All posts by axelarnbak

104e FD Column: EU-Hof waakt met Ubo-uitspraak voor datawillekeur

Deze column staat in Het Financieele Dagblad van 23 november 2022. Volg deze link voor mijn eerdere FD columns.

Het Ubo-register leidde tot controverse, vooral onder rechtspersonen die in Ubo staan, maar nu acht het EU-Hof de noodzaak voor totale openbaarheid onvoldoende bewezen. Volgens Axel Arnbak toont de beperking van de toegang tot het Ubo-register aan dat tijdperk van datawillekeur voorbij is.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Dinsdag verbood het Hof van Justitie van de Europese Unie de openbare toegankelijkheid van het Ubo-register, waarin de persoonsgegevens van bedrijfseigenaren en aandeelhouders van rechtspersonen via het internet te raadplegen zijn. De Belastingdienst en opsporingsdiensten kunnen voor witwas- en fraudebestrijding een afgeschermd Ubo-register blijven raadplegen. Maar het openstellen ervan voor het brede publiek behelst een te ernstige privacyschending van miljoenen Europeanen.

Na vergelijkbare uitspraken over openbare registers met data van ontvangers van landbouwsubsidies, en niet-openbare dataverzamelingen van vlucht- en telecomgegevens, trekt het EU-Hof met de Ubo-uitspraak de lijn door die het in 2010 inzette. Wetgeving die privacy van burgers aantast, vergt een concrete aanleiding en precisie. Het tijdperk van datawillekeur is voorbij. Het EU-Hof zal niet aarzelen de wetgever te corrigeren, als wetgeving wordt aangenomen die het registreren of verzamelen van persoonsgegevens verplicht stelt, zonder beperking en bewijs dat de ingreep op digitale vrijheid noodzakelijk is. Continue reading 104e FD Column: EU-Hof waakt met Ubo-uitspraak voor datawillekeur

103e FD Column: Halfbakken nationale privacywet schaadt ook de economie

Deze column staat in Het Financieele Dagblad van 12 september 2022. Volg deze link voor mijn eerdere FD columns.

De WODC-evaluatie van vorige week kraakt kritische noten over de nationale Uitvoeringswet AVG (UAVG). Sectororganisaties werken amper de gestelde normen uit en het toezicht van de Autoriteit Persoonsgegevens is onvoldoende. Er is veel meer mogelijk, als de politieke wil maar daar is, schrijft advocaat en onderzoeker Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Naarmate onze informatiesamenleving verder dataficeert, treedt privacy steeds meer op de voorgrond als een noodzakelijke, maar complexe randvoorwaarde voor een menswaardig bestaan in een gezonde data-economie. De nu ruim vier jaar geldende Europese privacywet AVG is verrassend succesvol gebleken in de bescherming van onze privacy, die de laatste decennia langzaam erodeerde.

Hoewel deze verordening het privacyrecht grotendeels gelijktrekt binnen de Europese Unie, is er voor de lidstaten toch veel speelruimte om privacywetgeving en -toezicht op nationaal niveau verder vorm te geven. In Nederland is er dan ook een nationale Uitvoeringswet AVG (UAVG), die net als de AVG van kracht is sinds 2018.

Kritisch
In opdracht van het Wetenschappelijk Onderzoek- en Documentatiecentrum (WODC) verscheen vorige week een vrij vernietigende evaluatie van de UAVG. Het rapport Bescherming gegeven? kraakt kritische noten over het gebrek aan ‘verdere concretisering en specifieke invulling’ van de open normen uit de AVG in de nationale wet. Ook het ‘operationaliseren van normen’ door sectororganisaties gebeurt in Nederland amper. In lijn met eerdere evaluaties is het rapport ook kritisch over het optreden van toezichthouder Autoriteit Persoonsgegevens (AP).

