Bovendien dreigt de ambitieuze hervorming haar doel voorbij te schieten en Europese bedrijven met administratieve rompslomp, torenhoge boetes en juridische chaos op te zadelen.

De venijnige kleine lettertjes in een contract keerden zich enkele weken geleden tegen BNP Paribas Foris. Eind vorig jaar paste de bank haar algemene bankvoorwaarden aan, waardoor ze postadressen en andere klantengegevens ter beschikking mag stellen aan handelspartners, in de praktijk hoofdzakelijk kaartbedrijven. Eigenlijk gaat het om relatief ongevaarlijke praktijken.

De manier waarop klanten toestemming moesten geven, is evenwel niet zo onschuldig. Eigenlijk moet de bank via een apart formulier toestemming vragen als ze die informatie wil doorgeven, de toestemming mag niet gekoppeld zijn aan de algemene voorwaarden. Zo is het veel duidelijker voor klanten dat de bank hun gegevens met derden deelt en dat ze dat kunnen weigeren. "Er zullen meer gelijkaardige dossiers opduiken", voorspelt Willem Debeuckelaere, de voorzitter van de Privacycommisie. Hij voert overigens een onderzoek naar de praktijken van Fortis. "Bedrijven zullen hier ook meer de regels met de voeten treden. Ze zien dat Google, Facebook en andere grote technologiebedrijven ook niet transparant zijn, dat zij de bakens almaar verder verzetten en daar ook mee wegkomen."

Felle strijd

De onmacht tegenover die multinationals is een van de voornaamst de voornaamste drijfveren van Europees Commissaris van Justitie Viviane Reding om samen met Europees Parlement een ambitieuze hervorming op te starten. Die moet de richtlijn van 1995 vervangen, die de basis vormt van de privacywetten in de lidstaten. Bedrijven die persoonsgegevens verwerken, moeten daarom aan nieuwe regels voldoen. In sommige gevallen betekent dat privacy-audits. Er komt ook een meldingsplicht voor datalekken, zodat consumenten sneller op de hoogte worden gebracht van mogelijk misbruik van hun gegevens. Bij zware inbreuken of nalatigheid krijgen bedrijven zware administratieve boetes die kunnen oplopen tot 100 miljoen euro of 5 procent van hun globale jaaromzet, afhankelijk van welke van die twee mogelijkheden het hoogst uitvalt. Multinationals kijken daardoor tegen miljardenboetes aan als ze de Europese regels negeren.

Bovendien hanteert Europa een ruime definitie van persoonsgegevens. Het gaat om alle informatie waardoor personen rechtstreeks of onrechtstreeks te identificeren zijn. Een postcode, geslacht en leeftijd is soms al voldoende om mensen te traceren in een databank met ogenschijnlijk anonieme gegevens.
Daartegenover staat dat de aangifteplicht verdwijnt voor wie persoonsgegevens verwerkt. Andere maatregelen moeten voor een uniforme en efficiëntere aanpak zorgen in de EU. Daardoor wordt het makkelijker in andere lidstaten activiteiten te hebben. De belangrijkste verandering is dat bedrijven enkel nog verantwoording moeten afleggen aan de privacy-autoriteit van het land waar hun Europees hoofdkwartier is gevestigd. Die moet dan ook de dossiers uit de andere lidstaten onderzoeken. Dat 'one-stop-shop'-principe heeft controversiële implicaties. Door zijn met een voordelige belastingklimaat zijn veel Europese hoofdzetels van Amerikaanse techbedrijven in Ierland gevestigd. Zij tellen samen meer dan een miljard gebruikers. De Ierse privacy-autoriteit zal met zijn budget van 2 miljoen euro en dertig ambtenaren wellicht de grootste verantwoordelijkheid van alle autoriteiten moeten dragen.

Legislatieve lijdensweg

Twee jaar na een eerste aanzet door Reding staan de meeste principes nog overeind. Twee weken geleden keurde het Europees Parlement met een overweldigende meerderheid een voorstel goed met bovenstaande krijtlijnen als rode draad. Omstreden is wel dat het om een verordening gaat, wat veel dwingender is dan een richtlijn. Bij een richtlijn hebben lidstaten nog de vrijheid en de tijd om te kiezen hoe ze de regels toepassen. Nu moet alles al zo veel mogelijk gepreciseerd worden in de verordening. Het wordt nog een helser karwei omdat de regels bovendien dezelfde moeten zijn in de 28 lidstaten, die er andere gebruiken, belangen en opvattingen op nahouden. Er zijn veel gevallen waar de verordening water en vuur moet verzoenen.

Daarnaast moeten de ministers van Justitie van de lidstaten nog tot een compromis komen. Dat wordt ook een aartsmoeilijke klus aangezien zij beslissingen nemen met een gekwalificeerde meerderheid van stemmen, wat er in de praktijk op neerkomt dat ze zo goed als unaniem moeten beslissen. Peter Hustinx is als Europees Toezichthouder voor gegevensbescherming betrokken bij de onderhandelingen en klinkt niettemin optimistisch: "Deze hervorming is broodnodig. Alle partijen zijn daarvan overtuigd en ze zijn het eens over 80 procent van het dossier. De laatste loodjes wegen gewoon het zwaarst. De ministers van Justitie zullen wellicht op een top in juni, na de verkiezingen, tot een akkoord komen. Daar werkt het Griekse voorzitterschap hard aan." Na dat karwei moet het akkoord ook nog worden verzoend met het voorstel van het Parlement, wat nog eens jaren in beslag kan nemen.

