Nieuw Europees privacykader en big data zitten elkaar in de weg

business_trendsHet voorstel voor de nieuwe privacyverordening in de Europese Unie biedt consumenten meer recht op informatie en toestemming ter bescherming van hun privacy, zodat ze betere keuzes kunnen maken. Maar volgens hoogleraar Lokke Moerel zullen deze rechten niet tot meer bescherming leiden. Het voorstel belemmert bovendien innovaties met big data, terwijl deze van groot maatschappelijk nut kunnen zijn.

Moerel pleit voor een meer Amerikaanse harm based-benadering, waarbij pas als  informatieverwerking schadelijk is voor burgers toestemming hoeft te worden gevraagd. Dat zal uiteindelijk tot betere bescherming van de burger leiden, zo betoogde ze vrijdag 14 februari jongstleden in haar inaugurele rede aan Tilburg University.

Rights-based

De Europese Unie kent alomvattende rights-based privacywetgeving, waarbij databescherming een fundamenteel recht is. Maar het is een publiek geheim dat die wetgeving weliswaar goede rechten biedt, maar weinig naleving krijgt in de praktijk. In de Verenigde Staten zijn alleen bepaalde sectoren die met gevoelige gegevens werken gereguleerd. Als daarbuiten een roep om regulering ontstaat, gebeurt dat alleen bij een misstand, waardoor consumenten schade leiden (harm-based wetgeving). ‘Dat lijkt de consument minder bescherming te bieden, maar in sommige gevallen is het tegendeel het geval’, aldus Moerel. De Federal Trade Commission treedt met harde hand op tegen bedrijven die in hun online privacy-policies consumenten misleiden.

Cookieregels

Moerel noemt in haar oratie de Europese cookieregels als voorbeeld, waarbij bedrijven hun websitebezoekers moeten informeren over de cookies die ze plaatsen en per soort cookie toestemming vragen (rights-based). De meeste websites plaatsen echter wel tien tot twintig cookies. Bezoekers van websites zien door alle cookie-informatie en de opt-ins voor de verschillende cookies door de bomen het bos niet meer en accepteren blind alle cookies, ook schadelijke zogenoemde tracking cookies, die hen op andere websites volgen om ze te voorzien van op hen afgestemde advertenties.

Merkel

Do-not-track

In de VS is het voorstel om websiteaanbieders te verplichten een do-not-track button op hun website te plaatsen, waardoor schadelijke tracking cookies worden uitgeschakeld. De kans is groot dat consumenten deze button wel begrijpen en aanklikken. Deze harm-based benadering kan dus een stuk effectiever voor consumenten uitpakken dan alle toegekende opt-in rechten in Europa. Volgens Moerel behoort de beslissing welke cookies of gegevensverwerkingen nu wel of niet sociaal wenselijk zijn door beleidsmakers te worden genomen. Zij zouden de hete aardappel niet moeten doorgegeven aan consumenten door hun inhoudsloze informatie- en instemmingsrechten toe te kennen. Moerel bepleit daarom een bredere toepassing van de grondslag "gerechtvaardigd belang", waarbij pas bij bepaalde gegevensverwerkingen die schadelijk zijn voor de burger toestemming hoeft te worden gevraagd (harm-based).

Big data

De nieuwe Europese privacy-verordening belemmert volgens Moerel bovendien bigdatatoepassingen waarbij een bedrijf zelfstandig gegevens verzamelt om deze vervolgens te analyseren om te beoordelen of hiermee een nieuwe toepassing of dienst mogelijk is. Voor de verzameling van die gegevens moet er onder de nieuwe verordening een wettelijke grondslag zijn. Dat betekent in de meeste gevallen dat burgers “geïnformeerde toestemming” moeten geven. Maar hoe vraag je die als je nog niet weet waar je de data voor gaat gebruiken?

Verder geldt onder de verordening het beginsel van “doelbinding” en “dataminimalisatie”. Dat betekent dat het doel van de verwerking vooraf moet vaststaan en dat er zo min mogelijk gegevens mogen worden verzameld als nodig voor dit doel. Maar bij big data is vaak het doel vooraf niet bekend en worden juist zo veel mogelijk data verzameld om die vervolgens te analyseren om te kijken of er een bepaalde toepassing of dienst mee te verzinnen is. Mits de data voor de analyse goed worden “gepseudonimiseerd” en dus worden omgezet naar een niet tot de oorspronkelijke persoon herleidbare unieke code (en de sleutel achter slot en grendel zit) heeft dit geen materiële impact op de privacy van burgers en zou dataverzameling dus moeten zijn toegestaan.

Gedateerd

De vereisten van doelbinding, geïnformeerde toestemming en dataminimalisatie zijn volgens Moerel dan ook gedateerde begrippen die zo niet thuishoren in de verordening. Ook hier geldt dat het veel beter zou zijn om de grondslag "gerechtvaardigd belang" meer gewicht te geven, waarbij afhankelijk van de context, dataminimalisatie wel of niet een rol heeft en pas bij bepaalde toepassingen die schadelijk zijn voor burgers toestemming hoeft te worden gevraagd.

Prof. mr. dr. Lokke Moerel is sinds maart 2013 hoogleraar Global ICT Law aan Tilburg Law School en is partner bij De Brauw Blackstone Westbroek. Ze aanvaardde haar leerstoel op vrijdag 14 februari 2013 met de rede Big data protection. How to make the draft EU regulation on data protection future proof.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

  • Geen evenementen
  • Magazine

    BTG in Business - Voorjaar 2022
    Lees de laatste editie

    Meld je aan voor onze nieuwsbrief!

    Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
    • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.