Europese wetgeving op gegevensbescherming wordt straffer dan de millenniumbug

De nieuwe wet op de gegevensbescherming in de Europese Unie zal veel stof doen opwaaien.

Herinnert u zich Y2K nog? De zogenoemde ‘millenniumbug’ zou aan het begin van de nieuwe eeuw wereldwijd verwoestend tekeergaan in computers. Er werd verwacht dat op 31 december 1999 om klokslag 12 veel oude toestellen het zouden begeven omdat hun software maar twee cijfers gebruikte om jaren aan te geven.

Daardoor zouden ze denken dat het 1900 werd, in plaats van 2000. Er ontstond een compleet nieuwe industrie om het probleem op te lossen. Toen het zover was, liepen nauwelijks computers vast en werd Y2K het synoniem van een afgelaste ramp.

Vandaag baart een andere lelijke afkorting veel bedrijven wereldwijd grote zorgen: de GDPR (General Data Protection Regulation), de nieuwe Europese privacywet. Er wordt gevreesd dat die het verzamelen en verwerken van persoonlijke gegevens zal belemmeren. Opnieuw bieden zich softwareontwikkelaars, adviesbureaus en anderen aan om de pijn te verlichten. Maar deze keer is er geen enkele kans dat ze spoken zien.

Of u het leuk vindt of niet, de GDPR komt eraan en het is een van de belangrijkste wetten die in 2018 van kracht worden, op 25 mei om precies te zijn.

Het kostte de Europese club met haar 28 lidstaten en ingewikkelde besluitvorming meer dan vijf jaar om het eens te worden. De verordening harmoniseert de privacywetgeving in alle Europese lidstaten en maakt een gegevensbeschermingsrichtlijn uit 1995 up-to-date.

Het resultaat is net geen tweede Dodd-Frank, de wet van 2300 pagina’s die het Amerikaanse Congres in 2010 aannam om Wall Street te beteugelen en een tweede financiële crisis af te wenden.

Maar de GDPR, die 87 pagina’s omvat en 99 artikelen telt, is wel het “meest complexe stuk regulering dat de Europese Unie ooit heeft voortgebracht”, zegt Christopher Kuner van de Vrije Universiteit Brussel. Hij coördineert een groep van twintig gegevensbeschermingsexperts die werken aan een toelichting over de wet, die naar verwachting meer dan 2000 pagina’s lang wordt.

Fundamenteel mensenrecht

Er is een reden dat de regels zo ingewikkeld zijn. Persoonlijke gegevens zijn nog moeilijker vast te pinnen dan geld en financiële producten. Er moeten veel vragen beantwoord worden. Hoe moeten gegevens verzameld worden? Wie mag er toegang toe hebben? Wat mag ermee gedaan worden? En de belangrijkste: wie moet er de uiteindelijke zeggenschap over hebben?

In theorie is het Europese antwoord altijd duidelijk geweest. Privacy en bijgevolg het eigendom van iemands persoonlijke gegevens worden beschouwd als een fundamenteel mensenrecht.

Maar in de praktijk zijn de mensen al heel lang de controle over hun gegevens kwijt, zeker online. Bij de meeste apps moeten gebruikers instemmen met lange juridische algemene voorwaarden die hun meestal vragen af te zien van de meeste van hun privacyrechten. In wezen is de verordening een poging om het individu de controle terug te geven.

De toestemming om persoonlijke gegevens te verzamelen moet nu ‘ondubbelzinnig’ zijn, en bedoeld voor ‘specifiek’ gebruik. Mensen kunnen een kopie opvragen van de over hen bewaarde gegevens, vragen om informatie te wissen (het recht vergeten te worden) of gegevens laten overbrengen naar een andere dienstverlener. Als deze regels overtreden worden, kunnen boetes volgen tot 20 miljoen euro of 4 procent van de jaarlijkse omzet.

Alle ondernemingen moeten voldoen aan GDPR, van multinationals tot organisaties voor goede doelen. Kleinere bedrijven klagen over de hinderlijke regels. Sommige waarschuwen zelfs voor hun faillissement ten gevolge ervan. Grotere bedrijven zeggen dat de wetgeving het moeilijker maakt nieuwe diensten uit te bouwen die afhankelijk zijn van data. Ze hebben allebei een punt. De verordening is inderdaad al te ambitieus en wil te veel dingen regelen. “De eerste paar jaren wordt het een rommeltje”, zegt Kuner, die een golf van processen voorspelt.

Tot buiten Europa

De GDPR is ook om andere redenen omstreden. Eén ervan is dat ze tot buiten de Europese grenzen reikt. Ze zal niet alleen in de Europese Unie gelden, maar overal waar persoonlijke gegevens over Europeanen verwerkt worden. Sommigen klagen dat dat een verouderde benadering van gegevensbescherming zal betonneren.

Viktor Mayer-Schönberger van de universiteit van Oxford is een van hen. In plaats van het reguleren van gegevensverzameling, redeneert hij, zouden overheden gegevensgebruik moeten verbieden als het mensen kan schaden, zoals diensten die mensen met een bepaald profiel discrimineren. Y2K mag met een sisser zijn afgelopen, maar GDPR belooft vuurwerk.