EU wil strenge nieuwe privacywet, nee dat moet anders

europees-recht-bakker.jpgDe Europese Unie wil de wirwar aan nationale wetten over databescherming vervangen door middel van een algemene voor de hele Unie geldende hervorming, las ik bij Nu.nl. Elk EU-land heeft nu een eigen privacywet, gebaseerd op Europese richtlijnen, maar deze moeten worden vervangen door een Europese Europese wet die precies bepaalt hoe het is, klaar. En zo te lezen gaan we heel wat toestemmingspopups krijgen als die er komt.

Reding wil een Verordening invoeren: een Europese wet die direct geldt, zonder dat de lidstaten zelf nog dingen mogen wijzigen of alternatieve regels mogen invoeren op dit punt. Dus als die Verordening er komt, mag Nederland geen eigen regels meer maken over wat Google met Streetview wel of niet mag doen. (Hoewel dat specifiek voor persoonsgegevens toch al niet bleek te mogen.) De rechter kan alleen nog toetsen aan de Verordening, waarbij hij hooguit indirect rekening mag houden met die lokale eigenaardigheden.

En die Verordening gaat streng zijn, als ik de speech van haar en Ilse Aigner goed begrijp:

EU law should require that consumers give their explicit consent before their data are used. And consumers generally should have the right to delete their data at any time, especially the data they post on the Internet themselves.

Met ‘explicit consent’ wordt nadrukkelijk iets strengers bedoeld dan de 48 pagina’s Terms of Service die Facebook en menig andere internetdienst hanteert. Mensen moeten snappen wat er gaat gebeuren en dan liefst op het moment zelf goed nadenken of ze dat willen, en dan uit vrije wil ja of nee zeggen.

Het idee is leuk maar dat gaat dus absoluut niet werken. Mensen snappen niet of willen niet snappen, of zijn niet geïnteresseerd in snappen, wat er allemaal gebeurt met hun persoonsgegevens. Ze willen gewoon hun porretjes sturen, mensen be- dan wel ontvrienden en op muren krabbelen (wat overigens prima is, daar niet van; die infantiele taal is niet mijn sarcastische keuze). En ze gaan ervan uit dat de bedrijven die ze dat laten doen, netjes met hun gegevens omgaan en “geen rare dingen” doen daarmee.

Nou kun je dat naïef vinden – mensen moeten weten wat voor enge dingen bedrijven allemaal doen en daar bezwaar tegen maken. Maar ik zie niet hoe je de gemiddelde consument in beweging krijgt om dat ook daadwerkelijk te doen. Laat staan om een cursus internetrecht te gaan volgen om te weten wat hun rechten en plichten zijn. Zou dat echt moeten voor je mag gaan Facebooken?

Logischerwijs zou de wetgever dan daarop moeten inspelen en als uitgangspunt nemen dat “rare dingen” niet mogen van de privacywet. Dat willen we niet hebben, dus dan moet het niet mogen.

Kennelijk voelt dat dan toch net weer iets te eng of zo, want net als bij de cookieregels wordt er dan toch maar naar het middel van “nou vooruit met expliciete, pardon uitdrukkelijke, pardon voorafgaande nee met geïnformeerde en vrije toestemming” gegrepen. Wat dus niet werkt want mensen klikken op whatever ze moeten klikken om hun porretje, krabbel of boerderijuitrusting te kunnen kopen.

Maar wat dan? Harde wettelijke regels à la “het is verboden mails te lezen om daar advertenties mee te targeten”? “Bonuskaartgegevens mogen niet worden gedeeld met verzekeraars”? En dan nog driehonderdvierentachtig van zulke regels? Hoe ga je dat in vredesnaam nog enigszins flexibel houden? Dat zie ik al helemaal niet gebeuren.

Nee, misschien moeten we het juist flexibeler maken. Profielen opbouwen en dingen daarop afstemmen, prima. Alleen:

  1. Je moet altijd dat categorisch kunnen weigeren (en toch de dienst kunnen gebruiken, mits dan tegen betaling);
  2. Je moet volledig disclosen wat je doet en waarom;
  3. Mensen moeten inzage krijgen in de data die je hebt en hoe je daar conclusies uit trekt;
  4. Als het niet klopt, moet je elke benadeelde burger 150 euro per fout voor betalen.

