De EU onderzoekt of de afspraken over persoonsgegevens van Europeanen die in de VS worden opgeslagen wel voldoende bescherming bieden. EU-commissaris Vera Jourova (Justitie) besprak het zogeheten Privacy Shield maandag met de Amerikaanse handelsminister Wilbur Ross. Het Privacy Shield-akkoord werd in juli vorig jaar gesloten en is de opvolger van Safe Harbor, dat EU-burgers volgens Europese rechters onvoldoende beschermde.
Het Europees Parlement, Europese privacywaakhonden en consumentenorganisaties waren eerder dit jaar erg kritisch over Privacy Shield, mede omdat Amerikaanse opsporingsdiensten de gegevens zouden kunnen gebruiken zonder tussenkomst van de rechter. Ook zijn er zorgen over het niet goed functioneren van de Amerikaanse toezichthouder, die juist in het leven is geroepen om te waken voor misbruik van persoonsgegevens.
Het rapport van Jourova wordt in de tweede helft van oktober verwacht.
De baas mag toch niet zomaar meelezen met privéberichten die via bedrijfsmiddelen verstuurd worden. Werknemers moeten namelijk op de hoogte worden gesteld van controles, zodat de baas niet kan meekijken met privézaken. Dat oordeelde het Europees Hof voor de Rechten van de Mens vandaag.
De zaak was in 2007 al aangespannen door een Roemeen. Hij werd in 2006 ontslagen omdat hij tijdens werktijd via een zakelijk account van Yahoo Messenger privéberichtjes verstuurde naar zijn broer en verloofde. Volgens de man had zijn baas berichten kunnen lezen over zijn seksleven en gezondheid en was zijn privacy hierdoor geschonden. Toen hij bij de rechter in eigen land geen gelijk kreeg, stapte hij naar het Europees Hof voor de Rechten van de Mens (EHRM).
De Kamer van het EHRM oordeelde in januari dat bazen wel degelijk privéberichten mogen lezen, als deze tijdens kantooruren via een professioneel account worden verstuurd. Het zou 'niet onredelijk zijn voor een werkgever dat hij wil verifiëren wat zijn werknemers tijdens werktijd doen'. Maar de Grote Kamer denkt daar dus anders over.
Zes van de elf rechters van deze hogere instantie van het EHRM vinden dat de werkgever van de Roemeen hem op de hoogte had moeten stellen van de controles. Ontslag was daarnaast wel een erg zware maatregel. Meelezen zou mogelijk wel mogen als de werkgever hier een goede reden voor heeft, zoals verdenking van fraude, het onthullen van bedrijfsgeheimen aan concurrenten of de media of het in diskrediet brengen van de werkgever. Maar omdat daar in dit geval de zaak niet om draaide, zijn die argumenten theoretisch en doet het Hof daar ook geen uitspraak over.
Op 25 mei 2018 treedt de Algemene Verordening Gegevensbescherming (AVG) in werking. Net zoals bij elke nieuwe wet die het bedrijfsleven krijgt opgelegd, roept de implementatie van de nieuwe privacywetgeving bij veel organisaties vragen op. Daarnaast is er bij veel organisaties verwarring over de AVG en de ePrivacy Verordening. Is dat nu hetzelfde of staan ze los van elkaar?
Meerdere internationale onderzoeken hebben in de afgelopen maanden aangetoond dat een meerderheid van de Europese bedrijven onvoldoende is voorbereid op de invoering van nieuwe Europese datawetgeving. Zo blijkt ook uit recent onderzoek van securitydienstverlener Sophos dat voor (te) veel bedrijven het voldoen aan de AVG een lang en ingewikkeld proces is. En dat komt vooral doordat veel organisaties niet weten hoe ze te werk moeten gaan of wat de gevolgen zijn als ze de AVG niet naleven of er een datalek ontstaat.
Ik zet daarom voor onderstaand de belangrijkste feiten van de AVG (opslag, gebruik en verwerking van persoonsgegevens) en de ePrivacy Verordening (regels omtrent e-mail, cookies en telemarketing) op een rij.
Over privacy wordt de afgelopen jaren steeds meer gesproken. Weten we wel wie onze gegevens in handen heeft? Om deze vraag met ‘ja’ te kunnen beantwoorden, treedt de nieuwe Privacywet vanaf mei 2018 inwerking. Nu is het zo dat elke lidstaat van de EU zijn eigen privacywetgeving heeft. In Nederland kunnen organisaties alle gegevens doorspelen aan andere bedrijven. Wanneer u bijvoorbeeld iets koopt via een webwinkel kunnen zij uw adres, telefoonnummer, geboortedatum en andere ingevoerde informatie aan anderen doorgeven. Cookies kunnen hierdoor worden afgestemd op uw interesses. Uw gegevens komen zo in onbekende handen terecht. Om dit te voorkomen is de nieuwe wetgeving ontwikkeld.
De regels rond uw persoonlijke informatie worden na 2018 een stuk strenger. De belangrijkste verandering zijn:
De organisatie moet kunnen uitleggen waarom ze bepaalde informatie nodig hebben. Apps mogen bijvoorbeeld niet zomaar vragen naar uw locatie. Dit moet noodzakelijk zijn voor het gebruik van de app.
Er moet altijd toestemming gevraagd worden voor het gebruiken van persoonlijke informatie. Wanneer een energiemaatschappij uw geboortedatum nodig heeft, moet zij kunnen aangeven waarvoor het gebruikt wordt.
U mag altijd uw persoonsgegevens verwijderen bij de organisatie. Hiervoor is geen goede reden nodig. Wanneer u zich toch niet prettig voelt dat een bedrijf uw adres heeft, mag u ze gerust vragen deze uit hun bestand te verwijderen.
Ook zijn organisaties verplicht informatie over te dragen wanneer u dit van hen vraagt. Wanneer u bijvoorbeeld gaat veranderen van energieleverancier, is uw oude leverancier verplicht de informatie over te dragen.
Alle organisaties moeten door de invoering van deze wet registers bijhouden. Hierdoor zal duidelijk worden waar uw gegevens vandaan komen en met wie de organisatie ze deelt. De Autoriteit Persoonsgegevens (AP) kan de registers op deze manier op juistheid controleren.
Het akkoord over het delen van passagiersgegevens (PNR) tussen de Europese Unie en Canada is in strijd met EU-recht, zo heeft het Europees Hof van Justitie vandaag geoordeeld (pdf). Volgens het Hof kan het akkoord in de huidige vorm niet worden goedgekeurd. In de afspraken zit onvoldoende rechtsbescherming voor Europeanen. Volgens het Hof is het 'in wezen' toegestaan om stelselmatig alle gegevens van passagiers door te geven, te bewaren en te gebruiken, maar verschillende bepalingen van de ontwerpovereenkomst voldoen niet aan de grondrechten van de EU. Zo is de overeenkomst onder andere in strijd met het grondrecht op de bescherming van persoonsgegevens.
In 2014 werd het huidige akkoord tussen de EU en Canada gesloten. Het Europees Parlement vroeg het Hof van Justitie of het akkoord wel aan EU-wetgeving voldoet. "Nu, twee-en-een-half jaar later, bevestigt het Hof de bezwaren die wij allang hadden. De Commissie en nationale regeringen bleven hardnekkig vasthouden aan een ondeugdelijk akkoord. De Commissie moet nu terug naar de onderhandelingstafel", zegt D66-Europarlementariër Sophie In 't Veld.
Volgens In 't Veld heeft de uitspraak mogelijk verstrekkende gevolgen. Vergelijkbare akkoorden met de Verenigde Staten over bijvoorbeeld PNR of bankdata (SWIFT) komen volgens haar nu op losse schroeven te staan.
Dankzij de nieuwe technische mogelijkheden kunnen werkgevers hun werknemers steeds makkelijker controleren. De Europese privacytoezichthouders (verenigd in de Artikel 29-werkgroep) hebben daarom in een nieuwe opinie duidelijk gemaakt op welke wijze werkgevers kunnen zorgen voor meer balans tussen hun legitieme belangen enerzijds, en de bescherming van de privacy van werknemers anderzijds...
