26.4.2007   

NL

Publicatieblad van de Europese Unie

C 91/15

1.

De Commissie heeft het voorstel voor een verordening van het Europees Parlement en de Raad tot vaststelling van de wijze van toepassing van Verordening (EG) nr. 883/2004 betreffende de coördinatie van de socialezekerheidsstelsels (3) (hierna „het voorstel ”te noemen) overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 voor advies aan de EDPS toegezonden. Volgens de EDPS dient het onderhavige advies in de preambule van de verordening te worden vermeld.

2.

De Commissie heeft het verzoek om advies ingediend na contacten tussen het secretariaat van de EDPS en de diensten van het betreffende DG van de Commissie (DG EMPL), in het kader van de opstelling van de prioriteitenlijst van de EDPS voor 2007 (4) Onderhavig voorstel is namelijk een van die onder de DG EMPL vallende voorstellen die kunnen rekenen op een grote belangstelling van de kant van de EDPS. Verder heeft de EDPS een bijdrage geleverd — in de vorm van enkele voorlopige kanttekeningen bij het voorstel — tijdens een hoorzitting die het Europees Parlement op 23 november 2006 had georganiseerd. De EDPS is in dit verband ingenomen met deze raadpleging en rekent erop dat het in de toekomst tijdig wordt geraadpleegd over andere Commissievoorstellen die raakvlakken hebben met de bescherming van persoonsgegevens in de sectoren sociale zekerheid en werkgelegenheid, met name de voorstellen die in zijn prioriteitenlijst worden vermeld.

3.

In het voorstel wordt de wijze van toepassing vastgesteld van Verordening (EG) nr. 883/2004 van het Europees Parlement en de Raad van 29 april 2004 betreffende de coördinatie van de socialezekerheidsstelsels. De nieuwe coördinatiebepalingen van de laatstgenoemde verordening kunnen pas worden toegepast wanneer het onderhavige voorstel tot vaststelling van de wijze van toepassing van die nieuwe bepalingen is aangenomen (5). Het voorstel zal derhalve worden geëvalueerd in samenhang met de basisverordening waarop het voorstel is gebaseerd. Opgemerkt zij dat de EDPS geen advies heeft uitgebracht over Verordening (EG) nr. 883/2004, aangezien het desbetreffende Commissievoorstel op 12 februari 1999 is aangenomen (6), voordat Verordening (EG) nr. 45/2001 in werking is getreden.

4.

Het voorstel beoogt de bestaande voorschriften te vereenvoudigen en te moderniseren door de samenwerking tussen de socialezekerheidsorganen te versterken en de methoden voor de uitwisseling van gegevens tussen deze organen te verbeteren.

5.

Het voorstel heeft een brede werkingssfeer, zowel wat de betrokken burgers als de bestreken gebieden betreft. Enerzijds heeft het betrekking op alle EU-burgers die krachtens de nationale wetgeving verzekerd zijn (met inbegrip derhalve van niet-werkenden), mits er sprake is van grensoverschrijdende elementen. Anderzijds is het van toepassing op een breed scala van sectoren van sociale zekerheid: ziekte-uitkeringen; moederschaps- en daarmee gelijkgestelde vaderschapsuitkeringen; invaliditeitsuitkeringen; ouderdomspensioenen; overlevingspensioenen; prestaties bij arbeidsongevallen en beroepsziekten; uitkeringen bij overlijden; werkloosheidsuitkeringen; vervroegde pensioenen; gezinsuitkeringen.

6.

De EDPS is ingenomen met dit voorstel, in zoverre het tot doel heeft het vrije verkeer van burgers te bevorderen en de levensstandaard en de arbeidsomstandigheden van de EU-burgers die zich binnen de Unie verplaatsen, te verbeteren.

7.

De bepalingen over de uitwisseling van persoonsgegevens tussen de nationale instanties die bevoegd zijn voor de sociale zekerheid, maken het leeuwendeel van het voorstel uit. Sociale zekerheid is onmogelijk zonder de verwerking van verschillende soorten persoonsgegevens, waarbij het veelal om gevoelige gegevens gaat. Voorts is de uitwisseling van met de sociale zekerheid verband houdende persoonsgegevens tussen de verschillende lidstaten een natuurlijk gevolg van een Europese Unie waarin burgers steeds meer gebruik maken van hun recht op vrij verkeer.

