Deze en volgende week ben ik met vakantie. Daarom de komende dagen eens een bijzondere terugblik naar het internetrecht.
De AVG is alweer drie jaar oud, en lijkt zowaar indruk te maken bij bedrijven. Dat is bij diens voorganger de Wet bescherming persoonsgegevens (Wbp) en het eukaryootje de Wet persoonsregistratie wel anders geweest. Ja natuurlijk, iedereen schreef braaf een privacyverklaring en inzage in je dossier kon, maar echt hándhaven, zeker op internet, was vrijwel afwezig.
De Wbp is in 2001 ingevoerd als uitvloeisel van de Europese Richtlijn Dataprotectie uit 1995. De Wbp verving de Wet persoonsregistratie uit 1989. Beiden hadden als kern misbruik van persoonsgegevens voorkomen, maar ze hadden allebei een groot nadeel: de toezichthouder (Registratiekamer, later College bescherming persoonsgegevens en nu dus Autoriteit Persoonsgegevens) kon geen boetes uitdelen voor misbruik.
In mijn beleving is de Wbp vooral vanwege die reden een grote papieren tijger gebleven. Natuurlijk, op grote lijnen hield iedereen wel ongeveer netjes zich aan de regels, maar dan hebben we het vooral over bedrijven met een FG of grote hoeveelheid persoonsgegevens en een gevoel van verantwoordelijkheid daarvoor (zoals verzekeraars of salarisadministraties). Internetbedrijven, die in 2001 net een beetje opkwamen, keken meer naar de Amerikaanse manier van werken; plak een mooi klinkende privacyverklaring op je site en alles mag.
Wat nu als dat anders was geweest, en er stevige boetebevoegdheden waren geweest voor de Registratiekamer?
Alles staat of valt natuurlijk met de handhaving, en gezien de beperkte bezetting van de toezichthouder was het niet meteen reëel dat er grootschalig tegen Nederlandse internetbedrijven zou zijn opgetreden. Maar met het Lindqvist-precedent (persoonsgegevens op internet zetten valt onder de Wbp) en een adequate bemensing zou dat wel eens heel anders hebben kunnen uitpakken.
Ik vermoed dat dit alleen had gewerkt als er op Europese basis gehandhaafd zou worden, want het zou te raar zijn dat Nederland heel streng optrad tegen zeg Google Analytics terwijl in Duitsland dat geen probleem zou zijn geweest.
Het voornaamste effect zou denk ik zijn geweest dat webdevelopers in Europa zich meer hadden aangetrokken van die Europese regels. Wat ik heel veel zag in die tijd, was dat mensen vooral focusten op de Amerikaanse regels, met name omdat vrijwel alle “cyberlaw” publicaties uitgingen van Amerikaans recht.
Wat denken jullie dat er zou zijn gebeurd in dit scenario?
Arnoud
Ben dus geen expert (daarom aangemeld op de nieuwsbrief). Vraag mij dus af hoe webdevellopers en wetshandhavers uit EU wel zouden kunnen nagaan hoe privacygevoelige data daadwerkelijk opgeslagen worden, verwerkt en – al dan niet ‘geanonimiseerd’ – als gebruikersprofielen worden doorverkocht aan adverteerders c.s. Een websitebezoeker die bewust de voorwaarden akkordeert, kan zelf al niet meer nagaan hoe in werkelijkheid diens gegevens gebruikt worden. Moet vertrouwen op de toezeggingen van website eigenaar. Worden die data alsnog – in strijd met geakkordeerde voorwaarden – doorgegeven/verkocht/gebruikt? Dan is die handeling wsl niet transparant of reversibel. En zodra data ‘in the cloud’ gaan, zwerven deze over servers wereldwijd en zijn ze ook niet meer ‘als zodanig’ te traceren en inclusief alle copieën aan te passen. Zoals ik begrijp. Vraag me af of blockchaintechnologie o.i.d. te gebruiken is om dit te waarborgen. Bestaat er (al) EU wetgeving die een dergelijke waarborging vereist van websites toegankelijk voor EU gebruikers? Tot zover mijn gedachten hierover. Fijne vakantie gewenst!