Vorige week begonnen de onderhandelingen tussen het Europarlement en de Europese minister over nieuwe wetten die de bescherming van persoonlijke data beter moeten waarborgen. Europarlementariër Jan Albrecht van de Duitse Groenen slaagde er vorig jaar in op het Europees Parlement op één lijn te krijgen, nu mag hij aan de slag om tot een akkoord te komen met de Europese ministers. Dat zal nog een hele kluif worden, aangezien de gezamenlijke positie van de Europese regeringen op verschillende punten tekortschiet. We lichten acht punten toe.

GroenLinks-Europarlementariër Judith Sargentini volgt het dossier op de voet. Ze stelt dat stevige bescherming van persoonsgegevens kansen biedt voor de Europese economie: “Terwijl regeringen vooral het bedrijfsleven proberen te beschermen voor de zogenaamd hoge kosten van privacybescherming, zien ze over het hoofd dat dat Europa een unieke kans heeft om een toonaangevende speler te worden op het gebied van betrouwbare gegevensopslag en -verwerking.”

Veel bedrijven en mensen uit de hele wereld zouden graag hun gegevens opslaan in een land dat de privacy serieus neemt. Daarvoor komen bijna alleen de lidstaten van de EU in aanmerking, maar alleen als Europa durft te kiezen voor echt goede wetgeving. Vertrouwen in de digitale economie ontstaat pas als er duidelijkheid is over de regels en de naleving daarvan.

Het belangrijkste uitgangspunt van de nieuwe regels moet volgens Sargentini de controle van de burger over zijn eigen gegevens zijn. Dat betekent:

  • verwerken van persoonsgegevens mag pas na toestemming van degene die het betreft, tenzij er zwaarwegende redenen zijn om daarvan af te wijken.
  • het recht op inzage in de opgeslagen gegevens en verwijdering of aanpassing van verouderde of foutieve gegevens.

De Europese ministers stellen talloze uitzonderingen voor op deze basisprincipes, daarmee ondermijnen ze de Europese grondrechten op bescherming van de privacy.

1. Leg controle over de data terug bij de burger

De EU-lidstaten willen dat bedrijven gegevens van burgers kunnen verwerken zelfs om er dingen mee te doen die niet passen bij het oorspronkelijke doel waarvoor de gegevens verzameld zijn. Volgens Sargentini is dat een onhoudbare stellingname: “Als je bedrijven geen grenzen meegeeft, dwingen ze elkaar tot het uiterste te gaan. Dat past niet bij de verwachtingen van de Europese burger.” Maarliefst 82 procent van de burgers (http://ec.europa.eu/justice/newsroom/data-protection/news/240615_en.htm) wil een goede gegevensbescherming en dat impliceert een zekere mate van zelfbeschikking over je eigen gegevens. “Er is veel draagvlak in de bevolking voor strengere wetgeving. We moeten de controle over data aan de burger teruggeven.”

2. Maak geen uitzonderingen voor slecht omschreven 'veiligheidsdoeleinden'

De regeringen willen aparte regels voor overheidsdiensten en bedrijven die “bescherming bieden tegen, of een preventieve werking hebben op dreigingen voor de publieke veiligheid”. Sargentini: “Daarmee opent de regering een enorme maas in de wet, waardoor zelfs hele bedrijven kunnen klimmen. Dat vind ik een forse verslechtering ten opzichte van de oude regels.” Deze uitzondering betreft niet alleen politie en justitie, maar ook voor bijvoorbeeld commerciële beveiligingsbedrijven. Dat is een stap te ver voor Sargentini.

3. 'Legitiem belang' moet geen kapstok worden

Bedrijven die een 'legitiem belang' hebben bij het verwerken van persoonsgegevens, hoeven geen toestemming te vragen aan degene die het betreft. Dat is redelijk, als het gaat om praktische gegevens van klanten, bijvoorbeeld. Maar de regeringen stellen voor om het legitieme belang zover op te rekken dat zelfs het versturen van reclamepost daar onder valt. “Dat is absurd,” vindt Sargentini. “Hier laten de ministers zien dat zij veel te eenzijdig op de hand zijn van de bedrijven. De basis van verwerking is de toestemming van de burger, niet het verlanglijstje van de dienstverlener. Reclamepost is bij uitstek iets waarvoor mensen hun gegevens níet willen lenen.”