8.

Het is echter ook essentieel dat deze toegenomen uitwisseling van persoonsgegevens tussen de nationale instanties van de lidstaten niet alleen betere voorwaarden schept voor het vrije verkeer van burgers, maar ook een hoge mate van bescherming van persoonsgegevens biedt, en daarmee een van de grondrechten van de EU garandeert. In dit verband is de EDPS blij met de opmerking van het Europees Economisch en Sociaal Comité in diens advies van 26 oktober 2006 over het voorstel, namelijk dat moet worden gezorgd voor een passende bescherming van persoonsgegevens, vooral gezien de soms gevoelige aard van de desbetreffende gegevens (7).

9.

De EDPS is om advies gevraagd over het voorstel voor een uitvoeringsverordening. Zoals boven aangegeven kan de uitvoeringsverordening echter niet los worden gezien van Verordening (EG) nr. 883/2004, waarin het basisbeginsel van de coördinatie van de socialezekerheidsstelsels, ook wat betreft de bescherming van persoonsgegevens, is vastgelegd. De EDPS zal derhalve in zijn advies rekening houden met het kader dat in laatstgenoemde verordening is uitgezet. De EDPS zal zich niettemin in zijn advies concentreren op die kwesties waarvoor de opsteller van de uitvoeringsverordening nog over een bepaalde manoeuvreerruimte beschikt.

10.

Voorts wijst de EDPS erop dat het voorstel niet alleen een brede werkingssfeer heeft, maar ook zeer ingewikkeld is, omdat het gedetailleerde, en soms technische, bepalingen voor de verschillende omstandigheden, mechanismen en beperkingen in de coördinatie van de socialezekerheidsstelsels vaststelt. In zijn analyse van het voorstel zal de EDPS derhalve niet alle bepalingen afzonderlijk behandelen, maar horizontaal te werk gaan en zich concentreren op de beginselen van gegevensbescherming die voor het voorstel van bijzonder belang zijn.

11.

Deze aanpak betekent dat met dit advies wordt beoogd ervoor te zorgen dat enerzijds de wetgeving op het gebied van de gegevensbescherming wordt geëerbiedigd, en dat anderzijds de voorgestelde maatregelen efficiënt zijn, door te anticiperen op problemen die zich bij de uitvoering onder de nationale rechtsstelsels kunnen voordoen, en deze aan de orde te stellen. In dit advies zal de EDPS eerst het relevante juridische kader voor gegevensbescherming afbakenen, en vervolgens de relevante gegevensbeschermingsbeginselen toepassen op het voorstel. In zijn conclusies zal de EDPS zijn voornaamste bevindingen en aanbevelingen uiteenzetten.

12.

Volgens het voorstel zullen persoonsgegevens van verzekerde personen gewoonlijk verwerkt worden door bevoegde nationale instanties, en dus vallen onder de werkingssfeer van de nationale wetgeving ter uitvoering van Richtlijn 95/46/EG betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (hierna „de richtlijn ”te noemen) (8). In het beperkter aantal gevallen waarin gegevens van verzekerde personen worden verwerkt door de communautaire instellingen, vallen deze gegevens onder Verordening (EG) nr. 45/2001 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (9). Dit is bijvoorbeeld het geval wanneer persoonsgegevens van personeel van de EU worden verwerkt. Het huidige juridische kader inzake gegevensbescherming voorziet dus in een geharmoniseerd niveau van bescherming in de gehele EU.

13.

Het huidige voorstel berust op dit geharmoniseerde kader. De nationale wetgevingen ter uitvoering van de richtlijn zijn echter niet volledig uniform en verschillen tussen nationale wetgevingen op het gebied van gegevensbescherming kunnen nog steeds voorkomen. Het is daarom van groot belang dat de wetgever hier rekening mee houdt om te garanderen dat de voorgestelde maatregelen volledig in overeenstemming zijn met dit kader en rekening kunnen houden met die eventuele verschillen.

14.

Voorts zal de toegenomen grensoverschrijdende uitwisseling vragen om een betere coördinatie van de nationale bepalingen inzake gegevensbescherming. In dit verband is de EDPS ingenomen met artikel 77 van Verordening (EG) nr. 883/2004. In dit artikel wordt uitdrukkelijk bepaald dat gegevens die uit hoofde van de verordening, alsmede uit hoofde van de bijbehorende uitvoeringsbepalingen, worden verwerkt, worden verzonden met inachtneming van de communautaire voorschriften op het gebied van de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.

