Aanbevelingen van de EDPS betreffende de opties van de EU voor hervorming van de gegevensbescherming

12.9.2015

Publicatieblad van de Europese Unie

C 301/1

Aanbevelingen van de EDPS betreffende de opties van de EU voor hervorming van de gegevensbescherming

(De volledige tekst is beschikbaar in de Engelse, de Franse en de Duitse taal op de website van de Europese Toezichthouder voor gegevensbescherming: http://www.edps.europa.eu)

(2015/C 301/01)

Op 24 juni 2015 zijn de drie belangrijkste instellingen van de EU, het Europees Parlement, de Raad en de Europese Commissie, onderhandelingen over de voorgestelde algemene Verordening gegevensbescherming (GDPR — General Data Protection Regulation) begonnen, een procedure die bekendstaat als een informele „trialoog”⁽¹⁾. De basis voor deze trialoog is het voorstel van de Commissie van januari 2012, de wetgevingsresolutie van het Parlement van 12 maart 2014 en de algemene oriëntatie van de Raad als vastgesteld op 15 juni 2015⁽²⁾. De drie instellingen hebben zich ertoe verbonden de GDPR te behandelen als een onderdeel van het bredere hervormingspakket gegevensbescherming, dat ook de voorgestelde richtlijn voor politiële en justitiële activiteiten omvat. Het proces moet eind 2015 worden afgerond, zodat beide instrumenten waarschijnlijk begin 2016 formeel kunnen worden vastgesteld; daarna volgt een overgangsfase van twee jaar⁽³⁾.

De Europese Toezichthouder voor gegevensbescherming (EDPS) is een onafhankelijke instelling van de EU. De Toezichthouder neemt niet deel aan de trialoog, maar zorgt er overeenkomstig artikel 41, lid 2, van Verordening (EG) nr. 45/2001 voor „dat de fundamentele rechten en vrijheden van natuurlijke personen, met name het recht op bescherming van de persoonlijke levenssfeer, bij de verwerking van persoonsgegevens, door de communautaire instellingen en organen in acht worden genomen”, en zorgt ook „… voor het verstrekken van advies aan de communautaire instellingen en organen en aan de betrokkenen inzake de verwerking van persoonsgegevens”. De toezichthouder en adjunct-toezichthouder werden in december 2014 benoemd met de specifieke opdracht om constructiever en proactiever te zijn en hebben in maart 2015 een vijfjarenstrategie bekendgemaakt, waarin zij uiteenzetten hoe zij van plan zijn invulling te geven aan deze opdracht en daarvoor verantwoording af te leggen⁽⁴⁾.

Dit advies is de eerste mijlpaal in de strategie van de EDPS. Ons advies bouwt voort op discussies met de EU-instellingen, de lidstaten, het maatschappelijk middenveld, het bedrijfsleven en andere belanghebbenden en heeft ten doel de deelnemers aan de trialoog op tijd de juiste consensus te helpen bereiken. Dit advies over de GDPR bestaat uit twee delen:

—	de visie van de EDPS voor toekomstgerichte voorschriften inzake gegevensbescherming, met illustratieve voorbeelden van onze aanbevelingen; en

—

een bijlage „Annex to Opinion 3/2015: Comparative table of GDPR texts with EDPS recommendation” met een tabel in vier kolommen waarin de teksten van de GDPR zoals goedgekeurd door respectievelijk de Commissie, het Parlement en de Raad per artikel worden vergeleken, met daarbij de aanbeveling van de EDPS.

Het advies wordt gepubliceerdop onze website en via een mobiele app. Het zal in het najaar van 2015 worden aangevuld met aanbevelingen over de overwegingen van de GDPR en, zodra de Raad zijn algemene standpunt over de richtlijn heeft vastgesteld, de gegevensbescherming die van toepassing is op politiële en justitiële activiteiten.

