Moet RFID wettelijk geregeld worden?
De Europees Commissaris bevoegd voor de informatiemaatschappij, Viviane Reding, houdt van RFID. Ze is van mening dat RFID, of Radio Frequency Identification, de ‘competitiviteit van de Europese economie kan opkrikken en de levenskwaliteit van de burger kan verbeteren’. Daarom wil ze het gebruik van RFID promoten op de Europese markt.
Tegelijkertijd wil ze het gebruik van RFID reglementeren omdat ze zich zorgen maakt over mogelijke privacygevolgen. RFID is immers een technologie die het mogelijk maakt om het doen en laten van de burger nauw op te volgen. Denk maar aan RFID-tags die in een identiteitskaart of paspoort worden geïntegreerd of tags die in consumentengoederen, zoals kledij, worden geplaatst. Reding heeft een uitgebreide enquête uitgevoerd om te peilen naar de reactie bij het Europese publiek. Volgens de voorlopige resultaten (zie www.rfidconsultation.eu), vindt een meerderheid van de deelnemers dat de huidige wetgeving de privacy bij het gebruik van RFID onvoldoende beschermt en dat er wetgevend moet worden opgetreden.
Ik wil graag geloven dat de futuristisch aandoende, haast onzichtbare RFID-technologie doembeelden creëert over een wereld waarin iedereen door middel van RFIDtags overal en altijd gecontroleerd kan worden. Ik neem daarom graag aan dat velen menen dat een wetgevend ingrijpen wenselijk is.
Maar dat wetgevend ingrijpen is niet nodig. De Europese wetgeving over de verwerking van persoonsgegevens dateert weliswaar van 1995, maar werd voldoende high-level opgesteld om nieuwe technologieën zoals RFID te regelen. De meeste zaken waarvoor men nu de hulp van de wetgever zou willen inroepen (zoals de mogelijkheid RFID-tags uit te schakelen of toestemming van de consument) worden al ondervangen door de wet van 1995, zij het niet met zoveel woorden.
Knelpunt is echter dat die wet behoorlijk stroef en wereldvreemd aandoet, iets wat vooral zichtbaar wordt bij nieuwe technologieën als RFID. Ook de Privacycommissie heeft er moeite mee om te ontsnappen uit het strakke keurslijf van de wet, en om de principes met wat zin voor gezond verstand toe te passen. Het is dan ook niet verwonderlijk dat het grote publiek onvoldoende bekend is met de privacywet, laat staan dat men de principes ervan vlot kan toepassen op nieuwe technologieën.
Dat neemt niet weg dat de wet bestaat en dat de industrie er ook nu al rekening mee moet houden. Concreet moet een consument ervan op de hoogte worden gebracht welke producten RFID-tags bevatten, op welke plaatsen er lezers worden opgesteld, hoe de informatie wordt verwerkt en met wie de informatie zal worden gedeeld.
Er is dus geen nieuwe wetgeving nodig, omdat het bestaande regelgevend kader het individu al genoeg beschermt en omdat bijkomende wetgeving de technologische vooruitgang allicht te veel zou fnuiken. Wel moet dat regelgevende kader beter worden uitgelegd en toegepast worden op concrete situaties en technologieën.
Een bedrijf moet zich dus nu al bezinnen over de mogelijke privacyimplicaties die het gebruik van RFID op haar eigen personeel of op eindgebruikers zal hebben. Want ook al blijft de Privacycommissie nu nog op de achtergrond en zijn boetes schaars, die situatie zal maar blijven duren tot de publieke gevoeligheid voor het onderwerp een drempelniveau heeft bereikt.
Rechtbanken die staan te zwaaien met boetes, zijn trouwens niet de enige reden waarom een bedrijf best wat aandacht besteedt aan de privacy problematiek. Aandacht voor privacy zal in de niet al te verre toekomst immers vergeleken kunnen worden met de huidige aandacht voor het milieu en goede arbeidsomstandigheden: wat aanvankelijk een loutere kostenpost was, verwordt stilaan tot een basisvoorwaarde voor een succesvol product of een populair bedrijf.
Patrick Van Eecke is advocaat gespecialiseerd in IT-recht bij DLA Piper. Hij doceert tevens IT-recht aan Queen Mary University, London en aan de Universiteit Antwerpen.
