Jambo Consultancy
2014
[EU CLOUD COMPUTING REGELGEVING; VERORDENING GEGEVENSBESCHERMING 2015] De EU is zich op pijnlijke wijze bewust geworden dat het nieuwe informatie tijdperk zich al enige tijd heeft gemanifesteerd binnen en buiten de EU. Nieuwe privacy wetgeving stuitte in het Europese Parlement op een kleine 4000 amendementen. Vanuit historisch perspectief en de gruwelijke gevolgen van eenvoudige toegang tot en misbruik van, niet verwonderlijk. Toch is deze redenering geen grond om de ogen te sluiten voor de voortgang van de Informatie en Communicatie Technologie door Cloud Computing en is het bovenal belangrijk om op een verstandige wijze het nieuwe informatie tijdperk van de generatie Cloud binnen te stappen. Het LIBE commissie heeft een compromistekst voor de Verordening Gegevensbescherming opgesteld. In deze publicatie de belangrijkste veranderingen op een rij. Een Proof of Concept volgt met de invoering van de nieuwe EU Consumentenwet in juni van dit jaar en tot slot een kanttekening.
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Samenvatting ...................................................................................................................................................................................... 3 De belangrijkste veranderingen op een rij. .............................................................................................................................. 5 3.4.1. HOOFDSTUK I - ALGEMENE BEPALINGEN ................................................................................................................ 5 Territoriale toepassingsgebied (artikel 3) ....................................................................................................................... 5 Persoonsgegevens (artikel 4) ............................................................................................................................................... 5 3.4.3. HOOFDSTUK III - RECHTEN VAN DE BETROKKENE ................................................................................................ 6 Bekendmaking (artikel 13 bis, 14) ..................................................................................................................................... 6 Rechtsgrondslag (artikel 6) ................................................................................................................................................... 8 Toestemming (artikel 7) ........................................................................................................................................................ 9 Profilering (artikel 20) ............................................................................................................................................................ 9 3.4.4. HOOFDSTUK IV - DE VOOR DE VERWERKING VERANTWOORDELIJKE EN DE VERWERKER ................ 11 Compliance Verplichtingen (artikel 22) ........................................................................................................................ 11 Gegevensverwerkende organisaties (Data Processors) (artikel 26) ................................................................... 11 Gegevensbescherming (artikel 35) ................................................................................................................................. 12 3.4.5. HOOFDSTUK V – DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE .................................................. 13 LANDEN OF INTERNATIONALE ORGANISATIES ............................................................................................................... 13 Grensoverschrijdende datatransfers (artikel 41-42) ................................................................................................ 13 Openbaarmakingsregels (artikel 43 bis) ....................................................................................................................... 13 3.4.7. HOOFDSTUK VII - SAMENWERKING EN CONFORMITEIT ................................................................................. 15 Het " One Stop Shop" principe (artikel 56).................................................................................................................. 15 3.4.8. HOOFDSTUK VIII – BEROEP OP DE RECHTER, AANSPRAKELIJKHEID EN ..................................................... 17 SANCTIES ....................................................................................................................................................................................... 17 Sancties (artikel 79) .............................................................................................................................................................. 17 3.4.9. HOOFDSTUK IX - BEPALINGEN IN VERBAND MET SPECIFIEKE SITUATIES ................................................. 18 OP HET GEBIED VAN GEGEVENSVERWERKING ............................................................................................................... 18 Werknemersgegevens (artikel 82) .................................................................................................................................. 18 Proof of Concept............................................................................................................................................................................. 19 Tot Slot ............................................................................................................................................................................................... 21
2
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Samenvatting Door de onthullingen van de Amerikaanse National Security Agency (NSA) en de toenemende mate van acceptatie van Cloud Computing binnen de EU zijn de landen binnen de Europese Unie zich nu, meer dan ooit, bewust van het vaststellen van een goede Algemene Verordening Gegevensbescherming. Om voor consumenten en vooral ook voor bedrijven het vertrouwen in Europa’s digitale markt en economie te versterken, heeft de Europese Raad, de vertegenwoordiger van de lidstaten, eind oktober 2013 geconcludeerd dat de nieuwe dataprotectie regels tijdig moeten worden vastgesteld. De Europese Raad weigerde echter om zich volledig te committeren aan de goedkeuring van de nieuwe wetgeving begin 2014. De nieuwe verordening zal, na goedkeuring, gelden voor alle EU lidstaten en de bestaande richtlijn betreffende gegevensbescherming die in 1995 werd aangenomen en op veel terreinen door het internet en het gebruik van Cloud Computing tekort schiet, vervangen (zie ook De Quest voor de Cloud Computing Standaard http://jambo.creativist.me/gouden-standaard-voor-cloud-computing.html en Regels & Normen http://issuu.com/jamboflip/docs/cloud_computing__rechten_en_contrac of http://issuu.com/jamboflip/docs/cloud_computing_standaard_en_rest_a ). Na ongeveer 18 maanden van discussie en lobby is er eind 2013 een compromistekst aangenomen door de commissie LIBE, bestaande uit het Europees Parlement, EU Justitie en EU Binnenlandse Zaken, met een 49-3 meerderheid. Het lijkt er veel op dat deze compromistekst vooral is beïnvloed door de openbaringen over het toezicht van de Amerikaanse National Security Agency (NSA) in 2013 (het PRISM schandaal) en veel minder door consumenten van de digitale industrie in de EU of (toekomstige) private partijen in de digitale industrie.
