Gegevensbescherming en consumentenrechten (debat) 
De Voorzitter
Aan de orde is de verklaring van de Commissie inzake gegevensbescherming en consumentenrechten.
Franco Frattini
vicevoorzitter van de Commissie. - (EN) Mijnheer de Voorzitter, allereerst wil ik er graag op wijzen dat de Richtlijn 95/46/EG (de 'Gegevensbeschermingsrichtlijn') van toepassing is op in de Gemeenschap gevestigde voor de verwerking van gegevens verantwoordelijke personen. Het is ook van toepassing op niet op het grondgebied van een lidstaat gevestigde voor de gegevens verantwoordelijke personen, wanneer de voor de verwerking verantwoordelijke persoon gebruik maakt van al dan niet geautomatiseerde middelen, behalve indien deze middelen op het grondgebied van de Europese Gemeenschap slechts voor doorvoer worden gebruikt.
De richtlijn zorgt voor de rechten van alle individuen, Wat voor nationaliteit of verblijfplaats ze ook hebben en ongeacht of ze als consument handelen of niet. Het stelt wezenlijke bepalingen op die verplichtingen opleggen aan voor gegevens verantwoordelijke personen en die de rechten van het individu erkennen. Het schrijft ook sancties voor en toepasselijke oplossingen in het geval van schendingen en roept handhavingsmechanismen in het leven die deze doeltreffend maken.
We volgen nauw de ontwikkelingen in de technologie en de daarmee verbonden uitdagingen, met name de uitdagingen die in verband staan met de bescherming van de persoonlijke levenssfeer en de persoonsgegevens. Wat de trans-Atlantische samenwerking betreft, onderhouden we een regelmatig contact met de voor het monitoren van het 'Safe Harbour-programma' (Een EU-VS-programma voor de gegevensuitwisseling) verantwoordelijke autoriteiten van de Verenigde staten - het Amerikaanse ministerie van Handel en de Federal Trade Commission - in het kader waarvan ook de vragen met betrekking tot de bescherming van persoonsgegevens worden aangekaart. Kwesties die door nieuwe technologieën en hun wereldwijde inzet naar boven komen worden ook onderzocht.
In dit bijzondere geval, de fusie tussen Google en Double Click, wordt de zaak nog steeds door de Commissie onderzocht om te beslissen of de overwogen fusie in lijn met verordening 139/2004/EG is (de 'Fusie verordening'). Wij zullen binnenkort een besluit aannemen. Het mag echter worden gezegd dat de Commissie een uitgebreide analyse ten uitvoer heeft gebracht van de economische kanten die met de voorgestelde fusie gepaard gaan om vast te stellen of zij in overeenstemming met de regels van de interne markt is.
De bedrijven zijn verplicht om aan de nationale gegevensbeschermingswetgeving te voldoen die de gegevensbeschermingsrichtlijn ten uitvoer leggen, en nationale gegevensbeschermingsautoriteiten zijn de organen die verantwoordelijk zijn voor het toezicht op de naleving door die entiteiten die persoonsgegevens binnen hun grondgebied verwerken.
Een fusie tussen verschillende entiteiten spreekt de partijen van de fusie niet vrij van hun verplichting ten opzichte van de nationale beginselen voor gegevensbescherming. Inderdaad, welk besluit de Commissie ook zal nemen tot goedkeuring van een fusie, het laat de verplichtingen die aan de partijen door de gemeenschapswetgeving inzake de bescherming van de levenssfeer met het oog op het verwerken van persoonsgegevens opgelegd werden onverlet.
Onafhankelijk van de goedkeuring van de fusie zal de nieuwe entiteit bij zijn dagelijks werk de grondrechten moeten respecteren die door alle relevante instrumenten worden erkend, waaronder, maar niet alleen, de bescherming van de levenssfeer en van de gegevens. De nationale gegevensbeschermingsautoriteiten worden daarom belast met de taak om deze naleving te garanderen, en ervoor te zorgen dat zo nodig toepasselijke maatregelen worden genomen om de naleving door te zetten.
