Privacyrecht is code
Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/2.10.3:2.10.3. Een papieren tijger?
Privacyrecht is code (R&P nr. ICT1) 2010/2.10.3
2.10.3. Een papieren tijger?
Documentgegevens:
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS582442:1
- Vakgebied(en)
Civiel recht algemeen (V)
Toon alle voetnoten
Voetnoten
Voetnoten
Borking, 2008, p. 2-3.
Ribbers, Dijkman, & Borking, 2007, p. 6.
Ribbers, Tjeng, & Borking, 2008, p. 4.
Fairchild & Borking, 2008, p. 6.
Bax, 2009, p. 5.
Het volledige rapport is beschikbaar op http://ec.europa.eu/public_opinion/archives/flash_arch_en.htm.
Krisch, 2009, p. 6 http://ec.europa.eu/public_opinion/archives/flash_arch_en.htm.
De Volkskrant 25 mei 2009, Liefde en Privacy, column Forum, p. 9.
Krisch, 2009, p. 7.
Deze functie is alleen te gebruiken als je bent ingelogd.
In interviews en workshops die in het kader van deze dissertatie zijn uitgevoerd, werd op de vraag of de kans op ontdekking van het overtreden van de privacywetgeving als handhavingsbevorderend werd ervaren, vaak schouderophalend af gedaan. In het interview in Zweden bij een multinational werd door de betrokken managers na discussie over een zeer ernstig privacyincident meegedeeld, dat vier jaar procederen en enige miljoenen euro's schadevergoeding verwaarloosbaar zijn in verhouding tot de schade veroorzaakt aan de reputatie van het bedrijf: "In terms of overall impact on the business, costs are not an issue since we have to fix it to earn back trust."1
Volgens de Richtlijn 95/46/EG is de verantwoordelijke aansprakelijk, hetgeen inhoudt dat uiteindelijk de aandeelhouders voor de boetes en schadevergoedingen opdraaien. In interviews in Nederland bij twee multinationals werd op de vraag over de aansprakelijkheid zoals die in de Richtlijn 95/46/EG is geregeld als antwoord gegeven dat het veel effectiever en afschrikwekkender werd geacht, wanneer net als in de Sarbanes-Oxley Act de verantwoordelijke manager zelf aansprakelijk wordt gesteld voor de privacy inbreuken. De Sarbanes-Oxley Act van 2002 maakt CEO's en CFO's (signing officers) persoonlijk aansprakelijk, niet alleen voor de accuraatheid van hun financiële mededelingen, maar ook, conform het bepaalde in artikel 302 lid 4(A), voor: "(...) establishing and maintaining internal controls". Als iets dergelijk voor de privacybescherming in de Wbp of Richtlijn 95/46/EG zou staan, dan zou dat veel verschil kunnen maken voor de handhaving van de privacywetgeving.2 De privacy officer van een Nederlanse multinational deelde mee: "Sarbanes-Oxley makes a CEOs and CFOs manager personally liable. SOX only covers privacy, if the financial risk of privacy risks is going over a certain threshold. If it is going over a certain level I have to report my boss and eventually (above 10 Million Euros) it becomes a board issue. Privacy in itself is almost never raising a big financial issue under SOX. Privacy is much more a compliance issue and is a lawyer's problem. Privacy is not considered as a serious risk issue. SOX, however, is about risk issues! The Euro privacy law doesn't ask for a privacy risk analysis."3
Tijdens de workshop in Bristol (V.K.) bleek dat het midden- en klein bedrijf slecht op de hoogte is over de wettelijke verplichtingen tot bescherming van persoonsgegevens, laat staan over het feit dat zij aansprakelijk zou zijn: "AF (participant): There do not seem to be enough privacy intermediaries available to small businesses who don't know the laws to go ask someone what is required of me. In certain industries there are, if you're in the fmancial industry, the medical industry, if you've ever looked at invalids, retail or manufacturing, there's not a trade associate to turn to".4
Bax van het Bureau Européen des Unions de Consommateurs deelde tijdens de Data Protection Conference, die in mei 2009 door de Europese Commissie werd georganiseerd, mee dat uit onderzoek in 2008 was gebleken, dat 79% van de Europese burgers niet wist dat zij met hun klachten over privacyincidenten bij de nationale Data Protection Authority terecht konden 5 Bovendien rapporteerde de Eurobarometer nummer 225 betreffende gegevensbescherming in 2008, dat 63% van de Europese burgers ongerust is over de bescherming van hun persoonsgegevens.6 Anderzijds klaagt men erover dat de toezichthouder (in Nederland het College Bescherming Persoonsgegevens) niet zijn tanden laat zien wanneer er publiekelijk een belangrijk privacyvraagstuk aan de orde wordt gesteld. Het duurt vaak erg lang voordat er een reactie komt. Dit blijkt bijvoorbeeld uit de eerder besproken afgifte aan de Verenigde Staten van Europese bankgegevens door SWIFT, de doorgifte van de PNR (passenger, name, record) gegevens door de luchtvaartmaatschappijen, het opslaan van de communicatiegegevens van alle Europese burgers door de nationale overheden,7 het slecht beveiligde elektronisch patiëntendossier en de kwestie rond de onrechtmatig vertoonde videobeelden van de zoenende actrice/presentatrice Y. C. van K. en de voetballer W.S.8 Volgens Krisch komt dit onder meer omdat "Data protection authorities have insufficient fmancial resources, insufficient ?ersonnel resources and a very low oversight over commercial data processing." 9