Nieuws

5 manieren waarop de EU je data beter wil beschermen

16 december 2015 15:17

In Brussel is vannacht een akkoord bereikt over een voorstel om de data van Europese burgers beter te beschermen. Hoe moet dat gebeuren?

Het Europees Parlement, de Europese Commissie en de Raad van Ministers hebben vannacht een politiek akkoord bereikt over regels voor het waarborgen van de privacy van EU-burgers. De regels gaan gelden voor alle in de EU opererende bedrijven, van techgiganten als Facebook en Google tot tandartsen en het gemeentearchief.

In Nederland kenden we al verschillende regels die in het voorstel voorkomen, maar het goede nieuws is dat deze nu overal in de EU gaan gelden. Als het voorstel wordt goedgekeurd door het Europees Parlement en de Raad van Ministers, wat wel de verwachting is, gaan de regels in 2017 voor elk EU-land in. Dit zijn de belangrijkste punten:

Hogere boetes 

Als bedrijven de regels overtreden en de data van gebruikers niet voldoende beschermen, moeten zij fikse boetes betalen. Deze kunnen oplopen tot maximaal 4 procent van de jaaromzet. Een bedrijf als Google zou dan een bedrag van 2,64 miljard dollar moeten betalen, berekend op basis van de totale omzet in 2014. "Je kijkt dan wel uit voordat je de regels overtreedt", aldus Daphe van der Kroft van digitale burgerrechtenorganisatie Bits of Freedom. "Bedrijven weten nu waar ze aan toe zijn en wat de regels zijn."

De Nederlandse privacytoezichthouder College Bescherming Persoonsgegevens (CBP) kan hierdoor hogere boetes uitdelen. Op dit moment is de maximale boete die het CBP mag uitdelen 820.000 euro. "Het is mooi dat er een akkoord is en dat we, wanneer nodig, hogere boetes kunnen uitdelen", aldus een zegsvrouw van het CBP.

Datalekken moeten verplicht worden gemeld

Wanneer een bedrijf een datalek constateert, moet dit worden gemeld bij de betreffende privacyautoriteit. Vanaf januari geldt er in Nederland al een dergelijke meldplicht voor datalekken. Zo'n meldplicht wordt vanaf 2017, als het voorstel wordt geaccepteerd, de Europese standaard.

Als de bescherming van gevoelige persoonsgegevens of de persoonlijke levenssfeer in gevaar komen, moet het lek worden gemeld. Onder een lek wordt niet alleen een hack of kwetsbaarheid in het systeem verstaan. Ook het verliezen van data door een verdwaalde usb-stick of het vernietigen van persoonsgegevens kunnen hieronder vallen.

Als een Nederlandse burger ontevreden is over hoe zijn data wordt verwerkt en opgeslagen, kan er voortaan worden aangeklopt bij het CBP. "Voorheen kon je met een klacht over Facebook alleen in Ierland terecht. Dat doen de meesten echter niet. Het lijntje om een klacht in te dienen wordt nu veel korter."

Minderjarigen op social media: toestemming ouders nodig

Kinderen die jonger zijn dan 16 jaar moeten voortaan toestemming aan hun ouders vragen om deel te nemen aan een sociaal netwerk, zoals Facebook. De verwachting is dat deze regel wel wat soepeler wordt, omdat landen zelf de keuze krijgt om hier invulling aan te geven. Bij de meeste sociale netwerken geldt een minimale leeftijd van 13 jaar. Mogelijk wordt die leeftijd in de meeste landen aangehouden. Daarnaast is deze regel lastig te controleren. Je kunt het vergelijken met het kopen van een ringtone via TMF, waarbij je altijd toestemming aan je ouders moest vragen voordat je het sms'je verzond. Dit deden maar weinig kinderen.

Dat wil niet zeggen dat het niet belangrijk is dat er een onderscheid wordt gemaakt tussen minder- en meerderjarigen. Hoe dit precies gaat werken is nog onduidelijk omdat de de tekst nog niet is gepubliceerd. Maar het is bijvoorbeeld in te denken dat, wanneer er gegevens van minderjarigen in het spel zijn, er sterkere databeschermingregels gelden dan bij meerderjarigen. Of dat bedrijven zwaarder worden gestraft als er data van minderjarigen niet voldoende is beschermd.

Meer intern onderzoek naar databescherming

Bedrijven worden met het Europese voorstel ook verplicht om vaker intern onderzoek te voeren. Wil een bedrijf in één keer veel data verwerken? Dan moet er worden gekeken naar de risico's die bij dit proces kunnen voorkomen. Grote bedrijven moeten ook een 'Chief Privacy Officer' (cpo) aanstellen. De cpo moet ervoor zorgen dat privacy een belangrijk onderdeel wordt van het bedrijf, in plaats van enkel een bijzaak.

Recht om vergeten te worden

In mei vorig jaar besloot het Europees Hof dat Europese burgers het recht moeten krijgen om online vergeten te worden. Hierdoor kunnen burgers resultaten uit de zoekmachines laten verwijderen als deze voor hen schadelijk zijn. In het nieuwe voorstel voor Europese dataprotectie wordt het besluit van het Europees Hof officieel als regel meegenomen. Inmiddels zijn zoekmachines druk bezig om alle verzoeken voor het verwijderen van schadelijke zoekresultaten te verwerken. Onder andere Google heeft een formulier online geplaatst om een dergelijk verwijderverzoek in te dienen.

Kritische noot: waar is het beleid over big data?

Van der Kroft is vooralsnog "gematigd positief" over het voorstel. Twee belangrijke datatrends, het zogeheten profiling en big data, worden volgens haar niet duidelijk genoeg in het voorstel aangestipt. Bij profiling wordt jouw data gebruikt om (zonder dat je hiervan op de hoogte bent) een profiel over jou op te stellen, big data betekent dat data van allerlei verschillende bronnen worden verzameld en samen worden gevoegd.

"Deze twee trends worden de komende jaren alleen maar belangrijker. Mag een zorgverzekeraar jouw browsegeschiedenis inzien om op die manier je in een hokje te stoppen?", vraagt Van der Kroft zich af. "En mag de H&M op basis van jouw postcode geen producten leveren, omdat in jouw buurt veel wanbetalers wonen? Dat soort privacyvraagstukken worden niet voldoende in het voorstel behandeld.