Tag Archives: Oversight

79e FD Column: Privacy voor Europese data buiten de EU komt niet van Europese politiek, maar van multinationals

Deze column staat in Het Financieele Dagblad van 23 juli 2020. Volg deze link voor mijn eerdere FD columns.

In de wereld van intercontinentaal dataverkeer heeft de Europese Commissie (EC) al decennia patent op juridische luchtkastelen, dansen op de vulkaan en gezichtsverlies. Het Europees Hof van Justitie (EU-Hof) heeft er schoon genoeg van. Vorige week vernietigde het EU-Hof voor de tweede keer een bilaterale deal (Schrems II) voor datatransport tussen Europa en de Verenigde Staten, het zogenaamde Privacy Shield. Eind 2015 had het EU-Hof de voorloper al verpulverd (Schrems I).

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Daarnaast formuleerde het EU-Hof strenge algemene criteria voor alle andere mechanismen, waaronder data-export naar alle andere landen buiten de EU. Bovendien verduidelijkte het Hof dat de datatransporterende organisaties zelf verantwoordelijk – en dus aansprakelijk – zijn wanneer een datatransport niet aan die strenge criteria voldoet.

‘De geopolitieke en economische gevolgen van de uitspraak van het EU-Hof vorige week zijn reusachtig’

Wereldwijd, ook vorige week in het FD, spreken juridische experts de hoop uit dat de EC nu eindelijk burgers en bedrijven te hulp schiet door de Amerikaanse overheid ervan te overtuigen de privacy van Europeanen te respecteren. Die ijdele hoop miskent de decennialange onmacht van de Europese Unie (EU) om ook maar iets betekenisvols af te dwingen in Washington. De Amerikaanse overheid luistert wél naar het Amerikaanse bedrijfsleven. Zonder de door het EU-Hof gevraagde verbeteringen in Amerikaanse wetgeving riskeren zij, en hun Europese zakenpartners, megaboetes en massaschadeclaims vanwege schending van Europese privacywetgeving. Niet de EC, maar het multinationale bedrijfsleven is onze enige kans op respect van de Amerikaanse, Chinese, binnenkort de Britse en welke niet-Europese overheid dan ook voor Europese datagrondrechten. Continue reading 79e FD Column: Privacy voor Europese data buiten de EU komt niet van Europese politiek, maar van multinationals

78e FD Column: Privacywet AVG zal in toekomst belofte van megaboetes en massaclaims inlossen

Deze column staat in Het Financieele Dagblad van 28 mei 2020. Volg deze link voor mijn eerdere FD columns.

Wat is twee jaar op een wetgevingsleven? Op de tweede verjaardag van de strenge privacywet AVG (Algemene Verordening Gegevensbescherming) keken toonaangevende media deze week wat somber in de achteruitkijkspiegel. De AVG zou haar belofte van privacybescherming niet waarmaken, vooral omdat megaboetes door onderbezette privacytoezichthouders uitblijven.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Verrassend genoeg kijkt vrijwel niemand door de voorruit naar wat de AVG nog in petto heeft. Toezichthouders beloven dat de megaboetes zullen komen. Het toezicht europeaniseert. Bovendien staan wij aan de vooravond van een fascinerende aardverschuiving. Van onderbezette toezichthouders verplaatst het initiatief zich stilaan naar grote groepen burgers en gretige ondernemers, die via massaschadeclaims bij de rechter hun gram en geld zullen eisen voor schendingen van de AVG. Data-gedreven organisaties schieten zichzelf in de voet als zij na de sombere tussenrapporten van deze week op hun lauweren rusten. Het echte werk begint nu pas. Continue reading 78e FD Column: Privacywet AVG zal in toekomst belofte van megaboetes en massaclaims inlossen

75e FD Column: Reguleer AI niet als privacy via een algemene wet, maar met contextuele regels en specifiek toezicht

Deze column staat in Het Financieele Dagblad van 6 februari 2020. Volg deze link voor mijn eerdere FD columns.

Net als iedere nieuwe ceo of voetbaltrainer, grossiert de nieuwe Europese Commissie (EC) in grootse ambities. Na klimaatverandering volgt het realiseren van Europese waarden en soevereiniteit in de digitale wereld als het tweede grote voornemen van de nieuwe ploeg, vooral ten aanzien van kunstmatige intelligentie (AI).