3
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Naast deze compromistekst heeft de LIBE commissie een "onderhandelingsmandaat" gekregen om tijdens haar officiële gesprekken met de EU Raad snel tot een gemeenschappelijke tekst te komen. Dezelfde onderhandelingsprocedure, een zogenaamde trialoog, zal de Europese Commissie in maart van dit jaar ook gaan inzetten. De “deskundigen” van de Europese Commissie hebben daarnaast in januari via een chatsessie, #EUdataP en #EUchat, rechtstreeks 1,5 uur van hun tijd aan de Europese burger ter beschikking gesteld om vragen over gegevensbescherming te beantwoorden. In deze publicatie volgen een aantal van de belangrijkste wijzigingen voor organisaties in m.n. de private sector zoals die in de compromistekst door de LIBE commissie worden voorgesteld (zie www.mofo.com ). Daarna een Proof of Concept van deze nieuwe EU verordening, met de introductie en de praktische betekenis van de nieuwe in te voeren EU consumentenwet in juni van dit jaar, die de consument in de nieuwe digitale economie, m.n. consumenten van webwinkels, meer beschermt en haar praktische implicatie voor eigenaars van webwinkels. Tot slot enkele kanttekeningen bij de manier waarop de wetgevende macht in het algemeen tegen de nieuwe digitale economie en Cloud Computing aankijkt.
4
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
De belangrijkste veranderingen op een rij. 3.4.1. HOOFDSTUK I - ALGEMENE BEPALINGEN Territoriaal toepassingsgebied (artikel 3) De tekst van de LIBE commissie breidt de invloedssfeer van deze nieuwe verordening uit voor elke organisatie, met inbegrip van Cloud Computing dienstverleners, gegevensverwerkers (data processors) of het verzamelaars van persoonsgegevens van personen in de EU met: 1; organisaties die producten of diensten aanbieden zoals gratis Cloud Computing diensten en producten en online beschikbare diensten aan personen in de EU of 2; organisaties die toezicht houden over data van personen in de EU. Met deze tekst zullen ten minste de meeste websites in de EU door de nieuwe verordening worden gedekt. Hoe dit in de praktijk zal worden gehandhaafd blijft vooralsnog onduidelijk. Het blijft ook onduidelijk of alle soorten dienstverleners van Cloud Computing zoals bijv. data processors (zie voor de verschillende definities van dataverzamelaars, verwerkers etc. het CloudforEurope project; www.cloudforeurope.eu ), rechtstreeks onder deze verordening vallen. Dat gaat nl. veel verder dan dit voorstel van de Commissie. Onduidelijk blijft ook wanneer alle verschillende types dataverwerkers door deze verordening zullen worden gedekt. Terwijl regel 20 duidelijk maakt dat deze verordening geldt voor organisaties die ten doel hebben gegevens van EU personen te verwerken staat dit bijv. nergens expliciet voor data processors.
Persoonsgegevens (artikel 4) De LIBE compromistekst verruimt daarnaast de definitie van "persoonsgegevens", nl. als alle gegevens die direct of indirect mogelijk tot identificatie van een persoon kunnen leiden. Ook apparaat identificatie sgegevens, IP-adressen en locatiegegevens worden nu beschouwd als persoonsgegevens. Pseudoniemen worden beschouwd als persoonsgegevens maar zijn onderworpen aan iets minder stringente vereisten.
