78e FD Column: Privacywet AVG zal in toekomst belofte van megaboetes en massaclaims inlossen

Deze column staat in Het Financieele Dagblad van 28 mei 2020. Volg deze link voor mijn eerdere FD columns.

Wat is twee jaar op een wetgevingsleven? Op de tweede verjaardag van de strenge privacywet AVG (Algemene Verordening Gegevensbescherming) keken toonaangevende media deze week wat somber in de achteruitkijkspiegel. De AVG zou haar belofte van privacybescherming niet waarmaken, vooral omdat megaboetes door onderbezette privacytoezichthouders uitblijven.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Verrassend genoeg kijkt vrijwel niemand door de voorruit naar wat de AVG nog in petto heeft. Toezichthouders beloven dat de megaboetes zullen komen. Het toezicht europeaniseert. Bovendien staan wij aan de vooravond van een fascinerende aardverschuiving. Van onderbezette toezichthouders verplaatst het initiatief zich stilaan naar grote groepen burgers en gretige ondernemers, die via massaschadeclaims bij de rechter hun gram en geld zullen eisen voor schendingen van de AVG. Data-gedreven organisaties schieten zichzelf in de voet als zij na de sombere tussenrapporten van deze week op hun lauweren rusten. Het echte werk begint nu pas.

Het tussenrapport van de AVG had inderdaad fraaier gekund. Terwijl de samenleving zich op 25 mei 2018 handenwrijvend opmaakte voor de bijltjesdag van ‘big tech’, kwam het in twee jaar tijd in heel Europa tot maar vier substantiële privacyboetes. Toezichthouders moesten, net als iedereen, de ingewikkelde AVG nog in de vingers krijgen. Daarnaast richtten zij zich helaas vooral op voorlichting en de afhandeling van individuele klachten met weinig maatschappelijke impact, in plaats van harde handhavingsacties tegen structurele privacyschendingen die angst inboezemen bij de cowboys van de datawereld.

‘Overal in Europa houdt de politiek privacytoezichthouders doelbewust klein’

In hun berichtgeving wijzen de Europese media terecht op de inhoudelijke groeipijnen en het onbegrijpelijke tekort aan budget van sommige toezichthouders, terwijl het werkveld explosief toeneemt naarmate onze informatiesamenleving dataficeert. Dus moeten privacywaakhonden op vrijwel alles toezicht houden. De Autoriteit Persoonsgegevens (AP) scoort met een budget van een slordige €18 mln per jaar iets boven het Europese gemiddelde voor privacytoezichthouders. Maar vergeleken bij waakhonden in andere werkdomeinen is dit bedrag een schijntje. De Autoriteit Consument & Markt (ACM) is bijvoorbeeld ruwweg vier keer zo groot in budget en mankracht. Aan dit tekort liggen geen financiële overwegingen ten grondslag: effectief toezicht moet de schatkist via megaboetes geld kunnen opleveren. Overal in Europa houdt de politiek privacytoezichthouders doelbewust klein.

Boete en schuld

Twee jaar staat in handhavingstijd in verhouding tot het afstuderen in een mensenleven. Nu solliciteren de AVG en toezichthouders naar het echte werk. De Ierse privacytoezichthouder Data Protection Commission (DPC) kondigde vorige week aan dat twee grote Amerikaanse techfirma’s de komende maanden een megaboete kunnen verwachten. Het is hiervoor alleen nog wachten op de inbreng van andere Europese toezichthouders op hun oordeel. Denktank Future of Privacy Forum bracht onlangs de meerjarenplannen van twaalf waakhonden in kaart in het lezenswaardige rapport ‘New Decade, New Priorities’. Alle twaalf beloven ze de focus te verleggen van voorlichting naar boete en schuld.

De European Data Protection Board (EDPB), het samenwerkingsverband van nationale toezichthouders, zal zich de komende maanden net als veel nationale waakhonden storten op privacy in de financiële sector, bij connected cars, de schimmige online advertentiewereld en op de bescherming van kinderen (specifiek gericht op sociale media en apps). Waar de EDPB altijd al Europese normen vaststelde voor de uitleg van privacywetgeving, werkt de EDPB voor het eerst ook aan een eigen handhavingsagenda. Deze europeanisering vormt een fascinerende nieuwe fase in het privacytoezicht. Helemaal, nu kleine nationale toezichthouders vaak niet zijn opgewassen tegen de macht en innovatiekracht van grote techbedrijven.

Disciplineren

Straks, bij de vierde verjaardag van de AVG, kan niemand heen om haar ruimhartige bepalingen over, en de impact van, massaschadeclaims op privacybescherming. Grote groepen burgers, en de principiële belangenorganisaties en geldgedreven claimvehikels die in hun naam procederen, zullen de komende jaren data-gedreven organisaties voor de rechter dagen voor genoegdoening.

In lage rechtbanken, ook in Nederland, kennen rechters al enkele honderden euro’s toe aan slachtoffers van privacyschendingen. Vermenigvuldigd met de soms tientallen miljoenen afnemers van datadiensten, zal dit risico op miljardenclaims data-gedreven organisaties verregaander disciplineren. In Frankrijk en het Verenigd Koninkrijk lopen al procedures tegen Google, Marriott Hotels en British Airways. Gelet op het gunstige juridische klimaat voor internationale massaclaims zal Nederland snel volgen.

De europeanisering van toezicht en massaschadeclaims: waar hebben we dat eerder gehoord? De afgelopen decennia sleepte privacy zich, als de houten poot van een piraat, altijd al voort in het voetspoor van het mededingingsrecht. Waar de media nu de loftrompet steken over Eurocommissaris Margrethe Vestager en haar miljardenboetes aan big tech voor marktmisbruik, lijkt men vergeten dat het mededingingsrecht sinds de jaren tachtig een moeizame weg aflegde en voor schenders veranderde van onschuldige baby tot serieuze volwassene waar je rekening mee houdt. Pas na een dozijn megaboetes komt daadwerkelijke cultuurverandering in alle Boardrooms.

Twee jaar AVG lijkt voor nieuwsmedia een lange tijd om je te bewijzen, maar is in feite kort dag in handhavingstijd. Wie zijn blik op de toekomst richt, ziet dat de volwassenwording van de AVG aanstaande is.