TWIJFELS BLIJVEN ROND SAFE HARBOR-ACCOORD Het eerste grote conflict tussen e-commerce en internationale privacyregels is gesust na de introductie van Safe Harbor, eerder deze maand. De vraag is hoeveel Amerikaanse bedrijven zich zullen conformeren aan de Europese regels. Ook de registratie van Amerikaanse domeinnamen door Europeanen blijkt een heikel punt.
Begin november is het veelbesproken Safe Harbor dan eindelijk van start gegaan. Aan het akkoord is een zich twee jaar lang voortslepende diplomatieke strijd tussen de EU en de VS voorafgegaan.De strijd begon in 1998, toen een Europese richtlijn bepaalde dat privé-gegevens van EU-burgers alleen nog maar naar niet-Europese landen mogen, indien daar 'adequate bescherming' bestaat.
De onderhandelingen waren noodzakelijk omdat bescherming van privacygegevens in de Verenigde Staten anders is geregeld dan in Europa.De Amerikaanse aanpak bestaat uit een mix van wetgeving, regelgeving en zelfregulering; in Europa is het vooral wetgeving die de privacybescherming regelt.Niet alleen in de privacyregels zelf, maar vooral in het naleven ervan komt dat verschil naar voren.De Europese wetgeving maakt het instellen van overheidsinstanties noodzakelijk, die databanken met persoonsgegevens registreren en in sommige gevallen toestemming moeten geven voor het verwerken van dergelijke gegevens. De Verenigde Staten vertrouwen daarentegen vooral op keurmerken, waar bedrijven zich vrijwillig aan kunnen houden.
Dat verschil in privacybescherming had verstrekkende gevolgen.Zo moesten persoonsgegevens van Europeanen worden gewist uit Amerikaanse databanken van luchtvaartmaatschappijen, webwinkels en Amerikaanse filialen van Europese bedrijven. Elementaire zaken als boekhouding en elektronische betalingen werden soms verboden, of op zijn minst erg omslachtig.
Een schrikbarend voorbeeld is luchtvaartmaatschappij American Airlines, dat al sinds 1997 in de clinch lag met de Zweedse privacybescherming.Na elke vlucht moesten alle persoonsgegevens over Zweedse passagiers worden gewist, tenzij deze toestemming hadden gegeven om de gegevens te bewaren.
TRUSTe-keurmerk
Een stevige discussie tussen Amerika en Europa leidde uiteindelijk tot Safe Harbor.Dit accoord, in juli 2000 goedgekeurd door de EU, houdt in dat Amerikaanse bedrijven met Europese klanten niet wettelijk verplicht zijn om zich aan de Europese privacyrichtlijn te houden, maar dat wel vrijwillig kunnen doen.
Om het de Amerikaanse bedrijven iets gemakkelijker te maken zich aan de Europese regels te houden, kwam TRUSTe, tegelijkertijd met de ingang van Safe Harbor, met een nieuw keurmerk. TRUSTe beoordeelt websites of ze de principes van Safe Harbor naleven en treedt tevens als 'scheidsrechter' op bij conflicten. TRUSTe had voorheen al een ander keurmerk, dat minder strikt is. Zo'n 2000 websites over de hele wereld dragen dit oude keurmerk.
Bedrijven die het TRUSTe-keurmerk willen verdienen moeten zich aan zeven principes houden, zoals klanten inlichten wat er met hun persoonsgegevens gebeurt, klanten de mogelijkheid bieden om het doorgeven van die gegevens aan derden te verbieden (opt out) en beveiliging van gegevensverkeer. Ook moeten ze kunnen garanderen dat andere bedrijven die gegevens van hen ontvangen zich ook aan het keurmerk houden.
TRUSTe is nadrukkelijk geen officieel certificaat van de Amerikaanse overheid. Een bedrijf met het keurmerk voldoet volgens TRUSTe wel aan het gros van de Safe Harbor-vereisten die het Amerikaanse Department of Commerce stelt. Het departement heeft eenwebsitegeopend met informatie over de Europese richtlijnen. Ook geeft het een overzicht van alle Amerikaanse bedrijven die zich inmiddels hebben geconformeerd aan het akkoord.
Organisatorische gevolgen
Of het Amerikaanse bedrijfsleven zich massaal zullen onderwerpen aan de nieuwe zelfregulering blijft de vraag. Safe Harbor beschermt immers de rechten van de Europese consument, niet van de Amerikaanse. Toch menen ook Amerikaanse ICT-deskundigen dat naleving van de Europese richtlijnen van levensbelang is. Zo niet, dan zou een Amerikaans bedrijf bij voorbaat de Europese markt uitsluiten.
