63e FD Column: Broodnodige samenwerking toezichthouders op datasamenleving heeft last van groeipijnen

Deze column staat in Het Financieele Dagblad van 21 februari 2019. Volg deze link voor mijn eerdere FD columns.

Kerberos, de angstaanjagende waakhond van Hades uit de Griekse mythologie, hield zo effectief toezicht dat de doden niet eens dúrfden te ontsnappen uit de Onderwereld. Met zijn drie hoofden kon Kerberos alle ontsnappingspogingen volgen en waar nodig doorbijten.

Illustratie: Hein de Kort voor het FD

De datasamenleving heeft al jaren een Kerberos nodig. Auto’s zijn tegenwoordig namelijk rijdende computers, terwijl de datastartups van vijftien jaar terug de machtigste bedrijven ter wereld, met activiteiten in het onderwijs, zorg, nieuwsvoorziening, retail en de financiële markten. Net als Kerberos, dienen effectieve waakhonden op privacy, marktmacht, verkeersveiligheid en financiële markten met meerdere hoofden toe te zien op de multidisciplinaire realiteit die de datasamenleving allang is.

Met de publicatie van het handhavingsbesluit van de Duitse Bundeskartellamt tegen Facebook van 7 februari jl. en de inwerkingtreding van betaalwet PSD2 deze week, lijken toezichthouders gehoor te willen geven aan de jarenlange roep om intensievere samenwerking. Tegelijk blijken diezelfde toezichthouders maar moeizaam samen op te trekken. Daadkracht, transparantie en deugdelijke motivering manifesteren zich als groeipijnen, juist nu de datasamenleving gebaat is bij effectief en verantwoord toezicht.

Mededingingslingo

De huidige techniekregulering van de Europese Unie vindt haar conceptuele fundament in de jaren ‘90. Denk aan telecomwetgeving om staatsmonopolies open te breken en de Europese Dataprotectie Richtlijn, de voorloper uit 1995 van de AVG. In die monodisciplinaire wetgeving zijn destijds specifieke toezichthouders opgericht om op één markt of onderwerp toe te zien. Toen een logische keuze, nu vaak achterhaald.

Toezichthouders kunnen vaak – en juist samen- in duidelijke richtlijnen vermeende wettelijke knopen doorhakken

Overal ter wereld kunnen datatoezichthouders de explosie van de datasamenleving niet langer bijbenen, terwijl andere toezichthouders de expertise missen om datawetgeving goed te interpreteren. Daarnaast lijkt de AVG soms op gespannen voet te staan met andere wettelijke verplichtingen. Zo moeten financiële instellingen toekomstige klanten kennen en waarschuwen voor financiële risico’s, terwijl de AVG juist gebiedt zo min mogelijk persoonsgegevens te verzamelen. In aanvulling op de wetgever, kunnen toezichthouders in zulke gevallen vaak – en juist samen – in duidelijke richtlijnen vermeende wettelijke knopen doorhakken. Zo weten klant, bedrijf en overheid waar ze aan toe zijn, en is iedereen geholpen.

In Europa lijkt de samenwerking nu op gang te komen, maar blinkt gezamenlijk toezicht vaak niet uit in daadkracht, transparantie en deugdelijke motivering. Neem het veelbesproken recente gebod van de Duitse markttoezichthouder aan Facebook om niet langer data te verzamelen en te combineren tussen Whatsapp, Instagram en het sociale netwerk zonder geldige toestemming van internetgebruikers. De crux zit hem in de beoordeling van de geldigheid van die toestemming; een van de meer complexe onderwerpen in het privacytoezicht met jarenlange handhavingsgeschiedenis.

Na tien pagina’s vol mededingingslingo over de marktpositie van het Facebook-concern, motiveert de Duitse kartelwaakhond de cruciale beoordeling van toestemming in slechts twee korte zinnen, waar een privacytoezichthouder daar regelmatig meerdere pagina’s voor reserveert. En over de bijdrage van de bevoegde datatoezichthouder in Ierland, staat slechts het zinnetje dat de Ierse waakhond heeft verklaard dat een markttoezichthouder bevoegd zou kunnen zijn om hier iets van te vinden. Er staat niet dat de Ieren hebben meegedaan en zich in de beoordeling kunnen vinden. Niet bepaald een toonbeeld van productieve samenwerking. Facebook zal op dit punt ongetwijfeld scoren bij de Duitse rechter in hoger beroep.

In Nederland is betaalwet PSD2 afgelopen dinsdag in werking getreden. De betaalwet is omstreden, omdat ‘fintechs’ bij banken kunnen aankloppen om betaaldata van klanten los te peuteren. Privacy en beveiliging zijn terechte zorgen. De wet belast de Autoriteit Persoonsgegevens (AP) met het toezicht op de beoordeling van de toestemming, die ‘fintechs’ bij klanten ophalen en aan banken tonen. De Nederlandsche Bank (DNB) verleent de vergunning aan ‘fintechs’ om zich überhaupt op dit riskante werkterrein te begeven. Hoe gaan zij samenwerken?

Toestemmingsproces

DNB en de AP voeren al lange tijd discussie over bevoegdheid en hun onderlinge afspraken zijn al wel gemaakt, maar nog niet gepubliceerd, ondanks een wettelijke plicht daartoe. Op congressen zegt DNB nu dat zij het toestemmingproces zal beoordelen, aan de hand van de door een fintech zelf opgesteld document. In dezelfde adem zegt DNB ‘weinig expertise op privacy’ te hebben. De AP zou pas in actie komen als de fintech zélf aanzienlijke risico’s voor de privacy van bankklanten signaleert. Als de slager zijn eigen vlees keurt, is het wachten op de net iets te snelle ‘fintech’ die de AP buiten de deur houdt door zelf te verklaren dat alles dik in orde is. Wederom, niet bepaald een toonbeeld van harmonieus en effectief toezicht.

Kennelijk horen groeipijnen in toezicht bij de ontwikkeling van de datasamenleving. Toch kun je niet meer stellen dat de broodnodige kruisbestuiving tussen toezichthouders als een verrassing komt. Het zal met de jaren hopelijk beter gaan. Een gezonde datasamenleving is namelijk gebaat bij heldere regels, samenwerkende toezichthouders en, waar nodig, waakhonden als Kerberos.

Opmerking na publicatie: op dezelfde dag als de publicatie van de column, verscheen het protocol in de Staatscourant. DNB vond dat de FD column suggereert dat het samenwerkingsprotocol met AP opzettelijk niet is gepubliceerd. Daar kan ik me wel in vinden. De late timing was eerder ongelukkig en had te maken met de late implementatiedatum en zodoende late publicatie van de wet zelf in de Staatscourant. 

One thought on “63e FD Column: Broodnodige samenwerking toezichthouders op datasamenleving heeft last van groeipijnen”

Leave a Reply

Your email address will not be published. Required fields are marked *