5
Jambo ConsultancyŠ
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
3.4.3. HOOFDSTUK III - RECHTEN VAN DE BETROKKENE Bekendmaking (artikel 13 bis, 14) De LIBE commissie verandert de manier waarop de privacyverklaring moet worden verstrekt volledig. Dit wordt nu een proces in twee stappen. Ten eerste moeten er verplichte pictogrammen worden getoond bij het verzamelen van gegevens. Ten tweede moet er een gedetailleerde kennisgeving zijn van veiligheidsmaatregelen, bewaartermijn, overdrachtmechanismen, profilering, openbaarmaking aan overheden etc.
6
Jambo ConsultancyŠ
8 maart 2014
7
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Figuur 1; enkele voorbeelden van verplichte iconen
Als deze eis zou gaan gelden voor de algehele context en zowel offline als online, voor bijv. een website, mobiele app, in emails, bewegwijzering maar ook voor bijv. papieren formulieren met gegevensverzameling dan zal dit niet alleen erg belastend zijn voor bedrijven maar kan het voor personen die op deze manier gebombardeerd worden met meerdere iconen en gedetailleerde teksten, erg irritant worden. Dit kan leiden tot een overlast effect zoals nu met de Cookie wet. Zelfs als gegevensverwerkers zich niet met een vorm van dataverwerking zoals weergegeven op een van de beschikbare iconen bezig houdt, zelfs dan moeten ze wel worden getoond. Rechtsgrondslag (artikel 6) Naast een aantal welkome veranderingen zoals de uitbreiding van de definitie van "gerechtvaardigd belang" om zo de verwerking van zakelijke contactgegevens, direct marketing van eigen of soortgelijke producten, marketingmateriaal en het eenvoudig delen van gegevens tussen verschillende EU filialen binnen een organisatie mogelijk 8
Jambo ConsultancyŠ
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
te maken, heeft LIBE het gebruik van rechtmatig belang op juridische grondslag voor gegevensverwerking juist aanzienlijk beperkt. Het rechtmatige belang kan alleen worden gebruikt wanneer het individu op basis van zijn of haar relatie met de voor de gegevensverwerking verantwoordelijke organisatie, de belangen van deze organisatie redelijkerwijs kon verwachten. In tegenstelling tot een eerdere door de Europese Commissie voorgestelde versie kan het rechtmatig belang niet meer worden gebruikt als een middel om gegevens over de grens van de EU te krijgen. Dit betekent dat in het vervolg eenmalige dataoverdrachten voor bijv. interne onderzoeks- of voor contractuele doeleinden, een Safe Harbor certificering of andere grensoverschrijdende constructies voor organisaties door deze compromistekst juist zorgen voor meer ipv. minder druk. De Raad aan de andere kant, is er voorstander van om de huidige toepassing van rechtmatig belang te handhaven en stelt voor om het zelfs uit te breiden voor preventie en controle van fraude zoals ter ondersteuning van klokkenluidermeldpunten en interne audits. Toestemming (artikel 7) LIBE legt ook extra beperkingen op toestemming. De toestemming voor gegevensverwerking moet nu altijd expliciet, voor zowel privacygevoelige en privacy ongevoelige gegevens, en specifiek zijn voor een zeer smal gedefinieerd doel. Deze toestemming van een individu is niet meer geldig wanneer dit oorspronkelijke doel voor de gegevensverzameling ophoudt te bestaan of wanneer deze gegevens worden gebruikt voor een secundair doel. Daarnaast mag de levering van aanvullende diensten niet afhankelijk worden gesteld van het verstrekken van de toestemming door het individu. Op het eerste gezicht zou door deze beperkingen het verstrekken van gratis online diensten in ruil voor een aantal marketing punten (bonus) dus niet meer mogelijk zijn… Profilering (artikel 20) De compromistekst bevat strengere voorwaarden voor het gebruik van gegevens voor profileringdoeleinden. Mededelingen over profilering moeten "goed zichtbaar" zijn en personen moeten het recht hebben om bezwaar te maken tegen profiling. Wanneer de resultaten van profiling rechtstreekse juridische gevolgen hebben of van invloed zijn op de rechten van een individu, zal het alleen worden toegestaan wanneer de (uitdrukkelijke) toestemming van de betrokkene is verkregen, waar er door de wetgeving in is voorzien of uitgesloten of op contractuele basis in is voorzien. Er is geen verdere verduidelijking van de betekenis van "aanzienlijke invloed" met één uitzondering waarin staat dat profilering op basis van onder een pseudoniem opgeslagen gegevens niet geacht worden te leiden tot significante effecten. Dit moet 9
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
de gewenste flexibileit bieden voor organisaties om Big Analytics toe te kunnen passen. Wanneer profilering echter is gebaseerd op geaggregeerde, pseudoniem opgeslagen gegevens die afkomstig zijn van verschillende bronnen en als het voor de verantwoordelijke data processor mogelijk is om de gegevens te kunnen koppelen aan een specifiek individu, is een dergelijke profilering alleen mogelijk met uitdrukkelijke toestemming. Omdat er voor profiling bijna altijd data uit verschillende bronnen wordt gebruikt blijft het moeilijk om de praktische betekenis van deze bepaling in te schatten.
