Overzicht Actueel

Nieuwe Europese privacyregels stap dichterbij

Vrijdag 15 maart bereikte de Europese Raad van Ministers een gedeeltelijk akkoord over twee belangrijke hoofdstukken uit de Europese Privacyverordening. Daarmee lijkt het grote struikelblok van de one-stop-shop beslecht. Lidstaten vinden het principe dat een multi-national bij overtredingen maar met één leidende toezichthouder hoeft te onderhandelen een aanslag op de eigen soevereiniteit (en schatkist). Nu is men een vrij complex systeem overeengekomen, waarbij zowel de hoofdtoezichthouder als alle andere toezichthouders die klachten hebben ontvangen een zaak kunnen onderzoeken.

One-stop-shop
Het idee van de one-stop-shop is dat een multinational bij grensoverschrijdende zaken met één leidende toezichthouder te maken heeft. Maar daar is nu water bij de wijn gedaan. Op basis van de overeengekomen tekst kan zowel de leidende toezichthouder als de toezichthouder van een willekeurige lidstaat waar klachten zijn ingediend een onderzoek instellen. Hierbij kunnen de toezichthouders samenwerken, maar bestaat nog steeds het risico dat verschillende toezichthouders bij eenzelfde overtreding tot verschillende beslissingen komen. De sector verenigd in de Industry Coalition for Data Protection vindt dit mechanisme omslachtig en vreest dat de werkwijze leidt tot “onnodige administratieve lasten voor alle betrokkenen, waaronder Europese burgers, die langer op een beslissing zullen moeten wachten.”

Marketing kan nog opt-out
Naast de one-stop-shop (hoofdstuk VI en VII) heeft de Raad ook overeenstemming bereikt over hoofdstuk II met daarin de algemene beginselen voor gegevensbescherming. Belangrijk is dat gegevensverzameling voor marketing nog altijd mag zonder voorafgaande toestemming (opt-out). DDMA heeft hier altijd voor gepleit. DDMA-voorzitter Henry Meijdam: “Opt-out toegang tot data is van groot belang voor nieuwe markttoetreders en het MKB. Zij verwerken persoonsgegevens om hun producten via marketing onder de aandacht te brengen van potentiële kopers. Hierdoor kunnen ze concurreren met bestaande aanbieders die al een grote klantdatabase hebben.”

De opt-out is geen vrijbrief voor ongelimiteerd datagebruik. Het gebruik van deze gegevens is te allen tijde begrensd door de verplichting uit de E-Privacyrichtlijn om voorafgaande toestemming te vragen voor het gebruik van deze gegevens voor alle vormen van online marketing en de bepaling uit de verordening dat iedere burger zich eenvoudig en kosteloos moet kunnen afmelden voor het gebruik van zijn data om hem reclame toe te zenden (Recht van Verzet).

Vervolg
De Raad van Ministers bespreekt in de komende periode de hoofdstukken III en VIII over de rechten van burgers bij dataverzameling en sancties en toezicht. Pas als zij over alle hoofdstukken overeenstemming hebben, wordt de tekst aangenomen. Tot die tijd kunnen ook besproken hoofdstukken weer herzien worden. Als de volledige tekst is aangenomen, begint de zogenaamde Triloog. Hier gaan zowel de Europese Commissie als het Europees Parlement als de Raad van Ministers met elkaar onderhandelen om tot een definitieve verordening te komen. Eerder al spraken de partijen de hoop uit dat dit 2015 zal gebeuren. DDMA houdt ondertussen vinger aan de pols in Brussel. Als de Verordening wordt aangenomen, is er nog een implementatietermijn van twee jaar en 20 dagen zodat organisaties zich kunnen voorbereiden op de veranderingen.