Platform Identity Management Nederland (PIMN)
PIMN voor beter identity management
Voor school heb ik de opdracht gekregen om een artikel over een security of privacy gerelateerd onderwerp te schrijven en deze vervolgens op een website te plaatsen. Aangezien ik tijdens mijn afstuderen met PIMN in aanraking ben gekomen leek me dit een geschikt medium om het artikel te plaatsen.
Het nieuwe privacy proposal van de Europese Unie
Het verzamelen van grote hoeveelheden persoonsgegevens is een ontwikkeling die de afgelopen jaren sterk is toegenomen. Grote internetbedrijven zoals Google en Facebook zijn hier leidend in en proberen steeds meer over hun gebruikers te weten te komen. Hierdoor is de privacy van internetgebruikers langzaam aan het vervagen zonder dat ze zich hier bewust van zijn.
Doordat de grote internetbedrijven tot nu toe geen strohalm in de weg is gelegd, kunnen deze rustig verdergaan met het verzamelen van persoonsgegevens. Onze privacy zal steeds verder vervagen en de macht van deze bedrijven zal groter en groter worden. Daarom is het tijd om deze bedrijven een halt toe te roepen en internetgebruikers bewust te maken van deze ontwikkeling. Gelukkig wordt dit belang ook door de Europese Unie (EU) ingezien en kwamen zij in 2012 met een nieuw privacy proposal.
Dit proposal is in tegenstelling tot het vorige privacy proposal uit 1995 geen richtlijn maar een wet (European Commission, Commission proposes a comprehensive reform of data protection rules to increase users' control of their data and to cut costs for businesses, 2012). Bij goedkeuring van dit proposal dient elke lidstaat van de EU het letterlijk in zijn wetgeving op te nemen en zijn er geen eigen implementaties mogelijk. Doordat in dit proposal de belangen van een internetgebruiker centraal staan zal het binnen de grote internetbedrijven voor een aantal veranderingen zorgen. De vraag is wat er precies bij de grote internetbedrijven moet veranderen als het nieuwe privacy proposal van de EU wordt goedgekeurd.
De inhoud van het nieuwe privacy proposal
Om op deze vraag antwoord te kunnen geven zal er eerst gekeken moeten worden naar de inhoud van het nieuwe privacy proposal. Aangezien de proposals van de EU uit vele pagina’s bestaan en de inhoud allesbehalve vlot wegleest is er ook een brochure uitgebracht (European Commission, Take Control of Your Personal Data, 2012). Hierin zijn kort en bondig de belangrijkste punten uit het nieuwe privacy proposal beschreven:
Deze doelstellingen moeten ervoor zorgen dat de internetgebruiker beter beschermd is en zelf meer controle krijgt over zijn persoonsgegevens. Een ontwikkeling die gunstig is voor de gebruikers maar vergaande gevolgen heeft voor grote internetbedrijven die persoonsgegevens opslaan en verwerken.
Gevolgen van het nieuwe privacy proposal voor grote internetbedrijven zoals Google en Facebook
De grootste internetbedrijven ter wereld zijn gevestigd in de Verenigde Staten (VS) waar aanzienlijk mildere privacyregels van kracht zijn dan in de EU. Dit komt omdat in de VS wordt uitgegaan van zelfregulering wat betekent dat een bedrijf zijn eigen privacyregels opstelt. In de EU daarentegen worden deze privacyregels in de vorm van wetgeving aan de bedrijven opgelegd (Schoenmaker, 2012). Door dit grote verschil in regelgeving zijn internetbedrijven in de VS de afgelopen jaren steeds meer persoonsgegevens van hun gebruikers gaan verzamelen. Deze gegevens worden onder andere gebruikt om persoonlijk getinte advertenties aan hun gebruikers te kunnen laten zien. Deze advertenties vormen momenteel dan ook de grootste inkomstenbron voor bedrijven zoals Google en Facebook.
