Opdringerige datahonger nauwelijks beboet

Twee jaar na de invoering van de Algemene Verordening Gegevensbescherming (AVG) was er weinig te merken van de handhaving van de veelbelovende Europese privacywetgeving die een einde zou maken aan het massale dataverzamelen van internetreuzen als Google en Facebook.

Door Adam Satariano, 28 mei 2020.

Het Europese hoofdkantoor van Facebook in Dublin. In Ierland zijn ook Apple, Google, Linkedin en Twitter gevestigd. – © Jason Alden / Bloomberg / Getty

Toen Europa bijna twee jaar geleden de strengste wetgeving over online privacy ter wereld invoerde, werd dat toegejuicht als een voorbeeld van hoe je de opdringerige datahonger van de grote technologiebedrijven moet aanpakken. Maar de nieuwe regelgeving maakt haar belofte nog niet echt waar. De Algemene Verordening Gegevensbescherming ( AVG) stelt grenzen aan de mate waarin bedrijven de persoonsgegevens van gebruikers mogen verzamelen en delen zonder hun toestemming. Dankzij de AVG kunnen overheden een bedrijf dwingen zijn privacybeleid te veranderen en kunnen ze boetes opleggen tot 4 procent van de omzet.

De wet diende als model voor nieuwe regelgeving in landen als Brazilië, Japan en India. Maar sinds de verordening in mei 2018 van kracht werd, is er nog maar één internetreus bestraft: Google, dat een boete kreeg van 50 miljoen euro, ofwel zo’n 10 procent van zijn dagelijkse omzet. Tegen Facebook, Amazon en Twitter zijn nog geen grote boetes of strafmaatregelen aangekondigd.

Linkedin in Dublin. Door de aanwezigheid van vele techreuzen voert Ierland de meeste AVGonderzoeken uit van Europa. © Niall Carson / PA / Getty

Dat povere resultaat leidt tot spanningen tussen Europese landen, waarvan sommige aandringen op meer daadkracht en drastischer verandering. Privacy-activisten en kleinere internetbedrijven klagen dat giganten als Facebook en Google de dans ontspringen. En wat internetgebruikers tot nu toe vooral van de nieuwe regelgeving merken, is dat ze op websites irritant veel pop-ups moeten wegklikken om toestemming voor cookies te geven. Volgens Johnny Ryan, een vooraanstaand pleitbezorger van betere privacywetgeving, ondermijnen de uitvoeringsproblemen bij de Europese wetgeving het streven naar strengere regelgeving elders in de wereld. ‘Zonder stevige handhaving en investeringen blijft deze wet een luchtkasteel,’ zegt Ryan, een van de directeuren van Brave, een browser die gebruikers extra bescherming biedt tegen dataverzamelaars en adverteerders. ‘Het potentieel van de AVG wordt nog niet benut.’

Kinderziektes

Voorstanders van de AVG erkennen wel dat de uitvoering met kinderziektes kampt en de onderzoeken langer duren omdat er nieuwe procedures worden opgezet. Maar volgens hen is het te vroeg om nu al verregaande conclusies te trekken. De verordening heeft het bewustzijn over de privacyproblematiek verhoogd en veel bedrijven, waaronder Facebook en Google, tot stappen gedwongen om aan de nieuwe regels te voldoen. Californië heeft een vergelijkbare privacywet aangenomen. Vooral in de komende maanden zal de AVG zich moeten bewijzen, menen voorstanders: dan wordt een hele reeks uitspraken rond grote internetbedrijven verwacht. Eerst zal naar verwachting Twitter een boete krijgen opgelegd vanwege datalekken in Ierland. Facebook-dochter Whatsapp staat mogelijk een straf te wachten voor het delen van data met andere Facebook-diensten.

‘De AVG is een langetermijnproject,’ zegt Eduardo Ustaran, hoofd van de praktijkgroep privacyrecht bij Hogan Lovells, een internationaal advocatenkantoor in Londen dat veel grote bedrijven bijstaat. ‘Wat er de afgelopen jaren is gebeurd, zegt nog bijna niets over het mogelijke succes van dit project.’ Facebook heeft in een verklaring laten weten dat het de principes van de Europese AVG onderschrijft en zich op grond daarvan al aangespoord heeft gevoeld tot de invoering van een ‘duidelijker beleid, beter vindbare privacy-instellingen en betere instrumenten om de eigen persoonsgegevens te kunnen inzien, downloaden en verwijderen’.

Voor zover er al straffen aan bedrijven zijn opgelegd, duurde het volgens critici te lang voordat die uitspraak er lag, zodat instanties achter de feiten aan dreigen te hollen. Door de beroepsmogelijkheden kunnen de verschillende procedures nog jarenlang aanslepen. En omdat de financiële middelen van de autoriteiten beperkt zijn, zijn zij volgens critici geneigd heel behoedzaam te opereren en al te complexe zaken links te laten liggen. Daar komt nu het probleem nog bij van de coronapandemie, die het debat over telefoonapps en andere technologie een heel andere wending heeft gegeven. Technieken die in Europa eerst als onwenselijk werden gezien, zoals het verzamelen van locatie- en gezondheidsdata, maken nu ineens deel uit van de plannen waarmee overheden het virus hopen in te dammen. De AVG biedt ‘wettelijke gronden voor het zonder toestemming verwerken van individuele persoonsgegevens door werkgevers en bevoegde gezondheidsinstanties in het kader van epidemieën’, zo heette het onlangs in een verklaring van het Europees Comité voor Gegevensbescherming, dat de handhaving van de regelgeving in de verschillende landen coördineert. Een evaluatie van de AVG door de Europese Commissie is vanwege het virus uitgesteld tot juni.

