Tag Archives: data protection

79e FD Column: Privacy voor Europese data buiten de EU komt niet van Europese politiek, maar van multinationals

Deze column staat in Het Financieele Dagblad van 23 juli 2020. Volg deze link voor mijn eerdere FD columns.

In de wereld van intercontinentaal dataverkeer heeft de Europese Commissie (EC) al decennia patent op juridische luchtkastelen, dansen op de vulkaan en gezichtsverlies. Het Europees Hof van Justitie (EU-Hof) heeft er schoon genoeg van. Vorige week vernietigde het EU-Hof voor de tweede keer een bilaterale deal (Schrems II) voor datatransport tussen Europa en de Verenigde Staten, het zogenaamde Privacy Shield. Eind 2015 had het EU-Hof de voorloper al verpulverd (Schrems I).

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Daarnaast formuleerde het EU-Hof strenge algemene criteria voor alle andere mechanismen, waaronder data-export naar alle andere landen buiten de EU. Bovendien verduidelijkte het Hof dat de datatransporterende organisaties zelf verantwoordelijk – en dus aansprakelijk – zijn wanneer een datatransport niet aan die strenge criteria voldoet.

‘De geopolitieke en economische gevolgen van de uitspraak van het EU-Hof vorige week zijn reusachtig’

Wereldwijd, ook vorige week in het FD, spreken juridische experts de hoop uit dat de EC nu eindelijk burgers en bedrijven te hulp schiet door de Amerikaanse overheid ervan te overtuigen de privacy van Europeanen te respecteren. Die ijdele hoop miskent de decennialange onmacht van de Europese Unie (EU) om ook maar iets betekenisvols af te dwingen in Washington. De Amerikaanse overheid luistert wél naar het Amerikaanse bedrijfsleven. Zonder de door het EU-Hof gevraagde verbeteringen in Amerikaanse wetgeving riskeren zij, en hun Europese zakenpartners, megaboetes en massaschadeclaims vanwege schending van Europese privacywetgeving. Niet de EC, maar het multinationale bedrijfsleven is onze enige kans op respect van de Amerikaanse, Chinese, binnenkort de Britse en welke niet-Europese overheid dan ook voor Europese datagrondrechten. Continue reading 79e FD Column: Privacy voor Europese data buiten de EU komt niet van Europese politiek, maar van multinationals

78e FD Column: Privacywet AVG zal in toekomst belofte van megaboetes en massaclaims inlossen

Deze column staat in Het Financieele Dagblad van 28 mei 2020. Volg deze link voor mijn eerdere FD columns.

Wat is twee jaar op een wetgevingsleven? Op de tweede verjaardag van de strenge privacywet AVG (Algemene Verordening Gegevensbescherming) keken toonaangevende media deze week wat somber in de achteruitkijkspiegel. De AVG zou haar belofte van privacybescherming niet waarmaken, vooral omdat megaboetes door onderbezette privacytoezichthouders uitblijven.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Verrassend genoeg kijkt vrijwel niemand door de voorruit naar wat de AVG nog in petto heeft. Toezichthouders beloven dat de megaboetes zullen komen. Het toezicht europeaniseert. Bovendien staan wij aan de vooravond van een fascinerende aardverschuiving. Van onderbezette toezichthouders verplaatst het initiatief zich stilaan naar grote groepen burgers en gretige ondernemers, die via massaschadeclaims bij de rechter hun gram en geld zullen eisen voor schendingen van de AVG. Data-gedreven organisaties schieten zichzelf in de voet als zij na de sombere tussenrapporten van deze week op hun lauweren rusten. Het echte werk begint nu pas. Continue reading 78e FD Column: Privacywet AVG zal in toekomst belofte van megaboetes en massaclaims inlossen

77e FD Column: Met dreiging massale privacyclaims kan overheid bij Corona app geen misstap maken

Deze column staat in Het Financieele Dagblad van 1 mei 2020. Volg deze link voor mijn eerdere FD columns.

