De lobby-tomie 2: waar ging het over?
- 21 november 2015
Hoe denken bedrijven nou écht over privacybescherming? Publiekelijk vindt iedereen privacy natuurlijk belangrijk, maar vinden ze dat achter de schermen ook? In het tweede blog over de privacylobby gaan we het over de algemene inhoud hebben. Wat waren de hete hangijzers tijdens de lobby en ging men overwegend goed om met privacybescherming?
De nieuwe Europese privacywet is het meest belobbiede stuk wetgeving in Europa tot dusver, omdat het onderwerp zo belangrijk is en zo’n beetje elk deel van ons dagelijks leven raakt. Daarom hebben wij om openbaarmaking gevraagd van alle lobbydocumenten die de Nederlandse regering ontving over deze wet. De komende dagen publiceren we die documenten met onze analyse in een serie blogs. Wie lobbyen? Wat willen ze? Wat betekent dat voor jou? Klik voor de andere posts hier. Klik hier voor alle lobbydocumenten. Deze serie blogs is ook samengevoegd in een rapport.
Men wil minder databescherming
Als we de lobbybrieven lezen valt op dat er helaas maar drie (van de meer dan honderdvijftig) voor méér databescherming zijn. Daarvan zijn er twee van ons. Één is van de Europese consumentenbond. Dat is alvast weinig.
Een derde van de brieven hebben wij als uitgesproken slecht voor databescherming beoordeeld. Dat betekent dat organisaties minder verplichtingen willen, en meer verwerking mogelijk of makkelijker willen maken.
Kijk, bijna tweehonderd lobbydocumenten beoordelen op hun inhoud is geen exacte wetenschap. Veel preciezer vast stellen dan “meer” of “minder” databescherming wordt het helaas niet. Toch ontstaat in grote lijnen een zorgelijk beeld. Hoe zit het met de meer specifieke bepalingen?
Hete hangijzers
Verreweg het meest werd gelobbied over de verplichtingen voor verantwoordelijke en verwerker. Met andere woorden: wat moeten bedrijven en organisaties allemaal doen om te zorgen dat ze gegevens op een zo veilige manier verwerken? De nieuwe wet bepaalt bijvoorbeeld dat grote bedrijven en organisaties in de publieke sector een ‘data protection officer’ (‘een functionaris voor de gegevensbescherming’) moeten hebben. Deze persoon zorgt dat het bedrijf zich aan de privacywet houdt, controleert de gegevensverwerking en is een contactpunt voor de privacytoezichthouder. Veel bedrijven geven echter aan dat ze dat een dure verplichting vinden. Thuiswinkel bijvoorbeeld vindt de kosten “niet te overzien” (zie VJ 34.pdf). De Europese horeca zegt dat het duur is en dat het alternatief, interne medewerkers het te laten doen, slechte bescherming biedt. (PV 6.pdf). Zij zijn er niet blij mee.
Vervelende verplichtingen
Van alles werd het meest gelobbied op de verplichting om een ‘privacyeffectbeoordeling’ te doen voordat je aan gevoelige gegevensverwerking begint. Dan ga je dus van te voren kijken wat de risico’s zijn en hoe je die het beste kan indammen. Niet iedereen is daar blij mee. De hotelbranche zegt bijvoorbeeld dat je zelf wel moet kunnen bepalen of je zo’n assessment wilt doen. Banken zijn er ook niet blij mee (PV 17.pdf). Ook Digital Europe (een organisatie die digitale bedrijven vertegenwoordigt) vindt het bijvoorbeeld “problematisch” (PV 35.pdf).
De teneur is in de lobbybrieven dat bedrijven toch liever zelf bepalen of ze aan die verplichtingen willen voldoen of liever gewoon minder verplichtingen zien. Daarnaast wordt gevraagd om rekening te houden met de risico’s van de gegevensverwerking. Daarover meer in een later blog.
‘Grondslagen voor verwerking’
Daarna is er het meest gelobbied over wanneer je nou gegevens mag opslaan en verwerken en wie dat mag doen. Reclamebedrijven, verzekeraars, banken, media: iedereen vindt dat het makkelijker moet kunnen. De Nederlandse Uitgeversbond vindt bijvoorbeeld dat je als derde partij gewoon gegevens moet kunnen gebruiken voor een ander doel dan waar ze voor verzameld zijn, als je daar een gerechtvaardigd belang bij hebt. (VJ 54.pdf). Dat is een kwalijke ondermijning van de rest van de verordening: hoe kan je er als burger nog van op aan dat je gegevens beschermd zijn als je niet weet wie er als derde partij voor een ander doel gewoon met die gegevens van door kan gaan?
Definities
Er is verder veel gelobbied over definities. Wat is persoonlijke data? Wat valt er allemaal onder de wet? In het begin van de wet wordt bepaald waar het allemaal over gaat en wat elk woord betekent. Zo werkt dat in juristenland. Je kan dus als lobbyist veel invloed hebben door bepaalde woorden op een bepaalde manier uit te leggen. Veel partijen willen bijvoorbeeld het woord ‘uitdrukkelijk’ in hun voordeel uitleggen. Dat verbaast niet, omdat de wet soms zegt dat je voor bepaalde vormen van gegevens verwerking ‘uitdrukkelijke toestemming’ nodig is. Tele2 wil dat voor toestemming niet per sé een positieve actie nodig is of een statement (met andere woorden: doorsurfen in plaats van aanklikken geef je toestemming). (PV 79.pdf)
Het vervolg
Wil je het zelf allemaal nalezen? Als je hier klikt vindt je de lobbydocumenten en kan je zelf de inhoud nalezen. Je ziet ook de lijst me lobbyende partijen. Wat voor partijen lobbyen nou precies? Dat lees je op het volgende blog.