Privacywetgeving: Staat deze man straks voor uw deur?

17-10-2013

Wordt Eurocommissaris Viviane Reding de vrouw die Nederlandse bedrijven 1 miljard gaat kosten? Op 24 en 25 oktober praten de lidstaten van de Europese Unie over uniforme regels om persoonsgegevens van consumenten beter te beschermen. Zeven redenen waarom die regels een ramp worden.

Schreeuwend duur, veel te bemoeizuchtig en het is maar de vraag of ze iets toevoegen. De uniforme Europese regels voor bescherming van persoonsgegevens dreigen op een regelrechte ramp uit te lopen. Sinds Eurocommissaris Viviane Reding voor de vakantie haar plannen zwaar onder vuur zag liggen van het Europees Parlement is ze bezig om ze er toch door te krijgen. Onder verwijzing naar het PRISM-schandaal, de grootschalige spionage-actie van de Verenigde Staten, zet de eurocommissaris nu druk op de lidstaten om haar vergaande voorstellen voor de Europese verkiezingen aan te nemen. En dat is geen goed idee.

1. Reding kruipt op de ondernemersstoel
Het is duidelijk wat Reding wil: een goede bescherming van persoonsgegevens. Maar zoals zo vaak bij de EU wil de Eurocommissaris niet alleen vertellen wat het doel is, ze wil ook bepalen hoe de bedrijven dat moeten doen. Nu kunnen bedrijven bijvoorbeeld een inzageprocedure opzetten, een data protection officer aanstellen die verantwoordelijk wordt voor de verwerking en bescherming van persoonsgegevens of een privacy impact assessment doen om de risico's te inventariseren. De keuze maakt het bedrijf zelf, afhankelijk van de behoefte aan en de noodzaak van meer of minder beschermingsmaatregelen. Reding wil de keuzemogelijkheden verplichten. Daarmee toont ze vooral aan dat ze ondernemers wantrouwt. Het is veel beter om de doelen vast te leggen en de meeste bedrijven, waar geen groot risico op schade door privacy-lekken is, zelf te laten bepalen hoe zij die doelen bereiken. Dat is efficiënter dat het 'afvinken' van hokjes en stimuleert het zoeken naar innovatieve oplossingen.

2. Het bedrijfsleven wordt gezien als een amorfe massa
In de plannen van Reding maakt het niet uit wat voor bedrijf je hebt en welke gegevens je bewaart, alle bedrijven zijn gelijk. Wie werkt met gegevens die een hoog privacy-risico hebben, kiest nu voor zwaardere maatregelen dan bedrijven waar minder risico's spelen. Reding maakt geen onderscheid tussen bedrijven die persoonlijke gegevens gebruiken als belangrijk deel van de bedrijfsvoering (webwinkels bijvoorbeeld) en bedrijven die persoonsgegevens hebben voor intern gebruik (loonadministratie en dergelijke). Beide groepen moeten van haar op dezelfde manier aan dezelfde regels voldoen. Dat is in strijd met het principe dat wet- en regelgeving proportioneel moet zijn, niet zwaarder dan nodig.

3. Alles wordt ineens privacygevoelig materiaal
Het begrip 'privacygevoelige gegevens' wordt erg ver opgerekt. Niet alleen persoonsgebonden gegevens zoals namen en geboortedata vallen er onder in de voorstellen van Reding. Ook cookies, IP-adressen en kentekens van auto's zijn privacygevoelig. Daarmee speelt ze actiegroepen zoals Bits of Freedom en andere burgerrechtengroepen in de kaart. Maar personen zijn niet te identificeren via deze laatste groep gegevens. Wel computers of auto's, niet wie de pc heeft gebruikt of in de (bedrijfs)auto heeft gereden. Dat weet iedereen die wel eens een auto heeft uitgeleend aan iemand die te hard over de snelweg reed en is geflitst. De boete komt bij de eigenaar, niet bij de bestuurder.

Europarlementariër Wim van de Camp (CDA) waarschuwde voor de gevolgen van het pakket van Reding. 'Zorg voor minder bureaucratie en documentatie voor het mkb', pleitte hij. 'De rollen van de toezichthouders en de uitvoerders van de regels moeten helder zijn. Bestaande business-modellen, verzekeraars en onderzoekers moeten data op de oude manier kunnen blijven gebruiken. En zorg er voor dat de plannen, inclusief ‘het recht om vergeten te worden’, ook in de praktijk doenbaar zijn.'

4. Reding pakt ondernemingen dubbel
Volgens Reding beschermt de verordening ook persoonsgegevens tegen inzage door buitenlandse diensten. De Eurocommissaris dreigt bedrijven die daaraan meewerken met een boete van maximaal 2 procent van de wereldwijde jaaromzet. Daarmee probeert ze een antwoord te geven op het PRISM-schandaal. Het gevolg is dat bedrijven moeten kiezen tussen een boete betalen of een boete betalen. Bedrijven die niet meewerken met buitenlandse autoriteiten staat namelijk ook een forse geldstraf te wachten als ze de gevraagde gegevens niet willen overhandigen. Een boete moet dus sowieso worden betaald en de vraag om gegevens blijft gewoon staan. Het idee van Reding brengt ondernemingen dus in een juridische spagaat en levert de Europese burger slechts schijnveiligheid op.

