Tom Cassauwers maakt voor Apache een stand van zaken op naar aanleiding van vijf jaar GDPR.Met vooral aandacht voor de zogenaamde onestopshop-regel die bepaalt dat nationale toezichthouders verantwoordelijk zijn voor het onderzoeken van overtredingen. Een systeemfout en een dikke cadeau aan de multinationals, zoals Willem Debeuckelaere het stelt. Maar ook met aandacht voor de pogingen om alle achterpoortjes te sluiten. En een conclusie van Jes Ausloos die we volledig onderschrijven. “Wat in de toekomst vooral belangrijk zal blijken, is hoeveel druk er blijft komen van het middenveld rond de GDPR. Er moet voldoende momentum zijn vanuit de civil society. Zij moeten zaken blijven aanbrengen. Ngo’s moeten problemen naar voren blijven schuiven. Als ze dat niet doen, dan zullen techbedrijven hun aanpak nooit veranderen.”
Dit artikel verscheen oorspronkelijk bij Apache.
Lees het origineel: Achterpoortjes van gegevensbescherming
moeten dicht in Europese Unie
De Europese General Data Protection Regulation (GDPR) bevindt zich vijf jaar na de inwerkingtreding in moeilijk vaarwater. Ondanks hoge boetes voor techbedrijven blijkt de handhaving van de gegevensbescherming problematisch. Sommige landen zetten de regels naar hun hand om multinationals uit de wind te zetten. Daar komt de Europese Unie nu eindelijk tegen in het verweer.
De General Data Protection Regulation (GDPR) is zeven jaar geleden (27 april 2016) ondertekend. De verordening standaardiseert de regels voor de verwerking van persoonsgegevens door bedrijven en overheden in de hele Europese Unie. Ze trad vijf jaar geleden, op 25 mei 2018, met veel tromgeroffel in werking.
De verordening moest de online wereld beter reguleren en onze data en privacy beschermen, zeker tegen acties van grote vooral Amerikaanse techbedrijven. Maar de zogenaamde onestopshop leidde tot heel wat controverse. Die regel bepaalt dat nationale toezichthouders verantwoordelijk zijn voor het onderzoeken van overtredingen.
“Dat is een systeemfout, en een dikke cadeau aan de multinationals”, stelt Willem Debeuckelaere. Hij was tot 2019 voorzitter van de Belgische Privacycommissie, in 2018 omgedoopt tot de Gegevensbeschermingsautoriteit. Vandaag is Debeuckelaere gastprofessor aan Universiteit Gent.
“Het is niet moeilijk voor nationale toezichthouders om streng op te treden tegen kleinere overtreders van de GDPR. Maar wanneer het gaat over de grote, internationale spelers, dan blijkt dat plots moeilijker. De kleinere bedrijven zien dat de grote jongens gewoon verder doen, en dat ondergraaft het systeem.”
Valsspeler Ierland
Dat de lidstaten verantwoordelijk zijn voor het handhaven van de GDPR is een al langer bekend probleem. Het laat landen toe om de wet minder streng dan nodig te interpreteren, en zo cadeaus te geven aan bedrijven die op hun grondgebied gevestigd zijn.
“Het is een doelbewuste beslissing geweest om van de nationale toezichthouder de eerste toezichthouder te maken”, stelt Debeuckelaere. “Dat is te verdedigen vanuit het subsidiariteitsprincipe wanneer het gaat over landelijke kwesties. Maar het is pure onzin wanneer het gaat over een speler waar praktisch elke lidstaat mee gemoeid is, zoals grote dataverwerkers als Meta en Alphabet.”
Ierland herbergt de Europese hoofdkwartieren van grote Amerikaanse techbedrijven zoals Meta (het bedrijf achter Facebook, maar ook WhatsApp en Instagram) en Alphabet (het bedrijf achter Google en YouTube). Oorspronkelijk vestigden zij zich in Ierland voor de lage belastingen. Maar sinds de introductie van de GDPR bouwde de Ierse data-autoriteit Data Protection Commission (DPC) een reputatie op dat ze Amerikaanse techspelers niet streng vervolgt of zaken gewoonweg niet onderzoekt.
Johnny Ryan van de ngo Irish Council for Civil Liberties is kritisch voor die situatie. Als voorbeeld haalt hij een zaak tegen Meta aan. “Bij de Ierse data-autoriteit werd een klacht ingediend tegen Meta. In die zaak werd de vraag gesteld wat WhatsApp doet met erg sensitieve data, zoals die van je seksuele oriëntatie of religie. De Ierse autoriteit weigerde om die vraag te onderzoeken.”
Minnelijke schikking
“De European Data Protection Board (EDPB), de Europese raad van nationale data-autoriteiten, heeft vervolgens de Ierse autoriteit gedwongen om die vraag toch te onderzoeken. Maar in plaats van dat te doen heeft de Ierse autoriteit een rechtszaak aangespannen tegen de EDPB. Dit is echt een surreële situatie. De Ierse autoriteit spant nu rechtszaken aan tegen haar Europese tegenhangers om toch maar niet haar werk te moeten doen.”
Daarnaast vond de Ierse data-autoriteit een achterpoortje in de GDPR-wetgeving. Zo is er in de wet sprake van een amicable solution tussen twee partijen. Als een klacht ingediend wordt tegen een overtreder van de GDPR, dan kan de toezichthouder proberen om te bemiddelen en tot een minnelijke schikking te komen. Dat zorgt ervoor dat de indiener van de klacht sneller een compensatie krijgt.
“Ierland is het enige land in heel de Europese Unie dat dit mechanisme van de GDPR routinematig hanteert”, stelt Ryan. “Geen enkel ander land gebruikt deze procedure zoals Ierland dat doet. Spijtig genoeg betekent dit ook dat er niets structureels moet veranderen bij overtreders.”
Dat heeft gevolgen tot in België. Zo is er de Facebook-zaak uit 2015, die dateert van voor de introductie van de GDPR. Dat jaar bleek dat het socialemediaplatform ook niet-gebruikers online in de gaten hield, waarvoor de Belgische Privacycommissie een dwangsom oplegde. Na de introductie van de GDPR in 2018 werd die zaak doorverwezen naar Ierland.
Nieuwe regels
“De Ierse autoriteit heeft niets gedaan met die zaak, terwijl ze dat eigenlijk wel hadden moeten doen”, stelt Debeuckelaere. “Het ging om een flagrante schending van de regels, waarbij Facebook leden én niet-leden volgde. De vraag is natuurlijk of de Belgische toezichthouder wel voldoende op tafel heeft geklopt. Dat is een andere kwestie. Maar toch is het naar mijn gevoel wraakroepend dat een toezichthouder dat gewoon laat gebeuren.”
Het probleem bestaat niet enkel in Ierland. “Het Ierse probleem heeft een groter belang, want de grote techbedrijven hebben er hun hoofdkwartier”, stelt Ryan. “Maar andere landen zoals Luxemburg, dat het Europese hoofdkwartier van Amazon huisvest, hebben ook problemen.”
Vanuit Brussel lijkt er nu actie te komen. In de zomer van dit jaar wil de Europese Unie nieuwe regels aannemen om de procedures rond grensoverschrijdende zaken eenvoudiger te maken. Ook begint de EDPB steeds actiever mee te kijken of de nationale autoriteiten de regels wel correct implementeren.
“Als de andere toezichthouders over de schouder meekijken, dan kunnen de Ierse autoriteiten bepaalde klachten niet meer te mild beoordelen”, stelt Els Kindt van Centre for IT and IP Law (CiTiP) van KU Leuven. “Er wordt stilaan een nieuwe weg ingeslagen, die volgens mij wel kan werken.”
Imago van Didier Reynders
Na een beslissing van de Europese ombudsman stelde de Europese Commissie eerder dit jaar dat ze grote onderzoeken van nationale autoriteiten beter onder de loep ging nemen. De Ierse data-autoriteit heeft eind vorig jaar, mogelijk onder externe druk, enkele grotere boetes opgelegd aan Amerikaanse techbedrijven.
Wat deze acties mogelijk drijft, is dat de vijfde verjaardag van de inwerkingtreding van de GDPR eraan komt. Die symbolische datum is moeilijker te verkroppen als er grote achterpoortjes in de wet bestaan. Tegelijk loopt de ambtstermijn van Eurocommissaris voor Justitie Didier Reynders (MR) bijna ten einde. Hij wil wat graag een solide GDPR-situatie achterlaten.
