‘Nieuw Europees privacykader hindert big data innovatie’

privacy

 

Het voorstel voor de nieuwe privacyverordening in de Europese Unie biedt consumenten meer recht op informatie en toestemming ter bescherming van hun privacy, zodat ze betere keuzes kunnen maken. Maar volgens Lokke Moerel, hoogleraar Global ICT Law, zullen deze rechten niet tot meer bescherming leiden. Het voorstel belemmert bovendien innovaties met big data, terwijl deze van groot maatschappelijk nut kunnen zijn.
Moerel pleit voor een meer Amerikaanse ‘harm based’ benadering, waarbij pas als een verwerking schadelijk is voor burgers toestemming hoeft te worden gevraagd. Dat zal uiteindelijk tot betere bescherming van de burger leiden, betoogde ze vrijdag 14 februari in haar inaugurele rede aan Tilburg University. Moerel is hoogleraar Global ICT Law aan Tilburg Law School en is partner bij De Brauw Blackstone Westbroek. Ze aanvaardde haar leerstoel met de rede Big data protection. How to make the draft EU regulation on data protection future proof.
De Europese Unie kent alomvattende ‘rights-based’ privacy wetgeving, waarbij databescherming een fundamenteel recht is. Maar het is volgens Moerel een publiek geheim dat die wetgeving weliswaar goede rechten biedt, maar weinig naleving krijgt in de praktijk. In de Verenigde Staten zijn alleen bepaalde sectoren die met gevoelige gegevens werken gereguleerd. Als daarbuiten een roep om regulering ontstaat, gebeurt dat alleen bij een misstand waardoor consumenten schade leiden (harm-basedwetgeving). Dat lijkt de consument minder bescherming te bieden, maar in sommige gevallen is het tegendeel het geval, aldus Moerel. De Federal Trade Commission treedt met harde hand op tegen bedrijven die in hun online privacy policies consumenten misleiden.

 

Inhoudsloze informatie- en instemmingsrechten

Moerel noemt als voorbeeld de Europese cookieregels, waarbij bedrijven hun websitebezoekers moeten informeren over de cookies die ze plaatsen en per soort cookie toestemming vragen (rights-based). De meeste websites plaatsen echter wel 10-20 cookies. Bezoekers van websites zien door alle cookie informatie en de opt-ins voor de verschillende cookies door de bomen het bos niet meer en accepteren blind alle cookies, ook schadelijke ‘tracking cookies’ die hen op andere websites volgen om ze te voorzien van op hen afgestemde advertenties. In de VS is het voorstel om websiteaanbieders te verplichten een ‘do-not-track’ button op hun website te plaatsen, waardoor schadelijke tracking cookies worden uitgeschakeld. De kans is groot dat consumenten deze button wel begrijpen en aanklikken. Deze harm-based benadering kan dus een stuk effectiever voor consumenten uitpakken dan alle toegekende opt-in rechten in Europa. Volgens Moerel behoort de beslissing welke cookies of gegevensverwerkingen nu wel of niet sociaal wenselijk zijn door beleidsmakers te worden genomen. Zij zouden de hete aardappel niet moeten doorgegeven aan consumenten door hun inhoudsloze informatie- en instemmingsrechten toe te kennen. Moerel bepleit daarom een bredere toepassing van de grondslag “gerechtvaardigd belang”, waarbij pas bij bepaalde gegevensverwerkingen die schadelijk zijn voor de burger toestemming hoeft te worden gevraagd (harm-based).

 

Belemmering big data innovatie

De nieuwe Europese privacy verordening belemmert bovendien big data toepassingen waarbij een bedrijf zelfstandig gegevens verzamelt om deze vervolgens te analyseren om te beoordelen of hiermee een nieuwe toepassing of dienst mogelijk is. Voor de verzameling van die gegevens moet er onder de nieuwe verordening een wettelijke grondslag zijn. Dat betekent in de meeste gevallen dat burgers ‘geïnformeerde toestemming’ moeten geven. Maar hoe vraag je die als je nog niet weet waar je de data voor gaat gebruiken?
Verder geldt onder de verordening het beginsel van ‘doelbinding’ en ‘dataminimalisatie’. Dat betekent dat het doel van de verwerking vooraf moet vaststaan en dat er zo min mogelijk gegevens mogen worden verzameld als nodig voor dit doel. Maar bij big data is vaak het doel vooraf niet bekend en worden juist zo veel mogelijk data verzameld om die vervolgens te analyseren om te kijken of er een bepaalde toepassing of dienst mee te verzinnen is. Mits de data voor de analyse goed worden ‘gepseudonimiseerd’ en dus worden omgezet naar een niet tot de oorspronkelijke persoon herleidbare unieke code (en de sleutel achter slot en grendel zit) heeft dit geen materiële impact op de privacy van burgers en zou dataverzameling dus moeten zijn toegestaan.
De vereisten van doelbinding, geïnformeerde toestemming en dataminimalisatie zijn dan ook gedateerde begrippen die zo niet thuishoren in de verordening. Ook hier geldt dat het veel beter zou zijn om de grondslag ‘gerechtvaardigd belang’ meer gewicht te geven, waarbij afhankelijk van de context, dataminimalisatie wel of niet een rol heeft en pas bij bepaalde toepassingen die schadelijk zijn voor burgers toestemming hoeft te worden gevraagd.

 

bron: www.accountancynieuws.nl

Leave a Comment

Your email address will not be published. Required fields are marked *

*