16.5.2009   

NL

Publicatieblad van de Europese Unie

L 122/47

(1)

Radiofrequentie-identificatie (RFID) leidt een nieuwe ontwikkeling in in de informatiemaatschappij waarbij voorwerpen die zijn uitgerust met micro-elektronische componenten welke automatisch gegevens kunnen verwerken, steeds meer een integrerend deel uitmaken van het dagelijkse leven.

(2)

RFID wordt steeds meer gemeengoed en maakt derhalve op uiteenlopende gebieden zoals logistiek (1), gezondheidszorg, openbaar vervoer, de kleinhandel (met name voor een betere productveiligheid en het sneller terugroepen van producten), amusement, werk, het beheer van tolwegen, bagageafhandeling en reisdocumenten deel uit van het leven van elk mens.

(3)

RFID-technologie kan een stimulans zijn voor groei en werkgelegenheid en zo een belangrijke bijdrage leveren aan de Lissabonstrategie. Deze in economisch opzicht veelbelovende technologie biedt namelijk nieuwe bedrijfsmogelijkheden, kan leiden tot een verlaging van de kosten en een verhoging van de efficiëntie, met name door namaak aan te pakken en e-afval en gevaarlijke stoffen te beheren en afgedankte producten te recycleren.

(4)

Dankzij RFID-technologie kunnen gegevens, met inbegrip van persoonsgegevens, over korte afstanden worden verwerkt zonder fysiek contact of zichtbare interactie tussen de lezer of schrijver en de tag, zonder dat de betrokkene zich van deze interactie bewust is.

(5)

RFID-toepassingen kunnen potentieel gegevens verwerken die betrekking hebben op een bepaalde of te bepalen natuurlijke persoon, die daardoor rechtstreeks of onrechtstreeks kan worden geïdentificeerd. Ze kunnen persoonlijke gegevens verwerken die zijn opgeslagen op de tag zoals de naam, de geboortedatum of het adres van een persoon of biometrische gegevens of gegevens die een specifiek RFID-artikelnummer verbinden met persoonsgegevens die elders in het systeem zijn opgeslagen. Voorts biedt deze technologie de mogelijkheid toezicht te houden op personen door middel van één of meer voorwerpen die zij in hun bezit hebben en die voorzien zijn van een RFID-nummer.

(6)

Omdat RFID-technologie potentieel zowel alomtegenwoordig als ook vrijwel onzichtbaar is, moet bij de invoering ervan met name aandacht worden geschonken aan vraagstukken met betrekking tot de bescherming van de persoonlijke levenssfeer en persoonsgegevens. Functies voor de bescherming van de persoonlijke levenssfeer en informatiebeveiliging moeten dan ook worden ingebouwd in RFID-toepassingen voordat ze op grote schaal worden ingevoerd (het beginsel van ingebouwde zekerheid en privacy).

(7)

De talrijke economische en maatschappelijke voordelen van RFID-technologie kunnen alleen worden verwezenlijkt als doeltreffende maatregelen worden genomen die de bescherming waarborgen van persoonsgegevens, privacy en de daaraan verbonden ethische beginselen die centraal staan in het debat over de algemene aanvaarding van RFID-technologie.

(8)

De lidstaten en belanghebbenden moeten met name in deze eerste fase van de tenuitvoerlegging van RFID-technologie meer inspanningen doen om ervoor te zorgen dat toezicht wordt gehouden op RFID-toepassingen en dat de rechten en vrijheden van personen in acht worden genomen.

(9)

In haar mededeling van 15 maart 2007„Radiofrequentie-identificatie (RFID) in Europa: maatregelen met het oog op een beleidskader” (2) maakte de Commissie bekend dat zij toelichting en richtsnoeren zou verstrekken over bepaalde aspecten van de bescherming van de persoonlijke levenssfeer en persoonsgegevens van RFID-toepassingen in de vorm van één of meerdere aanbevelingen.

(10)

De rechten en plichten inzake de bescherming van persoonsgegevens en het vrij verkeer van dergelijke gegevens zoals vastgelegd in Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (3) en Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie) (4), gelden zonder enige beperking voor het gebruik van RFID-toepassingen die persoonsgegevens verwerken.