4. Wetenschappelijk onderzoek, prima – als het dat is

De ministers stellen voor om gegevensverwerking altijd toe te staan als het doel wetenschappelijk of statistisch onderzoek is. Maar die omschrijving is zo ruim, dat bedrijven daarmee aan de haal kunnen gaan. Google, bijvoorbeeld, kan onder de definitie eenvoudig massaal hartslaggegevens van slimme horloges gaan verwerken. Zo krijgen zij een gedetailleerd beeld van hun klanten, zonder dat die zich daarvan bewust zijn. Sargentini wil dat niet: “Een uitzondering voor wetenschappelijk onderzoek lijkt me prima, maar commerciële belangen moeten daarbij worden uitgesloten. Het moet geen maas in de wet worden, die de legitimiteit van echt onderzoek schaadt.”

5. Wees voorzichtig met datamining en profiling

Dat bedrijven persoonsgegevens zijn gaan zien als natuurlijke grondstof, gaat volstrekt voorbij aan de rechten van de mensen op wie die gegevens betrekking hebben. Steeds meer mensen hebben grote bedenkingen bij de gedachte dat hun persoonlijkheid van alle kanten wordt doorgelicht voor commerciële doeleinden. Het kan ook grote nadelige effecten hebben voor de samenleving als niet meer duidelijk is waarom een bedrijf klanten op verschillende manieren gaat behandelen, zeker als steeds dezelfde kwetsbare groepen de nadelige effecten voelen.

Burgers willen meer invloed. In Nederland voelt inmiddels 37 procent van de mensen zich (zeer) ongemakkelijk bij het overdragen van gegevens voor gratis online diensten. “Ik zelf ook,” zegt Sargentini. “Ik vul soms vaker een vals telefoonnummer in, omdat ik iets in moet vullen. Maar bedrijven pushen elkaar om steeds verder te gaan met het in beeld brengen van hun klanten. Dat kun je alleen stoppen met een sterke wet.”

De Raad van ministers doet niet alleen veel voorstellen die bedrijven alle ruimte bieden om gegevens te verzamelen zonder toestemming te vragen, ook op andere punten doen ze wenkbrauwen fronsen.

6. Maak een echte Europese wet

Maar liefst 48 nationale uitzonderingen willen de Europese ministers inbouwen in de nieuwe wet. Dat betekent dat bedrijven niet kunnen rekenen op echte harmonisering van wetgeving in de EU. En dat was nou juist de bedoeling. Sargentini: “De ontwikkeling van bijvoorbeeld internetdienstverlening en andere data-intensieve dienstverlening loopt in de EU achter, onder meer doordat de wetgeving zo versnipperd is. Juist op internet moeten de grenzen verdwijnen. Iedere burger moet dezelfde rechten krijgen, zodat ieder bedrijf alles maar een keer hoeft te organiseren. Dat is voor iedereen beter.”

7. Laat beslissing over melden van datalekken niet over aan bedrijven

Als een bedrijf slachtoffer wordt van een hack waarbij persoonsgegevens buit worden gemaakt, moeten de daarbij betrokken klanten worden geïnformeerd, vind GroenLinks. De EU-ministers vinden echter dat het bedrijf zelf de afweging kan maken of de klant risico loopt door het lek. “Dat is kortzichtig,” vindt Sargentini. “Bedrijven zullen die afweging in hun eigen belang maken en goed beschouwd kunnen ze niet weten hoe de gegevens tegen de klant in kwestie gebruikt kunnen worden, zeker niet als die gegevens gecombineerd worden met gegevens uit andere bronnen. Vertrouwen in bedrijven ontstaat door openheid.”

8. Bestraf overtreders stevig

Waar het Europees Parlement wil dat bedrijven die buiten de wet handelen een boete kunnen krijgen die op kan lopen tot vijf procent van hun wereldwijde jaaromzet, willen de ministers dat beperken tot twee procent. “Dat is te weinig. Bedrijven zullen bereid zijn dat risico te lopen. De vraag is bij welke sancties Facebook zich achter de oren zal krabben. Onze privacywaakhonden hebben tanden nodig, anders lappen ze de wet aan hun laars,” vindt Sargentini.

Uiteindelijk wil Sargentini een Europese wet die de gegevens van burgers minstens zo goed beschermt dat de huidige Europese richtlijn, uit 1995. “De wereld is in twintig jaar sterk veranderd, juist op het gebied van gegevensverwerking. Onze persoonsgegevens zijn waardevol geworden, maar daarmee ook kwetsbaar. De overheid heeft de plicht om ze beter te beschermen.”