De toegevoegde waarde van de UAVG is dan ook ‘beperkt’, terwijl in andere lidstaten de wetgever, toezichthouder en sectoren beter presteren dan in Nederland. Juist nu onze wereld zo stormachtig dataficeert, zijn duidelijke spelregels nodig voor zo’n complex juridisch onderwerp. Dat kan immers de economie stimuleren waar mogelijk, en privacy beschermen waar noodzakelijk.

‘Bescherming van privacy blijft cultureel en historisch bepaald en is dus ook een nationale kwestie’

Continue reading 103e FD Column: Halfbakken nationale privacywet schaadt ook de economie

102e FD Column: Disrespect lidstaten voor uitspraken EU-Hof alarmerend

Deze column staat in Het Financieele Dagblad van 25 juli 2022. Volg deze link voor mijn eerdere FD columns.

Verschillende uitspraken van het EU-Hof geven aan dat de bewaarplicht van bel- en internetgegevens door providers illegaal is. Toch willen veel EU-landen vasthouden aan de bewaarplicht. In Nederland wordt dat hopelijk anders, schrijft Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Dat eeuwige waakzaamheid de prijs is van vrijheid is in het hoofdpijndossier bewaarplicht telecomgegevens nog een understatement. Dankzij een serie uitspraken van het Hof van Justitie van de Europese Unie (EU-Hof) in Luxemburg is wetgeving die telecom- en internetaanbieders verplicht de bel- en internetgegevens van alle klanten te bewaren, al sinds 2014 illegaal.

Zo’n bewaarplicht staat gelijk aan massasurveillance van de gehele bevolking zonder concrete reden. Het is in strijd met privacy, het communicatiegeheim, onze vrijheid van meningsuiting en denken, en de onschuldpresumptie.

In weerwil van de uitspraken van het EU-Hof houden sommige EU-lidstaten toch vast aan zo’n bewaarplicht. Ieder vasthouden aan de bewaarplicht toont een diepgeworteld disrespect voor de rechtstaat en vrijheid. Het laat ook zien waarom het recente voorstel van het kabinet voor toetsing van nationale wetgeving aan de Grondwet essentieel is om vrijheid in Nederland blijvend te waarborgen. Continue reading 102e FD Column: Disrespect lidstaten voor uitspraken EU-Hof alarmerend

101e FD Column: Europese waakhonden dwingen AP tot hogere privacyboetes

Deze column staat in Het Financieele Dagblad van 14 juni 2022. Volg deze link voor mijn eerdere FD columns.

Sinds de invoering van de Europese privacywet AVG in 2018 loopt het boetebeleid van de toezichthouders in de verschillende landen sterk uiteen. Nieuwe Europese richtlijnen moeten meer eenduidigheid brengen, schrijft Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

De Luxemburgse datawaakhond CNPD kondigde in juli vorig jaar een boete van €746 mln aan voor techreus Amazon wegens vermeende schendingen van de Europese privacywet AVG. De dertien boetes die de Autoriteit Persoonsgegevens (AP) tot nu toe aan het bedrijfsleven oplegde kwamen niet verder dan een duizendste daarvan.

Ook in andere Europese landen strooien datatoezichthouders met forse sancties; naast bigtechbedrijven kregen een Italiaanse telecomprovider, een Amerikaanse hotelketen, een Britse luchtvaartmaatschappij en het Zweedse modehuis H&M boetes van tientallen miljoenen euro’s opgelegd.

Decennialang was privacytoezicht in Europa meer van de wortel dan van de stok. Het leidde tot een structurele verwaarlozing van het grondrecht, vooral online, en aanzienlijke maatschappelijke onrust. De mogelijkheid in de AVG om megaboetes op te leggen was in 2018 dan ook een van de beloftes van de politiek aan de bezorgde burger. Desalniettemin stelde de AP een opvallend mild boetebeleid op, en zijn afschrikwekkende boetes in Nederland in vier jaar tijd uitgebleven.