(11)

De beginselen van Richtlijn 1999/5/EG van het Europees Parlement en de Raad van 9 maart 1999 betreffende radioapparatuur en telecommunicatie-eindapparatuur en de wederzijdse erkenning van hun conformiteit (5) moeten worden toegepast bij de ontwikkeling van RFID-toepassingen.

(12)

De Europese Toezichthouder voor gegevensbescherming (6) verschaft in zijn advies richtsnoeren voor de manier waarop moet worden omgegaan met producten met een tag die bestemd zijn voor individuele personen en pleit voor effectbeoordelingen op het gebied van persoonlijke levenssfeer en beveiliging om de beste praktijken vast te stellen en te ontwikkelen ten einde de persoonlijke levenssfeer en de veiligheid van RFID-systemen te kunnen waarborgen.

(13)

Exploitanten van RFID-toepassingen moeten alle redelijke stappen nemen om ervoor te zorgen dat deze gegevens niet kunnen worden gekoppeld aan een bepaalde of te bepalen natuurlijke persoon, door middelen die deze exploitant of een andere persoon ter beschikking kunnen staan, tenzij dergelijke gegevens worden verwerkt in overeenstemming met de beginselen en wettelijke bepalingen die van toepassing zijn op gegevensbescherming.

(14)

In haar mededeling van 2 mei 2007 inzake „de verbetering van de gegevensbescherming door technologieën ter bevordering van de persoonlijke levenssfeer” (7), stelt de Commissie concrete maatregelen voor om de verwerking van persoonsgegevens tot een minimum te beperken en zoveel mogelijk gebruik te maken van anonieme of pseudonieme gegevens door technologieën ter bescherming van de persoonlijke levenssfeer te bevorderen en het gebruik hiervan door de houder van persoonsgegevens en individuele personen te steunen.

(15)

In de mededeling van de Commissie van 31 mei 2006 inzake „een strategie voor een veilige informatiemaatschappij — dialoog, partnerschap en empowerment” (8) wordt erkend dat verscheidenheid, openheid, interoperabiliteit, bruikbaarheid en concurrentie stuwende krachten zijn voor een veilige informatiemaatschappij, wordt de rol van lidstaten en overheden benadrukt in het verbeteren van de voorlichting en het bevorderen van goede praktijken op het gebied van veiligheid en worden belanghebbenden in de privésector uitgenodigd initiatieven te nemen om betaalbare veiligheidscertificeringsregelingen uit te werken voor producten, processen en diensten die gericht zijn op EU-specifieke behoeften, met name ten aanzien van de persoonlijke levenssfeer.

(16)

In zijn resolutie van 22 maart 2007 (9) inzake een strategie voor een veilige informatiemaatschappij roept de Raad de lidstaten op de nodige aandacht te besteden aan de preventie en bestrijding van nieuwe en bestaande bedreigingen van de veiligheid van elektronischecommunicatienetten.

(17)

Een op communautair niveau opgesteld kader voor effectbeoordelingen op het gebied van persoonlijke levenssfeer en beveiliging moet ervoor zorgen dat de bepalingen van deze aanbevelingen op uniforme wijze worden nageleefd in de lidstaten. Bij de ontwikkeling van een dergelijk kader moet worden voortgebouwd op bestaande praktijken en ervaringen die zijn opgedaan in de lidstaten, in derde landen en de werkzaamheden van het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) (10).

(18)

De Commissie zal ervoor zorgen dat op communautair niveau richtsnoeren worden opgesteld over het beheer van informatiebeveiliging voor RFID-toepassingen, voortbouwend op bestaande praktijken en ervaringen die zijn opgedaan in de lidstaten en derde landen. De lidstaten moeten aan dat proces bijdragen en particuliere instellingen en overheden aanmoedigen daaraan deel te nemen.

(19)

Een effectbeoordeling op het gebied van persoonlijke levenssfeer en beveiliging die door de exploitant wordt verricht voordat een RFID-toepassing wordt uitgevoerd, moet de nodige informatie verstrekken om passende beschermende maatregelen te nemen. Tijdens de levensduur van de RFID-toepassing zal toezicht op en een aanpassing van dergelijke maatregelen noodzakelijk zijn.

