Enthousiast over afschaffing meldplicht
In de nieuwe verordening wordt de huidige meldplicht afgeschaft. De Minister is hierover te spreken:
3. De leden van de VVD-fractie vragen, kort weergegeven, hoe de regering aankijkt tegen de afschaffing van de meldplicht voor verwerkingen van persoonsgegevens en de gelijktijdige toename van de verplichtingen voor verantwoordelijken. Zij vragen of deze verplichtingen niet onnodig veel administratieve lasten met zich brengen?
– Het is een winstpunt dat de verordening de meldplicht voor de verwerkingen van persoonsgegevens afschaft. Ik ben het met de Commissie eens dat de afschaffing van die verplichting leidt tot een substantiële vermindering van administratieve lasten.
Daartegenover komt een verderstrekkende verplichting tot het betrachten van transparantie te staan:
Het is inderdaad zo dat de afschaffing van de meldplicht vergezeld gaat van een uitbreiding van de informatieverplichting van de verantwoordelijke. Dat is op zichzelf genomen wel verklaarbaar. Aan de verordening ligt het accountabilitybeginsel ten grondslag. Dit beginsel vergt dat verantwoordelijken niet via de overheid, maar zelfstandig duidelijk maken aan betrokkenen welke persoonsgegevens voor welke doeleinden worden verwerkt, hoe lang ze worden bewaard en aan wie ze worden doorgegeven. Daarbij hoort dat ook enige basale informatie wordt verstrekt over de bereikbaarheid van de verantwoordelijke en de manier waarop hij de verordening uitvoert. Dat is in beginsel gerechtvaardigd.
Maar waken voor al te veel administratieve lasten voor verantwoordelijken
De Minister vraagt zich wel of of die verplichting om transparantie te betrachten, samen met alle andere verplichtingen, niet in sommige gevallen doorschiet:
Het is echter de vraag of het totale pakket aan verplichtingen van de verantwoordelijke zonder meer voor elke verantwoordelijke, ongeacht de aard van de organisatie en de aard van de verwerking moet gelden. Het gaat daarbij niet alleen om de informatieplicht, maar ook om verplichtingen als het aanstellen van een FG, het houden van privacy impact assessments en het vooraf laten toetsen van verwerkingen door de toezichthouder. Ik kan mij voorstellen dat de daarmee gemoeide lasten niet in volle omvang op elke verantwoordelijke moeten rusten, maar afhankelijk moeten zijn van het met de verwerking gemoeide specifieke risico.
Kennelijk wil de Minister waken voor overregulering. Die kritiek op de voorgestelde verordening is ook wel elders te horen. Deze discussie zal dan ook ongetwijfeld ook op Europees niveau gevoerd gaan worden bij de behandeling van het voorstel.
Privacy by design goed uitgangspunt, maar niet te veel nadere regels
Er zijn verder vragen gesteld door de kamerleden over het uitgangspunt van privacy by design en privacy by default. De Minister lijkt op zichzelf over deze uitgangspunten te spreken, aangezien hij de verschillende elementen van privacy by design allemaal "van belang" acht. Tegelijk merkt hij ook hier op dat de wetgever niet zou moeten doorschieten in het opleggen van te veel gedetailleerde regels. Er zou juist ruimte moeten worden gelaten voor de eigen invulling door de verantwoordelijken:
Het is mij nog onduidelijk welke regels de Commissie in gedachte heeft. Ik vraag mij overigens wel af of het zinvol is dit artikel in nadere regelgeving uit te werken. De hele bepaling ziet op alle denkbare vormen van gegevensverwerking en geeft de verantwoordelijke bij de invulling veel vrijheid. Ik ben van oordeel dat overheid en bedrijfsleven de vrijheid moet worden gelaten bij het ontwikkelen van privacy by design. Nadere regelgeving verhoudt zich bovendien slecht tot de afweging die verantwoordelijk krachtens het eerste lid moet maken, rekening houdend met de stand van de techniek en kosten van uitvoering.
Ook hiervoor geldt dat dit punt ongetwijfeld ingebracht zal gaan worden tijdens de behandeling van de voorgestelde nieuwe verordening.
Vragen BOF over interpretatie begrip "persoonsgegevens"
De Eerste Kamer heeft ook enkele vragen gesteld naar aanleiding van een brief van Bits of Freedom (BOF). In die brief stelt BOF onder meer voor om expliciet op te nemen dat ook gegevens die personen individualiseren (maar nog niet altijd identificeren) hebben te gelden als persoonsgegevens. Daarbij kan dan onder meer gedacht worden aan de techniek van device fingerprinting.
De verordening gaat bij de definitie van het begrip 'persoonsgegeven' uit van identificeerbaarheid, oftewel het verbinden van een naam aan een persoon. Gebruikers kunnen op basis van unieke nummers en (online) gedrag echter steeds vaker geïndividualiseerd (onderscheiden van de rest) worden zonder dat ze ook worden geïdentificeerd. Ook individualisering kan er toe leiden dat personen in het maatschappelijk verkeer anders worden beoordeeld. Het begrip 'persoonsgegeven' moet daarom worden uitgebreid en ook gegevens omvatten waarmee een individu kan worden onderscheiden van anderen.
Advies De verordening moet worden aangepast zodat gegevens waarmee een persoon van anderen kan worden onderscheiden ook worden beschouwd als persoonsgegevens.
