Nieuwe e-privacywet: alsjeblieft geen cookies on steroids

06-10-2017

Die onzalige Cookiewet, maar dan on steroids. Zo zou ik de e-privacywet (EPR) noemen die momenteel op de Europese tekentafel ligt. Een wet die bovenop de Algemene Europese privacywet (AVG) komt, terwijl die privacy al zorgvuldig, slim en flexibel regelt. Als het aan Brusselse beleidsmakers ligt, zullen ondernemingen vaker ‘toestemming’ moeten vragen voor het gebruik van persoonsgegevens. Klinkt niet gek, maar de uitvoering past niet op de werkelijkheid. Want denk eens mee. Stel dat de wet morgen in werking zou treden. Wat zou er dan allemaal gebeuren? Spam zou alleen tegengehouden kunnen worden als ook de spammer daar toestemming voor heeft gegeven. Messengerdiensten zouden zonder toestemming van de betrokkenen geen voorbeelden meer mogen tonen van hyperlinks.

 

Noodweer

Vreemde zaken. Maar het grootste probleem is dat de wet zoals hij er nu ligt, zijn schaduw vooruit werpt over innovaties die we nog niet eens kennen. Zo is het maar de vraag of een pechdienst zonder toestemming bijvoorbeeld met autodata en meteogegevens een realtime inschatting mag maken over waar pechhulp bij noodweer het meest nodig is. En of een dokter een connected hartmonitor wel mag aansluiten op een patiënt buiten kennis. Want ja, die kan geen toestemming geven.

Soms is het zelfs onlogisch om toestemming te moeten geven. Als iemand een fitbit koopt, dan mag toch verondersteld worden dat die gebruik kan maken van (slechts daarvoor noodzakelijke!) data zonder dat daar nog eens toestemming voor moet worden verleend? Als je een fiets koopt, hoef je immers ook geen toestemming te geven aan de wielen om te kunnen draaien.

 

Internet of Things

Ik maak me hier zorgen over. Het bereik van de wet is vooralsnog zeer vaag omschreven, maar lijkt het hele Internet of Things te omvatten, van e-health tot slimme mobiliteit. Onze connected society, de slag naar de vierde industriële revolutie staat grotendeels op het menu. De wet stelt nu een beperkte lijst van 'wat wel mag' op. Dat is volgens mij onwerkbaar richting de toekomst. We weten gewoonweg niet wat voor innovaties er in het verschiet liggen. Niet alles moet mogen, maar laten we niet nu al de toekomst beperken graag. De AVG biedt al een toekomstvast privacykader, plaats daar nou niet een inflexibele e-privacywet bovenop. Eenmaal aangenomen, staat de verordening voor heel Europa vast.

 

Logica

De eerdere wetgeving rondom cookies en toestemming – de voorloper van de EPR – heeft laten zien dat het maken van wetgeving, zonder die aan de praktijk te toetsen, leidt tot slechte resultaten. Daarvan is blijkbaar niet geleerd. Pas de logica van de AVG, die zorgvuldig maar slim en flexibel is toe op de EPR. Beter ten halve gekeerd dan ten hele gedwaald.

 

David de Nood

Beleidssecretaris Digitalisering, Data en Privacy

Een uitgebreide versie van dit artikel kun je hier lezen.