(20)

In de kleinhandel moet een effectbeoordeling op het gebied van de persoonlijke levenssfeer en de gegevensbescherming van producten met tags die aan de consument worden verkocht de nodige informatie verschaffen om te kunnen nagaan of de persoonlijke levenssfeer of de bescherming van persoonsgegevens in het gedrang is.

(21)

Het gebruik van internationale normen zoals die welke zijn ontwikkeld door de Internationale Organisatie voor Normalisatie (ISO), gedragscodes en beste praktijken die in overeenstemming zijn met het EU-regelgevingskader kunnen helpen bij het beheer van informatiebeveiliging en maatregelen op het gebied van de persoonlijke levenssfeer gedurende het gehele door RFID-gesteunde bedrijfsproces.

(22)

RFID-toepassingen die gevolgen hebben voor het grote publiek zoals elektronische kaartverkoop bij het openbaar vervoer, vergen passende beschermende maatregelen. Met name RFID-toepassingen die van invloed zijn op individuele personen wanneer bijvoorbeeld biometrische identificatiegegevens of gezondheidsinformatie worden verwerkt, zijn met het oog op informatiebeveiliging en privacy bijzonder problematisch en eisen derhalve specifieke aandacht.

(23)

De maatschappij als geheel moet zich bewust zijn van de rechten en plichten die van toepassing zijn op het gebruik van RFID-toepassingen. De partijen die gebruikmaken van deze technologie hebben derhalve de verantwoordelijkheid individuele personen informatie te verstrekken over het gebruik van deze toepassingen.

(24)

Door het publiek en kleine en middelgrote ondernemingen (het mkb) meer bewust te maken van de eigenschappen en mogelijkheden van RFID, zal deze technologie haar economische belofte kunnen waarmaken en zullen tegelijkertijd de risico’s van het gebruik van deze technologie ten koste van het algemene belang verminderen zodat zij meer aanvaardbaar wordt.

(25)

De Commissie zal zowel rechtstreeks als onrechtstreeks bijdragen aan de tenuitvoerlegging van deze aanbeveling door de dialoog en samenwerking tussen de belanghebbenden te vergemakkelijken, met name door middel van het kaderprogramma voor concurrentievermogen en innovatie (CIP) als vastgesteld bij Besluit nr. 1639/2006/EG van het Europees Parlement en de Raad (11) en het zevende kaderprogramma voor onderzoek (KP7) als vastgesteld bij Besluit nr. 1982/2006/EG van het Europees Parlement en de Raad (12).

(26)

Onderzoek en ontwikkeling van goedkope technologieën voor een betere bescherming van de persoonlijke levenssfeer en een verbetering van de informatiebeveiliging is van wezenlijk belang op communautair niveau om een bredere invoering van deze technologieën onder aanvaardbare voorwaarden te bevorderen.

(27)

Deze aanbeveling eerbiedigt de grondrechten en leeft de beginselen na van met name het Handvest van de grondrechten van de Europese Unie. Deze aanbeveling tracht er met name voor te zorgen dat het privé- en gezinsleven leven volledig worden eerbiedigd en dat persoonsgegevens worden beschermd,

1.

Deze aanbeveling verschaft de lidstaten richtsnoeren over het ontwerp en de werking van RFID-toepassingen op een rechtmatige, ethische, sociale en politiek aanvaardbare manier met inachtneming van het recht op privacy en met waarborging van persoonsgegevens.

2.

Deze aanbeveling verschaft richtsnoeren over maatregelen die moeten worden genomen bij de invoering van RFID-toepassingen om ervoor te zorgen dat nationale wetgeving voor de tenuitvoerlegging van de Richtlijnen 95/46/EG, 1999/5/EG en 2002/58/EG, waar van toepassing, bij de invoering van dergelijke toepassingen in acht wordt genomen.

3.

