Kees Jan Kuilwijk KRAPPE VOLDOENDE VOOR BESCHERMING PERSOONSGEGEVENS De Europese Commissie heeft vorige maand haar eerste rapport gepubliceerd over de omzetting en naleving in de lidstaten van de Europese richtlijn bescherming persoonsgegevens. De Commissie geeft de lidstaten maar een krappe voldoende. Het begon ook al slecht natuurlijk. Verschillende landen, waaronder Nederland, namen niet de moeite de richtlijn op tijd om te zetten in nationaal recht, ofschoon voor deze omzetting toch drie jaar was voorzien (tot oktober 1998). Dit was aanleiding voor de Commissie om in 1999 Frankrijk, Duitsland, Ierland, Luxemburg en Nederland voor het Hof te slepen. Ierland en Frankrijk hebben de richtlijn nog altijd niet omgezet. Er is gelukkig ook goed nieuws. Triomfantelijk stelt het Commissie-rapport (pdf) dat aan het voornaamste doel van de richtlijn - nl. de verwijdering van de barrières die in de weg stonden aan het vrij verkeer van persoonsgegevens middels harmonisatie van wetgeving - is voldaan. Helaas is deze conclusie noch juist noch, ware zij juist, van enige bijzondere betekenis. De wetgeving in de lidstaten is namelijk een hopeloze lappenmand en waar het uiteraard in de grond van de zaak om gaat is niet of mijn credit card gegevens moeiteloos hun weg vinden naar één of ander hotel in Spanje maar hoe Spanje de bescherming van persoonsgegevens daadwerkelijk heeft ingevuld en in praktijk gebracht. De Commissie heeft voor de invulling door de lidstaten niet al te veel waardering, zo blijkt, al is haar eigen mening niet altijd even duidelijk nu zij zich erg vaak achter de onderzoeksresultaten verbergt zonder deze zelf te interpreteren. Bepaalde resultaten spreken in ieder geval voor zich, of toch niet? Van de ruim 9.000 (natuurlijke) personen die aan de online consultatie van de Commissie meededen vond maar liefst 81 procent dat het feit dat de verwerking van persoonsgegevens middels wetgeving beschermt wordt onvoldoende bekend is. Bijna 70 procent van de ondernemingen die antwoordden vond dat gegevensbescherming in de huidige samenleving noodzakelijk is en 62 procent vond het naleven van de wetgeving op dit gebied niet zo'n probleem voor hun organisatie. Dit lijkt me sterk. Alle personen die aan de consultatie meededen weten in ieder geval dat persoonsgegevens door wetgeving worden beschermd, want daar ging de consultatie over. Deze personen vinden dan blijkbaar dat bijvoorbeeld 8 van de 10 mensen uit hun onmiddelijke nabijheid zich hiervan niet bewust zijn. Naar wij mogen aannemen heeft het overgrote deel van deze 9.000 personen geen enquete gehouden onder familie, vrienden en kennissen, maar berust dit op een gok. Oma weet het niet, dus zal mijn broer het ook wel niet weten. De antwoorden van de ondernemingen lijken mij ook onzin, maar ik moet toegeven dat ook ik geen enquete heb gehouden onder bijvoorbeeld cliënten. Het zou mij echter sterk verbazen als ik er ook maar één zou vinden die bescherming van persoonsgegevens als "noodzakelijk" en "geen probleem" zou willen omschrijven. Niet dat ik het daarmee eens ben natuurlijk. De Commissie komt in ieder geval tegemoet aan die 38 procent van ondernemingen die wel problemen heeft met de wetgeving. Zij vindt dat meer flexibiliteit in de interpretatie van wat als rechtmatige verwerking moet worden beschouwd geboden is. Ook moeten de nationale instellingen belast met het toezicht "the realities of daily business" erkennen. Iets minder streng zijn dus, heren van het CBP in Den Haag. Het rapport geeft overigens aan dat alle toezichthouders de noodzakelijke staf ontberen -en sommigen ook de noodzakelijke bevoegdheden - om een effectieve naleving van de regels te garanderen. Hierdoor is deze naleving in geen van de lidstaten op acceptabel niveau. Een enigzins dubbele boodschap dus. Waar de toezichthouders wel voor naleving zorgen zijn zij vaak te streng. Over het algemeen schort het echter aan manschappen om naleving van de wetgeving überhaupt te kunnen waarborgen. Dan maar een beetje te streng zo hier en daar, zou ik zeggen, als het merendeel van bedrijven er toch fluitend langsheen fietst. Voorbeelden stellen waar mogelijk, dan hebben we nog iets aan die wetgeving. Een aanpassing van de richtlijn is niet noodzakelijk, zo vindt de Commissie. De Unie moet met de lidstaten aan een betere implementatie werken. Hiermee miskent zij echter het feit dat ze de verschillen in interpretatie van de richtlijn grotendeels veroorzaakt met de vaagheid van haar tekst, alsmede met een gebrek aan duidelijke instructies in die richtlijn. Verschillende lidstaten hebben overigens gepleit voor wijziging van de richtlijn, maar de Commissie gaat dus aan die geuite wensen voorbij. Toch lijkt het me juist dat problemen aan de wortel worden aangepakt en niet aan het blad. Duidelijker instructies aan toezichthouders, meer geld en (daarmee) manschappen voor toezichthouders en dan zullen ondernemingen uiteindelijk bescherming van persoonsgegevens wel serieus gaan nemen. Dat hopen we toch.