Manfred Weber
namens de PPE-DE-Fractie. - (DE) Mijnheer de Voorzitter, mijnheer de vicevoorzitter van de Commissie, dames en heren, Internet is een grote zegen. Niemand van ons kan zich voorstellen vandaag zonder deze nieuwe technologie te werken. Het maakt ook gegevensuitwisseling op onvoorstelbare schaal mogelijk. Niets is echter perfect en de onvolkomenheden worden duidelijk wanneer miljarden van records gedurende een lange tijd worden opgeslagen.
Bij het onderzochte geval heeft commissaris Frattini duidelijk gemaakt dat het regelgevend kader van de Europese Unie moest worden geactiveerd om de fusie tussen Google en DoubleClick te onderzoeken. We zullen de uitkomsten van dat onderzoek afwachten en daarna onze politieke conclusies trekken.
Hier komt echter het kernprobleem op de proppen, namelijk hoe we met de gegevensbescherming in het internet omgaan, omdat het kleine en grote bedrijven - en ook de gebruiker - niet om het even is op welke manier hun gegevens worden beschermd. Er zijn geen gemakkelijke antwoorden, omdat aan de kern van de zaak de onbeantwoorde vraag staat of een IP-adres een aan één persoon gebonden gegeven is. Waar het om providers gaat die statische adressen toewijzen is dit het geval, maar bij ontelbaar andere providers geeft het IP-adres niet automatisch de identiteit van de gebruiker prijs. Hier zou gegevensbescherming naar onze mening zelfs negatief kunnen zijn, en zou zelfs een openlegging van de verzamelde gegevens mogelijk zijn.
Of wettelijke regelgeving nodig is moet altijd worden bekeken tegen de achtergrond van de noodzakelijkheid en de evenredigheid. De gebruiker heeft ook een heleboel voordelen van het publiceren van zijn gegevens. Het is belangrijk dat hij bewust over het doorgeven van zijn gegevens beslist, en hierover ook beschikken kan. Dat betekent dat de gebruiker het recht op informatie moet hebben, dat wil zeggen dat hij het recht heeft om te weten welke gegevens over hem opgeslagen zijn, en het moet daarom duidelijk geregeld worden hoe met het doorgeven van gegevens, met de verkoop van gegevens, wordt omgegaan.
Daarom moeten we beginnen met vrijwillige verplichtingen, zo mogelijk met een trans-Atlantische aanpak - omdat we het internet gewoon niet regelen kunnen zonder gemeenschappelijke globale initiatieven - en wanneer de vrijwillige verplichtingen niet voldoende zijn, dan zullen we ook over wettelijke maatregelen moeten praten.
Stavros Lambrinidis
namens de PSE-Fractie. - (EL) Mijnheer de Voorzitter, wanneer gewone gebruikers online gaan, zijn ze er zich niet van bewust dat hun meest gevoelige persoonlijke gegevens, zoals hun politieke en filosofische overtuigingen, financiën, koopgedrag, reizen en interesses in het algemeen, worden opgeslagen terwijl ze simpele zoekopdrachten uitvoeren, inkopen doen of aan discussies deelnemen. Inderdaad, de particuliere firma's die zulke gegevens verzamelen zijn vaak zelfs niet Europees. Heden hinderen noch de Europese wetgeving noch internationale overeenkomsten er grote particuliere firma's aan dat zij gebruik maken van onze persoonlijke gegevens. Ik zou zelfs zo ver willen gaan om te zeggen dat niets de veiligheidsdiensten van derde landen eraan hindert om zich toegang tot zulke gegevens te verschaffen. Waarom heeft Europa de bevoegdheid en de mogelijkheid om zich hiermee bezig te houden? Omdat, zoals de heer Frattini terecht heeft gezegd, de gegevensbeschermingsrichtlijn van toepassing is op aanbieders van elektronische en internetdiensten binnen en buiten Europa. Onze persoonlijke gegevens verliezen niet aan belang en interesse alleen omdat een bedrijf buiten Europa is gevestigd.
