Een centraal onderdeel van de door EU-commissaris voor grondrechten Viviane Reding gelanceerde EU-richtlijn inzake gegevensbescherming is het “recht om te worden vergeten”. EU-burgers krijgen meer controle over hun gegevens. Dit moet gebruikers in staat stellen digitaal opgeslagen persoonsgegevens op verzoek te laten wissen.
Omdat technologie en informatiesystemen een essentiĆ«le rol spelen bij de tenuitvoerlegging van dit recht, heeft het EU-agentschap voor internetveiligheid ENISA een nieuw verslag uitgebracht over de technische tenuitvoerlegging van het “recht om te worden vergeten”. In het verslag worden de technische beperkingen beschreven en wordt benadrukt dat eerst duidelijke definities en wettelijke bepalingen nodig zijn voordat een dergelijke bepaling met passende technische middelen naar behoren ten uitvoer kan worden gelegd.
In het laatste ENISA-verslag wordt aanbevolen dat beleidsmakers en gegevensbeschermingsinstellingen in de toekomst samenwerken om de tenuitvoerlegging van het recht te ondersteunen door middel van duidelijke bepalingen. Dit omvat onder meer preciezere bepalingen betreffende de persoon die kan verzoeken om verwijdering van opgeslagen persoonsgegevens en onder welke omstandigheden dit kan gebeuren. Voorts zou bij dergelijke bepalingen zorgvuldig moeten worden nagegaan welke kosten hieraan verbonden zijn.
In zijn verslag benadrukt ENISA met name: Een zuiver technische oplossing voor de tenuitvoerlegging van de wet op internet is onmogelijk! Daarom vereist het proces een interdisciplinaire aanpak. Beleidsmakers moeten zich hiervan bewust zijn. Een mogelijke, pragmatische oplossing ter ondersteuning van de uitvoering van de wet zou zijn om exploitanten van zoekmachines en aanbieders van gegevensdoorgiftediensten uit de EU te verplichten hun binnen en buiten de EU opgeslagen referenties te filteren op “vergeten” informatie. Bijzondere aandacht moet worden besteed aan het verwijderen van persoonsgegevens van weggegooide offline-opslagmedia.
Het verslag is een aanvulling op twee recente ENISA-publicaties: de Study on Data Retention and Collection in Europe en het Report on Privacy Impacts and Tracking of Online Behaviour.
In deze bredere context moeten beleidsmakers ervoor zorgen dat het gebruik van technologie het beginsel van minimale openbaarmaking of publicatie ondersteunt om de hoeveelheid online verzamelde en opgeslagen persoonsgegevens te minimaliseren. Het agentschap beveelt ook coderingen aan voor het bewaren en overdragen van persoonsgegevens. Bijzondere aandacht moet worden besteed aan tracking en online profilering. Bovendien moeten processen en instrumenten worden ingevoerd om ongepast gedrag te blokkeren en de naleving van de regels inzake de bescherming van persoonsgegevens af te dwingen.
De uitvoerend directeur van Enisa, professor dr. Udo Helmbrecht, herhaalt deze eisen: “Wij hebben in Europa een uniforme aanpak nodig om het fundamentele recht op bescherming van persoonsgegevens veilig te stellen. De hervorming van de wetgeving inzake gegevensbescherming in Europa is een cruciale stap in die richting. De rapporten van ENISA bieden een technisch informatiebeveiligingsperspectief dat deze hervorming ondersteunt.”
Het gedetailleerde rapport van het Europees veiligheidsagentschap “Het recht om te worden vergeten – tussen verwachtingen en praktijk” is als pdf-document te vinden in de bijlage bij dit artikel.