Gisteren schreven we al over de nieuwe Europese privacywet, aan de ene kant moet deze nieuwe wet bedrijven een handvat bieden om privacyzaken snel en eenvoudig te regelen binnen Europa terwijl aan de andere kant de burger beschermd wordt en deze controle krijgt over zijn of haar data. Bij nadere bestudering van de wet blijken er nogal wat gaten in te zitten.

Gisteren schreven we over het privacyakkoord dat de lidstaten hadden bereikt, toen gaven we aan dat er geen problemen werden verwacht met het door het Europees Parlement heen loodsen van het voorstel. Dat moeten we nu direct rectificeren want de Europese lidstaten hebben weer eens gedaan waar ze goed in zijn, een wetsvoorstel kapot maken met compromissen.

Het begint een beetje een trend te worden dat de Europese lidstaten het ene na het andere slechte wetsvoorstel bedenken, waar het betrekking heeft op de digitale markt (internet). Over het roamingvoorstel en netneutraliteit is op Techzine al ruim aandacht besteed, daar komt nu een derde onderwerp bij de nieuwe privacywet.

Dat er in Europa wordt geprobeerd om een nieuwe privacywet te maken is een goed streven, die stamt inmiddels alweer uit 1995 en toen moest de opkomst van het internet nog min of meer beginnen. Deze oude wet is nooit ontworpen om te voorzien in de huidige digitale samenleving. Het gevolg is dan ook dat een aantal techgiganten fikse discussies hebben in Europa over privacy. Onder andere Facebook en Google hebben het regelmatig aan de stok met de privacywaakhonden. Dat komt omdat veel landen extra privacywetten hebben ingevoerd bovenop de Europese wet.

De bedoeling is dat er straks één Europese privacywet komt die in alle landen geldt en er geen toevoegingen meer op komen. Vervolgens moeten de burgers bij hun nationale privacywaakhond klagen als zij van mening zijn dat een bedrijf inbreuk maakt op hun privacy of niet goed omgaat met hun persoonlijke gegevens. De nationale privacywaakhonden werken vervolgens samen aan een oplossing, daarboven komt nog een overkoepelende Europese privacywaakhond die het laatste woord heeft voor het geval de nationale waakhonden er samen niet uitkomen. Bedrijven als Facebook en Google hoeven straks alleen nog maar te communiceren met de privacywaakhond waar hun Europese hoofdkantoor is gevestigd, in hun geval Ierland.

Bedrijven krijgen straks de verplichting dat ze alle gegevens over een gebruiker moeten overhandigen als deze daarom vraagt. Ook moeten ze deze gegevens verwijderen als de gebruiker daarom vraagt. Het zogenaamde recht om vergeten te worden. Ook bedrijven die niet gevestigd zijn in Europa maar wel de data verwerken van Europese burgers moeten zich aan deze regels houden. Worden de regels overtreden dan kan er een boete volgen van 2 procent van de jaaromzet.

Er zijn echter uitzonderingen en die zijn weer een gevolg van compromissen om alle lidstaten aan boord te krijgen. Deze compromissen zorgen er echter ook voor dat de hele wetgeving op de helling komt te staan. Zo mogen bedrijven de data in principe niet delen met derden, tenzij dit voor wetenschappelijke, statistische of historische doelen is. Er wordt echter geen definitie gegeven van wetenschappelijk, statistisch of historisch, waardoor bedrijven hier zelf een betekenis aan kunnen geven. Tot slot is de verwerking van gegevens altijd toegestaan als de belangen van de verwerker groter zijn dan het datasubject. Waarbij de verwerker bijvoorbeeld Facebook of Google is en het datasubject een willekeurige Europese burger.

Deze uitzonderingen zorgen ervoor dat de hele privacywetgeving zo lek is als een zeef en makkelijk omzeilt kan worden. Een verwerker hoeft alleen maar het bedrijfsbelang boven de gebruiker te stellen.

De burger kan dus weliswaar zijn gegevens opvragen, maar bij verzoek om verwijdering, bijvoorbeeld uit Google’s zoekmachine, zou Google kunnen stellen dat het bedrijfsbelang om een volledige zoekervaring aan te bieden boven de gebruiker gaat. Verder opent deze wet de deuren om op grote schaal onderzoek te gaan doen naar medische data zonder dat de patiënt daar goedkeuring voor heeft gegeven. Dat valt duidelijk onder een wetenschappelijk doel.

Waarschijnlijk gaan de Europese lidstaten volgende week opnieuw botsen met het Europees Parlement over wederom een digitaal vraagstuk. Op 25 juni is er weer een grote vergadering in de EU waar netneutraliteit, privacy en roaming aan bod zullen komen.