Het uitvoerige advies van de EDPS inzake het in maart 2012 door de Commissie voorgestelde hervormingspakket blijft onverminderd gelden. Drie jaar later moeten we ons advies echter actualiseren om weer nauwere aansluiting te vinden bij de standpunten van de medewetgevers en om specifieke aanbevelingen te doen⁽⁵⁾. Net als voor het advies uit 2012, is ook dit advies in overeenstemming met de standpunten en verklaringen van de Groep artikel 29, met inbegrip van het aanhangsel over de kernonderwerpen met het oog op de trialoog, zoals vastgesteld op 17 juni, waaraan de EDPS als volledig lid van de Groep heeft bijgedragen⁽⁶⁾.

Een zeldzame kans: waarom deze hervorming zo belangrijk is

De EU is bezig aan de laatste meters van een marathoninspanning om haar voorschriften inzake persoonsgegevens te hervormen. De komende decennia kunnen alle natuurlijke personen in de EU, alle organisaties in de EU die persoonsgegevens verwerken, en alle organisaties buiten de EU die persoonsgegevens van natuurlijke personen in de EU verwerken, met de algemene verordening gegevensbescherming te maken krijgen⁽⁷⁾. Het is nu het moment om de fundamentele rechten en vrijheden van natuurlijke personen in de gegevensgestuurde samenleving van de toekomst te waarborgen.

Effectieve gegevensbescherming versterkt de positie van natuurlijke personen en stimuleert verantwoordelijke bedrijven en overheden. Wetten op dit gebied zijn ingewikkeld en technisch van aard en vereisen advies van deskundigen, in het bijzonder van onafhankelijke gegevensbeschermingsautoriteiten die de problemen van naleving begrijpen. De GDPR is waarschijnlijk een van de langste verordeningen in de wetgeving van de Europese Unie. De EU moet daarom proberen selectief te zijn, zich richten op de bepalingen die echt noodzakelijk zijn, en details vermijden die als onbedoeld gevolg toekomstige technologieën onrechtmatig in de weg zouden kunnen staan. De teksten van de instellingen beloven helderheid en begrijpelijkheid in de verwerking van persoonsgegevens: de GDPR moet dus doen wat zij belooft, door zo beknopt en begrijpelijk mogelijk te zijn.

Het is aan het Parlement en de Raad als medewetgevers om de definitieve wettekst vast te stellen, met hulp van de Commissie, als initiator van wetgeving en hoedster van de Verdragen. De EDPS neemt niet deel aan de tripartiete onderhandelingen (de trialoog), maar is wel wettelijk bevoegd om advies te geven en om dit ook op eigen initiatief te doen, in overeenstemming met de opdracht die de toezichthouder en adjunct-toezichthouder bij hun benoeming hebben meegekregen, en met de recente strategie van de EDPS. Dit advies is gebaseerd op meer dan tien jaar ervaring met het houden van toezicht op de naleving van de voorschriften inzake gegevensbescherming en met beleidsadvisering om de instellingen te helpen een resultaat te bereiken dat in het belang van natuurlijke personen is.

Wetgeving is de kunst van het mogelijke. De opties die op tafel liggen, in de vorm van de teksten waaraan respectievelijk de Commissie, het Parlement en de Raad de voorkeur geven, bevatten elk een groot aantal waardevolle bepalingen, maar elk daarvan is ook voor verbetering vatbaar. Het resultaat zal in onze ogen niet perfect zijn, maar we zijn van plan de instellingen te ondersteunen bij het bereiken van het best mogelijke resultaat. Onze aanbevelingen blijven daarom binnen de grenzen van de drie teksten. Drie dwingende aandachtspunten zijn onze drijfveer:

—	een betere deal voor burgers,

—	voorschriften die in de praktijken werken,

—	voorschriften die een generatie lang meegaan.

Dit advies is een oefening in transparantie en verantwoordingsplicht, duale beginselen die misschien wel de meest opmerkelijke vernieuwing in de GDPR zijn. Het trialoogproces komt meer dan ooit onder het vergrootglas te liggen. Onze aanbevelingen zijn openbaar, en we sporen alle EU-instellingen aan om initiatief te nemen en het goede voorbeeld te geven, zodat deze hervorming van de wetgeving het resultaat is van een transparant proces, en geen geheim compromis.

