Privacy en Innovatie in Balans

Transcriptie

1 Privacy en Innovatie in Balans Peter Hustinx Jaarcongres ECP 20 november 2014, Den Haag

2 Sense of urgency Digitale Agenda: vertrouwen, informatieveiligheid en privacybescherming in het hart van de agenda "Digital Action Day": aansprekende succesverhalen, maar weinig aandelen in privacy en dataprotectie "Digital Single Market": een potentieel reservoir van 250 miljard extra economische groei (Juncker) "Data Protection Reform": essentiële voorwaarde voor een succesvolle digitalisering (Ansip)

3 Drijfveren voor herziening Technologische ontwikkeling: meer effectieve bescherming van burgers en consumenten nodig Schaalvergroting: meer consistentie nodig om te grote diversiteit en complexiteit te verminderen Lissabon Verdrag: een nieuwe grondslag voor horizontale wetgeving inzake dataprotectie Ook: post-snowden effect en EHvJ arresten over rol van Art. 7-8 Handvest (Digital Rights Ireland, Google Spain)

4 Procedure en timing Commissie: pakket voorstellen in januari 2012 met ontwerp Algemene Verordening + Richtlijn voor politie en justitie Europees Parlement: 4000 amendementen > LIBE voorbereiding compromis AMs in eerste lezing met grote meerderheid aanvaard in maart 2014 Raad onder CY/IE/LT/GR/IT voorzitterschap: grote delen behandeld > gedeeltelijk algemene benadering slotconclusies verwacht in maart 2015 Onderhandelingen ("trilogues met COM) direct van start Afsluiting vóór het einde van 2015 > in werkingtreding in 2017

5 Kernpunten van herziening Grote continuïteit van begrippen en beginselen Meest opvallende wijzigingen: Een direct werkende Verordening in alle lidstaten Uitbreiding van territoriale werkingssfeer Sterkere rechten voor betrokkenen Grotere verantwoordelijkheid voor organisaties Sterkere mogelijkheden voor toezicht en handhaving Meer samenwerking en consistentie in de EU

6 Reikwijdte en definities Territoriale werkingssfeer EU organisaties: in de context van de activiteiten van een vestiging niet-eu organisaties: aanbieden van goederen of diensten aan personen gevestigd in EU of volgen van gedrag van deze personen Persoonsgegevens elke informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon - direct of indirect met redelijke middelen, hetzij door de verantwoordelijke, hetzij door een derde partij lopende discussies over anonieme / pseudonieme gegevens informatie over objecten kan ook personen betreffen identificeren > singling out (zie WP29 advies 4/2007)

7 Algemene beginselen Expliciete toestemming + uitwerkingen (bijv. bewijslast) Andere grondslagen voor verwerking sleutelrol voor gerechtvaardigd belang (WP29 advies 6/2014) Doelbinding: verenigbaar gebruik (WP29 advies 3/2013) Beginsel van verantwoordelijkheid > verantwoordelijke moet nakoming verzekeren en kunnen bewijzen Transparantie: tijdige en begrijpelijke informatie "Data minimisation : alleen noodzakelijke gegevens

8 Rechten voor betrokkenen Effectieve uitoefening van rechten (inzage, correctie) in de hele EU Sterker recht op verwijdering Zie ook nu al EHvJ in Google Spain Recht op overdraagbaarheid Sterker recht op bezwaar Verschuiving van de bewijslast Meer transparantie Ruimte voor collectieve acties

9 Verantwoordelijke & verwerker Continuiteit rollen: mede-verantwoordelijken / verwerkers Verantwoordelijkheid: verzekeren - bewijzen - verifiëren Privacy-by-design / default als nieuw beginsel Passende maatregelen > specifieke eisen (documentatie, beveiliging, impact assessment, controle vooraf, DPO) Invloed context: proportionaliteit - schaalbaarheid? Uitzonderingen nodig, maar wat geldt er in dat geval?

10 Administratieve lasten "Red tape" effectiviteit Veel minder aanmelding en "one-stop-shop" Raad volgt "progressive risk-based approach" Meer ruimte voor zelfregulering and certificering

11 Publieke sector Verordening zal ook gelden voor overheid, zoals huidige Richtlijn 95/46/EG Horizontale consistentie is nodig (geen onnodige uitzonderingen) Extra ruimte voor specificatie en enkele bijzondere onderwerpen

12 Sterker toezicht: uniforme bevoegdheden Uniforme waarborgen voor onafhankelijk toezicht (conform EHvJ case law) Effectieve administratieve (boete) sancties, maar meer flexibiliteit is vereist "Remedial powers" maar flexibiliteit en beoordelingsruimte zijn nodig

13 Bevoegdheid van nationale DPA Bevoegdheid DPA: nationaal met EU dimensie Groeiende behoefte aan samenwerking over grenzen "Lead DPA" exclusieve bevoegdheid "One-stop-shop voor bedrijven / betrokkenen Samenwerking met betrokken DPAs > collectieve verantwoordelijkheid? Effectieve EDPB > bevorderen van consistentie

14 Gegevensverkeer naar derde landen Alleen bij passende bescherming in derde land Meer flexibiliteit voor beslissingen van COM Zo niet: instrumenten voor "adequacy ad hoc" Standaard contracten (C-C of C-P) Binding Corporate Rules (BCR +) Specifieke uitzonderingen (restrictief) "Interoperability" met andere kaders (OESO, APEC)

15 Tenslotte Steeds relevanter "Privacy.. a hot issue Privacy en veiligheid "Building in from the start" Effectiviteit in de praktijk "Trust in Information Society Investeren in privacy "Anticipation of success"

16 Bedankt voor uw aandacht! Verdere informatie: