ISSN 1725-2474

doi:10.3000/17252474.C_2009.128.nld

Publicatieblad

van de Europese Unie

C 128

European flag  

Uitgave in de Nederlandse taal

Mededelingen en bekendmakingen

52e jaargang
6 juni 2009


Nummer

Inhoud

Bladzijde

 

I   Resoluties, aanbevelingen en adviezen

 

ADVIEZEN

 

De Europese Toezichthouder voor gegevensbescherming

2009/C 128/01

Advies van de Europese Toezichthouder voor gegevensbescherming over het eindverslag van de EU-VS-Contactgroep op hoog niveau inzake informatie-uitwisseling en privacy en bescherming van persoonsgegevens

1

2009/C 128/02

Advies van de Europese Toezichthouder voor gegevensbescherming over de Mededeling van de Commissie aan de Raad, het Europees Parlement en het Europees Economisch en Sociaal Comité — Naar een Europese strategie inzake e-justitie

13

2009/C 128/03

Ontwerp-advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg

20

2009/C 128/04

Tweede advies van de Europese toezichthouder voor gegevensbescherming over de herziening van Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie)

28

2009/C 128/05

Advies van de Europese toezichthouder voor gegevensbescherming inzake het voorstel voor een richtlijn van de Raad houdende verplichting voor de lidstaten om minimumvoorraden ruwe aardolie en/of aardolieproducten in opslag te houden

42

 

IV   Informatie

 

INFORMATIE AFKOMSTIG VAN DE INSTELLINGEN EN ORGANEN VAN DE EUROPESE UNIE

 

Commissie

2009/C 128/06

Wisselkoersen van de euro

45

 

Rectificaties

2009/C 128/07

Rectificatie van de door de Europese Centrale Bank toegepaste rentevoet voor de basisherfinancieringstransacties (PB C 124 van 4.6.2009)

46

NL

 


I Resoluties, aanbevelingen en adviezen

ADVIEZEN

De Europese Toezichthouder voor gegevensbescherming

6.6.2009   

NL

Publicatieblad van de Europese Unie

C 128/1


Advies van de Europese Toezichthouder voor gegevensbescherming over het eindverslag van de EU-VS-Contactgroep op hoog niveau inzake informatie-uitwisseling en privacy en bescherming van persoonsgegevens

2009/C 128/01

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,

Gelet op het Handvest van de grondrechten van de Europese Unie, en met name op artikel 8,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens,

Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, en met name op artikel 41,

BRENGT HET VOLGENDE ADVIES UIT:

I.   INLEIDING — CONTEXT VAN HET ADVIES

1.

Met het oog op de EU-top van 12 juni 2008 deelde het voorzitterschap van de Raad van de Europese Unie op 28 mei 2008 aan het Coreper mee dat de EU-VS-Contactgroep op hoog niveau (hierna de HLCG) inzake informatie-uitwisseling en privacy en de bescherming van persoonsgegevens zijn verslag had voltooid. Dit verslag werd op 26 juni 2008 (1) gepubliceerd.

2.

Het verslag heeft als doel gezamenlijke beginselen voor privacy en gegevensbescherming te bepalen, als eerste stap naar informatie-uitwisseling met de Verenigde Staten in de strijd tegen terrorisme en ernstige grensoverschrijdende misdaad.

3.

In zijn mededeling laat het voorzitterschap van de Raad weten dat het zich aanbevolen houdt voor ideeën voor de follow-up van het verslag, met name voor reacties op de hierin aanbevolen mogelijkheden. De EDPS brengt daarom het volgende advies uit, op basis van de gemelde stand van zaken en onverminderd de standpunten die de EDPS gaandeweg zou kunnen innemen.

4.

De EDPS merkt op dat de werkzaamheden van de HLCG hebben plaatsgevonden in een context waarin, vooral sinds 11 september 2001, de gegevensuitwisseling tussen de VS en de EU verder is ontwikkeld middels internationale overeenkomsten of andere vormen van regelgeving. Daartoe behoren onder meer de overeenkomsten van Europol en Eurojust met de Verenigde Staten, alsook de PNR-overeenkomsten en de zaak SWIFT, die heeft geleid tot een briefwisseling tussen EU- en VS-ambtenaren om minimumwaarborgen voor gegevensbescherming vast te stellen (2).

5.

Voorts worden dergelijke regels voor de uitwisseling van persoonsgegevens ook met andere landen besproken en vastgesteld. Een recent voorbeeld is de Overeenkomst tussen de Europese Unie en Australië inzake de verwerking en overdracht van persoonsgegevens van passagiers (PNR-gegevens) uit de Europese Unie door luchtvaartmaatschappijen aan de Australische douane (3).

6.

Uit het bovenstaande blijkt dat de vraag van de wetshandhavingsautoriteiten van derde landen naar persoonsgegevens voortdurend toeneemt, en naast traditionele overheidsgegevensbanken ook andere soorten bestanden, met name door de privésector samengestelde gegevensbanken, omvat.

7.

Voorts is het van belang dat de overdracht van persoonsgegevens aan derde landen in het kader van politiële en justitiële samenwerking in strafzaken ook wordt geregeld in het gelijknamige kaderbesluit van de Raad (4), dat naar verwachting vóór eind 2008 zal worden aangenomen.

8.

Verwacht wordt dat deze trans-Atlantische informatie-uitwisseling alleen maar zal toenemen en zich zal uitbreiden tot andere sectoren waar persoonsgegevens worden verwerkt. In een dergelijke context komt een dialoog over „trans-Atlantische wetshandhaving” gelegen, maar hij is ook delicaat. De dialoog komt gelegen, omdat hij een duidelijker kader kan scheppen voor gegevensuitwisseling, nu en in de toekomst. Een dergelijke dialoog is echter ook delicaat, omdat dit kader de legitimatie zou kunnen vormen voor massale gegevensoverdracht op een gebied — wetshandhaving — met een bijzonder grote impact op personen en waarop strenge en betrouwbare waarborgen en garanties des te noodzakelijker zijn (5).

9.

In het volgende hoofdstuk worden de stand van zaken en de mogelijkheden besproken. Hoofdstuk III is gewijd aan het toepassingsgebied en de vorm van een regeling die informatie-uitwisseling mogelijk maakt. In hoofdstuk IV worden vanuit een algemeen oogpunt de inhoudelijke juridische aspecten van een mogelijke overeenkomst geanalyseerd. Er komen kwesties aan bod zoals de beoordelingscriteria van het beschermingsniveau in de Verenigde Staten, en het gebruik van het regelgevingskader van de EU als een benchmark om dit beschermingsniveau te beoordelen. Het hoofdstuk bevat ook een overzicht van de basisvereisten die in een dergelijke overeenkomst moeten worden opgenomen. Tot slot worden in hoofdstuk V de bij het verslag gevoegde privacybeginselen geanalyseerd.

II.   STAND VAN ZAKEN EN MOGELIJKHEDEN.

10.

Hierna volgt de beoordeling van de stand van zaken door de EDPS. Er is vooruitgang geboekt bij het bepalen van gezamenlijke normen voor informatie-uitwisseling en de bescherming van persoonsgegevens.

11.

De voorbereidingen voor een overeenkomst tussen de EU en de VS, ongeacht de vorm, zijn echter nog niet afgerond, en extra inspanningen zijn noodzakelijk. In het verslag van de HLCG zelf zijn een aantal niet-afgehandelde kwesties vermeld, waarvan de belangrijkste die van de „beroepsmogelijkheden” is. Er is nog geen overeenstemming over het noodzakelijke toepassingsgebied van de rechtsmiddelen (6). Vijf andere openstaande kwesties zijn in hoofdstuk 3 van het verslag vermeld. Uit dit advies zal blijken dat er nog veel hangpunten zijn, bijvoorbeeld inzake het toepassingsgebied en de vorm van een regeling voor informatie-uitwisseling.

12.

Aangezien in het verslag de voorkeur uitgaat naar een bindende overeenkomst — de EDPS deelt deze voorkeur — is des te meer voorzichtigheid geboden. Een overeenkomst zal verder zorgvuldig en grondig moeten worden voorbereid.

13.

Tot besluit is de EDPS van mening dat een overeenkomst het best zou worden gesloten op grond van het Verdrag van Lissabon, maar dit hangt natuurlijk af van de inwerkingtreding ervan. Met het Verdrag van Lissabon wordt juridische onzekerheid over de scheidingslijn tussen de EU-pijlers namelijk vermeden. Bovendien worden zo de volledige betrokkenheid van het Europees Parlement en de rechterlijke toetsing door het Hof van Justitie verzekerd.

14.

Onder de huidige omstandigheden verdient het de voorkeur een routekaart op te stellen voor een eventuele latere overeenkomst. Deze routekaart zou dan de volgende elementen kunnen bevatten:

richtsnoeren voor verdere werkzaamheden van de HLCG (of een andere groep) en een tijdschema;

de bespreking en mogelijke vaststelling van fundamentele kwesties, zoals het toepassingsgebied en de vorm van de overeenkomst;

de verdere ontwikkeling van de gegevensbeschermingsbeginselen, op basis van een gezamenlijke visie op deze fundamentele kwesties;

het betrekken van stakeholders bij de verschillende fasen van de procedure;

het aanpakken van de institutionele hindernissen op Europees niveau.

III.   TOEPASSINGSGEBIED EN VORM VAN EEN AKKOORD OVER INFORMATIE-UITWISSELING

15.

Volgens de EDPS is het van cruciaal belang dat het toepassingsgebied en de vorm van een tekst met gegevensbeschermingsbeginselen, als een eerste stap in de verdere ontwikkeling ervan, duidelijk worden bepaald.

16.

Wat het toepassingsgebied betreft, moeten belangrijke vragen worden beantwoord:

wie zijn de betrokken actoren op het gebied van wetshandhaving en daarbuiten;

wat wordt verstaan onder „met wetshandhaving als doel”, en hoe staat dit in verhouding tot de andere doelen, zoals nationale veiligheid en meer in het bijzonder grenscontrole en volksgezondheid;

hoe passen de voorschriften in het kader van een grote trans-Atlantische ruimte van veiligheid?

17.

De vorm van de regeling zou duidelijkheid moeten scheppen op de volgende punten:

In welke pijler komt, in voorkomend geval, het akkoord tot stand?

Is het akkoord bindend voor de partijen?

Heeft het rechtstreekse werking, in die zin dat het persoonlijke rechten en verplichtingen bevat die in rechte kunnen worden afgedwongen?

Maakt het akkoord zelf de informatie-uitwisseling mogelijk, of bepaalt het minimumnormen daarvoor, die met specifieke overeenkomsten moeten worden aangevuld?

Hoe verhoudt het akkoord zich tot de bestaande regelingen; is het eraan ondergeschikt, vervangt het ze of vult het ze aan?

III. 1.   Toepassingsgebied

Betrokken actoren

18.

Hoewel de HLCG het toepassingsgebied niet duidelijk aangeeft, kan uit de door hun vermelde beginselen worden afgeleid dat het zowel de overdrachten tussen particuliere en overheidsactoren (7) als tussen overheidsinstanties omvat.

—   Tussen particuliere en overheidsactoren:

19.

De EDPS begrijpt de logica van de toepasselijkheid op overdracht tussen particuliere en overheidsactoren. Het akkoord komt tot stand in het kader van de recente Amerikaanse verzoeken om informatie van particuliere actoren. De EDPS merkt op dat, vanuit het oogpunt van wetshandhaving, particuliere actoren zowel op EU-niveau als internationaal een systematische informatiebron worden (8). De zaak SWIFT, waarin een privé-onderneming door de wetshandhavingsautoriteiten van een derde land werd verzocht systematisch en op grote schaal gegevens door te geven, was een belangrijk precedent hiervoor (9). De verzameling van PNR-gegevens door luchtvaartmaatschappijen volgt dezelfde logica. In zijn advies betreffende een ontwerp-kaderbesluit voor een Europees PNR-systeem heeft de EDPS de rechtmatigheid van deze trend ter discussie gesteld (10).

20.

Er zijn nog twee bezwaren tegen het inlassen van overdracht tussen particuliere en overheidsactoren in het toepassingsgebied.

21.

Ten eerste zou dit een ongewenst effect kunnen hebben binnen de EU zelf. De EDPS is zeer bezorgd dat, indien gegevens van privébedrijven (zoals financiële instellingen) in principe naar derde landen kunnen worden overgedragen, dit de druk zou kunnen vergroten om dergelijke gegevens ook binnen de EU voor wetshandhavingsautoriteiten beschikbaar te stellen. Een voorbeeld van zulke ongewenste ontwikkelingen is de PNR-regeling, die bij aanvang het op grote schaal verzamelen van passagiersgegevens door de VS betrof, en daarna ook werd overgezet op de interne Europese context (11), zonder dat de noodzakelijkheid en evenredigheid van het systeem duidelijk waren bewezen.

22.

Ten tweede heeft de EDPS in zijn advies betreffende het Commissievoorstel voor EU-PNR ook de vraag opgeworpen welk gegevensbeschermingkader (eerste of derde pijler) van toepassing is op de samenwerking tussen de particuliere en overheidsactoren. Is de hoedanigheid van de verantwoordelijke voor de verwerking (particuliere sector) dan wel het beoogde doel (wetshandhaving) bepalend? De scheidingslijn tussen de eerste en derde pijler is verre van duidelijk indien particuliere actoren worden verplicht om persoonsgegevens met het oog op wetshandhaving te verwerken. In deze context is het opvallend dat advocaat-generaal Bot in zijn recente conclusie in de zaak rond het bewaren van gegevens (12) een scheidingslijn voorstelt voor dergelijke situaties, maar daarbij tegelijk verklaart: „Deze scheidingslijn is zeker niet vrij van elke kritiek en kan in bepaalde opzichten kunstmatig lijken.” De EDPS merkt ook op dat het PNR-arrest van het Hof (13) geen uitsluitsel geeft over het toepasselijke juridische kader. Zo betekent het feit dat bepaalde activiteiten niet onder Richtlijn 95/46/EG vallen niet automatisch dat zij in de derde pijler kunnen worden geregeld. De wet kan bijgevolg nog mazen blijven vertonen en in elk geval rechtsonzekerheid ten aanzien van de juridische waarborgen voor de betrokkenen opleveren.

23.

De EDPS vindt daarom dat een akkoord met algemene gegevensbeschermingsbeginselen op zich geen legitimatie mag zijn voor trans-Atlantische overdracht van persoonsgegevens tussen particuliere en overheidsactoren. Een dergelijke overdracht kan alleen worden toegestaan mits:

bewezen wordt dat zij absoluut noodzakelijk is voor een specifiek, per geval bepaald doel;

de overdracht zelf gebeurt onder strenge gegevensbeschermingsvoorwaarden (zoals beschreven in dit advies).

Voorts merkt de EDPS de onzekerheid op over het toepasselijke gegevensbeschermingskader, en hij pleit er dan ook voor om onder geen beding de overdracht van persoonsgegevens tussen particuliere en overheidsactoren in te voegen in het EU-recht onder de huidige vorm.

—   Tussen overheidsinstanties:

24.

Het exacte toepassingsgebied van de informatie-uitwisseling is onduidelijk. Als eerste stap moet worden verduidelijkt welk toepassingsgebied wordt beoogd:

Wat gegevensbanken in de EU betreft — gecentraliseerde gegevensbanken die (deels) door de EU worden beheerd, zoals de Europol- en Eurojustgegevensbanken, of gedecentraliseerde gegevensbanken die door de lidstaten worden beheerd, of beide?

Ook gekoppelde netwerken, dat wil zeggen, gelden de voorziene waarborgen ook voor gegevens die tussen lidstaten of agentschappen in de EU en de VS worden uitgewisseld?

Alleen de uitwisseling tussen wetshandhavingsdatabanken (politie, justitie, mogelijks douane), of ook tussen andere, bijvoorbeeld fiscale databanken?

Ook gegevensbanken van nationale veiligheidsdiensten? Zouden deze diensten toegang krijgen tot wetshandhavingsdatabanken van de andere partij (EU tot VS en omgekeerd)?

Informatieoverdracht per geval, of permanente toegang tot bestaande gegevensbanken? De tweede mogelijkheid zou zeker vragen in verband met de evenredigheid oproepen, zoals ook besproken in hoofdstuk V, punt 3.

Wetshandhaving als doel

25.

Ook het doel van de overeenkomst is ongewis. In de inleiding en in het eerste beginsel bij het verslag is duidelijk sprake van wetshandhaving. Daar wordt in hoofdstuk IV van dit advies dieper op ingegaan. De EDPS merkt nu al op dat blijkens het verslag de uitwisseling van gegevens de derde pijler zou betreffen. De vraag is echter of dit niet een eerste stap is naar een bredere informatie-uitwisseling. Tot de doeleinden van „openbare veiligheid” die in het verslag worden aangehaald, behoort ook de strijd tegen terrorisme, georganiseerde misdaad en andere misdaden. Wordt hiermee echter ook bedoeld de uitwisseling van gegevens voor een ander algemeen belang, bijvoorbeeld in verband met risico's voor de volksgezondheid?

26.

De EDPS pleit ervoor dat alleen de verwerking van nauwkeurig bepaalde gegevens onder de overeenkomst wordt gebracht, en dat de beleidskeuzes die daaraan ten grondslag liggen, worden gerechtvaardigd.

Een globale trans-Atlantische ruimte van veiligheid

27.

Het brede toepassingsgebied van dit verslag moet worden gezien in het licht van de algehele trans-Atlantische ruimte van veiligheid die door de zogenaamde Toekomstgroep (14) wordt besproken. Het in juni 2008 gepubliceerde verslag van deze groep belicht de externe dimensie van het binnenlandsezakenbeleid. De groep vindt dat „tegen 2014(...) de Europese Unie zich ook (moet) uitspreken over de politieke doelstelling om met de Verenigde Staten een Europees-Atlantische samenwerkingsruimte van vrijheid, veiligheid en recht tot stand te brengen”. Deze samenwerking zou verder gaan dan veiligheid sensu stricto en zou ten minste de thema's uit Titel IV van het EG-Verdrag omvatten, zoals immigratie, visa, asiel en justitiële samenwerking in burgerlijke zaken. Daarbij moet de vraag worden gesteld in hoeverre een overeenkomst over grondbeginselen voor gegevensbescherming, bijvoorbeeld die uit het verslag van de HLCG, de basis kan en moet vormen voor informatie-uitwisseling op zo'n uitgestrekt terrein.

28.

Normaal gezien zal de pijlerstructuur tegen 2014 niet langer bestaan en zal er binnen de EU één rechtsgrondslag voor gegevensbescherming gelden (krachtens het Verdrag van Lissabon, artikel 16 van het Verdrag betreffende de werking van de Europese Unie). De harmonisatie op EU-niveau met betrekking tot de regeling van gegevensbescherming, betekent evenwel niet dat een overeenkomst met een derde land de overdracht van persoonsgegevens, ongeacht het doel, mogelijk maakt. Afhankelijk van de context en de verwerkingsvoorwaarden kunnen aangepaste waarborgen voor gegevensbescherming worden vereist op specifieke gebieden als wetshandhaving. De EDPS wenst dat bij de voorbereiding van een overeenkomst rekening wordt gehouden met de implicaties van deze verschillen tussen de invalshoeken.

III.2.   Vorm van de overeenkomst

Het Europees institutioneel kader

29.

Op korte termijn is het in elk geval van essentieel belang te bepalen binnen welke pijler zal worden onderhandeld, vooral omdat het interne regelgevingskader voor gegevensbescherming door de overeenkomst zal worden beïnvloed: de eerste pijler — dus Richtlijn 95/46/EG, met haar bijzondere regeling voor doorgifte aan derde landen — of de derde pijler, met een minder strenge regeling (15)?

30.

Zoals vermeld, is in het verslag van de HLCG het overwegende doel wetshandhaving, maar wordt ook het verzamelen van gegevens van particuliere actoren vermeld. Bovendien kunnen de doelen in bredere zin dan louter veiligheid worden geïnterpreteerd, en ook thema's als immigratie en grenscontrole omvatten, mogelijk zelfs volksgezondheid. Gezien deze onduidelijkheid is het ten sterkste aan te raden op de harmonisatie van de pijlers onder het EU-recht te wachten, zoals voorzien in het Verdrag van Lissabon, teneinde de rechtsgrond voor de onderhandelingen en de exacte rol van de Europese instellingen, meer bepaald het Europees Parlement en de Commissie, duidelijk vast te stellen.

Bindend karakter

31.

Verduidelijkt moet worden of de besprekingen zullen leiden tot een memorandum van overeenstemming of een andere niet-bindende tekst, dan wel tot een bindende internationale overeenkomst.

32.

De EDPS steunt de in het verslag vermelde voorkeur voor een bindende overeenkomst. Een officiële bindende overeenkomst is volgens de EDPS een onontbeerlijke voorwaarde voor de overdracht van gegevens buiten de EU, ongeacht het doel van die overdracht. Zonder de toepasselijke voorwaarden en waarborgen in een specifiek (en bindend) juridisch kader, kunnen geen gegevens worden meegedeeld aan een derde land. Met andere woorden, een memorandum van overeenstemming of een andere niet-bindende tekst kan nuttig zijn als leidraad bij de onderhandelingen over een bindende overeenkomst, maar kan de noodzaak van een bindende overeenkomst niet wegnemen.

Rechtstreekse werking

33.

De bepalingen moeten even bindend zijn voor de VS, de EU en haar lidstaten.

34.

Voorts moet worden verzekerd dat men op basis van de overeengekomen beginselen zijn rechten kan uitoefenen, in het bijzonder het beroepsrecht. Volgens de EDPS kan dit resultaat het best worden bereikt indien de materiële bepalingen zo worden geformuleerd dat zij rechtstreekse werking hebben voor de inwoners van de Europese Unie en in rechte kunnen worden ingeroepen. In het akkoord moet de rechtstreekse werking dus worden vastgelegd, evenals de voorwaarden voor de omzetting ervan in Europees en nationaal recht, teneinde de doeltreffendheid van de maatregelen te waarborgen.

Verhouding tot andere overeenkomsten

35.

Belangrijk is voorts in hoeverre de overeenkomst op zichzelf staat, dan wel per geval moet worden aangevuld met verdere overeenkomsten betreffende specifieke gegevensuitwisseling. Het is namelijk maar de vraag of één overeenkomst, met één reeks normen, de veelheid van gegevensverwerkingsaspecten in de derde pijler zou kunnen bestrijken. Onzekerder is of zo'n overeenkomst, zonder aanvullende besprekingen en waarborgen, een algemene goedkeuring voor de doorgifte van persoonsgegeven zou kunnen inhouden, ongeacht het doel en de aard van de gegevens. Bovendien zijn overeenkomsten met derde landen niet per se permanent, omdat zij in verband kunnen staan met een bepaalde dreiging, en onderworpen kunnen zijn aan herziening en voorzien kunnen zijn van vervalclausules. Daar staat tegenover dat de gezamenlijke minimumnormen in een bindende tekst bevorderlijk kunnen zijn voor verdere besprekingen over de doorgifte van persoonsgegevens in verband met een bepaalde gegevensbank of bepaalde verwerkingen.

36.

De EDPS pleit daarom voor een beperkte reeks gegevensbeschermingscriteria, die dan per geval kan worden aangevuld met specifieke bepalingen, zoals vermeld in het HLCG-verslag, in plaats van een autonome overeenkomst. Zonder zulke aanvullende specifieke bepalingen kunnen in een bepaald geval geen gegevens worden meegedeeld; zij zullen de harmonisatie van gegevensbescherming ten goede komen.

Toepassing op bestaande overeenkomsten

37.

Tevens moet worden onderzocht hoe een algemene overeenkomst te combineren is met de bestaande overeenkomsten tussen de EU en de VS, die immers niet dezelfde, bindende aard hebben, bijvoorbeeld de PNR-overeenkomst (deze met de grotere mate van rechtszekerheid), de Europol- en Eurojust-overeenkomsten en de briefwisseling rond SWIFT (16). Zou een nieuw algemeen kader de bestaande overeenkomsten aanvullen, of deze onverlet laten en alleen op toekomstige uitwisselingen van persoonsgegevens van toepassing zijn? De EDPS is van mening dat, in het belang van de juridische samenhang, een geharmoniseerd stel regels noodzakelijk is, die op zowel bestaande als toekomstige bindende overeenkomsten inzake gegevensoverdracht van toepassing zijn en die deze overeenkomsten aanvullen.

38.

Toepassing van de algemene overeenkomst op de bestaande overeenkomsten zou het voordeel hebben dat het bindende karakter van deze overeenkomsten wordt versterkt. Dit zou vooral van pas komen voor niet-bindende akkoorden zijn, zoals de briefwisseling rond SWIFT, aangezien ten minste de naleving van een stel algemene privacybeginselen zou worden opgelegd.

IV.   ALGEMENE JURIDISCHE BEOORDELING

39.

In dit hoofdstuk wordt nagegaan hoe het beschermingsniveau van een specifieke regeling of kaderregeling wordt beoordeeld, welke benchmarks moeten worden gebruikt en wat de basisvereisten zijn.

Passend beschermingsniveau

40.

Volgens de EDPS zal een van de voornaamste resultaten van de overeenkomst moeten zijn dat de persoonsgegevens aan de Verenigde Staten kunnen worden overgedragen als autoriteiten in de VS een passend beschermingsniveau garanderen (en vice versa).

41.

De EDPS is van mening dat het beschermingsniveau pas gewaarborgd kan zijn als het passende karakter echt is getest. Hij is van mening dat een algemene raamovereenkomst met een breed toepassingsgebied in de zin van het HLCG-verslag, een dergelijke test moeilijk zou doorstaan. Het passende karakter van een algemene overeenkomst kan alleen worden erkend, als het tevens wordt erkend met betrekking tot de specifieke overeenkomsten die per geval zijn gesloten.

42.

Het is niet ongebruikelijk dat het door derde landen geboden beschermingsniveau wordt beoordeeld, met name door de Europese Commissie. In de eerste pijler is het passende karakter een voorwaarde voor overdracht. Het passende karakter is bij verschillende gelegenheden krachtens artikel 25 van Richtlijn 95/46/EG gemeten op basis van specifieke criteria, en bevestigd bij besluit van de Europese Commissie (17). De derde pijler heeft hierin niet expliciet voorzien. Meting wordt alleen voorgeschreven voor de specifieke situaties uit de artikelen 11 en 13 van het — nog niet aangenomen — kaderbesluit over de bescherming van persoonsgegevens (18) en wordt aan de lidstaten overgelaten.

43.

In het onderhavige geval bestrijkt het toepassingsgebied de doeleinden van wetshandhaving en worden de gesprekken door de Commissie gevoerd, onder toezicht van de Raad. De context verschilt van de beoordeling van de veiligehavenbeginselen of het passende karakter van de Canadese wetgeving, en houdt meer verband met de recente PNR-onderhandelingen met de VS en met Australië, die in het juridisch kader van de derde pijler plaatsvonden. De beginselen van de HLCG zijn echter ook vermeld in het kader van het visumontheffingsprogramma, dat betrekking heeft op grenzen en immigratie, bijgevolg op de eerste pijler.

44.

De EDPS pleit ervoor om bij de beoordeling van het passende karakter voortaan uit te gaan van de al bestaande ervaring op deze gebieden. Het begrip „passend karakter” zou in het kader van elke nieuwe overeenkomst nader moeten worden uitgewerkt op basis van de criteria die al bij eerdere beoordelingen zijn gehanteerd.

Wederzijdse erkenning — wederkerigheid

45.

Een tweede element van het beschermingsniveau heeft betrekking op de wederzijdse erkenning van de systemen van de VS en de EU. Volgens de HLCG is het de bedoeling dat beide partijen de doeltreffendheid van elkaars privacy- en gegevensbeschermingssystemen gaan erkennen op de gebieden die door deze beginselen worden bestreken (19), en een gelijke en wederzijdse toepassing van de wetgeving inzake privacy en persoonsgegevensbescherming bewerkstelligen.

46.

Voor de EDPS is het duidelijk dat wederzijdse erkenning (of wederkerigheid) alleen mogelijk is indien een gepast beschermingsniveau wordt gewaarborgd. Met andere woorden, de minimumbescherming moet worden geharmoniseerd (via een beoordeling van het passende karakter, rekening houdend met de behoefte aan specifieke overeenkomsten per geval). Alleen onder deze voorwaarde kan wederkerigheid worden erkend.

47.

Het eerste element waarmee rekening moet worden gehouden is de wederkerigheid van de materiële bepalingen inzake gegevensbescherming. Volgens de EDPS moet de wederkerigheid van de materiële bepalingen inzake gegevensbescherming zo worden geregeld dat enerzijds bij de gegevensverwerking op het grondgebied van de EU (en de VS) de nationale wetgeving inzake gegevensbescherming ten volle wordt gerespecteerd, en anderzijds de gegevensverwerking buiten het land van oorsprong die binnen het toepassingsgebied van de overeenkomst valt, gebeurt volgens de gegevensbeschermingsbeginselen uit de overeenkomst.

48.

Het tweede element is de wederkerigheid van de beroepsmogelijkheden. Europese burgers wier persoonsgegevens in de Verenigde Staten worden verwerkt, moeten — ongeacht de wetgeving die van toepassing is — over voldoende beroepsmogelijkheden beschikken, maar ook de Europese Unie en haar lidstaten moeten gelijke rechten bieden aan de Amerikaanse burgers.

49.

