In september van dit jaar zal de eerste jaarlijkse controle plaatsvinden van het privacyverdrag dat vorig jaar tussen de EU en Verenigde Staten werd gesloten, het zogeheten privacyschild. Het privacyschild is sinds juli 2016 van kracht en in plaats gekomen van de Safe Harbour-overeenkomst, die het Europees Hof van Justitie op 6 oktober 2015 ongeldig verklaard. Het heeft als doel bij uitwisseling van persoonsgegevens met de VS een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de Europese Unie.
De Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep (WP29), benadrukken dat tijdens deze controle onder meer aandacht moeten worden besteed aan de wijze waarop de ombudspersoon zal gaan werken. Bij de ombudspersoon kunnen klachten worden ingediend over de mogelijke verwerking van persoonsgegevens door de Amerikaanse inlichtingen- en veiligheidsdiensten.
Het Europese Hof van Justitie heeft uitspraak gedaan in de zaak die door Brein is aangespannen tegen providers Ziggo en Xs4all. De rechter bepaalde dat The Pirate Bay met zijn dienst inbreuk maakt op auteursrechten, waardoor een nieuwe blokkade op handen lijkt. Het Hof meldt dat de site 'een essentiële rol speelt' bij het aanbieden van beschermd materiaal.
...In een reactie laat UvA-hoogleraar informatierecht Bernt Hugenholtz weten: "Deze uitspraak is op zich geen verrassing na de uitspraken in de Geenstijl- en Filmspeler-zaken. Maar in mijn ogen is het een onjuiste uitspraak, omdat het auteursrecht veel te ver wordt opgerekt, waardoor The Pirate Bay direct aansprakelijk wordt gesteld. Dat wijkt radicaal af van wat Europese en Amerikaanse nationale rechters in de afgelopen twintig jaar hebben bepaald over aansprakelijkheid van p2p-platformen. Daarom is Europese harmonisatie van aansprakelijkheid hard nodig."
De Europese Unie wil politiediensten eenvoudiger toegang geven tot gegevens van techbedrijven en cloud providers. De Europese Commissie komt binnenkort met een drietal voorstellen om het opvragen van data te vereenvoudigen.
Dit meldt Eurocommissaris Jourová van Justitie aan persbureau Reuters. Jourová stelt dat het noodzakelijk is de toegang tot data van techbedrijven en cloud providers te vereenvoudigen gezien de recente terreuraanslagen en de toenemende dreiging in Europa. Ze verwacht dat EU-ministers met het oog op deze dreiging meer begrip zullen hebben voor de maatregelen.
Het eerste voorstel geeft autoriteiten uit een EU-land de mogelijkheid data op te vragen bij een techbedrijf of cloud provider dat is gevestigd in een ander EU-land, zonder dat de autoriteit van dit EU-land hierbij betrokken hoeft te zien. Het tweede voorstel verplicht techbedrijven en cloud providers gehoor te geven aan dataverzoeken van opsporingsinstanties uit andere EU-lidstaten. Techbedrijven hebben over dit voorstel al hun zorgen uitgesproken en vrezen dat de privacy van klanten hierdoor onder druk zal komen te staan. Het derde voorstel is het meest vergaande voorstel en geeft politiediensten toestemming data rechtstreeks uit de cloud te kopiëren. Deze maatregelen is volgens Jourová specifiek bedoeld voor situaties waarin niet duidelijk is in welk land een fysieke server staat.
De vingerafdrukken van vluchtelingenkinderen vanaf zes jaar worden opgeslagen in de Europese database met persoonsgegevens van asielzoekers. De leeftijdsgrens is nu nog veertien jaar, maar om (onbegeleide) kinderen te kunnen volgen en gezinshereniging makkelijker te maken wordt die verlaagd. Ook moet de maatregel hen beschermen tegen mensenhandel en uitbuiting.
Politie, justitie en veiligheidsdiensten krijgen ook toegang tot de zogenoemde Eurodac-database, die nu nog puur voor asieldoeleinden wordt gebruikt.
D66 stemde tegen omdat de rechten van kinderen onvoldoende gewaarborgd zouden zijn. ,,Nu worden kleine kinderen gestigmatiseerd als terrorist of zware crimineel.” Haar voorstel voor een speciale afdeling bij Europol voor de bescherming van deze kinderen is aangenomen.
De Belgische Privacycommissie krijgt geen extra bevoegdheden om bedrijven en organisaties te onderzoeken waarvan wordt vermoed dat ze de privacy schenden, zo heeft de Belgische staatssecretaris voor Privacy Philippe De Backer laten weten.
De commissie wilde zonder toestemming van de eigenaars of verantwoordelijken computersystemen kunnen inkijken. Daarnaast moest er onderzoek naar de veiligheid van apparatuur kunnen worden uitgevoerd en moesten er boetes kunnen worden opgelegd als de Privacycommissie tijdens onderzoeken wordt belemmerd. Ook wilde de commissie anoniem op internet kunnen patrouilleren.