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Ook al presenteert de Commissie haar concrete AI-plannen tot 2024 pas medio februari, geheel volgens traditie lekten de beleidsplannen recent toch uit. Net Prinsjesdag. De EC promoot ‘menswaardige’ AI, maar wil daartoe geen ‘specifieke resultaatverplichtingen en nieuwe rechten voor burgers’ in het leven roepen. De Commissie zet in op een nieuwe alomvattende AI-wet, naar model van de Europese privacywet AVG.

Menswaardigheid

De AVG is een significant geopolitiek succes, omdat de Europese wet nu wereldwijd wordt gekopieerd – van Brazilië tot India en Japan. Weliswaar vormt de AVG daarom een aantrekkelijk politiek frame voor de Commissie om haar AI-beleid in te gieten, maar geen adequate juridische mal. Door de AVG als blauwdruk te nemen, kan de politiek – net als bij de AVG – mooie sier maken met een ‘nieuwe AI-wet’ en – net als bij privacy – vermoeden dat het daarmee wel geregeld is, terwijl de bescherming van onze menswaardigheid in de praktijk vaak uitblijft. Europa heeft geen algemene AI-wet nodig, maar context-specifieke regels en effectief toezicht om de inbedding van AI in ons dagelijks leven menswaardig te maken. Continue reading 75e FD Column: Reguleer AI niet als privacy via een algemene wet, maar met contextuele regels en specifiek toezicht

73e FD Column: EU moet toezichthouders verplichten tot samenwerking

Deze column staat in Het Financieele Dagblad van 12 december 2019. Volg deze link voor mijn eerdere FD columns.

Tien jaar geleden al waarschuwde toenmalig Eurocommissaris voor Consumentenbescherming Meglena Kuneva in een vaak geciteerde speech dat ‘persoonsgegevens de nieuwe olie, oftewel valuta van de digitale wereld zijn’.

Al gaat de oliemetafoor niet helemaal op, de beschikkingsmacht over persoonsgegevens is inderdaad existentieel voor geopolitieke en economische macht: in 2019 zijn zeven van de acht grootste bedrijven ter wereld (naar marktwaarde) actief in de data-economie.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Gek genoeg kwam het toezicht op die economie in 2019 pas echt op gang, tien jaar – een eeuwigheid in internettijd – na Kuneva’s bezorgde speech. In 2020 zullen toezichthouders over elkaar heen buitelen met de ene na de andere megaboete om die ook door verontrustte burgers gevoelde achterstand in te halen.

Juist in die haast met boete enschuld schuilt een monumentale uitdaging. Toezichthouders van allerlei pluimage uit allerlei landen bekijken de datawereld ieder door hun eigen bril, zoals het borgen van privacy, gezondefinanciële markten, een eerlijke behandeling van consumenten, of concurrentie op een specifieke markt.

Tegelijkertijd scheren activiteiten van ondernemingen dwars door al die conceptuele afbakeningen en landsgrenzen heen. Daarin schuilt een reëel risico voor zowel toezicht als onderneming: enerzijds worden ondernemingen door de verkeerde toezichthouder onrechtmatig bestraft en draait de rechter dat later terug, anderzijds zijn toezichthouders soms te mild in hun beoordeling waar andere waakhonden in hun toets van dezelfde activiteit veel harder zouden doorbijten.

De noodzakelijke Europese wetgeving die toezichthouders dwingt tot samenwerken en delen van competentie en boetebevoegdheden, oftewel van macht en geld voor de staatskas, zal er ook in 2020 niet komen. Rechtsonzekerheid voor ondernemingen en verder wantrouwen van de burger in het beschermingsvermogen van hun overheid in de digitale wereld, zijn het kind van de rekening. Continue reading 73e FD Column: EU moet toezichthouders verplichten tot samenwerking

72e FD Column: Toekomstvisie Autoriteit Persoonsgegevens is nog lege huls zonder slagkracht en gezag

Deze column staat in Het Financieele Dagblad van 14 november 2019. Volg deze link voor mijn eerdere FD columns.

‘In de beperking toont zich pas de meester’. Misschien wel geïnspireerd door deze beroemde strofe van de Duitse schrijver, staatsman en homo universalis Johann Wolfgang von Goethe, publiceerde privacytoezichthouder Autoriteit Persoonsgegevens (AP) maandag voor het eerst een meerjarenbeleid voor toezicht op onze datasamenleving. Titel van deze strategie: ‘Focus AP 2020-2023’.

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Naarmate onze samenleving steeds sneller dataficeert, daagt de privacywet Algemene Verordening Gegevensbescherming (AVG) de structureel onderbezette waakhond AP uit om zo’n beetje alles en iedereen overal en altijd in de gaten te houden. Met haar lezenswaardige strategie en zelfopgelegde focus op ‘datahandel, digitale overheid en artificiële intelligentie & algoritmes’ beperkt de AP zich tot de kern en toont zij een glimp van meesterschap in wording.

