Het College Bescherming Persoonsgegevens (CBP) trekt in Europa een te grote broek aan door samen met andere toezichthouders in de Artikel 29 werkgroep eigenhandig de regels te interpreteren en vervolgens naleving te controleren. De standpunten van de waakhonden zijn vaak strikt en zelfs onredelijk, stelt webwinkelbranchevereniging Thuiswinkel.org.

Ondemocratische dubbelrol

“De toezichthouders manifesteren zich nu eens als rechter, dan weer als wetgever. Een gang van zaken die volledig indruist tegen de basisprincipes van democratisch bestuur", vindt Thuiswinkel.org. Als voorbeeld geldt de oprekking van het begrip persoonsgegeven, waar volgens de werkgroep ook IP-addressen, cookies, user-ID's, RFID-tags, MAC-addressen onder vallen.

“Bovendien heeft de werkgroep op eigen initiatief aanvullende regels opgesteld, zonder controle van de Europese Commissie en het Europees Parlement. Ook vond daarbij geen overleg plaats met andere stakeholders, zoals consumenten en het bedrijfsleven. Het begrip 'data controller' bijvoorbeeld werd zo ruim gedefinieerd dat onnodig veel bedrijven processen moesten inrichten ter bescherming van persoonsgegevens, met alle kosten van dien", schrijft Thuiswinkel.org.

Als tegengas stelt de branchevereniging in een 'position paper' aan het Europees parlement een aantal wijzigingen in de nieuwe privacyrichtlijn voor, die nu te eenzijdig de privacy van individuen benadrukt. Ook de vrijheid van ondernemen is namelijk een fundamenteel recht, en de richtlijn moet hiertussen een evenwicht vinden. Het gaat niet zozeer om het reguleren van databescherming maar van dataverwerking, vindt Thuiswinkel.org. Een belangrijke wijziging is een op te richten adviesraad, de European Data Protection Council, waarin consumenten en het bedrijfsleven zitting krijgen.

Interpretatie altijd nodig

Het CBP diskwalificeert de kritiek en standpunten van Thuiswinkel.org resoluut. Volgens Jacob Kohnstamm, voorzitter van het CBP en de Artikel 29 werkgroep, moeten toezichthouders de regels nu eenmaal interpreteren, omdat die technologieneutraal zijn.

Kohnstamm: "De nieuwe verordening moet net als de uit vorige eeuw stammende thans geldende Richtlijn, technologieneutraal en daarom bestand zijn tegen de tand des tijds. De keuze is: ofwel open normen stellen die in concrete gevallen tijd- en plaatsafhankelijk geïnterpreteerd moeten worden en uiteindelijk door de rechters getoetst worden, ofwel de belachelijke keuze om nieuwe technologische toepassingen te verbieden; aan thuiswinkel de keuze!"

Carte blanche voor bedrijfsleven

De ware agenda van Thuiswinkel.org is het grondrecht 'bescherming van persoonsgegevens' ter discussie stellen, riposteert Kohnstamm: "Met de meegestuurde amendementen komt de aap uit de mouw: het grondrecht op bescherming van persoonsgegevens moet omgezet worden in een carte blanche voor het bedrijfsleven om met betrekking tot persoonsgegevens te doen en te laten wat het bedrijfsleven goed dunkt."

Het CBP benadrukt daarnaast dat het zelf een raad van advies heeft waar ook het bedrijfsleven zitting heeft.