Tech

Zo gaat Europa jouw data beter beschermen

Daniël Verlaan • 16 december 2015 11:35 @danielverlaan

Beeld © Getty

Europa heeft vannacht een akkoord bereikt over een voorstel om de data van Europese burgers beter te beschermen. Maar hoe wordt jouw data voortaan beter beschermd?

Het Europees Parlement, de Europese Commissie en de Raad van Ministers hebben na maanden overleg een politiek akkoord bereikt over hoe in Europa opererende bedrijven moeten omgaan met data van Europese burgers. Dat geldt voor allerlei bedrijven, van techgiganten als Facebook en Google tot tandartsen en het gemeentearchief. Saillant detail: de genoemde bedrijven en instellingen, die allemaal gevoelige informatie verwerken, hebben juist flink tegen het voorstel gelobbyt.

Het voorstel komt erop neer dat er Europese regels komen voor het waarborgen van de privacy van burgers. In Nederland kenden we al verschillende regels die in het voorstel voorkomen, zoals het verplicht melden van een datalek tot een boete bij het overtreden van privacyregels. De belangrijkste verandering voor Nederlanders is dat deze regels nu overal in Europa gelden.

Het voorstel moet nog worden goedgekeurd door het Europees Parlement en de Raad van Ministers, maar de verwachting is dat dit wel gebeurt. Als het voorstel wordt aangenomen, gaan de regels in 2018 voor elk Europees land in.

Dit zijn de belangrijkste punten:

Bedrijven moeten fikse boetes betalen bij niet voldoende beschermen van data
Als bedrijven de regels overtreden en de data van gebruikers niet voldoende beschermen, moeten zij fikse boetes betalen. Deze kunnen oplopen tot maximaal 4 procent van de jaaromzet. Een bedrijf als Google zou dan een bedrag van 2,64 miljard dollar moeten betalen, berekend op basis van de totale omzet in 2014. "Je kijkt dan wel uit voordat je de regels overtreedt", aldus Daphe van der Kroft van digitale burgerrechtenorganisatie Bits of Freedom.

De Nederlandse privacyautoriteit, het College Bescherming Persoonsgegevens (CBP), kan hierdoor hogere boetes uitdelen. Vanaf januari is de maximale boete die het CBP mag uitdelen 820.000 euro. "Het is mooi dat er een akkoord is en dat we, wanneer nodig, hogere boetes kunnen uitdelen", aldus een zegsvrouw van het CBP.

Enkele weken geleden kwam er een grote hack aan het licht waarbij veel gevoelige persoonsgegevens van kinderen en ouders waren buitgemaakt. De gegevens die speelgoedfabrikant Vtech verwerkte bleken niet veilig te worden bewaard en waren ook niet krachtig versleuteld. Dit Taiwanese bedrijf zou door de Europese regels een flinke boete kunnen krijgen, omdat het in Europa opereert en gegevens van Europese burgers verwerkt.

"Het is belangrijk dat we in Europa overal dezelfde regels krijgen. Dat is niet alleen voor burgers fijn, maar ook voor bedrijven", aldus Van der Kroft. "Bedrijven weten nu waar ze aan toe zijn en wat de regels zijn."

Datalekken moeten verplicht worden gemeld
Wanneer een bedrijf een datalek constateert, moet dit worden gemeld bij de betreffende privacyautoriteit. Vanaf januari geldt er in Nederland al een dergelijke meldplicht voor datalekken. Zo'n meldplicht wordt vanaf 2017, als het voorstel wordt geaccepteerd, de Europese standaard.

Als de bescherming van gevoelige persoonsgegevens of de persoonlijke levenssfeer in gevaar komen, moet het lek worden gemeld. Onder een lek wordt niet alleen een hack of kwetsbaarheid in het systeem verstaan. Ook het verliezen van data door een verdwaalde usb-stick of het vernietigen van persoonsgegevens kunnen hieronder vallen.

