Het nieuwe privacy proposal van de Europese Unie

Voor school heb ik de opdracht gekregen om een artikel over een security of privacy gerelateerd onderwerp te schrijven en deze vervolgens op een website te plaatsen. Aangezien ik tijdens mijn afstuderen met PIMN in aanraking ben gekomen leek me dit een geschikt medium om het artikel te plaatsen.

Het nieuwe privacy proposal van de Europese Unie
Het verzamelen van grote hoeveelheden persoonsgegevens is een ontwikkeling die de afgelopen jaren sterk is toegenomen. Grote internetbedrijven zoals Google en Facebook zijn hier leidend in en proberen steeds meer over hun gebruikers te weten te komen. Hierdoor is de privacy van internetgebruikers langzaam aan het vervagen zonder dat ze zich hier bewust van zijn.

Doordat de grote internetbedrijven tot nu toe geen strohalm in de weg is gelegd, kunnen deze rustig verdergaan met het verzamelen van persoonsgegevens. Onze privacy zal steeds verder vervagen en de macht van deze bedrijven zal groter en groter worden. Daarom is het tijd om deze bedrijven een halt toe te roepen en internetgebruikers bewust te maken van deze ontwikkeling. Gelukkig wordt dit belang ook door de Europese Unie (EU) ingezien en kwamen zij in 2012 met een nieuw privacy proposal.

Dit proposal is in tegenstelling tot het vorige privacy proposal uit 1995 geen richtlijn maar een wet (European Commission, Commission proposes a comprehensive reform of data protection rules to increase users' control of their data and to cut costs for businesses, 2012). Bij goedkeuring van dit proposal dient elke lidstaat van de EU het letterlijk in zijn wetgeving op te nemen en zijn er geen eigen implementaties mogelijk. Doordat in dit proposal de belangen van een internetgebruiker centraal staan zal het binnen de grote internetbedrijven voor een aantal veranderingen zorgen. De vraag is wat er precies bij de grote internetbedrijven moet veranderen als het nieuwe privacy proposal van de EU wordt goedgekeurd.

De inhoud van het nieuwe privacy proposal
Om op deze vraag antwoord te kunnen geven zal er eerst gekeken moeten worden naar de inhoud van het nieuwe privacy proposal. Aangezien de proposals van de EU uit vele pagina’s bestaan en de inhoud allesbehalve vlot wegleest is er ook een brochure uitgebracht (European Commission, Take Control of Your Personal Data, 2012). Hierin zijn kort en bondig de belangrijkste punten uit het nieuwe privacy proposal beschreven:

• Internetgebruikers moeten beter geïnformeerd worden en hun persoonsgegevens moeten beter beschermd zijn.
• Internetgebruikers krijgen meer controle over wat er met hun persoonsgegevens gebeurt. Daarnaast moet het duidelijk zijn waar internetgebruikers naartoe kunnen als ze niet tevreden zijn over wat er met hun persoonsgegevens gebeurt.
• Internetgebruikers zullen beter op de hoogte worden gebracht over hoe hun persoonsgegevens worden gebruikt. Wanneer toestemming moet worden gegeven om bepaalde gegevens vrij te geven zal hier expliciet om gevraagd worden. Als ze achteraf niet tevreden zijn over het vrijgeven van deze gegevens hebben internetgebruikers de mogelijkheid om van gedachten te veranderen. Alles zal duidelijk worden uitgelegd, zodat internetgebruikers de beslissingen die ze maken begrijpen.
• Binnen elke lidstaat van de EU zullen de persoonsgegevens van internetgebruikers op dezelfde manier beschermd worden. Ook zullen de gegevens buiten de EU beschermd zijn, zodat deze ongeacht de locatie beschermd zijn wanneer ze verwerkt of opgeslagen worden.
• De instellingen op alle websites dienen privacyvriendelijk te zijn. Hierdoor weet een internetgebruiker bijvoorbeeld bij het gebruik van een social network site dat zijn persoonsgegevens standaard beschermd zijn. Dit is niet het geval wanneer een internetgebruiker er zelf voor kiest om zijn privacy instellingen te wijzigen.
• Het moet veel gemakkelijker worden om persoonsgegevens die een internetgebruiker met websites gedeeld heeft terug te nemen. Deze gegevens moeten gemakkelijk te verwijderden zijn en aan een andere website kunnen worden gegeven als dit de wens van de internetgebruiker is.
• Wanneer het verliezen of de diefstal van persoonsgegevens aanzienlijke consequenties heeft, dienen de belanghebbenden zo snel mogelijk op de hoogte te worden gebracht. Hierdoor kunnen er op tijd maatregelen worden genomen door de internetgebruikers en organisaties die zich bezighouden met de bescherming van persoonsgegevens.

