Meldplicht datalekken
De toezichthouders op de privacy namen een tweede opinie aan over de meldplicht datalekken. In de opinie wordt bepleit dat de meldplicht moet gelden voor alle diensten van de informatiemaatschappij en dus niet alleen voor telefoon- en internetaanbieders. De uitbreiding is noodzakelijk gegeven de steeds belangrijkere rol die deze diensten spelen in het dagelijks leven van Europese burgers. Online financiele transacties, waaronder toegang tot e-banking diensten en allerlei webaankopen, zijn voorbeelden van diensten die het slachtoffer kunnen zijn van datalekken die grote risico’s kunnen veroorzaken voor zeer grote groepen burgers. Het doel van de meldplicht is om burgers te beschermen tegen gevaren zoals identiteitsfraude, financiële verliezen, gemiste kansen in zaken of beroepsontwikkeling. Dat doel wordt niet bereikt als de meldplicht alleen van toepassing is op de kleine groep verantwoordelijken die openbare telecommunicatiediensten levert. De toezichthouders betreuren het dat bovengenoemde uitbreiding van de meldplicht datalekken niet wordt gedeeld door de Europese Commissie en de Raad van Ministers temeer omdat sommige bepalingen van de e-privacyrichtlijn reeds gelden voor andere diensten dan telefoon- en internetaanbieders. Bedrijven moeten alle datalekken die risico’s met zich meebrengen melden aan de nationale toezichthouder, die kan besluiten het datalek openbaar te maken. Daarnaast moeten bedrijven een datalek melden bij degenen wiens persoonsgegevens het betreft indien zij het risico lopen schade te lijden. Ten slotte achten de toezichthouders het net als de Commissie , het EP en de Raad van Ministers van groot belang dat zij de bevoegdheid krijgen boetes op te leggen ingeval bedrijven de meldplicht voor datalekken niet naleven.
Hoorzitting zoekmachines
De Europese privacytoezichthouders hielden deze week een hoorzitting met de internetzoekmachines Google, Microsoft, Yahoo en Ixquick in vervolg op de opinie die de toezichthouders in april 2008 vaststelden. De toezichthouders verwelkomden de inspanningen van de zoekmachines om hun beleid in lijn te brengen met de Europese privacywetgeving. Ook constateerden zij met instemming dat de zoekmachines inmiddels concurreren op privacygebied. De toezichthouders herhaalden dat de zoekmachines persoonsgegevens in beginsel maximaal zes maanden mogen bewaren. Aangezien tijdens de hoorzitting onvoldoende informatie is aangedragen over de gehanteerde bewaartermijn zetten de privacytoezichthouders de dialoog met internetzoekmachines voort.
‘Body scanners’
De privacytoezichthouders reageerden per brief op de vragenlijst die de Europese Commissie hen in opdracht van het Europees Parlement had voorgelegd over de consequenties van de ‘body scanner’ voor de privacy. Body scanners produceren een beeld van een passagier die door een veiligheidspoortje loopt en geven aan of een object is verstopt in of onder diens kleren. De toezichthouders benadrukten dat een afweging moet worden gemaakt tussen de noodzaak en effectiviteit van de body scanner enerzijds en de impact op de privacy van passagiers anderzijds. Hoe deze afweging uitvalt is afhankelijk van de gekozen technologie en gehanteerde privacywaarborgen. De body scanner is bij uitstek een systeem waarbij technologie ingezet kan worden om privacy beter te beschermen; de ‘privacy enhancing technologies (PET)’. Zo zou het systeem in plaats van het zichtbaar maken van de precieze contouren van het lichaam ook kunnen werken met markeringen op een gestyleerde weergave van het lichaam.
OVER DE ARTIKEL 29-WERKGROEP
De werkgroep ontleent haar naam aan artikel 29 van de Europese Privacyrichtlijn 95/46/EG. Alle toezichthoudende autoriteiten op het gebied van bescherming van persoonsgegevens van de Europese Unie nemen deel aan deze werkgroep, die een belangrijke rol speelt in de totstandkoming van Europees beleid en wetgeving. De werkzaamheden van de werkgroep leveren een bijdrage aan de ontwikkeling van Europese normen en gemeenschappelijke interpretaties en in aan de intern bindende gedragscodes die internationale uitwisseling van persoonsgegevens binnen multinationale concerns mogelijk maken.