Nieuwe realiteit
Mede door de grote verschillen tussen de lidstaten, publiceerden de gezamenlijke Europese toezichthouders half mei richtlijnen die tot uniformering van privacyboetes moeten leiden. De grootste verandering is dat de jaaromzet van een onderneming niet langer een kleine eindcorrectie omhoog of omlaag kan opleveren binnen een vooraf vastgestelde bandbreedte. De jaaromzet wordt het startpunt voor de bepaling van een boete. Bedrijven met een jaaromzet van meer dan €50 mln en die onder AP-toezicht vallen, moeten zich dus schrap zetten voor een nieuwe realiteit, waarin niet langer de wortel maar de stok op de voorgrond treedt. Continue reading 101e FD Column: Europese waakhonden dwingen AP tot hogere privacyboetes

100e FD Column: Web3 zal digitale grondrechten de nek omdraaien

Deze column staat in Het Financieele Dagblad van 9 mei 2022. Volg deze link voor mijn eerdere FD columns.

In web3 blijven de techplatforms dominant, voorspelt Axel Arnbak advocaat en onderzoeker aan het Instituut voor Informatierecht. De beloftes van privacy en decentralisatie worden in deze volgende versie van het internet vooralsnog niet ingelost.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Wordt web3, de volgende versie van het internet, de nieuwe dotcom-bubbel van onze tijd? Of staan wij aan de vooravond van een derde internettijdperk waarin wij maximale privacy genieten, en onafhankelijk zijn van machtige techbedrijven? Buiten het zicht van mainstream media, woeden fascinerende ontwikkelingen rondom Web3. Zo was onlangs, door een programmeerfoutje van ontwikkelaar AkuDreams, plotseling $34 mln aan cryptomunten weg. Afgelopen maart werd Alchemy, dat het verkeer tussen web3-apps en hun gebruikers controleert en analyseert, met een investeringsronde van $200 mln ineens gewaardeerd op $10,2 mrd.

Deze ontwikkelingen laten zien dat web3 eigenlijk niet zoveel verschilt van de huidige platformsamenleving in web 2.0. Nieuwe machtige tussenpersonen zullen opstaan, vooralsnog onder een andere naam totdat ze door Google of Amazon worden opgekocht. Deze nieuwe tussenpersonen zullen met de mantel der gebruiksgemak en softwareveiligheid de beloftes van privacy en decentralisatie in web3 gewoon omzeilen. Bovendien investeren niet alleen tussenpersonen en hun aandeelhouders, maar ook vele gebruikers van web3 hun spaargeld in cryptomunten als ether, terwijl hun digitale rechten nu al uitgehold worden. Dit financiële belang van gebruikers in het welslagen van web3 zet hun digitale rechten nog meer onder druk, dan in ons huidige internet het geval is. Continue reading 100e FD Column: Web3 zal digitale grondrechten de nek omdraaien

99e FD Column: De minister staat armoedebestrijding in de weg

Deze column staat in Het Financieele Dagblad van 1 april 2022. Volg deze link voor mijn eerdere FD columns.

Tienduizenden ouderen die geen volledige AOW uitkering krijgen kunnen daarop een aanvulling ontvangen. Toch gebeurt dat niet. Minister Carola Schouten geeft de privacywet AVG hiervan de schuld, maar dat is aperte onzin, schrijft Axel Arnbak. Wordt de AVG hier gebruikt als politieke schaamlap, snappen ambtenaren de privacywet niet, is het luiheid, of speelt er iets anders? Minister Schouten mag het weten.

Een slim politicus gebruikt een strenge wet als excuus voor politiek falen. Deze wetmatigheid uit politiek Den Haag leidde de afgelopen jaren al tot diepe maatschappelijke drama’s, zoals het toeslagenschandaal. Hierbij volgde de Belastingdienst en de Bestuursrechter de wet te star, en werd weggekeken van de reële problemen van mensen in financiële verdrukking. Politici gebruiken ook geregeld de privacywet AVG als zondebok.