Door het nieuwe privacy proposal van de EU komt deze inkomstenbron in gevaar. In het proposal staat namelijk beschreven dat niet Europese bedrijven die diensten leveren aan Europese burgers zich ook aan de Europese privacywetgeving moeten houden (Cooley LPP, 2012). Dit houdt in dat Google en Facebook hun Europese gebruikers in het vervolg op de hoogte moeten stellen wanneer zij hun persoonsgegevens gebruiken. Hierdoor kunnen er geen persoonlijk getinte advertenties aan Europese gebruikers worden getoond zonder dat deze hier toestemming voor hebben gegeven. De verwachting is dan ook dat hierdoor de advertentie-inkomsten flink terug zullen lopen, wat een grote tegenslag voor deze bedrijven zou zijn.
Naast dat de inkomsten door dit privacy proposal bij grote internetbedrijven zullen teruglopen, zijn ook de boetes bij overtredingen hiervan aanzienlijk. Deze kunnen namelijk oplopen tot 2% van de jaarlijks wereldwijde omzet wat bij de grootste internetbedrijven ter wereld boetes van honderden miljoenen kan betekenen (Rashid, 2012). Hierdoor zullen deze bedrijven het niet snel in hun hoofd halen om het nieuwe privacy proposal links te laten liggen.
Niet alleen op financieel gebied zijn er gevolgen voor de grote internetbedrijven maar ook op andere gebieden. Doordat een gedeelte van de gebruikers bij bedrijven zoals Google en Facebook Europees zijn dienen deze bedrijven hun privacyregels op een andere manier in te richten. Het proposal verschilt immers op een aantal punten sterk met de huidige privacyregels die in de VS gelden (Cooley LPP, 2012):
De bovenstaande punten zorgen ervoor dat grote internetbedrijven met Europese gebruikers, zoals Google en Facebook, hun privacybeleid op een hele andere manier moeten gaan inrichten. Ze dienen namelijk niet meer alleen aan de privacy wetgeving van de VS te voldoen maar ook aan de Europese privacy wetgeving. Doordat deze een stuk strenger is dan de huidige privacy wetgeving in de VS is het opstellen van nieuwe privacyregels voor deze bedrijven noodzakelijk. Ook zal de organisatiestructuur moeten veranderen aangezien er voor bedrijven met meer dan 250 werknemers een functionaris gegevensbescherming aangesteld dient te worden. Deze onafhankelijke functionaris houdt toezicht op het privacybeleid binnen een organisatie en geniet rechtsbescherming, zodat deze overtredingen openbaar kan maken (Cooley LPP, 2012). Daarnaast schuilt met dit nieuwe privacy proposal het gevaar dat de advertentie-inkomsten van deze bedrijven aanzienlijk teruglopen. Dit vraagt om een ander verdienmodel, omdat het huidige model voor het grootste gedeelte op advertentie-inkomsten gebaseerd is. Het is daarom ook niet meer dan logisch dat dit proposal voor een golf van opschudding zorgt in de VS.
Discussiepunten in het nieuwe privacy proposal
Aangezien het nieuwe privacy proposal nog niet definitief is wordt er nog behoorlijk over de inhoud gediscussieerd. Hierbij zijn er een aantal discussiepunten naar voren gekomen waar critici op wijzen (LobbyPlag):
Tegenstanders en toekomstverwachting van het nieuwe privacy proposal
Doordat de inhoud van het nieuwe privacy proposal een stuk strenger is als de richtlijn uit 1995 zijn er ook een aantal tegenstanders. De grootste tegenstanders zijn internetbedrijven zoals Google en Facebook, die in Europa druk aan het lobbyen zijn om het proposal tegen te houden. Dit gaat zelfs zover dat door de wetswijzigingen die sommige landen aandragen het nieuwe privacy proposal zwakker zou worden als de richtlijn uit 1995. Tot nu toe zijn er 3132 wetswijzigingen aangedragen waarvan 1236 die het proposal zouden verzwakken, 952 die neutraal zijn en 943 die het proposal zouden versterken (LobbyPlag). Hieruit blijkt dat de kans groot is dat het nieuwe privacy proposal in deze vorm geen doorgang zal kunnen vinden. In de herfst van dit jaar zullen dan ook de onderhandelingen plaatsvinden tussen het Europese Parlement, de Europese raad en de Europese Commissie. Na deze onderhandelingen zal er een nieuw privacy proposal komen waarvan verwacht wordt dat het in 2014 aangenomen wordt.
