Geef maar toe, u liegt geregeld online. Net als u een internetdienst wil gaan gebruiken, worden u de gebruikersvoorwaarden voorgeschoteld. De tekst is lang en ingewikkeld, u wilt gewoon de aangeboden dienst gebruiken: hup, niet lezen, maar wel een vinkje bij ‘ik heb de gebruiksvoorwaarden gelezen’. Misschien geeft u daarmee bedrijven toestemming om iets met uw gegevens te doen wat u helemaal niet wilt.
Bijna zes op de tien Europeanen zeggen dat ze de gebruiksvoorwaarden van een website of internetdienst altijd lezen (pdf), maar dat is waarschijnlijk een sociaal wenselijk antwoord. Eurocommissaris Viviane Reding (Justitie) weet wel beter en geeft impliciet toe dat ze zelf ook vaak akkoord gaat zonder te lezen. In een groepsgesprek met Europese journalisten vorige week: „Natuurlijk leest niemand die vijftig pagina’s met kleine lettertjes. Je klikt maar door om er van af te zijn.”
Die voorwaarden moeten simpeler, vindt ze. „Gegevens die iemand online zet, behoren toe aan die persoon; ze zijn diens bezit. Dus moet hij weten wat een bedrijf met zijn data gaat doen en moet hij daarover in simpele taal worden geïnformeerd.” Reding erkent dat niet zeker is of eenvoudiger voorwaarden wél aandachtig zullen worden gelezen. Maar het is het proberen waard.
De Europese Commissie, het dagelijks bestuur van de Europese Unie, wil consumenten meer controle geven over hun persoonsgegevens. Om burgers beter en sneller te informeren over wat er met hun persoonlijke gegevens gebeurt, heeft zij een pakket maatregelen gepresenteerd.
Een van de stokpaardjes van de Commissie is het recht te worden vergeten. Teksten en foto’s zijn notoir moeilijk van internet te halen. Zelfs al doet een gebruiker een verzoek bij een bedrijf, bijvoorbeeld Facebook, dan is nog altijd niet zeker dat weg echt weg is. De Amerikaanse website Ars Technica schreef vorige week dat foto’s die Facebook drie jaar geleden had beloofd te verwijderen, alleen maar uit het zicht waren gehaald. Dat moet veranderen, vindt Reding. „Je hebt ooit toestemming gegeven aan een bedrijf om gegevens te gebruiken. Als je dat niet langer wil, trek je die toestemming in. Dat bedrijf is dan verplicht om die data echt te laten verdwijnen.”
Maar wat als iemand anders ze heeft opgeslagen en elders heeft geplaatst? Dat probleem wordt hiermee niet opgelost. „We moeten nauwkeurig zijn over de betekenis van het recht om vergeten te worden”, zegt Joe McNamee van European Digital Rights, een actiegroep voor internetrechten. „We kunnen bedrijven niet verantwoordelijk maken voor dingen die ze niet kunnen controleren.” Als je niet wil dat een foto wordt verspreid, vindt hij, moet je die niet online zetten.
Als de Europese Commissie haar zin krijgt, zal een bedrijf als KPN voortaan binnen 24 uur de Nederlandse overheid op de hoogte moeten stellen van een data-inbraak en niet pas na een week, zoals vorige week gebeurde. Vooral bij diefstal van creditcardgegevens is het essentieel dat de consument snel op de hoogte is, zodat hij zijn kaart kan laten blokkeren. Reding vindt het belangrijk dat je erop kunt vertrouwen dat je gegevens veilig zijn. „Het zou erg zijn als mensen zo wantrouwig worden dat ze helemaal geen gegevens meer willen verstrekken.” Het College Bescherming Persoonsgegevens pleit vandaag voor de mogelijkheid om bedrijven die hun klantgegevens onvoldoende hebben beveiligd te kunnen beboeten.
De Europese regels zullen ook gaan gelden voor niet-Europese bedrijven. Reding noemt Google, Facebook en Microsoft. Bedrijven en organisaties moeten een werknemer aanwijzen die de verantwoordelijkheid krijgt voor databescherming, tenzij ze minder dan 250 werknemers hebben. Extra kosten? Reding stelt dat de nieuwe regels positief uitpakken voor bedrijven. „We halen een heleboel bureaucratie weg. Door 27 regels te vervangen door één regel besparen we het zakenleven ongeveer 2,3 miljard euro per jaar.”
Volgens Jean Gonié van Microsoft is dat nog maar de vraag. Zo moet Microsoft, net als Facebook en Twitter, straks alle gegevens (tweets, foto’s, contactlijsten) die een gebruiker heeft geüpload, kunnen teruggeven.
Als eurocommissaris voor telecomzaken maakte Reding zich hard voor het recht om je mobiele telefoonnummer simpel mee te kunnen nemen naar een andere provider. Nu wil ze dat iemand net zo gemakkelijk van sociaal netwerk kan veranderen. „Het zijn jouw data, dus als je die gegevens naar een ander bedrijf wil overhevelen, dan moet dat kunnen.”
Stel dat iemand zijn Hyves-profiel wil opheffen en naar Facebook wil verhuizen, waar komen foto’s en berichten dan terecht? Misschien biedt het sociale netwerk waar je heen wilt verhuizen niet hetzelfde soort diensten aan, of zijn de privacyinstellingen niet verenigbaar. „We weten nog niet of we kunnen voldoen aan de voorgestelde eisen”, zegt Gonié, verantwoordelijk voor privacy en Europese zaken bij Microsoft in Brussel. Ook een woordvoerder van Hyves kan nog niet zeggen of ‘dataportabiliteit’ haalbaar is.
De regels moeten nog worden goedgekeurd door de 27 lidstaten en het Europees Parlement. Daardoor kan het nog enkele jaren duren voor ze zijn ingevoerd.
Gepubliceerd op dinsdag 14 februari 2012 in NRC Handelsblad.
NB: Als het voorstel doorgaat, krijgen nationale databeschermingsautoriteiten inderdaad de mogelijkheid om boetes uit te delen aan bedrijven en organisaties die niet meewerken. Het is aan de nationale regeringen om ervoor te zorgen dat die waakhonden van persoonsgegevens genoeg middelen en personeel hebben om hun werk te doen.
Peter Teffer 