Over privacy wordt de afgelopen jaren steeds meer gesproken. Weten we wel wie onze gegevens in handen heeft? Om deze vraag met ‘ja’ te kunnen beantwoorden, treedt de nieuwe Privacywet vanaf mei 2018 inwerking. Nu is het zo dat elke lidstaat van de EU zijn eigen privacywetgeving heeft. In Nederland kunnen organisaties alle gegevens doorspelen aan andere bedrijven. Wanneer u bijvoorbeeld iets koopt via een webwinkel kunnen zij uw adres, telefoonnummer, geboortedatum en andere ingevoerde informatie aan anderen doorgeven. Cookies kunnen hierdoor worden afgestemd op uw interesses. Uw gegevens komen zo in onbekende handen terecht. Om dit te voorkomen is de nieuwe wetgeving ontwikkeld.
De regels rond uw persoonlijke informatie worden na 2018 een stuk strenger. De belangrijkste verandering zijn:
De organisatie moet kunnen uitleggen waarom ze bepaalde informatie nodig hebben. Apps mogen bijvoorbeeld niet zomaar vragen naar uw locatie. Dit moet noodzakelijk zijn voor het gebruik van de app.
Er moet altijd toestemming gevraagd worden voor het gebruiken van persoonlijke informatie. Wanneer een energiemaatschappij uw geboortedatum nodig heeft, moet zij kunnen aangeven waarvoor het gebruikt wordt.
U mag altijd uw persoonsgegevens verwijderen bij de organisatie. Hiervoor is geen goede reden nodig. Wanneer u zich toch niet prettig voelt dat een bedrijf uw adres heeft, mag u ze gerust vragen deze uit hun bestand te verwijderen.
Ook zijn organisaties verplicht informatie over te dragen wanneer u dit van hen vraagt. Wanneer u bijvoorbeeld gaat veranderen van energieleverancier, is uw oude leverancier verplicht de informatie over te dragen.
Alle organisaties moeten door de invoering van deze wet registers bijhouden. Hierdoor zal duidelijk worden waar uw gegevens vandaan komen en met wie de organisatie ze deelt. De Autoriteit Persoonsgegevens (AP) kan de registers op deze manier op juistheid controleren.
Het akkoord over het delen van passagiersgegevens (PNR) tussen de Europese Unie en Canada is in strijd met EU-recht, zo heeft het Europees Hof van Justitie vandaag geoordeeld (pdf). Volgens het Hof kan het akkoord in de huidige vorm niet worden goedgekeurd. In de afspraken zit onvoldoende rechtsbescherming voor Europeanen. Volgens het Hof is het 'in wezen' toegestaan om stelselmatig alle gegevens van passagiers door te geven, te bewaren en te gebruiken, maar verschillende bepalingen van de ontwerpovereenkomst voldoen niet aan de grondrechten van de EU. Zo is de overeenkomst onder andere in strijd met het grondrecht op de bescherming van persoonsgegevens.
In 2014 werd het huidige akkoord tussen de EU en Canada gesloten. Het Europees Parlement vroeg het Hof van Justitie of het akkoord wel aan EU-wetgeving voldoet. "Nu, twee-en-een-half jaar later, bevestigt het Hof de bezwaren die wij allang hadden. De Commissie en nationale regeringen bleven hardnekkig vasthouden aan een ondeugdelijk akkoord. De Commissie moet nu terug naar de onderhandelingstafel", zegt D66-Europarlementariër Sophie In 't Veld.
Volgens In 't Veld heeft de uitspraak mogelijk verstrekkende gevolgen. Vergelijkbare akkoorden met de Verenigde Staten over bijvoorbeeld PNR of bankdata (SWIFT) komen volgens haar nu op losse schroeven te staan.
Dankzij de nieuwe technische mogelijkheden kunnen werkgevers hun werknemers steeds makkelijker controleren. De Europese privacytoezichthouders (verenigd in de Artikel 29-werkgroep) hebben daarom in een nieuwe opinie duidelijk gemaakt op welke wijze werkgevers kunnen zorgen voor meer balans tussen hun legitieme belangen enerzijds, en de bescherming van de privacy van werknemers anderzijds...