De EU heeft een „new deal” op het gebied van gegevensbescherming, een nieuw hoofdstuk, nodig. De rest van de wereld volgt ons met argusogen. De kwaliteit van de nieuwe wet en de wisselwerking daarvan met wereldwijde rechtsstelsels en trends is van het grootste belang. De EDPS geeft met dit advies blijk van zijn bereidheid en beschikbaarheid om ervoor te helpen zorgen dat de EU deze historische kans optimaal benut.

1. Een betere deal voor burgers

De voorschriften van de EU hebben altijd ten doel gehad om gegevensstromen, zowel binnen de EU als met haar handelspartners, te vergemakkelijken, maar dan wel met grote aandacht voor de rechten en vrijheden van natuurlijke personen. Het internet heeft een ongekende mate van connectiviteit, zelfexpressie en ruimte voor het leveren van waarde aan bedrijven en consumenten mogelijk gemaakt. Desalniettemin is privacy belangrijker dan ooit voor Europeanen. Volgens de Eurobarometer-enquête over gegevensbescherming van juni 2015⁽⁸⁾ vertrouwen ruim zes op de tien burgers internetbedrijven niet en maakt twee derde zich zorgen dat ze geen volledige controle hebben over de informatie die zij online verstrekken.

Het gewijzigde kader moet de normen voor natuurlijke personen handhaven en, waar mogelijk, verhogen. Het hervormingspakket gegevensbescherming werd op de eerste plaats voorgesteld als een instrument om „de privacy online beter te waarborgen” door te verzekeren dat mensen „beter worden geïnformeerd over hun rechten en meer controle krijgen over informatie die over hen is opgeslagen”⁽⁹⁾. Vertegenwoordigers van maatschappelijke organisaties hebben de Europese Commissie in april 2015 geschreven om de instellingen dringend te verzoeken deze intenties trouw te blijven⁽¹⁰⁾.

De bestaande beginselen die zijn vastgelegd in het Handvest — primair recht van de EU moeten consequent en op voortvarende en innovatieve wijze worden toegepast, zodat ze in de praktijk ook werken voor de burger. De hervorming moet grondig zijn, vandaar de keuze voor een pakket. Omdat gegevensverwerking waarschijnlijk echter onder meerdere rechtsinstrumenten zal vallen, moet er duidelijkheid zijn over het precieze toepassingsgebied van deze instrumenten en over de wijze waarop ze samenwerken, zonder mazen die ruimte open laten voor de verwatering van de waarborgen⁽¹¹⁾.

Voor de EDPS is de waardigheid van natuurlijke personen het uitgangspunt dat uitstijgt boven kwesties van louter juridische naleving⁽¹²⁾. Onze aanbevelingen zijn gebaseerd op een beoordeling van elk artikel van de GDPR, zowel afzonderlijk als cumulatief, waarbij de vraag centraal staat of het betreffende artikel de positie van natuurlijke personen zal versterken ten opzichte van hun positie onder het huidige kader. Het referentiepunt wordt gevormd door de beginselen die de kern uitmaken van gegevensbescherming, dat wil zeggen, artikel 8 van het Handvest van de grondrechten⁽¹³⁾.

1.1. Definities: laten we duidelijk zijn over wat persoonsgegevens zijn

Natuurlijke personen moeten hun rechten met betrekking tot alle gegevens op basis waarvan zij kunnen worden geïdentificeerd of onderscheiden, effectiever kunnen uitoefenen, ook als de gegevens als „pseudoniem” worden beschouwd⁽¹⁴⁾.

1.2. Alle gegevensverwerking moet zowel rechtmatig als gerechtvaardigd zijn

—

De eisen die inhouden dat alle gegevensverwerking moet worden beperkt tot specifieke doeleinden en moet plaatsvinden op een geldige rechtsgrond, zijn cumulatief, geen alternatieven. Wij bevelen aan om elke ineenschuiving, en daarmee verzwakking, van deze beginselen te vermijden. In plaats daarvan zou de EU de gevestigde notie dat persoonsgegevens alleen mogen worden gebruikt op manieren die verenigbaar zijn met de oorspronkelijke doeleinden waarvoor ze zijn verzameld, moeten bewaken, vereenvoudigen en operationaliseren⁽¹⁵⁾.

