Privacy en Innovatie in Balans

Privacy en Innovatie in Balans
Peter Hustinx
Jaarcongres ECP
20 november 2014, Den Haag
Sense of urgency
• Digitale Agenda: vertrouwen, informatieveiligheid en
privacybescherming in het hart van de agenda
• "Digital Action Day": aansprekende succesverhalen,
maar weinig aandelen in privacy en dataprotectie
• "Digital Single Market": een potentieel reservoir van
€ 250 miljard extra economische groei (Juncker)
• "Data Protection Reform": essentiële voorwaarde
voor een succesvolle digitalisering (Ansip)
Drijfveren voor herziening
• Technologische ontwikkeling: meer effectieve
bescherming van burgers en consumenten nodig
• Schaalvergroting: meer consistentie nodig om te
grote diversiteit en complexiteit te verminderen
• Lissabon Verdrag: een nieuwe grondslag voor
horizontale wetgeving inzake dataprotectie
– Ook: “post-Snowden effect” en EHvJ arresten over rol van
Art. 7-8 Handvest (Digital Rights Ireland, Google Spain)
Procedure en timing
• Commissie: pakket voorstellen in januari 2012 met ontwerp
Algemene Verordening + Richtlijn voor politie en justitie
• Europees Parlement:
 4000 amendementen > LIBE voorbereiding compromis AMs
 in eerste lezing met grote meerderheid aanvaard in maart 2014
• Raad onder CY/IE/LT/GR/IT voorzitterschap:
 grote delen behandeld > “gedeeltelijk algemene benadering“
 slotconclusies verwacht in maart 2015
• Onderhandelingen ("trilogues“ met COM) direct van start
• Afsluiting vóór het einde van 2015 > in werkingtreding in 2017
Kernpunten van herziening
• Grote continuïteit van begrippen en beginselen
• Meest opvallende wijzigingen:






Een direct werkende Verordening in alle lidstaten
Uitbreiding van territoriale werkingssfeer
Sterkere rechten voor betrokkenen
Grotere verantwoordelijkheid voor organisaties
Sterkere mogelijkheden voor toezicht en handhaving
Meer samenwerking en consistentie in de EU
Reikwijdte en definities
• Territoriale werkingssfeer
 EU organisaties: in de context van de activiteiten van een vestiging
 niet-EU organisaties: aanbieden van goederen of diensten aan
personen gevestigd in EU of volgen van gedrag van deze personen
• Persoonsgegevens
 elke informatie betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon - direct of indirect – met redelijke middelen,
hetzij door de verantwoordelijke, hetzij door een derde partij
 lopende discussies over anonieme / pseudonieme gegevens
 informatie over objecten kan ook personen betreffen
 identificeren > “singling out” (zie WP29 advies 4/2007)
Algemene beginselen
• Expliciete toestemming + uitwerkingen (bijv. bewijslast)
• Andere grondslagen voor verwerking – sleutelrol voor
gerechtvaardigd belang (WP29 advies 6/2014)
• Doelbinding: verenigbaar gebruik (WP29 advies 3/2013)
• Beginsel van verantwoordelijkheid > verantwoordelijke
moet nakoming verzekeren en kunnen bewijzen
• Transparantie: tijdige en begrijpelijke informatie
• "Data minimisation“: alleen noodzakelijke gegevens
Rechten voor betrokkenen
• Effectieve uitoefening van rechten (inzage, correctie)
in de hele EU
• Sterker recht op verwijdering
– Zie ook nu al EHvJ in Google Spain
• Recht op overdraagbaarheid
• Sterker recht op bezwaar
– Verschuiving van de bewijslast
• Meer transparantie
• Ruimte voor collectieve acties
Verantwoordelijke & verwerker
•
•
•
•
Continuiteit rollen: mede-verantwoordelijken / verwerkers
Verantwoordelijkheid: verzekeren - bewijzen - verifiëren
“Privacy-by-design / default” als nieuw beginsel
Passende maatregelen > specifieke eisen (documentatie,
beveiliging, impact assessment, controle vooraf, DPO)
• Invloed context: proportionaliteit - schaalbaarheid?
• Uitzonderingen nodig, maar wat geldt er in dat geval?
Administratieve lasten
•
•
•
•
"Red tape" ≠ effectiviteit
Veel minder aanmelding en "one-stop-shop"
Raad volgt "progressive risk-based approach"
Meer ruimte voor zelfregulering and certificering
Publieke sector
• Verordening zal ook gelden voor overheid, zoals
huidige Richtlijn 95/46/EG
• Horizontale consistentie is nodig (geen onnodige
uitzonderingen)
• Extra ruimte voor specificatie en enkele bijzondere
onderwerpen
Sterker toezicht: uniforme bevoegdheden
• Uniforme waarborgen voor onafhankelijk toezicht
(conform EHvJ case law)
• Effectieve administratieve (boete) sancties, maar
meer flexibiliteit is vereist
• "Remedial powers" maar flexibiliteit en
beoordelingsruimte zijn nodig
Bevoegdheid van nationale DPA
• Bevoegdheid DPA: nationaal met EU dimensie
• Groeiende behoefte aan samenwerking over grenzen
• "Lead DPA" ≠ exclusieve bevoegdheid
 "One-stop-shop” voor bedrijven / betrokkenen
• Samenwerking met betrokken DPAs > collectieve
verantwoordelijkheid?
• Effectieve EDPB > bevorderen van consistentie
Gegevensverkeer naar derde landen
• Alleen bij passende bescherming in derde land
– Meer flexibiliteit voor beslissingen van COM
• Zo niet: instrumenten voor "adequacy ad hoc"
– Standaard contracten (C-C of C-P)
– Binding Corporate Rules (BCR +)
• Specifieke uitzonderingen (restrictief)
• "Interoperability" met andere kaders (OESO, APEC)
Tenslotte
• Steeds relevanter
– "Privacy ….. a hot issue“
• Privacy en veiligheid
– "Building in from the start"
• Effectiviteit in de praktijk
– "Trust in Information Society“
• Investeren in privacy
– "Anticipation of success"
Bedankt voor uw aandacht!
Verdere informatie:
www.edps.europa.eu
[email protected]
@EU_EDPS

Download Report