Te weinig privacywaarborgen in Dataverordening

Het grootste risico van het huidige voorstel voor de Europese Dataverordening is dat deze Data Act botst met de Algemene verordening gegevensbescherming (AVG). De Europese toezichthouders vinden het bovendien onduidelijk wanneer de verplichting geldt dat bedrijven data moeten delen met overheden en om welke data het dan gaat.

Uitzonderlijke omstandigheden

De toezichthouders zien het risico dat de Dataverordening ‘te veel ruimte geeft aan overheden om persoonsgegevens bij bedrijven op te eisen’. Overheden krijgen volgens het wetsvoorstel in uitzonderlijke omstandigheden toegang tot data van de private sector, maar ‘wanneer die verplichting precies geldt en om welke data het dan gaat, is niet duidelijk genoeg omschreven’.

Dat schrijft de Autoriteit Persoonsgegevens, samen met andere Europese toezichthouders verenigd in het Europees Comité voor gegevensbescherming EDPB, over het wetsvoorstel van de Europese Commissie. Het is nu aan het Europees Parlement om te oordelen. De Dataverordening heeft als doel om datadeling zo veel mogelijk te stimuleren en zo de achterstand van Europa op dit gebied teniet te doen.

Discussie

‘Het grootste risico’ is dat er onduidelijkheid ontstaat over hoe de AVG toegepast moet worden en dat de Dataverordening ‘afbreuk doet aan rechten en verplichtingen in de AVG’. Volgens de toezichthouders gaat de AVG bij gebruik van persoonsgegevens altijd voor: ‘Dus schrijft de Data Act voor dat een organisatie persoonsgegevens moet delen? Dan mag dat alleen als dat volgens de AVG ook kan.’ Dat moet in de Dataverordening duidelijk worden vermeld.

De wetgeving 'reguleert een hoop gebieden waar voorheen geen wetgeving over was’, was de eerste indruk van Kalliopi Spyridaki, Chief Privacy Strategist bij analytics- en AI-specialist SAS, toen het voorstel in februari uitkwam. Ze verwachtte dat er met name over de details, zoals de te gebruiken standaarden, een hoop discussie zal zijn.