93e FD Column: De megaboete voor WhatsApp – Transparantie klinkt goed, maar verbetert privacy amper

Deze column staat in Het Financieele Dagblad van 14 september 2021. Volg deze link voor mijn eerdere FD columns.

Het privacyrecht vereist dat een website je informeert over wat er met je data gebeurt. Dit leidt tot een steeds grotere overkill aan privacyvoorwaarden. Politici moeten beseffen dat de transparantieverplichtingen uit de AVG geen wondermiddel zijn. Ze moeten veel nadrukkelijker meebeslissen hoe privacy te borgen in onze datasamenleving, schrijft Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Bent u van plan het privacybeleid te lezen van elke website die u bezoekt? Wetenschappers becijferden al in 2010 dat u daarvoor minimaal 76 werkdagen per jaar nodig hebt. En als het aan de gezamenlijke Europese datatoezichthouders ligt, hebt u voortaan nóg meer tijd nodig om te lezen wat welke organisatie op het wereldwijde web met uw data doet, en waarom.

Op 2 september publiceerde de Ierse datawaakhond onder mondiale media-aandacht zijn besluit om een forse boete, van €225 mln, op te leggen aan berichtendienst WhatsApp. Het privacybeleid van WhatsApp zou niet voldoen aan de strenge transparantievereisten uit de roemruchte Europese datawet AVG. Het besluit heeft niet alleen voor WhatsApp, maar voor iedereen verregaande gevolgen: het tijdperk van honderden pagina’s tellende privacyvoorwaarden is aanstaande.

Weeffout
De WhatsApp-boete is indicatief voor een hardnekkige weeffout in ons denken over de vormgeving van een gezonde datasamenleving. Transparantie, oftewel het vereiste dat een organisatie je informeert wat met je data doet, vormt al decennia de hoeksteen van het privacyrecht. Klinkt goed, maar het leidt ertoe dat de consument met nóg meer informatie wordt overladen, die hij amper kan verwerken. En dat terwijl er reeds sprake is van een explosieve toename van dataverwerkingen én een complete overkill van privacyvoorwaarden voor de gemiddelde internetgebruiker. Toch blijven politiek en toezichthouders hameren op informatieverschaffing als panacee voor privacyperikelen.

Welke burger of consument is nu eigenlijk geholpen met een fulltime vrijwilligersbaan als privacyvoorwaardenchecker? Het WhatsApp-besluit is het ultieme bewijs dat de politiek zich deze vraagt moet stellen. De datasamenleving en de websurfer hebben geen behoefte aan nog meer pagina’s transparantietaal op bevel van toezichthouders, maar juist aan scherpe en continue politieke besluitvorming. Dat vraagt om politici die bij elke wet meebeslissen of datapraktijken maatschappelijk verantwoord en juridisch toelaatbaar zijn.

‘Welke burger of consument is nu eigenlijk geholpen met een fulltime vrijwilligersbaan als privacyvoorwaardenchecker?’

Met de inwerkingtreding van datawet AVG in 2018 zou alles veranderen. Inderdaad begint de AVG haar werk te doen. Dat die AVG er überhaupt kwam, mag een klein politiek wonder heten. Het lobbygeweld uit allerlei machtige hoeken van de datasamenleving was, kort gezegd, episch. Naast de WhatsApp-boete kreeg ook techreus Amazon deze zomer een boete van €746 mln van de Luxemburgse datatoezichthouder. Hiermee lijkt een onomkeerbare trend ingezet naar stevigere financiële boetedoening voor vermeende dataperikelen.

Het Amazon-besluit is nog niet gepubliceerd, alleen de hoogte van de boete. Het 266 pagina’s tellende besluit over de vraag of WhatsApp voldoet aan de transparantievereisten uit de AVG is wel openbaar. Het besluit heeft verregaande consequenties voor elke datagedreven organisatie in de EU. De gezamenlijke Europese datatoezichthouders, die de voorgestelde boete te laag en de AVG-interpretatie van de Ierse waakhond te mild vonden, hebben namelijk in de Ierse WhatsApp-zaak geïntervenieerd, en de zaak gebruikt om de algemene transparantievereisten uit de AVG stevig op te rekken.

‘Het WhatsApp-besluit heeft verregaande consequenties voor elke datagedreven organisatie in de EU.’

De Europese waakhonden eisen van WhatsApp, en daarmee van elke organisatie, dat zij tot in het kleinste detail moeten opschrijven welke data voor welke doeleinden worden gebruikt en onder welke condities: dit moet bovendien vaak zelfs in de lastige terminologie van de AVG. De toezichthouders vinden ook dat deze papieren tijger niet meer samengevat en ‘gelaagd’ (dat wil zeggen in een doorklikbare korte pop-up) aan de websurfer kan worden gepresenteerd, als dat zou leiden tot ‘enigszins onsamenhangende’ informatieverschaffing.

Dit is inderdaad een vage en onwerkbare nieuwe norm. Het betekent dat organisaties langere privacyvoorwaarden moeten opstellen en die voorwaarden niet meer in behapbare vorm kunnen presenteren aan de eindgebruiker. Geen enkele gebruiker gaat het lezen. Iedereen haalt de schouders op en klikt op ‘okee’, om maar niet tientallen dagen per jaar te hoeven spenderen aan het ontcijferen van al die onleesbare juristerij. Het is de transparantieparadox in optima forma. Faciliteert dit alles nu echt de ‘effectieve en daadwerkelijke’ bescherming van consumenten waartoe de AVG in het leven is geroepen?

Continu debat
De politiek zou het met lede ogen moeten aanzien, maar politici rusten na de wereldprestatie van de AVG te veel op hun lauweren. En laten ondermaats gefinancierde toezichthouders, gewapend met de AVG en een monodisciplinaire blik op privacy, de dataproblemen uit de wereld helpen. Die AVG is echter niet de alfa en omega van privacybescherming, maar slechts een goed begin van een continu politiek debat over de vraag wie wat met welke data mag doen.

‘Politici moeten, waar nodig, minder of juist meer privacybescherming bieden, of een datapraktijk zelfs verbieden.’

De Algemene Verordening Gegevensbescherming formuleert vooral algemene — en vaak vrij abstracte — criteria voor dataverwerkingen. In de praktijk betekent dit dat iedere politicus in elk datadebat (variërend van het coronabeleid tot de inzet van kunstmatige intelligentie in de zorg) een politiek besluit moet durven nemen hoe de proceswet AVG zich verhoudt tot de inhoud van het desbetreffende dossier. Die politicus moet bovendien, waar nodig, minder of juist meer privacybescherming bieden, of een datapraktijk zelfs verbieden, allemaal om bredere maatschappelijke belangen te dienen.

De recente geschiedenis biedt wat dat betreft nog voldoende verbeterpunten, denk aan de toeslagenaffaire. Maar voorlopig verwachten Europese toezichthouders kennelijk dat je als privacybewuste gebruiker parttime gaat werken.