Voor deze aanbeveling gelden de definities als omschreven in Richtlijn 95/46/EG. Verder gelden de volgende definities:

a)   „radiofrequentie-identificatie” (RFID): het gebruik van elektromagnetische golven of de koppeling van reactieve velden in de radiofrequentie van het spectrum voor de communicatie naar of van een RFID-tag met behulp van verschillende modulatie- of coderingstechnieken of alleen voor het aflezen van de identificatie van een RFID-tag of andere daarin opgeslagen gegevens;

b)   „RFID-tag” of „tag”: hetzij een RFID-apparaat dat een radiosignaal kan produceren of een RFID-apparaat dat een van een lees- of schrijfinstrument ontvangen dragersignaal terugkoppelt, terugstrooit of weerkaatst (afhankelijk van het soort apparaat) en moduleert;

c)   „RFID-lezer of -schrijver” of „lezer”: een vast of mobiel instrument voor gegevensvastlegging en -identificatie dat door middel van een elektromagnetische golf of de koppeling van reactieve velden in het radiospectrum van een of meer tags een response in de vorm van gemoduleerde gegevens opwekt en teweegbrengt;

d)   „RFID-toepassing” of „toepassing”: een toepassing die gegevens verwerkt door tags en lezers te gebruiken en ondersteund wordt door een back-end systeem en een communicatie-netwerkinfrastructuur;

e)   „RFID-toepassingsexploitant” of „exploitant”: de natuurlijke of rechtspersoon, overheid, agentschap of elke ander instantie die alleen of gezamenlijk met anderen de doelstellingen en middelen bepaalt voor het exploiteren van een toepassing met inbegrip van de verantwoordelijken voor de verwerking van persoonsgegevens die gebruikmaken van een RFID-toepassing;

f)   „informatiebeveiliging”: het waarborgen van de vertrouwelijkheid, integriteit en beschikbaarheid van informatie;

g)   „toezicht”: elke activiteit die wordt uitgevoerd om de plaats, beweging, activiteiten of toestand van een persoon op te sporen, waar te nemen, kopiëren of registreren.

4.

De lidstaten dienen ervoor te zorgen dat de industrie, samen met de relevante belanghebbenden uit het maatschappelijke middenveld, een kader ontwikkelen voor effectbeoordeling op het gebied van persoonlijke levenssfeer en beveiliging. Dit kader zou niet later dan 12 maanden na de publicatie van deze aanbeveling in het Publicatieblad van de Europese Unie ter goedkeuring moeten worden voorgelegd aan de Groep gegevensbescherming artikel 29.

5.

De lidstaten dienen ervoor te zorgen dat exploitanten, ongeacht hun verplichtingen op grond van Richtlijn 95/46/EG:

6.

De lidstaten dienen de Commissie te steunen bij het identificeren van die toepassingen die de informatiebeveiliging zouden kunnen bedreigen met gevolgen voor het grote publiek. Voor dergelijke toepassingen dienen de lidstaten ervoor te zorgen dat exploitanten samen met de nationale bevoegde autoriteiten en maatschappelijke organisaties nieuwe regelingen ontwikkelen of bestaande regelingen toepassen zoals certificering of zelfbeoordeling van de exploitant om aan te tonen dat er ten aanzien van de vastgestelde risico’s een aangepast niveau bestaan van informatiebeveiliging en bescherming van de persoonlijke levenssfeer.

7.

Onverminderd de verplichtingen van de houder van persoonsgegevens dienen de lidstaten er overeenkomstig de Richtlijnen 95/46/EG en 2002/58/EG voor te zorgen dat exploitanten een beknopt, nauwkeurig en eenvoudig te begrijpen informatiebeleid voor elk van hun toepassingen ontwikkelen en bekendmaken. Dit beleid dient ten minste de volgende informatie te omvatten:

8.

De lidstaten dienen ervoor te zorgen dat exploitanten stappen nemen om personen op de hoogte te brengen van de aanwezigheid van lezers op basis van een gemeenschappelijk Europees kenmerk, dat ontwikkeld is door de Europese normaliseringsorganisaties met steun van de betrokken belanghebbenden. Dit kenmerk dient de naam van de exploitant te vermelden en een contactadres waar informatie over de toepassing kan worden verkregen.

9.

Op basis van een gemeenschappelijk Europees kenmerk, ontwikkeld door Europese normaliseringsorganisaties, in samenwerking met de betrokken belanghebbenden, dienen exploitanten burgers op de hoogte te brengen van de aanwezigheid van tags die geplaatst zijn op of ingebed zijn in producten.

10.