Eerder deze maand verklaarde Carola Schouten, minister voor Armoedebestrijding, dat tienduizenden ouderen geen aanvulling op hun AOW tot het bijstandsniveau ontvangen. Ook al zou de Sociale Verzekeringsbank wel kunnen weten wie zij zijn, de AVG zou het onmogelijk maken de ouderen proactief te benaderen.

Dat klinkt weliswaar logisch, maar het is aperte onzin. De AVG biedt juist ruimte aan de politiek om privacy in gerechtvaardigde gevallen opzij te schuiven voor een groter goed, zoals de volksgezondheid of armoedebestrijding. Door de AVG onterecht als schaamlap te gebruiken, schaden politici als minister Schouten bovendien de maatschappelijke legitimiteit van privacybescherming. Continue reading 99e FD Column: De minister staat armoedebestrijding in de weg

98e FD Column: Massaclaims lang niet altijd kansrijk

Deze column staat in Het Financieele Dagblad van 11 februari 2022. Volg deze link voor mijn eerdere FD columns.

Ook al is de AVG geschonden, zonder concrete schade krijg je geen cent, schrijft advocaat Axel Arnbak in zijn expertbijdrage. Dat is een grote barrière voor het succes van de gevreesde massaclaims: het individu moet de geleden schade zelf bewijzen én aantonen dat die schade tastbaar is.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Privacy prijkt deze week weer prominent op de pagina’s van de landelijke pers. Maandag berichtte het FD over Nederland als mondiaal epicentrum voor de hausse aan schadeclaims over privacy. Dinsdag stond deze krant, tot aan de voorpagina, bol van het nieuws dat het verdienmodel van 80 procent van alle Europese websites pardoes onder druk zou staan, nadat de Belgische datatoezichthouder een veelgebruikte methode voor het verzamelen van toestemming voor persoonsgebonden online advertenties in strijd verklaarde met de strenge privacywet AVG. Alle adverteerders moeten nu vrezen voor massaclaims van miljoenen internetgebruikers in Nederland, was de omineuze ondertoon van advocaten op woensdag in deze krant.

In alle berichtgeving over boete, schuld en schade bleef een recente en relevante uitspraak van de hoogste bestuursrechter in Nederland gek genoeg onder de radar van de pers. In de nasleep van een ordinaire burenruzie over een camper, stalking en een datamisser van de gemeente Eindhoven, bevestigde de Afdeling bestuursrechtspraak van de Raad van State op 26 januari nog maar eens dat de lat voor het toekennen van schadevergoeding vanwege een AVG-schending torenhoog ligt in Nederland. Ook al is de AVG geschonden, zonder concrete gevolgen krijg je geen cent. Bovendien draag je als klager ook nog eens de bewijslast. Kortom, waar claimstichtingen en journalisten zich vol enthousiasme storten op dataschadeclaims, zijn rechters juist terughoudend. Continue reading 98e FD Column: Massaclaims lang niet altijd kansrijk

97e FD Column: Uitblijven cybersecuritywet toont onmacht EU

Deze column staat in Het Financieele Dagblad van 14 januari 2022. Volg deze link voor mijn eerdere FD columns.

Het internet der dingen is slecht beveiligd en een bron voor cyberaanvallen. Invoering van een Europese wet die dit tegengaat is broodnodig. Maar de Europese Unie komt niet over de brug, schrijft advocaat Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

De brakke beveiliging van het internet der dingen (Internet of Things, IoT) is al tien jaar een urgent maatschappelijk probleem. Slecht beveiligde webcams laten criminelen achter de voordeur meekijken of u een dure auto, kunstwerk of tafelzilver bezit. Connected speelgoed blijkt eenvoudig hackbaar en daarmee afluisterbaar via ingebouwde microfoons. Bovendien verbouwen cybercrimegroepen en landen als Rusland al die honderdduizenden kwetsbare IoT’s op de markt tot krachtige digitale netwerken voor het lanceren van cyberaanvallen.