Conclusie
Het nieuwe privacy proposal van de EU probeert een halt toe te roepen aan het langzaam vervagen van de privacy van internetgebruikers. Grote internetbedrijven zoals Google en Facebook zijn hier schuldig aan door steeds meer persoonsgegevens van hun gebruikers te verzamelen. Door de komst van het nieuwe privacy proposal worden de regels waar onder andere deze bedrijven zich aan moeten houden een stuk strenger. Dit zorgt ervoor dat deze bedrijven hun privacybeleid op een hele andere manier moeten gaan inrichten, omdat ze ook aan de Europese privacy wetgeving moeten voldoen. Het anders inrichten van het privacybeleid brengt met zich mee dat ook de organisatiestructuur binnen bedrijven zoals Google en Facebook zal veranderen. Zo dient er een functionaris gegevensbescherming aangesteld te worden die toezicht houdt op het privacybeleid en overtredingen openbaar maakt. De meest ingrijpende verandering is dat de advertentie-inkomsten van deze bedrijven vermoedelijk aanzienlijk zullen teruglopen door het nieuwe privacy proposal. Desondanks is het nog maar de vraag of het nieuwe privacy proposal in zijn huidige vorm doorgang zal vinden. Critici hebben verschillende discussiepunten opgesteld en de grote internetbedrijven zijn hevig aan het lobbyen om het proposal te verzwakken. Dit blijkt uit het grote aantal voorgestelde wetswijzigingen en het feit dat sommige landen wel erg ver willen gaan met het aanpassen van het proposal. Dit kan ervoor zorgen dat het nieuwe privacy proposal een stuk minder krachtig zal worden dan het in eerste instantie bedoeld is. Afgezien daarvan is het een goede zaak dat de EU het belang inziet van privacy. Hierdoor kunnen grote internetbedrijven zoals Google en Facebook in de toekomst niet ongestoord hun gang blijven gaan.
Bronnen
Cooley LPP. (2012, 12 Januari). How Proposed EU-Wide Data Protection Regulation Will Affect U.S. Based Businesses. Opgeroepen op 15 Augustus, 2013, van http://www.cooley.com/showalert.aspx?Show=66023
European Commission. (2012, 25 Januari). Commission proposes a comprehensive reform of data protection rules to increase users' control of their data and to cut costs for businesses. Opgeroepen op 12 Augustus, 2013, van http://europa.eu/rapid/press-release_IP-12-46_en.htm?locale=en
European Commission. (2012). Take Control of Your Personal Data. Opgeroepen op 12 Augustus, 2013, van http://ec.europa.eu/justice/data-protection/minisite/
LobbyPlag. (sd). Amendments by the Committee on Civil Liberties, Justice and Home Affairs (LIBE). Opgeroepen op 19 Augustus, 2013, van http://lobbyplag.eu/map/amendments/libe/
Rashid, F. Y. (2012, 25 Januari). EU-Proposed New Data Privacy Laws to Impact U.S. Internet Giants. Opgeroepen op 14 Augustus, 2013, van eWeek: http://www.eweek.com/c/a/Security/EU-Proposed-New-Data-Privacy-Laws...
