De Europese Unie werkt aan een betere bescherming van de privacy van haar burgers, een titanenwerk met enorm veel obstakels. Bovendien dreigt de ambitieuze hervorming haar doel voorbij te schieten en Europese bedrijven met administratieve rompslomp, torenhoge boetes en juridische chaos op te zadelen.
De venijnige kleine lettertjes in een contract keerden zich vorige week tegen BNP Paribas Fortis. Eind vorig jaar paste de bank haar algemene bankvoorwaarden aan, waardoor ze postadressen en andere klantengegevens ter beschikking mag stellen aan handelspartners, in de praktijk hoofdzakelijk kaartbedrijven. Toen passeerden die aanpassingen geruisloos. Nu is er toch protest, in de nasleep van een privacyrel bij ING in Nederland. Die Nederlandse bank wilde in een testfase niet alleen klantengegevens van een beperkte groep, maar ook informatie over hun financiële toestand met een aantal partijen delen.
In vergelijking daarmee gaat het bij BNP Paribas Fortis om relatief ongevaarlijke praktijken. De manier waarop klanten toestemming moesten geven, is evenwel niet zo onschuldig. Eigenlijk moet de bank via een apart formulier toestemming vragen als ze die informatie wil doorgeven, de toestemming mag niet gekoppeld zijn aan de algemene voorwaarden. Zo is het veel duidelijker voor klanten dat de bank hun gegevens met derden deelt en dat ze dat kunnen weigeren. “Er zullen meer gelijkaardige dossiers opduiken”, voorspelt Willem Debeuckelaere, de voorzitter van de Privacycommisie. Hij voert overigens een onderzoek naar de praktijken van Fortis. “Bedrijven zullen hier ook meer de regels met de voeten treden. Ze zien dat Google, Facebook en andere grote technologiebedrijven ook niet transparant zijn, dat zij de bakens almaar verder verzetten en daar ook mee wegkomen.”
Felle strijd
De praktijken van hoofdzakelijk Amerikaanse technologiebedrijven zijn de Europese privacy-autoriteiten al jaren een doorn in het oog. Zo zijn onder meer de Franse en de Spaanse autoriteiten al twee jaar in een felle juridische strijd verwikkeld met Google. De internetgigant voegde in 2012 de privacyvoorwaarden van meer dan zestig diensten samen. Officieel om de situatie transparanter te maken voor de gebruiker, maar de samenvoeging was vooral commercieel enorm interessant. Google heeft sindsdien een gedetailleerd beeld van honderden miljoenen internetgebruikers: wat ze zoeken, welke mails ze krijgen, wat ze bekijken op YouTube, enzovoort. Dat opent de deur naar beter gepersonaliseerde advertenties en fors hogere tarieven.
Het is een ingrijpende operatie die te vergelijken is met de overheid die medische, fiscale, gerechtelijke en andere gegevens van burgers in één databank zou stoppen, én die data bovendien ter beschikking zou stellen van haar ambtenaren en derden. Als ze dat zou doen, zou het spreekwoordelijke kot te klein zijn. Toen Google het deed, reageerde het gros van de gebruikers onverschillig. De Europese privacy-autoriteiten daarentegen hadden wél forse kritiek. Gebruikers krijgen onvoldoende inzicht in de manier waarop Google hun persoonsgegevens commercialiseert en hoelang hun data worden bewaard. Bovendien hadden gebruikers eigenlijk geen andere keus dan die eengemaakte voorwaarden te aanvaarden als ze de diensten van Google verder willen gebruiken. Surfers hebben ook weinig alternatieven door de dominante positie van Google op het internet.
De Franse en de Spaanse autoriteiten vonden dat inbreuken op hun privacywetten en legden Google een boete op van respectievelijk 150.000 en 900.000 euro. Google procedeert tegen die sancties, maar dan vooral uit principe. De gevraagde bedragen zijn voor het internetbedrijf een lachertje. Google draaide het afgelopen jaar een jaaromzet van 43,2 miljard euro en een nettowinst van meer dan 9 miljard. Het is de zoveelste illustratie dat de EU geen vat krijgt op de weinig transparante manier waarop Amerikaanse technologiereuzen munt slaan uit persoonsgegevens. Europese bedrijven uit alle sectoren beginnen die praktijken nu ook toe te passen. Allemaal willen ze betere ‘profielen’ van hun klanten. Boston Consulting Group berekende in opdracht van de EU dat een professionelere verwerking van die data tegen 2020 jaarlijks meer dan 1000 miljard euro oplevert.
Gegevens beschermen
Dat maakt een verdere commercialisering van onze privacy te aanlokkelijk. Het komt er wel op aan dat correct te laten verlopen en de data in de eerste plaats goed te beschermen. Bedrijven en overheden hebben intussen bergen persoonsgegevens verzameld, een neveneffect van de digitalisering. Wat vroeger op één plaats in een archiefkast zat, staat nu op een of meerdere computerservers. Soms zelfs buiten Europees grondgebied. Daardoor neemt het risico met de dag toe dat datalekken EU-burgers schade berokkenen.
Een betere bescherming van persoonsgegevens was samen met de onwil van de techgiganten in 2012 de voornaamste drijfveer van Europees Commissaris van Justitie Viviane Reding om samen met het Europees Parlement een ambitieuze hervorming op te starten. Die moet de richtlijn van 1995 vervangen, die de basis vormt van de privacywetten in de lidstaten. De onthullingen van klokkenluider Edward Snowden over de reikwijdte van westerse elektronische spionageprogramma’s maakten de verbetenheid van de Commissie en het Parlement nog groter: er moet snel een allesomvattend Europees kader komen om de privacy van Europese burgers beter te beschermen. Consumenten moeten ook beter geïnformeerd worden over waar en hoe hun persoonsgegevens worden gebruikt. Ze moeten ook het recht krijgen gegevens te wissen, bijvoorbeeld op websites die opduiken in zoekmachines of op sociale media. Dat geldt ook voor buitenlandse diensten die hier actief zijn. De hervorming staat wel een uitzondering toe voor elektronische spionage in het kader van nationale veiligheid.