Truc
De Europese Commissie (EC) klaagt al jaren en bij herhaling dat de EU-lidstaten en de industrie pogingen tot serieuze cybersecuritywetgeving blokkeren. Daarom gaat de EC soms onder de radar en neemt zij het heft in eigen handen. Deze week gebruikte de EC stilletjes een oude Europese wet over radioapparatuur voor een eigenstandige beleidsbeslissing om alle draadloze internetelektronica die in Europa op de markt komt aan minimumvereisten voor cybersecurity te laten voldoen. De Commissie plakt met deze juridische truc een pleister op een deel van de markt, al geldt de maatregel pas vanaf medio 2024. Zij spreekt daarnaast wederom de hoop uit dat er ooit een volwassen cybersecuritywet komt die niet alleen in bepaalde sectoren, producten of technologieën geldt, maar voor alle apparaten en software.

Haar behendige trucje, dat ons nog 30 maanden niet verder helpt, staat daarmee ook symbool voor de onmacht van de Europese Unie om cybersecurity maatschappijbreed te reguleren en de informatieveiligheid van alle Europese burgers, bedrijven en overheidsinstanties te beschermen. Terwijl de blauwdruk voor zo’n cybersecuritywet er met de Europese verordening AVG al ligt. Continue reading 97e FD Column: Uitblijven cybersecuritywet toont onmacht EU

96e FD Column: Rutte IV: na woorden nu ook daden voor versterking datatoezicht

Deze column staat in Het Financieele Dagblad van 17 december 2021. Volg deze link voor mijn eerdere FD columns.

Start-up Clearview AI, met software voor gezichtsherkenning, krijgt in de EU en in Nederland alle ruimte. Deze software tast onze privacy en grondrechten aan. Het nieuwe kabinet moet de start-up aanpakken, schrijft advocaat Axel Arnbak.

Foto: Amr Alfiky/The New York Times uit het Financieele Dagblad

Met een foto en een swipe een volledig dossier van een voorbijganger op straat verkrijgen: iemands cv, de prijs van zijn woning, zijn sociale mediaprofielen en de rest. Sinds de opkomst van het wereldwijde web was het wachten op een briljante charlatan die een zoekmachine voor gezichten zou bouwen en daarmee de droom van iedere dictator, en nachtmerrie voor onze vrijheid in de publieke ruimte, zou verwezenlijken. Inmiddels is die droom werkelijkheid.

Sinds de oprichting in 2017 verkoopt de Amerikaanse start-up Clearview AI zo’n zoekmachine aan overheden wereldwijd, zodat zij een foto of stilstaand beeld uit een beveiligingscamera kunnen vergelijken met meer dan 10 miljard van het web geschraapte foto’s. Zo kunnen zij in een handomdraai een kennelijk krankzinnig accurate match en achterliggend dossier verkrijgen.

Brits toezicht
Op 4 december bracht website Politico het nieuws dat Clearview AI in de Verenigde Staten een patent heeft bemachtigd, op basis waarvan de start-up kunstmatig intelligente gezichtherkenningssoftware exclusief aan overheden én consumenten kan aanbieden. De Britse datatoezichthouder ICO denkt daar anders over.

Eind november kondigde de ICO een boete van €20 mln aan wegens evidente schendingen van de Britse evenknie van privacywet AVG. Nog belangrijker, en nauwelijks opgepikt door de media, is het daarmee gepaard gaande verwerkingsverbod: Clearview AI mag voortaan geen data van Britse ingezetenen gebruiken en moet alle data van Britten verwijderen uit de eigen database.

