Europees privacykader moet helpen, niet hinderen

12-12-2013

Hebt u al een data protectie officer (à 250 euro per uur) rondlopen in uw bedrijf? Of voor duizenden euro’s een privacy impactstudie laten doen? Als het aan het Europees Parlement ligt, zal een ondernemer hier al snel aan moeten geloven. Dat wil deze data protection officer en de impactstudie al verplicht stellen wanneer in één jaar gegevens van vijfduizend personen worden verwerkt in een bedrijf. Dat aantal is snel bereikt wanneer je rekent dat daarvoor slechts vijftien elektronische betalingen per dag hoeven worden gedaan of vijftien bezoekers per dag op een website langs hoeven te komen.

Disproportioneel? Het is het gevolg van het one size fits all-voorstel voor de herziening van het Europese privacykader. Zoals de voorstellen nu liggen, zullen bedrijven vaak aan dezelfde zware verplichtingen moeten voldoen, ook als de privacy nauwelijks in het geding is.

Daarnaast lopen innovatieve toepassingen de kans te sneuvelen nog voordat ze gerealiseerd zijn. Toepassingen van big data en het internet of things worden bemoeilijkt. Bij big data worden analyses gemaakt van grote hoeveelheden gegevens, buiten hun oorspronkelijke context en doelstelling, bijvoorbeeld over het zoekgedrag van consumenten. Bij internet of things gaat het om het koppelen van gebruiksvoorwerpen als hartslagmeters, auto’s en koffiezetapparaten aan het internet voor betere dienstverlening. Dat wordt lastig als er met allerlei privacy-statements moet worden gewerkt of altijd sprake moet zijn van expliciete toestemming door middel van bijvoorbeeld een handtekening of drukknop.

Moet Europa zich er daarom maar niet mee bemoeien? Nee, want harmonisatie van de privacy-regels in Europa is op zich een goed idee. Eén wettelijk kader en eenduidig toezicht vergemakkelijken het internationaal ondernemen. Als de harde voorschriften zich beperken tot situaties met daadwerkelijke risico’s en ondernemers verder zelf kunnen bepalen hoe ze voldoen aan de wet, zijn we al een heel eind.