Drie gaten in nieuwe EU privacywet
- 12 maart 2014
De stemming in Brussel is vandaag opgetogen; de zon schijnt er eindelijk eens, en het Europees Parlement heeft vandaag gestemd vóór nieuwe privacyregels voor Europa. Een groot succes, zo wordt er geclaimd. Maar worden burgers er echt zo veel beter van?
Vooruit, eerst het goede nieuws. Het parlement heeft zich voorstander verklaard van een nieuwe Europese privacywet voor heel Europa. Bedrijven en overheden die zich er niet aan houden kunnen hele hoge boetes krijgen. Helaas, het slechte nieuws is dat er nogal veel gaten in deze wet zitten. Dit zijn de drie grootste.
Achtergronden over deze wet vind je op onze privacydossierpagina. Of lees de 57-seconden samenvatting.
1. Slechtere regels voor pseudonieme gegevens. Vorig jaar riepen wij (en anderen) het al: pseudonieme gegevens verdienen precies dezelfde bescherming als alle andere gegevens die over jou gaan. Helaas is er niet goed naar ons geluisterd en wordt het voor bedrijven straks makkelijker om jouw gegevens zonder jouw toestemming te gebruiken – bijvoorbeeld om een profiel over je aan te leggen – wanneer ze daarbij gebruik maken van pseudoniemen, en direct identificerende gegevens (zoals je naam) uit een dataset verwijderen. Dit zet de deur wagenwijd open voor tracking en profilering.
2. Profileren van burgers wordt makkelijker. De Europese Commissie heeft voorgesteld om het profileren van burgers aan banden te leggen. Het Europees Parlement heeft dat voorstel vervolgens vakkundig uitgekleed door allerlei uitzonderingen aan te nemen. Gevolg: bedrijven mogen je straks in kaart brengen zonder je toestemming, zolang ze daarvoor pseudonieme gegevens (yep) gebruiken. Dat betekent dat het voor een bank als ING veel makkelijker kan worden om haar klantendatabase te analyseren en klanten te profileren op basis van inkomen en gedrag. Ze kan dan bijvoorbeeld eerst het totale bestand pseudonymiseren en vervolgens alleen de opt-in klanten benaderen met aanbiedingen. Een slechte start voor betere regels over big data dus.
3. Unsafe Harbor bestaat nog steeds. Safe Harbor, het mechanisme waarbij bedrijven in de VS zelf mogen beloven dat ze data van Europeanen goed zullen beschermen, kan blijven bestaan. Vandaag stemde het Parlement ook over een resolutie naar aanleiding van de NSA surveillance. Daarin staat wel dat Safe Harbor moet worden ingetrokken, dus het valt te hopen dat de Europese Commissie daar gehoor aan zal geven. Maar het was nog beter geweest als bedenkingen tegen dit falende zelfcertificeringsmechanisme in de nieuwe privacywet terecht waren gekomen.
Hoe nu verder?
De Europese Raad van Ministers (de Raad) gaat in juni haar positie over dit onderwerp bepalen. Dat geeft een klein beetje ruimte voor wijzigingen, maar niet erg veel. Het valt te verwachten dat de definitieve tekst daarna snel zal kunnen worden aangenomen door de Europese Commissie, het Parlement en de Raad. Het is te vroeg om over details van die tekst te speculeren, maar het valt niet te verwachten dat alle bovenstaande punten nog zullen worden opgelost.