De Week

De lobby-tomie 2: waar ging het over?

De lobby-tomie: een kijkje achter de lobbyschermen

Hoe denken bedrijven nou écht over privacybescherming? Publiekelijk vindt iedereen privacy natuurlijk belangrijk, maar vinden ze dat achter de schermen ook? In het tweede blog over de privacylobby gaan we het over de algemene inhoud hebben. Wat waren de hete hangijzers tijdens de lobby en ging men overwegend goed om met privacybescherming?

De nieuwe Europese privacywet is het meest belobbiede stuk wetgeving in Europa tot dusver, omdat het onderwerp zo belangrijk is en zo’n beetje elk deel van ons dagelijks leven raakt. Daarom hebben wij om openbaarmaking gevraagd van alle lobbydocumenten die de Nederlandse regering ontving over deze wet. De komende dagen publiceren we die documenten met onze analyse in een serie blogs. Wie lobbyen? Wat willen ze? Wat betekent dat voor jou? Klik voor de andere posts hier. Klik hier voor alle lobbydocumenten. Deze serie blogs is ook samengevoegd in een rapport.

Men wil minder databescherming

Als we de lobbybrieven lezen valt op dat er helaas maar drie (van de meer dan honderdvijftig) voor méér databescherming zijn. Daarvan zijn er twee van ons. Één is van de Europese consumentenbond. Dat is alvast weinig.

Een derde van de brieven hebben wij als uitgesproken slecht voor databescherming beoordeeld. Dat betekent dat organisaties minder verplichtingen willen, en meer verwerking mogelijk of makkelijker willen maken.

Kijk, bijna tweehonderd lobbydocumenten beoordelen op hun inhoud is geen exacte wetenschap. Veel preciezer vast stellen dan “meer” of “minder” databescherming wordt het helaas niet. Toch ontstaat in grote lijnen een zorgelijk beeld. Hoe zit het met de meer specifieke bepalingen?

Hete hangijzers

Verreweg het meest werd gelobbied over de verplichtingen voor verantwoordelijke en verwerker. Met andere woorden: wat moeten bedrijven en organisaties allemaal doen om te zorgen dat ze gegevens op een zo veilige manier verwerken? De nieuwe wet bepaalt bijvoorbeeld dat grote bedrijven en organisaties in de publieke sector een ‘data protection officer’ (‘een functionaris voor de gegevensbescherming’) moeten hebben. Deze persoon zorgt dat het bedrijf zich aan de privacywet houdt, controleert de gegevensverwerking en is een contactpunt voor de privacytoezichthouder. Veel bedrijven geven echter aan dat ze dat een dure verplichting vinden. Thuiswinkel bijvoorbeeld vindt de kosten “niet te overzien” (zie VJ 34.pdf). De Europese horeca zegt dat het duur is en dat het alternatief, interne medewerkers het te laten doen, slechte bescherming biedt. (PV 6.pdf). Zij zijn er niet blij mee.

Vervelende verplichtingen

Van alles werd het meest gelobbied op de verplichting om een ‘privacyeffectbeoordeling’ te doen voordat je aan gevoelige gegevensverwerking begint. Dan ga je dus van te voren kijken wat de risico’s zijn en hoe je die het beste kan indammen. Niet iedereen is daar blij mee. De hotelbranche zegt bijvoorbeeld dat je zelf wel moet kunnen bepalen of je zo’n assessment wilt doen.  Banken zijn er ook niet blij mee (PV 17.pdf). Ook Digital Europe (een organisatie die digitale bedrijven vertegenwoordigt) vindt het bijvoorbeeld “problematisch” (PV 35.pdf).

De teneur is in de lobbybrieven dat bedrijven toch liever zelf bepalen of ze aan die verplichtingen willen voldoen of liever gewoon minder verplichtingen zien. Daarnaast wordt gevraagd om rekening te houden met de risico’s van de gegevensverwerking. Daarover meer in een later blog.

‘Grondslagen voor verwerking’

Daarna is er het meest gelobbied over wanneer je nou gegevens mag opslaan en verwerken en wie dat mag doen. Reclamebedrijven, verzekeraars, banken, media: iedereen vindt dat het makkelijker moet kunnen. De Nederlandse Uitgeversbond vindt bijvoorbeeld dat je als derde partij gewoon gegevens moet kunnen gebruiken voor een ander doel dan waar ze voor verzameld zijn, als je daar een gerechtvaardigd belang bij hebt. (VJ 54.pdf). Dat is een kwalijke ondermijning van de rest van de verordening: hoe kan je er als burger nog van op aan dat je gegevens beschermd zijn als je niet weet wie er als derde partij voor een ander doel gewoon met die gegevens van door kan gaan?

