AVG: tien voor het idee, vijf voor de uitvoering
De EU ziet haar databeschermingswet als succes. Maar het kan beter, vindt Marietje Schaake.
Het academische jaar op Stanford komt tot een weinig glorieus einde in deze weken waarin de campus nog altijd het shelter in place-protocol volgt. Studenten kunnen voor hun online gevolgde vakken slechts slagen of zakken – cum laude is niet aan de orde.
De Algemene Verordening Gegevensbescherming krijgt deze week ook een beoordeling. Europese politici geven zichzelf vast een uitstekend cijfer. De databeschermingswet, nu twee jaar oud, is zonder twijfel het meest bekende pakket regels dat de Europese Unie in de recente geschiedenis voortbracht. Als Europeaan ontkom ik er, zeker in de VS, niet aan de wet uit den treure toe te lichten en vaak ook te verdedigen. Toch moeten de grootste fans van de AVG haar grootste critici zijn. Ondanks goede intenties is er nog veel te verbeteren.
Beschermers van privacy en burgerrechten omarmen de AVG te pas en te onpas. De wet zou bewijzen dat de EU de enige is die technologiereuzen als Facebook, Google en Microsoft aan banden legt. Dat argument was ook politiek doorslaggevend in ‘Brussel’.
Nu blijkt dat niet de grote technologiebedrijven, maar juist kleinere ondernemers en publieke diensten worstelen met de eisen waaraan zij moeten voldoen; compliance vergt een relatief grote investering. Sinds de AVG zitten de grote bedrijven zo stevig in het zadel dat hun bazen niet meer tegen, maar vóór wetgeving pleiten.
Handhaven van de wet is een andere uitdaging. Grote verschillen tussen EU-landen leiden tot fragmentatie. In sommige ervan, zoals Ierland, zijn veel technologiebedrijven gevestigd, in andere nauwelijks. Databeschermingsautoriteiten, zoals in Nederland de Autoriteit Persoonsgegevens, missen vaak de capaciteit om alle klachten goed te onderzoeken. Boetes van vele miljoenen klinken spectaculair, maar doen de grote bedrijven nauwelijks pijn. Ze worden ingecalculeerd als bedrijfsrisico.
Hoewel de AVG veel bekendheid geniet, beperkt de kennis erover zich soms tot vage indrukken. Zo hoorde ik een vooraanstaand wetenschapper uitleggen dat dataportabiliteit betekent dat je Facebook-vrienden moet kunnen meenemen naar een concurrent. Een leuk idee, maar niet wat de verordening mogelijk maakt. Wel kunnen internetgebruikers eigen data die bedrijven verzamelen opvragen en meenemen naar een andere dienst. Dit moet de concurrentie vergroten, maar heeft zeker in de EU nog niet zichtbaar tot nieuwe spelers geleid.
Intussen passen autoritaire leiders de wet slim toe om critici de mond te snoeren. Hét argument van bedrijven in Silicon Valley om iets niet te doen, is nu the GDPR, zoals de AVG in de VS heet. Onderzoeken hoe de Amerikaanse presidentsverkiezingen in 2016 via sociale media werden gemanipuleerd? Graag, maar helaas, ‘mag niet van the GDPR’. Facebook en andere platforms sloegen mijn collega’s op Stanford er al mee om de oren.
Omdat de AVG zo bekend en berucht is, neigen veel mensen in Brussel er nu naar regulering van technologie als belangrijkste wapenfeit te zien. Dat is een zwaktebod. Als je alleen een hamer hebt, lijkt elk probleem op een spijker. Ook ik pleit voor regels en onafhankelijk toezicht als tegenwicht voor de macht van grote commerciële techbedrijven. Maar regels opstellen is geen doel op zich; het gaat om verankeren van principes en waarden.
Vooralsnog streven Silicon Valley en – steeds vaker – Chinese bedrijven onze Europese spelers voorbij. Ondernemers vertrekken naar de VS om daar kapitaal, talent en markt te zoeken. De EU moet nodig laten zien dat ze zelf succesvolle innovaties en bijbehorende economische groei kan laten ontstaan, gefundeerd op databescherming en privacy. Natuurlijk blijft de AVG daarbij de uitdrukking van fundamentele rechten in de digitale wereld en de behoefte van mensen meer zeggenschap over hun data te krijgen. Daarom: idee een tien, uitvoering een vijf. Zo haalt de AVG een voldoende; maar niet een waarmee mijn studenten genoegen zouden nemen.