Ik heb drie specifieke voorstellen, mijnheer de Voorzitter:
Ten eerste, moeten particuliere burgers in elk geval werkelijk om hun toestemming worden gevraagd voor het verzamelen, laat staan het gebruik maken van hun persoonlijke gegevens, zoals de door mij aangehaalde richtlijn stipuleert. Dit mag niet in de kleine lettertjes worden ondergebracht, maar duidelijk en uitdrukkelijk. Op het moment zijn zelfs die burgers die de wens hebben om hun gegevens te wissen of verhinderen willen dat ze door derde partijen worden gebruikt vaak niet in staat om op de verwarrende websites de weg te vinden. Websites zijn zo moeilijk vormgegeven, zodat firma's later met speciale werktuigen en software de interesses van de gebruiker kunnen ontdekken en aan hun producten kunnen verkopen, of zodat de veiligheidsdiensten vervolgens gebruikers om andere redenen kunnen opsporen.
Ten tweede - en ik ben blij dat de heer Frattini dit heeft gezegd - moet de Europese Commissie werkelijk begrijpen dat de fusie van deze bedrijven niet alleen ten opzichte van de financiële analyses belangrijk is, maar ook in het kader van de persoonsgegevens van de burgers die waarschijnlijk door anderen zullen worden misbruikt, of in de toekomst zouden kunnen worden misbruikt. Wij zijn niet alleen een gemeenschap van geld en markten, maar bovenal een gemeenschap van waarden.
Ten derde, mijnheer de Voorzitter, wil ik tot slot nog zeggen: het debat van vandaag roert een zeer wijdlopig thema aan, waarvan we pas het topje van de ijsberg hebben gezien, ofschoon het om een wereldwijd probleem gaat. Er is een internationaal handvest van de grondrechten van internetgebruikers nodig. Er is op het moment niets van dien aard. In deze tijd zal Big Brother niet opduiken, omdat de één of andere dictatuur hem inzet. Big Brother komt vanzelf, omdat ons gehele leven wordt opgenomen aan de hand van elektronische sporen in het internet. Wanneer wij allen samen geen principiële basis kunnen vinden om ons te beschermen, dan zullen we morgen wakker worden in een heel andere en naar ik geloof veel onaangenamere wereld, hoe gebruikersvriendelijk, prettig en betoverend ons alles vandaag ook mag schijnen.
Sophia in 't Veld
namens de ALDE-Fractie. - (NL) Ik had eigenlijk graag gezien dat de heer Frattini hier samen met zijn collega Neelie-Kroes had gezeten; ik denk namelijk dat het strikte onderscheid tussen marktregels en privacyregels achterhaald is. Wij weten dat de goedkeuring van de fusie van Google en Doubleclick eraan komt en uiteraard wil het Europees Parlement zich niet mengen in de details van die fusie, maar we willen wél weten welke garanties er zijn voor de privacy. Persoonsgegevens zijn big business geworden. Informatie over klanten, gebruikers en hun gedrag en voorkeuren is essentieel voor de concurrentiepositie van bedrijven. Bescherming van persoonsgegevens kan dus niet meer los worden gezien van concurrentiebeleid.
De Commissie heeft gekozen voor een zeer traditionele mededingingsaanpak, die niet meer is toegesneden op de behavioural advertising van de 21ste eeuw. Mededinging moet garanties inhouden voor de bescherming van privacy en consumentenrechten als fusies leiden tot megabedrijven met veel informatie over gebruikers, zoals bij voorbeeld Google/Doubleclick, maar ook een mogelijke Microsoft/Yahoo, of Yahoo/Rupert Murdoch, of Reed Elsevier/ChoicePoint, enz.
