Europese Commissie onthult plannen strengere privacyregels

Als je kijkt naar Europa loopt Nederland met onze discussie over toestemming voor cookies hopeloos achter de feiten aan. Europa is namelijk bezig met nieuwe privacywetgeving. Tijdens de European Data Protection and Privacy Conference in Brussel waren de Europese Commissie en de privacy toezichthouders duidelijk over hun bedoelingen: burgers moeten online informatie en controle over hun data krijgen. Browserinstellingen alleen zijn onvoldoende bij het plaatsen van cookies. En burgers hebben het recht om ‘vergeten te worden’ door social networks.

“God forgives and forgets, but the web never does”

Met deze stelling trapt Viviane Reding, Eurocommissaris justitie en burgerrechten, de conferentie af. Reding wil de privacyrechten van de burger beter verankeren en wil ‘the right to be forgotten’ introduceren. Jacob Kohnstamm (Nederlandse en EU Privacytoezichthouders) is het met haar eens. ‘Iedereen mag veranderen en groeien’, stelt Kohnstamm. De onmogelijkheid data van internet te wissen, beperkt burgers hierin. Ik ben benieuwd of dit principe alleen toegepast gaat worden op sociale netwerken of op alle vlakken. Dat wordt nogal lastig. De overheid gaat geen gegevens van haar burgers wissen. En ook bij klantgegevens is dit een utopie, want bedrijven moeten opt-outs op een suppressielijst bijhouden.

Pleidooi: Privacy by default

Naast het recht om vergeten te worden, doen de aanwezige privacybobo’s meer suggesties. Iedereen pleit voor ‘privacy by design’: rekening houden met privacy bij het ontwerp van systemen. Een leuk woord voor bullshitbingo, maar inhoudelijk zegt het niet zoveel. Reding en Kohnstamm worden gelukkig concreet. Reding wil meer aandacht voor bewaartermijnen. Voor email zou dit kunnen betekenen dat toestemming aan een termijn gekoppeld wordt. Bijvoorbeeld drie jaar toestemming voor de Frankwatching nieuwsbrief. De privacytoezichthouders willen verder gaan dan Reding en de Europese Commissie. Bedrijven moeten meer verantwoording nemen. Daarom pleiten de toezichthouders voor privacy by default, bijvoorbeeld door browsers standaard op het weigeren van cookies te zetten. En willen zij een mogelijkheid tot class action (groepen consumenten) rechtzaken bij schendingen.

Cookies via de browser?

Met het veelgehoorde argument dat cookies geen persoonsgegevens zijn, wordt korte metten gemaakt. Volgens Reding is dit nonsens en vallen cookies gewoon onder de definitie. En al zou dit niet zo zijn, dan moet er een nieuwe definitie van pseudo-persoonsgegevens komen. Want de techniek wordt gebruikt om te segmenteren en kan daarmee inbreuk maken op privacy.

De EU is wel verdeeld over de vraag hoe je toestemming kunt krijgen voor het plaatsen van cookies. Alexander Alvaro, Privacy Rapporteur voor de Europese Commissie, legt in een recent interview nog uit dat het niet de bedoeling was van het Europees Parlement een opt-in voor cookies te introduceren. Ook Kroes pleitte recent voor “effectieve transparantie”, waar zij een rol zag weggelegd voor browserinstellingen. Echter, Europarlementariër Stavros Lambrinidis zegt dat browserinstellingen alleen niet voldoende zijn. Want mensen zijn dan niet voldoende geïnformeerd. Als de privacysettings van browsers default op privacy (=niet accepteren cookies) zouden staan, kan dit wel het geval zijn. Lambrinidis laat zich jammer genoeg niet uit over het in ad cookie icoon van mede panellid Yahoo. Want de Nederlandse industrie wil ook een dergelijke oplossing.

(G)één Europa

Wat de cookiediscussie laat zien is dat er geen sprake is van een gelijk Europees speelveld. Want landen interpreteren de Europese richtlijnen anders. En dat is een groot probleem, vinden alle aanwezigen. Eén van de doelstellingen van Europa is het bevorderen van de interne markt. Daarom pleit Reding voor harmonisatie en het verminderen van administratieve lasten. Het blijft vrij vaag hoe dit gaat gebeuren. Volgens Reding onder meer door strenger en effectiever toezicht. Ze stelt terecht dat er in de huidige privacywetgeving al bewaartermijnen en informatieplichten staan, maar dat niet alle organisaties zich hieraan houden. Daarom moeten toezichthouders meer middelen krijgen om te handhaven. En moet de wet zich meer richten op handhaving achteraf. Dit zou betekenen dat organisaties hun bestanden niet meer vooraf bij het CBP moeten melden, maar dat zij in het geval van klachten wel moeten aantonen dat zij volgens de wet handelen. Zou dit daadwerkelijk leiden tot minder kosten?

Een interessante opmerking komt van Peter Hustinx, van de Europese overkoepelende toezichthouder. Hij vindt namelijk dat de nieuwe privacyregels niet in een Richtlijn, maar in een Regulation zouden moeten. Die geldt zodra hij is aangenomen in Europa en hoeft niet geïmplementeerd te worden door lidstaten.

Lobbyen maar!

Privacy is hot! En Europa wil ermee aan de slag. Als branche volstaan we niet meer met een ‘opt-outje’, maar moeten we daarbij helder informeren en burgers controle geven over hun gegevens. Een logische gedachte in een digitaal tijdperk waar het verzamelen van gegevens steeds makkelijker wordt en waar door het koppelen van databases een steeds completer beeld van burgers ontstaat. Er zijn wel een aantal dingen die Europa lijkt te vergeten en waar we hen aan kunnen herinneren.

Het voorgaande geldt niet alleen voor het bedrijfsleven, maar zeker ook voor henzelf. Want onder het mom van terrorismebestrijding wordt door de overheid ook steeds meer bewaard en gekoppeld. Daarnaast bestaat er nu al hele goede wetgeving, die niet altijd nageleefd wordt. Handhaving is dus van groot belang. Ten derde is het bevorderen van de interne markt een belangrijke doelstelling. Alleen al om die reden moet men kijken naar de belangen van het bedrijfsleven bij het verwerken van persoonsgegevens. En tot slot moeten er werkbare regels komen. Geef de grenzen aan en benadruk transparantie. Dan gaan we privacyproof  de toekomst in!