Hoe gaat de EU je privacy beschermen?

In Brussel wordt gewerkt aan nieuwe privacywetgeving. Hoog tijd: de huidige regels stammen uit 1995. Dit zijn de belangrijkste veranderingen.

Veel mensen googelen zichzelf weleens. Even kijken of er geen rare dingen over jezelf op het internet staan. De hack bij overspelsite Ashley Madison maakte nog maar eens duidelijk wat er allemaal mis kan gaan. Door de computerinbraak werden 37 miljoen leden van de site online ontmaskerd als vreemdganger.

Nu staat niet iedereen ingeschreven bij een vreemdgangerssite, maar een hack bij Facebook die alle privéberichten openbaart kan even grote gevolgen hebben. Leg aan je partner maar eens uit waarom je nog berichten stuurt naar je ex. Ook in andere databases wereldwijd ligt gevoelige informatie over je opgeslagen.Belangrijk dus hoe bedrijven en overheden omgaan met die gegevens. De regels daarvoor stammen in Europa uit 1995, toen Google en Facebook nog niet bestonden en online daten in de kinderschoenen stond. Het komende half jaar spreekt de EU nieuwe spelregels af. Morgen onderhandelen vertegenwoordigers van de EU-landen, het Europees Parlement en de Europese Commissie over een nieuwe ‘verordening gegevensbescherming’, die binnen drie jaar van kracht moet worden.

Ze wegen daarbij de belangen af van burgers die privacy willen, maar ook gratis diensten op internet. Van bedrijven die gegevens over die burgers verzamelen en adverteerders daarmee gericht laten adverteren op websites die gratis ‘content’ aanbieden. En van overheden die alles van burgers willen weten om potentiële terroristen op te sporen.

De nieuwe verordening wordt in ieder EU-land van kracht en geldt voor ieder bedrijf dat persoonsgegevens (gegevens die herleidbaar zijn tot een persoon) verwerkt van burgers uit de EU. Facebook is nu nog in Ierland gevestigd omdat de privacywetgeving daar minder streng is, maar dat heeft straks dus geen zin meer.

Het is wel de vraag of Amerikaanse veiligheidsdiensten onder de nieuwe verordening minder makkelijk bij persoonsgegevens van Europeanen kunnen. De frustratie na de onthullingen door klokkenluider Edward Snowden over massale Amerikaanse spionage was een van de redenen dat Europa vaart zette achter de nieuwe verordening. De Europese regels voor bedrijven als Google en Facebook om gegevens van Europeanen over te dragen aan landen buiten de EU worden flink aangescherpt.

Maar op basis van de Amerikaanse Freedom Act zullen de VS ze bij Amerikaanse bedrijven blijven opeisen, zegt Lisette Meij van juridisch adviesbureau ICTRecht. „Dit blijft een doorn in het oog van de EU. Bedrijven kunnen in een situatie komen waarin ze een EU-boete riskeren als ze de gegevens verstrekken aan de Amerikanen en een Amerikaanse boete als ze dat weigeren”, zegt ze. Mocht het tot een rechtszaak komen, verwacht Meij dat een rechter in de VS de bedrijven op grond van de Freedom Act toch zal dwingen de Europese persoonsgegevens over te dragen aan de veiligheidsdiensten.

Op dat gebied lijkt er dus weinig te veranderen. Hoe gaat deze wet je gegevens wél beter beschermen?

1 Meldplicht bij datalekken

Stel dat je bank is gehackt, waarbij allerlei betalingsgegevens van je zijn buitgemaakt. Dan word je daarvan graag op de hoogte gesteld, zodat je maatregelen kan nemen – het overschrijven van geld naar een veilige rekening bijvoorbeeld.

Nu nog zou een bank kunnen overwegen zo’n hack geheim te houden, maar straks niet meer. De nieuwe verordening voorziet in een meldplicht zodra persoonsgegevens op straat dreigen te komen. Vooruitlopend daarop kent Nederland zo’n meldplicht al vanaf 1 januari 2016. Deze wordt later vervangen door de Europese plicht. Een van de verschillen is dat de Nederlandse meldplicht geen tijdslimiet kent, bekendmaking van het lek moet ‘onverwijld’ gebeuren, terwijl een datalek volgens de meest recente Europese tekst binnen 72 uur moet worden geopenbaard.