Persoonsgegevens kunnen worden misbruikt om nieuwkomers buiten de markt te houden en het gaat erom dat in een gezonde concurrentie de consument privacy kan afdwingen, een bedrijf kan disciplineren, zoals in het geval van Facebook, bij voorbeeld. Wij hebben toch ook regels voor mediaconcentraties. Waarom betrekken wij dan niet de privacybescherming in het concurrentiebeleid? IP-adressen kunnen worden beschouwd als persoonsgegevens. En dat heeft mogelijk verstrekkende gevolgen voor de industrie, maar ook voor de gebruiker. Er moeten dus dringend Europese, maar vooral wereldwijde standaarden komen voor deze sector. De Europese Unie moet het voortouw nemen en een en ander samen met Amerika ontwikkelen, in samenspraak met de industrie. Ik stel dus voor om dit in te brengen in de agenda van de Transatlantic Economic Council.
Tenslotte hebben bedrijven ook belang bij het vertrouwen van de burger in goede bescherming van de privacy. Ik noemde net al het geval van Facebook, waar de consumenten hun macht hebben gebruikt om Facebook te dwingen beter op de privacy te letten. Ik zou dus willen pleiten voor een andere aanpak van de Europese Commissie, waarbij mededingingsbeleid, consumentenbescherming en bescherming van persoonsgegevens of privacy tot één geheel worden gesmeed.
David Hammerstein
namens de Verts/ALE-Fractie. - (ES) Mijnheer de Voorzitter, wij maken ons zorgen over een fusie die niet werkelijk een fusie is: het is de vereniging van twee elkaar aanvullende ondernemingen. De ene onderneming, Google, heeft een onmetelijke berg van gegevens, meer dan wie dan ook ter wereld, en de andere onderneming, DoubleClick, heeft het vermogen om deze gegevens over consumentengedrag te verwerken, te bewerken en in bepaalde banen te leiden.
Met deze zaak moet zich de Europese Commissie bezighouden, omdat het voor de burgers van Europa om een gevaarlijke verbinding gaat, en vanwege de bescherming van onze persoonlijke levenssfeer en handelingen. De structuur van de fusie kan een gevaar voor de persoonlijke levenssfeer zijn, aangezien de nationale overheden op het moment niet het vermogen hebben om aan de weet te kom hoe deze gegevens worden bewerkt, en ook de consumenten niet zullen weten waar hun gegevens heengaan of hoe deze gegevens door derden worden gebruikt.
Carl Schlyter
. - (SV) Mijnheer de Voorzitter, de consument is weerloos in het internet. Wanneer je gebruik wilt maken van populaire diensten kun je niet de optie 'verzamel geen gegevens over mij' aanvinken. Noch kan men aan de weet komen wat er met de eigen gegevens gebeurt. Je doet een zoekopdracht, je koopt iets. Wanneer een en hetzelfde bedrijf in staat is om al deze informatie te verbinden, dan kan het een enorm marketingvoordeel bereiken en een enorme rijkdom aan informatie verzamelen over allen die gebruik maken van het internet. Hetzelfde is van toepassing wanneer je legaal een film wilt downloaden uit het internet. Dan moet je gebruik maken van de software van één bepaald bedrijf, dat wil zeggen Windows.
We kunnen onszelf alleen tegen deze grote bedrijven te weer zetten, wanneer onze wetgevers ons daarbij helpen. Hoe kwetsbaar gegevensbescherming kan zijn, wordt duidelijk wanneer wij naar de strijd tegen overtredingen van het auteursrecht kijken. Er vindt een computerzoeking bij een file sharer plaats en al zijn persoonlijke informatie wordt uitgeplozen. Deze informatie wordt dan naar mediabedrijven gestuurd om uit te vinden wat onder auteursrecht lag en wat niet. Wanneer mediabedrijven toegang hebben tot onderzoeksmateriaal van de politie, hoe kun je dan consumenten beschermen? Het wordt tijd dat de gegevensbescherming een behoorlijke duw in de rug krijgt.
Alexander Alvaro
(DE) Mijnheer de Voorzitter, ik moet toegeven dat ik een fan van deze 'catch the eye' procedure ben, vooral wanneer de klok nog niet tikt.
