Inleiding

Op 18 oktober 1995 werd richtlijn 95/46/EC een feit. Vijf jaren van onderhandelen had eindelijk tot een tastbaar resultaat geleid. Privacy en gegevensbescherming zouden vanaf dan in heel Europa gewaarborgd zijn. De richtlijn voorzag in een onderlinge aanpassing van de privacywetgeving in Europa en garandeerde de eerlijke gegevensbehandeling van alle Europese burgers.

Op het eerste zicht lijkt hier weinig stof tot conflict in vervat te zijn. Wie kan er nu tegen privacy en gegevensbescherming zijn? Toch is richtlijn 95/46/EC erg controversieel gebleken. De richtlijn garandeerde namelijk de eerlijke gegevensbehandeling van alle Europese burgers, ook buiten Europa. Vanuit de gedachte dat gegevensstromen geen boodschap hebben aan territoriale staatsgrenzen en nieuwe communicatiemiddelen wereldwijde gegevensstromen met een druk op de knop mogelijk maakten, werd er een extraterritoriaal tintje gegeven aan de richtlijn. De Europese Commissie besloot dat Europese regulering zinloos was indien derde landen niet aan dezelfde privacystandaarden onderhevig waren indien het gegevens van Europese burgers betrof.

In de Verenigde Staten werd de richtlijn niet zo enthousiast onthaald. Een dwingende richtlijn voor heel Europa waarbij, om Europese gegevens te kunnen beheren en gebruiken, ook Amerikaanse bedrijven en organisaties onderhevig zouden zijn aan de bepalingen van deze richtlijn, was voor hen ongewenst. Amerikaanse officials zagen in het opleggen van beschermingsstandaarden aan ‘derde landen’ een ongeoorloofde daad van handelsprotectionisme en een belemmering van het vrije verkeer van data.

Binnen de Europese visie is het opstellen en het opleggen van een dwingende richtlijn de ideale manier om een bepaald beschermingsniveau te garanderen. Op die manier worden privacy en gegevensbescherming gerealiseerd en beschikken alle landen over een functioneel gelijk wettelijk kader. In de Verenigde Staten poogt men privacy en gegevensbescherming op een fundamenteel andere wijze te realiseren. Een beperkt aantal wetten gericht op zeer specifieke sectoren worden aangevuld met principes van self-regulation. Bij self-regulation regelen bedrijven en organisaties zelf hun privacybeleid. Dit systeem legt een grote verantwoordelijkheid bij bedrijven en organisaties aangezien er geen overkoepelende instanties zijn die eventueel zouden instaan voor afdwinging van een aantal privacyprincipes. De verschillen in beleid ten aanzien van een zelfde beleidsdoelstelling, in dit geval privacy en gegevensbescherming, zijn dus aanzienlijk.

De probleemstelling die we daaruit kunnen formuleren is drieledig. Ten eerste op het niveau van het handelsconflict zelf. Welke motieven spelen om voor self-regulation dan wel overheidsoptreden te kiezen? Zijn deze motieven effectief ten aanzien van het doel, privacy en gegevensbescherming? Het tweede niveau plaatst het conflict in een ruimer perspectief. Is het conflict rond regelgeving ten aanzien van privacy en gegevensbescherming toevallig of eerder een uiting van twee radicaal verschillende maatschappijvisies op het realiseren van eender welke beleidsdoelstelling. Het derde deel van de probleemstelling plaatst deze problematiek in het kader van de steeds toenemende economische integratie. Hoe verhouden handelsconflicten omtrent niet-tarifaire handelsbelemmeringen zich ten aanzien van economieën die zich steeds meer integreren en welk effect heeft deze integratie op wereldwijde normen en standaarden?

Het eerste deel van de probleemstelling beklemtoont het onderzoek naar motieven om voor regulering middels een dwingende richtlijn dan wel self-regulation te kiezen. Wellicht zijn die motieven niet los te koppelen van de context en de aard van de EU en de VS. Wellicht spelen er historische en economische factoren die de keuze voor het ene of het andere systeem hebben beïnvloed. De keuze van de EU voor een bindende richtlijn is bijvoorbeeld makkelijk te begrijpen in het kader van de economische integratie. De harmonisatie van de eenheidsmarkt vereist bindende richtlijnen voor de lidstaten. Binnen dit handelsconflict is één mogelijk motief erg belangrijk, namelijk het motief van handelsprotectionisme. Het is dan ook belangrijk te onderzoeken of de richtlijn specifiek is opgezet als handelsbelemmering. Dit kan gedaan worden door de richtlijn te bestuderen in het licht van bepaalde mondiale afspraken. Er kan onder andere onderzocht worden of richtlijn 95/46/EC indruist tegen de regels van de OESO richtsnoeren rond privacy en of klachten via de Wereld Handels Organisatie een kans op slagen zouden kunnen hebben (m.a.w. druist de richtlijn in tegen andere internationale handelsafspraken?).

Het tweede deel van de probleemstelling plaatst de privacyregelgeving in een breder kader. Is het mogelijk dat het handelsconflict, gevoerd rond de problematiek van gegevensbescherming en privacy, in feite een uiting of een gevolg is van twee verschillende visies rond regelgeving. Ook hier past het de motieven voor de keuze van het ene of het andere reguleringssysteem te onderzoeken. Zijn de motieven economisch, historisch of cultureel van aard? Als blijkt dat het niet gaat om functionele motieven wordt de waarschijnlijkheid van een paradigmatisch verschil in regelgeving groter, gezien de keuze voor het regelgevingssysteem dan minder in verhouding staat tot het beleidsdoel.

Het derde deel van de probleemstelling kadert dit handelsconflict binnen de toenemende integratie tussen de transatlantische handelspartners. Deze sterke economische integratie zou als gevolg kunnen hebben dat de typische beschermingsmaatregelen die regeringen nemen om hun economie minder toegankelijk te maken niet meer gehanteerd kunnen worden. Wel worden er nieuwe beschermingsmaatregelen genomen die niet als dusdanig te herkennen zijn. Het eisen van minimumstandaarden is er zo een. Mogelijk kunnen we richtlijn 95/46/EC catalogiseren als zo een intentionele niet-tarifaire handelsbelemmering. De toenemende economische integratie brengt ook de discussie rond de verhoging of de verlaging van standaarden en minima ten gevolge van globalisering op gang. De stelling dat economische integratie de verlaging van standaarden in de hand werkt kan getoetst worden aan de case rond gegevensbescherming.

Er mag geen verwarring zijn omtrent de bedoeling van deze verhandeling. De analyse van het handelsconflict rond richtlijn 95/46/EC zal niet draaien rond de functionaliteit van de twee besproken systemen ten aanzien van het realiseren van adequate gegevensbescherming. Deze verhandeling is geen zoektocht naar het systeem dat ‘het beste’ werkt. Deze verhandeling wil, op basis van de twee verschillende systemen, uitspraak doen over het waarom van het handelsconflict rond privacy en gegevensbescherming.

Het is dus niet verwonderlijk dat deze verhandeling in eerste instantie zal beginnen met een analyse van de principes en de werking van de twee systemen van regelgeving. De EU benadering middels richtlijn 95/46/EC wordt eerst doorgelicht. Vervolgens komen de principes van self-regulation, zoals gehanteerd in de VS ten aanzien van gegevensbescherming, aan bod. Het tweede deel plaatst richtlijn 95/46/EC in de transatlantische context. In dit deel wordt achtereenvolgens de extraterritoriale werking van de richtlijn toegelicht, het belang van gegevensstromen tussen de VS en de EU geduid en ten slotte de onderhandelde oplossing in de vorm van het safe harbor agreement besproken. Het derde deel onderzoekt aan de hand van twee internationale afspraken, de OECD richtsnoeren en de WTO, of er sprake is van protectionisme als motief van deze richtlijn. Het vierde deel gaat dieper in op de economische en culturele achtergrond bij de twee regelgevingssystemen, toegepast op gegevensbescherming. In dit deel wordt ook de wording van de richtlijn binnen Europa behandeld. De wording van richtlijn 95/46/EC had ook behandeld kunnen worden in het eerste deel, de analyse van de twee systemen, maar is relevanter in het vierde deel. De wording van de richtlijn leert ons namelijk veel over de economische achtergrond van de richtlijn. Het vijfde deel gaat dieper in op enkele andere handelsconflicten waar een niet-tarifaire handelsbelemmering in het geding is. Deze andere handelsconflicten van vergelijkbare aard moeten ons in staat stellen uitspraak te doen rond de stelling dat de EU een typische regulator is terwijl de VS dit minder vaak zouden zijn. Eveneens geeft dit summier overzicht van enkele andere handelsconflicten ons een beter beeld van de manier waarop niet-tarifaire handelsbelemmeringen plaats vinden en wat hun oorzaken kunnen zijn. Het zesde en laatste deel plaatst het handelsconflict in het kader van de toenemende economische integratie. Economische integratie zou mede verantwoordelijk zijn voor de handelsconflicten rond niet-tarifaire handelsbelemmeringen. Eveneens wordt in dit deel de stelling onderzocht dat, gegeven een doorgedreven economische integratie, standaarden en normen in het gedrang komen.

Deze verhandeling poogt, op basis van allerhande documenten, papers, wetteksten en internationale akkoorden tot een aantal relevante conclusies te komen inzake het ontstaan van handelsconflicten rond verschillen in regulering en non-tarifaire handelsbelemmeringen. Het onderzoek naar non-tarifaire handelsbelemmeringen wint steeds meer aan belang, gezien de toenemende mate waarin bepaalde normen en standaarden onderwerp zijn van conflict in een wereld waarin steeds meer globale handel plaats vindt.

1 De twee benaderingen doorgelicht

Alvorens we uitspraken kunnen doen over het waarom van het transatlantisch handelsconflict rond gegevensbescherming moeten we de twee benaderingen schetsen. Analyse van de eigenschappen van de twee benaderingen brengt ons dichter bij ons einddoel, inzicht in het waarom van dit conflict. Dit eerste deel zal eerst uitgebreid ingaan op de EU benadering middels een bindende algemene richtlijn die juridisch afdwingbaar is en vervolgens het Amerikaanse systeem van zelfregulering binnen een marktgerichte aanpak beschrijven. Het is geenszins de bedoeling in dit stuk een uitspraak te doen over de effectiviteit van het ene of het andere beleid. Het gaat hier om de loutere beschrijving van twee erg verschillende manieren om met een zelfde probleem om te gaan. Aangezien het de bedoeling is dat we onderzoeken waar nu juist de oorzaak ligt van het transatlantisch handelsconflict rond privacy en gegevensbescherming kunnen we niet om de analyse van de twee systemen heen.

