Deze column staat in Het Financieele Dagblad van 12 december 2019. Volg deze link voor mijn eerdere FD columns.
Tien jaar geleden al waarschuwde toenmalig Eurocommissaris voor Consumentenbescherming Meglena Kuneva in een vaak geciteerde speech dat ‘persoonsgegevens de nieuwe olie, oftewel valuta van de digitale wereld zijn’.
Al gaat de oliemetafoor niet helemaal op, de beschikkingsmacht over persoonsgegevens is inderdaad existentieel voor geopolitieke en economische macht: in 2019 zijn zeven van de acht grootste bedrijven ter wereld (naar marktwaarde) actief in de data-economie.
Gek genoeg kwam het toezicht op die economie in 2019 pas echt op gang, tien jaar – een eeuwigheid in internettijd – na Kuneva’s bezorgde speech. In 2020 zullen toezichthouders over elkaar heen buitelen met de ene na de andere megaboete om die ook door verontrustte burgers gevoelde achterstand in te halen.
Juist in die haast met boete enschuld schuilt een monumentale uitdaging. Toezichthouders van allerlei pluimage uit allerlei landen bekijken de datawereld ieder door hun eigen bril, zoals het borgen van privacy, gezondefinanciële markten, een eerlijke behandeling van consumenten, of concurrentie op een specifieke markt.
Tegelijkertijd scheren activiteiten van ondernemingen dwars door al die conceptuele afbakeningen en landsgrenzen heen. Daarin schuilt een reëel risico voor zowel toezicht als onderneming: enerzijds worden ondernemingen door de verkeerde toezichthouder onrechtmatig bestraft en draait de rechter dat later terug, anderzijds zijn toezichthouders soms te mild in hun beoordeling waar andere waakhonden in hun toets van dezelfde activiteit veel harder zouden doorbijten.
De noodzakelijke Europese wetgeving die toezichthouders dwingt tot samenwerken en delen van competentie en boetebevoegdheden, oftewel van macht en geld voor de staatskas, zal er ook in 2020 niet komen. Rechtsonzekerheid voor ondernemingen en verder wantrouwen van de burger in het beschermingsvermogen van hun overheid in de digitale wereld, zijn het kind van de rekening.
Caleidoscoop
Toezicht op de digitale samenleving lijkt momenteel sterk op de caleidoscoop in de crèche van mijn dochters. Als je ogen de trip maken door zo’n kinderkijker, zie je ieder object door vele spiegels twintig keer, steeds gesierd met een rand van kleurrijke kristallen.
In ons recente Preadvies voor de Vereeniging Handelsrecht bekritiseren collega-onderzoekers Svetlana Yakovleva, Wessel Geursen en ik die heersende neiging van talrijke toezichthouders om één specifieke digitale activiteit te vermenigvuldigen tot tientallen kleurrijke onderzoeken als ‘caleidoscopische handhaving’.
Ondernemingen kunnen namelijk voor slechts één activiteit vele afzonderlijke onderzoeken tegemoet zien van specifieke toezichthouders, en dat in meerdere landen. Dat staat op gespannen voet met het fundamentele rechtsbeginsel dat niemand meerdere keren voor eenzelfde daad wordt gestraft. Door de verschillende aard, duur en boetemogelijkheden rondom ieder onderzoek is de impact op de lange termijn voor een onderneming niet in te schatten.
Boetes
Neem Google, dat iedere koper van een Android-smartphone verplicht om een Google-account te openen. De Franse datatoezichthouder CNIL ambieerde als eerste een dikke AVG-boete op te leggen en jaagde zichzelf en Google over de kling met een gehaaste boete van €50 mln voor de gestelde schending van de Europese privacywet AVG.
Kennelijk onderzoeken datatoezichthouders in Zweden en het Verenigd Koninkrijk hetzelfde vergrijp. De vraag of die Franse boete standhoudt ligt nu bij de Franse, en straks bij de Europese rechter.
Recent sneuvelde een Duits mededingingsonderzoek naar Facebook al bij een Duitse rechter, omdat de autoriteit onvoldoende onderbouwde waarom een eventuele schending van privacy de mededinging had verstoord. En geeft €50 mln boete Google wel een adequate prikkel om zijn gedrag aan te passen?
De Europese waakhond voor mededinging, de Europese Commissie, beboette Google al eens met €4,34 mrd, onder meer voor het verplicht opleggen van haar zoekmachine aan telefoonfabrikanten in hun versie van het open source besturingssysteem Android. In ons Preadvies stellen wij dat dit soort kwesties beter op Europees niveau kunnen worden getoetst, op basis van zowel de spelregels van mededinging, consumentenbescherming als privacy.
‘De kans dat de broodnodige wettelijke integratie van toezicht er in 2020 komt, is nihil’
De uitdaging om toezicht zo in te richten, en in feite te spiegelen aan de digitale activiteiten van ondernemingen die ook alle conceptuele- en landsgrenzen slechten, is monumentaal. Sinds 2016 probeert een aantal betrokkenen daartoe een vrijwillig samenwerkingsverband op te zetten, genaamd Digital Clearinghouse. Maar een korte rondgang bij toezichthouders in Europa leerde ons dat velen van hen dat initiatief niet eens kennen, laat staan erin participeren.
De enige oplossing is dan ook wetgeving die toezichthouders verplicht om multidisciplinair en internationaal samen te werken, om zo geïntegreerd toezicht te organiseren en een gezonde digitale wereld te borgen. Dat vergt het delen van competentie en het delen van de boetebevoegdheid met andere waakhonden, waar regeringen nu juist likkebaardend uitkijken naar de mogelijkheden de staatskas te spekken met boetemiljoenen. De kans dat de broodnodige wettelijke integratie van toezicht er in 2020 komt is dan ook nihil.
Kuneva en vele anderen waarschuwden tien jaar terug al voor de uitwassen van de datasamenleving. Helaas kan het nog eens tien jaar duren voordat ons stelsel van toezicht op de digitale wereld daadwerkelijk in de pas loopt.