De weg naar dataprotectie in Brussel

Een interview met Peter Hustinx

European Data Protection Supervisor

Peter Hustinx kijkt terug op 10 jaar als European Data Protection Supervisor (EDPS): van 2004 tot eind 2014. In die functie hield hij toezicht op de gegevensbescherming bij alle EU-instellingen – van de Europese Commissie tot diverse agentschappen en de Europese Centrale Bank. Daarnaast geeft de EDPS advies aan de Raad en het Europees Parlement bij de totstandkoming van wetgeving waarbij gegevensbescherming een rol speelt.

Al sinds 1971 is de heer Hustinx betrokken bij de ontwikkeling van Nederlandse wetgeving voor privacybescherming. In 1991 werd hij voorzitter van de Registratiekamer en in 2001 voorzitter van het CBP (College Bescherming Persoonsgegevens). Toen hij in 2004 naar Brussel gehaald werd als eerste toezichthouder Dataprotectie kwam dat niet onverwacht. Hij was immers van 1996 tot 2000 al bekend in Brussel, als voorzitter van de Artikel 29-werkgroep van Europese privacy toezichthouders. (een overleggroep van Autoriteiten Persoonsgegevens van de diverse landen)

Onderscheidingen: – Honorary Degree of Doctor of Science in Social Science by the University of Edinburgh. – Officier in de orde van Oranje Nassau voor verdiensten bij privacybescherming in Nederland en Europa. – IAPP Privacy Leadership Award (International Association of Privacy Professionals).

Interview R. Kadir, transcriptie M. Akkerman, redactie V.F. Wiendels

Lees hier via Blendl het interview dat een exclusief kijkje achter de schermen biedt: hoe kwam de nieuwe European Data Protection Regulation (EDPR) tot stand? Welke commissies gingen hieraan vooraf, en hoe werd dataprotectie een mensenrecht en een grondrecht? Leden van Tijdschrift Privacy kunnen dit artikel ook lezen op hun site.

IMG_0824 

 

BRUSSEL

In 2004 lag 9-11 nog kort achter ons. We zagen dat internet een steeds grotere impact in ons leven kreeg. Mijn hoofdtaak was te zorgen dat Europese instellingen ook op dit punt bij de les bleven. Daar was een eigen regeling voor die leek op de Wbp (Wet bescherming persoonsgegevens) en afgeleid was van de huidige richtlijn. De discussie met toezichthouders van de lidstaten begon langzamerhand inhoud te krijgen. De Commissie deed evaluatieonderzoek naar de werking van de richtlijn en kwam twee keer tot de conclusie dat een en ander nog niet goed was. De conclusie was steeds: aan de richtlijn moeten we niet komen. Bij de tweede keer zei ik: goed, nu nog niet, maar wijziging is onvermijdelijk. En dat moeten we zorgvuldig voorbereiden. Dat heb ik een paar keer herhaald, zoals dat gaat, maar kort daarop is de Commissie hier toch aan begonnen. Mevrouw Reding (na 2004 Eurocommissaris media, na 2010 Eurocommissaris burgerrechten) heeft dat heel stevig aangepakt en sinds 2009 grepen we elke gelegenheid aan om inbreng te leveren. Het was hún werk (van de Europese Commissie), maar op alle mogelijke manieren is daar aan bijgedragen. En een hele belangrijke bijdrage was, uit het hart van de Artikel 29-groep, een document uit 2009, ‘The Future of Privacy’. Daar heeft ons team een hele stevige bijdrage aan geleverd en ik moet zeggen dat Jacob Kohnstamm daar ook heel direct bij betrokken was, nog voordat hij voorzitter werd van de Artikel 29-groep.

Taken van P. Hustinx als EU dataprotectie toezichthouder:

  • de Commissie en de andere instellingen aan compliance helpen
  • het netwerk van functionarissen voor de gegevensbescherming van de grond krijgen
  • samenwerken met collega’s in de EU-lidstaten
  • adviseren over wetgeving, richtlijnen en verordeningen
  • overleg data-uitwisseling van politie en justitie
  • inbreng leveren voor het Europese Hof van Justitie

Het Europese Hof speelde een steeds grotere rol. Het wees een aantal belangrijke arresten toe die niemand kunnen zijn ontgaan, zoals onlangs nog Safe Harbour (oktober 2015). En eerder de uitspraak tegen Google (mei 2014):  “The right to be forgotten”  (verzoek tot wissen van data).

Verdrag van Lissabon

Terwijl de Commissie begon met de voorbereidingen voor de herziening van het huidige kader ging, -nagenoeg onzichtbaar voor de wereld- , de laatste fase in van de ratificatie van wat nu het Verdrag van Lissabon is. Wij herinneren dit ons in Nederland als het “niet doorgaan van de grondwet”. Toen Nederland nee zei, vond er een reddingsactie plaats en kwam een aantal delen in een ander verdrag terecht. Eind 2009 trad dat verdrag plotseling in werking na de laatste ratificatie, ik meen van Tsjechië. Onderdeel van het verdrag was de verplichting om regels te stellen op het terrein van de bescherming van de persoonlijke levenssfeer. Met een grondrechtelijke top daarop, dus het handvest van de grondrechten werd ineens bindend. Ik zeg dat omdat dat de hele discussie enorm heeft aangescherpt: aan de ene kant de noodzaak vanuit de praktijk en aan de andere kant een principiële invalshoek.

De noodzaak uit de praktijk en de principiële invalshoek kwamen samen

Het geeft me grote voldoening dat het er inmiddels ook van gekomen is. Eind vorig jaar bereikten de Raad, het Parlement en de Commissie een politieke overeenstemming over de General Data Protection Regulation (GDPR). Over de definitieve tekst zal nog voor de zomer gestemd worden door het Europees Parlement. De verordening zal dan in 2018 in alle lidstaten gelden. <red: De GDPR is inmiddels op 14 april 2016 aangenomen>

Onderliggend privacy concept verbindt landen, sectoren, overheid, bedrijven en burgers

Dé grote beweging van onze tijd is dat de digitalisering doorzet, en niet een klein beetje ook, dat gaat steeds harder en dat tekende zich toen al duidelijk af. Dit betekent dat een wettelijke regeling, een Europese regeling die bedoeld is om de belangen van de burgers en samenleving op dit terrein te borgen, bij de tijd moet blijven. En dan heb ik het niet alleen over het bij de tijd brengen in de zin van je moet de mode volgen, nee, je moet voor de mode uitgaan, je moet bescherming bieden en je moet effectief zijn. Je moet echt een enorme stap vooruit maken in effectiviteit. Zowel de rechten als de verplichtingen en de handhaving daarvan.

Het tweede punt: in toenemende mate werd duidelijk dat een van de moeilijkheden was dat alle lidstaten het nét een beetje anders hadden gedaan. Dat valt je niet zo op als je daar vanuit één lidstaat naar kijkt, Nederland is blij met zijn eigen versie, maar wanneer je beweegt of wanneer je in alle landen actief bent, en dat zijn hele grote bedrijven, maar ook steeds meer kleinere, dan is dit een nachtmerrie. Het leidt tot heel veel kosten en soms ook tot de conclusie: zoek het maar uit, we doen er niks aan. En daarmee betekent het dus ook een verlies aan bescherming.

Kortom, die twee dingen, het bij de tijd brengen van de effectiviteit én het denken op een veel grotere schaal, voeren logischerwijze tot de noodzaak tot herziening.

Er was behoefte aan een enorme stap voorwaarts.

Ik denk dat Mark Zuckerberg nog op de middelbare school zat toen de huidige richtlijn in 1995 tot stand kwam. Facebook bestond niet, Google was er nog niet, en al die verschijnselen die we nu normaal vinden, zoals mobiele communicatie, waren er niet.

We hebben nooit alle mogelijkheden van nieuwe ‘devices’ in detail willen regelen. We wilden de onderliggende begrippen, beginselen en verantwoordelijkheden benoemen. En positieve en negatieve incentives creëren waarmee de samenleving zijn eigen verantwoordelijkheid geborgd ziet.

Hetzelfde concept van dataprotectie kan men toepassen op diverse gebieden:

  • Strafrechtelijke handhaving over grenzen heen / internationale misdaad / toenemend terrorisme
  • Gezondheidszorg
  • Verkeer
  • Grensbewaking
  • e-commerce

Dit geldt zowel voor het bedrijfsleven als voor de overheid (die steeds meer met elkaar verknoopt raken). Het gaat ook om burgers: zoals bij studentuitwisselingsprojecten of vakanties, waarbij mobiele apparatuur gehanteerd wordt, waarbij op allerlei platforms tegelijkertijd gewerkt wordt.

 

Internationale betrekkingen

En tenslotte werd ook duidelijk dat de internationale betrekkingen hiermee samenhingen. Er waren in die jaren een aantal grote incidenten met de Verenigde Staten. Je had te maken met powerplay van de toenmalige regering Bush, maar je had ook te maken met het gegeven dat landen ten opzichte van elkaar aan het uitproberen waren wat wel en niet mogelijk was. Dus investeren in een stap vooruit, en vandaar dat die twee invalshoeken, de praktijkbehoefte en de invalshoek van grondrechten die serieus genomen moeten worden, elkaar zo nuttig kruisten.

Ik heb voor het eerst in vele jaren in Brussel gezien dat politici met elkaar de concurrentie aangingen op het punt van verantwoordelijkheid.

<red: ipv de verantwoordelijkheid op elkaar afschuiven als het moeilijk wordt>

Mevrouw Reding zette daar hoog op in, en ze was niet de enige, ook in het parlement was dat het geval. Terwijl men daarvoor ‘privacy’  – in Brussel en elders – vaak maar een moeilijk te plaatsen onderwerp vond.

Vivian Reding heeft veel politiek kapitaal geïnvesteerd in privacy. Ze overdreef soms een beetje in haar woorden. Quotes van haar: “het zijn mìjn gegevens, màg het even?” ”My data, my consent”, dat soort uitspraken.  Wat gebeurt er met onze gegevens?  De ‘right to be forgotten’ is ook een voorbeeld daarvan.

Kortom, ik vond dat het nodig was en we hebben er beiden aan bijgedragen om het ook te laten plaatsvinden. Nogmaals, het was de Commissie die het voortouw nam, maar ik heb geen kans voorbij laten gaan om er iets van te zeggen. Elke keer als mevrouw Reding zei dat dit haar topprioriteit was, turfde ik dat en dacht ik: “failure is no option”, en elke keer zette ik daar een streep onder, en zo is het ook gelopen.

Vivian Reding heeft de verordening niet zelf af kunnen krijgen, maar in wezen heeft zij toch, samen met het parlement, het fundament hiervoor neergezet. De Raad heeft vaak op de rem gestaan, maar uiteindelijk is er toch een heel redelijk produkt uitgekomen.

 

WPR vervangen door Wbp, 2000

1.PERSOONSREGISTRATIE De WPR was de allereerste regeling op dit gebied in Nederland en die kwam uit de tijd waarin er eigenlijk nog over persoonsregistratie werd gesproken. En de instrumenten waren bewustwording en weliswaar onderzoek van de Registratiekamer, maar daar was weinig handhavingsmogelijkheid bij, alleen wat civielrechtelijke mogelijkheden. Eén van de punten van kritiek was dat die wet in de praktijk nooit goed wortel heeft kunnen schieten. Dus de grote stap vooruit was de implementatie van de richtlijn. Maar de richtlijn was mede gebaseerd op alle bestaande nationale wetgeving tot dan toe, van de Europese landen in de jaren ’80 en ‘90.

2.GEGEVENSVERWERKING Toen is de stap gemaakt, we gaan het hebben over gegevensverwérking, dat werd al dynamisch, maar in dat pakket zat bijvoorbeeld nog een aanmeldingsplicht. Dat was naar de huidige opvattingen hele oude doos. We zeggen: dat is papieren tijdperk, ook als je het elektronisch doet. Het heeft bovendien het misverstand in de hand gewerkt dat de verantwoordelijken dachten dat aanmelding hét moment was, en dat je het daarna kon vergeten. En omdat ze niks hoorden van de Registratiekamer en het Cbp dachten ze: nou het zal wel goed zijn. Het was achteraf gezien een onnodige last, maar het was ook een hele misleidende.

3. DATA VERANTWOORDELIJKE Dát aspect is nu vrijwel geheel weggehaald en wat nu zichtbaar is geworden is de rol van de verantwoordelijke. Ik denk dat dat een majeure stap vooruit is.

Ik kijk er nog met een iets langere blik naar omdat ik nog zelf de tijd heb meegemaakt dat die beginselen werden uitgevonden, in de jaren ’70 en ’80 in een verdrag van de Raad van Europa. De  OECD had ook een aanbeveling, de guidelines, die nog steeds gelden, maar inmiddels zijn herzien in 2013.

