Dat is een van de uitkomsten van een debat dat het College bescherming persoonsgegevens en de Consumentenbond op donderdagmiddag 7 december organiseerden in De Balie in Amsterdam. Naast Peter Fleischer sprak Ian Brown (commissaris Privacy International en adviseur FIPR [Foundation for Information Policy Research]) over de privacy-risico's van het gebruik van gepersonaliseerde diensten op internet. Het debat was toegespitst op grote en innovatieve internetdienstverleners die door het verlenen van meerdere persoonlijke diensten gedetailleerd inzicht krijgen in het gedrag van hun klanten, ter gelegenheid van het debat 'personal service providers' gedoopt (PSP's). Voorbeelden zijn, naast Google, Microsoft, Yahoo en in Nederland de Ilse Media Groep.
De grote PSP's zijn bij uitstek innovatief in het verlenen van steeds persoonlijker diensten, waarbij steeds meer persoonsgegevens worden verwerkt. Een voorbeeld is het verbeteren van de zoekresultaten bij zoekmachines; hoe beter de zoekmachine de persoonlijke voorkeuren van een gebruiker kent, hoe specifieker de resultaten die hij kan presenteren.
Ian Brown gaf aan dat hij zich zorgen maakt over de ontwikkeling op internet waarbij internetdienstverleners steeds persoonlijker diensten volledig in eigen beheer nemen, zoals harde schijfruimte, e-mail en agenda's. Deze ontwikkeling word ook wel Web 2.0 genoemd. Naarmate internetters meer persoonlijke gegevens verwerken buiten hun eigen computer om, wordt beveiliging van de gegevens tijdens vervoer en opslag belangrijker. Brown deed een oproep aan de Europese toezichthouders op de bescherming van persoonsgegevens, verenigd in de Artikel 29 Werkgroep, om versleutelde opslag verplicht te stellen, zodat het onmogelijk wordt voor internetdienstverleners om nog inzicht te krijgen in de persoonlijke gegevens van hun klanten.
Het debat werd geopend door Madeleine McLaggan-van Roon, sinds 1 september 2006 benoemd tot Collegelid van het CBP. Zij is verantwoordelijk voor de sectoren Bedrijfsleven, Arbeid en Sociale Zekerheid en Technologie. McLaggan gaf aan dat het CBP en de Consumentenbond drie zorgen delen ten aanzien van de bescherming van consumenten op internet. Dat zijn: het gebrek aan duidelijkheid van algemene voorwaarden en privacy-verklaringen; onvoldoende gegevensbescherming door miskenning van de definitie van persoonsgegevens en onverwacht gebruik van gegevens, bijvoorbeeld door de overheid.
Daartegenover stelde zij drie waarborgen; naleving van de informatieplicht; honorering van het recht op inzage, correctie en/of verwijdering van persoonsgegevens en vaststellen en naleven van de doelbinding.
Informatieplicht
Hoewel veel dienstaanbieders proberen om hun algemene voorwaarden in begrijpelijke taal op te stellen, is het voor consumenten niet duidelijk wat voor gegevens de dienstaanbieders precies verzamelen, hoe ze die verwerken in verschillende diensten en of en hoe ze gegevens eventueel verstrekken aan derde partijen. Daarmee voldoen ze niet aan de informatieplicht. Deze plicht geldt nadrukkelijk ook voor inzet van technische middelen. Het vereiste van transparantie heeft consequenties voor inzet van technologie die niet transparant te maken valt, zoals het gebruik van webbugs.
Rechten van betrokkenen
De Wet bescherming persoonsgegevens geeft iedereen het recht op inzage, correctie en/of verwijdering van zijn of haar persoonsgegevens. Betrokkenen moeten op elk gewenst tijdstip de gelegenheid hebben hun profielen voor controle in te zien. Bovendien moeten ze het recht hebben de opgeslagen gegevens te corrigeren en te laten verwijderen.
Doelbinding
Dienstaanbieders zouden de doeleinden van de verwerking veel nauwkeuriger moeten vaststellen en naleven. Gegevens mogen niet zomaar in een andere context worden gebruikt, bij een andere dienst van dezelfde aanbieder. Om function creep te voorkomen, onverwacht gebruik van gegevens in een andere context, is het belangrijk om bij de doelbinding ook goed na te denken over de maximaal benodigde bewaartermijnen.
Over de duidelijkheid van algemene voorwaarden en de bewaartermijnen kreeg Fleischer de meeste vragen van het publiek in de zaal. Ondanks de aanhoudende verzekering dat Google zo transparant mogelijk wilde zijn, kon Fleischer de vraag niet beantwoorden hoe lang Google gegevens bewaart. Gevraagd naar de inherente risico's van het beheren van een omvangrijk datapakhuis, gaf hij aan dat het banken ook niet verboden wordt om contant geld te bewaren. Ook op vragen naar het koppelen van gegevens uit meerdere diensten kon Fleischer geen eenduidig antwoord geven, maar verwees hij naar de afzonderlijke algemene voorwaarden van elke dienst.
Voor het CBP en de Consumentenbond was het debat vooral ter oriëntatie bedoeld, om te zien welke maatregelen eventueel nodig en haalbaar zijn om de rechten van consumenten op internet beter te beschermen. Twee weken voor het debat in de Balie hebben de voorzitters van de autoriteiten voor de gegevensbescherming in Europa een opinie aangenomen over de betekenis van de privacy-richtlijnen voor zoekmachines op internet. Daarin worden vergelijkbare zorgen geuit over het opbouwen van profielen en het gebrek aan transparantie van de dienstaanbieders. Dataminimalisatie moet voorop staan, om gebruikers, en de zoekmachines zelf, te beschermen tegen onverwacht gebruik.
Bronnen