Data en ai

Gouden standaard

Het verschil tussen de beste privacy­bescherming in de wereld en een papieren tijger is wel of geen handhaving. Zonder handhaving kan je de meest fantastische wetten aannemen zonder dat ze doen waar ze voor bedoeld zijn. Goed voorbeeld daarvan is de GDPR/AVG.

Sophie in ’t Veld is lid van het Europees Parlement voor D66

Deze Europese privacywet is sinds 2018 van kracht en wordt gezien als de beste in z’n soort. Een wet met duidelijke rechten en plichten voor bedrijven, overheden en consumenten. De nieuwe gouden standaard voor gegevensbescherming. Althans, vooral op papier.
Want als het op handhaving aankomt is er nog veel te bereiken. Binnen de EU wordt er een lachwekkend kleine hoeveelheid geld uitgegeven aan het handhaven van die gouden standaard. De omzet van Facebook in Europa van ongeveer 8 dagen, is gelijk aan het jaarlijkse budget van de Nederlandse Autoriteit Persoonsgegevens en al haar equivalenten in de EU-lidstaten. Bij elkaar opgeteld.

Een ongelijke strijd. De autoriteiten die persoonsgegevens moeten beschermen staat het water aan de lippen. Op hun bureaus een onoverzichtelijke berg zaken die blijven liggen. Daartegenover staat een handvol techreuzen met ieder een leger aan topadvocaten om onderzoeken te dwarsbomen en eindeloos in beroep te gaan tegen boetes. De slecht uitgeruste privacy­waakhonden kunnen daar nauwelijks tegenop; onderbemenst en ondergefinancierd. Geen wonder dat we weinig concrete veranderingen zien bij de techreuzen om zich te houden aan de nieuwe wet!

Waar gaat dit verkeerd? Op twee vlakken. Nationale overheden zijn verplicht om voldoende financiële middelen beschikbaar te stellen voor de autoriteiten die de AVG moeten handhaven, maar verzaken en masse. Dan dient vervolgens de Europese Commissie de lidstaten hierover op de vingers te tikken. Helaas verzuimt de Commissie net zo erg uit angst voor “waar bemoei je je mee”-reacties. Een kortzichtige instelling, want ze ondergraven hiermee een succesverhaal dat goed afstraalt op de EU en de Europese Commissie zelf; die gouden standaard voor privacybescherming. In plaats daarvan gaan privacyschendingen en datalekken ongestraft door.

Opvallend genoeg is het een stuk beter gesteld met de handhaving op een plek die we niet associëren met goede privacybescherming: de VS. Het land kent op papier een greintje van de privacy­bescherming die we in Europa hebben, en burgers worden op grote schaal door bedrijven en overheid getrackt. Maar de Amerikanen weten wel hoe handhaving werkt: mediaconcern POLITICO berekende dat er sinds de komst van de GDPR in Europa voor 329 miljoen dollar aan privacyboetes is uitgedeeld, terwijl Amerikaanse waakhonden in diezelfde periode voor 6 miljard aan boetes uitdeelden. Die handhaving betaalt zichzelf zowat.

De EU moet boter bij de vis doen. Momenteel wordt Parmezaanse kaas met een origine-aanduiding beter beschermd dan persoonsgegevens. Het probleem van gebrekkige handhaving is breder dan alleen privacybescherming. De rode draad is dat Europa zijn status als supermacht op het gebied van regelgeving en steeds hogere standaarden ondermijnt door slecht te handhaven. Daar gaan we een prijs voor betalen. Die is hoger dan dat het zou kosten om privacyregels goed te handhaven.

  • Rex Toornvliet | 12 mei 2021, 14:16

    Beste mevrouw In ‘t Veld,

    Krachtig hoe u schetst dat de huidige AP’s een verloren strijd voeren. Herkenbaar. Minder krachtig om naar de VS te verwijzen: de beboete bedrijven hebben bijna allemaal met een grote glimlach betaald want slechts een gloeiende druppel op hun winstmodel.

    Vind u het niet vreemd dat privacy als een grondrecht wordt gezien, maar tegelijkertijd wél als een verhandelbaar goed waarbij de rechtenhouder niet betrokken hoeft te zijn? Als dat ook zo zou zijn met mijn veiligheid en vrijheid van meningsuiting, dan verwacht ik binnenkort een brief van een Frans defensieconcern dat ze het Nederlandse leger hebben overgenomen en van nu af aan gratis voor mijn veiligheid zullen zorgen. Als ik maar wel Frans leer spreken. Gelukkig kan ik dat al vrij goed.

    Waar blijft het besef dat u en uw collega’s het hebben toegestaan dat mijn identiteit buiten mijn recht om verhandelbaar is geworden? Geen verwijt, maar wel een verzoek om een fundamentele herziening van het privacy-paradigma. IK ben eigenaar van AL MIJN gegevens die een ander wil hebben. Nogmaals, dit is voor het bedrijfsleven en politiek wel radicaal, maar ik ben ook eigenaar van alle meningen die ik heb en uitspreek. En ik ben eigenaar (via stemrecht) van de overheid die mijn veiligheid waarborgt. Maar ik ben geen eigenaar van mijn digitale identiteit (in de breedste zin).

    Net zoals de overheid een leger in stand houdt om mijn veiligheid te waarborgen, moet de overheid een digitale infrastructuur inrichten die mijn digitale identiteit borgt bij degene die die volgens de grondwet de rechtenhouder van is. De technologie is er (zoals blockchain en cloud), het besef nog niet, laat staan de wil. Want…… u als neo-liberaal zal het wel lastig vinden dat de overheid weer iets moet doen. Ik ben ook neo-liberaal en weet al sinds de eerste economieles van mijn neo-liberale professoren (die overigens nu in Brussel hun geld verdienen) dat het borgen van grondrechten niet aan de markt moet worden overgelaten. Iets wat de GDPR wél doet omdat de overheid alleen maar fungeert als toezichthouder. Stelt u eens voor: de overheid maakt wetgeving dat ieder bedrijf iets moet doen om onze nationale veiligheid te beschermen en zal alleen daarop toezicht uitoefenen door 200 juristen in een kantoortoren in Den Haag die taak te geven.

    Dus: stop met een Europese cloud en maak een GDPR2 met ook een digitale infrastructuur waar de burger eigenaar is en blijft van zijn data.

Plaats een reactie

U moet ingelogd zijn om een reactie te kunnen plaatsen.
Registreren