10
Jambo ConsultancyŠ
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
3.4.4. HOOFDSTUK IV - DE VOOR DE VERWERKING VERANTWOORDELIJKE EN DE VERWERKER Compliance Verplichtingen (artikel 22) In de compromistekst is er is een minder bureaucratische aanpak binnen sommige gebieden en een meer op risico gebaseerde aanpak (zie ook Risicomanagement http://jambo.creativist.me/risicomanagement.html ) waar het de naleving betreft. Dit betekent dat er geen normatieve interne documentatie eisen zijn. In plaats daarvan moet de interne manier van auditing rekening houden met het risico van de gegevensverwerking, de aard van de verwerkte gegevens en het gebruik van huidige Cloud Computing (web)technologieën. De strikte termijn van kennisgeving binnen 24 uur voor een inbreuk op de data beveiliging is verwijderd. Inbreuk moet nu worden gemeld zonder “onnodige vertraging". Het is geen noodzaak meer om het College Bescherming Persoonsgegevens (CBP) te raadplegen bij risicovolle gegevensverwerking wanneer de organisatie een functionaris voor gegevensbescherming (DPO) heeft benoemd. Het CBP is naast de Onafhankelijke Post en Telecom Autoriteiten (OPTA) toezichthouder en kan bedrijven boetes opleggen bij non compliance. Omslachtige verplichtingen voor dataverwerkende bedrijven blijven echter van stand en dit zal wel de compliance kosten voor bedrijven vergroten maar niet noodzakelijkerwijs rechtstreeks ten goede komen aan individuen. Bijv. LIBE vereist impact assesments voor zowel gegevensverwerkende organisaties en data processors voor een breed scala aan situaties wanneer er binnen een periode van 12 maanden persoonsgegevens van meer dan 5.000 personen worden verwerkt en een tweejaarlijkse herziening van het compliance beleid. Gegevensverwerkende organisaties (Data Processors) (artikel 26) De door LIBE voorgestelde tekst handhaaft de prescriptieve eisen voor gegevensverwerkingcontracten. De enige positieve verandering is dat er geen noodzaak meer is om ook alle sub-dataverwerkers in het contract te benoemen. Het volstaat nu met "determining the conditions for enlisting another processor” met voorafgaande toestemming van de verantwoordelijke van deze gegevensverwerkers. Deze bepaling zorgt voor meer flexibiliteit voor het “outsourcen” van contracten m.n. in de Cloud Computing context. Helaas houdt de LIBE commissie vast aan de hoofdelijke aansprakelijkheid voor data processors, ergo voor de gezamenlijke verantwoordelijke van de dataverwerkende partijen wanneer zij handelen in strijd met of buiten het overeengekomen contract voor de dataverwerking of de doorslaggevende partij voor de gegevensverwerking 11
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
zijn. Lastige contractuele bepalingen en hoofdelijke aansprakelijkheid maken “outsourcing” in de praktijk erg moeilijk. Gegevensbescherming (artikel 35) Benoeming van een DPO is verplicht voor elke organisatie die persoonsgegevens van meer dan 5000 individuen binnen een periode van 12 maanden verwerkt. Multinationals kunnen een "hoofdverantwoordelijke" DPO benoemen onder de voorwaarde dat de DPO gemakkelijk op alle locaties of vestigingen aanwezig kan zijn. Er is een minimale benoemingstermijn van 4 jaar voor werknemers en 2 jaar voor externe contractanten. Aangezien de DPO is beschermd tegen ontslag zullen organisaties een zorgvuldige overweging moeten maken om de DPO te benoemen. De positieve kant is dat als er een DPO wordt benoemd er in geval van risicovolle dataverwerking een raadpleging van de CPB (College Bescherming Persoonsgegevens) niet meer nodig is. De Raad is voorstander van deze facultatieve benoeming als een algemene compliance regel maar dit mag niet resulteren in een verlichting van de administratieve vereisten.