"De commissie geeft de valse indruk dat ze machteloos is. Ik stel ook vast dat ze om bevoegdheden vraagt waarover ze voor de andere inspectiediensten een ongunstig advies afleverde", aldus de De Backer.
In 2016 opende de Privacycommissie, 4.491 dossiers zo blijkt uit het jaarverslag. Daarmee ziet de commissie het aantal opnieuw met 299 dossiers ten opzichte van 2015 stijgen. Een mogelijke oorzaak is de inwerkingtreding van de Algemene Verordening Gegevensbescherming.
Net als vorig jaar gingen de meeste informatievragen over bewakingscamera's. Het jaar 2016 was voor de Privacycommissie het jaar van de Algemene Verordening Gegevensbescherming. Die trad op 24 mei 2016 in werking, maar wordt pas op 25 mei 2018 van toepassing. De commissie werkte onder andere aan een handleiding voor bedrijven om de verordening om te zetten.
De privacycommissie mag vanaf volgend jaar inspecties uitvoeren bij bedrijven waarvan wordt vermoed dat ze onze privacy schenden, maar ze vindt dat de regering haar niet genoeg bevoegdheden geeft. De commissie maakt in een advies van 47 pagina's brandhout van de voorziene procedures. "Een onderzoeksbevoegdheid die volledig afhangt van de toestemming van de betrokkene is geen bevoegdheid", luidt het.
De commissie wil onder meer kunnen binnenvallen bij bedrijven. Daarnaast wil ze zonder toestemming van de eigenaars of verantwoordelijken de computersystemen kunnen inkijken. Inspecteurs moeten volgens haar ook alle nuttige voorwerpen kunnen onderzoeken, van bewakingsapparaten tot pacemakers met een internetverbinding. Ze moeten echte inbeslagnames kunnen doen.
Vanaf 25 mei 2018 geldt er in de Europese Unie (EU) dezelfde privacywetgeving: de Algemene Verordening Gegevensbescherming (AVG). Deze komt in de plaats van de huidige Wet bescherming persoonsgegevens. Met de AVG ontstaat binnen de EU een gelijk speelveld voor organisaties die persoonsgegevens verwerken. Samengevat zijn de belangrijkste effecten van de AVG:
Privacyrechten van burgers bij de verwerking van hun gegevens worden versterkt
Organisaties moeten bewijzen dat wanneer om toestemming gevraagd wordt zij ook geldige toestemming van de consument hebben gekregen om hun persoonsgegevens te verwerken. Ook moet het voor mensen net zo gemakkelijk zijn om hun toestemming in te trekken als om deze te geven.
Voor ‘toestemming’ gelden vier criteria, licht Wolfsen toe: ‘Vrij, specifiek, geïnformeerd – dat je weet waar je ‘ja’ tegen zegt - en ondubbelzinnig. Als iemand bij ons een klacht indient en aangeeft dat er op onrechtmatige wijze persoonsgegevens worden verwerkt, nemen we contact op met het desbetreffende bedrijf en dat moet dan aantonen hoe het proces van toestemming is verlopen. En als dat niet op orde is, dan leggen we een boete op.’
Verantwoordelijkheid van organisaties die gegevens verwerken, wordt aangescherpt
De nadruk komt - meer dan nu - te liggen op de verantwoordelijkheid van organisaties zélf om de wet na te leven én om te kunnen aantonen dat zij zich aan de wet houden (accountability).
Bevoegdheden van de AP en haar Europese collegae worden aanzienlijk verstevigd
Met de intrede van de AVG op 25 mei volgend jaar wordt ook de European Data Protection Board geïnstalleerd. Wolfsen spreekt van een ‘Europese bank-achtige structuur’ en hij zal zelf deel uit maken van de board, evenals zijn Europese vakbroeders. ‘De board maakt beleid en fungeert ook als een soort rechter als er tussen twee landen discussie is. Wij kunnen dat agenderen en een besluit erover nemen. De Europeanisering van de AVG is daarmee een feit.’ Tegelijk worden de bevoegdheden van de nationale autoriteiten verstevigd. ‘We kunnen meer, we mogen meer en we moeten meer. We krijgen een Ombudsman-achtige functie en onze wetgevingsadvisering blijft. Onze correctiemogelijkheden worden bijna draconisch verhoogd.
Wolfsen refereert aan de vier fundamenten van de Nederlandse rechtsorde: gelijkheid, solidariteit, democratie en vrijheid. ‘Het klinkt misschien wat zwaar, maar als toezichthouder helpen wij de Nederlandse rechtsorde te bewaken. Privacy behoort tot de vrijheidsrechten, net zoals vrijheid van geloof en vrijheid van meningsuiting. Wanneer je als overheid niet de privacyrechten van mensen waarborgt, dan kan er gehandeld worden in strijd met de fundamenten van de rechtstaat. Dus het gaat wel ergens over.’
