De oude privacyrichtlijn 95/46/EC is niet meer van deze tijd. Daarom is de privacybescherming grondig herzien. Resultaat daarvan is de General Data Protection Regulation (Algemene verordening gegevensbescherming, AVG), die in 2016 door het Europees Parlement is aangenomen en 25 mei 2018 ingaat.
De nieuwe richtlijn heeft impact op elk bedrijf dat zaken doet in de Europese Unie. Allereerst zijn flinke investeringen nodig om te voldoen aan de nieuwe wetgeving. Ook is het noodzakelijk gaten te dichten. Graag deel ik enkele zaken warin de AVG niet voorziet. Gegevens die zijn geanonimiseerd en dus niet te herleiden naar een persoon genieten geen bescherming. Dat lijkt waterdicht, maar klopt dat wel? Er is veel wetenschappelijk onderzoek beschikbaar om de conclusie te rechtvaardigen dat het anonimiseren van persoonsgegevens theoretisch en praktisch onmogelijk is. Het is moeilijk een goede manier te vinden om gegevens te anonimiseren en vele mogelijkheden zijn niet sluitend. Daardoor bieden geanonimiseerde bestanden vaak toch voldoende aanknopingspunten om gegevens te herleiden. Verder blijkt in de praktijk dat dit ook geldt wanneer een partij beschikt over of toegang heeft tot gegevens uit andere bronnen. Paul Ohm haalt hiervan voorbeelden aan in zijn verslag van verschillende succesvolle pogingen om gegevensbestanden opnieuw te identificeren.
Geëxporteerde gegevens
Naar niet-EU-staten (of Europese Economische Ruimte, EER) geëxporteerde gegevens genieten in theorie dezelfde bescherming als gegevens die in de EU zijn gebleven. Wie toezicht moet houden op die gegevens is onduidelijk. De naleving van de basisvoorwaarden voor internationale dataverwerking vanuit de EU laat dus te wensen over. Het is uiterst moeilijk, zo niet onmogelijk, voor Europese burgers hun rechten uit te oefenen zodra gegevens de EU uit zijn. Dit verandert niet met de nieuwe Europese verordening gegevensbescherming. In het bijzonder geldt dit voor bedrijven die diensten via internet aanbieden maar niet in de EU (EER) zijn gevestigd. Het is niet ondenkbaar dat deze bedrijven zich compleet kunnen onttrekken aan de Europese wet- en regelgeving.
De AVG maakt duidelijk dat persoonsgegevens herleidbaar zijn naar een natuurlijk persoon. Het ‘data subject’ is altijd een natuurlijk persoon. De gegevens komen dan ook in beginsel vanwege of door die natuurlijke persoon tot stand, maar de wet regelt niets over het eigendom van de gegevens.
Dat roept de juridische vraag op wie dat wel is. Door die vraag onbeantwoord te laten kunnen bedrijven met creatieve eigen antwoorden proberen nieuwe privacyontwijkingsroutes te creëren. Door het negeren van de eigendomsverhoudingen, ontstaat de unieke situatie dat een goed (in dit geval persoonsgegevens) noch publiek of privaat hoeft te zijn. Dit verhoudt zich slecht met het gegeven dat de gegevens zijn ontstaan bij de natuurlijke persoon die ze betreffen of bij diens apparaten en dat deze bovendien onlosmakelijk aan hem of haar verbonden zijn. De maker van de gegevens is feitelijk de natuurlijke persoon, maar die staat het eigendomsrecht dat voortvloeit uit het maken van de gegevens direct en contractloos af aan de verzamelaar. Volgens prof. Ali M. Al-Khouri van onder andere het British Institute of Technology & E-commerce, is het dringend noodzakelijk deze situatie in wettelijke kaders te vatten.
Waar de databeschermingsverordening ook niet in voorziet is de mogelijkheid dat een gegevensverzamelaar zichzelf namens een betrokkene volmachtigt voor het verwerken ervan. Daardoor krijgt deze feitelijk dezelfde rechten als betrokkene had over de gegevens, inclusief de mogelijkheid toestemming te verlenen namens de betrokkene. Daarmee komt de wetgeving voor gegevensbescherming buitenspel te staan. Uiteindelijk is de burger in de praktijk de dupe. Om een bedrijf hierop aan te spreken is een rechtsgang noodzakelijk, wat kan resulteren in buitengewoon hoge kosten.
Gepubliceerd in Speakers Academy Magazine 2018 | p 193 | auteur: Ahmed Aarad
Vraag dit magazine gratis aan.