Geschreven door Maartje De Schutter, tevens lid van het 'Big Brother watching team'
 
Op dit moment is men op Europees niveau bezig met een herziening van het wettelijke kader inzake de bescherming van persoonsgegevens[1]. Hierbij wordt voornamelijk naar de Europese privacy-richtlijn van 1995 gekeken die tot op heden dé norm is op het gebied van de bescherming van persoonsgegevens voor de lidstaten van de Europese Unie[2]. Ze biedt immers een aanzienlijk beschermingsniveau door enerzijds verplichtingen op te leggen aan de verantwoordelijken voor de verwerking van persoonsgegevens (bijv. inzake de kwaliteit en beveiliging van gegevens, de noodzaak aan duidelijk omschreven en wettelijke doeleinden voor de verwerking van persoonsgegevens alsook de aangifte hiervan aan een onafhankelijke toezichthoudende autoriteit) en anderzijds bepaalde rechten toe te kennen aan individuen die het voorwerp uitmaken van de verwerking van persoonsgegevens (bijv. het recht om geïnformeerd te worden, om foutieve data te corrigeren en om de verwerking van persoonsgegevens te weigeren). De richtlijn bevat ook een principieel verbod, behoudens in de gevallen die expliciet in de wet zijn opgesomd, om gevoelige persoonsgegevens te verwerken zoals ‘raciale’ of ‘etnische’ origine, politieke opvattingen, religieuze of filosofische overtuigingen, lidmaatschap van vakbonden, en informatie inzake gezondheid en seksualiteit. Verder bepaalt de richtlijn ook dat persoonsgegevens niet mogen worden overgemaakt aan derde landen (dit zijn landen die geen deel uitmaken van de Europese Unie) tenzij wanneer kan worden vastgesteld dat zij een gelijkwaardige wettelijke bescherming toekennen aan de verwerking van persoonsgegevens.
 
De richtlijn heeft ook een aantal nieuwe instellingen in het leven geroepen die moeten toezien op het gebruik en de bescherming van persoonsgegevens. Enerzijds moet er in elke Europese lidstaat een onafhankelijke, toezichthoudende instantie komen; in België is dit de Commissie voor de Bescherming van de Persoonlijke Levenssfeer; beter bekend als de ‘Privacycommissie’. Deze Commissie verleent adviezen en aanbevelingen over de toepassing van de wet, neemt kennis van klachten en probeert daarbij tot een minnelijke schikking te komen. Anderzijds is er de artikel 29-Werkgroep (zij ontleent haar naam aan artikel 29 van deze richtlijn) die alle nationale toezichthoudende autoriteiten overkoepelt en die een onafhankelijk en raadgevend karakter heeft. De belangrijkste taak van deze werkgroep is het bevorderen van een uniforme toepassing van de principes uit deze richtlijn in alle lidstaten. 
 
De richtlijn werd in Belgisch recht omgezet door de wet van 8 december 1992 ‘tot bescherming van de persoonlijke levenssfeer ten opzichte van de verwerking van persoonsgegevens’, beter bekend als ‘de privacywet’. Een belangrijke vaststelling is echter dat deze richtlijn niet geldt voor de verwerking van persoonsgegevens in het kader van Justitie en Binnenlandse Zaken (bijv. door politie en gerechtelijke autoriteiten), Defensie (bijv. door militaire inlichtingendiensten), en openbare veiligheid (bijv. door burgerlijke veiligheidsdiensten). De richtlijn is dus voornamelijk van toepassing op het commerciële en private gebruik van persoonsgegevens, alsook het gebruik van persoonsgegevens door overheidsdiensten in de overige gevallen dan net vermeld.
 
Deze basiswetgeving is later nog verscheidene keren aangevuld en gewijzigd. Onder meer door het Kaderbesluit van 2008 dat wel tot doel heeft om het verwerken van persoonsgegevens door politie en gerechtelijke autoriteiten te reguleren[3]. Het doel van dit kaderbesluit is het stellen van gemeenschappelijke regels op Europees niveau voor de bescherming van persoonsgegevens wanneer politionele en gerechtelijke autoriteiten samenwerken in (grensoverschrijdende) strafzaken. De vastgestelde beschermingsregels, alsook de hierop geformuleerde uitzonderingen, blijven echter zo vaag, dat er van een effectieve bescherming geen sprake meer is. Essentiële principes inzake gegevensbescherming die werden vastgelegd in de basistekst van de richtlijn van ‘95, waaronder het doelbindingsbeginsel, worden door dit kaderbesluit immers zonder meer met de voeten getreden. Daarnaast laat het kaderbesluit ook onder welbepaalde, eerder vage, voorwaarden toe dat persoonsgegevens kunnen worden overgemaakt aan derde landen (bijvoorbeeld de VS) en private organisaties.
 
De huidige discussie op Europees niveau om de privacy-richtlijn van 1995 te herzien vloeit voort uit de vaststelling van een aantal pijnpunten. Zo is men van mening dat deze richtlijn onvoldoende kan inspelen op nieuwe technologieën; dat instanties die moeten toezien op de bescherming van persoonsgegevens over onvoldoende instrumenten beschikken om effectief op te treden; dat er te grote verschillen zijn in de wijze waarop lidstaten deze richtlijn destijds hebben omgezet naar nationaal recht; dat de internationale doorgifte van persoonsgegevens vereenvoudigd moet worden etc. Verder lijkt men deze herziening van de privacy-richtlijn ook te willen koppelen aan een herziening van het eerder vermelde kaderbesluit van 2008. Op die manier zou er voortaan geen onderscheid meer worden gemaakt tussen essentiële gegevensbeschermingsregels in de context van commercieel en overheidsgebruik en in de context van politie, gerechtelijke autoriteiten en veiligheids- en inlichtingendiensten. We kunnen alleen maar hopen dat het nieuwe, gezamenlijk te bereiken beschermingsniveau geen achteruitgang zal betekenen. Wie reeds zicht wil krijgen op de richting die deze herziening aanneemt, kan alvast de communicatie van de Europese Commissie van november 2010 bekijken m.b.t. de strategie voor gegevensbescherming in de EU[4]...

 
Ten slotte is men op dit moment op Europees niveau ook bezig met een evaluatie van het informatiebeheer in de EU en dit voornamelijk op het domein van vrijheid, veiligheid en justitie. Een eerste stap hiertoe is de communicatie van de Europese Commissie van 20 juli 2010 waarbij een interessant overzicht wordt geboden van het totale pakket aan maatregelen die er op Europees niveau bestaan en die een impact hebben op onze privacy[5]. In diezelfde lijn kan men ook de nota bekijken van de Raad  van 25 oktober 2010 m.b.t. het opzetten van een Europees agentschap voor grootschalige IT-systemen[6].

[1] http://ec.europa.eu/justice/policies/privacy/review/index_en.htm.

[2] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:NL:HTML.

[3] http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2008:350:0060:0071:NL:PDF.

[4] http://www.statewatch.org/news/2010/oct/eu-com-draft-communication-data-protection.pdf.

[5] http://www.statewatch.org/news/2010/jul/eu-com-overview-information-management-com-385-10.pdf.

[6] http://www.statewatch.org/news/2010/oct/eu-council-state-of-play-it-agency-14469-10.pdf.