Uit irritatie over het gebrek aan voortgang heeft Johnny Ryan zich enkele weken verdiept in de begrotingen en personeelsbestanden van 28 Europese landen. Ryan, die in Ierland woont en bij de toezichthouder aldaar een klacht heeft ingediend tegen de gerichte reclametactieken van Google, constateerde dat slechts in drie landen (Duitsland, Groot-Brittannië en Italië) de privacywaakhond een budget heeft van meer dan 25 miljoen euro. Hij stelde vast dat de meeste landen niet meer dan een handjevol deskundige onderzoekers hebben om zich over privacyschendingen in de technologiesector te buigen. Hij gaat nu een klacht bij de EU indienen om maatregelen te eisen tegen landen die hun toezichthoudende instantie niet voldoende financiële middelen geven.

Ontoereikende middelen

De toezichthouders zelf erkennen het probleem en vragen ook om meer geld. In een enquête onder deze instanties in Europese landen gaven 21 van de 30 te kennen dat de ‘middelen niet toereikend zijn’ om hun taken te kunnen vervullen. ‘Het ontbreekt aan handhaving,’ zegt Ulrich Kelber, het hoofd van de Duitse toezichthouder, die van al zijn Europese collega’s het grootste budget heeft: zo’n 85 miljoen euro als je de begrotingen van alle afzonderlijke instanties in de bondsstaten meerekent. ‘De meeste Europese regeringen geven hun toezichthouder niet genoeg middelen.’ Hij pleit voor een gecentraliseerde aanpak, waarbij landen de krachten bundelen en samenwerken aan onderzoek naar de grootste bedrijven. De verantwoordelijkheid voor het toezicht op een bedrijf ligt op dit moment bij de regering van het land waar dat bedrijf zijn Europese hoofdkantoor heeft.

Centraal in dit debat staat Ierland, dat een onevenredig grote rol in de handhaving van de AVG speelt doordat Apple, Facebook, Google, Linkedin en Twitter daar allemaal gevestigd zijn.

Volgens Brave voert het land meer onderzoeken uit dan enig ander Europees land: 127 in totaal. Toch heeft het in bijna twee jaar tijd nog niet één boete opgelegd. De Ierse privacywaakhond staat met een begroting van 16,9 miljoen zesde op de Europese ranglijst.

De toezichthouder vroeg de regering vorig jaar om een verhoging van het budget met 5,9 miljoen. Het werd een derde van dat bedrag. Helen Dixon, hoofd van de Ierse toezichthouder, klaagt wel over de financiële beperkingen, maar ze verdedigt het werk van haar organisatie. Die heeft nu 140 mensen in dienst, tegen 27 in 2017. Als rapportcijfer verdient Ierland volgens haar ‘een negen voor vlijt’ en een ‘zesje of zeventje voor behaald resultaat’. Volgens Dixon zitten er uitspraken aan te komen over Twitter, Facebook en andere bedrijven. Maar ze zegt ook dat haar organisatie kampt met een stortvloed aan klachten van activisten zoals Johnny Ryan, die diepgaand en arbeidsintensief onderzoek vergen naar complete sectoren, zoals de digitale reclamemarkt. De toezichthouders zijn bij wet verplicht om met elke ingediende klacht iets te doen – en dat zijn er alleen in Ierland al twaalfduizend sinds 2018. Bedrijven als Facebook hebben een massa procedurele vragen ingediend, die eerst moeten worden beantwoord voordat een zaak verder kan worden behandeld, zegt Dixon. Google hield toezichthouders aan het lijntje door niet meteen te zeggen waar het zijn Europese hoofdkantoor zou vestigen.

Volgens Dixon zijn veel mensen er ten onrechte van uitgegaan dat de AVG snel een eind zou maken aan het verzamelen van persoonsgegevens door grote internetbedrijven. ‘Er zullen wel boetes worden opgelegd, dat lijdt geen twijfel,’ zegt ze, maar de verordening is niet bedoeld ‘om het op te nemen tegen een complete sector’. De toezichthouders hebben volgens Dixon ook andere middelen om iets te bereiken. Ze legt uit dat Facebook de introductie van zijn datingapp even heeft opgeschort toen de Ierse autoriteiten kritische vragen stelden over de daarin gebruikte persoonsgegevens. ‘Er zijn allerlei manieren waarop je positieve invloed kunt uitoefenen,’ zegt ze. ‘Het draait niet alleen om de boetes en het oppervlakkige commentaar dat je soms ziet.

Bron: NY Times via 360 Magazine.

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit /  Bijwerken )

Google photo

Je reageert onder je Google account. Log uit /  Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit /  Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit /  Bijwerken )

Verbinden met %s

Deze site gebruikt Akismet om spam te bestrijden. Ontdek hoe de data van je reactie verwerkt wordt.