Print:

Interview met Prof. Lokke Moerel omtrent EPV

Steffie Bom , Tekstschrijver

LinkedIn profiel

Europese Privacy Verordening : onnodig gecompliceerd

Dankzij de Europese Privacy Verordening (EPV) gelden straks in Europa dezelfde privacyregels. “Het biedt goede bescherming aan Europese burgers, maar had voor het bedrijfsleven op sommige punten praktischer mogen zijn”, aldus Prof. Lokke Moerel – Senior Of Counsel van Morrison & Foerster, tevens professor Global ICT law, Universiteit van Tilburg.

Vooruitgang

Door alle digitale ontwikkelingen volstond de uit 1995 daterende Europese privacyrichtlijn niet meer. Bovendien vormden de verschillende regels die in de Europese lidstaten golden als een belemmering voor grensoverschrijdende bedrijven. Moerel ziet de komst van de EPV dan ook als een vooruitgang. “De nieuwe regels zijn nu in ieder geval eenduidig. Bedrijven weten beter waar ze aan toe zijn, al blijven er aandachtspunten.”

Privacy impact assessment: nog een grijs gebied

Zo bepaalt artikel 34 van de EPV dat, wanneer sprake is van gegevensverwerking met een hoog risico voor de privacy, de verantwoordelijke (voorafgaand aan de verwerking) het effect op de privacy moet beoordelen. Dit wordt ook wel een Privacy Impact Assessment (PIA) genoemd. Deze moet vervolgens ter consultatie aan de Autoriteit Persoonsgegevens worden voorgelegd.

De PIA vergt een inventarisatie van de doeleinden en belangen die met de verwerking zijn gemoeid. Wat de impact daarvan is op de privacy van de betrokken individuen, moet ook geïnventariseerd worden. Vervolgens dient de verwerker de noodzakelijkheid en proportionaliteit van de verwerking van de gegevens te beoordelen. Ook dient zij de mitigerende maatregelen, die worden getroffen om de impact te beperken, vast te leggen. Feitelijk dient het bedrijf dus een belangenafweging uit te voeren en deze vast te leggen.

“Wat veel bedrijven zich niet realiseren is dat de PIA verplicht is. Zelfs als de burger vooraf toestemming heeft gegeven voor het verwerken van bijvoorbeeld medische gegevens. Er is dan wel een grondslag voor de verwerking van de betreffende medische gegevens, het ontslaat het bedrijf niet van de plicht de PIA uit te voeren en de impact op de privacy te mitigeren (bijvoorbeeld door het pseudonimiseren van data). Als de belangenafweging negatief uitvalt, zal de verwerking niet zijn toegestaan, dit ondanks dat toestemming is verkregen. Er is nog een grijs gebied als het gaat om de vraag wanneer je nu wel of niet een PIA moet uitvoeren en welke mitigerende maatregelen afdoende zijn. De praktijk zal moeten uitwijzen waar de grens ligt.”

Toestemming

Een andere belangrijke bepaling waarvan de impact gemakkelijk over het hoofd kan worden gezien, is artikel 7 lid 4. Hier wordt bepaald dat bij het beoordelen van de vraag of toestemming voor een verwerking vrijwillig is gegeven, in aanmerking moet worden genomen of een overeenkomst of het leveren van een dienst afhankelijk is gemaakt van het geven van toestemming voor verwerkingen van persoonsgegevens, die niet noodzakelijk zijn voor de uitvoering van de betreffende dienst/contract.

Veel bedrijfsmodellen op het internet zijn hier niet op ingericht. Bedrijven leveren diensten vaak gratis aan. In ruil daarvoor dient de gebruiker akkoord te gaan met voorwaarden waarin is bepaald dat zijn of haar gegevens mogen worden gebruikt voor commerciële doeleinden. Als je de voorwaarden niet accepteert, kom je de website niet op. “Zoals het er naar uitziet staat de EPV dit niet langer toe en websites dienen hierop aangepast te worden.”

Niet praktisch

Moerel vindt de EPV onnodig gecompliceerd. “Ervaringsfeit is dat als regels te ingewikkeld zijn en het nut niet goed duidelijk is, mensen minder geneigd zijn om de regels na te leven. Dat zagen we al bij de Europese Privacyrichtlijn. Mensen hadden al moeite om deze regels goed te begrijpen, omdat veel bepalingen cumulatief van toepassing zijn. De EPV brengt hier geen verbetering. De EVP is driemaal de omvang van de Privacyrichtlijn en het systeem is er alleen maar ingewikkelder op geworden. Dit is geen goede voorbode voor naleving in de praktijk. De EPV voegt nog meer cumulatieve vereisten toe. Zo zijn er de specifieke regels voor de verwerking van bijzondere categorieën gegevens, hetgeen onder meer is toegestaan als er toestemming is. Maar in feite legt de PIA dan nog weer een extra en andere toets op. Voor bedrijven is dit lastig te begrijpen en toe te passen.”

2025: één toets

Voor de toekomst pleit Moerel voor één overzichtelijke toets voor alle soorten data. “Denk aan een stappenplan dat bedrijven moeten doorlopen, waarin alle vereisten van de EPV zijn verwerkt. Centraal zou moeten staan of de verwerking van de persoonsgegevens – met inachtneming van alle belangen – gerechtvaardigd is. Ook moet het omvatten welke mitigerende maatregelen de verantwoordelijke moet treffen, om de privacy zo veel als mogelijk te beschermen. Belangrijk hierbij is ook om grenzen te stellen. Lukt het niet om afdoende mitigerende maatregelen te treffen, dan moet de betreffende dataverwerking verboden worden.”

Volgens Moerel moeten we af van het systeem dat verwerkers van gegevens rechtmatig handelen door individuen te informeren en hen te laten klikken op “OK”, terwijl we tegelijkertijd vaststellen dat voor de betreffende gegevensverwerking geen zorgvuldige weging van de verschillende belangen heeft plaatsgevonden. “De privacywetgeving dient zijn grensstellend karakter te hervinden. Het is nu verworden tot een ‘mechanisch proceduralisme’, waarbij verantwoordelijken mechanisch individuen informeren en hun toestemming verzamelen, zonder daadwerkelijke privacybescherming te bieden.”

Lokke Moerel is als spreker verbonden aan het congres ‘Implementatie Europese Privacy Verordening’ op 20 april 2016. Mis haar visie over privacy anno 2025 niet!