'Nieuwe Europese privacyregels zinloos en zelfs schadelijk'

Moerel noemt als voorbeeld de Europese cookieregels. Bedrijven moeten hun websitebezoekers informeren over de cookies die ze plaatsen en per soort cookie toestemming vragen (rights-based). De meeste websites plaatsen echter wel 10-20 cookies. Bezoekers van websites zien door alle cookie-informatie en de opt-ins voor de verschillende cookies door de bomen het bos niet meer en accepteren blind alle cookies, aldus Moerel. Daardoor accepteren ze ook ook schadelijke 'tracking cookies' die hen op andere websites volgen om ze te voorzien van op hen afgestemde advertenties.

Rem op innovatie rond big data

De nieuwe Europese privacy verordening belemmert bovendien big-datatoepassingen, meent Moerel. Voor de verzameling van gegevens waar een bedrijf mogelijk een nieuwe toepassing of product op kan baseren, moet er onder de nieuwe verordening een wettelijke grondslag zijn. "Dat betekent in de meeste gevallen dat burgers 'geïnformeerde toestemming' moeten geven. Maar hoe vraag je die als je nog niet weet waar je de data voor gaat gebruiken?", vraagt Moerel zich af.

Ook de beginselen 'doelbinding' en 'dataminimalisatie' in het voorstel voor aanscherping van de privacyregels oogsten haar kritiek. Bedrijven moeten bij gegevensverzameling vooraf het doel definiëren en hun gegevensverzameling vervolgens beperken tot datgene wat nodig is om dat doel te bereiken. Maar bij big data is vaak het doel vooraf niet bekend en worden juist zo veel mogelijk data verzameld om die vervolgens te analyseren om te kijken of er een bepaalde toepassing of dienst mee te verzinnen is. Dat heeft ook helemaal geen repercussies voor de privacy, zolang de gegevens vooraf worden omgezet in een niet tot de oorspronkelijke personen herleidbare dataset, vindt Moerel: "De vereisten van doelbinding, geïnformeerde toestemming en dataminimalisatie zijn gedateerde begrippen die zo niet thuishoren in de verordening."

'Neem Amerika als voorbeeld'

Moerel ziet meer in de Amerikaanse aanpak, die ze karakteriseert als 'harm-based'. "In de Verenigde Staten zijn alleen bepaalde sectoren die met gevoelige gegevens werken gereguleerd. Als daarbuiten een roep om regulering ontstaat, gebeurt dat alleen bij een misstand waardoor consumenten schade leiden. Dat lijkt de consument minder bescherming te bieden, maar in sommige gevallen is het tegendeel het geval. De Federal Trade Commission treedt met harde hand op tegen bedrijven die in hun online privacy policies consumenten misleiden", aldus Moerel

Ook op het terrein van cookies lijkt de Amerikaanse aanpak tot effectievere bescherming van de burgers te leiden. Daar gaan de gedachte rond inperking van het cookiegebruik nu richting de verplichting om een 'do-not-track'-button op websites te plaatsen. Met zo'n knop kunnen consumenten de schadelijke tracking cookies uitschakelen. De kans dat consumenten zo'n knop wél begrijpen en aanklikken als ze daar de behoefte aan voelen is groot, stelt Moerel.

'Hete aardappel niet doorschuiven naar de consument'

De Amerikaanse benadering kan dus een stuk effectiever voor consumenten uitpakken dan de opt-in rechten die ze in Europa toegekend krijgen. Volgens Moerel ontlopen de beleidsmakers met hun regelgeving feitelijk ook hun verantwoordelijkheid. In plaats van zelf de beslissing te nemen welke cookies of gegevensverwerkingen nu wel of niet sociaal wenselijk zijn, geven zij de hete aardappel door aan consumenten door hun inhoudsloze informatie- en instemmingsrechten toe te kennen. Moerel bepleit daarom een bredere toepassing van de grondslag "gerechtvaardigd belang", waarbij pas bij bepaalde gegevensverwerkingen die schadelijk zijn voor de burger toestemming hoeft te worden gevraagd.