Wbp move over: de Europese Privacyverordening is hier!

wbp-west-bengal-policeNa buitengewoon veel gelobby, gesteggel en geharrewar over toestemming geven, profiling, toezicht en boetes zijn we er dan eindelijk uit: de Europese Privacyverordening is definitief aangenomen in het Europees Parlement. De nieuwe regels zullen de huidige nationale privacywetten, zoals onze Wet bescherming persoonsgegevens, gaan vervangen en zo een éénvormige privacyregulering bieden voor alle Europese burgers. Dat werd hoog tijd, want die oude regels waren uit 1995 en toen werkte internet iets anders dan nu. Wat betekent de privacyverordening voor de praktijk?

De definitieve tekst laat zien dat het in principe vooral méér, méér, méér regeltjes op gaat leveren. Er zijn geen volstrekt nieuwe begrippen of fundamenteel andere insteken. Het is aanscherpen, verdiepen, en vooral meer verplichten voor bedrijven die omgaan met persoonsgegevens. In theorie moet dit de privacy van de burger zeer ten goede komen. Maar ik ben bang voor een cookiewet on steroids: alle waarborgen uit de Verordening ten spijt zie ik de duizenden popups met “Graag willen wij uw uitdrukkelijke toestemming” al voor me.

Het begrip ‘persoonsgegeven’ wordt een eind opgerekt. Het gaat niet perse meer over identificeren aan de hand van iemands naam of contactgegevens: ook locatie en online nicknames zijn nu beschermde data geworden:

an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;

Hiermee komt (hoop ik dan) een einde aan de discussie of een IP-adres, kenteken, nickname of “die meneer op de achterste bank met dat rode shirt” nu een persoonsgegeven is. Dat zijn ze: ze identificeren iemand aan de hand van een bepaalde identifier, en dat is genoeg. Een naam is ook maar gewoon een tekentje.

Ook de toestemming wordt opgerekt. Waar de huidige wet een vrije, specifieke en op informatie beruste uiting vereiste, luidt de huidige riedel als volgt:

any freely given, specific, informed and unambiguous indication of the data subject’s wishes by which he or she, by a statement or by a clear affirmative action, signifies agreement to the processing of personal data relating to him or her;

De toestemming moet dus nu ook “niet-ambigu” zijn, en er moet een verklaring of duidelijke bevestigende handeling zijn. Uit impliciet handelen valt dus geen toestemming meer af te leiden. En oh ja:

If the data subject’s consent is given in the context of a written declaration which also concerns other matters, the request for consent shall be presented in a manner which is clearly distinguishable from the other matters, in an intelligible and easily accessible form, using clear and plain language.

Wil je dus meerdere dingen vragen waarvan eentje een privacytoestemming is, dan zul je die privacytoestemming apart moeten vragen in gewone taal. En dit is dus waarom ik duizenden cookiepopups verwacht onder de nieuwe wet.

Het ‘recht te worden vergeten’ staat ook in de Verordening. Inhoudelijk weinig nieuws: je hád al het recht je gegevens te laten wissen als ze niet meer relevant zijn, en gewist worden in Google-zoekresultaten is niet anders dan gewist worden bij een winkel waar je jaren terug eens wat bestelde. Wel nieuw is dat de verantwoordelijke nu ook de plicht krijgt bij collega’s die deze data van hem hebben gekregen, het ook daar te laten verwijderen.

Verder heb je straks het recht een kopie van je data te krijgen in een portable formaat, zodat je deze bijvoorbeeld bij een andere dienstverlener kunt laten importeren. (Wel moet het gaan om geautomatiseerde diensten én moet de data verwerkt zijn krachtens toestemming of een contract.)

Verwerken zonder toestemming mag op zich nog steeds, mits je het kunt rechtvaardigen onder een eigen dringende noodzaak. Nieuw is dat mensen bezwaar kunnen maken tegen dergelijke verwerkingen. Bij zo’n bezwaar moet de verantwoordelijke vervolgens een stevige motivatie geven waarom ondanks het bezwaar hij tóch verder mag gaan. En dit wordt nog een leuke: specifiek bij profiling voor direct marketing is die motivatie per definitie niet mogelijk. De vraag voor de komende vijf jaar wordt dus of getargete internetadvertenties hieronder vallen.

De nieuwe wet zet veel zwaarder in op compliance. Bedrijfsprocessen die met persoonsgegevens werken, moeten gedocumenteerd worden (met name hoe toesteming verkregen is). Bedrijven moeten kunnen verantwoorden waarom het niet een onsje minder kan met die persoonsgegevens. En bedrijven wiens kernactiviteit het

processing operations which, by virtue of their nature, their scope and/or their purposes, require regular and systematic monitoring of data subjects on a large scale

is, moeten een onafhankelijke privacy officer aanstellen.

Om dit alles kracht bij te zetten, krijgt de toezichthouder een boetebevoegdheid die op kan lopen tot € 20.000.000 per overtreding of 4% van de wereldwijde jaaromzet voor de grote overtredingen en 10 miljoen/2% voor de meer formele dingen. Wereldwijd, want Google, Facebook en andere Amerikaanse bedrijven kunnen ‘pakken’ is expliciet de bedoeling. Deze vallen volgens de Verordening onder Europese jurisdictie wanneer zij persoonsgegevens van Europese burgers verwerken, ongeacht in welk land dat gebeurt. (En hee, komt dát even handig uit dat ze allemaal hun omzet via een Nederlandse IP-bv doorstromen.)

De Verordening is alles bij elkaar 261 pagina’s juridische taal, dus dat gaat nog wel even flink wat gepuzzel worden voor mij en mijn collega’s. En dat roept gelijk wel een zorg bij me op: deze wet is zó groot, kun je daar wel aan voldoen? Of omgekeerd, deze wet is zó groot, daar is altijd wel een truc in te vinden om er onderuit te komen. Dus was dit wel een goed idee, zó veel ineens regelen?

Arnoud