Gezocht: beeldmakers voor internetvrijheid

Europese ministers verkwanselen databescherming en Nederland speelt dubieuze rol

De week in 285 woorden

Europa werkt al tijden aan nieuwe privacyregels. Recent gelekte teksten laten echter zien dat de lidstaten onder aanvoering van – met name – Duitsland de hardbevochten privacy ondermijnen. Het is opvallend dat juist Duitsland zo’n negatieve rol speelt, omdat het land altijd als privacyvoorbeeld wordt gezien. Maar ook Nederland holt onze bescherming uit.

Technologie dringt steeds verder door in ons dagelijks leven. Door Big Data en de Internet of Things verzamelt straks als het even kan zelfs je tandenborstel informatie over jou. Die kan dat dan weer delen met andere huishoudelijke apparatuur. De gegevens worden verzameld, geanalyseerd, opgeslagen en gebruikt door diverse instanties en bedrijven. Dat kan verstrekkende gevolgen hebben voor onze vrijheid en autonomie, dus het is heel belangrijk dat er goede waarborgen zijn om burgers te beschermen.

Nieuwe Europese privacywetgeving

Al sinds 2012 werkt Europa daarom aan nieuwe databeschermingswetgeving. Dit moet alle direct privacyregels in Europa gaan vervangen en komt dus in de plaats van de Wet bescherming persoonsgegevens. Het regelt meteen de belangrijkste principes van databescherming, inclusief de rechten die je als burger hebt en de plichten die op bedrijven (en overheden) rusten. Enorm belangrijk dus!

De Europese Commissie deed in 2012 haar voorstel en daarna heeft in 2014 het Europees Parlement met onze hulp een reeks amendementen ingediend die erop waren gericht een hoog beschermingsniveau in Europa waar te maken. Nu is de Raad van Ministers al een tijd aan zet. En net als bij netneutraliteit laten juist de vertegenwoordigers van de lidstaten zien dat zij niet het beste voor hebben met hun inwoners. De Raad is bezig het beschermingsniveau af te zwakken en dreigt nu zelfs onder het niveau van de Wet Bescherming Persoonsgegevens te komen. Al met al een slechte zaak dus!

De lidstaten ondermijnen databescherming en Nederland doet lekker mee

De website LobbyPlag heeft nu het proces in de Raad inzichtelijk gemaakt. De website was in eerste instantie opgericht om wetgeving transparanter te maken. Door lobbydocumenten te vergelijken met amendementen van Europarlementariërs liet de site in 2013 zien wiens belangen vertegenwoordigd worden in Brussel. De conclusie was toen heel duidelijk: de storm van de bedrijvenlobby verzwakte de Europese privacyregels.

Nu is de site terug om te laten zien hoe regeringsvertegenwoordigers handelen in de Raad. Door 11.000 Duitse diplomatieke documenten en gelekte EU-bestanden te analyseren, laten ze zien dat de regeringen voorstellen doen die ons beschermingsniveau omlaag halen. 132 van de 151 (87%) voorgestelde veranderingen zijn slecht voor onze privacy, terwijl 40 (26%) voorstellen ons zelfs nog slechter beschermen dan onze huidige wet. Nederland heeft 3 voorstellen gedaan die goed zijn voor onze privacy, maar 21 voorstellen die slecht zijn. En daarmee won voormalig minister Opstelten de zevende plek in de lijst met Europese bad guys. Op de website is ook de integrale tekst van de verordening te vinden, met de amendementen in de tekst per land. Onze nieuwe minister moet dus dringend de Nederlandse positie bijsturen.

De Raad houdt op haar eigen website bij waar overeenstemming is bereikt. Het is een langzaam proces van maanden onderhandelen waarbij steeds een nieuw hoofdstuk wordt afgehamerd. Op vrijdag 13 maart is de Raad het eens geworden over een nieuw onderdeel: de belangrijkste principes voor gegevensverwerking. Die documenten bevestigen het beeld geschetst door LobbyPlag. Onze privacy wordt op deze manier ontmanteld. Het is zaak dat de Raad meer onder druk wordt gezet.

Een aantal specifieke punten waarop de Raad onze privacy ontmantelt

Op LobbyPlag is een samenvatting te vinden van de pijnpunten, en onze Europese koepelorganisatie EDRI publiceerde een inhoudelijk rapport hierover, maar hier is de korte samenvatting:

Om gegevens over burgers te mogen verwerken is een grondslag nodig. Het mag bijvoorbeeld als een burger toestemming heeft gegeven of ter uitvoering van een contract. Daarnaast zijn er nog wat grondslagen die allemaal delen dat ze toestemming vereisen of noodzakelijk zijn bij het uitvoeren van de dienst. Een vage restbepaling voor gegevensverwerking is het ‘legitiem belang’ van een bedrijf. Die moet zo klein mogelijk blijven om burgers tegen verzamelwoede te beschermen.