“Het is na vijf jaar duidelijk dat de GDPR niet werkt zoals zou moeten”, stelt Ryan. “Het is bovendien best mogelijk dat Reynders denkt dat dit zijn imago in de toekomst kan kleuren. Ik vermoed dat de persoonlijke dimensie zeker ook een rol speelt. Een belangrijk politiek figuur zoals Reynders kan geen globale mislukking, wat de GDPR nu toch is, op zijn conto hebben.”
Het middenveld zet ondertussen al enkele jaren druk op de Europese Commissie. Iets dat nu zijn vruchten lijkt af te werpen. “Veel zaken lopen in Ierland vast”, stelt Jef Ausloos van de Universiteit van Amsterdam. “Daar kwam enorm veel kritiek op van beleidsmakers, academici en civil society. Dat heeft blijkbaar voldoende momentum gecreëerd om er nu eindelijk iets aan te doen.”
Heft in eigen handen
“De European Data Protection Supervisor, de Europese data-autoriteit, staat vandaag onder leiding van Wojciech Wiewiórowski, een man die sterke banden heeft met het middenveld. Hij lobbyt hard binnen de Commissie voor een betere uitvoering van de GDPR. De nieuwe regels worden deels door hem gestuwd.”
Voorts namen lidstaten recentelijk het heft in eigen handen. “De frustratie leidt ertoe dat de Franse autoriteit een achterpoortje vond om toch gigantische boetes op te leggen”, stelt Ausloos. “Zij gebruikten een andere, oudere richtlijn om Alphabet en Meta te vervolgen.”
“Die richtlijn laat lidstaten toe om zelf actie te ondernemen als het over cookies of gelijkaardige technieken gaat. Soms leidt dat wel tot zaken waarvan het duidelijk is dat de cookies erbij zijn gesleurd enkel en alleen om de lokale autoriteit bevoegd te maken. Maar voorlopig lijkt die Franse aanpak te werken.”
Maar is de GDPR echt wel zo’n mislukking? Nieuws over zware boetes voor grote techbedrijven duiken elke paar maanden wel op en de Ierse data-autoriteit schreef vorig jaar meer dan 600 miljoen euro aan boetes uit tegen Amerikaanse techbedrijven.
Schone schijn
Volgens Ryan is dat vooral schone schijn. “Er zijn inderdaad grote boetes uitgeschreven. Maar meestal kunnen de bedrijven ertegen in beroep gaan. De grote techbedrijven hebben de boetes meestal nog niet moeten betalen.”
“Ook is het belangrijk om te beseffen dat enkel boetes niet zoveel uitmaken. Als ik 10 euro per uur verdien door hotdogs te verkopen terwijl ik fout geparkeerd sta, maar ik moet daarvoor slechts 1 euro per uur boete betalen, dan blijf ik gewoon fout parkeren. Boetes veranderen niet noodzakelijk hoe een bedrijf werkt.”
Tegelijk zie je vandaag hevige activiteit in Brussel rond nieuwe digitale wetten, zoals de Digital Services Act, de AI Act en de Digital Markets Act. Dat er nu zoveel aandacht gaat naar de nieuwe wetten is een teken aan de wand volgens Ausloos. “Er komen nieuwe regels aan, die een enorme impact zullen hebben voor onder meer sociale media en zoekmachines.”
“De techbedrijven lobbyen vandaag vooral rond de nieuwe wetten, want daar kunnen ze een grotere impact hebben. Tegelijk kan je je afvragen of al die nieuwe wetten er niet deels komen om de mislukkingen van de GDPR op te vullen.”
Wat volgens Ausloos in de toekomst vooral belangrijk zal blijken, is hoeveel druk er blijft komen van het middenveld rond de GDPR. “Er moet voldoende momentum zijn vanuit de civil society. Zij moeten zaken blijven aanbrengen. Ngo’s moeten problemen naar voren blijven schuiven. Als ze dat niet doen, dan zullen techbedrijven hun aanpak nooit veranderen.”
Dit artikel verscheen oorspronkelijk bij Apache. Lees het origineel:
Achterpoortjes van gegevensbescherming moeten dicht in Europese Unie