Te weinig privacywaarborgen in Dataverordening
Hoewel de economische effecten van de Dataverordening nog niet duidelijk zijn, 'zijn de verwachte baten aanzienlijk hoger dan de kosten’.
De gegevens van burgers moeten betere bescherming krijgen in de Dataverordening. Het is niet zo dat dit voorstel bedrijven standaard toegang verleent tot de data van gebruikers, maar het maakt het te makkelijk voor overheden om gegevens op te vragen. Minister Adriaansens (Economische Zaken, VVD) en staatssecretaris Van Huffelen (Digitalisering, D66) reageren op de zorgen van Eerste Kamerleden over de belangrijke Europese wetgeving.
Datarace
Adriaansens en Van Huffelen zijn positief over de verwachte opbrengsten van de Data Act of Dataverordening, die het delen van data moet bevorderen. ‘Hoewel de uiteindelijke effecten van de Dataverordening op de economische groei nog afhangen van verschillende factoren’, schrijven ze, ‘zijn de verwachte baten aanzienlijk hoger dan de kosten.’ De verordening is een poging van Europa om meer grip te krijgen en een volgende stap in de datarace.
Maar het huidige voorstel voor de verordening ‘laat teveel ruimte aan overheden om naar eigen inzicht gegevens op te vragen en biedt onvoldoende waarborgen’. Overheden kunnen bij algemene noodsituaties gegevens opvragen, maar de definitie van ‘uitzonderlijke noodzaak’ is bijvoorbeeld ruim en abstract geformuleerd. Het kabinet gaat voorstellen doen om dit te verhelpen.
En de verhouding tussen de Dataverordening en de AVG-privacywetgeving moet duidelijk zijn. De Autoriteit Persoonsgegevens (AP) en de Europese privacywaakhond EDPB vrezen een verzwakking van de AVG. ‘Het moet duidelijk zijn dat de Dataverordening geen enkele afbreuk doet aan de AVG.’
Geen nieuwe toezichthouder
Het kabinet ziet geen noodzaak, zoals de EDPB wel aanraadde, om een nieuwe toezichthouder in te richten. De bestaande toezichthouders zoals de AP zouden daar voldoende geschikt voor zijn. Versnippering van toezicht blijft wel een belangrijk aandachtspunt. ‘Het waarborgen van samenhang in het toezicht, coördinatie tussen de betrokken toezichthouders en de opbouw van expertise bij toezichthouders blijven wel aandachtspunten voor het brede pakket aan digitaliseringswetten dat in EU-verband wordt opgesteld.’
Het is niet zo dat de Dataverordening bedrijven standaard toegang tot data van gebruikers verleent: ‘Alleen op verzoek van de gebruiker kunnen derde partijen toegang krijgen tot data uit Internet-of-Things(IoT)-producten. Bedrijven mogen deze data ook alleen gebruiken voor het specifieke met de gebruiker overeengekomen doel.’ (Het gaat hier om niet-persoonlijke data – voor persoonsgegevens geldt de AVG in ieder geval.)
Een van de opmerkingen luidt: ‘Data is geld waard en dat heeft de consument vaak niet in de gaten.’ Het kabinet is het ermee eens dat consumenten zich bewust moeten zijn van de keuze om data te delen en de gevolgen daarvan. Voor die bewustwording zijn er de voorlichting van de Autoriteit Persoonsgegevens, de aanpak op digitale vaardigheden van Binnenlandse Zaken en de informatieverplichting (voor bedrijven) in de AVG.
‘Voor verdere bekendheid en informatie hierover kan ook gekeken worden naar de inzet van lokale netwerken op digitale inclusie en vaardigheden, zoals bibliotheken en gemeenten.’
Extra obstakel
Advocatenkantoor Stibbe merkte in maart op dat Amerikaanse ict-dienstverleners het voorstel als een ‘extra obstakel’ zien, ‘bovenop het al zo beperkte en strikte regime voor uitwisseling van persoonsgegevens op basis van de Europese privacywetgeving’. Omdat het voor aanbieders van cloud-computing waarschijnlijk altijd zal gaan om persoonsgegevens en niet-persoonsgegevens, zullen ze zowel de AVG als de Dataverordening moeten naleven. Dat er geen toezichthouders zijn aangewezen, kan tot ‘nog meer struikelblokken’ leiden.
De advocaten concluderen: ‘Het concept zal op ook op allerlei andere onderdelen nog op de nodige weerstand stuiten en nog veel discussie oproepen.’
Plaats als eerste een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.