15.

In artikel 77 van genoemde verordening worden voorts aanwijzingen gegeven voor de nationale wetgeving inzake gegevensbescherming die van toepassing is bij de verzending van gegevens tussen de bevoegde instanties van verschillende lidstaten; zo gelden voor de mededeling van persoonsgegevens van de ene lidstaat naar de andere, de wettelijke bepalingen inzake gegevensbescherming van de lidstaat die de gegevens heeft verstrekt. Voor mededelingen van de ontvangende lidstaat, alsmede voor de opslag, wijziging en vernietiging van de ontvangen gegevens, gelden daarentegen de wettelijke bepalingen inzake gegevensbescherming van de ontvangende lidstaat. Deze bepaling sluit aan bij de bepaling inzake de toepasselijk nationale wetgeving van artikel 4 van de richtlijn.

16.

In het voorstel wordt zowel in overweging 3 als in artikel 3, lid 2, verwezen naar de communautaire bepalingen inzake de bescherming van persoonsgegevens. Volgens overweging 3 moeten de betrokkenen alle garanties genieten die door de communautaire bepalingen inzake de bescherming van persoonsgegevens geboden worden, en in artikel 3, lid 2, wordt specifiek gewezen op het recht van toegang tot en van rectificatie van de eigen persoonsgegevens.

17.

De EDPS is het ermee eens dat, in een juridisch instrument tot uitvoering van een betere verwerking en overdracht van persoonsgegevens, duidelijk en expliciet moet worden verwezen naar het toepasselijke gegevensbeschermingskader. Derhalve beveelt de EDPS aan om niet alleen in de overwegingen, maar ook expliciet in het dispositief (bijvoorbeeld in artikel 3), een algemene verwijzing naar de communautaire bepalingen inzake de bescherming van persoonsgegevens op te nemen. Deze algemene bepaling sluit niet uit dat in andere bepalingen, zoals die welke thans in artikel 3, lid 2, zijn vervat, nader kan worden ingegaan op meer specifieke vraagstukken betreffende de concrete toepassing van de beginselen van gegevensbescherming in het kader van de coördinatie van de socialezekerheidsstelsels (zie verder, punten 36-38).

18.

Een van de basisbeginselen van de regelgeving inzake gegevensbescherming is dat persoonsgegevens alleen worden verwerkt voor het doel waarvoor zij zijn verzameld of voor een daarmee verenigbaar doel (artikel 6, lid 1, punt b), van de richtlijn). Het voorstel bevat geen algemene bepaling inzake de doelbinding (10). Algemeen wordt er in het voorstel echter van uitgegaan dat persoonsgegevens die zijn verzameld voor een van de socialezekerheidsdoeleinden (pensioenen, invaliditeitsuitkeringen, werkloosheidsuitkeringen enz.) voor datzelfde doeleinde zullen worden verwerkt en doorgegeven aan de autoriteiten van andere lidstaten. Derhalve zullen de meeste verwerkingen waarin het voorstel voorziet, betrekking hebben op persoonsgegevens die voor hetzelfde doel of een daarmee verenigbaar doel verwerkt zijn. Dit geldt eveneens voor de verwerking van persoonsgegevens in het kader van de overdracht van gegevens voor de invordering van een schuldvordering of onverschuldigde prestaties (artikel 73).

19.

In andere omstandigheden, bijvoorbeeld in het geval van samenwerking tussen belastingdiensten, (overweging 14) kunnen socialezekerheidsgegevens ook noodzakelijk zijn voor andere dan socialezekerheidsdoeleinden. In dit geval kunnen uitzonderingen op het beginsel van doelbinding op grond van artikel 13 van de richtlijn worden gerechtvaardigd, in specifieke omstandigheden en mits zij noodzakelijk zijn en stoelen op nationale of communautaire wetgevingsmaatregelen. In dit verband zou de wetgever kunnen overwegen of de voorwaarden waaronder socialezekerheidsgegevens voor een ander doel verwerkt mogen worden, specifiek in het voorstel moeten worden genoemd.

