De derde privacytrend van 2014: toezichthouders willen waarborgen

Het privacyrecht is inmiddels een serieus specialisme met jaarlijks tientallen beschikkingen, vonnissen en richtsnoeren. Een overzicht daarvan is nuttig, maar kan je daarin ook bredere ontwikkelingen ontdekken? In deze blogserie worden tien privacytrends van 2014 besproken. Dit is de derde trend: toezichthouders in Europa leggen de nadruk op waarborgen.

Deze serie van privacytrends is eerder gepubliceerd in Mediaforum 2015/2, p. 50-54. Zie hier en hier de vorige trends.

In de vorige blog werd duidelijk dat er ook ongeschreven privacyregels bestaan, die in het maatschappelijk debat worden ontwikkeld. Maar ook het privacyrecht zelf ontwikkelt zich. Een manier waarop het gelijke tred probeert te houden met de maatschappij is via de opinies van de Europese samenwerkingskoepel van privacytoezichthouders: de Artikel 29 werkgroep. CBP-voorzitter Jacob Kohnstamm droeg in februari 2014 het voorzitterschap van de werkgroep over aan Isabelle Falque-Pierrotin, president van de Franse privacytoezichthouder (de CNIL). Falque-Pierrotin ziet voor de werkgroep de komende jaren twee uitdagingen: de nieuwe governance tussen toezichthouders zoals die mogelijk in de Europese Privacyverordening komt te staan, en de samenwerking tussen toezichthouders op internationaal niveau.

Wat er ook zij van haar plannen: de opinies uit 2014 zijn nog de erfenis van het werk dat is verricht onder het voorzitterschap van Kohnstamm. De belangrijkste opinie van 2014 is die over de invulling van de ‘gerechtvaardigd belang’-grondslag. Van alle verwerkingsgrondslagen is die grondslag het meest open: het belang van de verwerker moet worden afgewogen tegen het belang van de betrokkene. De toepassing van de bepaling liep echter nogal uiteen in de verschillende lidstaten, problematische verwerkingen zouden kunnen profiteren van deze grond en bovendien circuleerden bij de onderhandelingen over de Privacyverordening amendementen die deze flexibiliteit zouden inperken.

In april 2014 probeerde de werkgroep daarom duidelijkheid te scheppen over de toepassing hiervan. In de opinie somt de werkgroep de belangrijkste wegingsfactoren op. Die zijn niet zo verrassend: de aard van het belang van de verwerker, de impact op de betrokkene, de verwachtingen van de betrokkene en de aard van de gegevens zijn belangrijk. Ook, en dat zal in de toekomst meer gewicht krijgen in online-omgevingen waar de markt erg geconcentreerd is door netwerkeffecten, kan de dominantie van een verwerker een rol spelen.

De werkgroep onderstreept vervolgens dat de eerste twee hordes van de toets – of sprake is van te wegen belangen aan de zijde van de verwerker en de betrokkene – makkelijk genomen kunnen worden. De weging zelf vergt een serieuze poging om de verschillende factoren tegen elkaar af te zetten – ook dat is niet verrassend.

Wat wél illustratief is voor een bredere trend, is dat bij grensgevallen de genomen waarborgen om het belang van de betrokkene te beschermen vaak de doorslag zullen geven. Die trend tekende zich in Nederland al af in de zaak over Google Streetview, toen het CBP in 2011 akkoord ging met een opt-outmogelijkheid voor het in kaart brengen van wifi-netwerken. De werkgroep legt ook in haar opinie veel nadruk op het bieden van een opt-out mogelijkheid, maar noemt verder beveiligingsmaatregelen, privacy by design en chinese walls als maatregelen die de weging positief beïnvloeden.

Twee andere opinies van het afgelopen jaar gaan vooral over de vraag óf de privacyregels van toepassing zijn. Zo is in april de opinie over anonimisering gepubliceerd, met als belangrijkste conclusie dat écht anonimiseren van gegevens heel moeilijk is. Het pseudonimiseren van gegevens kan een beveiligingsmaatregel zijn, maar is volgens de werkgroep geen maatregel die gegevens hun persoonlijk karakter ontneemt. Ook de opinie over device fingerprinting – de herkenning van computers via een unieke combinatie van kenmerken, zoals geïnstalleerde lettertypes, schermformaat en browserversie – past in die opvatting. Mochten bedrijven er nog over twijfelen of fingerprinting een minder gereguleerd alternatief is voor cookies: dat is volgens de werkgroep niet zo.

Die drie opinies zijn naar mijn mening tekenend voor de aanpak van privacytoezichthouders zoals het CBP: de toepasselijkheid van regels wordt al snel aangenomen, en de meeste aandacht gaat naar vragen over proportionaliteit, subsidiariteit en, daarmee samenhangend, de waarborgen.

Naast deze meer fundamentele opinies heeft de werkgroep ook een aantal thematische opinies gepubliceerd. Een daarvan is het vermelden waard: de opinie over de internet of things. De opinie komt goed op tijd: dit fenomeen wordt waarschijnlijk pas binnen een paar jaar volwassen. In de opinie past de werkgroep dezelfde techniek toe als in haar opinie over apps: ze ontwart de verschillende schakels in de ‘waardeketen’ en identificeert per schakel de mogelijke problemen. De werkgroep sluit verder aan bij de technologie: ze benadrukt dat ook kleine sensoren zonder beeldscherm en met weinig rekenkracht de gebruiker goed moeten informeren, fijnmazige toestemmingsopties moeten bieden en gegevens goed moeten beveiligen.

Morgen bespreek ik de volgende trend: het CBP schrikt niet terug voor nieuwe, maatschappelijk relevante ontwikkelingen.