Toch heeft de AP de grootste uitdaging nog voor de boeg. Al sinds 1 januari 2016 kan de AP hoge boetes opleggen voor privacyschendingen. Ook is de strenge privacywet AVG sinds 25 mei 2018 in werking. Maar waar andere datawaakhonden in Europa na decennia van doormodderen eindelijk voldoende budget krijgen en stevig doorbijten, houdt de overheid hier de hand ferm op de knip en moet de AP haar tanden nog laten zien. Bovendien weifelt en wankelt de AP inhoudelijk op cruciale thema’s en lijkt zij onwenselijk geobsedeerd door toestemming als de ‘gouden grondslag’ voor dataverwerkingen. Zonder slagkracht en gezag dreigt de lovenswaardige strategie van de AP alsnog te stranden in goede bedoelingen. Continue reading 72e FD Column: Toekomstvisie Autoriteit Persoonsgegevens is nog lege huls zonder slagkracht en gezag

68th FD Column: Dutch courts pave the way for sweeping mass claims following privacy violations [translation]

By popular demand, here is a quick and dirty translation of my column in the Dutch Financial Times of 25 July 2019. Follow this link for other columns (in Dutch).

What does a simple privacy breach actually cost? This straightforward question has been the subject of heated academic debate for decades. Recently, a Dutch district court gave the municipal authority of Deventer a short and effective answer: EUR 500,- plus legal costs.

The municipal authority of Deventer is probably able to pay up. However, governments and companies who process personal data of millions of people feel the heat. The stringent EU General Data Protection Regulation (GDPR), particularly in combination with the renewed Dutch Class Action (Final Settlement) Act and an international court procedure created in The Netherlands, create fertile ground in the Lower Countries for mass claims litigation lodged by international interest groups. Such collectives are now able to credibly claim EUR 500 per affected person for a simple privacy breach. Multiply that, or even EUR 50, with millions of end users, and the funk may soon hit the fan for large organisations that violate privacy laws on a large scale.

Enforcement actions by understaffed Data Protection Authorities (DPAs) have been few and far between in Europe for the past twenty years. However, funding is increasing for DPAs, as is their authority to issue fines that may even amount up to 4% of global annual turnover of a company. Especially the combination of such enforcement actions and mass claims litigation will become a game changer for privacy protections in Europe, and will force large companies and governments to handle our data in line with applicable laws, the GDPR in particular.

Visual: Max Kisman for Het Financieele Dagblad

Continue reading 68th FD Column: Dutch courts pave the way for sweeping mass claims following privacy violations [translation]

71e FD Column: Parlementaire democratie grote verliezer door onmacht EU om online privacy te reguleren

Deze column staat in Het Financieele Dagblad van 17 oktober 2019. Volg deze link voor mijn eerdere FD columns.

Iedereen realiseert zich inmiddels dat tientallen bedrijven over je schouder meekijken bij iedere klik of swipe op het wereldwijde web. Geraffineerde volgtechnieken, zoals ‘cookies’, ‘browser fingerprints’ en ‘tracking pixels’, vormen het technische fundament een online advertentiemarkt van ruim $300 mrd, $500 mrd in 2023.

De gemiddelde consument denkt dat de veelbesproken, strenge en algemene Europese privacywet AVG beschermt tegen zulke online volgpraktijken. Maar eigenlijk reguleert vooral de onbekendere specialistische E-Privacy Richtlijn, aangenomen in 2002 en voor het laatst herzien in 2009, de bescherming van privacy en het communicatiegeheim bij bellen en internetten. De Europese Commissie poogde begin 2017 de tien jaar oude regels bij de tijd te krijgen, maar tot op heden heeft de EU geen noemenswaardige stap verder gezet.

Illustratie: Hein de Kort voor het Het Financieele Dagblad

 

De realiteit haalt Brussel intussen in. Niet alleen ontwikkelt de industrie eigen spelregels voor online volgen, die uiteraard net iets gunstiger uitpakken voor de industrie. De afgelopen maanden dienden activisten op hun beurt klachten in bij datatoezichthouders en rechters over die online volgpraktijken. Een paar weken terug vulde de hoogste Europese rechters cruciale normen over E-Privacy alvast in voor de pat gestelde politici. En een paar dagen terug introduceerde het Finse voorzitterschap van de Europese Raad opnieuw een E-Privacy voorstel, maar de verwachting is dat ook deze poging de eindstreep niet zal halen. Iedereen blijft achter met rechtsonzekerheid en per land verschillende normen en beschermingsniveaus. Daarnaast is de Europese parlementaire democratie de grote verliezer. Continue reading 71e FD Column: Parlementaire democratie grote verliezer door onmacht EU om online privacy te reguleren

70e FD Column: Megaboete Marriott toont kommer, kwel en kansen bij data-gedreven fusies en overnames

Deze column staat in Het Financieele Dagblad van 19 september 2019. Volg deze link voor mijn eerdere FD columns.

