De handhaving van de databescherming onder de AVG werd een walhalla voor privacy-advocaten en een grote last voor bedrijven, vooral mkb. Brussel en toezichthouders leggen Amerikaanse bedrijven ongefundeerd hoge boetes op. Nieuwe wetgeving zoals DSA, DMA en vooral AI Act vergroten de lasten. Maar het gigantische probleem van onze afhankelijkheid van platforms wordt er niet mee opgelost.
‘Toestemmingsmoe’
In mei 2018 trad de Algemene Verordening Gegevensbescherming (AVG) in werking met als doel de databescherming van Europese burgers te waarborgen. Spoedig werd dit ‘privacywet’ genoemd, ofschoon het woord niet eens wordt genoemd in de AVG. Samengevat zijn er drie euvels:
Bedenkelijke macht van toezichthouders
Het streven om persoonsgegevens van Europese burgers beter te beschermen was zo’n tien jaar geleden een lovenswaardig streven. Echter, al voor de invoering van de AVG een speelbal van de politiek. Geen enkel Europees wetsvoorstel kreeg met zoveel amendementen te maken, een gevolg van krachtige lobby’s van aan de ene kant privacyvoorvechters en aan de ander kant het bedrijfsleven. En bovendien van groepen zoals medische onderzoekers die de AVG vreesden als belemmering, niet onterecht. Saillant: met de AI Act zie je dat de geschiedenis zich herhaalt, uiteindelijk onder druk grote lobby van bigtech amendementen op met name hoog risico
Toonden toezichthouders aanvankelijk mildheid in de handhaving van de AVG, ze is uitgebreid en allengs strenger uitgelegd door de gezamenlijke toezichthouders, de European Data Protection Board (EDPB). In feite buiten democratische besluitvorming om, voor bezwaren moet je naar de rechter met jarenlange procedures tot gevolg.
De Nederlandse chef-toezichthouder Wolfsen vindt zich boven de wet staan, maar mist de intelligentie om een goed debat te voeren over de balans tussen verschillende grondrechten; en rijdt met regelmaat een scheve schaats met zijn uitingen in parlement en media.
Big Tech als kassa
Aan de andere kant geboden diezelfde toezichthouders en de Europese Commissie Big Tech aan de kassa met toenemende boetebedragen. Miljarden vlogen je om de oren. De AVG is een politiek 'wapen' van de Europese Unie, gericht op het indammen van de concurrentiemacht van Meta, Google, Amazon en TikTok. Veel medelijden hoeven we natuurlijk met deze giganten en hun aandeelhouders niet te hebben. Maar je mag niettemin vraagtekens zetten bij de mooie ronde boetes met heel veel nullen, zonder een deugdelijke onderbouwing van de omvang ervan? Daar profiteren de 500 miljoen Europeanen financieel van, maar in hoeverre is hun ‘privacy’ verbeterd?
We leerden dat onze persoonsgegevens een geldelijke waarde hebben, letterlijk bij Meta dat voor Facebook en Instagram de keuze biedt om een abonnement te nemen of datagraaien te accepteren. Gezien de hoge prijs kiest vrijwel iedereen voor het laatste. Genoemde EDPB heeft dit 'pay or okay' afgekeurd. Hopelijk betekent dit niet het einde van het debat.
Adviesparadijs ten koste van mkb
De introductie van de AVG heeft de grote advocaten en adviesbedrijven geen windeieren gelegd, en in hun kielzog zijn kleinere kantoren met een specialisatie in privacy de afgelopen jaren tot miljoenenbedrijven uitgegroeid. Dit adviesparadijs bereikt een climax met de over elkaar buitelende massaclaims. De oplopende facturen worden automatisch overgemaakt door gehaaide investeerders die een gokje wagen op een lucratieve uitkomst. Je kunt op je vingers natellen dat met de AI Act hetzelfde dreigt: een ‘consultancy & lawyers paradise’. Mag je dit pervers noemen?
Van de inflatie die gepaard gaat met de tarieven voor AVG-advies is het mkb het haasje. Juristen gespecialiseerd in databescherming hadden het aanvankelijk te druk om het mkb bij te staan, vervolgens mocht dit hoge bedragen neertellen. De invloed van de AVG op het mkb is te ver gegaan, en de noodzakelijke databescherming van burgers is er niet wezenlijk mee verbeterd.