Te weinig, te traag
De aankondiging van de ICO zegt veel over de staat van het datatoezicht in onze informatiesamenleving van eind 2021: belangrijker dan ooit, maar nog steeds te weinig en te traag. De afgelopen decennia beloofden regeringen datatoezicht te versterken, maar ontbrak steeds de daad bij dat woord. Rutte IV belooft nu beterschap, het is ook de hoogste tijd toezicht op een gezonde informatiesamenleving kernprioriteit te maken. Continue reading 96e FD Column: Rutte IV: na woorden nu ook daden voor versterking datatoezicht

95e FD Column: Opkomst kwantumsensor vereist ingrijpen politiek

Deze column staat in Het Financieele Dagblad van 22 november 2021. Volg deze link voor mijn eerdere FD columns.

De inzet van kwantumsensoren bedreigt onze privacy en veiligheid. Dat vraagt om visie en handelen vanuit de politiek, schrijft advocaat en onderzoeker Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Het zal niemand verbazen dat Albert Einstein ooit de Nobelprijs voor Natuurkunde in de wacht sleepte. Toch weten maar weinigen dat het Nobelcomité die ereprijs van 1921 niet zozeer toekende voor Einsteins relativiteitstheorie, maar ‘in het bijzonder voor zijn ontdekking van de wet van het foto-elektrische effect’ in 1905. De briljante natuurkundigen van die generatie slingerden de mensheid toen al het kwantumtijdperk in.

De laatste jaren zijn de interesse en de miljardeninvesteringen vanuit overheden en bedrijfsleven pas echt geëxplodeerd. Kwantumsensoren die door muren kunnen kijken zijn binnen handbereik. De kwantumcomputer die de rekenkracht van alle conventionele computers omverblaast, is de heilige graal, die alle bestaande versleuteling kan kraken, terwijl nieuwe kwantumcommunicatie staatsgeheimen juist onkraakbaar zou maken. Wie kwantum beheerst, kan de koers van de geopolitiek, de economie, onze samenlevingen en zelfs ons begrip van mens-zijn naar zijn hand zetten. Oftewel, kwantum is macht.

Droom van machthebber
Nu het kwantumtijdperk in een stroomversnelling lijkt te komen, rijst de urgente vraag hoe we deze omwenteling kunnen reguleren. Over deze hamvraag publiceren onderzoekers Chris Hoofnagle (UC Berkeley) en Simson Garfinkel (US Department of Homeland Security) binnenkort hun diepzinnige en belangwekkende boek Law and Policy for the Quantum Age. Zij laten zien dat beleidsmakers het kwantumtijdperk absoluut niet vanaf de zijlijn kunnen volgen. Als kwantumtechnologie de droom is van elke machthebber, zijn recht en beleid niet alleen noodzakelijk om die macht te faciliteren, maar ook om hem te controleren. Continue reading 95e FD Column: Opkomst kwantumsensor vereist ingrijpen politiek

94e FD Column: AVG dreigt een alom aanwezige zombie te worden

Deze column is gepubliceerd als Weekendessay in Het Financieele Dagblad van zaterdag 16 oktober 2021. Volg deze link voor mijn eerdere FD columns.

De AVG is complex en blijft in veel situaties een dode letter. Een debat over de toekomstige invulling van deze privacywet is hard nodig, schrijft advocaat en onderzoeker Axel Arnbak.

Illustratie: Max Kisman voor Het Financieele Dagblad

Wat hebben geavanceerde tumordiagnostiek, het smoelenboekje op school, coronabeleid op de werkvloer, en het wekelijkse krantje van de sportclub om de hoek met elkaar gemeen? Juist: privacy. Zodra er persoonsgegevens in het spel zijn, komt de strenge en ingewikkelde AVG (Algemene Verordening Gegevensbescherming) om de hoek kijken. Deze privacywet trad in mei 2018 in werking.

Hoe kan het gebeuren dat radiologen ondanks spectaculaire resultaten kunstmatige intelligentie nauwelijks durven in te zetten bij het diagnosticeren van tumoren? Dat ouders geen smoelenboekje meer krijgen van de klas van hun kind? Dat werkgevers grote moeite hebben popelende collega’s toe te laten op de werkvloer? En dat de naam van een overigens trotse doelpuntenmaker niet meer wordt gepubliceerd in het weekkrantje van de voetbalclub? Juist, de AVG.

