Tweede Kamer: geen Russisch roulette met ACTA

Nieuwe privacyregels: bescherming tegen Amerikaans datagraaien

Laat jij je koelkast indexeren door Google?

De Europese Commissie heeft de afgelopen twee jaar gewerkt aan de herziening van de Europese privacyregels. Een concept is onlangs uitgelekt. We zetten de belangrijke punten voor je op een rij.

Het stuk (PDF), 116 pagina’s lang, versie 56(!), beschrijft de Europese privacyregels in detail. Niet alles is even relevant voor de gemiddelde internetter, maar een paar voorstellen zijn dat zeker wel:

  • Bescherming tegen Amerikaans datagraaien (art. 42). Een bedrijf dat persoonsgegevens in Europa verwerkt mag die persoonsgegevens niet afstaan op basis van een besluit van een rechter of een toezichthouder in een land buiten Europa. Dus: Google mag jouw Gmail-gegevens niet afstaan aan de Verenigde Staten op basis van de Patriot Act. Dit is een stevige bepaling die ongetwijfeld nog tot veel discussie zal leiden.
  • Boetes (art. 79). Voor verschillende inbreuken op de privacyregels kunnen de boetes oplopen tot wel 5% van de wereldwijde jaarlijkse omzet van een bedrijf. Ter vergelijking: het College Bescherming Persoonsgegevens kan nu maximaal 4.500 Euro boete opleggen in een heel beperkt aantal gevallen.
  • Een recht om vergeten te worden (art. 15). Dit gaat behoorlijk ver: het lijkt alsof een bedrijf dat gegevens ten onrechte publiceert ook moet zorgen dat die gegevens vervolgens van het hele internet verdwijnen. Het idee is in theorie aardig, maar aan de reikwijdte moet wel worden gesleuteld.
  • Dataportabiliteit (art. 16). Je mag jouw gegevens opvragen bij een dienstverlener in elektronisch format, zodat je die vervolgens makkelijk bij een andere dienstverlener kan uploaden. Dus: je mag bij Facebook je gegevens opvragen om ze bij Google+ te importeren.
  • Meldplicht datalekken (artt. 28 en 29). Bedrijven moeten datalekken melden aan een toezichthouder en aan de slachtoffers (als er een privacy-inbreuk is). “Waarschijnlijke” datalekken, dus wanneer een bedrijf vaststelt dat is ingebroken, maar niet zeker weet of er ook gegevens zijn gestolen, vallen niet onder de meldplicht.
  • Veiligheid (art. 20 en 27). De Europese Commissie krijgt de bevoegdheid om nader uit te werken hoe systemen ontworpen en beveiligd zouden moeten worden volgens de beginselen van “privacy by design” en “privacy by default”.

Nota bene: dit is nog maar een concept, en er kan nog veel veranderen. Wat viel jou  op?

  1. Marco

    Uit jullie samenvatting valt me op dat dit veel verder gaat dan ik had durven hopen. Maar mijn verwachtingen zijn dan ook wel bitter laag geworden het laatste decennium.

    Ik lees veel goede dingen. Wat ik mis, is iets over opslag/verzamelen van biometrische gegevens. Maar misschien viel dat buiten jullie samenvatting.

    Dank voor dit bericht. Een mooi begin van de dag.

  2. Emre

    Drie zaken die opvallen: jurisdictie, profiling and uitbreiding van ‘data subject’.

    De jurisdictie wordt uitgebreid naar bedrijven die niet binnen de EU zitten, maar wel gericht persoonsgegevens verwerken van burgers uit de Unie of hun gedrag monitoren (art. 2 lid 2).

    Dat brengt me op het tweede punt: profiling valt ook onder de verordening (zie considerans 22 – 23). Eerder was niet geheel duidelijk of profiling op basis van IP-adressen, cookies of bijvoorbeeld UDID’s (smartphones & tablets) onder de richtlijn viel. De verordening maakt expliciet duidelijk dat ook deze gegevens persoonsgegevens zijn, indien aan de hand daarvan iemand ge├»dentificeerd zou kunnen worden.

    Aansluitend daarop is ook het begrip persoonsgegevens uitgebreid en verduidelijkt: hier vallen voortaan ook locatiegegevens en bijvoorbeeld ‘online identifiers’ onder (art. 3 lid 1). Denk hierbij aan het bovenstaande.

    Al met al een verbeting ten opzichte van de richtlijn vanuit het perspectief van burgers.

  3. Erwin

    Ik sluit me in deel aan bij Emre. Tevens is wederom gebleken dat de mazen van een wet erg groot zijn. Datagraaien mag dan niet door Amerika, gebeuren, maar als een 3e partij dat doet en die de gegevens doorspeelt is er blijkbaar niets aan de hand. En wat ook is gebleken is dat dit punt geen rekening houdt met afluisterpraktijken van bedrijven of personen binnen de EU en hoe om te gaan met DPI. Bovendien kan het zo worden dat men gaat stellen in de TOS of EULA van een product dat datagraaien bij de mogelijkheden gaat behoren. (Dit kan gewoonweg stilzwijgend in dergelijke teksten worden opgenomen) Hoe gaat men daar dan mee om ??
    Ik ben bang dat privacy nog verder van huis is dan we denken, men gaat gewoon zoeken naar methodes om dit soort wetgeving te omzeilen. Het concept is aardig omdat het aardig lijkt, maar ik denk dat we met zijn allen wel kunnen nagaan dat big brother gewoon blijft meekijken.

  4. Bert van Delft

    Wat mij opvalt?
    Dat dit te mooi is om waar te zijn, zeker vanuit de EU burocratie…
    Zo erg te mooi om waar te zijn dat het op een (erg vroege) 1 april grap kijkt

  5. Etienne

    Dit zou wellicht kunnen leiden tot internationale conflicten? Grote bedrijven zullen zich zonder meer aan willen / kunnen passen aan de Europese regelgeving, al dan niet met moeite. Het probleem zal waarschijnlijk liggen bij overheden als die van de Verenigde Staten, die wanneer nodig, persoonsgegevens op willen kunnen vragen bij bedrijven als Google en Facebook. Wellicht dat er een soort “Europese rechtbank” moet komen om te beoordelen of persoonsgegevens verstrekt mogen worden.

    Verder vind ik het een veelbelovend concept dat, jammergenoeg, tot veel onenigheid zal kunnen leiden.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.