1.1 De EU en richtlijn 95/46/EC

1.1.1 Algemeen

De EU benadert het privacyprobleem en het vrije verkeer van data als twee zijdes van een zelfde munt en verschaft hier een juridisch-wetgevende oplossing voor in de vorm van een bindende richtlijn 95/46/EC. Deze richtlijn werkt volgens het concept van een ‘framework approach’, een kader waarbinnen een aantal principes geformuleerd worden. De richtlijn heeft drie hoofddoelstellingen. Ten eerste beoogt ze een onderlinge aanpassing van de regulering van dataverwerking en van de bescherming van de persoonlijke levenssfeer binnen de eengemaakte Europese interne markt. Ten tweede wil de richtlijn het datasubject[1] meer kansen geven geïnformeerd te zijn over de verzameling, verwerking, gebruik en doorgifte van data die op hem betrekking hebben. Ten slotte wordt er aan datasubjecten ook controlemogelijkheid geboden om zich te verzetten tegen het gebruik van zijn gegevens voor bepaalde doeleinden.[2]

In dit deel zal ik eerst de belangrijkste bepalingen uit de richtlijn overlopen. Dit is nodig om een helder beeld te hebben van wat de legalistische kaderbenadering van de EU feitelijk inhoud. Een tweede punt behandelt de koppeling van de twee doelstellingen van de richtlijn. Het is namelijk geen toeval dat de richtlijn zowel de onderlinge aanpassing van het vrije verkeer van data als een opwaardering van de bescherming van de privacy tot doel heeft.

1.1.2 De richtlijn: inhoudelijk overzicht

Doel

Artikel 1 van de richtlijn legt het doel van de richtlijn vast en bepaalt dit doel tweeledig. De titel van de richtlijn is wat dat betreft meteen duidelijk: “The European directive of the European parliament and the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.” Lidstaten worden dus verplicht de fundamentele rechten en vrijheden van personen in verband met privacy en dataverkeer te waarborgen. Ten tweede is het de lidstaten niet toegelaten het vrije verkeer van data te beperken of te verbieden omwille van privacy redenen. Het tweede doel is dus het waarborgen van het vrije verkeer van data en beletten dat lidstaten dit vrije verkeer belemmeren. Bovendien mag niet vergeten worden dat de richtlijn past in de algemene initiatieven om de interne eenheidsmarkt van goederen, diensten en personen te realiseren. [3]

bereik

Opmerkelijk is ook het bereik van de richtlijn. De richtlijn is van toepassing op het beheer en gebruik van persoonlijke gegevens middels elektronische verwerking. Persoonlijke gegevens staat voor gegevens die toebehoren aan natuurlijke personen. Beheer (processing) van gegevens kreeg een ruime invulling en heeft betrekking op operaties zoals verzamelen, opnemen, stokkering, gebruik, overdracht, aanpassing,… van gegevens toebehorend aan natuurlijke personen.[4]

De richtlijn is geografisch van toepassing op de 15 landen behorend tot de Europese Unie. Deze landen moeten hun nationale wetgeving in overeenstemming brengen met de bepalingen van de richtlijn. De richtlijn wordt ook toegepast op de landen van de Europese Economische ruimte (EEA) indien de landen die hiertoe behoren, maar niet bij de EU horen, de richtlijn ratificeren. Dit maakt dat Ijsland, Liechtenstein en Noorwegen eveneens de richtlijn toepassen. De richtlijn is voorlopig niet van toepassing op landen uit Oost-Europa die een toetredingsstatus hebben. Zij zijn pas onderhevig aan de richtlijn bij feitelijke toetreding.[5]

Verder vermeldenswaard is dat het hier om een richtlijn gaat. Eigen aan een Europese richtlijn is dat zij bindend is ten aanzien van het resultaat, niet ten aanzien van middelen en methode. Nationale verschillen in wetgeving kunnen dus nog bestaan. In de richtlijn wordt daar in de preambule ook naar verwezen. §9 in de preambule heeft het over een “margin for manoeuvre” die landen in staat stelt specifieke klemtonen te leggen hoewel het geenszins de bedoeling is om hierdoor het beschermingsniveau te kunnen verlagen.[6] Artikel 4 bepaalt dat, behalve voor strafrecht en veiligheidsmateries, alle datastromen, via welk middel dan ook overgedragen, onderhevig zijn aan de richtlijn. Er is dus bijna geen beperking wat de draagwijdte van de richtlijn betreft.[7]

Ex ante controles

De richtlijn legt ook ex ante controles op aan datacontrollers. Dit wil zeggen, de richtlijn vertelt aan datacontrollers wat zij moeten doen voordat zij data beheren. Zo moet het datasubject op de hoogte worden gebracht van het feit dat zijn gegevens opgenomen zijn in een databank, hij moet over de gegevens van de datacontroller kunnen beschikken alsmede het doel kennen waarom zijn gegevens opgenomen zijn. Datacontrollers mogen de gegevens enkel beheren voor het gespecificeerde doel. Dit zijn allemaal ex ante voorwaarden voor het gebruik en beheer van data.

Ex post controles

Naast deze ex ante voorwaarden zijn er ook nog de ex post controles. Het gaat hier om rechten die individuen kunnen inroepen nadat hun gegevens zijn gebruikt. Zo verschaft de richtlijn aan ieder individu een inzage en correctierecht. Ook kan ieder individu de informatie rond het databeheer van de controller[8] verkrijgen zoals bijvoorbeeld aan welke derden de gegevens zijn doorgegeven.[9] Samenvattend kan men stellen dat de rechten van datasubjecten in drie categorieën te verdelen zijn: recht op informatie, recht op toegang en recht op verzet.[10]

afdwinging

In tegenstelling tot de OECD richtsnoeren en de conventie rond privacy van 1981 is richtlijn 95/46/EC afdwingbaar. De richtlijn moest voor 24 Oktober 1998 overgenomen zijn door de nationale wetgeving van de lidstaten. Los van deze overname in nationaal recht heeft de richtlijn ook direct effect sinds die datum. Sindsdien is het dus mogelijk, als particulier, bedrijf of organisatie de bepalingen van de richtlijn rechtstreeks in te roepen voor de rechtbank. Individuen die schade ondervinden omwille van gebrekkig optreden van een lidstaat (als de richtlijn niet of gebrekkig werd overgenomen in nationaal recht) hebben bovendien recht op schadevergoeding.[11]

Datatransfers naar landen buiten de EU

De bepalingen rond datatransfers naar derde landen zijn veruit de meest controversiële bepalingen van de richtlijn. Voorlopig volstaat het kort samen te vatten wat de richtlijn ons hierover vertelt. De basisregel is dat deze transfers plaats kunnen vinden indien er een adequaat niveau van bescherming aanwezig is in het derde land. Het al dan niet aanwezig zijn van een adequaat niveau van bescherming wordt bepaald door de Commissie op basis van de beslissingen die genomen werden door het comité, opgericht op basis van artikel 31, waarbij de commissie enkel tegen de comitébeslissing kan ingaan indien zij de steun heeft van de Raad van Ministers. Indien de Commissie in samenspraak met het comité beslist dat er in een bepaald land geen adequaat niveau van bescherming aanwezig is, moeten de lidstaten de nodige maatregelen nemen om datatransfers met het betreffende land te verhinderen.[12]

1.1.3 De link tussen privacy en de interne markt

Er werd reeds gesteld dat artikel 1 van richtlijn 95/46/EC de twee doelen opsomde van de richtlijn namelijk. privacybescherming en vrij verkeer van data. Deze twee doelen kunnen inderdaad niet los van elkaar bekeken worden. De richtlijn heeft naast privacybescherming minstens evenzeer tot doel het vermijden van unilaterale blokkeringen van datastromen door lidstaten omwille van niet geharmoniseerde wetgeving rond privacy. Deze onderlinge aanpassing van de privacyregelgeving op Europees vlak heeft het conflict met de VS in de hand gewerkt. Waar de conflicten rond het verschil in gegevensbeschermingsstandaarden vroeger plaatsvonden op intra-Europees vlak hebben deze conflicten zich nu verplaatst naar de transatlantische context.

De EU richtlijn werd onderhandeld in de context van verschillende niveaus van databescherming binnen de EU. Ten gevolge van deze verschillende niveaus van bescherming was de dreiging van blokkering door landen met een hoog beschermingsniveau ten aanzien van landen met een lager beschermingsniveau reëel. In het kader van de eenheidsmarkt met als doelstelling het vrije verkeer van goederen en diensten was dit een onwenselijke situatie. Door het vereisen van een uniforme standaard inzake dataprotectie doorheen de hele Europese Unie voorkomt de richtlijn een blokkering van dataverkeer tussen landen van de EU.

In de preambule[13] wordt dit als volgt verwoord:

“(7) Whereas the difference in levels of protection of the rights and freedoms of individuals, notably the right to privacy, with regard to the processing of personal data afforded in the member states may prevent the transmission of such data from the territory of one member state to that of another member state; whereas this difference may therefore constitute an obstacle to the pursuit of a number of economic activities at community level…

(8) Whereas, in order to remove the obstacles to flows of personal data, the level of protection of the rights and the freedoms of individuals with regard to the processing of such data must be equivalent in all member states…

(9) Whereas, given the equivalent protection resulting from the approximation of national laws, the member states will no longer be able to inhibit the free movement between them of personal data on grounds relating to protection of the rights and freedoms of individuals, and in particular the right of privacy…”

Punt 7 van de preambule stelt dat een verschil in beschermingsniveau hinderlijk kan zijn voor het vrije verkeer van data binnen de Europese Unie. Punt 8 koppelt hieraan dat het beschermingsniveau bijgevolg in alle landen gelijk moet zijn. Dit resulteert dan in punt 9 waarbij gesteld wordt dat , met een gelijk beschermingsniveau, er geen sprake meer kan zijn van het vrije verkeer van data te belemmeren op grond van privacyrechten.

Het dient hierbij te worden opgemerkt dat de link tussen dataprotectie en vrij verkeer van goederen en diensten via een eengemaakte markt niet die is van twee onafscheidelijke delen maar eerder van praktische en politieke aard was.