12
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
3.4.5. HOOFDSTUK V – DOORGIFTE VAN PERSOONSGEGEVENS NAAR DERDE LANDEN OF INTERNATIONALE ORGANISATIES Grensoverschrijdende datatransfers (artikel 41-42) Als reactie op de activiteiten van de NSA heeft de LIBE commissie herhaaldelijk opgeroepen tot een aanscherping van de regels voor internationale gegevenstransfers en tot transparantere bestaande dataoverdrachtsmechanismen m.n. de Safe Harbor constructie. Dit heeft geresulteerd in een enorme beperkingen op grensoverschrijdende gegevensoverdracht zoals dat nu is voorgesteld in de compromistekst. In de nieuwe tekst zal het Safe Harbor Framewerk en de Commission’s Model clausules na 5 jaar verjaren nadat de verordening in werking is getreden. Eventueel eerder indien dit zo door de Europese Commissie wordt besloten. DPA’s goedkeuring voor de gegevensoverdracht op basis van bindende organisatieregels en andere data overdrachtscontracten, vervallen automatisch binnen 2 jaar na de inwerkingtreding van de verordening, tenzij deze eerder wordt gewijzigd, vervangen of ingetrokken door de DPA. Het rechtmatige belang voor grensoverschrijdende datatransfers is verwijderd, met alle gevolgen van dien (zie artikel 6). De Europese Commissie zal ook de bevoegdheid krijgen om landen of sectoren waarvan de eigen wetten de overheid wel toegestaan om zonder autorisatie toegang tot persoonsgegevens van EU burgers krijgen, op een Blacklist te plaatsen. Openbaarmakingregels (artikel 43 bis) LIBE stelt dat DPA’s goedkeuring is vereist voor elk rechterlijk of wettelijk verzoek om gegevensoverdracht van buiten de EU voor EU persoonsgegevens, tenzij de internationale verdragen hierin voorzien. Dit houdt in dat een buitenlandse (online) onderneming altijd de DPA om goedkeuring moet vragen voordat er toegang tot deze gegevens mag worden verstrekt aan buitenlandse (politie)diensten. Dit is duidelijk een tegenbeweging tegen de praktijken van de NSA of soortgelijke organisaties om via de toegang tot de gegevens van online bedrijven in het bezit te komen van grote hoeveelheden gegevens van EU burgers. Deze bepaling vereist echter meer duidelijkheid. Op dit moment kan het worden uitgelegd als een risico dat gegevens die via de Safe Harbor constructie worden ontvangen en die volgens de US overheid kwetsbaar zijn voor openbaarmaking, kunnen worden geblokkeerd. De LIBE commissie voegt daaraan toe dat er in het van een bevoegdheidsconflict, de EU wetgeving altijd voorrang krijgt. Dit creëert voor een buitenlands vennootschap een duivels dilemma. Bedrijven die reageren op een in de wetgeving geregelde aanvraag voor datatransfer voordat ze goedkering van de DPA hebben gekregen lopen het risico dat zij de compliance regels 13
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
niet naleven. Daarentegen lopen deze bedrijven het risico van het niet na (kunnen) leven van buitenlandse wetten als gevolg van een lang durend DPA goedkeuringsproces, en zijn op deze wijze niet in staat aan strakke deadlines te voldoen. Door toevoeging van deze bepaling heeft de LIBE commissie een in eerste instantie door intensieve lobby uit het oorspronkelijke voorstel verwijderde maatregel effectief opnieuw ingebracht.