Het derde element is dat de wetshandhavingsautoriteiten op basis van wederkerigheid toegang moeten hebben tot de persoonsgegevens. Dit houdt in dat, als een overeenkomst de Amerikaanse autoriteiten toegang geeft tot gegevens uit de Europese Unie, de autoriteiten van de EU evenzeer toegang moeten krijgen tot gegevens uit de VS. De wederkerigheid mag de doeltreffendheid van de bescherming niet aantasten. Deze voorwaarde moet absoluut vervuld zijn, willen de gegevens „trans-Atlantisch” toegankelijk worden gesteld voor de wetshandhavingsautoriteiten. Concreet betekent dit dat:

de Amerikaanse autoriteiten geen rechtstreekse toegang mogen krijgen tot gegevens op het grondgebied van de EU (en vice versa); toegang mag alleen worden gegeven op indirecte basis, via een „push”-systeem;

deze toegang onder toezicht moet staan van gegevensbeschermingsautoriteiten en de justitiële autoriteiten in het land waar de gegevensverwerking plaatsvindt;

de toegang van de Amerikaanse autoriteiten tot gegevensbanken in de EU moet voldoen aan de materiële bepalingen inzake gegevensbescherming (zie boven) en de betrokkene over alle beroepsmogelijkheden moet beschikken.

Nauwkeurigheid van de overeenkomst

50.

Het is van essentieel belang de beoordelingscriteria (passend karakter, gelijkwaardigheid, wederzijdse erkenning) precies te bepalen, aangezien dit de inhoud bepaalt in termen van nauwkeurigheid, rechtszekerheid en doeltreffendheid van de bescherming. De overeenkomst moet inhoudelijk nauwkeurig en accuraat zijn.

51.

Voorts moet duidelijk zijn dat ook een specifieke overeenkomst die in een later stadium wordt gesloten, volledige en gedetailleerde gegevensbeschermingsgaranties moet bevatten in verband met het voorwerp van de beoogde uitwisseling. Zoals vermeld in de punten 35 en 36, kan alleen dit dubbele niveau van concrete gegevensbeschermingsbeginselen zorgen voor het noodzakelijke hechte verband tussen de algemene overeenkomst en de specifieke overeenkomsten.

Een model ontwikkelen voor andere derde landen

52.

Bijzondere aandacht moet gaan naar de mate waarin een overeenkomst met de VS model kan staan voor overeenkomsten met andere derde landen. De EDPS merkt op dat in het eerder genoemde verslag van de Toekomstgroep, behalve de VS ook Rusland als strategische partner van de EU wordt genoemd. Voor zover de beginselen neutraal zijn en in overeenstemming met de fundamentele waarborgen van de EU, kunnen zij een nuttig precedent vormen. Specifieke kenmerken van de overeenkomst die onder meer verband houden met het juridisch kader van het ontvangende land of het doel van de overdracht zouden evenwel beletten dat de overeenkomst zonder meer wordt getransponeerd. Een even beslissende factor is de situatie van de democratie in derde landen. Verzekerd moet worden dat de overeengekomen beginselen in het ontvangende land doeltreffend worden gewaarborgd en toegepast.

Welke benchmarks moeten worden gebruikt om het beschermingsniveau te beoordelen?

53.

Een impliciet of expliciet passend karakter voldoet in elk geval aan het internationale en Europese juridische kader, met name de gezamenlijk overeengekomen gegevensbeschermingsgaranties, die zijn vervat in de richtsnoeren van de Verenigde Naties, Verdrag nr. 108 van de Raad van Europa en het aanvullend protocol, de OESO-richtsnoeren en het ontwerp-kaderbesluit over de bescherming van persoonsgegevens, evenals, voor eerstepijleraangelegenheden, Richtlijn 95/46/EG (20). Al deze teksten bevatten vergelijkbare beginselen, die algemeen zijn erkend als de kern van de persoonsgegevensbescherming.

54.

Gezien de impact van een potentiële overeenkomst in de zin van het HLCG-verslag, is het des te belangrijker dat terdege rekening wordt gehouden met de bovenstaande beginselen. Een instrument dat betrekking heeft op de volledige handhavingssector van een derde land, is namelijk zonder precedent. Tot dusver hebben de regelgeving over het passende karakter in de eerste pijler en overeenkomsten met derde landen in de derde pijler (Europol, Eurojust) altijd in verband gestaan met specifieke gegevensoverdracht. In het onderhavige geval zou echter, gezien de ruime doelstelling (bestrijden van strafbare feiten, nationale en openbare veiligheid, wetshandhaving aan de grenzen) en het onbekende aantal betrokken gegevensbanken, overdracht op een veel breder terrein mogelijk worden gemaakt.

Basisvereisten

55.

De Groep artikel 29 heeft in een werkdocument bepaald onder welke voorwaarden persoonsgegevens aan derde landen kunnen worden overgedragen (21). Een overeenkomst inzake de minimumbeginselen voor privacy moet de toets der doeltreffendheid van de gegevensbeschermingswaarborgen doorstaan.

Inzake de inhoud: de gegevensbeschermingsbeginselen moeten een hoog beschermingsniveau bieden en aan normen overeenkomstig de EU-beginselen voldoen. In dit opzicht worden de 12 in het HLCG-verslag genoemde beginselen verder geanalyseerd in hoofdstuk V van dit advies.

Inzake de specificiteit: afhankelijk van de aard van de overeenkomst, en vooral bij officiële internationale overeenkomsten, moeten de regels en procedures voldoende gedetailleerd zijn om een doeltreffende toepassing te verzekeren.

Inzake het toezicht: de naleving van de overeengekomen regels moet worden verzekerd door middel van specifieke controlemaatregelen, zowel intern (audits) als extern (evaluaties). Deze maatregelen moeten voor beide partijen bij de overeenkomst gelijkelijk beschikbaar zijn. Toezicht omvat maatregelen om de naleving te verzekeren op macroniveau, zoals gezamenlijke evaluaties, en op microniveau, zoals individuele beroepsmogelijkheden.

56.

Naast deze drie basisvereisten moet bijzondere aandacht gaan naar de specifieke kenmerken van de persoonsgegevensverwerking in wetshandhavingsverband. Op dit gebied kunnen de grondrechten namelijk aan beperkingen onderhevig zijn. Met het oog op de consequenties hiervan voor de betrokkene, meer bepaald op de hieronder genoemde punten, moet de beperking van de persoonlijkheidsrechten met waarborgen worden omgeven.

Transparantie: de informatie en de toegang tot persoonsgegevens kunnen in het kader van wetshandhaving worden beperkt, bijvoorbeeld omdat discretie vereist is bij het onderzoek. In dat geval worden binnen de EU ter compensatie van deze beperking van de grondrechten gewoonlijk aanvullende mechanismen ingesteld, vaak met onafhankelijke gegevensbeschermingsautoriteiten. Daarom moeten bij de overdracht van de informatie aan een derde land soortgelijke compensatiemechanismen beschikbaar zijn.

Beroep: om de bovenstaande redenen moeten de betrokkenen hun rechten ook langs alternatieve wegen kunnen laten verdedigen, met name via een onafhankelijke toezichthouder en voor de rechter.

Gegevensbewaring: mogelijk ontbreekt een transparante motivering van de bewaringsperiode. Dit mag de betrokkenen of toezichthoudende autoriteiten echter niet beletten om hun rechten effectief uit te oefenen.

Verantwoordingsplicht van wetshandhavingsautoriteiten: zonder effectieve transparantie kan er geen sprake zijn van alomvattende controle door de betrokkene of de institutionele stakeholders. Gezien de gevoelige aard van de gegevens en de dwingende maatregelen die op basis van de gegevensverwerking tegen personen kunnen worden genomen, is het van essentieel belang deze controles stevig te verankeren. Verantwoordingsplicht is van doorslaggevend belang in verband met de nationale controlemaatregelen van het ontvangende land, maar ook in verband met de mogelijkheden voor herziening door het land of de regio van herkomst van de gegevens. Specifieke overeenkomsten als de PNR-overeenkomst voorzien in dergelijke herzieningsmechanismen, en de EDPS pleit er zeer sterk voor om ze ook in de algemene overeenkomst op te nemen.

V.   ANALYSE VAN DE BEGINSELEN

Inleiding

57.

In dit hoofdstuk worden de 12 beginselen uit het HLCG-verslag geanalyseerd, met inachtneming van het volgende:

Deze beginselen tonen aan dat de VS en de EU bepaalde standpunten betreffende de beginselen delen, aangezien er gelijkenis is met de beginselen van Verdrag nr. 108.

Desalniettemin volstaat een overeenkomst op het niveau van de beginselen niet. Een juridische tekst moet sterk genoeg zijn om de handhaving te verzekeren.

De EDPS betreurt het dat de beginselen niet vergezeld gaan van een toelichting.

Vooraleer nader wordt ingegaan op de beginselen, moet het vaststaan dat beide partijen dezelfde interpretatie hanteren van de gebruikte termen, bijvoorbeeld van de begrippen „persoonsgegevens” of „beschermde personen”. Het zou goed zijn deze begrippen te definiëren.

1.   Bepaling van het doel

58.

Volgens het eerste beginsel in de bijlage bij het HLCG-verslag worden persoonsgegevens ten behoeve van gerechtvaardigde wetshandhaving verwerkt. Zoals vermeld, betekent dit voor de Europese Unie het voorkomen, opsporen, onderzoeken of vervolgen ter zake van strafbare feiten. Voor de VS reikt wetshandhaving echter verder dan strafbare feiten, en omvat zij ook „de wetshandhaving aan de grenzen, openbare en nationale veiligheid”. Wat de gevolgen zijn van deze discrepantie is niet duidelijk. In het verslag staat wel dat de doeleinden in de praktijk grotendeels kunnen overeenstemmen, maar belangrijker is te weten in welke mate zij niet overeenstemmen. Op het gebied van wetshandhaving moet, gezien het effect van maatregelen op individuen, het doelbindingsbeginsel strikt worden nageleefd en moeten de gestelde doelen duidelijk en omschreven zijn. Ter wille van de in het verslag beoogde wederkerigheid, is het ook van essentieel belang dat de doelen onderling worden aangepast. Kortom, de interpretatie van het beginsel moet worden verduidelijkt.

2.   Integriteit/kwaliteit van de gegevens

59.

De EDPS is ingenomen met de bepaling dat persoonsgegevens nauwkeurig, relevant, van pas komend en volledig moeten zijn, met het oog op de rechtmatige verwerking ervan. Dit beginsel is een basisvoorwaarde voor efficiënte gegevensverwerking.

3.   Noodzakelijkheid/evenredigheid

60.

Het beginsel legt een duidelijk verband tussen de verzamelde gegevens en de noodzakelijkheid ervan om een wettelijk bepaald wetshandhavingsdoel te bereiken. De EDPS is ingenomen met het feit dat een wettelijke basis vereist is om de legitimiteit van de verwerking te bewijzen. Hij merkt evenwel op dat deze wettelijke basis, die weliswaar de rechtszekerheid van de verwerking ten goede komt, een wet van een derde land is en als zodanig geen rechtsgrond voor de overdracht van persoonsgegevens kan vormen (22). In het HLCG-verslag lijkt de legitimiteit van de wet van een derde land, in casu de Verenigde Staten, in principe te worden erkend. Dit moge juist zijn, omdat de VS een democratie is. Toch zou het niet opgaan voor, noch te transponeren zijn naar de betrekkingen met andere derde landen.

61.

Volgens de bijlage bij het HLCG-verslag moet een overdracht van persoonsgegevens relevant, noodzakelijk en toepasselijk zijn. De EDPS benadrukt dat, met het oog op de evenredigheid, de verwerking niet al te diepgaand mag zijn en de verwerkingsmodaliteiten evenwichtig moeten zijn, met inachtneming van de rechten en belangen van de betrokkenen.

62.

Daarom moet de toegang tot informatie per geval worden onderzocht, afhankelijk van de praktische behoeften in het kader van een specifiek onderzoek. Wetshandhavingsautoriteiten uit derde landen permanent toegang geven tot gegevensbanken in de EU zou niet in verhouding staan tot het doel en onvoldoende gerechtvaardigd zijn. De EDPS herinnert eraan dat zelfs met de huidige overeenkomsten inzake gegevensuitwisseling, bijv. de PNR-overeenkomst, de uitwisseling van specifieke omstandigheden afhangt en binnen een beperkte tijdspanne gebeurt (23).

63.

Volgens diezelfde logica moet ook de periode voor bewaring van gegevens worden geregeld. Gegevens mogen niet langer dan nodig worden bewaard en moeten het specifiek beschreven doel dienen. Zijn ze niet langer relevant voor dat doel, dan moeten ze worden gewist. De EDPS is sterk gekant tegen de samenstelling van datawarehouses, waarin informatie over niet-verdachte personen zou worden opgeslagen voor mogelijk toekomstig gebruik.

4.   Beveiliging van de informatie

64.

De beginselen bevatten maatregelen en procedures om de gegevens te beschermen tegen misbruik, wijziging en andere risico’s, alsook een bepaling die de toegang beperkt tot gemachtigde personen. De EDPS acht dit toereikend.

65.

Hieraan zou de bepaling kunnen worden toegevoegd dat logbestanden moeten worden bijgehouden van de personen die de gegevens raadplegen, om de waarborgen voor de beperking van de toegang en voor preventie van misbruik nog doeltreffender te maken.

66.

Daarnaast moet worden voorzien in onderlinge informatie bij inbreuk op de beveiliging. Zo zouden ontvangers in de VS en in de EU elkaar op de hoogte moeten stellen van onwettige toegang tot de gegevens die zij ontvangen hebben. Meer verantwoordelijkheid draagt bij tot een veilige verwerking van de gegevens.

5.   Bijzondere categorieën van persoonsgegevens

67.

Volgens de EDPS wordt het verbod op verwerking van gevoelige informatie aanzienlijk afgezwakt doordat gevoelige gegevens waarvoor de nationale wetgeving in „passende waarborgen” voorziet, daarvan worden uitgezonderd. Juist wegens die gevoelige aard van de gegevens moeten afwijkingen op het verbod terdege en nauwkeurig worden gerechtvaardigd, met behulp van een lijst van doeleinden en omstandigheden waaronder een bepaald type van gevoelige informatie kan worden verwerkt, en met aanduiding van de hoedanigheid van de verantwoordelijken voor de verwerking van de informatie. Gewaarborgd moet worden dat gevoelige informatie op zich geen reden kan zijn om een onderzoek in te stellen. Gevoelige informatie kan in bepaalde omstandigheden beschikbaar worden gesteld, zij het alleen als aanvullende informatie over een betrokkene over wie reeds een onderzoek loopt. Deze waarborgen en voorwaarden moeten limitatief worden opgesomd.

6.   Verantwoordingsplicht

68.

In de punten 55-56 is reeds gezegd dat de verantwoordingsplicht van openbare lichamen die persoonsgegevens verwerken doeltreffend moet worden verzekerd, en dat in de overeenkomst moet worden aangegeven hoe dit zal gebeuren. Dit is des te belangrijker gezien het gebrek aan transparantie waarmee de verwerking van persoonsgegevens in wetshandhavingsverband vaak gepaard gaat. Het volstaat niet om — zoals nu in de bijlage — te vermelden dat overheidsinstanties verantwoording moeten afleggen, zonder daarbij uit te leggen hoe dit moet gebeuren en wat de gevolgen van de verantwoording zijn. De EDPS wenst dat deze uitleg in de tekst van de overeenkomst komt te staan.

7.   Onafhankelijk en doeltreffend toezicht

69.

De EDPS is voorstander van een bepaling over onafhankelijk en doeltreffend toezicht door een of meer openbare toezichthoudende autoriteiten. In deze bepaling moet worden duidelijk gemaakt wat onafhankelijkheid betekent, meer bepaald van wie de autoriteiten onafhankelijk zijn en aan wie ze verslag moeten uitbrengen. Er moeten criteria inzake de institutionele en functionele onafhankelijkheid ten opzichte van de uitvoerende en wetgevende organen worden vastgelegd. De EDPS benadrukt dat dit van essentieel belang is voor een doeltreffende naleving van de overeengekomen beginselen. De bevoegdheid van deze autoriteiten om op te treden en de wet te handhaven is ook van cruciaal belang in verband met de hierboven vermelde verantwoordingsplicht van de overheidsinstanties die persoonsgegevens verwerken. De betrokkenen moeten op de hoogte worden gebracht van het bestaan en de bevoegdheden van deze autoriteiten, zodat zij hun rechten kunnen uitoefenen. Dit geldt vooral indien, afhankelijk van de context van de verwerking, verschillende autoriteiten bevoegd zijn.

70.

Voorts pleit de EDPS ervoor dat de overeenkomst ook in samenwerkingsmechanismen tussen de toezichthoudende autoriteiten voorziet.

8.   Individuele toegang en rectificatie

71.

Er zijn specifieke garanties nodig voor toegang en rectificatie in wetshandhavingsverband. In die zin is de EDPS ingenomen met het beginsel dat eenieder toegang krijgt (moet krijgen) tot zijn/haar persoonsgegevens en rectificatie en/of schrapping van zijn/haar persoonsgegevens kan (moet kunnen) vragen. Er bestaat evenwel nog onduidelijkheid over de definitie van persoon (alle betrokkenen moeten worden beschermd, niet alleen de burgers van het betreffende land), en over de voorwaarden waaronder personen bezwaar kunnen aantekenen tegen de verwerking van hun gegevens. Ook moeten de „geëigende gevallen” waarin al dan niet bezwaar kan worden aangetekend nauwkeuriger worden omschreven. Het moet de betrokkenen duidelijk zijn in welke omstandigheden — bijv. afhankelijk van het soort autoriteit, het type onderzoek of andere criteria — zij hun rechten zullen kunnen uitoefenen.

72.

Indien het om gerechtvaardigde redenen niet mogelijk is rechtstreeks bezwaar aan te tekenen tegen een verwerking, moet wel een indirecte verificatie beschikbaar zijn via de onafhankelijke autoriteit die toeziet op de verwerking.

9.   Transparantie en kennisgeving

73.

De EDPS benadrukt nogmaals hoe belangrijk doeltreffende transparantie is om de betrokkenen hun rechten te laten uitoefenen en bij te dragen tot de algemene verantwoordingsplicht van overheidsinstanties die persoonsgegevens verwerken. Hij steunt de opgestelde beginselen en benadrukt dat algemene en individuele kennisgeving aan de betrokkene noodzakelijk is. Dit wordt weergegeven in het beginsel in punt 9 van de bijlage.

74.

In het verslag in hoofdstuk 2, B („Overeengekomen beginselen”) staat echter vermeld dat dit in de VS „(een combinatie van) de publicatie in het Federal Register, individuele kennisgeving en openbaarmaking bij gerechtelijke procedures” kan omvatten. Het moet duidelijk zijn dat een bekendmaking in een publicatieblad te weinig garantie biedt dat de betrokkene voldoende geïnformeerd is. De EDPS herinnert eraan dat individuele kennisgeving, in een voor de betrokkene gemakkelijk te begrijpen vorm en taal, noodzakelijk is.

10.   Beroepsmogelijkheden

75.

Om zijn rechten effectief te kunnen uitoefenen, moet men een klacht kunnen indienen bij een onafhankelijke gegevensbeschermingsautoriteit, en over een voorziening in rechte beschikken voor een onafhankelijke en onpartijdige instantie. Beide beroepsmogelijkheden moeten in dezelfde mate beschikbaar zijn.

76.

Toegang tot een onafhankelijke gegevensbeschermingsautoriteit is noodzakelijk, omdat dit een soepele en minder dure bijstand mogelijk maakt in een context — wetshandhaving — die voor de burger veeleer ondoorzichtig is. Ook kunnen de gegevensbeschermingsautoriteiten de betrokkene bijstand verstrekken wanneer deze in uitzonderlijke gevallen zijn persoonsgegevens niet rechtstreeks heeft kunnen raadplegen en toch zijn recht op toegang wil uitoefenen.

77.

Toegang tot de rechter is een extra en onontbeerlijke garantie dat de betrokkene beroep kan aantekenen bij een instantie die deel uitmaakt van het democratische systeem en volledig losstaat van de overheidsinstellingen die zijn gegevens verwerken. Een dergelijke doeltreffende voorziening voor een gerecht beschouwt het Europees Hof van Justitie (24) als „van wezenlijk belang om de particulier een doeltreffende bescherming van zijn recht te waarborgen. (…) (Het) vormt een algemeen beginsel van Gemeenschapsrecht dat voortvloeit uit het constitutionele erfgoed dat alle lidstaten gemeen hebben en dat eveneens is neergelegd in de artikelen 6 en 13 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden.”. Ook in artikel 22 van Richtlijn (EG) nr. 95/46/EG en in artikel 47 van het EU-handvest van de grondrechten wordt de mogelijkheid van voorziening in rechte, onverminderd een administratieve voorziening, expliciet vermeld.

11.   Geautomatiseerde individuele besluiten

78.

De EDPS is ingenomen met de bepaling inzake toereikende waarborgen bij de geautomatiseerde verwerking van persoonsgegevens. Hij merkt op dat met een gezamenlijk begrip van een „significant negatief effect voor de belangen van de persoon” de toepassingsvoorwaarden van dit beginsel zouden worden verduidelijkt.

12.   Verdere overdracht

79.

De voorwaarden voor verdere overdracht zijn niet overal even duidelijk. Met betrekking tot overdracht die moet voldoen aan de internationale regelingen en overeenkomsten tussen het verzendende en het ontvangende land, moet worden verduidelijkt of dit slaat op overeenkomsten tussen de twee landen van de oorspronkelijke overdracht, of tussen de twee landen die bij de verdere overdracht zijn betrokken. Volgens de EDPS zijn overeenkomsten tussen de twee landen die de eerste overdracht hebben aangevat sowieso noodzakelijk.

80.

De EDPS merkt tevens op dat de definitie van „rechtmatig algemeen belang”, waardoor de verdere overdracht wordt gerechtvaardigd, zeer ruim is. Het toepassingsgebied van algemene veiligheid blijft onduidelijk, en de verlenging van overdracht bij schending van de beroepscode van een gereglementeerd beroep lijkt niet gerechtvaardigd en excessief in wetshandhavingsverband.

VI.   CONCLUSIE

81.

De EDPS is ingenomen met de gezamenlijke inspanningen van de autoriteiten van de EU en de VS op het gebied van wetshandhaving, waar gegevensbescherming van cruciaal belang is. Hij wenst evenwel te benadrukken dat dit een complex gegeven is, met name wat het precieze toepassingsgebied en de vorm betreft, en dat daarom een nauwkeurige en grondige analyse geboden is. De impact van een trans-Atlantisch instrument voor gegevensbescherming op het bestaande juridische kader en de gevolgen ervan voor de burger moeten terdege worden onderzocht.

82.

De EDPS roept op tot meer duidelijkheid en concrete bepalingen, met name wat de volgende aspecten betreft:

verduidelijking van de vorm van de overeenkomst, die, om voldoende rechtszekerheid te bieden, juridisch bindend zou moeten zijn;

grondige beoordeling van het passende karakter, op basis van essentiële vereisten voor de inhoud, de specificiteit en het toezicht van de regeling. De EDPS vindt dat het passende karakter van de algemene overeenkomst alleen kan worden beoordeeld in combinatie met passende specifieke overeenkomsten per geval;

een begrensd toepassingsgebied, met een duidelijke en gezamenlijke definitie van de wetshandhavingsdoeleinden;

precisering van de modaliteiten voor het betrekken van particuliere entiteiten bij gegevensoverdracht;

naleving van het evenredigheidsbeginsel, wat inhoudt dat de gegevens worden uitgewisseld per geval, als er een concrete behoefte bestaat;

krachtig toezicht, alsook beroepsmogelijkheden voor de betrokkenen, met inbegrip van administratieve en rechtsmiddelen;

doeltreffende maatregelen teneinde te verzekeren dat alle betrokkenen, ongeacht hun nationaliteit, hun rechten kunnen uitoefenen;

inschakeling onafhankelijke gegevensbeschermingsautoriteiten, met name voor het toezicht en de bijstand aan de betrokkenen.

83.

De EDPS benadrukt dat de beginselen niet overhaast mogen worden uitgewerkt, aangezien dit een averechts effect zou sorteren. De beste optie zou dus de ontwikkeling van een routekaart voor een overeenkomst in een later stadium zijn.

84.

De EPDS roept ook op tot meer transparantie bij de uitwerking van gegevensbeschermingsbeginselen. Alleen als alle stakeholders, ook het Europees Parlement, hierbij worden betrokken, kan de overeenkomst met een democratisch debat de noodzakelijke steun en erkenning verwerven.

Gedaan te Brussel, 11 november 2008.

Peter HUSTINX

Europese Toezichthouder voor gegevensbescherming


(1)  Document van de Raad nr. 9831/08, beschikbaar op http://ec.europa.eu/justice_home/fsj/privacy/news/index_en.htm

(2)  

Overeenkomst tussen de Verenigde Staten van Amerika en de Europese Politiedienst van 6 december 2001, en aanvullende overeenkomst tussen Europol en de VS inzake de uitwisseling van persoonsgegevens en daarmee verbonden informatie, gepubliceerd op de website van Europol;

Overeenkomst tussen de Verenigde Staten van Amerika en Eurojust inzake justitiële samenwerking, 6 november 2006, gepubliceerd op de website van Eurojust;

Overeenkomst tussen de Europese Unie en de Verenigde Staten van Amerika inzake de verwerking en de overdracht van persoonsgegevens van passagiers (PNR-gegevens) door luchtvaartmaatschappijen aan het ministerie van Binnenlandse van 23 juli 2007 veiligheid van de Verenigde Staten van Amerikavan 26 juli 2007 (PNR-Overeenkomst 2007), PB L 204 van 4.8.2007, blz. 18.

Briefwisseling tussen de VS- en de EU-autoriteiten inzake het programma voor het opsporen van de financiering van terroristische activiteiten, 28 juni 2007.

(3)  PB L 213, van 8.8.2008, blz. 49.

(4)  Kaderbesluit van de Raad over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, versie van 24 juni 2008, beschikbaar op http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

(5)  Wat de noodzaak van een duidelijk juridisch kader betreft, zie hoofdstukken III en IV van dit advies.

(6)  Blz. 5 van het verslag, punt C.

(7)  Zie vooral hoofdstuk 3 van het verslag, „Outstanding issues pertinent to transatlantic relations”, punt 1: „Consistency in private entities obligations during data transfers”.

(8)  Zie in dit verband het advies van de EDPS van 20 december 2007 betreffende het voorstel voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden, PB C 110 van 1.5.2008, blz. 1. „Van oudsher is er een duidelijke scheiding tussen wetshandhaving en activiteiten van de particuliere sector, waarbij wetshandhavingstaken door speciaal daarvoor bevoegde autoriteiten, met name de politiediensten, worden vervuld en particuliere actoren per geval wordt verzocht om persoonsgegevens te verstrekken aan deze handhavingsautoriteiten. Er is nu een tendens om systematisch samenwerking voor wetshandhavingsdoeleinden op te leggen aan particuliere actoren”.

(9)  Zie advies 10/2006 van de Groep artikel 29 van 22 november 2006 over de verwerking van persoonsgegevens door de Society for Worldwide Interbank Financial Telecommunication (SWIFT), WP 128.

(10)  Advies van 20 december 2007, op. cit.

(11)  Zie het in voetnoot 8 vermelde voorstel voor een kaderbesluit van de Raad over het gebruik van persoonsgegevens van passagiers (PNR-gegevens) voor wetshandhavingsdoeleinden, dat momenteel in de Raad wordt besproken.

(12)  Conclusie van advocaat-generaal Bot van 14 oktober 2008, Ierland tegen Europees Parlement en Raad, (Zaak C-301/06), punt 108.

(13)  Arrest van het Hof van 30 mei 2006 in de gevoegde zaken C-317/04, Europees Parlement tegen Raad van de Europese Unie, en C-318/04, Europees Parlement tegen Commissie van de Europese Gemeenschappen, Jurispr. 2006, blz. I-4721.

(14)  Verslag van de informele adviesgroep op hoog niveau inzake de toekomst van het Europees binnenlandsezakenbeleid, „Vrijheid, veiligheid, privacy — het Europese binnenlandsezakenbeleid in een open wereld”, juni 2008, beschikbaar op register.consilium.europa.eu

(15)  Zie artikelen 11 en 13 van het KBGB, vermeld in punt 7 van dit advies.

(16)  Zie voetnoot 2.

(17)  Commissiebesluiten over de passende bescherming van persoonsgegevens in derde landen, waaronder Argentinië, Canada, Zwitserland, de Verenigde Staten, Guernsey, Isle of Man en Jersey, zijn beschikbaar op http://ec.europa.eu/justice_home/fsj/privacy/thridcountries/index_en.htm

(18)  Beperkt tot de overdracht aan een derde land of internationaal orgaan van gegevens die een lidstaat van de bevoegde autoriteit van een andere lidstaat heeft ontvangen.

(19)  Hoofdstuk A. Bindende internationale overeenkomst, blz.8.

(20)  

Richtsnoeren van de Verenigde Naties inzake computerbestanden van persoonsgegevens, aangenomen door de Algemene Vergadering op 14 december 1990 en beschikbaar op www.unhchr.ch/html/menu3/b/71.htm

Verdrag van de Raad van Europa tot bescherming van personen met betrekking tot de geautomatiseerde verwerking van persoonsgegevens, 28 januari 1981, beschikbaar op www.conventions.coe.int/treaty/en/Treaties/html/108.htm

OESO-richtsnoeren inzake de bescherming van privacy en grensoverschrijdend verkeer van persoonsgegevens, vastgesteld op 23 september 1980, beschikbaar op http://www.oecd.org/document/20/0,3343,en_2649_34255_15589524_1_1_1_1,00.html

Ontwerp-Kaderbesluit van de Raad over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken, beschikbaar op http://ec.europa.eu/prelex/detail_dossier_real.cfm?CL=en&DosId=193371

Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, PB L 281 van 23.11.1995, blz. 31.