In hun poging Nederland van het corona-slot te halen en de winkel te openen kregen beleidsmakers er recent een nieuwe kopzorg bij. ‘s Lands hoogste bestuursrechter, de Raad van State, verduidelijkte namelijk dat burgers na privacyschendende overheidsbesluiten schadevergoeding kunnen claimen op grond van de Europese privacywet AVG.

 

Illustratie: Hein de Kort voor het Financieele Dagblad

 

Als daadwerkelijke schade ontstaat door ondoordachte datafantasieën van de staat, bijvoorbeeld omdat miljoenen mensen vanwege een onjuiste immuniteitstest of corona-app ten onrechte inkomsten missen, dan bloedt de overheid niet alleen in de media maar ook in de portemonnee. Waarschijnlijk onbewust creëert de Raad van State hiermee een welkome extra prikkel voor de Nederlandse overheid voor doordacht, zorgvuldig en grondrechten respecterend beleid in dit unieke coronatijdperk waarin een nieuw maatschappelijk schisma zich aftekent.

Immers, naast conventionele sociale scheidslijnen als inkomen, etniciteit en geslacht bepaalt straks immuniteit tegen het coronavirus de economische waarde en sociale kansen van burgers in het maatschappelijk verkeer. Van massaal testen van burgers, via temperatuurmetingen op de werkplek tot ‘immuniteitspaspoorten’, data en technologie helpen binnenkort bepalen wie volledige bewegingsvrijheid krijgt, wie voorzorg moet betrachten en wie zichzelf wekenlang moet opsluiten. Ontstaat zo een nieuwe klassenverdeling in de samenleving, met de Immunen als Übermensch? Continue reading 77e FD Column: Met dreiging massale privacyclaims kan overheid bij Corona app geen misstap maken

76e FD Column: Virtual reality in games – adverteerdershemel, privacyhel en versneller symbiose mens en computer

Deze column staat in Het Financieele Dagblad van 10 maart 2020. Volg deze link voor mijn eerdere FD columns.

Noot vooraf: onderstaande column verscheen een paar weken voordat Nederland in een lockdown terechtkwam vanwege het Coronavirus. Miljarden mensen wereldwijd hebben inmiddels wekenlang thuis gezeten, en zullen nog maandenlang vanuit huis werken. The Washington Post publiceerde op 17 april 2020 een lezenswaardige longread die de link legt tussen virtual reality, het Coronavirus en de versnelde initiatieven in Silicon Valley om de ‘Metaverse’, het volgende internet gebaseerd op de visie van Neal Stephenson in zijn roman ‘Snow Crash’, te bouwen. 

Onlangs kondigde Elon Musk, de roemruchte ceo van Tesla en SpaceX, aan dat zijn onderneming Neuralink dit jaar zal experimenteren met haar eerste prototype hersenchip, te besturen met de iPhone. Deze samensmelting van mens en computer spreekt natuurlijk tot de verbeelding. Toch zullen u en ik niet zozeer via deze Neuralink, maar door virtual reality (VR) en augmented reality (AR) in onze computers opgaan.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Zakenbank Goldman Sachs becijfert voor het jaar 2025 een wereldwijde marktomvang van $35 mrd voor VR en AR, tamelijk spectaculair gegroeid van $12,1 mrd in 2018. VR en AR worden in nichemarkten als zorg, onderwijs en wetenschappelijk onderzoek al jaren toegepast. Maar de gamingindustrie zal de aloude toekomstvisioenen over de interactie tussen mens en computer in virtuele werelden (VR) en de met digitale lagen verrijkte publieke ruimte (AR) daadwerkelijk naar de massa brengen.

Marketeers likkebaarden bij die gedachte. Frequenter en nauwkeuriger dan cookies op een computer of een vinger op een smartphonescherm, bieden VR-technologie en AR-technologie adverteerders per milliseconde een haarscherp beeld hoe lang een consument naar iets kijkt en welke emotie hij of zij dan beleeft. Deze adverteerdershemel behelst een regelrechte hel voor de privacy en cybersecurity van consumenten. Maar waar privacyperikelen zich maatschappelijk en juridisch uitkristalliseren, zal cybersecurity, of allicht het ontbreken van beveiliging van onze biodata, bepalen of VR en AR daadwerkelijk een volgend tussenstation vormen in de symbiose van mens en computer.

