Een jaar geleden heb ik mijn baan bij de Registratiekamer verruild voor een baan als jurist bij een multinational. Ze wilden een deskundige op het gebied van de privacywetgeving.

Natuurlijk greep ik deze kans met beide handen aan. Een leuk salaris, een 13e maand, kinderopvang, een laptop en een mobieltje van de zaak, een secretaresse; het aanbod was aantrekkelijk genoeg voor een overstap. Omdat ik een 'deskundige' was, werd de sollicitatieprocedure op supersnelheid afgerond. Vol vertrouwen in mijn eigen kunnen begon ik bij mijn nieuwe baas.

Nu - na een jaar - ben ik erachter gekomen, hoe weinig ik nog wist van mijn eigen vakgebied. De ontwikkelingen in Brussel en Washington waar je bij een op Nederland georiënteerde toezichthouder nauwelijks mee te maken hebt, gaan snel. Daar val je bij een multinational plotseling middenin.

Safe Harbor, het ontwerp van de nieuwe Telecom Privacy Richtlijn, de Children Online Privacy Protection Act (COPPA) uit de VS, de voorstellen van het Amerikaanse congres voor anti-spamwetgeving, de privacywetgeving van de belangrijkste Europese landen, het behoort inmiddels allemaal tot mijn standaardbagage.

Als jurist bij een multinational heb ik inmiddels ook ervaren dat het toepassen van huidige wetgeving op de onlinewereld helemaal niet zo eenvoudig is. Welke wetgeving is bijvoorbeeld van toepassing op de gegevensverwerkingen via de website met een .com-domein van een multinational als de site zelf geregistreerd staat op naam van de moedermaatschappij, de server via een servicedochter wordt gehost bij een derde in Amerika, de gegevens worden opgevraagd door een productdivisie en de verkopen en informatieverzoeken worden afgehandeld via de nationale verkoopdochters?

Als Europees jurist ben je vooral geneigd om Europees te denken. De Europese Privacyrichtlijn gebruik je als startpunt van je (juridische) activiteiten. Dit leidt echter niet altijd tot een bevredigend en juridisch waterdicht antwoord. Niet altijd is duidelijk wie de verantwoordelijke is voor het verzamelen van de persoonsgegevens en of en zo ja hoever deze verantwoordelijkheid zich ook uitstrekt over het verdere gebruik ervan.

Voorts is niet duidelijk of het opnemen van persoonsgegevens op een website een doorgifte is naar een land buiten de EU, hetgeen in de Europese Privacyrichtlijn aan strikte regels is gebonden. En zo zijn er meer onduidelijkheden.

Ook andere landen hebben soms wetgeving waarmee je als Europees bedrijf rekening moet houden. Neem nou de COPPA uit de VS. Deze wet verplicht de 'operators' van websites en degenen die online diensten leveren om (vooraf) de toestemming van de ouders te verkrijgen indien deze websites worden bezocht of de diensten worden afgenomen door kinderen onder de 13 jaar.

Wat de wet er niet bij noemt is, dat het natuurlijk gaat om Amerikaanse kinderen. En daarmee doet Amerika precies datgene dat het zelf verwijt aan de EU, namelijk de export van privacyregels naar andere landen. Immers, de bepalingen uit de Europese privacyrichtlijn dat geen persoonsgegevens vanuit Europa mogen worden getransporteerd naar landen buiten de EU zonder passend beschermingsniveau, is de Amerikanen een doorn in het oog. Het lang onderhandelde Safe Harbor-akkoord tussen de EU en de regering-Clinton ligt met de komst van de regering-Bush en zeker na 11 September weer onder vuur.

De Europese regels zouden het Amerikaanse bedrijfsleven benadelen. Wat de Amerikanen kennelijk niet doorhebben (of misschien juist wel) is dat de COPPA precies hetzelfde doet. Omdat de wet Amerikaanse kinderen beschermd - en dit dus als uitgangspunt neemt - moeten ook niet-Amerikaanse bedrijven zich aan deze wet houden. Immers, er kunnen altijd Amerikaanse kindertjes op de website terechtkomen en daar allerlei persoonsgegevens achterlaten. Een Europese multinational met een .com-domein moet daar dus rekening mee houden.

In deze tijd van vergaande globalisering is nationale of regionale wetgeving een obstakel. Internet en wereldwijde computernetwerken laten zich niet meer door nationale regels reguleren. De Europese Privacyrichtlijn is op dit punt inmiddels hopeloos verouderd. Maar 'Brussel' en 'Washington' zullen niet snel geneigd zijn om hun soevereiniteit op te geven. Toch zal een alomvattend wereldwijd verdrag over Internet en wereldwijde computernetwerken nodig zijn om het gebruik ervan te reguleren en misstanden effectief te kunnen aanpakken.

In Europa zouden we al kunnen beginnen door de Privacyrichtlijn zo te wijzigen dat het recht van het land van de moedermaatschappij, die ten slotte de grootste invloed heeft, van toepassing is op de operationele processen van de websites en het computernetwerk.

De verantwoordelijkheid van de lokale vertegenwoordigers (of het nou dochtermaatschappijen zijn of niet) zou beperkt moeten blijven tot de nakoming van de informatieverplichtingen van de verantwoordelijke en de uitoefening van de rechten van de betrokkenen. Toezicht door de nationale toezichthouders moet door middel van internationale bijstand worden uitgeoefend. Voorts moeten gegevensuitwisselingen binnen het concern binnen zekere grenzen mogelijk zijn, ongeacht de plaats in de wereld waar de gegevens worden verwerkt. Het model van toepasselijk recht en de internationale doorgiften in de Europese Privacyrichtlijn moet dus op de schop. Voor de consument maakt het geen verschil.

Jeroen Terstegge

[21 februari 2002]