De Amerikaanse internetveiling eBay schendt Europese privacyregels. Bij het verplaatsen van persoonsgegevens van de onlangs overgenomen pan-Europese iBazar Group handelt ze niet volgens de geldende richtlijnen. De schending betreft de wijze van communicatie met de iBazar-leden inzake het overzetten van hun persoonsgegevens van Frankrijk naar Amerika.
[Dit artikel verscheen eerder op Planet Multimedia. Uitleg over het doorplaatsen naar deze site staat hier.]
Woensdag schreef Planet Multimedia in het artikel 'iBazar speels met klantgegevens', dat iBazar Nederland de datamigratie afhandelt via het zogeheten opt-out-principe. Deze handelswijze is, zo blijkt nu, niet conform de Europese richtlijnen betreffende het migreren van persoonsgegevens naar een niet EU-land.
Woordvoerder Van de Klashorst van privacy-waakhond Registratiekamer legt uit: 'Wanneer een database van een organisatie van eigenaar verandert, moet dat ook kenbaar worden gemaakt aan de individuen wiens persoonsgegevens het betreft. Zij moeten geinformeerd worden en moeten aan kunnen geven of ze wel of niet mee willen verhuizen'.
Hij vervolgt: 'Wanneer het een overname betreft binnen de EU mag deze keuze volgens het opt-out-principe worden voorgelegd. Alleen als men expliciet aangeeft niet mee te willen verhuizen, gebeurt dat niet'.
Voor een overname van een database in de EU door een organisatie buiten de Europese Unie gelden andere, strengere regels. Ook in dat geval moeten individuen op de hoogte worden gesteld van de eigendomswisseling van de database. De vraag, echter, om de klantgegevens mee te laten verhuizen moet volgens het opt-in principe plaatsvinden: expliciet om toestemming vragen of het mag van de persoon in kwestie. Alleen als men specifiek aangeeft mee te willen verhuizen, mogen de data worden geexporteerd.
Het Nederlandse filiaal van het in Frankrijk opgerichte iBazar heeft haar (naar eigen zeggen) 400.000 leden reeds geinformeerd via e-mail en een opt-out-optie aangeboden: de gegevens gaan automatisch wel over, tenzij de persoon in kwestie een bericht terugstuurt dat dit niet mag.
Gezien de nationaliteit van de overnemende partij, eBay uit Amerika, is dit niet echt comme il faut.
De Registratiekamer-woordvoerder legt uit dat er een uitzondering op de opt-in-plicht mogelijk is bij een Amerikaanse overname. Als een Amerikaans bedrijf de principes van de zogeheten Safe Harbor-overeenkomst onderschrijft, mag het het opt-out-principe toepassen.
Bellen met eBay
De Safe Harbor-principes zijn door de Europese Commissie erkend. Ze moeten voorkomen dat Europese privacyregels grote belemmeringen vormen in de handel met Amerika. Ze regelen onder meer de overdracht van klantgegevens. Organisaties moeten zeven principes onderschrijven en bij het Amerikaanse Department of Commerce melden, dat ze dat doen. Vervolgens wordt dat via de site van het Department of Commerce wereldkundig gemaakt. Deze lijst is constant actueel. eBay heeft geen Safe Harbor-certificaat en mag dus geen gebruik maken van de uitzonderingsregel.
De redactie van Planet Multimedia legt dit voor aan het Franse hoofdkantoor van iBazar Group. Woordvoerster Esther Ohayon. 'eBay onderschrijft de Safe Harbor-overeenkomst niet, maar ze onderzoekt het wel op dit moment', klinkt het mosterd-na-de-maaltijd-antwoord.
Ohayon doet deze uitspraak na gisterenavond tijdens een conference call met eBay's hoofdkantoor hier specifiek naar gevraagd te hebben. De woordvoerster vervolgt met de mededeling ervan overtuigd te zijn aan alle nationale wetten te voldoen.
Nederland is het eerste land van de zes iBazar-landen dat haar leden een e-mail heeft gestuurd ter informatie van de gegevensoverdracht.