14
Jambo ConsultancyŠ
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
3.4.7. HOOFDSTUK VII - SAMENWERKING EN CONFORMITEIT Het " One Stop Shop" principe (artikel 56) "One Stop Shop" betekent dat het CBP in het rechtsgebied waar een onderneming haar "hoofdvestiging" heeft verantwoordelijk is voor het toezicht op de dataverwerking van dat bedrijf. Ongeacht de fysieke plaats waar de gegevensverwerking plaatsvindt. Deze aanpak is door de Europese Commissie voorgesteld. LIBE lijkt akkoord te zijn met dit concept maar interpreteert het anders. LIBE is voorstander van wat zij een "lead DPA " systeem voor wetshandhaving noemt. De lead DPA, de DPA in het rechtsgebied waar een bedrijf haar hoofdvestiging heeft, zou de enige bevoegdheid mogen hebben om juridische beslissingen te nemen maar zou wel moeten samenwerken met de DPA's in de andere rechtsgebieden waar de dataverwerking plaatsvindt. Dit verzwakt het oorspronkelijke idee van de Europese Commissie dat moet zorgen voor een meer consistent handhavingsbeleid voor zowel bedrijven als consumenten door één aanspreekpunt te hebben. De Europese Raad, de vertegenwoordiger van de lidstaten, ondersteunt het voorgestelde One Stop Shop mechanisme van de Commissie maar heeft geen akkoord over de specifieke details kunnen behalen! Bijv. dat sommige landen, o.a. Oostenrijk, België en Frankrijk, er de voorkeur aan geven dat beslissingen worden genomen middels een formele medebeslisprocedure inclusief de lead DPA en de andere DPA’s . Andere landen, o.a. Ierland, Luxemburg en Portugal, pleiten ervoor dat de beslissingsbevoegdheid toegekend wordt aan de lead DPA met andere DPA's in een adviserende rol.
15
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Figuur 2; beslisboom voor DPA
Bron; http://ec.europa.eu/justice/newsroom/data-protection/news/130206_en.htm
16
Jambo ConsultancyŠ
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
3.4.8. HOOFDSTUK VIII – BEROEP OP DE RECHTER, AANSPRAKELIJKHEID EN SANCTIES Sancties (artikel 79) De verdere aanscherping van sancties is een goed voorbeeld van de aanpak die de LIBE commissie met deze Verordening Gegevensbescherming voor 2015 vooral nastreeft. Met deze compromistekst zal elke schending van de eisen voor gegevensverwerking worden bestraft in plaats van een meer gelaagde, schendingspecifieke aanpak gebaseerd op voldoende kennis van Cloud Computing. De sancties omvatten een boete van maximaal 5% van de jaarlijkse wereldwijde omzet (het voorstel van de Europese Commissie ligt 2% hoger) of 100 miljoen euro wanneer dit hoger is. Als alternatief voor de zogenaamd minder ernstige schendingen zal de DPA regelmatig gegevensbescherming audits moet uitvoeren (zie ook De Auditors komen http://jambo.creativist.me/de-auditors-komen-film.html ) of krijgt hij of zij een aangeschreven waarschuwing voor een eerste, onbedoelde niet naleving. Het opleggen van één van deze sancties is verplicht. De LIBE commissie heeft een lijst van verzachtende factoren waaronder de ernst van de overtreding die is vastgesteld, of de overtreding is repetitief van aard is, de voorgenomen of daadwerkelijke financiële winst en de samenwerking met de handhavingautoriteiten.
17
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
3.4.9. HOOFDSTUK IX - BEPALINGEN IN VERBAND MET SPECIFIEKE SITUATIES OP HET GEBIED VAN GEGEVENSVERWERKING Werknemersgegevens (artikel 82) In de compromistekst behouden de lidstaten het recht om werknemerswetten inzake gegevensbescherming zelf vast te stellen met een gemeenschappelijke minimumnorm die geldt voor de hele EU. Bijv. de toestemming voor gegevensverwerking in het kader van de arbeidsverhouding is ongeldig indien deze toestemming niet vrijwillig is gegeven. Deze bepaling dekt de verwerking van gegevens van werknemers in de meeste situaties. Het belangrijkste tegenargument is dat, omdat een werknemer zich altijd in een ondergeschikte positie bevindt, hij of zij niet vrijelijk kan instemmen (zie ook het advies van Artikel 29-werkgroep betreffende de verwerking van persoonsgegevens in het kader van de arbeidsverhouding). Verwerking moet worden gekoppeld aan doel voor het verzamelen van gegevens en moet binnen het kader van de arbeidsverhouding blijven. Gebruik van werknemersgegevens, zoals bijv. cv’s, voor secundaire doeleinden wordt verboden. Het is nog onduidelijk of werkgevers aan hun werknemer om toestemming voor de verwerking moeten vragen of dat deze verwerking onder alle omstandigheden verboden zal worden. Onderzoeken naar medewerkergegevens worden alleen toegestaan wanneer dit is gerelateerd aan crimineel gedrag van een medewerker. Monitoring van medewerkers voor andere doeleinden wordt aanzienlijk beperkt. Tot slot wordt het opstellen van een zwarte lijst van medewerkers op basis van hun politieke overtuiging of hun aansluiting bij bijv. een vakbond verboden. Hoewel er geen significante beperkingen op het delen van gegevens over werknemers met andere EU partners in de tekst staan, zijn de grensoverschrijdende beperkingen nog steeds van toepassing.