5. Uitvoering van de regels van Reding kost kapitalen zonder dat het ergens toe leidt
Volgens Reding leidt de harmonisatie tot een vermindering van lastendruk. Maar het ministerie van Veiligheid en Justitie heeft onderzoeksbureau SIGMA laten uitrekenen wat de regels van Reding het Nederlandse bedrijfsleven gaan kosten: alleen al voor de uitvoering ruim 1 miljard per jaar meer dan nu. Daar komt nog een dik miljoen euro aan extra administratieve lasten bij. Bedrijven moeten extra menskracht inhuren voor het opstellen, invullen en bewaren van de nieuwe uitgebreide protocollen die voor veel te veel gegevens gaan gelden. Dat valt alleen terug te verdienen als de kosten doorberekend worden aan de klanten. Die papierwinkel kost de bedrijven dus tijd en geld, maar ook de economie in zijn geheel krijgt een deel te voelen in de portemonnee. SIGMA zegt dat het nog maar een voorzichtige schatting is. De hoge schatting komt op bijna 1,5 miljard extra en dan nog is een aantal kosten buiten beschouwing gelaten. Namelijk de kosten die SIGMA niet kon kwantificeren. De Nederlandse Wet bescherming persoonsgegevens kost het bedrijfsleven overigens 70 miljoen euro aan nalevingskosten.

6. Het is kassa voor controleurs
Toezichthouders zijn dol op boetes. De Nederlandse ACM lobbyt met behoorlijk succes voor het opleggen van boetes tot 420.000 euro als datalekken niet worden gemeld. Dat is peanuts in Europees verband. Reding stelt voor om de boete op te laten lopen tot 2 procent van de wereldwijde omzet van een bedrijf. En die boetes kunnen ook opgelegd worden als er geen schade is geleden. Dat wordt een kwestie van afvinken voor de toezichthouder. Als een bedrijf één van de vele regels van Reding niet heeft toegepast, bijvoorbeeld geen inzageprocedure heeft opgesteld, is het kassa voor de controleur. Ook als daar niemand nadeel van heeft gehad. Nou ja, behalve in dit geval het bedrijf zelf dan.

'Wat moet je met een wet die zegt dat je iets moet melden als het 'redelijkerwijs' te verwachten valt dat er 'aanmerkelijk' gevaar is',  zei Peter van Schelven, directeur van Nederland ICT 3 oktober in Forum. 'Dat moet je dan als ondernemer zelf bepalen. En als je achteraf fout gokt, kun je een boete krijgen. Juist de mensen met de slechtste beveiliging weten niet dat ze zijn aangevallen.'

7. Reding bemoeit zich met meer dan privacybescherming
Delen van de voorgestelde privacywet gaan niet over privacy maar over discriminatie, marktordening of concurrentie. Dat zijn heel verschillende dingen, waarvoor al regels bestaan en die vooral niet vermengd moeten worden. Anders wordt regelgeving een rotzooitje. Reding loopt in haar opvatting over de reikwijdte van privacy in de pas met het kabinet. Dat sprak in zijn visie op e-privacy zorgen uit over het beperkte aanbod van online-partijen en hun macht op de markt. Als het kabinet en Reding zich daar zorgen over maken, moeten ze de toezichthouder op dat gebied aanspreken. Niet extra regels bedenken.

Reding wil daarnaast consumenten het recht geven om hun persoonsgegevens in een bepaald format te krijgen om ze gemakkelijk in te kunnen brengen bij andere partijen. Dat lijkt op het invoeren van nummerbehoud: doordat je je nummer mag houden als je naar een andere provider gaat, stap je sneller over. Maar dat heeft niets met bescherming van privacy te maken. Tenslotte zou het verzamelen van gegevens kunnen leiden tot discriminatie, is de vrees van de regelgevers. En ook daarvoor geldt: dat is niet iets om in privacywetgeving te stoppen.

Wat wil Reding?

De huidige Europese privacyregel geving dateert uit 1995, toen nog geen 1 procent van de Europese burgers op internet actief was. Het is geen wet en daardoor vrij te interpreteren door lidstaten, die dat ook doen. Via smartphones, cloud computing en de enorme groei van webwinkels groeit het aantal bedrijven dat persoonlijke gegevens opslaat en die soms ook commercieel gebruikt. Al die gegevens vallen nu nog onder de verschillende nationale privacywetten, met alle ongelijkheid van dien. Vandaar dat de EU in 2010 besloot om uniforme en verplichtende wetgeving te ontwikkelen. Belangrijk onderdeel is dat bedrijven die internationaal werken, alleen verantwoording hoeven af te leggen aan de toezichthouder in het land waar het hoofdkantoor staat. Consumenten krijgen makkelijker toegang tot hun gegevens en ze krijgen ‘het recht om vergeten te worden’, het recht om hun gegevens permanent te (laten) wissen. Al vanaf de presentatie in augustus 2012 liggen de regels onder vuur, zowel van het parlement, het bedrijfsleven als protestgroepen.

 

Waarom bedrijven wel graag uniforme regels willen

De huidige versnipperde regulering is door de toenemende gegevensuitwisseling (bijvoorbeeld via cloud computing) een steeds grotere doorn in het oog geworden voor bedrijven die internationaal opereren. Deze bedrijven hebben momenteel in elke lidstaat te maken met een andere uitvoering van de Europese privacyrichtlijn, met alle kosten van dien. De kern van de huidige Wet bescherming persoonsgegevens sluit goed aan bij de uitgangspunten van het bedrijfsleven. Deze zogenoemde open normen bieden een proportionele bescherming van persoonsgegevens en vormen tegelijkertijd een goede basis voor uitwisseling van persoonsgegevens. Dat is smeerolie voor veel economisch verkeer en ontplooiing van nieuwe diensten. Ondernemingen hebben binnen het huidige regime veel vrijheid om te voldoen aan de privacy-normen. Dat leidt tot efficiënte en innovatieve oplossingen. De door Reding voorgestelde plannen en standpunten gooien die praktijk helemaal ondersteboven.

Dit artikel komt uit de print Forum