Dat laatste is natuurlijk de truc: hierdoor gaan mensen op zoek naar foutjes, natuurlijk puur om rijk van te worden, maar dat houdt die bedrijven wel scherp. Sommigen zullen dan maar afzien van profilen, anderen zullen de problemen kunnen beperken en weer anderen gaan failliet omdat ze te vaak boetes over zich heen krijgen.

In Duitsland bestaat een soort van vergelijkbaar systeem voor e-commerce. Bedrijven die de e-commercewet niet naleven, kunnen van voorheen ambulancesnajagende advocaten een schadeclaim verwachten. En ja, daardoor wordt er in Duitsland véél beter op die wetgeving gelet door bedrijven dan bij ons. (Bij ons kun je ook wel procederen over ontbrekende KVK-nummers op websites maar wat is je schade?)

Het lijkt me in ieder geval beter te kunnen werken dan “lees deze dertig pagina’s en geef dan vrijwillig uw toestemming”. Wat jullie?

Arnoud

19 reacties

  1. Betaling om te kunnen weigeren is een interessant idee. Als ik facebook 50 euro per jaar waard ben wat betreft persoonsgegevens, kan ik overwegen die 50 euro te betalen en dat facebook mijn gegevens niet doorverkoopt. Zelfde kan natuurlijk voor advertenties/reclame et cetera.

  2. Ziet er leuk uit, leg het incentive op de plek waar je de interesse wil kweken. Rest alleen nog het probleem dat Facebook in de VS woont en de klanten hier. Wil je echt niet europese sites gaan vebieden omdat ze niet gehouden zijn aan europese regels? (Dan kun je in China gaan vragen hoe je dat het beste in kunt richten) Als mensen de dienst leuk vinden gaan ze gewoon meedoen onder welke wet die dienst ook valt.

  3. Het probleem met de privacy regels zoals ze nu werken is dat het heel lastig is om te controleren wie welke gegevens van je verzameld. Je zult moeten auditen, maar uiteindelijk is dat onbegonnen werk, dat lijkt op het handhavingsprobleem dat we gaan krijgen als de “thuiskopie” wordt afgeschaft — Al is het idee van mensen zelf laten auditen of hun gegevens correct zijn een aardige…

    Wat naar mijn idee veel beter moet werken is reguleren wat je kunt doen met verzamelde informatie, en de waarde van die informatie te reduceren door bepaalde gedragingen gebaseerd op informatie gewoon te verbieden. Dergelijk gedrag is naar buiten duidelijk zichtbaar, en daarmee veel beter controleerbaar. Een typisch voorbeeld hiervan is hoe ziektekostenverzekeraars nu een algemene aannameplicht hebben (dat is voor de basisverzekering), zodat in feite kennis van het medisch verleden van iemand er niet meer toe doet.

    Soortgelijke problemen heb je met zoiets als “handel met voorkennis” door ingewijden. Nauwelijks te handhaven. Voor gewoon in dat alle handel van lieden die potentieel voorkennis kunnen hebben openbaar is en met een zekere vertraging moet worden uitgevoerd, dan lost het probleem zichzelf op.

    Het is mijn ervaring dat tegenwoordig privacy wetgeving misbruikt wordt om de overheid zelf minder transparant te maken — op grond van privacy van medewerkers, oid., krijg je motiveringen voor besluiten niet te horen (ja, je kan een zaak beginnen, maar dat tikt enorm aan), iets wat uiterst ongewenst is. Wat mij betreft is alle overheidsinformatie gewoon publiek, en mag dat zo ver gaan als in Finland, waar alle aanslagen van de belastingdienst te raadplegen zijn (en dus de inkomens van elke inwoner.)

  4. Ben het gedeeltelijk met je eens: wat je ook doet, je moet een stok achter de deur hebben in de vorm van een direct opeisbare schuld. Het is nu wel duidelijk dat het CBP niet voldoende invloed heeft om bedrijven te motiveren om zich aan de Wbp te houden (of daar zelfs maar een poging toe te doen).

