Europese ministers verkwanselen databescherming en Nederland speelt dubieuze rol
Europa werkt al tijden aan nieuwe privacyregels. Recent gelekte teksten laten echter zien dat de lidstaten onder aanvoering van – met name – Duitsland de hardbevochten privacy ondermijnen. Het is opvallend dat juist Duitsland zo’n negatieve rol speelt, omdat het land altijd als privacyvoorbeeld wordt gezien. Maar ook Nederland holt onze bescherming uit.
Technologie dringt steeds verder door in ons dagelijks leven. Door Big Data en de Internet of Things verzamelt straks als het even kan zelfs je tandenborstel informatie over jou. Die kan dat dan weer delen met andere huishoudelijke apparatuur. De gegevens worden verzameld, geanalyseerd, opgeslagen en gebruikt door diverse instanties en bedrijven. Dat kan verstrekkende gevolgen hebben voor onze vrijheid en autonomie, dus het is heel belangrijk dat er goede waarborgen zijn om burgers te beschermen.
Nieuwe Europese privacywetgeving
Al sinds 2012 werkt Europa daarom aan nieuwe databeschermingswetgeving. Dit moet alle direct privacyregels in Europa gaan vervangen en komt dus in de plaats van de Wet bescherming persoonsgegevens. Het regelt meteen de belangrijkste principes van databescherming, inclusief de rechten die je als burger hebt en de plichten die op bedrijven (en overheden) rusten. Enorm belangrijk dus!
De Europese Commissie deed in 2012 haar voorstel en daarna heeft in 2014 het Europees Parlement met onze hulp een reeks amendementen ingediend die erop waren gericht een hoog beschermingsniveau in Europa waar te maken. Nu is de Raad van Ministers al een tijd aan zet. En net als bij netneutraliteit laten juist de vertegenwoordigers van de lidstaten zien dat zij niet het beste voor hebben met hun inwoners. De Raad is bezig het beschermingsniveau af te zwakken en dreigt nu zelfs onder het niveau van de Wet Bescherming Persoonsgegevens te komen. Al met al een slechte zaak dus!
De lidstaten ondermijnen databescherming en Nederland doet lekker mee
De website LobbyPlag heeft nu het proces in de Raad inzichtelijk gemaakt. De website was in eerste instantie opgericht om wetgeving transparanter te maken. Door lobbydocumenten te vergelijken met amendementen van Europarlementariërs liet de site in 2013 zien wiens belangen vertegenwoordigd worden in Brussel. De conclusie was toen heel duidelijk: de storm van de bedrijvenlobby verzwakte de Europese privacyregels.
Nu is de site terug om te laten zien hoe regeringsvertegenwoordigers handelen in de Raad. Door 11.000 Duitse diplomatieke documenten en gelekte EU-bestanden te analyseren, laten ze zien dat de regeringen voorstellen doen die ons beschermingsniveau omlaag halen. 132 van de 151 (87%) voorgestelde veranderingen zijn slecht voor onze privacy, terwijl 40 (26%) voorstellen ons zelfs nog slechter beschermen dan onze huidige wet. Nederland heeft 3 voorstellen gedaan die goed zijn voor onze privacy, maar 21 voorstellen die slecht zijn. En daarmee won voormalig minister Opstelten de zevende plek in de lijst met Europese bad guys. Op de website is ook de integrale tekst van de verordening te vinden, met de amendementen in de tekst per land. Onze nieuwe minister moet dus dringend de Nederlandse positie bijsturen.
De Raad houdt op haar eigen website bij waar overeenstemming is bereikt. Het is een langzaam proces van maanden onderhandelen waarbij steeds een nieuw hoofdstuk wordt afgehamerd. Op vrijdag 13 maart is de Raad het eens geworden over een nieuw onderdeel: de belangrijkste principes voor gegevensverwerking. Die documenten bevestigen het beeld geschetst door LobbyPlag. Onze privacy wordt op deze manier ontmanteld. Het is zaak dat de Raad meer onder druk wordt gezet.
Een aantal specifieke punten waarop de Raad onze privacy ontmantelt
Op LobbyPlag is een samenvatting te vinden van de pijnpunten, en onze Europese koepelorganisatie EDRI publiceerde een inhoudelijk rapport hierover, maar hier is de korte samenvatting:
Om gegevens over burgers te mogen verwerken is een grondslag nodig. Het mag bijvoorbeeld als een burger toestemming heeft gegeven of ter uitvoering van een contract. Daarnaast zijn er nog wat grondslagen die allemaal delen dat ze toestemming vereisen of noodzakelijk zijn bij het uitvoeren van de dienst. Een vage restbepaling voor gegevensverwerking is het ‘legitiem belang’ van een bedrijf. Die moet zo klein mogelijk blijven om burgers tegen verzamelwoede te beschermen.
Op het gebied van deze grondslagen probeert de Raad de positie van de burger nu te verzwakken. De belangrijkste voorwaarde voor verwerking zou toestemming van de burger moeten zijn, maar de Raad probeert juist de restbepaling te verruimen. Dit betekent dat bedrijven, zonder enige betrokkenheid van de burger, gegevens mogen verwerken voor belangen die buiten het oorspronkelijke doel van gegevensverwerking vallen. Volgens de laatste tekst, valt daar zelfs direct marketing onder! In die tekst wordt ook de toestemming afgezwakt. Waar de Commissie in eerste instantie toestemming probeerde te versterken door ‘expliciete’ toestemming te verplichten, is dat nu ‘unambiguous’. Daarnaast introduceert de tekst meer uitzonderingen, zoals een ‘overriding public interest’ om gegevens verwerking door de overheid toe te staan.
Daarnaast hebben burgers nog specifieke rechten. Ook daarin is de Raad aan het snoeien. Zo proberen ze de informatieplicht voor bedrijven af te zwakken en het makkelijker te maken voor bedrijven en overheden om profilering toe te passen.
De Raad wil het bovendien moeilijker maken voor belangenorganisatie om namens burgers aan te kloppen bij een toezichthouder zoals het College Bescherming Persoonsgegevens.
Daarnaast werd de wet zoals hij werd aangenomen door de Commissie en het Parlement oorspronkelijk toegejuicht omdat hij hoge boetes voor privacyschenders zou introduceren (tot 5% van de omzet!). Nu probeert de Raad die boetes lager te maken.
Nieuwe technologieën vragen juist om het proactief nadenken over veiligheid en privacy, maar in de nieuwe voorstellen wordt privacy by design en privacy by default afgezwakt. De Raad wil namelijk dat bedrijven zelf bepalen wanneer deze principes in de bedrijfsvoering worden toegepast, en het liefst is dat alleen bij procedures waarvan bedrijven zelf de inschatting maken of er een groot risico aan vast zit. Het is raar om die inschatting aan bedrijven over te laten, zij hebben er immers een overduidelijk belang bij om zich niet aan die principes te houden.