Heeft u tussen 2014 en 2018 in een Sheraton-, Westin- of Le Meridien-hotel geslapen? Dan bent u bestolen, zonder dat u, 339 miljoen (!) lotgenoten en hoteleigenaar Starwood Hotels dat wisten. Pas in november 2018 werd bekend dat criminelen al die jaren niet zozeer ongemerkt miljoenen hotelkamers hebben gekraakt, maar waardevolle creditcard, paspoort-, reis- en contactgegevens hebben gejat uit een pover beveiligd reserveringssysteem.

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Zo’n reusachtige hack is op zichzelf al nieuws, maar echt uniek is de op 9 juli van dit jaar aangekondigde boete van €110 mln door Britse datatoezichthouder ICO – vooral omdat niet Starwoord, maar Marriott International Inc. moet bloeden. Die hotelgroep nam Starwood namelijk in 2016 over en moet volgens de ICO boeten omdat zij ‘faalde voldoende due diligence (boekenonderzoek) uit te voeren toen het Starwood kocht’ en daarna ‘meer had moeten doen om die systemen te beveiligen’. Continue reading 70e FD Column: Megaboete Marriott toont kommer, kwel en kansen bij data-gedreven fusies en overnames

69e FD Column: Zorg over effect digitaal speelgoed op ontwikkeling kinderen is terecht

Deze column staat in Het Financieele Dagblad van 22 augustus 2019. Volg deze link voor mijn eerdere FD columns.

Kinderen hebben de toekomst. Maar kunnen kinderen in onze hyperverbonden toekomst nog wel kind zijn? Datatoezichthouders maken zich grote zorgen om de staat van privacy en cybersecurity in kinderspeelgoed. De eerste hoge boetes op grond van privacywet AVG zijn aanstaande.

 

Illustratie: Hein de Kort voor Het Financieele Dagblad

 

Minder bekend, maar even zorgwekkend zijn incidenten over digitale manipulatie en problemen in de ontwikkeling van kinderen door blootstelling aan bizarre content. De Europese Commissie bezint zich momenteel op nieuwe wetgeving. Hoog tijd dat kinderen ook in de informatiesamenleving nog even kind mogen blijven en nog even niet bedolven worden onder digitale spionage en manipulatie. Continue reading 69e FD Column: Zorg over effect digitaal speelgoed op ontwikkeling kinderen is terecht

63e FD Column: Broodnodige samenwerking toezichthouders op datasamenleving heeft last van groeipijnen

Deze column staat in Het Financieele Dagblad van 21 februari 2019. Volg deze link voor mijn eerdere FD columns.

Kerberos, de angstaanjagende waakhond van Hades uit de Griekse mythologie, hield zo effectief toezicht dat de doden niet eens dúrfden te ontsnappen uit de Onderwereld. Met zijn drie hoofden kon Kerberos alle ontsnappingspogingen volgen en waar nodig doorbijten.

Illustratie: Hein de Kort voor het FD

De datasamenleving heeft al jaren een Kerberos nodig. Auto’s zijn tegenwoordig namelijk rijdende computers, terwijl de datastartups van vijftien jaar terug de machtigste bedrijven ter wereld, met activiteiten in het onderwijs, zorg, nieuwsvoorziening, retail en de financiële markten. Net als Kerberos, dienen effectieve waakhonden op privacy, marktmacht, verkeersveiligheid en financiële markten met meerdere hoofden toe te zien op de multidisciplinaire realiteit die de datasamenleving allang is.

Met de publicatie van het handhavingsbesluit van de Duitse Bundeskartellamt tegen Facebook van 7 februari jl. en de inwerkingtreding van betaalwet PSD2 deze week, lijken toezichthouders gehoor te willen geven aan de jarenlange roep om intensievere samenwerking. Tegelijk blijken diezelfde toezichthouders maar moeizaam samen op te trekken. Daadkracht, transparantie en deugdelijke motivering manifesteren zich als groeipijnen, juist nu de datasamenleving gebaat is bij effectief en verantwoord toezicht. Continue reading 63e FD Column: Broodnodige samenwerking toezichthouders op datasamenleving heeft last van groeipijnen

62e FD Column: Recht en rechtspraak waarborg tegen oncontroleerbare kunstmatige intelligentie

Deze column staat in Het Financieele Dagblad van 7 februari 2019. Volg deze link voor mijn eerdere FD columns.