‘Met VR-data kunnen zorgverzekeraars depressie, verslaving of autisme vaststellen’

Continue reading 76e FD Column: Virtual reality in games – adverteerdershemel, privacyhel en versneller symbiose mens en computer

75e FD Column: Reguleer AI niet als privacy via een algemene wet, maar met contextuele regels en specifiek toezicht

Deze column staat in Het Financieele Dagblad van 6 februari 2020. Volg deze link voor mijn eerdere FD columns.

Net als iedere nieuwe ceo of voetbaltrainer, grossiert de nieuwe Europese Commissie (EC) in grootse ambities. Na klimaatverandering volgt het realiseren van Europese waarden en soevereiniteit in de digitale wereld als het tweede grote voornemen van de nieuwe ploeg, vooral ten aanzien van kunstmatige intelligentie (AI).

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Ook al presenteert de Commissie haar concrete AI-plannen tot 2024 pas medio februari, geheel volgens traditie lekten de beleidsplannen recent toch uit. Net Prinsjesdag. De EC promoot ‘menswaardige’ AI, maar wil daartoe geen ‘specifieke resultaatverplichtingen en nieuwe rechten voor burgers’ in het leven roepen. De Commissie zet in op een nieuwe alomvattende AI-wet, naar model van de Europese privacywet AVG.

Menswaardigheid

De AVG is een significant geopolitiek succes, omdat de Europese wet nu wereldwijd wordt gekopieerd – van Brazilië tot India en Japan. Weliswaar vormt de AVG daarom een aantrekkelijk politiek frame voor de Commissie om haar AI-beleid in te gieten, maar geen adequate juridische mal. Door de AVG als blauwdruk te nemen, kan de politiek – net als bij de AVG – mooie sier maken met een ‘nieuwe AI-wet’ en – net als bij privacy – vermoeden dat het daarmee wel geregeld is, terwijl de bescherming van onze menswaardigheid in de praktijk vaak uitblijft. Europa heeft geen algemene AI-wet nodig, maar context-specifieke regels en effectief toezicht om de inbedding van AI in ons dagelijks leven menswaardig te maken. Continue reading 75e FD Column: Reguleer AI niet als privacy via een algemene wet, maar met contextuele regels en specifiek toezicht

73e FD Column: EU moet toezichthouders verplichten tot samenwerking

Deze column staat in Het Financieele Dagblad van 12 december 2019. Volg deze link voor mijn eerdere FD columns.

Tien jaar geleden al waarschuwde toenmalig Eurocommissaris voor Consumentenbescherming Meglena Kuneva in een vaak geciteerde speech dat ‘persoonsgegevens de nieuwe olie, oftewel valuta van de digitale wereld zijn’.

Al gaat de oliemetafoor niet helemaal op, de beschikkingsmacht over persoonsgegevens is inderdaad existentieel voor geopolitieke en economische macht: in 2019 zijn zeven van de acht grootste bedrijven ter wereld (naar marktwaarde) actief in de data-economie.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Gek genoeg kwam het toezicht op die economie in 2019 pas echt op gang, tien jaar – een eeuwigheid in internettijd – na Kuneva’s bezorgde speech. In 2020 zullen toezichthouders over elkaar heen buitelen met de ene na de andere megaboete om die ook door verontrustte burgers gevoelde achterstand in te halen.

Juist in die haast met boete enschuld schuilt een monumentale uitdaging. Toezichthouders van allerlei pluimage uit allerlei landen bekijken de datawereld ieder door hun eigen bril, zoals het borgen van privacy, gezondefinanciële markten, een eerlijke behandeling van consumenten, of concurrentie op een specifieke markt.

