Print:
Redactie IIR , Trainingen & Conferenties
LinkedIn profiel
Vier vragen over de Europese Privacy Verordening (EPV) aan Hielke Hijmans, openings key-note op het Nationaal Congres Implementatie Europese Privacy Verordening.
Hielke is speciaal adviseur bij de Europese Toezichthouder voor de Gegevensbescherming (EDPS) en als onderzoeker verbonden aan VUB en UvA. Onlangs is hij gepromoveerd op een proefschrift over de taak van de Europese Unie om privacy op internet te beschermen.
Ruim 9 jaar ben ik betrokken bij de ontwikkelingen van de Verordening. Ik vertel graag dat we bij de EDPS aan de basis stonden van het proces. In 2007 heeft de EDPS een advies uitgebracht aan de Europese Commissie over de implementatie van de huidige richtlijn, waarin we precieze voorstellen deden over modernisering. Na een lange consultatieperiode is, begin 2012, er een voorstel naar de Raad en het Parlement gegaan. Het project leek eerst te stranden, vanwege het vaak ingewikkelde en controversiële karakter, maar ook domweg door te weinig belangstelling. De Snowden-onthullingen in 2013 hebben de ontwikkelingen weer aangejaagd. In bijna 10 jaar is bescherming van privacy en een correcte omgang met persoonsgegevens van een niche onderwerp, met nauwelijks een serieuze rol bij de beleidsontwikkeling, uitgegroeid tot een prominent dossier op de Europese agenda.
Daar valt veel over te zeggen. Wat in elk geval opmerkelijk is dat bij de drie grootste lidstaten om verschillende redenen weerstand lag:
Er waren dus 3 grote EU-landen die om verschillende redenen moeite hadden met de EPV en de tekst van de Verordening. Nederland heeft overigens loyaal meegewerkt.
Er zijn geen specifieke landen aan te wijzen die voortrekker zijn geweest of structureel achter bleven. Het Europees Parlement heeft tijdens de ontwikkeling de grootste druk gezet om de Verordening voor elkaar te krijgen, mede dankzij het onverzettelijke werk van de rapporteur, de Duitse Groene Jan Philipp Albrecht.
Er zijn een hele reeks aan uitdagingen binnen de EPV. De uitdagingen zitten niet zozeer in de rechten & beginselen van de datasubjects, maar vooral in de hoofdstukken over het handhavingsdeel. Zo moet de rol van dataprotectie autoriteiten substantieel veranderd worden.
Het hoofdstuk “Verwerker & verantwoordelijke” schrijft alles heel precies voor, maar is daardoor ook vaag. Er zal vaak precies moeten worden aangeven: wat is een risico, wat is een groot risico? Dat zal erg ingewikkeld zijn. Aan het eind van de Verordening zit een aantal bepalingen waarin lidstaten veel ruimte krijgen hoe ze bv de balans moeten trekken tussen de vrijheid van meningsuiting en gegevensbescherming. Dat is aan de lidstaten gelaten. Ik weet niet wat de Europese Commissie gaat doen om te voorkomen dat de regels hierover teveel gaan uiteenlopen.
Een uitdaging voor de Nederlandse wetgeving is dat de Wbp vervangen worden door een heel nieuw type wet, die vooral uitvoering bevat en niet langer de beginselen van gegevensbescherming regelt. Dat doet de rechtstreeks toepasselijke Verordening namelijk straks.
De lidstaten zullen de implementatie moeten oppakken. De dataprotectie autoriteiten moeten zich gereed maken voor de nieuwe fase. Bedrijven moeten hun verantwoordelijkheid nemen. Net als de publieke sector als verwerker van persoonsgegevens. De implementatie van de Verordening mag niet onderschat worden.
Het proefschrift van Hielke Hijmans
Geplaatst op: 29 maart 2016
Heeft u eerder een aanvraag bij IIR gedaan?