Hoe succesvoller wetenschap en technologie voortschrijden, hoe ondoorzichtiger en obscuurder zij worden’. Naarmate de tijd vordert, lijkt deze diepzinnige uitspraak van de Franse filosoof Bruno Latour, uit 1999, onze hypertechnologische wereld alsmaar beter te beschrijven. De kunstmatige intelligentie (AI) van zelflerende computersystemen destilleert opzienbarende inzichten uit gigantische bergen inputdata. Tegelijkertijd lukt het ontwikkelaars van AI-systemen en wetenschappers vaak niet om vooraf te voorspellen of achteraf te verklaren hoe zelflerende systemen zulke bovenmenselijke prestaties leveren. Sterker nog: steeds vaker hoor je dat uitlegbaarheid van de werking van AI-systemen aan gewone stervelingen een rem zou vormen op de voorspellende kracht van AI.

Illustratie: Hein de Kort

Zwarte doos

Toch beginnen wetgevers en rechters het recht als werktuig te gebruiken om de ‘zwarte doos’ van technologie en wetenschap open te breken. De strenge Europese privacywet AVG en baanbrekende rechterlijke uitspraken verlangen transparantie van inputdata en uitlegbaarheid van besluiten die door machines worden genomen. Of het nu gaat om zelfrijdende auto’s, beleggingsbeslissingen of automatische gezichtsherkenning op straat, innovatie en recht liggen op ramkoers. In tegenstelling tot het veelgehoorde determinisme van ontwikkelaars en Latour – de technologie werkt nu eenmaal zo, dus vergeet het maar met je uitlegbaarheid – zal het recht uitlegbaarheid afdwingen. Althans, in Europa.  Continue reading 62e FD Column: Recht en rechtspraak waarborg tegen oncontroleerbare kunstmatige intelligentie

61e FD Column: Miljoenenboete voor Google is baanbrekende testcase voor handhaving Europese Privacywet

Deze column staat in Het Financieele Dagblad van 24 januari 2019. Volg deze link voor mijn eerdere FD columns.

De Oostenrijkse privacy-advocaat Max Schrems strikes again. De luis in de pels van de grote techfirma’s procedeerde na de Snowden-onthullingen al met succes tot aan het Europese Hof van Justitie over ontoereikende privacybescherming van Europeanen in databases van Amerikaanse bedrijven. En op 25 mei jl., de dag dat de nieuwe strenge privacywet AVG in Europa in werking trad, diende Schrems’ stichting None of Your Business bij toezichthouders in vier landen een reeks klachten in over de grote Amerikaanse techbedrijven. Naar aanleiding daarvan slingerde de Franse privacytoezichthouder CNIL afgelopen maandag Google voor €50 mln op de bon. Volgens CNIL ontvangen Franse Androidgebruikers onvoldoende informatie wat Google met hun data doet. Google beschikt volgens de CNIL dan ook niet over een geldige toestemming van die gebruikers om, bijvoorbeeld, advertenties te personaliseren.

Illustratie: Hein de Kort voor het FD.

 

De Franse waakhond is op oorlogspad. Het onderzoek is razendsnel uitgevoerd, het concept-besluit plofte vlak voor de feestdagen bij Google op de mat, 15 januari was er een hoorzitting en een week later maakte CNIL het korte, niet altijd even goed onderbouwde besluit wereldkundig. Google ‘bestudeert het besluit en beraadt zich op vervolgstappen’, zoals dat zo mooi heet. Niet zozeer omdat die € 50 mln pijn doet, maar omdat CNIL stelt dat Google via ruim twintig diensten – van Gmail, via Maps en Analytics tot YouTube – onrechtmatig geld verdient. CNIL raakt zo de kern van Google’s miljardenomzet. Na politiek debat sinds 2012 en jarenlange voorbereidingen, is de eerste grote AVG-boete nu een feit. Door de potentieel verstrekkende gevolgen voor online businessmodellen, vormt het besluit de eerste grote testcase voor de handhaving van de strenge Europese privacyregels.  Continue reading 61e FD Column: Miljoenenboete voor Google is baanbrekende testcase voor handhaving Europese Privacywet