Willen we méér of minder Europa? Deze tijdloze vraag staat nu hoog op de agenda bij lopende evaluaties van de Europese privacywet AVG in Brussel, Den Haag en andere nationale machtscentra.

Met de inwerkingtreding van de AVG in mei 2018 leek de vervolmaking van de Europese datadroom een feit: strenge spelregels, met directe werking in alle lidstaten en als sluitstuk versterking van datatoezicht via een nieuwe European Data Protection Board (EDPB), het veelbesproken one-stop-shop-mechanisme en bevoegdheden voor megaboetes tot wel 4% van de wereldwijde jaaromzet van een onderneming. Maar onder de oppervlakte blijkt dat machtige nationale toezichthouders, met hier en daar rugdekking van de lidstaten, ineens zand in de machine gooien. Met ineffectiviteit van het toezicht, fragmentatie van het Europese datarecht, en maatschappelijke vraagtekens over het uitblijven van grootschalige handhavingsacties tot gevolg.

De lopende evaluaties dienen de koe bij de horens te vatten en, net als in het mededingingsrecht, toezichtsmacht en boetebevoegdheden over te dragen aan Brussel.

Bedreiging

Het waren juist de nationale datatoezichthouders die bij de eerste golf van de Europeanisering van privacy en gegevensbescherming begin jaren ‘90 de kar trokken. De Europese Unie zag met het Verdrag van Maastricht van 1992 het levenslicht. Datastromen internationaliseerden in rap tempo door toenemende automatisering en globalisering van het zakenleven. Nationale toezichthouders zagen in deze trends een directe bedreiging van hun macht. Zij overtuigden de Europese Commissie en enkele machtige lidstaten dat Europese harmonisatie van privacyrecht nodig was. Ook voor het opbreken van staatsmonopolies en internationalisering van de markten voor telecom, destijds zeer in de mode.

‘Duitsland gooide de knuppel in het hoenderhok: een supranationale datatoezichthouder in Brussel’

De visie en machtspolitiek van de datawaakhonden leidden in 1995 tot de Europese Dataprotectierichtlijn, de enige voorloper van de AVG. Met daarin veel macht voor de toezichthouders om de open en enigszins abstracte beginselen van het privacyrecht – zoals de vereisten van transparantie en proportionaliteit – zowel gezamenlijk als op nationaal niveau in honderden toezichtsopinies en handhavingsacties toe te snijden op nieuwe technologieën, sectoren en af en toe een specifieke organisatie.

Weliswaar hadden en behouden de consensusopinies van de gezamenlijke nationale waakhonden grote waarde, maar Viviane Reding, destijds vice-president van de Europese Commissie en verantwoordelijk voor Justitie, sloeg op een congres voor nationale datatoezichthouders in 2011 de spijker op zijn kop: ‘Gefragmenteerde handhaving is slechte handhaving’. Duitsland gooide de knuppel in het hoenderhok: een supranationale datatoezichthouder in Brussel, naar model van het mededingingsrecht, als waardige tegenspeler voor machtige organisaties in grensoverschrijdende gevallen.

Het voorstel vond vrijwel geen steun onder toezichthouders, en ook de lidstaten hadden zich nu juist zo verheugd op het spekken van de staatskas met de megaboetebevoegdheden die Reding ook had beloofd. Waar de waakhonden in de jaren ‘90 gas gaven, werd afremmen nu de strategie.

Contrast

Hoe streng de nieuwe verplichtingen in de AVG ook waren, en hoe torenhoog de belangen voor burgers en bedrijven, de AVG was jaren eerder aangenomen zonder machtsstrijd over datatoezicht tussen 2011 en 2016. Uiteindelijk rolde een buitengewoon complex compromis uit de bus: het one-stop-shop mechanisme, waarin niet zozeer de EDPB of de Europese Commissie fungeert als hét loket voor internationale handhavingskwesties, maar nationale toezichthouders zichzelf voor een bedrijf aanwijzen als “leidende toezichthouder” voor de EU, op basis van soms zelfs ad hoc criteria. Andere toezichthouders mogen die aanwijzing of onenigheid bij handhavingsacties alleen nog aanvechten bij de EDPB, via de ingewikkeldere klachtprocedure van het zogenoemde consistentiemechanisme.

Complexiteit is vaak de uitweg bij politieke onenigheid, maar zorgt in de praktijk ook altijd voor problemen. Zoals landjepik tussen toezichthouders wie bij grensgevallen de leiding mag nemen, en vertraging in internationale zaken. Maar ook ‘forum-shopping’ – slimme multinationals die zich vestigen in landen met een zwakke leidende toezichthouder – en rechtsonzekerheid, niet in de laatste plaats voor burgers die na een klacht terecht kunnen komen bij 27 verschillende toezichthouders.

De Ierse toezichthouder DPC had als leidende autoriteit haar onderzoek naar Twitter in mei van dit jaar al klaar, maar bezwaar door andere toezichthouders noopte de EDPB tot de allereerste interventie onder het consistentiemechanisme. Ruim een half jaar later, uiterlijk 9 december, wordt het besluit van de DPC pas wereldkundig. Een Europese toezichthouder had Europese twittergebruikers sneller en effectiever kunnen bedienen.

Gebrekkige slagkracht

Zo staat de teller na 2,5 jaar AVG van internationale boetes door de gezamenlijke nationale toezichthouders op circa vijf, en boetes waarin de EDPB een rol speelde mogelijk op één. Het contrast met het geoliede Europese handhavingsapparaat van het mededingingsrecht, onder de vlag van bezongen Eurocommissaris Vestager, is enorm. Bovendien is de slagkracht van 27 individuele datawaakhonden gebrekkig en bestaan op nationaal niveau nog grote verschillen in hun interpretatie van de AVG, zelfs bij urgente internationale kwesties als de aanpak van het coronavirus.

De observatie van Reding dat gefragmenteerd toezicht slecht toezicht is, heeft sinds 2011 gewonnen aan urgentie. Niet minder, maar meer Europa is de oplossing.