Vooral zorgwekkend is de constatering dat Europa het slechter doet dan de Verenigde Staten. Europa mag dan een strengere wetgeving kennen dan de VS, vooral de grote Amerikaanse websites hebben een beter privacybeleid dan hun Europese concurrenten. Amerikaanse sites hebben meestal wel een privacyverklaring die makkelijk te vinden is, en bedrijven vragen vaker toestemming om gegevens door te verkopen. Volgens de Consumentenbond ligt de oorzaak van het verschil in de magere controle op de naleving van regels in Europa en de claimcultuur in Amerika. Daarnaast zijn in de Verenigde Staten fanatieke privacygroeperingen die zich sterk maken voor consumentenbelangen.

De slechte Europese situatie betekent een grote slag voor het toch al omstreden Safe Harbor-accoord, de gedragscode voor Amerikaanse bedrijven die zaken doen met Europa. Onlangs bleek dat slechts twaalf Amerikaanse bedrijven zich wilden conformeren aan deze richtlijnen, die in november vorig jaar van kracht zijn geworden na jaren van moeizaam overleg. Nu blijkt dat Europese websites nog slordiger omgaan metpersoonsgegevens dan in de Verenigde Staten, zullen nog maar weinig Amerikaanse sites het belang van Safe Harbor onderkennen.

Nederlandse zelfregulering

Tegelijk met de presentatie van het onderzoek van Consumers International heeft de Nederlandse Consumentenbond nieuwe privacyrichtlijnen voor internetaanbieders, webwinkels en andere websites bekend gemaakt:

• Websites mogen alleen gegevens vragen die noodzakelijk zijn voor een transactie of registratie. Uitgebreide vragenlijsten zijn niet meer toegestaan.
• Consumenten zijn baas over hun eigen gegevens. Ze moeten die op de site kunnen inzien, verbeteren en eventueel verwijderen.
• Consumenten moeten expliciet toestemming geven voor het doorverkopen van hun gegevens aan derden of voor het toezenden van e-mail.
• Websites dienen voorzien te zijn van een heldere privacyverklaring.

Medio vorig jaar bleek uit het onderzoek Klant in het web van de Registratiekamer dat veel internetaanbieders het niet zo nauw namen met de privacywetgeving. De providers kregen drie maanden de tijd om hun leven te beteren. Vervolgens hebben Consumentenbond en de Nederlandse Vereniging van Internetproviders (NLIP) een werkgroep opgezet om het privacybeleid in kaart te brengen.

Inmiddels is in grote lijnen overeenstemming bereikt over een convenant tussen Consumentenbond en NLIP, vertegenwoordiger van 90n procent van de Nederlandse providers. De regels zullen naar verwachting komend voorjaar van kracht worden. Alleen de ledenvergadering van de NLIP moet nog akkoord gaan. Daarmee komt een einde aan een geschil tussen de Consumentenbond en enkele gratis providers die persoonsgegevens ongevraagd voor andere doeleinden gebruikten.

De richtlijnen van de Consumentenbond vormen een stap richting zelfregulering. Woordvoerder Ewald van Kouwen tegenover WebWereld: 'Consumenten moeten weer de baas worden over hun eigen gegevens. We leggen de verantwoordelijkheid daarvoor nadrukkelijk bij het bedrijfsleven.' De Consumentenbond heeft VNO/NCW en de Nederlandse Postorderbond verzocht of zij hun klanten willen oproepen zich ook aan de gedragsregels te houden.

Privacywetgeving is daarmee echter nog niet passe. De Consumentenbond ziet een rol voor de Registratiekamer weggelegd om de gedragsregels te controleren en - belangrijker nog - te sanctioneren. Volgens de Wet bescherming persoonsgegevens, de opvolger van de Wet persoonsregistraties, mag deze instantie ook boetes uitdelen. Dat is hard nodig, zo blijkt uit onderzoek van PricewaterhouseCoopers naar het juridische bewustzijn van Europese internetbedrijven. Maar liefst 97 procent maakt zich geen zorgen om de privacykant van e-commerce. Twintig procent heeft hierover nog nooit advies ingewonnen.

Elektronische butler

Ook op de technologie wordt een beroep gedaan in de strijd voor betere privacybescherming. Consumer International wijst in zijn rapport op software om anoniem op internet te surfen. Consumenten krijgen het advies om de internetbrowser zo in te stellen dat zogeheten 'cookies' niet worden geaccepteerd. Het is echter de vraag in hoeverre gebruikers zich bewust zijn van deze mogelijkheden.

Een aantal bedrijven uit Nederland, Belgie, Frankrijk, Italie en Canada proberen technologische hulpmiddelen in te zetten voor een meer structurele oplossing. Deze maand is het project Privacy Incorporated Software Agent (PISA) van start gegaan. Het consortium wil in drie jaar tijd een persoonlijke internetagent bouwen die zelfstandig zoekacties en transacties via internet kan uitvoeren. Dergelijke internetagenten moeten op den duur de huidige conventionele zoekmachines gaan opvolgen.

De Nederlandse participanten zijn de Registratiekamer, TNO, TU Delft en Sentien Machine Research. 'PISA moet het gat dichten dat nu nog bestaat tussen de wetgeving en misbruik van persoonsgegevens op internet', aldus een TNO-woordvoerder in de Staatscourant. 'Wij vertalen met dit project de wet in een werkbaar instrument.' De Europese Commissie draagt de helft van de kosten (3,2 miljoen euro).

De basis van dit systeem wordt gevormd door privacy enhancing technology (PET). Deze technologie maakt het de internetagent mogelijk om zelfstandig te handelen, maar brengt ook weer nieuwe risico's met zich mee. Internetagenten dragen grote hoeveelheden kwetsbare informatie en persoonsprofielen bij zich om hun werk goed uit te kunnen voeren. PISA heeft hiervoor nog geen oplossingen, maar volstaat met deze bedreigingen in kaart te brengen.