Het Data Protectie verdrag van de Raad van Europa, De Raad van Europa -niet te verwarren met de Europese Raad- is een mensenrechtenorganisatie die los staat van de Europese Unie en 48 lidstaten telt: Naast de EU-lidstaten ook Rusland, andere landen in de Kaukasus en Turkije.

Het Data Protectie verdrag heeft ook geen tanden, alleen het is wel een juridisch bindend instrument en een bron van inspiratie. Wat ik nu zie is dat verschillende landen die beginselen toepassen. Het curieuze is dat ze in essentie niet gewijzigd zijn, maar ze zijn wel steeds verder toegespitst op de praktijk. En ook in de allerlaatste versie die we nu zien in de verordening wordt er teruggegrepen op dezelfde beginselen die dus eigenlijk de tand des tijds hebben doorstaan.

Het begrip persoonsgegevens, in al zijn complexiteit, was in 1980 vrij statisch en is nu een enorm dynamisch begrip geworden.

De gegevens over de devices die u en ik gebruiken zijn naar alle waarschijnlijkheid ook persoonsgegevens, eenvoudigweg omdat wij de vaste gebruikers zijn. En die weerspiegelen dus ons gedrag ‘any minute’. Maar dienstverlening is van de kaartenbakken via de ponskaarten naar de backoffice computers gegaan en is intussen natuurlijk helemaal zichtbaar geworden, in online dienstverlening en het gegevensverkeer dat daardoor gegenereerd wordt.

Het is niet voor niets dat grote winkels het moeilijk hebben, want er is steeds meer online activiteit. Dat vertaalt zich dus in enorme,  gigabite-achtige explosies. Die werkelijkheid is zo complex en heeft zoveel gevolgen, dat daar regels voor nodig zijn die adequaat zijn en ook hele sterke incentives bevatten.

2009 De Europese Grondwet, afgewezen per referendum in 2005 door Nederland en Frankrijk, werd omgezet naar het verdrag van Lissabon, dat vier jaar later van kracht werd. Sindsdien committeert de Europese Unie zich aan een Handvest voor de grondrechten dat op sommige punten verder gaat dan het uit 1950 daterende EVRM (Europese rechten van de Mens) van de Raad van Europa.

 

De kentering

Er vielen toen enkele zaken samen: nadat het verdrag van Lissabon in werking trad, waardoor het recht op dataprotectie naast het recht op privacy een apart grondrecht werd, en Eurocommissaris Vivian Reding dataprotectie op de kaart zette, kwam ook het voorstel van de Commissie voor boetes die een percentage van de jaaromzet bedroegen.

Dat was een ontdekking. Het veranderde het debat totaal.

Plotseling sprak men van miljoenenboetes. Wát, zei iedereen. En de uitkomst. Dat betekende dat het halve land zegt: ho, ho, ho, waar gaat dat over? En degenen die wisten waarover het ging, die zeiden: nou, is dat belangrijk voor ons? Dus de vraag, gaat dat onze business raken, werd al heel gauw met ‘ja’ beantwoord. Dat leidde ertoe dat de discussie in een totaal andere ambiance werd gevoerd. Het heeft geleid tot enorme lobbycampagnes, met veel belangstelling.

Ik denk dat die lobby’s uiteindelijk een bijdrage hebben geleverd aan het realisme, maar niet de boot uit koers hebben gebracht, wat misschien de bedoeling was, want ik zie dat naar inhoud meer dan 80% zijn plek heeft gevonden. Bovendien zijn de boetes, met name door het Parlement, nog hoger geworden.

 

Dataprotectie in uitvoering

Aan rechten alleen heb je weinig als je ze niet kunt uitoefenen. En  in de praktijk kun je ze niet uitoefenen, omdat het eerste het beste loket zegt: “Wat? Doen we niet aan.” Rechten moet je kunnen uitvoeren, als het nodig is ook crossborder, online, waar dan ook, maar je stuit al heel gauw op de verantwoordelijke organisatie. En dat is een belangrijk inzicht, de nieuwe regeling gaat er vanuit dat de verantwoordelijke vooral dingen moet dóen om naleving te verzekeren. Die draagt niet alleen de verantwoordelijkheid, maar ook de bewijslast dát hij al het nodige doet, en dat hij het adequaat doet. Je moet zorgen dat hij dat kan aantonen. Hij moet accountable zijn, rekenschap afleggen, moet dus verantwoordelijk zijn en het bewijs daarvan hebben en hij moet ook blijven nagaan of het nog werkt. Dat is een totaal andere benadering.

