De lobby-tomie 7: niet alle wegen leiden naar privacy

Ook binnen de privacywereld zijn er verschillende scholen. Het vasthangen van standpunten aan een ogenschijnlijk positief klinkende ideologie is ook een overtuigingsstrategie. In het zevende blog over de privacylobby hebben we het daarom over privacystromingen, de meest gebruikte strategie.

De nieuwe Europese privacywet is het meest belobbiede stuk wetgeving in Europa tot dusver, omdat het onderwerp zo belangrijk is en zo’n beetje elk deel van ons dagelijks leven raakt. Daarom hebben wij om openbaarmaking gevraagd van alle lobbydocumenten die de Nederlandse regering ontving over deze wet. De komende dagen publiceren we die documenten met onze analyse in een serie blogs. Wie lobbyen? Wat willen ze? Wat betekent dat voor jou? Klik voor de andere posts hier. Klik hier voor alle lobbydocumenten. Deze serie blogs is ook samengevoegd in een rapport.

Als er één stroming succesvol over het voetlicht is gebracht, dan is het wel de “risk-based approach.” Die houdt in dat je bij de verplichtingen voor het bedrijfsleven rekening moet houden met de risico’s van gegevensverwerking. Strenge verplichtingen horen bij grote risico’s. Maar ja, ook dat mag natuurlijk geen excuus zijn om een te laag beschermingsniveau in het leven te roepen.

Als we de lobbybrieven goed lezen is één van de belangrijkste kantoren achter deze benadering het ‘Centre for Information Policy Leadership’ (VJ 7.pdf) van Hunton en Williams “LLP”. Hoewel de term ouder is, lanceren zij een ‘risk based approach framework’ in januari 2014, waarna het onderwerp herhaaldelijk terugkomt (zie ook VJ 28.pdf).

De nieuwe privacywet schept nieuwe verplichtingen voor organisaties die een bepaalde hoeveelheid gegevens gaan verwerken. Zo moet je bijvoorbeeld vóór het verwerken een ‘privacy impact assessment’ doen, waarin je dus kijkt wat de consequenties zijn van jouw verwerking voor de privacy van burgers. In sommige gevallen moet de verwerking ook worden gemeld aan de toezichthouder. Daarnaast moet je een functionaris voor de gegevensbescherming aanstellen (een privacy officer), die intern toezicht houdt op alle privacy onderwerpen. Je moet verder ook datalekken melden aan betrokkenen.

Niet alle bedrijven zijn hier even blij mee. We zeiden al dat dit de thema’s zijn waar het meest op is gelobbied. Zij zeggen, kort gezegd: laat ons alleen aan al die verplichtingen voldoen als er grote risico’s zijn.

Steun

Het verwondert niet dat veel van the usual suspects hier voorstander van zijn. TechAmerica Europe, een organisatie die de belangen van Europese technologiebedrijven “with American parentage” vertegenwoordigt, is groot voorstander (VJ 10.pdf). Banken willen ook zo’n benadering (zie bijvoorbeeld PV 17.pdf en VJ 40.pdf), Horeca (PV 6.pdf) en nog veel andere organisaties en bedrijven. Ook Thuiswinkel.org (een netwerk van online winkels – zie VJ 34.pdf) zegt: “De nu voorgestelde hervormingen zijn in de ogen van Thuiswinkel.org echter nog niet adequaat genoeg, met name omdat in de voorstellen een “risk-based” benadering ontbreekt.” Zelfs de Koninklijke Academie voor de Wetenschappen lijkt voorstander (VJ 35.pdf).

Consistentie

Om hun argumenten kracht bij te zetten, gebruiken de verschillende partijen ‘commitment en consistentie’. De truc daarbij is dat mensen graag een eenduidig beeld van zichzelf neerzetten. Als je A zegt moet je ook B zeggen. Zo gebruikt de Centre for Policy Leadership uitspraken van invloedrijke politici uit de groep mensen die ze willen beïnvloeden, die zich hebben uitgesproken voor zo’n risicobenadering.

In een brief van the Centre for Information Policy Leadership (VJ 7.pdf) wordt Eurocommissaris Reding geciteerd als voorstander van de benadering, alsook dezelfde Raad van Ministers die de brief probeert te beïnvloeden. Je was voor een risicobenadering? Dat moet je dus ook akkoord gaan met onze wensen. De voormalig European Data Protection Supervisor (toenmalig hoge privacyfunctionaris bij de EU) Peter Hustinx heeft zich ooit positief uitgelaten over de benadering, en ook dat wordt graag aangehaald (VJ 28.pdf) door de Industry Coalition for Data Protection:

“ICDP strongly agrees with the European Data Protection Supervisor, Peter Hustinx that data protection legislation is most effective when it follows a risk-based approach.”

Opgepast!

Een risicobenadering is niet gek. Maar het mag geen excuus zijn om je aan allerlei belangrijke verplichtingen te onttrekken, zeiden de gezamelijke privacywaakhonden in Europa. Aansprakelijkheid op grond van objectief van te voren vastgestelde criteria kan zorgen dat bedrijven in een zo vroeg mogelijk stadium rekening houden met privacybescherming. Die criteria moeten vanzelfsprekend proportioneel zijn, dus een eenmanszaak die per jaar vijftig klanten heeft hoeft niet elke week een privacy impact assessment te sturen naar de toezichthouder en een extra privacy officer in dienst te nemen. Maar we moeten wel oppassen voor misbruik. Zo wil Digital Europe (PV 19.pdf – een lobbyclub voor het digitale bedrijfsleven) dat bedrijven zelf kunnen bepalen wat risicovol is. Tja, dan kan je je natuurlijk makkelijk aan toezicht onttrekken en dat is niet de bedoeling. De slager keurt dan zijn eigen vlees.

Privacystromingen

Het ophangen van je standpunten aan een duidelijke stroming, kan je helpen. Zo komen er meer stromingen voorbij. Vodafone (VJ 46.pdf) wil een meer ‘principle based’ benadering (daarmee bedoelen ze dat ze meer flexibiliteit willen). Weer andere bedrijven hebben het over de ‘harm based approach’, de ‘use based approach’, de ‘precautionary based approach’ en meer.

Welke stroming je ook volgt, niemand kan nu goed de risico’s overzien. Wat we wel weten is dat gegevens alleen maar nog meer verzameld en gebruikt gaan worden. Elke keus die we nu maken wordt daarmee alleen maar belangrijker.

In ons volgende blog gaan we het hebben over het argument fraudebestrijding.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.