Het wordt een spannend jaar. De EU belooft namelijk met een opvolger van de huidige “privacy-richtlijn” te komen. De huidige richtlijn 95/46/EG stelt regels en kaders over de verwerking van persoonsgegevens in geautomatiseerde systemen. De richtlijn is alleen van toepassing op verwerkingen van gegevens “als zij geautomatiseerd zijn of als de betrokken gegevens zijn opgeslagen of zullen worden opgeslagen in een bestand dat gestructureerd is volgens specifieke persoonscriteria teneinde een gemakkelijke toegang tot de betrokken persoonsgegevens mogelijk te maken”. De benaming “privacyrichtlijn”, die ook door het College Bescherming Persoonsgegevens (CBP) voor 95/46 wordt gebruikt, maakt de onderliggende visie op privacy duidelijk – privacy is het waarborgen van de zorgvuldige omgang met persoonsgegevens in de geautomatiseerde administratieve werkelijkheid van bedrijven. Het gaat dus niet over privacy zoals de meeste mensen dat in het verlengde van Van Dale en Wikipedia bedoelen, zoals het recht om zo min mogelijk lastig gevallen en bespioneerd te worden.

Afgezien van een paar academisch ingestelde Security Officers, heeft in het bedrijfsleven niemand ooit van de EU privacy-richtlijn 95/46 gehoord. En zoals te verwachten valt, hebben er nog minder bedrijven naar gehandeld – de “privacyrichtlijn” is alleen met heel veel moeite en nog meer goede wil als een succes te beschouwen. Vraag maar eens conform artikel 11 aan de telefonische colporteur om “een recht op toegang tot” de “eigen persoonsgegevens en op rectificatie van deze gegevens”. Of vraag of de registratie van de persoonsgegevens aangemeld is bij het CBP. Heb ik een keer gedaan bij een jongeman die namens de Nederlandse Energie Maatschappij belde – het zou genieten zijn, als het niet zo triest was. De manager van de NEM wist mij in een aansluitende mailwisseling te melden dat ze legaal over mijn telefoonnummer beschikten, omdat ze het van een legaal bedrijf gekocht hebben. En dan mag het, natuurlijk. Legale bedrijven doen immers nooit illegale dingen, daar staat de KvK toch borg voor? Of zoiets?

Wat je er in zo’n gesprekje niet bij moet vertellen zijn de uitzonderingen die de richtlijn vermeldt. Vooral de bepaling “tenzij zulks onmogelijk blijkt of onevenredig veel moeite kost” is erg leuk. Moet je eens voor de rechter proberen: “Nee, edelachtbare, ik hoef niet aan de wet te voldoen, want dat kost onevenredig veel moeite”. Ik zou het bijzonder waarderen als deze verfijning in het wegenverkeersreglement zou staan, maar helaas, blijkbaar geldt een vrijstelling voor luiheid en incompetentie alleen bij wetgeving rond privacy. Deze achterdeuren zijn niet het gevolg van onnadenkendheid van de opstellers, maar expliciet zo bedoeld.

De huidige richtlijn stelt hierdoor dus vrijwel niets voor. En dan te bedenken dat er maar liefst 15 jaar aan gewerkt is. De nieuwe richtlijn heeft nog veel meer uitdagingen, nu zaken als Internet, social networks en offshoring een grote rol zijn gaan spelen – dat bestond allemaal nog niet in 1995 in de Brusselse werkelijkheid. Ik ben dan ook heel benieuwd of de EU bij de vernieuwing van deze regelgeving er dit keer wel echte regels van weet te maken, zonder levensgrote achterdeuren.

De grootste achterdeur in 95/46 is er voor de overheid. Artikel 13 stelt expliciet dat “activiteiten met betrekking tot openbare veiligheid, defensie, staatsveiligheid en de activiteiten van de Staat op strafrechtelijk gebied niet onder de toepassingssfeer van het Gemeenschapsrecht vallen”, noch “de voor de economie van een Staat noodzakelijke verwerking van persoonsgegevens”, “indien deze verwerking verband houdt met de Staatsveiligheid”. In al die gevallen geldt de richtlijn niet. Je kunt feitelijk zo ongeveer alles aan ‘openbare veiligheid’ of ‘staatsveiligheid’ ophangen in Europa, zonder dat Brussel of Straatsburg daar iets aan kan - of wil - doen. Dat zien we in Hongarije, waar algemene censuur is ingevoerd, omdat de pers wel eens de stabiliteit van de regering zou kunnen schaden. En passant zijn ook de rechtbanken en de centrale bank hun zelfstandigheid kwijtgeraakt. We zien het al veel langer in Italië, waar de wet al jaren de regering en de commerciële belangen van maffiapremier Berlusconi dient. Nu is de passiviteit van Brussel in deze dossiers niet heel vreemd – de regerende partijen in Hongarije en Italië zijn in het Europees parlement lid van Christen Democratische EVP-fractie, net als Barroso, Buzek en van Rompuy, de drie presidenten van Europa. En je laat je partijgenoten niet vallen, want voor je het weet ben je niet meer de grootste partij, en dan kost dat je je baan. Natuurlijk is dit niet de officiële verklaring, die mompelt iets over de autonomie in de binnenlandse zaken van de lidstaten. Als Fidesz in Hongarije nog verder doorslaat en iets als het goulashcommunisme van Kádár of het fascisme van Horthy herinvoert, zal Brussel dus hooguit ‘Foei’ zeggen, en dan ook nog op een toon die niemand kan horen. De EU kan aan lidstaten immers alleen eisen stellen bij toetreding, daarna is Europa een tandeloze tijger. Noem het een weeffoutje van de projectgroep Goede Bedoelingen in Brussel. Maakt Brussel hier zich druk over? Welnee, Hongarije is 1 januari 2011 gewoon voorzitter van de EU geworden, en vanaf 3 januari gaat de EU gewoon verder met regels, richtlijnen en beleid maken.

Helaas is de aanleiding voor de Brusselse herziening van de richtlijn niet een analyse van de effectiviteit van 95/46, maar de ontwikkeling van Cybercrime en Web 2.0 . De aanpak is dus dezelfde als bij de vorige regelgeving: we gaan achter de feiten aanlopen en na jaren en jaren concluderen dat we ze niet ingehaald hebben. Met de altijd verder evoluerende technologie kan dat natuurlijk ook helemaal niet. Dat is geen kwestie van gebrek aan capaciteit maar van een verkeerde aanpak. Er komt dus een richtlijn, wellicht al in 2011 maar het kan net zo goed 2021 worden, die bedrijven tot een beetje inspanning verplicht, maar - gegeven de niet verbeterde constellatie in Brussel - niet verplicht tot resultaten. Nou, joepie, hoor.

Laatste 10 columns