Op het moment van schrijven wordt nog gewacht op de officiele bekrachtiging van de nieuwe regels door de Commissie. Duidelijk is echter wel dat de Commissie het eens is met het voorstel na de laatste amendementen van het Europees Parlement en de Europese Raad dit op 26 oktober 2009 bekrachtigd heeft, zodat vermoedelijk over 18 maanden (=26 april 2011) de wetgeving in alle lidstaten moet zijn aangepast.Deze eerste (korte) analyse is gebaseerd op de tekst die op de website van het Europese Parlement te vinden is.
Onder de nieuwe regels moeten telefonie- en internetaanbieders nog meer informatie aan de consumenten verstrekken. Voor een volledig overzicht van de informatieverplichtingen verwijs ik graag naar de nieuwe richtlijn. Het volgende valt op:
- wanneer gebruik wordt gemaakt van "procedures om het verkeer te meten en te sturen" (vaak traffic shaping genoemd), moet dit gemeld worden. Het recente tumult over "afknijpen" bij UPC heeft laten zien dat er kennelijk behoefte bestaat aan dergelijke transparantie;
- de aanbieder moet aangeven welke actie door haar kan worden ondernomen in reactie op beveiligings- en integriteitsincidenten of bedreigingen en kwetsbaarheden (beveiligingsbeleid).
Verder valt op dat nummerportering voortaan binnen 1 werkdag plaats moet vinden. Dat is een fors kortere termijn dan op dit moment geldt. De OPTA vindt op dit moment een termijn van maximaal 10 werkdagen nog voldoende (pdf).
Wellicht wel het meest opvallende ten slotte (zie ook de berichtgeving van Webwereld), is de verplichting voor aanbieders van openbare elektronische communicatiediensten om bij een zogenaamde "inbreuk in verband met persoonsgegevens":
- dit altijd zonder onnodige vertraging te melden aan de bevoegde nationale instantie(s);
- dit bij de betrokkene te melden
- indien dit "waarschijnlijk ongunstige gevolgen zal hebben voor de persoonsgegevens en persoonlijke levenssfeer" van de betrokkene;
- maar niet indien gepaste beveiligingsmaatregelen zijn getroffen, die in ieder geval bestaan uit het versleuteld opslaan van de gekraakte gegevens.
Onder een inbreuk wordt verstaan iedere onwettige vernietiging, wijziging, niet-geautoriseerde vrijgave van of toegang tot persoonsgegevens die door de aanbieders worden beheerd .
De praktijk zal moeten uitwijzen hoe deze verplichting zal gaan uitwerken. Op voorhand kan al wel gezegd worden dat het vermoedelijk de nodige vragen op zal gaan roepen. Wanneer is bijvoorbeeld sprake van een inbreuk die "waarschijnlijk ongunstige gevolgen zal hebben voor de persoonsgegevens en persoonlijke levenssfeer"? De evidente gevallen zijn niet zo moeilijk voor te stellen (ik denk bijvoorbeeld aan diefstal van creditcardgegevens), maar waar ligt de ondergrens?
Wat "gepaste beveiligingsmaatregelen" zijn is bovendien onduidelijk. In de privacyrichtlijn wordt nog gesproken over "passende technische en organisatorische maatregelen". Wat hieronder wordt verstaan, is niet Europees geharmoniseerd maar verschilt van land tot land (zie bijvoorbeeld [intlink id="817" type="post"]ons bericht over de Nederlandse situatie[/intlink]). Bovendien is onduidelijk welke mate van versleuteling moet worden gebruikt. De richtlijn spreekt slechts over het "onbegrijpelijk" maken van de betreffende gegevens. Een te zwakke beveliging is echter snel gekraakt, zoals bijvoorbeeld [intlink id="777" type="post"]de rechtszaak over de Mifare Classic ('OV Chipkaart')[/intlink] liet zien.
Het is dan ook afwachten hoe de toezichthoudende instanties (vermoedelijk OPTA) en uiteindelijk de rechters over deze nieuwe regels zullen oordelen.
