Nieuwe privacyregels: bescherming tegen Amerikaans datagraaien
Dr. Ot van Daalen
De Europese Commissie heeft de afgelopen twee jaar gewerkt aan de herziening van de Europese privacyregels. Een concept is onlangs uitgelekt. We zetten de belangrijke punten voor je op een rij.
Het stuk (PDF), 116 pagina’s lang, versie 56(!), beschrijft de Europese privacyregels in detail. Niet alles is even relevant voor de gemiddelde internetter, maar een paar voorstellen zijn dat zeker wel:
- Bescherming tegen Amerikaans datagraaien (art. 42). Een bedrijf dat persoonsgegevens in Europa verwerkt mag die persoonsgegevens niet afstaan op basis van een besluit van een rechter of een toezichthouder in een land buiten Europa. Dus: Google mag jouw Gmail-gegevens niet afstaan aan de Verenigde Staten op basis van de Patriot Act. Dit is een stevige bepaling die ongetwijfeld nog tot veel discussie zal leiden.
- Boetes (art. 79). Voor verschillende inbreuken op de privacyregels kunnen de boetes oplopen tot wel 5% van de wereldwijde jaarlijkse omzet van een bedrijf. Ter vergelijking: het College Bescherming Persoonsgegevens kan nu maximaal 4.500 Euro boete opleggen in een heel beperkt aantal gevallen.
- Een recht om vergeten te worden (art. 15). Dit gaat behoorlijk ver: het lijkt alsof een bedrijf dat gegevens ten onrechte publiceert ook moet zorgen dat die gegevens vervolgens van het hele internet verdwijnen. Het idee is in theorie aardig, maar aan de reikwijdte moet wel worden gesleuteld.
- Dataportabiliteit (art. 16). Je mag jouw gegevens opvragen bij een dienstverlener in elektronisch format, zodat je die vervolgens makkelijk bij een andere dienstverlener kan uploaden. Dus: je mag bij Facebook je gegevens opvragen om ze bij Google+ te importeren.
- Meldplicht datalekken (artt. 28 en 29). Bedrijven moeten datalekken melden aan een toezichthouder en aan de slachtoffers (als er een privacy-inbreuk is). “Waarschijnlijke” datalekken, dus wanneer een bedrijf vaststelt dat is ingebroken, maar niet zeker weet of er ook gegevens zijn gestolen, vallen niet onder de meldplicht.
- Veiligheid (art. 20 en 27). De Europese Commissie krijgt de bevoegdheid om nader uit te werken hoe systemen ontworpen en beveiligd zouden moeten worden volgens de beginselen van “privacy by design” en “privacy by default”.
Nota bene: dit is nog maar een concept, en er kan nog veel veranderen. Wat viel jou op?