—

Toestemming is een van de mogelijke rechtsgronden voor verwerking, maar we moeten dwingende aankruisvakjes vermijden wanneer er voor natuurlijke personen geen zinvolle keuze is en wanneer er helemaal geen noodzaak is om gegevens te verwerken. Wij bevelen aan om mensen in staat te stellen om hetzij algemene toestemming hetzij beperkte toestemming, bijvoorbeeld voor klinisch onderzoek, te geven, die wordt geëerbiedigd en die ook weer kan worden ingetrokken⁽¹⁶⁾.

—

De EDPS steunt deugdelijke, innovatieve oplossingen voor internationale doorgiften van persoonsgegevens die gegevensuitwisselingen vergemakkelijken en de beginselen van gegevensbescherming en -toezicht eerbiedigen. Vanwege de ontoereikende bescherming voor natuurlijke personen, ontraden wij ten zeerste doorgiften op basis van gerechtvaardigde belangen van de voor de verwerking verantwoordelijke toe te staan. De EU mag evenmin de deur openzetten voor directe toegang door autoriteiten van andere landen tot gegevens die zich in de EU bevinden. Een verzoek om doorgifte gedaan door autoriteiten in een derde land mag slechts worden ingewilligd wanneer de desbetreffende autoriteit de in verdragen betreffende wederzijdse rechtshulp, internationale overeenkomsten of andere rechtsmiddelen voor internationale samenwerking vastgestelde normen eerbiedigt⁽¹⁷⁾.

1.3. Onafhankelijker en gezaghebbender toezicht

—	De gegevensbeschermingsautoriteiten van de EU moeten klaarstaan om hun taken uit te oefenen zodra de GDPR in werking treedt, waarbij het Europees Comité voor gegevensbescherming volledig operationeel moet zijn zodra de verordening van toepassing wordt⁽¹⁸⁾.

—	Autoriteiten moeten kennis kunnen nemen van klachten en vorderingen van betrokkenen of organen, organisaties en verenigingen en moeten deze kunnen onderzoeken.

—

De handhaving van afzonderlijke rechten vereist een effectief systeem van aansprakelijkheid en vergoeding voor door onrechtmatige gegevensverwerking veroorzaakte schade. Gezien de duidelijke belemmeringen die er in de praktijk bestaan om schadeloosstelling te verkrijgen, moeten natuurlijke personen zich in gerechtelijke procedures kunnen laten vertegenwoordigen door organen, organisaties en verenigingen⁽¹⁹⁾.

2. Voorschriften die in de praktijk werken

Waarborgen mogen niet worden verward met formaliteiten. Buitensporige detaillering of pogingen tot micromanagement van bedrijfsprocessen lopen het gevaar in de toekomst achterhaald te raken. We kunnen hier een voorbeeld nemen aan het mededingingshandboek van de EU, waarin een relatief beperkte hoeveelheid secundaire wetgeving streng wordt gehandhaafd en bij ondernemingen een cultuur van verantwoordelijkheid en bewustzijn bevordert⁽²⁰⁾.

Elk van de drie teksten eist meer duidelijkheid en eenvoud van de voor de verwerking van persoonsgegevens verantwoordelijken⁽²¹⁾. Evenzo moeten technische verplichtingen beknopt en op een gemakkelijk te begrijpen manier worden geformuleerd om door de voor de verwerking verantwoordelijken juist te kunnen worden uitgevoerd⁽²²⁾.

Bestaande procedures zijn niet heilig: onze aanbevelingen hebben ten doel manieren vast te stellen om minder bureaucratisch te werk te gaan en de voorschriften inzake documentatie en irrelevante formaliteiten tot een minimum te beperken. Wij bevelen aan om uitsluitend wetgeving op te stellen wanneer dit werkelijk nodig is. Dit schept manoeuvreerruimte, of dat nu voor ondernemingen, overheidsinstanties of gegevensbeschermingsautoriteiten is: een ruimte die moet worden opgevuld door verantwoordingsplicht en richtsnoeren van gegevensbeschermingsautoriteiten. In het algemeen zullen onze aanbevelingen een tekst voor de GDPR opleveren die bijna 30 % korter is dan de gemiddelde lengte van de teksten van de drie instellingen⁽²³⁾.

