Vergroot contrast

Noodzaak gebruik passagiersgegevens niet aangetoond

De Europese privacytoezichthouders, verenigd in de Artikel 29-werkgroep (WP29), hebben tijdens hun plenaire vergadering op 4 en 5 april 2011 een Opinie vastgesteld over het voorstel van de Europese Commissie (EC) met betrekking tot passagiersgegevens. De EC stelt voor een EU-systeem op te zetten waardoor opsporingsinstanties toegang zouden krijgen tot de passagiersgegevens (Passenger Name Records, PNR) die geregistreerd zijn door luchtvaartmaatschappijen voor in- en uitkomende vluchten van EU-lidstaten. De noodzaak om een dergelijk systeem op te zetten is niet aangetoond, aldus de Europese privacytoezichthouders in hun Opinie. De toezichthouders stellen voor om eerst de bestaande samenwerkingsafspraken op dit gebied te evalueren en indien nodig aan te passen, alvorens wéér een nieuwe maatregel in te voeren.

De toezichthouders benadrukken in hun Opinie de noodzaak om beleid te baseren op feiten. De bij het EC-voorstel gevoegde zogeheten privacy impact assessment bevat geen afdoende evaluatie van het gebruik van PNR en toont evenmin aan waarom het voorstel noodzakelijk is. Bovendien voldoen de voorgestelde maatregelen niet aan het proportionaliteitsbeginsel, omdat zij voorzien in het verzamelen van alle passagiersgegevens van àlle vluchten. Het voorstel ziet nu nog enkel op vluchten die de EU binnenkomen of verlaten, maar wordt op termijn mogelijk uitgebreid om ook vluchten tussen EU-landen te beslaan.

De toezichthouders benadrukken de noodzaak van passende en adequate gegevensbeschermingsmaatregelen en leveren commentaar op een aantal voorstellen van de EC op dit punt. Een belangrijk punt van kritiek is het feit dat de EC het voorstel als privacyvriendelijk presenteert, omdat persoonsgegevens na dertig dagen worden ‘geanonimiseerd’ en daardoor niet meer herleidbaar zouden zijn. Het voorstel maakt evenwel duidelijk dat de informatie wel degelijk herleidbaar blijft en dat alleen bepaalde gegevens worden afgeschermd. De toegang tot de gegevens mag hierdoor dan wel beperkt worden, maar dit is niet hetzelfde als anonimisering. De Artikel 29-werkgroep roept de Europese wetgever op klare wijn te schenken en af te zien van verwarrend of misleidend taalgebruik.

De Opinie becommentarieert voorts enkele onderwerpen die vanuit het oogpunt van gegevensbescherming niet bevredigend zijn aangepakt. Hieronder vallen de te ruime definitie van ‘ernstig misdrijf’, waarvan iemand verdacht moet zijn voordat passagiersgegevens mogen worden geraadpleegd en het ontbreken van duidelijke, tevoren vastgestelde, criteria voor de beoordeling van PNR-gegevens. De Opinie benadrukt ook nog eens het  gevestigde standpunt van WP29 dat gevoelige gegevens gefilterd moeten worden door de vervoerder, om te vermijden dat deze gezien en/of gebruikt kunnen worden door opsporingsinstanties.

Slimme meetapparatuur
De privacytoezichthouders hebben tijdens hun bijeenkomst ook een Opinie aanvaard over slimme meters. Hoewel ‘slimme’ meetapparatuur de mogelijkheid biedt voor ontelbare nieuwe wijzen om gegevens te verwerken en diensten te verlenen aan consumenten en ondanks het feit dat er verschillende manieren zijn om met deze materie om te gaan, is de regelgeving ten aanzien van gegevensbescherming volledig daarop van toepassing. Op afstand uitleesbare meters hebben een enorm toepassingsbereik. Naar verwachting zal voor het einde van dit decennium de overgrote meerderheid van Europese burgers thuis een slimme meter hebben. De invoering van slimme meetapparatuur, die de weg vrijmaakt voor zogenoemde slimme netwerken, sleept een volledig nieuw en complex model van wederzijdse relaties in haar kielzog, dat de toepassing van gegevensbeschermingswetgeving voor forse uitdagingen stelt. Deze Opinie legt uit waarom deze regelgeving van toepassing is: omdat de meters  persoonsgegevens verwerken.

Hoe de verwerking ook plaatsvindt, op dezelfde manier als in het ‘pre smart’ tijdperk of op geheel nieuwe wijze, het blijft een eis dat de verantwoordelijke duidelijk kenbaar is en helderheid verschaft over verplichtingen die voortvloeien uit de regelgeving met betrekking tot gegevensbescherming, inclusief Privacy by Design, beveiliging en de rechten van de betrokkene. Betrokkenen dienen behoorlijk te worden geïnformeerd over hoe hun gegevens worden verwerkt. Zij moeten zich er ook van bewust zijn dat hun gegevens op een fundamenteel andere manier   worden verwerkt voordat zij op een geldige manier hun toestemming daarvoor kunnen geven.

Nieuw- Zeeland
De Europese privacytoezichthouders hebben in een Opinie bevestigd dat de wetgeving van Nieuw-Zeeland met betrekking tot de bescherming van persoonsgegevens een voldoende niveau van bescherming biedt conform de eisen van Richtlijn 95/46/EC, de Privacyrichtlijn. De Europese Commissie zal deze Opinie betrekken bij haar  besluitvorming voor de officiële goedkeuring.

Toezicht politie- en justitiesector
De privacytoezichthouders hebben besloten dat de Artikel 29-werkgroep zich erop moet voorbereiden om in de nabije toekomst  haar werkzaamheden uit te breiden met het toezicht op de politie- en justitiesector. Gezien de verwachte voorstellen van de Europese Commissie voor een alomvattend wettelijk kader voor gegevensbescherming willen de toezichthouders er zeker van zijn dat de werkgroep op dezelfde alomvattende wijze kan opereren. Tijdens de volgende plenaire sessie begin juni zullen de toezichthouders besluiten nemen over de wijze waarop dit moet gebeuren en welke administratieve afspraken hierover gemaakt moeten worden. Ook is besloten dat de Artikel 29-werkgroep zal overleggen met de ‘Working Party on Police and Justice’ over het integreren van hun EU-gerelateerde werkzaamheden. De integratie zal uiterlijk begin 2012 voltooid moeten zijn.

Lees de (Engelstalige) Opinie over PNR [nr WP 181]
Lees het (Engelstalige) persbericht over PNR
Lees ook de opinie over slimme energiemeters [nr WP 183]
Lees ook de opinie over het beschermingsniveau in Nieuw Zeeland [nr WP 182]