'Mag ik niet zeggen'
'Wat is het Europese beleid? Hanteert u opt-in of opt-out?' Ohayon: 'Dat mag ik niet zeggen, het gaat hier om beleidszaken. We hanteren voor alle zes iBazar-landen een ander tijdschema voor de migratie. Nederland is het eerste land waar de data van migreren'.
Het overzetten van de gegevens van de andere landen naar de databanken van eBay zal plaatsvinden in de komende acht tot twaalf maanden. Het betreft de gegevens van 2,4 miljoen Europeanen, volgens de opgave van iBazar.
'Er is tot nog toe geen klacht in gediend, dus wij doen vooralsnog niets', zegt Van de Klashorst.
Of eBay er bewust voor kiest Europese privacyregels te schenden is niet duidelijk. Als eBay het spel volgens de regels zou spelen, zou de veiling het risico lopen veel klant(nam)en te verliezen. Immers, ze moet leden expliciet vragen om zich aan te melden bij eBay.
In het geval van iBazar Nederland alleen al zou dat kunnen betekenen dat alleen de vaste kern van gebruikers over blijft. Afgelopen woensdag gaf marketing manager Van Nispen aan, dat dat ongeveer 20 procent van het Nederlandse klantentotaal is. Dat zou neerkomen op 80.000 van 400.000.
Europa tegenover Amerika
In samenwerking met de Europese Commissie heeft het Amerikaanse Ministerie van Financien een aantal handelsregels opgesteld. Deze zogeheten 'Safe Harbor agreement' bevat richtlijnen voor Amerikaanse organisaties ter bescherming van persoonsgegevens aan Europese klanten. Deze vloeit voort uit de European Union's Directive on Data Protection, aangenomen in oktober 1998. Deze richtlijn verbiedt het verzenden van persoonlijke gegevens naar niet-Europese landen die niet 'voldoende' databescherming kunnen bieden.
Een dergelijke overeenkomst tussen Europa en Amerika werd halverwege de jaren negentig onvermijdelijk om de handelsbetrekkingen gezond te houden. Immers, Amerika heeft een andere kijk op privacy dan Europa. Amerika heeft (nog) geen federaal privacybeleid en gaat uit van zelfregulering. In Europese landen is het recht op privacy een grondrecht.
Safe Harbor-principes
De Safe Harbor-principes zijn bedoeld om handelsverstoringen op het gebied van privacy zo veel mogelijk te voorkomen. Deze overeenkomst werd uiteindelijk in juli 2000 goedgekeurd door de Europese Unie.
Amerikaanse bedrijven kunnen vrijwillig deelnemen aan het Safe Harbor-programma. Onder de voorwaarde dat zeven handelsprincipes onderschrijven, kunnen ze door het Amerikaanse Department of Commerce worden gecertificeerd.
De overeenkomst is mede tot stand gekomen door de sterke lobby van de Amerikaanse toerisme- en luchtvaartindustrie. In de financiele sector stonden banken en verzekeraars de regeling voor.
'De Europese Commissie denkt dat Safe Harbor een goede overeenkomst is', zei de woordvoerder van Frits Bolkestein in juli 2000. Bolkestein, commissaris voor Europese interne handel, was hoofdverantwoordelijk voor het tot stand komen van de overeenkomst. 'Het is niet realistisch van Amerika te verwachten dat ze haar burgers dezelfde bescherming biedt als wij. Dit is nu een realistische aanpak'.
In de Verenigde Staten stelt eBay zich niet wars op tegen privacyregels. Het bedrijf onderschrijft wel de privacy-richtlijnen van Truste. Truste is een non profit-organisatie die met zijn diensten het vertrouwen en de geloofwaardigheid van internethandel bij consumenten wil bevorderen.
Truste heeft wel het Safe Harbor-certificaat van het Department of Commerce. De organisatie is hiermee in staat haar gebruikers een Webtrader-achtig zegel te verstrekken dat speciaal bedoeld voor handel met de Europese Unie. Bedrijven die een licentieversie 6.0 van Truste hebben, hoeven geen speciaal EU-zegel aan te vragen.
In een mail aan de redactie van Planet Multimedia schrijft eBay in de VS niet te weten welke licentieversie ze momenteel hanteert.
Gepost door erwin op juni 15, 2001 08:19 pm | Rubriek: Algemeen , Europa , Technologie | TrackBack (0)