Weliswaar staat de AVG ook veel datapraktijken toe, maar voor professionals en gewone mensen zonder toegang tot hoogwaardige datajuristen is de AVG zo’n groot obstakel, dat zij de AVG aan hun laars lappen of de handdoek in de ring gooien. Zo dreigt de AVG een dode letter te worden voor grote groepen organisaties en burgers.

Deze ontwikkeling baart privacywetenschappers al jarenlang zorgen. Dat is niet omdat wij tegen privacy zijn, of tegen de over het algemeen verrassend goed functionerende AVG bij het reguleren van de grote datakwesties van deze tijd. Het is omdat juist alledaagse of multidisciplinaire kwesties door de AVG in het gedrang komen.

Buitensporig
In een advies van vorige week sloeg de hoogste adviseur van het Europees Hof van Justitie van de EU, de advocaat-generaal Michal Bobek, de spijker op zijn kop: ‘Het draagt niet bij aan het gezag of de legitimiteit van wetgeving, inclusief de AVG, wanneer die wordt genegeerd wegens het buitensporige karakter ervan.’ De oplossing voor deze buitensporigheid is tweezijdig: beperk de werkingssfeer van de AVG en maak niet van ieder dataprobleem meteen een AVG-kwestie. Deze ingrepen zijn hard nodig voor de draagkracht van privacy in onze datasamenleving, en om de zombievorming van de AVG tegen te gaan.

De Tilburgse hoogleraar Bert-Jaap Koops schreef al in 2014 een nog steeds actuele en geestige kritiek op de voorstellen van de Europese Unie voor een nieuwe privacywet, die twee jaar later zouden uitmonden in de AVG. In zijn essay ‘The trouble with European data protection law’, vergelijkt Koops de AVG met de zombie uit de film The Trouble with Harry (1955) van Alfred Hitchcock. Het ‘probleem met Harry’ was dat de hoofdpersonen maar niet van het levenloze lichaam van zombie Harry afkwamen. Met een knipoog naar de film, waarschuwde Koops dat langzamerhand alle gegevens op zichzelf of in combinatie met andere data binnen de ruime definitie van ‘persoonsgegeven’ vallen.

Remmende werking
Zo kan de AVG regulerende luiheid in de hand werken, omdat politici en bestuurders, bewust of onbewust, complexe en multidisciplinaire kwesties als tumoronderzoek, toegang tot financiële producten of coronapreventie vooral zien door de lens van de AVG als een issue van transparantie en toestemming. In plaats van te beseffen dat de volksgezondheid of eerlijke kansen bij een hypotheek soms vergen dat een arts of bank geavanceerde data-analyse van gevoelige data moeten toepassen. En dat daarvoor sectorspecifieke wetgeving nodig is.

‘Het demissionair kabinet verbreekt weer de belofte om de Autoriteit Persoonsgegevens meer budget te geven’

Daarnaast is de strenge privacywet AVG ook in weinig zorgwekkende relaties volledig van kracht. Alleen in het eigen huishouden achter de voordeur is de AVG niet van toepassing. Maar de AVG biedt geen uitzondering, of lichter regime, voor een lokale sportclub of buurtinitiatief.

Een paar weken geleden publiceerde advocaat-generaal Bobek, die al talloze invloedrijke data-adviezen schreef over de datasamenleving die het EU-Hof vervolgens overnam in haar uitspraken, een warm aanbevolen en diepzinnige opinie over ‘het probleem’ van de AVG. ‘Mensen zijn sociale wezens (..). Moet nagenoeg elke uitwisseling van informatie onder de AVG vallen?’, zo schreef hij.

