Deze column staat in Het Financieele Dagblad van 12 september 2022. Volg deze link voor mijn eerdere FD columns.
De WODC-evaluatie van vorige week kraakt kritische noten over de nationale Uitvoeringswet AVG (UAVG). Sectororganisaties werken amper de gestelde normen uit en het toezicht van de Autoriteit Persoonsgegevens is onvoldoende. Er is veel meer mogelijk, als de politieke wil maar daar is, schrijft advocaat en onderzoeker Axel Arnbak.
Illustratie: Hein de Kort voor Het Financieele Dagblad
Naarmate onze informatiesamenleving verder dataficeert, treedt privacy steeds meer op de voorgrond als een noodzakelijke, maar complexe randvoorwaarde voor een menswaardig bestaan in een gezonde data-economie. De nu ruim vier jaar geldende Europese privacywet AVG is verrassend succesvol gebleken in de bescherming van onze privacy, die de laatste decennia langzaam erodeerde.
Hoewel deze verordening het privacyrecht grotendeels gelijktrekt binnen de Europese Unie, is er voor de lidstaten toch veel speelruimte om privacywetgeving en -toezicht op nationaal niveau verder vorm te geven. In Nederland is er dan ook een nationale Uitvoeringswet AVG (UAVG), die net als de AVG van kracht is sinds 2018.
Kritisch
In opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) verscheen vorige week een vrij vernietigende evaluatie van de UAVG. Het rapport Bescherming gegeven? kraakt kritische noten over het gebrek aan ‘verdere concretisering en specifieke invulling’ van de open normen uit de AVG in de nationale wet. Ook het ‘operationaliseren van normen’ door sectororganisaties gebeurt in Nederland amper. In lijn met eerdere evaluaties is het rapport ook kritisch over het optreden van toezichthouder Autoriteit Persoonsgegevens (AP).
De toegevoegde waarde van de UAVG is dan ook ‘beperkt’, terwijl in andere lidstaten de wetgever, toezichthouder en sectoren beter presteren dan in Nederland. Juist nu onze wereld zo stormachtig dataficeert, zijn duidelijke spelregels nodig voor zo’n complex juridisch onderwerp. Dat kan immers de economie stimuleren waar mogelijk, en privacy beschermen waar noodzakelijk.
‘Bescherming van privacy blijft cultureel en historisch bepaald en is dus ook een nationale kwestie’
De Europese AVG is een kolos van een wet, die destijds – en misschien nog steeds – een Europees record vestigde. Onder invloed van een ongeëvenaarde lobby vanuit het bedrijfsleven stelde het Europees Parlement circa vierduizend amendementen voor op het oorspronkelijke voorstel van de Europese Commissie van 2012. De lidstaten hakten er in de Europese Raad met duizenden wijzigingen ook flink op los. Een Europees compromis werd verrassend vaak gevonden.
Toch was, is en blijft privacybescherming op belangrijke thema’s historisch en cultureel bepaald, en dus een nationale aangelegenheid. In Duitsland geniet de staatskerk al decennialang riante uitzonderingen, terwijl de privacy van Duitse werknemers steviger is beschermd dan elders. In servicegericht Denemarken kent de overheid weinig privacybeperkingen, als de staat maar voorspelbaar, effectief en eerlijk opereert. In Nederland hebben verzekeraars relatief veel ruimte, allicht terug te voeren op een rijke verzekeringsgeschiedenis sinds de VOC-tijd en door de strijd tegen het water.
Nationale overheden houden ook liever zelf de controle op het privacytoezicht; een Europese toezichthouder bleek onhaalbaar. De AVG biedt lidstaten dus ampele speelruimte voor aanvullende regulering van privacy en toezicht.
Hamerstuk
De UAVG vult die nationale ruimte maar beperkt in, grotendeels vanwege de rommelige en gehaaste totstandkoming. De wetgever koos in de UAVG voor een ‘beleidsneutrale’ aanpak, beleidsjargon voor het grotendeels kopiëren van voorloper Wet bescherming persoonsgegevens. De politiek deed de UAVG af als hamerstuk, zonder noemenswaardig debat.
Het WODC-rapport plaatst verder ‘de nodige kanttekeningen bij de wijze waarop de toezichthouder haar bevoegdheden hanteert’. De AP publiceert, in tegenstelling tot waakhonden in andere landen, geen toezichts- en handhavingsbeleid. Zonder beleid, is de kritiek, zijn AP’s juridische interpretaties van die open normen niet toetsbaar, en rechtvaardigt AP haar handhavend optreden niet.
Het zijn bekende knelpunten. Wél vernieuwend in het WODC-rapport is de constatering dat sectoren de bal evenmin oppakken. De AVG biedt de ruimte om op sectorniveau een gedragscode op te stellen en een eigen onafhankelijke sectortoezichthouder in te stellen, die na goedkeuring door de AP, diezelfde AP op afstand plaatst. In theorie biedt dit de sectoren de uitgelezen kans om de open normen van het privacyrecht strenger of juist ruimhartiger te maken.
Een vaak genoemd voorbeeld is dat artsen en wetenschappers meer toegang zouden moeten krijgen tot patiëntdata, om zo tot betere tumordiagnoses te kunnen komen. Al zouden patiënten het willen, de complexiteit van privacynormen en de angst dat verzekeraars toegang krijgen tot die data, staan zulke baanbrekende innovatie in de weg.
Speltheorie
In sommige sectoren is de keuze om geen gedragscode te ontwikkelen speltheoretisch van aard: men wil in onderhandelingen geen bedrijfsgevoelige informatie delen (als bedrijf A hartstochtelijk pleit voor een uitzondering, zegt dat iets), men komt er samen niet uit, of acht het risico van een actieve sectorspecifieke toezichthouder groter dan toezicht door de ondergefinancierde AP. Dat er geen gedragscodes zijn, kun je sectoren moeilijk kwalijk nemen.
Het WODC-rapport concludeert dat de toegevoegde waarde van de UAVG ‘beperkt’ is, wat ‘kan worden betreurd nu de in de AVG neergelegde [open] normen voor velen lastig te hanteren zijn.’ Los van dit juridische knelpunt, is het vanuit maatschappelijk perspectief des te betreurenswaardiger.
Meer mogelijk
Vooral de politiek moet zich aanrekenen dat zij in maatschappelijk relevante kwesties in ons datagedreven tijdsgewricht, zoals het tumorenonderzoek, de beleidsvrijheid op nationaal niveau niet verder invult. Of het nu vorm krijg in de UAVG of een andere wet, de ruimte om innovatie te stimuleren of privacy verder te beschermen blijft te vaak onbenut.