Sinds de onthullingen van klokkenluider Edward Snowden worden Europeanen steeds bezorgder over hun privacy. We delen allemaal onze gegevens met bedrijven als Facebook en Google, maar wat mogen zij eigenlijk doen met die informatie? En kunnen onze data in handen van buitenlandse overheden komen?

Het Europees Parlement nam woensdag nieuwe regels aan die daar duidelijkheid over moeten scheppen bij Europese burgers. Gegevens mogen volgens de regels alleen worden verzameld met 'informed consent', oftewel toestemming van de gebruiker op basis van duidelijke informatie.

Een "recht om vergeten te worden" moet er bovendien voor zorgen dat burgers controle houden over hun eigen data. Willen ze dat hun persoonsgegevens worden gewist, dan moeten ze dit kunnen regelen.

Daarnaast wil het Europarlement de opslag en het gebruik van die gegevens limiteren. Het zou voor bedrijven niet meer toegestaan zijn om gegevens van consumenten door te geven aan buitenlandse overheden.

Dat zou ervoor zorgen dat Amerikaanse bedrijven vast komen te zitten tussen twee verschillende wetten in twee verschillende regio's. De Amerikaanse wet verplicht internetbedrijven als Google om gegevens te overhandigen wanneer de overheid daar met een gerechtelijk bevel om vraagt. Maar onder de nieuwe Europese regels zouden zulke verzoeken via Europese autoriteiten moeten lopen.

Volgens Groenlinks-Europarlementariër Judith Sargentini zal dat ervoor zorgen dat de VS in gesprek moet met de EU over deze werkwijze. Ook zullen Amerikaanse bedrijven minder gewillig ingaan op verzoeken van de Amerikaanse overheid, verwacht zij.

Onder een nieuwe richtlijn moeten de lidstaten van de Europese Unie moeten rechthandhavingsautoriteiten zich ook allemaal houden aan dezelfde regels rond databescherming. D66-Europarlementariër Sophie in 't Veld noemt die hervorming "misschien nog wel belangrijker" dan de stevigere bescherming van gegevens bij bedrijven.

"In tegenstelling tot bedrijven kunnen burgers niet zomaar even van overheid wisselen", aldus In 't Veld. Volgens haar kan de hervorming ook leiden tot betere samenwerking tussen Europese politiekorpsen, omdat die alleen gegevens met elkaar mogen uitwisselen als zeker is dat op juiste manier wordt omgegaan met de privacy van burgers.

Verkoop

Ook de verkoop van persoonsgegevens zonder toestemming van consumenten zou aan banden worden gelegd. Onlangs stelde ING dat het een proef gaat uitvoeren met het verkopen van klantprofielen om gerichte advertenties te tonen op basis van betaalgedrag. "Dat kan niet volgens de wet die wij hier nu aan het maken zijn", zegt Sargentini.

Dat bleek tijdens de onderhandelingen ook een knelpunt voor enkele andere fracties, die bang waren dat de plannen te beperkend zouden worden. Het plan van de ING gaat erg ver, zegt CDA-Europarlementariër Wim van de Camp, "maar ik zou er geen bezwaar tegen hebben als de ING alle klanten met een hypotheek een brandverzekering zou proberen te verkopen".

Andere fracties hadden liever strengere regels gezien als het gaat om pseudonimisering van gegevens. Gegevens die worden gekoppeld aan een pseudoniem worden onder het voorstel niet gezien als persoonsgegevens. "Maar pseudoniemen kunnen altijd weer aan een persoon worden gelinkt", aldus In 't Veld.

Lobby

De stemming van het Europarlement volgt op verschillende vertragingen en een intense lobby door Amerikaanse internetgiganten, die bang zijn dat hun activiteiten in heel Europa ineens onwettelijk worden. 

Het zou voor Europese burgers namelijk mogelijk moeten worden om het verzamelen van gegevens door bijvoorbeeld Google tegen te gaan. De persoonlijke advertenties die het zoekbedrijf toont op basis van surfgedrag zouden alleen nog maar mogen worden getoond aan mensen die daar expliciet toestemming voor geven.