20.

Tegen deze achtergrond is de EDPS van oordeel dat in het voorstel de fundamentele gegevensbeschermingsbepalingen inzake doelbinding in acht worden genomen. Voorts merkt de EDPS op dat het verbod op het gebruik van persoonsgegevens voor andere doeleinden dan sociale zekerheid voortvloeit uit de toepasselijke wetgeving inzake gegevensbescherming, die alleen onder specifieke en strikte voorwaarden uitzonderingen op dit algemene beginsel toestaat.

21.

Volgens de beginselen inzake gegevensbescherming moeten persoonsgegevens toereikend, ter zake dienend en niet bovenmatig zijn, uitgaande van de doeleinden waarvoor zij worden verzameld of waarvoor zij vervolgens worden verwerkt (artikel 6, lid 1, punt c), van de richtlijn). In de context van de socialezekerheidsstelsels betekent dit dat in alle omstandigheden slechts een noodzakelijk en proportioneel geheel van gegevens mag worden overgedragen.

22.

Dit beginsel is correct vastgelegd in artikel 2, lid 1, van het voorstel, waarin is bepaald dat de organen van de lidstaten elkaar alle gegevens moeten meedelen die nodig zijn voor de vaststelling van de rechten en plichten van de verzekerden. In dit verband benadrukt de EDPS dat de beoordeling van de vraag welke persoonsgegevens noodzakelijk zijn, afhankelijk van het soort uitkeringen enigszins kan variëren. Zo zullen voor ziekteverstrekkingen andere persoonsgegevens nodig zijn dan voor ouderdomspensioenen. De door de autoriteiten van de lidstaten overgedragen gegevens mogen niet verder reiken dan wat nodig is voor de rechten of plichten van de verzekerde waar het in concreto om gaat.

23.

Proportionaliteit moet ook gelden voor het aantal bevoegde instanties dat toegang heeft tot de gegevens, alsmede voor de voorwaarden en de duur van bewaring van persoonsgegevens. Alleen de betrokken autoriteiten en organen mogen toegang hebben tot de socialezekerheidsgegevens, en deze gegevens moeten worden opgeslagen in een vorm die de identificatie van de betrokkene mogelijk maakt en mogen niet langer worden bewaard dan noodzakelijk is voor de verwezenlijking van het doel waarvoor zij worden verwerkt (artikel 6, lid 1, punt e), van de richtlijn).

24.

Met betrekking tot het aantal autoriteiten en organen dat toegang heeft tot de persoonsgegevens van verzekerden zal op grond van artikel 83 van het voorstel een publiek toegankelijke gegevensbank worden opgericht waarin de betrokken organen voor elke lidstaat worden opgenomen. Er zij tevens op gewezen dat het voorstel het aan de lidstaten overlaat te beslissen of persoonsgegevens via een centraal toegangspunt in een lidstaat of rechtstreeks aan de betrokken autoriteit of het betrokken orgaan worden overgedragen (artikel 2, lid 3). Voorts kunnen er in elke lidstaat verscheidene organen worden aangewezen, waarvan er sommige op regionaal niveau actief kunnen zijn.

25.

Met betrekking tot de bewaringstermijn van persoonsgegevens wijst de EDPS erop dat de beoordeling van de proportionaliteit in het kader van de sociale zekerheid zeer uiteenlopende resultaten kan opleveren, afhankelijk van het betrokken gebied van de sociale zekerheid. Zo zal bijvoorbeeld de verwerking van persoonsgegevens voor ziekteverstrekkingen doorgaans voor een kortere tijdsspanne nodig zijn dan voor pensioenen, aangezien deze laatste wellicht gedurende een langere periode worden uitgekeerd. De bewaringstermijn van persoonsgegevens hangt ook af van het soort orgaan dat deze verwerkt. In het geval van centrale toegangspunten betekent dit bijvoorbeeld dat persoonsgegevens zullen worden verwijderd zodra zij aan de bevoegde instantie zijn doorgegeven. Het moet in ieder geval duidelijk zijn dat persoonsgegevens geschrapt of geanonimiseerd worden zodra zij niet langer nodig zijn voor het doel waarvoor zij zijn verzameld of verwerkt.

26.