Op het gebied van deze grondslagen probeert de Raad de positie van de burger nu te verzwakken. De belangrijkste voorwaarde voor verwerking zou toestemming van de burger moeten zijn, maar de Raad probeert juist de restbepaling te verruimen. Dit betekent dat bedrijven, zonder enige betrokkenheid van de burger, gegevens mogen verwerken voor belangen die buiten het oorspronkelijke doel van gegevensverwerking vallen. Volgens de laatste tekst, valt daar zelfs direct marketing onder!  In die tekst wordt ook de toestemming afgezwakt. Waar de Commissie in eerste instantie toestemming probeerde te versterken door ‘expliciete’ toestemming te verplichten, is dat nu ‘unambiguous’. Daarnaast introduceert de tekst meer uitzonderingen, zoals een ‘overriding public interest’ om gegevens verwerking door de overheid toe te staan.

Daarnaast hebben burgers nog specifieke rechten. Ook daarin is de Raad aan het snoeien. Zo proberen ze de informatieplicht voor bedrijven af te zwakken en het makkelijker te maken voor bedrijven en overheden om profilering toe te passen.

De Raad wil het bovendien moeilijker maken voor belangenorganisatie om namens burgers aan te kloppen bij een toezichthouder zoals het College Bescherming Persoonsgegevens.

Daarnaast werd de wet zoals hij werd aangenomen door de Commissie en het Parlement oorspronkelijk toegejuicht omdat hij hoge boetes voor privacyschenders zou introduceren (tot 5% van de omzet!). Nu probeert de Raad die boetes lager te maken.

Nieuwe technologieën vragen juist om het proactief nadenken over veiligheid en privacy, maar in de nieuwe voorstellen wordt privacy by design en privacy by default afgezwakt. De Raad wil namelijk dat bedrijven zelf bepalen wanneer deze principes in de bedrijfsvoering worden toegepast, en het liefst is dat alleen bij procedures waarvan bedrijven zelf de inschatting maken of er een groot risico aan vast zit. Het is raar om die inschatting aan bedrijven over te laten, zij hebben er immers een overduidelijk belang bij om zich niet aan die principes te houden.

 

  1. Everyman

    Je zegt:

    “De belangrijkste voorwaarde voor verwerking zou toestemming van de burger moeten zijn, maar de Raad probeert juist de restbepaling te verruimen.”

    Waarom wordt er zoveel waarde gehecht aan ‘toestemming’ als grondslag voor verwerking als we allemaal weten en bovendien uit vele empirische onderzoeken blijkt dat het geven van toestemming in de praktijk nogal weinig voorstelt. Die eindeloze discussie over ‘ondubbelzinnige’, ‘expliciete’ of ‘impliciete’ toestemming leidt volgens mij nergens toe en is meer juridische haarkloverij dan dat het daadwerkelijk de privacy van burgers beschermt. Zie ook de discussie over de cookieregelgeving. Hoeveel tijd en energie is hier niet aan verspeelt terwijl de praktijk uitwijst dat de gemiddelde internetgebruiker het plaatsen/uitlezen van cookies klakkeloos accepteert.

    Het mechanisme van toestemming biedt juist eerder een eenvoudige mogelijkheid voor partijen om allerlei ongewenste verwerkingen van persoonsgegevens eenvoudig te legitimeren dan dat het daadwerkelijk bescherming biedt.

    Ik snap dat de grondslag voor de verwerking van persoonsgegevens ergens op moet worden gebaseerd, maar dan lijkt mij de grondslag van een legitiem belang zoals verwoord in artikel 8 sub f Wbp eigenlijk wel zo’n elegante oplossing als dit maar gepaard gaat met strikte voorwaarden en – niet onbelangrijk – potentieel hoge boetes en civielrechtelijke aansprakelijkheid als de verantwoordelijke ten onrechte een beroep doet op deze grondslag.

    Juist als burgers individueel of gezamenlijk eenvoudig de verantwoordelijke kunnen aanspreken op hun gedrag en er hoge aansprakelijkheidsrisico’s rusten op de verantwoordelijke, zal het gedrag van veel partijen wel gaan veranderen en onstaat er een prikkel om privacy wel serieus te nemen (los van de marktprikkel om dit te doen ten behoeve van je eigen klanten).

    • Roy

      Everyman,

      Ik snap je weerzin, als het gaat om over het juridische haarkloverij voor het geven van “toestemming”. Dit is echter nodig om als basis te dienen wanneer een burger als individu of gezamenlijk de verantwoordelijke te kunnen aanspreken. Wanneer dit juridisch ergo wettelijk niet goed gedefinieerd is, zijn de verantwoordelijke niet te recht te wijzen via de hoge boetes en aansprakelijkheden waar je tevens op doelt.

      Het gaat om het ondubbelzinnig vastleggen van wat mogelijk verwerkt mag worden. Privacy is een grondrecht waar niet aan getornd mag worden.