Definities

Er is verder veel gelobbied over definities. Wat is persoonlijke data? Wat valt er allemaal onder de wet? In het begin van de wet wordt bepaald waar het allemaal over gaat en wat elk woord betekent. Zo werkt dat in juristenland. Je kan dus als lobbyist veel invloed hebben door bepaalde woorden op een bepaalde manier uit te leggen. Veel partijen willen bijvoorbeeld het woord ‘uitdrukkelijk’ in hun voordeel uitleggen. Dat verbaast niet, omdat de wet soms zegt dat je voor bepaalde vormen van gegevens verwerking ‘uitdrukkelijke toestemming’ nodig is. Tele2 wil dat voor toestemming niet per sé een positieve actie nodig is of een statement (met andere woorden: doorsurfen in plaats van aanklikken geef je toestemming). (PV 79.pdf)

Het vervolg

Wil je het zelf allemaal nalezen? Als je hier klikt vindt je de lobbydocumenten en kan je zelf de inhoud nalezen. Je ziet ook de lijst me lobbyende partijen. Wat voor partijen lobbyen nou precies? Dat lees je op het volgende blog.

  1. Peter Holland

    Wat een goed initiatief! Meer transparantie rond dit lobby proces is ontzettend belangrijk! Wat een werk moet het zijn geweest om al deze documenten door te nemen. Lijkt mij inderdaad moeilijk om meer te kunnen zeggen dan meer of minder bescherming. Ik ben wel benieuwd hoeveel bedrijven aangeven dat ze ‘privacy by design’ belangrijk vinden?

    Volgens mij zit er een fundamentele weeffout in dit lobby systeem. Hoe kan het dat deze bedrijven zoveel invloed kunnen uitoefenen? Bedrijven an sich hebben toch geen stemrecht in een echte zuivere democratie? Echter nu lijkt het erop dat je kennelijk geen stemrecht nodig hebt om toch aanzienlijke invloed op de totstandkoming van wetten te kunnen uitoefenen. Dit holt volgens mij een democratie uit.

    • Floris Kreiken

      Dank Peter! Privacy by design wordt ook vaak genoemd ja, maar ik zou nog moeten kijken hoe vaak. Misschien dat ik de documenten op bepaalde woorden scan.

      Wat betreft de waarde van lobbyen: ik snap je kritiek. Daar komen we in een later blog in deze serie nog op terug.

  2. Verdi Kulk

    Supergoed dat jullie een beetje openheid geven, in het on-transparante monster dat Overheid heet, ik vind dit ECHT een geweldige aktie van jullie, maar ja, eigenlijk zou de overheid zelf echte transparantie moeten geven, zoals ze beweren te doen, maar niets is minder waar!
    En hoe kun je als burger een weloverwogen politieke keuze maken, als je niet eens alle feiten kent?
    In de informatie die ik tot nu toe gelezen heb, is de overheid zelf de grootste schuld aan onze steeds verder polariserende maatschappij!
    Nogmaals dank “Bits of Freedom,”voor een kijkje achter de schermen van de lobby-industrie!

  3. Ardje

    Als bedrijf zijnde vind ik de meeste argumenten van die bedrijven kul. Een “data protection officer” is gewoon een aanspreekpunt/neven functie van iemand die zich zowiezo daarmee bezig houdt.
    Als bedrijf zijnde vind ik wel 1 ding een probleem: data retentie: uit praktijk ervaring heb ik gezien dat een consument een bedrijf alsnog ter verantwoording mag roepen ver nadat het bedrijf rechtshalve al alle bewijzen (bezwarende persoonlijke informatie) heeft moeten vernietigen.
    Ik vind dat als een bedrijf op basis van privacy wetgeving gegevens heeft vernietigd, een consument niet alsnog een bedrijf ter verantwoording mag roepen. Er zou een plicht moeten zijn dat de consument *voor* het verlopen van de retentie datum een instructie geeft voor het bewaren van de zware privacy gevoelige gegevens naar aanleiding van een komende klacht, waarna er binnen een termijn naar gerefereerd gaat worden.
    Ook als bedrijf moet je jezelf mogen verdedigen.

    • Floris Kreiken

      Je ziet precies de probleem met deze balans in de Facebook zaak over wraakporno.. Gezien?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.