15 januari 2008

EU-privacytoezichthouder Peter Hustinx wil dat een meldplicht bij datalekken ook gaat gelden voor online banken en apotheken. Hij uit felle kritiek. De Raad van Ministers maakt die meldplicht nu te beperkt. Hustinx uitte deze week in een brief als 'second opinion' (PDF) felle kritiek op de Raad van Ministers. De raad heeft bij zijn zitting eind november meerdere aanpassingen van de privacyrichtlijnen door de Europese Commissie en het Europees Parlement weer teruggedraaid. De revisies zorgen er volgens Hustinx voor dat burgers minder beschermd worden. 'In quite a few cases [Parliament and Commission] amendments offering safeguards to the citizens are deleted or substantially weakened. As a result, the level of protection offered to individuals in [the Council-amended version of the plans] is substantially weakened', schrijft Hustinx, Europees Toezichthouder Gegevensbescherming. Ook zijn voorstellen die de Nederlander deed aan de Raad genegeerd. De richtlijn over 'privacy en elektronische communicatie' is nog niet definitief. Commissie en Parlement mogen nog reageren op de veranderingen die de EU-ministers hebben aangebracht.

Een onderdeel in de richtlijn gaat over een meldplicht voor bedrijven bij beveiligingslekken, zoals geslaagde hackpogingen. Zij moeten publiekelijk bekend maken als er daardoor op grote schaal persoonsgegevens in handen van derden zijn gekomen. De Raad van Ministers wil de meldplicht alleen laten gelden voor telecom- en internetaanbieders. Hustinx wil echter dat een dergelijke wettelijke plicht ook gaat gelden voor andere bedrijven die diensten via internet aanbieden. 'Citizens will expect such a system to apply not only to their Internet access providers, but also to their on-line banks and on-line pharmacies', zo schrijft hij. 'The full benefits of security breach notification will be best realized if the legal framework is set right from the outset. To this end, the Parliament and the Council will need to meet the challenge of determining the proper standard setting forth the conditions for notification and ensuring that the appropriate processes are put into effect'. Volgens Hustinx is de aanstaane bewaarplicht van communicatiegegevens 'onnodig'. 'In the EDPS view, such a provision may be subject to risk of abuse, especially if adopted in a form that does not include the necessary data protection safeguards'. De Nederlander vindt verder dat openbaar toegankelijke telecomnetwerken die in privé-bezit zijn ook onder de privacyrichtlijn zouden moeten vallen. Daarmee doelt hij op bijvoorbeeld WiFi-punten in horeca en op luchthavens. Het Parlement bracht hiervoor een amendement aan, maar dat werd door Commissie en Raad weer verworpen. De privacyrichtlijn is een deel van het grotere telecompakket waarmee de EU de telecommarkt wil hervormen. Het mandaat van Hustinx als Europese Toezichthouder Gegevensbescherming werd onlangs verlengd tot 2014.