Zo verrassend is dat advies van BOF overigens helemaal niet, want ook de artikel 29 werkgroep heeft in het advies 4/2007 over het begrip persoonsgegevens een soortgelijk advies uitgebracht. Ook in dat advies wordt in feite gewezen op het bestaan van de techniek van device fingerprinting:
Bij “indirect” geïdentificeerde of identificeerbare personen gaat het doorgaans om een klein of groot aantal “unieke combinaties”. In gevallen waarin het op het eerste gezicht niet mogelijk is met de beschikbare identificatiemiddelen één bepaalde persoon te onderscheiden, kan die persoon wellicht toch “identificeerbaar” zijn doordat aan de hand van die informatie in combinatie met andere gegevens (die al dan niet bij de voor de verwerking verantwoordelijke berusten) de betrokkene van andere personen kan worden onderscheiden.
(...)
Hier moet worden opgemerkt dat hoewel identificatie door middel van de naam in de praktijk het meest voorkomt, de naam niet in alle gevallen noodzakelijk is om een persoon te identificeren. Dit is het geval wanneer andere identificatiemiddelen worden gebruikt om iemand van anderen te onderscheiden. In computerbestanden waarin persoonsgegevens zijn opgenomen, wordt aan de geregistreerde personen doorgaans een unieke identificatiecode toegewezen om verwisseling van personen in het bestand te voorkomen. Op het world wide web is het met behulp van bewakingsinstrumenten voor het webverkeer eenvoudig om het gedrag van een machine te identificeren en daarmee ook van de gebruiker ervan. De persoonlijkheid van de betrokkene kan op deze wijze worden achterhaald, zodat bepaalde besluiten aan hem of haar kunnen worden toegeschreven. Zonder zelfs maar naar de naam en het adres van de persoon te vragen, kan de betrokkene worden ingedeeld aan de hand van
sociaaleconomische, psychologische, filosofische of andere criteria en kunnen bepaalde beslissingen aan hem of haar worden toegeschreven, omdat het voor het contactpunt voor de persoon (de computer) niet langer nodig is zijn of haar identiteit in enge zin bekend te maken. Met andere woorden, de identificatie van een persoon vereist niet langer het vermogen zijn of haar naam te achterhalen. De definitie van “persoonsgegeven” weerspiegelt ook dit feit.
Minister: begrip persoonsgegevens niet te veel oprekken
De Minister wenst echter niet mee te gaan in deze ruime opvatting van het begrip persoonsgegevens:
De leden van de PvdA-fractie vragen of de regering de opvatting deelt van Bits of Freedom dat gegevens waarmee personen zich van andere personen onderscheiden ook als persoonsgegevens moeten worden beschouwd en als zodanig in de verordening zouden moeten worden opgenomen?
– Het begrip «persoonsgegeven» is in de praktijk van de bestaande richtlijn onder omstandigheden al een moeilijk te hanteren begrip. Ik denk dat het, vooral met het oog op de positie van de voor de verwerking van persoonsgegevens verantwoordelijken, niet verstandig is dat begrip verder uit te breiden met een categorie die zich bijzonder moeilijk laat afgrenzen. Het aantal interpretatieproblemen zou daardoor toenemen.
Volgens de Minister van Justitie zou de privacyverordening (en in feite ook de huidige privacywetgeving) dus niet van toepassing moeten zijn op device fingerprinting.
Opvatting Justitie en Economische Zaken lijkt lastig met elkaar te rijmen
De opvatting van de Minister is opvallend, omdat de collega-minister van Economische Zaken eerder in antwoord op kamervragen heeft gesteld dat de nieuwe cookiewet - die verwant is aan het privacyrecht - juist wel van toepassing is op device fingerprinting:
Als deze adverteerder bijvoorbeeld op verschillende sites advertentiebanners plaatst, kan hij de fingerprints van de computers waarmee die sites zijn bezocht verzamelen. Door die gegevens te analyseren kan hij afleiden welke sites de (verder ongeïdentificeerde) bezoeker achter een bepaalde fingerprint heeft bezocht. Hierbij wordt dus surfgedrag gevolgd aan de hand van informatie die wordt gelezen van de computer van een gebruiker. Artikel 11.7a is niet alleen van toepassing op het plaatsen van gegevens op de randapparatuur van een gebruiker, maar ook op het verkrijgen van toegang tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker. Ook het gebruik van device fingerprinting valt daarom onder artikel 11.7a.
In die nieuwe cookiewet staat bovendien - dankzij amendement 39 - in artikel 11.7a lid 1 Tw dat zodra gegevens worden verzameld met als doel "gegevens over het gebruik van verschillende diensten van de informatiemaatschappij door de gebruiker of de abonnee te verzamelen, combineren of analyseren voor commerciële, charitatieve of ideële doeleinden", dit wordt vermoed een verwerking van persoonsgegevens te zijn. Aangezien device fingerprinting nu juist gedaan wordt om het gebruik van online diensten te kunnen meten en analyseren, zal dit dus betekenen dat op grond van Nederlands recht (in de visie van de Minister van Economische Zaken) nagenoeg alle vormen van device fingerprinting worden vermoed een verwerking van persoonsgegevens met zich mee te brengen.
De uitkomst van dit alles is lastig meer uit te leggen aan de buitenwereld: aan de ene kant de Minister van Economische Zaken die de cookiewet ruim uitlegt (in mijn visie: [intlink id="9001" type="post"]oprekt[/intlink]) waardoor (dankzij amendement 39) device fingerprinting in beginsel onder het regime van de Wet Bescherming Persoonsgegevens komt, terwijl aan de andere kant de Minister van Justitie en Veiligheid juist principieel het begrip persoonsgegevens niet te ruim wenst te interpreteren en device fingerprinting in ieder geval niet onder het regime van de Wet Bescherming Persoonsgegevens wenst te hebben. Hoe kunnen twee ministeries zo fundamenteel verschillen over de uitleg van kernbegrippen uit het privacyrecht? Ik ben erg benieuwd of en zo ja hoe deze discussie een verder vervolg krijgt.