De verantwoordelijkheid is nu bij het begin van het proces van dataverwerking komen te liggen.

Voorheen lag die veel meer bij het einde van de keten, pas wanneer iets mis ging. Vandaar ook het nieuwe beginsel van “Privacy by Design”, het meenemen en inbouwen van databescherming vanaf het eerste begin.

Bij de implementatie van dataprotectie zijn privacy officers en impact assessments van belang.

 

Meldplicht datalekken in Nederland al ingetreden

In Nederland is vanaf 1 januari 2016 de meldplicht datalekken al van kracht, met handhaving door de Autoriteit Persoonsgegevens. De meldplicht en de hoge boetes treden bij de meeste andere Europese landen pas twee jaar later in werking, zodra de Europese Dataprotectie Verordening van kracht wordt.

Onze wet Meldplicht datalekken kwam er dankzij  Fred Teeven – destijds staatssecretaris van Veiligheid en Justitie – en minister Liesbeth Spies van Binnenlandse Zaken. De boetes bij ernstige datalekken zijn lager dan ze zullen zijn onder de Europese verordening.

 

Kartelboetes: Sancties via een andere route

Neelie Kroes, (tot 2009 Europees commissaris voor mededinging en tot 2014 commissaris voor de digitale agenda) heeft ook kartelboetes aan grote bedrijven opgelegd bij oneerlijke concurrentie of misbruik van een machtspositie.

Waarom worden kartelboetes betrokken bij dataprotectie? Omdat in een moderne economie en samenleving informatie zo strategisch is, dat we er allemaal last van hebben als die informatie niet goed beheerd wordt.

 

Strategie en data

Steeds meer bedrijven zien dataprotectie niet alleen als een lastige verplichting. Bedrijven die een stap verder zijn ontdekken dat cliënteninformatie strategisch belangrijk is, een primaire voorwaarde.Strategisch vooruitdenken bij databeheer en -bescherming onderscheidt een bedrijf van de rest.

Een bedrijf of instantie mag alleen persoonsgegevens hanteren onder bepaalde voorwaarden. Kiest men hiervoor, dan is een duidelijke commitment en strategie noodzakelijk.

Toezichthouders kunnen naast boetes uitdelen ook onderzoeken doen en aanwijzingen geven.

Ik verwacht dat de toezichthouders per land hun middelen op een strategische wijze zullen gaan inzetten, dus zullen nagaan waar de risico’s het grootst zijn. En zich de vraag stellen: Is dit een organisatie die het serieus neemt?

 

De burger

Een van de beleidsdoelen van deze regeling is ook het herstellen van het gevoel dat burgers een beetje grip terugkrijgen. Mensen hebben vaak niet het overzicht, en weten niet waar ze moeten beginnen.

Veel bedrijven komen met een veertien pagina’s lange onleesbare ‘’privacy policy’’ op hun site. Hier staan vaak bepalingen in die erop neerkomen dat het bedrijf niet meer aansprakelijk is voor het doorsturen van data naar derden of voor datalekken. Ik durf de stelling aan dat dergelijke privacy policies niet geldig zijn. Punt uit. Ze zijn waardeloos.

In de verordening is bepaald dat bedrijven de klant duidelijker moet informeren. En dat men alleen de belangrijke dingen mag vragen. Alleen die gegevens die noodzakelijk zijn voor dat doel. Dat een toestemming “echt” moet zijn, en dat nee zeggen ook een optie is. Bedrijven moeten van hun wollige taalgebruik af.

 

Klachtenrecht

Het toezicht op het naleven van deze regels is primair klachtgedreven, maar toezichthouders kunnen ook uit eigen beweging optreden, bijvoorbeeld op basis van bepaalde patronen of signalen. Het klachtrecht is in de verordening stevig neergezet. Je kunt zelfs een klacht indienen in elk land naar keuze. De autoriteiten per land werken samen over de grenzen heen. Bundeling van klachten

Naast direct een klacht indienen bij de Autoriteit Persoonsgegevens kan men klachten ook bundelen per belangengroep.

Zo zal men voor klachten over privacy op de werkplek ongetwijfeld bij de vakbonden terecht kunnen, en bij privacyvraagstukken in het ziekenhuis bij een patiëntenvereniging.

