Hoe publiek is privacy?

Kan de Europese wetgeving over de bescherming van de persoonlijke levenssfeer de elektronische handel stokken in de wielen steken? Ja, zegt David Aaron, de Amerikaanse ondersecretaris voor Handel. Hij hoopt in juni een compromis met de Commissie te vinden.

De Amerikaanse bedrijven met vestigingen in Europa zijn bang dat ze niet langer gegevens over hun klanten naar de VS zullen kunnen sturen. Dat zou dan een gevolg zijn van de richtlijn over de gegevensverwerking en de bescherming van de persoonlijke levenssfeer, die in oktober 1995 werd goedgekeurd en uiterlijk in oktober 1998 in alle lidstaten van kracht werd. De richtlijn verbiedt de overdracht van informatie naar landen die over onvoldoende bescherming beschikken. De Verenigde Staten verkiest echter zelfregulering boven meer formele controlemechanismen, die de Amerikanen te duur vinden voor de bedrijven. In juni hopen de Amerikaanse autoriteiten een compromis met de Europese Commissie te bereiken.

TRENDS. Is het niet normaal dat de Europese Unie het privé-leven van haar burgers wil beschermen?

DAVID AARON (VS-ONDERSECRETARIS VOOR HANDEL). Over de objectieven zijn wij het eens. De vraag is hoe we dat kunnen bereiken. Europa kiest voor een erg gecentraliseerde aanpak, waarbij in de verschillende landen overheden worden geschapen die op basis van de richtlijn beslissen wat uw rechten zijn. De Europese regels zijn echter buitengewoon zwaar voor de bedrijven en bieden geen betere bescherming van het privé-leven van het individu. Een voorbeeld: onder de richtlijn kan iemand een bedrijf aanschrijven en alle informatie opeisen die het over hem bezit; het bedrijf moet op dat verzoek ingaan en dus alle dossiers op zijn verschillende computers uitpluizen, zonder rekening te houden met de locatie. Uiteindelijk levert dit informatie op over het merk van producten dat de persoon koopt, over zijn lievelingskleur of de trui die hij zich net heeft aangeschaft. Dat is de geest van de Europese richtlijn. Wij stellen een andere benadering voor.

In welke richting zoekt u een oplossing?

Wij willen een reeks principes en praktijken voorzien. Als een Amerikaans bedrijf die toepast, moeten de Europese Unie en de nationale overheden accepteren dat dat bedrijf over een beveiliging beschikt en dat de in Europa verzamelde gegevens naar de Verenigde Staten mogen worden gestuurd. De onderhandelingen met de Europese Unie vertrekken van die basis.

De Verenigde Staten pleit voor het systeem van de “safe harbor” (veilige haven). Wat houdt dat in?

Bedrijven die deel willen uitmaken van een safe harbor moeten zich aan zeven principes houden. Het eerste is de meldplicht. De mensen moeten weten dat er informatie over hen is verzameld én waarvoor die zal worden gebruikt. Ten tweede is er de keuze: iedereen moet kunnen beslissen of er wel of niet informatie over hem wordt verzameld. Ten derde, een redelijke mogelijkheid om te weten welke informatie een bedrijf over u bezit. Regel nummer vier geldt voor de transfer: de betrokkene moet zijn toestemming geven voor zijn gegevens aan derden worden doorgespeeld. Dat zijn enkele elementen.

Volgens de Europese Commissie zijn er onvoldoende precieze voorschriften om de consument toegang te geven tot de informatie die een bedrijf over hem bezit.

O, jawel. In de sector van de financiële diensten kunnen de klanten de informatie over hun kredietgeschiedenis raadplegen, tot en met de beoordelingen van hun kredietwaardigheid. Die informatie moet toegankelijk zijn. Dat staat in de wet. Momenteel kunnen mensen ook toegang krijgen tot hun medisch dossier. De Europese Unie staart zich echter blind op de reclamepost. Europa eist dat het individu het recht krijgt om bijvoorbeeld te weten welke gegevens over zijn eetgewoonten de bedrijven bewaren – of hij bijvoorbeeld liever soep van Campbell lust dan van Knorr, of hij zijn aankopen in de buurt doet of in een supermarkt een eind verder. Wij vinden het onredelijk om van bedrijven te eisen dat ze informatie leveren over mensen van wie ze de naam niet eens kennen! De gegevens verdwijnen in een database en worden bijvoorbeeld gebruikt om te beslissen of er een nieuwe supermarkt zal worden gebouwd, of om een grotere keuze van bepaalde producten te bieden. Volgens de Europese Unie moet die informatie toegankelijk blijven voor de consument. Dat zal tientallen miljoenen dollar kosten.

Waarom zou de zelfregeling van de bedrijven efficiënter zijn dan een wet?

Wij hebben drie grote instellingen waarbij de bedrijven zich kunnen aansluiten: de Online Privacy Alliance, het Better Business Bureau Online ( nvdr – BBBOnline, dat onder meer wordt gesteund door AOL, Microsoft, AT&T, Dell en IBM) en Truste. Deze drie organismen zijn zelfregelende autoriteiten die een reeks principes opstellen. Het individu kan dan beslissen of het die regels afdoende vindt op het vlak van de informatiebescherming. Dan is er nog een ander, erg belangrijke dimensie van de kloof tussen de VS en Europa: de controle op en de toepassing van de regels. Wij zijn ervan overtuigd dat de markt een sterke controle uitoefent. Intel heeft dat ervaren: 48 uur nadat het een Pentium uitbracht die in de ogen van sommige mensen schadelijk was voor het privé-leven, was de verontwaardiging op de markt zo groot dat de firma de chip moest aanpassen. De zelfregelende organismen worden ook gesteund door wetten, door de Federal Trade Commission ( FTC) en de officieren van justitie van de verschillende Amerikaanse staten. Wanneer bedrijven de voorschriften van de zelfregelende organismen niet naleven, worden ze als paria’s beschouwd. Bedrijven die zeggen dat ze de regels volgen, maar het niet doen, kunnen worden vervolgd.

Integendeel hebben we gemerkt dat veel Europese bedrijven geen speciale procedures hebben voor de bescherming van de privacy. De wetten worden pas nageleefd wanneer iemand klacht indient of wanneer de overheid een onderzoek instelt. De Amerikaanse ondernemingen maken zich vooral zorgen over het feit dat de Europeanen ze aan inspecties en audits willen onderwerpen, terwijl er in Europa zelf niets wordt gedaan.

U beweert dat de Europeanen de gegevensstroom naar de Verenigde Staten kunnen blokkeren. De Unie antwoordt dat de richtlijn slechts bepaalde bedrijven of sectoren kan treffen.

De richtlijn impliceert een blokkade, en daar zijn wij bang van. Ze zegt immers dat de gegevensstroom naar een land dat de persoonlijke informatie onvoldoende beschermt, geblokkeerd kan worden. Ze spreekt dus niet van bedrijven, maar van landen. Sommige Europese vertegenwoordigers verklaren dat ze redelijke standaarden zullen invoeren en dat er geen willekeur zal zijn. Prima. Als u echter de letter van de wet bekijkt – en daar onderhandelen wij over – zult u merken dat de Europeanen het woord “redelijk” verwerpen. Wij kunnen ons alleen op deze teksten baseren, wat bepaalde moeilijkheden schept. Het Europese systeem legt immers erg strenge normen op maar is vrij laks als de normen moeten worden toegepast. In de VS is dat anders: wij voegen de daad bij het woord.

NATHALIE VAN YPERSEELE