Zelden zagen we een project dat zoveel emoties losmaakte als het hervormingsproject van het Europese beleid voor de bescherming van persoonsgegevens. Aan de ene kant zien we ngo’s en verenigingen van internetgebruikers, in een poging het online privéleven te beschermen, naakte mannen op briefkaarten plakken met de tekst naked citizens. Die moeten en masse naar Europarlementariërs worden gestuurd om hen ertoe te bewegen uit de buurt van de lobby’s te blijven.

Daartegenover staan de grote internetbedrijven, die zeuren om meer ‘flexibiliteit’ voor het verwerken van de privégegevens van miljoenen internetgebruikers. En in het midden zwaaien de archivarissen en genealogen met hun vlaggetjes, omdat ze vrezen dat het principe op het recht van vergeten het collectieve geheugen in gevaar brengt.

‘Ondubbelzinnige toestemming’

Wat er op het spel staat is gigantisch: de hervorming die momenteel wordt overwogen, zal de [Europese Richtlijn]

(http://europa.eu/legislation_summaries/information_society/data_protection/l14012_fr.htm) op persoonsgegevens vervangen. Deze richtlijn werd, zoals uit de naam 95/46/CE kan worden afgeleid, in 1995 aangenomen. Het digitale landschap heeft sindsdien echter grote veranderingen ondergaan, waardoor inmiddels vooral de bepaling over de ‘ondubbelzinnige toestemming’ van individuen achterhaald is.

Met deze bepaling werd een voorwaarde geschapen voor het verzamelen van hun gegevens. Maar wat wil dat eigenlijk zeggen, ‘ondubbelzinnig’? De werkgroep G29, waarin vertegenwoordigers van alle Europese nationale commissies voor digitalisering en het vrije verkeer van gegevens zitten, heeft zich daar in 2011 het hoofd over gebroken.

Conclusie: dit vage woord “wordt vaak onjuist geïnterpreteerd of eenvoudigweg genegeerd”. Hierdoor konden bedrijven hun fantasie de vrije loop laten: de toestemming kan bestaan uit “een schriftelijke handtekening, maar ook een mondelinge verklaring, of een handeling waaruit de instemming redelijkerwijs kan worden afgeleid”.

‘Het uitblijven van een weigering’

De G29 geeft als voorbeeld een telefoondienst waarmee de gebruiker het weerbericht kan opvragen voor de plaats van waaruit hij belt: als de gebruiker het werkingsprincipe van de dienst kent voordat hij zijn telefoon opneemt, en als hij zelf gebeld heeft, kan daaruit worden afgeleid dat hij ermee instemt dat het bedrijf gegevens verzamelt over de locatie van de gebruiker.

Amazon gebruikt dezelfde logica, wanneer de internetgebruiker suggesties ziet verschijnen voor ‘vergelijkbare producten’ als die hij net op de website heeft bekeken: de gebruiker ziet deze suggesties, en wordt daarom geacht te begrijpen dat zijn navigatiegeschiedenis geregistreerd wordt. En als hij op Amazon.com blijft, is dat omdat hij daar blijkbaar geen bezwaar tegen heeft. De ‘toestemming’ van de internetgebruiker is daarmee steeds meer het ‘uitblijven van een weigering’ geworden.

De volledige hervorming van de Richtlijn werd dus bedacht om voor burgers effectieve controle op hun gegevens mogelijk te maken. Dat gebeurt ten eerste door eindelijk het principe van het ‘recht om vergeten te worden’ tot regel te verheffen, waar in de afgelopen jaren zo vaak om werd gevraagd. Vervolgens en vooral werd het woord ‘expliciet’ opnieuw toegevoegd aan de term ‘toestemming’.

Misschien een klein woordje, maar wel een met veel vijanden. Al in 1995 werd erover gesproken, en werd er weer van afgezien. Nu is het weer terug, om de manier te kenmerken waarop een “betrokken persoon accepteert, middels een verklaring of een eenduidige positieve handeling, dat zijn gegevens met een persoonlijk karakter verder verwerkt kunnen worden.”

Overal pop-ups

In de praktijk zou dit bijvoorbeeld kunnen worden uitgevoerd met een tekstballon zoals die als gebruikt worden door de browsers Firefox en Chrome wanneer er een site wordt bezocht die gebruik maakt van geolocatie. Op dat moment kan men er voor kiezen de site toe te staan deze informatie een keer te gebruiken, of voor alle toekomstige bezoeken aan de site, of… helemaal-never-nooit. We stellen ons al voor dat YouTube met een pop-up komt om te vragen of ze in onze navigatiehistorie mogen vissen voordat de site een serie funny cats-video’s aanbiedt.

Of dat Facebook ons waarschuwt dat het mobiele telefoonnummer, dat we ze net hebben toevertrouwd om “de veiligheid van [onze] account te verbeteren”, ook kan worden doorgegeven aan de ontwikkelaars van Farmville. We dromen van reclamebanners die geblokkeerd blijven totdat wij ze toestemming geven om ons te bestoken met zaken gericht op onze leeftijd, geslacht, woonplaats en favoriete badpakmerken.

Verschrikkelijk! Zoveel pop-ups laten de boel ‘vollopen’ en zorgen er uiteindelijk voor dat de internetter hopeloos vast komt te zitten, roepen Facebook, Amazon, Microsoft, Google en eBay. Die vrezen dat deze systematische uitdrukkelijke toestemming, die volgens hen “overdreven formeel en rigide” is, hun ‘innoverend’ vermogen zal remmen (kunnen ze dan niet innoveren met toestemming van hun klanten?).

De hele club heeft de Europarlementariërs met zoveel nadruk gevraagd af te zien van de uitdrukkelijke toestemming, dat de tekst waarover de Commissie burgerlijke vrijheden van het Europese parlement op 29 mei stemde, een veelvoud aan amendementen bevatte die soms letterlijk gekopieerd bleken uit de voorstellen van de lobby’s...

Te veel schade voor het MKB

De druk vanuit de bedrijfstak, die zo hevig is dat 18 Amerikaanse ngo’s uiteindelijk plechtig aan de Verenigde Staten hebben gevraagd hun bemoeienis met de Europese wetgeving te stoppen, heeft natuurlijk economische redenen. “De grote internetbedrijven zijn bang dat wanneer de gebruikers meer controle krijgen, de hoeveelheid gegevens die ze kunnen verwerken zal afnemen”, analyseert de Franse organisatie Quadrature du Net.

En hun argumenten worden gehoord. Ervan uitgaand dat het project het mkb teveel schade zal berokkenen (en daarnaast te vaag is en te gevoelig ligt), hebben de Europarlementariërs de tekst afgewezen, waarmee de bespreking van het voorstel is uitgesteld tot 2014. Ondertussen hebben de grote internetbedrijven dan tijd genoeg om nog een gigantisch pakket persoonlijke gegevens te verzamelen.