"Europese Commissie bepleit 'recht om vergeten te worden'" kopte Data News vorige week. Inderdaad, Europa heeft woensdag een belangrijk voorstel gelanceerd om de Europese privacyregels (nog) strenger te maken. De manier waarop bedrijven persoonsgegevens verzamelen en gebruiken is door de technologische vooruitgang en de globalisering ingrijpend veranderd, vindt Europa.

De nieuwe privacyregels die Europa voorstelt, moeten er onder meer voor zorgen dat er slechts één set van privacyregels geldt in de hele EU, dat individuen meer controle krijgen over wat er met hun persoonsgegevens gebeurt op het internet en dat er minder administratieve formaliteiten moeten worden verricht door bedrijven die persoonsgegevens gebruiken. Aan de goede bedoelingen van Europa valt allerminst te twijfelen, maar sta mij toe om toch enkele kanttekeningen te maken bij de voorgestelde regels.

Europa wil een 'recht op vergetelheid' invoeren: de Googles en Facebooks van deze wereld zullen in de toekomst op eenvoudig verzoek van hun (Europese) gebruikers al hun persoonsgegevens definitief moeten wissen. Dat Europa maatregelen wil treffen om individuen, en zeker minderjarigen, beter te beschermen op het internet verdient uiteraard bijval. Alleen stel ik mij de vraag hoe realistisch zo'n recht op vergetelheid is in een wereld waar informatie aan lichtsnelheid kan worden gekopieerd en verhuisd van de ene kant van de wereld naar de andere. Stel dat u een wat gênante foto heeft verwijderd van uw Facebook account maar dat die foto hardnekkig blijft opduiken in de zoekresultaten van een Chinese zoekmotor. U zal veel middelen en doorzettingsvermogen nodig hebben om uw recht op vergetelheid te trachten af te dwingen ten aanzien van die zoekmotor. En zelfs dan durf ik te betwijfelen dat de foto daadwerkelijk zal verdwijnen van het internet. Ik vrees dat het recht op vergetelheid aan velen een vals gevoel van veiligheid zal geven en ertoe zal leiden dat men minder voorzichtig zal omspringen met persoonsgegevens op het internet.

Bedrijven zullen worden verplicht om data security incidenten "op te biechten" bij de privacytoezichthouder(s) en in bepaalde gevallen ook bij de individuen wiens privacy gevaar liep door het incident. Klinkt verdedigbaar, op het eerste gezicht. Maar de voorgestelde regels zijn zo ruim en vaag geformuleerd dat ze niet alleen van toepassing lijken te zijn op de incidenten die echt een risico vormen voor de privacy van de mensen maar ook op incidenten waar dat risico onbestaand of hoogstens theoretisch is. Stel dat een medewerker op de boekhoudafdeling van een energieleverancier per vergissing en kortstondig toegang krijgt tot de lijst van residentiële klanten in de CRM-databank terwijl hij eigenlijk geen toegangsrechten heeft tot die databank. Dat bedrijf zal in principe binnen de 24 uur (!) naar de privacytoezichthouder moeten stappen om het incident te melden, aan te geven hoeveel klanten het "slachtoffer" werden van dit incident, wie de privacyverantwoordelijke is binnen dat bedrijf, welke de gevolgen zijn van het incident, en welke maatregelen het bedrijf heeft genomen. Als de toezichthouder van oordeel is dat de CRM-databank niet voldoende beveiligd was, zal het bedrijf bovendien naar de desbetreffende klanten moeten stappen om het incident te communiceren. Het lijkt me dat het doel hier de middelen niet heiligt.

De voorgestelde privacyregels luiden geen versoepeling in van de extreem strenge verplichtingen die Europa momenteel oplegt aan bedrijven die persoonsgegevens willen delen met bedrijven buiten de EU. Nemen we het voorbeeld van multinational ABC die al haar personeelsgegevens wil migreren van haar eigen, lokale HR-systemen naar de cloud en hiervoor een beroep wil doen op de Indiase dienstverlener SuperHR.com. Aangezien Europa van oordeel is dat de Indiase wetgeving geen voldoende bescherming biedt aan persoonsgegevens, zullen de Europese vestigingen van ABC hun personeelsgegevens maar mogen migreren naar SuperHR.com in India nadat ze een data transfer agreement (DTA) hebben gesloten met SuperHR.com. Als zo'n DTA niet letterlijk de standaardclausules bevat die Europa heeft opgesteld, dan moet de DTA bovendien eerst nog worden goedgekeurd door de bevoegde privacytoezichthouder(s). In België kan zo'n goedkeuring maanden op zich laten wachten. In de praktijk stel ik vast dat het budget en de timing van menig IT-project geen (of onvoldoende) rekening houden met deze problematiek. Met alle gevolgen van dien.

