De grote techbedrijven glippen nu nog te vaak door de mazen van het net. De Europese Commissie neemt de touwtjes strakker in handen en zal GDPR-rechtszaken nauwer opvolgen.
Op 25 mei zal het exact vijf jaar geleden zijn sinds de GDPR-wet in werking trad. De wet heeft als doel om de persoonsgegevens van Europese burgers te beschermen door strenge regels op te leggen aan bedrijven die de gegevens verwerken en burgers meer controlemiddelen te geven over wat met hun data mag gebeuren. Wie de regels aan de laars lapt, riskeert boetes tot vier procent op de totale jaaromzet.
Of de wet na vijf jaar al geslaagd is in die opzet, is voer voor hevige discussie onder privacy-experten. Mensenrechtenorganisaties die strijden voor de privacy van burgers vinden dat de wet niet streng genoeg wordt nageleefd. Her en der worden wel boetes uitgeschreven tegen Google, Meta en co, maar de techreuzen vinden vaak wel een manier om onder sancties uit te komen. En zo veranderen ze uiteindelijk niets aan hun praktijken.
De Europese Commissie wil daar verandering in brengen: op 31 januari kwam het naar buiten met een nieuw voorstel voor de opvolging van GDPR-rechtszaken. Daarbij valt vooral op dat de Commissie zijn neus voortaan overal wil insteken. Wat betekent dat voor de toekomst van GDPR?
Waakhonden aan de leiband
Hoewel de Europese Unie de wettelijke regels van GDPR heeft bepaald, ligt de bevoegdheid voor de handhaving ervan bij de lidstaten. Elke EU-lidstaat heeft een onafhankelijk orgaan dat bevoegd is voor het beschermen van persoonsgegevens. Voor België is dit de Gegevensbeschermingsautoriteit (GBA). Om te bepalen welke nationale autoriteit een uitspraak mag doen in een GDPR-rechtszaak, wordt gekeken naar waar het hoofdkantoor van de beschuldigde gevestigd is.
De Europese Unie liet tot nu toe veel vrijheid aan de lokale autoriteiten om het onderzoek uit te voeren en een correcte strafmaat te bepalen. Met als gevolg dat onderzoeken soms jarenlang aanslepen en uiteindelijk resulteren in een veel te zwakke sanctie. Slechts zeer uitzonderlijk kwam de overkoepelende Europese Data Protection Board tussenbeide, zoals recent nog bij een uitspraak van de Ierse autoriteit tegen Meta rond gepersonaliseerde advertenties.
In de toekomst kunnen we meer inmenging van Europa verwachten. De Europese Commissie eist dat privacy-autoriteiten zes keer per jaar een update geven over hun lopende zaken: welke aanklachten onderzoeken ze, welke gegevens hebben ze daarvoor nodig, welke maatregelen ze plannen te nemen en hoeveel tijd het hele proces in beslag zal nemen. In andere woorden: Europa wil zijn waakhonden strakker aan de leiband houden.
Blik op Ierland
Het wordt niet letterlijk gezegd, maar de nieuwe regels lijken in eerste instantie bedoeld om de Ierse privacywaakhond DPC (Data Protection Commission) beter in de gaten te houden. Ierland heeft in verhouding tot andere lidstaten veel in de pap te brokken als het aankomt op GDPR-handhaving. Veel grote Amerikaanse techbedrijven zoals Google, Meta, Microsoft en Amazon hebben hun Europese hoofdkwartier in Ierland staan, waardoor aanklachten tegen deze bedrijven meestal aan Ierland worden toegewezen.
De Ierse DPC staat echter niet gekend als een strenge badmeester. In eerder vernoemde rechtszaak tegen Meta wilde DPC de aanklachten eigenlijk eerst kwijtschelden, tot onder druk van Europa toch een boete van 390 miljoen euro werd uitgeschreven. In het verleden heeft de Ierse autoriteit al meermaals de verontwaardiging van privacy-activisten uitgelokt. Het voorstel van de Europese Commissie komt niet toevallig voort uit een aanklacht van een Ierse groep.
Achter de laksheid van de Ierse waakhond zitten wellicht economische motieven. De aanwezigheid van de grote techreuzen geeft een enorme boost aan de Ierse IT-sector en de economie in zijn geheel. De Ierse overheid paait de techreuzen dan ook met gunstige belastingtarieven om hun tenten in Dublin op te slaan. Een privacy-autoriteit die aan de lopende band miljoenenboetes oplegt, zou die fiscale gunsten uitwuiven en de techreuzen kunnen wegjagen uit Ierland.
Blaffen en bijten
In zijn huidige vorm boezemt de GDPR de grote techbonzen onvoldoende angst in. Ze weten dat de wet wel heel luid kan blaffen, maar een te broos gebit heeft om ook hard te kunnen bijten. Hervormingen zijn nodig wil de GDPR over vele jaren niet de geschiedenisboeken ingaan als een mislukking, en dat lijkt ook de Europese Commissie nu in te zien. Europa dat het laken meer naar zich toe trekt, kan een eerste stap in de goede richting zijn.
Of we een snelle kentering kunnen verwachten, dat is weer een andere vraag. De Commissie geeft voorlopig nog geen tijdlijn voor wanneer de veranderingen zouden kunnen ingaan. Een sterke hand is meer dan ooit nodig. EU-burgers wachten al jaren tot de GDPR zijn tanden echt laat zien aan de techgiganten die zich blijven verrijken ten koste van hun privacy.
Er zijn bepaalde factoren in het spel die de invoering van het nieuwe systeem kunnen bemoeilijken. Eerst en vooral is er de vage verwoording van de Commissie dat de nieuwe regels gelden voor ‘grootschalige, grensoverschrijdende onderzoeken’. Dit kan leiden tot onenigheid over wanneer de EU zich mag bemoeien en lidstaten zullen ook niet zomaar hun bevoegdheid overhandigen.
Ook bestaat het risico dat de lokale autoriteiten sneller zoeken naar een minnelijke schikking met aangeklaagde bedrijven om niet te hoeven rapporteren. Dat leidt dan wel tot snellere, maar niet per se effectievere handhaving van privacyregels. In ieder geval geeft Europa wel een waarschuwing dat laksheid ten aanzien van GDPR-inbreuken niet langer kan worden getolereerd.