Afgelopen maand viel mijn oog op het bericht ‘E-Bay schendt privacyregels’ op de nieuwssite Planet Multimedia. Bij verkoop van I-Bazar aan de Amerikaanse E-Bay zouden persoonsgegevens van miljoenen klanten worden overgezet van Frankrijk naar de Verenigde Staten.
De vraag is of hierbij de (Europese) privacywetgeving wordt overtreden. Voldoet E-Bay, gelet op de huidige regelgeving, aan de strenge regels die de Europese Unie stelt aan het overzetten van persoonsgegevens naar bedrijven in het buitenland? In ieder geval is het hoog tijd voor bedrijven omzichtiger om te gaan met de consumentengegevens die zij verstrekken en verhandelen. Enerzijds omdat dit behoort tot de grondrechten van de mens, anderzijds omdat dit in het belang is van de ontwikkeling van het internet als volwaardig domein van dienstverlening.
Bij het registreren, verstrekken en verhandelen van klantengegevens bestaan twee principes: het opt-out en opt-in principe. In het eerste geval zal de betrokkene zelf moeten aangeven het niet op prijs te stellen dat gegevens worden verstrekt aan derden. Bij de laatste moet de betrokkene expliciet toestemming geven om de gegevens te verstrekken. ‘Opt-out’ verwacht een actieve opstelling van de betrokkene, ‘opt-in’ een actieve opstelling van het desbetreffende bedrijf.
Vanuit het gedachtegoed van de Europese grondrechten ben ik een voorstander van het opt-in principe, waarbij onder strikte voorwaarden het opt-out principe mogelijk is. De grondrechten die off-line gelden moeten namelijk ook on-line gelden. Daarin sta ik overigens niet alleen. Ook de Europese Commissie gaat uit van dit principe. De data protection directive verplicht bedrijven en instellingen toestemming te vragen aan de betrokkene of persoonsgegevens mogen worden overgedragen. Dit geldt ook voor de export van gegevens buiten het grondgebied van de EU.
In beginsel geldt het opt-in principe bij de overdracht van persoonsgegevens van de ene onderneming aan de andere. Een uitzonderingsregel is echter de ‘Safe harbor’-overeenkomst. Deze overeenkomst is bedoeld om handelsbelemmeringen tussen de EU en de VS te voorkomen. In deze overeenkomst zijn regels opgenomen over de overdracht van persoonsgegevens die garanties creëren voor de bescherming van persoongegevens. Onder deze strikte voorwaarden is het opt-out principe van kracht. Wanneer bedrijven voldoen aan deze criteria kan een ‘Safe harbor’-certificaat verstrekt worden. E-Bay is echter niet in het bezit van een dergelijk ‘Safe harbor’-certificaat. Toch worden op dit moment gegevensbestanden van 2,4 miljoen Europeanen volgens het opt-out principe overgezet.
Het waarschijnlijk tekortschieten van de bescherming van persoonsgegevens zoals bij E-Bay is geen incident. In het jaarverslag van de Registratiekamer, die is belast met het toezicht op naleving van de privacywetgeving, wordt geconcludeerd dat bijvoorbeeld Internet Service Providers (ISP’s) in aanzienlijke mate tekortschieten in de bescherming van persoonsgegevens. Dergelijke praktijken schaden het vertrouwen van de consument in grote mate. Het bedrijfsleven realiseert zich blijkbaar nog te weinig welke rol vertrouwen speelt bij de ontwikkeling van het internet en het totstandkomen van elektronische diensten. Niet alleen de betrouwbaarheid van het financiële verkeer en de technologie zijn essentieel voor het consumentenvertrouwen, ook privacy is een fundament bij het creëren van vertrouwen. De bescherming van privacy verdient daarom meer aandacht in het zakenverkeer. Uit onderzoek, verricht door Price-Waterhouse-Coopers, blijkt dat consumenten zich werkelijk zorgen maken over hun on-line privacy. Maar het garanderen van privacy is niet alleen een kwestie van het naleven van wetgeving, het kan ook als onderscheidend kwaliteitskenmerk worden gebruikt. Alleen als het vertrouwen van de consument in het verkeer op het internet gewonnen wordt, kan het volledige potentieel van elektronische dienstverlening worden bereikt.
Hierbij zijn vier aspecten van wezenlijk belang. Ten eerste dient de consument voldoende geïnformeerd te worden over zijn rechten. Dit betekent dat er sprake moet zijn van het opt-in principe, waarbij voldoende duidelijk wordt gemaakt waarvoor bestanden worden aangelegd. Ten tweede vraagt deze aanpak om een gecoördineerde toepassing van Europese richtlijnen op dit gebied. Ten derde kan het bedrijfsleven hard- en softwarepakketten aanbieden waarmee de consument zich maximaal kan beschermen tegen ongewenste gegevensverzameling. Als laatste dienen de activiteiten van actoren op het gebied van persoonsgegevens te worden gecontroleerd. Dit kan zowel door zelfregulering gebeuren alsmede door autoriteiten. Hier valt te denken aan kwaliteitscertificaten die de consument zekerheden bieden over de naleving van bepaalde wet- en regelgeving.
Zolang het bedrijfsleven niet voldoende onder ogen ziet dat het ondermijnen van het vertrouwen de ontwikkeling van elektronische diensten in de weg staat, ondergraaft zij haar eigen positie. Het creëren van vertrouwen is niet slechts een rol van de overheid alleen, het bedrijfsleven heeft hierin een grote rol en verantwoordelijkheid. Door het ontstaan van één-op-één contacten tussen bedrijfsleven en consument bouwen zij steeds grotere bestanden met gegevens op, vaak zonder dat de klant hiervan voldoende op de hoogte is. Aan de ene kant vergroot dit de servicegerichtheid en het gebruiksgemak voor de consument. Aan de andere kant echter, groeit de verantwoordelijkheid waarmee bedrijven met deze gegevens moeten omgaan. Deze factoren maken het bedrijfsleven evengoed verantwoordelijk voor een deugdelijke bescherming van de gegevens van haar klanten. Privacy en gegevensbescherming zouden daarom hoog op de agenda van ieder bedrijf moeten staan. Dit is niet alleen in het belang van de consument, maar ook voor het bedrijfsleven zelf. Alleen als consumenten zich met vertrouwen begeven op het internet, zullen zij het internet kiezen als volwaardig alternatief voor traditionele vormen van dienstverlening.
Hella Voûte-Droste, lid Tweede Kamer VVD, woordvoerder Economische Zaken en ICT
hvoute@tk.parlement.nl
