De EU voert een wet in die burgers en hun gegevens verregaand beschermd. Officieel gaat het niet in de eerste plaats om terugdringing van de ongebreidelde spionagepraktijken van de Amerikaanse NSA en gelijken, maar dat is daar wel een direct gevolg van. Zo mag alleen nog een Europese rechter besluiten gegevens over Europeanen aan de VS over te dragen, burgers dienen direct toegang te krijgen tot hun gegevens en boetes voor overtreden zijn hoog.
21 oktober is een interessante en best historische dag voor de bescherming van de burgers van Europa. Ondanks de bijna vierduizend amendementen op de voorstellen voor een nieuwe privacywet, is bij de stemming voor goedkeuring, door een overweldigende meerderheid vóór het ontwerp gestemd. Dat betekent dat de EU een wet gaat invoeren die burgers en hun gegevens verregaand beschemd.
Bedrijven zoals Google, Facebook, Microsoft en Yahoo hebben zwaar gelobbyd tegen deze wet. Zij denken dat hun operationele activiteiten rondom gegevens veel ingewikkelder en dus duurder worden. Na aanvankelijk succes, waarbij essentiële stukken van het voorstel veranderd waren, is de wet er toch sterker uitgekomen. Dat is mede te danken aan de beschrijvingen die Edward Snowden heeft gegeven van de NSA praktijken.
Amerikaanse overheden zijn ook tegen deze wetgeving, omdat ze vrezen dat de rest van de wereld het voorbeeld van strengere data regels gaat volgen. In het bijzonder landen in Latijns Amerika, Azië en het Midden Oosten zullen dat doen, waardoor ze moeilijker in staat zullen zijn het gewenste niveau van monitoring, ten behoeve van terrorismebestrijding, te halen.
Bij overtreding van de wet kunnen de boetes oplopen tot 5 procent van wereldwijde jaaromzet van een overtreder, of een bedrag van honderd miljoen euro.
Enkele gevolgen van deze wet voor de burgers en bedrijven zijn:
* Burgers moeten op eerste verzoek compleet inzage krijgen in de informatie die over hen is vastgelegd en het doel wat er mee gediend is dient duidelijk te zijn.
* Burgers kunnen die gegevens laten wijzigen of zelfs compleet laten verwijderen.
* Er komt een verplichting voor bedrijven/instellingen die van meer dan vijfduizend mensen data beheren, moeten een privacy officer aanstellen.
* Gebruiksvoorwaarden moeten in eenvoudige bewoordingen geschreven zijn en worden gestandaardiseerd. Er worden icoontjes ontworpen voor gebruik van gegevens, vergelijkbaar met het wasvoorschrift in een kledingstuk. De lange ingewikkelde juridische teksten dienen te verdwijnen.
* Als buitenlandse autoriteiten bedrijven (lees: Als de NSA Facebook) vragen om gegevens van Europese burgers dan moet daarvoor toestemming verleend worden door een Europese rechter. Overigens is het bedrijven verboden om persoonsdata te delen met autoriteiten in derde landen.
Aanzienlijke gevolgen
Er zijn volgens mij gevolgen voor alledaags gegevensbeheer en het inrichten van de organisatie daaromheen. Zonder diepgaande impactanalyse kunnen we al wel stellen dat deze wet, die eind 2015 in alle landen ingevoerd moet zijn, aanzienlijke gevolgen zal hebben voor de inspanning van een organisatie op datamanagement gebied. Te denken valt aan:
* Faciliteiten die het mogelijk maken de opgevraagde informatie van een burger snel op te vragen;
* Inrichting van gegevensmodellen en maatregelen die het mogelijk maken de persoonsgegevens uit de databases en eventuele chat-, correspondentie- en mailhistorie te verwijderen en te wijzigen.
* Inrichting van faciliteiten waaruit de oorsprong van de data is af te lezen, omdat doelbinding essentieel is en omdat de privacy officer van voldoende informatie voorzien moet worden.
* Bedrijven die nog geen maatregelen op het gebied van datagovernance, -kwaliteit en -logistiek hebben genomen om in staat te zijn snel correcte gegevens aan de aanvrager te tonen, moeten daar alsnog grote inspanningen voor doen. Er gaan soms jaren overheen om een goed (centraal) gegevensbeheer in te richten, zij zullen dus heel snel moeten starten.