In het licht van het bovenstaande benadrukt de EDPS dat er met een dergelijk complex systeem, waarin persoonsgegevens worden verwerkt en doorgegeven via een asymmetrisch netwerk van instanties, speciaal op moet worden toegezien dat de persoonsgegevens voor een proportionele termijn door de bevoegde autoriteiten worden verwerkt en dat doublures van gegevensbanken worden vermeden. De EDPS is van oordeel dat de in artikel 83 bedoelde gegevensbank ervoor zal helpen zorgen dat de voor elk specifiek geval noodzakelijke persoonsgegevens alleen aan de betrokken autoriteiten worden doorgegeven. In het huidige voorstel zou echter nog verder kunnen worden verduidelijkt hoe gegevens moeten worden doorgegeven en bewaard, zoals de Commissie dat reeds in andere voorstellen heeft gedaan (11). In dit verband is de EDPS van oordeel dat een zekere harmonisering van bewaringstermijnen niet alleen het recht van de burgers op bescherming van persoonsgegevens verzekert, maar tevens zou leiden tot een efficiëntere coördinatie tussen nationale overheidsinstanties van verschillende lidstaten.

27.

In het voorstel worden diverse mechanismen ingesteld op grond waarvan persoonsgegevens van verzekerden worden uitgewisseld tussen bevoegde instanties van verschillende lidstaten. Deze uitwisselingen van persoonsgegevens kunnen in twee grote categorieën worden onderverdeeld: uitwisseling op verzoek van de betrokkene en uitwisseling ambtshalve, doorgaans tussen derden (bevoegde organen, werkgevers), zonder een specifiek verzoek van de betrokkene. In vele gevallen zullen de bevoegde organen gevoelige gegevens, met name betreffende de gezondheidstoestand, verwerken en doorgeven.

28.

Bij al deze verwerkingsactiviteiten moeten de in de richtlijn vastgestelde voorwaarden voor het verwerken van persoonsgegevens in acht worden genomen: de bevoegde nationale instanties en de werkgevers mogen persoonsgegevens alleen verwerken met de toestemming van de betrokkene of op basis van een andere legitieme grondslag, zoals de nakoming van een wettelijke verplichting of de vervulling van een taak van algemeen belang of een taak die deel uitmaakt van de uitoefening van het openbaar gezag (artikel 7, punten a), c), en e), van de richtlijn). Er gelden striktere voorwaarden voor gevoelige gegevens, dit wil zeggen persoonsgegevens waaruit de raciale of etnische afkomst, de politieke opvattingen, de godsdienstige of levensbeschouwelijke overtuiging, of het lidmaatschap van een vakvereniging blijkt of die de gezondheid of het seksuele leven betreffen (artikel 8 van de richtlijn).

29.

In het licht daarvan wijst de EDPS erop dat de bepalingen van het voorstel zo kunnen worden opgevat dat er op grond van artikel 7, punt c), van de richtlijn een wettelijke verplichting wordt ingesteld om socialezekerheidsgegevens te verwerken en door te geven. Deze verplichting moet specifiek zijn. In de gevallen waarin het voorstel voorziet in een specifieke verplichting om persoonsgegevens te verwerken, kan de verwerking door de bevoegde nationale instanties en de werkgevers derhalve worden gebaseerd op artikel 7, punt c), van de richtlijn. Indien het voorstel echter niet rechtstreeks in deze wettelijke verplichting voorziet, dient de verwerking van persoonsgegevens te worden gebaseerd op een specifieke nationale (niet-geharmoniseerde) wettelijke verplichting of op een andere rechtsgrond.

30.

Artikel 7, onder e), van de richtlijn voorziet in de verwerking van persoonsgegevens wanneer dat noodzakelijk is voor de vervulling van een taak van algemeen belang of die deel uitmaakt van de uitoefening van het openbaar gezag dat aan de voor de verwerking verantwoordelijke of de derde aan wie de gegevens worden verstrekt, is opgedragen. Dat zou het geval zijn wanneer de betrokken instantie gegevens verwerkt in het kader van zijn taken of zijn openbaar gezag uit hoofde van een algemene — nationale dan wel communautaire — wetgevingsbepaling, en niet op basis van een specifieke wettelijke verplichting. In dat geval geldt het recht om verzet aan te tekenen op grond van artikel 14, onder a), van de richtlijn.

31.

