.10.

Toezicht na de vaststelling van een adequaatheidsbesluit is essentieel om ervoor te zorgen dat de overeenkomsten in de praktijk voldoen. Gezien de snelle technologische vooruitgang en de voortdurende expansie van ICT- infrastructuur is nauwlettend toezicht en controle door de overheid geboden. Hoewel adequaatheidsbesluiten om de vier jaar worden geëvalueerd (zie artikel 45, lid 3, van de algemene verordening gegevensbescherming) pleit het EESC voor een voortdurend contact tussen de Commissie, de gegevensbeschermingsautoriteiten en overheidsinstanties uit het derde land om na te gaan welke nieuwe uitdagingen zich in deze zeer dynamische technologische en economische omgeving voordoen.

4.11.

Het EESC moedigt de Commissie aan om met belanghebbende partijen alternatieve mechanismen te ontwikkelen voor de overdracht van persoonsgegevens, die zijn aangepast aan de specifieke behoeften en omstandigheden van specifieke bedrijfstakken, bedrijfsmodellen en/of exploitanten.

4.12.

Volgens het EESC moet de Commissie van de bevordering van de normen voor gegevensbescherming via multilaterale instrumenten een prioriteit maken; dit voornemen zou met middelen ondersteund moeten worden.

4.13.

Verdrag nr. 108 van de Raad van Europa en het aanvullend protocol zijn het enige bindende multilateraal instrument op het gebied van gegevensbescherming. Dit instrument moet verder worden ontwikkeld en meer derde landen moeten worden aangemoedigd om zich hierbij aan te sluiten.

4.14.

Binnen de OESO, de G20 en de APEC moet meer worden gedaan om tot een daadwerkelijk wereldwijd multilateraal systeem voor gegevensbescherming te komen. Met de speciale rapporteur van de VN moet voor het recht op privacy degelijk en functioneel worden samengewerkt.

4.15.

Verbetering van de samenwerking met de nationale toezichthoudende autoriteiten voor de bescherming van de privacy in derde landen moet een prioriteit zijn. Hoewel het geen juridisch bindende verplichtingen schept, kan het Global Privacy Enforcement Network (GPEN) van de OESO samenwerking op het gebied van wetshandhaving bevorderen via de uitwisseling van goede praktijken bij de aanpak van grensoverschrijdende uitdagingen en door ondersteuning van gezamenlijke handhavingsinitiatieven en bewustmakingscampagnes (8).

4.16.

Wat betreft de uitwisseling van persoonsgegevens in het kader van preventie, onderzoek en vervolging van strafbare feiten is het EESC sterk vóór het creëren van solide gegevensbeschermingsgaranties, maar staat het ook open voor de invoering van adequaatheidsbesluiten op het gebied van strafrechtshandhaving. Gegevensbescherming en de preventie van, het onderzoek naar en de vervolging van strafbare feiten, met inbegrip van cybercriminaliteit en terrorisme, moeten hand in hand gaan.

4.17.

De tussen de EU en de VS in december 2016 gesloten raamovereenkomst betreffende gegevensbescherming laat duidelijk zien hoe het recht op gegevensbescherming en verplichtingen conform het acquis van de EU in bilaterale overeenkomsten kunnen worden opgenomen. Dezelfde procedures kunnen ook op andere beleidsterreinen nuttig blijken, zoals het mededingings- of consumentenbeleid. Het EESC verzoekt de Commissie na te gaan of soortgelijke kaderovereenkomsten kunnen worden gesloten met haar belangrijke partners op het gebied van rechtshandhaving.

4.18.

Het Comité ziet uit naar de resultaten van de eerste jaarlijkse evaluatie van het „EU-VS-privacyschild” dit jaar en hoopt op een grondige en op participatie berustende oefening. Het EESC hoopt dat de EU en de VS blijven samenwerken aan een betere bescherming van persoonsgegevens.