Ten eerste kon er in principe ook worden opgelegd dat lidstaten het dataverkeer niet mochten blokkeren onafhankelijk van eender welk privacybeleid. Dit zou echter onzinnig zijn gezien de externaliteiten van zulk een beleid. Bedrijven in landen met een strenger wettelijk kader (Frankrijk, Duitsland) zouden voor hun gegevensverwerking gewoon opereren vanuit een land met een minder streng wettelijk kader.

Een tweede punt is dat twee van de machtigste EU lidstaten vragende partij waren voor een uniform privacy kader, in casu Frankrijk en Duitsland.[14] Deze twee staten kunnen via hun omvangrijke markten meer druk uitoefenen voor een privacybeleid. Ten slotte is toegang tot hun markten belangrijk voor de andere leden. Frankrijk en Duitsland zouden dus nooit een liberalisering van het dataverkeer propageren zonder hieraan een gelijkschakeling, minstens aan hun eigen standaarden inzake privacy, te koppelen. De tweeledige doelstelling van de richtlijn is hier dan ook een gevolg van.

1.2 Self-regulation en beperkte wetgeving in de VS

De Verenigde Staten hanteren een fundamenteel verschillende benadering ten aanzien van privacy en gegevensbescherming als de EU. In tegenstelling tot de omnibuswetgeving zoals die van richtlijn 95/46/EC bestaat de Amerikaanse privacywetgeving uit een verzameling van zeer gefragmenteerde wetten, op verschillende niveaus. Bovendien is de wetgeving in de VS er specifiek op gericht de burgers te beschermen tegen verzameling, gebruik en beheer van gegevens door de overheid, eerder dan de burgers te beschermen tegen de private sector. Privacybescherming in de private sector poogt men vooral te bekomen d.m.v. self-regulation. Self-regulation als systeem van privacybescherming houdt in dat bedrijven, sectoren of organisaties een eigen privacybeleid uitwerken en in de praktijk brengen.

In dit hoofdstuk wordt eerst beschreven welke wettelijke bescherming er in de VS aanwezig is ten aanzien van data processing door de overheid. Vervolgens wordt het wettelijk kader ten aanzien van privacybescherming in de private sfeer beschreven. Het derde punt geeft dan aan of deze publiek-private scheiding niet te vereenvoudigend is. Het vierde punt beschrijft andere instituties die privacy reguleren zoals de markt en de ad hoc rechtspraak. Een benadering waar veel voorstanders van zijn in de Verenigde Staten.

1.2.1 Wettelijke bescherming t.a.v. de overheid

De Privacy-act, een wet van 1974, is de enige federale omnibuswet inzake privacy en gegevensbescherming. Ondanks de algemene titel van de wet geldt ze feitelijk slechts ten aanzien van dataprocessing door de federale overheid. De privacy-act is dus niet van toepassing op de deelstatelijke overheden of de private sector. De privacy-act verplicht de federale instanties persoonlijke informatie zoveel mogelijk bij de persoon in kwestie zelf te halen. De verzamelde informatie moet bovendien relevant en noodzakelijk zijn. Individuen hebben op basis van de privacy-act ook een inzage –en correctierecht. De privacy-act voorziet ook nog in een privacy-official die moet toezien op de toepassing van de privacy-act binnen de federale overheidsinstanties.[15]

Deze wet is dus enkel van toepassing op de federale overheid. De deelstatelijke overheden beschikken meestal niet over zulk een omnibuswet inzake gegevensbescherming en privacy. Slechts dertien staten beschikken over algemene voorschriften die eerlijke gegevensbehandeling en bescherming waarborgen.[16] De meerderheid van staten heeft geen algemeen wettelijk kader wat gegevensbescherming betreft. Dat wil niet zeggen dat er totaal geen wetgeving rond privacy is in de meeste staten. Vaak zijn er specifieke wetten die van toepassing zijn op een sector, een specifiek probleem of bezorgdheid. Deze wetten worden soms in mandaat van de federale regering door de staten aangenomen. Dit wil zeggen dat wat die materies betreft, er een zekere uniformiteit tussen de staten bestaat. Zulk een voorbeeld is de regulering van de toegang tot schoolbestanden.[17] Naast deze specifiek opgedragen wetgeving door de federale overheid is er in de deelstatelijke wetgeving geen uniformiteit. Hier is sprake van vijftig verschillende jurisdicties.

1.2.2 Wettelijke bescherming t.a.v. de private sector

Er is in de Verenigde Staten geen algemeen kader wat bescherming van individuen ten aanzien van dataprocessing door de private sector betreft. De privacybescherming is beperkt tot enkele sectoren en bezorgdheden zoals volgende titels aanduiden: The driver’s privacy protection act van 1994, the video privacy protection act van 1988, The electronic communication privacy act van 1986, The cable communication act van 1984 en The fair credit reporting act van 1971.[18] Deze wetten zijn zeer specifiek en in enkele gevallen het resultaat van politieke actie ten gevolge van een schandaal. Zo kwam de ‘video protection act’ er nadat was uitgelekt welke videos rechter Bork, een kandidaat rechter voor het hooggerechtshof, huurde. Dit heeft sommigen ertoe geleid te stellen dat huurvideo’s beter beschermd zijn dan medische gegevens…[19]

Vanuit ex ante perspectief is er geen individuele goedkeuring nodig voor het opnemen, beheren, gebruiken en verkopen van persoonlijke informatie. Vanuit ex post perspectief hebben individuen geen toegangs -of correctierecht wat hun gegevens betreft noch kunnen individuen het gebruik van hun gegevens aanvechten voor een rechtbank.

De gebieden en sectoren waar informatie-overdracht wel gereguleerd wordt door de overheid zijn verspreid. Er is echter in de Verenigde Staten geen centraal administratief agentschap dat over de werkelijke toepassing van de wetgeving waakt. Ook hier zijn er een aantal diensten bevoegd afhankelijk van de sector waar het over gaat en de wetgeving die aanwezig is. De verantwoordelijke agentschappen kunnen zijn: de Federal Trade Commission, The Office of Consumer Affairs, The Office of Management and Budget, The Office of the Comptroller of the Currency, The Social Security Administration, The department of Health and Human services, The Internal Revenue Service, the Federal Reserve Board en the National Telecommunications and Information Administration. Tot 1999 was er bovendien geen coördinatie tussen deze agentschappen voor wat betreft hun privacybeleid. In maart 1999 werd er een ‘chief counsel for privacy’ aangesteld die tot taak heeft het privacybeleid te coördineren en eveneens moet dienen als centraal contact inzake internationale privacy problemen. Deze positie werd door de Clinton administratie in het leven geroepen in reactie op het inwerkingtreden van richtlijn 95/46/EC.[20]

1.2.3 de problematische scheiding tussen publiek en privaat

Steeds meer facetten van het leven worden geheel of gedeeltelijk beïnvloed door de private sector. Peter Drucker gewaagt van de rol van de grote onderneming binnen de Amerikaanse samenleving als ‘the institution which sets the standard for the way of life and the mode of living of our societies; which leads, molds and directs; which determines our perspectives on society; around which crystallize our social problems and to which we look for their solution’.[21] In die zin is het vreemd dat er in de Verenigde Staten meer aandacht is voor gegevensbescherming in de publieke sfeer dan in de private sfeer.

De traditionele tegenstelling publiek-privaat in de Amerikaanse samenleving stamt uit de liberale politieke theorie. In dat denkkader moeten individuen beschermd worden tegen de macht van de overheid over het gedrag van individuen. De kritiek op deze scheiding van publiek en privaat vloeit dan voort uit het feit dat deze redenering in zekere zin achterhaald is. Het is niet enkel meer de overheid die de macht heeft het gedrag van individuen te bepalen. Ook private entiteiten zijn daartoe in staat. De dreiging die vroeger uitging van de publieke sfeer, het Orwelliaanse scenario met een alwetende overheid, wordt aangevuld met de dreiging die kan uitgaan van alwetende bedrijven en organisaties. Een concreet voorbeeld is de supermarkt. Supermarkten zijn tegenwoordig perfect in staat consumenten hun koopgedrag exact bij te houden. Op die manier weet de winkeluitbater wat je wanneer koopt en kan hij gerichter promotie voeren. Het is evident dat deze evolutie zorgen baart wat betreft privacyrechten. Vandaar moeten deze private entiteiten aan gelijkaardige controles als de publieke sector onderhevig zijn. Bovendien zijn er steeds meer private entiteiten die vroegere typische ‘publieke’ functies geheel of gedeeltelijk hebben overgenomen en evenzeer handelen in het algemeen belang. In die optiek is de scheiding tussen privaat en publiek een ongeoorloofde vereenvoudiging en een miskenning van de realiteit.[22]

1.2.4 Andere mechanismen voor gegevensbescherming

In voorgaande paragrafen werd besproken welke wettelijke bepalingen er aanwezig zijn in de VS voor wat betreft gegevensbescherming. Binnen die wettelijke bepalingen konden we nog twee soorten onderscheiden. Bepalingen rond gegevensbescherming in de publieke sector en bepalingen rond gegevensbescherming in de private sector. Wettelijke bepalingen zijn echter niet de enige mechanismen om gegevensbescherming te reguleren. Twee andere mechanismen dienen nog vermeld te worden. Ten eerste is er de marktwerking die tot gevolg heeft dat er aan self-regulation wordt gedaan. Het systeem van self-regulation in de VS is gebaseerd op de werking van de markt. Organisaties, bedrijven of sectoren organiseren dan hun eigen privacybeleid en verbinden zich ertoe dit beleid te respecteren. Een ander mechanisme is de rechtspraak. Deze benadering werkt case by case en verschilt dus erg van de centraal georganiseerde legalistische aanpak.

De markt als regulator

Wetgeving is dus verre van de enige regulerende factor. Zelfs in sectoren waar er geen wetgeving rond gegevensbescherming aanwezig is, is er meestal toch nog enige vorm van regulering. Het is de marktwerking die vaak dwingend werkt als regulator. Private bedrijven zijn bijvoorbeeld vaak erg begaan met een goed imago. Negatieve publiciteit ten gevolge van het niet hebben of het niet respecteren van hun privacybeleid wordt zo veel mogelijk vermeden. Twee communicatiebedrijven, Pacific Bell en America Online, hebben hun plannen om klantengegevens door te verkopen opgeborgen onder druk van consumentenklachten. Intel, de processoren- fabrikant, moest zijn plannen om hun nieuwe chip een identificatiecode mee te geven die bedrijven in staat stelde consumentenprofielen op te stellen, opbergen na een oproep tot boycot van het product. Deze bedrijven reageerden niet op dwingende wettelijke bepalingen of gerechtelijke uitspraken maar op de dwingende kracht van de markt. Bezorgdheid om een goed imago en eigenbelang zijn dan de motieven om bepaalde handelingen te doen of te laten. Het hebben van een betrouwbaar en volledig privacybeleid kan voor een bedrijf zelfs een competitief voordeel opleveren tegenover bedrijven die dit niet hebben.[23] Pr Joel R. Reidenberg stelde op de internationale privacy conferentie te Montreal in 1997 dat het voor bedrijven moeilijk houdbaar is in het ene land wel en in het andere land geen privacybeleid te voeren. Dit wil dan zeggen dat het opleggen van privacystandaarden in een werelddeel sowieso gevolgen heeft voor multinationale ondernemingen, ook in gebieden waar de standaarden lager zijn. Een multinationale onderneming kan het zich namelijk commercieel niet veroorloven met twee maten en twee gewichten te werken.[24]

Self-regulation houdt in dat privacy intern wordt verzorgd zonder of slechts met minimale tussenkomst van externe instituties. Men gaat er in deze benadering vanuit dat dataprotectie kan gerealiseerd worden door eigen professionele gedragsregels binnen een organisatie. De databeheerder binnen een organisatie is verantwoordelijk en neemt de nodige organisatorische en technische maatregelen om misbruik van gegevens te voorkomen. Het voordeel van dit model is zijn flexibiliteit. Elke organisatie bepaalt zelf hoe zij dataprotectie realiseert op de meest efficiënte wijze. Afhankelijk van de beschikbare technologie en de noden binnen de organisatie wordt het gegevensbeschermings –en privacybeleid van de organisatie bepaalt.[25] De principes van self-regulation als systeem gepropageerd door de Federal Trade Commission zijn gebaseerd op vier pijlers: Choice/Consent, Access/participation, Notice/awareness en Security/Integrity.[26] Kort samengevat houden deze principes in dat een datasubject ten eerste de keuze moet hebben omtrent het al dan niet worden opgenomen in gegevensbestanden. Ten tweede moeten datasubjecten toegang hebben tot hun gegevens om eventuele verbeteringen of veranderingen van gegevens mee te delen. Een derde cruciaal principe is dat van bewustzijn. Ieder datasubject moet ervan op de hoogte zijn dat zijn gegevens in bestanden worden opgenomen. Het vierde principe richt zich op de datacontroller. Deze is verantwoordelijk en moet de gegevens veilig en integer beheren. Bedrijven verbinden er zich dan toe deze vier principes te hanteren voor de gegevensverwerking van consumenten. Een aantal overkoepelende organisaties, zoals de Online Privacy Association (OPA) en TRUSTe, verzamelen alle bedrijven die hun privacyrichtlijnen opvolgen en kennen deze bedrijven dan ook een privacylabel toe. Deze constructies moeten het consumentenvertrouwen winnen en stroomlijnen de privacyregulering. Soms staan zulke organisaties ook in voor de controle op de naleving van de door hen zelf opgelegde richtlijnen.[27] Deze controle mag men niet verwarren met wettelijke controle, het gaat hier om controles die de sector zichzelf oplegt. Gevolgen van het niet naleven van de afgesproken privacy principes zijn het verlies van het label en verlies van reputatie.

Rechtspraak

Een andere manier om privacyrechten te waarborgen is de rechtspraak. Op basis van bepaalde wetten moeten rechters dan in staat zijn om privacy en gegevensbescherming af te wegen tegen andere waarden. Zo is het mogelijk dat in een gegeven zaak het vrije verkeer van data belangrijker weegt als privacy-argumenten. Voorstanders van deze manier van reguleren stellen dat het makkelijker is bepaalde zaken af te wegen. Case by case wordt er dan beslist welke waarden onder welke voorwaarden voorrang krijgen. Hoewel aanlokkelijk omwille van de mogelijke afweging van vrij verkeer tegenover privacy is deze benadering niet zaligmakend. Het dataverkeer en privacybeleid overlaten aan rechtbanken is tijdrovend en duur. Het is praktisch onmogelijk dit systeem te veralgemenen en in de plaats te stellen van de marktwerking of overkoepelende wetgevende initiatieven.[28]

2 De transatlantische context

Nu we een helder beeld hebben van de verschillende benaderingen ten aanzien van het realiseren van dataprotectie en privacy kunnen we het conflict rond EU richtlijn 95/46/EC plaatsen in een transatlantische context. We zijn namelijk. niet geïnteresseerd in het uitwerken van de verschillende reguleringsmodellen en hun efficiënt functioneren maar in het waarom van de onverenigbaarheid of de botsing van de twee modellen, in casu hier vertegenwoordigt door de EU en de VS. Er moet bovendien worden opgemerkt dat dit niet louter een EU-VS conflict is. Er zijn nog zogenaamde ‘derden’ (in de benaming zoals in de richtlijn) die niet akkoord gaan met richtlijn 95/46/EC. Dit zijn feitelijk alle landen die mogelijk te maken hebben met een blokkering van gegevensstromen door de Europese Commissie.[29] Een ander aspect van deze case is dat deze problematiek een duidelijk voorbeeld is van de problemen die ontstaan bij het opleggen van niet-tarifaire handelsbelemmeringen. Het is het conflict dat daaruit ontstaat waar we meer over willen weten.

De legislatieve benadering van de EU botst met de private ordening door marktprocessen, gepropageerd door de Verenigde Staten. Die botsing is moeilijk te verklaren vanuit de twee verschillende benaderingen alleen. Dit handelsconflict stamt vooral uit de bepalingen in de richtlijn rond dataverkeer met derde landen. Er is namelijk een extra-jurisdictioneel effect aan de richtlijn. Het is de mogelijkheid tot blokkering van datastromen door de Europese Commissie samen met het belang van de Europese markt voor de VS die hier een conflict heeft doen ontstaan.

Eerst wordt er aangetoond dat het dataverkeer tussen de VS en de EU een belangrijk economisch gegeven is. Indien dit niet zo was kraaide er waarschijnlijk geen haan naar de extraterritoriale effecten van de Europese richtlijn. Een mogelijke blokkering van gegevens vanuit Europa naar de VS is een reële dreiging voor de beide economieën die sterk met elkaar verbonden zijn. Bovendien zijn niet enkel de Amerikaanse actoren bang voor blokkering. Blokkering van transatlantische datastromen is eveneens een doemscenario voor bepaalde Europeanen die vrezen volledig achterop te geraken in de informatiemaatschappij tengevolge van overdreven regulering.

Een tweede punt waar nader op wordt ingegaan is artikel 25 van de richtlijn. Dit artikel bepaalt dat datastromen met derde landen enkel kunnen indien de derde landen een adequaat beveiligingsniveau kunnen garanderen. Ook de safe harbor regeling die men uiteindelijk met de VS onderhandeld heeft om het conflict te bezweren komt daarbij aan bod.

2.1 Relevantie van het transatlantisch dataverkeer

De Europese Unie is veruit de grootste handelspartner van de Verenigde Staten en de regio vertegenwoordigt het grootste aandeel in Amerikaanse directe buitenlandse investeringen. In 1997, het jaar voor de inwerkingtreding van de richtlijn bedroeg de Amerikaanse export in goederen en diensten $253,6 miljard terwijl de import van goederen en diensten vanuit de EU een waarde had van $270,3 miljard. Daarenboven zijn er nog de Europese afdelingen van Amerikaanse bedrijven die in totaal goed waren voor een productie van duizend tweehonderd miljard dollar aan goederen en diensten.[30] Al deze bedrijven hangen voor een deel af van informatiestromen van klanten, leveranciers, partners, medewerkers,… Een mogelijke blokkering van de datastromen is dus geen te verwaarlozen factor in de informatie-economie. Voor heel wat Amerikaanse bedrijven leek de blokkering van datastromen door de EU een doemscenario met desastreuze gevolgen. Omgekeerd vreesden heel wat Europese actoren dat Europa zichzelf buitenspel zou zetten indien het een te stringent privacykader zou opleggen.

2.2 extra territoriale effecten van EU richtlijn 95/45/EC

Hoofdstuk 4 van richtlijn 95/46/EC handelt over transfers van data naar derde landen. De principes vooropgesteld in dit hoofdstuk zorgden voor controverse omwille van het extraterritoriale karakter dat de richtlijn op die manier heeft verworven. Artikel 25 stelt dat transfers van data naar derde landen enkel zijn toegelaten indien dit derde land een adequaat niveau van bescherming kan garanderen. De adequaatheid van bescherming van een derde land zal worden afgeleid uit al de omstandigheden rond een bepaalde transfer. Hieronder verstaat men wetten, regels en veiligheidsmaatregelen die van kracht zijn in het betreffende derde land. Indien de commissie concludeert dat een specifiek land niet voldoet aan het criterium van adequaatheid moeten de lidstaten alle mogelijke maatregelen treffen om datatransfers naar dat land te beletten. Artikel 26 bepaalt dan nog enkele uitzonderingen waarbij transfers van data ondanks een niet adequaat niveau van bescherming toch kunnen doorgaan.[31]

Deze bepalingen overstijgen duidelijk het louter Europese karakter van de richtlijn. Indien landen buiten de EU niet over een kader ter bescherming van data beschikken dat aan de eisen van de Commissie voldoet worden alle datatransfers met bedrijven en organisaties in dat land opgeschort. De Europese Commissie stelt dat zulk een bepaling met betrekking tot derde landen noodzakelijk is in het huidig informatietijdperk waarin een Europees beleid zonder zulke bepaling snel achterhaald zou zijn.[32] Ook in de Verenigde Staten is men zich hiervan bewust. De inleiding op de website van de safe harbor van het US department of commerce stelt expliciet dat wetten, die beperkt zijn tot de territoriale grenzen, weinig zin hebben in de grenzeloze wereld die de informatiemaatschappij is.[33]

De term ‘adequate bescherming’ wordt gebruikt omwille van de ruime toepasbaarheid ervan. Het is niet zo dat de EU vereist dat ieder derde land gelijkaardige wetgevende initiatieven neemt om te voldoen aan haar standaarden. In principe hanteert de commissie een functionele invulling van het begrip adequate bescherming. Dit wil zeggen dat het feitelijk niet uitmaakt of bescherming gerealiseerd wordt door wetgevende initiatieven dan wel self-regulation, gedragscodes, … Er wordt enkel onderzocht of de maatregelen genomen in een derde land het gewenste resultaat bereiken, namelijk adequate bescherming.[34] De beslissing of een land al dan niet adequate bescherming garandeert ligt in handen van de Commissie samen met het comité dat werd opgericht op basis van artikel 31 van de richtlijn, het comité dat feitelijk de lidstaten vertegenwoordigt.[35]

De discussie met de VS stamt dan ook niet uit het feit dat de VS een andere logica hanteren ten aanzien van dataprotectie. Het is geen clash van concurrerende systemen die onmogelijk naast elkaar kunnen bestaan. Self regulation werd principieel beschouwd als in staat zijnde dataprotectie te kunnen realiseren.[36] Het conflict vindt eerder oorzaak in het feit dat de Commissie in overleg met de lidstaten tot de conclusie was gekomen dat de VS geen feitelijk adequaat niveau van bescherming konden garanderen. Bijgevolg is de Commissie in staat een blokkering van alle datatransfers vanuit Europa op te leggen aan de lidstaten. Gezien de grote economische belangen die hier spelen voor zowel de VS als de EU was dit een onhoudbare situatie. De oplossing die onderhandeld werd is het ‘safe harbor’ agreement. Deze specifieke regeling voor de VS wordt in het volgende punt toegelicht.

