Hervorming EU-gegevensbescherming: Raad bevestigt akkoord met Europees Parlement

  • 18/12/2015
  • Persmededeling
  • 951/15
  • Justitie
  • Binnenlandse zaken
18/12/2015
Persverantwoordelijke

Joaquín Nogueroles García
Persvoorlichter
+32 2 281 20 74
+32 473 85 49 91

Op 18 december 2015 heeft het Comité van permanente vertegenwoordigers (Coreper) de met het Europees Parlement overeengekomen compromisteksten over de hervorming van de gegevensbescherming bevestigd. De Raad, het Parlement en de Commissie hadden op 15 december een akkoord bereikt. Het akkoord komt tegemoet aan het verzoek van de Europese Raad om de onderhandelingen over de hervorming van de gegevensbescherming uiterlijk eind 2015 te voltooien.

Félix BRAZ, minister van Justitie van Luxemburg en voorzitter van de Raad, verklaarde: "Dit is een fundamenteel akkoord met belangrijke gevolgen. Door deze hervorming worden de rechten van burgers versterkt, de regels voor bedrijven aan het digitale tijdperk aangepast en de regeldruk verminderd. De teksten zijn ambitieus en toekomstgericht. We kunnen het volste vertrouwen in het resultaat hebben."  

De hervorming van de gegevensbescherming is een wetgevingspakket dat door de Commissie in 2012 is ingediend ter actualisering en modernisering van de regels inzake gegevensbescherming.  Het pakket bestaat uit twee wetgevingsinstrumenten: de algemene verordening gegevensbescherming (die Richtlijn 95/46/EG moet vervangen) en de richtlijn gegevensbescherming op het gebied van rechtshandhaving (die het kaderbesluit gegevensbescherming van 2008 moet vervangen). 

De bescherming van personen in verband met de verwerking van hun persoonsgegevens is een grondrecht dat is vastgelegd in het Handvest van de grondrechten van de Europese Unie (artikel 8) en in het Verdrag betreffende de werking van de Europese Unie (artikel 16).

Algemene verordening gegevensbescherming

De algemene verordening gegevensbescherming moet voor personen wier persoonsgegevens worden verwerkt het niveau van gegevensbescherming verhogen en het bedrijfsleven meer kansen op de digitale eengemaakte markt bieden, onder meer door het verminderen van de regeldruk. 

Een hoger niveau van gegevensbescherming

De beginselen en regels betreffende de verwerking van persoonsgegevens van natuurlijke personen moeten zijn opgesteld met inachtneming van de grondrechten en fundamentele vrijheden, met name het recht op de bescherming van persoonsgegevens. Deze versterkte rechten op gegevensbescherming bieden betrokkenen (de natuurlijke personen wier persoonsgegevens worden verwerkt) meer controle over hun persoonsgegevens: 

  • specifiekere regels die voor de gegevensverwerking verantwoordelijken de mogelijkheid bieden om persoonsgegevens te verwerken, onder meer door de instemming van de betrokken personen als voorwaarde op te leggen.
  • vlottere toegang tot hun persoonsgegevens.
  • betere informatie over wat er met persoonsgegevens gebeurt nadat ze gedeeld zijn. Dit houdt onder meer in dat personen in duidelijke en eenvoudige bewoordingen over hun privacybeleid worden geïnformeerd, eventueel met gestandaardiseerde icoontjes.
  • een recht om persoonsgegevens te laten wissen en "vergeten te worden". Dit biedt betrokkenen bijvoorbeeld de mogelijkheid te verzoeken om onmiddellijke verwijdering van persoonsgegevens die op een sociaal netwerk zijn verzameld of gepubliceerd toen de betrokkene nog een kind was.
  • indien een jongere van minder dan 16 jaar oud onlinediensten wil gebruiken, moet de dienstverlener trachten na te gaan of ouderlijke toestemming is verleend. De lidstaten mogen deze leeftijdgrens verlagen tot minimaal 13 jaar.
  • het recht van gegevensoverdraagbaarheid, zodat persoonsgegevens vlotter van de ene dienstverlener aan de andere - bijvoorbeeld een sociaal netwerk - kunnen worden overgedragen. Dit zal niet alleen leiden tot meer gegevensbeschermingsrechten, maar ook tot meer concurrentie tussen dienstverleners.
  • een recht om bezwaar te maken tegen de verwerking van persoonsgegevens in het kader van het openbaar belang of in het kader van de rechtmatige belangen van een voor de verwerking verantwoordelijke. Onder dit recht valt het gebruik van persoonsgegevens met het oog op 'profilering'.
  • gebruikelijke waarborgen met betrekking tot de verwerking van persoonsgegevens voor archiveringsdoeleinden, indien dat in het openbaar belang is en met het oog op wetenschappelijk en historisch onderzoek of voor statistische doeleinden.

