De Europese privacyregels gaan op de schop, zo kondigde de Europese Commissie in januari vorig jaar aan. De Wet bescherming persoonsgegevens en haar Europese tegenhangers zijn gebaseerd op een Richtlijn uit 1995. De voorgestelde Verordening moet één regime voor privacybescherming in heel Europa brengen. Vanwege alle technische ontwikkelingen rond advertentieprofielen, cookies en Big Data zal deze Europese wet nogal wat met zich meebrengen. Het Europees Parlement heeft ingestemd met een fors gewijzigde set Europese regels. Wat valt er zoal te verwachten?
Het gebruik van persoonsgegevens is sinds de opkomst van internet gigantisch toegenomen. Internetdiensten worden gewoonlijk als gratis met advertenties geleverd, en om die advertenties aantrekkelijk te maken, moeten die advertenties zo specifiek mogelijk zijn. Sociale netwerken als Facebook hebben dit tot een ware kunst verheven. Wie specifiek wil adverteren bij Nederlandse vrouwen tussen 35 en 40 die recent verhuisd zijn en graag Game of Thrones kijken, kan ze alle veertig volautomatisch gericht benaderen.
Dergelijke profielopbouw moge commercieel interessant zijn, privacytechnisch is dit een buitengewoon verontrustende ontwikkeling. De conceptverordening is dan ook geschreven om hier een dam tegen op te werpen en de burger de controle over zijn persoonsgegevens terug te geven. Maar de voorstellen gaan wel érg ver.
De privacyverordening is geen principiële wijziging, maar vooral een aanscherping en uitwerking naar de internetomgeving. Zo kreeg het ‘recht te worden vergeten’ op internet veel aandacht. Dit is echter niet meer dan een uitwerking van het bestaande recht om irrelevante persoonsgegevens te laten verwijderen.
Enkele zaken zijn wel nieuw. Neem het recht van dataportabiliteit: de betrokkene moet zijn persoonsgegevens mee kunnen nemen naar een andere verantwoordelijke, en wel in een standaard elektronisch formaat. Direct marketing wordt expliciet gereguleerd. De privacyverklaring moet worden ontdaan van juridische taal en “transparant en eenvoudig toegankelijk” worden voor de leek. En bij ‘datalekken’ – een diefstal of abusievelijke publicatie van persoonsgegevens – moeten de toezichthouder en de betrokken persoon worden geïnformeerd.
Verder dwingt de Verordening tot meer accountability. Governance, procesbeheersing en compliance zijn hierbij de toverwoorden. Bedrijfsprocessen die met persoonsgegevens werken, moeten gedocumenteerd worden (met name hoe toesteming verkregen is). Bedrijven moeten kunnen verantwoorden waarom het niet een onsje minder kan met die persoonsgegevens. En veel internetbedrijven zullen een onafhankelijke privacy officer moeten aanstellen.
Om dit alles kracht bij te zetten, krijgt de toezichthouder een boetebevoegdheid die op kan lopen tot € 100.00.000 per overtreding of 5% van de wereldwijde jaaromzet. Wereldwijd, want Google, Facebook en andere Amerikaanse bedrijven kunnen ‘pakken’ is expliciet de bedoeling. Deze vallen volgens de conceptverordening onder Europese jurisdictie wanneer zij persoonsgegevens van Europese burgers verwerken, ongeacht in welk land dat gebeurt.
Het Europees Parlement stelde begin dit jaar meer dan 350 wijzigingen voor, die de privacyduimschroeven nog eens extra aandraaiden. Zo gaat ieder gebruik van persoonsgegevens een aparte toestemmingshandeling vereisen, vereist profiling een duidelijke opt-out en mag een bedrijf niet zomaar meer persoonsgegevens eisen als voorwaarde voor haar dienstverlening. Ook moet iedereen die per jaar van meer dan 5000 betrokkenen (5000 personen) persoonsgegevens verwerkt, een privacy officer aanstellen.
Het wetsvoorstel maakte veel los, met name bij internet- en mediabedrijven die afhankelijk zijn van gericht adverteren en profielopbouw. Begrijpelijk, want de kosten voor compliance zullen fors zijn en zeker de directmarketingbranche zal flink moeten inleveren onder de voorstellen. Dit leidde tot wat Europees commissaris Viviane Reding ‘de agressiefste lobby ooit’ noemde.
In mei 2013 verscheen een compromistekst die nu voorligt bij de Raad van Ministers. De definitieve beslissing van de Raad wordt rond oktober verwacht. Als het Parlement het hiermee oneens is, moet er worden onderhandeld. Daarom is het lastig te zeggen wanneer de Verordening er precies komt, maar vroeger dan 2015 zal het niet worden.
Hoewel het nog vroeg is, zal de privacyverordening veel losmaken in bedrijven en instellingen. Ga dus nu al aan de slag met inventariseren en leg de basis voor een goede implementatie.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.