Privacyrecht is code
Einde inhoudsopgave
Privacyrecht is code (R&P nr. ICT1) 2010/8.8.2:8.8.2. Uitbreiding van de aansprakelijkheid
Privacyrecht is code (R&P nr. ICT1) 2010/8.8.2
8.8.2. Uitbreiding van de aansprakelijkheid
Documentgegevens:
drs. J.J.F.M. Borking, datum 26-05-2010
- Datum
26-05-2010
- Auteur
drs. J.J.F.M. Borking
- JCDI
JCDI:ADS576452:1
- Vakgebied(en)
Civiel recht algemeen (V)
Toon alle voetnoten
Voetnoten
Voetnoten
Transcript interview Zweden 24 Februari 2008, p. 2 en 3.
H.R. 3763 (2002) An Act to protect investors by improving the accuracy and reliability of corporate disclosures made pursuant to the securities laws, and for other purposes.
Ribbers, Dijkman & Borking, 2007, p. 6.
Ribbers, Tjeng & Borking, 2008, p. 4.
Borking & Foukia, 2008, p. 3.
Poullet, 2009, p. 10.
Deze functie is alleen te gebruiken als je bent ingelogd.
In interviews die in het kader van deze dissertatie zijn uitgevoerd met verantwoordelijken in Zweden, Nederland, het Verenigd Koninkrijk en Zwitserland, werd de vraag gesteld of men de privacywetgeving beter zou naleven als er een kans was dat de overtreding van de privacywet zou worden ontdekt. Hierop reageerden de ondervraagden schouderophalend. In het interview bij een Zweedse multinational deelden de betrokken managers, na discussie over een zeer ernstig privacyincident, mee dat vier jaar procederen en enige miljoenen euro's schadevergoeding te verwaarlozen is in verhouding tot de schade die ontstaat door de verslechterde reputatie van het bedrijf: "In terms of overall impact on the business, costs are not an issue since we have to fix it to earn back trust."1 Volgens de EU-Richtlijn 95/46/EG is de verantwoordelijke aansprakelijk voor privacyinbreuken. Dit houdt in dat uiteindelijk de aandeelhouders voor de boetes en schadevergoedingen opdraaien. Voor het management van de organisatie blijkt daar geen afschrikwekkende werking van uit te gaan.
In interviews in Nederland bij twee multinationals werd dezelfde vraag als in Zweden over de aansprakelijkheid gesteld. Als antwoord gaven de ondervraagde managers dat zij het veel effectiever achtten wanneer de verantwoordelijke manager zelf aansprakelijk wordt gesteld voor de privacyinbreuken, vergelijkbaar met de `Sarbanes-Oxley Act' (SOX). In artikel 302 van de Amerikaanse SarbanesOxley Act van 20022 over `corporate responsibility for financial reports' bepaalt lid 4 (A): "the signing officers are responsible for establishing and maintaining internal controls." Dit ervaren de ondervraagde managers wel als afschrikwekkend. Als iets dergelijks voor in de Wbp of EU-Richtlijn 95/46/EG zou staan, dan zou dat een groot verschil kunnen maken voor de handhaving van de privacywetgeving.3In een van de interviews in het kader van dit proefschrift in Nederland stelde een Chief Privacy Officer van een grote onderneming dat:
"Sarbanes-Oxley makes a CEO and CFO manager personally liable. SOX only covers privacy, if the financial risk of privacy risks is going over a certain threshold. 1f it is going over a certain level 1 have to report my boss and eventually (above 10 Million Euros) it becomes a board issue. Privacy in itself is almost never raising a big financial issue under SOX. Privacy is much more a compliance issue and is a lawyer's problem. Privacy is not considered as a serious risk issue. SOX, however, is about risk issues!"4
De wet zou beter kunnen worden nageleefd wanneer de aansprakelijkheidsparagraaf in de wetgeving over de bescherming van persoonsgegevens de verantwoordelijke operationele manager aansprakelijk zou stellen. Voor productaansprakelijkheid lijkt zich een consensus af te gaan tekenen. Net zoals producenten van onveilige auto's aansprakelijk gesteld kunnen worden, zou dit ook voor ontwerpers van privacyonveilige informatiesystemen moeten gelden.
Borking en Foukia schrijven dat ontwerpers van software agents zoals PISA (zie hoofdstuk 6), mogelijk aansprakelijk kunnen worden gesteld:
"(...) agents while operating, violating the DPD or other privacy laws, should be held liable under product liability rules, if the design and architecture of the agent allows violation of the data subject's privacy. True, in the case of unlawful processing of personal data, the EC system of law is that the data subject always can hold the controller responsible Officie 23 (1) Directive 95/46/ EC). A controller can't defer his responsibility for privacy violations to a third party developer, even if this developer has deviated from the agreed design. However if there are design defects that cause violation of someone's privacy the controller can sue for product liability irrespective of disclaimers of warranty. Liability lawsuits between the controller and the third party developer or any person or company which had anything to do with fabricating or distributing the privacy defect agent are ruled under civil or common law and not under privacy legislation."5
Poullet deelt deze mening en stelt eveneens dat op termijn een situatie kan ontstaan: "towards a system of 'Products liability' in case of commercialization of non privacy compliant terminals (towards telecommunication companies and terminal equipment manufacturer's)."6
Aanbeveling VIII aan de Europese- en Nederlandse wetgever:
Stel in eerste instantie niet de verantwoordelijke zoals gedefinieerd in de EU-Richtlijn 95/46/EG voor de onrechtmatige persoonsgegevensverwerking aansprakelijk, maar de manager die direct bij de verwerking betrokken is, vergelijkbaar met de aansprakelijkheidsregeling in de Amerikaanse SOX.
Voer productaansprakelijkheid in voor privacyonveilige informatiesystemen, vergelijkbaar met de productaansprakelijkheid voor (onveilige) producten.