Tegelijkertijd scheren activiteiten van ondernemingen dwars door al die conceptuele afbakeningen en landsgrenzen heen. Daarin schuilt een reëel risico voor zowel toezicht als onderneming: enerzijds worden ondernemingen door de verkeerde toezichthouder onrechtmatig bestraft en draait de rechter dat later terug, anderzijds zijn toezichthouders soms te mild in hun beoordeling waar andere waakhonden in hun toets van dezelfde activiteit veel harder zouden doorbijten.

De noodzakelijke Europese wetgeving die toezichthouders dwingt tot samenwerken en delen van competentie en boetebevoegdheden, oftewel van macht en geld voor de staatskas, zal er ook in 2020 niet komen. Rechtsonzekerheid voor ondernemingen en verder wantrouwen van de burger in het beschermingsvermogen van hun overheid in de digitale wereld, zijn het kind van de rekening. Continue reading 73e FD Column: EU moet toezichthouders verplichten tot samenwerking

72e FD Column: Toekomstvisie Autoriteit Persoonsgegevens is nog lege huls zonder slagkracht en gezag

Deze column staat in Het Financieele Dagblad van 14 november 2019. Volg deze link voor mijn eerdere FD columns.

‘In de beperking toont zich pas de meester’. Misschien wel geïnspireerd door deze beroemde strofe van de Duitse schrijver, staatsman en homo universalis Johann Wolfgang von Goethe, publiceerde privacytoezichthouder Autoriteit Persoonsgegevens (AP) maandag voor het eerst een meerjarenbeleid voor toezicht op onze datasamenleving. Titel van deze strategie: ‘Focus AP 2020-2023’.

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Naarmate onze samenleving steeds sneller dataficeert, daagt de privacywet Algemene Verordening Gegevensbescherming (AVG) de structureel onderbezette waakhond AP uit om zo’n beetje alles en iedereen overal en altijd in de gaten te houden. Met haar lezenswaardige strategie en zelfopgelegde focus op ‘datahandel, digitale overheid en artificiële intelligentie & algoritmes’ beperkt de AP zich tot de kern en toont zij een glimp van meesterschap in wording.

Toch heeft de AP de grootste uitdaging nog voor de boeg. Al sinds 1 januari 2016 kan de AP hoge boetes opleggen voor privacyschendingen. Ook is de strenge privacywet AVG sinds 25 mei 2018 in werking. Maar waar andere datawaakhonden in Europa na decennia van doormodderen eindelijk voldoende budget krijgen en stevig doorbijten, houdt de overheid hier de hand ferm op de knip en moet de AP haar tanden nog laten zien. Bovendien weifelt en wankelt de AP inhoudelijk op cruciale thema’s en lijkt zij onwenselijk geobsedeerd door toestemming als de ‘gouden grondslag’ voor dataverwerkingen. Zonder slagkracht en gezag dreigt de lovenswaardige strategie van de AP alsnog te stranden in goede bedoelingen. Continue reading 72e FD Column: Toekomstvisie Autoriteit Persoonsgegevens is nog lege huls zonder slagkracht en gezag

68th FD Column: Dutch courts pave the way for sweeping mass claims following privacy violations [translation]

By popular demand, here is a quick and dirty translation of my column in the Dutch Financial Times of 25 July 2019. Follow this link for other columns (in Dutch).

What does a simple privacy breach actually cost? This straightforward question has been the subject of heated academic debate for decades. Recently, a Dutch district court gave the municipal authority of Deventer a short and effective answer: EUR 500,- plus legal costs.

The municipal authority of Deventer is probably able to pay up. However, governments and companies who process personal data of millions of people feel the heat. The stringent EU General Data Protection Regulation (GDPR), particularly in combination with the renewed Dutch Class Action (Final Settlement) Act and an international court procedure created in The Netherlands, create fertile ground in the Lower Countries for mass claims litigation lodged by international interest groups. Such collectives are now able to credibly claim EUR 500 per affected person for a simple privacy breach. Multiply that, or even EUR 50, with millions of end users, and the funk may soon hit the fan for large organisations that violate privacy laws on a large scale.

