Meer dan drie jaar hebben de onderhandelingen aangesleept, maar vandaag zijn de Europese ministers van Justitie het op een beraad in Luxemburg eindelijk eens geraakt over een nieuw Europees kader voor de bescherming van persoonlijke gegevens. Er moet in heel Europa één set privacyregels gaan gelden, zodat bedrijven zich niet meer per land hoeven aan te passen.

Webfirma's mogen onder de regels geen persoonsgegevens meer verwerken zonder uitdrukkelijke toestemming van de klant, de burgers krijgen formeel het recht om uitgewist te worden, zodat zij niet meer opduiken in de resultaten van zoekmachines. Ook moeten bedrijven vertellen welke data zij van Europese burgers bezitten, en die data vernietigen als een burger daarom vraagt.

Bedrijven van buiten de Europese Unie kunnen zich straks niet meer beroepen op de wetgeving in het land waar zij hun hoofdkwartier hebben, of waar hun servers staan: wie gegevens van Europese burgers verwerkt moet zich aan de Europese regels houden.

Tegelijkertijd staat het 76 pagina's dikke document dat de Europese Raad bol van de waterige compromissen. Bedrijven mogen de data van hun klanten alleen doorgeven als er een legitiem belang is, maar vervolgens is dat legitieme belang heel breed gedefinieerd. 'Die vage formulering schoffelt de controlemogelijkheden van de burger onderuit', zegt Daphne van der Kroft van privacywaakhond Bits of Freedom. 'In dat opzicht is dit een stap achteruit ten opzichte van de huidige wet bescherming persoonsgegevens.'

Het vandaag gepresenteerde voorstel is nog niet definitief. Eerst moet nog worden overlegd met het Europees Parlement. Het overleg tussen de lidstaten en het Parlement begint later deze maand. De partijen hopen voor het eind van het jaar een akkoord te sluiten.

Alles bij de bronnen; HLN, NU & Volkskrant