18
Jambo ConsultancyŠ
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Proof of Concept.
De proof of the pudding is in the eating. De extreem ver doorgevoerde bescherming van de digitale consument in de nieuwe EU Consumentenwet betekent dat als u zich als webwinkeleigenaar vanaf juni van dit jaar niet aan de nieuwe regels houdt, de goed geĂŻnformeerde consument van de 21-ste eeuw veel meer rechten gaat krijgen en hoogstwaarschijnlijk ook gaat nemen (zie voor de nieuwe consumentenwet bijv. https://ictrecht.nl/ ).
De Autoriteit Consument en Markt (ACM) staat voor de taak deze wet te handhaven. Zonder een gelaagde, schendingspecifieke aanpak gebaseerd op voldoende kennis van Cloud Computing kunnen boetes als een afschrikwekkende maatregel zelfs oplopen tot 450.000 euro. Een bedrijfsrisico dat de kleine ondernemer die in de 21ste eeuw met Cloud Computing wel eenvoudig van goedkope Cloud Computing oplossingen, zoals bijv. een webshop, kan profiteren maar onmogelijk aan de vele nieuwe eisen kan voldoen, niet kan lopen. Daarnaast zullen door deze consumentenwet de bijkomende kosten van Cloud Computing voor de kleine creatieve ondernemer in de EU door een extra investering 19
Jambo ConsultancyŠ
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
in tijd, kennis en energie om alle juridische veranderingen van deze nieuwe EU Consumentenwet door te kunnen voeren en door het eventueel aanstellen van een extra FTE, de DPA, maar vooral ook de gederfde inkomsten door een slimme digitale consument, niet kunnen worden gedragen. Dit zal er hoogstwaarschijnlijk voor zorgen dat er minder op een specifieke product, markten of doelgroep gerichte webwinkels en er meer pompeuze, wereldwijde internetondernemingen ontstaan, die de taart voor de wereldwijde internet webwinkelmarkt snel zullen verdelen. En dat resulteert in hogere productprijzen, minder productdifferentiatie en uiteindelijk zelfs tot een lagere economische groei voor de hele EU.
20
Jambo ConsultancyŠ
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Tot Slot Het proces van trialoog is een gesloten proces zonder enige meetpunten. Het is bijv. onduidelijk of de nieuwe verordening wordt ingevoerd in het begin of aan het einde van 2015. Alles zal afhangen van de Europese verkiezingen in de lente van 2014, de nieuwe bestuurslieden en welk land het voorzitterschap heeft. Een Proof of Concept van de nieuwe digitale wetgeving in de EU start met de invoering van een nieuwe EU consumentenwet in juni 2014 en is een mogelijk breekpunt voor wat op termijn eventueel zelfs kan leiden tot de EU als politiestaat. Allianties in het Cloud Computing ecosysteem en de verschillende industriĂŤle allianties hebben nog maximaal 2 jaar de tijd om de gevolgen van deze wetten voor de nieuwe digitale industrie door nieuwe lobby te verbeteren. Een succesvolle digitale economie in de EU staat of valt uiteindelijk bij voldoende kennis en een goed begrip van Cloud Computing en het internet business ecosysteem (zie ook Interactieve Educatie http://www.screencast.com/t/MGCU6FdW of http://www.jambo-consultancy.nl/newpage7ed ). Een opmerking bij deze verordening is bijv. de manier waarop de controle moet gaan plaatsvinden. De controle op de eerder ingevoerde Cookie wet, die voor consumenten van het internet voor veel chagrijn zorgt, wordt door de controlerende instanties niet gehandhaafd. Los van de controlemechanismen die deze verordening een stevig fundament zouden moeten geven, kan de compromistekst in praktische termen voor organisaties heel kort worden samengevat; nl. met de verplichting voor grote en kleine organisaties met een klantenbestand > 5000 een peperdure DPA aan te stellen.
