Beheer

Privacy
privacy

Kritiek op gratis hotspots

Gemeenten kunnen hotspots uitrollen met EU-geld, maar dat is niet zonder gevaar

6 juni 2017

De EU publiceerde eind mei 2017 het initiatief om openbare gratis wifi-hotspots verder uit te rollen. Zo’n 6000 tot 8000 Europese gemeenten die daar nu nog niet over beschikken, kunnen openbare hotspots aanleggen met EU-geld (alleen de aanschaf van de apparatuur, geen installatie of onderhoud). Dat is altijd fijn: meer gratis hotspots, het gemak dient de mens. Maar er kunnen ook kanttekeningen bij worden geplaatst.

 

De Artikel 29-werkgroep, het onafhankelijke Europese adviesorgaan bestaande uit onder meer de Europese privacytoezichthouders, heeft naar aanleiding van de ontwerp-ePrivacyverordening (zie kader) in april van dit jaar nog specifiek zijn zorgen geuit over tracking, in bewoordingen die moeilijk verkeerd kunnen worden begrepen: ‘Points of grave concern’, ‘highly concerned’ en ‘undermine the level of protection accorded by the GDPR’. De ePrivacyverordening zal uiteindelijk als ‘lex specialis’ voorrang krijgen boven de AVG. De werkgroep geeft aan dat de belofte van de Commissie van de EU, dat de ePrivacyverordening ten minste de privacywaarborgen van de AVG biedt, nog onvoldoende is uitgewerkt.

Alles-of-nietsbenadering

Wat is er aan de hand? Het voornaamste bezwaar is dat in de ontwerp-ePrivacyverordening alleen maar een melding aan de betrokkene wordt voorgeschreven. De aanbieder van de dienst zou kunnen volstaan met de melding dat de betrokkene het toestel uit kan zetten. Deze alles-of-nietsbenadering wordt aangeduid als een ‘tracking wall’. Onder de AVG is daarentegen (uitdrukkelijke en ondubbelzinnige) toestemming van de betrokkene vereist. De alles-of-nietsbenadering van de ontwerp-ePrivacyverordening is niet in overeenstemming met het beginsel van privacy by default, zoals dat is neergelegd in de AVG. De werkgroep adviseert dan ook zogenaamde ‘tracking walls’ uitdrukkelijk te verbieden. Daarnaast heeft de werkgroep ernstige zorgen over de verwerking van metadata, gebruik van cookiemuren (vergelijkbaar met tracking walls) en standaardprivacy-instellingen. De werkgroep roept de Europese wetgever verder op om technische standaarden voor beveiliging voor apparatuur te ontwikkelen, waarmee automatisch een bezwaar tegen tracking kan worden gegeven en waarmee nakoming van zijn bezwaar kan worden afgedwongen.

Zorgen

Verder benadrukt de werkgroep dat waar het volgen van fysieke bewegingen zonder toestemming van de betrokkene wel zou zijn toegestaan, dit moet worden beperkt tot relevante tijdstippen, en dat de persoonsgegevens moeten worden verwijderd of geanonimiseerd, zodat het statistische doel van het volgen kan worden bereikt met een minimale inbreuk op de privacy. Daarbij moet de mogelijkheid tot het (achteraf) herleiden van de informatie tot de identiteit van een persoon worden uitgesloten. Ook voor de uitvoering van bepaalde diensten (bijvoorbeeld het bijhouden van gebruik, terugvinden van gegevens in de cloud) moet specifiek en uitdrukkelijk toestemming worden gegeven door alle betrokkenen. De toestemming van de betrokkene voor het doel van dat gebruik dekt niet automatisch andere doeleinden. Naast de hiervoor genoemde ‘ernstige bezwaren’ signaleert de werkgroep nog diverse andere bezwaren en zorgen die meer van technische en juridisch-technische aard zijn.

Positief nieuws

Wel is duidelijk: ondernemers van groot tot klein zullen niet alleen met de Telecommunicatiewet en de ontwerp-ePrivacyverordening rekening moeten houden. Dienstverleners en producenten van communicatieapparatuur zullen ook rekening moeten houden met de eisen die voortvloeien uit de AVG en de daarop gebaseerde nationale wetgeving. Hetzelfde geldt voor aanbestedende en concessie verlenende overheden. Het positieve nieuws is dat door het gebruik van ‘verordeningen’ in plaats van ‘richtlijnen’ de speelruimte voor nationale wetgevers kleiner wordt, zodat de verschillen tussen de EU-lidstaten ook kleiner zullen worden.

 

Richtlijnen

De Algemene verordening gegevensverwerking (‘AVG’, Vo. 2016/678) treedt effectief in werking met ingang van 25 mei 2018. Op die datum komt de nationale wetgeving (in Nederland de Wbp), gebaseerd op Richtlijn 95/46/EG, te vervallen.

Daarnaast zal een ePrivacyverordening (op 10 januari 2017 gepubliceerd door de Commissie EU (2017/0003 (COD)) van kracht worden (datum inwerkingtreding nog niet bekend). Deze verordening zal te zijner tijd de (nationale wetgeving gebaseerd op de) ePrivacy Richtlijn (2002/58/EC) vervangen. In Nederland is de ePrivacy Richtlijn voor een groot deel vastgelegd in de Telecommunicatiewet. In de ePrivacy Richtlijn en de ontwerp-ePrivacyverordening staan de bescherming van persoonlijke communicatie (elektronisch en digitaal ‘briefgeheim’) centraal, naast de specifieke bescherming van persoonsgegevens en de persoonlijke levenssfeer die nodig is in verband met de grootschalige toepassing van berichtenverkeer via elektronische media.

 

Reactie toevoegen