(21)  Werkdocument van 24 juli 1998 inzake de doorgifte van persoonsgegevens naar derde landen: toepassing van de artikelen 25 en 26 van de EU-richtlijn betreffende gegevensbescherming; WP 12.

(22)  Zie in het bijzonder artikel 7, onder c) en onder e) van Richtlijn 95/46/EG. In zijn advies 6/2002 van 24 oktober 2002 over de doorgifte van informatie van de passagierslijst en andere gegevens van luchtvaartmaatschappijen aan de Verenigde Staten, verklaart de groep dat het niet aanvaardbaar lijkt dat een unilateraal besluit dat door een derde land in eigen nationaal belang is genomen, zou leiden tot de stelselmatige en grootschalige doorgifte van krachtens de richtlijn beschermde gegevens.

(23)  Deze overeenkomst verstrijkt en is niet langer van kracht zeven jaar na de datum van ondertekening ervan, tenzij de partijen deze met wederzijdse instemming vervangen.

(24)  Zaak 222/84 Johnston [1986], Jurispr. blz. 1651; zaak 222/86 Heylens [1987], Jurispr. blz. 4097; zaak C-97/91, Borelli [1992] Jurispr. blz. I-6313.


6.6.2009   

NL

Publicatieblad van de Europese Unie

C 128/13


Advies van de Europese Toezichthouder voor gegevensbescherming over de Mededeling van de Commissie aan de Raad, het Europees Parlement en het Europees Economisch en Sociaal Comité — Naar een Europese strategie inzake e-justitie

2009/C 128/02

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,

Gelet op het Handvest van de grondrechten van de Europese Unie, en met name op artikel 8,

Gezien Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (1),

Gezien Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens (2), met name op artikel 41,

BRENGT HET VOLGENDE ADVIES UIT:

I.   INLEIDING

1.

Op 30 mei 2008 is de Mededeling van de Commissie aan het Europees Parlement, de Raad en het Europees Economisch en Sociaal Comité — Naar een Europese strategie inzake e-justitie („de Mededeling”) aangenomen. Overeenkomstig artikel 41 van Verordening (EG) nr. 45/2001 brengt de EDPS dit advies uit.

2.

De Mededeling heeft tot doel een strategie inzake e-justitie te presenteren die de burgers meer vertrouwen moet geven in de Europese rechtsruimte. De eerste doelstelling van e-justitie moet zijn eraan bij te dragen dat de doeltreffendheid van justitie overal in Europa ten voordele van de burgers wordt versterkt. De maatregelen van de Europese Unie moeten burgers in staat stellen toegang te krijgen tot informatie en de taalkundige, culturele en juridische belemmeringen die het gevolg zijn van de diversiteit van de stelsels, te overbruggen. In de bijlage bij de Mededeling staat een ontwerp van een actieplan en van een tijdschema voor de diverse projecten.

3.

Dit advies van de EDPS gaat over de Mededeling voor zover daarin sprake is van de verwerking van persoonsgegevens, de bescherming van de persoonlijke levenssfeer in de sector van de elektronische communicatie en het vrije verkeer van gegevens.

II.   ACHTERGROND EN CONTEXT

4.

In juni 2007 heeft de Raad JBZ (3) een aantal prioriteiten voor de ontwikkeling van e-justitie gesteld:

het maken van een Europese interface (portaalsite e-justitie);

de voorwaarden creëren voor het vormen van netwerken van verscheidene registers, zoals strafregisters, insolventieregisters, handels- en bedrijvenregisters en kadasters;

beginnen met de voorbereiding voor het gebruik van ict voor de Europese betalingsbevelprocedure;

het gebruik van videoconferentietechnologie in grensoverschrijdende procedures verbeteren, met name voor bewijsverkrijging;

het ontwerpen van ondersteunende middelen voor vertaling en vertolking.

5.

Sedertdien is er gestaag voortgewerkt aan e-justitie. Volgens de Commissie moet bij de werkzaamheden in dit kader voorrang worden gegeven aan operationele projecten en aan gedecentraliseerde structuren, waarbij wordt gezorgd voor Europese coördinatie, wordt voortgebouwd op bestaande rechtsinstrumenten en gebruik wordt gemaakt van it-instrumenten om de doeltreffendheid van die instrumenten te verbeteren. Ook het Europees Parlement heeft zijn steun betuigd voor het e-justitieproject (4).

6.

De Commissie heeft het gebruik van moderne informatietechnologieën zowel op civiel als op strafrechtelijk gebied altijd aangemoedigd. Dat heeft geleid tot instrumenten als het Europese betalingsbevel. Sedert 2003 beheert de Commissie de portaalsite van het Europees justitieel netwerk in burgerlijke en handelszaken, die in 22 talen voor de burgers toegankelijk is. Ook heeft de Commissie de Europese justitiële atlas ontworpen en geïmplementeerd. Deze hulpmiddelen zijn de voorbodes van een toekomstig Europees kader voor e-justitie. Op strafrechtelijk gebied heeft de Commissie gewerkt aan een hulpmiddel waarmee uittreksels uit de strafregisters van de lidstaten kunnen worden uitgewisseld (5). Niet alleen de Commissie heeft veilige communicatiesystemen met nationale autoriteiten ontwikkeld, maar ook Eurojust.

7.

E-justitie moet vele mogelijkheden bieden om de Europese justitiële ruimte de komende jaren concreter te maken voor de burgers. De Commissie heeft de Mededeling over e-justitie aangenomen met als doel tot een algemene strategie voor dit belangrijke onderwerp te komen. De Commissie geeft objectieve criteria voor het stellen van prioriteiten, in het bijzonder voor toekomstige projecten op Europees niveau, zodat er binnen een redelijke termijn resultaten kunnen worden bereikt.

8.

Het werkdocument van de Commissiediensten, een begeleidend document bij de Mededeling, met een samenvatting van de effectbeoordeling, geeft ook enige achtergrondinformatie (6). In de effectbeoordeling zijn de reacties van de lidstaten, justitiële autoriteiten, juristen, burgers en het bedrijfsleven verwerkt. De EDPS is niet geraadpleegd. In de effectbeoordeling is voor het oplossen van de problemen de voorkeur gegeven aan een beleidsoptie die de Europese dimensie en de nationale bevoegdheid combineert. In de Mededeling is gekozen voor deze beleidsoptie. De strategie zal worden geconcentreerd op gebruik van videoconferentie, invoering van een e-justitieportaal, betere hulp bij vertaling door de ontwikkeling van geautomatiseerde onlinevertaalhulpmiddelen, verbetering van de communicatie tussen gerechtelijke autoriteiten, meer koppelingen tussen nationale registers en onlineinstrumenten voor Europese procedures (bijvoorbeeld het Europese betalingsbevel).

9.

De EDPS steunt het accent op bovengenoemde acties. Hij steunt in het algemeen een alomvattende aanpak van e-justitie. Hij steunt de drieledige noodzaak van een verbeterde toegang tot justitie, samenwerking tussen Europese juridische autoriteiten en de doeltreffendheid van het gerechtelijk systeem zelf. Deze benadering maakt dat verscheidene instellingen en personen een rol spelen:

de lidstaten, bij wie de primaire verantwoordelijkheid berust om te zorgen voor doeltreffende en betrouwbare justitie,

de Europese Commissie, als hoedster van de verdragen,

de gerechtelijke autoriteiten van de lidstaten, die meer geavanceerde instrumenten nodig hebben om te communiceren, vooral in grensoverschrijdende gevallen,

de juristen, de burgers en de ondernemingen, die allen voorstander zijn van een beter gebruik van it-instrumenten, zodat beter gereageerd kan worden op hun behoeften op het gebied van justitie.

10.

De Mededeling is nauw verbonden met het voorstel voor een besluit van de Raad betreffende de oprichting van het Europees Strafregisterinformatiesysteem (ECRIS). Op 16 september 2008 heeft de EDPS over dit voorstel advies uitgebracht (7). Hij heeft het voorstel gesteund, op voorwaarde dat rekening wordt gehouden met een aantal overwegingen. Hij wees er met name op dat bijkomende waarborgen voor gegevensbescherming het huidige gebrek aan een algemeen juridisch kader voor gegevensbescherming op het gebied van samenwerking tussen politiële en justitiële autoriteiten moeten compenseren. Daarom benadrukte hij dat er een doeltreffende coördinatie moet komen in het toezicht op de gegevensbescherming van het systeem, waarbij autoriteiten van de lidstaten betrokken zijn evenals de Commissie als aanbieder van de gemeenschappelijke communicatie-infrastructuur.

11.

Hij brengt de volgende aanbevelingen van dit advies in herinnering:

Een hoog niveau van gegevensbescherming moet een voorwaarde worden voor alle aan te nemen uitvoeringsmaatregelen,

De verantwoordelijkheid van de Commissie voor de gemeenschappelijke infrastructuur van het systeem, en de toepasselijkheid van Verordening (EG) nr. 45/2001, moeten worden verduidelijkt zodat er meer rechtszekerheid komt,

De Commissie moet ook verantwoordelijk worden voor de koppelingssoftware, en niet de lidstaten, zodat de doeltreffendheid van de uitwisseling groter wordt en er gemakkelijker kan worden toegezien op het systeem,

Het gebruik van automatische vertaling moet duidelijk worden bepaald en afgebakend zodat het wederzijdse begrip van de strafbare feiten wordt verhoogd zonder dat de kwaliteit van de verstrekte informatie wordt aangetast.

12.

Deze aanbevelingen zijn nog steeds illustratief voor de context waarin deze Mededeling zal worden geanalyseerd.

III.   DE UITWISSELING VAN GEGEVENS OVEREENKOMSTIG DE MEDEDELING

13.

E-justitie heeft een zeer uitgebreide reikwijdte, die in het algemeen het gebruik omvat van ict in de rechtsbedeling binnen de Europese Unie. Dit bestrijkt een aantal onderwerpen zoals projecten om partijen op doeltreffender wijze informatie te verstrekken. Dit houdt in dat er online-informatie beschikbaar is over rechtsstelsels, wetgeving en jurisprudentie, dat er elektronische communicatiesystemen zijn tussen de partijen en de rechtbanken en dat er volledig elektronische procedures worden ingesteld. Ook Europese projecten vallen eronder, zoals het gebruik van elektronische instrumenten voor het opnemen van hoorzittingen en projecten voor uitwisseling of koppeling van gegevens.

14.

De reikwijdte is weliswaar zeer ruim maar toch heeft de EDPS vastgesteld dat er wel informatie beschikbaar zal zijn over zaken die voor de strafrechter, de burgerlijke rechter en de handelsrechter komen, maar niet over zaken die voor de bestuursrechter komen. En er zal een koppeling zijn naar een atlas voor strafzaken en een atlas voor burgerlijke zaken, maar niet naar een atlas voor bestuursrechtelijke zaken, hoewel het beter zou kunnen zijn als burgers en ondernemingen toegang hadden tot administratieve rechtspleging, d.w.z. bestuursrecht en klachtenprocedures. Er zou ook een koppeling moeten komen naar de Vereniging van de Raden van State. Deze toevoegingen zouden beter kunnen zijn voor de burgers die hun weg zoeken door het woud dat het bestuursrecht met al zijn rechtbanken vaak is, om betere informatie te krijgen over administratieve rechtspleging.

15.

Daarom beveelt de EDPS aan administratieve procedures op te nemen in e-justitie. Als onderdeel van dit nieuwe element zouden er projecten van e-justitie moeten komen die de regels voor gegevensbescherming en de nationale instanties voor gegevensbescherming zichtbaarder maken, in het bijzonder in verband met de soorten gegevens die in het kader van e-justitie wordt verwerkt. Dat zou stroken met het zogenoemde initiatief van Londen, dat in november 2006 door instanties voor gegevensbescherming is gelanceerd en dat gericht is op communicatie en grotere efficiëntie inzake gegevensbescherming.

IV.   HET NIEUWE KADERBESLUIT OVER DE BESCHERMING VAN GEGEVENS OP HET GEBIED VAN POLITIËLE EN JUSTITIËLE SAMENWERKING IN STRAFZAKEN

16.

Als gevolg van de toenemende uitwisseling van persoonsgegevens tussen de justitiële autoriteiten, die in de Mededeling wordt beoogd, krijgt het toepasselijke rechtskader voor gegevensbescherming nog meer belang. In dit verband tekent de EDPS aan dat, drie jaar na het aanvankelijke Commissievoorstel, de Raad van de Europese Unie op 27 november 2008 het kaderbesluit over de bescherming van persoonsgegevens op het gebied van politiële en justitiële samenwerking heeft aangenomen (8). Deze nieuwe wetgeving zal een algemeen rechtskader bieden voor gegevensbescherming voor zaken die tot de „derde pijler” behoren, naast de bepalingen inzake gegevensbescherming „van de eerste pijler” in Richtlijn 95/46/EG.

17.

De EDPS juicht dit rechtsinstrument toe als een eerste aanzienlijke stap op weg naar gegevensbescherming bij politiële en justitiële samenwerking. Het niveau van gegevensbescherming dat in de definitieve tekst wordt bereikt is echter niet geheel bevredigend. Het kaderbesluit dekt namelijk alleen politiële en justitiële gegevens die worden uitgewisseld tussen de lidstaten, de instanties en stelsels van de EU, en niet de binnenlandse gegevens. Ook verplicht het aangenomen kaderbesluit niet onderscheid te maken tussen de diverse categorieën betrokkenen, zoals verdachten, criminelen, getuigen en slachtoffers, met als doel te bewerkstelligen dat hun gegevens met gepastere waarborgen worden verwerkt. Het kaderbesluit strookt niet volledig met Richtlijn 95/46/EG, zeker niet wat betreft het beperken van de doelen waarvoor persoonsgegevens verder mogen worden verwerkt. Het kaderbesluit zegt ook niets over een onafhankelijke groep nationale en communautaire gegevensbeschermingsinstanties, die zou kunnen zorgen voor een betere coördinatie tussen gegevensbeschermingsinstanties en die in aanzienlijke mate zou bijdragen aan de eenvormige toepassing van het kaderbesluit.

18.

Dit houdt in dat er, in een context waarin veel inspanningen worden verricht om gemeenschappelijke stelsels te ontwikkelen voor grensoverschrijdende uitwisseling van persoonsgegevens, verschillen blijven bestaan wat betreft de regels voor de verwerking van deze gegevens en voor de uitoefening van de rechten door de burgers in de verschillende EU-landen.

19.

De EDPS memoreert nogmaals dat waarborging van een hoog beschermingsniveau in politiële en justitiële samenwerking, en van samenhang met Richtlijn 95/46/EG, een noodzakelijke aanvulling vormt op andere maatregelen die worden geïntroduceerd of overwogen ter vereenvoudiging van de grensoverschrijdende uitwisseling van persoonsgegevens bij wetshandhaving. Dit komt niet alleen voort uit het recht van de burgers op eerbiediging van het grondrecht op bescherming van de persoonsgegevens, maar ook uit feit dat de wetshandhavingsautoriteiten de kwaliteit van de uitgewisselde gegevens moeten garanderen, zoals in de bijlage bij de Mededeling wordt gesteld met betrekking tot de onderlinge koppeling van strafregisters, het vertrouwen tussen autoriteiten in diverse landen, en tot slot de rechtsgeldigheid van het bewijsmateriaal dat in een grensoverschrijdende context is verzameld.

20.

Daarom moedigt de EDPS de instellingen van de EU aan deze elementen specifiek mee te laten wegen wanneer zij de in de Mededeling beoogde maatregelen uitvoeren, maar ook met als doel zich zo spoedig mogelijk te beraden op verdere verbeteringen van het rechtskader voor gegevensbescherming in de wetshandhaving.

V.   E-JUSTITIE-PROJECTEN

Instrumenten voor e-justitie op Europees niveau

21.

De EDPS is zich ervan bewust dat uitwisselingen van persoonsgegevens essentiële onderdelen zijn van de instelling van een ruimte van vrijheid, veiligheid en recht. Daarom steunt de EDPS het voorstel voor een strategie inzake e-justitie en benadrukt hij dat gegevensbescherming daarbij van belang is. Eerbiediging van gegevensbescherming is niet alleen een wettelijke verplichting, maar ook een essentieel element voor het welslagen van de beoogde systemen, zoals waarborging van de kwaliteit van de gegevensuitwisselingen. Dat geldt zowel voor de instellingen en instanties wanneer zij persoonsgegevens verwerken als wanneer er nieuw beleid wordt ontwikkeld. Regels en beginselen moeten in de praktijk worden toegepast en gevolgd en er moet in het bijzonder rekening mee worden gehouden in de ontwerp- en opbouwfases van informatiesystemen. Privacy en gegevensbescherming zijn in wezen „belangrijke succesfactoren” voor een bloeiende en evenwichtige informatiemaatschappij. Daarom is het zinvol erin te investeren en wel zo snel mogelijk.

22.

In dit verband benadrukt de EDPS dat de Mededeling niet voorziet in een centrale Europese gegevensbank. Hij juicht toe dat de voorkeur wordt gegeven aan gedecentraliseerde architecturen. De EDPS herinnert eraan dat hij over ECRIS (9) en over het initiatief van Prüm (10) advies heeft uitgebracht. In zijn advies over ECRIS heeft de EDPS gesteld dat met een gedecentraliseerde architectuur wordt vermeden dat persoonsgegevens ook nog eens in een centrale databank moeten worden opgenomen. In zijn advies over het Prüm-initiatief heeft hij aangeraden om bij de bespreking van de koppeling tussen gegevensbanken terdege rekening te houden met de reikwijdte van het systeem. Er dienen met name specifieke formaten voor het verstrekken van gegevens, zoals onlineverzoeken om strafregisters, te worden vastgesteld, waarbij ook rekening wordt gehouden met taalverschillen, en de juistheid van de gegevensuitwisseling moet permanent worden gecontroleerd. Met deze punten dient ook rekening te worden gehouden in de context van initiatieven die voortkomen uit de strategie voor e-justitie.

23.

De Europese Commissie is van plan bij te dragen aan het versterken en ontwikkelen van instrumenten voor e-justitie op Europees niveau, in nauwe samenwerking met de lidstaten en andere partners. Naast steun verlenen aan de inspanningen van de lidstaten, wil de Commissie ook zelf een aantal computerprogramma's maken die de interoperabiliteit van de systemen moeten verhogen, de toegang van het publiek tot justitie en de communicatie tussen justitiële autoriteiten moeten vereenvoudigen en tot aanzienlijke schaalvergrotingen op Europees niveau moeten leiden. Wat betreft de interoperabiliteit van de door de lidstaten gebruikte software, hoeven de lidstaten niet noodzakelijkerwijs allemaal dezelfde software te gebruiken (al zou dit wel de meest praktische oplossing zijn), maar de software moet wel volledig interoperabel zijn.

24.

De EDPS beveelt aan ervoor te zorgen dat er bij onderlinge koppeling en interoperabiliteit van systemen terdege rekening wordt gehouden met het beginsel van doelbinding en dat een en ander wordt opgebouwd rond gegevensbeschermingsnormen („ingebouwde privacy”). Iedere vorm van interactie tussen verschillende systemen moet terdege worden gedocumenteerd. Interoperabiliteit mag nooit leiden tot een situatie waarin een autoriteit die geen toegang heeft tot bepaalde gegevens en deze niet mag gebruiken, deze toegang kan verkrijgen via een ander informatiesysteem. De EDPS wil nogmaals benadrukken dat interoperabiliteit op zich geen rechtvaardiging mag zijn voor het omzeilen van het doelbeperkingsbeginsel (11).

25.

Een ander cruciaal punt is dat ervoor moet worden gezorgd dat grensoverschrijdende uitwisseling van gegevens gepaard gaat met meer toezicht en samenwerking door de gegevensbeschermingsinstanties. De EDPS heeft in zijn advies van 29 mei 2006 over het kaderbesluit betreffende de uitwisseling van gegevens uit strafregisters (12) reeds benadrukt dat in het voorgestelde kaderbesluit niet alleen de samenwerking tussen de centrale autoriteiten moet worden behandeld, maar ook de samenwerking tussen de bevoegde gegevensbeschermingsautoriteiten. Dit is des te noodzakelijker nu de onderhandelingen over het onlangs aangenomen kaderbesluit over de bescherming van persoonsgegevens die worden verwerkt in het kader van de politiële en justitiële samenwerking in strafzaken (13) hebben geleid tot de schrapping van de bepaling tot instelling van een groep die alle gegevensbeschermingsautoriteiten van de EU verzamelt en hun activiteiten op het vlak van de verwerking van gegevens in het kader van politiële en justitiële samenwerking in strafzaken coördineert. Ten behoeve van een doeltreffend toezicht en de goede kwaliteit van het grensoverschrijdende dataverkeer uit strafregisters zouden er systemen voor doeltreffende coördinatie tussen de gegevensbeschermingsautoriteiten moeten komen (14). Deze systemen moeten ook de bevoegdheid van de EDPS als toezichthouder bij de S-TESTA-infrastructuur in acht nemen (15). Instrumenten voor e-justitie zouden een steun kunnen zijn voor deze systemen, die in nauwe samenwerking met de gegevensbeschermingsautoriteiten kunnen worden ontwikkeld.

26.

In punt 4.2.1 van de Mededeling staat dat het belangrijk is dat de uitwisseling van gegevens uit strafregisters verder reikt dan de justitiële samenwerking en ook andere doelstellingen dient (toegang tot bepaalde beroepen bijvoorbeeld). De EDPS benadrukt dat bij iedere verwerking van persoonsgegevens voor andere doeleinden dan waarvoor zij waren verzameld, de specifieke voorwaarden in de toepasselijke gegevensbeschermingswetgeving moeten worden nageleefd. Verwerking van persoonsgegevens voor andere doeleinden zou in het bijzonder alleen toegestaan moeten zijn indien daarmee belangen die worden genoemd in de communautaire wetgeving inzake gegevensbescherming worden gediend (16) en indien zij zijn vastgelegd in wetgevingsmaatregelen.

27.

In de Mededeling staat, ten aanzien van de onderlinge koppeling van strafregisters, dat de Commissie met het oog op de inwerkingtreding van het kaderbesluit betreffende de uitwisseling van gegevens uit het strafregister twee haalbaarheidsstudies zal verrichten om de ontwikkeling van het project te sturen en de uitwisseling van gegevens uit te breiden tot onderdanen van derde landen tegen wie strafrechtelijke veroordelingen zijn uitgesproken. In 2009 zal de Commissie de lidstaten software ter beschikking stellen waarmee alle strafregisters snel aan de uitwisselingen kunnen deelnemen. Dit referentiesysteem, in combinatie met het gebruik van het s-TESTA-systeem voor de uitwisseling van gegevens, zal voor schaalvoordelen zorgen, omdat kan worden voorkomen dat elke lidstaat zijn eigen ontwikkelingen verricht. Ook zal het de technische werking van het project vereenvoudigen.

28.

In dit verband is de EDPS blij met het gebruik van de s-TESTA infrastructuur, die bewezen heeft een betrouwbaar systeem te zijn voor de uitwisseling van gegevens, en hij beveelt aan de statistische elementen met betrekking tot de beoogde systemen voor gegevensuitwisseling in detail te beschrijven en naar behoren rekening te houden met de noodzaak van toezicht op gegevensbescherming. Zo kunnen statistische gegevens expliciet elementen bevatten als het aantal verzoeken voor toegang tot of rectificatie van persoonsgegevens, de duur en volledigheid van het actualiseringsproces, de hoedanigheid van de personen die tot deze gegevens toegang hebben en het aantal inbreuken op de beveiliging. Voorts moeten statistische gegevens en de daarop gebaseerde verslagen volledig ter beschikking worden gesteld van de gegevensbeschermingsautoriteiten.

Automatische vertaling en de gegevensbank van vertalers

29.

Automatische vertaling is een nuttig instrument en zal het wederzijdse begrip tussen de relevante actoren in de lidstaten wellicht ten goede komen. Het gebruik van automatische vertaling moet echter niet leiden tot een verslechtering van de kwaliteit van de uitgewisselde informatie, vooral niet wanneer deze informatie wordt gebruikt bij het nemen van beslissingen die voor de betrokken personen rechtsgevolgen hebben. De EDPS wijst erop dat het gebruik van automatische vertaling wel duidelijk moet worden bepaald en afgebakend. Het gebruik van automatische vertaling voor de overdracht van niet correct voorvertaalde gegevens, zoals extra commentaren of specificaties bij individuele gevallen, kan de kwaliteit van de verstrekte informatie — en zodoende van de daarop gebaseerde beslissingen — aantasten en moet in principe worden uitgesloten (17). De EDPS stelt voor deze aanbeveling te verwerken in maatregelen die uit de Mededeling voortkomen.

30.

De Mededeling wil een gegevensbank instellen van gerechtelijke tolken en -vertalers, zodat de kwaliteit van de gerechtelijke vertaling en vertolking omhoog gaat. De EDPS vindt dit een goed plan, maar herinnert eraan dat op deze gegevensbank de desbetreffende wetgeving inzake gegevensbescherming van toepassing zal zijn. Vooral als er in de gegevensbank iets staat over de beoordeling van het werk van de vertalers, moeten de bevoegde gegevensbeschermingsautoriteiten wellicht vooraf een controle uitvoeren.

Naar een Europees actieplan inzake e-justitie

31.

In punt 5 stelt de Commissie dat de verantwoordelijkheden van de Commissie, de lidstaten en de andere actoren op het gebied van justitiële samenwerking duidelijk moeten worden onderscheiden. De Commissie zal zorgen voor de algemene coördinatie en zal de uitwisseling van beproefde methoden aanmoedigen en de informatie op het portaal voor e-justitie concipiëren, invoeren en coördineren. Voorts zal de Commissie de werkzaamheden in verband met de onderlinge koppeling van strafregisters voortzetten en rechtstreeks verantwoordelijk blijven voor het justitiële netwerk in burgerlijke zaken en het justitiële netwerk in strafzaken ondersteunen. De lidstaten zullen de informatie over hun rechtsstelsels die op de site van e-justitie staat, moeten bijhouden. Andere actoren zijn het justitiële netwerk in burgerlijke zaken, het justitiële netwerk in strafzaken en Eurojust. Zij zullen, in nauw contact met de Commissie, de instrumenten maken voor een betere samenwerking op justitieel gebied, met name geautomatiseerde vertaalhulpmiddelen en een beveiligd uitwisselingssysteem. In de bijlage bij de Mededeling staat een ontwerp van een actieplan en van een tijdschema voor de diverse projecten.

32.

In dit kader onderstreept de EDPS dat er in ECRIS geen centrale Europese databank bestaat en er geen directe toegang tot bijvoorbeeld de strafregisterdatabanken van andere lidstaten mogelijk is, terwijl de verantwoordelijkheden voor correcte informatie op nationaal niveau zijn gecentraliseerd bij de centrale autoriteiten van de lidstaten. Binnen dit systeem zijn de lidstaten verantwoordelijk voor het beheer van de nationale databanken en voor een efficiënt verloop van de uitwisselingen. Niet duidelijk is of zij verantwoordelijk zijn voor de onderlinge koppeling van software. De Commissie zal de lidstaten software ter beschikking stellen waarmee alle strafregisters snel aan de uitwisselingen kunnen deelnemen. Dit referentiesysteem wordt gecombineerd met het gebruik van het s-TESTA-systeem voor de uitwisseling van gegevens.

33.

De EDPS begrijpt dat ook in de context van analoge initiatieven voor e-justitie soortgelijke systemen kunnen worden ingevoerd en dat de Commissie verantwoordelijk zal zijn voor de gemeenschappelijke infrastructuur, hoewel dat niet specifiek in de Mededeling staat. De EDPS stelt voor om deze verantwoordelijkheid te verduidelijken in de maatregelen die voortkomen uit de Mededeling, met het oog op de rechtszekerheid.

E-justitie-projecten

34.

In de bijlage staat een reeks projecten voor de komende vijf jaar. Het eerste project, ontwikkeling pagina’s e-justitie, gaat over het portaal voor e-justitie. Daarvoor zijn een haalbaarheidsstudie en de ontwikkeling van het portaal vereist. Voorts moeten er beheersmethoden worden ingevoerd en moet de informatie in alle talen van de EU online beschikbaar zijn. Het tweede en derde project gaan over onderlinge koppeling van strafregisters. Project 2 gaat over de onderlinge koppeling van nationale strafregisters. Met project 3 wordt de oprichting beoogd van een Europees register van veroordeelde onderdanen van derde landen, nadat er een haalbaarheidsstudie is uitgevoerd en er een wetgevingsvoorstel is ingediend. De EDPS stelt vast dat laatstgenoemd project niet meer voorkomt in het werkprogramma van de Commissie en vraagt zich af of dat duidt op een verandering in de projecten van de Commissie of dat dit project slechts wordt uitgesteld.

35.

In de Mededeling staan ook drie projecten op het gebied van elektronische uitwisselingen en drie projecten voor hulp bij vertaling. Er zal een proefproject worden begonnen voor een geleidelijke totstandbrenging van een vergelijkend meertalig juridisch vocabularium. Andere projecten gaan over het opstellen van dynamische formulieren bij Europese wetgevingsteksten en over het gebruik van videoconferenties door gerechtelijke instanties. Tot slot zullen er, in het kader van de fora voor e-justitie, jaarlijkse bijeenkomsten in verband met de thema’s van e-justitie worden georganiseerd en zal een opleiding in verband met justitiële samenwerking voor beoefenaars van juridische beroepen worden ontwikkeld. De EDPS stelt voor tijdens deze bijeenkomsten en opleidingen voldoende aandacht te besteden aan wetten en praktijken inzake gegevensbescherming.