"De verwachting is dat beveiliging van persoonsgegevens een veel hogere prioriteit krijgt bij de ontwikkeling van producten en diensten", zei CBP-voorzitter Jacob Kohnstamm eerder over de meldplicht datalekken.

Als een Nederlandse burger ontevreden is over hoe zijn data wordt verwerkt en opgeslagen, kan er voortaan worden aangeklopt bij het CBP. "Voorheen kon je met een klacht over Facebook alleen in Ierland terecht. Dat doen de meesten echter niet. Het lijntje om een klacht in te dienen wordt nu veel korter."

Minderjarigen moeten toestemming van hun ouders krijgen
Kinderen die jonger zijn dan zestien jaar moeten voortaan toestemming aan hun ouders vragen om deel te nemen aan een sociaal netwerk, zoals Facebook. De verwachting is dat deze regel wel wat soepeler wordt, omdat landen zelf de keuze krijgt om hier invulling aan te geven. Bij de meeste sociale netwerken geldt een minimale leeftijd van dertien jaar. Mogelijk wordt die leeftijd in de meeste landen aangehouden.

Daarnaast is deze regel lastig te controleren. Je kunt het vergelijken met het kopen van een ringtone via TMF, waarbij je altijd toestemming aan je ouders moest vragen voordat je het sms'je verzond. Dit deden maar weinig kinderen.

Dat wil niet zeggen dat het niet belangrijk is dat er een onderscheid wordt gemaakt tussen minder- en meerderjarigen. Hoe dit precies gaat werken is nog onduidelijk omdat de de tekst nog niet is gepubliceerd. Maar het is bijvoorbeeld in te denken dat, wanneer er gegevens van minderjarigen in het spel zijn, er sterkere databeschermingregels gelden dan bij meerderjarigen. Of dat bedrijven zwaarder worden gestraft als er data van minderjarigen niet voldoende is beschermd.

Meer intern onderzoek naar databescherming
Bedrijven worden met het Europese voorstel ook verplicht om vaker intern onderzoek te voeren. Wil een bedrijf in één keer veel data verwerken? Dan moet er worden gekeken naar de risico's die bij dit proces kunnen voorkomen.

Grote bedrijven moeten ook een 'Chief Privacy Officer' (cpo) aanstellen. De cpo moet ervoor zorgen dat privacy een belangrijk onderdeel wordt van het bedrijf, in plaats van enkel een bijzaak.

Recht om vergeten te worden
In mei vorig jaar besloot het Europees Hof dat Europese burgers het recht moeten krijgen om online vergeten te worden. Hierdoor kunnen burgers resultaten uit de zoekmachines laten verwijderen als deze voor hen schadelijk zijn.

In het nieuwe voorstel voor Europese dataprotectie wordt het besluit van het Europees Hof officieel als regel meegenomen. Inmiddels zijn zoekmachines druk bezig om alle verzoeken voor het verwijderen van schadelijke zoekresultaten te verwerken. Onder andere Google heeft een formulier online geplaatst om een dergelijk verwijderverzoek in te dienen.

Een kritische noot: vraagtekens bij big data
Van der Kroft is vooralsnog "gematigd positief" over het voorstel. Twee belangrijke datatrends, het zogeheten profiling en big data, worden volgens haar niet duidelijk genoeg in het voorstel aangestipt. Bij profiling wordt jouw data gebruikt om (zonder dat je hiervan op de hoogte bent) een profiel over jou op te stellen, big data betekent dat data van allerlei verschillende bronnen worden verzameld en samen worden gevoegd.

"Deze twee trends worden de komende jaren alleen maar belangrijker. Mag een zorgverzekeraar jouw browsegeschiedenis inzien om op die manier je in een hokje te stoppen?", vraagt Van der Kroft zich af. "En mag de H&M op basis van jouw postcode geen producten leveren, omdat in jouw buurt veel wanbetalers wonen? Dat soort privacyvraagstukken worden niet voldoende in het voorstel behandeld."

Bron • RTL Z / Daniël Verlaan