Bij de in punt 4 en 5 bedoelde effectbeoordelingen op het gebied van persoonlijke levenssfeer en gegevensbeveiliging dient de exploitant van een toepassing expliciet na te gaan of tags die geplaatst zijn op of ingebed zijn in producten welke via kleinhandelaren, die geen exploitant zijn van die toepassing, aan de consument worden verkocht een bedreiging kunnen vormen voor de persoonlijke levenssfeer of de bescherming van persoonsgegevens.

11.

Kleinhandelaren dienen op de plaats van verkoop tags die gebruikt worden in hun toepassing te deactiveren of te verwijderen tenzij consumenten, nadat zij op de hoogte zijn gebracht van het in punt 7 vermelde beleid, hiervoor wel toestemming verlenen. Onder deactivering van tags wordt verstaan elk proces dat de interactie van een tag met zijn omgeving stopt waarvoor geen actieve betrokkenheid van de consument nodig is. Deactivering of verwijdering van tags door de kleinhandelaar dient onmiddellijk te gebeuren zonder dat hieraan kosten mogen zijn verbonden voor de consument. Consumenten moeten kunnen verifiëren of de deactivering of verwijdering doeltreffend is.

12.

Punt 11 mag niet van toepassing zijn indien in de effectbeoordeling op het gebied van persoonlijke levenssfeer en gegevensbeveiliging wordt vastgesteld dat tags die in kleinhandeltoepassingen worden gebruikt en operationeel blijven na de verkoop waarschijnlijk geen bedreiging vormen voor de persoonlijke levenssfeer of de bescherming van persoonsgegevens. Kleinhandelaren dienen desalniettemin, onmiddellijk of in een later stadium, een eenvoudig middel kosteloos ter beschikking te stellen om deze tags te deactiveren of te verwijderen.

13.

Deactivering of verwijdering van tags betekent geenszins een vermindering of beëindiging van de juridische verplichtingen van de kleinhandelaar of producent ten opzichte van de consument.

14.

De punten 11 en 12 zijn alleen van toepassing op kleinhandelaren die ook exploitant zijn.

15.

In samenwerking met de industrie, de Commissie en andere belanghebbenden dienen de lidstaten passende maatregelen te nemen om overheden en ondernemingen, met name het mkb, voorlichting te verschaffen en bewust te maken van de potentiële voordelen en risico’s in verband met het gebruik van RFID-technologie. Bijzondere aandacht moet worden verleend aan de beveiliging van informatie en de persoonlijke levenssfeer.

16.

In samenwerking met de industrie, verenigingen uit het maatschappelijke middenveld, de Commissie en andere relevante belanghebbenden, dienen de lidstaten voorbeelden te verschaffen en bekend te maken van goede praktijken bij de tenuitvoerlegging van RFID-toepassingen om het grote publiek voorlichting te verschaffen en meer bewust te maken. Om deze technologie op bredere schaal in te voeren, dienen zij passende maatregelen te nemen zoals grootschalige proefprojecten om het publiek voor te lichten over RFID-technologie, de voordelen, risico’s en gevolgen van het gebruik.

17.

De lidstaten dienen samen te werken met de industrie, relevante belanghebbenden uit het maatschappelijke middenveld en de Commissie om de invoering van het beginsel van ingebouwde zekerheid en privacy in een vroeg stadium van de ontwikkeling van RFID-toepassingen te steunen.

18.

De lidstaten dienen alle nodige maatregelen te nemen om deze aanbeveling onder de aandacht te brengen van alle belanghebbenden die betrokken zijn bij het ontwerp en de exploitatie van RFID-toepassingen in de Gemeenschap.

19.

De lidstaten dienen de Commissie uiterlijk 24 maanden na de bekendmaking van deze aanbeveling in het Publicatieblad van de Europese Unie mee te delen welke maatregelen zij naar aanleiding van deze aanbeveling hebben genomen.

20.

Uiterlijk drie jaar vanaf de datum van bekendmaking van deze aanbeveling in het Publicatieblad van de Europese Unie legt de Commissie een verslag voor over de tenuitvoerlegging van deze aanbeveling, de doelmatigheid ervan en de impact ervan op exploitanten en consumenten, met name wat betreft de maatregelen die werden aanbevolen in de punten 9 tot 14.

21.

Deze aanbeveling is gericht tot de lidstaten.