36.

Daarom wordt in de bijlage een breed scala aan Europese hulpmiddelen genoemd, die de uitwisseling van gegevens tussen actoren in de diverse lidstaten moeten vereenvoudigen. Van al deze hulpmiddelen zal het portaal voor e-justitie, waarvoor de Commissie de hoofdverantwoordelijke wordt, een belangrijke rol spelen.

37.

Veel van deze hulpmiddelen zullen een gemeenschappelijk kenmerk hebben, namelijk dat gegevens en persoonsgegevens, op nationaal en op EU-niveau, zullen worden uitgewisseld en beheerd door verschillende instanties, die zich moeten houden aan gegevensbeschermingsverplichtingen en verantwoording moeten afleggen aan toezichthoudende instanties die bij Richtlijn 95/46/EG of Verordening (EG) nr. 45/2001 zijn ingesteld. In dit verband is het van wezenlijk belang, zoals de EDPS in zijn advies over het informatiesysteem interne markt (IMI) (18) reeds heeft gesteld, dat de verantwoordelijkheden inzake de naleving van de voorschriften voor gegevensbescherming, doeltreffend en naadloos worden geregeld.

38.

Dit vereist enerzijds dat verantwoordelijkheden voor de verwerking van persoonsgegevens binnen deze systemen op duidelijke wijze worden omschreven en toegekend; en anderzijds dat er zo nodig goede coördinatiemechanismes worden vastgelegd, in het bijzonder ten aanzien van toezicht.

39.

Het gebruik van nieuwe technologieën is een van de hoekstenen van de initiatieven voor e-justitie: de onderlinge koppeling van nationale registers, de ontwikkeling van de elektronische handtekening, beveiligde netwerken, virtuele uitwisselingsplatforms en meer gebruik van videoconferenties worden de komende jaren wezenlijke onderdelen van initiatieven voor e-justitie.

40.

In dit verband is het van zeer groot belang dat er in een zo vroeg mogelijk stadium wordt gekeken naar vraagstukken inzake gegevensbescherming en dat deze vraagstukken worden geïntegreerd in de architectuur van de beoogde hulpmiddelen. Zowel de architectuur van het systeem als de invoering van toereikende beveiligingsmaatregelen zijn van bijzonder belang. Als de aanpak van de „ingebouwde privacy” wordt gevolgd, kunnen de initiatieven voor e-justitie zorgen voor een doeltreffend beheer van persoonsgegevens waarbij de beginselen van gegevensbescherming en de veiligheid van gegevensuitwisseling tussen diverse instanties in acht worden genomen.

41.

Voorts beklemtoont de EDPS dat technologische hulpmiddelen niet alleen moeten worden gebruikt voor de uitwisseling van gegevens, maar ook voor het versterken van de rechten van de betrokkenen. In dit verband verheugt het de EDPS dat in de Mededeling wordt gesproken over de mogelijkheid voor burgers om hun strafregisters online op te vragen in de taal van hun keuze (19). In verband hiermee memoreert de EDPS dat hij zich in zijn advies over het voorstel van de Commissie inzake de uitwisseling van strafregisters positief heeft uitgelaten over de mogelijkheid die de persoon in kwestie heeft om informatie over zijn eigen strafblad op te vragen bij de centrale autoriteit van een lidstaat, mits hij ingezetene of onderdaan van de verzoekende of aangezochte lidstaat is of is geweest. Ook heeft de EDPS op het gebied van de coördinatie van de stelsels voor sociale zekerheid voorgesteld de instantie die zich dichter bij de persoon in kwestie bevindt, te gebruiken als „enig loket”. Daarom moedigt de EDPS de Commissie aan op dezelfde weg voort te gaan door het gebruik van technologische hulpmiddelen (in het bijzonder onlinetoegang) waarmee de burgers hun persoonsgegevens beter kunnen controleren, zelfs wanneer zij zich van de ene naar de andere lidstaat verplaatsen.

VI.   CONCLUSIES

42.

De EDPS steunt het voorstel om e-justitie te creëren en beveelt aan met de opmerkingen in dit advies rekening te houden:

Er dient rekening te worden gehouden met het recente kaderbesluit over de bescherming van persoonsgegevens op het gebied van politiële en justitiële samenwerking (en ook met de tekortkomingen ervan) bij de uitvoering van de in de Mededeling beoogde maatregelen, maar ook met als doel zo spoedig mogelijk te gaan nadenken over verdere verbeteringen van het rechtskader voor gegevensbescherming in de wetshandhaving,

In e-justitie moeten administratieve procedures worden opgenomen. Als onderdeel van dit nieuwe element zouden er e-justitieprojecten moeten komen die de regels voor gegevensbescherming en de nationale instanties voor gegevensbescherming zichtbaarder maken, in het bijzonder in verband met de soorten gegevens die in het kader van projecten voor e-justitie worden verwerkt,

De voorkeur moet blijven uitgaan naar gedecentraliseerde architecturen,

De onderlinge koppeling en de interoperabiliteit van systemen moeten stroken met het doelbeperkingsbeginsel,

Al degenen die persoonsgegevens verwerken moeten binnen de beoogde systemen duidelijke verantwoordelijkheden krijgen en er moeten systemen komen voor een doeltreffende coördinatie tussen instanties voor gegevensbescherming,

Bij de verwerking van persoonsgegevens voor andere doeleinden dan waarvoor zij waren verzameld, moeten de specifieke voorwaarden in de toepasselijke gegevensbeschermingswetgeving worden nageleefd,

Het gebruik van automatische vertaling moet duidelijk worden bepaald en afgebakend zodat het wederzijdse begrip van de strafbare feiten wordt verhoogd zonder dat de kwaliteit van de verstrekte informatie wordt aangetast,

De verantwoordelijkheid van de Commissie voor de gemeenschappelijke infrastructuren, zoals s-TESTA, moet verduidelijkt worden,

Wat betreft het gebruik van nieuwe technologieën dient er in een zo vroeg mogelijk stadium te worden gekeken naar vraagstukken inzake gegevensbescherming („ingebouwde privacy”), en nieuwe technologie waarmee de burgers hun persoonsgegevens beter kunnen controleren, zelfs wanneer zij zich van de ene naar de andere lidstaat verplaatsen, moet worden gestimuleerd.

Opgesteld te Brussel, 19 december 2008.

Peter HUSTINX

Europese Toezichthouder voor gegevensbescherming


(1)  PB L 281 van 23.11.1995, blz. 31.

(2)  PB L 8 van 12.1.2001, blz. 1.

(3)  Doc. 10393/07 JURINFO 21.

(4)  Zie het ontwerpverslag van de Commissie juridische zaken van het Europees Parlement.

(5)  Zie in het bijzonder het verderop genoemde ECRIS.

(6)  Werkdocument van de Diensten van de Commissie — Begeleidend document bij de mededeling aan de Raad, het Europees Parlement en het Europees Economisch en Sociaal Comité „Naar een Europese strategie inzake e-justitie” — Samenvatting van de effectbeoordeling, 30.5.2008, SEC(2008) 1944.

(7)  Zie het advies van de EDPS over de oprichting van het Europees Strafregisterinformatiesysteem (ECRIS) overeenkomstig artikel 11 van Kaderbesluit 2008/XX/JBZ, dat op de website van de EDPS (www.edps.europa.eu) staat, onder „consultation” en dan „opinions”, „2008”.

(8)  PB L 350, 30.12.2008, blz. 60.

(9)  Zie voetnoot 7, paragraaf 18.

(10)  PB C 89 van 10.4.2008, blz. 4.

(11)  PB C 91 van 19.4.2006, blz. 53. Zie ook de opmerkingen van de EDPS over de Mededeling van de Commissie over de interoperabiliteit van Europese gegevensbanken, Brussel, 10.3.2006.

(12)  PB C 313 van 20.12.2006, blz. 26.

(13)  Zie hoofdstuk IV.

(14)  Zie de punten 8, 37 en 38 van het advies van de EDPS over ECRIS.

(15)  Zie over dit onderwerp de punten 27 en 28.

(16)  Zie in het bijzonder artikel 13 van Richtlijn 95/46/EG en artikel 20 van Verordening (EG) nr. 45/2001.

(17)  Zie de punten 39 en 40 van het advies van de EDPS over ECRIS.

(18)  PB C 270 van 25.10.2008, blz. 1.

(19)  Zie bladzijde 6 van de Mededeling.


6.6.2009   

NL

Publicatieblad van de Europese Unie

C 128/20


Ontwerp-advies van de Europese Toezichthouder voor gegevensbescherming over het voorstel voor een Richtlijn van het Europees Parlement en de Raad betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg

2009/C 128/03

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,

Gelet op het Handvest van de grondrechten van de Europese Unie, en met name op artikel 8,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens,

Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, met name op artikel 41,

Gelet op het verzoek om advies op grond van artikel 28, lid 2, van Verordening (EG) nr. 45/2001, dat op 2 juli 2008 aan de EDPS is toegezonden.

BRENGT HET VOLGENDE ADVIES UIT:

I.   INLEIDING

Het voorstel voor een richtlijn betreffende de toepassing van patiëntenrechten bij grensoverschrijdende gezondheidszorg

1.

Op 2 juli 2008 heeft de Commissie een voorstel aangenomen voor een Richtlijn van het Europees Parlement en de Raad betreffende de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (hierna „het voorstel”) aangenomen (1). Vervolgens heeft zij het voorstel naar de EDPS gezonden voor advies, overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001.

2.

Met het voorstel wordt beoogd een communautair kader voor de verlening van grensoverschrijdende gezondheidszorg in de EU tot stand te brengen voor gevallen waarin patiënten zich in een andere lidstaat dan hun eigen land willen laten behandelen. Dit berust op drie belangrijke pijlers:

de vaststelling van gemeenschappelijke beginselen voor alle gezondheidsstelsels van de EU, met een duidelijke bepaling van de verantwoordelijkheden van de lidstaten;

de ontwikkeling van een specifiek kader voor grensoverschrijdende gezondheidszorg, dat de rechten van de patiënt op gezondheidszorg in een andere lidstaat verduidelijkt;

de bevordering van Europese samenwerking op het gebied van gezondheidszorg, onder meer inzake de erkenning van in een andere lidstaat verstrekte recepten, Europese referentienetwerken, evaluatie van gezondheidstechnologie, gegevensverzameling, kwaliteit en veiligheid.

3.

Dit kader heeft twee doelstellingen, namelijk de nodige duidelijkheid geven over de rechten op vergoeding van in andere lidstaten verleende gezondheidszorg, en de nodige voorschriften vaststellen om te zorgen voor hoogwaardige, veilige en efficiënte grensoverschrijdende gezondheidszorg.

4.

Bij de toepassing van een grensoverschrijdend stelsel voor gezondheidszorg is de uitwisseling van relevante persoonsgegevens over de gezondheid van de patiënten (hierna „gezondheidsgegevens”) tussen de gemachtigde organisaties en gezondheidswerkers van de verschillende lidstaten noodzakelijk. Deze gegevens worden als gevoelig beschouwd, en moeten voldoen aan de strengere regels voor gegevensbescherming, overeenkomstig artikel 8 van Richtlijn 95/46/EG betreffende bijzondere categorieën gegevens.

Raadpleging van de EDPS

5.

De EDPS is verheugd dat hij over deze kwestie wordt geraadpleegd en dat naar deze raadpleging wordt verwezen in de preambule van het voorstel, overeenkomstig artikel 28 van Verordening (EG) nr. 45/2001.

6.

Het is de eerste keer dat de EDPS formeel wordt geraadpleegd over een voorstel voor een verordening op het gebied van gezondheidszorg. Dit advies bevat daarom ook opmerkingen met een ruimere draagwijdte, die betrekking hebben op algemene kwesties inzake de bescherming van persoonsgegevens in de gezondheidszorgsector en ook voor andere (al dan niet bindende) juridische instrumenten relevant kunnen zijn.

7.

De EDPS wil eerst en vooral benadrukken dat hij initiatieven ter verbetering van de voorwaarden voor grensoverschrijdende gezondheidszorg ondersteunt. Dit voorstel moet worden gezien in het licht van het algemene EG-programma ter bevordering van de gezondheid van burgers in de informatiemaatschappij. Andere initiatieven op dit vlak zijn de door de Commissie geplande richtlijn en mededeling over orgaandonatie en -transplantatie (2), de aanbeveling inzake de grensoverschrijdende interoperabiliteit van systemen voor elektronische medische dossiers (3) en de beoogde mededeling over telegeneeskunde (4). Het baart de EDPS evenwel zorgen dat deze initiatieven niet nauw met elkaar verbonden zijn en/of geen nauw onderling verband vertonen op het vlak van privacy- en gegevensbescherming. Dit bemoeilijkt namelijk het hanteren van een eenvormige aanpak van gegevensbescherming in de gezondheidszorg, in het bijzonder ten aanzien van nieuwe ict. Zo wordt in het huidige voorstel niet verwezen naar de gegevensbeschermingsdimensie van de mededeling van de Commissie, zelfs al staat telegeneeskunde expliciet vermeld in overweging 10 van de voorgestelde richtlijn. Elektronische gezondheidsregisters bieden de mogelijkheid tot grensoverschrijdende communicatie over gezondheidsgegevens, maar toch wordt er geen verband gelegd met de privacykwesties die de Commissie in haar desbetreffende aanbeveling behandelt (5). Dit geeft de indruk dat er in de gezondheidszorg nog steeds geen algeheel privacyperspectief is uitgetekend, en in bepaalde gevallen zelfs volledig ontbreekt.

8.

De EDPS betreurt dat dit ook uit het huidige voorstel blijkt, waarin de implicaties voor gegevensbescherming niet concreet worden behandeld. Het voorstel bevat weliswaar verwijzingen naar gegevensbescherming, maar de meeste daarvan zijn algemeen van aard en geven onvoldoende de specifieke privacybehoeften en -vereisten bij grensoverschrijdende gezondheidszorg weer.

9.

De EDPS wenst te benadrukken dat een uniforme en gedegen aanpak van gegevensbescherming voor alle geplande gezondheidszorginstrumenten niet alleen het grondrecht van de burgers inzake bescherming van hun gegevens zal verzekeren, maar tevens zal bijdragen tot de verdere ontwikkeling van grensoverschrijdende gezondheidszorg in de EU.

II.   GEGEVENSBESCHERMING BIJ GRENSOVERSCHRIJDENDE GEZONDHEIDSZORG

Algemene context

10.

Het belangrijkste streefdoel van de Europese Gemeenschap is altijd geweest een interne markt tot stand te brengen, een zone zonder binnengrenzen met vrij verkeer van goederen, personen, diensten en kapitaal. Toen burgers vrijer konden bewegen en verblijven in andere lidstaten dan hun lidstaat van herkomst, riep dit vanzelfsprekend vragen op over gezondheidszorg. Daarom werd het Hof van Justitie in de jaren negentig geconfronteerd met vragen over de mogelijke vergoeding van in een andere lidstaat opgelopen medische kosten, in de context van de interne markt. Het Hof van Justitie oordeelde dat de vrijheid van dienstverrichting, als vastgelegd in artikel 49 van het EG-Verdrag, ook de vrijheid impliceert van personen om zich naar een andere lidstaat te begeven met het oog op medische verzorging (6). Bijgevolg konden patiënten die grensoverschrijdende gezondheidszorg wensten, niet langer anders worden behandeld dan de burgers van hun land van oorsprong die dezelfde medische behandeling in hun eigen land kregen.

11.

Deze arresten van het Hof liggen aan de kern van het huidige voorstel. De rechtspraak van het Hof is namelijk op individuele zaken gebaseerd, en het huidige voorstel wil meer duidelijkheid scheppen teneinde een algemene en doeltreffende toepassing te verzekeren van de vrijheid om gezondheidsdiensten te ontvangen en verrichten. Zoals reeds gezegd, maakt het voorstel echter ook deel uit van een ambitieuzer programma om de gezondheid van de burgers in de informatiemaatschappij te verbeteren. De EU onderkent namelijk het grote potentieel van informatietechnologie voor een betere grensoverschrijdende gezondheidszorg.

12.

Het ligt voor de hand dat het vaststellen van regels voor grensoverschrijdende gezondheidszorg delicaat is. Gezondheidszorg ligt namelijk gevoelig, omdat de lidstaten op dit gebied zelf uiteenlopende nationale stelsels hebben ontwikkeld, bijvoorbeeld voor de verzekering en vergoeding van kosten of de organisatie van de gezondheidszorginfrastructuur, waaronder ook informatienetwerken en -toepassingen voor gezondheidszorg. Hoewel de Gemeenschapswetgever zich in het huidige voorstel alleen op grensoverschrijdende gezondheidszorg concentreert, zullen de regels op zijn minst ook invloed hebben op de manier waarop de nationale gezondheidszorgstelsels worden georganiseerd.

13.

Een betere grensoverschrijdende gezondheidszorg komt de burgers te baat, maar houdt ook bepaalde risico's in. Zo moeten veel praktische problemen worden opgelost die inherent zijn aan grensoverschrijdende samenwerking tussen mensen uit verschillende landen die verschillende talen spreken. Aangezien een goede gezondheid van het grootste belang is voor elke burger, moet elk risico op communicatiestoornissen en daaruit voortvloeiende fouten worden uitgesloten. Het spreekt voor zich dat het verbeteren van grensoverschrijdende gezondheidszorg in combinatie met het gebruik van ontwikkelingen uit de informatietechnologie enorme implicaties heeft voor de bescherming van persoonsgegevens. Een efficiëntere en bijgevolg toenemende uitwisseling van gezondheidsgegevens, de groeiende afstand tussen de betrokken personen en instanties, alsmede de verschillende nationale wetten tot uitvoering van gegevensbeschermingsregels roepen vragen op over gegevensveiligheid en rechtszekerheid.

Bescherming van gezondheidsgegevens

14.

Onderstreept moet worden dat gezondheidsgegevens als een bijzondere gegevenscategorie worden beschouwd, die grotere bescherming behoeft. Zoals het Europees Hof voor de Rechten van de Mens in het kader van artikel 8 van het Europees Verdrag voor de rechten van de mens heeft verklaard: „De bescherming van persoonsgegevens, meer bepaald medische gegevens, is van fundamenteel belang om het recht van personen op respect voor hun privéleven en gezins- en familieleven, vastgelegd in artikel 8 van het Verdrag (7), te verzekeren.” Voordat de in Richtlijn 95/46/EG voorgestelde strengere regels voor de verwerking van gezondheidsgegevens worden uitgelegd, wordt hier eerst nader ingegaan op het begrip „gezondheidsgegevens”.

15.

Richtlijn 95/46/EG bevat geen expliciete definitie van gezondheidsgegevens. Het begrip wordt gewoonlijk ruim geïnterpreteerd en wordt vaak gedefinieerd als „persoonsgegevens met een duidelijk en nauw verband met de beschrijving van iemands gezondheidstoestand” (8). In dit opzicht omvatten gezondheidsgegevens gewoonlijk medische gegevens (bijv. verwijsbrieven en recepten van geneesheren, verslagen van medische onderzoeken, laboratoriumresultaten, röntgenfoto's, etc.) en administratieve en financiële gegevens betreffende de gezondheid (bijv. documenten over ziekenhuisopnames, socialezekerheidsnummer, planning van medische onderzoeken, facturen voor de verstrekking van gezondheidszorg, etc.). Opgemerkt zij dat de term „medische gegevens” (9) soms ook wordt gebruikt in de betekenis van gezondheidsgerelateerde gegevens, net als de term „gezondheidszorggegevens” (10). In dit advies wordt systematisch de term „gezondheidsgegevens” gebruikt.

16.

ISO 27799 bevat een nuttige definitie van „gezondheidsgegevens”: „informatie over de fysieke of mentale gezondheid van een individu, of over de verlening van een gezondheidsdienst aan een individu, waaronder: a) informatie over de registratie van het individu voor de verlening van gezondheidsdiensten; b) informatie over betalingen of voorwaarden voor gezondheidszorg met betrekking tot het individu; c) een aan een persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie geldt voor gezondheidsdoeleinden van het individu; d) informatie over het individu die tijdens de verstrekking van gezondheidszorg aan het individu is verzameld; e) informatie die uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof voortkomt; en f) de identificatie van een persoon (gezondheidswerker) als verstrekker van gezondheidszorg aan het individu”.

17.

De EDPS is er grote voorstander van dat in het kader van het huidige voorstel een specifieke definitie van de term „gezondheidsgegevens” wordt aangenomen, die ook in de toekomst binnen andere relevante wetsteksten van de EG kan worden gebruikt (zie deel III hieronder).

18.

In artikel 8 van Richtlijn 95/46/EG worden de regels voor de verwerking van bijzondere categorieën gegevens uiteengezet. Deze regels zijn strenger dan de in artikel 7 van diezelfde richtlijn vastgelegde regels voor de verwerking van andere gegevens. Dat blijkt al duidelijk uit artikel 8, lid 1, waarin expliciet is bepaald dat de lidstaten de verwerking verbieden van, onder meer, gegevens die de gezondheid betreffen. In de volgende leden worden verschillende uitzonderingen op dit verbod uiteengezet, maar deze zijn restrictiever dan de in artikel 7 opgesomde redenen voor verwerking van gewone persoonsgegevens. Zo is het verbod niet van toepassing indien de betrokkene uitdrukkelijk heeft toegestemd (artikel 8, lid 2, onder a)), in tegenstelling tot de ondubbelzinnige toestemming die krachtens artikel 7, onder a) van Richtlijn 95/46/EG is vereist. Bovendien kan de wetgeving van de lidstaat er in bepaalde gevallen zelfs toe leiden dat de toestemming van de betrokkene het verbod niet ongedaan kan maken. Lid 3 van artikel 8 is uitsluitend aan de verwerking van gezondheidsgerelateerde gegevens gewijd. Overeenkomstig dit lid, is het verbod in lid 1 niet van toepassing indien de verwerking van de gegevens noodzakelijk is voor de doeleinden van preventieve geneeskunde of medische diagnose, het verstrekken van zorg of behandelingen of het beheer van gezondheidsdiensten en wanneer die gegevens worden verwerkt door een gezondheidswerker die onderworpen is aan het beroepsgeheim dat is vastgelegd in de nationale wetgeving, of in de door nationale bevoegde instanties vastgestelde regelgeving, of door een andere persoon voor wie een gelijkwaardige geheimhoudingsplicht geldt.

19.

Voorts wordt in artikel 8 van Richtlijn 95/46/EG ook het feit dat de lidstaten passende of adequate garanties moeten verstrekken sterk benadrukt. Zo mogen de lidstaten krachtens artikel 8, lid 4, nog andere afwijkingen op het verbod op verwerking van gevoelige informatie vaststellen om redenen van zwaarwegend algemeen belang, op voorwaarde dat passende waarborgen worden geboden. Hiermee wordt de verantwoordelijkheid van de lidstaten benadrukt om specifieke aandacht te besteden aan de verwerking van gevoelige informatie, zoals gezondheidsgerelateerde gegevens.

Bescherming van gezondheidsgegevens in grensoverschrijdende situaties

Gedeelde verantwoordelijkheden van de lidstaten

20.

De hierboven genoemde verantwoordelijkheid van de lidstaten is des te belangrijker bij grensoverschrijdende uitwisseling van gezondheidsgegevens. Zoals gezegd, vergroot de grensoverschrijdende uitwisseling van gezondheidsgegevens het risico op onnauwkeurige of onwettige gegevensverwerking. Dit kan uiteraard erg negatieve gevolgen hebben voor de betrokkene. Zowel de lidstaat van aansluiting (waar de patiënt verzekerd is) als de lidstaat van behandeling (waar de grensoverschrijdende gezondheidszorg wordt verstrekt) zijn bij dit proces betrokken en delen bijgevolg deze verantwoordelijkheid.

21.

De beveiliging van gezondheidsgegevens is hierbij dan ook een belangrijke kwestie. In de eerder genoemde recente zaak hechtte het Europees Hof voor de Rechten van de Mens bijzonder belang aan de vertrouwelijkheid van gezondheidsgegevens: „De vertrouwelijkheid van gezondheidsgegevens eerbiedigen is een vitaal beginsel van de rechtssystemen van alle partijen bij het Verdrag. Het is van cruciaal belang niet alleen de privacywens van een patiënt te respecteren, maar ook zijn/haar vertrouwen in het medische beroep en in de gezondheidsdiensten in het algemeen te bewaren” (11).

22.

Overeenkomstig de in Richtlijn 95/46/EG vastgestelde regels voor gegevensbescherming moet de lidstaat van aansluiting de patiënt ook toereikende, correcte en geactualiseerde informatie verstrekken over de overdracht van zijn/haar persoonsgegevens aan een andere lidstaat, en de veilige overdracht van de gegevens aan deze lidstaat verzekeren. De lidstaat waar de behandeling plaatsvindt, moet ook waken over de veilige ontvangst van deze gegevens en een toereikend beschermingsniveau waarborgen bij de verwerking ervan, overeenkomstig zijn nationale wetgeving inzake gegevensbescherming.

23.

In het voorstel moeten de gedeelde verantwoordelijkheden van de lidstaten worden verduidelijkt. Daarbij moet ook de elektronische overdracht van gegevens, met name bij nieuwe ict-toepassingen, zoals hieronder besproken, in acht worden genomen.

Elektronische overdracht van gezondheidsgegevens

24.

Een betere grensoverschrijdende uitwisseling van gezondheidsgegevens wordt vooral met informatietechnologie bereikt. Zelfs al gebeurt de gegevensuitwisseling bij grensoverschrijdende gezondheidszorg nog hoofdzakelijk met papieren documenten (bijv. een patiënt verhuist naar een andere lidstaat en neemt alle nuttige gezondheidsinformatie, zoals laboratoriumresultaten, doorverwijzingen, etc. mee), toch is het duidelijk de bedoeling deze door elektronische middelen te vervangen. De elektronische communicatie van gezondheidsgegevens zal worden ondersteund door informatiesystemen voor gezondheidszorg die in de lidstaten zijn (of zullen worden) opgezet (in ziekenhuizen, klinieken, etc.). Ook nieuwe technologieën, zoals toepassingen voor elektronische medische dossiers (mogelijk via internet) en andere instrumenten zoals medische paspoorten voor patiënten en artsen, kunnen worden aangewend. Voor de uitwisseling kan natuurlijk ook een combinatie van papieren en elektronische documenten worden gebruikt, afhankelijk van de gezondheidszorgsystemen van de lidstaten.

25.

Toepassingen voor e-gezondheidszorg en telegeneeskunde, die binnen de werkingssfeer van de voorgestelde richtlijn vallen, zullen alleen op de uitwisseling van elektronische gezondheidsgegevens zijn gebaseerd (bijv. vitale functies, beelden, etc.) en zullen gewoonlijk met andere elektronische informatiesystemen voor gezondheidszorg van de lidstaten van behandeling en aansluiting worden gecombineerd. Daaronder vallen systemen voor communicatie tussen patiënt en arts (bijv. bewaking en diagnose op afstand) en tussen artsen onderling (bijv. teleraadpleging onder gezondheidswerkers voor deskundig advies over specifieke ziektebeelden). Ook andere, specifiekere medische toepassingen ter ondersteuning van de algemene grensoverschrijdende verstrekking van gezondheidszorg zijn alleen op elektronische gegevensuitwisseling gebaseerd, zoals elektronische recepten of elektronische doorverwijzingen. Laatstgenoemde worden in sommige lidstaten al op nationaal niveau aangewend (12).

Aandachtspunten in grensoverschrijdende uitwisseling van gezondheidsgegevens

26.

In het licht van bovenstaande overwegingen en van de bestaande diversiteit tussen de gezondheidsstelsels van de lidstaten en het groeiende aantal toepassingen voor e-gezondheidszorg bestaan er twee belangrijke problemen met betrekking tot de bescherming van persoonsgegevens in grensoverschrijdende gezondheidszorg: a) de mogelijke verschillen tussen de beveiligingsniveaus voor de bescherming van persoonsgegevens in de lidstaten (op het vlak van technische en organisatorische maatregelen); en b) de integratie van privacy in toepassingen voor e-gezondheidszorg, vooral in nieuwe ontwikkelingen. Daarenboven kunnen ook andere aspecten bijzondere aandacht vereisen, zoals het secundaire gebruik van gezondheidsgegevens voor met name de productie van statistieken. Deze kwesties worden hierna verder geanalyseerd.

Gegevensbeveiliging in de lidstaten

27.

De Richtlijnen 95/46/EG en 2002/58/EG mogen dan wel uniform worden toegepast in alle lidstaten, toch kunnen zich verschillen voordoen in de interpretatie en uitvoering ervan, vooral indien de wettelijke bepalingen algemeen zijn en aan de lidstaten worden overgelaten. Het belangrijkste aandachtspunt hierbij is de veiligheid van de verwerking, dus de (technische en organisatorische) maatregelen van de lidstaten om de beveiliging van gezondheidsgegevens te waarborgen.

28.

