Het is inmiddels vier jaar geleden dat de Algemene Verordening Gegevensbescherming (AVG) in het leven werd geroepen. In al die tijd heeft de Europese privacywetgeving niets veranderd in bedrijfsmodellen die afhankelijk zijn van de handel in persoonsgegevens. De cultuuromslag waar privacyexperts op hoopten is eveneens achterwege gebleven. Dat zegt de Oostenrijkse privacyactivist Max Schrems van Noyb. De naam van de stichting is een acroniem dat staat voor None of your business.
Schrems is van mening dat een groot deel van de data-industrie heeft leren te leven met de AVG, zonder zijn werkwijze daadwerkelijk aan te passeren. Dat komt in zijn ogen tot uiting door de rechten van gebruikers te negeren.
“Het grondrecht op gegevensbescherming wordt niet gerespecteerd en wordt niet gezien als het resultaat van een lang democratisch proces, maar wordt bespot als gek of ‘onmogelijk na te leven’. Autoriteiten en non-profitorganisaties die de wet in haar huidige vorm proberen te handhaven, krijgen te maken met openlijke vijandigheid en beschuldigingen, zoals dat handhaving ‘innovatie om zeep zou helpen’”, aldus de Oostenrijkse privacyactivist.
En de “privacyzeepbel” aanvaardt dit excuus als legitieme argument.
De Europese privacywetgeving is er nog niet in geslaagd om een cultuuromslag te realiseren. De nationale privacytoezichthouders hebben volgens Schrems de overhand verloren om naleving van privacyregels af te dwingen. “Bedrijven beseffen dat concurrenten zich niet aan de regels houden en dat legaal handelen niet loont. Hoe meer niet-naleving zich verspreidt, hoe moeilijker het voor de autoriteiten zal worden om met beperkte middelen de controle terug te krijgen.”
De toezichthouders handhaven te weinig, waardoor de AVG geen afschrikwekkende werking heeft. Schrems vertelt dat van de 50 grensoverschrijdende zaken die zijn stichting heeft aangespannen, in geen enkel geval tot een eindbeslissing is gekomen. “Terwijl sommige autoriteiten zich meer zorgen lijken te maken over de publieke perceptie als zij de wet daadwerkelijk zouden handhaven, lijken andere zich de situatie te hebben gerealiseerd en hun best te doen om aan de slag te gaan.”
De privacyactivist vreest dat de AVG op korte termijn volledig zal worden genegeerd. De schuld hiervoor ligt bij de privacywaakhonden. Zij hebben te kampen met beperkte financiële middelen en een gebrek aan opgeleid personeel. Daarbovenop zijn er rechtbanken die beslissingen snel ongedaan maken.
Ondanks deze tegenslagen, zinkt Schrems de moed niet in de schoenen. Integendeel: hij denkt dat het op termijn wel goedkomt. “Voor veel grondrechten is eeuwen nodig geweest om ze vast te stellen, te verdedigen en uit te voeren. Ze liggen allemaal voortdurend onder vuur en er moet elke dag aan worden gewerkt. Het hoeft niet te verbazen dat dit ook geldt voor het recht op gegevensbescherming.”
Hij vervolgt zijn verhaal: “Autoriteiten zullen moeten leren dat niemand handhavingsinstanties leuk vindt – maar dat hun rol van cruciaal belang is voor onze digitale samenlevingen. Bedrijven moeten leren dat er consequenties zijn. Bedrijfsjuristen zullen moeten leren dat hun standpunten zullen worden aangevochten voor gegevensbeschermingsautoriteiten en rechtbanken. Privacyactivisten zullen moeten leren dat het aannemen van een wet alleen niet genoeg is – we moeten die wet ook handhaven.”
Schrems zegt met zijn organisatie Noyb hier de komende jaren aan te werken.