Deze doelstellingen moeten ervoor zorgen dat de internetgebruiker beter beschermd is en zelf meer controle krijgt over zijn persoonsgegevens. Een ontwikkeling die gunstig is voor de gebruikers maar vergaande gevolgen heeft voor grote internetbedrijven die persoonsgegevens opslaan en verwerken.

Gevolgen van het nieuwe privacy proposal voor grote internetbedrijven zoals Google en Facebook
De grootste internetbedrijven ter wereld zijn gevestigd in de Verenigde Staten (VS) waar aanzienlijk mildere privacyregels van kracht zijn dan in de EU. Dit komt omdat in de VS wordt uitgegaan van zelfregulering wat betekent dat een bedrijf zijn eigen privacyregels opstelt. In de EU daarentegen worden deze privacyregels in de vorm van wetgeving aan de bedrijven opgelegd (Schoenmaker, 2012). Door dit grote verschil in regelgeving zijn internetbedrijven in de VS de afgelopen jaren steeds meer persoonsgegevens van hun gebruikers gaan verzamelen. Deze gegevens worden onder andere gebruikt om persoonlijk getinte advertenties aan hun gebruikers te kunnen laten zien. Deze advertenties vormen momenteel dan ook de grootste inkomstenbron voor bedrijven zoals Google en Facebook.

Door het nieuwe privacy proposal van de EU komt deze inkomstenbron in gevaar. In het proposal staat namelijk beschreven dat niet Europese bedrijven die diensten leveren aan Europese burgers zich ook aan de Europese privacywetgeving moeten houden (Cooley LPP, 2012). Dit houdt in dat Google en Facebook hun Europese gebruikers in het vervolg op de hoogte moeten stellen wanneer zij hun persoonsgegevens gebruiken. Hierdoor kunnen er geen persoonlijk getinte advertenties aan Europese gebruikers worden getoond zonder dat deze hier toestemming voor hebben gegeven. De verwachting is dan ook dat hierdoor de advertentie-inkomsten flink terug zullen lopen, wat een grote tegenslag voor deze bedrijven zou zijn.

Naast dat de inkomsten door dit privacy proposal bij grote internetbedrijven zullen teruglopen, zijn ook de boetes bij overtredingen hiervan aanzienlijk. Deze kunnen namelijk oplopen tot 2% van de jaarlijks wereldwijde omzet wat bij de grootste internetbedrijven ter wereld boetes van honderden miljoenen kan betekenen (Rashid, 2012). Hierdoor zullen deze bedrijven het niet snel in hun hoofd halen om het nieuwe privacy proposal links te laten liggen.

Niet alleen op financieel gebied zijn er gevolgen voor de grote internetbedrijven maar ook op andere gebieden. Doordat een gedeelte van de gebruikers bij bedrijven zoals Google en Facebook Europees zijn dienen deze bedrijven hun privacyregels op een andere manier in te richten. Het proposal verschilt immers op een aantal punten sterk met de huidige privacyregels die in de VS gelden (Cooley LPP, 2012):