Op het gebied van de gegevensbescherming hebben we zonder twijfel nog veel te bespreken. Door enkele leden van de Verts/ALE-Fractie werd het onderwerp aangesneden van de gegevensverzameling over particuliere bedrijven en privépersonen. Fusies zoals deze tussen Google en DoubleClick werpen zeker vragen op. Toch moeten wij er voor oppassen om niet het één met het ander te vermengen. Wanneer vele kikkers kwaken, blijft het altijd nog gekwaak. Wat ik bedoel, is dat we niet mogen vergeten dat we ook de technologische processen moeten begrijpen die hieraan ten grondslag liggen.
Wij - en mijn Fractie vormt hierop zeker geen uitzondering - houden ons vaak zeer nauw bezig met zaken die met het internet in verband staan, en doen dit vaak op zeer emotionele manier. Wanneer ik echter wil begrijpen hoe het internet en de gegevensverzameling werken, moet ik eerst de technologie begrijpen die hieraan ten grondslag ligt.
In verband hiermee geloof ik dat er veel te zeggen valt voor de aanpak van de heer Weber om eerst uit te zoeken in hoeverre IP-adressen persoonsgegevens zijn inzake de Richtlijn 2002/58 betreffende privacy en elektronische communicatie. Want in sommige gevallen kan het IP-adres in verbinding met gebruikersgegevens zeker de basis vormen voor de vergaring van persoonlijke informatie. Aan de andere kant, gezien de huidige technologische stand van zaken, waar koelkasten bijvoorbeeld automatisch kookrecepten uit het internet halen, is de vraag of het zich bij het IP-adres van mijn koelkast om persoonsgegevens handelt nu werkelijk redundant.
Eva Lichtenberger
(DE) Mijnheer de Voorzitter, zoals de vorige spreker terecht heeft aangevoerd, moet de technische achtergrond van deze regeling worden onderzocht. Wij hebben hier met een geval te maken dat nogal moeilijk ligt, omdat het niet volledig onder het concurrentierecht valt, maar waarbij toch de kritische massa wordt overschreden die voor problemen zorgt.
Wanneer puntje bij paaltje komt zal het voor de nationale gegevensbeschermingsautoriteiten en gegevensbeschermingswetgeving moeilijk worden om overtredingen door deze fusiepartners aan te pakken, omdat de verwerking van de gegevens die dan over DoubleClick zal lopen, op volledig andere wijze verder zal worden bewerkt. Hierin bestaat een van de technische moeilijkheden die wij moeten oplossen. Daarom geloof ik dat de opeenhoping van zo veel potentieel in de handen van één groep zeer slecht voor de markt is, omdat het nieuwe concurrenten uitsluit van de markt.
Franco Frattini
vicevoorzitter van de Commissie. - (IT) Mijnheer de Voorzitter, dames en heren, ik geloof ook dat de zorgen die door veel van de sprekers tot uitdrukking werden gebracht, zorgen zijn die wij allen delen; vooral in het opzicht dat we op het moment nog geen tevredenstellend systeem voor gegevensbescherming inzake de nieuwe technologieën en het internet hebben.
Wij moeten net zoveel aandacht besteden, misschien zelfs meer, aan de gegevensbescherming bij het bekend maken van onze persoonsgegevens aan een particuliere industriële groep als wanneer wij persoonsgegevens aan een gerechtshof openbaren tijdens een onderzoek in het kader van antiterrorisme.
Om deze redenen zijn dit ernstige aangelegenheden en kennelijk, alhoewel relatief nieuw, is het door de heer Lambrinidis naar voren gebrachte idee van een handvest voor de grondrechten van de internetgebruiker volledig in overeenstemming met het globale karakter van het internet.
Zoals u weet, en zoals ik net in mijn inleiding heb opgemerkt, zijn de bestaande regelingen van toepassing op grond van het grondgebied waarop zich een bepaalde aanbieder heeft gevestigd, maar deze geografische begrenzing is niet werkelijk in overeenstemming met het internet. Dit moet naar mijn geloof de richting zijn waarnaar ons werk moet toegaan, en ik geloof ook dat het belangrijk is om een verbindend element te vinden tussen de mededingingskant van de zaak en de kant van het consumentenbeschermingsbeleid, waaronder ook de persoonlijke gegevens van deze gebruikers vallen.