  5. “Mensen snappen niet of willen niet snappen, of zijn niet geïnteresseerd in snappen, wat er allemaal gebeurt met hun persoonsgegevens. Ze willen gewoon hun porretjes sturen, mensen be- dan wel ontvrienden en op muren krabbelen (wat overigens prima is, daar niet van; die infantiele taal is niet mijn sarcastische keuze). En ze gaan ervan uit dat de bedrijven die ze dat laten doen, netjes met hun gegevens omgaan en ???geen rare dingen??? doen daarmee.”

    Deze mensen zijn wel de reden dat zo’n beetje iedere internet site meer met mijn gegevens doet dan ik wens en er nauwelijks goede alternatieven zijn behalve zelf hosten. De bedrijven hoeven niet aan die minderheid te denken die niet zo naïef is, ze vinden toch genoeg klanten. En zo kom je in de situatie dat privacy feitelijk niet meer bestaat op het internet voor het gros.

    Ik ben zelf bezig om langzaam al die diensten over te hevelen naar een eigen server. Nu nog hosted, maar zodra ik 100/100 glazvezel heb draai ik gewoon een lokale server en staan ook mijn e-mail en FTP server niet meer extern.

    Laat ze maar komen met regels. Overal toestemming voor vragen zal inderdaad niet werken, maar er is zeker ruimte voor een uitgebreide zwarte lijst. In combinatie met jouw 4 punten zal dat zeker de ergste uitwassen voorkomen.

    De tig paginas die je opgelegd worden zijn werkelijk belachelijk. Ik heb één keer de moeite genomen die helemaal door te lezen (facebook) met als gevolg dat ik dus geen facebook pagina heb. Hyves etc… heb ik me daarna niet eens meer aan gewaagd.

    Sommige diensten veranderen de voorwaarden ook nog eens met de regelmaat van de klok. Toen ik nog een iPhone had kreeg ik soms meerdere keren per maand nieuwe app store voorwaarden voor mijn neus. Ik weet niet of er inmiddels wat veranderd is, maar indertijd moest je dan zelf maar al die tig paginas door om uit te zoeken wat er wijzigt. Een verplichting om in heldere ‘jip en janneke taal’ uit te leggen wat er veranderd als je nieuwe voorwaarden voorlegt lijkt me ook al een mooie verplichting. En dan niet in een banner met de mededeling dat bij voortduren van gebruik je akkoord bent.

  6. Het probleem is dat we in Nederland maar moeilijk kunnen bepalen wat de preciese schade is. Dus bedrijf X heeft mijn email adres doorverkocht aan een verzekeraar. Welke schade heb ik dan vervolgens? Het zou mooier zijn indien er wettelijk vaste minimum-tarieven worden vastgesteld voor het doorlekken van prive-gegevens. Tarieven die worden berekend of iemand nou bewust gegevens heeft doorverkocht of per ongeluk heeft doen lekken. Zeg, 50 Euro voor een email adres, 125 Euro voor NAW gegevens, 75 Euro voor geboortedatum en plaats, 250 Euro of meer voor bankgegevens. Bij elkaar optellen en afrekenen maar. En ja, heeft bedrijf X die gegevens aan 5 andere bedrijven doorgekocht dan is dat dus ook 5 keer afrekenen.

    Werkt ook tegen bedrijven die hun beveiliging niet op orde hebben en via een hack gegevens lekken. Raak je zo 100.000 email adressen kwijt dan mag je 5 miljoen Euro gaan betalen aan al die personen.

    Om te zorgen dat deze bedrijven ook daadwerkelijk betaalt zouden deze bedrijven deze “boetes” aan de staat moeten betalen, en de staat geeft het dan weer door richting de benadeelde burger.

    Dat lijkt mij ook een goed systeem. En ja, er hoeft geen maximum bedrag aan vast te zitten. Als Facebook de gegevens van 8 miljoen Nederlanders lekt en dan ook echt alles wat ze hebben… Tja, dan loopt het op in de miljarden. Zal ze leren om extra voorzichtig te zijn! 🙂

  7. @Peter van G: er is helaas geen rechtspraak over de vraag hoe duidelijk algemene voorwaarden moeten zijn. ‘Onbegrijpelijk’ is op zich een juridisch criterium maar dat wordt in de praktijk uitgelegd als “voor de rechter zelf onbegrijpelijk” (beroepsdeformatie). Dus je moet van goeden huize komen wil je daar wat van kunnen maken.