De standaard zal de lat echter wel een stuk hoger leggen.In ComputerWorldlegt ICT-deskundige Frank Hayes legt uit welke organisatorische beslommeringen het keurmerk zoal met zich meebrengt.Persoonsgegevens zijn vaak verspreid opgeslagen binnen verschillende afdelingen. Omdat Europese klanten inzage kunnen verlangen, moet die informatie dus eerst binnen het bedrijf worden gelokaliseerd. Zelfs in het archief kunnen zich nog oude fotokopieën bevinden.
Vervolgens moet al die informatie worden verzameld en op een voor de klant begrijpelijke manier worden gepresenteerd, zonder esoterische codes en afkortingen.Softwareontwikkelaars moeten aan de slag om gebruikersinterfaces te ontwikkelen.Zodra klanten zich beroepen op de 'opt out'-mogelijkheid moeten gegevens gedeeltelijk worden verwijderd of afgeschermd. Dat vereist weer extra gegevens, op zijn minst een extra veld voor Europese klantenrecords.
Op zich zijn deze stappen best haalbaar, maar ze kosten veel tijd en steun van de directie.In ieder geval is het onpraktisch voor bedrijven om een verschillend beleid te voeren voor Europese en niet-Europese klanten.Internationale bedrijven zullen daarom waarschijnlijk Safe Harbor als algemene standaard aanhouden.
Scepsis
Simon Davies, directeur van Privacy International in Londen, isuiterst sceptischover Safe Harbor:"Binnen een jaar zal het in duigen vallen wegens gebrek aan navolging."
Ook hier in Europa heerst verdeeldheid, maar juist omdat men het niet ver genoeg vindt gaan. "Eerlijk gezegd beschouwen we Safe Harbor niet als een succesvolle oplossing voor gegevensbeveiliging", zomeent Giovanni Buttarelli, algemeen secretaris van de Italiaans dataprotectie-commissie. 'Het is hooguit een eerste stap.'
Europese privacyactivisten zijn evenmin gelukkig met Safe Harbor. Hun kritiek richt zich vooral op het vrijblijvende karakter van het akkoord.Een belangrijke vraag is hoe klachten van Europese klanten worden afgehandeld en of deze recht hebben op schadevergoeding.
Over een jaar zal Safe Harbor worden geëvalueerd, zo zijn Europese en Amerikaanse officials overeengekomen.Als begin 2001 een nieuwe regering aan de slag gaat, zal echter een deel van de Amerikaanse delegatie die evaluatie niet meer meemaken.
Whois-databank
Safe Harbor strekt zich niet alleen uit tot e-commerce, het akkoord heeft in de Verenigde Staten ookdiscussie veroorzaaktover de Whois-databank. Hierin zitten de namen, e-mailadressen, postadressen en telefoonnummers van de eigenaren van meer dan 24 miljoen domeinnamen. Deze informatie is voor iedereen op internet beschikbaar.
Toen de databank in de jaren 80 werd ontwikkeld, was internetprivacy nog geen gevoelig onderwerp. Internet werd toen vooral door overheid en universiteiten gebruikt. Inmiddels is Whois uitgegroeid een wereldwijd telefoonboek, maar dan zonder de mogelijkheid om je telefoonnummer te laten verwijderen. Whois-gegevens worden veelvuldig misbruikt voor ongevraagde e-mails en zelfs telefoontjes. Er zijn bovendien gevallen bekend van stalkers die de databank gebruiken om bepaalde personen voortdurend lastig te vallen.
Vooral Europese domeinnaamhouders zouden op grond van Safe Harbor kunnen eisen dat hun persoonsgegevens beter beschermd worden. Ze worden daarbij gesteund door Amerikaanse privacygroeperingen. "Je privacy opofferen zou geen voorwaarde moeten zijn om domeinen te verkrijgen", meent Alan Davidson, staflid van het Center for Democracy and Technology.
Chuck Gomes van VeriSign Global Registry Services, die de Whois-databank runt voor domeinnamen eindigend op .com, .net en .org, vindt dat het allemaal wel meevalt. Volgens hem wordt er al druk gewerkt aan nieuwe technologie. Hiermee zou het voor opsporings- en marketingfunctionarissen gemakkelijker worden de databank te doorzoeken, zonder dat ze toegang hebben tot privé-gegevens. Naar verwachting zijn de hulpmiddelen pas over twee jaar beschikbaar.
HetInternet Corporation for Assigned Names and Numbers (ICANN) eist nu nog dat alle contactgegevens van eigenaren van .com-, .net- en .org-domeinen voor iedereen toegankelijk zijn. De organisatie zal pas volgend jaar overwegen om het privacybeleid aan te scherpen.
(30 november 2000)
