8.8.1. Algemene wetsaanpassingen

Documentgegevens:

drs. J.J.F.M. Borking, datum 26-05-2010

Datum: 26-05-2010
Auteur: drs. J.J.F.M. Borking
JCDI: JCDI:ADS582447:1
Vakgebied(en): Civiel recht algemeen (V)

Zoals in hoofdstuk 2 vermeld, voorziet Poullet dat de ict-ontwikkelingen een derde generatie privacywetgeving1 noodzakelijk zullen maken. Deze ontwikkeling is met de e-privacyrichtlijn 2002/58/EG en de universele dienstenrichtlijn 2002/22/EG2 in feite al in gang gezet. De structuur en de rechten die aan de gebruiker worden toegekend, wijzen daarop. De derde generatie privacywetgeving zal een "increased protection of the intimate sphere beyond the DP directive" met zich meebrengen.3 De uitspraak van 27 februari 2008 van het BundesVerfassungsgericht wijst ook in deze richting:

"Das allgemeine Persfinlichkeitsrecht (Art. 2 Abs. 1i.V.m. Art. 1 Abs. 1 GG) umfasst das Grondrecht auf Gemarleistung der Vertraulichkeit und Integritk informationstechnischer Systeme" en "Die heimliche Infiltration eines informationstechnischen Systems, mittels derer die Nutzung des Systems fiberwacht und sein Speichermedien ausgelesen werden kfinnen, ist verfassungsrechtlich nur zuffissig, wenn tatskhliche Anhaltspunkte einer konkreten Gefahr fdr ein fibeiragend wichtiges Rechtsgut bestehen. Oberragend wichtig sind Leib, Leben und Freiheit der Person oder solche Gister der Allgemeinheit, deren Bedrohung die Grondlagen oder den Bestand des Staates oder die Grondlagen der Existenz der Menschen berahrt."4

Poullet stelt dat de EU-Richtlijn 95/46/EG ten gevolge van de steeds verdergaande ontwikkelingen van de ict op een viertal punten moet worden uitgebreid:

1.: nieuwe persoonsgegevens;
2.: middelen waarmee gegevens worden verwerkt;
3.: een nieuwe groep van verantwoordelijken;
4.: de doelstellingen.5

Ad 1 Nieuwe persoonsgegevens

a.: Biografische gegevens: AMI-sensoren registreren en leggen continu biografische gegevens vast. Dat zijn de gegevens die door gebeurtenissen gedurende het dagelijkse leven van een individu ontstaan.
b.: Verkeers- en de locatiegegevens: dat is elk gegeven dat wordt verwerkt met betrekking tot het transport van de communicatiesignalen, zoals besproken in paragraaf 2.6.2.
: Die zorgen er volgens Poullet voor, dat "instantaneous slices of my life, far beyond my traditional expectation"6 direct worden verwerkt. Zoals uit hoofdstuk 2 van dit boek blijkt, zijn de verkeers- en locatiegegevens privacygevoelig.
c.: `Anchorage point' ook wel genaamd `matching identifiers'gegevens.7 Dit zijn identificerende gegevens van een individu of van een voorwerp dat tot een individu behoort. Dergelijke `matching identifiers' maken het voor overheid en bedrijfsleven mogelijk om in verschillende databases gegevens bij elkaar te zoeken om correlaties of profielen van een individu te maken.
d.: Identifiers' ook wel contactdata genoemd. Dit zijn gegevens die het mogelijk maken dat dienstverleners met een persoon of zijn eindapparatuur ogenblikkelijk contact kunnen maken en onmiddellijk actie kunnen ondernemen (bijvoorbeeld door middel van de banners op het scherm) of door een cookie achter te laten, zoals bij de in hoofdstuk 6 besproken dienstverlening van Ixquick. Volgens Poullet is noodzakelijk een specifieke regelgeving te treffen voor `anchorage point data' en voor contactdata (bijvoorbeeld cookies, verkeersgegevens en RFIDs die de persoonlijke ruimte van individuen binnendringen), zonder dat er in alle gevallen sprake van persoonsgegevens is (in de betekenis van de EURichtlijn 95/46/EG). Poulet geeft als voorbeeld een RFID in een winkelwagentje waarop een klein scherm is geplaatst waarmee het mogelijk is de persoon tijdens het winkelen persoonlijk gerichte reclame per product te zenden. Poullet: "Can we consider that data is becoming personal just because it is possible through this data to have an impact towards an individual?"8 In hoofdstuk 2 wees ik er op, dat de Article 29 Working Party in haar Opinion nr. 4/2007 uitgebreid commentaar heeft gegeven op de reikwijdte van het begrip persoonsgegevens in de Richtlijn 95/46/EG. Op bladzijde 7 stelt zij dat: "The concept of personal data includes information kept in any form, e.g., on paper, in the form of information stored in a computer memory by means of binary code, or in analogue form on a videotape, for instance. In particular, sound and image data qualify as personal data (...), insofar as they may represent information on an individual." De Article 29 WP hanteert een ruime uitleg van het begrip persoonsgegevens, zodat de vraag van Poullet bevestigend kan worden beantwoord.