2.1. Effectieve waarborgen, geen procedures

—

Documentatie zou een middel moeten zijn om tot naleving te komen, geen doel op zich; de hervorming moet zich richten op resultaten. Wij bevelen een schaalbare aanpak aan die de documentatieverplichtingen van de voor de verwerking verantwoordelijken beperkt tot één gedragslijn voor de manier waarop zij zullen voldoen aan de verordening, waarbij rekening wordt gehouden met de risico’s en waarbij de naleving op transparante wijze wordt aangetoond, of dat nu is voor doorgiften, overeenkomsten met verwerkers of meldingen van inbreuken⁽²⁴⁾.

—

Op basis van expliciete criteria voor de risicobeoordeling en op grond van onze ervaring met het houden van toezicht op de EU-instellingen, bevelen wij aan om melding van inbreuken op de gegevensbescherming aan de toezichthoudende autoriteit, alsook effectbeoordelingen op het gebied van gegevensbescherming uitsluitend te eisen wanneer de rechten en vrijheden van de betrokkenen gevaar lopen⁽²⁵⁾.

—	Initiatieven van het bedrijfsleven, hetzij via bindende bedrijfsvoorschriften of door privacyzegels, moeten actief worden aangemoedigd⁽²⁶⁾.

2.2. Een beter evenwicht tussen algemeen belang en bescherming van persoonsgegevens

—

Voorschriften inzake gegevensbescherming mogen historisch, statistisch of wetenschappelijk onderzoek dat werkelijk in het algemeen belang is, niet hinderen. De verantwoordelijken moeten de noodzakelijke regelingen treffen om te voorkomen dat persoonsgegevens worden gebruikt op een wijze die indruist tegen het belang van natuurlijke personen, door speciale aandacht te schenken aan de voorschriften inzake gevoelige gegevens zoals gezondheidsgegevens⁽²⁷⁾.

—	Onderzoekers en archivarissen moeten gegevens kunnen opslaan zolang als nodig is, mits deze waarborgen in acht worden genomen⁽²⁸⁾.

2.3. Toezichthoudende autoriteiten vertrouwen en hun rol versterken

—

Wij bevelen aan om toezichthoudende autoriteiten toe te staan richtsnoeren te verstrekken aan voor de gegevensverwerking verantwoordelijken en om hun eigen interne reglement van orde op te stellen in de geest van een vereenvoudigde, gemakkelijkere toepassing van de GDPR door één enkele toezichthoudende autoriteit (het „éénloketsysteem”) dicht bij de burger („nabijheid”)⁽²⁹⁾.

—	Autoriteiten moeten op basis van alle relevante omstandigheden effectieve, proportionele en afschrikkende corrigerende en administratieve sancties kunnen vaststellen⁽³⁰⁾.

3. Voorschriften die een generatie lang meegaan

De belangrijkste pijler van het huidige kader, Richtlijn 95/46/EG, heeft model gestaan voor verdere wetgeving inzake gegevensbescherming in de EU en wereldwijd en heeft zelfs de basis verschaft voor de formulering van het recht op bescherming van persoonsgegevens in artikel 8 van het Handvest van de grondrechten. Deze hervorming zal voor een generatie die geen bewuste herinnering heeft aan een leven zonder internet, vorm geven aan gegevensverwerking. De EU moet daarom volledig inzicht hebben in de gevolgen van deze wet voor natuurlijke personen, alsmede de duurzaamheid daarvan in het licht van de technologische ontwikkelingen.

In de afgelopen jaren is het genereren, het verzamelen, de analyse en de uitwisseling van persoonsgegevens als gevolg van technologische vernieuwingen zoals het internet der dingen, cloud computing, big data en open data exponentieel toegenomen. De EU beschouwt de benutting daarvan als essentieel voor haar concurrentievermogen⁽³¹⁾. Te oordelen naar de lange levensduur van Richtlijn 95/46/EG is het redelijk te verwachten dat een vergelijkbare periode zal verstrijken tot de volgende grote herziening van de voorschriften inzake gegevensbescherming, die mogelijk pas eind jaren dertig zal plaatsvinden. Waarschijnlijk zullen gegevensgestuurde technologieën ruim voor die tijd zijn geconvergeerd met kunstmatige intelligentie, verwerking van natuurlijke taal en biometrische systemen, waarmee toepassingen via machinaal leren geavanceerde intelligentie zullen kunnen ontwikkelen.