Het is cruciaal om een wettelijke grondslag te formuleren voor het verwerken van persoonsgegevens en daar transparant over te zijn, maar het papierwerk en de bureaucratie zijn overdreven. Het is voor bedrijven onmogelijk om 100 procent aan alle AVG-vereisten te voldoen.
Kleine incidenten, zoals het verzenden van e-mail naar de verkeerde ontvanger, vormen al een verplicht te registreren ‘datalek’. Waar natuurlijk in de praktijk geen fluit van terecht komt. Andere vereisten, zoals de verplichte functionaris voor gegevensbescherming (DPO of FG) en het formuleren van privacybeleid, kosten veel geld. Uiteindelijk betalen consumenten een hoge rekening voor de eigen privacybescherming in prijzen van producten. Was dit de bedoeling van de AVG?
Privacy moet een hygiënefactor zijn en geen 'vervelende' verplichting. In sommige gevallen zoals met het Franse reclamebedrijf Criteo - dat voor onder meer Bol.com werkte - blijkt een harde aanpak effectief. Echter, de kwalijke cookiehandel werd juist jarenlang niet aangepakt vanwege complexe regels van de AVG en ePrivacy, die de trukendozen van reclamebedrijven in de kaart speelden. En hoe de EU omgaat met aanpassen e-privacy regels is echt een farce.
Nieuwe wetten, en nu?
Net als de AVG destijds worden nu de nieuwe wetten DSA, DMA en AI Act omarmd als machtige wapens om megaplatforms te beteugelen. In de DSA en DMA worden de namen van de aan te pakken bedrijven, vrijwel alle Amerikaans, al genoemd.
De uitvoering van de AI Act is een grote uitdaging, vooral het definiëren van kunstmatige intelligentie en het classificeren van AI-systemen in risicogroepen. Advocatenkantoren en consultants stellen zich al in het gelid op voor een nieuwe golf van lucratieve opdrachten om te komen tot formuleringen om aan de vereisten te ontkomen. En zo niet, dan staan er auditors klaar om alles te controleren.
We zien eerst een wedstrijdje verplassen op X tussen EU-commissaris Breton en X-eigenaar Elon Musk, een trieste vertoning. Breton c.s. zullen Musk c.s. nog hogere boetes opleggen. Worden wij gebruikers daar – behalve financieel – beter van?
In feite functioneert de wetgeving dan, net als de AVG deels, vooral als belasting- en mededingingswetgeving. Overigens hetzelfde laken een pak voor de afgedwongen verkoop van TikTok door het Chinese ByteDance. Hier doen de VS wat ze Europa al jaren verwijten: powerplay onder het mom van privacybescherming. Zal de privacy van Amerikaanse deelnemers aan Tiktok straks veel beter zijn?
Oftewel: Europese wetgeving en toepassing en handhaving lijden onder een goed evenwicht tussen de doelstellingen en de middelen die door de Europese Unie worden ingezet. Maar het echte probleem is nog veel groter: platforms hebben stukje-bij-beetje de macht overgenomen van staten en maatschappelijke instituties, ja, beheersen ons leven.
Persoonlijke een maatschappelijke relaties, het politiek en publiek discours, de mondiale verhoudingen, nagenoeg alle beeldvorming tot ver na onze dood, ons gedrag waaronder besluitvorming en belangrijke keuzes, en weldra de revolutionaire toepassing van kunstmatige intelligentie; we maken ons meer en meer afhankelijk van de machtige platforms.
Tenslotte zijn ze ‘gratis’ en o zo ‘makkelijk’, ze exploiteren onze ondeugden op vrijwel perfecte wijze. Zelfbeheersing delft het onderspit, wetgeving moet dit enorme maatschappelijke probleem maar oplossen en slaagt daar niet in.
Hoe werpen we daar een dam tegen op?
*) Menno Weij is hoofd van de praktijkgroep Tech & Privacy Law bij BDO Legal.
**) Beeld: Zonsondergang van 22 juni 2024. Beeld: Peter Olsthoorn