Interview met Hielke Hijmans

Vier vragen over de Europese Privacy Verordening (EPV) aan Hielke Hijmans, openings key-note op het Nationaal Congres Implementatie Europese Privacy Verordening.

Hielke is speciaal adviseur bij de Europese Toezichthouder voor de Gegevensbescherming (EDPS) en als onderzoeker verbonden aan VUB en UvA. Onlangs is hij gepromoveerd op een proefschrift over de taak van de Europese Unie om privacy op internet  te beschermen.

Hoe lang ben je al bezig met de EPV?

Ruim 9 jaar ben ik betrokken bij de ontwikkelingen van de Verordening. Ik vertel graag dat we bij de EDPS aan de basis stonden van het proces. In 2007 heeft de EDPS een advies uitgebracht aan de Europese Commissie over de implementatie van de huidige richtlijn, waarin we precieze voorstellen deden over modernisering. Na een lange consultatieperiode is, begin 2012, er een voorstel naar de Raad en het Parlement gegaan. Het project leek eerst te stranden, vanwege het vaak ingewikkelde en controversiële karakter, maar ook domweg door te weinig belangstelling. De Snowden-onthullingen in 2013 hebben de ontwikkelingen weer aangejaagd. In bijna 10 jaar is bescherming van privacy en een correcte omgang met persoonsgegevens van een niche onderwerp, met nauwelijks een serieuze rol bij de beleidsontwikkeling, uitgegroeid tot een prominent dossier op de Europese agenda.

Wat waren de grootste struikelblokken bij de totstandkoming?

Daar valt veel over te zeggen. Wat in elk geval opmerkelijk is dat bij de drie grootste lidstaten om verschillende redenen weerstand lag:

• De Duitsers vonden de Verordening niet ver genoeg gaan, vooral voor de publieke sector. Duitsland heeft uitvoerige bestaande privacy regelgeving, vooral op het niveau van de deelstaten, met strenge eisen. De Duitse regering stelde lang dat de nieuwe Verordening al deze regels harmoniseert, maar niet op het strengste niveau. Zij vroeg om flexibiliteit bij toepassing van de strenge eisen voor haar publieke sector. De opstelling van de Duitse vertegenwoordiger in de Raadswerkgroep werd als star gezien. Naar verluidt, ik spreek van horen zeggen, was dit de reden deze vertegenwoordiger te vervangen door een soepeler persoon. Zo werden de ontwikkelingen minder vertraagd.
• De Engelsen zien gegevensbescherming als een economisch probleem en vreesden vooral de hoge administratieve lasten. De risk based approach die in de huidige tekst zit is mede hun aandeel en strekt ertoe de Verordening minder prescriptief te maken.
• De Fransen waren voor, maar waren van mening dat het toezicht niet teveel naar het Europese niveau zou moeten gaan. Dit zou de soevereiniteit in gevaar brengen. De Franse nationale toezichthouder (CNIL) kon hierdoor niet behoorlijk functioneren bij het beschermen van de Franse burgers, zo luidde de stelling.

Er waren dus 3 grote EU-landen die om verschillende redenen moeite hadden met de EPV en de tekst van de Verordening. Nederland heeft overigens loyaal meegewerkt.   

Zijn bepaalde landen voortrekker geweest? Welke landen bleven achter?

Er zijn geen specifieke landen aan te wijzen die voortrekker zijn geweest of structureel achter bleven. Het Europees Parlement heeft tijdens de ontwikkeling de grootste druk gezet om de Verordening voor elkaar te krijgen, mede dankzij het onverzettelijke werk van de rapporteur, de Duitse Groene Jan Philipp Albrecht.

Wat is volgens jou de grootste uitdaging bij het implementeren van de EPV?

Er zijn een hele reeks aan uitdagingen binnen de EPV. De uitdagingen zitten niet zozeer in de rechten & beginselen van de datasubjects, maar vooral in de hoofdstukken over het handhavingsdeel. Zo moet de rol van dataprotectie autoriteiten substantieel veranderd worden.

Het hoofdstuk “Verwerker & verantwoordelijke” schrijft alles heel precies voor, maar is daardoor ook vaag. Er zal vaak precies moeten worden aangeven: wat is een risico, wat is een groot risico? Dat zal erg ingewikkeld zijn. Aan het eind van de Verordening zit een aantal bepalingen waarin lidstaten veel ruimte krijgen hoe ze bv de balans moeten trekken tussen de vrijheid van meningsuiting en gegevensbescherming. Dat is aan de lidstaten gelaten. Ik weet niet wat de Europese Commissie gaat doen om te voorkomen dat de regels hierover teveel gaan uiteenlopen.

Een uitdaging voor de Nederlandse wetgeving is dat de Wbp vervangen worden door een heel nieuw type wet, die vooral uitvoering bevat en niet langer de beginselen van gegevensbescherming regelt. Dat doet de rechtstreeks toepasselijke Verordening namelijk straks.

De lidstaten zullen de implementatie moeten oppakken. De dataprotectie autoriteiten moeten zich gereed maken voor de nieuwe fase. Bedrijven moeten hun verantwoordelijkheid nemen. Net als de publieke sector als verwerker van persoonsgegevens. De implementatie van de Verordening mag niet onderschat worden. 

Het proefschrift van Hielke Hijmans

Geplaatst op: 29 maart 2016