Wanneer toestemming als rechtsgrond gebruikt wordt, overeenkomstig artikel 7, onder a), van de richtlijn, is de ruimte voor de verwerking van persoonsgegevens door overheidsinstanties of in arbeidsverhoudingen beperkter, omdat van vrije toestemming conform artikel 2, onder h), van de richtlijn alleen sprake kan zijn indien de betrokkene geldige alternatieven heeft.

32.

Met betrekking tot de verwerking van gevoelige gegevens (artikel 8 van de richtlijn) gelden soortgelijke overwegingen als in de vorige punten zijn opgesomd. De EDPS is van mening dat verplichtingen uit hoofde van de arbeidswetgeving (artikel 8, lid 2, onder b), van de richtlijn), verdere afwijkingen (artikel 8, lid 4) of toestemming (artikel 8, lid 2, onder a), toepasselijke rechtsgronden kunnen zijn voor de verwerking van gevoelige sociale zekerheidsgegevens. In dat geval kunnen specifieke beschermingsmaatregelen — zoals technische compartimentalisatiemaatregelen — nodig zijn.

33.

In het licht van vorengenoemde overwegingen wijst de EDPS erop dat hoe meer specifieke wettelijke verplichtingen voor bevoegde instanties en werkgevers het voorstel bevat om persoonsgegevens te verwerken, hoe gemakkelijker en efficiënter het in de lidstaten kan worden toegepast. De naleving van de nationale wetgeving inzake gegevensbescherming ter implementatie van de richtlijn wordt zo eenvoudiger. Zonder in te gaan op de details van de verschillende specifieke mechanismen die in het voorstel zijn opgenomen, beveelt de EDPS daarom aan dat de EU-wetgever verzekert dat alle voorgestelde mechanismen voor de verwerking en doorgifte van persoonsgegevens duidelijk gebaseerd zijn op een specifieke wettelijke verplichting waarin het voorstel rechtstreeks voorziet, of op andere legitieme gronden voor verwerking, conform artikel 7 of 8 van de richtlijn.

34.

Het adequaat informeren van de betrokkenen over de verwerking van hun persoonsgegevens en hun rechten is essentieel, als bepaald in deel IV van Richtlijn 95/46. Dat is nog belangrijker wanneer persoonsgegevens door vele instanties in verschillende lidstaten worden verwerkt en de betrokkenen daarom het risico kunnen lopen uit het oog te verliezen wie hun persoonsgegevens verwerkt en voor welk doel, en hoe ze hun rechten kunnen doen gelden.

35.

In verband hiermee is de EDPS sterk voorstander van een proactieve aanpak: de betrokkenen moeten tijdig volledige informatie krijgen, zodat duidelijk wordt hoe de ingewonnen informatie gebruikt zal worden en wat de rechten van betrokkenen zijn. Op dit punt schaart de EDPS zich niet alleen achter de oproep van het Europees Economisch en Sociaal Comité (12) om alle potentiële gebruikers van de verordening beter bekend te maken met de verordening, maar roept hij de wetgever ook op in het voorstel expliciet te verwijzen naar de noodzaak de betrokkenen specifieke en adequate informatie te verstrekken over de verwerking van hun persoonsgegevens. Dat kan gebeuren door wijziging van artikel 19 (Informatie van de verzekerden), teneinde ervoor te zorgen dat de verzekerden de nodige informatie ontvangen.

36.

De rechten van de betrokkenen zijn met name relevant in het kader van de sociale zekerheidsstelsels. Met deze rechten in de hand kunnen de betrokkenen deze controle over hun (gevoelige) gegevens behouden, ervoor zorgen dat deze correct zijn en nagaan op basis van welke informatie belangrijke besluiten worden genomen en prestaties worden verstrekt. Dit is met name van belang in een grensoverschrijdende context, waar de kans op fouten bij de doorgifte van persoonsgegevens groter zal zijn omdat de informatie moet worden vertaald. Vermeldenswaard is ook dat de grotere nauwkeurigheid van de informatie die het gevolg is van de toepassing van de rechten van de betrokkenen, niet alleen aan laatstgenoemden ten goede komt, maar ook alle betrokken socialezekerheidsinstellingen.

37.

