Is misbruik van de GDPR een probleem van de GDPR?

Boos bericht bij Techdirt: in Roemenië wordt misbruik van de AVG (GDPR) gemaakt om een journalistencollectief de mond te snoeren, en dat is een probleem van de AVG want zonder AVG had dit niet gekund. Of zoiets. Het leest als een stuk flamebait, maar ik kan de boosheid van de journalist wel begrijpen want de AVG kent specifieke uitzonderingen voor journalistiek en dan komen ze juist bij de journalisten uit met een (gedreigde) boete van 20 miljoen euro. Dat hoort niet te kunnen. Maar ik zie het als een probleem met de rechtsgang, en niet met de AVG specifiek.

Het achterliggende verhaal is wat moeilijk bij elkaar te puzzelen, maar in de kern komt het hierop neer. In Roemenië is journalistencollectief OCCRP bezig een corruptieschandaal aan te tonen. Men kreeg genoeg bewijs bij elkaar om de European Anti-Fraud Office er naar te laten kijken en een strafrechtelijk onderzoek in het land zelf op te laten starten. Dat suggereert een behoorlijk stevig en betrouwbaar onderzoek.

Na publicatie van resultaten kreeg de partner van OCCRP het Rise Project een sommatie van de Roemeense privacytoezichthouder: een betrokkene heeft een inzageverzoek bij u gedaan en u moet daar gehoor aan geven, op straffe van een boete van 20 miljoen Euro. Het inzageverzoek moet ook de documenten betreffen waar de journalisten bronbescherming op claimen. Niet verrassend: de betrokkene is een van de hoofdrolspelers in het corruptieschandaal. Wel verrassend: de voorzitter van de Roemeense toezichthouder komt uit de partij van diezelfde hoofdrolspeler en zou ook lijntjes naar het corruptieschandaal hebben.

Het theoretische antwoord is natuurlijk simpel. De journalisten hoeven hier geen gehoor aan te geven, omdat bij publicaties voor journalistieke doeleinden veel rechten uit de AVG niet gelden. Dat staat letterlijk zo in de AVG, en komt terug in de Roemeense Uitvoeringswet AVG als een tekstueel duidelijke uitzondering (artikel 7): inzage en verwijdering geldt niet bij journalistieke doeleinden. De iets breder onderlegde journalist zal wijzen op jurisprudentie over bronbescherming als fundamenteel recht, en eenvoudig betogen dat het inzagerecht zich daar niet tot zal uitstrekken (bijvoorbeeld via artikel 15 lid 4, rechten van anderen).

Praktisch gezien zit het Project met een enorm probleem: een dreigende boete van 20 miljoen wanneer ze niet gewoon die gegevens verstrekken. Want op papier klinkt dit allemaal leuk maar als de toezichthouder het anders ziet, dan heb je een héél duur traject om tot je gelijk te komen. Zelfs als iedereen vanaf de zijlijn roept dat je dit gewoon gaat winnen.

Is dit nu een probleem met de AVG, zoals Techdirt-auteur Masnick betoogt? Want de AVG is zo een heel bot instrument om onwelgevallige journalistiek de mond te snoeren. Ook al heb je op papier gelijk, de boete is zo hoog dat iedereen toch wel inbindt. Chilling effect, noemen de Amerikanen dat. Onrecht dat blijft bestaan ondanks dat het wettelijk niet hoort te bestaan.

Mij lijkt van niet. Zeker is het een probleem, maar het probleem zit hem in de praktische gang naar de rechter. Als een organisatie niet de mogelijkheid heeft zich effectief te verweren tegen een dreigende boete van 20 miljoen op grond van argumenten die gezien de wet evident overtuigend zijn, dan heb je geen effectieve rechtsstaat. Dat die boete van 20 miljoen uit de AVG komt, is dan niet meer dan bijzaak. Voor hetzelfde geld kan de eiser anders een smaadclaim construeren, zijn auteursrecht geschonden zien of interferentie met parlementaire privileges of welk bogus argument dan ook aandragen.