Enforcement actions by understaffed Data Protection Authorities (DPAs) have been few and far between in Europe for the past twenty years. However, funding is increasing for DPAs, as is their authority to issue fines that may even amount up to 4% of global annual turnover of a company. Especially the combination of such enforcement actions and mass claims litigation will become a game changer for privacy protections in Europe, and will force large companies and governments to handle our data in line with applicable laws, the GDPR in particular.

Visual: Max Kisman for Het Financieele Dagblad

Continue reading 68th FD Column: Dutch courts pave the way for sweeping mass claims following privacy violations [translation]

71e FD Column: Parlementaire democratie grote verliezer door onmacht EU om online privacy te reguleren

Deze column staat in Het Financieele Dagblad van 17 oktober 2019. Volg deze link voor mijn eerdere FD columns.

Iedereen realiseert zich inmiddels dat tientallen bedrijven over je schouder meekijken bij iedere klik of swipe op het wereldwijde web. Geraffineerde volgtechnieken, zoals ‘cookies’, ‘browser fingerprints’ en ‘tracking pixels’, vormen het technische fundament een online advertentiemarkt van ruim $300 mrd, $500 mrd in 2023.

De gemiddelde consument denkt dat de veelbesproken, strenge en algemene Europese privacywet AVG beschermt tegen zulke online volgpraktijken. Maar eigenlijk reguleert vooral de onbekendere specialistische E-Privacy Richtlijn, aangenomen in 2002 en voor het laatst herzien in 2009, de bescherming van privacy en het communicatiegeheim bij bellen en internetten. De Europese Commissie poogde begin 2017 de tien jaar oude regels bij de tijd te krijgen, maar tot op heden heeft de EU geen noemenswaardige stap verder gezet.

Illustratie: Hein de Kort voor het Het Financieele Dagblad

 

De realiteit haalt Brussel intussen in. Niet alleen ontwikkelt de industrie eigen spelregels voor online volgen, die uiteraard net iets gunstiger uitpakken voor de industrie. De afgelopen maanden dienden activisten op hun beurt klachten in bij datatoezichthouders en rechters over die online volgpraktijken. Een paar weken terug vulde de hoogste Europese rechters cruciale normen over E-Privacy alvast in voor de pat gestelde politici. En een paar dagen terug introduceerde het Finse voorzitterschap van de Europese Raad opnieuw een E-Privacy voorstel, maar de verwachting is dat ook deze poging de eindstreep niet zal halen. Iedereen blijft achter met rechtsonzekerheid en per land verschillende normen en beschermingsniveaus. Daarnaast is de Europese parlementaire democratie de grote verliezer. Continue reading 71e FD Column: Parlementaire democratie grote verliezer door onmacht EU om online privacy te reguleren

70e FD Column: Megaboete Marriott toont kommer, kwel en kansen bij data-gedreven fusies en overnames

Deze column staat in Het Financieele Dagblad van 19 september 2019. Volg deze link voor mijn eerdere FD columns.

Heeft u tussen 2014 en 2018 in een Sheraton-, Westin- of Le Meridien-hotel geslapen? Dan bent u bestolen, zonder dat u, 339 miljoen (!) lotgenoten en hoteleigenaar Starwood Hotels dat wisten. Pas in november 2018 werd bekend dat criminelen al die jaren niet zozeer ongemerkt miljoenen hotelkamers hebben gekraakt, maar waardevolle creditcard, paspoort-, reis- en contactgegevens hebben gejat uit een pover beveiligd reserveringssysteem.