...en benadrukt dat het (mede) gezien de nieuwe technologieën nog belangrijker is om met een aantal privacybeginselen rekening te houden bij het verwerken van persoonsgegevens in een arbeidsverhouding, namelijk:
persoonsgegevens moeten rechtmatig worden verwerkt, en alleen voor proportionele en noodzakelijke doeleinden.
persoonsgegevens mogen in principe alleen gebruikt worden voor de doeleinden waarvoor ze oorspronkelijk zijn verzameld.
er zijn geen andere manieren mogelijk hetzelfde doel te bereiken, die minder ingrijpend zijn voor de privacy van de werknemers.
indien werknemers worden gecontroleerd moeten zij van tevoren zijn geïnformeerd over de redenen voor de controle, de controleperioden, de methoden en technieken en de gegevens die worden verzameld.
werknemers moeten de mogelijkheid hebben om hun gegevens in te zien en eventueel te corrigeren.
de persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is.
de persoonsgegevens moeten worden beveiligd, zodat ze niet verloren raken of in verkeerde handen terechtkomen
...De Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing is, biedt de Nederlandse overheid de mogelijkheid om aanvullende (privacy)regels te stellen met betrekking tot:
recruitment;
de uitvoering van de arbeidsovereenkomst;
management, planning en organisatie van het werk;
gelijkheid en diversiteit op het werk;
gezondheid en veiligheid op het werk en de werkplek;
bescherming van de eigendom van de werkgever of de klant;
het genot van de met de arbeidsverhouding samenhangende rechten en voordelen; en
Microsoft kreeg een miljardenboete van de Europese Commissie omdat het bedrijf zijn macht misbruikte. Google overkomt nu hetzelfde. Is de jongste technologiereus Facebook de volgende die in Brussel over de knie gaat?
Als dat gebeurt, dan niet op de manier waarop Google en Microsoft moesten bloeden, denkt Stefan Kulk. Volgens de onderzoeker die zich bij de Universiteit Utrecht bezig houdt met privacy, wetgeving en technologie ging het bij Google en Microsoft over misbruik van de machtspositie om de concurrentie klein te houden. Bij Facebook speelt iets anders: privacy.
Die privacy-regels zijn in Europa strenger dan in de VS en worden volgend jaar mei nog aangescherpt. Toch hoeft Facebook niet te vrezen dat Europa ineens een onbegaanbaar gebied wordt, denkt Kulk. "Ik ben niet zo overtuigd van de kracht van de regels. Het uitgangspunt is en blijft dat bedrijven veel mogen met persoonlijke gegevens, mits iemand toestemming heeft gegeven."
Daar is iedereen natuurlijk zelf bij. Niemand hoeft akkoord te gaan. Toch is een 'eigen keuze' volgens Kulk iets anders dan een 'vrije keuze'. "Sociale netwerken als Facebook hebben een machtspositie. Iedereen zit erop. En als het niet bevalt, heeft het geen zin om in je eentje over te stappen op een andere dienst. Sociale netwerken hebben pas nut als veel mensen er gebruik van maken.
Wie erachter wil komen wat Google en Facebook doen met persoonlijke gegevens moet over doorzettingsvermogen beschikken. "Omdat dat gebeurt op basis van algoritmes, moeten zij inzicht geven in hoe die algoritmes werken." Dat gebeurt nu onvoldoende. Anders dan bij mededingingszaken zijn het bij privacyovertredingen de privacywaakhonden in de lidstaten die een vuist moeten maken tegen de internetgiganten.
Al hebben lidstaten minder macht dan de commissie, toch kunnen ze gemeen bijten. Daarom trekken Nederland, België en Duitsland samen op in een onderzoek naar onrechtmatig gebruik van gegevens.