• In de VS worden voor kinderen onder de 13 jaar regels opgesteld voor het verzamelen van persoonsgegevens. In het nieuwe privacy proposal van de EU gelden de regels voor het verzamelen van persoonsgegevens voor kinderen tot 18 jaar.
• Het nieuwe privacy proposal verhoogt de eisen die worden gesteld aan bedrijven die persoonsgegevens van Europese burgers verwerken. Zo moeten deze bedrijven onder andere een proactieve houding aannemen, op verzoek bewijs kunnen overhandigen van hun privacybeleid en boven de 250 werknemers een functionaris gegevensbescherming aanstellen.
• De individuele rechten voor de bescherming van persoonsgegevens worden door het nieuwe privacy proposal van de EU versterkt. Dit valt af te leiden uit het recht om te worden vergeten, waarbij alle persoonsgegevens van een gebruiker worden verwijderd. Daarnaast is er ook het recht op data portabiliteit waardoor het als gebruiker gemakkelijker wordt om persoonsgegevens naar anderen te kunnen sturen.
• Het is in het nieuwe privacy proposal illegaal om zonder toestemming van de Europese Commissie persoonsgegevens te versturen op basis van een buitenlandse rechterlijke beslissing.
• In het nieuwe privacy proposal van de EU dienen datalekken onder een korter tijdsbestek en voor meer verschillende soorten gegevens te worden gemeld.

De bovenstaande punten zorgen ervoor dat grote internetbedrijven met Europese gebruikers, zoals Google en Facebook, hun privacybeleid op een hele andere manier moeten gaan inrichten. Ze dienen namelijk niet meer alleen aan de privacy wetgeving van de VS te voldoen maar ook aan de Europese privacy wetgeving. Doordat deze een stuk strenger is dan de huidige privacy wetgeving in de VS is het opstellen van nieuwe privacyregels voor deze bedrijven noodzakelijk. Ook zal de organisatiestructuur moeten veranderen aangezien er voor bedrijven met meer dan 250 werknemers een functionaris gegevensbescherming aangesteld dient te worden. Deze onafhankelijke functionaris houdt toezicht op het privacybeleid binnen een organisatie en geniet rechtsbescherming, zodat deze overtredingen openbaar kan maken (Cooley LPP, 2012). Daarnaast schuilt met dit nieuwe privacy proposal het gevaar dat de advertentie-inkomsten van deze bedrijven aanzienlijk teruglopen. Dit vraagt om een ander verdienmodel, omdat het huidige model voor het grootste gedeelte op advertentie-inkomsten gebaseerd is. Het is daarom ook niet meer dan logisch dat dit proposal voor een golf van opschudding zorgt in de VS.

Discussiepunten in het nieuwe privacy proposal
Aangezien het nieuwe privacy proposal nog niet definitief is wordt er nog behoorlijk over de inhoud gediscussieerd. Hierbij zijn er een aantal discussiepunten naar voren gekomen waar critici op wijzen (LobbyPlag):

• Het invoeren van een functionaris gegevensbescherming in bedrijven met meer dan 250 werknemers zorgt voor veel administratief werk. Daarnaast wordt in sommige landen door deze regel de data protectie verlaagd, omdat hier in kleinere bedrijven al een functionaris gegevensbescherming moet worden aangesteld.
• De plicht om binnen 24 uur de autoriteiten op de hoogte te stellen bij verlies of diefstal van persoonsgegevens is erg ambitieus.
• Het nieuwe privacy proposal van de EU is met name ontwikkeld voor sociale netwerken en cloud providers. Hierdoor stelt het geen nieuwe eisen aan de behandeling van werknemergegevens wat ook als een belangrijk onderdeel wordt gezien.
• Data portabiliteit wordt niet gezien als een belangrijk aspect voor de bescherming van persoonsgegevens maar als een functionele eis voor sociale netwerken en cloud providers.
• Taal uitdagingen voor de Europese gegevensbescherming autoriteiten doordat niet Europese bedrijven de voorkeur geven aan Engelstalige autoriteiten.
• Het nieuwe privacy proposal is in strijd met andere niet Europese wet- en regelgeving. Dit betekent dat bedrijven in landen waar deze wet- en regelgeving geldt niet meer in aanmerking komen om persoonsgegevens uit de EU te verwerken.
• De implementatie van het nieuwe privacy proposal zal in de praktijk de grootste uitdaging worden. In elke lidstaat van de EU dient de data namelijk op hetzelfde niveau beschermd te worden.

