Tag

Op 14 april 2016 heeft het Europese Parlement de General Data Protection Regulation/Algemene Verordening Persoonsgegevens (hierna de “Verordening”) goedgekeurd.

Deze goedkeuring is het eindpunt van een vier jaar durende inspanning van de Europese wetgever om het huidig wetgevend kader met betrekking tot de bescherming van persoonsgegevens te updaten, te optimaliseren en te harmoniseren. De Verordening, die rechtstreeks toepassing zal vinden in alle lidstaten zonder dat omzetting in de nationale rechtsordes vereist is, zal de huidige Richtlijn 95/46/EC vervangen.

Hieronder worden kort enkele belangrijke wijzigingen opgelijst:

• Responsabilisering van de verwerkers (diegenen die op instructie van de verantwoordelijke van de verwerking de persoonsgegevens verwerken) door enerzijds het opleggen van verplichtingen en anderzijds het instellen van sanctiemechanismen (onder het vigerend kader rusten de verplichtingen op de verantwoordelijke voor de verwerking en kan enkel de verantwoordelijke voor de verwerking worden aangesproken);
• Het herdefiniëren van het criterium van de toestemming om gegevens te verwerken, waarbij een duidelijke en actieve toestemming vereist is;
• Het versterken van de rechten van diegene wiens persoonsgegevens worden verwerkt door het introduceren van het recht om vergeten te worden (door het verwijderen van opgeslagen persoonsgegevens) en het recht om persoonsgegevens op gemakkelijke wijzen over de dragen naar een andere dienstverlener. Bijkomend dient ook op meer transparante wijze informatie verschaft te worden aan deze betrokkenen en moeten zij in bepaalde gevallen op de hoogte worden gesteld van inbreuken op de bescherming van hun persoonsgegevens;
• De introductie van de figuur van de Data Protection Officer/Functionaris voor de Gegevensbescherming die zal moeten worden aangesteld in ondernemingen die aan bepaalde criteria voldoen. Deze functionaris dient toezicht te houden op te verwerkingen.
• Introductie van enkele nieuwe concepten, zoals “privacy by design” and “privacy by default”, waarbij wordt uitgegaan van de regel dat ondernemingen gedurende de hele productiecyclus oog moeten hebben voor de bescherming van persoonsgegevens en waarbij het uitgangspunt in ieder geval een minimale verwerking van persoonsgegevens dient te zijn;
• De verplichtingen om een privacyeffectenbeoordeling uit te voeren in bepaalde gevallen waarbij er een risico bestaat dat verwerking van persoonsgegevens een gevaar vormt voor de bescherming ervan;
• Het instellen van een “one-stop shop” voor ondernemingen met verschillende vestigingen in de Europese Unie, waarbij één toezichthoudende autoriteit zal optreden als aanspreekpunt;
• Uitbreiding van het toepassingsgebied van de Verordening tot derde landen onder bepaalde voorwaarden.

De finale tekst zal in de komende weken in het Publicatieblad van de Europese Unie gepubliceerd worden. De inwerkingtreding staat vastgesteld op 20 dagen na de publicatie. De nieuwe regels zullen dan twee jaar later toepassing vinden. Dit betekent dat ondernemingen nog twee jaar de tijd hebben om zich de nieuwe regels eigen te maken, zodat zij met kennis van zaken en met inachtneming van hun gewijzigde verplichtingen het vernieuwde speelveld zullen kunnen betreden.

Op 16 juni heeft Article 29 Working Party (WP29) haar advies (01/2015) omtrent de verwerking van persoonsgegevens in het kader van het gebruik van drones gepubliceerd.

Advies

In haar advies erkent WP29 de sociale en economische voordelen van de integratie van drones in de Europese luchtvaartmarkt maar wijst anderzijds ook op de gevaren en risico’s die het gebruik van dergelijke remotely piloted aircraft systems (RPAS) met zich meebrengen. Door hun techniciteit en beweeglijkheid kunnen drones immers enorme hoeveelheden data verzamelen over grote gebieden. Bepaalde van deze data kan persoonsgegevens bevatten (e.g. afbeeldingen, geluiden, geolocaties). Zonder duidelijke regels is het risico op misbruik van deze gegevens niet ver weg.

WP29 stelt dat hoewel een specifieke wetgeving omtrent bescherming van persoonsgegevens in het kader van het gebruik van drones ontbreekt, de EU richtlijn betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens (95/46/EG) wel van toepassing is.

In haar advies geeft WP29 tevens een aantal aanbevelingen voor (i) gebruikers van drones, (ii) fabrikanten en (iii) de nationale en Europese regelgeving.

In eerste instantie stelt WP29 dat de drone gebruiker onder andere:

• moet nagaan of het nationale recht het gebruik van drones toestaat en of er voorafgaande toestemming nodig is van de burgerlijke luchtvaartautoriteit;
• een manier moet vinden om de mensen voorafgaandelijk op de hoogte te brengen over de verwerking van hun persoonsgegevens (e.g. door het verspreiden van folders aan het publiek als drones worden gebruikt tijdens een publiek evenement);
• enkel persoonsgegevens mag verwerken voor zover hierbij het redelijkheids- en proportionaliteitsbeginsel worden nageleefd;
• alle passende veiligheidsmaatregelen moet nemen;
• alle onnodig verzamelde persoonsgegevens zo spoedig mogelijk moet verwijderen of anonimseren.

Aan fabrikanten beveelt de werkgroep aan om:

• zoveel mogelijk gebruik te maken van zogenaamde privacy friendly designs;
• procedures en policies op te stellen (e.v. via de data protection officer) die de impact van drones op het recht van individuen zoveel mogelijk evalueren.

Tenslotte beveelt WP29 aan de nationale en Europese regelgevende instanties aan om specifieke regels in te voeren die een verantwoord gebruik van drones toelaten.

De volledige tekst van het advies kan worden geraadpleegd op http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2015/wp231_en.pdf

Situatie in België

Voorlopig ontbreekt in België een aangepaste dronewetgeving. Drones mogen in België in principe ook niet worden gebruikt. Op 31 maart 2015 kondigde minister van Mobiliteit Jacqueline Galant (MR) echter aan dat België nog dit jaar een nieuwe wettelijke regeling voor onbemande vliegtuigjes zou krijgen.

Naast de nieuwe wetgeving zal ook de wetgeving over het gebruik van het luchtruim en de privacywet van toepassing zijn (van zodra er persoonsgegevens worden verwerkt). Is er een camera op de drone gemonteerd, kan ook de camerawet van toepassing zijn.

De Belgische Privacycommissie zet op haar website uiteen welke verplichtingen de privacywetgeving en de camerawet opleggen aan de gebruikers van drones. Belangrijkste verplichting is de aanmelding van het gebruik van de drone bij de Privacycommissie.[1]

Voor meer vragen kan u contact opnemen met Mathias Baert (mathias.baert@questa-law.be).

[1] http://www.privacycommission.be/nl/nieuws/privacycommissie-beantwoordt-veelgestelde-vragen-over-drones

E-Health: de verwerking van gezondheidsgegevens via applicaties op je iPhone – iWatch – etc- “Working Party 29” verduidelijkt het toepassingsgebied

Dezer dagen zetten bedrijven als Apple en Samsung meer en meer in op de ontwikkeling van gezondheidsapplicaties. Het gaat hier over de zogenaamde “smart watches” en arm-/polsbanden die gezondheidsinformatie over de “user” verzamelen. Maar al te vaak beseffen de gebruikers van zulke applicaties niet dat hun gezondheidsgegevens worden verwerkt met mogelijks negatieve gevolgen voor hun privéleven. Het is hierbij dan ook van belang dat gebruikers bewust zijn of worden van de gevoelige data die zij ter beschikking stellen aan deze ondernemingen.

We dienen te benadrukken dat gezondheidsgegevens tot een beter beschermde categorie van data behoren. Maar ingevolge de toename van het aantal gezondheidsapplicaties, heeft de “Working Party 29” (hierna: WP 29) in februari van dit jaar een verduidelijking gegeven over welke data als gezondheidsgegevens dienen te worden beschouwd. Persoonlijke data wordt als gezondheidsdata aanzien wanneer:

1. de data inherent/duidelijk medische data zijn;
2. de data ruwe sensorgegevens zijn die kunnen worden gebruikt op zichzelf of in combinatie met andere data om tot een besluit te komen over de actuele gezondheidstoestand of gezondheidsrisico van een persoon; of
3. conclusies worden getrokken over een persoon zijn persoonlijke gezondheidsstatus of gezondheidsrisico (ongeacht of deze conclusies accuraat of inaccuraat, wettig of onwettig, of anderszins adequaat of inadequaat zijn).

Daarenboven verduidelijkt WP 29 dat wanneer de data niet worden verstuurd en/of verwerkt buiten het toestel, de verplichtingen van de richtlijn 95/46/EG niet van toepassing zijn (zie art. 3, 2 richtlijn 95/46/EG). Maar wanneer de verwerking van deze gegevens echter wel plaatsvinden buiten het toestel worden deze enkel toegestaan in de gevallen zoals bepaald in artikel 8 (2), (3), en (4) van richtlijn 95/46/EG.

Maar niet alle informatie die wordt verzameld via “health applications” zijn gezondheidsgegevens in de zin van artikel 8 van de richtlijn, e.g. de registratie, via een applicatie op je iPhone, van het aantal stappen gedurende een wandeling zal niet volstaan om een besluit te maken over jouw gezondheidsstatus. In dit kader waarschuwt WP 29 in haar annex voor data die zich in de zogenaamde “grijze zone” bevinden. In deze gevallen is het niet altijd even evident om te bepalen of de verzamelde data “gezondheidsgegevens” omvatten of niet.

WP 29 benadrukt wel dat niet enkel de aard van de data, maar ook de bestemming van deze gegevens in acht moet worden genomen bij de toetsing of de data te kwalificeren zijn als gezondheidsgegevens. Zo zal bijvoorbeeld een 1-mailge registratie van data betreffende een persoon zijn gewicht of bloeddruk (zonder bijkomende informatie over leeftijd of geslacht) niet volstaan om een conclusie te treffen over de gezondheidstoestand van deze persoon. Maar indien deze gegevens worden verzameld voor een bepaalde periode en in combinatie met de gebruiker zijn leeftijd en geslacht staat dit ons wel toe om een besluit te maken over de gezondheidsstatus van deze persoon.

Annex Working Party 29 – Health data in apps and devices

België is al lang een van de minder actieve EU-staten op het gebied van het optreden tegen inbreuken op de privacy en de verwerking van persoonsgegevens. Dit valt deels te verklaren door het feit dat de Belgische Privacycommissie weinig tot geen handhavingsbevoegdheid heeft. Volgens staatssecretaris voor de Privacy Bart Tommelein (Open VLD) komt hier tegen eind dit jaar verandering in en zal de Privacycommissie zelf kunnen optreden tegen bedrijven en particulieren die de wetten op de bescherming van de privacy overtreden.

Wanneer de Privacycommissie op heden een inbreuk vaststelt, kan zij zelf geen boetes opleggen. Wenst zij toch te sanctioneren dan dient zij een burgerlijke procedure op te starten bij de rechtbank van eerste aanleg of een klacht in te dienen bij het parket. Daar strafrechtelijke vervolging van inbreuken op de privacywet vrijwel onbestaande is, leidt dit in de praktijk tot een feitelijke straffeloosheid.

In aanloop naar de nieuwe EU-Verordening inzake de verwerking van persoonsgegevens in 2013 had de Privacycommissie er bij de regering reeds op aangedrongen om haar robuustere handhavingsbevoegdheden te verlenen. Deze oproep heeft nu gehoor gekregen. Zo zou de Privacycommissie in de toekomst de rol van toezichthouder krijgen, zoals er ook een in de energie- en telecomsector bestaat. Als toezichthouder zal zij tevens de mogelijkheid krijgen om boetes uit te delen.

Over de omvang van de boetes wou Tommelein zich niet uitspreken maar de voorzitter van de Privacycommissie, Willem Debeuckelaere, denkt dat die, net als bij energie- en telecomregulator, kunnen gaan van EUR 250 tot EUR 20.000. De omvang van de boete zal afhangen van de grootte van de inbreuk, de nalatigheid van een bedrijf of particulier en de inspanningen om het probleem op te lossen. Hoewel deze bedragen aanzienlijk lager zijn dan de maximale strafrechtelijke boete van EUR 600.000 die bedrijven kunnen oplopen in het (onwaarschijnlijke) geval van vervolging en niet eens in de buurt komen van de omvang van de potentiële boetes die in het kader van de toekomstige EU-Verordening worden overwogen, is dit een belangrijke stap in bescherming van het ongeoorloofd gebruik van persoonsgegevens.

Het Grondwettelijk Hof heeft op 11 juni 2015 geoordeeld dat de Belgische Dataretentiewet in strijd is met het gelijkheidsbeginsel, het principe van non-discriminatie en het recht op eerbiediging van het privéleven.

De wet van 30 juli 2013 (hierna Datareteniewet) hield een wijziging in van de artikelen 2, 126 en 145 van de wet van 13 juni 2005 betreffende de elektronische communicatie en van artikel 90decies van het Wetboek van strafvordering. De Dataretentiewet bepaalde dat telefonische en andere elektronische communicatiegegevens voor een periode van 12 maanden door de telecomoperatoren dienden te worden bijgehouden. Overeenkomstig artikel 5, lid 5 van de Dataretentiewet mochten er weliswaar geen gegevens worden bewaard waaruit de inhoud van de communicatie kon worden opgemaakt.

Ingevolge het arrest van het Grondwettelijk Hof, dd. 11 juni 2015 (nr. 84/2015), is aan deze bewaarverplichting een einde gekomen. De telecomproviders in België zijn niet langer verplicht om telefoniegegevens en internetdata een jaar lang te bewaren.

Het beroep tot gedeeltelijke (artikel 5) of gehele vernietiging van de Dataretentiewet werd respectievelijk ingesteld door de Orde van Franstalige en Duitstalige advocaten en door de Ligue des Droits de l’homme en de Liga voor Mensenrechten. Zij waren allen van mening dat de huidige Dataretentiewet in strijd was met het recht op privacy en eisten bijgevolg de vernietiging van de wet.

Het Grondwettelijk Hof verklaarde derhalve de vordering gegrond en volgde in haar arrest de redenering van het Hof van Justitie, die in april 2014 de Europese Dataretentierichtlijn ongeldig verklaarde. Volgens het Hof van Justitie is de bewaarplicht “een zeer omvangrijke en bijzonder ernstige inmenging in de fundamentele rechten op eerbiediging van het privéleven en op bescherming van persoonsgegevens zonder dat deze inmenging tot het strikt noodzakelijke beperkt blijft”.

Om dezelfde redenen heeft het Grondwettelijk Hof vastgesteld dat de Belgische wetgever de grenzen van het evenredigheidsbeginsel heeft overschreden overeenkomstig de artikelen 7, 8 en 52, lid 1 van het Handvest van de grondrechten van de Europese Unie.

Paradoxaal genoeg mogen telecomoperatoren nog steeds op vrijwillige basis telecommunicatiegegevens bijhouden aangezien dit door Europa is toegestaan. Uit dit alles kunnen we stellen dat er op Europees niveau nog steeds moet worden gezocht naar een evenwicht tussen enerzijds het belang van waarheidsvinding en anderzijds het recht op privacy.

 Arrest Grondwettelijk Hof dd. 11 juni 2015 nr. 84/2015

Op 13 mei 2015 bracht de Belgische Privacycommissie een aanbeveling uit over het gebruik van de Facebook social plug- ins. Volgens deze aanbeveling schendt de wijze waarop Facebook het gedrag van de internet surfers bijhoudt de Belgische en Europese privacywetgeving. De Privacycommissie dreigt met juridische stappen indien Facebook de aanbeveling naast zich neerlegt.

Inleiding

Facebook ontvangt heel wat informatie over het surfgedrag van de internetgebruikers via social plug-ins op websites, zoals de “Vind ik leuk” of “Delen” knop. Op vraag van de Belgische Privacycommissie werd door de interuniversitaire onderzoeksgroep EMSOC/SPION een diepgaand onderzoek gedaan naar de wijze waarop Facebook omgaat met de persoonsgegevens van haar leden en niet- leden. De resultaten waren onthutsend: Facebook neemt een loopje met de Europese en Belgische privacywetgeving.

De Privacycommissie heeft vastgesteld dat Facebook de persoonsgegevens “verwerkt” van haar leden, gebruikers als elke internetgebruiker die in contact komt met de diensten en producten van Facebook. Zo gebeurt de tracking en tracing via de social plug- ins zonder de voorafgaandelijke (en ondubbelzinnige) toestemming. Verder ontbreekt elke transparantie en verschaft Facebook slechts geringe informatie over wat ze met de verwerkte informatie doet.

Aanbeveling

Op 13 mei 2015 bracht de Privacycommissie een eerste aanbeveling. Deze aanbeveling richt zich tot drie betrokken doelgroepen: (i) Facebook zelf, (ii) de uitbaters en eigenaars van websites die gebruik maken van social plug- ins en tenslotte (iii) de internetgebruikers.

i)               Facebook

In haar aanbeveling richt de Privacycommissie zich uitdrukkelijk tot Facebook en stelt zij een aantal punten voorop. Vooreerst mag Facebook slechts de internetactiviteiten van haar gebruikers volgen indien zij de ondubbelzinnige en voorafgaandelijke toestemming van de gebruiker heeft ontvangen. Daarnaast meent de Privacycommissie dat het systematisch verzamelen van informatie via social plug- ins (ook van niet- Facebook leden) buitensporig is, zeker als er geen interactie is met deze social plug- ins.

De aanbeveling stelt verder dat Facebook transparant moet zijn over de informatie die zij verzamelt en niet langer informatie mag verzamelen van niet- leden of van Facebook leden die zijn uitgelogd of hun account hebben opgezegd (tenzij zij daarvoor hebben geopteerd). Tenslotte mag Facebook slechts informatie van haar gebruikers verzamelen via cookies en social plug- ins voor zover dit strikt noodzakelijk is om een gebruiker een specifiek door hem gevraagde dienst te leveren. Andere informatie mag slechts worden verzameld indien en voor zover de gebruiker hiermee heeft toegestemd.

ii)              Uitbaters en eigenaars van websites

Volgens de Privacycommissie hebben eigenaars of uitbaters van websites die gebruik maken van de door Facebook aangeboden social plug- ins een verantwoordelijkheid met betrekking tot het gebruik van cookies door middel van social plug- ins op hun website. De eigenaars en uitbaters dienen de bezoekers van hun website behoorlijk te informeren. Bovendien moeten zij ook de toestemming verkrijgen voor cookies en andere metabestanden waarvan zij het hergebruik mogelijk niet beheerst.

De Privacycommissie beveelt dan ook aan om de bezoekers van de website duidelijk in te lichten over het gebruik van de cookies door middel van social plug- ins via het cookiebeleid van de website. Daarnaast valt het ook aan te raden om gebruik te maken van een instrument zoals “Social Share Privacy” om de toestemming van de gebruiker te verkrijgen. Via dergelijk instrument maken plug- ins van derde partijen slechts verbinding met de third party servers nadat de gebruiker de social plug- in heeft aangeklikt.

iii)            Internetgebruikers

Internetgebruikers kunnen zich op verschillende manieren beschermen tegen de verzameling van hun surfgedrag:

–        door de installatie van een browser add- on die tracking van het surfgedrag blokkeert (e.g. Privacy Badger, Ghostery, …)

–        door gebruik te maken van de “incognito” of “private navigation” modus van de browser. Deze functie zorgt ervoor dat de browser de sporen van het surfgedrag wist eens het venster wordt gesloten.

–        door zich uit te schrijven voor gerichte advertenties via de opt- out website van de European Interactive Digital Advertising Alliance (www.youronlinechoices.eu). Op die manier kan Facebook niet langer de informatie over het surfgedrag van haar leden gebruiken voor het aanbieden van gerichte reclame. Let wel: Facebook zal nog steeds informatie verzamelen, maar mag deze niet langer gebruiken voor advertentiedoeleinden.

Bevoegdheid van de Belgische Privacycommissie

De Facebook groep heeft in België slechts één onderneming (Facebook Belgium BVBA) die hoofdzakelijk als vehikel om te lobbyen werd opgericht. Omdat deze vennootschap geen persoonsgegevens van de Facebook gebruikers verwerkt, meent Facebook dat zij niet gebonden is door de nationale privacywetgeving van België. Volgens Facebook gebeurt de verwerking van persoonsgegevens enkel door haar Ierse vennootschap en dient zij dan ook enkel het toezicht van de Ierse Privacycommissie te aanvaarden.

De Belgische Privacycommissie verwerpt dit argument en stelt dat Facebook weldegelijk gebonden is door de Belgische privacywetgeving. Zij gebruikt hiervoor hetzelfde argument als het Europese Hof van Justitie in de bekende ‘right to be forgotten case’[1], namelijk dat de vraag of een bepaalde vennootschap (in casu Facebook België BVBA) persoonsgegevens verwerkt irrelevant is, indien de activiteiten van deze vennootschap onlosmakelijk verbonden zijn met deze van de groep (in casu de Facebook groep). Vermits dit het geval is bestaat er volgens de Privacycommissie geen twijfel over de toepasbaarheid van het Belgische recht.

Wat volgt?

Onder de huidige privacywetgeving kan de Privacycommissie zelf geen boetes opleggen.[2] Wel kan zij, waar nodig, een juridische procedure starten. De Privacycommissie dreigt er dan ook mee om een strafrechtelijke procedure op te starten indien Facebook de vooropgestelde aanbevelingen niet volgt. Deze zaak wordt dan ook ongetwijfeld vervolgd.

UPDATE maandag 15 juni 2015

De Privacycommissie heeft Facebook voor de rechtbank gedaagd. Het nieuws werd bevestigd door de voorzitter van de Privacycommissie, Willem Debeuckelaere, aan VRT nieuws. De zaak komt donderdag 18 juni voor in kort geding voor de burgerlijke rechtbank van eerste aanleg te Brussel.

Tekst aanbeveling Privacycommissie

[1] CJEU C-131/12, Google Spain SL, Google Inc. V Agencia Española de Protección de Datos, Mario Costeja González (13 mei 2014).

[2] Dit kan tegen eind dit jaar mogelijks wijzigen.