De lidstaten zijn verantwoordelijk voor de stringente bescherming van gezondheidsgegevens. Toch bestaat er momenteel geen algemeen aanvaarde definitie van een „geschikt” beveiligingsniveau voor de gezondheidszorg in de EU, die bij grensoverschrijdende gezondheidszorg kan worden toegepast. Zo kan een ziekenhuis in een bepaalde lidstaat specifieke veiligheidsmaatregelen moeten nemen overeenkomstig de nationale regelgeving voor gegevensbescherming (bijv. de bepaling van een veiligheidsbeleid en gedragscodes, specifieke regels voor uitbesteding en het gebruik van externe contractanten, auditmaatregelen, etc.), die in andere lidstaten niet verplicht zijn. Deze onverenigbaarheid kan een impact hebben op de grensoverschrijdende gegevensuitwisseling, vooral de elektronisch uitwisseling, aangezien niet kan worden gewaarborgd dat de gegevens in dezelfde mate beveiligd zijn (vanuit een technisch en organisatorisch standpunt) in de verschillende lidstaten.

29.

Op dit vlak is dan ook meer harmonisatie geboden. Er moet een gemeenschappelijke reeks beveiligingsvoorschriften voor gezondheidszorg worden vastgesteld die door de dienstverleners in de gezondheidszorg van alle lidstaten moeten worden toegepast. Dit strookt ook met de algemene behoefte aan de bepaling van gemeenschappelijke beginselen voor alle gezondheidsstelsels van de EU, die in het voorstel is geformuleerd.

30.

De aanpak moet algemeen zijn. Er mogen geen specifieke technische oplossingen aan de lidstaten worden opgelegd, maar er moet wel een basis worden gevormd voor wederzijdse erkenning en aanvaarding, bijv. voor het bepalen van het veiligheidsbeleid, de identificatie en authenticatie van patiënten en gezondheidswerkers, etc. Daarbij kunnen bestaande Europese en internationale normen (bijv. ISO en CEN) inzake gezondheidszorg en beveiliging, en technische concepten met een algemeen draagvlak en een wettelijke basis (bijv. elektronische handtekening (13) als routekaart worden gebruikt.

31.

De EDPS pleit voor de harmonisatie van de veiligheid van gezondheidszorg op EU-niveau en vindt dat de Commissie daarbij reeds in het kader van het huidige voorstel (zie deel III) initiatieven moet nemen.

Privacy in toepassingen voor e-gezondheidszorg

32.

Privacy en veiligheid moeten te allen tijde deel uitmaken van de ontwikkeling en uitvoering van een gezondheidszorgstelsel, vooral met betrekking tot de e-gezondheidstoepassingen die in dit voorstel worden vermeld („privacy by design”). Dit onbetwistbare vereiste kreeg reeds bijval in andere beleidsdocumenten van algemene aard (14) en in verband met gezondheidszorg (15).

33.

Met het oog op de in het voorstel besproken interoperabiliteit van e-gezondheidszorg is „privacy by design” des te belangrijker als basis voor alle beoogde ontwikkelingen en is het van toepassing op verschillende niveaus, namelijk organisatorisch, semantisch en technisch.

Op organisatorisch niveau moet rekening worden gehouden met privacy bij het bepalen van de procedures voor de uitwisseling van gezondheidsgegevens tussen de gezondheidszorgorganisaties van de lidstaten. Dit kan een rechtstreekse impact hebben op het soort uitwisseling en zelfs op de soorten gegevens die worden overgedragen (bijv. waar mogelijk identificatienummers gebruiken in plaats van de naam van de patiënt).

Op semantisch niveau moeten de privacy- en veiligheidsvereisten in nieuwe normen en stelsels worden opgenomen, bijv. bij het bepalen van het elektronisch model voor voorschriften dat in het voorstel wordt besproken. Dit kan gebeuren op basis van bestaande technische normen ter zake, bijv. normen inzake de vertrouwelijkheid van gegevens en digitale handtekeningen, maar er kan ook op specifieke behoeften van de gezondheidszorg, zoals rolspecifieke authenticatie van gekwalificeerde gezondheidswerkers, worden ingespeeld.

Op technisch niveau moet in de systeemarchitectuur en gebruikerstoepassingen privacybevorderende technologie worden opgenomen ter uitvoering van de bovengenoemde semantische bepaling.

34.

In de allereerste fase van de ontwikkeling zouden privacy- en veiligheidsvereisten het eerst kunnen worden geïntegreerd in elektronische recepten (zie deel III hieronder).

Overige aspecten

35.

Nog een aspect dat in het kader van de grensoverschrijdende uitwisseling van gezondheidsgegevens aan bod kan komen, is het in het huidige voorstel aangehaalde secundaire gebruik van gezondheidsgegevens, met name voor statistische doeleinden.

36.

Zoals reeds vermeld in punt 18, voorziet artikel 8, lid 4, van Richtlijn 95/46/EG in de mogelijkheid van secundair gebruik van gezondheidsgegevens. Deze verdere verwerking is alleen mogelijk om redenen van „zwaarwegend algemeen belang” en behoudens „passende waarborgen” bij nationale wet of bij besluit van de toezichthoudende autoriteit. (16) Zoals de EDPS aanhaalt in zijn advies inzake het voorstel voor een verordening betreffende communautaire statistieken over de volksgezondheid en de gezondheid en veiligheid op het werk (17) bestaat ook het risico dat de begrippen „vertrouwelijke gegevens” en „persoonsgegevens” een andere betekenis kunnen hebben in de toepassing van de gegevensbeschermingswetgeving enerzijds en in de wetgeving inzake statistieken anderzijds.

37.

In het kader van het huidige voorstel wil de EDPS de aandacht vestigen op deze elementen. Er moet explicieter worden verwezen naar de voorschriften voor gegevensbescherming bij het verdere gebruik van gezondheidsgegevens (zie deel III).

III.   GRONDIGE ANALYSE VAN HET VOORSTEL

De bepalingen inzake gegevensbescherming

38.

Op verschillende plaatsen in het voorstel wordt verwezen naar gegevensbescherming en privacy.

Overweging (3) stelt onder meer dat de tenuitvoerlegging en toepassing van de richtlijn moet geschieden met inachtneming van het recht op eerbiediging van het privéleven en op de bescherming van persoonsgegevens.

In overweging (11) worden de vertrouwelijkheid en het grondrecht op privacy ten aanzien van de verwerking van persoonsgegevens aangehaald als twee van de operationele beginselen die door de gezondheidsstelsels in de hele Gemeenschap worden gedeeld.

In overweging (17) wordt het recht op bescherming van persoonsgegevens beschouwd als een te beschermen grondrecht, met name het recht van personen op toegang tot persoonsgegevens die hun gezondheid betreffen — ook in het kader van de grensoverschrijdende gezondheidszorg — als vastgesteld in Richtlijn 95/46/EG.

Artikel 3 legt het verband tussen de richtlijn en andere communautaire bepalingen, en verwijst in lid 1, onder a), naar de Richtlijnen 95/46/EG en 2002/58/EG.

Artikel 5 betreft de verantwoordelijkheden van de lidstaat waar de behandeling plaatsvindt. In lid 1, onder f), wordt het grondrecht op privacy als een van deze verantwoordelijkheden genoemd, overeenkomstig de nationale omzettingsmaatregelen voor de Richtlijnen 95/46/EG en 2002/58/EG.

Artikel 6 betreft in een andere lidstaat verstrekte gezondheidszorg. Krachtens lid 5 hebben patiënten die reizen naar een andere lidstaat om daar tijdens hun verblijf gezondheidszorg te ontvangen of die in een andere lidstaat verleende gezondheidszorg willen ontvangen, recht op toegang tot hun medische dossiers, opnieuw overeenkomstig de nationale omzettingsmaatregelen voor Richtlijn 95/46/EG en 2002/58/EG.

Krachtens artikel 12 over de nationale contactpunten voor grensoverschrijdende gezondheidszorg, meer bepaald lid 2, onder a), zijn de nationale contactpunten onder meer verantwoordelijk voor het verstrekken en verspreiden van informatie aan patiënten over waarborgen voor de bescherming van persoonsgegevens in een andere lidstaat.

Artikel 16 over e-gezondheidszorg bepaalt dat maatregelen voor de interoperabiliteit van de informatie- en communicatietechnologiesystemen het grondrecht op bescherming van persoonsgegevens overeenkomstig de toepasselijke wetgeving moeten eerbiedigen.

Tot slot wordt in artikel 18, lid 1, onder meer vermeld dat het verzamelen van gegevens voor statistische en toezichtsdoeleinden moet gebeuren overeenkomstig de nationale en communautaire wetgeving inzake de bescherming van persoonsgegevens.

39.

De EDPS juicht toe dat bij het opstellen van het voorstel rekening is gehouden met gegevensbescherming en dat is gepoogd om de algemene behoefte aan privacy in het kader van grensoverschrijdende gezondheidszorg aan te tonen. Desalniettemin zijn de bepalingen inzake gegevensbescherming in het huidige voorstel te algemeen, of verwijzen ze op een tamelijk selectieve en onsamenhangende manier naar de verantwoordelijkheden van de lidstaten.

Met name de overwegingen (3) en (11), evenals artikel 3, lid 1, onder a), artikel 16 en artikel 18, lid 1, gaan in op het algemene juridische gegevensbeschermingkader (in de artikelen 16 en 18 gebeurt dit in het kader van e-gezondheidszorg en de verzameling van statistieken, maar er worden geen specifieke privacyvoorschriften vastgesteld).

Artikel 5, lid 1, onder f), bevat een algemene verwijzing naar de verantwoordelijkheden van de lidstaten.

In overweging (17) en in artikel 6, lid 5, wordt meer specifiek verwezen naar het recht van de patiënt op toegang tot zijn/haar gegevens in de lidstaat van behandeling.

Tot slot bevat artikel 12, lid 2, onder a) een bepaling over de rechten van de patiënt op informatie in de lidstaat van aansluiting (via de nationale contactpunten).

In de inleiding van dit advies is al gemeld dat er geen verband met en/of verwijzing naar privacyaspecten is in andere juridische (bindende of niet bindende) EG-instrumenten op het vlak van gezondheidszorg, meer bepaald inzake het gebruik van nieuwe ict (bijv. telegeneeskunde of elektronische gezondheidsregisters).

40.

Privacy wordt wel aangehaald als een vereiste bij grensoverschrijdende gezondheidszorg, maar het algemene beeld ontbreekt, zowel wat de verplichtingen van de lidstaten betreft als inzake de specifieke kenmerken van grensoverschrijdende gezondheidszorgverlening (in tegenstelling tot de verlening van nationale gezondheidszorg).

De verantwoordelijkheden van de lidstaten zijn niet geïntegreerd weergegeven. Sommige verplichtingen (recht op toegang en informatie) worden — op verschillende plaatsen in het voorstel — benadrukt, terwijl andere (bijv. de beveiliging van de verwerking) volledig achterwege zijn gelaten.

Er wordt geen melding gemaakt van de inconsistenties tussen de beveiligingsmaatregelen van de lidstaten en de noodzakelijke harmonisatie van de beveiliging van gezondheidsgegevens op Europees niveau, in het kader van grensoverschrijdende gezondheidszorg.

Ook de integratie van privacy in toepassingen voor e-gezondheidszorg en voor elektronische recepten komt niet ter sprake.

41.

Voorts roept artikel 18 inzake de verzameling van gegevens voor statistische en toezichtsdoeleinden enkele specifieke problemen op. In het eerste lid wordt verwezen naar „statistische en overige aanvullende gegevens”. Ook wordt naar verschillende „toezichtsdoeleinden” verwezen, waarna de gebieden worden opgesomd waarop toezicht moet worden gehouden, namelijk de verlening van grensoverschrijdende gezondheidszorg, de verleende zorg, de betrokken zorgaanbieders en patiënten, de kosten en de resultaten. In deze reeds tamelijk onduidelijke context wordt de wetgeving inzake gegevensbescherming in het algemeen genoemd, maar er worden geen specifieke voorschriften vastgesteld voor het verdere gebruik van gezondheidsgegevens overeenkomstig artikel 8, lid 4, van Richtlijn 95/46/EG. Bovendien bevat het tweede lid de onvoorwaardelijke verplichting om ten minste jaarlijks een groot aantal gegevens naar de Commissie te zenden. Nergens staat expliciet vermeld dat de noodzaak van deze overdracht moet worden aangetoond. Daaruit kan worden afgeleid dat de Gemeenschapswetgever zelf al de noodzaak van deze overdrachten aan de Commissie heeft vastgesteld.

De aanbevelingen van de EDPS

42.

Teneinde de genoemde punten naar behoren te behandelen, doet de EDPS hieronder een aantal aanbevelingen in de vorm van vijf stappen voor wijzigingen.

Stap 1 — Definitie van gezondheidsgegevens

43.

In artikel 4 worden de belangrijkste termen in het voorstel gedefinieerd. De EDPS dringt erop aan dat hieraan ook een definitie van gezondheidsgegevens wordt toegevoegd. Hij beveelt aan een ruime interpretatie van gezondheidsgegevens te hanteren, zoals reeds in deel II van dit advies (punten 14 en 15) is vermeld.

Stap 2 — Inlassen van een specifiek artikel over gegevensbescherming

44.

De EDPS beveelt ook ten zeerste aan om in het voorstel een specifiek artikel over gegevensbescherming in te lassen, teneinde de algemene privacydimensie op een duidelijke en verstaanbare manier vast te leggen. Van dit artikel zou deel uit moeten maken: a) een beschrijving van de verantwoordelijkheden van de lidstaten van aansluiting en behandeling, onder meer inzake veilige verwerking en, b) de belangrijkste gebieden voor verdere ontwikkeling, namelijk de harmonisatie van beveiliging en de integratie van privacy in e-gezondheidszorg. Voor deze kwesties kunnen (binnen het voorgestelde artikel) specifieke bepalingen worden opgenomen, overeenkomstig de stappen 3 en 4 hieronder.

Stap 3 — Specifieke bepaling voor de harmonisatie van de beveiliging

45.

Ingevolge de wijziging in stap 2, beveelt de EDPS aan dat de Commissie een mechanisme goedkeurt voor de bepaling van een algemeen aanvaardbaar beveiligingsniveau van gezondheidsgegevens op nationaal niveau, met inachtneming van de bestaande technische normen hiervoor. Dit dient in het voorstel tot uiting te komen en kan eventueel worden uitgevoerd via de comitéprocedure, die in artikel 19 wordt beschreven en al van toepassing is voor andere delen van het voorstel. Voorts kunnen aanvullende instrumenten worden gebruikt voor de productie van richtsnoeren, waarbij alle belanghebbende partijen, zoals de Artikel 29 Werkgroep en de EDPS, worden betrokken.

Stap 4 — Het opnemen van privacy in het model voor elektronische recepten

46.

In artikel 14 over de erkenning van in een andere lidstaat verstrekte recepten wordt de ontwikkeling van een communautair model voor recepten vastgesteld, ter bevordering van de interoperabiliteit van elektronische recepten. Deze maatregel wordt via een comitéprocedure aangenomen, overeenkomstig artikel 19, lid 2, van het voorstel.

47.

De EDPS raadt aan om in het voorgestelde model voor elektronische recepten privacy en beveiliging op te nemen, zelfs op het zeer elementaire niveau van de semantische definitie van het model. Dit moet expliciet worden vermeld in artikel 14, lid 2, onder a). Ook hier is het zaak alle belanghebbende partijen erbij te betrekken. De EDPS wenst via de voorgestelde comitéprocedure op de hoogte te blijven van en betrokken te worden bij verdere acties op dit gebied.

Stap 5 — Verder gebruik van gezondheidsgegevens voor statistische en toezichtsdoeleinden

48.

Het begrip „andere aanvullende gegevens” in artikel 18, lid 1, moet worden verduidelijkt om misverstanden te vermijden. Ook moet in het artikel uitdrukkelijker worden verwezen naar de voorschriften voor het verdere gebruik van gezondheidsgegevens, als bepaald in artikel 8, lid 4, van Richtlijn 95/46/EG. De verplichting in lid 2, om alle gegevens aan de Commissie toe te zenden, moet bovendien onderworpen worden aan een beoordeling van de noodzaak van een dergelijke overdracht voor legitieme doeleinden, die op voorhand naar behoren zijn vastgelegd.

IV.   CONCLUSIES

49.

De EDPS wil benadrukken dat hij initiatieven ter bevordering van de voorwaarden voor grensoverschrijdende gezondheidszorg ondersteunt. Het baart hem wel zorgen dat communautaire initiatieven op het vlak van gezondheidszorg niet altijd goed afgestemd zijn op het vlak van ict, privacy en beveiliging. Dit staat het toepassen van een universele aanpak van gegevensbescherming in de gezondheidszorg namelijk in de weg.

50.

De EDPS vindt het positief dat privacy in het huidige voorstel wordt vermeld. Toch zijn een aantal wijzigingen noodzakelijk (zie deel III van dit advies), teneinde duidelijke voorschriften voor de lidstaten van behandeling en aansluiting vast te stellen en voldoende aandacht te besteden aan de gegevensbeschermingsdimensie van grensoverschrijdende gezondheidszorg.

In artikel 4 moet een definitie van gezondheidsgegevens worden opgenomen, die verduidelijkt dat het persoonsgegevens zijn die een duidelijk en nauw verband hebben met de beschrijving van de gezondheidstoestand van een persoon. Dit zijn in principe medische gegevens, alsook administratieve en financiële gegevens betreffende de gezondheid.

Het inlassen van een specifiek artikel over gegevensbescherming wordt ten zeerste aangeraden. Dit artikel moet de volgende elementen bevatten: een beschrijving van de verantwoordelijkheden van de lidstaten van aansluiting en behandeling en een bepaling van de belangrijkste verbeterpunten, namelijk de harmonisatie van de beveiliging en de integratie van privacy, met name in toepassingen voor e-gezondheidszorg.

Aanbevolen wordt dat de Commissie een mechanisme goedkeurt voor de bepaling van een algemeen aanvaardbaar beveiligingsniveau van gezondheidsgegevens op nationaal niveau, met inachtneming van de bestaande technische normen hiervoor. Aanvullende en/of complementaire initiatieven die alle belanghebbende partijen, de Artikel 29 Werkgroep en de EDPS verenigen, moeten worden aangemoedigd.

Aanbevolen wordt dat „privacy by design” wordt toegepast op het voorgestelde communautaire model voor elektronische recepten (ook op semantisch niveau). Dit moet expliciet worden vermeld in artikel 14, lid 2, onder a). De EDPS wenst via de voorgestelde comitéprocedure op de hoogte te blijven van en betrokken te worden bij verdere acties op dit gebied.

Aanbevolen wordt om artikel 18 duidelijker te verwoorden en de in artikel 8, lid 4, van Richtlijn 95/46/EG vervatte specifieke voorschriften voor verder gebruik van gezondheidsgegevens explicieter te vermelden.

Gedaan te Brussel, 2 december 2008.

Peter HUSTINX

Europese Toezichthouder voor gegevensbescherming


(1)  COM(2008) 414 def. Op dezelfde datum is ook een aanvullende mededeling inzake een communautair kader voor de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg (COM(2008) 415 def.) aangenomen. Aangezien deze mededeling eerder algemeen van aard is, zal de EDPS zich op de voorgestelde richtlijn concentreren.

(2)  Aangekondigd in het werkprogramma van de Commissie.

(3)  Aanbeveling van de Commissie van 2 juli 2008 inzake grensoverschrijdende interoperabiliteit van systemen voor elektronische medische dossiers (Kennisgeving geschied onder nummer C(2008) 3282), PB L 190, 18.7.2008, blz. 37.

(4)  Aangekondigd in het werkprogramma van de Commissie.

(5)  Zo wordt in de in voetnoot 1 vermelde mededeling, die een communautair kader voor de toepassing van de rechten van patiënten bij grensoverschrijdende gezondheidszorg tot doel heeft, niet verwezen naar privacy- of gegevensbescherming.

(6)  Zie Zaak 158/96 Kohll, jurispr. 1998, blz. I-1931, par. 34. Zie onder meer ook Zaak C-157/99, Smits en Peerbooms, jurispr. 2001, blz. I-5473 en Zaak C-385/99, Müller-Fauré en Van Riet, jurispr. 2003, blz. I-12403.

(7)  Zie EHRM 17 juli 2008, I vs. Finland (appl. nr. 20511/03), punt 38.

(8)  Zie Groep artikel 29, Werkdocument inzake de verwerking van persoonsgegevens betreffende gezondheid in elektronische medische dossiers (EMD), februari 2007, WP 131, onder II.2. Zie ook de bredere betekenis van „persoonsgegevens”: Groep artikel 29, Advies 4/2007 over het begrip persoonsgegeven, WP136.

(9)  Raad van Europa, Aanbeveling nr. R(97)5 over de bescherming van medische gegevens.

(10)  ISO 27799:2008 „Health informatics — Information security management in health using ISO/IEC 27002”.

(11)  EHRM 17 juli 2008, I vs. Finland (appl. nr. 20511/03), punt 38.

(12)  Verslag eHealth ERA, Towards the Establishment of a European eHealth Research Area, Europese Commissie, Informatiemaatschappij en Media, maart 2007, http://ec.europa.eu/information_society/activities/health/docs/policy/ehealth-era-full-report.pdf

(13)  Richtlijn 1999/93/EG van het Europees Parlement en de Raad van 13 december 1999 betreffende een gemeenschappelijk kader voor elektronische handtekeningen (PB L 13 van 19.1.2000, blz. 12-20).

(14)  The EDPS and EU Research and Technological Development, beleidsnota, EDPS, april 2008, http://www.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Documents/EDPS/Publications/Papers/PolicyP/08-04-28_PP_RTD_EN.pdf

(15)  Aanbeveling van de Commissie van 2 juli 2008 inzake grensoverschrijdende interoperabiliteit van systemen voor elektronische medische dossiers (kennisgeving onder nummer C(2008) 3282), PB L 190, 18.7.2008, blz. 37.

(16)  Zie ook overweging 34 van Richtlijn 95/46/EG. Zie hierover ook het advies van de Groep artikel 29 over EMD op blz. 16 (cf. voetnoot 8).

(17)  PB C 295 van 7.12.2007, blz. 1.


6.6.2009   

NL

Publicatieblad van de Europese Unie

C 128/28


Tweede advies van de Europese toezichthouder voor gegevensbescherming over de herziening van Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie)

2009/C 128/04

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,

Gelet op het Handvest van de grondrechten van de Europese Unie, en met name op artikel 8,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens,

Gelet op Richtlijn 2002/58/EG van het Europees Parlement en de Raad van 12 juli 2002 betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie,

Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, en met name op artikel 41,

BRENGT HET VOLGENDE ADVIES UIT:

I.   INLEIDING

Achtergrond

1.

De Europese Commissie heeft op 13 november 2007 een voorstel aangenomen tot wijziging van, onder andere, de richtlijn betreffende privacy en elektronische communicatie, meestal de e-privacyrichtlijn genoemd (1) (hierna „het voorstel” of „het Commissievoorstel”). De EDPS heeft hierover op 10 april 2008 een advies met verbeteringsaanbevelingen uitgebracht, met als doel ertoe bij te dragen dat de wijzigingsvoorstellen uitmonden in een richtlijn die de best mogelijke bescherming van de persoonlijke levenssfeer en de persoonsgegevens van natuurlijke personen biedt („eerste advies van de EDPS”) (2).

2.

De EDPS heeft in dit eerste advies zijn waardering uitgesproken voor het voorstel van de Commissie om een meldingsplicht in te voeren voor inbreuken op de beveiliging, waarbij ondernemingen verplicht worden natuurlijke personen in kennis te stellen van eventuele inbreuken in verband met hun persoonsgegevens. Voorts verklaart hij zich ingenomen met de nieuwe bepaling die, ter aanvulling op bestaande instrumenten voor het bestrijden van spam, rechtspersonen (bijv. consumentenorganisaties en internetdienstenaanbieders) de mogelijkheid biedt juridische actie te ondernemen tegen spammers.

3.

Vervolgens heeft de EDPS tijdens de aan de eerste lezing voorafgaande bespreking in het Europees Parlement nader advies verstrekt in de vorm van opmerkingen over specifieke vraagstukken die de voor de herziening van de Universeledienstrichtlijn (3) en de e-privacyrichtlijn bevoegde commissies van het Europees Parlement in hun verslagen aan de orde hadden gesteld („Opmerkingen”) (4). Deze opmerkingen hebben in hoofdzaak betrekking op vraagstukken in verband met de verwerking van verkeersgegevens en de bescherming van intellectuele-eigendomsrechten.

4.

Op 24 september 2008 heeft het Europees Parlement („EP”) een wetgevingsresolutie over de e-privacyrichtlijn aangenomen („eerste lezing”) (5). Een groot aantal van de door het EP in aansluiting op het advies en de opmerkingen van de EDPS aangenomen amendementen is door de EDPS met instemming begroet. Eén van de belangrijke wijzigingen is dat de meldingsplicht voor inbreuken op de beveiliging ook zal gelden voor aanbieders van diensten van de informatiemaatschappij (d.w.z. ondernemingen die via het internet werken). De EDPS was ook ingenomen met het amendement dat natuurlijke en rechtspersonen de mogelijkheid biedt een inbreuk op enige bepaling van de e-privacyrichtlijn voor de rechter te brengen (en niet alleen inbreuken op de bepalingen betreffende spam, zoals de Commissie oorspronkelijk had voorgesteld). Aansluitend op de eerste lezing van het Parlement heeft de Commissie een gewijzigd voorstel betreffende de e-privacyrichtlijn aangenomen (hierna „het gewijzigd voorstel”) (6).

5.

Op 27 november 2008 heeft de Raad een politiek akkoord bereikt over een herziening van de regelgeving van het telecommunicatiepakket, waaronder de e-privacyrichtlijn, dat het gemeenschappelijk standpunt van de Raad zal worden („gemeenschappelijk standpunt”) (7). Overeenkomstig artikel 251, lid 2, van het Verdrag tot oprichting van de Europese Gemeenschap zal het gemeenschappelijk standpunt worden meegedeeld aan het EP, dat eventueel amendementen kan voorstellen.

Algemene opmerkingen over het standpunt van de Raad

6.

De Raad heeft het voorstel op een aantal essentiële punten gewijzigd en een groot aantal door het EP aangenomen amendementen niet geaccepteerd. Hoewel het gemeenschappelijk standpunt ontegenzeglijk positieve elementen bevat, is de EDPS over het geheel genomen bezorgd over de inhoud ervan, met name omdat een aantal van de positieve wijzigingen die waren voorgesteld in amendementen van het EP, het gewijzigd voorstel van de Commissie en de adviezen van de EDPS en de Europese gegevensbeschermingsautoriteiten (verstrekt via de Groep artikel 29) (8) niet in het gemeenschappelijk standpunt zijn overgenomen.

7.

Integendeel: in niet weinig gevallen heeft de Raad de in het gewijzigd voorstel en de amendementen van het EP voorgestelde bepalingen die de burgers garanties hadden moeten bieden, geschrapt of fors afgezwakt, met als gevolg dat natuurlijke personen in het gemeenschappelijk standpunt een aanzienlijk lager niveau van bescherming wordt geboden. Daarom brengt de EDPS nu een tweede advies uit, in de hoop dat, naarmate de e-privacyrichtlijn in het wetgevingsproces vordert, nieuwe wijzigingen worden aangenomen waarbij deze waarborgen met betrekking tot gegevensbescherming worden hersteld.

8.

Dit tweede advies is toegespitst op een aantal essentiële probleempunten, en komt niet in extenso terug op het eerste advies of de opmerkingen van de EDPS, die onverkort geldig blijven. Dit advies gaat met name in op de volgende elementen:

de bepalingen betreffende de kennisgeving van inbreuken op de beveiliging;

het toepassingsgebied van de e-privacyrichtlijn wat betreft particuliere en voor het publiek toegankelijke particuliere netwerken;

het verwerken van verkeersgegevens voor beveiligingsdoeleinden;

de mogelijkheid voor rechtspersonen om inbreuken op de e-privacyrichtlijn voor de rechter te brengen.

9.

Doel van dit advies, is na te gaan hoe deze vraagstukken in het gemeenschappelijk standpunt van de Raad worden benaderd, en dit standpunt te vergelijken met de eerste lezing van het EP en het gewijzigd voorstel van de Commissie. De hier gedane aanbevelingen zijn bedoeld om de bepalingen van de e-privacyrichtlijn te stroomlijnen en ervoor te zorgen dat de richtlijn de geëigende bescherming blijft bieden met betrekking tot de persoonlijke levenssfeer en de persoonsgegevens van natuurlijke personen.

II.   DE BEPALINGEN BETREFFENDE DE KENNISGEVING VAN INBREUKEN OP DE BEVEILIGING

10.

De EDPS is voorstander van het aannemen van een regeling voor de kennisgeving van inbreuken op de beveiliging waarbij autoriteiten en natuurlijke personen op de hoogte worden gebracht ingeval hun persoonsgegevens zijn gecompromitteerd (9). Kennisgeving van inbreuken op de beveiliging kan natuurlijke personen helpen de nodige stappen te nemen om mogelijke schade als gevolg van de inbreuk te verlichten. Het verplicht maken van deze kennisgeving zal ondernemingen ertoe aanzetten gegevens beter te beveiligen en hun aansprakelijkheid met betrekking tot de persoonsgegevens waarvoor ze verantwoordelijk zijn, scherper stellen.

11.

De meldingsplicht voor inbreuken op de beveiliging wordt in het gewijzigd voorstel van de Commissie, de eerste lezing van het Europees Parlement en het gemeenschappelijk standpunt van de Raad op drie verschillende manieren benaderd. Elk van die benaderingen heeft positieve kanten, maar de EDPS acht ze ook alle drie voor verbetering vatbaar, en adviseert om in de laatste fase in aanloop naar de aanname van een regeling betreffende inbreuken op de beveiliging rekening te houden met de onderstaande aanbevelingen.