Bobek laat zien dat de AVG ook integraal van toepassing is op een cafégesprek, waarbij disgenoten elkaar een berichtje laten zien van een buurman en daarop een ‘weinig vleiende opmerking’ volgt. AVG overtreding, want zij hadden eerst toestemming moeten vragen aan die buurman vóór het tonen van dat appje. Bobek bespreekt een aantal van dit soort voorbeelden en noemt de vergaande reikwijdte van de AVG ‘bizar’, juist vanwege haar alomvattendheid. Hij voorspelt dat de AVG ‘feitelijk een van de meest veronachtzaamde’ wetten van de EU wordt.

Hij adviseert de Europese wetgever met klem om bij de aanstaande herziening van de AVG deze alomvattendheid te begrenzen. Dit kan bijvoorbeeld door niet-geautomatiseerde gegevensverwerkingen (het cafégesprek) uit te zonderen, te focussen op ‘behoorlijk gebruik’ in plaats van het begrip persoonsgegeven, en het aanbrengen van andere ‘minimumdrempels’, zoals daadwerkelijk nadeel (zoals schade). Bobek acht dit broodnodig, opdat de Europese privacyregels zich kunnen ‘heroriënteren op de activiteiten waarvoor zij eigenlijk waren bedoeld’.

Precies in die laatste opmerking wringt in de dagelijkse praktijk vaak de schoen. Enerzijds gooien tumoronderzoekers,  leerkrachten, werkgevers en voetbalclubs hun innovaties, leuke plannen of privacy vanwege de AVG in de prullenbak. Anderzijds komt de aanpak van de grote datakwesties maar mondjesmaat op gang.

Meer geld
Tot ieders ongenoegen brak het demissionair kabinet met Prinsjesdag, voor de zoveelste keer en tegen de wens van de Tweede Kamer, zijn belofte om het budget van de Autoriteit Persoonsgegevens significant uit te breiden. Er komt geen stuiver bij terwijl een verviervoudiging van het budget noodzakelijk is. Dat is dodelijk voor de draagkracht van de AVG. Het is de hoogste tijd voor debat over de heroriëntatie van de AVG op de reële problemen en excessen van de datawereld, voordat de privacywet als een zombie door de datasamenleving rondwaart.

93e FD Column: De megaboete voor WhatsApp – Transparantie klinkt goed, maar verbetert privacy amper

Deze column staat in Het Financieele Dagblad van 14 september 2021. Volg deze link voor mijn eerdere FD columns.

Het privacyrecht vereist dat een website je informeert over wat er met je data gebeurt. Dit leidt tot een steeds grotere overkill aan privacyvoorwaarden. Politici moeten beseffen dat de transparantieverplichtingen uit de AVG geen wondermiddel zijn. Ze moeten veel nadrukkelijker meebeslissen hoe privacy te borgen in onze datasamenleving, schrijft Axel Arnbak.

Illustratie: Hein de Kort voor Het Financieele Dagblad

Bent u van plan het privacybeleid te lezen van elke website die u bezoekt? Wetenschappers becijferden al in 2010 dat u daarvoor minimaal 76 werkdagen per jaar nodig hebt. En als het aan de gezamenlijke Europese datatoezichthouders ligt, hebt u voortaan nóg meer tijd nodig om te lezen wat welke organisatie op het wereldwijde web met uw data doet, en waarom.

Op 2 september publiceerde de Ierse datawaakhond onder mondiale media-aandacht zijn besluit om een forse boete, van €225 mln, op te leggen aan berichtendienst WhatsApp. Het privacybeleid van WhatsApp zou niet voldoen aan de strenge transparantievereisten uit de roemruchte Europese datawet AVG. Het besluit heeft niet alleen voor WhatsApp, maar voor iedereen verregaande gevolgen: het tijdperk van honderden pagina’s tellende privacyvoorwaarden is aanstaande. Continue reading 93e FD Column: De megaboete voor WhatsApp – Transparantie klinkt goed, maar verbetert privacy amper