Wetsvoorstel bescherming persoonsgegevens is 'stap achteruit'

De landen van de EU zijn het maandag eens geworden over een nieuw Europees wetsvoorstel dat burgers beter moet beschermen tegen de datahonger van grote bedrijven. Maar de mazen in de wet zijn groot.

De Algemene Verordening Gegevensbescherming moet Europese burgers meer controle geven over de persoonlijke gegevens die zij achterlaten bij techbedrijven zoals Facebook. Beeld anp

De Algemene Verordening Gegevensbescherming moet Europeanen meer controle geven over de persoonlijke gegevens die zij achterlaten bij internetbedrijven. De 28 EU-lidstaten kwamen maandagochtend tot het langverwachte compromis. Het voorstel moet nog wel langs het Europees Parlement, dat het niet ver genoeg vindt gaan.

De nieuwe Europese privacywet is het eerste grote politieke antwoord op de verdienmodellen van de data-economie. Tot dusver werden de privacyinbreuken van Google, Amazon en Facebook bestreden met een Europese richtlijn uit 1995, maar die liet veel ruimte voor interpretatie. Elke lidstaat bouwde er een eigen wet omheen. En dus vestigde Facebook zich bijvoorbeeld in Ierland, waar het dankzij een lakse toezichthouder relatief immuun was voor klachten van gebruikers.

Een Europese verordening geldt per definitie in alle landen, en dat is dan ook de belangrijkste vooruitgang van de GDPR, zoals hij wordt afgekort. Bedrijven en burgers weten waar ze aan toe zijn. Wie over Facebook wil klagen, kan voortaan bij zijn eigen toezichthouder (in Nederland het College Bescherming Persoonsgegevens) terecht. Deze one-stop-shop, zei Europees Commissaris van Justitie Vera Jourova, is een grote stap voorwaarts. Wel kan de ene toezichthouder klagen over uitspraken van de andere. Er komt een supertoezichthouder die toezicht gaat houden op de toezichthouders.

Waterige compromissen

Daarnaast komen er nieuwe controlemogelijkheden voor burgers. Bedrijven moeten de persoonlijke gegevens van gebruikers overhandigen aan gebruikers die daarom vragen. Ook moeten deze gegevens op verzoek worden gewist. Het recht om vergeten te worden (waarbij Google-zoekresultaten worden gewist) wordt geformaliseerd. En bedrijven van buiten de Europese Unie kunnen zich straks niet meer beroepen op de wetgeving in het land waar zij hun hoofdkwartier hebben, of waar hun servers staan: wie gegevens van Europese burgers verwerkt moet zich aan de Europese regels houden. Boetes kunnen oplopen tot 2 procent van de omzet.

Tegelijkertijd staat het 76 pagina's dikke document bol van de waterige compromissen en tientallen uitzonderingen. Bedrijven mogen hun data niet zomaar delen met derden, tenzij voor wetenschappelijke, statistische of historische doelen. Wat is wetenschappelijk? Wat is statistisch? Ook staat er dat verwerking van de gegevens hoe dan ook toegestaan is 'als de belangen van de verwerker groter zijn dan de belangen van het datasubject'. Ofwel: bedrijfsbelangen wegen zwaarder dan de belangen van de burger.

'Die formuleringen schoffelen de mogelijkheden van de burger om zijn data te controleren onderuit', zegt Daphne van der Kroft van privacywaakhond Bits of Freedom. 'Dit is echt een stap achteruit ten opzichte van de huidige wet bescherming persoonsgegevens.'

Met de nieuwe verordening krijgen burgers formeel het recht om uitgewist te worden. Beeld ap

Medische data

Volgens European Digital Rights, een Brusselse pleitbezorger van digitale burgerrechten, biedt het wetsvoorstel op medisch gebied ongekende mogelijkheden aan bedrijven. Zo zouden medische data massaal kunnen worden gebruikt en hergebruikt, zonder toestemming van patiënten, en bijvoorbeeld ook kunnen worden gedeeld met Apple of Google, die zich op de gezondheidsmarkt hebben gestort.

Het College Bescherming Persoonsgegevens vindt het voorstel een belangrijke procedurele stap. 'Maar we moeten uitkijken dat de uiteindelijke tekst niet slechter is dan de huidige richtlijn', zegt een woordvoerder.

Ook bedrijven klagen. Nu zijn alleen de bedrijven waarmee internetgebruikers rechtstreeks contact hebben, zoals banken, sociale media en webwinkels, juridisch aansprakelijk voor misbruik en datalekken. Straks moeten ook de aanbieders van cloud-diensten, de achterliggende digitale pakhuizen, zich aan de wet houden.

Het maandag gepresenteerde voorstel geldt niet voor politie en justitie. Voor hen moet er dit najaar een nieuwe richtlijn zijn over de omgang met data. Daarnaast onderhandelt Europees commissaris Jourova met de Verenigde Staten over wat hun inlichtingendiensten met de data van Europese burgers mogen. De houding van de Amerikanen tot dusver is 'teleurstellend', zei Jourova anderhalve week geleden.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.