"Dat is waarom Google en Amazon bij ons de deur platlopen", zegt Sargentini. De nieuwe regels zouden de bedrijven een flinke klap kunnen toedoen, omdat persoonsgegevens op internet veel geld waard zijn. De Duitse Europarlementariër Cornelia Ernst noemde zulke gegevens dan ook "de olie van de 21e eeuw".

Toezicht

Onder het voorstel zouden de verschillende privacyregels van de 28 Europese lidstaten worden verenigd, en krijgen bedrijven nog maar te maken met één privacywaakhond, zoals het Nederlandse College bescherming persoonsgegevens (CBP).

Onder welke waakhond een bedrijf komt te vallen wordt bepaald op basis van de locatie van het Europese hoofdkantoor. Facebook, gevestigd in Dublin, zou bijvoorbeeld onder de Ierse waakhond vallen, terwijl het toezicht op Amazon geheel in Luxemburg terechtkomt.

De regels worden in alle lidstaten gelijk, terwijl er eerder nog verschillen waren. "Vandaar dat Google en Facebook naar Ierland zijn gegaan, want ze weten dat ze daar nogal soft worden behandeld", zei Jan Philipp Albrecht, die als rapporteur verantwoordelijk was voor het dossier databescherming in het Europarlement. Hij hekelde de bedrijven in Silicon Valley, "die al jarenlang proberen de wetshandhaving in de Europese Unie te ontlopen."

De bedrijven zouden onder het nieuwe stelsel te maken krijgen met hoge boetes als ze de nieuwe regels overtreden. Die kunnen oplopen tot 5 procent van de jaaromzet. Waar Google in Frankrijk onlangs nog een boete kreeg van 150.000 euro, zou die onder de nieuwe regels kunnen oplopen tot in de miljarden.

Eurocommissaris Viviane Reding (Justitie) reageerde positief op de hoge straffen. De Europese Commissie had in eerste instantie voorgesteld om de boetes te laten oplopen tot maximaal 2 procent van de jaaromzet, maar toonde zijn steun voor een verhoging.

"Laten we gaan voor 5 procent als het Parlement daarvoor kiest", zei ze. "Als bedrijven zich niet aan de regels houden, zoals vandaag de dag heel vaak het geval is, dan zijn Europese waakhonden voorzien van sterke wetten. Ze krijgen tanden."

Vast in Raad

Hoewel een overgrote meerderheid van het Europarlement achter de regels staat, liggen verschillende lidstaten in de Raad van Ministers nog dwars, waardoor de hervorming van databeschermingsregels mogelijk nog jaren zal duren.

Verschillende Europarlementariërs riepen de Raad van Ministers dinsdag dan ook op om de hervorming snel een kans te geven. 

"De Raad heeft niet zo veel vooruitgang geboekt als u", erkende de Griekse vice-minister van Buitenlandse Zaken Dimitris Kourkoulas, die de Raad vertegenwoordigde voor het Europarlement. Hij noemde de hervorming van de databeschermingsregels "misschien wel het meest ambitieuze stuk wetgeving van het Parlement tijdens dit mandaat".

Van de Camp van het CDA bedankte Kourkoulas voor zijn "warme woorden", maar zei daar geen genoegen mee te nemen. "Het is makkelijk om altijd de Grieken de schuld te geven, maar wat gaat hij doen om dit te versnellen? Europa heeft deze regels snel nodig", zei hij.

In 't Veld van D66 zei "diep bezorgd" te zijn over de houding van de Raad. Oppositie tegen betere databescherming is volgens haar "onbegrijpelijk en onverantwoordelijk".

Vagevuur

Voorlopig bevindt de hervorming zich in een vagevuur. Na de Europese verkiezingen zullen een nieuw Europarlement en een nieuwe Europese Commissie zich opnieuw moeten buigen over het voorstel. Ondertussen zouden de meningen in de Raad van Ministers nog kunnen veranderen als nationale verkiezingen zorgen voor een andere bezetting.

Dat er iets moet gebeuren om de macht van Amerikaanse internetgiganten in te perken, daar is iedereen het in Straatsburg wel over eens. Van de Camp: "Ze moeten zich aan de spelregels houden. Punt."