Herrie in de Europese privacykeuken!
- 15 juni 2015
De regeringsvertegenwoordigers hebben vandaag een standpunt ingenomen over de nieuwe Europese privacywet. Helaas laat het flink te wensen over. Wij krijgen een vieze nasmaak van hetgeen achter de Brusselse schermen gebrouwen is.
De Brusselse worstenmachine
Otto von Bismarck zei ooit (19e eeuw!): “Met wetten is het als met worsten: je kunt maar beter niet zien hoe ze worden gemaakt.” Dat geldt zeker voor wetgeving uit Brussel.
De totstandkoming van de Europese privacywet is een extreem moeizaam proces van onderhandelingen. Een oerwoud van naar elkaar verwijzende overwegingen en artikelen, verspreid over 201 pagina’s. Stel je voor dat je je als beleidsmaker dus moet verdiepen in een aardige roman, waarbij elke zin potentieel consequenties heeft voor zo’n beetje elke belanghebbende in de samenleving, van burger tot bedrijf, van wetenschappelijk instituut tot overheid, van horecaondernemer tot vervoerbedrijf, van bank tot verzekeraar. Bijna iedereen verwerkt gegevens en hun belangen moeten allemaal tegen elkaar worden afgewogen. Elke zin kan aangepast worden en elke aanpassing heeft consequenties.
Het Parlement kreeg daarom even bedenktijd na het Europese Commissievoorstel in 2012. Na het doorspitten van bergen amendementen nam het Parlement uiteindelijk een positie aan die relatief positief uitviel voor de Europese burger. Daarna was de Raad aan zet. Dat was een nog moeizamer proces. Het werd een uitruil tussen onderwerpen en artikelen binnen hoofdstukken en een uitruil tussen bepalingen uit verschillende hoofdstukken. Een wirwar die lastig te volgen blijft.
Smaakt de worst uiteindelijk?
Het eindresultaat van de Raad is er dan ook niet naar. We hebben een duidelijke privacywet nodig, maar de vraag is hoe we kunnen verwachten dat gewone internetgebruikers of kleine bedrijven nog chocola (of worst) kunnen maken van deze tekst, zonder dat ze daarvoor een advocaat moeten inhuren.
Ook was het de bedoeling dat de tekst alle privacywetgeving in Europa zou harmoniseren (gelijk trekken). De huidige tekst heeft echter 35(!) uitzonderingen die de lidstaten zelf kunnen invullen.
Daarnaast moest deze wet nieuwe bescherming mogelijk maken in verband met technologische innovaties als big data en de internet of things. De Raad haar oor vooral heeft laten hangen naar de belangen van het bedrijfsleven. Doordat er niet is ingegrepen, is de tekst bij vlagen zwaar onvoldoende om burgers te beschermen.
Een greep uit onze bezwaren:
Als de Europese privacywet een worst is, is het gebrek aan doelbinding de Salmonella die de internetgebruiker ziek gaat maken. Doelbinding beschermt dat als jouw gegevens worden verzameld voor een bepaald doel, ze niet verder mogen worden verwerkt voor een ander doel. Je deelt jouw gevoelige medische informatie met je dokter in de wetenschap dat hij het niet op Facebook zet of met iemand anders deelt. In de huidige tekst komen hier uitzonderingen op. Zo kan een bedrijf gegevens nu gewoon verder verwerken voor “archief”, “statistische” of “wetenschappelijke” doeleinden. Doet Facebook niet ook af en toe wetenschap? Ook laat de wet verdere verwerking toe voor een ander doel als het bedrijfsbelang zwaarder weegt dan het privacybelang van de burger. Dat is niet zomaar controversieel, het haalt alle andere waarborgen onderuit. Hoe weet je wanneer je gegevens verder worden verwerkt? Hoe kan je je daar tegen verzetten? Verderop staat dat protest hiertegen mogelijk moet zijn, maar hoe hou je daar toezicht op? Het is nu al niet mogelijk om goed toezicht te houden op alle cookies, volgtechnieken en internetbedrijven. Krijgen we straks een extra pop-up als de gegevens die je met Facebook hebt gedeeld, worden opgevraagd door een bank?
Onze huidige wet kent dataminimalisatie: alleen datgene wat echt nodig is, moet worden opgeslagen. Onder deze nieuwe mag straks meer, als het maar niet te gek (“non-excessive”) wordt. Ook dat is kwalijk. Want waar ligt de grens dan precies?
Daarnaast wordt ook bijvoorbeeld profilering veel makkelijker. Hoewel de oorspronkelijke tekst het mogelijk maakte je ten alle tijde te kunnen verzetten tegen profilering, wordt dat nu veel moeilijker maakt.
En de lijst gaat door. Het wordt makkelijker voor bedrijven om een gerechtvaardigd belang te claimen voor verwerking, handhaving wordt minder uitgebreid dan in de Parlementstekst, er staan geen duidelijke waarborgen in tegen het delen van data met derde landen, en waarborgen als privacy by design en by default worden ook afgezwakt. Om nog maar te zwijgen over de brede uitzonderingsbepalingen die in het leven zijn geroepen voor overheidsdiensten (lees: de Belastingdienst, voor het UWV, etc.).
De keuringsdienst gaat aan de slag!
Wij spugen zo’n worst uit natuurlijk. Gelukkig is het nog niet voorbij. Nu begint de Europese trialoog: een proces van maandenlang onderhandelen tussen de regeringsvertegenwoordigers en het Europees Parlement om tot één tekst te komen. Vanaf eind juni (zie hier voor agenda) gaan ze per onderwerp met elkaar onderhandelen. In juli gaat dat over onderwerpen als internationale data transfers (niet onbelangrijk – gaan ze in de VS goed met onze gegevens om?) en in september over belangrijke principes en de rechten die je als burger hebt. We zullen alles op alles zetten om dit de goede kant op te sturen. Daarvoor zullen we vermoedelijk ook aan jullie bel rinkelen.