Tegenstanders en toekomstverwachting van het nieuwe privacy proposal
Doordat de inhoud van het nieuwe privacy proposal een stuk strenger is als de richtlijn uit 1995 zijn er ook een aantal tegenstanders. De grootste tegenstanders zijn internetbedrijven zoals Google en Facebook, die in Europa druk aan het lobbyen zijn om het proposal tegen te houden. Dit gaat zelfs zover dat door de wetswijzigingen die sommige landen aandragen het nieuwe privacy proposal zwakker zou worden als de richtlijn uit 1995. Tot nu toe zijn er 3132 wetswijzigingen aangedragen waarvan 1236 die het proposal zouden verzwakken, 952 die neutraal zijn en 943 die het proposal zouden versterken (LobbyPlag). Hieruit blijkt dat de kans groot is dat het nieuwe privacy proposal in deze vorm geen doorgang zal kunnen vinden. In de herfst van dit jaar zullen dan ook de onderhandelingen plaatsvinden tussen het Europese Parlement, de Europese raad en de Europese Commissie. Na deze onderhandelingen zal er een nieuw privacy proposal komen waarvan verwacht wordt dat het in 2014 aangenomen wordt.

Conclusie
Het nieuwe privacy proposal van de EU probeert een halt toe te roepen aan het langzaam vervagen van de privacy van internetgebruikers. Grote internetbedrijven zoals Google en Facebook zijn hier schuldig aan door steeds meer persoonsgegevens van hun gebruikers te verzamelen. Door de komst van het nieuwe privacy proposal worden de regels waar onder andere deze bedrijven zich aan moeten houden een stuk strenger. Dit zorgt ervoor dat deze bedrijven hun privacybeleid op een hele andere manier moeten gaan inrichten, omdat ze ook aan de Europese privacy wetgeving moeten voldoen. Het anders inrichten van het privacybeleid brengt met zich mee dat ook de organisatiestructuur binnen bedrijven zoals Google en Facebook zal veranderen. Zo dient er een functionaris gegevensbescherming aangesteld te worden die toezicht houdt op het privacybeleid en overtredingen openbaar maakt. De meest ingrijpende verandering is dat de advertentie-inkomsten van deze bedrijven vermoedelijk aanzienlijk zullen teruglopen door het nieuwe privacy proposal. Desondanks is het nog maar de vraag of het nieuwe privacy proposal in zijn huidige vorm doorgang zal vinden. Critici hebben verschillende discussiepunten opgesteld en de grote internetbedrijven zijn hevig aan het lobbyen om het proposal te verzwakken. Dit blijkt uit het grote aantal voorgestelde wetswijzigingen en het feit dat sommige landen wel erg ver willen gaan met het aanpassen van het proposal. Dit kan ervoor zorgen dat het nieuwe privacy proposal een stuk minder krachtig zal worden dan het in eerste instantie bedoeld is. Afgezien daarvan is het een goede zaak dat de EU het belang inziet van privacy. Hierdoor kunnen grote internetbedrijven zoals Google en Facebook in de toekomst niet ongestoord hun gang blijven gaan.

Bronnen

Cooley LPP. (2012, 12 Januari). How Proposed EU-Wide Data Protection Regulation Will Affect U.S. Based Businesses. Opgeroepen op 15 Augustus, 2013, van http://www.cooley.com/showalert.aspx?Show=66023

European Commission. (2012, 25 Januari). Commission proposes a comprehensive reform of data protection rules to increase users' control of their data and to cut costs for businesses. Opgeroepen op 12 Augustus, 2013, van http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en

European Commission. (2012). Take Control of Your Personal Data. Opgeroepen op 12 Augustus, 2013, van http://ec.europa.eu/justice/data-protection/minisite/

LobbyPlag. (sd). Amendments by the Committee on Civil Liberties, Justice and Home Affairs (LIBE). Opgeroepen op 19 Augustus, 2013, van http://lobbyplag.eu/map/amendments/libe/

Rashid, F. Y. (2012, 25 Januari). EU-Proposed New Data Privacy Laws to Impact U.S. Internet Giants. Opgeroepen op 14 Augustus, 2013, van eWeek: http://www.eweek.com/c/a/Security/EU-Proposed-New-Data-Privacy-Laws...

Schoenmaker, R. (2012, 21 Maart). EU en VS verhevigen privacyoorlog. Opgeroepen op 14 Augustus, 2013, van Webwereld: http://webwereld.nl/e-commerce/215-eu-en-vs-verhevigen-privacyoorlog