Breed lachend gaf de Duitse Europarlementariër Jan Philipp Albrecht op dinsdag 22 oktober een persconferentie. De avond ervoor had hij een compromistekst voor een nieuwe Europese wet voor de bescherming van onze privacy met een overweldigende meerderheid door de dienstdoende commissie van het Europarlement weten te loodsen. Er was in zijn ogen een grote en belangrijke stap richting een sterkere privacybescherming gezet.  

Lange tijd zag het ernaar uit dat de lobby van het bedrijfsleven en van de Verenigde Staten erin zou slagen het wetsvoorstel ernstig te verzwakken. Maar door alle onthullingen over de spionageactiviteiten van de NSA stonden de Europarlementariërs op scherp. De tekst die Albrecht aanvaard wist te krijgen, stond naar zijn overtuiging garant voor een stevige bescherming van de burger tegen misbruik van zijn gegevens door bedrijven en geheime diensten.

De groene Europarlementariër had redenen om trots te zijn. Eén van de overwinningen die hij kon claimen, was dat in de wet een verbod is opgenomen voor bedrijven om privégegevens van Europese burgers te overhandigen aan derde landen. Dus ook aan de veiligheidsdiensten van de VS. The Financial Times onthulde in juni 2013 dat dit verbod ooit in een conceptwettekst van de Europese Commissie had gestaan, maar dat het er na grote druk van de VS uit was gehaald. Albrecht wist het er dus opnieuw in te krijgen.

Ruim twee weken geleden lieten Maurits Martijn en ik in het stuk zien hoe bedrijfslobbyisten erin waren geslaagd Europarlementariërs voor hun karretje te spannen. De Europese volksvertegenwoordigers hadden duizenden amendementen ingediend die het bedrijfsleven ruimere mogelijkheden gaven geld te verdienen aan het gebruiken en doorverkopen van onze persoonsgegevens. 

Moeten we nu concluderen dat deze aanpassingen er niet door zijn gekomen en de lobby het dus verloren heeft? Dat is te simpel. Hoe triomfantelijk Jan Philipp Albrecht ook is over zijn compromistekst, sommige amendementen die uit de koker van het bedrijfsleven komen en die de privacybescherming verzwakken, hebben het wél gehaald. Drie voorbeelden.

1. Data mogen toch aan derde partijen worden overdragen

Privacywatchers waren zeer ongerust over een wetsartikel waarin alle gevallen waarin dataverwerking rechtmatig is, worden opgesomd. De lobby wilde toegevoegd hebben dat data ook mogen worden overgedragen aan ‘derde partijen’. De directeur van European Digital Rights (EDRI) zei tegen ons dat dit deuren opent voor het gebruik van jouw gegevens door bedrijven waar jij nooit van hebt gehoord voor doeleinden waar je nooit toestemming voor hebt gegeven. En die poort staat nu open: die ‘derde partijen’ die niet in het voorstel van de Europese Commissie stonden, zijn wel beland in de tekst waar Albrecht zo enthousiast over is.

2. Geen beperking omwille van machtsverhouding

In het oorspronkelijke wetsvoorstel van de Europese Commissie werd uitgelegd dat een gegeven toestemming voor het gebruik van privédata niet rechtsgeldig is als er een scheve machtsverhouding is tussen wie de toestemming vraagt en wie haar geeft. Een voorbeeld: stel dat LinkedIn besluit de privacyvoorwaarden te veranderen. Vanaf nu mag het bedrijf jouw gezicht en jouw gegevens gebruiken in advertenties. LinkedIn vraagt jou om hiermee in te stemmen. Je enige keuze is akkoord te gaan of eruit te stappen. Maar dan ben je alle contacten die je via het netwerk hebt opgebouwd, kwijt. De redenering in het wetsvoorstel was dat LinkedIn jou in dit geval in haar macht heeft. Om misbruik van een dergelijke machtspositie te voorkomen, telde een gegeven toestemming dan niet. Maar die beperking is verwijderd uit de op 21 oktober aanvaarde tekst.