In september van dit jaar zal de eerste jaarlijkse controle plaatsvinden van het privacyverdrag dat vorig jaar tussen de EU en Verenigde Staten werd gesloten, het zogeheten privacyschild. Het privacyschild is sinds juli 2016 van kracht en in plaats gekomen van de Safe Harbour-overeenkomst, die het Europees Hof van Justitie op 6 oktober 2015 ongeldig verklaard. Het heeft als doel bij uitwisseling van persoonsgegevens met de VS een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de Europese Unie.
De Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep (WP29), benadrukken dat tijdens deze controle onder meer aandacht moeten worden besteed aan de wijze waarop de ombudspersoon zal gaan werken. Bij de ombudspersoon kunnen klachten worden ingediend over de mogelijke verwerking van persoonsgegevens door de Amerikaanse inlichtingen- en veiligheidsdiensten.
Het Europese Hof van Justitie heeft uitspraak gedaan in de zaak die door Brein is aangespannen tegen providers Ziggo en Xs4all. De rechter bepaalde dat The Pirate Bay met zijn dienst inbreuk maakt op auteursrechten, waardoor een nieuwe blokkade op handen lijkt. Het Hof meldt dat de site 'een essentiële rol speelt' bij het aanbieden van beschermd materiaal.
...In een reactie laat UvA-hoogleraar informatierecht Bernt Hugenholtz weten: "Deze uitspraak is op zich geen verrassing na de uitspraken in de Geenstijl- en Filmspeler-zaken. Maar in mijn ogen is het een onjuiste uitspraak, omdat het auteursrecht veel te ver wordt opgerekt, waardoor The Pirate Bay direct aansprakelijk wordt gesteld. Dat wijkt radicaal af van wat Europese en Amerikaanse nationale rechters in de afgelopen twintig jaar hebben bepaald over aansprakelijkheid van p2p-platformen. Daarom is Europese harmonisatie van aansprakelijkheid hard nodig."
De Europese Unie wil politiediensten eenvoudiger toegang geven tot gegevens van techbedrijven en cloud providers. De Europese Commissie komt binnenkort met een drietal voorstellen om het opvragen van data te vereenvoudigen.
Dit meldt Eurocommissaris Jourová van Justitie aan persbureau Reuters. Jourová stelt dat het noodzakelijk is de toegang tot data van techbedrijven en cloud providers te vereenvoudigen gezien de recente terreuraanslagen en de toenemende dreiging in Europa. Ze verwacht dat EU-ministers met het oog op deze dreiging meer begrip zullen hebben voor de maatregelen.
Het eerste voorstel geeft autoriteiten uit een EU-land de mogelijkheid data op te vragen bij een techbedrijf of cloud provider dat is gevestigd in een ander EU-land, zonder dat de autoriteit van dit EU-land hierbij betrokken hoeft te zien. Het tweede voorstel verplicht techbedrijven en cloud providers gehoor te geven aan dataverzoeken van opsporingsinstanties uit andere EU-lidstaten. Techbedrijven hebben over dit voorstel al hun zorgen uitgesproken en vrezen dat de privacy van klanten hierdoor onder druk zal komen te staan. Het derde voorstel is het meest vergaande voorstel en geeft politiediensten toestemming data rechtstreeks uit de cloud te kopiëren. Deze maatregelen is volgens Jourová specifiek bedoeld voor situaties waarin niet duidelijk is in welk land een fysieke server staat.
De vingerafdrukken van vluchtelingenkinderen vanaf zes jaar worden opgeslagen in de Europese database met persoonsgegevens van asielzoekers. De leeftijdsgrens is nu nog veertien jaar, maar om (onbegeleide) kinderen te kunnen volgen en gezinshereniging makkelijker te maken wordt die verlaagd. Ook moet de maatregel hen beschermen tegen mensenhandel en uitbuiting.
Politie, justitie en veiligheidsdiensten krijgen ook toegang tot de zogenoemde Eurodac-database, die nu nog puur voor asieldoeleinden wordt gebruikt.
D66 stemde tegen omdat de rechten van kinderen onvoldoende gewaarborgd zouden zijn. ,,Nu worden kleine kinderen gestigmatiseerd als terrorist of zware crimineel.” Haar voorstel voor een speciale afdeling bij Europol voor de bescherming van deze kinderen is aangenomen.
