Recht als voorschrift en sturingsinstrument

Victor de Pous

Bedrijven verkeren in ronduit lastige situaties. Naast de voortdurende stroom parallelle marktveranderingen, is het vechten tegen digitale misdaad. Daarbij moeten we wel onderscheiden: cybercriminaliteit, economische spionage, militaire spionage en zelfs elektronische oorlogsvoering. Dat geldt voor een belangrijk deel evenzo voor overheidsorganisaties. Netwerk- en informatiebeveiliging is dus meer dan ooit cruciaal geworden. Ook in dit kader kan het recht een dubbelrol vervullen en acteert dan enerzijds als kaderscheppend voorschrift ­- dwingendrechtelijke wet- en regelgeving – en anderzijds als contractueel instrument om de digitale beveiliging te optimaliseren.

Om het populair te duiden: vooral de legislatieve boel is flink in beweging. En ja, dat heeft weinig verrassend deels met de onthullingen van klokkenluider Edward Snowden te maken.

Maar laten we de periode voor 6/6 en andere zaken niet vergeten. Zo krijgt allereerst het nieuwe communautaire privacykader steeds meer vorm. Het Europees Parlement in Straatsburg vergaderde recent over het ontwerp Algemene Verordening Gegevensbescherming, die de huidige regels uit 1995 vervangt (Europese Richtlijn privacybescherming en de Wet bescherming persoonsgegevens). De rijen sluiten zich grotendeels.

Als het aan de parlementariërs ligt, gaan de sancties op schending van de nieuwe wet gaan fors omhoog. De boetes kunnen tot 100 miljoen euro oplopen. De maximumstraf moet van 5 procent van de geconsolideerde wereldwijde omzet worden. Hiermee gaan ze nadrukkelijk verder dan de Europese Commissie, die vindt dat geldboetes niet meer dan 1 of 2 procent van de omzet behoren te bedragen.

Het parlement is verder voorstander van sterke privacyrechten voor de Europese burger. Dat uit zich onder meer in brede consensus over meer zeggenschap over persoonsgegevens. De burger dus aan het roer. Hij moet meer controle hebben over zijn persoonsgegevens, onder meer door vooraf toestemming voor gebruik te geven. Bovendien is ook het Europees Parlement voorstander van een ‘recht om vergeten te worden’. Op grond hiervan heeft de burger het recht om vernietiging van zijn informatie te vorderen. Het laatste woord is echter aan de Europese ministerraad.

Ondertussen waarschuwt de Nederlandse toezichthouder, het College bescherming persoonsgegevens, terecht voor de risico’s van de toverformule big data. Uit de enorme berg data kunnen bedrijven en overheden verbanden en behoeften destilleren waardoor zij toekomstig gedrag van mensen kunnen voorspellen, zónder dat mensen dit zelf ook maar kunnen vermoeden. Organisaties kunnen hierdoor mensen anders behandelen dan anderen, wat een grote impact op iemands leven kan hebben

Let op. De hooggespannen, vaak commerciële verwachtingen het verzamelen, koppelen en analyseren van gigantische hoeveelheden gevarieerde gegevens komen alleen uit wanneer de verwerking van persoonsgegevens grofweg op twee rechtmatige manieren plaatsvindt. Of de persoonsgegevens worden onomkeerbaar geanonimiseerd of de verantwoordelijke en verwerker houden zich onverkort aan de dwingende wettelijke voorschriften van de privacywetgeving. Dat betekent onder meer voldoen aan de informatieplicht (individuen goed informeren over wat er met hun persoonsgegevens gebeurt) en de toestemmingsplicht (individuen voorafgaand om toestemming vragen). E praktijk zal het leren.

Wat gebeurt er op contractueel vlak? Te weinig. Weliswaar oogt er een omslag in het denken, waardoor privacybescherming en informatiebeveiliging voor sommige bedrijven langzaam van een last in een lust verandert, maar die ontwikkeling krijgt nog onvoldoende juridisch beslag in algemene voorwaarden en andere overeenkomsten. Anders gezegd: een beetje CEO haast zich al gauw te verklaren dat de privacy & security zeer hoog in het vaandel staan, terwijl handelspraktijk en juridische voorwaarden de stelling niet of onvoldoende staven. Of het nu gaat om de inzet van cookies op websites of het koppelen van allerlei bestanden. Niet zo zeer het voldoen aan wet- en regelgeving (legal compliance) creëert economische waarde, maar vooral het klanten meer rechten geven dan waar ze wettelijk recht op hebben of wat branchegebruikelijk is. Dat levert in pas echt voordeel op en betreft een toegevoegde waarde in de marketingmix. Entrepreneurs: leg de lat dus de hoger.

Mr. V.A. de Pous

 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *