106e FD Column: Laat datawaakhonden de AVG niet oprekken

Deze column staat in verkorte versie in Het Financieele Dagblad van 17 februari 2023. Volg deze link voor mijn eerdere FD columns.

Toezichthouders toveren allerlei nieuwe criteria tevoorschijn die niet in de gedetailleerde privacywet AVG staan. Volgens Axel Arnbak moeten zij de spelregels niet tijdens de wedstrijd mogen veranderen.

Illustratie: Hein de kort voor Het Financieele Dagblad

Hacken is een kunstvorm die niet alleen is voorbehouden aan whizzkids en cybercriminelen. Ook simpele juristen en beleidsmakers hacken dag in dag uit, maar dan door mazen in een wet om hun zaak te bevorderen. Zo weten datatoezichthouders in hun normuitleg en handhavingsacties al decennialang nieuwe manieren te vinden om de strenge privacywetgeving verder op te rekken.

De nieuwste miljoenenboetes, opgelegd aan big techbedrijven, zijn bijvoorbeeld mede gebaseerd op algemene beginselen die niet eens in de wet zijn uitgewerkt, zoals het principe van ‘behoorlijkheid’. Uit die beginselen construeren de waakhonden compleet nieuwe criteria waaraan iedere organisatie nu ineens moet voldoen. In hun zoektocht de privacy van Europese burgers te beschermen, hacken toezichthouders zich niet zelden buiten de grenzen van de wet en zullen zij steeds vaker nat gaan bij de rechter.

Tweede plaats
Het werk als datatoezichthouder is zowel fascinerend als frustrerend. Met klimaatverandering staat de digitale agenda stevig op de tweede plaats in de prioriteitenlijst van de Europese Commissie. Kunstmatige intelligentie en andere innovaties moeten in goede banen geleid, terwijl wetgeving als een houten piratenpoot achter de technologische ontwikkelingen aan sleept. Tegelijkertijd zijn de budgetten voor toezicht zeker een factor tien te krap en is de maatschappelijke roep om boete en schuld voor privacyschenders enorm.

In dat krachtenveld grijpen de toezichthouders al sinds 1995 naar creatieve hacks. Zo riep de eerste Europese privacyrichtlijn van dat jaar een werkgroep van privacytoezichthouders in het leven. Deze Artikel 29-werkgroep functioneert sindsdien als overlegorgaan voor nationale datawaakhonden, en vertaalt in opinies en richtsnoeren de verplichtingen uit Europese privacywetgeving naar de praktijk.

Die uitleg is vaak zeer behulpzaam voor alle organisaties die hun schouders ophalen bij de algemene artikelen uit de wet. Zo weet je als ziekenhuis, bank of bouwbedrijf wat de toezichthouder graag ziet in een privacystatement op je website, of je iemands gegevens gewoon kan knippen en plakken in een overeenkomst, en of je een consument met behulp van je algoritmen een gerelateerd product kunt aanbevelen of dat eerst toestemming vereist is.

VoetbalTV en KNLTB
De bevoegdheid tot normuitleg en inspecties bij organisaties geeft toezichthouders ook een uitgelezen kans om nét even een schepje bovenop de wettelijke vereisten te doen. Berucht is de hack van de Autoriteit Persoonsgegevens, die tijdens handhavingsacties tegen VoetbalTV en tennisbond KNLTB ineens een document online zette dat ‘commercieel gewin’ nooit een voldoende belang zou zijn voor dataverwerking zonder toestemming. VoetbalTV tekende beroep aan bij de rechter, die de AP terugfloot wegens gebrekkige motivering. De zaak die de tennisbond aanspande tegen de AP verwees de rechter onlangs door naar het EU-Hof om de toelaatbaarheid van deze behendige hack te toetsen.

‘Facebook, Instagram en WhatsApp werden twee keer voor hetzelfde feit aangepakt’

De European Data Protection Board (EDPB) is de opvolger van de Artikel 29-werkgroep en heeft het onlangs wel heel bont gemaakt. In recente handhavingsacties baseert de EDPB zich niet alleen op de AVG, maar ook op algemene basisbeginselen als vangnet voor alles waarin de 99 uitgebreide AVG-wetsartikelen niet voorzien. Denk aan fairness (in het Nederlands vertaald als ‘behoorlijkheid’). Dit klinkt allemaal technisch, maar heeft grote gevolgen. In aanvulling op toch al zo complexe artikelen uit de AVG, construeren de waakhonden uit die algemene beginselen allerlei nieuwe verplichtingen die nergens in de AVG zijn vastgelegd.

Twee keer beboeten
Zo schrijven toezichthouders sinds een paar maanden voor dat organisaties zich ‘ethisch’ gedragen en de ‘autonomie’ van consumenten respecteren. De EDPB vindt bovendien dat zij organisaties twee keer kan beboeten voor hetzelfde feit: op basis van de gedetailleerde artikelen van de AVG én op van die beginselen. Zo worden Facebook, Instagram en WhatsApp twee keer voor hetzelfde feit aangepakt – en hebben zij beroep aangetekend. De zelfverzonnen nieuwe criteria staan haaks op rechtszekerheid en op ne bis in idem: het oude beginsel uit het Romeinse recht dat je niet twee keer mag terechtstaan voor dezelfde daad.

Dit soort kunstzinnige toezichtshacks wekken een aloude wetenschappelijke discussie weer tot leven: moet je technologie reguleren op basis van principes of regels (principles-based versus rule-based)? Het dilemma is evident. In de digitale wereld riskeert de wetgever met gedetailleerde regels alsmaar achter de ontwikkelingen aan te hollen. Open principes zijn lekker flexibel, maar bieden organisaties nul duidelijkheid en bescherming tegen arbitrair toezicht.

Maar bij de AVG heeft de Europese wetgever de principes al heeft uitgewerkt in gedetailleerde artikelen. Dat toezichthouders vervolgens compleet nieuwe verplichtingen uit dezelfde beginselen in het leven roepen, voelt als het verzinnen van nieuwe spelregels terwijl de wedstrijd in volle gang is. Hacken is kunst, en dat mag best een beetje schuren. Maar inspecteurs als de Belastingdienst, de politie en datatoezichthouders moeten de spelregels niet tijdens de inspectie mogen veranderen.