Europese privacyregels -- Gebrek aan ambitie, maar de basis is gered


Samen met EDRi, Digitale Gesellschaft, Open Rights Group, Digital Rights Ireland en Privacy International hebben wij vorige week na de stemming in het Europees Parlement over de nieuwe Europese privacyregels de volgende verklaring afgegeven. De originele tekst staat in het Engels op EDRi.org.

De Europese Commissie heeft, na uitgebreide consultaties, in januari 2012 een conceptverordening en een conceptrichtlijn gepubliceerd met de ambitie om daarmee een sterk kader te creeren voor de bescherming van persoonsgegevens in Europa. Er waren op dat moment drie prioriteiten: een
modernisering van het juridische raamwerk voor de bescherming van persoonsgegevens, een harmonisatie van de regels voor heel Europa en het vasthouden aan het bestaande niveau van bescherming. Tegelijkertijd was dit een poging om de rechten van individuen te versterken en iedereen meer controle
te geven over zijn of haar persoonlijke informatie, en om de handhaving van de regels effectiever te maken -- de huidige regels schieten op die punten namelijk zwaar te kort.

'Ondanks het feit dat dit misschien wel het meest belobbiede stuk Europese wetgeving ooit is, lijkt het erop alsof in dit akkoord de belangrijkste elementen van databescherming in Europa gered zijn.', aldus Joe McNamee, directeur van het European Digital Rights initiative. 'Het leek er in de
afgelopen vier jaar een aantal keer op dat de voorstellen uit elkaar zouden vallen, dus de stemming van vandaag is een indrukwekkende prestatie van politici uit alle grote politieke families en van het maatschappelijk middenveld.'

De doelstelling om te moderniseren is slechts gedeeltelijk behaald -- deze is tegengehouden door bedrijven en organisaties die er belang bij hebben om in de vorige eeuw te blijven steken. Een van de sleutelelementen van die modernisering, profilering, is nu onvoldoende ingekaderd. Het verschil
dat er gemaakt gaat worden tussen 'expliciete toestemming' voor gevoelige gegevens en 'toestemming' voor het verwerken van overige persoonsgegevens, gaat het helaas niet makkelijker maken om de verordening te handhaven. Ook is het een gemiste kans dat het onduidelijke begrip 'legitiem belang'
voor het verwerken van persoonsgegevens niet verbeterd is, hoewel we wel blij zijn dat er een aantal waarborgen is toegevoegd.

Belangrijker nog is dat de harmonisering een parodie is geworden van de oorspronkelijke bedoelingen. De bestaande richtlijn bestond uit 34 artikelen. De nieuwe definitieve tekst heeft meer toegestane uitzonderingen dan dat er artikelen waren in de vorige versie. Daarnaast is de lijst van
artikelen waarvoor op nationaal niveau een opt-out geldt vergroot door artikel 21 (over uitzonderingen in het kader van publiek beleid).

Over het geheel genomen heeft dit pakket aan maatregelen voor de bescherming van persoonsgegevens de absolute minimumstandaard bereikt die in het huidige politieke scenario mogelijk was. De definitieve teksten zijn ietsje beter dan dat wat was voorgesteld door de Europese Raad en door sommige
van de Parlementaire Commissies, maar komen niet eens in de buurt van de ambitie van eerdere voorstellen. EDRi, Bits of Freedom, Digitale Gesellschaft, Open Rights Group, Digital Rights Ireland en Privacy International waarderen de manier waarop de medewetgevers hebben geprobeerd de
voorstellen te redden. We moeten ons nu richten op de volgende uitdaging: het implementeren van de nieuwe regels, het hervormen van de e-Privacy richtlijn en het voorbereiden van rechterlijke stappen om (indien nodig) ervoor te zorgen dat onze grondrechten verdedigd worden.

'Het is ontnuchterend dat het zo moeilijk was om met een aantal basisregels te komen. Dit in een periode waarin er groeiende zorgen zijn over surveillance en waarin er een recordaantal datalekken zijn. Toch blijven onze persoonlijke gegevens kwetsbaar voor datahongerige bedrijven, overheden,
en door slechte ontwikkelde technologie.' zegt Anna Fielder, voorzitter van Privacy International. 'Vanaf nu hebben we een juridisch stuk gereedschap om verantwoordelijkheid af te dwingen. We gaan de slagkracht van burgers en consumenten met dit wettelijk kader versterken. En we gaan de
nieuwe regels testen tegen nieuwe businessmodellen, ambitieuze en onverstandige overheidsprogramma's, en elk ander systeem dat de controle wegneemt van het individu.'

Zie ook de General Data Protection Regulation: Document pool van EDRi als je meer wilt weten over de Privacy verordening. Daar vind je ook de concepttekst, zoals die is uitonderhandeld door de Commissie, de Raad van Ministers en het Europees Parlement. Hier zal nog definitief over gestemd
worden door het Europees Parlement.