Schoenmaker, R. (2012, 21 Maart). EU en VS verhevigen privacyoorlog. Opgeroepen op 14 Augustus, 2013, van Webwereld: http://webwereld.nl/e-commerce/215-eu-en-vs-verhevigen-privacyoorlog
Opmerking
In 2011 is binnen de EU de houding van burgers ten aanzien van gegevensbeveiliging en elektronische identiteit onderzocht per lid. Interessante uitslag. Ook Dr. Sarah Spiekerman van de WU Wien heeft over dit onderwerp een interessante presentatie gegeven tijdens het oprichtingscongres van PI.Lab in 2012, zie http://www.pilab.nl/presentations/Spiekermann%20-%20Privacy%20As%20....
Ik denk zelf dat SNS's twee vormen van hun dienst zullen gaan aanbieden: één onbetaald zonder privacy en één betaald met behoud van privacy. Blijft het probleem: hoe controleerbaar is het.
Bedankt voor jullie reacties.
Irwin: JanusID is inderdaad een interessante ontwikkeling waarmee gebruikers zichzelf beter zouden kunnen beschermen op het internet.
Ton: Het verlies aan advertentie-inkomsten is denk ik de verandering waar de bedrijven op dit moment de meeste angst voor hebben (onderbuikgevoel). Wel ben ik het met u eens dat het verminderen van hun klantbereik ook een flinke impact zal hebben. Ben benieuwd of de VS deze bedrijven inderdaad zal verbieden om hun diensten in de EU aan te bieden omdat ze de Patriot Act niet meer kunnen naleven.
Ik kan u geen antwoord geven op de vraag of er onderzoek is gedaan naar de mening van EU-inwoners. Toch denk ik dat maar een beperkte groep EU-inwoners zich bewust is van de daadwerkelijke hoeveelheid informatie waarover deze bedrijven beschikken. Het merendeel van de inwoners zal het belangrijker vinden om deze diensten te blijven gebruiken ook al houdt dit in dat hun privacy steeds verder zal vervagen. Daarom is het nieuwe privacy proposal in mijn ogen een goede ontwikkeling om de bewustwording te vergroten en EU-inwoners tegen zichzelf te beschermen.
Job, een heldere weergave van het 'Brussels gevecht'. Je schrijft dat "de meest ingrijpende verandering [...] dat de advertentie-inkomsten van deze bedrijven vermoedelijk aanzienlijk zullen teruglopen". Is dat zo? Is daar onderzoek naar gedaan, of is het een onderbuikgevoel waar over die organisaties hard roepen?
Tegelijkertijd is de vraag of dit inderdaad het meest ingrijpende gevolg is. De gevolgen voor de organisatie- en procesinrichting en het klantbereik (mag Google en Facebook nog wel binnen de EU als je kijkt naar de Patriot Act) scoren ook hoog op ingrijpendheid.
Ik ben ook nog op zoek naar de democratische legitimiteit van het proposal. Het Europees Parlement is er sterk voor, mede door de in breng van Sofie in 't Veld en Judith Sargentini. Maar ik vraag me af: is er onderzoek bekend naar de mening van de EU-inwoners? En niet alleen op het abstracte niveau van "mag een organisatie ongevraagd [...] of is daar uw toestemming voor nodig?" maar juist naar concrete consequenties "Als de EU dit privacyprotocol invoert en u kunt dan geen gebruik meer maken van Google, Facebook of Bing, bent u het dan daar mee eens?"
goed verhaal, Job. Had van jou ook niet anders verwacht
Job, heldere weergave van wat er aankomt. Hopelijk komt het voorstel er voldoende ongeschonden door. Waarschijnlijk vind je dit ook interessant: www.janusid.nu. Hiermee wordt o.a. volledig invulling gegeven aan zeven punten waar je jouw artikel mee begint.
Vaker een update en goede mogelijkheid om zichtbaar te zijn.
© 2018 Gemaakt door Jaap Kuipers.
Verzorgd door
Je moet lid zijn van Platform Identity Management Nederland (PIMN) om reacties te kunnen toevoegen!
Wordt lid van Platform Identity Management Nederland (PIMN)