De EDPS is zeer ingenomen met artikel 3, lid 2, van het voorstel, dat bepaalt dat de lidstaten de betrokkenen een recht van toegang tot persoonsgegevens garanderen, alsmede het recht gegevens die onjuist of onvolledig zijn te corrigeren, zulks met inachtneming van de communautaire bepalingen in verband met de verwerking van persoonsgegevens. De EDPS stelt evenwel voor die bepaling aan te vullen met een ruimere verwijzing naar alle rechten van de betrokkenen, inclusief het recht om bezwaar aan te tekenen (artikel 14 van Richtlijn 95/46) en de beschermingsmaatregelen tegen geautomatiseerde individuele besluiten (artikel 15 van Richtlijn 95/46).

38.

Voorts beveelt de EDPS aan dat in het voorstel naar behoren rekening wordt gehouden met het feit dat het de betrokkenen gemakkelijker moet worden gemaakt hun rechten in grensoverschrijdend verband effectief uit te oefenen. De betrokkenen zullen immers hun rechten moeten afdwingen in een situatie waarin hun persoonsgegevens afkomstig zijn van verschillende instanties in twee af meer landen. Daarom is het wenselijk dat de betrokkenen in dat geval hun rechten ook rechtstreeks kunnen uitoefenen via de betrokken instantie die persoonsgegevens van andere lidstaten ontvangt. Dat zou betekenen dat de bevoegde instantie die rechtstreeks contact met de betrokkene onderhoudt, wordt verzocht als enig loket op te treden, niet alleen voor socialezekerheidsuitkeringen, maar ook wat betreft alle persoonsgegevens die in verband met die uitkeringen worden verwerkt. Een verzekerde zou dan zijn of haar rechten als betrokkene via de bevoegde instantie kunnen uitoefenen, ongeacht de herkomst van de gegevens. Daarom verzoekt de EDPS de wetgever deze mogelijkheid te bezien, ook in het licht van de voorbeelden die reeds in andere Commissievoorstellen voorkomen (13).

39.

In het voorstel is de beveiliging van gegevensverwerking van specifiek belang in verband met het grootschaliger gebruik van elektronische instrumenten door de overheidsinstanties van de verschillende lidstaten. Voorts zullen in de meeste gevallen ook gevoelige gegevens worden doorgegeven, en zoals de EESC reeds heeft opgemerkt, is het daarom van nog meer belang om „ervoor te zorgen dat deze gegevens werkelijk beveiligd zijn en niet in de verkeerde handen kunnen vallen” (14).

40.

In dit opzicht verwelkomt de EDPS artikel 4 van het voorstel, dat bepaalt dat de gegevensuitwisseling tussen bevoegde organen „langs elektronische weg geschiedt in een gemeenschappelijke beveiligde omgeving die de vertrouwelijkheid en de bescherming van de uitgewisselde gegevens kan garanderen”. De EDPS benadrukt echter dat deze „gemeenschappelijke beveiligde omgeving”, waarvan de contouren moeten worden vastgesteld door de Administratieve Commissie voor de coördinatie van de socialezekerheidsstelsels (15) de aanbevelingen moet volgen van het IDABC-programma (16) (interoperabele levering van pan-Europese e-overheidsdiensten aan overheden, ondernemingen en burgers) voor de communautaire bepalingen inzake gegevensbescherming, met name die welke over verwerkingsbeveiliging gaan. De EDPS beveelt daartoe ook aan dat in gegevensbescherming en -beveiliging gespecialiseerde adviseurs betrokken worden bij de desbetreffende werkzaamheden van de Administratieve Commissie.

41.

De EDPS is ingenomen met dit voorstel, in zoverre het tot doel heeft het vrije verkeer van burgers te bevorderen en de levensstandaard en de arbeidsomstandigheden van de EU-burgers die zich binnen de Unie verplaatsen, te verbeteren. De coördinatie van de sociale zekerheidsstelsels is onmogelijk zonder de verwerking en doorgifte van verschillende soorten persoonsgegevens, waarbij het veelal om gevoelige gegevens gaat.

42.

Het is echter ook essentieel dat deze toegenomen uitwisseling van persoonsgegevens tussen de nationale instanties van de lidstaten niet alleen betere voorwaarden schept voor het vrije verkeer van mensen, maar ook een hoge mate van bescherming van persoonsgegevens biedt, en daarmee een van de grondrechten van de EU garandeert.