Sommige bedrijven zijn zich niet bewust van de privacyregels. Andere -vooral multinationale- bedrijven stellen vast dat de volledige naleving van deze regels in de praktijk onmogelijk blijkt of buitensporige inspanningen vergt. Bovendien wijst de praktijk uit dat de pakkans vaak beperkt is en dat sancties doorgaans relatief beperkt zijn. Het hoeft dan ook niet te verbazen dat veel bedrijven momenteel de privacyregels niet of slechts ten dele naleven. Europa wil hier nu verandering in brengen door torenhoge sancties in te voeren voor bedrijven die de voorgestelde privacyregels niet volgen. Een voorbeeld: als een bedrijf in Europa persoonsgegevens deelt met een niet-Europees bedrijf zonder de nodige privacymaatregelen te nemen, dan riskeert het in de toekomst een boete van liefst twee -ja twee- procent van haar wereldwijde jaaromzet.

Het wordt dus menens.

Tom De Cordier Tom De Cordier is advocaat bij Allen & Overy. Hij is gespecialiseerd in ICT-recht, outsourcing, privacyrecht, telecommunicatierecht en intellectueel eigendomsrecht. Tom adviseert geregeld bedrijven over privacy compliance. Hij heeft ook een uitgebreide ervaring in het onderhandelen van IT en outsourcingcontracten, zowel aan de kant van leveranciers als aan de kant van hun klanten. Tom De Cordier is lid van de European Advisory Board van de International Association of Privacy Professionals (IAPP).