Keurslijf voor bedrijven
Bedrijven die persoonsgegevens verwerken, moeten daarom aan nieuwe regels voldoen. In sommige gevallen betekent dat privacy-audits. Er komt ook een meldingsplicht voor datalekken, zodat consumenten sneller op de hoogte worden gebracht van mogelijk misbruik van hun gegevens. Bij zware inbreuken of nalatigheid krijgen bedrijven zware administratieve boetes die kunnen oplopen tot 100 miljoen euro of 5 procent van hun globale jaaromzet, afhankelijk van welke van die twee mogelijkheden het hoogst uitvalt. Multinationals kijken daardoor tegen miljardenboetes aan als ze de Europese regels negeren. Bovendien hanteert Europa een ruime definitie van persoonsgegevens. Het gaat om alle informatie waardoor personen rechtstreeks of onrechtstreeks te identificeren zijn. Een postcode, geslacht en leeftijd zijn soms al voldoende om mensen te traceren in een databank met ogenschijnlijk anonieme gegevens.
Daartegenover staat dat de aangifteplicht verdwijnt voor wie persoonsgegevens verwerkt. Andere maatregelen moeten voor een uniforme en efficiëntere aanpak zorgen in de EU. Daardoor wordt het makkelijker in andere lidstaten activiteiten te hebben. De belangrijkste verandering is dat bedrijven enkel nog verantwoording moeten afleggen aan de privacy-autoriteit van het land waar hun Europese hoofdkwartier is gevestigd. Die moet dan ook de dossiers uit de andere lidstaten onderzoeken. Dat ‘one-stop-shop’-principe heeft controversiële implicaties. Door zijn voordelige belastingklimaat zijn veel Europese hoofdzetels van Amerikaanse techbedrijven in Ierland gevestigd. Zij tellen samen meer dan een miljard gebruikers. De Ierse privacy-autoriteit zal met zijn budget van 2 miljoen euro en dertig ambtenaren wellicht de grootste verantwoordelijkheid van alle autoriteiten moeten dragen.
Legislatieve lijdensweg
Twee jaar na een eerste aanzet door Reding staan de meeste principes nog overeind. Twee weken geleden keurde het Europees Parlement met een overweldigende meerderheid een voorstel goed met bovenstaande krijtlijnen als rode draad. Omstreden is wel dat het om een verordening gaat, wat veel dwingender is dan een richtlijn. Bij een richtlijn hebben lidstaten nog de vrijheid en de tijd om te kiezen hoe ze de regels toepassen. Nu moet alles al zo veel mogelijk gepreciseerd worden in de verordening. Het wordt nog een helser karwei omdat de regels bovendien dezelfde moeten zijn in de 28 lidstaten, die er andere gebruiken, belangen en opvattingen op nahouden. In België zijn rijksregisternummers bijvoorbeeld niet meer weg te denken. In Duitsland zijn dergelijke identificatiemiddelen dan weer taboe, een erfenis van de Holocaust. Zo zijn er veel gevallen waar de verordening water en vuur moet verzoenen. Dat leverde al moeilijke onderhandelingen op. Het voorstel van het Parlement kreeg zo meer dan 4000 amendementen te verduren, waarbij lobbygroepen zich niet onbetuigd lieten.
Daarnaast moeten de ministers van Justitie van de lidstaten nog tot een compromis komen. Dat wordt ook een aartsmoeilijke klus aangezien zij beslissingen nemen met een gekwalificeerde meerderheid van stemmen, wat er in de praktijk op neerkomt dat ze zogoed als unaniem moeten beslissen. Peter Hustinx is als Europees Toezichthouder voor gegevensbescherming betrokken bij de onderhandelingen en klinkt niettemin optimistisch: “Deze hervorming is broodnodig. Alle partijen zijn daarvan overtuigd en ze zijn het eens over 80 procent van het dossier. De laatste loodjes wegen gewoon het zwaarst. De ministers van Justitie zullen wellicht op een top in juni, na de verkiezingen, tot een akkoord komen. Daar werkt het Griekse voorzitterschap hard aan.” Na dat karwei moet het akkoord ook nog worden verzoend met het voorstel van het Parlement, wat nog eens jaren in beslag kan nemen.
Op het kabinet van minister Annemie Turtelboom wordt gevreesd dat het Europees Parlement te voortvarend is. “De kwaliteit van de regelgeving moet primeren op de snelheid van de besluitvorming. Er moeten nog erg veel zaken bekeken worden en misschien komt men zelfs tot de conclusie dat men beter volledig herbegint”, klinkt het. Belgische privacy-experts onderschrijven die afwachtende houding, want ze hebben veel kritiek (zie ‘Chaos en rechtsonzekerheid’). De privacyhervorming is bijzonder ambitieus, en ze krijgt nog af te rekenen met schier onoverbrugbare cultuur- en meningsverschillen.
STIJN FOCKEDEY
“Deze hervorming is broodnodig. Alle partijen zijn daarvan overtuigd en ze zijn het eens over 80 procent van het dossier” Peter Hustinx
“Bedrijven zullen hier ook meer de regels met de voeten treden. Ze zien dat Google, Facebook en andere grote techbedrijven de bakens almaar verder verzetten en daar ook mee wegkomen” Willem Debeuckelaere, Privacycommissie
Fout opgemerkt of meer nieuws? Meld het hier