Is misbruik van de GDPR een probleem van de GDPR?

Boos bericht bij Techdirt: in Roemenië wordt misbruik van de AVG (GDPR) gemaakt om een journalistencollectief de mond te snoeren, en dat is een probleem van de AVG want zonder AVG had dit niet gekund. Of zoiets. Het leest als een stuk flamebait, maar ik kan de boosheid van de journalist wel begrijpen want de AVG kent specifieke uitzonderingen voor journalistiek en dan komen ze juist bij de journalisten uit met een (gedreigde) boete van 20 miljoen euro. Dat hoort niet te kunnen. Maar ik zie het als een probleem met de rechtsgang, en niet met de AVG specifiek.

Het achterliggende verhaal is wat moeilijk bij elkaar te puzzelen, maar in de kern komt het hierop neer. In Roemenië is journalistencollectief OCCRP bezig een corruptieschandaal aan te tonen. Men kreeg genoeg bewijs bij elkaar om de European Anti-Fraud Office er naar te laten kijken en een strafrechtelijk onderzoek in het land zelf op te laten starten. Dat suggereert een behoorlijk stevig en betrouwbaar onderzoek.

Na publicatie van resultaten kreeg de partner van OCCRP het Rise Project een sommatie van de Roemeense privacytoezichthouder: een betrokkene heeft een inzageverzoek bij u gedaan en u moet daar gehoor aan geven, op straffe van een boete van 20 miljoen Euro. Het inzageverzoek moet ook de documenten betreffen waar de journalisten bronbescherming op claimen. Niet verrassend: de betrokkene is een van de hoofdrolspelers in het corruptieschandaal. Wel verrassend: de voorzitter van de Roemeense toezichthouder komt uit de partij van diezelfde hoofdrolspeler en zou ook lijntjes naar het corruptieschandaal hebben.

Het theoretische antwoord is natuurlijk simpel. De journalisten hoeven hier geen gehoor aan te geven, omdat bij publicaties voor journalistieke doeleinden veel rechten uit de AVG niet gelden. Dat staat letterlijk zo in de AVG, en komt terug in de Roemeense Uitvoeringswet AVG als een tekstueel duidelijke uitzondering (artikel 7): inzage en verwijdering geldt niet bij journalistieke doeleinden. De iets breder onderlegde journalist zal wijzen op jurisprudentie over bronbescherming als fundamenteel recht, en eenvoudig betogen dat het inzagerecht zich daar niet tot zal uitstrekken (bijvoorbeeld via artikel 15 lid 4, rechten van anderen).

Praktisch gezien zit het Project met een enorm probleem: een dreigende boete van 20 miljoen wanneer ze niet gewoon die gegevens verstrekken. Want op papier klinkt dit allemaal leuk maar als de toezichthouder het anders ziet, dan heb je een héél duur traject om tot je gelijk te komen. Zelfs als iedereen vanaf de zijlijn roept dat je dit gewoon gaat winnen.

Is dit nu een probleem met de AVG, zoals Techdirt-auteur Masnick betoogt? Want de AVG is zo een heel bot instrument om onwelgevallige journalistiek de mond te snoeren. Ook al heb je op papier gelijk, de boete is zo hoog dat iedereen toch wel inbindt. Chilling effect, noemen de Amerikanen dat. Onrecht dat blijft bestaan ondanks dat het wettelijk niet hoort te bestaan.

Mij lijkt van niet. Zeker is het een probleem, maar het probleem zit hem in de praktische gang naar de rechter. Als een organisatie niet de mogelijkheid heeft zich effectief te verweren tegen een dreigende boete van 20 miljoen op grond van argumenten die gezien de wet evident overtuigend zijn, dan heb je geen effectieve rechtsstaat. Dat die boete van 20 miljoen uit de AVG komt, is dan niet meer dan bijzaak. Voor hetzelfde geld kan de eiser anders een smaadclaim construeren, zijn auteursrecht geschonden zien of interferentie met parlementaire privileges of welk bogus argument dan ook aandragen.

Dat maakt de zaak niet minder ergerlijk of fout natuurlijk.

Arnoud