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Zo’n reusachtige hack is op zichzelf al nieuws, maar echt uniek is de op 9 juli van dit jaar aangekondigde boete van €110 mln door Britse datatoezichthouder ICO – vooral omdat niet Starwoord, maar Marriott International Inc. moet bloeden. Die hotelgroep nam Starwood namelijk in 2016 over en moet volgens de ICO boeten omdat zij ‘faalde voldoende due diligence (boekenonderzoek) uit te voeren toen het Starwood kocht’ en daarna ‘meer had moeten doen om die systemen te beveiligen’. Continue reading 70e FD Column: Megaboete Marriott toont kommer, kwel en kansen bij data-gedreven fusies en overnames

68e FD Column: Met toekenning hoge schadevergoeding geeft rechter startschot voor massaclaims privacy

Deze column staat in Het Financieele Dagblad van 25 juli 2019. Volg deze link voor mijn eerdere FD columns.

Wat kost een basale privacyschending? Deze simpele vraag is al decennialang onderwerp van hevig academisch debat. Recent gaf een rechter ineens een kort en krachtig antwoord aan de gemeente Deventer: €500, plus proceskosten. Voor Deventer allicht betaalbaar, maar datagulzige overheden en bedrijven die persoonsgegevens van miljoenen burgers of consumenten verwerken, zijn gewaarschuwd. Zeker nu de strenge privacywet AVG en de vernieuwde Wet collectieve afwikkeling massaschade (WCAM) juist in Nederland een vruchtbare bodem creëren voor massaclaims door stichtingen, die nu €500 per getroffen persoon kunnen claimen voor een basale privacyschending. Handhaving van privacywetten door onderbezette datatoezichthouders is de afgelopen twintig jaar overal in Europa achtergebleven. Maar de combinatie van zulk toezicht met civiele massaclaims, lijkt de komende jaren meer kans te maken dataslurpers te dwingen zorgvuldiger met onze data om te gaan.

 

Illustratie: Max Kisman voor Het Financieele Dagblad

Continue reading 68e FD Column: Met toekenning hoge schadevergoeding geeft rechter startschot voor massaclaims privacy

67e FD Column: Veiligheidsdiensten willen onveilige 5G-standaard. Voor onze veiligheid

Deze column staat in Het Financieele Dagblad van 27 juni 2019. Volg deze link voor mijn eerdere FD columns.

Wij staan aan de vooravond van een samenleving waarin niet alleen onze smartphones, maar alle apparaten altijd razendsnel met elkaar zijn verbonden. ‘5G’, de nieuwe generatie mobiele communicatienetwerken, moet het fundament vormen voor een toekomstige informatiesamenleving waarin auto’s zelf rijden, fabriekslijnen zichzelf intuïtief optimaliseren en sociale media verworden tot virtuele videowerelden waarin onze avatars altijd en overal tegelijkertijd zijn.

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Die hyperverbonden toekomst is weer een stap dichterbij gekomen met de recente aankondiging van het kabinet om na de zomer 5G-vergunningen te gaan veilen. Midden in spionagebeschuldigingen en de handelsoorlog tussen China en de VS, woedt nu publiekelijk het debat of het Chinese telecombedrijf Huawei mag meedoen. Maar achter de schermen maken veiligheidsdiensten zich zorgen dat 5G te veilig wordt en zo het ouderwets afluisteren van telefoon- en internetverkeer moeilijker maakt. Hun voorstel: maak 5G-technologie dom, onveilig en onbetrouwbaar, zodat wij voor uw veiligheid ouderwets kunnen blijven afluisteren.

Dit schadelijke pleidooi gaat compleet voorbij aan de legio nieuwe mogelijkheden die de nieuwe verbondenheid biedt om de samenleving in de gaten te houden. Bovendien is cybercrime en spionage juist een hardnekkig maatschappelijk probleem geworden omdat dezelfde veiligheidsdiensten, helaas met succes, precies dezelfde paradox opwierpen rondom de GSM-standaard in de jaren 80 en vooral het Internet Protocol (‘IP’) in de jaren 90. Het is in ieders belang dat de politiek en het bedrijfsleven zich dit keer niet laten verleiden en de veiligheid van 5G juist vooropstellen. Continue reading 67e FD Column: Veiligheidsdiensten willen onveilige 5G-standaard. Voor onze veiligheid