2.3 De safe harbor overeenkomst

De safe harbor overeenkomst tussen de EU en de VS is het resultaat van twee jaar onderhandelen tussen Europese en Amerikaanse officials. De mogelijke blokkering van datastromen naar de VS vereiste een oplossing die enerzijds de beschermingsgaranties, gevraagd door de EU, respecteerde en anderzijds toch de USA in staat stelde hun specifieke systeem van self-regulation en beperkte wettelijke initiatieven te behouden. In dit deel zal niet worden beschreven of en hoe de safe harbor overeenkomst voldoende tegemoetkomt aan de beschermingseisen van de EU. Wel wordt deze overeenkomst beschreven omwille van het belang ervan in het licht van de oplossing van dit handelsconflict. In documenten terug te vinden op de safe harbor website van het US Department of Commerce wordt meermaals verwezen naar het belang dat zowel EU en VS hechten aan privacy. Het geschil rond dataprotectie is er dan geen van fundamentele aard waarbij twee partijen niet dezelfde doelstellingen hebben. Er wordt gesteld dat zowel de EU als de VS privacy als beleidsdoel steunen maar dat men dit doel op verschillende wijze wenst te realiseren. Het akkoord wordt dan gezien als een technisch middel om de verschillen in methoden tot bereiken van dataprotectie te overbruggen.[37]

De safe harbor regeling werd ontwikkeld door de US Department of Commerce in samenspraak en overleg met de Europese Commissie. De safe harbor regeling moet Amerikaanse bedrijven en organisaties in staat stellen gegevens uit Europa te ontvangen op gestroomlijnde wijze. Hiervoor moeten zij lid zijn van de safe harbor en bijgevolg aan een aantal standaarden voldoen. Het is voor bedrijven en organisaties niet meer nodig voorafgaand toestemming te vragen aan de commissie voor datatransfers vanuit Europa. Indien aangesloten bij de safe harbor voldoen zij aan de adequate beschermingseis van de Europese commissie. Het staat Amerikaanse bedrijven en organisaties vrij te participeren aan de safe harbor. Wanneer zij niet participeren zijn ze wel verplicht de Europese Commissie om goedkeuring te vragen bij iedere datatransfer waarbij gegevens van Europese burgers betrokken zijn.[38]

Het ligt niet binnen het bestek van deze verhandeling de concrete principes en vereisten van de safe harbor overeenkomst toe te lichten. Zij komen in grote mate overeen met de principes van de richtlijn die in een eerder deel werden uitgelegd. Een opmerking die gemaakt moet worden is dat men twijfels kan hebben bij de gelijklopende beleidsdoelstelling ‘dataprotectie’ in de EU en de VS, zoals dat gesteld wordt in documenten van het US Department of Commerce. Hierover later meer, in het deel dat handelt over de economische en culturele achtergrond bij de keuze voor self-regulation dan wel overheidsoptreden.

3 De richtlijn en internationale organisaties

De Verenigde Staten beschuldigden de EU van belemmering van de vrijhandel. Het woord protectionisme is reeds enkele malen gevallen. Anderzijds argumenteerde Europese actoren dat de Verenigde Staten de beleidsdoelstelling gegevensbescherming niet serieus nemen. Het verwijt van protectionisme wordt in dit deel onderzocht. Hiervoor is het noodzakelijk het concept van dataprotectie binnen enkele internationale organisaties te plaatsen. De betreffende organisaties zijn de OECD en de WTO.

De OECD is in deze discussie belangrijk aangezien het de eerste internationale organisatie is die het thema op de internationale agenda heeft geplaatst. De OECD heeft het thema niet enkel op de internationale agenda geplaatst, de organisatie was ook de eerste die hieromtrent internationale richtsnoeren uitvaardigde.

De WTO is in deze context belangrijk als organisator en behoeder van de vrijhandel. De richtlijn rond dataprotectie is te toetsen aan de internationale akkoorden van de WTO. Indien de richtlijn indruist tegen de akkoorden van de WTO is er inderdaad sprake van protectionisme vanwege de EU. Indien de WTO-akkoorden ruimte laten voor de richtlijn kan men het argument van protectionisme niet hard maken. Een eventuele klacht bij de Dispute Settlement Body zou dan geen kans maken en vergelding is dan uitgesloten.

Dit deel, waarin het conflict in de internationale context wordt geplaatst moet ons dus uitsluitsel geven rond mogelijke motieven achter de richtlijn. Hoe zinvol/zinloos is het de materie dataprotectie internationaal te reguleren en kan zulke regulering indruisen tegen de principes van de vrijhandel gepropageerd door de WTO?

3.1 Dataprotectie en de OECD

Gegevensbescherming is, niet verwonderlijk, nog niet zo lang een ‘hot item’. Pas in de jaren 70 verschenen de eerste wetten rond gegevensbescherming in bepaalde landen. Gegevensbescherming was echter gedoemd om snel een internationaal item op de agenda te worden gezien de opkomst van de informatiemaatschappij en de daarmee gepaard gaande problemen van privacy en gegevensbescherming. De OECD is van in het begin het belangrijkste internationale forum rond privacy en gegevensbescherming. Midden de jaren 70 is de OECD begonnen met overleg in deze materies tussen de belangrijkste Europese actoren en de USA. Dit overleg resulteerde in 1980 in de ‘OECD guidelines on the protection of privacy and transborder data flows of personal data’[39]

De ‘OECD guidelines on the protection of privacy and transborder dataflows of personal data’ geven een goed beeld over de noodzakelijkheid en het waarom van reguleren inzake privacy. Er worden in de inleiding twee hoofdmotieven neergeschreven over de noodzaak tot internationale richtsnoeren. Ten eerste is er, bij de ontwikkeling van de richtsnoeren, het relatief nieuwe probleem rond privacy en automatische dataprocessing. De mogelijkheden die nieuwe technologieën boden inzake verspreiding en behandeling van data werden gezien als een kans voor economische vooruitgang maar eveneens als een bedreiging voor de privacy. Bovendien was dit een bedreiging die niet op nationaal vlak kon worden opgelost, juist omwille van die nieuwe technologische mogelijkheden, die grensoverschrijdend waren. Internationale coördinatie is, aldus de richtsnoeren, noodzakelijk om een fundamenteel mensenrecht te vrijwaren. Een tweede motief voor de actie op internationaal niveau is het gevaar dat verschillen in nationale wetgeving een belemmering betekenen voor het vrije verkeer van data over de grenzen heen. Zulke belemmeringen werden als onwenselijk beschouwd in een maatschappij die economisch steeds meer afhankelijk is van informatie en het vrije verkeer daarvan.[40] Deze vaststellingen werden gedaan in 1980, in het vooruitzicht van een enorme toename van de rol van informatie en technologie in de samenleving.

Omwille van die twee redenen, bescherming van privacy en garantie van vrij dataverkeer, werd er overgegaan tot de ontwikkeling van richtsnoeren die deze bekommernissen moesten oplossen. De richtsnoeren van de OECD vertegenwoordigen dan ook de eerste consensus die internationaal gemaakt werd rond privacy en dataverkeer. De basisprincipes van de OECD richtsnoeren kunnen worden ingepast in nationale wetgeving of kunnen dienen als basis voor wetgeving in landen die nog niet over wetgeving beschikten. De aandachtige lezer heeft de motieven voor deze internationale richtsnoeren reeds eerder gelezen. Het is namelijk zo dat de Europese Commissie, bij de ontwikkeling van richtlijn 95/46/EU, de motieven van de OECD bijna rechtstreeks heeft overgenomen. De Europese Commissie koppelde eveneens het garanderen van een bepaald beschermingsniveau aan een uniformisering van wetgeving om het vrije verkeer van data binnen de EU te realiseren.[41]

Het is interessant even te kijken welke problemen de OECD signaleerde bij het opstellen van de OECD richtsnoeren rond privacy. Een eerste probleem is dat, ondanks het feit dat verschillende landen sinds de jaren 70 werken aan een privacybeleid, landen dit doen op een verschillende manier. Sommige landen focussen in hun nieuwe wetgeving op de nieuwe dragers van gegevens zoals computers en netwerken terwijl andere landen een veel algemenere aanpak hanteren. Een tweede probleem is het al dan niet opnemen van bepaalde beschermingen in de richtsnoeren. De bescherming van privacy in klassieke zin, in casu misbruik van persoonlijke data, wordt in de nieuwe context niet door iedereen als toereikend gezien. De discussies binnen de OECD brachten aan het licht dat er eveneens aandacht nodig was voor andere aspecten van privacy zoals verantwoording van gegevensbewaarders aan het publiek en aan controle-instanties. Algemeen was er de tendens om het privacyconcept uit te breiden en een algemenere invulling te geven. Een derde probleem dat aangehaald wordt in het richtsnoer is het afwegen van privacyrechten en gegevensbescherming tegenover het vrije verkeer van data. Dit probleem vindt men ook terug in de discussies tussen de VS en de EU.[42]

In het richtsnoer wordt ook uitgebreid ingegaan op de noodzaak tot internationale regulering. Ten eerste is er het gegeven van de opkomst van grensoverschrijdend dataverkeer en de aanleg van internationale databanken. Nationale jurisdicties kunnen hun rol in zulke context niet naar behoren waarmaken zonder internationale overeenstemming. Een tweede reden voor internationale actie is het overeenstemmen van de fundamentele principes waarop dataprotectie wordt gerealiseerd. Indien verschillende landen dezelfde achterliggende principes inzake dataprotectie hanteren wordt de kans op botsende benaderingen kleiner. Een derde reden voor de noodzaak tot internationale actie is het verminderen van de kosten van dataverkeer. Internationale overeenkomst rond de principes van dataprotectie reduceert de transactiekosten van het dataverkeer. Kosten die er wel zouden zijn indien verschillende landen op uiteenlopende wijze dataprotectie pogen te reguleren.[43]

Aangezien deze verhandeling vooral focust op de verschillende aanpak van de EU en de VS bekijken we de OECD richtsnoeren ook in die context. De OECD richtsnoeren handelen ook over enkele ‘gevoelige’ thema’s. Met name uitzonderingen en de bias tussen privacy en vrij verkeer van data zijn hier relevant. In het richtsnoer wordt uitdrukkelijk gesteld dat dataprotectie feitelijk niet altijd kan overeenkomen met het vrij verkeer van data. Privacy kan moeilijk worden losgekoppeld van andere belangen inzake handel, cultuur en nationale soevereiniteit.[44] Het is precies dit probleem, reeds erkend in het richtsnoer, waar de EU en de VS mee worstelden na invoering van de Europese richtlijn inzake dataprotectie. Bij dit probleem stelt zich de vraag naar prioriteiten. Dwingt men privacy af ten koste van het vrije verkeer van gegevens, daarmee de handel belemmerend of primeren handelsbelangen op privacyrechten. In de internationale context komt daar nog eens bij dat er zeer veel verschillende opvattingen rond privacy bestaan. Tekenend daarbij is dat er nergens overeenstemming is over de exacte betekenis en reikwijdte van dit begrip. Voor het handelsconflict ten gevolge van richtlijn 95/46/EC is deze vaststelling belangrijk. Er is steeds conflict mogelijk tussen de doelstelling privacy en de doelstelling vrij verkeer van data.

De OECD principes rond dataprotectie zijn niet bindend. Nochtans zijn ze niet onbelangrijk. Het OECD richtsnoer is de eerste internationale overeenkomst over de noodzaak tot internationale overeenstemming inzake gegevensbescherming. De richtsnoeren van de OECD bewijzen alzo dat het onzinnig zou zijn het probleem van de dataprotectie en het vrij verkeer van data enkel op nationaal niveau aan te pakken. De OECD principes hebben nog een belangrijke rol gespeeld. Inzake gegevensbescherming is het de internationale overeenkomst waarbij de belangrijkste actoren betrokken zijn. Vooral de Verenigde Staten verwezen in hun overleg met de Europese Commissie omtrent de safe harbor regeling meermaals naar de OECD principes. Dit bewijst een uitspraak van ambassadeur Aaron, onderhandelaar voor de VS bij de safe harbor gesprekken: ‘Fortunately, we had the precedent of privacy principles that we and the Europeans had agreed upon in the OECD many years ago. This became a touchstone of the discussions.’[45] Deze uitspraak leert ons dat de OECD richtsnoeren het kader waren waarin de EU en de VS onderhandelden over gegevensbescherming. De principes die door de OECD zijn neergeschreven en waarrond de belangrijkste actoren een consensus bereikten hebben aldus veel invloed gehad op latere stappen in de richting van regulering.

Ondanks het feit dat de OECD principes ons leren dat dataprotectie realiseren op louter nationaal niveau onzinnig is, staan er in de OECD richtsnoeren ook bepalingen omtrent het vrije verkeer van data. Het zijn die bepalingen die meermaals werden ingeroepen door landen die mogelijk schade zouden kunnen ondervinden van een dataverkeer blokkering door de EU. We weten nu dus al dat de EU-actie op het vlak van gegevensbescherming nodig en wenselijk was, de motieven hieromtrent zijn namelijk. ook aanvaard door de OECD. Over protectionisme kunnen we echter nog geen uitspraak doen. Daarvoor moeten we de EU richtlijn inzake gegevensbescherming in het licht houden van de relevante handelsovereenkomsten binnen de WTO.

3.2 Richtlijn 95/46/EC en de WTO

De richtlijn inzake dataprotectie wordt vaak door derde landen gezien als een ongeoorloofde vorm van protectionisme. Dit verwijt wordt gehanteerd omwille van de mogelijke blokkering van dataverkeer door de Europese commissie indien derde landen niet over een adequaat beschermingsniveau beschikken. Dit wil zeggen dat actoren in derde landen het beschermingsniveau van de EU moeten overnemen indien zij niet willen afgesloten worden van dataverkeer met de EU. Bedrijven in niet EU landen moeten vaak kostelijke aanpassingen aan hun privacybeleid doen en bij eventuele blokkering, profiteren Europese actoren terwijl andere actoren schade ondervinden. Bovendien is de VS verder gevorderd op het gebied van informatietechnologie. De richtlijn vertraagt dan de ontwikkeling in de VS en herstelt het evenwicht middels regulering zodat Amerikaanse bedrijven onder dezelfde beperkingen moeten werken als Europese bedrijven. Een ander effect dat de richtlijn kan hebben en dat als protectionistisch kan worden gezien is dat de richtlijn Europese data-agentschappen zal bevoordelen. Dit omdat bedrijven, gezien de richtlijn, liever met Europese agentschappen zullen samenwerken omdat ze dan zeker zijn van vrij verkeer van data.

De hamvraag in dit deel is of het de EU wel is toegestaan zulk een richtlijn uit te vaardigen waarbij extra territoriale effecten voorzien zijn en waarmee de facto een standaard wordt uitgevaardigd. Als de EU met haar richtlijn indruist tegen de principes van de vrijhandel zoals geformuleerd binnen de WTO dan kunnen derde landen dit aanklagen voor de DSB en eventueel vergeldingsmaatregelen treffen.

We kunnen de richtlijn toetsen aan de relevante akkoorden, gesloten onder de paraplu van de WTO. Een eerste belangrijke, maar moeilijke kwalificatie is onderzoeken of datatransfers goederen of diensten zijn. Indien datatransfers goederen zijn dan moeten we het mogelijk verbod op datatransfers toetsen aan de GATT akkoorden. Indien een datatransfer als een dienst moet worden gekwalificeerd dan hebben we te maken met het GATS. Een rapport van het WTO secretariaat getiteld Electronic commerce and the role of the WTO stelt dat elektronische handel zowel een goed als een dienst kan zijn.[46] Een boek in digitale vorm verkocht over het internet is een goed aangezien het om een gestandaardiseerd product gaat. Bewerkte en aangepaste gegevens worden gezien als niet gestandaardiseerde producten en zijn dus diensten. Dit wil zeggen dat in de mate dat persoonlijke gegevens als niet-gestandaardiseerd product gelden, zij vallen onder GATS, het General Agreement on Trade in Services.[47]

De artikelen van belang in het GATS zijn art 2, de most favored nations clause, art 17, de national treatment clause en art 14, de General exceptions. Richtlijn 95/46/EC druist niet in tegen de most favored nation clause aangezien ze gelijk van toepassing is op transfers naar alle landen buiten de EU. Er zijn dus geen derde landen benadeeld noch bevoordeeld ten gevolge van de richtlijn. Ook artikel 17, de national treatment clause, wordt niet geschonden aangezien de richtlijn gelijkaardig geldt voor zowel EU bedrijven en organisaties als niet-EU bedrijven en organisaties. Het is dus niet zo dat er andere, hogere standaarden worden opgelegd aan derden. Als de EU in de toepassing van haar richtlijn niet discrimineert tussen Amerikaanse en Europese actoren is er dus voor artikel 17 geen sprake van protectionisme. In de algemene uitzonderingen vinden we nog een argument dat protectionisme vanwege de EU hier niet aan de orde is.[48]

“Subject to the requirement that such measures are not applied in a manner which would constitute a means of arbitrary or unjustifiable discrimination between countries where like conditions prevail, or a disguised restriction on trade in services, nothing in this agreement shall be construed to prevent the adoption or enforcement by any member of measures:

…(c) necessary to secure compliance with laws or regulations which are not inconsistent with the provisions of this agreement including those related to

…(ii) the protection of privacy of individuals in relation to the processing and dissemination of personal data and the protection of confidentiality of individual records and accounts.”

De algemene uitzonderingen geformuleerd in artikel 14 van GATS laten dus toe dat maatregelen, noodzakelijk voor de bescherming van privacy en gegevens, genomen kunnen worden. Natuurlijk kunnen deze uitzonderingen slechts indien ze op niet discriminerende wijze worden toegepast en mogen zij geen verdoken vorm van protectionisme zijn. De algemene uitzondering geformuleerd in artikel 14 stelt dus eigenlijk dat de EU een legitiem beleidsdoel heeft waarvoor een uitzondering kan gemaakt worden.

3.3 Relevantie van de OECD en de WTO ten aanzien van het conflict

De richtlijn is nu getoetst aan twee internationale bepalingen die enorm belangrijk zijn in dit verhaal. De OECD richtsnoeren leren ons dat het noodzakelijk en wenselijk is dat er internationaal overleg en internationale overeenstemming heerst rond het reguleren van privacy en gegevensbescherming. Hieruit kunnen we concluderen dat de EU een legitiem beleidsdoel nastreeft. Eveneens opvallend is de vaststelling in de OECD richtsnoeren dat privacy en gegevensbescherming niet altijd kunnen overeenkomen met andere doelstellingen zoals het vrij verkeer van data en dat regulering van privacy kan indruisen tegen economische, culturele en staatsbelangen. Deze vaststelling van de OECD komt overeen met de vaststellingen die we kunnen opmaken uit het conflict tussen de EU en de VS. Deze twee handelsblokken stellen wel dat ze beiden een zelfde bekommernis hebben voor privacy en dataprotectie, toch hebben zij hieromtrent een volledig andere economische en culturele achtergrond.

De toetsing van de richtlijn aan de GATS leert ons dat er geen sprake is van protectionisme, althans, ook al zou de EU-richtlijn protectionistisch geïnspireerd zijn, dit valt moeilijk hard te maken voor de relevante internationale organisatie hieromtrent, de WTO, met zijn instituties om eventueel protectionisme tegen te gaan.

