Aan het eind van januari moeten de nieuwe voorstellen voor een nieuwe Europese gegevensbeschermingsregeling worden ingediend. Wat zijn de implicaties van deze voorstellen ?
De voorstellen hebben een revolutionaire potentie in het vergroten van de beveiligingsniveaus en kunnen op een permanente wijze de manier veranderen waarop gebruikers het WWW ervaren. Dat gaat niet zonder nadeel, want een hoge bescherming van persoonlijke gegevens gaat meestal niet samen met grote gebruiksvriendelijkheid. Een nieuwe regeling is echter wel noodzakelijk; de bescherming van persoonsgegevens heeft de gehele revolutie van het internet en van sociale media niet meegemaakt. Het dateert uit 1995. Ondanks de noodzaak om oude regels aan te passen aan een nieuwe wereld, hebben de discussies over de vervanging van het Data Protection Directive jaren gevergd, zonder in realiteit ook maar iets op te leveren.
Maar nu lijkt het moment van de waarheid toch aangebroken te zijn. De voorstellen moeten tegen het eind van januari worden gepubliceerd. Een concept circuleert al onder EU functionarissen. Uiteraard is dit voorstel gelekt, waardoor er een idee bestaat wat de ideeën zijn van Viviane Reding, de eurocommissaris die eigenaar is van het dossier.
Reding, verantwoordelijk voor justitie en grondrechten, heeft plannen om ook databescherming van haar stempel te voorzien. Het meest verreikende in het concept is de bepaling dat elke gebruik van persoonlijke informatie ‘should be subject to the explicit consent of the data subject’. Of, om het nog duidelijker te maken, het groene licht van surfers om persoonlijke gegevens te kunnen gebruiken ‘should be freely given, specific, informed and explicit’. De reden voor een dergelijke regeling is duidelijk: persoonlijke gegevens en andere identificerende gegevens worden massaal gebruikt door het bedrijfsleven voor nieuwe en telkens verde gepersonaliseerde marketingstrategieën. Sommige gaan zelfs zover dat er gedetailleerde profielen worden opgezet van potentiële klanten op basis van online gebruiken.
De bedrijven die deze data verzamelen zijn in toenemende mate het slachtoffer van aanvallen op hun databases. Deze ‘data breaches’ hebben pijnlijke en blijvende gevolgen voor de klanten, die potentiële of daadwerkelijke financiële verliezen kunnen lijden door diefstal of fraude en van wie zelfs de digitale identiteit kan worden overgenomen.
De nieuwe regeling probeert om juist deze aspecten te behandelen, maar de oplossing ligt niet zomaar voor de hand. Het is immers zelfs nog een onderdeel van debat wat nu eigenliojk persoonlijke gegevens zijn. Het document van de EC stelt dat ‘information not strictly personal, but still capable of vaguely identifying a user – such as cookies – should be subject to the new stricter regime’. Het probleem is wel dat cookies de smeerolie is van het Web. Zij maken het het internet mogelijk om makkelijk te werken door allerlei routinematige procedures, zoals het herhaaldelijk vragen van gebruikersnamen. Als een expliciete toestemming nodig is iedere keer als cookies worden gebruikt, dan worden de open wegen van het Web snel vol en dreigen er files, waardoor surfen een toch wat andere ervaring krijgt dan het nu heeft. Zelfs organisaties die opkomen voor consumentenbelangen stellen dat een te radicale benadering niet gewenst is. ‘We do not want the internet to become a user-unfriendly experience’.
Reding pleit eveneens voor de introductie van een recht om vergeten te worden, wat betekent dat ‘data collectors – such as email providers or social media – should be obliged to delete personal information if the data holder so wishes. If individuals no longer want their personal data to be processed or stored by data controllers and if there is no legitimate reason for keeping it, the data should be removed from their system’. De maatregel probeert het probleem aan te pakken dat persoonlijke gegevens vaak doorverkocht worden zonder dat de gebruikers ervan op de hoogte zijn. Tevens wil de EC het bewaren van de data voor onbepaalde tijd verhinderen. Goede doelen en redenen, maar een uitgebreide en strikte toepassing van deze rechten kunnen een serieuze uitdaging worden voor het functioneren van het internet.
Brussel zal eveneens gaan voorstellen om hoge boeten op te leggen aan gegevensbeheerders die cerzamelde persoonsgegevens niet goed beschermen. ‘Supervisory authorities will be empowered to impose a fine of between €100.000 and €1m or, in case of an enterprise, up to 5 per cent of its annual worldwide turnover to those who intentionally or negligently suffer data breaches’. Als deze regels al in werking waren geweest dan zouden bedrijven als Sony en Apple, die onlangs grote hoeveelheden gegevens gehackt zagen, naast de reputatieschade, ook pijnlijke financiële sancties hebben opgeleverd.
Het laatste woord over deze voorstellen is uiteraard nog niet gesproken. Wat wel helder is, is dat nieuwe regels noodzakelijk zijn. De voorstellen gaan een goede kant op, hoe ver en hoe strikt ze moeten worden aangezet, dat is de vraag.