De Europese Unie kent een alomvattende ‘rights-based’ privacy wetgeving, waarbij databescherming een fundamenteel recht is. Het is echter een publiek geheim dat die wetgeving weliswaar goede rechten biedt, maar weinig naleving krijgt in de praktijk. In de Verenigde Staten zijn alleen bepaalde sectoren die met gevoelige gegevens werken gereguleerd. Als daarbuiten een roep om regulering ontstaat, gebeurt dat alleen bij een misstand waardoor consumenten schade leiden (harm-based wetgeving). Dat lijkt de consument minder bescherming te bieden, maar in sommige gevallen is het tegendeel het geval. De Federal Trade Commission treedt met harde hand op tegen bedrijven die in hun online privacy policies consumenten misleiden.
Een goed voorbeeld zijn de Europese cookieregels, waarbij bedrijven hun websitebezoekers moeten informeren over de cookies die ze plaatsen en per soort cookie toestemming vragen (rights-based). In de praktijk blijkt dat de meeste websites wel tien tot twintig cookies plaatsen. Bezoekers van websites zien door alle cookie informatie en de opt-ins voor de verschillende cookies door de bomen het bos niet meer en accepteren blind alle cookies, ook de 'tracking cookies' die consumenten volgen om ze te kunnen voorzien van op hen afgestemde advertenties.
In de VS gaan de gesprekken in de richting van een 'do-not-track' button die website eigenaren op hun website plaatsen. Consumenten zullen deze button beter begrijpen en ook gebruiken. Deze harm-based benadering zou een stuk effectiever uitpakken dan alle toegekende opt-in rechten in Europa.
De nieuwe Europese privacy verordening belemmert bovendien big data toepassingen. Onderdeel van de nieuwe verordening is namelijk het beginsel van 'doelbinding' en 'dataminimalisatie'. Dit betekent dat het doel van de verwerking vooraf moet vaststaan en dat er zo min mogelijk gegevens mogen worden verzameld als nodig voor dit doel.
Maar bij big data is vaak het doel vooraf niet bekend. Er wordt juist zo veel mogelijk data verzameld om die vervolgens te analyseren om te kijken of er een bepaalde toepassing of dienst mee te verzinnen is. Mits de data voor de analyse goed worden 'gepseudonimiseerd' door deze om te zetten naar een niet tot de oorspronkelijke persoon herleidbare unieke code, waarna de sleutel achter slot en grendel gaat, heeft dit geen materiële impact op de privacy van burgers en zou dataverzameling dus moeten zijn toegestaan.
Doelbinding, geïnformeerde toestemming en dataminimalisatie zijn vgedateerde begrippen. Ook hier geldt dat het veel beter zou zijn om de grondslag "gerechtvaardigd belang" meer gewicht te geven. Afhankelijk van de context, dataminimalisatie wel of niet een rol heeft en pas bij bepaalde toepassingen die schadelijk zijn voor burgers toestemming hoeft te worden gevraagd.
Deze bijdrage is geschreven door Lokke Moerel, hoogleraar Global ICT Law aan de Tilburg Law School en partner bij De Brauw Blackstone Westbroek.
Plaats als eerste een reactie
Ook een reactie plaatsen? Word lid van Adformatie!