Europa is niet in staat om hard op te treden tegen grote technologiebedrijven. Grote en belangrijke privacyzaken belanden voornamelijk op het bord van de Ierse toezichthouder. Die laat op zijn beurt te veel zaken liggen. Bovendien is het budget bij de meeste Europese toezichthouders ontoereikend en zijn er te weinig specialisten die kunnen optreden tegen de techbedrijven. De handhaving van de Europese privacywetgeving wordt hierdoor ernstig aangetast. Dat schrijft de Irish Council for Civil Liberties (ICCL) in een rapport dat vandaag is verschenen.
De Ierse burgerrechtenorganisatie laat er geen misverstand over bestaan. Europa is momenteel niet in staat om grote (voornamelijk Amerikaanse) techbedrijven te controleren en tot de orde te roepen. Drie-en-een-half jaar na de invoering van de AVG is de handhaving van de Europese privacy wet- en regelgeving verlamd geraakt.
De Ierse Data Protection Commission (DPC) vormt een bottleneck in de strijd tegen Big Tech in de hele EU, zo schrijft de ICCL in zijn rapport. Volgens de burgerrechtenbeweging wordt 98 procent van de zaken die bij de DPC terecht komt niet opgelost. Europese toezichthouders zijn niet voorbereid op het digitale tijdperk. Zo zijn er te weinig specialisten die kunnen vaststellen wat techbedrijven precies met persoonsgegevens van Europese burgers doen. Slechts 9,7 procent van alle medewerkers bij nationale toezichthouders bezit de specialistische kennis om hier onderzoek naar te doen.
Een andere factor waardoor het AVG-handhavingsbeleid te wensen over laat, is het budget. Meer dan de helft van alle Europese toezichthouders heeft jaarlijks 5 miljoen euro of meer ter beschikking om privacyzaken op te pakken. Van het totale EU-budget is Duitsland goed voor 32 procent.
Het éénloketsysteem is volgens de ICCL de belangrijkste oorzaak dat Europa niet in staat is om op te treden tegen techbedrijven als Google, Amazon, Apple en Facebook. Dit principe houdt in dat de toezichthouder van het land waar het hoofdkantoor van het bedrijf in kwestie is gevestigd, de zaak moet onderzoeken. Aangezien de meeste techbedrijven hun vestiging in Dublin hebben staan, belanden de meeste privacy gerelateerde en concurrentieverstorende zaken op het bord van de DPC. Bovendien wordt één op de vijf zaken (21 procent) doorverwezen naar de Ierse toezichthouder.
“Geen enkele andere AVG-handhavingsinstantie in de EU kan ingrijpen als het Ierse DPC zijn leidende rol opeist in zaken tegen grote techbedrijven met hoofdkantoor in Ierland. Als gevolg daarvan is de AVG-handhaving van de EU tegen Big Tech verlamd doordat Ierland in grensoverschrijdende zaken geen ontwerpbesluiten indient”, zo schrijft de ICCL.
Het is niet eerlijk om de schuld volledig in de schoenen van de Ieren te schuiven. Samen met Spanje, Duitsland, Nederland, Frankrijk, Zweden en Luxemburg is Ierland goed voor de behandeling van bijna driekwart van alle ingediende AVG-klachten in Europa (72 procent). Met andere woorden, een kleine groep lidstaten is verantwoordelijk voor de afhandeling van het gros van alle privacyzaken en -klachten.
Daarbovenop is het budget bij de meeste toezichthouders ontoereikend. Het goede nieuws is dat het totale budget voor nationale toezichthouders tussen 2016 en 2021 is toegenomen met 81,9 procent tot 294,6 miljoen euro. Daar staat tegenover dat de jaarlijkse stijging sinds 2018, toen de AVG in werking trad, gestaag daalt. Negen nationale toezichthouders moeten het zien te redden met een budget van minder dan 2 miljoen euro.
Tot slot constateert de ICCL dat de Europese toezichthouders te weinig technisch onderlegd personeel in dienst hebben. Van de 3.014 fulltime medewerkers zijn er slechts 293 technisch specialisten. Dat is minder dan één op de tien werknemers. Slechts vijf lidstaten hebben tien techspecialisten of meer in dienst. Het leeuwendeel van de lidstaten (vijftien stuks) hebben slechts vier of minder specialisten in dient.
De burgerrechtenbeweging eindigt met een aantal aanbevelingen. Om te beginnen vindt ze dat de Ierse toezichthouder hervormd en versterkt moet worden. De overheid moet meer geld beschikbaar stellen zodat de DPC haar capaciteit kan vergroten. Verder moet er een zwaarder gewicht worden toegekend aan de uitspraken van de DPC. In plaats van advisering moet het orgaan meer de nadruk leggen op handhaving.
Verder stelt de ICCL voor dat de Europese Commissie harder optreedt tegen lidstaten die de bescherming van persoonsgegevens niet serieus genoeg nemen. Tot slot moet het dagelijkse bestuur van de EU de toepassing van de AVG beter handhaven. De European Data Protection Board (EDPB) en nationale toezichthouders zouden ieder kwartaal een rapport moeten publiceren waarin de Commissie wordt bijgepraat over de ontwikkeling van lopende zaken.
De ICCL onderzocht 164 grote zaken die tussen mei 2018 en mei 2021 bij de DPC zijn ingediend. Slechts vier zaken zijn in deze periode daadwerkelijk aangepakt door de Ierse toezichthouder. Eén daarvan is het onderzoek naar WhatsApp. Onlangs maakte de DPC kenbaar dat ze een boete van 225 miljoen euro had opgelegd aan de chatdienst wegens het overtreden van de AVG. Aanvankelijk viel het boetebedrag aanzienlijk lager uit, ergens tussen de 30 en 50 miljoen euro. Acht Europese toezichthouders tekenden hier bezwaar tegen aan. De DPC besloot daarop om de boete te verhogen naar 225 miljoen euro.
Download het rapport hier.