Nu we weten dat privacy en dataprotectie best internationaal geregeld worden en dat de EU richtlijn niet als protectionisme kan worden gekwalificeerd moeten we de oorzaken van dit handelsconflict zoeken in de vaststelling zoals gedaan door de OECD: Privacy en gegevensbescherming kunnen indruisen tegen economische en culturele belangen. Dit zouden dan diepere oorzaken kunnen zijn van dit handelsconflict. Deze eventuele diepere oorzaken werden dan mogelijks ‘getriggered’ door de derdenwerking, de extraterritorialiteit van de EU richtlijn. Het volgende deel zal deze mogelijke diepere oorzaken van naderbij bestuderen.

4 Self-regulation en overheidsoptreden: motieven en achtergrond

Staten hebben zelden een volkomen gelijkaardige opvatting rond een zelfde beleidsprobleem. Dat is geen probleem in zoverre het gaat over beleidsproblemen die de staatsgrenzen niet overschrijden. Hier is dat echter niet het geval. Gegevensbescherming en privacy zijn bij uitstek ‘internationale’ thema’s in een maatschappij waarin het informatieverkeer over de grenzen heen enkel toeneemt. Het handelsconflict rond gegevensbescherming toont aan hoe nationale verschillen belangrijk worden eens een beleidsprobleem internationaal wordt aangepakt. Ook al stellen de EU en de VS dat ze beiden erg geëngageerd zijn t.a.v. gegevensbescherming en privacy, toch zijn er grote verschillen die aan de oppervlakte komen door dit handelsconflict.

In dit deel wordt dieper ingegaan op de economische en culturele verschillen die mede oorzaak kunnen zijn van dit handelsconflict. Men kan vaststellen dat de EU en de VS een volkomen verschillende economische logica hebben die, althans een deel van dit conflict, verklaren. Bovendien hanteren beide handelsblokken economische argumenten om de keuze voor hun systeem te rechtvaardigen en het andere systeem af te wijzen. Ook op culturele vlak hebben beide handelsblokken een andere achtergrond, die de tegenstelling tussen beide landen op het vlak van regulering mee kan verklaren.

4.1 Gegevensbescherming en economische logica

In dit deel wordt gegevensbescherming besproken binnen de economische context van de EU en de VS. Richtlijn 95/46/EC is namelijk een economische noodzaak voor de EU. In het kader van de Europese eenheidsmarkt zorgt de richtlijn voor de nodige onderlinge aanpassing tussen de Europese landen. Dit economisch argument telt niet in de VS. Daar zijn aanpassingen aan de Europese richtlijn een extra last, een maatregel waar een prijskaartje aan vast hangt. Naast dit aanpassingsargument zijn er nog andere economische motieven die het ene of het andere systeem kunnen rechtvaardigen. Er is de kostprijs die samenhangt met het vertrouwen dat men stelt aan nieuwe technologie en er is de kostprijs die samenhangt met een gebrek aan flexibiliteit en overregulering. Als men dus kiest voor self-regulation of overheidsoptreden dan houdt dat meteen in dat men bepaalde waarden boven andere waarden plaatst. In dit deel moet duidelijk worden waarom er in de EU overheidsoptreden is en waarom men in de VS self-regulation beter geschikt vindt, bekeken in het licht van economische argumenten.

4.1.1 De economische noodzaak tot onderlinge aanpassing

Hoewel de EU vaak verwijst naar gegevensbescherming en privacy als een fundamenteel mensenrecht is dit niet het enige motief achter de richtlijn. Er werd reeds eerder verwezen naar de fundamentele verwevenheid van het beschermen van dit mensenrecht en het vrije verkeer van gegevens. De richtlijn is dus veel meer dan een beschermingsniveau ten aanzien van de Europese burgers. Het is minstens evenzeer een noodzaak tot realisatie van de eenheidsmarkt.

Een korte analyse van de wording van de richtlijn verduidelijkt het economisch belang en de economische logica achter de richtlijn. De richtlijn is er niet zonder slag of stoot gekomen. De verschillende Europese landen namen zeer verschillende posities in op het vlak van gegevensbescherming. Binnen deze verhandeling is er reeds voornamelijk over de EU en de VS gesproken. Dit mag ons niet doen vergeten dat, voor de Europese richtlijn een feit was, de overeenstemming binnen Europa omtrent gegevensbescherming ver te zoeken was. De verschillende Europese lidstaten hebben elk hun eigen tradities en opvattingen rond overheidsoptreden op het vlak van gegevensbescherming. Deze verschillen komen tot uiting als we kijken naar de posities die de lidstaten innamen vanaf het moment dat er sprake is van een voorstel tot richtlijn. Binnen dit deel speciaal van belang is dat deze verschillen overwonnen werden op het moment dat duidelijk werd dat onderlinge overeenstemming inzake gegevensbescherming een absolute economische noodzaak was. De EU hangt sterk af van regulering, voornamelijk om de interne eenheidsmarkt te realiseren.[49] Die eenheidsmarkt is een economisch gegeven en dus is het economisch motief voor de richtlijn geen te verwaarlozen factor in de zoektocht naar een beter begrip van dit conflict.

Het eerste voorstel en reacties

Het eerste voorstel van de Europese Commissie is in grote lijnen geïnspireerd op conventie 108 aangenomen door de Raad van Europa. Voluit heet deze conventie ‘het Verdrag van Straatsburg tot bescherming van personen ten opzichte van geautomatiseerde verwerking van persoonsgegevens’ van 28 januari 1981. Dit verdrag bood geen specifieke afdwingbare bescherming maar bevatte eerder een aantal basisprincipes voor gegevensverwerking.[50] Deze conventie was op twee manieren belangrijk voor het voorstel dat de Commissie later zelf deed. Op de eerste plaats vormden de principes geformuleerd in de conventie de blauwdruk voor het voorstel van de Commissie. Ten tweede zorgde de conventie voor een versneld optreden van de Commissie. Dit omdat de Commissie in navolging van de conventie een aanbeveling naar alle lidstaten stuurde om snel werk te maken van de ratificatie van de conventie. Indien de lidstaten dit niet zouden doen zou de Commissie zelf initiatieven nemen. In de realiteit bleek echter dat veel lidstaten privacy niet erg hoog op hun agenda geplaatst hadden. Vandaar nam de Commissie zelf het initiatief in handen.[51]

Een ontwerp van richtlijn werd in 1990 gepubliceerd. Dit ontwerp ging verder dan de conventie van de Raad van Europa. Naast principes, voornamelijk overgenomen van conventie 108, voorzag het ontwerp van richtlijn ook in afdwingingsprocedures. Vooral het dwingende karakter en de zeer ruime mate van bescherming van de richtlijn stuitte op veel verzet. Er was verzet uit de private sfeer. Banken en direct marketing bedrijven zagen zulk een ruime bescherming niet zitten. Belangrijker in dit verhaal is echter het verzet en de reacties van de lidstaten. De drie belangrijkste landen, Groot-Brittannië, Frankrijk en Duitsland zaten immers niet op dezelfde lijn. Groot-Brittannië was voorstander van een minimalistische aanpak en wees het initiatief van de Commissie af, in de mening dat ratificatie van conventie 108 door alle lidstaten voldoende moest zijn. Groot-Brittannië stelde zich ook het meeste vragen bij de extra kosten die een alomvattende dwingende richtlijn met zich mee zou brengen. Daarnaast stelde sommige landen zich vragen bij de erg grote Duitse invloeden in het voorstel. Het Commissievoorstel weerspiegelde namelijk voor een groot deel de reeds bestaande principes van privacywetgeving uit Duitsland. Dit mag niet verwonderen, Duitsland was binnen Europa het eerste land met een overkoepelend wettelijk privacykader. Verschillende landen waren echter gehecht aan hun eigen tradities van privacy en gegevensbescherming. Voor Frankrijk was het opnemen van het individueel recht tot verhindering van het beheer van eigen persoonsgegevens bijvoorbeeld een prioriteit. Ieder land had zo zijn eigen prioriteiten en bekommernissen en wou die aldus weerspiegeld zien in de toekomstige richtlijn. Dit had tot gevolg dat het ontwerp van richtlijn na eerste lezing in het Europees parlement werd voorzien van meer dan honderd amendementen.[52]

Het herziene voorstel

In 1992 werd het herziene voorstel van richtlijn door de Commissie voorgesteld. Er was specifiek rekening gehouden met de amendementen die het Europees Parlement had gestemd. De Duitse invloed die in het eerste voorstel door veel landen als storend werd ervaren werd aangevuld met elementen uit het privacyrecht van enkele andere staten. In het tweede voorstel kan men elementen uit de Franse, Nederlandse en Angelsaksische privacywetgeving herkennen. De Commissie slaagde erin een gestructureerd voorstel uit te werken dat tegemoetkwam aan heel wat amendementen en eisen van verschillende lidstaten zonder dat de tekst tegenstrijdig werd. Algemeen werd het tweede voorstel beter onthaald dan het eerste ontwerp van richtlijn. Nochtans bleven Groot-Brittannië en Ierland tegenstander van een richtlijn, volhoudend dat de conventie van de Raad van Europa voldoende was. Naast de afwijzende positie van de Angelsaksische landen waren er nog tegenstellingen tussen de Europese lidstaten. De Noordelijke landen waren voor een minimalistische invulling van de richtlijn, meer ruimte latend voor de lidstaten zelf. De zuidelijke landen ijverden voor een sterke richtlijn die een hoog beschermingsniveau bood. Uiteindelijk liep het ontwerp van richtlijn vast in de ministerraad.[53]

Duitsland was het land dat de sleutel in handen had. Aangezien de materie beslist zou worden met gekwalificeerde meerderheid was het absoluut noodzakelijk dat Duitsland zou instemmen met het voorstel. Duitsland echter was niet zo happig op het tweede voorstel aangezien het eerste voorstel veel meer Duits geïnspireerd was. De amendementen op het tweede voorstel die Duitsland en enkele Scandinavische landen nog indienden waren onaanvaardbaar voor de Commissie en heel wat lidstaten. Een gemeenschappelijk standpunt leek dan ook ver weg in 1993 onder Belgisch voorzitterschap. Het Griekse voorzitterschap in de eerste helft van 1994 leverde evenmin een doorbraak op.[54]

Uit de impasse

Twee elementen gaven het proces naar een richtlijn een duw richting finale aanname van het tweede voorstel. Ten eerste werd het duidelijk dat een richtlijn die privacy koppelt aan onderlinge aanpassing van de eenheidsmarkt een absolute economische noodzaak was. Ten tweede is evenzeer van belang dat Europees voorzitterschap in juli 1994 overging in Duitse handen.