2 Het recht op vergetelheid

Dit was lange tijd een van de paradepaardjes van de nieuwe verordening. De Europese Commissie wilde een vergaand recht voor burgers om informatie over zichzelf van het internet te laten verwijderen.

Deels bestaat dit al. In de huidige, eveneens bindende, Europese richtlijn over bescherming van persoonsgegevens staat al het recht om gegevens te laten verwijderen als ze verouderd zijn. Op basis daarvan heeft het Europees Hof van Justitie besloten dat verouderde informatie over personen op verzoek moet worden verwijderd uit de zoekmachine van Google.

Het is de vraag of de aankomende verordening verder gaat, zegt privacyonderzoeker Bart van der Sloot van de Universiteit van Amsterdam. „Het Europees Parlement en de lidstaten zijn een stuk sceptischer dan de Europese Commissie. Het lijkt erop dat het oude recht uit de richtlijn misschien iets wordt uitgebreid en versterkt, maar dat er geen volledig recht komt om vergeten te worden”, zegt hij. Een van de zorgen is dat zo’n vergeetrecht zich slecht verhoudt tot de rechten op vrijheid van meningsuiting en informatie.

3 Het recht op ‘dataportabiliteit’

Dit nieuwe recht gaat niet zozeer over de bescherming van persoons- gegevens, als wel over gebruikersgemak en een poging om de macht van Facebook te breken. „Het idee is dat gebruikers hiermee eenvoudig hun profiel van Facebook naar een ander sociaal platform kunnen overbrengen”, zegt privacyonderzoeker Van der Sloot.

De Europese Commissie had in haar oorspronkelijke voorstel een vrij uitgebreid recht op dataportabiliteit opgenomen. Dit was gebaseerd op het recht op nummerportabiliteit bij telefonie. Het parlement zag onder druk van bedrijfslobbyisten minder in zo’n recht vanwege allerlei praktische bezwaren. In het voorstel van de Raad (de lidstaten) is voor een compromis gekozen dat gebruikers alleen onder voorwaarden het recht geeft op een kopie van hun persoonsgegevens.

Een van de voorwaarden is dat zo’n kopie alleen kan worden verstrekt als daarbij geen persoonsgegevens van anderen worden vrijgegeven. Denk aan een foto op een sociaal netwerk waarop behalve jijzelf ook anderen staan. Ook geldt het recht op dataportabiliteit niet bij ‘diensten van algemeen belang’: overheidsdiensten hoeven er niet aan mee te werken.

4 Expliciete toestemming voor verzamelen persoonsgegevens

Wanneer je toestemming geeft voor het gebruik van je persoonsgegevens, kan dat door aanbieders van diensten worden gebruikt als wettelijke grond voor de verwerking daarvan. Daarom moet je telkens op ‘akkoord’ klikken wanneer websites cookies op je computer plaatsen.

Straks moeten bedrijven kunnen aantonen dat ze die toestemming daadwerkelijk hebben gekregen. Al dat geklik op ‘akkoord’ moeten ze daarom gaan vastleggen in een logboek. De bewijslast voor het krijgen van de benodigde toestemming komt daarmee te liggen bij de aanbieder van de dienst.

5 Hogere boetes

Bedrijven en instellingen die pri-

vacy schenden, kunnen met de nieuwe wetgeving hogere boetes krijgen. Vooruitlopend op de EU-verordening kan het Nederlandse College Bescherming Persoonsgegevens (CBP) vanaf 1 januari 2016 al boetes opleggen tot 810.000 euro of 10 procent van de jaaromzet.

Op dit moment kan het CBP nog helemaal geen boetes opleggen. Alleen een ‘last onder dwangsom’, wat een soort voorwaardelijke boete is. Hoe hoog de boetes in de EU-verordening worden, is nog niet bekend. Er wordt gesproken over bedragen tot een miljoen euro, of 2 procent van de wereldwijde omzet.