Dit is iets waarover we net begonnen zijn met praten en zoals u weet volgt de Commissie de ontwikkelingen op vele gebieden van gegevensbescherming die niet door de Europese wetgeving worden afgedekt. Deze omvatten initiatieven door de Raad van Europa, de Verenigde Naties en de internationale conferentie inzake gegevensbescherming.
Er bestaat niettemin een gevaar dat we in het achterhoofd moeten houden. Ik wil de volgende vraag stellen: Zou een charta van de grondrechten van de internetgebruiker niet de bescherming verzwakken, aangezien zij voor een buitengewoon groot aantal mensen zou moeten gelden? Juist dit maakt het duidelijk dat wij onze Europese wetgeving als voorbeeld moeten nemen - wanneer ik zo vrij mag zijn - om het te exporteren, en dat we geen zwakkere regelgeving inzake gegevensbescherming mogen accepteren alleen omdat deze op een veel breder geografisch gebied moeten worden toegepast.
Ten slotte kan ik u vertellen dat om het praktische werk op gang te brengen, de zogenaamde 'Werkgroep Artikel 29', die allen die met dit werk van doen hebben kennen, een met redenen omkleed advies aan het voorbereiden is inzake gegevensbescherming in verbinding met zoekmachines en aanbieders van internetdiensten.
Met andere woorden, we pakken deze zaak aan, en er is een vragenlijst verstuurd die als vertrekpunt kan dienen voor dit met redenen omkleed advies. De vragenlijst omvat het beleid inzake gegevensbescherming en is naar een groot aantal leidende personen, zoekmachinebeheerders en dienstenaanbieders gestuurd. Naar mijn mening zouden de verzamelde antwoorden en het advies dat zeker zo snel als mogelijk, hopelijk voor het zomerreces, zal worden gepubliceerd een gecoördineerd antwoord op de desbetreffende problemen kunnen leveren en op de richting die het werk zal moeten nemen.
De Voorzitter
Het debat is gesloten.
Schriftelijke verklaringen (Artikel 142)
Silvia-Adriana Ţicău  
schriftelijk. - (RO) In de huidige tijd gebruiken steeds meer Europese burgers de diensten van de informatiemaatschappij, zij het financiële diensten, intelligente vervoerssystemen, tolsystemen voor het gebruik van de wegeninfrastructuur, gecomputeriseerde gezondheidssystemen, het internet, bewakings- en controlecamera's of het gebruik van biometrische gegevens. De zekerheid en veiligheid van zulke diensten is wezenlijk voor het vertrouwen van de gebruiker.
De veiligheid van elektronische netwerken en gecomputeriseerde systemen zijn samen met technologieën ter verbetering van de persoonlijke gegevensbescherming de hoofdaangelegenheid van de strategie voor een veilige informatiemaatschappij die door de Commissie in 2006 werd aangenomen. In een mededeling van mei 2007 presenteerde de Commissie, de mogelijke met het gebruik van de informatietechnologie verbonden gevaren, zoals identiteitsdiefstal, bewaking of zelfs fraude.
Om een veiligere informatiemaatschappij te bereiken moeten de specifieke producten en diensten al vanaf de ontwerpfase mechanismen voor gegevensbescherming bevatten. Het is evenzeer nodig dat ook de procedures en beginselen die van toepassing zijn op de veiligheid van de informatiemaatschappij aan de mensen worden verklaard die betrokken zijn bij het ontwerp, het exploiteren en het gebruik van gecomputeriseerde systemen, en dat deze voor hen ook toegankelijk blijven. Ik vraag de Commissie tot onderzoek van de noodzaak van bepaalde regelgevingen van de gemeenschap inzake de veiligheid van elektronische communicatiediensten en gecomputeriseerde systemen.
Iedere aanbieder van voor de informatiemaatschappij specifieke diensten moet zich aan de nationale en internationale wetgeving inzake gegevensbescherming houden.