43.

Het voorstel sluit aan bij het geharmoniseerde kader voor gegevensbescherming dat is vastgesteld bij de communautaire bepalingen over de bescherming van persoonsgegevens, met name Richtlijn 95/46 en de nationale uitvoeringswetgeving. Het verheugt de EDPS dat er zowel in de Basisverordening nr. 883/2004 als in het voorstel op wordt gewezen dat dit kader voor gegevensbescherming van toepassing is. Specifieke problemen in verband met de toepassing van de beginselen inzake gegevensbescherming in het kader van de coördinatie van de sociale zekerheidsstelsels moeten echter uitvoerig nader worden bekeken.

44.

Wat betreft het beginsel van doelbinding, is de EDPS van mening dat in het voorstel de fundamentele gegevensbeschermingsbepalingen inzake beperking van het doel in acht genomen worden. Voorts merkt de EDPS op dat het verbod op het gebruik van persoonsgegevens voor andere doeleinden dan sociale zekerheid niet uitdrukkelijk in het voorstel is opgenomen, maar voortvloeit uit de toepasselijke wetgeving inzake gegevensbescherming, die alleen onder specifieke en strikte voorwaarden uitzonderingen op dit algemene beginsel toestaat. De wetgever zou in dit verband kunnen overwegen of de voorwaarden waaronder socialezekerheidsgegevens voor een ander doel verwerkt mogen worden, specifiek in het voorstel moeten worden genoemd.

45.

Met betrekking tot de proportionaliteit van de gegevensverwerking, de bevoegde instanties en de bewaringstermijnen, merkt de EDPS op dat er met een dergelijk complex systeem, waarin persoonsgegevens worden verwerkt en doorgegeven via een asymmetrisch netwerk van instanties, speciaal op moet worden toegezien dat de persoonsgegevens voor een proportionele termijn door de bevoegde autoriteiten worden verwerkt, en dat doublures van databanken worden vermeden. In dit verband kan in het voorstel verder verduidelijkt worden hoe gegevens moeten worden doorgegeven en bewaard.

46.

Wat de rechtsgronden voor de verwerking van persoonsgegevens betreft, beveelt de EDPS, zonder in te gaan op de details van de verschillende specifieke mechanismen die in het voorstel zijn opgenomen, de EU-wetgever aan erop toe te zien dat alle voorgestelde mechanismen voor de verwerking en doorgifte van persoonsgegevens duidelijk gebaseerd zijn op een specifieke wettelijke verplichting waarin het voorstel rechtstreeks voorziet, of op andere legitieme gronden voor verwerking, conform artikel 7 of 8 van de richtlijn.

47.

Met betrekking tot de informatie van de verzekerden, beveelt de EDPS aan in het voorstel een uitdrukkelijke verwijzing toe te voegen naar de noodzaak de betrokkenen specifieke en adequate informatie te verstrekken over de verwerking van hun persoonsgegevens.

48.

Met betrekking tot de rechten van de betrokkenen, is de EDPS zeer ingenomen met artikel 3, lid 2, van het voorstel en stelt hij voor deze bepaling aan te vullen met een ruimere verwijzing naar alle rechten van de betrokkenen, met inbegrip van het recht op verzet tegen geautomatiseerde individuele besluiten en de desbetreffende beschermingsmaatregelen. Voorts verzoekt de EDPS de wetgever de effectieve uitoefening van de rechten van de betrokkene in grensoverschrijdend verband te vergemakkelijken door te bepalen dat de bevoegde instantie die rechtstreeks contact met de betrokkene onderhoudt, als enig loket moet optreden, niet alleen voor socialezekerheidsuitkeringen, maar ook wat betreft alle gegevens die in verband met die uitkeringen worden verwerkt.

49.

Met betrekking tot de beveiligingsmaatregelen beveelt de EDPS aan dat de „gemeenschappelijke beveiligde omgeving ”voor de doorgifte van gegevens, als bepaald in artikel 4 van het voorstel, naar behoren rekening houdt met de relevante aanbevelingen over gegevensbescherming en verwerkingsbeveiliging. In dit verband moeten in gegevensbescherming en -beveiliging gespecialiseerde adviseurs betrokken worden bij de desbetreffende werkzaamheden van de Administratieve Commissie.