Lidstaten akkoord over Europese privacyregels: de uitkomsten

1. De definitie van persoonsgegevens. Hier lijkt de Raad meer rekening te houden met de context waarin gegevens worden verwerkt. Zo zijn online identifiers, zoals cookies, niet per definitie een persoonsgegeven, maar alleen als zij gebruikt worden om iemand te identificeren of individualiseren.
2. Toestemming. De Raad vereist geen “expliciete” toestemming, waar het Europees Parlement en de Europese Commissie hier wel voorstander van zijn. Dit zou met name verstrekkende gevolgen hebben voor de implementatie van de cookiewet, die nu werkt met een model waarbij je ook via gedrag kan aangeven akkoord te zijn met het plaatsen van cookies.
3. Opt-out. De Raad van Ministers erkent marketing als een gerechtvaardigd ondernemersbelang. Dit betekent dat organisaties nog altijd bepaalde gegevens mogen verzamelen zonder toestemming en dat zij deze mogen gebruiken voor marketing. DDMA heeft hier altijd voor gepleit. Voor nieuwe markttoetreders is het van belang dat zij potentiele klanten kunnen benaderen met een aanbod. Uiteraard moeten mensen zich wel eenvoudig kunnen afmelden.
4. Profileren. Mag volgens de tekst van de Raad opt-out, tenzij dit juridische gevolgen heeft voor een burger of hem op een andere manier negatief raakt. Uiteraard moet iemand hier wel volledig en duidelijk over geïnformeerd worden en heeft hij het recht zich af te melden.

De DDMA is positief over de voorstellen. Maar mijn mening maakt het voorstel van de Raad van Ministers een gebalanceerde afweging tussen het privacybelang van de burger en het belang van het bedrijfsleven bij toegang tot gegevens, door te stellen dat het verwerken persoonsgegevens voor marketingdoeleinden mag, tenzij het privacybelang van de burger prevaleert.

Het gebruik van persoonlijke gegevens is daarnaast natuurlijk begrensd door de verplichting uit de E-Privacyrichtlijn om voorafgaande toestemming te vragen voor het gebruik van gegevens voor alle vormen van online marketing. Denk aan cookies en e-mail en het feit dat iedereen eenvoudig en kosteloos moet kunnen afmelden.

Iedereen vóór, behalve Oostenrijk en Litouwen

De tekst die er nu ligt wordt gesteund door de lidstaten. Alleen Oostenrijk en Litouwen zijn tegen. Hongarije en Polen hebben ook serieuze bedenkingen geuit. Bedenkingen zijn er onder meer over het principe van de one-stop-shop, waarbij multinationals met één toezichthouder in zee kunnen. Dit ondermijnt in de ogen van de lidstaten de eigen soevereiniteit (en schatkist).

Ook over “verenigbaar gebruik” van persoonsgegevens is discussie. In principe zegt de huidige wet dat je persoonsgegevens alleen mag gebruiken voor een vooraf vastgesteld doel. Maar met de huidige Big Data toepassingen is dat lastig. Hier worden datasets vaker gebruikt voor doelen die voorheen niet voorzien zijn.

Parlement en Commissie positief

Vanuit de Europese Commissie en het Europees Parlement wordt verheugd gereageerd op het nieuws. Zij hopen op een akkoord voor einde jaar.

Vera Jourová, Eurocommissaris voor Justitie, consumentenrechten en gelijkheid is ervan overtuigd dat er nog dit jaar een definitieve tekst uit de onderhandelingen komt:

‘Today we take a big step forward in making Europe fit for the digital age. Citizens and businesses deserve modern data protection rules that keep pace with the latest technological changes. High data protection standards will strengthen consumers’ trust in digital services, and businesses will benefit from a single set of rules across 28 countries. I am convinced that we can reach a final agreement with the European Parliament and the Council by the end of this year.’

Het zal nog een zware dobber worden om de gesprekken in 2015 af te ronden. Op sommige punten zoals soevereiniteit van de lidstaten en waarborgen voor data opslag buiten de EU moet nog flink onderhandeld worden. Het is wel van belang dat wij hier bovenop blijven zitten, zodat niet bepalingen waar wij voor hebben gepleit worden ingeleverd als wisselgeld.