Zo gaat de EU je privacy beschermen

Foto iStock

Veel mensen googelen zichzelf weleens. Even kijken of er geen rare dingen over jezelf op het internet staan. De hack bij overspelsite Ashley Madison maakte nog maar eens duidelijk wat er allemaal mis kan gaan. Door de computerinbraak werden 37 miljoen leden van de site online ontmaskerd als vreemdganger.

Nu staat niet iedereen ingeschreven bij een vreemdgangerssite, maar een hack bij Facebook die alle privéberichten openbaart, kan even grote gevolgen hebben. Leg aan je partner maar eens uit waarom je nog berichten stuurt naar je ex. Ook in andere databases wereldwijd ligt gevoelige informatie over je opgeslagen.

Belangrijk dus hoe bedrijven en overheden omgaan met die gegevens. De regels daarvoor stammen in Europa uit 1995, toen Google en Facebook nog niet bestonden en online daten in de kinderschoenen stond. Het komende halfjaar spreekt de EU nieuwe spelregels af. Morgen onderhandelen vertegenwoordigers van de EU-landen, het Europees Parlement en de Europese Commissie over een nieuwe ‘verordening gegevensbescherming’, die binnen drie jaar van kracht moet worden.

Hoe gaat deze wet je gegevens beter beschermen?

1. Meldplicht bij datalekken

Als een bank is gehackt, zou deze nu nog kunnen overwegen om de hack geheim te houden. Straks niet meer. In de nieuwe verordening staat een meldplicht als persoonsgegevens op straat dreigen te komen.

Vooruitlopend daarop kent Nederland zo’n meldplicht al vanaf 1 januari 2016. Maar deze bevat geen tijdslimiet, bekendmaking van het lek moet ‘onverwijld’ gebeuren. Volgens de meest recente Europese tekst moet een datalek binnen 72 uur openbaar gemaakt worden.

2. Het recht op vergetelheid

De Europese Commissie wil een vergaand recht voor burgers om informatie over zichzelf van het internet te laten verwijderen. Deels bestaat dit al. In de huidige, eveneens bindende, Europese richtlijn over bescherming van persoonsgegevens staat al het recht om gegevens te laten verwijderen als ze verouderd zijn, bijvoorbeeld uit de zoekmachine van Google.

Het is de vraag of de aankomende verordening verder gaat, zegt privacyonderzoeker Bart van der Sloot van de Universiteit van Amsterdam. Van der Sloot:

“Het Europees Parlement en de lidstaten zijn een stuk sceptischer dan de Europese Commissie. Het lijkt erop dat het oude recht uit de richtlijn misschien iets wordt uitgebreid en versterkt, maar dat er geen volledig recht komt om vergeten te worden.”

Een van de zorgen is dat zo’n vergeetrecht zich slecht verhoudt tot de rechten op vrijheid van meningsuiting en informatie.

3. Het recht op ‘dataportabiliteit’

“Het idee is dat gebruikers hiermee eenvoudig hun profiel van Facebook naar een ander sociaal platform kunnen overbrengen”, zegt privacyonderzoeker Van der Sloot.

In het voorstel van de lidstaten staat dat gebruikers alleen onder voorwaarden recht hebben op een kopie van hun persoonsgegevens. Een van de voorwaarden is dat daarbij geen persoonsgegevens van anderen worden vrijgegeven. Denk aan een foto op een sociaal netwerk waarop behalve jijzelf ook anderen staan. En overheidsdiensten hoeven er niet aan mee te werken.

4. Expliciete toestemming voor verzamelen persoonsgegevens

Wanneer je toestemming geeft voor het gebruik van je persoonsgegevens, kan dat door aanbieders van diensten worden gebruikt als wettelijke grond voor de verwerking daarvan. Daarom moet je telkens op ‘akkoord’ klikken wanneer websites cookies op je computer plaatsen. Straks moeten bedrijven kunnen aantonen dat ze die toestemming daadwerkelijk hebben gekregen. Al dat geklik op ‘akkoord’ moeten ze dus gaan vastleggen in een logboek.

5. Hogere boetes

Bedrijven en instellingen die privacy schenden, kunnen met de nieuwe wetgeving hogere boetes krijgen. Vooruitlopend op de EU-verordening kan het Nederlandse College Bescherming Persoonsgegevens (CBP) vanaf 1 januari 2016 al boetes opleggen tot 810.000 euro of 10 procent van de jaaromzet. Op dit moment kan het CBP nog helemaal geen boetes opleggen.

Hoe hoog de boetes in de EU-verordening worden, is nog niet bekend. Er wordt gesproken over bedragen tot een miljoen euro, of 2 procent van de wereldwijde omzet.

    • Wilmer Heck