Bovendien dreigt de ambitieuze hervorming haar doel voorbij te schieten en Europese bedrijven met administratieve rompslomp, torenhoge boetes en juridische chaos op te zadelen. De venijnige kleine lettertjes in een contract keerden zich enkele weken geleden tegen BNP Paribas Foris. Eind vorig jaar paste de bank haar algemene bankvoorwaarden aan, waardoor ze postadressen en andere klantengegevens ter beschikking mag stellen aan handelspartners, in de praktijk hoofdzakelijk kaartbedrijven. Eigenlijk gaat het om relatief ongevaarlijke praktijken. De manier waarop klanten toestemming moesten geven, is evenwel niet zo onschuldig. Eigenlijk moet de bank via een apart formulier toestemming vragen als ze die informatie wil doorgeven, de toestemming mag niet gekoppeld zijn aan de algemene voorwaarden. Zo is het veel duidelijker voor klanten dat de bank hun gegevens met derden deelt en dat ze dat kunnen weigeren. "Er zullen meer gelijkaardige dossiers opduiken", voorspelt Willem Debeuckelaere, de voorzitter van de Privacycommisie. Hij voert overigens een onderzoek naar de praktijken van Fortis. "Bedrijven zullen hier ook meer de regels met de voeten treden. Ze zien dat Google, Facebook en andere grote technologiebedrijven ook niet transparant zijn, dat zij de bakens almaar verder verzetten en daar ook mee wegkomen." Felle strijdDe onmacht tegenover die multinationals is een van de voornaamst de voornaamste drijfveren van Europees Commissaris van Justitie Viviane Reding om samen met Europees Parlement een ambitieuze hervorming op te starten. Die moet de richtlijn van 1995 vervangen, die de basis vormt van de privacywetten in de lidstaten. Bedrijven die persoonsgegevens verwerken, moeten daarom aan nieuwe regels voldoen. In sommige gevallen betekent dat privacy-audits. Er komt ook een meldingsplicht voor datalekken, zodat consumenten sneller op de hoogte worden gebracht van mogelijk misbruik van hun gegevens. Bij zware inbreuken of nalatigheid krijgen bedrijven zware administratieve boetes die kunnen oplopen tot 100 miljoen euro of 5 procent van hun globale jaaromzet, afhankelijk van welke van die twee mogelijkheden het hoogst uitvalt. Multinationals kijken daardoor tegen miljardenboetes aan als ze de Europese regels negeren.Bovendien hanteert Europa een ruime definitie van persoonsgegevens. Het gaat om alle informatie waardoor personen rechtstreeks of onrechtstreeks te identificeren zijn. Een postcode, geslacht en leeftijd is soms al voldoende om mensen te traceren in een databank met ogenschijnlijk anonieme gegevens. Daartegenover staat dat de aangifteplicht verdwijnt voor wie persoonsgegevens verwerkt. Andere maatregelen moeten voor een uniforme en efficiëntere aanpak zorgen in de EU. Daardoor wordt het makkelijker in andere lidstaten activiteiten te hebben. De belangrijkste verandering is dat bedrijven enkel nog verantwoording moeten afleggen aan de privacy-autoriteit van het land waar hun Europees hoofdkwartier is gevestigd. Die moet dan ook de dossiers uit de andere lidstaten onderzoeken. Dat 'one-stop-shop'-principe heeft controversiële implicaties. Door zijn met een voordelige belastingklimaat zijn veel Europese hoofdzetels van Amerikaanse techbedrijven in Ierland gevestigd. Zij tellen samen meer dan een miljard gebruikers. De Ierse privacy-autoriteit zal met zijn budget van 2 miljoen euro en dertig ambtenaren wellicht de grootste verantwoordelijkheid van alle autoriteiten moeten dragen. Legislatieve lijdenswegTwee jaar na een eerste aanzet door Reding staan de meeste principes nog overeind. Twee weken geleden keurde het Europees Parlement met een overweldigende meerderheid een voorstel goed met bovenstaande krijtlijnen als rode draad. Omstreden is wel dat het om een verordening gaat, wat veel dwingender is dan een richtlijn. Bij een richtlijn hebben lidstaten nog de vrijheid en de tijd om te kiezen hoe ze de regels toepassen. Nu moet alles al zo veel mogelijk gepreciseerd worden in de verordening. Het wordt nog een helser karwei omdat de regels bovendien dezelfde moeten zijn in de 28 lidstaten, die er andere gebruiken, belangen en opvattingen op nahouden. Er zijn veel gevallen waar de verordening water en vuur moet verzoenen. Daarnaast moeten de ministers van Justitie van de lidstaten nog tot een compromis komen. Dat wordt ook een aartsmoeilijke klus aangezien zij beslissingen nemen met een gekwalificeerde meerderheid van stemmen, wat er in de praktijk op neerkomt dat ze zo goed als unaniem moeten beslissen. Peter Hustinx is als Europees Toezichthouder voor gegevensbescherming betrokken bij de onderhandelingen en klinkt niettemin optimistisch: "Deze hervorming is broodnodig. Alle partijen zijn daarvan overtuigd en ze zijn het eens over 80 procent van het dossier. De laatste loodjes wegen gewoon het zwaarst. De ministers van Justitie zullen wellicht op een top in juni, na de verkiezingen, tot een akkoord komen. Daar werkt het Griekse voorzitterschap hard aan." Na dat karwei moet het akkoord ook nog worden verzoend met het voorstel van het Parlement, wat nog eens jaren in beslag kan nemen.