* Invloed op de ingerichte, of in te richten gegevensstrategie omdat rekening gehouden moet worden met de regels over beveiliging van persoonsgegevens en mogelijk nieuwe lijnen waarlangs gegevens, de metadata en de herleidbaarheid daarvan ingebouwd moeten zijn.
De opstellers van de wet hebben de definitie van ‘persoonsgegevens’ ruim genomen. Zo valt alle data waarmee de identiteit van een persoon te achterhalen is, binnen scope.
Vragen en risico’s
Hoewel deze wet, ook door de eenheid die erdoor in de Europese Unie ontstaat, toe te juichen is, zijn er nog vragen en risico’s. Een risico is dat mensen met teveel tijd herhaaldelijk gaan vragen om toegang tot hun data en die steeds willen wijzigen. Dat leidt tot WOB-toestanden (Wet Openbaar Bestuur), waarbij sommigen een heel team in een gemeentehuis aan het werk kunnen houden om te voldoen in de aanvragen die die persoon almaar doet.
Er is een voorbeeld van een ondernemer die tegen de honderd verzoeken deed in het kader van de WOB, omdat hij zich benadeeld voelde door de gemeente. In de wet is wel bescherming opgenomen tegen herhaalde en pesterige verzoeken. De gegevenshouder mag een vergoeding vragen voor de dienst als die herhaald moet worden uitgevoerd of hij kan de actie weigeren. Dan moet hij wel in staat zijn te bewijzen dat het om een hinderlijke aanvraag gaat.
Een vraag is in hoeverre historische gegevens die bijvoorbeeld op tape back-ups staan ook op verzoek verwijderd en/of gewijzigd moeten worden. Wat we tot nu toe van de wetteksten gezien hebben, is dat wél het geval. Op verzoek van een Europees persoon dient de gegevensbeheerder dus alle historische tapes en informatiedragers na te kunnen gaan om vast te stellen of er geen data over die persoon op staat.
In dit kader is het interessant de Check ook de wettekst te checken en een bezoekje te brengen aan de site van Data Protection News Room.
Met alle Respect voor de auteur,
Als de V.S., middels Snowden, al iets heeft aangetoond dan is het dat de VS zich aan geen enkele wetgeving ook maar iets gelegen zal laten door te gaan met ‘datamining’ in de breedste zin des woords. Dat zal door enig EU wetgeving absoluut niet veranderen.
Een simpele constatering, denkt u werkelijk dat wanneer u zich richt tot de ambassade van de VS met het stringente verzoek om inzage in eventueel van u vastgelegde data? Dan kan ik met een gerust geweten u het antwoord geven. Die valt ongetwijfeld onder de Home Security Act an daarvan stelt men geeft men zelfs de overheid in de VS vrijwel geen inzage.
Technisch gezien is de kans groter dat uw persoonlijke data tussen nu en, laat ons zeggen, tien jaar vanzelf wel is vergaan van de opslagmedia omdat dat de gemiddelde lifecycle is van…., dan dat u inzage zult krijgen in uw persoonlijke data.
U kunt u daar heel erg druk om maken natuurlijk maar we bevinden ons allang in een fase dat overheden gewoon doen met persoonlijke data wat hen god dunkt en u en ik als burger daar steeds minder over te zeggen hebben.
Het einde van Democratie is helemaal niet zo ver weg uiteindelijk.
@ NumoQuest
Mijn vrouw is ooit gevlucht voor het kommunistische regime (tsjechie) en vraagt zich nu af waarvoor ze gevlucht is, de praktijken van toentertijd zijn nu weer normaal.
Wat je als burger doen kunt is facebook etc. meiden, veel verschillende zoekmachines gebruiken en geen of zo min mogelijk diensten van firma’s uit de US afnemen.
“De Konsument” is helaas te dom dat te bedenken. Zie bijna 1 milliard facebookers.
@Numoquest
wat hun god denkt ( e mist lijkt het mij) is wellicht een freudiaanse verschrijving, maar kom er misschien toch wel dicht bij wat je bedoeld….