Edward Snowden denkt dat de AVG tot nu toe nog weinig effect heeft gehad in Europa. Dat las ik bij Tweakers tijdens mijn kraamperiode (dank iedereen voor de felicitaties). De NSA-klokkenluider zei op een conferentie dat de Europese privacyverordening vooral ‘een papieren tijger’ is zolang internetbedrijven geen grote boetes krijgen opgelegd. De kern van het argument lijkt hem te zitten in dat het “prima is om data te verzamelen, dat het geen gevaar oplevert en dat het normaal is om iedereen te bespioneren, zolang die data maar niet uitlekt en je er zelf de controle over hebt.” Daarmee is de AVG kennelijk geen effectieve barrière tegen de grote techbedrijven: die doen wat ze willen en gooien er gewoon nieuwe braaftaal tegenaan – “We value your privacy” wordt “We respect your GDPR rights and we fully comply” en dat was het dan. Tsja.
De AVG is natuurlijk in eerste instantie een enorme stapel papier (99 artikelen) waar je als bedrijf maar wat van moet maken. Zowat alle aspecten van dataverzamelen en -gebruiken worden gereguleerd; je moet compliance kunnen aantonen, grondslagen onderbouwen, toezicht houden, security dichttimmeren en ga zo maar door. De normen zijn open en de boetes zijn hoog, althans op papier.
En daar wringt hem de schoen – heel veel papier is de AVG, maar (nog?) maar heel weinig daadwerkelijke handhaving. En dat voelt heel dubbel: overal zie en merk je dat mensen de AVG serieus proberen te nemen, maar tegelijk gebeurt er weinig tegen zij die dat niet doen. Links word je doodgegooid met toestemmingsformulieren (ahh ahh ahh de horreur) die nergens voor nodig zijn, en rechts wordt je gehele doopceel integraal verkocht aan malafide marketeers of erger nog semi-overheden.
Natuurlijk kun je dan heel spitsvondig zeggen dat het hem zit in de naam. “Data protection” impliceert dat je alles mag mits je het maar goed beschermt, en het moet gaan om of je überhaupt data mág verwerken. Die vondst klopt niet: het gaat om de bescherming van data in de zin van réchten op die data, mijn data moet veilig zijn als een bedrijf er wat mee doet. Dat is niet hetzelfde als “alles mag als je het veilig doet”, wat ook in artikel 5 AVG staat: alles moet rechtmatig zijn. Oh ja én moet voldoen aan dataminimalisatie, oftewel niet meer verzamelen dan nodig is voor je rechtmatige doel, dat je ook nog eens vooraf gemeld hebt en op papier uitgewerkt.
Uiteindelijk heeft Snowden wel gelijk als het gaat om de handhaving. Wetten die niet worden gehandhaafd zijn betekenisloos, of het nu de AVG is of het artikel over door rood rechtsaf fietsen uit de Wegenverkeerswet. Waarom die handhaving zo langzaam gaat, weet ik niet precies. Voor een deel zal het de complexiteit van de verwerking zijn, kom ermaar eens écht achter wat Facebook en consorten doet. En je wilt ook geen fouten maken want je weet dat je dan een rechtszaak tegen je krijgt. En het is politiek gevoelig, zo’n boetebesluit. Maar onderaan de streep blijft dan wel het probleem dat die wet met voeten getreden blijft.
Arnoud