12.

In de analyse van de drie benaderingen van de genoemde regeling moeten vijf kernpunten in ogenschouw worden genomen: i) de definitie van een inbreuk op de beveiliging; ii) de entiteiten die tot kennisgeving verplicht zijn („betrokken entiteiten”); iii) het criterium dat tot kennisgeving verplicht; iv) het aanwijzen van de entiteit die bepaalt wanneer een inbreuk op de beveiliging aan dit criterium voldoet, v) de ontvangers van de kennisgeving.

Overzicht van de benaderingen van de Commissie, de Raad en het EP

13.

Het Europees Parlement, de Commissie en de Raad hebben de kennisgeving van inbreuken op de beveiliging op verschillende manieren benaderd. Het EP heeft in zijn eerste lezing de door de Commissie oorspronkelijk voorgestelde regeling voor de kennisgeving van inbreuken op de beveiliging gewijzigd (10). Voor het EP moet de meldingsplicht niet alleen voor aanbieders van openbare elektronische-communicatiediensten gelden, maar ook voor aanbieders van diensten van de informatiemaatschappij. Voorts zouden in deze benadering alle inbreuken in verband met persoonsgegevens aan de nationale regelgevende instantie of de bevoegde instanties (samen „de bevoegde instanties”) gemeld moeten worden. Wordt de inbreuk door de bevoegde instanties als ernstig aangemerkt, dan zouden zij de aanbieders van openbare elektronische-communicatiediensten en de aanbieders van diensten van de informatiemaatschappij verzoeken, de getroffen persoon hiervan onverwijld in kennis te stellen. Voor inbreuken die een imminent en rechtstreeks gevaar inhouden, zouden deze ondernemingen de natuurlijke personen eerder inlichten dan de bevoegde instanties, en hun besluit niet afwachten. De verplichting om consumenten van een inbreuk in kennis te stellen, geldt niet voor entiteiten die aan de bevoegde instanties kunnen aantonen dat zij „gepaste technische beschermingsmaatregelen” hebben genomen die de gegevens onbegrijpelijk maken voor wie deze gegevens niet mag inzien.

14.

Ook de Raad vindt dat zowel abonnees als bevoegde instanties in kennis moeten worden gesteld, maar alleen wanneer de betrokken entiteit de inbreuk inschat als een ernstig risico voor de persoonlijke levenssfeer van de abonnee (identiteitsdiefstal of -fraude, lichamelijke schade, ernstige vernedering of aantasting van de reputatie).

15.

De Commissie handhaaft in haar gewijzigd voorstel de door het EP ingestelde verplichting om de autoriteiten van alle inbreuken in kennis te stellen. In tegenstelling tot het EP maakt de Commissie in het gewijzigde voorstel wel een uitzondering op de verplichte kennisgeving aan de getroffen natuurlijke personen, nl. wanneer de aanbieder van de openbare elektronische-communicatiediensten aan de bevoegde instantie aantoont i) dat „er slechts een zeer geringe kans bestaat” dat als gevolg van de inbreuk schade (bijv. economisch verlies, sociale schade of identiteitsdiefstal) wordt berokkend of ii)gepaste technische beschermingsmaatregelen” zijn toegepast op de gegevens waarop de inbreuk betrekking had. Een en ander betekent dat de Commissie voor de kennisgeving aan natuurlijke personen de toegebrachte schade als uitgangspunt neemt.

16.

Belangrijk is dat de bevoegdheid om te bepalen of een inbreuk ernstig is, of naar redelijkerwijs mag worden aangenomen schade zal berokkenen, in de benadering van het EP (11) en de Commissie uiteindelijk bij de bevoegde instanties berust. De Raad daarentegen laat dit besluit over aan de betrokken entiteiten.

17.

Voor de Raad en de Commissie gelden de voorgestelde bepalingen alleen voor de aanbieders van openbare elektronische-communicatiediensten, en niet, zoals in de tekst van het EP, voor aanbieders van diensten van de informatiemaatschappij.

Definitie van een inbreuk op de beveiliging

18.

Het verheugt de EDPS dat een inbreuk op de beveiliging in de drie wetgevingsvoorstellen op dezelfde manier wordt gedefinieerd, nl. als een inbreuk „op de beveiliging die geresulteerd [heeft] in een accidentele of onwettige vernietiging, verlies of wijziging of in niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens, verstuurd, opgeslagen of anderszins verwerkt […]  (12)”.

19.

Deze definitie is welkom, omdat zij ruim genoeg is om het merendeel van de situaties te bestrijken waarin kennisgeving van een inbreuk op de beveiliging gerechtvaardigd zou zijn.

20.

Ten eerste heeft de definitie betrekking op situaties waarin een derde partij zich op een ongeoorloofde manier toegang heeft verschaft tot persoonsgegevens, bijvoorbeeld door in te breken in een server die persoonsgegevens bevat, en die informatie op te vragen.

21.

Ten tweede bestrijkt de definitie ook situaties waarin persoonsgegevens verloren of vrijgegeven zijn, en het bewijs van een ongeoorloofde toegang nog geleverd moet worden. Het gaat dan om situaties waarin persoonsgegevens mogelijk verloren zijn geraakt (bijv. cd-roms, USB-drives, of andere draagbare apparatuur), of openbaar worden gemaakt door regelmatige gebruikers (een gegevensbestand over of van werknemers dat onbedoeld en tijdelijk via het internet beschikbaar wordt gesteld op een voor het publiek toegankelijke plaats). Omdat er vaak geen aanwijzingen zullen zijn dat deze gegevens al dan niet op een bepaald moment door niet gemachtigde derde partijen ingezien of gebruikt mogen worden, lijkt het raadzaam dit soort situaties in de definitie op te nemen. De EDPS beveelt dan ook aan deze definitie van een inbreuk op de beveiliging te handhaven, en haar op te nemen in artikel 2 van de e-privacyrichtlijn; dit zou beter passen in de algemene structuur van de richtlijn en de duidelijkheid ten goede komen.

Entiteiten waarvoor de meldingsplicht zou moeten gelden

22.

Wat het EP betreft, geldt de meldingsplicht zowel voor aanbieders van openbare elektronische-communicatiediensten als voor aanbieders van diensten van de informatiemaatschappij. Volgens de Raad en de Commissie, daarentegen, zouden alleen aanbieders van openbare elektronische-communicatiediensten, zoals telecommunicatiebedrijven en aanbieders van internettoegang, natuurlijke personen op de hoogte moeten brengen wanneer er een inbreuk op de beveiliging heeft plaatsgevonden die persoonsgegevens compromitteert. Voor andere sectoren, zoals onlinebanken, onlinekleinhandels, aanbieders van e-gezondheidsdiensten en anderen geldt deze verplichting niet. De EDPS acht het vanuit het oogpunt van de openbare orde essentieel dat kennisgeving ook verplicht wordt gesteld voor diensten van de informatiemaatschappij, waaronder onlineondernemingen, onlinebanken, aanbieders van e-gezondheidsdiensten enz.

23.

Ten eerste kan weliswaar niet ontkend worden dat telecommunicatiebedrijven doelwit zijn van inbreuken op de beveiliging die een meldingsplicht rechtvaardigen, maar dit geldt evenzeer voor andere categorieën van ondernemingen/aanbieders. Onlinekleinhandels, onlinebanken, onlineapotheken kunnen evenzeer, of zelfs meer dan telecommunicatiebedrijven, het slachtoffer van dergelijke inbreuken zijn. De risicoafweging lijkt niet te rechtvaardigen dat de meldingsplicht voor inbreuken beperkt wordt tot aanbieders van openbare elektronische-communicatiediensten. De ervaring in andere landen toont aan dat een bredere aanpak nodig is. In de Verenigde Staten, bijvoorbeeld, hebben bijna alle staten (op dit ogenblik meer dan 40) wetgeving betreffende de melding van inbreuken op de beveiliging vastgesteld die een ruimer toepassingsgebied heeft, en niet alleen geldt voor aanbieders van openbare elektronische-communicatiediensten, maar voor alle entiteiten die de betrokken persoonsgegevens in hun bezit hebben.

24.

Ten tweede moge duidelijk zijn dat inbreuken op de categorieën van persoonsgegevens die op regelmatige basis door aanbieders van openbare elektronische-communicatiediensten worden verwerkt, gevolgen kunnen hebben voor de persoonlijke levenssfeer van natuurlijke personen, maar dit geldt evenzeer, of zelfs meer, voor de categorieën van persoonsgegevens die verwerkt worden door aanbieders van diensten van de informatiemaatschappij. Immers, banken en ander financiële instellingen kunnen in het bezit zijn van bijzonder vertrouwelijke gegevens (bijvoorbeeld met betrekking tot bankrekeningen), die bij openbaarmaking misbruikt kunnen worden voor identiteitsdiefstal. Ook de bekendmaking van bijzonder gevoelig informatie over de gezondheid door onlinegezondheidsdiensten kan bijzonder schadelijk zijn voor natuurlijke personen. De verschillende categorieën van persoonsgegevens die kunnen worden gecompromitteerd, vormen daarom ook een argument om de meldingsplicht voor inbreuken op de beveiliging uit te breiden, ten minste tot aanbieders van informatiemaatschappijdiensten.

25.

Tegen deze verruiming van het toepassingsgebied van het artikel, d.w.z. van de entiteiten waarop deze bepaling van toepassing zou moeten zijn, zijn juridische bezwaren ingebracht. Zo is met name beoogd dat de e-privacyrichtlijn alleen voor aanbieders van openbare elektronische-communicatiediensten geldt, wat is ingeroepen als argument tegen een uitbreiding van de meldingsplicht tot aanbieders van diensten van de informatiemaatschappij.

26.

De EDPS wijst in dit verband op het volgende: i) er is geen enkel juridisch argument in te brengen tegen het verruimen van het toepassingsgebied van sommige bepalingen van de richtlijn tot andere actoren dan aanbieders van openbare elektronische-communicatiediensten. Dit is geheel ter beoordeling van de communautaire wetgever; ii) er zijn andere precedenten in de huidige e-privacyrichtlijn van van toepassing verklaring op andere entiteiten dan aanbieders van openbare elektronische-communicatiediensten.

27.

Artikel 13, bijvoorbeeld, waarin instemming vooraf verplicht wordt gesteld, is niet alleen van toepassing op aanbieders van openbare elektronische-communicatiediensten, maar op alle ondernemingen die ongevraagd berichten sturen. Voorts is artikel 5, lid 3, van de e-privacyrichtlijn, waarbij onder meer verboden wordt informatie zoals cookies in de eindapparatuur van de verbruiker op te slaan, bindend, niet alleen voor aanbieders van openbare elektronische-communicatiediensten, maar voor iedereen die probeert informatie op te slaan of toegang te verkrijgen tot informatie die is opgeslagen in de eindapparatuur van natuurlijke personen. De Commissie heeft in het lopende wetgevingsproces zelfs voorgesteld de toepassing van artikel 5, lid 3, te verruimen, omdat dergelijke technologieën (cookies/spyware) niet alleen via elektronische-communicatiesystemen verspreid worden, maar op alle mogelijke andere manieren (verspreiding door downloaden van het internet of via media voor externe gegevensopslag, zoals cd-roms, USB-sticks, flash drives enz.). Al deze positieve elementen moeten behouden worden, en vormen tegelijkertijd een nuttig precedent voor de lopende discussie over het toepassingsgebied.

28.

Voorts hebben de Commissie en het EP, en eigenlijk ook de Raad, in het huidige wetgevingsproces een nieuw artikel 6, lid 6 bis, voorgesteld (bespreking zie infra) dat van toepassing is op andere entiteiten dan aanbieders van openbare elektronische-communicatiediensten.

29.

Tot slot is het zeer waarschijnlijk dat burgers, gelet op het algemene positieve effect van een meldingsplicht voor inbreuken op de beveiliging, in situaties waarin hun persoonsgegevens zijn gecompromitteerd, altijd een dergelijke gunstige behandeling zullen verwachten, niet alleen van aanbieders van openbare elektronische-communicatiediensten, maar ook van aanbieders van diensten van de informatiemaatschappij. Het risico bestaat dat burgers in hun verwachtingen teleurgesteld worden indien zij, bijvoorbeeld, niet worden ingelicht wanneer een onlinebank de gegevens over hun bankrekening is kwijtgeraakt.

30.

De EDPS is er dan ook van overtuigd dat de meldingsplicht voor inbreuken op de beveiliging alleen ten volle effect zal sorteren indien zij zowel voor aanbieders van openbare elektronische-communicatiediensten, als voor aanbieders van diensten van de informatiemaatschappij geldt.

De drempel voor kennisgeving

31.

Wat de drempel voor kennisgeving betreft, is het meest geschikte van de drie voorgestelde criteria volgens de EDPS in het gewijzigd voorstel van de Commissie te vinden („een zeer geringe kans […] dat de consumentenrechten en -belangen […] worden geschaad”). Wel is het zaak het woord „schaden” ruim genoeg te definiëren om alle vormen van negatieve impact op de persoonlijke levenssfeer of andere rechtmatige belangen van natuurlijke personen te bestrijken. Anders is een nieuw criterium te verkiezen, waarbij kennisgeving verplicht zou zijn wanneer „redelijkerwijs mag worden aangenomen dat de inbreuk negatieve gevolgen zal hebben voor natuurlijke personen”.

32.

Het EP, de Commissie en de Raad verschillen, zoals eerder reeds gezegd, van mening over de omstandigheden („de drempel” of „het criterium” genoemd) die tot kennisgeving aan natuurlijke personen verplichten. Het aantal meldingen dat natuurlijke personen ontvangen, zal uiteraard in hoge mate afhangen van de drempel die, of het criterium dat, voor kennisgeving wordt vastgesteld.

33.

Volgens de Raad en de Commissie moet tot kennisgeving worden overgegaan wanneer de inbreuk „een ernstig risico voor de persoonlijke levenssfeer van de abonnee vormt” (Raad) en wanneer er meer dan „een zeer geringe kans bestaat dat de consumentenrechten en -belangen […] worden geschaad” (Commissie). Voor het EP is het criterium voor kennisgeving aan natuurlijke personen de „ernst van de inbreuk” (d.w.z. kennisgeving aan natuurlijke personen is verplicht wanneer de inbreuk „ernstig” wordt geacht). Beneden deze drempel is kennisgeving niet nodig (13).

34.

De EDPS beseft dat betoogd kan worden dat natuurlijke personen bij een schending van hun persoonsgegevens in alle omstandigheden het recht hebben van deze inbreuk op de hoogte te worden gebracht. Maar de vraag dringt zich op of dit, in het licht van andere belangen en overwegingen, wel een geschikte oplossing is.

35.

Geopperd is dat een meldingsplicht voor alle gevallen waarin persoonsgegevens gecompromitteerd zijn — met andere woorden een onbegrensde plicht — kan leiden tot een buitensporig aantal meldingen en kennisnemingsmoeheid, waardoor de aandacht voor dit probleem zou afnemen. De EDPS is gevoelig voor dit argument, maar wil tegelijkertijd zijn bezorgdheid uiten over een eventueel buitensporig aantal meldingen, omdat dat kan wijzen op wijdverspreide tekortkomingen in de gangbare praktijk op het gebied van informatiebeveiliging.

36.

De EDPS is zich bewust van mogelijk negatieve gevolgen van overmatige kennisgeving, en wil ertoe bijdragen dat het wettelijk kader dat voor kennisgeving van inbreuken op de beveiliging wordt aangenomen, niet tot dit resultaat leidt. Indien natuurlijke personen regelmatig meldingen van inbreuken ontvangen, ook in situaties waarin dit geen negatieve gevolgen, schade of noodsituatie veroorzaakt, lopen we het risico een van de basisdoelstellingen van de kennisgeving te ondermijnen, omdat natuurlijke personen dan, ironisch genoeg, deze meldingen zouden gaan negeren in situaties waarin zij wel degelijk stappen zouden moeten nemen om zich te beschermen. Daarom is het zaak het juiste evenwicht te vinden en ervoor te zorgen dat meldingen zinvol zijn; wanneer natuurlijke personen niet op meldingen reageren, zal een kennisgevingsregeling immers een zeer beperkt nut hebben.

37.

Om een passend criterium aan te nemen, dat geen aanleiding geeft tot buitensporig veel kennisgevingen dienen, naast de drempel voor kennisgeving, andere factoren in overweging te worden genomen, zoals de definitie van een inbreuk op de beveiliging en de informatie die onder de meldingsplicht valt. De EDPS merkt in dat verband op dat, in het licht van de ruime definitie van een inbreuk op de beveiliging (zie supra), de drie benaderingen alle tot een hoog aantal meldingen kunnen leiden. Een andere reden voor bezorgdheid over overmatige kennisgeving is het feit dat de definitie van een inbreuk op de beveiliging betrekking heeft op alle categorieën van persoonsgegevens. De EDPS beschouwt dit als de juiste aanpak (geen beperking wat betreft de categorieën van persoonsgegevens waarvoor kennisgeving verplicht is), in tegenstelling tot andere benaderingen zoals in de Amerikaanse wetgeving waar in de voorschriften wordt uitgegaan van de gevoeligheid van de informatie, maar beschouwt dit niettemin ook als een factor waarmee rekening moet worden gehouden.

38.

Rekening houdend met het samenstel van variabelen acht de EDPS het dan ook raadzaam in de tekst een drempel of criterium voor de verplichting tot kennisgeving op te nemen.

39.

De voorgestelde criteria (de inbreuk vormt een „ernstig risico voor de persoonlijke levenssfeer” of er bestaat meer dan „een zeer geringe kans” op schade) lijken beide betrekking te hebben op, bijvoorbeeld, sociale of reputatieschade en economisch verlies. Met deze criteria zouden situaties bestreken worden waarin zich een risico op identiteitsdiefstal voordoet doordat niet-openbare identificatiegegevens (bijv. paspoortnummers) zijn vrijgegeven, of waarin informatie over het privéleven van een natuurlijk persoon wordt vrijgegeven. De EDPS juicht deze aanpak toe. Hij is ervan overtuigd dat een meldingsplicht voor inbreuken op de beveiliging niet het optimale effect zou sorteren indien de regeling beperkt blijft tot inbreuken die economische schade veroorzaken.

40.

Van de twee voorgestelde criteria heeft het criterium van de Commissie (meer dan „een zeer geringe kans” op schade) de voorkeur van de EDPS, omdat het natuurlijke personen een beter niveau van bescherming biedt. De kans dat inbreuken onder de meldingsplicht vallen, is veel groter wanneer er meer dan „een zeer geringe kans” op schade voor de persoonlijke levenssfeer van een natuurlijk persoon moet zijn, dan wanneer de inbreuk een „ernstig risico” op dergelijke schade dient te vormen. Alleen de inbreuken met een ernstig risico voor de persoonlijke levenssfeer in het toepassingsgebied opnemen, zou het aantal te melden inbreuken aanzienlijk beperken, en aanbieders van openbare elektronische-communicatiediensten en aanbieders van diensten van de informatiemaatschappij een onredelijk grote beoordelingsmarge laten bij het beantwoorden van de vraag of een inbreuk gemeld moet worden; het zal voor hen immers veel makkelijker te rechtvaardigen zijn dat er geen „ernstig risico” op schade is, dan dat de kans op schade „zeer gering” is. Overmatige kennisgeving wordt met het criterium van het „ernstige risico” ongetwijfeld voorkomen, maar de bescherming van de privacybelangen van natuurlijke personen dient, alles bij elkaar genomen, het voordeel van de twijfel te krijgen: het is een absoluut minimum dat natuurlijke personen beschermd worden wanneer redelijkerwijs mag worden aangenomen dat een inbreuk hen schade zal berokkenen. Bovendien zal de uitdrukking „meer dan een zeer gering risico” in de praktijk efficiënter zijn, zowel voor de betrokken entiteiten als voor de bevoegde autoriteiten, omdat de inbreuk en de context ervan objectief geëvalueerd moeten worden.

41.

Inbreuken in verband met persoonsgegevens kunnen schade veroorzaken die moeilijk te kwantificeren is, en die per geval kan verschillen. Het bekend worden van dezelfde categorie van gegevens kan, naargelang de omstandigheden van de betrokkene, aanzienlijke of integendeel weinig schade veroorzaken. Indien de schade materieel, aanzienlijk of ernstig moet zijn, is dit als criterium niet geschikt. De door de Raad voorgestelde formulering, bijvoorbeeld, dat de inbreuk de persoonlijke levenssfeer ernstig moet schenden, zou natuurlijke personen onvoldoende bescherming bieden, omdat volgens dit criterium de gevolgen voor de persoonlijke levenssfeer „ernstig” moeten zijn. Bovendien laat dit ruimte voor subjectieve evaluatie.

42.

Meer dan een zeer gering risico op schade” lijkt dus een passend criterium om te bepalen of een inbreuk op de beveiliging gemeld moet worden, maar toch blijft het de EDPS zorgen baren dat hiermee mogelijk niet alle situaties bestreken worden waarin kennisgeving aan natuurlijke personen gerechtvaardigd is, d.w.z. alle situaties waarin redelijkerwijs mag worden aangenomen dat de inbreuk negatieve gevolgen zal hebben voor de persoonlijke levenssfeer of andere legitieme rechten van natuurlijke personen. Daarom zou een criterium overwogen kunnen worden waarbij kennisgeving verplicht wordt gesteld „wanneer redelijkerwijs mag worden aangenomen dat de inbreuk negatieve gevolgen zal hebben voor natuurlijke personen”.

43.

Bijkomend voordeel van dit alternatieve criterium is dat het spoort met de EU-wetgeving inzake gegevensbescherming. Zo wordt in de richtlijn gegevensbescherming meermaals verwezen naar de inbreuken op de rechten en vrijheden van betrokkenen. In artikel 18 en overweging 49 (verplichting om verwerkingen van gegevens aan te melden bij de gegevensbeschermingsautoriteiten), bijvoorbeeld, wordt lidstaten de mogelijkheid geboden om vrijstelling van deze verplichting te verlenen voor de categorieën verwerkingen waarbij „een inbreuk op de rechten en vrijheden van de betrokkenen onwaarschijnlijk is”. Een soortgelijke formulering is te vinden in artikel 13, lid 6, van het gemeenschappelijk standpunt, dat rechtspersonen de mogelijkheid biedt juridische actie te ondernemen tegen spammers.

44.

Aangenomen mag tevens worden dat de betrokken entiteiten, en met name de voor de handhaving van gegevensbeschermingswetgeving bevoegde instanties, beter met dit alternatieve criterium vertrouwd zullen zijn, wat het voor hen ook makkelijker zal maken een inbreuk aan het vastgestelde criterium te toetsen.

Entiteit die een inbreuk op de beveiliging aan het criterium zal toetsen

45.

Wat het EP (behalve wanneer er onmiddellijk gevaar dreigt) en de Commissie (gewijzigd voorstel) betreft, berust de bevoegdheid om inbreuken op de beveiliging te toetsen aan het criterium dat tot kennisgeving aan de betrokken natuurlijke personen verplicht, bij de nationale instanties.

46.

De EDPS hecht veel waarde aan een regeling waarin het toetsen aan het criterium wordt toevertrouwd aan een ter zake bevoegde instantie, omdat dit een zekere garantie biedt voor de correcte toepassing van de wet. Op die manier kan verhinderd worden dat ondernemingen een inbreuk ten onrechte kwalificeren als niet schadelijk/ernstig en kennisgeving vermijden wanneer die wel degelijk vereist is.

47.

Tegelijkertijd vreest de EDPS dat een regeling waarbij de evaluatiebevoegdheid bij de autoriteiten berust, niet werkbaar en moeilijk toe te passen, of in de praktijk zelfs contraproductief zal zijn, waardoor natuurlijke personen zelfs minder goede garanties op gegevensbescherming zouden hebben.

48.

Het risico is immers dat gegevensbeschermingsautoriteiten overspoeld worden met meldingen van inbreuken op de beveiliging, en dat het evalueren van die inbreuken een zeer zware opgave wordt. Om een inbreuk aan het criterium te kunnen toetsen, zullen de bevoegde instanties immers voldoende interne informatie moeten ontvangen, die vaak van technisch ingewikkelde aard zal zijn en die zij zeer snel zullen moeten verwerken. Gelet op de moeilijkheidsgraad van deze evaluaties en op het feit dat sommige instanties over beperkte middelen beschikken, vreest de EDPS dat het voor de bevoegde instanties bijzonder moeilijk wordt om deze opdracht te vervullen, en dat een en ander ten koste van andere belangrijke prioriteiten zou gaan. Deze regeling zou voor de bevoegde instanties bovendien onevenredig belastend kunnen zijn, omdat zij, indien een inbreuk als niet ernstig wordt aangemerkt en natuurlijke personen toch schade wordt berokkend, aansprakelijk zouden kunnen worden gesteld.

49.

Bijkomend probleem is dat tijd een sleutelrol speelt bij het beperken van de risico's van een inbreuk op de beveiliging. Tenzij de bevoegde instanties in staat zijn zeer snel met een evaluatie te komen, vormt de extra tijd die zij voor deze afweging nodig hebben, een risico op meer schade voor de betrokken natuurlijke personen. Ironisch genoeg zou deze verscherpte maatregel, die tot doel heeft natuurlijke personen beter te beschermen, tot gevolg hebben dat zij minder bescherming genieten dan in een regeling met directe kennisgeving.

50.

De EDPS acht het dan ook verkieslijk een regeling te treffen waarbij het toetsen van een inbreuk aan het criterium wordt overgelaten aan de betrokken entiteiten, zoals door de Raad wordt voorgesteld.

51.

Om mogelijke misbruiken uit te sluiten, bijvoorbeeld van entiteiten die een inbreuk niet melden wanneer dat duidelijk wel nodig is, is het van het allergrootste belang de hierna beschreven gegevensbeschermingsgaranties in de regeling op te nemen.

52.

Ten eerste spreekt het voor zich dat de verplichting van de betrokken entiteiten om een inbreuk aan het kennisgevingscriterium te toetsen, moet samengaan met een andere verplichting, nl. om alle inbreuken die aan het criterium voldoen, te melden aan de bevoegde instanties. De betrokken entiteiten moeten verplicht worden de bevoegde instanties in kennis te stellen van de gemelde inbreuken en van de motivering en inhoud van elke kennisgeving.

53.

Ten tweede moet de bevoegde instanties een volwaardige toezichtsfunctie worden toegekend. In die functie krijgen zij het recht — maar niet de plicht — na te gaan in welke omstandigheden de inbreuk heeft plaatsgevonden, en passende corrigerende maatregelen op te leggen (14). Daarbij moeten zij de mogelijkheid krijgen niet alleen tot kennisgeving aan natuurlijke personen te verplichten (als dat al niet gebeurd is), maar ook om maatregelen op te leggen ter voorkoming van verdere inbreuken. De bevoegde instanties moeten in dit verband afdoende bevoegdheden en middelen krijgen, alsook de nodige ruimte om te bepalen wanneer op de melding van een inbreuk op de beveiliging wordt ingegaan. Op die manier zouden de bevoegde instanties selectief kunnen optreden en een onderzoek instellen naar, bijvoorbeeld, grote, echt schadelijke inbreuken op de beveiliging, waarbij zij nagaan of de wetsvoorschriften zijn nageleefd en die naleving ook kunnen afdwingen.

54.

Daarom beveelt de EDPS aan om, ter aanvulling op de in de e-privacyrichtlijn (bijv. artikel 15 bis, lid 3) en de gegevensbeschermingsrichtlijn vastgestelde bevoegdheden, het volgende toe te voegen: „Indien de betrokken abonnee of persoon nog niet van de inbreuk in kennis is gesteld, kan de bevoegde nationale instantie, na beoordeling van de aard van de inbreuk, de aanbieders van openbare elektronische-communicatiediensten en de aanbieders van diensten van de informatiemaatschappij verzoeken dit alsnog te doen.”.

55.

Voorts beveelt de EDPS het EP en de Raad aan het voorstel van het EP (amendement 122, artikel 4, lid 1 bis) te bevestigen, zodat entiteiten verplicht worden hun systemen en de persoonsgegevens die zij willen verwerken, in kaart te brengen en de risico's ervan te evalueren. Op grond van deze bepaling zullen entiteiten een precies en op hun systeem toegesneden overzicht opstellen van de beveiligingsmaatregelen die zij toepassen; dit overzicht hoort ter beschikking te staan van de bevoegde instanties. Deze verplichting zal de betrokken entiteiten — en uiteindelijk ook de bevoegde instanties, in hun toezichtsfunctie — in geval van inbreuk op de beveiliging helpen bepalen of het compromitteren van deze gegevens negatieve gevolgen kan hebben voor of schade berokkenen aan natuurlijke personen.

56.

Ten derde dienen betrokken entiteiten, wanneer zij verplicht worden om te bepalen of natuurlijke personen van een inbreuk in kennis moeten worden gesteld, ook verplicht te worden om een volledig en gedetailleerd intern evaluatieverslag bij te houden, waarin alle inbreuken en eventuele kennisgevingen daarvan vermeld staan, alsook de maatregelen die zijn genomen om herhaling te voorkomen. Dit interne evaluatieverslag moet ter beschikking staan van de bevoegde instanties, met het oog op controle en eventueel onderzoek, zodat zij hun toezichtsrol kunnen uitoefenen. Hiertoe zou een bepaling kunnen worden ingevoegd in de volgende zin: „Aanbieders van openbare elektronische-communicatiediensten en aanbieders van diensten van de informatiemaatschappij maken en bewaren een uitvoerig verslag over alle inbreuken op de beveiliging die zich hebben voorgedaan, de nuttige technische informatie in dit verband en de corrigerende maatregelen die zij hebben genomen. In dit verslag wordt ook verwezen naar alle meldingen die aan de betrokken abonnees of personen, alsook aan de bevoegde nationale instanties zijn gedaan, met vermelding van de datum en inhoud ervan. Het verslag wordt desgevraagd aan de bevoegde nationale instantie voorgelegd.”.