Ik denk daarnaast dat het idee van een klachtenloket heel goed zou zijn (De SPN heeft een klachtenloket opgericht, lees hier).

Van gebundelde klachten die door een klachtenloket al voorbereid en onderzocht zijn kan de Autoriteit Persoonsgegevens meer werk maken. De toezichthouder kan zo ruimte overhouden om grotere structurele problemen aan te pakken en tot een eigen analyse te komen. Zo kan men sectoronderzoeken uitvoeren naar aanleiding van klachten maar ook als een zaak door de media in de openbaarheid is gebracht.

Klachten dienen eerst ingediend te worden op de plaats waar het speelt. Als het een vastgelopen verhouding is, moet men het een etage hoger tillen.

 

Jurisprudentie

Klachten kunnen uiteindelijk een enorme impact hebben, zoals het laatste arrest van het Europese Hof. (De Oostenrijkse student Max Schrems won in oktober 2015 een zaak tegen Facebook, die ertoe leidde dat het Safe Harbour verdrag ongeldig verklaard werd, waardoor onder andere alle Amerikaanse apps niet meer toegestaan zijn voor bedrijfsmatig beheer van persoonsgegevens.)

FG Het privacyprogramma is interactief en niet defensief.  Als een bedrijf of instelling een Functionaris Gegevensbescherming of Privacy Officer aanstelt en zegt, probleem opgelost, het is nu zijn of haar verantwoordelijkheid,  dan mist men de essentie. Het hele bedrijf moet op de hoogte zijn, marketing, ICT, juristen en strategie. Dat zijn de hoeken van de piramide. De samenwerking is dynamisch. Daarbij hoort ook samenwerking met de Autoriteit, feedback van de sector en samenwerking met de klant, die inzagerecht en correctierecht heeft.

 

Angst voor een slechte reputatie stagneert groei: ‘naming en shaming’ bij datalekken

De term ‘’naming en shaming’ wijst in de richting van welbewust beleid om sancties toe te passen. Daar zou ik niet zo voor zijn, zeker niet zonder goede grondslag. Maar we moeten wel nuchter zijn. Dingen gebeuren en we leven in een samenleving waarin voorlichting een grote rol speelt.

<De Autoriteit Persoonsgegevens noemt in een persbericht en op haar site namen van bedrijven en hun datalekken, dit kan sommige bedrijven ervan weerhouden om hun datalek eerlijk te melden>

Een voorlichtingsbeleid komt er in mijn ervaring op neer dat je een bedrijf in de relevante stadia van een onderzoek op de hoogte houdt. Dat je ze ook eerlijk zegt: dit is een slechte conclusie, en we gaan die dan en dan in de publiciteit brengen. Jullie krijgen de tijd om te reageren. De verrassingsfactor moet je beperken.

Uiteindelijk is een samenleving echter het meest gediend met openheid op dit gebied. Als je wantoestanden onder de pet houdt, en niets zegt over een memory stick in de taxi of een grote D-dos aanval, dan leer je niet hoe je die kunt voorkomen. Als de toezichthouder gedurende langere tijd een bona fide inspanning ziet om het systeem te verbeteren, dan zal men dit honoreren. Men bouwt credits op voor als er in de toekomst weer iets misgaat.

Probeer zo gauw mogelijk iets goed in beeld te krijgen, ontwikkel beleid, bouw ervaring op, leer daarvan.

Je bent een klant eerder kwijt dan rijk.

Een reputatie is vaak verbonden aan een goede strategische ontwikkeling.

Je kunt heel veel investeren in klantenacquisitie maar een slechte reputatie is dodelijk. Laat privacybeleid ook verbonden zijn aan je strategische ontwikkeling en je reputatie.

Ik denk dat toezichthouders zich goed bewust zijn van het feit dat bedrijven hun reputatie op prijs stellen, maar laat ze niet te lang denken dat ze het heel goed doen, terwijl de feedback eigenlijk niet zo positief is.

Maar toezichthouders kunnen ook best-practices honoreren. Er zijn innovatieprijzen en best performance-prijzen. We zien ook dat privacy gaat helpen bij innoverende bedrijven, en niet in de weg zit.

Best practices en worst practices, en lessons learnt. Dat gaat allemaal spelen.

 

Posted in 2016 Juni Thema Europa Tagged EUinterview

V.F. Wiendels

Antropoloog. Journalist. Informatieve teksten. Onderzoek. Interviews.

One Comment

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *