Precies drie jaar geleden trad de langverwachte Algemene Verordening Gegevensbescherming (AVG) in werking. De verwachtingen, of spanningen, waren hoog. Door de torenhoge boetes die schendingen van de AVG mogelijk konden opleveren was er voor veel bedrijven ineens de urgentie om deze ‘nieuwe’ verplichtingen te implementeren.
Nu, drie jaar later, is het een goed moment om de balans op te maken. Wat heeft de AVG ons nu (niet) gebracht?
Laten we beginnen bij het meest spraakmakende (en gevreesde) onderdeel van de AVG – de handhaving. Hoewel vrijwel alle toezichthouders de afgelopen drie jaar boetes hebben opgelegd is er grote variatie in de frequentie en hoogte daarvan. Zo heeft de Italiaanse autoriteit het hoogste totaalbedrag aan boetes opgelegd: EUR 76.217.601. Ondanks dat dit een flink bedrag is gaat het hier wel om 73 boetes, terwijl de toezichthouder van het Verenigd Koninkrijk met slechts 4 boetes al een bedrag van EUR 44.221.000 binnen harkte. De Autoriteit Persoonsgegevens staat met een boetetotaal van EUR 5.537.500 (op basis van 11 boetes) op de zevende plek van de Europese toezichthouders qua totaalbedrag. De verschillende cijfers zijn vooral leuk om met elkaar te vergelijken, maar wat opvalt is dat over het algemeen de boetes die worden opgelegd relatief laag zijn. In elk geval zien we de gigantische maxima van EUR 20.000.000 of 4 procent van de wereldwijde omzet niet als standaard voorbijkomen. Mede om die reden is de aandacht voor AVG-compliance in sommige gevallen weer meer naar de achtergrond verdwenen.
Een van de redenen dat de handhaving minder heftig is dan op voorhand gevreesd, volgt direct uit de AVG. Deze staat immers bol van de open normen en inspanningsplichten die aan de verwerkingsverantwoordelijken (en in beperktere mate aan verwerkers) worden opgelegd. In de praktijk kan dit leiden tot de nodige frustratie omdat de AVG wel voorschrijft dat er iets moet gebeuren, maar weinig richting geeft wanneer datgene ook daadwerkelijk goed (genoeg) is en dus onbesproken laat hoe dat moet gebeuren.
Neem de verwerkingsgrondslag ‘gerechtvaardigd belang’ waarbij de verantwoordelijke zelf een belangenafweging moet maken of de beoogde verwerking opweegt tegen de privacyinbreuk van betrokkenen. Gekoppeld aan de algemene verantwoordingsplicht kan worden ontleend dat de belangenafweging voldoende doordacht moet zijn en moet worden gedocumenteerd, maar het is twijfelachtig of bedrijven zich daarvan bewust zijn. Ook eventuele richtsnoeren of handleidingen hoe deze afweging juist te maken ontbreken. De normuitleg gerechtvaardigd belang van de Autoriteit Persoonsgegevens is inmiddels van de website verdwenen, maar schreef een zeer stringente belangenafweging voor. Lijnrecht daar tegenover staan dan weer de (verouderde) richtsnoeren van de Artikel 29 Werkgroep en de door de Britse toezichthouder voorgeschreven legitimate interests assessment, die een stuk ruimhartiger zijn in wat er als gerechtvaardigd belang kan kwalificeren. De boete die de Autoriteit Persoonsgegevens aan VoetbalTV had opgelegd – mede vanwege het gebrek aan een dergelijk belang – is door de rechter onderuitgehaald, terwijl het proces tegen de KNLTB (waarbij wederom de toetsing van het gerechtvaardigd belang een rol speelt) nog aanhangig is. Ondanks het feit dat de gerechtvaardigd belang grondslag in de praktijk zeer gangbaar is, bestaat er op voorhand nog altijd veel onduidelijkheid over hoe deze rechtmatig toe te passen.
Ook op andere punten leiden de open normen tot discussie. De AVG centreert zich grotendeels om de sleutelfiguur van de verwerkingsverantwoordelijke – de partij die doel en middelen van de verwerking bepaalt. Daarnaast kennen we de verwerker, die uitsluitend ten behoeve van de verwerkingsverantwoordelijke verwerkt, en de gezamenlijke verantwoordelijkheid waarbij er niet één, maar meerdere verwerkingsverantwoordelijken gezamenlijk beslissen over een specifieke verwerking. De ogenschijnlijk eenvoudige kwalificatie op papier, leidt in de praktijk tot veel discussie. Door de strikte voorwaarden waaraan een verwerker verbonden is én de feitelijke zeggenschap van de verwerkingsverantwoordelijke waaraan die onderworpen moet zijn, kan in veel gevallen niet meer gesproken worden van een verwerkersrol. Sinds de inwerkingtreding van de AVG lijkt een kentering gaande waarbij de eerdere verwerker steeds meer in de (gezamenlijke) verantwoordelijke rol wordt geduwd. Dit beeld wordt bevestigd in de rechtspraak en in de uitleg van het verwerkersbegrip door nationale privacy toezichthouders. Verwerkersrollen zijn (vrijwel) onmogelijk in concernverhoudingen; als de moeder diensten voor de dochter verricht zal de moeder gezamenlijk verantwoordelijke – en niet langer verwerker zijn.
Het gebruik van social media plug-ins kan leiden tot gezamenlijke verantwoordelijkheid tussen de plaatser van de plug-in en het relevante sociale medium. Hoewel dit laatste voorbeeld vooral een poging lijkt om de grote techbedrijven verantwoordelijkheid te laten afleggen voor hun “ongelimiteerde” dataverzameling roept dit bij mij vooral vragen op. Immers, voor het gebruik van third-party cookies is een dergelijke kwalificatie (nog) niet aan de orde. De grootste cloudaanbieders, Google en Amazon, bieden hun diensten wel (nog) als verwerkers aan terwijl men zich kan afvragen of de klant wel de gewenste voorwaarden kan afdwingen voor de verwerking door die partijen waarvoor hij uiteindelijk verwerkingsverantwoordelijke blijft. Het zou mij niet verbazen als de opmars van (gezamenlijke) verantwoordelijkheid doorzet en de verwerkersrollen steeds schaarser worden.
De verschuiving van verwerker naar (gezamenlijk) verantwoordelijke betekent ook dat de toezichthouders tegen meer partijen kunnen optreden, maar hoe werkt dat bij een buitenlandse onderneming? In principe zijn de toezichthouders slechts in hun eigen perkje bevoegd om tot handhaving over te gaan. Opvallend is daarom de recente boete van de Autoriteit Persoonsgegevens aan de partij achter de website locatefamily, die vermoedelijk in Canada is gevestigd. Deze partij had verzuimd om een vertegenwoordiger aan te stellen, wat verplicht is wanneer je als in het buitenland gevestigde verwerkingsverantwoordelijke toch onder de reikwijdte van de AVG valt. Het idee is dat de vertegenwoordiger dan namens de buitenlandse onderneming aan de AVG voldoet. En daar zit het hem nu juist in: buiten de EU zijn de Europese toezichthouders niet bevoegd om te handhaven, maar de Autoriteit Persoonsgegevens probeert het hier toch. Ik ben benieuwd of de boete wordt betaald, maar alleen de tijd zal dit uitwijzen.
Tot slot dan nog de rechtspraak. Inmiddels staan door het spraakmakende Schrems II arrest van het Hof van Justitie de internationale doorgiften weer ter discussie. Op nationaal niveau zien we een voorzichtige ontwikkeling in de jurisprudentie op het gebied van schadevergoedingen en het inzage- en verwijderingsrecht.
Mijn afdronk: na drie jaar AVG zijn we op een aantal kernpunten lang niet wijzer, maar liggen er vooral genoeg interessante vragen voor om de komende drie jaar te beantwoorden.
