Het kan niet langer dat privacy toezichthouders op eigen houtje invulling geven aan privacyregels. Ik zie dat steeds vaker gebeuren. Dat is een probleem omdat we met elkaar hebben afgesproken dat er wetgevers en rechters zijn, die los van elkaar hun werk moeten doen. Maar in de praktijk zien we dat toezichthouders als het College Bescherming Persoonsgegevens (CBP), steeds vaker de neiging hebben om beide rollen –die van wetgever en toezichthouder- te spelen. Dat kan natuurlijk niet. Daar waar zij vrijelijk aan het interpreteren slaan ontstaat er volgens mij een groot democratisch tekort en een onwenselijke disbalans.
De huidige Algemene Privacy Richtlijn van de Europese Unie laat op diverse punten ruimte open voor interpretatie. In de praktijk wordt deze ruimte ingevuld door de Artikel 29 Werkgroep, waarin nationale toezichthouders, zoals ons eigen College Bescherming Persoonsgegevens (CBP) zitting hebben. Deze werkgroep heeft in de afgelopen jaren meermaals gekozen voor een te strikte, soms zelfs onredelijke interpretatie van de regelgeving, vindt Thuiswinkel.org.
Mag ik een voorbeeld geven? Zo werd, zonder dat consumentenorganisaties en het bedrijfsleven er ook maar iets over konden zeggen, het begrip ‘persoonsgegeven’ zodanig opgerekt, zodat ook IP-adressen er onder vallen. Of, net zo wonderlijk, dat een ‘graffiti-uiting’ ook een persoonsgegeven is. Dit soort eigenhandig bedachte invulling van regels zijn niet door de wetgever bedacht, maar door de toezichthouder die zich de rol van wetgever aanmeet. En passant zadelen toezichthouders het bedrijfsleven, en niet in de laatste plaats, webwinkels op met vaak hoge kosten, omdat bedrijfsprocessen moeten worden aangepast.
Wat nu? Er zijn in Brussel nieuwe privacyregels in de maak. Tot zover het ‘goede’ nieuws. Het slechte nieuws is dat deze Verordening Data Protectie, toezichthouders als het CBP ook nog eens meer bevoegdheden wil aan geven. Dat is geen goede zaak. Om dit probleem aan te pakken, wil de belangenorganisatie voor webwinkels dat er een adviesraad komt waarin consumenten én het bedrijfsleven zitting krijgen. Samen kunnen we komen tot gebalanceerde interpretaties van wet- en regelgeving.
Meer invloed burgers en bedrijven
In een voor het Europees Parlement opgesteld Position Paper vraagt Thuiswinkel.org aandacht voor het geschetste probleem. De belangenorganisatie stelt voor om een adviesraad in het leven te roepen, de European Data Protection Council (EDPB). Het is de bedoeling dat deze raad over alle privacy issues wordt geraadpleegd door de wetgever en de toezichthouders. Ook moet de raad ongevraagd en uit eigen beweging adviezen kunnen geven over privacy. Naast de voorzitter van de EDPB en een aantal privacy experts krijgen ook vertegenwoordigers van consumentenorganisaties en van belangenorganisaties uit het bedrijfsleven zitting in de raad. Op die manier krijgen de partijen die onderworpen zijn aan de privacywetgeving medezeggenschap daarover – en wordt het probleem van de te almachtige toezichthouders opgelost.