Deze column staat in Het Financieele Dagblad van 5 juli 2021. Volg deze link voor mijn eerdere FD columns.
Drie jaar na de invoering van de Europese privacywet AVG is het toezicht op de datawereld nog niet goed geregeld. Maar een recente uitspraak van het EU-Hof is een goede stap richting één krachtig loket per internationale klacht, schrijft Axel Arnbak.
Illustratie: Hein de Kort voor Het Financieele Dagblad
Tot grote tevredenheid van de Europese Commissie en de Tweede Kamer heeft de strenge en complexe privacywet AVG in drie jaar tijd een indrukwekkend impuls gegeven aan onze privacy. Desondanks, en weinig verrassend, constateren Commissie en Kamerleden ook dat het toezicht op die datawereld zich nog steeds als een houten piratenpoot achter de razendsnelle ontwikkelingen aansleept.
Dat is niet alleen omdat het budget van alle datatoezichthouders ver onder de maat is. In de praktijk werkt ook het één-loketmechanisme niet naar behoren. Dat mechanisme schrijft voor dat de nationale toezichthouder in de EU-lidstaat waar een multinational zijn hoofdvestiging heeft, de leiding neemt in pan-Europese handhavingsonderzoeken. Waakhonden in de andere EU-lidstaten mogen meedenken, maar niet meebeslissen.
De grote belofte dat datatoezicht op multinationals zo internationaler, toegankelijker en afschrikwekkender zou worden is nauwelijks ingelost. Op 15 juni legde het Hof van Justitie van de Europese Unie in Luxemburg de vinger op de zere plek, in een langverwachte uitspraak in een dispuut tussen Facebook en de Belgische datatoezichthouder. De leidende toezichthouder, de Ierse in dit geval, heeft de macht, de Belgen mogen alleen in uitzonderlijke gevallen buiten de Ieren om zelf tot actie overgaan.
Grote verantwoordelijkheid
Maar de AVG verplicht de leidende toezichthouder ook tot ‘oprechte en effectieve’ samenwerking met andere bezorgde datawaakhonden. Er is geen plek voor passiviteit, ook niet als een datatoezichthouder te druk is of geen belangstelling heeft in een zaak die voornamelijk burgers uit andere landen treft. De leidende toezichthouder draagt dus een grote verantwoordelijkheid voor het welslagen van de internationale handhaving van de Europese privacyregels.
Tussen de regels door is hier een les te lezen voor multinationals; zij moeten hun leidende toezichthouder al in een vroeg stadium helpen hun standpunt te verdedigen in pan-Europese kwesties. Anders riskeren zij alsnog te worden geconfronteerd met 26 andere afzonderlijke toezichthouders, en hun nationale wetgeving, talen en politieke voorkeuren.
De epische totstandkomingsgeschiedenis van de AVG vestigde een Europees record met ruim 4000 (!) amendementen. Een vaak vergeten episode is dat uiteindelijk juist de Europese lidstaten het niet eens konden worden over toezicht, geld en macht. Er was snel consensus dat de boetebevoegdheid omhoog moest van nihil naar 4% van de wereldwijde jaaromzet van een multinational. Maar de Europese Commissie en veel burgers hoopten op één sterke Europese toezichthouder, om zo tegenmacht te bieden aan onstuimig groeiende techbedrijven.
Stroperige onderhandeling
Dat bleek een horde te ver: de lidstaten en hun toezichthouders wilden de macht en het spek voor de staatskassen niet aan Brussel overdragen. Tegelijkertijd snapte iedereen ook wel dat het gefragmenteerde nationale toezicht van toen niet meer werkte in een hyperverknoopte mondiale informatiesamenleving. Toen de andere hoofdstukken van de AVG allang klaar waren, onderhandelden de lidstaten en hun toezichthouders nog maandenlang over internationaal toezicht, met het één-loketmechanisme tot gevolg.
In kleinere landen vallen de boetes van de toezichthouders vaak veel lager uit dan in Frankrijk of in Duitsland
Deze tussenoplossing komt vrijwel niet van de grond, omdat de samenwerking tussen de 27 nationale toezichthouders in internationale handhavingsonderzoeken stokt. Onderbezette nationale toezichthouders hebben al moeite genoeg om alle ballen binnen de eigen landsgrenzen in de lucht te houden, laat staan zaken te leiden waarin een multinational de rechten van burgers uit andere landen zou hebben geschonden. De Franse en Duitse toezichthouders deinzen er niet voor terug om boetes van tientallen miljoenen euro’s uit te delen, in kleinere landen vallen die boetes interessant genoeg veel lager uit.
Het EU-Hof herhaalt in haar uitspraak nog maar eens de wens van de Europese wetgever in de AVG. De bevoegdheid tot optreden ligt in principe bij de leidende toezichthouder, tenzij een kwestie puur over ingezetenen of een vestiging van een multinational binnen de landsgrenzen van een EU-lidstaat gaat, of er sprake is van uitzonderlijke ‘urgentie’. Waar de AVG nalaat ‘urgentie’ te definiëren, benadrukt het EU-Hof dat daarvan sprake kan zijn als een leidend toezichthouder niet meewerkt aan een verzoek van een andere waakhond om datapraktijken te onderzoeken bij een multinational met een hoofdvestiging binnen het grondgebied van de leidende toezichthouder. In dat geval is het denkbaar dat multinationals zich alsnog met 27 verschillende waakhonden geconfronteerd zien.
Route naar volwassenheid
De uitspraak van het EU-Hof kan voor een cultuuromslag zorgen in het internationale bedrijfsleven. Momenteel blijven de meeste multinationals zo ver mogelijk weg van enge waakhonden. Maar zij die willen profiteren van het één-loketmechanisme doen er verstandig aan een werkrelatie op te bouwen met hun nemesis, zodat internationale kwesties bij één loket kunnen worden afgehandeld. Op hun beurt dienen de leidende toezichthouders ook over de landsgrenzen hun verantwoordelijkheid te nemen om de handhaving van de AVG pan-Europees te laten slagen. Europees uniforme regels en toezicht, dat was nu net het kerndoel van de AVG.
Zo lang europeanisering van toezicht onhaalbaar blijkt, is met de uitspraak van het EU-Hof een functionerend één-loketmechanisme de enige marsroute voor het houten piratenpoot van de AVG richting volwassenheid.