3. Geen termijn voor het melden van een datalek

DigitalEurope, een lobbyorganisatie van het bedrijfsleven, ijverde ook tegen de bepaling dat bedrijven het binnen 24 uur moeten melden als ze te kampen hebben met een datalek. Die termijn is er inderdaad uitgehaald. Nu staat er de vage bepaling dat ze het ‘without undue delay’ moeten melden. 

Cameron en Merkel op de rem

Het is dus niet voor niets dat Albrecht niet van iedereen applaus heeft gekregen. Sophie in ‘t Veld, de privacyvoorvechtster van D66, stelde in een persbericht: ‘Na de recente onthullingen is het een gemiste kans dat er geen sterkere concepttekst op tafel ligt. Alle elementen zitten er in, maar niet eenduidig en ondubbelzinnig waardoor de rechtsbescherming alsnog zwak is.’ Nog feller was European Digital Rights. ‘Wij zijn geshockeerd en teleurgesteld dat parlementariërs ervoor hebben gestemd om grote mazen in de wet aan te brengen die het hele voorstel ondermijnen.’

En al mocht Albrecht zelf wel dik tevreden zijn, de lach op zijn gezicht verdween snel toen aan het eind van dezelfde week de Europese regeringsleiders bij elkaar kwamen. De Britse premier David Cameron trapte op de rem: het voorstel dat er nu ligt, berokkent in zijn ogen het bedrijfsleven te veel schade. Cameron vindt dat de wet meer denkwerk vergt en ze er daarom op zijn vroegst in 2015 kan liggen.

De Britse premier David Cameron trapte op de rem: het voorstel dat er nu ligt, berokkent in zijn ogen het bedrijfsleven te veel schade.

Tot veler verbazing kreeg de Britse premier hulp van Angela Merkel, als we  mogen geloven. Albrecht twitterde het stuk rond. Hij vond het ‘domweg onbevattelijk en erg’ dat juist Merkel, die net heeft moeten ontdekken dat ze al sinds 2002 op haar mobiele telefoon is afgeluisterd, er nu aan meehelpt dat er voorlopig geen sterkere privacybescherming komt.  

Landen als Frankrijk, Italië en Polen wilden dat de nieuwe wet er zou liggen voor de Europese verkiezingen in het voorjaar van 2014. Maar vooral Engeland en dus ook Duitsland hebben daar een stokje voor gestoken. Dat is een overwinnning voor de grote Amerikaanse technologiebedrijven, oordeelde De krant concludeerde dat het fanatieke lobbywerk van bedrijven als Google en Facebook zijn vruchten had afgeworpen. FT citeerde een anonieme lobbyist van een groot Amerikaans technologiebedrijf die triomfantelijk zei: ‘Wij hebben gewonnen.’ 

Dit is dus het echte beeld: een machtige lobby van het bedrijfsleven wist Europarlementariërs te overtuigen heel veel voorstellen in te dienen die de privacybescherming verzwakken en de speelruimte van het bedrijfsleven vergroten. Maar de onthullingen over het spionagewerk van de NSA zorgden voor een groeiende verontwaardiging en achterdocht bij europarlementariërs. Dat zorgde ervoor dat niet al het sloopwerk slaagde.

Het Europarlement werd het eens over een betere, maar nog steeds niet ijzersterke privacybescherming. Zelfs dat was een brug te ver voor de Europese Raad. Regeringsleiders met vetorecht, onder wie David Cameron en Angela Merkel, zorgden ervoor dat de nieuwe wet er pas op zijn vroegst in 2015 komt. En dan is alle commotie over de onthullingen van Snowden over alle spionagepraktijken wellicht al weer weggeëbd.

Maar daar legt de Europese Commissie zich weer niet bij neer. Het dat de conclusies van de Europese Raad niet ondubbelzinnig uitstel betekenen en wil alles op alles zetten om de wet er toch voor mei 2014 door te krijgen. Voor één ding is de Europese Unie in ieder geval goed: een, al naar gelang je smaak, moedeloos makend of fascinerend machtsspel tussen Europese Raad, Europarlement en Europese Commissie.