57.

Uiteraard zou het, met het oog op de coherente toepassing van het genoemde criterium en van andere relevante aspecten van het wetgevingskader voor inbreuken op de beveiliging (bijvoorbeeld het formaat en de procedures voor meldingen), nuttig zijn dat de Commissie, na overleg met de EDPS, de Groep artikel 29 en andere betrokkenen, technische uitvoeringsmaatregelen aanneemt.

Ontvangers van de meldingen

58.

Wat de ontvangers van de meldingen betreft, verkiest de EDPS de terminologie van het EP en de Commissie boven die van de Raad. Het EP heeft het woord „abonnees” vervangen door „gebruikers”, de Commissie spreekt van „abonnees” en „betrokken personen”. Volgens de bepaling van zowel het EP als de Commissie, dienen niet alleen huidige abonnees, maar ook voormalige abonnees en derden, zoals gebruikers die met de betrokken entiteiten in contact treden zonder abonnee te zijn, een melding ontvangen. De EDPS is ingenomen met deze aanpak, en roept het EP en de Raad op deze benadering te handhaven.

59.

Wel is de terminologie in de eerste lezing van het EP niet overal coherent, wat verholpen zou moeten worden. Zo is het woord „abonnees” in de meeste, maar niet in alle, gevallen vervangen door „gebruikers”, soms staat er „consumenten”. Dit moet worden gelijkgetrokken.

III.   TOEPASSINGSGEBIED VAN DE E-PRIVACYRICHTLIJN: OPENBARE EN PARTICULIERE NETWERKEN

60.

In de huidige e-privacyrichtlijn wordt in artikel 3, lid 1, bepaald op welke entiteiten de richtlijn in hoofdzaak van toepassing is, nl. entiteiten die gegevens verwerken „in verband met” de levering van openbare elektronische-communicatiediensten over openbare netwerken (15). Voorbeelden van openbare elektronische-communicatiediensten zijn de verstrekking van internettoegang, de transmissie van informatie via elektronische netwerken, mobiele en vaste telefoon, enz.

61.

Het EP heeft een amendement 121 aangenomen waarbij, middels een aanpassing van artikel 3 van het oorspronkelijke Commissievoorstel, het toepassingsgebied van de e-privacyrichtlijn verruimd wordt tot „de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare en particuliere communicatienetwerken en voor het publiek toegankelijke particuliere netwerken in de Gemeenschap, […]” (artikel 3, lid 1, van de e-privacyrichtlijn). Jammer genoeg was dit amendement voor de Raad en de Commissie moeilijk aanvaardbaar, en hebben zij het niet in hun gemeenschappelijk standpunt respectievelijk gewijzigd voorstel overgenomen.

Toepassing van de e-privacyrichtlijn op voor het publiek toegankelijke particuliere netwerken

62.

Ter bevordering van een consensus dringt de EDPS er dan ook op aan de kern van amendement 121 over te nemen. Voorts stelt hij een wijziging voor om verder te verduidelijken welke categorieën van diensten onder dit verruimde toepassingsgebied zouden vallen.

63.

Particuliere netwerken worden vaak gebruikt om elektronische-communicatiediensten, zoals internettoegang, te verstrekken aan een onbekend aantal mensen, dat mogelijk heel groot kan zijn. Dit geldt, bijvoorbeeld, voor internettoegang in internetcafés en wifipunten in hotels, restaurants, luchthavens, treinen en op andere voor het publiek toegankelijke plaatsen, waar dergelijke diensten vaak ter aanvulling op andere diensten (dranken, logies, enz.) worden aangeboden.

64.

In al deze gevallen wordt een communicatiedienst (bijvoorbeeld internettoegang) ter beschikking gesteld aan het publiek, niet via een openbaar netwerk, maar via een netwerk dat als particulier kan worden beschouwd, d.w.z. een netwerk dat particulier wordt geëxploiteerd. Voorts kan worden geargumenteerd dat de volledige e-privacyrichtlijn, of ten minste een aantal artikelen daarvan, niet op het verstrekken van deze diensten van toepassing is, omdat de communicatiedienst in de genoemde gevallen weliswaar aan het publiek wordt verstrekt, maar het netwerk een particulier, en geen openbaar netwerk is (16). Een en ander betekent dat de door de e-privacyrichtlijn gegarandeerde fundamentele rechten in deze gevallen niet worden beschermd, en dat rechtsongelijkheid ontstaat tussen gebruikers die het internet betreden via openbare telecommunicatiemiddelen en gebruikers die hetzelfde doen met particuliere middelen, terwijl het risico voor de persoonlijke levenssfeer en de persoonsgegevens in al deze gevallen even groot is. Er lijken dan ook argumenten te zijn voor het in de huidige richtlijn bestaande verschil in behandeling tussen communicatiediensten die worden verstrekt via een particulier dan wel een openbaar netwerk.

65.

Een amendement zoals amendement 121 van het EP, dat zou strekken tot een uitbreiding van het toepassingsgebied van de e-privacyrichtlijn tot de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over particuliere communicatienetwerken, zou door de EDPS dan ook gesteund worden.

66.

De EDPS beseft dat dit onvoorziene en mogelijk onbedoelde gevolgen zou kunnen hebben. Het vermelden van particuliere netwerken in het dispositief van de richtlijn kan er op zich al toe leiden dat het toepassingsgebied ruimer dan bedoeld geïnterpreteerd wordt. Hoewel dit niet de strekking is van amendement 121, zou volgens een letterlijke of strikte interpretatie ervan betoogd kunnen worden dat ook eigenaars van met wifi uitgeruste huizen (17), waar iedereen binnen het bereik ervan (meestal het huis) verbinding kan maken, onder de richtlijn vallen. Om dit te voorkomen stelt de EDPS voor amendement 121 anders te formuleren en het toepassingsgebied van de e-privacyrichtlijn te verruimen tot „de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare en voor het publiek toegankelijke particuliere netwerken in de Gemeenschap, …”.

67.

Dit kan helpen verduidelijken dat alleen particuliere netwerken die voor het publiek toegankelijk zijn, onder de e-privacyrichtlijn zouden vallen. Door de bepalingen van de e-privacyrichtlijn alleen op de voor het publiek toegankelijke particuliere netwerken (en niet op alle particuliere netwerken) toe te passen wordt een drempel ingebouwd waardoor de richtlijn alleen van toepassing zal zijn op communicatiediensten die worden verstrekt via particuliere netwerken die bewust voor het publiek worden opengesteld. Met die formulering wordt duidelijker beklemtoond dat de beschikbaarheid van het particuliere netwerk voor het grote publiek het basiscriterium is voor de eventuele toepasselijkheid van de richtlijn (naast het verstrekken van een openbare communicatiedienst). Met andere woorden: indien het netwerk, ongeacht of het openbaar of particulier is, bewust voor het publiek wordt opengesteld teneinde een openbare communicatiedienst, zoals internettoegang, te verstrekken — zelfs al is dit ter aanvulling op een andere dienst, zoals een hotelkamer — valt deze categorie van diensten/netwerken onder de e-privacyrichtlijn.

68.

De EDPS is van mening dat deze aanpak, waarbij de bepalingen van de e-privacyrichtlijn worden toegepast op voor het publiek toegankelijke particuliere netwerken, spoort met de aanpak die wordt gevolgd in verscheidene lidstaten, waar deze categorie van diensten, alsook door zuiver particuliere netwerken verstrekte diensten volgens de autoriteiten onder het toepassingsgebied van nationale bepalingen ter uitvoering van de e-privacyrichtlijn vallen (18).

69.

Om meer rechtszekerheid te bieden aangaande de entiteiten die onder het nieuwe toepassingsgebied vallen, kan het nuttig zijn in de e-privacyrichtlijn een definitie van „voor het publiek toegankelijke particuliere netwerken” op te nemen, die als volgt zou kunnen luiden: „voor het publiek toegankelijk particulier netwerk: een particulier geëxploiteerd netwerk waartoe het grote publiek in de regel onbeperkt toegang heeft, al dan niet tegen betaling of in samenhang met andere diensten of aanbiedingen, behoudens aanvaarding van de geldende voorwaarden”.

70.

In de praktijk betekent dit dat particuliere netwerken in hotels en andere instellingen die het grote publiek via een particulier netwerk toegang verstrekken tot het internet, onder het toepassingsgebied zouden vallen. Het verstrekken van communicatiediensten in een zuiver particulier netwerk, daarentegen, waar de dienst verstrekt wordt aan een beperkte groep identificeerbare personen, zou er niet onder vallen. Virtuele particuliere netwerken en huizen van consumenten die met wifi zijn uitgerust, zouden niet onder de richtlijn vallen, net zo min als diensten die verstrekt worden in louter interne netwerken van ondernemingen.

Particuliere netwerken onder het toepassingsgebied van de e-privacyrichtlijn

71.

Het uitsluiten van particuliere netwerken als zodanig moet beschouwd worden als een overgangsmaatregel, die nadere bespreking behoeft. Deze optie blijft immers niet zonder gevolgen op het gebied van de persoonlijke levenssfeer, en betreft bovendien een groot aantal mensen, die het internet meestal betreden via bedrijfsnetwerken; daarom kan het in de toekomst nodig zijn deze kwestie opnieuw te bekijken. Om dit debat te voeden beveelt de EDPS aan in de e-privacyrichtlijn een overweging op te nemen op grond waarvan de Commissie een openbare raadpleging zou organiseren over het toepassen van de e-privacyrichtlijn op alle particuliere netwerken, met inbreng van de EDPS, gegevensbeschermingsautoriteiten en andere betrokken partijen. Voorts kan in die overweging gepreciseerd worden dat de Commissie op grond van deze openbare raadpleging een geschikt voorstel moet doen om de categorieën van entiteiten die onder de e-privacyrichtlijn vallen te verruimen of te beperken.

72.

Voorts moeten de artikelen van de e-privacyrichtlijn gewijzigd worden, zodat in alle bepalingen van het dispositief naast de openbare netwerken ook de voor het publiek toegankelijke particuliere netwerken worden vermeld.

IV.   VERWERKING VAN VERKEERSGEGEVENS VOOR BEVEILIGINGSDOELEINDEN

73.

Tijdens het wetgevingsproces in verband met de herziening van de e-privacyrichtlijn hebben ondernemingen die beveiligingsdiensten verstrekken, te kennen gegeven dat in de e-privacyrichtlijn een bepaling moet worden opgenomen waarbij het verzamelen van verkeersgegevens met het oog op een doeltreffende onlinebeveiliging wordt gewettigd.

74.

Hiertoe heeft het EP amendement 181 aangenomen ter invoeging van een nieuw artikel 6, lid 6 bis, waarbij het verwerken van persoonsgegevens voor beveiligingsdoeleinden uitdrukkelijk wordt toegestaan: „Onverminderd de naleving van andere bepalingen dan die van artikel 7 van Richtlijn 95/46/EG en artikel 5 van deze richtlijn, kunnen verkeersgegevens worden verwerkt in het legitieme belang van de datacontroleur die technische maatregelen uitvoert om de netwerk- en informatieveiligheid, zoals gedefinieerd in artikel 4, letter c), van Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad van 10 maart 2004 houdende oprichting van het Europees Agentschap voor netwerk- en informatieveiligheid, te verzekeren van een openbare of particuliere elektronische communicatiedienst, een dienst van de informatiemaatschappij of de daarmee samenhangende terminal- en elektronische communicatieapparatuur, uitgezonderd wanneer deze belangen moeten wijken voor het hogere belang van de fundamentele rechten en vrijheden van de datasubjecten. Deze verwerking wordt beperkt tot wat voor deze beveiliging strikt noodzakelijk is.”.

75.

De Commissie heeft dit amendement in haar gewijzigd voorstel in beginsel aanvaard, maar heeft door het schrappen van de woorden „Onverminderd […] van deze richtlijn” een kernbepaling weggenomen die tot doel had de naleving van de andere bepalingen van de richtlijn te garanderen. De Raad heeft een gewijzigde versie hiervan aangenomen, waarin de belangrijke bepalingen inzake bescherming en het afwegen van belangen die in amendement 181 zijn ingebouwd, nog verder worden uitgehold: „Verkeersgegevens mogen worden verwerkt voor zover dit strikt noodzakelijk is ter waarborging […] van de netwerk- en informatiebeveiliging, als omschreven in artikel 4, punt c), van Verordening (EG) nr. 460/2004 van het Europees Parlement en de Raad van 10 maart 2004 tot oprichting van het Europees Agentschap voor netwerk- en informatiebeveiliging.”.

76.

Zoals hieronder zal worden toegelicht is artikel 6, lid 6 bis, overbodig en kan het aanleiding geven tot misbruik, in het bijzonder indien het wordt aangenomen zonder de belangrijke waarborgen, het zinsonderdeel betreffende het naleven van de andere bepalingen van de richtlijn en de belangenafweging. De EDPS beveelt dan ook aan dit nieuwe lid te verwerpen, of er ten minste voor te zorgen dat een bepaling over dit onderwerp de verschillende waarborgen biedt die in het door het EP aangenomen amendement 181 waren vervat.

Rechtsgronden voor het verwerken van verkeersgegevens die in de huidige wetgeving betreffende gegevensbescherming van toepassing zijn op elektronische communicatiediensten en andere verantwoordelijken voor de verwerking van gegevens

77.

In hoeverre het verwerken van verkeersgegevens door verstrekkers van openbare elektronische-communicatiediensten wettelijk is, is bepaald in artikel 6 van de e-privacyrichtlijn, dat het verwerken van verkeersgegevens beperkt tot een klein aantal doeleinden, zoals facturering, interconnectie en marketing. Verwerking kan alleen onder bepaalde voorwaarden, zoals toestemming van de betrokken personen in geval van marketing. Andere voor de verwerking verantwoordelijken, zoals aanbieders van diensten van de informatiemaatschappij, kunnen verkeersgegevens verwerken in het kader van artikel 7 van de gegevensbeschermingsrichtlijn, waarin is bepaald dat voor de verwerking verantwoordelijken persoonsgegevens kunnen verwerken indien zij ten minste aan een van de in het artikel opgesomde rechtsgrondslagen, ook rechtsgronden genoemd, voldoen.

78.

Een voorbeeld van zo'n rechtsgrondslag is artikel 7, punt a), van de gegevensbeschermingsrichtlijn, waarin is bepaald dat de betrokkene toestemming moet verlenen. Een onlinekleinhandel, bijvoorbeeld, die verkeersgegevens wil verwerken met het oog op de verzending van reclame- of marketingmateriaal, zal hiervoor de toestemming van de betrokkene moeten vragen. Een andere in artikel 7 vastgestelde rechtsgrondslag maakt het mogelijk in bepaalde omstandigheden verkeersgegevens te verwerken voor beveiligingsdoeleinden (bijvoorbeeld beveiligingsondernemingen die beveiligingsdiensten aanbieden). Basis hiervoor is artikel 7, punt f), waarin is bepaald dat het verwerken van persoonsgegevens door voor de verwerking verantwoordelijken is toegestaan wanneer dit „noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de voor de verwerking verantwoordelijke of van de derde(n) aan wie de gegevens worden verstrekt, mits het belang of de fundamentele rechten en vrijheden van de betrokkene […] niet prevaleren.”. In de gegevensbeschermingsrichtlijn wordt niet nader vermeld in welke situaties het verwerken van persoonsgegevens aan deze bepaling zou voldoen. Die afweging wordt per geval gemaakt door voor de verwerking verantwoordelijken, vaak in overeenstemming met nationale gegevensbeschermingsautoriteiten en andere autoriteiten.

79.

Bekeken moet worden hoe artikel 7 van de gegevensbeschermingsrichtlijn zich verhoudt tot het voorgestelde artikel 6, lid 6 bis, van de e-privacyrichtlijn. In het nieuwe artikel 6, lid 6 bis, wordt nader bepaald onder welke omstandigheden aan het bepaalde in artikel 7, punt f), zou worden voldaan, in die zin dat het verwerken van verkeersgegevens met het oog op netwerk- en informatiebeveiliging wordt toegestaan (nieuw artikel 6, lid 6 bis) op grond van het gerechtvaardigde belang van de voor verwerking verantwoordelijke (artikel 7, punt f).

80.

De EDPS acht het voorgestelde artikel 6, lid 6 bis, overbodig en nutteloos. Vanuit juridisch oogpunt is het in beginsel niet nodig vast te stellen of een specifieke vorm van gegevensverwerking (in dit geval de verwerking van verkeersgegevens voor beveiligingsdoeleinden), aan het bepaalde in artikel 7, punt f), van de gegevensbeschermingsrichtlijn voldoet, in welk geval op grond van artikel 7, punt a), toestemming van de betrokkene noodzakelijk kan zijn. Zoals reeds eerder opgemerkt, wordt deze afweging in de meeste gevallen op uitvoeringsniveau gemaakt, door voor de verwerking verantwoordelijken (ondernemingen) in overleg met gegevensbeschermingsautoriteiten, en, waar nodig, door de rechter. In het algemeen kan volgens de EDPS in specifieke gevallen worden aangenomen dat de rechtmatige verwerking van verkeersgegevens voor beveiligingsdoeleinden, waarbij de fundamentele rechten en vrijheden van betrokkenen niet worden geschaad, aan de voorschriften van artikel 7, punt f), van de gegevensbeschermingsrichtlijn zal voldoen, en dat derhalve niets deze vorm van verwerking in de weg staat. Bovendien zijn er geen precedenten, noch in de gegevensbeschermings-, noch in de e-privacyrichtlijn, van afzonderlijke of specifieke bepalingen voor aparte categorieën van gegevensverwerkingsactiviteiten die aan het bepaalde in artikel 7, punt f), zouden voldoen, en dergelijke uitzonderingen zijn ook niet nodig gebleken. Integendeel, in vele gevallen kan dit soort activiteiten probleemloos onder de bestaande tekst worden gevat. Een wettelijke bepaling ter bevestiging van deze evaluatie is dus in beginsel overbodig.

Artikel 6, lid 6 bis: de versies van het EP, de Raad en de Commissie

81.

Hoewel het door het EP aangenomen amendement 181 overbodig is, moet worden beklemtoond dat in deze bepaling tot op zekere hoogte de in de gegevensbeschermingswetgeving vastgestelde beginselen met betrekking tot de persoonlijke levenssfeer en de gegevensbescherming terug te vinden zijn. Amendement 181 kan dus van belang zijn voor de gegevensbescherming en de persoonlijke levenssfeer, indien bijvoorbeeld de woorden „in specifieke gevallen” worden toegevoegd, zodat het artikel selectief kan worden toegepast, of indien een specifieke bewaartermijn wordt vastgesteld.

82.

Amendement 181 bevat een aantal positieve elementen. Er wordt bevestigd dat verwerking moet voldoen aan alle andere gegevensbeschermingsbeginselen die van toepassing zijn op het verwerken van persoonsgegevens („Onverminderd de naleving van andere bepalingen […] van Richtlijn 95/46/EG en […] van deze richtlijn”). Voorts heeft amendement 181 niet alleen tot doel het verwerken van verkeersgegevens voor beveiligingsdoeleinden toe te staan, maar wordt ook een evenwicht vastgesteld tussen de belangen van de entiteit die verkeersgegevens verwerkt, en de belangen van de personen wier gegevens verwerkt worden, zodat deze vorm van gegevensverwerking alleen kan plaatsvinden op voorwaarde dat de belangen van de fundamentele rechten en vrijheden van de betrokkenen niet voor de belangen van de gegevensverwerkende entiteit moeten wijken („uitgezonderd wanneer deze belangen moeten wijken voor het hogere belang van de fundamentele rechten en vrijheden van de betrokkene”). Dit zinsdeel is essentieel, omdat op grond hiervan het verwerken van verkeersgegevens wel in specifieke gevallen kan worden toegestaan, maar een entiteit deze bepaling niet kan inroepen om massaal verkeersgegevens te gaan verwerken.

83.

De door de Raad aangepaste versie van het amendement bevat lovenswaardige elementen: zo zijn de woorden „strikt noodzakelijk” gehandhaafd, wat het beperkte toepassingsgebied van dit nieuwe lid beklemtoont. Daar staat tegenover dat in de versie van de Raad de hogergenoemde garanties op het gebied van gegevensbescherming en persoonlijke levenssfeer zijn geschrapt. Hoewel in beginsel de algemene bepalingen inzake gegevensbescherming van toepassing zijn, ongeacht of er telkens uitdrukkelijk naar verwezen wordt, kan artikel 6, lid 6 bis, in de versie van de Raad geïnterpreteerd worden als werd volledige discretionaire bevoegdheid verleend om verkeersgegevens te verwerken, zonder dat daarbij de garanties op het gebied van gegevensbescherming en persoonlijke levenssfeer die in de regel bij het verwerken van verkeersgegevens van toepassing zijn, in acht moeten worden genomen. Verkeersgegevens, zo kan op basis hiervan geargumenteerd worden, mogen verzameld, opgeslagen en verder gebruikt worden zonder inachtneming van de gegevensbeschermingsbeginselen en de specifieke verplichtingen die anders op verantwoordelijke partijen van toepassing zijn, zoals het kwaliteitsbeginsel, of de verplichting tot eerlijke en rechtmatige verwerking en tot vertrouwelijke en veilige bewaring van de gegevens. Bovendien staat in de versie van de Raad niets over toepasselijke gegevensbeschermingsbeginselen betreffende termijnen voor het opslaan van informatie, noch betreffende specifieke termijnen voor dit lid, wat kan leiden tot de interpretatie dat het verzamelen en verwerken van verkeersgegevens voor beveiligingsdoeleinden voor onbepaalde termijn is toegestaan.

84.

Voorts heeft de Raad in bepaalde delen van de tekst de bescherming van de persoonlijke levenssfeer afgezwakt, door een potentieel ruimere formulering. Het schrappen van „het legitieme belang van de voor de verwerking verantwoordelijke”, bijvoorbeeld, doet vragen rijzen over de categorieën van entiteiten die zich op deze uitzondering zouden kunnen beroepen. Deze wijziging mag er in geen geval toe leiden dat voor gebruikers of rechtspersonen een achterpoortje in de wetgeving wordt opengezet.

85.

Recente ervaringen in het EP en de Raad tonen aan dat het moeilijk is bij wet te bepalen in welke mate en onder welke voorwaarden het verwerken van gegevens voor beveiligingsdoeleinden wettelijk kan plaatsvinden. Het is weinig waarschijnlijk dat bestaande of toekomstige artikelen de evidente risico's op een te ruime toepassing van de uitzondering (voor andere dan louter beveiligingsdoeleinden of door entiteiten die niet van de uitzondering gebruik zouden mogen maken) zouden wegnemen,waarmee niet gezegd is dat deze vorm van verwerking in geen geval mag plaatsvinden. Maar of en in hoeverre dit kan worden toegestaan, kan beter beoordeeld worden op uitvoeringsniveau. Entiteiten die tot dergelijke verwerking willen overgaan, zouden het toepassingsgebied en de voorwaarden moeten bespreken met de gegevensbeschermingsautoriteiten en, eventueel, met de Groep artikel 29. Als alternatief kan in de e-privacyrichtlijn een artikel worden opgenomen waarbij het verwerken van verkeersgegevens voor beveiligingsdoeleinden wordt toegestaan, mits de gegevensbeschermingsautoriteiten hiertoe uitdrukkelijk toestemming verlenen.

86.

Aangezien artikel 6, lid 6 bis, enerzijds risico's inhoudt voor het fundamentele recht van natuurlijke personen op gegevensbescherming en een persoonlijke levenssfeer, en anderzijds, zoals in dit advies is uitgelegd, vanuit juridisch oogpunt overbodig is, acht de EDPS het verkieslijk het voorgestelde artikel 6, lid 6 bis, in zijn geheel te schrappen.

87.

Wordt er, in weerwil van de aanbeveling van de EDPS, toch een bepaling in de zin van één van de huidige versies van artikel 6, lid 6 bis, aangenomen, dan moeten hierin in ieder geval de bovengenoemde garanties op het gebied van gegevensbescherming worden opgenomen. De bepaling moet ook correct worden geïntegreerd in de bestaande structuur van artikel 6, bij voorkeur als een nieuw lid 2 bis.

V.   DE MOGELIJKHEID VOOR RECHTSPERSONEN OM INBREUKEN OP DE E-PRIVACYRICHTLIJN VOOR DE RECHTER TE BRENGEN

88.

Het EP heeft amendement 133 aangenomen, dat de mogelijkheid die aanbieders van internettoegang en andere rechtspersonen, zoals consumentenorganisaties, zou worden geboden om inbreuken op de e-privacyrichtlijn voor de rechter te brengen, uitbreidt tot alle bepalingen van de richtlijn (19). Jammer genoeg heeft noch de Commissie, noch de Raad dit geaccepteerd. De EDPS acht dit amendement zeer positief en beveelt aan het te handhaven.

89.

Om dit amendement naar waarde te kunnen schatten dient voor ogen te worden gehouden dat de schade die een individu kan worden berokkend op het gebied van de persoonlijke levenssfeer en gegevensbescherming, op zich meestal niet volstaat om een rechtszaak te beginnen. Mensen stappen in de regel niet individueel naar de rechter omdat ze spam hebben ontvangen, of omdat hun naam ten onrechte is opgenomen in een abonneelijst. Met dit amendement kunnen consumenten- en werknemersorganisaties die de collectieve verdediging van consumentenbelangen op zich nemen, namens de consument de zaak aanhangig maken bij een rechtbank. Verwacht mag bovendien worden dat een grotere diversiteit in de handhavingsmechanismen een betere naleving in de hand zal werken, en de daadwerkelijke toepassing van de bepalingen van de e-privacyrichtlijn ten goede zal komen.

90.

Er zijn precedenten in het wetgevingskader van een aantal lidstaten waar nu reeds een mogelijkheid tot collectieve actie wordt voorzien, zodat consumenten of belangengroepen een schadevergoeding kunnen eisen van de partij die de schade heeft veroorzaakt.

91.

In een aantal lidstaten biedt de wetgeving inzake mededinging (20) consumenten en belangengroepen (naast de getroffen concurrent) de mogelijkheid een rechtszaak te beginnen tegen de entiteit die de inbreuk heeft begaan. De ratio van deze benadering is dat ondernemingen die de mededingingswetten overtreden, hier in de regel voordeel uit halen, omdat consumenten die slechts geringe schade ondervinden, meestal niet geneigd zijn hiervoor naar de rechter te stappen. Dit geldt mutatis mutandis ook voor gegevensbescherming en de persoonlijke levenssfeer.

92.

Nog belangrijker is dat een nieuwe bepaling die rechtspersonen, zoals consumentenorganisaties en aanbieders van openbare elektronische-communicatiediensten, de mogelijkheid biedt de zaak aanhangig te maken bij de rechter, de positie van de consument versterkt en de naleving van gegevensbeschermingswetgeving in het algemeen ten goede komt. Een hoger risico op gerechtelijke vervolging zal ondernemingen die de wet niet naleven, ertoe aanzetten meer te investeren in de naleving van de gegevensbeschermingswetgeving, wat op lange termijn tot een betere bescherming van de persoonlijke levenssfeer en van consumenten zal leiden. De EDPS roept het EP en de Raad dan ook op een bepaling aan te nemen die rechtspersonen de mogelijkheid biedt elke inbreuk op een bepaling van de e-privacyrichtlijn voor de rechter te brengen.

VI.   CONCLUSIE

93.

Het gemeenschappelijk standpunt van de Raad, de eerste lezing van het EP en het gewijzigd voorstel van de Commissie bevatten, in verschillende mate, positieve elementen die de bescherming van de persoonlijke levenssfeer en de persoonsgegevens van natuurlijke personen ten goede zouden komen.

94.

De EDPS ziet evenwel ook ruimte voor verbetering, in het bijzonder wat het gemeenschappelijk standpunt betreft, waarin de Raad jammer genoeg een aantal van de amendementen van het EP die een passende bescherming van de persoonlijke levenssfeer en de persoonsgegevens van natuurlijke personen moeten helpen garanderen, niet heeft overgenomen. De EDPS dringt er bij het EP en de Raad op aan, de garanties met betrekking tot de persoonlijke levenssfeer die in de eerste lezing van het EP worden geboden, te herstellen.

95.

De EDPS acht het voorts raadzaam een aantal van de bepalingen van de richtlijn te stroomlijnen, met name de bepalingen betreffende inbreuken op de beveiliging: kennisgeving van inbreuken zal volgens de EDPS alleen ten volle effect sorteren indien het wetgevingskader van meet af aan goed is opgesteld. Tot slot beveelt de EDPS aan, een aantal bepalingen van de richtlijn beter en duidelijker te formuleren.

96.

De EDPS dringt er derhalve bij het EP en de Raad op aan, meer te doen om sommige bepalingen van de e-privacyrichtlijn te verbeteren en te verduidelijken, en te opteren voor heropneming van de door het EP in eerste lezing aangenomen amendementen ter waarborging van een passend niveau van bescherming van de persoonlijke levenssfeer en van gegevens. De punten 97, 98, 99 en 100 bevatten een samenvatting van de vraagstukken die ter bespreking voorliggen, en een aantal aanbevelingen en redactionele voorstellen. De EDPS roept alle betrokkenen op hiermee rekening te houden in de aanloop naar de definitieve aanneming van de e-privacyrichtlijn.

Inbreuk op de beveiliging

97.

Het Europees Parlement, de Commissie en de Raad hebben de kennisgeving van inbreuken op de beveiliging op verschillende manieren benaderd. De drie voorgestelde regelingen verschillen van elkaar onder meer wat betreft de entiteiten waarvoor de verplichting geldt, het criterium of de drempel voor kennisgeving, de betrokkenen die recht hebben op kennisgeving enz. Het EP en de Raad moeten alles in het werk stellen om tot een solide wetgevingskader te komen, en daarom wordt het volgende aanbevolen:

de definitie van een inbreuk op de beveiliging in de teksten van het EP, de Raad en de Commissie moet behouden blijven: zij is ruim genoeg om de meeste situaties te bestrijken waarin kennisgeving van een inbreuk op de beveiliging gerechtvaardigd zou zijn

wat betreft de entiteiten die onder de voorgestelde meldingsplicht zouden moeten vallen: aanbieders van diensten van de informatiemaatschappijen dienen in het toepassingsgebied te worden opgenomen. Onlinekleinhandels, onlinebanken, onlineapotheken kunnen evenzeer, of zelfs meer dan telecommunicatiebedrijven, het slachtoffer van dergelijke inbreuken zijn. Burgers zullen een melding verwachten, niet alleen wanneer een aanbieder van internettoegang het slachtoffer is van een inbreuk op de beveiliging, maar vooral wanneer dit hun onlinebank of onlineapotheek overkomt.

Wat de drempel voor kennisgeving betreft is het criterium van het gewijzigde voorstel (meer dan „een zeer geringe kans op schade”) geschikt voor een werkbare regeling. Wel is het zaak het woord „schade” zo ruim te definiëren dat alle vormen van negatieve impact op de persoonlijke levenssfeer of andere rechtmatige belangen van natuurlijke personen eronder vallen. Anders is een nieuw criterium te verkiezen, waarbij kennisgeving verplicht zou zijn wanneer „redelijkerwijs mag worden aangenomen dat de inbreuk negatieve gevolgen zal hebben voor natuurlijke personen”. Het door de Raad voorgestelde criterium, dat de inbreuk de persoonlijke levenssfeer ernstig moet schenden, zou natuurlijke personen onvoldoende bescherming bieden, omdat volgens dit criterium de gevolgen voor de persoonlijke levenssfeer „ernstig” moeten zijn. Dit laat bovendien ruimte voor subjectieve evaluatie.

Wat betreft de afweging of een betrokken entiteit personen van een inbreuk in kennis moet stellen, kan het ontegenzeglijk positief zijn hierbij een bevoegde instantie te betrekken, maar het is niet denkbeeldig dat dit onpraktisch en moeilijk zal blijken te zijn, en dat hieraan middelen voor andere belangrijke prioriteiten zullen worden opgeofferd. Indien de bevoegde instanties niet in staat zijn bijzonder snel te reageren, vreest de EDPS dat deze regeling natuurlijke personen zelfs minder bescherming zal bieden dan voorheen, en dat zij voor de instanties zelf te belastend zal zijn. Alles bij elkaar genomen adviseert de EDPS dan ook een regeling in te voeren waarbij de afweging of tot een melding moet worden overgegaan, door de betrokken entiteit zelf wordt gemaakt.

Om autoriteiten in staat te stellen toezicht te houden op de door de betrokken entiteiten gemaakte afwegingen met betrekking tot de meldingsplicht, moeten de volgende garanties worden ingebouwd:

de entiteiten moeten verplicht worden alle inbreuken die aan het vastgestelde criterium voldoen, aan de autoriteiten te melden.

aan de autoriteiten moet een toezichtsrol worden toegekend zodat zij selectief en dus efficiënt kunnen optreden. Met het oog hierop de volgende bepaling invoegen: „Indien de betrokken abonnee of persoon nog niet van de inbreuk in kennis is gesteld, kan de bevoegde nationale instantie, na beoordeling van de aard van de inbreuk, de aanbieders van openbare elektronische-communicatiediensten en de aanbieders van diensten van de informatiemaatschappij verzoeken dit alsnog te doen.

er moet een nieuwe bepaling worden aangenomen waarbij entiteiten verplicht worden een volledig en gedetailleerd intern evaluatieverslag bij te houden. Die bepaling zou als volgt kunnen luiden: „Aanbieders van openbare elektronische-communicatiediensten en aanbieders van diensten van de informatiemaatschappij maken en bewaren een uitvoerig verslag over alle inbreuken op de beveiliging die zich hebben voorgedaan, de nuttige technische informatie in dit verband en de corrigerende maatregelen die zij hebben genomen. In dit verslag wordt ook verwezen naar alle meldingen die aan de betrokken abonnees of personen, alsook aan de bevoegde nationale instanties zijn gedaan, met vermelding van de datum en inhoud ervan. Het verslag wordt desgevraagd aan de bevoegde nationale instantie voorgelegd.”

Met het oog op een coherente toepassing van het kader voor inbreuken op de beveiliging moet de Commissie worden gemachtigd om, na overleg met de EDPS, de Groep artikel 29 en andere betrokkenen, technische uitvoeringsmaatregelen aan te nemen.

Wat betreft de natuurlijke personen aan wie de inbreuk moet worden gemeld, moet de terminologie van de Commissie of het EP („betrokken personen” of „getroffen gebruikers”) worden gebruikt, omdat deze alle natuurlijke personen bestrijkt van wie de persoonsgegevens zijn gecompromitteerd.

Voor het publiek toegankelijke particuliere netwerken

98.

Vaak worden communicatiediensten niet via openbare netwerken ter beschikking van het publiek gesteld, maar via particulier geëxploiteerde netwerken (bijvoorbeeld wifipunten in hotels, luchthavens), waarvan inderdaad kan worden beweerd dat ze buiten het toepassingsgebied van de richtlijn vallen. Het EP wil middels amendement 121 (artikel 3) het toepassingsgebied van de richtlijn verruimen tot openbare en particuliere communicatienetwerken, alsook tot voor het publiek toegankelijke particuliere netwerken. Het EP en de Raad wordt in dit verband het volgende aanbevolen:

de kern van amendement 121 behouden, maar herformuleren zodat het toepassingsgebied van de e-privacyrichtlijn alleen verruimd wordt tot „de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare en voor het publiek toegankelijke particuliere netwerken in de Gemeenschap, …”. Louter particulier geëxploiteerde netwerken (in tegenstelling tot voor het publiek toegankelijke particuliere netwerken) zouden niet expliciet onder het toepassingsgebied vallen.

alle bepalingen in het dispositief dienovereenkomstig aanpassen, zodat naast openbare netwerken expliciet melding wordt gemaakt van voor het publiek toegankelijke particuliere netwerken.

de volgende definitie invoegen: „voor het publiek toegankelijk particulier netwerk: een particulier geëxploiteerd netwerk waartoe het grote publiek in de regel onbeperkt toegang heeft, al dan niet tegen betaling of in samenhang met andere diensten of aanbiedingen, behoudens aanvaarding van de geldende voorwaarden”. Dit biedt meer rechtszekerheid aangaande de entiteiten die onder het nieuwe toepassingsgebied vallen.

een nieuwe overweging aannemen op grond waarvan de Commissie een openbare raadpleging zou organiseren over de toepassing van de e-privacyrichtlijn op alle particuliere netwerken, met inbreng van de EDPS, de Groep artikel 29 en alle betrokkenen. Preciseren dat de Commissie op grond van deze openbare raadpleging een geschikt voorstel moet doen om de categorieën van entiteiten die onder de e-privacyrichtlijn vallen te verruimen of te beperken.

Verwerking van verkeersgegevens voor beveiligingsdoeleinden

99.

Het EP heeft in eerste lezing amendement 181 (artikel 6, lid 6 bis) aangenomen, waarbij de verwerking van verkeersgegevens voor beveiligingsdoeleinden wordt toegestaan. De Raad heeft in zijn gemeenschappelijk standpunt een nieuwe versie aangenomen, waarin een aantal garanties met betrekking tot de persoonlijke levenssfeer wordt afgezwakt. De EDPS beveelt het EP en de Raad in dit verband het volgende aan:

dit artikel volledig verwerpen omdat het overbodig is en, in geval van misbruik, een groot risico zou kunnen inhouden voor de bescherming van gegevens en de persoonlijke levenssfeer van natuurlijke personen;

indien toch een variant van de huidige versie van artikel 6, lid 6 bis, wordt aangenomen, de in dit advies besproken garanties met betrekking tot gegevensbescherming (te vergelijken met die van het amendement van het EP) in de tekst opnemen.

Juridische actie tegen inbreuken op de e-privacyrichtlijn

100.

Het Parlement heeft amendement 133 (artikel 13, lid 6) aangenomen dat rechtspersonen de mogelijkheid biedt om elke inbreuk op een bepaling van de e-privacyrichtlijn voor de rechter te brengen. Dit amendement is jammer genoeg niet overgenomen door de Raad. De Raad en het EP wordt aanbevolen:

hun goedkeuring te hechten aan de bepaling waarbij rechtspersonen zoals consumenten- en werknemersorganisaties elke inbreuk op een bepaling van de e-privacyrichtlijn (en niet alleen op de bepalingen betreffende spam, zoals op dit ogenblik in het gemeenschappelijk standpunt en het gewijzigd voorstel wordt voorgesteld) voor de rechter kunnen brengen. Meer diversiteit in de handhavingsmechanismen zal een betere naleving en de daadwerkelijke toepassing van de bepalingen van de e-privacyrichtlijn ten goede komen.

De zaak tot een goed einde brengen

101.

Het EP en de Raad hebben met betrekking tot al deze vraagstukken de opdracht goede regels en bepalingen op te stellen die werkbaar en functioneel zijn en verenigbaar met de rechten van natuurlijke personen op een persoonlijke levenssfeer en op bescherming van hun gegevens. De EDPS heeft goede hoop dat de betrokken partijen hun uiterste best zullen doen om deze zaak tot een goed einde te brengen, en hoopt dat dit advies hiertoe zal bijdragen.

Gedaan te Brussel, 9 januari 2009.

Peter HUSTINX

Europees Toezichthouder voor gegevensbescherming


(1)  De herziening van de e-privacyrichtlijn maakt deel uit van een ruimer herzieningsproces, dat strekt tot de oprichting van een telecommunicatieautoriteit op EU-niveau en de herziening van de Richtlijnen 2002/21/EG, 2002/19/EG, 2002/20/EG, 2002/22/EG en 2002/58/EG, alsook van Verordening (EG) nr. 2006/2004 (hierna in zijn geheel „de herziening van het telecommunicatiepakket”).

(2)  Advies van 10 april 2008 over het voorstel voor een richtlijn tot wijziging van met name Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie (richtlijn betreffende privacy en elektronische communicatie), PB C 181 van 18.7.2008, blz. 1.

(3)  Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische-communicatienetwerken en -diensten (Universeledienstrichtlijn), PB L 108 van 24.4.2002, blz. 51.

(4)  Opmerkingen van de EDPS over specifieke vraagstukken die in het verslag van de IMCO over de herziening van Richtlijn 2002/22/EG (universeledienst) & Richtlijn 2002/58/EG (e-privacy) worden aangesneden, 2 september 2008. Beschikbaar op: www.edps.europa.eu

(5)  Wetgevingsresolutie van het Europees Parlement van 24 september 2008 over het voorstel voor een richtlijn van het Europees Parlement en de Raad tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische-communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking met betrekking tot consumentenbescherming (COM(2007) 698 — C6-0420/2007 — 2007/0248(COD)).

(6)  Gewijzigd voorstel voor een richtlijn van het Europees Parlement en de Raad tot wijziging van Richtlijn 2002/22/EG inzake de universele dienst en gebruikersrechten met betrekking tot elektronische-communicatienetwerken en -diensten, Richtlijn 2002/58/EG betreffende de verwerking van persoonsgegevens en de bescherming van de persoonlijke levenssfeer in de sector elektronische communicatie en Verordening (EG) nr. 2006/2004 betreffende samenwerking met betrekking tot consumentenbescherming, Brussel, 6.11.2008 COM(2008) 723 def.

(7)  Beschikbaar op de openbare website van de Raad.

(8)  Advies 2/2008 over de herziening van Richtlijn 2002/58/EG betreffende privacy en elektronische communicatie (e-privacyrichtlijn), beschikbaar op de website van de Groep artikel 29.

(9)  In dit advies wordt het woord „gecompromitteerd” gebruikt voor inbreuken in verband met persoonsgegevens die het gevolg zijn van onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde mededeling van of toegang tot persoonsgegevens, die worden verstrekt, opgeslagen of anderszins verwerkt.

(10)  Zie hierover met name de amendementen 187, 124 tot en met 127 alsook 27, 21 en 32 van het EP.

(11)  Behalve wanneer er imminent en rechtstreeks gevaar dreigt: in dat geval lichten de betrokken entiteiten eerst de consumenten in.

(12)  Artikel 2, van het gemeenschappelijk standpunt (punt h)) en het gewijzigd voorstel (punt i)) en artikel 3, lid 3, van de eerste lezing van het EP.

(13)  Zie voetnoot 11 voor de uitzondering op deze regel.

(14)  Die toezichtsbevoegdheid wordt toegekend in artikel 15 bis, lid 3: „De lidstaten waken erover dat de bevoegde nationale instanties, en, waar passend, andere nationale instanties, over alle nodige onderzoeksbevoegdheden en -middelen beschikken, met inbegrip van de mogelijkheid alle relevante informatie op te vragen die zij nodig kunnen hebben om de overeenkomstig deze richtlijn vastgestelde nationale bepalingen te monitoren en na te doen leven.”

(15)  „Deze richtlijn is van toepassing op de verwerking van persoonsgegevens in verband met de levering van openbare elektronische-communicatiediensten over openbare communicatienetwerken”.

(16)  A contrario kan betoogd worden dat deze communicatiediensten, zelfs al gaat het om een particulier netwerk, aan het publiek worden verstrekt, en het verstrekken van deze diensten derhalve onder het bestaande wetgevingskader valt, ondanks het particuliere netwerk. In Frankrijk, bijvoorbeeld, zijn werkgevers die hun werknemers toegang tot het internet verschaffen, op gelijke voet gesteld met dienstverleners die internettoegang op commerciële basis verschaffen. Die interpretatie wordt niet algemeen geaccepteerd.

(17)  Een typisch voorbeeld zijn lokale netwerken (LAN's).

(18)  Zie voetnoot 16.

(19)  Artikel 13, lid 6, van de eerste lezing van het EP.

(20)  Zie, bijvoorbeeld, artikel 8 van de Duitse wet betreffende oneerlijke concurrentie (Gesetz gegen unlauteren Wettbewerb of UWG).


6.6.2009   

NL

Publicatieblad van de Europese Unie

C 128/42


Advies van de Europese toezichthouder voor gegevensbescherming inzake het voorstel voor een richtlijn van de Raad houdende verplichting voor de lidstaten om minimumvoorraden ruwe aardolie en/of aardolieproducten in opslag te houden

2009/C 128/05

DE EUROPESE TOEZICHTHOUDER VOOR GEGEVENSBESCHERMING,

Gelet op het Verdrag tot oprichting van de Europese Gemeenschap, en met name op artikel 286,

Gelet op het Handvest van de grondrechten van de Europese Unie, en met name op artikel 8,

Gelet op Richtlijn 95/46/EG van het Europees Parlement en de Raad van 24 oktober 1995 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens, (1)

Gelet op Verordening (EG) nr. 45/2001 van het Europees Parlement en de Raad van 18 december 2000 inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de communautaire instellingen en organen en betreffende het vrije verkeer van die gegevens, met name op artikel 41, (2)

Gezien het verzoek om advies op grond van artikel 28, lid 2, van Verordening (EG) nr. 45/2001, dat op 14 november 2008 is toegezonden aan de Europese Toezichthouder voor gegevensbescherming (hierna: de EDPS),

BRENGT HET VOLGENDE ADVIES UIT:

I.   INLEIDING

1.

Op 13 november 2008 heeft de Commissie een voorstel goedgekeurd voor een richtlijn van de Raad houdende verplichting voor de lidstaten om minimumvoorraden ruwe aardolie en/of aardolieproducten in opslag te houden (hierna „het voorstel”) (3).

2.

Met het voorstel wordt beoogd de oliebevoorrading in de Gemeenschap in hoge mate veilig te stellen dankzij betrouwbare en transparante mechanismen op basis van solidariteit tussen de lidstaten, waarbij minimumvoorraden aardolie en/of aardolieproducten in opslag worden gehouden en de nodige procedures worden ingesteld om aan een eventuele ernstige schaarste het hoofd te bieden.

3.

Het voorstel is op 14 november 2008 door de Commissie aan de EDPS toegezonden voor advies, overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001. De EDPS is verheugd dat hij over deze kwestie is geraadpleegd en dat naar deze raadpleging wordt verwezen in de preambule van het voorstel, overeenkomstig artikel 28 van Verordening (EG) nr. 45/2001.

4.

Alvorens het voorstel goed te keuren, heeft de Commissie de EDPS informeel geraadpleegd over een specifiek artikel van het ontwerpvoorstel (huidig artikel 19). De EDPS is verheugd over deze informele raadpleging, die hem in staat heeft gesteld om enkele suggesties te doen vooraleer het voorstel door de Commissie werd goedgekeurd.

II.   ANALYSE VAN HET VOORSTEL

Algemeen

5.

De voorliggende kwestie illustreert duidelijk dat de regels voor gegevensbescherming om constante waakzaamheid vragen. In de context van de lidstaten en hun verplichting om noodvoorraden van aardolie in opslag te houden die hoofdzakelijk in eigendom zijn van juridische entiteiten, is het niet vanzelfsprekend dat verwerking van persoonsgegevens aan de orde is, maar gegevensverwerking zou wel onbeoogd kunnen plaatsvinden. In ieder geval moet worden nagegaan hoe waarschijnlijk het is dat verwerking van persoonsgegevens plaatsvindt en moet dienovereenkomstig worden gehandeld.

6.

In de huidige situatie zijn er in wezen twee activiteiten in de richtlijn waarbij verwerking van persoonsgegevens aan de orde kan zijn. De eerste activiteit is de verzameling door de lidstaten van informatie over de olievoorraden en de verstrekking van deze informatie aan de Commissie. De tweede activiteit heeft betrekking op de bevoegdheid van de Commissie om controles uit te voeren in de lidstaten. De verzamelde informatie over de eigenaren van olievoorraden kan persoonsgegevens omvatten, zoals de namen en contactgegevens van de directeuren van de bedrijven. In dat geval zou het verzamelen en verstrekken van deze gegevens aan de Commissie neerkomen op verwerking van persoonsgegevens, waardoor hetzij de nationale wetgeving tot uitvoering van Richtlijn 95/46/EG, hetzij Verordening (EG) nr. 45/2001 van toepassing wordt, afhankelijk van wie de gegevens feitelijk verwerkt. Ook als de Commissie de bevoegdheid wordt verleend om controles uit te voeren op de noodvoorraden in de lidstaten, inclusief de bevoegdheid om in het algemeen informatie te verzamelen, kan verzameling en bijgevolg verwerking van persoonsgegevens aan de orde zijn.

7.

Tijdens de informele raadpleging, die alleen betrekking had op de bepaling over de onderzoeksbevoegdheid van de Commissie, heeft de EDPS de Commissie aangeraden om na te gaan of verwerking van persoonsgegevens in het kader van een Commissieonderzoek louter incidenteel dan wel op regelmatige basis en ten behoeve van onderzoeksdoelen zou plaatsvinden. Naar gelang van het resultaat van die beoordeling werden twee benaderingen voorgesteld.

8.

Indien verwerking van persoonsgegevens onbeoogd en dus puur incidenteel plaatsvindt, heeft de EDPS aanbevolen om, ten eerste, expliciet de verwerking van persoonsgegevens uit te sluiten van het doel van het Commissieonderzoek en, ten tweede, te verklaren dat persoonsgegevens die de Commissie in de loop van het onderzoek tegenkomt, niet zullen worden verzameld of in aanmerking genomen, en in geval van accidentele verzameling onmiddellijk zullen worden vernietigd. Voorts heeft de EDPS voorgesteld om als algemene backupclausule een bepaling in te voegen luidens welke de richtlijn de regels inzake gegevensbescherming als bepaald in Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 onverlet laat.

9.

Indien het daarentegen de bedoeling is dat de gegevensverwerking op regelmatige basis plaatsvindt in het kader van een Commissieonderzoek, heeft de EDPS aanbevolen dat de Commissie een tekst invoegt waaruit blijkt dat de behoefte aan gegevensbescherming naar behoren ingeschat is. Die tekst zou de volgende elementen moeten bevatten: (I) het feitelijke doel van de gegevensverwerking, (II) de noodzaak gegevens te verwerken om dit doel te bereiken, en (III) het evenredige karakter van de gegevensverwerking.

10.

Het informele advies van de EDPS had enkel betrekking op de onderzoeksbevoegdheid van de Commissie, maar zijn opmerkingen gelden evenzeer de andere hoofdactiviteit die in het richtlijnvoorstel wordt toegelicht, zijnde het verzamelen van gegevens door de lidstaten en het toesturen van deze gegevens aan de Commissie.

11.

Uit het definitieve voorstel voor een richtlijn blijkt duidelijk dat de Commissie heeft geconcludeerd dat voor de toepassing van de richtlijn geen verwerking van persoonsgegevens wordt beoogd. De EDPS is tevreden dat zijn eerste voorgestelde aanpak volledig tot uiting komt in het voorstel.

12.

De EDPS spreekt daarom zijn steun uit voor de manier waarop de Commissie in het richtlijnvoorstel voor naleving van de gegevensbeschermingsregels heeft ingestaan. Hierna volgen nog enkele gedetailleerde aanbevelingen.

Opmerkingen betreffende details

13.

Artikel 15 van het richtlijnvoorstel betreft de verplichting van lidstaten om de Commissie wekelijks een statistisch overzicht te verstrekken met de op hun grondgebied in opslag gehouden handelsvoorraden. Dergelijke informatie bevat doorgaans weinig persoonsgegevens, maar kan wel gegevens bevatten over de natuurlijke personen die eigenaar zijn van de olievoorraden bezitten of voor een juridische entiteit werken die eigenaar is. Om te voorkomen dat de lidstaten dergelijke informatie aan de Commissie verstrekken, is in artikel 15, lid 1, bepaald dat de lidstaten hierbij de namen van de eigenaren van de betreffende voorraden niet vermelden. Hoewel het verwijderen van een naam geenszins uitsluit dat gegevens toch in verband kunnen worden gebracht met een natuurlijk persoon, lijkt de toevoeging van deze zin in de onderhavige situatie (statistische overzichten van de olievoorraadniveaus) te volstaan om te verzekeren dat geen persoonsgegevens aan de Commissie worden verstrekt.

14.

De onderzoeksbevoegdheid van de Commissie is geregeld in artikel 19 van het richtlijnvoorstel. Uit het artikel blijkt duidelijk dat de Commissie de eerste, in punt 8 toegelichte aanpak heeft gevolgd. Luidens het artikel mag het verzamelen van persoonsgegevens geen onderdeel zijn van de controles van de Commissie. Mocht de Commissie dergelijke gegevens vinden of aantreffen, dan mag zij deze niet in aanmerking nemen; accidenteel verzamelde gegevens moeten worden vernietigd. Teneinde de formulering af te stemmen op de in de gegevensbeschermingswetgeving gebruikte formulering en om misverstanden te voorkomen, raadt de EDPS aan het woord „verzamelen” in de eerste zin van lid 2 te vervangen door het woord „verwerken”.

15.

De EDPS is verheugd dat ook een algemene backupclausule inzake de toepasselijke gegevensbeschermingswetgeving in het voorstel is opgenomen. In artikel 20 worden de lidstaten, respectievelijk de Commissie en andere communautaire organen duidelijk herinnerd aan hun verplichtingen uit hoofde van Richtlijn 95/46/EG, respectievelijk Verordening nr. 45/2001. In de clausule worden voorts de rechten onderstreept die betrokkenen hebben krachtens deze regels, bijvoorbeeld het recht om zich tegen de verwerking van de gegevens te verzetten, het recht op toegang tot hun persoonsgegevens en het recht op rectificatie van hun persoonsgegevens in geval van onjuistheid. Er kan misschien een opmerking worden gemaakt bij de plaats van deze bepaling in het voorstel. Omdat het gaat om een bepaling van algemene strekking, geldt ze niet louter voor de onderzoeksbevoegdheid van de Commissie. De EDPS beveelt dan ook aan om het artikel naar het eerste deel van de richtlijn te verplaatsen en het bijvoorbeeld na artikel 2 in te voegen.

16.

Ook in overweging 25 wordt verwezen naar Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001. Het doel van de overweging is echter niet helemaal duidelijk, aangezien alleen de wetgeving inzake gegevensbescherming op zich, en verder niets wordt vermeld. In de overweging moet duidelijk worden vermeld dat de bepalingen van de richtlijn de genoemde wetgeving onverlet laten. Bovendien lijkt de laatste zin van de overweging te impliceren dat de gegevensbeschermingswetgeving de voor de verwerking verantwoordelijken er uitdrukkelijk toe verplicht accidenteel verzamelde gegevens onmiddellijk te vernietigen. Die verplichting komt niet voor in de vermelde wetgeving, al kan ze er wel uit voortvloeien. Het is een algemeen beginsel van gegevensbescherming dat persoonsgegevens niet langer mogen worden bewaard dan noodzakelijk is voor de verwezenlijking van de doeleinden waarvoor ze worden verzameld of vervolgens worden verwerkt. Als het eerste deel van de overweging op de hierboven voorgestelde manier wordt gewijzigd, wordt de laatste zin overbodig. De EDPS stelt daarom voor om de laatste zin van overweging 25 te schrappen.

III.   CONCLUSIE

17.

De EDPS steunt de manier waarop de Commissie voor naleving van de gegevensbeschermingsregels in het richtlijnvoorstel heeft ingestaan.

18.

Op detailniveau beveelt de EDPS het volgende aan:

vervangen van het woord „verzamelen” in de eerste zin van artikel 19, lid 2, door het woord „verwerken”;

verplaatsen van artikel 20, dat een algemene bepaling inzake gegevensbescherming is, naar het eerste deel van de richtlijn, meer bepaald onmiddellijk na artikel 2;

toevoegen aan overweging 25 van de boodschap dat de bepalingen van de richtlijn het bepaalde in Richtlijn 95/46/EG en Verordening (EG) nr. 45/2001 onverlet laten;

schrappen van de laatste zin van overweging 25.

Gedaan te Brussel, 3 februari 2009.

Peter HUSTINX

Europese toezichthouder voor gegevensbescherming


(1)  PB L 281 van 23.11.1995, blz. 31.

(2)  PB L 8 van 12.1.2001, blz. 1.

(3)  COM(2008) 775 def.


IV Informatie

INFORMATIE AFKOMSTIG VAN DE INSTELLINGEN EN ORGANEN VAN DE EUROPESE UNIE

Commissie

6.6.2009   

NL

Publicatieblad van de Europese Unie

C 128/45


Wisselkoersen van de euro (1)

5 juni 2009

2009/C 128/06

1 euro =


 

Munteenheid

Koers

USD

US-dollar

1,4177

JPY

Japanse yen

137,48

DKK

Deense kroon

7,4472

GBP

Pond sterling

0,87920

SEK

Zweedse kroon

10,9250

CHF

Zwitserse frank

1,5191

ISK

IJslandse kroon

 

NOK

Noorse kroon

8,9700

BGN

Bulgaarse lev

1,9558

CZK

Tsjechische koruna

27,003

EEK

Estlandse kroon

15,6466

HUF

Hongaarse forint

289,10

LTL

Litouwse litas

3,4528

LVL

Letlandse lat

0,7094

PLN

Poolse zloty

4,5420

RON

Roemeense leu

4,2185

TRY

Turkse lira

2,1834

AUD

Australische dollar

1,7606

CAD

Canadese dollar

1,5657

HKD

Hongkongse dollar

10,9887

NZD

Nieuw-Zeelandse dollar

2,2263

SGD

Singaporese dollar

2,0530

KRW

Zuid-Koreaanse won

1 768,65

ZAR

Zuid-Afrikaanse rand

11,4189

CNY

Chinese yuan renminbi

9,6871

HRK

Kroatische kuna

7,3550

IDR

Indonesische roepia

14 078,75

MYR

Maleisische ringgit

4,9556

PHP

Filipijnse peso

67,016

RUB

Russische roebel

43,5789

THB

Thaise baht

48,464

BRL

Braziliaanse real

2,7345

MXN

Mexicaanse peso

18,7066

INR

Indiase roepie

66,7910


(1)  Bron: door de Europese Centrale Bank gepubliceerde referentiekoers.


Rectificaties

6.6.2009   

NL

Publicatieblad van de Europese Unie

C 128/46


Rectificatie van de door de Europese Centrale Bank toegepaste rentevoet voor de basisherfinancieringstransacties

( Publicatieblad van de Europese Unie C 124 van 4 juni 2009 )

2009/C 128/07

In de inhoudsopgave en op bladzijde 1:

in plaats van:

„1,00 % per 4 juni 2009“

te lezen:

„1,00 % per 1 juni 2009“.