Deze column staat in Het Financieele Dagblad van 24 januari 2019. Volg deze link voor mijn eerdere FD columns.
De Oostenrijkse privacy-advocaat Max Schrems strikes again. De luis in de pels van de grote techfirma’s procedeerde na de Snowden-onthullingen al met succes tot aan het Europese Hof van Justitie over ontoereikende privacybescherming van Europeanen in databases van Amerikaanse bedrijven. En op 25 mei jl., de dag dat de nieuwe strenge privacywet AVG in Europa in werking trad, diende Schrems’ stichting None of Your Business bij toezichthouders in vier landen een reeks klachten in over de grote Amerikaanse techbedrijven. Naar aanleiding daarvan slingerde de Franse privacytoezichthouder CNIL afgelopen maandag Google voor €50 mln op de bon. Volgens CNIL ontvangen Franse Androidgebruikers onvoldoende informatie wat Google met hun data doet. Google beschikt volgens de CNIL dan ook niet over een geldige toestemming van die gebruikers om, bijvoorbeeld, advertenties te personaliseren.
De Franse waakhond is op oorlogspad. Het onderzoek is razendsnel uitgevoerd, het concept-besluit plofte vlak voor de feestdagen bij Google op de mat, 15 januari was er een hoorzitting en een week later maakte CNIL het korte, niet altijd even goed onderbouwde besluit wereldkundig. Google ‘bestudeert het besluit en beraadt zich op vervolgstappen’, zoals dat zo mooi heet. Niet zozeer omdat die € 50 mln pijn doet, maar omdat CNIL stelt dat Google via ruim twintig diensten – van Gmail, via Maps en Analytics tot YouTube – onrechtmatig geld verdient. CNIL raakt zo de kern van Google’s miljardenomzet. Na politiek debat sinds 2012 en jarenlange voorbereidingen, is de eerste grote AVG-boete nu een feit. Door de potentieel verstrekkende gevolgen voor online businessmodellen, vormt het besluit de eerste grote testcase voor de handhaving van de strenge Europese privacyregels.
Machtspolitiek
Schrems diende zijn Franse klacht in met La Quadrature du Net, een Franse privacyorganisatie. Samen representeren zij 9974 Franse Androidgebruikers. De AVG laat dit soort groepsacties expliciet toe, net als zelfstandige handhavingsacties van toezichthouders. Tot voor kort deden privacytoezichthouders vrijwel nooit iets met klachten van burgers. Activisten realiseren zich nu dat zij veel meer impact hebben als collectief: zeg als toezichthouder maar eens ‘nee’ tegen duizenden burgers samen, in plaats van tientallen klachten van individuele gebruikers. Collectieve acties zijn op het internet razendsnel georganiseerd, kijk maar naar het referendum tegen de ‘sleepwet’. Het huidige internet zet privacy dan wel massaal onder druk, maar faciliteert ook massaal protest.
Het handhavingsbesluit van CNIL is voer voor juridische fijnslijperij. CNIL valt te verwijten dat het onderzoek niet bepaald zorgvuldig is opgezet, uitgevoerd en gemotiveerd. Google kreeg nauwelijks tijd om naar lucht te happen. CNIL vindt dat Google als marktleider een verregaande verantwoordelijkheid heeft en dat een directe boete gerechtvaardigd is, in plaats van eerst een last onder dwangsom (‘pas uw handelen aan, anders volgt een boete’).
De haast van CNIL heeft eenmachtspolitieke reden. CNIL is nu de Europese voorzitter vanprivacytoezichthouders enambieert op tal vanonderwerpen de AVG als eerste uit te leggen. Zo publiceerde CNIL onlangs als eerste eenrichtlijn over de(on)mogelijkheid van publieke blockchaintechnologie onder de AVG. Ook over de uitleg van de kernbeginselen van de AVG – de informatieplicht en toestemming – wil CNIL de eerste zijn. Maar Google verhuist steeds meer activiteiten naar de Ierse tak, om in dit soort trajecten te kunnen beargumenteren dat niet de Franse maar de (vaak veel vriendelijkere) Ierse privacytoezichthouder exclusief bevoegd is om haar privacybeleid te toetsen.
Onder de oppervlakte, en zeker bij CNIL, speelt een gevoel dat het nu eindelijk tijd wordt om de techgiganten privacymores te leren.
Voordat het zover komt, heeft de CNIL het gaspedaal ingedrukt. En daarbij flink wat steken laten vallen in de motivering. Zo is het boetebedrag volledig uit de lucht gegrepen. De Franse en straks Europese rechters zullen veel scherper dan CNIL toetsen of het besluit de toets van het eerlijke rechtsgang kan doorstaan.
Ferme taal
Maar de echte inhoudelijke pijn zit in de eis dat Google de ‘user journey’ moet aanpassen. Dat is de route die je moet afleggen tussen de eerste opstart van Android en het schuimbekkend van opwinding ein-de-lijk samenleven met je nieuwe gadget. CNIL stelt dat gebruikers voor advertenties vijf acties moeten ondernemen om te weten wat Google verzamelt. Voor locatiedata zijn dat zes stappen. Bovendien staan de keuzeopties om al dan niet gevolgd te worden standaard geactiveerd. CNIL schrijft in ferme taal dat dat Franse gebruikers zo niet de volle omvang kunnen kennen van de data die Google verzamelt en gebruikt. Google kent ‘met een hoge mate van precisie (..) je lifestyle en je smaak (‘goût’)’. De Smaak van het Franse volk! Nom de Dieu! Toezicht blijft cultuur. Even goed, CNIL oordeelt dat de toestemming van gebruikers, de juridische basis voor Google om geld te verdienen, ongeldig is.
Google kan niet anders dan krachtig verweer voeren. Aanpassingen aan de ‘user journey’ en standaardkeuzes kunnen de gigant oneindig veel meer kosten, dan die boete van €50 mln.
Onder de oppervlakte, en zeker bij CNIL, speelt een gevoel dat het nu eindelijk tijd wordt om de techgiganten privacymores te leren. Of de Franse en later de Europese rechter het besluit helemaal overeind laat is onzeker. Maar het langverwachte tijdperk van AVG-boetes is begonnen, en de Franse Google-zaak vormt een belangrijke testcase. Gisteren schreef FD dat 2019 jaar van de privacyhandhaving wordt. Maak daar maar gerust ook 2020, 2021, 2022 en daarna van. Aan Max Schrems zal het niet liggen.