Dat maakt de zaak niet minder ergerlijk of fout natuurlijk.

Arnoud

7 reacties

  1. Tsja, als de toezichthouder het niet eens mag opvragen op basis van de wet, maar het toch doet, kan het net zo goed een wet over de hondenbelasting zijn. Uiteindelijk gaat het erom hoe stevig het systeem (politiek en juridisch) in zo’n land is, om bijvoorbeeld journalistiek te beschermen. De aanval is duidelijk wereldwijd geopend op de journalistiek. Het is aan de EU om Roemenië op de vingers te tikken (zoals ook Hongarije en Italië).

    Of het door de AVG komt? Ik denk het niet. Bij corruptie of andere onzuivere politiek vindt men altijd wel een wet om uit te buiten om tegenstanders aan te pakken, als het systeem het toelaat.

  2. Hier draaft Mike Masnick inderdaad een beetje door, maar hij heeft wel een punt: de GDPR botst regelmatig met de persvrijheid, en in zijn visie (die ik deel) dient dan de persvrijheid voorrang te hebben: het belang van een vrije pers is gewoon te groot om hierover enige twijfel te laten ontstaan. De weeffout hier is dat er voor dit soort corrupte personages niet een vergelijkbaar zwaard van Damocles boven het hoofd hangt. Als je op een dergelijke manier misbruik maakt van de GDPR, dan moet je ook potentieel hangen voor 20 miljoen, en dan ook nog op persoonlijke titel. Bovendien zouden we voor dit soort gevallen ook volledige proceskostenvergoeding moeten hebben, zodat toegang tot de rechter mogelijk blijft.

    Het grotere probleem is dat de corruptie in Roemenie de rechtstaat op meer dan een manier onmogelijk maakt, en dat het land daarmee niet echt in de EU thuishoort. (Al doet de zeer schimmige gang van zaken rond de nieuwe auteursrechtenrichtlijn ook vermoeden dat er ook in het hart van de EU corruptie aan het werk is. Merk hierbij op dat ik elk bewust handelen van een ambtenaar of volkvertegenwoordiger tegen het algemeen belang als corruptie beschouw.)

    1. Ook in Roemenië staan ongetwijfeld op papier hoge straffen op corruptie, omkoping en machtsmisbruik. Maar het probleem blijft hetzelfde: als de uiteindelijke hoogste machthebbers corrupt blijken en het rechtssysteem daar niet tegenop kan, wat doe je dan? De enige oplossing lijkt dan een Europese supermacht met eigen federale politie, net zoals in de VS de FBI een corrupte staatsambtenaar kan arresteren.

  3. Het probleem is het middel. Als de Roemeense corruptie eerder de mogelijkheid had gehad een boete van 20 miljoen te eisen, had ze dat wel gedaan.

    Die 20 miljoen euro zijn nieuw en de GDPR had er rekening mee moeten houden dat dit soort bedragen na verloop van tijd door sterkere partijen zou worden gebruikt om zwakkere partijen mee uit te schakelen, want dat dat zou gaan gebeuren, was evident.

    1. Dan had de GDPR boetes van 20.000 euro gehad en hadden we met z’n allen geklaagd dat dat voor Google en consorten een schijntje is en dat de GDPR daarmee het lachertje van het jaar is. Dus nee, niet mee eens. Foute handhaving van een wet ligt niet aan die wet, maar aan de handhaving en het toezicht daarop.

      1. “Dan had de GDPR boetes van 20.000 euro gehad”

        Dat beweer ik helemaal niet. Maar bij boetes boven een bepaald bedrag, moet je de ontvanger wel de kans geven makkelijker een bezwaarprocedure in te gaan dan via de relatief hoogdrempelige rechter.

        Merk op dat als het innen van een boete via een rechter moet, de staat opeens wijd open staat voor manieren om dat makkelijker te maken. Zij bijvoorbeelde de Natte Molenaar, pardon, de Wet Mulder. Omgekeerd kan het dus wel.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.