Ter waarborging van juridische beroepsmogelijkheden in de nabijheid zullen betrokkenen het recht hebben een besluit van hun gegevensbeschermingsautoriteit door de nationale rechter te laten toetsen, ongeacht de lidstaat waar de voor de verwerking verantwoordelijke gevestigd is. 

Meer kansen voor ondernemingen op de digitale eengemaakte markt

De verordening voorziet in een eengemaakte regelgeving die geldt in de hele EU en van toepassing is op zowel Europese als niet-Europese bedrijven die onlinediensten in de EU aanbieden. Zo wordt vermeden dat tegenstrijdige nationale gegevensbeschermingsregels de grensoverschrijdende uitwisseling van gegevens verstoren. De verordening voorziet ook in nauwere samenwerking tussen de lidstaten om een samenhangende toepassing van de gegevensbeschermingsregels in de hele EU te waarborgen. Dit zal leiden tot eerlijke concurrentie en zal bedrijven, met name kleine en middelgrote ondernemingen, ertoe aanzetten het maximum uit de digitale eengemaakte markt te halen. 

In belangrijke grensoverschrijdende gevallen waarbij verschillende nationale toezichthoudende autoriteiten zijn betrokken zal, om kosten te drukken en rechtszekerheid te bieden, slechts één toezichthoudend besluit worden genomen. Dit éénloketmechanisme maakt het mogelijk dat een bedrijf dat in verscheidene lidstaten actief is alleen in contact treedt met de gegevensbeschermingsautoriteit in de lidstaat van zijn voornaamste vestiging. Dit mechanisme voorziet in het geval van geschillen ook in één enkele beslissing die in het hele EU-grondgebied toepasselijk is. 

Met het oog op het verminderen van de regeldruk is in de verordening een risicogebaseerde benadering toegepast: voor de verwerking verantwoordelijken kunnen maatregelen treffen naargelang van het risico dat aan de door hen verrichte verwerkingsoperaties verbonden is. Verschillende bedrijven hebben verschillende activiteiten en de risico's voor de privacy van die activiteiten kunnen uiteenlopen. De verordening voorziet niet in een uniforme oplossing: hoe groter de aan de activiteiten verbonden risico's voor de persoonsgegevens, hoe strenger de verplichtingen. 

Meer en betere instrumenten om de naleving van de regels inzake gegevensbescherming te handhaven

In de verordening is een reeks maatregelen opgenomen om de verantwoordelijkheid en de verantwoordingsplicht van voor de verwerking verantwoordelijken te vergroten, zodat de nieuwe regels inzake gegevensbescherming ten volle worden nageleefd. Voor de gegevensverwerking verantwoordelijken moeten een aantal veiligheidsmaatregelen ten uitvoer leggen, onder meer de verplichting in bepaalde gevallen inbreuken op de bescherming van persoonsgegevens te melden. Om de verordening toekomstbestendig te maken, worden de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen ingevoerd. De openbare instanties en de bedrijven die zich met bepaalde risicovolle gegevensverwerking bezighouden moeten een functionaris voor gegevensbescherming aanwijzen om de naleving van de regels te waarborgen. 

De betrokkenen en, in bepaalde omstandigheden, organisaties voor gegevensbescherming, kunnen een klacht indienen bij een toezichthoudende autoriteit of een beroep in rechte instellen indien de regels inzake gegevensbescherming niet worden nageleefd. Voor de verwerking verantwoordelijken kunnen worden bestraft met boetes tot € 20 miljoen of 4 % van hun mondiale jaarlijkse omzet. 

