Deze column staat in Het Financieele Dagblad van 17 oktober 2019. Volg deze link voor mijn eerdere FD columns.
Iedereen realiseert zich inmiddels dat tientallen bedrijven over je schouder meekijken bij iedere klik of swipe op het wereldwijde web. Geraffineerde volgtechnieken, zoals ‘cookies’, ‘browser fingerprints’ en ‘tracking pixels’, vormen het technische fundament een online advertentiemarkt van ruim $300 mrd, $500 mrd in 2023.
De gemiddelde consument denkt dat de veelbesproken, strenge en algemene Europese privacywet AVG beschermt tegen zulke online volgpraktijken. Maar eigenlijk reguleert vooral de onbekendere specialistische E-Privacy Richtlijn, aangenomen in 2002 en voor het laatst herzien in 2009, de bescherming van privacy en het communicatiegeheim bij bellen en internetten. De Europese Commissie poogde begin 2017 de tien jaar oude regels bij de tijd te krijgen, maar tot op heden heeft de EU geen noemenswaardige stap verder gezet.
De realiteit haalt Brussel intussen in. Niet alleen ontwikkelt de industrie eigen spelregels voor online volgen, die uiteraard net iets gunstiger uitpakken voor de industrie. De afgelopen maanden dienden activisten op hun beurt klachten in bij datatoezichthouders en rechters over die online volgpraktijken. Een paar weken terug vulde de hoogste Europese rechters cruciale normen over E-Privacy alvast in voor de pat gestelde politici. En een paar dagen terug introduceerde het Finse voorzitterschap van de Europese Raad opnieuw een E-Privacy voorstel, maar de verwachting is dat ook deze poging de eindstreep niet zal halen. Iedereen blijft achter met rechtsonzekerheid en per land verschillende normen en beschermingsniveaus. Daarnaast is de Europese parlementaire democratie de grote verliezer.
In een infografiek liet het FD met medewerking van onderzoeker Robbert van Eijk zien hoezeer onze kliks worden gecommercialiseerd (The Network is Watching You, FD Futures, 2 maart 2019). In zijn promotieonderzoek telde Van Eijk hoe vaak bij het grote publiek onbekende datapartijen als Rubicon internetgebruikers volgen op goedbezochte websites. In vijftien EU-landen registreert Rubicon een individuele gebruiker meer dan 1000 keer per maand, met de VK als uitschieter (18.741 keer), terwijl Rubicon de gemiddelde Nederlander 40 keer vangt.
Computerwetenschapper Van Eijk wijst verrassend genoeg naar de wet voor de verklaring van dit reusachtige verschil. In Nederland geldt een relatief strenge ‘cookiewet’ als nationale kop bovenop de E-Privacy Richtlijn, waardoor strengere toestemmingsvereisten gelden voor het online volgen van internetgebruikers. Tot zover het cliché dat het reguleren van de online wereld ‘toch geen zin’ heeft, omdat ‘het internet’ en ‘Silicon Valley’ zich niets zouden aantrekken van wetgeving. Een Brit wordt tijdens het websurfen maandelijks 468 keer zo intensief bespioneerd door Rubicon dan u en ik. Dankzij de wet.
Dat maakt de Europese inertie rondom E-Privacy extra zuur. Na het monumentale succes van het aannemen van de AVG medio 2016, had de Europese Commissie goede hoop dat haar voorstel binnen anderhalf jaar langs het Europees Parlement en de lidstaten te loodsen, allicht met wijzigingen. Niet in een Richtlijn, maar in een zogeheten Verordening, zodat in een klap in heel Europa dezelfde normen zouden gelden, met Europese harmonisatie en rechtszekerheid als gevolg. Op specifieke punten ondermijnde het voorstel de algemene privacybescherming van de AVG, en waren datatoezichthouders daarover niet te spreken. Het waren toch vooral de EU-lidstaten die spaken in de wielen staken, daartoe ingefluisterd door invloedrijke E-Commercebedrijven. Hun poging is op zich begrijpelijk: online adverteren groeide uit tot een miljardenindustrie en verscherping van criteria voor online volgen raakt direct het businessmodel van ‘s werelds grootste bedrijven.
Als de wetgevende macht de knoop niet durft door te hakken, nemen burgers, bedrijven en de rechter het heft in eigen hand. Dus ontwikkelt niet de politiek, maar de industrie inmiddels eigen standaarden, spannen burgerorganisaties procedures aan
Invloedrijke lobby
In alle wetgeving doemen beleidsdilemma’s op. Hoe de afweging tussen volgen en privacy moet uitvallen is een inherent politieke keuze, uiteraard binnen de kaders van de Europese grondrechten. Maar waarom liet de EU zich zo inkapselen en kwam zij niet tot een compromis? Als dewetgevende macht de knoopniet durft door te hakken,nemen burgers, bedrijven en de rechter het heft in eigen hand. Dus ontwikkelt niet de politiek, maar de industrie inmiddels eigen standaarden, spannen burgerorganisaties procedures aan.
Helaas vaardigen nationale datatoezichthouders sterk verschillende opinies uit. Van de Franse toezichthouder mag een website gebruikers die volgtechnieken voor marketingdoelen weigeren niet weren. In Oostenrijk en Nederland lijken de autoriteiten minder streng: privacybewuste gebruikers moeten een website kunnen raadplegen ‘bijvoorbeeld na betaling’. Privacy voor de rijken, surveillance voor de armen en voor multinationals en burgers een andere website in ieder land. Het duurt nu zo lang, dat zelfs de opperrechters van het EU Hof van Justitie in de Planet49-uitspraak van 1 oktober jl. voor de troepen uit verduidelijken dat het toestemmingsvereiste voor online tracking uit de E-Privacy Richtlijn van 2009 niet onder het niveau van de AVG mag gaan. Zelfs al had zij dat gewild, kan de Europese wetgever die beleidskeuze niet meer zelf maken.
De EU was de afgelopen jaren niet bij machte om mee te dansen in het miljardenbal rondom online adverteren en privacy. Een nieuw parlement, een nieuwe Commissie, een nieuw voorstel van het Finse voorzitterschap: nieuwe kansen? Vooralsnog is de verwachting achter de schermen dat de invloedrijke lobby van dataverzamelaars de EU instituties wederom in hun hemd zet. Niet alleen rechtszekerheid, maar vooral de Europese parlementaire democratie is dan de grote verliezer.