Amerikaans bedrijfsleven heeft blinde vlek voor belang privacy

Europa kent een stringentere regelgeving met betrekking tot privacybescherming dan de rest van de wereld. Om te voorkomen dat die regels via een buitenlandse vestiging c.q. een buitenlands bedrijf omzeild worden, is export van persoonlijke gegevens naar landen met een lager niveau van privacybescherming dan in de Europese Unie uitdrukkelijk verboden. Overigens geldt dat verbod niet voor de gegevens die buitenlandse bedrijven zelf verzamelen als onderdeel van transacties met ingezetenen van de Europese Unie. Deze regelgeving heeft natuurlijk ook consequenties voor Amerikaanse bedrijven. Het is bijvoorbeeld zeer de vraag of klantgegevens van vestigingen in Europa nog wel naar het hoofdkantoor in de Verenigde Staten getransporteerd mogen worden. Als het hoofdkantoor die gegevens op ongeoorloofde manier gebruikt, is de Europese vestiging in ieder geval ook aansprakelijk te stellen. Bovendien kan de Europese Commissie in uitzonderlijke gevallen de overdracht van privacygevoelige gegevens naar landen buiten de EU blokkeren wanneer dat naar alle waarschijnlijkheid grote risico’s oplevert voor de betrokkenen. Safe harbor Amerikaanse bedrijven kunnen zich aan het risico van zo’n maatregel onttrekken door zich te verbinden tot het naleven van de Europese regels. De Europese Commissie heeft daartoe met de Amerikaanse overheid het zogeheten ‘Safe Harbor’-programma opgesteld. Als onderdeel van dat programma kunnen Amerikaanse bedrijven hun privacybeleid en de manier waarop dat gecontroleerd wordt laten registreren door het Amerikaanse ministerie van Handel. Inmiddels hebben nog maar negentig bedrijven zich laten registeren. De bekendste daarvan zijn Hewlett-Packard, Microsoft en The Dun & Bradstreet Company. Andersen heeft in zijn recente onderzoek de Safe Harbor-regels gegroepeerd in zes categorieën. Geen van de 75 onderzochte bedrijven voldoet aan alle categorieën. Slechts twee van de 75 hebben vijf van de zes doorgevoerd. Daartegenover staan acht bedrijven die niet verder komen dan één categorie. Het minst houden de Amerikaanse bedrijven zich aan de verplichting mechanismen in het leven te roepen om naleving van de privacyregels te waarborgen en een klachtenprocedure op te zetten voor personen wier privacy desondanks toch wordt geschonden. Het waarschuwen van consumenten wanneer hun persoonlijke informatie voor andere doeleinden gebruikt wordt dan waarvoor deze verzameld is, doen Amerikaanse bedrijven ook niet graag. Brede weerstand Die uitkomst is niet verwonderlijk. Privacyregulering stuit in Amerika op brede weerstand. Een initiatief om het uitwisselen van persoonlijke gegevens tussen internetbedrijven aan banden te leggen, wordt bijvoorbeeld te vuur en te zwaard bestreden door het Amerikaanse bedrijfsleven. Nieuwe privacyregels voor bedrijven in de gezondheidszorg – een slap aftreksel van de Europese privacyregels – zijn weliswaar in april in werking getreden, maar liggen nog steeds onder vuur van bedrijven en van de achterban van president Bush. En hoewel de stringente Europese regels alleen betrekking hebben op persoonsgebonden gegevens die niet zijn verzameld in het kader van een transactie tussen betrokkene en bedrijf, beklaagt men zich over de kosten en verwerpt men de regels als een inbreuk op de Amerikaanse souvereiniteit en een breidel op de ontwikkeling van e-commerce. Niet iedere Amerikaan is wars van privacymaatregelen. Recent brak bijvoorbeeld directeur Carly Fiorina van Hewlett-Packard een lans voor privacywetgeving. Eerder deed ook Lou Gerstner van IBM dat al. En de gewone Amerikaan denkt er feitelijk hetzelfde over als deze coryfeeën van de Amerikaanse IT-branche, blijkt uit recent onderzoek van Statistical Research. Tweederde van de Amerikaanse websurfers verlaat websites wanneer daarop om persoonlijke gegevens gevraagd wordt, en één op de vijf vult in dergelijke gevallen verzonnen gegevens in. Men heeft dus niet veel vertrouwen in de manier waarop gebruik wordt gemaakt van persoonlijke gegevens die online vrijgegeven worden. En wantrouwen is geen geschikte basis voor zakendoen. Als Amerika echt iets wil doen aan de bevordering van e-commerce, kan het dan ook het beste beginnen met het wegnemen van het wantrouwen bij de Amerikaanse online consument. Bijvoorbeeld door de omgang met persoonlijke gegevens wettelijk te regelen. Dat kan in principe snel geregeld zijn. Een blauwdruk voor een werkbare privacywetgeving is zo verkrijgbaar bij de Europese Commissie.