Deze technologieën stellen de beginselen van gegevensbescherming op de proef. Een toekomstgerichte hervorming moet daarom zijn gebaseerd op de waardigheid van het individu en moet rekening houden met ethische overwegingen. Zij moet het evenwicht herstellen tussen innovatie in de bescherming van persoonsgegevens en het gebruik van die gegevens, door te zorgen voor effectieve waarborgen in onze gedigitaliseerde samenleving.

3.1. Verantwoorde bedrijfspraktijken en innovatieve technologie

—

De hervorming moet de recente trend in de richting van het heimelijk volgen van natuurlijke personen en het nemen van besluiten op basis van profielen die voor hen verborgen blijven, omkeren. Het probleem is niet gerichte reclame of de praktijk van het profileren, maar veeleer het ontbreken van zinvolle informatie over de algoritmische logica die deze profielen opstelt en die van invloed is op de betrokkene⁽³²⁾. Wij bevelen volledigere transparantie van de voor de verwerking verantwoordelijken aan.

—

Wij scharen ons volledig achter de invoering van de beginselen van gegevensbescherming by design en by default als middelen om marktgerichte oplossingen in de digitale economie te stimuleren. Wij bevelen aan om de eis dat de rechten en belangen van natuurlijke personen worden geïntegreerd in de productontwikkeling en de standaardinstellingen, eenvoudiger te formuleren⁽³³⁾.

3.2. Weerbare natuurlijke personen

Gegevensoverdraagbaarheid is in de digitale omgeving de toegangspoort tot de gebruikerscontrole, waarvan natuurlijke personen nu beseffen dat zij die niet hebben. Wij bevelen aan om directe doorgifte van gegevens van de ene voor de verwerking verantwoordelijke naar de andere voor de verwerking verantwoordelijke op verzoek van de betrokkene mogelijk te maken en om betrokkenen recht te geven op het ontvangen van een kopie van de gegevens, die zij zelf kunnen doorgeven aan een andere voor de verwerking verantwoordelijke⁽³⁴⁾.

3.3. Toekomstbestendige voorschriften

Wij bevelen aan om taal en praktijken die waarschijnlijk achterhaald zullen raken of aanvechtbaar zullen worden, te vermijden⁽³⁵⁾.

4. Openstaande kwesties

De vaststelling van een toekomstgericht Europees hervormingspakket gegevensbescherming zal een indrukwekkende, maar desalniettemin onvolkomen prestatie zijn.

Alle instellingen zijn het erover eens dat de beginselen van de GDPR consistent op EU-instellingen van toepassing moeten zijn. Wij hebben rechtszekerheid en uniformiteit van het rechtskader bepleit, maar accepteren het unieke karakter van de overheidssector van de EU en de noodzaak om verwatering van het huidige niveau van de verplichtingen te voorkomen (alsook de noodzaak de juridische en organisatorische basis voor de EDPS te verschaffen). De Commissie moet daarom zo snel mogelijk na afronding van de besprekingen over de GDPR een voorstel voor de herziening van Verordening (EG) nr. 45/2001 doen dat consistent is met de GDPR, zodat beide teksten tegelijkertijd van toepassing kunnen worden⁽³⁶⁾.

Op de tweede plaats is het duidelijk dat Richtlijn 2002/58/EG (de „richtlijn e-privacy”) zal moeten worden gewijzigd. Wat nog veel belangrijker is, is dat de EU een duidelijk kader nodig heeft voor het vertrouwelijke karakter van communicatie, een integraal element van het recht op persoonlijke levenssfeer, dat van toepassing is op alle diensten die communicatie mogelijk maken, niet alleen op aanbieders van openbare elektronische-communicatiediensten. Dit kader moet de vorm aannemen van een rechtszekere en harmoniserende verordening die voorziet in ten minste dezelfde beschermingsnormen als de richtlijn e-privacy, bij gelijke concurrentievoorwaarden.