...en benadrukt dat het (mede) gezien de nieuwe technologieën nog belangrijker is om met een aantal privacybeginselen rekening te houden bij het verwerken van persoonsgegevens in een arbeidsverhouding, namelijk:
persoonsgegevens moeten rechtmatig worden verwerkt, en alleen voor proportionele en noodzakelijke doeleinden.
persoonsgegevens mogen in principe alleen gebruikt worden voor de doeleinden waarvoor ze oorspronkelijk zijn verzameld.
er zijn geen andere manieren mogelijk hetzelfde doel te bereiken, die minder ingrijpend zijn voor de privacy van de werknemers.
indien werknemers worden gecontroleerd moeten zij van tevoren zijn geïnformeerd over de redenen voor de controle, de controleperioden, de methoden en technieken en de gegevens die worden verzameld.
werknemers moeten de mogelijkheid hebben om hun gegevens in te zien en eventueel te corrigeren.
de persoonsgegevens mogen niet langer worden bewaard dan noodzakelijk is.
de persoonsgegevens moeten worden beveiligd, zodat ze niet verloren raken of in verkeerde handen terechtkomen
...De Algemene Verordening Gegevensbescherming (AVG), die vanaf 25 mei 2018 van toepassing is, biedt de Nederlandse overheid de mogelijkheid om aanvullende (privacy)regels te stellen met betrekking tot:
recruitment;
de uitvoering van de arbeidsovereenkomst;
management, planning en organisatie van het werk;
gelijkheid en diversiteit op het werk;
gezondheid en veiligheid op het werk en de werkplek;
bescherming van de eigendom van de werkgever of de klant;
het genot van de met de arbeidsverhouding samenhangende rechten en voordelen; en
Microsoft kreeg een miljardenboete van de Europese Commissie omdat het bedrijf zijn macht misbruikte. Google overkomt nu hetzelfde. Is de jongste technologiereus Facebook de volgende die in Brussel over de knie gaat?
Als dat gebeurt, dan niet op de manier waarop Google en Microsoft moesten bloeden, denkt Stefan Kulk. Volgens de onderzoeker die zich bij de Universiteit Utrecht bezig houdt met privacy, wetgeving en technologie ging het bij Google en Microsoft over misbruik van de machtspositie om de concurrentie klein te houden. Bij Facebook speelt iets anders: privacy.
Die privacy-regels zijn in Europa strenger dan in de VS en worden volgend jaar mei nog aangescherpt. Toch hoeft Facebook niet te vrezen dat Europa ineens een onbegaanbaar gebied wordt, denkt Kulk. "Ik ben niet zo overtuigd van de kracht van de regels. Het uitgangspunt is en blijft dat bedrijven veel mogen met persoonlijke gegevens, mits iemand toestemming heeft gegeven."
Daar is iedereen natuurlijk zelf bij. Niemand hoeft akkoord te gaan. Toch is een 'eigen keuze' volgens Kulk iets anders dan een 'vrije keuze'. "Sociale netwerken als Facebook hebben een machtspositie. Iedereen zit erop. En als het niet bevalt, heeft het geen zin om in je eentje over te stappen op een andere dienst. Sociale netwerken hebben pas nut als veel mensen er gebruik van maken.
Wie erachter wil komen wat Google en Facebook doen met persoonlijke gegevens moet over doorzettingsvermogen beschikken. "Omdat dat gebeurt op basis van algoritmes, moeten zij inzicht geven in hoe die algoritmes werken." Dat gebeurt nu onvoldoende. Anders dan bij mededingingszaken zijn het bij privacyovertredingen de privacywaakhonden in de lidstaten die een vuist moeten maken tegen de internetgiganten.
Al hebben lidstaten minder macht dan de commissie, toch kunnen ze gemeen bijten. Daarom trekken Nederland, België en Duitsland samen op in een onderzoek naar onrechtmatig gebruik van gegevens.
In september van dit jaar zal de eerste jaarlijkse controle plaatsvinden van het privacyverdrag dat vorig jaar tussen de EU en Verenigde Staten werd gesloten, het zogeheten privacyschild. Het privacyschild is sinds juli 2016 van kracht en in plaats gekomen van de Safe Harbour-overeenkomst, die het Europees Hof van Justitie op 6 oktober 2015 ongeldig verklaard. Het heeft als doel bij uitwisseling van persoonsgegevens met de VS een beschermingsniveau te bieden dat in grote lijnen overeenkomt met het niveau binnen de Europese Unie.
De Europese privacytoezichthouders, verzameld in de Artikel 29-werkgroep (WP29), benadrukken dat tijdens deze controle onder meer aandacht moeten worden besteed aan de wijze waarop de ombudspersoon zal gaan werken. Bij de ombudspersoon kunnen klachten worden ingediend over de mogelijke verwerking van persoonsgegevens door de Amerikaanse inlichtingen- en veiligheidsdiensten.