    • Everyman

      Roy,

      Ik begrijp dat ‘toestemming’ als grondslag kan dienen voor de verwerking van persoonsgegevens. Mijn punt is juist dat deze grondslag in mijn ogen in de praktijk een schijn van bescherming biedt en in veel gevallen er eerder toe lijdt dat via dit mechanisme vrij eenvoudig bijna iedere verwerking wel kan worden gelegitimeerd. Immers, zolang de privacyvoorwaarden niet al te onduidelijk zijn en toestemming is verkregen, kan men altijd de toestemmingskaart spelen.

      Men weet dondersgoed dat het overgrote merendeel van gebruikers de privacyvoorwaarden toch niet leest. De voorwaarden zijn vaak lang en niet altijd even helder. Dit kan je de gebruiker verwijten, maar het is niet realistisch om te verwachten dat gebruikers van iedere dienst die ze afnemen de voorwaarden van a tot ze gaan lezen. Als ik mij goed kan herinneren, blijkt uit onderzoek dat je in dat geval enkele weken per jaar full time zou moeten spenderen aan het doorlezen van privacyvoorwaarden. Dat is uiteraard absurd. Daar komen de algemene voorwaarden, terms of use, etc. etc. nog bij…

      Kortom, zo hard hameren op toestemming heeft alleen enigszins zin als er keiharde eisen worden gesteld aan de informatieplicht. Maar zelfs in dat geval vraag ik mij zeer af of je hiermee daadwerkelijk de privacybelangen van gebruikers substantieel beter beschermd.

      Toestemming als mechanisme kan zeker een bijdrage leveren, maar het is lang niet voldoende.

      • Floris Kreiken

        Hey Everyman, je maakt een terecht punt. Het gaat wat mij betreft ook niet om toestemming alleen. Doelbinding is minstens zo belangrijk, evenals proportionaliteit, Tegenover “legitiem belang” is toestemming wel sterker. Ik heb er zelf moeite mee dat bedrijven anders zelf mogen bepalen of het legitiem is dat zij data verzamelen. Zij zijn daar notoir slecht in en hebben belang bij een zo ruim mogelijke interpretatie van zo’n bepaling. Dat neemt inderdaad niet weg dat je als bedrijf dmv toestemming datagraaien als het ware gaat witwassen. Het is overigens wel zo dat steeds meer mensen die privacyverklaringen lezen.

  2. marie

    intressting…..

  3. Tim2

    “De Raad wil namelijk dat bedrijven zelf bepalen wanneer deze principes in de bedrijfsvoering worden toegepast, en het liefst is dat alleen bij procedures waarvan bedrijven zelf de inschatting maken of er een groot risico aan vast zit. Het is raar om die inschatting aan bedrijven over te laten, zij hebben er immers een overduidelijk belang bij om zich niet aan die principes te houden.”

    Bedrijven zijn momenteel vaak de grootste datagraaiers die je je kunt bedenken en de overheid maakt er maar al te graag gebruik van.

  4. Jericho

    De aanpassingen van de Raad zijn echter nog niet definitief. Het geheel moet voor een tweede lezing terug naar het Parlement. Er bestaat dus nog steeds een kans dat aanpassingen van de Raad weer worden teruggedraaid.

  5. tifkap

    psst .. typo in de tekst : “Onzee”

    Verder trouwens een zeer heldere uitleg van een complexe strijd!

  6. John

    Even over het accepteren of niet van cookies. Wat mij irriteer is dat juist niet duidelijk wordt aangegeven welke info men wilt opslaan/achterhalen met het plaatsen van een cookie. Kijk, bij apps op je mobiel wordt er expliciet aangegeven voor welke data je toegang geeft. Men zou de zaak moeten omdraaien waarmee de burger/internetgebruiker een eigen profiel aanmaakt waarbij hij aangeeft wat hij acceptabel vind en niet. Op het moment dat een cookie geplaatst wordt, filtert het profiel de geplaatste gegevens en waarschuwt de internetgebruiker of weigert de plaatsing van alle of enkele cookies (keuze mogelijkheid bij aanmaken van eigen profiel). Waarom kan dit niet? Het zou ook voor leken – wat meeste internetgebruikers zijn, incluis mijzelf – een stuk aangenamer en overzichtelijk worden.

    • Floris Kreiken

      John, er zijn soortgelijke initiatieven in de maak.. Een probleem is alleen dat sommige bedrijven dat soort voorkeuren niet accepteren.

  7. Mickey

    Is het een idee dat BOF een demonstratie organiseert? Dat we met zijn allen laten horen aan Den Haag en Europa dat we onze privacy belangrijk vinden en beter moet worden beschermd.

    • Floris Kreiken

      Hey Mickey! We zitten niet stil op dit onderwerp. Een demonstratie is nu nog lastig, maar ik hou je op de hoogte de komende tijd!

Laat een reactie achter op Jericho Reactie annuleren

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.