Garanties inzake de overdracht van persoonsgegevens buiten de EU

In deze verordening zijn de regels voor de overdracht van persoonsgegevens naar derde landen en internationale organisaties vastgelegd. Overdrachten zijn toegestaan mits aan een aantal voorwaarden en waarborgen is voldaan, namelijk wanneer de Commissie tot het besluit is gekomen dat het niveau van bescherming toereikend is. Nieuwe besluiten over de toereikendheid moeten ten minste om de vier jaar worden geëvalueerd. Bestaande besluiten over de toereikendheid en machtigingen blijven van kracht tot ze gewijzigd, vervangen of ingetrokken worden.   

De richtlijn gegevensbescherming op het gebied van rechtshandhaving

Het doel van de richtlijn is de bescherming van persoonsgegevens die worden verwerkt met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten, de tenuitvoerlegging van straffen, en de bescherming tegen en de voorkoming van dreigingen voor de openbare veiligheid. 

Het is essentieel dat een consistent en hoog beschermingsniveau van persoonsgegevens van natuurlijke personen wordt gegarandeerd en tegelijk de uitwisseling van persoonsgegevens tussen rechtshandhavingsinstanties in de verschillende lidstaten wordt gefaciliteerd. 

Ruimer toepassingsgebied

Als aanvulling op de activiteiten die erop zijn gericht strafbare feiten te voorkomen, te onderzoeken, op te sporen en te vervolgen, is de nieuwe richtlijn uitgebreid naar beveiligings- en preventie-activiteiten ten aanzien van dreigingen voor de openbare veiligheid. 

De nieuwe richtlijn zal gelden voor zowel de grensoverschrijdende verwerking van persoonsgegevens als de verwerking van persoonsgegevens door de politiële en justitiële autoriteiten louter op nationaal niveau. Het kaderbesluit, dat wordt vervangen, bestreek alleen de grensoverschrijdende uitwisseling van gegevens. 

Rechten van de betrokkene

Bij het opstellen van de regels is een evenwicht gezocht tussen het recht op privacy en het voorkomen dat de politie in een vroeg stadium van een onderzoek dient te onthullen dat gegevens worden verwerkt. In de tekst is een lijst opgenomen van de informatie die betrokkenen altijd behoren te verkrijgen om hun rechten te beschermen indien zij vrezen dat een inbreuk op hun privacy heeft plaatsgevonden. 

De doorgifte van persoonsgegevens aan derde landen of internationale organisaties zal ook onder de nieuwe regels vallen. 

Naleving

In de nieuwe richtlijn is bepaald dat een functionaris voor gegevensbescherming wordt aangesteld om de bevoegde autoriteiten te helpen de regels inzake gegevensbescherming te handhaven. 

Een ander handhavingsinstrument is de effectbeoordeling. Indien er veel kans bestaat dat een type verwerking tot een hoog risico voor de rechten en vrijheden van personen leidt, dienen de bevoegde autoriteiten een beoordeling van de potentiële gevolgen van een bepaalde verwerking te verrichten, zeker indien nieuwe technologieën worden aangewend.   

Monitoring en compensatie

De tekst van de richtlijn is afgestemd op de tekst van de verordening, zodat in grote lijnen dezelfde algemene beginselen van toepassing zijn. Bovendien lopen de regels over de toezichthoudende autoriteit grotendeels parallel, omdat de in de algemene verordening gegevensbescherming ingestelde toezichthoudende autoriteit zich ook over aangelegenheden kan buigen die onder de richtlijn vallen. De nieuwe richtlijn zal betrokkenen tevens een recht op compensatie toekennen indien zij schade lijden ten gevolge van een onrechtmatige verwerking van gegevens.                        

VOLGENDE STAPPEN

In een bijzondere vergadering op 17 december heeft de Commissie burgerlijke vrijheden, justitie en binnenlandse zaken (LIBE) de teksten die in de trialoog zijn overeengekomen, bekrachtigd. Door die bekrachtiging kon het Coreper vandaag de definitieve compromisteksten over de verordening en de richtlijn bevestigen. Na bijwerking door de juristen-vertalers zullen ze ter vaststelling aan de Raad en vervolgens aan het Parlement worden voorgelegd. De verordening en de richtlijn zullen naar verwachting in de lente van 2018 in werking treden.