Aziatische privacyregeling: een model voor de wereld?

Google pleit voor wereldwijde regels voor privacy-bescherming, en dan het liefst voor harmonisatie volgens het APEC privacy framework. Zo schrijft Tweakers:

Peter Fleischer, die bij Google raadgever is betreffende privacy-aangelegenheden, stelt dat het van levensbelang is voor het internet en de wereldwijde economie, maar niet in het minst voor Googles eigen zaakjes, dat er maatregelen genomen worden tegen het huidige lappendeken van conflicterende privacyregels.

Nee, APEC kende ik ook niet. De Asia-Pacific Economic Cooperation is een samenwerkingsverband tussen 21 Aziatische landen (inclusief de VS), dat niet-bindende raamwerken en adviezen opstelt. Eentje daarvan is dus het privacy framework (PDF).

De pers lijkt positief: Google in de bres voor online privacy, meldt b.v. ZDNet. De Automatisering Gids ziet zelfs een kruistocht voor privacy. Slechts een enkel bericht (de NRC bijvoorbeeld) is kritisch. Wat staat er dan voor bijzonders in dat raamwerk?

De uitgangspunten komen grotendeels overeen met de Europese privacyregels: er is een informatieplicht voor de persoon in kwestie, deze heeft het recht de gegevens aan te passen, verwerking mag alleen voor de afgesproken doelen, enzovoorts. Het raamwerk kent op diverse plekken wel de mogelijkheid af te wijken als dat “not appropriate” zou zijn.

Wat mij trof, was de uitzondering voor “publicly available information”, alle informatie die de persoon zelf publiceert of die uit openbare bronnen te halen is.

The APEC Privacy Framework has limited application to publicly available information. Notice and choice requirements, in particular, often are superfluous where the information is already publicly available, and the personal information controller does not collect the information directly from the individual concerned. Publicly available information may be contained in government records that are available to the public, such as registers of people who are entitled to vote, or in news items broadcast or published by the news media.

Concreet: het recht van inzage en de meldingsplicht dat persoonsgegevens worden verwerkt, komen te vervallen bij verwerking van publiek beschikbare persoonsgegevens. Wat op internet bij elkaar geharkt wordt, hoeft niet gemeld te worden aan de betrokkene(n). Dat wijkt behoorlijk af van de Europese regels.

Een andere belangrijke afwijking is dat de APEC regels geen onderscheid maken tussen ‘gewone’ en ‘bijzondere’ persoonsgegevens. Die laatste zijn bijvoorbeeld ras, afkomst of seksuele voorkeur. Zulke gegevens mogen alleen in bijzondere gevallen worden verzameld en verwerkt, en daar gelden extra strenge regels voor. Het APEC raamwerk doet daar niet moeilijk over, dat mag gewoon allemaal.

Daarnaast is dit raamwerk zo algemeen geformuleerd dat je nauwelijks kunt spreken van een eenvormige regeling. De juridische kritiek is dan ook niet mals.

Natuurlijk zijn deze regels fijn voor Google, dat immers vrijwel alleen informatie uit openbare bronnen verwerkt. Denk aan Google Street View en allerlei databanken die zij verzamelen en combineren. Reden voor EPIC om boos te worden.

Het idee van wereldwijd dezelfde privacyregels is natuurlijk goed. Alleen, dan moeten het ook wel goede regels zijn.

Arnoud

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.