21
Jambo ConsultancyŠ
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Met de extra werkbelasting voor kleine digitale retailer en eigenaren van webwinkels (zie ook http://www.webwinkelvakdagen.nl/nl ) door invoering van de nieuwe consumentenwet en de mate van overprotectie van de digitale consument, laat de wetgevende macht eerder een gebrek aan inzicht in het nieuwe Cloud Computing era zien dan een goed begrip. Het versterkt het patroon dat de EU wetgevers al lange tijd achter de digitale feiten van de Generatie Cloud aanlopen.
De wetgevende instanties zouden zich in de digitale toekomst waar het de wetgeving en naleving betreft misschien minder moeten richten op het eigendomsrecht van informatie en meer op de nieuwe digitale aspecten zoals bijv. de huur van informatie. Ook zouden zij het subjectieve thema privacy met al haar cultuuraspecten nu eindelijk niet meer als een juridische melkkoe maar eerder als 22
Jambo ConsultancyŠ
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
een gepasseerd station moeten willen beschouwen. Het is met Cloud Computing technisch voor iedereen heel eenvoudig om alle informatie waarover een website beschikt in een eigen webapplicatie op één of andere wijze te verwerken en opnieuw te gebruiken, m.n. daar waar het mobiele data betreft. In het digitale tijdperk lijkt het om deze reden zinloos om nog over bezit of eigendom van informatie te praten met alle compliance kwesties van dien. Volg de laatste ontwikkelingen van het Expert Panel op de voet. http://www.eerstekamer.nl/eu/edossier/e120003_voorstel_voor_een
Men zou er begin 2014 goed aan doen om niet de eigen intervenieer middelen zoals regulering in te zetten maar er juist nu voor te zorgen dat overheden in de EU zelf tijdig verplicht worden gesteld hun burger gegevens openbaar en voor iedereen toegankelijk te maken, zodat de private sector juist nu wordt gestimuleerd om met nieuwe Cloud Computing oplossingen te komen om de EU burgers beter van dienst te zijn en het leven van mensen in het algemeen aangenamer te maken, in plaats van het willen over reguleren van de nieuwe digitale industrie. Het ontwikkelen van Killer Apps door overheden hoort eveneens tot de mogelijkheden van de Europese Unie om binnen het Cloud Computing ecosysteem te interveniëren (zie ook http://issuu.com/jamboflip/docs/afslanken_in_2014def ) om op deze manier de doelstelling van een groei van het Bruto Binnenlands Product met 4% in 2020 van de hele EU door Cloud Computing ook waar te kunnen maken. Daarnaast zou de overheid kunnen interveniëren door te investeren in de juiste kennis op onze hoge scholen zoals IBM recentelijk heeft gedaan. Of zouden de beleidsmakers in de EU naast het opstellen van een Cloud Computing strategie (zie ook https://docs.google.com/forms/d/1YiNlK3KUhEvlMMz3FshRzAImDpToBXZ2ZEemVdou6kI/viewform ) eerst zelf moeten beginnen met het maken van een eigen app?
Figuur 3; voorspelling van het aantal verbonden apparaten wereldwijd
23
Jambo Consultancy©
8 maart 2014
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Veel meer nog veel meer dan gegevensbescherming is voor de digitale industrie in de 21-ste eeuw het gebruik of de huur van de programmacode belangrijk. Start-Ups, grote en kleine spelers in het westerse internet ecosysteem schreeuwen naast het hebben van een Code of Conduct voor gegevensverwerking en -opslag vooral om een Code of Conduct tegen de door de techniek van Cloud Computing onvermijdelijk eenvoudige manier van kopiëren van datastructuren en programmacode, nl. de bescherming van het intellectuele eigendomsrecht van een stuk code en/of een webapplicatie. Met de nieuwe gemeenschappelijke wijze van softwareontwikkeling (DevOps), de evolutie van ontwikkelplatformen als GitHub of het open karakter van PaaS wordt het kopiëren van (een deel van) programmacode van ontwerpers tussen verschillende PaaS ontwikkelomgevingen erg eenvoudig terwijl de klok voor de digitale industrie door tikt. Daarnaast is een (verplichte) transparante manier van pricing (zie ook http://issuu.com/jamboflip/docs/cloud_computing_prijsvergelijkerdef ) voor de ontwikkeling van de hele digitale industrie van groot belang.
24
Jambo Consultancy©
8 maart 2014
25
[EU VERORDENING GEGEVENSBESCHERMING VOOR 2015]
Jambo Consultancy©