Dit advies beveelt daarom aan om op te roepen tot een zo spoedig mogelijke vaststelling van voorstellen op deze twee gebieden.

5. Een beslissend moment voor digitale rechten in Europa en daarbuiten

Voor het eerst in een generatie heeft de EU nu de kans om de voorschriften inzake de omgang met persoonsgegevens te moderniseren en te harmoniseren. Persoonlijke levenssfeer en gegevensbescherming zijn geen concurrenten van economische groei en internationale handel, noch van geweldige diensten en producten — ze maken deel uit van de kwaliteits- en waardepropositie. Zoals de Europese Raad onderkent, is vertrouwen een noodzakelijke voorwaarde voor innovatieve producten en diensten die steunen op de verwerking van persoonsgegevens.

De EU was in 1995 een wegbereider voor gegevensbescherming. Tegenwoordig hebben wereldwijd meer dan honderd landen wetgeving inzake gegevensbescherming, waarvan nog niet de helft Europese landen zijn⁽³⁷⁾. De EU krijgt desondanks nog steeds veel aandacht van landen die overwegen een rechtskader vast te stellen of hun rechtskader te herzien. In een tijd waarin het vertrouwen van mensen in bedrijven en overheden is beschadigd door onthullingen over grootschalige controle en inbreuken op de gegevensbescherming, brengt dit een aanzienlijke verantwoordelijkheid met zich mee voor de wetgevers van de EU, van wie de beslissingen dit jaar naar verwachting gevolgen buiten Europa kunnen hebben.

In de ogen van de EDPS zijn de teksten van de GDPR op de goede weg, maar blijven er zorgen bestaan, waarvan enkele zeer ernstige. Bij de medebeslissingsprocedure bestaat altijd het risico dat sommige bepalingen door goedbedoelende onderhandelaars op zoek naar een politiek compromis worden afgezwakt. Wat de hervorming van de gegevensbescherming betreft moet dit echter anders liggen, want we hebben te maken met grondrechten en de manier waarop deze voor de duur van een generatie zullen worden gewaarborgd.

Dit advies probeert op die basis de belangrijkste instellingen van de EU te helpen problemen op te lossen. We willen niet alleen sterkere rechten voor de afzonderlijke betrokkenen en een grotere verantwoordingsplicht voor de voor de verwerking verantwoordelijken; we willen innovatie bevorderen met een rechtskader dat technologieneutraal is, maar positief staat tegenover de voordelen die de technologie de samenleving kan brengen.

Nu de onderhandelingen in de eindfase verkeren, hopen wij dat onze aanbevelingen de EU zullen helpen om over de eindstreep te komen met een hervorming die in de komende jaren en decennia geschikt zal blijven voor haar doel: een nieuw hoofdstuk voor gegevensbescherming met een mondiaal perspectief, en een EU die het goede voorbeeld geeft.

Gedaan te Brussel, 27 juli 2015.

Giovanni BUTTARELLI

Europese toezichthouder voor gegevensbescherming

„1.	Eenieder heeft recht op bescherming van zijn persoonsgegevens.

Deze gegevens moeten eerlijk worden verwerkt, voor bepaalde doeleinden en met toestemming van de betrokkene of op basis van een andere gerechtvaardigde grondslag waarin de wet voorziet. Eenieder heeft recht op inzage in de over hem verzamelde gegevens en op de rectificatie daarvan.

3.	Een onafhankelijke autoriteit ziet erop toe dat deze regels worden nageleefd.”.

—	de afzonderlijke gegevensbeschermingsautoriteit, die krachtig is en over alle middelen beschikt om zaken binnen haar bevoegdheidsgebied te behandelen;

—	effectieve samenwerking tussen de gegevensbeschermingsautoriteiten en met een duidelijke hoofdautoriteit in grensoverschrijdende zaken;

—

het Europees Comité voor gegevensbescherming, dat zelfstandig moet zijn, met eigen rechtspersoonlijkheid, met voldoende middelen, bestaande uit gelijkwaardige gegevensbeschermingsautoriteiten die in een geest van solidariteit samenwerken, met de bevoegdheid om bindende besluiten te nemen en ondersteund door een secretariaat dat het Comité dient via de voorzitter.