Europese Privacy Richtlijn – strengere online privacyregels?

0

Viviane Reding, Eurocommissaris justitie, fundamentele rechten en burgerschap, geeft tijdens het Europese Privacy Platform in Brussel aan hoe zij de Europese Privacy Richtlijn gaat aanpassen. Belangrijk, want dit is de ‘moeder’ van de Wet Bescherming Persoonsgegevens (WBP) en raakt ons allemaal. Kunnen we straks nog bellen en direct mail versturen zonder toestemming? Hoe kunnen we straks online gegevens verzamelen? En hoe zit het met de sociale netwerken?

Controle over eigen gegevens

Reding is duidelijk over haar bedoelingen: burgers moeten informatie over en controle op hun (online) gegevens krijgen. Zij wil dit op de volgende manieren bereiken:

  1. Het recht om vergeten te worden
    Reding wil ‘the right to be forgotten’ introduceren. Het moet voor burgers veel makkelijker worden om eerder verstrekte toestemming in te trekken. Als organisaties menen dat zij desondanks gegevens moeten verwerken om welke reden dan ook, moeten zij de rechter hiervan overtuigen.
  2. Transparantie (bij social media)
    Organisaties moeten burgers informeren welke gegevens zij vastleggen, waarom zij dit doen, aan wie ze de gegevens doorgeven en hoe iemand hier bezwaar tegen kan maken. Deze informatie moet duidelijk zichtbaar zijn. Alleen een linkje naar de Algemene Voorwaarden volstaat niet. Daarbij wil Reding extra verplichtingen voor sociale netwerken, waarin staat welke informatie zij moeten geven als iemand zich registreert. Het feit dat het grootste sociale netwerk zich buiten de EU grenzen bevindt, lijkt Reding niet te deren: “US based social networks with millions of EU users, must comply with EU rules. Privacy Watch Dogs will get the means to enforce this legislation cross border.”
  3. Privacy by default
    Een tijdje terug sprak Reding nog over ‘privacy by design’, maar ze lijkt nu de koers van de Privacy Toezichthouders te volgen en heeft het over ‘privacy by default’. In de ogen van de toezichthouders bereik je dit bijvoorbeeld door browsers standaard op het weigeren van cookies te zetten. Wat Reding ermee bedoelt, wordt niet helemaal duidelijk. Ze geeft aan dat het principe zou kunnen helpen bij overtredingen. Als een organisatie meer gegevens verzamelt dan nodig is of die gegevens ook voor iets anders gebruikt, kan je op grond van dit principe straffen opleggen.
  4. Reikwijdte – symboolpolitiek?
    De Commissie wil dat alle Europese burgers aanspraak kunnen maken op de privacyregels die Brussel opstelt, ongeacht waar vandaan gegevens verzameld worden. Een server kan dus in Brazilië staan, maar als vanuit die server Europese burgers benaderd worden, geldt het Europese recht. Een mooi principe – een logisch principe, maar ook een lastig uitvoerbaar principe. Zeker als je nagaat dat in de afgelopen decennia privacy toezichthouders slechts 2 keer grensoverschrijdend een boete hebben uitgedeeld.

De status van ip-adressen en cookies

Het veelgehoorde argument dat cookies en ip-adressen geen persoonsgegevens zijn, lijkt toch echt niet meer op te gaan. Reding geeft nogmaals aan dat deze data wat haar betreft onder de definitie van een persoonsgegeven vallen. De techniek wordt immers gebruikt om te segmenteren en kan daarmee inbreuk maken op privacy. Hetzelfde geldt overigens voor geodata.

Ook interessant: wat niet gezegd werd

Ondanks 2 vragen in de richting, werd het onderwerp ‘verwerkingsgronden’ zorgvuldig gemeden. Momenteel staan er in de wet redenen waarom je persoonsgegevens mag verwerken. Bijvoorbeeld om een overeenkomst uit te voeren of als je toestemming hebt. Een andere reden is het gerechtvaardigd ondernemersbelang. Een ondernemer heeft er economisch belang bij reclame te maken voor zijn producten. Daarom mag hij zonder toestemming bepaalde persoonsgegevens verzamelen om bijvoord reclame te sturen per post of te bellen met een aanbieding. Vooralsnog blijft het onduidelijk of de Commissie hier iets aan wil veranderen.

En nu?

In de komende maanden presenteert de Europese Commissie een eerste tekstversie van de herziene Richtlijn. Brancheorganisaties (als DDMA) zijn nu al druk aan het lobbyen om te voorkomen dat hier straks al te schadelijke bepalingen inkomen. Na de publicatie kunnen alle partijen wederom input leveren en lobbyen. Dit kan leiden tot een nieuwe herziening. Het uiteindelijke document zal vervolgens goedgekeurd moeten worden door het Europees Parlement. Tot slot moet bepaald worden wanneer de nieuwe regels in werking treden. Vooralsnog schatten we in dat het hele proces nog wel eens 4 jaar kan gaan duren.