In 1992 werd het duidelijk dat informatie een sleutelrol zou spelen in de nabije toekomst. Ironisch genoeg zijn het Amerikaanse invloeden die een doorbraak mee in de hand werkten. Bill Clinton was een fervente voorstander van de ontwikkeling van ICT als motor van de economie. Het promoten van ICT werd door de kersverse Amerikaanse president als een van zijn belangrijke taken gezien. In Europa kregen deze ideeën navolging bij Jaques Delors. Onder zijn impuls kwam er het witboek ‘Growth, competitiveness and employment - the challenges and ways forward into the 21st century’. Dit document van de Europese Commissie deed het besef in Europa groeien dat een eenheidsmarkt waarbij het vrije verkeer van data gewaarborgd zou zijn een absolute noodzaak was.[55] Delors pleitte voor een eenheidsmarkt van informatie, gelijkaardig aan de eenheidsmarkt van goederen en diensten. Het witboek zorgde voor een verhoogde aandacht voor dit thema en onder de vleugels van de Raad van Europa werd een rapport gepubliceerd waarin eveneens de noodzaak tot een Europese benadering van dit probleem als noodzakelijk werd gezien.[56] Het klimaat rond deze hele problematiek wijzigde dus. De vrees om economische achterstand op te lopen samen met het groeiende besef van de wenselijkheid van een alomvattend beleid rond gegevensbescherming binnen het kader van de eenheidsmarkt maakte het gemakkelijker tot een akkoord te komen.

Een tweede factor die heeft bijgedragen tot de uiteindelijke goedkeuring van de richtlijn is het Duits voorzitterschap. In hun rol van voorzitter moesten de Duitsers nauw samenwerken met de Commissie. Op die manier kon de Commissie de Duitsers ervan overtuigen dat de richtlijn tegemoet kwam aan de hun eisen. Bovendien deden de Duitsers enkele toegevingen die een akkoord mogelijk maakten. In ruil kreeg Duitsland toegevingen van de Commissie dat, indien lidstaten dit wensen, zij eigen klemtonen mogen leggen aan hun privacybeleid als deze klemtonen het beschermingsniveau niet verlagen. Dit kwam tegemoet aan de Duitse wens een hoger beschermingsniveau te kunnen instellen. In de richtlijn is dit terug te vinden onder de eerder genoemde ‘margin for manoevre’. Andere amendementen vergemakkelijkten de aanname van de richtlijn. Zo vroegen de Ieren een overgangsperiode. Deze overgangsperiode werd aangenomen. Andere kleinere aanpassingen werden nog onderhandeld, zodat uiteindelijk alle lidstaten, behalve Groot-Brittannië, konden instemmen met het voorstel tot richtlijn. Op 24 oktober 1995 werd de richtlijn aangenomen door het Europees parlement onder de medebeslissingsprocedure. De overgangsperiode bedroeg drie jaar, voor de uiteindelijke implementatie was 24 oktober 1998 dus de deadline.[57]

4.1.2 Gegevensbescherming als last

De Europese richtlijn inzake gegevensbescherming is niet ongecontesteerd. Voornamelijk voorstanders van het vrije verkeer van data hebben hun bedenkingen bij het aan banden leggen van gegevensstromen omwille van privacy of gegevensbescherming. Deze bedenkingen zijn vooral economisch van aard. De algemene redenering is dan dat de voordelen van uniformiteit van regelgeving teniet worden gedaan door de kosten van overregulering die hierdoor ontstaan.

Een eerste kost die vast hangt aan het overheidsoptreden middels regulering is het conflict dat ontstaat met het vrije verkeer van data. Gegegevensstromen worden gehinderd of kunnen moeilijker plaatsvinden indien zij niet conform de regulering zijn. Bedrijven die werken met veel persoonlijke gegevens moeten dus investeringen doen om aan de eis van gegevensbescherming te voldoen. Gegevensverkeer moet aan bepaalde standaarden en garanties voldoen en daar zijn kosten aan verbonden voor bedrijven en organisaties.[58]

Een tweede kost is iets abstracter. Doordat het vrije verkeer van data gehinderd wordt door de bepalingen in verband met privacy en gegevensbescherming wordt de innovativiteit belemmerd. De ontwikkeling van nieuwe marketingtechnieken zoals direct marketing wordt gehinderd. Dit zijn opportuniteitskosten die niet rechtsreeks meetbaar zijn. Tegenstanders van regulering inzake privacy zien in de VS het voorbeeld van hoe een beleid met de klemtoon op het vrije verkeer van data voordeliger is dan een beleid met beperkingen op grond van privacy. Zij stellen dat de VS om deze reden geavanceerder is dan de EU in de service -en informatie economie.[59]

Een derde kost die kan worden onderscheiden geldt specifiek voor niet Europese bedrijven gesitueerd in een minder stringent privacyregime. Hun competitief voordeel, te danken aan de afwezigheid van regulering, wordt tenietgedaan indien een ander land, in dit geval de Europese Unie, een strenger kader uittekent waaraan een extraterritoriaal effect verbonden is.

Deze argumenten leren ons dat het niet verwonderlijk is dat de Verenigde Staten de richtlijn van de EU als onwenselijk zien. Terwijl een onderlinge aanpassing van regulering in de Europese Unie een economische noodzaak is, is deze extra regulering voor de VS een economische last. Het economisch motief om verder te gaan dan self-regulation ontbreekt. Dit economisch motief was wel aanwezig binnen de EU. Dit fundamentele economische verschil bepaalt voor een deel de onenigheid die ontstaan is ten gevolge van de extra-territoriale werking van richtlijn 95/46/EC.

4.1.3 Gegevensbescherming als economische stimulus

Regulering wordt algemeen aanzien als kostenverhogend. Ook ten aanzien van richtlijn 95/46/EC worden die kostenverhogende argumenten aangehaald. Dat is echter niet het gehele verhaal. Nieuwe technologieën zoals E-commerce staan of vallen namelijk met het vertrouwen dat consumenten hechten aan deze technologieën. Dit vertrouwen is rechtstreeks afhankelijk van de mate waarin gebruikers weten dat hun rechten gewaarborgd zijn. De grote E-commerce boom is nog niet helemaal gerealiseerd en dit heeft volgens sommigen te maken met een gebrek aan vertrouwen.[60] Regulering is dan in die optiek een absolute noodzaak om dit vertrouwen te realiseren. Pas nadat dit wettelijk kader zijn deugdelijkheid heeft bewezen kan elektronische handel floreren. Aan regulering enkel kosten toewijzen is dus niet eerlijk. Mogelijke meeropbrengsten ten gevolge van een groter vertrouwen in nieuwe technologie moeten evenzeer in rekening gebracht worden.[61]

Deze verhandeling poogt geen kosten-baten analyse te maken van het eventuele overheidsoptreden inzake gegevensbescherming. Toch zijn deze argumenten belangrijk in het transatlantisch handelsconflict rond gegevensbescherming. De economische motieven achter de verdediging van het ene of het ander systeem leggen een aantal basisverschillen bloot die het conflict in de hand werken.

4.2 Gegevensbescherming en culturele diversiteit

Wereldwijd kunnen we een aantal basisprincipes rond privacy en gegevensbescherming erkennen die steeds terugkomen in de meeste democratische staten. Reidenberg stelt vast dat er een aantal principes van eerlijke behandeling van gegevens steeds terugkomen en dat deze eveneens worden erkend door allerlei internationale verdragen. Zo is er al gesproken over de OECD richtsnoeren, conventie 108 van de Raad van Europa en zelfs in het kader van de VN is er een overeenkomst rond een aantal principes van gegevensbescherming en privacy.[62] Het lijkt er dus op dat er algemene overeenstemming is rond de wenselijkheid van gegevensbescherming. Bovendien stellen zowel de EU als de VS dat ze erg gehecht zijn aan de principes van privacy en gegevensbescherming. Op het eerste zicht is er dus geen reden te spreken over culturele verschillen die in dit handelsconflict mogelijk een rol spelen. Toch zou dat een te oppervlakkige voorstelling zijn. Ook al erkennen zowat alle democratische staten de principes van privacy en gegevensbescherming, er is verre van overeenstemming in verband met de uitwerking en de afbakening van privacy ten opzichte van andere rechten.[63] De concrete uitwerking van een privacybeleid en de mate van dwingende regulering kunnen misschien afhangen van verschillen in achtergrond en rechtscultuur. De rol van de staat en de mate waarin afdwinging als legitiem ervaren wordt is niet altijd bepaald door economische motieven maar evenzeer een culturele factor. Het past hier privacy te beschrijven vanuit een filosofische achtergrond. Dit om aan te geven hoezeer de opvatting over privacy kan verschillen en niet louter te vatten is vanuit economisch perspectief.

4.2.1 Enkele privacyconcepten en hun theoretische oorsprong

Overheidsoptreden of self-regulation, in feite is dit specifiek conflict een uiting van verschillende opvattingen over de rol van de staat en de mate waarin de staat ingrijpt in het leven van individuen. De relatie tussen staat en individu kunnen we dan ook schetsen aan de hand van het privacyconcept doorheen de tijd. De gangbare opvattingen rond privacy vinden hun oorsprong in verschillende denktradities die we hier even zullen overlopen. Op die manier wordt duidelijk dat opvattingen over privacy ook cultureel bepaald zijn.

In de Griekse filosofische traditie van Plato en Aristoteles werd het individu gezien als behorend tot de polis. Enkel binnen deze polis komt het individu tot zijn volwaardig recht. Het is de polis die een individu tot mens maakt. Dieren en Goden kunnen zonder polis, mensen niet. Zij hebben de polis nodig. In deze visie is er geen sprake van een privé-persoon. Het publieke leven is het ware leven.[64]

Deze opvatting gaat verder in de Romeinse denktraditie. De etymologie leert ons dat het Latijns woord voor privacy letterlijk ‘gebrekkig’ betekent. Dit insinueert dat privacy een incomplete toestand was. Het is door volwaardig lid te zijn van de gemeenschap dat een mens echt mens werd. Cicero heeft in De Officiis over dit idee van burgerschap geschreven waarbij de staat het individu vervolmaakt.[65]