  8. Als weigeren betekent dat je niet meer kan facebooken, dan zullen veel mensen toch gewoon akkoord gaan. De enige die hier mee worden afgeschrikt zijn die mensen die dat hele facebooken toch niet begrijpen. Dus terwijl je relatief strenge regels opstelt, zullen ze in de praktijk geen bescherming geven aan de mensen die veel waarde hechten aan hun facebook/hyves/social media. Dit zie je ook massaal terug in de game wereld, waar je wordt geconfronteerd met ellenlange EUA’s waar het lezen van toch geen zin heeft. Het alternatief (weigering) is dat je blijft zitten met een apparaat van honderden euro’s waar je niet online mee kan. De keuze is dus alles behalve vrijblijvend.

  9. @12: Wat jij beschrijft is een hele goede reden om met strenge regels te komen die dat soort EULA’s juist aan banden legt. Het is heel eenzijdig en je hebt geen keuze. Daarnaast doen nog eens alle marktpartijen het dus je kan ook niet kiezen voor een andere partij om je ongenoegen kenbaar te maken.

    Tegenwoordig met games en sociale media heb je alleen nog maar de keuze tussen je overgeven aan de nukken van het bedrijfsleven of helemaal niet meedoen. Het enige wat het bedrijfsleven in toom houdt in deze is wet- en regelgeving en die mag best wat strikter worden.

    Het meest aanstootgevend zijn eigenlijk nog de online games. Die hebben allemaal in hun voorwaarden staan dat ze zonder opgaaf van reden een abonnement kunnen beeindigen. Dat klinkt redelijk als je alleen kijkt naar het feit dat ze niet verplicht kunnen worden met iemand zaken te doen.

    Het klinkt een stuk minder redelijk als je bedenkt dat je voor die spellen vaak (bijna) net zoveel in de winkel betaald als voor een single player spel. Als ze je weigeren zit je dus met een nutteloos gekocht product. Een verplichting om je die kosten te vergoeden bij beeindiging zonder opgaaf van reden lijkt me op zijn plaats. Dan zitten er in ieder geval gevolgen aan als zonder opgaaf van reden beeindigen. Willen ze dat voorkomen dan maken ze maar een keuze om het gratis downloadbaar te maken.

    Nu vangen ze je 50 euro en kunnen ze bij wijze van spreken na een maandje zeggen dat ze je account beeindigen, als je keuze had zou geen mens daar mee akkoord gaan. Erg zorgelijk samen met de trend dat tegenwoordig onder het mom van piraterij alles aan online accounts wordt gekoppeld.

    Neem bijvoorbeeld de voorwarden bij steam. ALs je daar bij multiplayer vals speelt, wordt je account beeindigd. Een redelijke maatregel als het alleen dat ene spel betreft. Maar je verliest meteen ale aan je account gekoppelde spellen. Daarnaast weigeren ze ook nog eens allemaal in te gaan op wat je dan wel niet precies gedaan hebt, omdat het zogernaamd top geheim is hoe ze monitoren. Je hebt dus ook nog eens geen enkele mogelijkheid om hun claims te weerleggen.

  10. Dat haalde ik uit de New York Times:

    Mr. Kohnstamm urged the commission to draft the new privacy rules through regulation, a measure that would give E.U. member states little wiggle room in their implementation of the law, rather than via a directive, like the current law, which creates more latitude.
    Maar ik zie nu dat dat een pleidooi van Kohnstamm was en niet een plan van Reding zelf. Op zich lijkt me een Verordening wel een beter plan.

  11. Aha, vandaar dat ik het niet kon vinden. Wat mij betreft ook logischer om een Verordening te hebben, dat zou de boel een hoop duidelijker maken. Maar dat Kohnstamm het zo wil, betekent nog niet dat de Commissie daar ook zo over denkt.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.