"Europese Commissie bepleit 'recht om vergeten te worden'" kopte Data News vorige week. Inderdaad, Europa heeft woensdag een belangrijk voorstel gelanceerd om de Europese privacyregels (nog) strenger te maken. De manier waarop bedrijven persoonsgegevens verzamelen en gebruiken is door de technologische vooruitgang en de globalisering ingrijpend veranderd, vindt Europa. De nieuwe privacyregels die Europa voorstelt, moeten er onder meer voor zorgen dat er slechts één set van privacyregels geldt in de hele EU, dat individuen meer controle krijgen over wat er met hun persoonsgegevens gebeurt op het internet en dat er minder administratieve formaliteiten moeten worden verricht door bedrijven die persoonsgegevens gebruiken. Aan de goede bedoelingen van Europa valt allerminst te twijfelen, maar sta mij toe om toch enkele kanttekeningen te maken bij de voorgestelde regels. Europa wil een 'recht op vergetelheid' invoeren: de Googles en Facebooks van deze wereld zullen in de toekomst op eenvoudig verzoek van hun (Europese) gebruikers al hun persoonsgegevens definitief moeten wissen. Dat Europa maatregelen wil treffen om individuen, en zeker minderjarigen, beter te beschermen op het internet verdient uiteraard bijval. Alleen stel ik mij de vraag hoe realistisch zo'n recht op vergetelheid is in een wereld waar informatie aan lichtsnelheid kan worden gekopieerd en verhuisd van de ene kant van de wereld naar de andere. Stel dat u een wat gênante foto heeft verwijderd van uw Facebook account maar dat die foto hardnekkig blijft opduiken in de zoekresultaten van een Chinese zoekmotor. U zal veel middelen en doorzettingsvermogen nodig hebben om uw recht op vergetelheid te trachten af te dwingen ten aanzien van die zoekmotor. En zelfs dan durf ik te betwijfelen dat de foto daadwerkelijk zal verdwijnen van het internet. Ik vrees dat het recht op vergetelheid aan velen een vals gevoel van veiligheid zal geven en ertoe zal leiden dat men minder voorzichtig zal omspringen met persoonsgegevens op het internet. Bedrijven zullen worden verplicht om data security incidenten "op te biechten" bij de privacytoezichthouder(s) en in bepaalde gevallen ook bij de individuen wiens privacy gevaar liep door het incident. Klinkt verdedigbaar, op het eerste gezicht. Maar de voorgestelde regels zijn zo ruim en vaag geformuleerd dat ze niet alleen van toepassing lijken te zijn op de incidenten die echt een risico vormen voor de privacy van de mensen maar ook op incidenten waar dat risico onbestaand of hoogstens theoretisch is. Stel dat een medewerker op de boekhoudafdeling van een energieleverancier per vergissing en kortstondig toegang krijgt tot de lijst van residentiële klanten in de CRM-databank terwijl hij eigenlijk geen toegangsrechten heeft tot die databank. Dat bedrijf zal in principe binnen de 24 uur (!) naar de privacytoezichthouder moeten stappen om het incident te melden, aan te geven hoeveel klanten het "slachtoffer" werden van dit incident, wie de privacyverantwoordelijke is binnen dat bedrijf, welke de gevolgen zijn van het incident, en welke maatregelen het bedrijf heeft genomen. Als de toezichthouder van oordeel is dat de CRM-databank niet voldoende beveiligd was, zal het bedrijf bovendien naar de desbetreffende klanten moeten stappen om het incident te communiceren. Het lijkt me dat het doel hier de middelen niet heiligt. De voorgestelde privacyregels luiden geen versoepeling in van de extreem strenge verplichtingen die Europa momenteel oplegt aan bedrijven die persoonsgegevens willen delen met bedrijven buiten de EU. Nemen we het voorbeeld van multinational ABC die al haar personeelsgegevens wil migreren van haar eigen, lokale HR-systemen naar de cloud en hiervoor een beroep wil doen op de Indiase dienstverlener SuperHR.com. Aangezien Europa van oordeel is dat de Indiase wetgeving geen voldoende bescherming biedt aan persoonsgegevens, zullen de Europese vestigingen van ABC hun personeelsgegevens maar mogen migreren naar SuperHR.com in India nadat ze een data transfer agreement (DTA) hebben gesloten met SuperHR.com. Als zo'n DTA niet letterlijk de standaardclausules bevat die Europa heeft opgesteld, dan moet de DTA bovendien eerst nog worden goedgekeurd door de bevoegde privacytoezichthouder(s). In België kan zo'n goedkeuring maanden op zich laten wachten. In de praktijk stel ik vast dat het budget en de timing van menig IT-project geen (of onvoldoende) rekening houden met deze problematiek. Met alle gevolgen van dien. Sommige bedrijven zijn zich niet bewust van de privacyregels. Andere -vooral multinationale- bedrijven stellen vast dat de volledige naleving van deze regels in de praktijk onmogelijk blijkt of buitensporige inspanningen vergt. Bovendien wijst de praktijk uit dat de pakkans vaak beperkt is en dat sancties doorgaans relatief beperkt zijn. Het hoeft dan ook niet te verbazen dat veel bedrijven momenteel de privacyregels niet of slechts ten dele naleven. Europa wil hier nu verandering in brengen door torenhoge sancties in te voeren voor bedrijven die de voorgestelde privacyregels niet volgen. Een voorbeeld: als een bedrijf in Europa persoonsgegevens deelt met een niet-Europees bedrijf zonder de nodige privacymaatregelen te nemen, dan riskeert het in de toekomst een boete van liefst twee -ja twee- procent van haar wereldwijde jaaromzet. Het wordt dus menens. Tom De Cordier Tom De Cordier is advocaat bij Allen & Overy. Hij is gespecialiseerd in ICT-recht, outsourcing, privacyrecht, telecommunicatierecht en intellectueel eigendomsrecht. Tom adviseert geregeld bedrijven over privacy compliance. Hij heeft ook een uitgebreide ervaring in het onderhandelen van IT en outsourcingcontracten, zowel aan de kant van leveranciers als aan de kant van hun klanten. Tom De Cordier is lid van de European Advisory Board van de International Association of Privacy Professionals (IAPP).