Ad 2 De middelen waarmee persoonsgegevens worden verwerkt

In hoofdstuk 2 is aangegeven dat de wetgever in artikel 5.39 en artikel 14.310 van de e-privacyrichtlijn 2002/58/EG privacybeschermende bepalingen heeft voorgeschreven voor terminals. Poullet schrijft dat hij verwacht dat deze aanpak zich in andere wetgeving zal doorzetten. Zo kan het vereiste van 'privacy by design' (PET-toepassen in informatiesystemen) afgelezen worden uit "(...) recent opinions of the Article 29 Working Party about P3P and RFID Information systems (I.S.) and I.S. Products must be at the benefit of the society and of the citizen's liberties (...) recital 2 of the DP Directive implies the obligation to design the products in order to ensure the respect of citizen's privacy and to avoid any privacy threats."

Ad 3 Een nieuwe groep van verantwoordelijken

Naast de traditionele actoren, zoals de verantwoordelijke, de betrokkene, de bewerker en de toezichthouder, vindt Poulet dat ook de nieuwe actoren, zoals de producenten van eindapparatuur, software en programmatuur die in chips is ingebouwd (`firmware'), een plaats in de wetgeving moeten krijgen. Bijvoorbeeld uit de tekst van de e-privacyrichtlijn 2002/58/EG, die in hoofdstuk 2 is toegelicht, is vast te stellen dat leveranciers van openbare communicatiediensten wordt opgedragen a) vertrouwelijk om te gaan met persoonsgegevens, b) deze te beveiligen conform het risiconiveau dat bij de verwerking behoort en c) verkeers- en locatiegegevens op een rechtmatige manier te gebruiken. Bovendien blijkt dat als gevolg van de ontwikkelingen binnen de ict de rol van verantwoordelijke en betrokkene in de zin van de EU-Richtlijn 95/46/EG tegelijkertijd door een en dezelfde persoon of organisatie kan worden vervuld. Doordat intelligente software agents (ISAs) (zie hoofdstuk 6) persoonsgegevens verzamelen en uitwisselen, kan de gebruiker van ISAs ook de rol van verantwoordelijke krijgen, wanneer de software agents PII van de andere partijen tijdens de transactie ontvangt. Poullet wijst op hetzelfde fenomeen bij Web 2.0 waar "data subjects are becoming at the same time data controllers".11

Ad 4 Aanpassing van de doelstellingen

Ter bescherming van het individu dienen de doelstellingen van de privacy-beschermende wetgeving te worden uitgebreid. Poulet somt in deze context de volgende punten op, die een uitbreiding rechtvaardigen:

1. "The Right not to be submitted continuously to advertisements; 2. The Right not to be excessively controlled (with regard to video-surveillance and electronic government); 3. The Right not to be profiled without being informed and the right to have knowledge of the inferences beyond the application of a profile; 4. Severe limits as regards intrusion into the human body like RFID implants; 5. Limits as regards consent as a basis for a legitimate processing."12

Aanbeveling VII aan de Europese wetgever:

Pas de tekst van de EU-privacyrichtlijn 95/46/EG aan in lijn met de nieuwe technologische ontwikkelingen, zodat rekening wordt gehouden met:

1.: nieuwe persoonsgegevens;
2.: nieuwe middelen waarmee gegevens worden verwerkt;
3.: de nieuwe groep van verantwoordelijken;
4.: de gewijzigde doelstellingen;
5.: de ontwikkelingen op het gebied van `ambient intelligence'.

Toon alle voetnoten

Voetnoten

Voetnoten

De eerste generatie startte met de EVRM: Privacy als recht om gevoelige gegevens, huis, gezin en familierelaties af te dekken tegenover de buitenwereld; de tweede generatie loopt van de Raad van Europa Convention N° 108 (1981) tot de EU Charter on fundamental rights (2000: verbreding van bescherming tot alle persoonsgegevens — 3 principes: legitimiteit van de verwerking, recht op transparante verwerking voor de betrokkene en de rol van de toezichthouder (DPA) om het evenwicht tussen de betrokkene en de verantwoordelijke te bewaren

OJ L 108, 24.4.2002, Directive 2002/22/EC of the European Parliament and of the Council of 7 March 2002 on universal service and users' rights relating to electronic communications networks and services (Universal Service Directive)

Poullet, 2009, p. 18; Poullet, 2009(A), p. 3.

BVerfG, 1 Bvit. 370/07 vom 27-2-2008, Absatz-Nr. (1-333), http://www.bverfg.de/entscheidungen/rs20080227 1bvr037007.html.

Poullet, 2009, p. 4.

Poullet, 2009, p. 5.

Article 5.3 '(...) storing of information, or to gaining access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concemed is provided with clear and comprehensive information in accordance with Directive 95/46/EC (...)'.

10.

Article 14.3: 'Where required, measures may be adopted to ensure that terminal equipment is constructed in a way that is compatible with the right of users to pmtect and control the use of their personal data, in accordance with Directive 1999/5/EC and Council Decision 87/95/EEC of 22 December 1986 on standardisation in the field of information technology and communications'.

11.

Poullet, 2009, p. 11.

12.

Poullet, 2009, p. 11.